アイデンティティ サービスのための ISE と FirePOWER 統合のトラブルシューティング

ダウンロード オプション

  • PDF     (2.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.9 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.6 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 1 月 11 日
Document ID:200319

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Next Generation Intrusion Prevention System(NGIPS)でTrustSec対応ポリシーを設定およびトラブルシューティングする方法について説明します。NGIPSバージョン6.0はIdentity Services Engine(ISE)との統合をサポートしているため、様はIDベースのポリシーを構築できます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco 適応型セキュリティ アプライアンス(ASA)VPN の設定
  • Cisco AnyConnect セキュア モビリティ クライアントの設定
  • Cisco FirePower Management Center(FMC)基本設定
  • Cisco ISE の設定
  • Cisco TrustSecソリューション

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Microsoft Windows 7
  • Microsoft Windows 2012認証局(CA)
  • Cisco ASA バージョン 9.3
  • Cisco ISEソフトウェアバージョン1.4
  • Cisco AnyConnectセキュアモビリティクライアントバージョン4.2
  • Cisco FirePower Management Center(FMC)バージョン6.0
  • Cisco FirePower NGIPSバージョン6.0

設定

FirePower Management Center(FMC)は、FirePowerの管理プラットフォームです。ISE統合に関連する機能には、次の2つのタイプがあります。
  • 修復:ISEを介してFMCが攻撃者を隔離できるようにします。ISEはアクセスデバイスの認可ステータスを動的に変更するため、ネットワークアクセスが制限されます。このソリューションには、次の2つの世代があります。
  1. ISEへのEndpoint Protection Service(EPS)APIコールを使用するレガシーPerlスクリプト。
  2. ISEへのpxGridプロトコルコールを使用する新しいモジュール(このモジュールはバージョン5.4でのみサポートされ、6.0ではサポートされません。ネイティブサポートは6.1で予定されています)。
  • ポリシー:TrustSecセキュリティグループタグ(SGT)に基づいてポリシーを設定できます。

この記事では、2番目の機能に焦点を当てています。修復例については、「参考資料」セクションを参照してください。

ネットワーク図

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-00.jpeg

FMCには、次の2つのルールを含むアクセスコントロールポリシーが設定されています。

  • カスタムURL(attack-url)を使用したHTTPトラフィックの拒否
  • カスタムURL(attack-url)でHTTPトラフィックを許可するが、ユーザがISEによってAudit (9) SGTタグに割り当てられている場合のみ

ISEは、管理者グループに属するすべてのActive Directoryユーザに監査タグを割り当て、ネットワークアクセスにASA-VPNデバイスを使用することを決定します。

ユーザはASA上のVPN接続を介してネットワークにアクセスします。次に、ユーザはURL attack-urlを使用して監査サーバへのアクセスを試みますが、監査SGTグループに割り当てられていないため失敗します。これが修正されると、接続は成功します。

ISE

Active Directory

AD統合を設定し、正しいグループをフェッチする必要があります(許可ルールの条件には管理者グループが使用されます)。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-01.png

ネットワークアクセスデバイス

ASAはネットワークデバイスとして追加されます。次の図に示すように、カスタムグループASA-VPN-Auditが使用されます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-02.png

pxGridおよびMnTの証明書

FMCはISEで両方のサービスを使用します。

  • SGTおよびプロファイルデータクエリのpxGrid
  • 一括セッションダウンロードのためのモニタリングとレポート(MnT)

MnTのアベイラビリティは非常に重要です。これは、この方法によってFMCに認証済みセッションのIPアドレスが通知され、そのユーザ名とSGTタグも通知されるためです。これに基づいて、正しいポリシーを適用できます。NGIPSは、ASAのようなネイティブのSGTタグ(インラインタギング)をサポートしていないことに注意してください。ただし、ASAとは異なり、番号のみの代わりにSGT名をサポートします。

これらの要件により、ISEとFMCの両方が互いのサービス(証明書)を信頼する必要があります。MnTはサーバ側の証明書のみを使用し、pxGridはクライアント側とサーバ側の証明書の両方を使用します。

Microsoft CAを使用して、すべての証明書に署名します。

次の図に示すように、MnT(管理者ロール)の場合、ISEは証明書署名要求(CSR)を生成する必要があります。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-03.png

Microsoft CAによって署名された後、 Bind Certificateオプションを使用してインポートする必要があります。
pxGridサービスでも同様のプロセスに従う必要があります。 オプションに使用する証明書にはpxGridを選択する必要があります。
同じサブジェクト名を持つ2つの証明書は存在できないため、OUまたはOセクション(pxGridなど)に異なる値を追加することは完全に許容されます。

:ISEとFMCの両方のすべての完全修飾ドメイン名(FQDN)について、正しいDNSレコードがDNSサーバに設定されていることを確認してください。

Admin証明書とpxGrid証明書の唯一の違いは、署名プロセスにあります。pxGrid証明書にはクライアントとサーバの両方の拡張キー使用法(EKU)オプションが必要であるため、Microsoft CAのカスタムテンプレートを次のように使用できます。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-04.png
 Microsoft Webサービスを使用してpxGrid CSRに署名する方法を次の図に示します。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-05.png
最後に、ISEは、次の図に示すように、信頼できるCA(Microsoft)によって署名された管理者およびpxGrid証明書を持っている必要があります。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-06.png

pxGridサービス

次の図に示すように、特定のノードの正しい証明書を使用してpxGridロールを有効にする必要があります。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-07.png

自動承認を有効に設定する必要があります。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-08.png

認可ポリシー

デフォルトの認証ポリシーが使用されます(ローカルユーザが見つからない場合はADルックアップが実行されます)。

許可ポリシーは、ASA-VPN経由で認証され、Active DirectoryグループAdministratorsに属するユーザにフルネットワークアクセス(許可:PermitAccess)を提供するように設定されています。これらのユーザには、SGTタグAuditorが返されます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-09.png

FMC

Active Directoryレルム

レルム設定は、ISE統合と連携して動作するために必要です(アイデンティティポリシーを使用し、受動的に認証されたユーザのグループメンバーシップを取得するために)。レルムは、Active DirectoryまたはLightweight Directory Access Protocol(LDAP)用に設定できます。この例では、ADが使用されています。System > Integration > Realmから、

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-10.png

標準のディレクトリ設定が使用されます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-11.png

また、一部のADグループが取得されます(アクセス制御ルールで追加条件として使用されます)。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-12.png

AdminおよびpxGridの証明書

必須ではありませんが、管理者アクセス用にCSRを生成することをお勧めします。次の図に示すように、信頼できるADを使用してCSRに署名し、署名付き証明書をインポートして戻します。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-13.png

CA証明書を信頼できるストアに追加する必要があります。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-14.png
最後のステップは、ISE pxGridサービスを許可するためにFMCによって使用されるpxGrid証明書を生成することです。CSRを生成するには、CLI(またはopensslツールを使用する他の外部マシン)を使用する必要があります。 
admin@firepower:~$ sudo su -
Password: 
root@firepower:~# 
root@firepower:~# openssl genrsa -des3 -out fire.key 4096
Generating RSA private key, 4096 bit long modulus
.........
..............
e is 65537 (0x10001)
Enter pass phrase for fire.key:
Verifying - Enter pass phrase for fire.key:
root@firepower:~# 
root@firepower:~# openssl req -new -key fire.key -out fire.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Code []:PL
State or Province Name []:
Locality Name []:
Organization Name []:Cisco
Organizational Unit Name []:TAC
Common Name []:firepower.example.com
Email Address []:
root@firepower:~#
fire.csrを生成したら、Microsoft CA(pxGridテンプレート)を使用して署名します。秘密キー(fire.key)と署名付き証明書(fire.pem)をFMC内部証明書ストアにインポートして戻します。秘密キーについては、キーの生成時に設定したパスワードを使用します( openssl genrsaコマンド)。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-15.png

ISEの統合

すべての証明書をインストールしたら、System > IntegrationでISE統合を設定します。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-16.png

インポートされたCAは、pxGridサービス証明書とMnTサービス証明書の検証の両方に使用します。Management Console(MC)では、pxGrid用に生成された内部証明書を使用します。

アイデンティティポリシー

以前に設定したADレルムをパッシブ認証に使用するアイデンティティポリシーを設定します。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-17.png

アクセス コントロール ポリシー

この例では、カスタムURLが作成されています。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-18.png

また、カスタムアクセスコントロールポリシーの2つのルールは次のとおりです。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-19.png
PermitPrivileged-HTTPルールは、SGTタグが割り当てられたAD管理者グループに属するすべてのユーザを許可します。すべてのターゲットに対してHTTP攻撃を実行する監査機能。
DenyUnprivileged-HTTPは、他のすべてのユーザに対してこのアクションを拒否します。
以前に作成したアイデンティティポリシーがこのアクセスコントロールポリシーに割り当てられていることにも注目してください。
このタブではSGTタグを表示できませんが、特定のルールを作成または編集している間は表示できます。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-20.png
ポリシーがNGIPSに割り当てられ、すべての変更が展開されていることを確認します。
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-21.png


確認

すべてが正しく設定されると、ISEにはpxGridクライアントがセッションサービス(ステータスはOnline)に加入していることが表示されます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-22.png

ログから、FMCがTrustSecMetaData(SGTタグ)サービスをサブスクライブしたことも確認できます。すべてのタグを取得し、サブスクライブを解除しました。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-23.png

VPN セッションの確立

最初のテストは、ISEの認可が正しいSGTタグを返さない(NGIPSは監査テストを許可しない)シナリオに対して実行されます。

VPNセッションがアップすると、AnyConnectユーザインターフェイス(UI)で詳細を確認できます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-24.png

ASAはセッションが確立されたことを確認できます。

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3

この認証に対して返されたSGTタグがASAに表示されないことに注意してください。ASAはTrustSec用に設定されていないため、情報はスキップされます。

ISEは、認証の成功(23:36:19のログ)も報告しています。SGTタグは返されませんでした。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-25.png

FMCがMnTからセッションデータを取得

/var/log/messages内のFMCは、管理者ユーザ名の新しいセッション(pxGridサービスのサブスクライバとして受信)を報告し、グループメンバーシップのADルックアップを実行します。

firepower SF-IMS[3554]: [17768] ADI:adi.LdapRealm [INFO] search 
'(|(sAMAccountName=Administrator))' has the following DN: 
'CN=Administrator,CN=Users,DC=example,DC=com'.

非特権および特権ネットワークアクセス

この段階で、ユーザがWebブラウザを開いて監査対象のサーバにアクセスしようとすると、接続が終了します。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-26.png

これは、クライアントから取得されたパケットキャプチャ(FMCの設定に従ったTCP RST送信)によって確認できます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-27.png

ISEが戻るように設定されると、監査タグASAセッションは次のように報告します。

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3
Security Grp : 9

また、ISEは正常な認証(23:37:26のログ)を報告します。SGTタグAuditorが返されます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-28.png

ユーザは指定されたサービスにアクセスできます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-29.png

FMCロギングアクセス

このアクティビティは、接続イベントレポートで確認できます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-30.png

最初に、ユーザにはSGTタグが割り当てられておらず、DenyUnprivileged-HTTPルールが適用されていました。監査タグがISEによって割り当てられ(FMCによって取得された)、PermitPrivileged-HTTPが使用され、アクセスが許可されます。

また、通常はアクセス制御規則とセキュリティグループタグ(SGT)が最後の列の1つとして表示されるため(また、水平スクロールバーを使用する必要があるため)、表示する列が複数削除されていることも確認してください。カスタマイズしたビューは、保存して後で再利用できます。

トラブルシュート

FMCのデバッグ

アイデンティティサービスを担当するadiコンポーネントのログを確認するには、 /var/log/messagesファイルを確認します。

[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] Parsing command line arguments...            
[23509] ADI_ISE_Test_Help:adi.DirectoryTestHandler [INFO] test: ISE connection.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing ISE Connection objects...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing subscription objects...             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to EndpointProfileMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability EndpointProfileMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to TrustSecMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability TrustSecMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to SessionDirectoryCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability SessionDirectoryCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Connecting to ISE server...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Beginning to connect to ISE server...          
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: _reconnection_thread started         
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: pxgrid connection init done successfully      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: connecting to host lise20.example.com .......      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: stream opened         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: EXTERNAL authentication complete        
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: authenticated successfully (sasl mechanism: EXTERNAL)      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully subscribed         
message repeated 2 times               
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Queried 1 bulk download hostnames:lise20.example.com:8910           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ...successfully connected to ISE server.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Starting bulk download             
[23514] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: curl_easy_setopt() for CURLOPT_URL: 'https://lise20.example.com:8910/pxgrid/mnt/sd/getSessionListByTime'       
[8893] ADI:ADI [INFO] : sub command emits:'* Trying 172.16.31.210...'          
[8893] ADI:ADI [INFO] : sub command emits:'* Connected to lise20.example.com (172.16.31.210) port 8910 (#0)'     
[8893] ADI:ADI [INFO] : sub command emits:'* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH'         
[8893] ADI:ADI [INFO] : sub command emits:'* SSL connection using TLSv1.2 / DHE-RSA-AES256-SHA256'      
[8893] ADI:ADI [INFO] : sub command emits:'* Server certificate:'          
[8893] ADI:ADI [INFO] : sub command emits:'* ^I subject: CN=lise20.example.com'         
[8893] ADI:ADI [INFO] : sub command emits:'* ^I start date: 2015-11-21 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I expire date: 2017-11-20 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I common name: lise20.example.com (matched)'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I issuer: DC=com; DC=example; CN=example-WIN-CA'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I SSL certificate verify ok.'       
[8893] ADI:ADI [INFO] : sub command emits:'> POST /pxgrid/mnt/sd/getSessionListByTime HTTP/1.1^M'         
[8893] ADI:ADI [INFO] : sub command emits:'Host: lise20.example.com:8910^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Accept: */*^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Content-Type: application/xml^M'           
[8893] ADI:ADI [INFO] : sub command emits:'user:firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com^M'            
[8893] ADI:ADI [INFO] : sub command emits:'Content-Length: 269^M'           
[8893] ADI:ADI [INFO] : sub command emits:'^M'            
[8893] ADI:ADI [INFO] : sub command emits:'* upload completely sent off: 269 out of 269 bytes'   
[8893] ADI:ADI [INFO] : sub command emits:'< HTTP/1.1 200 OK^M'         
[8893] ADI:ADI [INFO] : sub command emits:'< Date: Tue, 01 Dec 2015 23:10:45 GMT^M'     
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Type: application/xml^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Length: 1287^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Server: ^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< ^M'           
[8893] ADI:ADI [INFO] : sub command emits:'* Connection #0 to host lise20.example.com left intact'     
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] bulk download processed 0 entries.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] disconnecting pxgrid              
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Starting reconnection stop        
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: _reconnection_thread exited         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: stream closed; err_dom=(null) 2015-12-01T23:10:45 [ INFO]: clientDisconnectedCb -> destroying client object
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid connection shutdown done successfully      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Exiting from event base loop      
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully disconnected         
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: connection disconnect done .....       
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid reconnection             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying underlying pxgrid connection            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid config             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ISE identity feed destructor called           
[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] /usr/local/sf/bin/adi_iseTestHelp cleanly exits.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid library has been uninitialized      
[8893] ADI:ADI [INFO] Parent done waiting, child completed with integer status 0       

より詳細なデバッグ情報を得るには、adiプロセスを(sudoの後のrootから)killし、debug引数を指定して実行します。

root@firepower:/var/log# ps ax | grep adi             
24047 ?        Sl     0:00 /usr/local/sf/bin/adi
24090 pts/0    S+     0:00 grep adi
root@firepower:/var/log# kill -9 24047                 
root@firepower:/var/log# /usr/local/sf/bin/adi --debug
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:adi.Adi [DEBUG] adi.cpp:319:HandleLog(): ADI Created, awaiting config
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:config [DEBUG] config.cpp:289:ProcessConfigGlobalSettings(): Parsing global settings
<..........a lot of detailed output with data.......>

pxGridによるSGTクエリ

この操作は、アクセスコントロールポリシーでルールを追加しているときに、ISE統合セクションでテストボタンをクリックするか、SGTリストが更新されたときに実行されます。

Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): Querying Security Group metaData...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): pxgrid_connection_query(connection*:0x10c7da0, capability: 0x1064510, request:<getSecurityGroupListRequest xmlns='http://www.cisco.com/pxgrid/identity'/>)...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK|<ns5:getSecurityGroupListResponse xmlns:ns2='http://www.cisco.com/pxgrid' xmlns:ns3='http://www.cisco.com/pxgrid/net' xmlns:ns4='http://www.cisco.com/pxgrid/admin' xmlns:ns5='http://www.cisco.com/pxgrid/identity' xmlns:ns6='http://www.cisco.com/pxgrid/eps' xmlns:ns7='http://www.cisco.com/pxgrid/netcap' xmlns:ns8='http://www.cisco.com/pxgrid/anc'><ns5:SecurityGroups><ns5:SecurityGroup><ns5:id>fc6f9470-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Unknown</ns5:name><ns5:description>Unknown Security Group</ns5:description><ns5:tag>0</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fc7c8cc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>ANY</ns5:name><ns5:description>Any Security Group</ns5:description><ns5:tag>65535</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fcf95de0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Auditors</ns5:name><ns5:description>Auditor Security Group</ns5:description><ns5:tag>9</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd14fc30-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>BYOD</ns5:name><ns5:description>BYOD Security Group</ns5:description><ns5:tag>15</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd2fb020-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Contractors</ns5:name><ns5:description>Contractor Security Group</ns5:description><ns5:tag>5</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd4e34a0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Developers</ns5:name><ns5:description>Developer Security Group</ns5:description><ns5:tag>8</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd6d2e50-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Development_Servers</ns5:name><ns5:description>Development Servers Security Group</ns5:description><ns5:tag>12</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fda10f90-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Employees</ns5:name><ns5:description>Employee Security Group</ns5:description><ns5:tag>4</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdbcd4f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Guests</ns5:name><ns5:description>Guest Security Group</ns5:description><ns5:tag>6</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdd9abc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Network_Services</ns5:name><ns5:description>Network Services Security Group</ns5:description><ns5:tag>3</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdf4d4e0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>PCI_Servers</ns5:name><ns5:description>PCI Servers Security Group</ns5:description><ns5:tag>14</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe11abb0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Point_of_Sale_Systems</ns5:name><ns5:description>Point of Sale Security Group</ns5:description><ns5:tag>10</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe2d22f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Servers</ns5:name><ns5:description>Production Servers Security Group</ns5:description><ns5:tag>11</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe487320-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Users</ns5:name><ns5:description>Production User Security Group</ns5:description><ns5:tag>7</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe62d8f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Quarantined_Systems</ns5:name><ns5:description>Quarantine Security Group</ns5:description><ns5:tag>255</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe7d3ec0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Test_Servers</ns5:name><ns5:description>Test Servers Security Group</ns5:description><ns5:tag>13</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe99c770-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>TrustSec_Devices</ns5:name><ns5:description>TrustSec Devices Security Group</ns5:description><ns5:tag>2</ns5:tag></ns5:SecurityGroup></ns5:SecurityGroups></ns5:getSecurityGroupListResponse>]

そのログからxmlコンテンツをより見やすくするために、xmlファイルにコピーしてWebブラウザで開くことができます。特定のSGT(監査)と、ISEで定義されているその他すべてのSGTが受信されていることを確認できます。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-31.png

REST APIを介したMnTへのセッションクエリー

これはテスト操作の一部でもあります(MnTのホスト名とポートがpxGrid経由で渡されることに注意してください)。一括セッションダウンロードが使用されます。

Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK, p_node*:0x7f0ea6ffa8a8(<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>)]
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): bulk download invoking callback on entry# 1
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISESessionEntry [DEBUG] adi.cpp:319:HandleLog(): parsing Session Entry with following text:<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>

および解析結果(1つのアクティブセッションを受信):

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISESessionEntry [DEBUG] 
adi.cpp:319:HandleLog(): Parsing incoming DOM resulted in following ISESessionEntry:
{gid = ac101f6400007000565d597f, timestamp = 2015-12-01T23:37:31.191+01:00, 
state = Started, session_id = 91200007, nas_ip = 172.16.31.100, 
mac_addr = 08:00:27:23:E6:F2, ip = 172.16.50.50, user_name = Administrator, 
sgt = Auditors, domain = example.com, device_name = Windows7-Workstation}

この段階で、NGIPSはユーザ名(およびドメイン)とレルムADユーザ名の関連付けを試みます。

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.RealmContainer [DEBUG] adi.cpp:319
:HandleLog(): findRealm: Found Realm for domain example.com
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISEConnectionSub [DEBUG] 
adi.cpp:319:HandleLog(): userName = 'Administrator' realmId = 2, ipAddress = 172.16.50.50

LDAPは、ユーザおよびグループメンバーシップの検索に使用されます。

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [INFO] adi.cpp:322:
HandleLog(): search '(|(sAMAccountName=Administrator))' has the following 
DN: 'CN=Administrator,CN=Users,DC=example,DC=com'.
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [DEBUG] adi.cpp:319:
HandleLog(): getUserIdentifier: searchfield sAMAccountName has display naming attr: 
Administrator.

ISE デバッグ

pxGridコンポーネントのTRACEレベルのデバッグを有効にすると、すべての操作を確認できます(ただし、FMCのようなペイロード/データはありません)。

SGTタグ取得の例:

2015-12-02 00:05:39,352 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.query.CoreAuthorizationManager -::
:::- checking core authorization (topic=TrustSecMetaData, user=firesightisetest-firepower.example.com
-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com, operation=subscribe)...
2015-12-02 00:05:39,358 TRACE  [pool-1-thread-14][] cisco.pxgrid.controller.common.
LogAdvice -:::::- args: [TrustSecMetaData, subscribe, firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xg
rid.cisco.com]
2015-12-02 00:05:39,359 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::-  groups [Any, Session] found for client firesightisetest-firepower.
example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com
2015-12-02 00:05:39,360 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::- permitted rule found for Session TrustSecMetaData subscribe. 
total rules found 1

バグ

CSCuv32295:ISEはユーザ名フィールドでドメイン情報を送信できます

CSCus53796:RESTバルククエリのホストのFQDNを取得できない

CSCuv43145:PXGRIDおよびIDマッピングサービスの再起動、信頼ストアのインポート/削除

参考資料

更新履歴

改定 発行日 コメント
1.0
11-Jan-2016
初版
TAC Authored

シスコ エンジニア提供

  • ミハル・ガルカルツ
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています