Introducción
Este documento describe cómo migrar de un agente de usuario a Identity Services Engine (ISE) para un agente de usuario de Firepower.
Antecedentes
En futuras versiones, el agente de usuario de Firepower ya no estará disponible. Se sustituye por ISE o Identity Services Engine - Conector de ID pasiva (ISE-PIC). Si actualmente utiliza el agente de usuario y se está planteando migrar a ISE, este documento proporciona consideraciones y estrategias para la migración.
Descripción general de identidad de usuario
Actualmente existen dos métodos para extraer la información de identidad del usuario de la infraestructura de identidad existente: el agente de usuario y la integración con ISE.
Agente de usuario
Agente de usuario es una aplicación instalada en una plataforma Windows. Se basa en el protocolo WMI (Instrumental de administración de Windows) para tener acceso a los eventos de inicio de sesión del usuario (tipo de evento 4624) y, a continuación, guarda los datos en una base de datos local. Existen dos formas en las que el agente de usuario recupera los eventos de inicio de sesión: actualizándolos en tiempo real a medida que el usuario inicia sesión (solo Windows Server 2008 y 2012) o sondeando los datos para cada intervalo configurable. Del mismo modo, el agente de usuario envía los datos recibidos de Active Directory (AD) a Firepower Management Center (FMC) en tiempo real y envía lotes de datos de inicio de sesión a FMC de forma regular.
Entre los tipos de inicios de sesión detectables por el agente de usuario se incluyen los inicios de sesión en un host directamente o a través de Escritorio remoto; los inicios de sesión de uso compartido de archivos y los inicios de sesión de cuentas de equipo. El agente de usuario no admite otros tipos de inicios de sesión, como los de Citrix, red y Kerberos.
El agente de usuario dispone de una función opcional para detectar si el usuario asignado ha cerrado la sesión. Si la comprobación de cierre de sesión está habilitada, comprueba periódicamente si elexplorer.exeproceso se está ejecutando en cada extremo asignado. Si no puede detectar el proceso que se está ejecutando, se quitará la asignación para este usuario transcurridas 72 horas.
Identity Services Engine
ISE es un robusto servidor AAA que gestiona las sesiones de inicio de sesión en la red del usuario. Dado que ISE se comunica directamente con los dispositivos de red, como switches y controladores inalámbricos, tiene acceso a datos actualizados relativos a las actividades del usuario, lo que lo convierte en una mejor fuente de identidad que el agente de usuario. Cuando un usuario inicia sesión en un terminal, normalmente se conecta automáticamente a la red y, si se habilita la autenticación dot1x para la red, ISE crea una sesión de autenticación para estos usuarios y la mantiene activa hasta que el usuario cierra sesión en la red. Si ISE se integra con FMC, reenvía los datos de asignación de IP de usuario (junto con otros datos recopilados por ISE) a FMC.
ISE se puede integrar con FMC a través de pxGrid. pxGrid es un protocolo diseñado para centralizar la distribución de información de sesiones entre servidores ISE y con otros productos. En esta integración, ISE actúa como un controlador pxGrid y FMC se suscribe al controlador para recibir los datos de la sesión (FMC no publica ningún dato en ISE excepto durante la remediación, que se analiza más adelante) y pasa los datos a los sensores para lograr el reconocimiento del usuario.
Identity Services Engine - Conector de identidad pasivo (ISE-PIC)
Identity Services Engine: Passive Identity Connector (ISE-PIC) es, en esencia, una instancia de ISE con una licencia restringida. ISE-PIC no realiza ninguna autenticación, sino que actúa como un hub central para varias fuentes de identidad de la red, recopilando los datos de identidad y proporcionándolos a los suscriptores. ISE-PIC es similar a User Agent en la forma en que también utiliza WMI para recopilar eventos de inicio de sesión de AD, pero con características más sólidas conocidas como identidad pasiva. También se integra con FMC a través de pxGrid.
Consideraciones sobre migración
Requisitos de licencia
El CSP no requiere licencias adicionales. ISE requiere una licencia si aún no está implementado en la infraestructura. Consulte el documento Modelo de licencia de Cisco ISE para obtener más detalles. ISE-PIC es un conjunto de funciones que ya existe en la implementación completa de ISE, por lo que no se necesitan licencias adicionales si existe una implementación de ISE. Para obtener información detallada sobre una implementación nueva o independiente de ISE-PIC, consulte el documento Licencias de Cisco ISE-PIC.
Certificado SSL
Aunque el agente de usuario no requiere la infraestructura de clave pública (PKI) para las comunicaciones con FMC y AD, la integración de ISE o ISE-PIC requiere certificados SSL compartidos entre ISE y FMC únicamente con fines de autenticación. La integración admite certificados firmados por la autoridad certificadora y autofirmados, siempre que se agreguen a los certificados la autenticación de servidor y el uso de claves de extensión de autenticación de cliente (EKU).
Cobertura de origen de identidad
El agente de usuario solo cubre los eventos de inicio de sesión de Windows de los escritorios de Windows, con detección de cierre de sesión basada en sondeo. ISE-PIC abarca el inicio de sesión en el escritorio de Windows, además de fuentes de identidad adicionales como el agente AD, Kerberos SPAN, el analizador de Syslog y el agente de servicios de terminal (TSA). El ISE completo incluye la cobertura de todos los PIC de ISE, además de la autenticación de red de estaciones de trabajo y dispositivos móviles que no sean Windows, entre otras funciones.
|
Agente de usuario |
ISE-PIC |
ISE |
| Inicio de sesión en Active Directory Desktop |
Yes |
Yes |
Yes |
| Inicio de sesión en red |
No |
No |
Yes |
| Sondeo de terminal |
Yes |
Yes |
Yes |
| InfoBlox/IPAM |
No |
Yes |
Yes |
| LDAP |
No |
Yes |
Yes |
| Gateways web seguros |
No |
Yes |
Yes |
| Orígenes de API REST |
No |
Yes |
Yes |
| Analizador de Syslog |
No |
Yes |
Yes |
| Cobertura de red |
No |
Yes |
Yes |
Fin de vida útil del agente de usuario
La última versión de Firepower compatible con el agente de usuario es la 6.6, que proporciona una advertencia de que el agente de usuario debe desactivarse antes de actualizar a versiones posteriores. Si es necesaria una actualización a una versión posterior a la 6.6, la migración del agente de usuario a ISE o ISE-PIC debe completarse antes de la actualización. Refiérase a la Guía de Configuración del Agente de Usuario para obtener más detalles.
Compatibilidad
Revise la guía de compatibilidad del producto Firepower para asegurarse de que las versiones de software involucradas en la integración sean compatibles. Tenga en cuenta que para futuras versiones de Firepower, la compatibilidad con versiones posteriores de ISE requiere niveles de parches específicos.
Estrategia de migración
La migración de un agente de usuario a ISE o ISE-PIC requiere una cuidadosa planificación, ejecución y prueba para garantizar una transición fluida de la fuente de identidad del usuario para FMC y evitar cualquier impacto en el tráfico de los usuarios. En esta sección se proporcionan las prácticas recomendadas y recomendaciones para esta actividad.
Preparación para la migración
Estos pasos se pueden realizar antes de pasar de un agente de usuario a una integración de ISE:
Paso 1. Configure ISE o ISE-PIC para habilitar PassiveID y establecer la conexión WMI con Active Directory. Consulte la Guía de Administración de ISE-PIC.
Paso 2. Preparar el certificado de identidad del CSP. Puede ser un certificado autofirmado emitido por el CSP o una solicitud de firma de certificado (CSR) generada en el CSP, que deberá firmar una autoridad de certificación (CA) pública o privada. El certificado autofirmado o el certificado raíz de la CA deben estar instalados en ISE. Refiérase a la Guía de Integración de ISE y FMC para obtener más detalles.
Paso 3. Instale el certificado raíz de CA que firmó el certificado pxGrid de ISE (o el certificado pxGrid si está firmado automáticamente) en FMC. Refiérase a la Guía de Integración de ISE y FMC para obtener más detalles.
Proceso de transición
La integración de FMC-ISE no se puede configurar sin deshabilitar la configuración de agente de usuario en FMC, ya que las dos configuraciones se excluyen mutuamente. Esto puede afectar potencialmente a los usuarios durante el cambio. Se recomienda realizar estos pasos durante la ventana de mantenimiento.
Paso 1. Habilitar y verificar la integración FMC-ISE. Consulte la Guía de integración de ISE y FMC para obtener más información.
Paso 2. Para asegurarse de que las actividades de los usuarios se notifican al CSP, acceda a laAnalysis > User > User Activitiespágina del CSP.
Paso 3. Revise que la asignación de IP de usuario y la asignación de grupo de usuarios están disponibles en los dispositivos administrados enAnalysis > Connections > Events > Table View of Connection Events.
Paso 4. Modifique la política de control de acceso para cambiar temporalmente la acción a Monitor a cualquier regla que bloquee el tráfico según el nombre de usuario o la condición del grupo de usuarios. Para las reglas que permiten el tráfico basado en el usuario o grupo iniciador, cree una regla duplicada que permita el tráfico sin criterios de usuario y, a continuación, deshabilite la regla original. El objetivo de este paso es garantizar que el tráfico crítico para la empresa no se vea afectado durante la fase de prueba después de la ventana de mantenimiento.
Paso 5. Después de la ventana de mantenimiento, durante el horario comercial normal, observe los Eventos de Conexión en FMC para monitorear el mapeo IP de usuario. Tenga en cuenta que los eventos de conexión muestran información del usuario sólo si hay una regla habilitada que requiere datos de usuario. Esta es la razón por la que se sugiere la acción de supervisión en el paso anterior.
Paso 6. Una vez alcanzado el estado deseado, simplemente revierta los cambios realizados en las políticas de control de acceso y envíe la implementación de políticas a los dispositivos administrados.
Información Relacionada
Comentarios