Configurazione dell'integrazione WSA con ISE per i servizi compatibili con TrustSec

Opzioni per il download

  • PDF     (1.8 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.6 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:30 luglio 2015
ID documento:119212

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come integrare Web Security Appliance (WSA) con Identity Services Engine (ISE). ISE versione 1.3 supporta una nuova API chiamata pxGrid. Questo protocollo moderno e flessibile supporta l'autenticazione, la crittografia e i privilegi (gruppi) che consentono una facile integrazione con altre soluzioni di sicurezza.

WSA versione 8.7 supporta il protocollo pxGrid ed è in grado di recuperare le informazioni sull'identità del contesto da ISE. Di conseguenza, WSA consente di creare policy basate sui gruppi TrustSec Security Group Tag (SGT) recuperati da ISE.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza della configurazione di Cisco ISE e delle conoscenze base su questi argomenti:

  • Implementazioni ISE e configurazione dell'autorizzazione
  • Configurazione CLI di Adaptive Security Appliance (ASA) per TrustSec e accesso VPN
  • Configurazione WSA
  • Informazioni di base sulle distribuzioni TrustSec

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Microsoft Windows 7
  • Software Cisco ISE versione 1.3 e successive
  • Cisco AnyConnect Mobile Security versione 3.1 e successive
  • Cisco ASA versione 9.3.1 e successive
  • Cisco WSA versione 8.7 e successive

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Esempio di rete e flusso del traffico

I tag SGT TrustSec vengono assegnati da ISE utilizzato come server di autenticazione per tutti i tipi di utenti che accedono alla rete aziendale. Ciò implica il coinvolgimento di utenti cablati/wireless che eseguono l'autenticazione tramite i portali guest 802.1x o ISE. Inoltre, gli utenti VPN remoti che usano ISE per l'autenticazione.

Per WSA, non importa come l'utente ha effettuato l'accesso alla rete.

Nell'esempio viene mostrato come interrompere una sessione su ASA-VPN per utenti VPN remoti. A tali utenti è stato assegnato un tag SGT specifico. Tutto il traffico HTTP diretto a Internet verrà intercettato da ASA-FW (firewall) e reindirizzato al WSA per l'ispezione. WSA utilizza il profilo di identità che consente di classificare gli utenti in base al tag SGT e di creare criteri di accesso o decrittografia basati su tale tag.

Il flusso dettagliato è il seguente:

  1. L'utente VPN AnyConnect termina la sessione SSL (Secure Sockets Layer) sull'appliance ASA-VPN. L'appliance ASA-VPN è configurata per TrustSec e utilizza ISE per l'autenticazione degli utenti VPN. All'utente autenticato viene assegnato un valore di tag SGT = 2 (nome = IT). L'utente riceve un indirizzo IP dalla rete 172.16.32.0/24 (nell'esempio riportato, 172.16.32.50).
  2. L'utente tenta di accedere alla pagina Web su Internet. L'ASA-FW è configurata per il protocollo WCCP (Web Cache Communication Protocol), che reindirizza il traffico al WSA.
  3. Il WSA è configurato per l'integrazione con ISE. Utilizza pxGrid per scaricare informazioni dall'ISE: all'indirizzo IP utente 172.16.32.50 è stato assegnato il tag SGT 2.
  4. WSA elabora la richiesta HTTP dell'utente e accede a PolicyForIT dei criteri di accesso. Questa policy è configurata per bloccare il traffico verso i siti sportivi. Tutti gli altri utenti (che non appartengono a SGT 2) hanno rispettato le regole di accesso predefinite e hanno accesso completo ai siti sportivi.

ASA-VPN

Questo è un gateway VPN configurato per TrustSec. La configurazione dettagliata non rientra nell'ambito di questo documento. Fare riferimento agli esempi seguenti:

ASA-FW

Il firewall ASA è responsabile del reindirizzamento WCCP al server WSA. Il dispositivo non riconosce TrustSec.

interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 172.16.33.110 255.255.255.0 

interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.32.110 255.255.255.0 

access-list wccp-routers extended permit ip host 172.16.32.204 any 
access-list wccp-redirect extended deny tcp any host 172.16.32.204 
access-list wccp-redirect extended permit tcp any any eq www 
access-list wccp-redirect extended permit tcp any any eq https 

wccp 90 redirect-list wccp-redirect group-list wccp-routers
wccp interface inside 90 redirect in

ISE

ISE è un punto centrale dell'implementazione di TrustSec. Assegna tag SGT a tutti gli utenti che accedono e si autenticano alla rete. In questa sezione sono elencati i passaggi necessari per la configurazione di base.

Passaggio 1. SGT per IT e altri gruppi

Scegliere Criteri > Risultati > Accesso al gruppo di sicurezza > Gruppi di sicurezza e creare il modulo SGT:

Passaggio 2. Regola di autorizzazione per accesso VPN che assegna SGT = 2 (IT)

Scegliere Criterio > Autorizzazione e creare una regola per l'accesso VPN remoto. Tutte le connessioni VPN stabilite tramite ASA-VPN avranno accesso completo (PermitAccess) e verranno assegnate al tag SGT 2 (IT).

Passaggio 3. Aggiunta del dispositivo di rete e generazione del file PAC per ASA-VPN

Per aggiungere l'appliance ASA-VPN al dominio TrustSec, è necessario generare manualmente il file PAC (proxy Auto Config). Il file verrà importato sull'appliance ASA.

Configurabile da Amministrazione > Dispositivi di rete. Dopo aver aggiunto l'ASA, scorrere verso il basso fino alle impostazioni TrustSec e generare il file PAC. I dettagli relativi a tali elementi sono descritti in un documento separato (di riferimento).

Passaggio 4. Abilita ruolo pxGrid

Per abilitare il ruolo pxGrid, scegliere Amministrazione > Distribuzione.

Passaggio 5. Genera il certificato per l'amministrazione e il ruolo pxGrid

Il protocollo pxGrid utilizza l'autenticazione del certificato sia per il client che per il server. È molto importante configurare i certificati corretti sia per ISE che per WSA. Entrambi i certificati devono includere il nome di dominio completo (FQDN) nell'oggetto e le estensioni x509 per l'autenticazione client e l'autenticazione server. Inoltre, verificare che sia stato creato il record A DNS corretto sia per ISE che per WSA e che corrisponda all'FQDN corrispondente.

Se entrambi i certificati sono firmati da un'Autorità di certificazione (CA) diversa, è importante includere tali CA nell'archivio attendibile.

Per configurare i certificati, scegliere Amministrazione > Certificati.

ISE può generare una richiesta di firma del certificato (CSR) per ogni ruolo. Per il ruolo pxGrid, esportare e firmare il CSR con una CA esterna.

Nell'esempio riportato di seguito, la CA Microsoft è stata utilizzata con questo modello:

Il risultato finale potrebbe essere simile al seguente:

Non dimenticare di creare i record A DNS per ise14.example.com e pxgrid.example.com che puntano a 172.16.31.202.

Passaggio 6. Registrazione automatica di pxGrid

Per impostazione predefinita, ISE non registrerà automaticamente gli abbonati a pxGrid. che deve essere approvato manualmente dall'amministratore. Questa impostazione deve essere modificata per l'integrazione WSA.

Scegliere Amministrazione > pxGrid Services e impostare Abilita registrazione automatica.

WSA

Passaggio 1. Modalità trasparente e reindirizzamento

Nell'esempio, il server WSA è configurato solo con l'interfaccia di gestione, la modalità trasparente e il reindirizzamento dall'appliance ASA:

 

Passaggio 2. Generazione di certificati

Il server WSA deve considerare attendibile la CA per firmare tutti i certificati. Per aggiungere un certificato CA, scegliere Rete > Gestione certificati:

È inoltre necessario generare un certificato che verrà utilizzato da WSA per l'autenticazione a pxGrid. Scegliere Rete > Identity Services Engine > WSA Client certificate per generare il CSR, firmarlo con il modello CA corretto (ISE-pxgrid) e reimportarlo.

Inoltre, per "ISE Admin Certificate" e "ISE pxGrid Certificate", importare il certificato CA (per considerare attendibile il certificato pxGrid presentato da ISE):

Passaggio 3. Test della connettività ISE

Per verificare la connessione ad ISE, scegliere Network > Identity Services Engine:

Passaggio 4. Profili di identificazione ISE

Per aggiungere un nuovo profilo per ISE, scegliere Web Security Manager > Profili di identificazione. Per "Identification and Authentication" (Identificazione e autenticazione), usare "Transparency identifier with ISE" (Identificazione e autenticazione degli utenti con ISE).

Passaggio 5. Accedere al criterio basato sul tag SGT

Per aggiungere un nuovo criterio, scegliere Web Security Manager > Criteri di accesso. L'appartenenza al gruppo usa il profilo ISE:

Per i gruppi e gli utenti selezionati verrà aggiunto il tag SGT 2 (IT):

La policy nega l'accesso a tutti i siti sportivi agli utenti che appartengono al SGT IT:

Verifica

Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

Passaggio 1. Sessione VPN

L'utente VPN avvia una sessione VPN verso l'appliance ASA-VPN:

L'ASA-VPN usa l'ISE per l'autenticazione. ISE crea una sessione e assegna il tag SGT 2 (IT):

Dopo un'autenticazione riuscita, ASA-VPN crea una sessione VPN con il tag SGT 2 (restituito in Radius Access-Accept in cisco-av-pair):

asa-vpn# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : cisco                  Index        : 2
Assigned IP  : 172.16.32.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 12979961               Bytes Rx     : 1866781
Group Policy : POLICY                 Tunnel Group : SSLVPN
Login Time   : 21:13:26 UTC Tue May 5 2015
Duration     : 6h:08m:03s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : ac1020640000200055493276
Security Grp : 2:IT

Poiché il collegamento tra ASA-VPN e ASA-FW non è abilitato per TrustSec, ASA-VPN invia frame senza tag per il traffico (non sarà possibile incapsulare i frame Ethernet del GRE con il campo CMD/TrustSec inserito).

Passaggio 2. Informazioni sulla sessione recuperate dal WSA

In questa fase, il WSA deve ricevere il mapping tra l'indirizzo IP, il nome utente e il SGT (tramite protocollo pxGrid):

Passaggio 3. Reindirizzamento del traffico al WSA

L'utente VPN avvia una connessione a sport.pl, che viene intercettata da ASA-FW:

asa-fw# show wccp 

Global WCCP information:
    Router information:
        Router Identifier:                   172.16.33.110
        Protocol Version:                    2.0

    Service Identifier: 90
        Number of Cache Engines:             1
        Number of routers:                   1
        Total Packets Redirected:            562
        Redirect access-list:                wccp-redirect
        Total Connections Denied Redirect:   0
        Total Packets Unassigned:            0
        Group access-list:                   wccp-routers
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

asa-fw# show access-list wccp-redirect
access-list wccp-redirect; 3 elements; name hash: 0x9bab8633
access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)
 0xfd875b28 
access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)
 0x028ab2b9 
access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)
 0xe202a11e

e tunneling in GRE su WSA (notare che l'id del router WCCP è l'indirizzo IP configurato più alto):

asa-fw# show capture 
capture CAP type raw-data interface inside [Capturing - 70065 bytes] 
  match gre any any  

asa-fw# show capture CAP

525 packets captured

   1: 03:21:45.035657       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 60 
   2: 03:21:45.038709       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 48 
   3: 03:21:45.039960       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 640

WSA continua l'handshake TCP ed elabora la richiesta GET. Di conseguenza, il criterio denominato PolicyForIT viene raggiunto e il traffico viene bloccato:

Ciò è confermato dalla relazione del WSA:

Il nome utente viene visualizzato in ISE.

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

Certificati non corretti

Se il WSA non è inizializzato correttamente (certificati), verificare la presenza di errori di connessione ISE:

Il file ISE pxgrid-cm.log riporta:

[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]
[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1

La ragione del fallimento può essere vista con Wireshark:

Per una sessione SSL utilizzata per proteggere lo scambio XMPP (Extensible Messaging and Presence Protocol) (utilizzato da pxGrid), il client segnala un errore SSL a causa di una catena di certificati sconosciuta presentata dal server.

Scenario corretto

Per uno scenario corretto, il file pxgrid-controller.log di ISE visualizza:

2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher
 -:::::- Handling authentication for user name wsa.example.com-test_client

Inoltre, la GUI di ISE presenta il WSA come un abbonato con le funzionalità corrette:

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
30-Jul-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Michal Garcarz
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti