Introduzione
Questo documento descrive come eseguire la migrazione da User Agent a Identity Services Engine (ISE) per Firepower User Agent.
Premesse
Nelle versioni future, Firepower User Agent non è più disponibile. Viene sostituita da ISE o Identity Services Engine - Passive ID Connector (ISE-PIC). Se al momento si utilizza User Agent e si sta valutando la possibilità di migrare ad ISE, questo documento fornisce considerazioni e strategie per la migrazione.
Panoramica sull'identità dell'utente
Attualmente esistono due metodi per estrarre le informazioni sull'identità dell'utente dall'infrastruttura delle identità esistente: User Agent e ISE Integration.
Agente utente
Agente utente è un'applicazione installata su una piattaforma Windows. Si basa sul protocollo Strumentazione gestione Windows (WMI) per accedere agli eventi di accesso dell'utente (tipo di evento 4624) e quindi salva i dati in un database locale. Gli eventi di accesso vengono recuperati in due modi: aggiornati in tempo reale durante l'accesso dell'utente (solo Windows Server 2008 e 2012) o durante il polling dei dati per ogni intervallo configurabile. Analogamente, l'agente utente invia i dati ricevuti da Active Directory (AD) al centro di gestione Firepower (FMC) in tempo reale e invia regolarmente batch di dati di accesso al centro.
I tipi di accesso rilevabili dall'agente utente includono l'accesso a un host direttamente o tramite Desktop remoto, l'accesso con condivisione file e l'accesso con account computer. Altri tipi di accesso, ad esempio Citrix, gli accessi di rete e Kerberos, non sono supportati dall'agente utente.
Agente utente dispone di una funzionalità facoltativa per rilevare se l'utente mappato si è disconnesso. Se il controllo della disconnessione è abilitato, controlla periodicamente se il processo è in esecuzione su ciascun endpoint mappato. Se il controllo della disconnessione è abilitato, controlla periodicamente se ilexplorer.exeprocesso è in esecuzione su ciascun endpoint mappato. Se non è in grado di rilevare il processo in esecuzione, dopo 72 ore il mapping per questo utente viene rimosso.
Identity Services Engine
ISE è un robusto server AAA che gestisce le sessioni di accesso alla rete dell'utente. Poiché ISE comunica direttamente con dispositivi di rete quali switch e controller wireless, ha accesso a dati aggiornati sulle attività dell'utente, rendendolo una fonte di identità migliore rispetto all'agente utente. Quando un utente accede a un endpoint, in genere si connette automaticamente alla rete e, se l'autenticazione dot1x è abilitata per la rete, ISE crea una sessione di autenticazione per questi utenti e la mantiene attiva finché l'utente non si disconnette dalla rete. Se ISE è integrato con FMC, inoltra i dati della mappatura IP dell'utente (insieme ad altri dati raccolti da ISE) al FMC.
ISE può essere integrato con FMC tramite pxGrid. pxGrid è un protocollo progettato per centralizzare la distribuzione delle informazioni sulle sessioni tra i server ISE e con altri prodotti. In questa integrazione, ISE agisce come un pxGrid Controller e FMC si iscrive al controller per ricevere i dati della sessione (FMC non pubblica alcun dato ad ISE se non durante le riparazioni che saranno discusse in seguito) e passa i dati ai sensori per raggiungere la consapevolezza dell'utente.
Identity Services Engine - Connettore di identità passiva (ISE-PIC)
Identity Services Engine - Passive Identity Connector (ISE-PIC) è essenzialmente un'istanza di ISE con una licenza limitata. ISE-PIC non esegue l'autenticazione, ma funge da hub centrale per le diverse origini di identità della rete, raccogliendo i dati di identità e fornendoli agli utenti. ISE-PIC è simile a User Agent in quanto utilizza anche WMI per raccogliere gli eventi di accesso da Active Directory, ma con funzionalità più affidabili note come identità passiva. È anche integrato con FMC tramite pxGrid.
Considerazioni sulla migrazione
Requisiti per le licenze
Il CCP non richiede licenze aggiuntive. ISE richiede una licenza se non è già implementata nell'infrastruttura. Per ulteriori informazioni, consultare il documento sul modello di licenza Cisco ISE. ISE-PIC è una funzionalità già presente nell'implementazione completa di ISE, quindi non sono necessarie licenze aggiuntive se è presente un'implementazione ISE. Per una nuova implementazione o una distribuzione separata di ISE-PIC, consultare il documento sulle licenze Cisco ISE-PIC per ulteriori informazioni.
Certificato SSL
Mentre l'agente utente non richiede l'infrastruttura PKI (Public Key Infrastructure) per le comunicazioni con FMC e AD, l'integrazione ISE o ISE-PIC richiede certificati SSL condivisi tra ISE e FMC solo a scopo di autenticazione. L'integrazione supporta i certificati autofirmati e firmati da Autorità di certificazione, a condizione che ai certificati vengano aggiunti sia l'utilizzo chiavi di autenticazione del server che l'utilizzo chiavi di estensione dell'autenticazione del client.
Copertura origine identità
L'agente utente copre solo gli eventi di accesso a Windows dai desktop di Windows, con rilevamento della disconnessione basata su polling. ISE-PIC riguarda l'accesso a Windows Desktop e altre origini di identità, quali AD Agent, Kerberos SPAN, Syslog Parser e Terminal Services Agent (TSA). Full ISE offre la copertura di tutti gli ISE-PIC, oltre all'autenticazione di rete da workstation non Windows e dispositivi mobili, tra le altre funzioni.
|
Agente utente |
ISE-PIC |
ISE |
| Accesso al desktop di Active Directory |
Sì |
Sì |
Sì |
| Accesso alla rete |
No |
No |
Sì |
| Probe dell'endpoint |
Sì |
Sì |
Sì |
| InfoBlox/Gestione indirizzi IP |
No |
Sì |
Sì |
| LDAP |
No |
Sì |
Sì |
| Gateway Web protetti |
No |
Sì |
Sì |
| Origini API REST |
No |
Sì |
Sì |
| Parser syslog |
No |
Sì |
Sì |
| Span di rete |
No |
Sì |
Sì |
Fine del ciclo di vita agente utente
L'ultima versione di Firepower per il supporto dell'agente utente è 6.6, che indica che l'agente utente deve essere disabilitato prima di eseguire l'aggiornamento a versioni più recenti. Se è necessario un aggiornamento a una versione successiva alla 6.6, è necessario completare la migrazione da User Agent ad ISE o ISE-PIC prima dell'aggiornamento. Per ulteriori informazioni, consultare la guida alla configurazione dell'agente utente.
Compatibilità
Consultare la guida alla compatibilità dei prodotti Firepower per assicurarsi che le versioni software coinvolte nell'integrazione siano compatibili. Per le future versioni di Firepower, il supporto per le versioni ISE più recenti richiede livelli di patch specifici.
Strategia di migrazione
La migrazione da User Agent ad ISE o ISE-PIC richiede un'attenta pianificazione, esecuzione e test per garantire una transizione senza problemi dell'origine dell'identità dell'utente per FMC ed evitare qualsiasi impatto sul traffico degli utenti. In questa sezione vengono illustrate le procedure ottimali e i suggerimenti per l'attività.
Preparazione per la migrazione
Questi passaggi possono essere eseguiti prima del passaggio da User Agent a ISE Integration:
Passaggio 1. Configurare ISE o ISE-PIC per abilitare PassiveID e stabilire una connessione WMI con Active Directory. Fare riferimento alla Guida all'amministrazione di ISE-PIC.
Passaggio 2. Preparare il certificato di identità del CCP. Può trattarsi di un certificato autofirmato rilasciato dal CCP o di una richiesta di firma del certificato (CSR) generata dal CCP e firmata da un'autorità di certificazione (CA) pubblica o privata. Il certificato autofirmato o il certificato radice della CA deve essere installato su ISE. Per ulteriori informazioni, consultare la guida all'integrazione di ISE e FMC.
Passaggio 3. Installare il certificato radice CA che ha firmato il certificato pxGrid dell'ISE (o il certificato pxGrid se autofirmato) su FMC. Per ulteriori informazioni, consultare la guida all'integrazione di ISE e FMC.
Processo di copertura
Impossibile configurare l'integrazione FMC-ISE senza disabilitare la configurazione dell'agente utente in FMC perché le due configurazioni si escludono a vicenda. Ciò può influire sugli utenti durante la modifica. Si consiglia di eseguire queste operazioni durante la finestra di manutenzione.
Passaggio 1. Attivare e verificare l'integrazione FMC-ISE. Per ulteriori informazioni, consultare la guida all'integrazione di ISE e FMC.
Passaggio 2. Accertarsi che le attività degli utenti siano segnalate al CCP passando allaAnalysis > User > User Activitiespagina del CCP.
Passaggio 3. Verificare che il mapping utente-IP e il mapping utente-gruppo siano disponibili nei dispositivi gestiti daAnalysis > Connections > Events > Table View of Connection Events.
Passaggio 4. Modificare i Criteri di controllo di accesso per modificare temporaneamente l'azione da Monitorare in base alle regole che bloccano il traffico a seconda della condizione del nome utente o del gruppo di utenti. Per le regole che consentono il traffico in base all'utente o al gruppo iniziatore, creare una regola duplicata che consenta il traffico senza criteri utente e quindi disattivare la regola originale. Lo scopo di questa fase è garantire che il traffico business-critical non venga influenzato durante la fase di test successiva alla finestra di manutenzione.
Passaggio 5. Dopo la finestra di manutenzione, durante il normale orario di lavoro, osservare gli eventi di connessione su FMC per monitorare la mappatura IP utente. Si noti che gli eventi di connessione visualizzano le informazioni utente solo se è presente una regola attivata che richiede i dati utente. Per questo motivo, nella fase precedente viene suggerita l'azione di monitoraggio.
Passaggio 6. Una volta raggiunto lo stato desiderato, è sufficiente ripristinare le modifiche apportate ai criteri di controllo dell'accesso ed eseguire il push della distribuzione dei criteri nei dispositivi gestiti.
Informazioni correlate
Feedback