Konfigurieren der Problembehebung für FirePOWER 6.1 pxGrid mit ISE

Einleitung

In diesem Dokument wird beschrieben, wie Sie die FirePOWER 6.1 pxGrid-Problembehebung mit der Identity Services Engine (ISE) konfigurieren. Das ISE-Sanierungsmodul FirePOWER 6.1+ kann zusammen mit dem ISE Endpoint Protection Service (EPS) verwendet werden, um Quarantäne-/Blacklists von Angreifern auf der Netzwerkzugriffsschicht zu automatisieren.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:

• Cisco ISE
• Cisco Firepower

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ISE Version 2.0 Patch 4
• Cisco FirePOWER 6.1.0
• Virtual Wireless LAN Controller (vWLC) 8.3.102.0

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konfigurieren

Dieser Artikel behandelt nicht die Erstkonfiguration der ISE-Integration mit FirePOWER, die ISE-Integration mit Active Directory (AD) und die FirePOWER-Integration mit AD. Navigieren Sie für diese Informationen zum Abschnitt "Referenzen". Das Firepower 6.1-Bereinigungsmodul ermöglicht dem Firepower-System die Nutzung von ISE-EPS-Funktionen (Quarantäne, Aufhebung der Quarantäne, Herunterfahren des Ports) als Bereinigung, wenn eine Korrelationsregel zugeordnet wurde.

Hinweis: Für Wireless-Bereitstellungen ist keine Portabschaltung verfügbar.

Netzwerkdiagramm

Die Flussbeschreibung:

1. Ein Client stellt eine Verbindung zu einem Netzwerk her, authentifiziert sich über die ISE und trifft eine Autorisierungsregel mit einem Autorisierungsprofil, das uneingeschränkten Zugriff auf das Netzwerk gewährt.
2. Der Datenverkehr vom Client fließt dann über ein FirePOWER-Gerät.
3. Der Benutzer startet eine schädliche Aktivität und erreicht eine Korrelationsregel, die wiederum das FirePOWER Management Center (FMC) dazu veranlasst, die ISE-Beseitigung über pxGrid durchzuführen.
4. Die ISE weist dem Endpunkt eine EPS-Statusquarantäne zu und löst eine RADIUS-Autorisierungsänderung für ein Netzwerkzugriffsgerät (WLC oder Switch) aus.
5. Der Client trifft eine andere Autorisierungsrichtlinie, die einen eingeschränkten Zugriff zuweist (ändert SGT oder leitet zum Portal um oder verweigert den Zugriff).

Hinweis: Netzwerkzugriffsgeräte (Network Access Device, NAD) sollten so konfiguriert werden, dass sie RADIUS-Accounting an die ISE senden, um IP-Adressinformationen bereitzustellen, anhand derer die IP-Adresse einem Endpunkt zugeordnet wird.

FirePOWER konfigurieren

Schritt 1: Konfigurieren einer pxGrid-Mitigation-Instanz

Navigieren Sie zu Policies > Actions > Instances, und fügen Sie pxGrid Mitigation Instance wie im Bild dargestellt hinzu.

Schritt 2: Konfigurieren einer Problembehebung

Es stehen zwei Typen zur Verfügung: "Ziel minimieren" und "Quelle minimieren". In diesem Beispiel wird die Quelleinschränkung verwendet. Wählen Sie den Wiederherstellungstyp aus, und klicken Sie auf Hinzufügen, wie im Bild gezeigt:

Weisen Sie der Fehlerbehebung eine Risikominderungsaktion zu, wie im Bild gezeigt:

Schritt 3: Konfigurieren einer Korrelationsregel

Navigieren Sie zu Policies > Correlation > Rule Management, und klicken Sie auf Create Rule Correlation (Regel erstellen). Die Korrelationsregel ist der Auslöser für die Korrektur. Korrelationsregeln können mehrere Bedingungen enthalten. In diesem Beispiel wird die Korrelationsregel "PingDC" ausgelöst, wenn ein Angriffsereignis auftritt und die Ziel-IP-Adresse 192.168.0.121 lautet. Für den Test wird eine benutzerdefinierte Intrusion Rule konfiguriert, die die ICMP-Echo-Antwort abgleicht, wie im Bild gezeigt:

Schritt 4: Konfigurieren einer Korrelationsrichtlinie

Navigieren Sie zu Policies > Correlation > Policy Management, und klicken Sie auf Create Policy, fügen Sie der Richtlinie eine Regel hinzu, und weisen Sie ihr eine Antwort zu, wie im Bild dargestellt:

Aktivieren Sie die Korrelationsrichtlinie wie im Bild gezeigt:

Konfigurieren der ISE

Schritt 1: Autorisierungsrichtlinie konfigurieren

Navigieren Sie zu Policy > Authorization (Richtlinie > Autorisierung), und fügen Sie eine neue Autorisierungsrichtlinie hinzu, die nach der Problembehebung angewendet wird. Sitzung verwenden: EPSStatus EQUALS Quarantine als Bedingung. Es gibt mehrere Optionen, die als Ergebnis verwendet werden können:

• Zugriff zulassen und anderes SGT zuweisen (Durchsetzung von Zugriffskontrollbeschränkungen auf Netzwerkgeräten)
• Zugriff verweigern (Benutzer sollte aus dem Netzwerk entfernt werden und sich nicht wieder verbinden können)
• Umleitung zu einem Blacklist-Portal (in diesem Szenario ist hierfür ein benutzerdefiniertes Hotspot-Portal konfiguriert)

Benutzerdefinierte Portalkonfiguration

In diesem Beispiel wird das Hotspot-Portal als Blacklist konfiguriert. Es gibt nur eine Seite mit Richtlinien zur akzeptablen Nutzung (AUP) mit benutzerdefiniertem Text, und es besteht keine Möglichkeit, die AUP zu akzeptieren (dies geschieht mit JavaScript). Um dies zu erreichen, müssen Sie zunächst JavaScript aktivieren und dann einen Code einfügen, der die AUP-Schaltfläche und Steuerelemente in der Portalanpassungskonfiguration ausblendet.

Schritt 1: JavaScript aktivieren.

Navigieren Sie zu Administration > System > Admin Access > Settings > Portal Customization. Wählen Sie Portalanpassung mit HTML und JavaScript aktivieren aus, und klicken Sie auf Speichern.

Schritt 2: Erstellen eines Hotspot-Portals

Navigieren Sie zu Guest Access > Configure > Guest Portals, und klicken Sie auf Create (Erstellen), und wählen Sie dann Hotspot-Typ.

Schritt 3: Portalanpassung konfigurieren.

Navigieren Sie zu Portalseitenanpassung, und ändern Sie Titel und Inhalt, um dem Benutzer eine entsprechende Warnung zukommen zu lassen.

Navigieren Sie zu Optionsinhalt 2, klicken Sie auf HTML-Quelle umschalten, und fügen Sie das Skript ein:

 Klicken Sie auf HTML-Quelle deaktivieren.

Überprüfung

Überprüfen Sie anhand der Informationen in diesem Abschnitt, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Firepower

Auslöser für die Behebung ist ein Treffer der Korrelationsrichtlinie/-regel. Navigieren Sie zu Analyse > Korrelation > Korrelationsereignisse, und überprüfen Sie, ob ein Korrelationsereignis aufgetreten ist.

ISE

ISE sollte dann Radius: CoA auslösen und den Benutzer erneut authentifizieren. Diese Ereignisse können unter Operation > RADIUS Livelog überprüft werden.

In diesem Beispiel hat die ISE dem Endgerät ein anderes SGT MaliciousUser zugewiesen. Im Fall des Autorisierungsprofils "Zugriff verweigern" wird die Wireless-Verbindung unterbrochen, und der Benutzer kann keine Verbindung mehr herstellen.

Die Sanierung mit Blacklist-Portal. Wenn die Behebungsautorisierungsregel so konfiguriert ist, dass sie an das Portal weitergeleitet wird, sollte sie aus Sicht des Angreifers wie folgt aussehen:

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Navigieren Sie zu Analyse > Korrelation > Status (siehe Abbildung).

Die Ergebnismeldung sollte entweder Erfolgreicher Abschluss der Behebung oder eine bestimmte Fehlermeldung zurückgeben. Überprüfen Sie Syslog: System > Monitoring > Syslog, und filtern Sie die Ausgabe mit pxgrid. Die gleichen Protokolle können in /var/log/messages überprüft werden.

Zugehörige Informationen

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200319-Troubleshoot-ISE-and-FirePOWER-Integrati.html
• https://communities.cisco.com/docs/DOC-68284
• https://communities.cisco.com/docs/DOC-68285
• https://communities.cisco.com/thread/64870?start=0&tstart=0
• http://www.cisco.com/c/en/us/td/docs/security/ise/2-0/admin_guide/b_ise_admin_guide_20.html
• http://www.cisco.com/c/en/us/td/docs/security/firepower/610/configuration/guide/fpmc-config-guide-v61.html