Konfigurieren von Threat-Centric NAC (TC-NAC) der ISE 2.1 mit AMP und Statusservices

Einleitung

In diesem Dokument wird die Konfiguration von Threat-Centric NAC mit Advanced Malware Protection (AMP) auf der Identity Services Engine (ISE) 2.1 beschrieben. Bedrohungsschweregrade und Ergebnisse der Schwachstellenbewertung können verwendet werden, um die Zugriffsebene eines Endpunkts oder Benutzers dynamisch zu steuern. Posture Services werden ebenfalls als Teil dieses Dokuments behandelt. 

Hinweis: Zweck des Dokuments ist die Beschreibung der ISE 2.1-Integration in AMP. Die Statusservices werden angezeigt, wenn AMP über die ISE bereitgestellt wird.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:

• Cisco Identity Service Engine

• Advanced Malware Protection

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Identity Service Engine Version 2.1
• Wireless LAN Controller (WLC) 8.0.121.0
• AnyConnect VPN-Client 4.2.02075
• Windows 7 Service Pack 1

Konfigurieren

Netzwerkdiagramm

Detaillierter Datenfluss

1. Der Client stellt eine Verbindung mit dem Netzwerk her, das AMP_Profile wird zugewiesen und der Benutzer wird zum AnyConnect-Bereitstellungsportal umgeleitet. Wenn AnyConnect auf dem Computer nicht erkannt wird, werden alle konfigurierten Module (VPN, AMP, Posture) installiert. Konfiguration wird für jedes Modul zusammen mit diesem Profil verschoben

2. Nach der Installation von AnyConnect wird eine Statusüberprüfung ausgeführt.

3. AMP Enabler-Modul installiert FireAMP-Connector

4. Wenn der Client versucht, schädliche Software herunterzuladen, gibt der AMP Connector eine Warnmeldung aus und meldet diese an die AMP Cloud

5. AMP Cloud sendet diese Informationen an die ISE

Konfigurieren der AMP-Cloud

Schritt 1: Connector von AMP Cloud herunterladen

Um den Connector herunterzuladen, navigieren Sie zu Management > Download Connector. Wählen Sie dann Typ und Download FireAMP (Windows, Android, Mac, Linux). In diesem Fall wurde Audit ausgewählt, und die Installationsdatei für FireAMP für Windows wurde ausgewählt.

Hinweis: Durch das Herunterladen dieser Datei wird eine .exe-Datei mit dem Namen Audit_FireAMPSetup.exe im Beispiel generiert. Diese Datei wurde an den Webserver gesendet, damit sie verfügbar ist, wenn der Benutzer nach der Konfiguration von AMP fragt.

Konfigurieren der ISE

Schritt 1: Konfigurieren von Statusrichtlinien und -bedingungen

Navigieren Sie zu Richtlinie > Richtlinienelemente > Bedingungen > Status > Dateibedingung.Sie können sehen, dass eine einfache Bedingung für das Vorhandensein einer Datei erstellt wurde. Die Datei muss vorhanden sein, wenn der Endpunkt mit der vom Posture-Modul verifizierten Richtlinie übereinstimmen soll:

Diese Bedingung wird für eine Anforderung verwendet:

Die Anforderung wird in der Statusrichtlinie für Microsoft Windows-Systeme verwendet:

Schritt 2: Statusprofil konfigurieren

• Navigieren Sie zu Policy > Policy Elements > Results > Client Provisioning > Resources, und fügen Sie Network Admission Control (NAC) Agent oder AnyConnect Agent Posture Profile hinzu.
• AnyConnect auswählen

• Fügen Sie im Abschnitt "Posture Protocol" * hinzu, damit der Agent eine Verbindung zu allen Servern herstellen kann.

Schritt 3: AMP-Profil konfigurieren

Das AMP-Profil enthält Informationen zum Speicherort von Windows Installer. Windows Installer wurde zuvor aus der AMP-Cloud heruntergeladen. Der Zugriff sollte vom Client-Computer aus möglich sein. Das Zertifikat des HTTPS-Servers, auf dem sich das Installationsprogramm befindet, sollte auch vom Client-Computer als vertrauenswürdig angesehen werden.

Schritt 2: Hochladen von Anwendungen und XML-Profil auf die ISE

• Laden Sie die Anwendung manuell von der offiziellen Cisco Website herunter: anyconnect-win-4.2.02075-k9.pkg
• Navigieren Sie auf der ISE zu Policy > Policy Elements > Results > Client Provisioning > Resources, und fügen Sie Agent Resources From Local Disk hinzu.
• Wählen Sie Cisco Provided Packages und anyconnect-win-4.2.02075-k9.pkg aus.

• Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen, und fügen Sie Agent-Ressourcen von der lokalen Festplatte hinzu.
• Wählen Sie vom Kunden erstellte Pakete aus, und geben Sie AnyConnect Profile ein. Wählen Sie VPNDisable_ServiceProfile.xml aus

Hinweis: VPNDisable_ServiceProfile.xml wird verwendet, um den VPN-Titel auszublenden, da in diesem Beispiel kein VPN-Modul verwendet wird. Dies ist der Inhalt von VPNDisable_ServiceProfile.xml:

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 <ClientInitialization>
  <ServiceDisable>true</ServiceDisable>
 </ClientInitialization>
</AnyConnectProfile>

Schritt 3: AnyConnect Compliance-Modul herunterladen

• Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen, und fügen Sie Agent-Ressourcen von der Cisco Website hinzu.
• Wählen Sie AnyConnect Windows Compliance Module 3.6.10591.2 aus, und klicken Sie auf Speichern.

Schritt 4: AnyConnect-Konfiguration hinzufügen

• Navigieren Sie zu Policy > Policy Elements > Results > Client Provisioning > Resources, und fügen Sie AnyConnect Configuration hinzu.
• Konfigurieren Sie den Namen, und wählen Sie das Compliance-Modul sowie alle erforderlichen AnyConnect-Module (VPN, AMP und Posture) aus.
• Wählen Sie in Profile Selection (Profilauswahl) das zuvor für jedes Modul konfigurierte Profil aus.

Schritt 5: Client-Bereitstellungsregeln konfigurieren

Auf die zuvor erstellte AnyConnect-Konfiguration wird in den Client-Bereitstellungsregeln verwiesen.

Schritt 6: Autorisierungsrichtlinien konfigurieren

Zunächst erfolgt die Umleitung zum Client Provisioning Portal. Es werden Standard-Autorisierungsrichtlinien für den Status verwendet.

Anschließend wird, sobald der Compliance-Status erreicht ist, vollständiger Zugriff zugewiesen.

Schritt 7. TC-NAC-Services aktivieren

Aktivieren Sie TC-NAC Services unter Administration > Deployment > Edit Node. Aktivieren Sie das Kontrollkästchen Threat Centric NAC Service aktivieren.

Schritt 8: Konfigurieren des AMP-Adapters

Navigieren Sie zu Administration > Threat Centric NAC > Third Party Vendors > Add. Klicken Sie auf Speichern

 Sie sollte in den Status Ready to Configure übergehen. Klicken Sie auf Ready to Configure.

 Wählen Sie Cloud aus, und klicken Sie auf Weiter

Klicken Sie auf den Link FireAMP, und melden Sie sich als admin in FireAMP an.

Klicken Sie im Bereich "Anwendungen" auf Zulassen, um die Exportanforderung für Streaming-Ereignisse zu autorisieren. Nach dieser Aktion werden Sie zurück zur Cisco ISE geleitet.

Wählen Sie die Ereignisse (z. B. verdächtiger Download, Verbindung zu verdächtiger Domain, ausgeführte Malware, Java-Kompromittierung) aus, die Sie überwachen möchten. Die Zusammenfassung der Adapterinstanzkonfiguration wird auf der Seite Konfigurationsübersicht angezeigt. Die Adapterinstanz wechselt in den Status "Verbunden/Aktiv".

Überprüfung

Endpunkt

Stellen Sie über PEAP (MSCHAPv2) eine Verbindung zum Wireless-Netzwerk her.

Sobald die Verbindung hergestellt ist, erfolgt die Umleitung zum Client-Bereitstellungsportal.

 Da auf dem Client-Computer nichts installiert ist, fordert die ISE zur Installation des AnyConnect-Clients auf.

Die Anwendung Network Setup Assistant (NSA) sollte vom Client-Computer heruntergeladen und ausgeführt werden.

Die NSA übernimmt die Installation der erforderlichen Komponenten und Profile.

Nach Abschluss der Installation führt das AnyConnect Posture-Modul eine Konformitätsprüfung durch.

Wenn der vollständige Zugriff gewährt wird und das Endgerät die Vorgaben erfüllt, wird AMP von dem zuvor im AMP-Profil angegebenen Webserver heruntergeladen und installiert.

AMP Connector wird angezeigt.

Um AMP in Aktion zu testen, wird der in einer ZIP-Datei enthaltene Eicar-String heruntergeladen. Die Bedrohung wird erkannt und an die AMP Cloud gemeldet.

AMP-Cloud

Um die Details der Bedrohung Dashboard der AMP Cloud überprüft werden kann verwendet werden.

Um mehr Details über die Bedrohung, Dateipfad und Fingerpints zu erhalten, können Sie auf den Host klicken, auf dem Malware entdeckt wurde.

Zum Anzeigen oder Aufheben der Registrierung einer ISE-Instanz können Sie zu Konten > Anwendungen navigieren.

ISE

Auf der ISE selbst wird ein regelmäßiger Statusfluss festgestellt. Die Umleitung erfolgt zuerst, um die Netzwerkkonformität zu überprüfen. Sobald der Endpunkt die Vorgaben erfüllt, wird die CoA-Berechtigung gesendet und ein neues Profil mit PermitAccess zugewiesen.

Um die erkannten Bedrohungen anzuzeigen, navigieren Sie zu Context Visibility > Endpoints > Compromise Endpoints (Kontexttransparenz > Endpunkte > Kompromittierte Endpunkte)

Wenn Sie den Endpunkt auswählen und zur Registerkarte Threat (Bedrohung) navigieren, werden weitere Details angezeigt.

Wenn ein Bedrohungsereignis für einen Endpunkt erkannt wird, können Sie die MAC-Adresse des Endpunkts auf der Seite "Kompromittierte Endpunkte" auswählen und eine ANC-Richtlinie anwenden (falls konfiguriert, z. B. Quarantäne). Alternativ können Sie eine Autorisierungsänderung vornehmen, um die Sitzung zu beenden.

Wenn "CoA Session Terminate" (CoA-Sitzung beenden) ausgewählt ist, sendet die ISE die CoA-Verbindungsunterbrechung, und der Client hat keinen Zugriff mehr auf das Netzwerk.

Fehlerbehebung

Um das Debugging auf der ISE zu aktivieren, navigieren Sie zu Administration > System > Logging > Debug Log Configuration, wählen Sie TC-NAC Node aus, und ändern Sie die Protokollstufe der TC-NAC-Komponente in DEBUG.

Zu überprüfende Protokolle - irf.log. Sie können das Paket direkt über die ISE-CLI weiterleiten:

ISE21-3ek/admin# show logging application irf.log tail

Threat Even wird von der AMP-Cloud empfangen

30.06.2016 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher:processDelivery:53 -::- calling notification handler com.cisco.cpm.cpm irf.service.IrfNotificationHandler$MyNotificationHandler@3fac8043 Message{messageType=NOTIFICATION, messageId=THREAT_EVENT, content='{"c0:4a:00:14:8d:4b": [{"Vorfall": {"Impact_Qualification": "Schmerzhaft"}, "Zeitstempel": 1467304068599, "Anbieter": "AMP", "title": "Threat Detected"}]}', priority=0, timestamp=Do 30. Jun 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf .events.threat), amqpProperties=#contentHeader<basic>(content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, Correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe8 0e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}
30.06.2016 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.service.IrfNotificationHandler:handle:140 -::- Hinzugefügt zur ausstehenden Warteschlange: Message{messageType=NOTIFICATION, messageId=THREAT_EVENT, content='{"c0:4a:00:14:8d:4b": [{"Vorfall": {"Impact_Qualification": "Painful"}, "Zeitstempel": 1467304068599, "Anbieter": "AMP", "Titel": "Threat at Detected"}]}', priority=0, timestamp=Do 30. Jun 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.Threat), amqpProperties=#contentHeader<basic>(content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, Correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-code8-4d7f-a836-545416ae56f4, Cluster-ID=null)}
30.06.2016 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher:processDelivery:59 -::- DONE processing notification: Envelope(deliveryTag=10 79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.Threat) #contentHeader<basic>(content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, Correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NON TIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)
30.06.2016 18:27:48,706 DEBUG [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor:parseNotification:221 -::::- Parsing notification: Message{messageType=NOTIFICATION, messageId=THREAT_EVENT, content='{"c0:4a:00:14:8d:4b": [{"Vorfall": {"Impact_Qualification": "Schmerzhaft"}, "Zeitstempel": 1467304068599, "Anbieter": "AMP", "Titel": "Bedrohung erkannt"}]}', priority=0, timestamp=Do. 3. Juni 0 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic>(content-type=application/json, content-encoding=null, headers=null , delivery-mode=null, priority=0, Correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-code8-4d7f-a836-545416ae56f4, cluster-id=null)}

Informationen über die Bedrohung werden an PAN gesendet

2016-06-30 18:27:48,724 DEBUG [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor:storeEventsInES:366 -:::- Hinzufügen von Bedrohungsereignisinformationen zum Senden an PAN - c0:4a:00:14:8d:4b {Vorfall={Impact_Qualification=Painful}, Zeitstempel=1467304068599, Anbieter=AMP, Titel=Bedrohung erkannt}