فهم التحكم في الوصول المستند إلى TrustSec باستخدام FirePOWER و ISE

المقدمة

يستخدم Cisco TrustSec وضع علامات على إطارات إيثرنت من الطبقة 2 وتخطيطها لفصل حركة المرور دون التأثير على البنية الأساسية IP الموجودة. يمكن التعامل مع حركة المرور المميزة بتدابير أمان ذات مستويات أكثر دقة. 

يسمح التكامل بين محرك خدمات الهوية (ISE) ومركز إدارة Firepower (FMC) بإبلاغ وضع علامات TrustSec من تفويض العميل، والذي يمكن إستخدامه من قبل Firepower لتطبيق سياسات التحكم في الوصول بناء على علامة مجموعة أمان العميل. يناقش هذا المستند خطوات دمج ISE مع تقنية Cisco Firepower.

المكونات المستخدمة

يستخدم هذا المستند المكونات التالية في إعداد المثال:

• Identity Services Engine (ISE)، الإصدار 2.1
• مركز إدارة Firepower (FMC)، الإصدار 6.x
• جهاز الأمان القابل للتكيف (ASA) 5506-X من Cisco، الإصدار 9.6.2
• وحدة جهاز الأمان القابل للتكيف (ASA) 5506-X FirePOWER النمطية، الإصدار 6.1

نظرة عامة

هناك طريقتان لجهاز إستشعار لاكتشاف رقم مجموعة الأمان (SGT) المعين لحركة المرور:

1. من خلال تخطيط IP للمستخدم
2. من خلال وضع علامات على العرفاء الداخليين

أسلوب تعيين User-IP

  

لضمان إستخدام معلومات TrustSec للتحكم في الوصول، يمر دمج ISE مع FMC بالخطوات التالية:

الخطوة 1: يسترجع FMC قائمة من مجموعات الأمان من ISE.

الخطوة 2: يتم إنشاء سياسات التحكم في الوصول على FMC التي تتضمن مجموعات الأمان كشرط.

الخطوة 3: عند مصادقة نقاط النهاية والتفويض باستخدام ISE، يتم نشر بيانات الجلسة إلى FMC.

الخطوة 4: تقوم وحدة التحكم في إدارة الهيكل (FMC) ببناء ملف تخطيط مستخدم-ip-sgt، ودفعه إلى المستشعر.

الخطوة 5: يتم إستخدام عنوان IP المصدر لحركة المرور لمطابقة مجموعة الأمان باستخدام بيانات الجلسة من تخطيط User-IP.

الخطوة 6: إذا تطابقت مجموعة الأمان لمصدر حركة المرور مع الشرط في سياسة التحكم في الوصول، فيتم إتخاذ الإجراء بواسطة المستشعر وفقا لذلك.

تقوم وحدة التحكم في إدارة الهيكل (FMC) باسترداد قائمة برامج التوجيه الكامل عند حفظ تكوين دمج ISE تحت النظام > الدمج > مصادر الهوية > محرك خدمات الهوية.

ملاحظة: لا يؤدي النقر على زر الاختبار (كما هو موضح أدناه) إلى تشغيل FMC لاسترداد بيانات الرقيب.

وييسر الاتصال بين وحدة إدارة الاتصالات الفيدرالية (FMC) و ISE بواسطة ADI (واجهة الدليل المجرد)، وهي عملية فريدة (يمكن أن يكون هناك مثيل واحد فقط) تعمل على FMC. عمليات أخرى تتعلق باشتراك FMC في ADI وطلب معلومات. والمكون الوحيد الذي يشترك حاليا في ADI هو Data Correlator. 

تقوم وحدة التحكم في المارينز بإنقاذ الرقيب في قاعدة بيانات محلية. تحتوي قاعدة البيانات على اسم ورقم الرقيب، ولكن حاليا تستخدم FMC معرفا فريدا (معرف علامة تمييز آمنة) كمؤشر عند معالجة بيانات الرقيب. يتم نشر قاعدة البيانات هذه أيضا إلى أجهزة الاستشعار.

إذا تم تغيير مجموعات أمان ISE، مثل إزالة المجموعات أو إضافتها، يقوم ISE بدفع إعلام PXgrid إلى FMC لتحديث قاعدة بيانات SGT المحلية.

عندما يقوم المستخدم بالمصادقة مع ISE ويأذن باستخدام علامة مجموعة أمان، ISE يقوم بإعلام FMC من خلال PXgrid، مما يوفر المعرفة بأن المستخدم X من النطاق Y قام بتسجيل الدخول مع SGT Z. تأخذ FMC المعلومات وتدرج في ملف تعيين المستخدم-IP. تستخدم FMC خوارزمية لتحديد الوقت اللازم لدفع التعيين الذي تم الحصول عليه إلى أجهزة الاستشعار، حسب مدى حمل الشبكة الموجود. 

ملاحظة: لا تقوم وحدة التحكم في إدارة الهيكل (FMC) بدفع جميع إدخالات تعيين IP للمستخدم إلى أجهزة الاستشعار. لكي تدفع FMC رسم الخرائط، يجب أن تكون أولا على معرفة بالمستخدم من خلال النطاق. إذا لم يكن المستخدم في جلسة العمل جزءا من Realm، فلن تتعرف أجهزة الاستشعار على معلومات التعيين الخاصة بهذا المستخدم. يتم أخذ دعم المستخدمين من خارج النطاق الترددي في الاعتبار للإصدارات المستقبلية.

لا يدعم نظام FirePOWER الإصدار 6. 0 إلا تخطيط IP-User-Sgt. لا يتم إستخدام العلامات الفعلية في حركة المرور، أو تخطيط SGT-IP الذي تم تعلمه من SXP على ASA. عندما يلتقط المستشعر حركة مرور قادمة، تأخذ عملية الشخر عنوان IP المصدر وتبحث عن تعيين User-IP (الذي يتم دفعه بواسطة وحدة Firepower النمطية إلى عملية الشخر)، وتبحث عن معرف Secure Tag. إذا كانت تتطابق مع معرف الرقيب (وليس رقم الرقيب) الذي تم تكوينه في سياسة التحكم بالوصول، فسيتم تطبيق السياسة على حركة المرور.

طريقة وضع علامات في السطر

بدءا من ASA الإصدار 9.6.2 ووحدة ASA FirePOWER الإصدار 6.1، يتم دعم وضع علامات الرقيب المضمنة. وهذا يعني أن الوحدة النمطية FirePOWER قادرة الآن على إستخراج رقم الرقيب مباشرة من الحزم دون الاعتماد على تخطيط المستخدم-IP الذي توفره FMC. يوفر ذلك حلا بديلا للتحكم في الوصول المستند إلى TrustSec عندما لا يكون المستخدم جزءا من النطاق (مثل الأجهزة غير القادرة على مصادقة 802.1x).

مع طريقة وضع علامات في السطر، ما زالت المجسات ترد على FMC لإستعادة مجموعات الرقيب من قاعدة التخزين المؤقت ودفع قاعدة بيانات الرقيب لأسفل. عندما تصل حركة المرور التي تم وضع علامة عليها برقم مجموعة الأمان إلى ASA، إذا تم تكوين ASA ليثق بالرقيب الوارد، فسيتم تمرير العلامة إلى الوحدة النمطية FirePOWER من خلال مستوى البيانات. تأخذ الوحدة النمطية Firepower العلامة من الحزم وتستخدمها مباشرة لتقييم سياسات التحكم في الوصول.

يجب أن يحتوي ASA على تكوين TrustSec صحيح على الواجهة لتلقي حركة المرور التي تم وضع علامة عليها:

interface GigabitEthernet1/1
 nameif inside
 cts manual
  policy static sgt 6 trusted
 security-level 100
 ip address 10.201.229.81 255.255.255.224

ملاحظة: لا يدعم وضع علامات على InLine إلا الإصدار 9.6.2 من ASA والإصدارات الأعلى. لا تمرر الإصدارات السابقة من ASA علامة الأمان من خلال لوحة البيانات إلى الوحدة النمطية FirePOWER. إذا كان جهاز إستشعار يدعم وضع علامات في السطر، فإنه سيحاول أولا إستخراج علامة من حركة المرور. إذا لم يتم تمييز حركة المرور، فإن المستشعر يرجع إلى طريقة تخطيط User-IP.

استكشاف الأخطاء وإصلاحها

من الصدفة المقيدة لجهاز FirePOWER

لعرض سياسة التحكم في الوصول التي تم دفعها من FMC:

> show access-control-config
.
.

.
.
===============[ Rule Set:  (User) ]================

---------------[ Rule: DenyGambling ]---------------
    Action                  : Block
      ISE Metadata          :
         Security Group Tags: [7:6]

    Destination Ports     : HTTP (protocol 6, port 80)
                            HTTPS (protocol 6, port 443)
    URLs
      Category            : Gambling
      Category            : Streaming Media
      Category            : Hacking
      Category            : Malware Sites
      Category            : Peer to Peer
    Logging Configuration
      DC                  : Enabled
      Beginning           : Enabled
      End                 : Disabled
      Files               : Disabled
    Safe Search           : No
    Rule Hits             : 3
    Variable Set          : Default-Set

ملاحظة: تحدد علامات مجموعة التأمين رقمين: [7:6]. في هذه المجموعة من الأرقام، 7" هو المعرف الفريد لقاعدة بيانات الرقيب المحلية، والمعروفة فقط لوحدة التحكم في إدارة الهيكل (FMC) والمستشعر. "6" هو الرقم الفعلي للرقيب المعروف لجميع الأطراف.

 لعرض السجلات التي تم إنشاؤها عند معالجة SFR لحركة المرور الواردة وتقييم نهج الوصول:

> system support firewall-engine-debug

Please specify an IP protocol:
Please specify a client IP address: 10.201.229.88
Please specify a client port:
Please specify a server IP address:
Please specify a server port:
Monitoring firewall engine debug messages

مثال على جدار الحماية-محرك-تصحيح الأخطاء لحركة المرور الواردة مع وضع علامات في السطر:

10.201.229.88-52243 > 104.28.4.103-80 6 AS 0 I 1 Starting with minimum 0, id 0 and IPProto first with zones -1 -> -1,
geo 0(0) -> 0, vlan 0, sgt tag: 6, svc 676, payload 0, client 686, misc 0, user 9999999, url http://www.poker.com/, xff
10.201.229.88-52243 > 104.28.4.103-80 6 AS 0 I 1: DataMessaging_GetURLData: Returning URL_BCTYPE for www.poker.com
10.201.229.88-52243 > 104.28.4.103-80 6 AS 0 I 1 rule order 1, 'DenyGambling', URL Lookup Success: http://www.poker.com/ waited: 0ms
10.201.229.88-52243 > 104.28.4.103-80 6 AS 0 I 1 rule order 1, 'DenyGambling', URL http://www.poker.com/ Matched Category: 27:96 waited: 0ms
10.201.229.88-52243 > 104.28.4.103-80 6 AS 0 I 1 match rule order 1, 'DenyGambling', action Block
10.201.229.88-52243 > 104.28.4.103-80 6 AS 0 I 1 sending block response of 474 bytes

من وضع الخبير لجهاز FirePOWER

تحذير: قد تؤثر الإرشادات التالية على أداء النظام. قم بتشغيل الأمر فقط لغرض أستكشاف الأخطاء وإصلاحها، أو عندما يطلب مهندس دعم Cisco هذه البيانات.

تقوم وحدة FirePOWER بدفع تخطيط User-IP إلى عملية الشورت المحلية. للتحقق مما يعرفه Snort حول التعيين، يمكنك إستخدام الأمر التالي لإرسال الاستعلام إلى Snort:

> system support firewall-engine-dump-user-identity-data

Successfully commanded snort.

لعرض البيانات، أدخل إلى وضع الخبير:

> expert

admin@firepower:~$

ينشئ snort ملف تفريغ تحت /var/sf/detection_engines/GUID/instance-x دليل. اسم ملف التفريغ هو user_identity.dump.

admin@firepower:/var/sf/detection_engines/7eed8b44-707f-11e6-9d7d-e9a0c4d67697/instance-1$ sudo cat user_identity.dump
Password:


----------------
IP:USER
----------------

----------------
Host ::ffff:10.201.229.88
----------------
::ffff:10.201.229.88: sgt 7, device_type 313, location_ip ::ffff:10.201.229.94
::ffff:10.201.229.88:47 realm 3 type 1 user_pat_start 0

-------------------
USER:GROUPS
-------------------
~

يوضح الإخراج أعلاه أن Snort على دراية بعنوان IP 10.201.229.94 الذي تم تعيينه على معرف الرقيب 7، وهو رقم الرقيب 6 (الضيوف). 

من مركز إدارة Firepower

يمكنك مراجعة سجلات ADI للتحقق من الاتصال بين FMC و ISE. للعثور على سجلات مكون ADI، تحقق من ملف /var/log/messages على FMC. ستلاحظ سجلات مثل أدناه:

ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing ISE Connection objects...            
ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing subscription objects...             
ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to EndpointProfileMetaDataCapability            
ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability EndpointProfileMetaDataCapability      
ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to TrustSecMetaDataCapability            
ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability TrustSecMetaDataCapability           
ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to SessionDirectoryCapability            
ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability SessionDirectoryCapability           
ADI_ISE_Test_Help:adi.ISEConnection [INFO] Connecting to ISE server...            
ADI_ISE_Test_Help:adi.ISEConnection [INFO] Beginning to connect to ISE server...
.
.

.
.
ADI_ISE_Test_Help:adi.ISEConnection [INFO] ...successfully connected to ISE server.
ADI_ISE_Test_Help:adi.ISEConnection [INFO] Starting bulk download
.
.