Configurer l'appliance Secure Malware Analytics RADIUS sur l'authentification DTLS pour la console et le portail OPadmin

Options de téléchargement

  • PDF     (897.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (748.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (599.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 avril 2020
ID du document:215420

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la fonctionnalité d'authentification RADIUS (Remote Authentication Dial In User Service) qui a été introduite dans la version 2.10 de Secure Malware Analytics Appliance (anciennement Threat Grid). Il permet aux utilisateurs de se connecter au portail Admin ainsi qu'au portail Console avec des informations d'identification stockées dans le serveur AAA (Authentication, Authorization and Accounting) qui prend en charge l'authentification RADIUS sur DTLS (draft-ietf-radext-dtls-04). Dans ce cas, Cisco Identity Services Engine a été utilisé.

    Dans ce document, vous trouverez les étapes nécessaires pour configurer la fonctionnalité.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Appliance Secure Malware Analytics (anciennement Threat Grid)
    • Identity Services Engine (ISE)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Appliance Secure Malware Analytics 2.10
    • Identity Services Engine 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Configurer

    Cette section fournit des instructions détaillées sur la configuration de l'appliance Secure Malware Analytics et de la fonction ISE pour l'authentification RADIUS.

    Remarque : afin de configurer l'authentification, assurez-vous que la communication sur le port UDP 2083 est autorisée entre l'interface Clean de l'appliance Secure Malware Analytics et le noeud de service de stratégie ISE (PSN).

    Configuration

    Étape 1. Préparez le certificat Secure Malware Analytics Appliance pour l'authentification.

    RADIUS sur DTLS utilise l'authentification mutuelle des certificats, ce qui signifie que le certificat de l'autorité de certification (CA) d'ISE est nécessaire. Vérifiez d'abord quel CA a signé le certificat RADIUS DTLS :

    Liste des certificats système dans ISE

    Étape 2. Exportez le certificat CA à partir d'ISE.

    Accédez à Administration > System > Certificates > Certificate Management > Trusted Certificates, localisez l'autorité de certification, sélectionnez Export comme indiqué dans l'image, et enregistrez le certificat sur le disque pour plus tard :

    Liste des certificats approuvés dans ISE

    Étape 3. Ajoutez l'appliance Secure Malware Analytics comme périphérique d'accès réseau.

    Accédez à Administration > Network Resources > Network Devices > Add pour créer une nouvelle entrée pour TG et entrez le Name, l'adresse IP de l'interface Clean et sélectionnez DTLS Required comme indiqué dans l'image. Cliquez sur Save en bas :

    ISE

    Étape 4. Créer un profil d'autorisation pour la stratégie d'autorisation.

    Accédez à Policy > Policy elements > Results > Authorization > Authorization Profiles et cliquez sur Add. Entrez Name et sélectionnez Advanced Attributes Settings comme indiqué dans l'image et cliquez sur Save :

    Capture d’écran 2020-02-20 à 09.04.38

    Étape 5. Créez une stratégie d'authentification.

    Accédez à Policy > Policy Sets et cliquez sur +. Saisissez le nom de l'ensemble de stratégies et définissez la condition sur Adresse IP NAD, attribuée à l'interface propre de l'appliance Secure Malware Analytics, cliquez sur Enregistrer comme indiqué dans l'image :

    Capture d’écran 2020-02-10 à 11.23.13

    Étape 6. Créez une stratégie d’autorisation.

    Cliquez sur le bouton > pour accéder à la stratégie d'autorisation, développez la stratégie d'autorisation, cliquez sur + et configurez comme indiqué dans l'image, après avoir terminé, cliquez sur Enregistrer :

    Capture d’écran 2020-02-20 à 09.41.28

    Conseil : vous pouvez créer une règle d'autorisation pour tous vos utilisateurs qui répondent aux deux conditions, Admin et UI.

    Étape 7. Créez un certificat d'identité pour Secure Malware Analytics Appliance.

    Le certificat client de l'appliance Secure Malware Analytics doit être basé sur la clé Elliptic Curve :

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Vous devez créer une CSR basée sur cette clé, puis elle doit être signée par l'autorité de certification approuvée par ISE. Consultez la page Import the Root Certificates to the Trusted Certificate Store pour plus d'informations sur la façon d'ajouter un certificat CA au magasin de certificats de confiance ISE.

    Étape 8. Configurez l'appliance Secure Malware Analytics pour utiliser RADIUS.

    Connectez-vous au portail d'administration, accédez à Configuration > RADIUS. Dans RADIUS CA Certificate, collez le contenu du fichier PEM collecté auprès d'ISE, dans Client Certificate, collez le certificat au format PEM reçu de CA et dans Client Key, collez le contenu du fichier private-ec-key.pem de l'étape précédente, comme illustré dans l'image. Cliquez sur Enregistrer :

    Capture d’écran 2020-03-02 à 13.39.11

    Remarque : vous devez reconfigurer l'appliance Secure Malware Analytics après avoir enregistré les paramètres RADIUS.

    Étape 9. Ajoutez le nom d'utilisateur RADIUS aux utilisateurs de la console.

    Pour vous connecter au portail de la console, vous devez ajouter l'attribut Nom d'utilisateur RADIUS à l'utilisateur correspondant, comme indiqué dans l'image :

    Capture d’écran 2020-02-20 à 10.27.50

    Étape 10. Activez l'authentification RADIUS uniquement.

    Une fois la connexion au portail d'administration réussie, une nouvelle option apparaît, qui désactive complètement l'authentification du système local et laisse la seule basée sur RADIUS.

    Capture d’écran 2020-02-20 à 10.34.15

    Vérifier

    Après la reconfiguration de Secure Malware Analytics Appliance, déconnectez-vous et les pages de connexion se présentent comme dans les portails d'images, d'administration et de console :

    Capture d’écran 2020-02-20 à 09.56.15

    Capture d’écran 2020-02-20 à 09.56.53

    Dépannage

    Trois composants peuvent poser problème : ISE, la connectivité réseau et Secure Malware Analytics Appliance.

    • Dans ISE, assurez-vous qu'il renvoie ServiceType=Administrative aux demandes d'authentification de l'appliance Secure Malware Analytics. Accédez à Operations > RADIUS > Live Logs sur ISE et vérifiez les détails :

    Capture d’écran 2020-02-20 à 08.51.49
    Capture d’écran 2020-02-20 à 09.58.49

    • Si vous ne voyez pas ces requêtes, effectuez une capture de paquets sur ISE. Accédez à Operations > Troubleshoot > Diagnostic Tools > TCP Dump, fournissez le champ IP in Filter de l'interface propre du TG, cliquez sur Start et essayez de vous connecter à Secure Malware Analytics Appliance :

    Capture d’écran 2020-02-20 à 10.07.42

    Vous devez voir que le nombre d'octets a augmenté. Ouvrez le fichier pcap dans Wireshark pour plus d'informations.

    • Si l'erreur « Nous sommes désolés, mais un problème est survenu » s'affiche après avoir cliqué sur Enregistrer dans l'appliance Secure Malware Analytics et que la page se présente comme suit :

    Capture d’écran 2020-02-20 à 10.17.39

    Cela signifie que vous avez très probablement utilisé la clé RSA pour le certificat client. Vous devez utiliser la clé ECC avec les paramètres spécifiés à l'étape 7.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    22-Apr-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Radek Olszowy
      Ingénieur TAC ATS

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco