تكوين تكامل WSA مع ISE لخدمات TrustSec المدركة
المحتويات
المقدمة
يوضح هذا المستند كيفية دمج جهاز أمان الويب (WSA) مع محرك خدمات الهوية (ISE). يدعم ISE الإصدار 1.3 واجهة برمجة تطبيقات (API) جديدة تسمى PxGrid. يدعم هذا البروتوكول العصري المرن المصادقة والتشفير والامتيازات (المجموعات) التي تسمح بالتكامل بسهولة مع حلول الأمان الأخرى.
يدعم WSA الإصدار 8.7 بروتوكول PXgrid ويمكنه إسترداد معلومات هوية السياق من ISE. ونتيجة لذلك، يسمح لك WSA بإنشاء سياسات تستند إلى مجموعات علامات مجموعة أمان TrustSec (SGT) التي تم إستردادها من ISE.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت خبرة مع cisco ise تشكيل ومعرفة الأساسية من هذا موضوع:
- عمليات نشر ISE وتكوين التفويض
- تكوين واجهة سطر الأوامر (CLI) القابل للتكيف (ASA) للوصول إلى TrustSec و VPN
- تكوين WSA
- الفهم الأساسي لعمليات نشر TrustSec
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- نظام التشغيل Microsoft Windows 7
- برنامج Cisco ISE Software، الإصدار 1.3 والإصدارات الأحدث
- Cisco AnyConnect Mobile Security، الإصدار 3.1 والإصدارات الأحدث
- ASA الإصدار 9.3.1 من Cisco والإصدارات الأحدث
- Cisco WSA، الإصدار 8.7 والإصدارات الأحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة وتدفق حركة مرور البيانات
يتم تعيين علامات SGT الخاصة ب TrustSec بواسطة ISE المستخدم كخادم مصادقة لجميع أنواع المستخدمين الذين يصلون إلى شبكة الشركة. وهذا يتضمن المستخدمين السلكيين/اللاسلكي الذين تتم مصادقتهم عبر بوابات ضيف 802.1x أو ISE. أيضا، مستخدمو شبكة VPN البعيدة الذين يستخدمون ISE للمصادقة.
بالنسبة إلى WSA، لا يهم كيفية وصول المستخدم إلى الشبكة.
يقدم هذا المثال مستخدمي VPN البعيد الذين يقومون بإنهاء جلسة عمل على ASA-VPN. هؤلاء المستخدمين قد تم تعيينهم رقيب خاص. سيتم اعتراض جميع حركات مرور HTTP إلى الإنترنت من قبل ASA-FW (جدار الحماية) وإعادة توجيهها إلى WSA للتفتيش. يستخدم WSA ملف تعريف الهوية الذي يسمح له بتصنيف المستخدمين استنادا إلى علامة SGT وإنشاء سياسات الوصول أو فك التشفير بناء على ذلك.
التدفق التفصيلي هو:
- يقوم مستخدم AnyConnect VPN بإنهاء جلسة عمل طبقة مآخذ التوصيل الآمنة (SSL) على ASA-VPN. يتم تكوين ASA-VPN ل TrustSec ويستخدم ISE لمصادقة مستخدمي VPN. يتم تعيين قيمة علامة الرقيب للمستخدم الذي تمت مصادقته = 2 (الاسم = المعلومات). يستلم المستخدم عنوان IP من شبكة 172.16.32.0/24 (172.16.32.50 في هذا المثال).
- يحاول المستخدم الوصول إلى صفحة ويب في إنترنت. يتم تكوين ASA-FW لبروتوكول إتصالات ذاكرة التخزين المؤقت للويب (WCCP) الذي يعيد توجيه حركة مرور البيانات إلى WSA.
- تم تكوين WSA لتكامل ISE. وهو يستخدم pxGrid لتنزيل المعلومات من ISE: تم تعيين عنوان IP للمستخدم 172.16.32.50 للرقيب رقم 2.
- يقوم WSA بمعالجة طلب HTTP من المستخدم ويقوم بالوصول إلى نهج الوصول PolicyForIT. ويتم تكوين هذه السياسة لحظر حركة المرور إلى المواقع الرياضية. وكل المستخدمين الآخرين (الذين لا ينتمون إلى الرقيب 2) يطبقون سياسة الوصول الافتراضية ويتمتعون بإمكانية الوصول الكامل إلى المواقع الرياضية.
ASA-VPN
هذه عبارة VPN تم تكوينها ل TrustSec. التكوين التفصيلي خارج نطاق هذا المستند. ارجع إلى الأمثلة التالية:
- مثال تكوين ASA و Catalyst 3750X Series Switch TrustSec ودليل أستكشاف الأخطاء وإصلاحها
- تصنيف مساعد الشبكة الخاصة الظاهرية (VPN) الإصدار 9.2 ASA ومثال تكوين التطبيق
أسا-فو
جدار حماية ASA مسؤول عن إعادة توجيه WCCP إلى WSA. لا يعلم هذا الجهاز ب TrustSec.
interface GigabitEthernet0/0
nameif outside
security-level 100
ip address 172.16.33.110 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.32.110 255.255.255.0
access-list wccp-routers extended permit ip host 172.16.32.204 any
access-list wccp-redirect extended deny tcp any host 172.16.32.204
access-list wccp-redirect extended permit tcp any any eq www
access-list wccp-redirect extended permit tcp any any eq https
wccp 90 redirect-list wccp-redirect group-list wccp-routers
wccp interface inside 90 redirect in
محرك خدمات كشف الهوية (ISE)
ISE هي نقطة مركزية في نشر TrustSec. حيث تقوم بتعيين علامات الرقيب لجميع المستخدمين الذين يقومون بالوصول إلى الشبكة والمصادقة عليها. يتم سرد الخطوات المطلوبة للتكوين الأساسي في هذا القسم.
الخطوة 1. مساعد لفريق تقنية المعلومات ومجموعة أخرى
أختر سياسة > نتائج > وصول مجموعة الأمان > مجموعات الأمان وقم بإنشاء الرقيب:
الخطوة 2. قاعدة التفويض للوصول إلى الشبكة الخاصة الظاهرية (VPN) التي تعين الرقيب = 2 (IT)
أخترت سياسة > تخويل وإنشاء قاعدة ل بعيد VPN منفذ. ستحصل جميع إتصالات الشبكة الخاصة الظاهرية (VPN) التي يتم إنشاؤها عبر شبكة ASA-VPN على الوصول الكامل (PermitAccess) وسيتم تعيين الرقيب رقم 2 (IT) له.
الخطوة 3. إضافة جهاز شبكة وإنشاء ملف PAC ل ASA-VPN
من أجل إضافة ASA-VPN إلى مجال TrustSec، من الضروري إنشاء ملف التكوين التلقائي للوكيل (PAC) يدويا. سيتم إستيراد هذا الملف على ASA.
التي يمكن تكوينها من الإدارة > أجهزة الشبكة. بعد إضافة ASA، قم بالتمرير لأسفل إلى إعدادات TrustSec وقم بإنشاء ملف PAC. تفاصيل ذلك موضحة في مستند منفصل (مشار إليه).
الخطوة 4. تمكين دور pxGrid
أخترت إدارة>توزيع in order to مكنت ال pxGrid دور.
الخطوة 5. إنشاء شهادة للإدارة ودور pxGrid
يستخدم بروتوكول pxGrid مصادقة الشهادة لكل من العميل والخادم. من المهم للغاية تكوين الشهادات الصحيحة لكل من ISE و WSA. يجب أن تتضمن كلتا الشهادتين اسم المجال المؤهل بالكامل (FQDN) في الموضوع وملحقات x509 لمصادقة العميل ومصادقة الخادم. تأكد أيضا من إنشاء سجل DNS A صحيح لكل من ISE و WSA ويطابق FQDN المتوافق.
إذا تم توقيع كلا الشهادتين من قبل مرجع مصدق مختلف (CA)، فمن المهم تضمين هذه الشهادات في المخزن الموثوق به.
أخترت in order to شكلت شهادات، إدارة > شهادات.
يمكن أن يقوم ISE بإنشاء طلب توقيع شهادة (CSR) لكل دور. بالنسبة لدور pxGrid، قم بتصدير CSR وتوقيعه باستخدام مرجع مصدق خارجي.
في هذا المثال، تم إستخدام Microsoft CA مع هذا القالب:
قد تبدو النتيجة النهائية كما يلي:
لا تنس إنشاء سجلات DNS A ل ise14.example.com و pxgrid.example.com التي تشير إلى 172.16.31.202.
الخطوة 6. التسجيل التلقائي ل PxGrid
بشكل افتراضي، لن يقوم ISE بتسجيل مشتركي PxGrid تلقائيا. وينبغي أن يوافق مدير البرنامج على ذلك يدويا. يجب تغيير هذا الإعداد لتكامل WSA.
أختر إدارة > خدمات pxGrid واضبط تمكين التسجيل التلقائي.
WSA
الخطوة 1. أسلوب شفاف وإعادة توجيه
في هذا مثال، ال WSA شكلت مع فقط الإدارة قارن، أسلوب شفاف، وإعادة توجيه من ال ASA:
الخطوة 2. إنشاء الشهادة
يجب أن تثق WSA في CA لتوقيع جميع الشهادات. أختر شبكة > إدارة الشهادات لإضافة شهادة مرجع مصدق:
من الضروري أيضا إنشاء شهادة ستستخدمها WSA للمصادقة على pxGrid. أخترت شبكة > Identity Services Engine (محرك خدمات الهوية) > WSA زبون شهادة in order to خلقت ال CSR، وقمت بتوقيعه مع ال CA قالب (ISE-PXGRID) صحيح، واستوردته من جديد.
أيضا، بالنسبة إلى "شهادة إدارة ISE" و"شهادة ISE PxGrid"، قم باستيراد شهادة CA (لضمان شهادة PxGrid المقدمة من ISE):
الخطوة 3. إختبار اتصال ISE
أخترت شبكة>Identity Services Engine in order to اختبرت التوصيل إلى ISE:
الخطوة 4. ملفات تعريف ISE
أختر مدير أمان الويب > ملفات تعريف لإضافة ملف تعريف جديد ل ISE. للحصول على التعريف والمصادقة" أستخدم تعريف المستخدمين ب ISE بشفافية.
الخطوة 5. الوصول إلى السياسة القائمة على علامة الرقيب
أختر مدير أمان الويب > سياسات الوصول لإضافة سياسة جديدة. تستخدم العضوية ملف تعريف ISE:
بالنسبة للمجموعات المحددة والمستخدمين، ستتم إضافة العلامة 2 الخاصة بالرقيب (IT):
وتحرم هذه السياسة المستخدمين التابعين لرقيب تكنولوجيا المعلومات من الوصول إلى كافة المواقع الرياضية:
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
الخطوة 1. جلسة شبكة VPN
يقوم مستخدم شبكة VPN بتهيئة جلسة VPN تجاه ASA-VPN:
يستخدم ASA-VPN ISE للمصادقة. يقوم نظام التشغيل ISE بإنشاء جلسة عمل ويعين فيها العلامة 2 للرقيب (IT):
بعد المصادقة الناجحة، يقوم ASA-VPN بإنشاء جلسة VPN باستخدام علامة الرقيب 2 (التي تم إرجاعها في تقنية الوصول إلى RADIUS بزوج Cisco-av):
asa-vpn# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 2
Assigned IP : 172.16.32.50 Public IP : 192.168.10.67
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 12979961 Bytes Rx : 1866781
Group Policy : POLICY Tunnel Group : SSLVPN
Login Time : 21:13:26 UTC Tue May 5 2015
Duration : 6h:08m:03s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac1020640000200055493276
Security Grp : 2:IT
بما أن الارتباط بين ASA-VPN و ASA-FW ليس تمكين TrustSec، يرسل ASA-VPN الإطارات غير المميزة لحركة المرور تلك (لن يكون قادرا على تكوين إطارات الإيثرنت GRE باستخدام حقل CMD/TrustSec الذي تم حقنه).
الخطوة 2. تم إسترداد معلومات جلسة العمل بواسطة WSA
في هذه المرحلة، يجب أن يتلقى WSA التخطيط بين عنوان IP واسم المستخدم والرقيب (عبر بروتوكول pxGrid):
الخطوة 3. إعادة توجيه حركة المرور إلى WSA
يقوم مستخدم شبكة VPN ببدء اتصال ب Sport.pl، والذي يتم اعتراضه بواسطة ASA-FW:
asa-fw# show wccp
Global WCCP information:
Router information:
Router Identifier: 172.16.33.110
Protocol Version: 2.0
Service Identifier: 90
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 562
Redirect access-list: wccp-redirect
Total Connections Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: wccp-routers
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total Bypassed Packets Received: 0
asa-fw# show access-list wccp-redirect
access-list wccp-redirect; 3 elements; name hash: 0x9bab8633
access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)
0xfd875b28
access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)
0x028ab2b9
access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)
0xe202a11e
وإنشاء قنوات في GRE إلى WSA (لاحظ أن WCCP Router-id هو أعلى عنوان IP تم تكوينه):
asa-fw# show capture
capture CAP type raw-data interface inside [Capturing - 70065 bytes]
match gre any any
asa-fw# show capture CAP
525 packets captured
1: 03:21:45.035657 172.16.33.110 > 172.16.32.204: ip-proto-47, length 60
2: 03:21:45.038709 172.16.33.110 > 172.16.32.204: ip-proto-47, length 48
3: 03:21:45.039960 172.16.33.110 > 172.16.32.204: ip-proto-47, length 640
يواصل WSA مصافحة TCP ويعالج طلب GET. ونتيجة لذلك، تم الوصول إلى النهج المسمى PolicyForIT وتم حظر حركة المرور:
وهذا ما يؤكده تقرير رابطة محترفات الحرب:
لاحظ أن ISE يعرض اسم المستخدم.
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
شهادات غير صحيحة
في حالة عدم تهيئة (شهادات) WSA بشكل صحيح، يجب إختبار فشل اتصال ISE:
يبلغ ISE pxgrid-cm.log:
[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]
[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1
وبوسعنا أن نرى السبب وراء هذا الفشل مع فيرسهارك:
بالنسبة لجلسة SSL المستخدمة لحماية تبادل بروتوكول التواجد والمراسلة الممتدة (XMPP) (المستخدم من قبل pxGrid)، يبلغ العميل عن فشل SSL بسبب سلسلة شهادات غير معروفة مقدمة من الخادم.
تصحيح السيناريو
للسيناريو الصحيح، يتم تسجيل الدخول إلى ISE pxgrid-controller.log:
2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher
-:::::- Handling authentication for user name wsa.example.com-test_client
كما تقدم واجهة المستخدم الرسومية (GUI) لنظام التشغيل WSA كمشترك بالإمكانات الصحيحة:
معلومات ذات صلة
- ASA الإصدار 9.2.1 VPN Posture مع مثال تكوين ISE
- دليل مستخدمي WSA 8.7
- مثال تكوين ASA و Catalyst 3750X Series Switch TrustSec ودليل أستكشاف الأخطاء وإصلاحها
- دليل تكوين محول Cisco TrustSec: فهم Cisco TrustSec
- تكوين خادم خارجي لتفويض مستخدم جهاز الأمان
- دليل تكوين واجهة سطر الأوامر Cisco ASA Series VPN، الإصدار 9.1
- دليل مستخدم محرك خدمات الهوية من Cisco، إصدار 1.2
- الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
30-Jul-2015 |
الإصدار الأولي |
التعليقات