تكوين جهاز تحليلات البرامج الضارة الآمن RADIUS عبر مصادقة DTLS لمدخل وحدة التحكم و OPadmin

خيارات التنزيل

  • PDF     (900.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (743.1 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (594.0 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٢ أبريل ٢٠٢٠
معرّف المستند:215420

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند ميزة مصادقة طلب المصادقة عن بعد في خدمة المستخدم (RADIUS) التي تم تقديمها في الإصدار 2.10 من جهاز تحليلات البرامج الضارة الآمن (المعروف سابقا باسم شبكة التهديدات). وهو يسمح للمستخدمين بتسجيل الدخول إلى مدخل الإدارة وبوابة وحدة التحكم مع بيانات الاعتماد المخزنة في خادم المصادقة والتفويض والمحاسبة (AAA) الذي يدعم مصادقة RADIUS عبر DTLS (draft-ietf-radext-dtls-04). في هذه الحالة، تم إستخدام محرك خدمات الهوية من Cisco.

    في هذا المستند، تجد الخطوات الضرورية لتكوين الميزة.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • جهاز تحليلات البرامج الضارة الآمنة (المعروفة سابقا باسم شبكة التهديدات)
    • محرك خدمات الهوية (ISE)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • جهاز Secure Ware Analytics، الإصدار 2.10
    • Identity Services Engine، الإصدار 2.7

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    يقدم هذا القسم إرشادات تفصيلية حول كيفية تكوين جهاز تحليلات البرامج الضارة الآمنة وميزة ISE لميزة مصادقة RADIUS.

    ملاحظة: لتكوين المصادقة، تأكد من السماح بالاتصال على المنفذ UDP 2083 بين الواجهة النظيفة لجهاز تحليلات البرامج الضارة الآمن وعقدة خدمة سياسة ISE (PSN).

    التكوين

    الخطوة 1. تحضير شهادة جهاز تحليلات البرامج الضارة الآمنة للمصادقة.

    يستخدم RADIUS عبر DTLS مصادقة الشهادات المتبادلة مما يعني أن شهادة المرجع المصدق (CA) من ISE مطلوبة. تحقق أولا من شهادة RADIUS DTLS الموقعة من CA:

    قائمة شهادات النظام في ISE

    الخطوة 2. تصدير شهادة المرجع المصدق من ISE.

    انتقل إلى إدارة > نظام > شهادات > إدارة شهادات > شهادات موثوق بها، حدد مكان المرجع المصدق، حدد تصدير كما هو موضح في الصورة، ثم احفظ الشهادة على القرص لوقت لاحق:

    قائمة الشهادات الموثوق بها في ISE

    الخطوة 3. إضافة جهاز تحليلات البرامج الضارة الآمنة كجهاز وصول إلى الشبكة.

    انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة > إضافة لإنشاء إدخال جديد ل TG وأدخل الاسم، عنوان IP للواجهة النظيفة وحدد DTLS المطلوب كما هو موضح في الصورة. انقر فوق حفظ" في الأسفل:

    محرك خدمات كشف الهوية (ISE)

    الخطوة 4. إنشاء ملف تعريف تخويل لنهج التخويل.

    انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل وانقر على إضافة. أدخل الاسم وحدد إعدادات الخصائص المتقدمة كما هو موضح في الصورة وانقر حفظ:

    لقطة الشاشة في 2020-02-20 الساعة 09.04.38

    الخطوة 5. إنشاء سياسة مصادقة.

    انتقل إلى السياسة > مجموعات السياسات وانقر فوق +. أدخل اسم مجموعة النهج وقم بتعيين الشرط إلى وعنوان IP، المعين إلى الواجهة النظيفة الخاصة ب "جهاز تحليلات البرامج الضارة الآمنة"، انقر فوق حفظ كما هو موضح في الصورة:

    لقطة الشاشة في 2020-02-10 الساعة 11.23.13

    الخطوة 6. إنشاء سياسة تخويل.

    انقر فوق >للانتقال إلى نهج التخويل، ثم قم بتوسيع نهج التخويل، ثم انقر فوق + ثم قم بالتكوين كما هو موضح في الصورة، بعد النقر فوق حفظ:

    لقطة الشاشة في 2020-02-20 الساعة 09.41.28

    تلميح: يمكنك إنشاء قاعدة تفويض واحدة لكافة المستخدمين الذين تطابق كلا الشرطين والمسؤول وواجهة المستخدم.

    الخطوة 7. إنشاء شهادة هوية لجهاز تحليلات البرامج الضارة الآمنة.

    يجب أن تستند شهادة عميل جهاز تحليلات البرامج الضارة الآمن إلى مفتاح المنحنى البيضاوي:

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    يجب إنشاء CSR استنادا إلى هذا المفتاح ثم يجب توقيعه من قبل CA الذي يثق ISE به. تحقق من إستيراد الشهادات الجذر إلى صفحة مخزن الشهادات الموثوق بها للحصول على مزيد من المعلومات حول كيفية إضافة شهادة مرجع مصدق إلى مخزن شهادات ISE الموثوق به.

    الخطوة 8. تكوين جهاز تحليلات البرامج الضارة الآمنة لاستخدام RADIUS.

    سجل الدخول إلى مدخل المسؤول، انتقل إلى التكوين > RADIUS. في شهادة RADIUS CA الصق محتوى ملف PEM الذي يتم تجميعه من ISE، في الشهادة المنسقة PEM الخاصة بلصق شهادة العميل التي تم تلقيها من CA وفي محتوى لصق مفتاح العميل الخاص بملف private-ec-key.pem من الخطوة السابقة كما هو موضح في الصورة. طقطقة حفظ:

    لقطة الشاشة في 2020-03-02 الساعة 13.39.11

    ملاحظة: يجب إعادة تكوين جهاز تحليلات البرامج الضارة الآمنة بعد حفظ إعدادات RADIUS.

    الخطوة 9. إضافة اسم مستخدم RADIUS لمستخدمي وحدة التحكم.

    لتسجيل الدخول إلى مدخل وحدة التحكم، يجب إضافة سمة اسم مستخدم RADIUS إلى المستخدم الخاص كما هو موضح في الصورة:

    لقطة الشاشة في 2020-02-20 الساعة 10.27.50

    الخطوة 10. تمكين مصادقة RADIUS فقط.

    بعد تسجيل الدخول الناجح إلى مدخل المسؤول، يظهر خيار جديد، والذي يعطل مصادقة النظام المحلي تماما ويترك فقط مصادقة مستندة إلى RADIUS.

    لقطة الشاشة في 2020-02-20 الساعة 10.34.15

    التحقق من الصحة

    بعد إعادة تكوين "جهاز تحليلات البرامج الضارة الآمنة"، قم بتسجيل الخروج، والآن يبدو تسجيل الدخول إلى الصفحات كما هو الحال في مدخل الصور والمسؤول ووحدة التحكم على التوالي:

    لقطة الشاشة في 2020-02-20 الساعة 09.56.15

    لقطة الشاشة في 2020-02-20 الساعة 09.56.53

    استكشاف الأخطاء وإصلاحها

    هناك ثلاثة مكونات يمكن أن تسبب مشاكل: ISE واتصال الشبكة وجهاز تحليلات البرامج الضارة الآمن.

    • في ISE، تأكد من أنها ترجع ServiceType=Administrative لتأمين طلبات مصادقة جهاز تحليلات البرامج الضارة. انتقل إلى العمليات > RADIUS > السجلات المباشرة على ISE وتحقق من التفاصيل:

    لقطة الشاشة في 2020-02-20 الساعة 08.51.49
    لقطة الشاشة في 2020-02-20 الساعة 09.58.49

    • إذا لم تكن ترى هذه الطلبات، فعليك التقاط حزمة على ISE. انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > تفريغ TCP، ووفر حقل IP في عامل التصفية الخاص بواجهة تنظيف TG، انقر فوق بدء وحاول تسجيل الدخول إلى جهاز تحليلات البرامج الضارة الآمن:

    لقطة الشاشة في 2020-02-20 الساعة 10.07.42

    يجب أن ترى عدد وحدات البايت التي تمت زيادتها. افتح ملف PCAP في Wireshark للحصول على مزيد من المعلومات.

    • إذا رأيت الخطأ "نأسف، ولكن حدث خطأ ما" بعد النقر فوق حفظ في جهاز تحليلات البرامج الضارة الآمن والصفحة تبدو كما يلي:

    لقطة الشاشة في 2020-02-20 الساعة 10.17.39

    وهذا يعني أنك على الأرجح قد أستخدمت مفتاح RSA لشهادة العميل. يجب إستخدام مفتاح ECC مع المعلمات المحددة في الخطوة 7.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    22-Apr-2020
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Radek Olszowy
      ATS TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا