此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文描述如何使用在思科FireSight设备的修正模块为了检测攻击和自动地修正与使用的攻击者思科身份服务引擎(ISE)作为策略服务器。在本文提供的示例描述使用远程VPN用户修正通过ISE验证的方法,但是它可能也用于802.1x/MAB/WebAuth有线的或无线用户。
Note:被参考本文思科不正式支持的修正模块。它在门户的社区共享,并且可以由任何人使用。在版本5.4和以上,也有根据pxGrid协议的一更新的修正模块联机。版本6.0不支持计划未来版本支持此模块,然而。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
请使用在此部分被提供为了配置您的系统的信息。
Note:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息。
在本文描述的示例使用此网络设置:
这是此网络设置的流:
如前所提及,此方案为任一种认证的会话(VPN,有线的802.1x/MAB/Webauth工作,无线802.1x/MAB/Webauth),只要ISE使用验证,并且网络接入设备支持RADIUS CoA (所有现代Cisco设备)。
提示:为了移动用户出于检疫,您能使用ISE GUI。修正模块的未来版本也许也支持它。
Note:VM设备使用在本文描述的示例。仅初始配置通过CLI被执行。所有策略从思科防御中心配置。欲了解更详细的信息,参考本文相关信息部分。
VM有三个接口,一管理的和两轴向检查的(内部/外部)。
所有从VPN用户的流量通过Firepower移动。
在您安装正确许可证并且添加Firepower设备后,请导航到策略>访问控制并且创建使用为了下降HTTP数据流到172.16.32.1的访问策略:
其他流量接受。
在社区门户共享ISE模块的当前版本是ISE 1.2修正Beta 1.3.19 :
导航到策略>操作>补救>模块并且安装文件:
应该然后创建正确实例。导航对策略>操作>补救>实例并且与为其余API是需要的ISE管理凭证一起提供策略管理节点(PAN)的IP地址, (推荐有ERS Admin角色的一个分开的用户) :
应该也用于源IP地址(攻击者)修正:
您必须当前配置一个特定关联规则。此规则在匹配以前已配置的访问控制规则的连接的开始被触发(DropTCP80)。为了配置规则,请导航对策略>相关性>规则管理:
此规则用于相关性策略。导航对策略>相关性>Policy管理为了创建一项新的策略,然后增加配置的规则。点击在右边的修正并且添加两操作:sourceIP (及早配置)和Syslog的修正:
保证您启用相关性策略:
ASA作为的VPN网关配置为了使用ISE验证。对启用帐户和RADIUS CoA也是必要的:
tunnel-group SSLVPN-FIRESIGHT general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key *****
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
导航到作为RADIUS客户端的Administration >网络设备并且添加ASA。
导航到管理>System >设置>自适应网络控制为了启用检疫API和功能:
Note:在版本1.3和以下,此功能呼叫Endpoint保护业务。
为了创建可下载的访问控制表(DACL)使用被检疫的主机,请导航对策略>结果>授权>可下载的ACLs。
导航对策略>结果>授权>授权配置文件并且创建与新的DACL的一授权配置文件:
您必须创建两个授权规则。第一个规则(ASA-VPN)为在ASA终止的所有VPN会话提供完全权限。规则ASA-VPN_quarantine为重新鉴别的VPN会话点击,当主机已经是检疫时(提供有限的网络访问)。
为了创建这些规则,请导航对策略>授权:
请使用在此部分被提供为了验证的信息您的配置适当地工作。
ASA创建会话,不用任何DACL (全双工网络访问) :
asav# show vpn-sessiondb details anyconnect
Session Type: AnyConnect
Username : cisco Index : 37
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 18706 Bytes Rx : 14619
Group Policy : POLICY Tunnel Group : SSLVPN-FIRESIGHT
Login Time : 03:03:17 UTC Wed May 20 2015
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac10206400025000555bf975
Security Grp : none
......
DTLS-Tunnel:
<some output omitted for clarity>
一旦用户尝试访问http://172.16.32.1,访问策略点击,对应阻塞线型,并且系统消息从Firepower管理IP地址传送的流量:
May 24 09:38:05 172.16.31.205 SFIMS: [Primary Detection Engine
(cbe45720-f0bf-11e4-a9f6-bc538df1390b)][AccessPolicy] Connection Type: Start, User:
Unknown, Client: Unknown, Application Protocol: Unknown, Web App: Unknown,
Access Control Rule Name: DropTCP80, Access Control Rule Action: Block,
Access Control Rule Reasons: Unknown, URL Category: Unknown, URL Reputation:
Risk unknown, URL: Unknown, Interface Ingress: eth1, Interface Egress: eth2,
Security Zone Ingress: Internal, Security Zone Egress: External, Security
Intelligence Matching IP: None, Security Intelligence Category: None, Client Version:
(null), Number of File Events: 0, Number of IPS Events: 0, TCP Flags: 0x0,
NetBIOS Domain: (null), Initiator Packets: 1, Responder Packets: 0, Initiator Bytes:
66, Responder Bytes: 0, Context: Unknown, SSL Rule Name: N/A, SSL Flow Status: N/A,
SSL Cipher Suite: N/A, SSL Certificate: 0000000000000000000000000000000000000000,
SSL Subject CN: N/A, SSL Subject Country: N/A, SSL Subject OU: N/A, SSL Subject Org:
N/A, SSL Issuer CN: N/A, SSL Issuer Country: N/A, SSL Issuer OU: N/A, SSL Issuer Org:
N/A, SSL Valid Start Date: N/A, SSL Valid End Date: N/A, SSL Version: N/A, SSL Server
Certificate Status: N/A, SSL Actual Action: N/A, SSL Expected Action: N/A, SSL Server
Name: (null), SSL URL Category: N/A, SSL Session ID:
0000000000000000000000000000000000000000000000000000000000000000, SSL Ticket Id:
0000000000000000000000000000000000000000, {TCP} 172.16.50.50:49415 -> 172.16.32.1:80
FireSight管理(防御中心)相关性策略点击,由系统消息报告从防御中心传送:
May 24 09:37:10 172.16.31.206 SFIMS: Correlation Event:
CorrelateTCP80Block/CorrelationPolicy at Sun May 24 09:37:10 2015 UTCConnection Type:
FireSIGHT 172.16.50.50:49415 (unknown) -> 172.16.32.1:80 (unknown) (tcp)
在此阶段,防御中心使用其余API (检疫)呼叫对ISE,是HTTPS会话,并且可以解密在Wireshark (与插件的安全套接字协议层(SSL)和PAN管理证书的专用密钥) :
在GET要求攻击者的IP地址通过(172.16.50.50),并且该主机由ISE检疫。
导航对分析>相关性>状态为了确认成功的修正:
在此阶段, ISE prrt-management.log通知应该发送CoA :
DEBUG [RMI TCP Connection(142)-127.0.0.1][] cisco.cpm.prrt.impl.PrRTLoggerImpl
-::::- send() - request instanceof DisconnectRequest
clientInstanceIP = 172.16.31.202
clientInterfaceIP = 172.16.50.50
portOption = 0
serverIP = 172.16.31.100
port = 1700
timeout = 5
retries = 3
attributes = cisco-av-pair=audit-session-id=ac10206400021000555b9d36
Calling-Station-ID=192.168.10.21
Acct-Terminate-Cause=Admin Reset
运行时间(prrt-server.log)发送CoA terminatemessage给纳季,终止会话(ASA) :
DEBUG,0x7fad17847700,cntx=0000010786,CPMSessionID=2e8cdb62-bc0a-4d3d-a63e-f42ef8774893,
CallingStationID=08:00:27:DA:EF:AD, RADIUS PACKET: Code=40 (
DisconnectRequest) Identifier=9 Length=124
[4] NAS-IP-Address - value: [172.16.31.100]
[31] Calling-Station-ID - value: [08:00:27:DA:EF:AD]
[49] Acct-Terminate-Cause - value: [Admin Reset]
[55] Event-Timestamp - value: [1432457729]
[80] Message-Authenticator - value:
[00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00]
[26] cisco-av-pair - value: [audit-session-id=ac10206400021000555b9d36],
RadiusClientHandler.cpp:47
ise.psc发送通知类似于此:
INFO [admin-http-pool51][] cisco.cpm.eps.prrt.PrrtManager -:::::- PrrtManager
disconnect session=Session CallingStationID=192.168.10.21 FramedIPAddress=172.16.50.50
AuditSessionID=ac10206400021000555b9d36 UserName=cisco PDPIPAddress=172.16.31.202
NASIPAddress=172.16.31.100 NASPortID=null option=PortDefault
当您导航对操作>验证时,应该显示成功的动态授权。
最终用户发送通知为了表明会话被断开(对于有线的802.1x/MAB/guest/无线,此进程透明) :
从思科AnyConnect日志的详细信息显示:
10:48:05 AM Establishing VPN...
10:48:05 AM Connected to 172.16.31.100.
10:48:20 AM Disconnect in progress, please wait...
10:51:20 AM The secure gateway has terminated the VPN connection.
The following message was received from the secure gateway: COA initiated
由于不间断工作的VPN配置,个新会话立即被构件。这时, ISE ASA-VPN_quarantine规则点击,提供有限的网络访问:
Note:DACL在一个分开的RADIUS请求下载。
有有限访问的一会话在与CLI命令显示vpn-sessiondb详细信息的anyconnect的ASA可以验证:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 39
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11436 Bytes Rx : 4084
Pkts Tx : 8 Pkts Rx : 36
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : POLICY Tunnel Group : SSLVPN-FIRESIGHT
Login Time : 03:43:36 UTC Wed May 20 2015
Duration : 0h:00m:10s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac10206400027000555c02e8
Security Grp : none
......
DTLS-Tunnel:
<some output ommited for clarity>
Filter Name : #ACSACL#-IP-DENY_ALL_QUARANTINE-5561da76
此部分提供您能使用为了排除故障您的配置的信息。
ISE修正脚本位于此位置:
root@Defence:/var/sf/remediations/ISE_1.3.19# ls
_lib_ ise-instance ise-test.pl ise.pl module.template
这是使用标准的SourceFire的一个简单Perl脚本(SF)记录日志子系统。一旦修正被执行,您能通过/var/log/messages证实结果:
May 24 19:30:13 Defence SF-IMS[2414]: ise.pl:SourceIP-Remediation [INFO] [2414]
quar_ip:172.16.50.50 (1->3 sid:1) Starting remediation
May 24 19:30:13 Defence SF-IMS[2414]: ise.pl:SourceIP-Remediation [INFO] [2414]
quar_ip:172.16.50.50 (1->3 sid:1) 172.16.31.202 - Success 200 OK - Quarantined
172.16.50.50 as admin
重要的是您启用在ISE的自适应网络管理服务。为了查看详细登陆一运行时进程(prrt-management.log和prrt-server.log),您必须启用运行时间AAA的调试级别。导航对管理>System >记录日志>调试日志配置为了启用调试。
您能也导航到操作>报告>终端和用户>自适应网络控制审计为了查看检疫请求的每种尝试和结果的信息:
与VPN会话故障关于ISE bug的信息的参考的Cisco Bug ID CSCuu41058 (ISE 1.4终端检疫不一致和VPN失败) (802.1x/MAB涉及良好工作)。