Konfigurieren von Secure Malware Analytics Appliance RADIUS over DTLS-Authentifizierung für Konsole und OPadmin-Portal

Download-Optionen

  • PDF     (898.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (748.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (600.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. April 2020
Dokument-ID:215420

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die RADIUS-Authentifizierungsfunktion (Remote Authentication Dial In User Service) beschrieben, die in der Secure Malware Analytics Appliance (ehemals Threat Grid) Version 2.10 eingeführt wurde. Benutzer können sich sowohl beim Admin- als auch beim Konsolenportal mit Anmeldeinformationen anmelden, die auf dem AAA-Server (Authentication, Authorization and Accounting) gespeichert sind, der RADIUS über DTLS-Authentifizierung unterstützt (draft-ietf-radext-dtls-04). In diesem Fall wurde die Cisco Identity Services Engine verwendet.

    In diesem Dokument finden Sie die erforderlichen Schritte zum Konfigurieren der Funktion.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Secure Malware Analytics Appliance (ehemals Threat Grid)
    • Identity Services Engine (ISE)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Secure Malware Analytics Appliance 2.10
    • Identity Services Engine 2.7

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Konfigurieren

    In diesem Abschnitt finden Sie detaillierte Anweisungen zur Konfiguration der Secure Malware Analytics Appliance und der ISE für die RADIUS-Authentifizierungsfunktion.

    Hinweis: Um die Authentifizierung zu konfigurieren, stellen Sie sicher, dass die Kommunikation auf dem Port UDP 2083 zwischen Secure Malware Analytics Appliance Clean-Schnittstelle und ISE Policy Service Node (PSN) zulässig ist.

    Konfiguration

    Schritt 1: Secure Malware Analytics Appliance-Zertifikat für die Authentifizierung vorbereiten.

    RADIUS über DTLS verwendet die gegenseitige Zertifikatsauthentifizierung, d. h., das Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) von der ISE wird benötigt. Überprüfen Sie zunächst, welches von der Zertifizierungsstelle signierte RADIUS DTLS-Zertifikat:

    Liste der Systemzertifikate in der ISE

    Schritt 2: Exportieren des Zertifizierungsstellenzertifikats von der ISE

    Navigieren Sie zu Administration > System > Certificates > Certificate Management > Trusted Certificates, suchen Sie die Zertifizierungsstelle, wählen Sie Export wie im Bild dargestellt aus, und speichern Sie das Zertifikat auf der Festplatte für später:

    Liste vertrauenswürdiger Zertifikate in der ISE

    Schritt 3: Secure Malware Analytics Appliance als Netzwerkzugriffsgerät hinzufügen.

    Navigieren Sie zu Administration > Network Resources > Network Devices > Add, um einen neuen Eintrag für TG zu erstellen, und geben Sie den Namen, die IP-Adresse der sauberen Schnittstelle ein, und wählen Sie DTLS Required wie im Bild dargestellt aus. Klicken Sie unten auf Speichern:

    ISE

    Schritt 4: Erstellen eines Autorisierungsprofils für die Autorisierungsrichtlinie

    Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile, und klicken Sie auf Hinzufügen. Geben Sie einen Namen ein, wählen Sie Erweiterte Attributeinstellungen aus, wie im Bild dargestellt, und klicken Sie auf Speichern:

    Screenshot 2020-02-20 at 09.04.38

    Schritt 5: Erstellen einer Authentifizierungsrichtlinie

    Navigieren Sie zu Policy > Policy Sets, und klicken Sie auf +. Geben Sie Policy Set Name (Richtliniensatzname) ein, und setzen Sie die Bedingung auf NAD IP Address (NAD-IP-Adresse), zugewiesen zur sauberen Schnittstelle der Secure Malware Analytics Appliance. Klicken Sie auf Save (Speichern), wie im Bild gezeigt:

    Screenshot 2020-02-10 at 11.23.13

    Schritt 6: Erstellen einer Autorisierungsrichtlinie

    Klicken Sie auf >, um die Autorisierungsrichtlinie aufzurufen, erweitern Sie die Autorisierungsrichtlinie, klicken Sie auf + und konfigurieren Sie sie wie im Bild dargestellt, nachdem Sie auf Speichern geklickt haben:

    Screenshot 2020-02-20 at 09.41.28

    Tipp: Sie können eine Autorisierungsregel für alle Benutzer erstellen, die beide Bedingungen erfüllen: Admin und UI.

    Schritt 7. Erstellen Sie ein Identitätszertifikat für die Secure Malware Analytics Appliance.

    Das Client-Zertifikat der Secure Malware Analytics Appliance muss auf dem Elliptic Curve-Schlüssel basieren:

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Sie müssen eine CSR-Anfrage auf Basis dieses Schlüssels erstellen und diese dann von der Zertifizierungsstelle signieren, der die ISE vertraut. Weitere Informationen zum Hinzufügen eines Zertifizierungsstellenzertifikats zum vertrauenswürdigen ISE-Zertifikatspeicher finden Sie unter Stammzertifikate in den vertrauenswürdigen Zertifikatspeicher importieren.

    Schritt 8: Konfigurieren der Appliance für sichere Malwareanalyse zur Verwendung von RADIUS

    Melden Sie sich beim Admin-Portal an, und navigieren Sie zu Configuration > RADIUS. Fügen Sie in RADIUS CA Certificate den Inhalt der PEM-Datei ein, die von ISE gesammelt wurde, in Client Certificate fügen Sie ein PEM-formatiertes Zertifikat ein, das von CA empfangen wurde, und in Client Key fügen Sie den Inhalt der Datei private-ec-key.pem aus dem vorherigen Schritt ein, wie im Bild gezeigt. Klicken Sie auf Speichern:

    Screenshot 2020-03-02 at 13.39.11

    Hinweis: Sie müssen die Secure Malware Analytics Appliance neu konfigurieren, nachdem Sie die RADIUS-Einstellungen gespeichert haben.

    Schritt 9. RADIUS-Benutzername zu Konsolenbenutzern hinzufügen

    Um sich beim Konsolenportal anzumelden, müssen Sie dem entsprechenden Benutzer das Attribut RADIUS Username hinzufügen, wie im Bild gezeigt:

    Screenshot 2020-02-20 at 10.27.50

    Schritt 10. Aktivieren Sie die reine RADIUS-Authentifizierung.

    Nach der erfolgreichen Anmeldung beim Admin-Portal wird eine neue Option angezeigt, die die lokale Systemauthentifizierung vollständig deaktiviert und die einzige RADIUS-basierte Option belässt.

    Screenshot 2020-02-20 at 10.34.15

    Überprüfung

    Melden Sie sich nach der Neukonfiguration der Secure Malware Analytics Appliance ab, und sehen Sie nun die Anmeldeseiten wie im Portal für Images, Admin und Konsole aus:

    Screenshot 2020-02-20 at 09.56.15

    Screenshot 2020-02-20 at 09.56.53

    Fehlerbehebung

    Es gibt drei Komponenten, die Probleme verursachen können: ISE, Netzwerkverbindungen und Secure Malware Analytics Appliance.

    • Stellen Sie in ISE sicher, dass ServiceType=Administrative an Secure Malware Analytics Appliance-Authentifizierungsanforderungen zurückgegeben werden. Navigieren Sie zu Operations > RADIUS > Live Logs on ISE, und überprüfen Sie die Details:

    Screenshot 2020-02-20 at 08.51.49
    Screenshot 2020-02-20 at 09.58.49

    • Wenn diese Anforderungen nicht angezeigt werden, führen Sie eine Paketerfassung auf der ISE durch. Navigieren Sie zu Operations > Troubleshoot > Diagnostic Tools > TCP Dump, geben Sie die IP im Filterfeld der sauberen Schnittstelle der TG ein, klicken Sie auf Start, und versuchen Sie, sich auf der Secure Malware Analytics Appliance anzumelden:

    Screenshot 2020-02-20 at 10.07.42

    Sie müssen sehen, dass die Anzahl der Bytes erhöht. Öffnen Sie die pcap-Datei in Wireshark, um weitere Informationen zu erhalten.

    • Wenn Sie die Fehlermeldung "Es tut uns leid, aber es ist etwas schief gegangen" sehen, nachdem Sie auf Speichern in Secure Malware Analytics Appliance geklickt haben und die Seite so aussieht:

    Screenshot 2020-02-20 at 10.17.39

    Das bedeutet, dass Sie höchstwahrscheinlich den RSA-Schlüssel für das Client-Zertifikat verwendet haben. Sie müssen den ECC-Schlüssel mit den in Schritt 7 angegebenen Parametern verwenden.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    22-Apr-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Radek Olszowy
      ATS TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren