يوضح هذا المستند كيفية إستخدام وحدة المعالجة النمطية على جهاز FireSIGHT من Cisco لاكتشاف الهجمات وإصلاح المهاجم تلقائيا باستخدام محرك خدمة الهوية (ISE) من Cisco كخادم نهج. يصف المثال الوارد في هذا المستند الطريقة التي يتم إستخدامها لمعالجة مستخدم شبكة VPN عن بعد الذي يقوم بالمصادقة عبر ISE، ولكن يمكن إستخدامها أيضا لمستخدم سلكية أو لاسلكي 802.1x/MAB/WebAuth.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
أستخدم المعلومات المقدمة في هذا القسم لتكوين النظام.
يستخدم المثال الموضح في هذا المستند إعداد الشبكة التالي:
فيما يلي تدفق إعداد الشبكة هذا:
وكما ذكر سابقا، يعمل هذا السيناريو لأي نوع من جلسات العمل التي تمت مصادقتها (VPN، wireless 802.1x/MAB/WebAuth، wireless 802.1x/MAB/WebAuth) طالما يتم إستخدام ISE للمصادقة ويدعم جهاز الوصول إلى الشبكة RADIUS CoA (جميع أجهزة Cisco الحديثة).
تشتمل الأجهزة الافتراضية على ثلاث واجهات، واحدة للإدارة واثنتان للتفتيش الداخلي (داخلي/خارجي).
تنتقل جميع حركات المرور من مستخدمي الشبكة الخاصة الظاهرية (VPN) عبر FirePOWER.
بعد تثبيت التراخيص الصحيحة وإضافة جهاز FirePower، انتقل إلى السياسات > التحكم في الوصول وإنشاء سياسة الوصول التي يتم إستخدامها لإسقاط حركة مرور HTTP إلى 172.16.32.1:
تم قبول جميع حركات المرور الأخرى.
الإصدار الحالي من وحدة ISE النمطية التي تتم مشاركتها على بوابة المجتمع هو ISE 1.2 Remediation Beta 1.3.19:
انتقل إلى السياسات > العمليات > التصحيحات > الوحدات النمطية وقم بتثبيت الملف:
يجب إنشاء المثيل الصحيح بعد ذلك. انتقل إلى السياسات > الإجراءات > التصحيحات > المثيلات ووفر عنوان IP لعقدة إدارة السياسة (PAN)، بالإضافة إلى بيانات الاعتماد الإدارية ل ISE اللازمة لواجهة برمجة تطبيقات REST (يوصى باستخدام مستخدم منفصل مع دور مسؤول ERS):
كما يجب إستخدام عنوان IP للمصدر (المهاجم) للإصلاح:
يجب تكوين قاعدة إرتباط محددة الآن. يتم تشغيل هذه القاعدة في بداية الاتصال الذي يطابق قاعدة التحكم في الوصول التي تم تكوينها مسبقا (DropTCP80). لتكوين القاعدة، انتقل إلى السياسات > الارتباط > إدارة القاعدة:
يتم إستخدام هذه القاعدة في نهج الارتباط. انتقل إلى السياسات > الارتباط > إدارة السياسات لإنشاء سياسة جديدة، ثم أضف القاعدة التي تم تكوينها. انقر فوق إصلاح على اليمين وأضفت إجرائن: إصلاح ل sourceIP (تم تكوينه مسبقا) وsyslog:
تأكد من تمكين نهج الارتباط:
يتم تكوين ASA الذي يعمل كبوابة VPN لاستخدام ISE للمصادقة. ومن الضروري أيضا تمكين المحاسبة وعامل RADIUS:
tunnel-group SSLVPN-FIRESIGHT general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key *****
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
انتقل إلى إدارة > أجهزة الشبكة وأضف ASA الذي يعمل كعميل RADIUS.
انتقل إلى إدارة > نظام > إعدادات > تحكم شبكة تكيفي لتمكين واجهة برمجة تطبيقات الحجر الصحي والوظائف:
من أجل إنشاء قائمة تحكم في الوصول (DACL) يمكن تنزيلها والتي يتم إستخدامها للمضيفين المعزولين، انتقل إلى السياسة > النتائج > التفويض > قائمة التحكم في الوصول (ACL) القابلة للتنزيل.
انتقل إلى السياسة > النتائج > التخويل > ملف تعريف التخويل وقم بإنشاء ملف تعريف تخويل باستخدام قائمة التحكم في الوصول الخاصة بالمنفذ (DACL) الجديدة:
يجب إنشاء قاعدتين للتخويل. توفر القاعدة الأولى (ASA-VPN) الوصول الكامل لجميع جلسات VPN التي يتم إنهاؤها على ASA. يتم الوصول إلى القاعدة ASA-VPN_QUARANTINE لجلسة عمل الشبكة الخاصة الظاهرية (VPN) التي تمت إعادة مصادقتها عندما يكون المضيف بالفعل في وضع العزل (يتم توفير الوصول المحدود إلى الشبكة).
لإنشاء هذه القواعد، انتقل إلى السياسة > التفويض:
أستخدم المعلومات المقدمة في هذا القسم للتحقق من أن التكوين لديك يعمل بشكل صحيح.
يقوم ASA بإنشاء الجلسة بدون أي DACL (وصول كامل إلى الشبكة):
asav# show vpn-sessiondb details anyconnect
Session Type: AnyConnect
Username : cisco Index : 37
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 18706 Bytes Rx : 14619
Group Policy : POLICY Tunnel Group : SSLVPN-FIRESIGHT
Login Time : 03:03:17 UTC Wed May 20 2015
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac10206400025000555bf975
Security Grp : none
......
DTLS-Tunnel:
<some output omitted for clarity>
بمجرد أن يحاول المستخدم الوصول إلى http://172.16.32.1، يتم الوصول إلى سياسة الوصول، ويتم حظر حركة مرور البيانات المطابقة في السطر، ويتم إرسال رسالة syslog من عنوان IP الخاص بإدارة FirePower:
May 24 09:38:05 172.16.31.205 SFIMS: [Primary Detection Engine
(cbe45720-f0bf-11e4-a9f6-bc538df1390b)][AccessPolicy] Connection Type: Start, User:
Unknown, Client: Unknown, Application Protocol: Unknown, Web App: Unknown,
Access Control Rule Name: DropTCP80, Access Control Rule Action: Block,
Access Control Rule Reasons: Unknown, URL Category: Unknown, URL Reputation:
Risk unknown, URL: Unknown, Interface Ingress: eth1, Interface Egress: eth2,
Security Zone Ingress: Internal, Security Zone Egress: External, Security
Intelligence Matching IP: None, Security Intelligence Category: None, Client Version:
(null), Number of File Events: 0, Number of IPS Events: 0, TCP Flags: 0x0,
NetBIOS Domain: (null), Initiator Packets: 1, Responder Packets: 0, Initiator Bytes:
66, Responder Bytes: 0, Context: Unknown, SSL Rule Name: N/A, SSL Flow Status: N/A,
SSL Cipher Suite: N/A, SSL Certificate: 0000000000000000000000000000000000000000,
SSL Subject CN: N/A, SSL Subject Country: N/A, SSL Subject OU: N/A, SSL Subject Org:
N/A, SSL Issuer CN: N/A, SSL Issuer Country: N/A, SSL Issuer OU: N/A, SSL Issuer Org:
N/A, SSL Valid Start Date: N/A, SSL Valid End Date: N/A, SSL Version: N/A, SSL Server
Certificate Status: N/A, SSL Actual Action: N/A, SSL Expected Action: N/A, SSL Server
Name: (null), SSL URL Category: N/A, SSL Session ID:
0000000000000000000000000000000000000000000000000000000000000000, SSL Ticket Id:
0000000000000000000000000000000000000000, {TCP} 172.16.50.50:49415 -> 172.16.32.1:80
يتم تنفيذ سياسة الارتباط لإدارة FireSight (مركز الدفاع)، والتي يتم الإبلاغ عنها بواسطة رسالة syslog التي يتم إرسالها من مركز الدفاع:
May 24 09:37:10 172.16.31.206 SFIMS: Correlation Event:
CorrelateTCP80Block/CorrelationPolicy at Sun May 24 09:37:10 2015 UTCConnection Type:
FireSIGHT 172.16.50.50:49415 (unknown) -> 172.16.32.1:80 (unknown) (tcp)
في هذه المرحلة، يستخدم مركز الدفاع إستدعاء REST API (العزل) إلى ISE، وهي جلسة عمل HTTPS ويمكن فك تشفيرها في Wireshark (باستخدام المكون الإضافي لطبقة مآخذ التوصيل الآمنة (SSL) والمفتاح الخاص للشهادة الإدارية PAN):
في طلب GET لعنوان IP الخاص بالمهاجم يتم تمريره (172.16.50.50)، وهذا المضيف يتم حظره بواسطة ISE.
انتقل إلى تحليل > إرتباط > حالة لتأكيد المعالجة الناجحة:
في هذه المرحلة، يخطر ISE prrt-management.log بأنه يجب إرسال CoA:
DEBUG [RMI TCP Connection(142)-127.0.0.1][] cisco.cpm.prrt.impl.PrRTLoggerImpl
-::::- send() - request instanceof DisconnectRequest
clientInstanceIP = 172.16.31.202
clientInterfaceIP = 172.16.50.50
portOption = 0
serverIP = 172.16.31.100
port = 1700
timeout = 5
retries = 3
attributes = cisco-av-pair=audit-session-id=ac10206400021000555b9d36
Calling-Station-ID=192.168.10.21
Acct-Terminate-Cause=Admin Reset
وقت التشغيل (prrt-server.log) يرسل رسالة إنهاء CoA إلى NAD، والتي تنهي الجلسة (ASA):
DEBUG,0x7fad17847700,cntx=0000010786,CPMSessionID=2e8cdb62-bc0a-4d3d-a63e-f42ef8774893,
CallingStationID=08:00:27:DA:EF:AD, RADIUS PACKET: Code=40 (
DisconnectRequest) Identifier=9 Length=124
[4] NAS-IP-Address - value: [172.16.31.100]
[31] Calling-Station-ID - value: [08:00:27:DA:EF:AD]
[49] Acct-Terminate-Cause - value: [Admin Reset]
[55] Event-Timestamp - value: [1432457729]
[80] Message-Authenticator - value:
[00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00]
[26] cisco-av-pair - value: [audit-session-id=ac10206400021000555b9d36],
RadiusClientHandler.cpp:47
ترسل ISE.psc إخطارا مماثلا لهذا:
INFO [admin-http-pool51][] cisco.cpm.eps.prrt.PrrtManager -:::::- PrrtManager
disconnect session=Session CallingStationID=192.168.10.21 FramedIPAddress=172.16.50.50
AuditSessionID=ac10206400021000555b9d36 UserName=cisco PDPIPAddress=172.16.31.202
NASIPAddress=172.16.31.100 NASPortID=null option=PortDefault
عند الانتقال إلى العمليات > المصادقة، يجب أن يعرض التفويض الديناميكي بنجاح.
يرسل المستخدم النهائي إشعارا للإشارة إلى قطع اتصال جلسة العمل (تكون هذه العملية شفافة بالنسبة إلى 802.1x/MAB/guest wired/wireless):
التفاصيل من عرض سجلات Cisco AnyConnect:
10:48:05 AM Establishing VPN...
10:48:05 AM Connected to 172.16.31.100.
10:48:20 AM Disconnect in progress, please wait...
10:51:20 AM The secure gateway has terminated the VPN connection.
The following message was received from the secure gateway: COA initiated
بسبب تكوين شبكة VPN المتصلة دائما، يتم إنشاء الجلسة الجديدة على الفور. وفي هذه المرة، يتم الوصول إلى قاعدة ISE ASA-VPN_QUARANTINE، التي توفر الوصول المحدود إلى الشبكة:
يمكن التحقق من جلسة عمل ذات وصول محدود على ASA باستخدام أمر واجهة سطر الأوامر show vpn-sessionDB detail anyConnect:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 39
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11436 Bytes Rx : 4084
Pkts Tx : 8 Pkts Rx : 36
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : POLICY Tunnel Group : SSLVPN-FIRESIGHT
Login Time : 03:43:36 UTC Wed May 20 2015
Duration : 0h:00m:10s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac10206400027000555c02e8
Security Grp : none
......
DTLS-Tunnel:
<some output ommited for clarity>
Filter Name : #ACSACL#-IP-DENY_ALL_QUARANTINE-5561da76
يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
يوجد البرنامج النصي لإصلاح ISE في هذا الموقع:
root@Defence:/var/sf/remediations/ISE_1.3.19# ls
_lib_ ise-instance ise-test.pl ise.pl module.template
هذا نص برمجي بسيط يستخدم نظام تسجيل SourceFire (SF) الفرعي القياسي. ما إن يتم الحل، أنت يستطيع أكدت النتيجة عن طريق ال /var/log/messages:
May 24 19:30:13 Defence SF-IMS[2414]: ise.pl:SourceIP-Remediation [INFO] [2414]
quar_ip:172.16.50.50 (1->3 sid:1) Starting remediation
May 24 19:30:13 Defence SF-IMS[2414]: ise.pl:SourceIP-Remediation [INFO] [2414]
quar_ip:172.16.50.50 (1->3 sid:1) 172.16.31.202 - Success 200 OK - Quarantined
172.16.50.50 as admin
من المهم تمكين خدمة التحكم في الشبكة التكييفية على ISE. لعرض السجلات التفصيلية في عملية وقت التشغيل (prrt-management.log وprrt-server.log)، يجب تمكين مستوى تصحيح الأخطاء ل Runtime-AAA. انتقل إلى إدارة > نظام > تسجيل > تكوين سجل تصحيح الأخطاء لتمكين تصحيح الأخطاء.
يمكنك أيضا الانتقال إلى العمليات > التقارير > نقاط النهاية والمستخدمين > تدقيق عنصر التحكم في الشبكة القابل للتكيف لعرض المعلومات الخاصة بكل محاولة وكل نتيجة لأي طلب عزل:
أحلت cisco بق id CSCuu41058 (ISE 1.4 نهاية تحصين عدم تناسق و VPN إخفاق) لمعلومة حول ISE خطأ أن يكون متعلق VPN جلسة إخفاق (802.1x/MAB يعمل غرامة).
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
17-Nov-2015 |
الإصدار الأولي |