المرحلة 6 من أستكشاف أخطاء مسار بيانات Firepower وإصلاحها: المصادقة النشطة

خيارات التنزيل

  • PDF     (2.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٨ يوليو ٢٠١٩
معرّف المستند:214608

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    هذه المقالة هي جزء من سلسلة مقالات توضح كيفية أستكشاف مسار البيانات في أنظمة FirePOWER وإصلاحها بشكل منهجي لتحديد ما إذا كانت مكونات FirePOWER قد تؤثر على حركة المرور. يرجى الرجوع إلى مقالة "نظرة عامة" للحصول على معلومات حول بنية الأنظمة الأساسية FirePOWER وارتباطاتها بمقالات "أستكشاف أخطاء مسارات البيانات وإصلاحها" الأخرى.

    تغطي هذه المقالة المرحلة السادسة من أستكشاف أخطاء مسار بيانات Firepower وإصلاحها، وهي ميزة المصادقة النشطة.

    المتطلبات الأساسية

    • يتعلق هذا المقال بجميع منصات FirePOWER المدعومة حاليا
    • يجب أن يكون جهاز FirePOWER قيد التشغيل في الوضع الموجه

    أستكشاف أخطاء مرحلة المصادقة النشطة وإصلاحها

    عند محاولة تحديد ما إذا كانت إحدى المشاكل ناجمة عن الهوية، فمن المهم فهم حركة مرور البيانات التي يمكن أن تؤثر عليها هذه الميزة. الميزات الوحيدة في الهوية نفسها التي يمكن أن تتسبب في تفاعلات حركة مرور البيانات هي تلك المرتبطة بالمصادقة النشطة. لا يمكن أن تؤدي المصادقة الخاملة إلى إسقاط حركة المرور بشكل غير متوقع. من المهم فهم أن حركة مرور بيانات HTTP(s) فقط هي التي تتأثر بالمصادقة النشطة. إذا تأثرت حركة مرور أخرى بسبب عدم عمل الهوية، فهذا مرجح بشكل أكبر لأن النهج يستخدم المستخدمين/المجموعات للسماح بحركة المرور/حظرها، لذلك عندما يتعذر على ميزة الهوية تحديد المستخدمين، يمكن أن تحدث أمور غير متوقعة، ولكنها تعتمد على نهج التحكم بالوصول إلى الجهاز ونهج الهوية. يمر أستكشاف الأخطاء وإصلاحها في هذا القسم بمشكلات تتعلق بالمصادقة النشطة فقط.

    التحقق من أسلوب إعادة التوجيه

    تتضمن ميزات المصادقة النشطة جهاز FirePOWER الذي يشغل خادم HTTP. عندما تتطابق حركة المرور مع قاعدة سياسة الهوية التي تحتوي على إجراء مصادقة نشط، يرسل FirePOWER حزمة 307 (إعادة توجيه مؤقت) إلى جلسة العمل، وذلك لإعادة توجيه العملاء إلى خادم المدخل المقيد الخاص به.

    هناك حاليا خمسة أنواع مختلفة من المصادقة النشطة. تمت إعادة التوجيه إلى اسم المضيف الذي يتكون من اسم المضيف الخاص بالمستشعر والمجال الأساسي ل Active Directory المرتبط بالحيز، وثلاث عمليات إعادة التوجيه إلى عنوان IP الخاص بواجهة الجهاز FirePOWER الذي يقوم بإعادة توجيه البوابة المقيدة.

    إذا حدث خطأ ما في عملية إعادة التوجيه، يمكن أن تنكسر الجلسة لأن الموقع غير متوفر. هذا هو السبب أنه من المهم فهم كيفية تشغيل إعادة التوجيه في التكوين الجاري تشغيله. يساعدك المخطط أدناه على فهم جانب التكوين هذا.

    إذا كانت المصادقة النشطة تقوم بإعادة التوجيه إلى اسم المضيف، فستتم إعادة توجيه العملاء إلى CiscoASA.my-ad.domain:<port_used_for_captive_portal>

    إنشاء التقاط الحزم

    يعد تجميع تجميع حزم البيانات أهم جزء في أستكشاف أخطاء المصادقة النشطة وإصلاحها. يتم التقاط الحزمة على واجهتين:

    1. الواجهة الموجودة على جهاز FirePOWER الذي تقوم حركة المرور بإدخاله عند إجراء الهوية/المصادقة
      1. في المثال التالي، يتم إستخدام الواجهة الداخلية
    2. واجهة النفق الداخلية التي يستخدمها FirePOWER لإعادة التوجيه إلى خادم HTTPS - tun1
      1. يتم إستخدام هذه الواجهة لإعادة توجيه حركة مرور البيانات إلى البوابة المقيدة
      2. يتم تغيير عناوين IP في حركة المرور مرة أخرى إلى الأصل عند الخروج

    يتم بدء عمليتي الالتقاط، ويتم تشغيل حركة المرور المثيرة للاهتمام من خلال جهاز FirePOWER، ثم يتم إيقاف عمليات الالتقاط.

    لاحظ أنه يتم نسخ ملف التقاط حزمة الواجهة الداخلية، "ins_ntlm"، إلى الدليل /mnt/disk0. ومن ثم يمكن نسخه إلى الدليل /var/common حتى يتم تنزيله من الجهاز (/ngfw/var/common على جميع منصات FTD):

    > expert
    # copy /mnt/disk0/<pcap_file> /var/common/

    الربط التقاط مبرد يستطيع بعد ذلك كنت نسخت من ال FirePOWER أداة من ال > رسالة حث يستعمل الإتجاه في هذا مادة.

    بدلا من ذلك، لا يوجد خيار على مركز إدارة Firepower (FMC) في الإصدار 6.2.0 من FirePOWER والإصدارات الأحدث. للوصول إلى هذه الأداة المساعدة على FMC، انتقل إلى الأجهزة > إدارة الأجهزة. ثم انقر فوق  الرمز الموجود بجوار الجهاز المعني، يتبعه أستكشاف الأخطاء وإصلاحها المتقدم > تنزيل الملف. يمكنك بعد ذلك إدخال اسم الملف محل التساؤل والنقر فوق تنزيل.

    تحليل ملف التقاط الحزمة (PCAP)

    يمكن إجراء تحليل PCAP في Wireshark للمساعدة في تحديد المشكلة ضمن عمليات المصادقة النشطة. بما أن المنفذ غير القياسي يتم إستخدامه في تكوين البوابة الأسيرة (885 بشكل افتراضي)، يحتاج Wireshark إلى تكوين لفك تشفير حركة المرور مثل SSL.

    يجب مقارنة التقاط الواجهة الداخلية والتقاط واجهة النفق. أفضل طريقة لتعريف الجلسة المعنية في كلا من ملفات PCAP هي تحديد موقع منفذ المصدر الفريد نظرا لأن عناوين IP مختلفة.

    في المثال أعلاه، لاحظ أن حزمة مرحبا بالخادم مفقودة من التقاط الواجهة الداخلية. وهذا يعني أنه لم يتمكن أبدا من العودة إلى العميل. من المحتمل أن تكون الحزمة قد سقطت من قبل الشخير، أو من المحتمل أن يكون ذلك بسبب عيب أو تكوين خاطئ.

    ملاحظة: يقوم Snort بفحص حركة مرور المدخل المتنقل الخاص به لمنع أي عمليات أستكشاف ل HTTP.

    فك تشفير الدفق المشفر

    إذا لم تكن المشكلة في مكدس SSL، فقد يكون من المفيد فك تشفير البيانات في ملف PCAP لرؤية تدفق HTTP. هنالك طريقتان يمكن بواسطتهما انجاز ذلك.

    1. تعيين متغير بيئة في Windows (أكثر أمانا - مستحسن)
      1. تتضمن هذه الطريقة إنشاء ملف سري للمكون الأساسي. يمكن القيام بذلك باستخدام الأمر التالي (تشغيل من محطة الأوامر الطرفية في Windows): setX SSLKEYlOGFILE "٪HOMEPATH٪\Desktop\Premaster.txt"
      2. ويمكن بعد ذلك فتح جلسة خاصة في Firefox، حيث يمكنك الاستعراض للوصول إلى الموقع المعني الذي يستخدم SSL.
      3. ثم يتم تسجيل المفتاح المتماثل إلى الملف المحدد في الأمر من الخطوة 1 أعلاه.
      4. يمكن ل Wireshark إستخدام الملف لفك تشفير باستخدام المفتاح المتماثل (راجع الرسم التخطيطي أدناه).
    2. إستخدام مفتاح RSA الخاص (أقل أمانا، ما لم تكن تستخدم شهادة إختبار ومستخدم)
      1. المفتاح الخاص الذي سيتم إستخدامه هو المفتاح المستخدم لشهادة البوابة المقيدة
      2. هذا لا يعمل مع غير RSA (مثل منحنى بيضاوي) أو أي شيء مؤقت (مثل Diffie-hellman)

    تحذير: إذا تم إستخدام الطريقة 2، فلا توفر مفتاح خاص لمركز المساعدة التقنية (TAC) من Cisco. ومع ذلك، يمكن إستخدام شهادة إختبار مؤقتة ومفتاح. يجب أيضا إستخدام مستخدم الاختبار في الاختبار.

    عرض ملف PCAP الذي تم فك تشفيرها

    في المثال أدناه، تم فك تشفير ملف PCAP. وهو يوضح أنه يتم إستخدام NTLM كطريقة مصادقة نشطة.

    بعد تفويض NTLM، تتم إعادة توجيه العميل إلى الجلسة الأصلية، حتى يمكنه الوصول إلى الوجهة المقصودة، وهي http://www.cisco.com.

    خطوات التخفيف

    التبديل إلى المصادقة الخاملة فقط

    عند الاستخدام في نهج الهوية، يكون للمصادقة النشطة القدرة على إسقاط حركة مرور (HTTP(s) فقط)، في حالة حدوث خطأ في عملية إعادة التوجيه. تتمثل خطوة التخفيف السريعة في تعطيل أي قاعدة ضمن نهج الهوية باستخدام إجراء المصادقة النشطة.

    تأكد أيضا من أن أي قواعد مع "المصادقة الخاملة" كإجراء لا تحتوي على خيار "إستخدام المصادقة النشطة إذا لم تتمكن المصادقة الخاملة من تحديد المستخدم" الذي تم فحصه.

    البيانات التي سيتم تقديمها إلى TAC

    البيانات تعليمات
    أستكشاف أخطاء الملف وإصلاحها من مركز إدارة FirePOWER (FMC) https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html
    أستكشاف أخطاء الملف وإصلاحها من جهاز FirePOWER الذي يقوم بفحص حركة المرور https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html
    التقاط حزمة الجلسة الكاملة طالع هذه المقالة للحصول على تعليمات

    الخطوات التالية

    إذا تم تحديد أن مكون المصادقة النشطة ليس هو سبب المشكلة، فإن الخطوة التالية ستكون أستكشاف أخطاء ميزة "سياسة التسلل" وإصلاحها.

    انقر هنا لمتابعة المقالة التالية.

    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Created by John Groetzinger
      القائد الفني ل Cisco
    • Edited by John Long
      مهندس برامج Cisco QA
    • Edited by Cesar Lopez Zamarripa
      مهندس إستشاري فني من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات