Configuración de la autenticación RADIUS de Secure Malware Analytics Appliance sobre DTLS para la consola y el portal OPadmin

Opciones de descarga

  • PDF     (897.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (749.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (599.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de abril de 2020
ID del documento:215420

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la función de autenticación del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) que se introdujo en Secure Malware Analytics Appliance (anteriormente Threat Grid) versión 2.10. Permite a los usuarios iniciar sesión en el portal de administración y en el portal de consola con credenciales almacenadas en el servidor de autenticación, autorización y administración de cuentas (AAA) que admite la autenticación RADIUS sobre DTLS (draft-ietf-radext-dtls-04). En este caso, se utilizó Cisco Identity Services Engine.

    En este documento encontrará los pasos necesarios para configurar la función.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Secure Malware Analytics Appliance (anteriormente Threat Grid)
    • Identity Services Engine (ISE)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Secure Malware Analytics Appliance 2.10
    • Identity Services Engine 2.7

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

    Configurar

    Esta sección proporciona instrucciones detalladas sobre cómo configurarSecure Malware Analytics Appliance e ISE para la función de autenticación RADIUS.

    Nota: para configurar la autenticación, asegúrese de que se permite la comunicación en el puerto UDP 2083 entre la interfaz de Secure Malware Analytics Appliance Clean e ISE Policy Service Node (PSN).

    Configuración

    Paso 1. Prepare el certificado de Secure Malware Analytics Appliance para la autenticación.

    RADIUS sobre DTLS utiliza autenticación mutua de certificados, lo que significa que se necesita el certificado de la autoridad de certificación (CA) de ISE. En primer lugar, compruebe qué certificado RADIUS DTLS firmado por CA:

    Lista de certificados del sistema en ISE

    Paso 2. Exporte el certificado de CA desde ISE.

    Vaya a Administration > System > Certificates > Certificate Management > Trusted Certificates, localice la CA, seleccione Export como se muestra en la imagen y guarde el certificado en el disco para más tarde:

    Lista de certificados de confianza en ISE

    Paso 3. Agregue Secure Malware Analytics Appliance como dispositivo de acceso a la red.

    Navegue hasta Administration > Network Resources > Network Devices > Add para crear una nueva entrada para TG e ingrese el Nombre, la dirección IP de la interfaz Clean y seleccione DTLS Required como se muestra en la imagen. Haga clic en Save en la parte inferior:

    ISE

    Paso 4. Cree un perfil de autorización para la directiva de autorización.

    Navegue hasta Política > Elementos de política > Resultados > Autorización > Perfiles de autorización y haga clic en Agregar. Ingrese Name y seleccione Advanced Attributes Settings como se muestra en la imagen y haga clic en Save:

    Captura de pantalla 2020-02-20 a las 09.04.38

    Paso 5. Cree una política de autenticación.

    Navegue hasta Policy > Policy Sets y haga clic en +. Ingrese Policy Set Name y establezca la condición en NAD IP Address, asignada a la interfaz limpia del Secure Malware Analytics Appliance, haga clic en Save como se muestra en la imagen:

    Captura de pantalla 2020-02-10 a las 11.23.13

    Paso 6. Cree una directiva de autorización.

    Haga clic en > para ir a la política de autorización, expanda la política de autorización, haga clic en + y configure como se muestra en la imagen, después de terminar haga clic en Guardar:

    Captura de pantalla 2020-02-20 a las 09.41.28

    Sugerencia: puede crear una regla de autorización para todos los usuarios que coincidan con ambas condiciones, Admin y UI.

    Paso 7. Cree un certificado de identidad para Secure Malware Analytics Appliance.

    El certificado de cliente de Secure Malware Analytics Appliance debe basarse en la clave de curva elíptica:

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Debe crear una CSR basada en esa clave y, a continuación, debe estar firmada por la CA en la que confía ISE. Marque Importar los certificados raíz en la página Almacén de certificados de confianza para obtener más información sobre cómo agregar un certificado de CA al Almacén de certificados de confianza de ISE.

    Paso 8. Configure Secure Malware Analytics Appliance para utilizar RADIUS.

    Inicie sesión en el portal de administración y navegue hasta Configuration > RADIUS. En RADIUS CA Certificate, pegue el contenido del archivo PEM recopilado de ISE; en Client Certificate, pegue el certificado con formato PEM recibido de CA y en Client Key, pegue el contenido del archivo private-ec-key.pem del paso anterior, como se muestra en la imagen. Haga clic en Save (Guardar):

    Captura de pantalla 2020-03-02 a las 13.39.11

    Nota: debe volver a configurar Secure Malware Analytics Appliance después de guardar los parámetros de RADIUS.

    Paso 9. Agregue el nombre de usuario RADIUS a los usuarios de la consola.

    Para iniciar sesión en el portal de la consola, debe agregar el atributo RADIUS Username al usuario respectivo como se muestra en la imagen:

    Captura de pantalla 2020-02-20 a las 10.27.50

    Paso 10. Active la autenticación sólo RADIUS.

    Después de iniciar sesión correctamente en el portal de administración, aparece una nueva opción que desactiva por completo la autenticación del sistema local y deja la única basada en RADIUS.

    Captura de pantalla 2020-02-20 a las 10.34.15

    Verificación

    Una vez reconfigurado Secure Malware Analytics Appliance, cierre la sesión y ahora las páginas de inicio de sesión tendrán el aspecto de las imágenes, el administrador y el portal de consola respectivamente:

    Captura de pantalla 2020-02-20 a las 09.56.15

    Captura de pantalla 2020-02-20 a las 09.56.53

    Troubleshoot

    Hay tres componentes que podrían causar problemas: ISE, conectividad de red y Secure Malware Analytics Appliance.

    • En ISE, asegúrese de que devuelve las solicitudes de autenticación de ServiceType=Administrative to Secure Malware Analytics Appliance. Navegue hasta Operaciones > RADIUS > Live Logs en ISE y verifique los detalles:

    Captura de pantalla 2020-02-20 a las 08.51.49
    Captura de pantalla 2020-02-20 a las 09.58.49

    • Si no ve estas solicitudes, realice una captura de paquetes en ISE. Navegue hasta Operaciones > Troubleshooting > Herramientas de diagnóstico > TCP Dump, proporcione la IP en el campo de filtro de la interfaz limpia de TG, haga clic en Inicio e intente iniciar sesión en Secure Malware Analytics Appliance:

    Captura de pantalla 2020-02-20 a las 10.07.42

    Debe ver que el número de bytes ha aumentado. Abra el archivo pcap en Wireshark para obtener más información.

    • Si ve el error "Lo sentimos, pero algo salió mal" después de hacer clic en Guardar en Secure Malware Analytics Appliance y la página tiene el siguiente aspecto:

    Captura de pantalla 2020-02-20 a las 10.17.39

    Eso significa que probablemente utilizó la clave RSA para el certificado de cliente. Debe utilizar la clave ECC con los parámetros especificados en el paso 7.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    22-Apr-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Radek Olszowy
      ATS TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco