소개
이 문서에서는 Firepower 사용자 에이전트에 대해 사용자 에이전트에서 ISE(Identity Services Engine)로 마이그레이션하는 방법에 대해 설명합니다.
배경 정보
향후 릴리스에서는 Firepower 사용자 에이전트를 더 이상 사용할 수 없습니다. ISE 또는 ISE-PIC(Identity Services Engine - Passive ID Connector)로 교체됩니다. 현재 User Agent를 사용하고 있고 ISE로의 마이그레이션을 고려하고 있는 경우, 이 문서에서는 마이그레이션에 대한 고려 사항 및 전략을 제공합니다.
사용자 ID 개요
현재 기존 ID 인프라에서 사용자 ID 정보를 추출하는 두 가지 방법, 즉 User Agent와 ISE 통합이 있습니다.
사용자 에이전트
User Agent는 Windows 플랫폼에 설치된 애플리케이션입니다. WMI(Windows Management Instrumentation) 프로토콜을 사용하여 사용자 로그온 이벤트(이벤트 유형 4624)에 액세스한 다음 데이터를 로컬 데이터베이스에 저장합니다. User Agent는 두 가지 방법으로 로그온 이벤트를 검색할 수 있습니다. 사용자가 로그인할 때 실시간으로 업데이트되거나(Windows Server 2008 및 2012에만 해당) 구성 가능한 간격마다 데이터를 폴링합니다. 마찬가지로 사용자 에이전트는 AD(Active Directory)에서 받은 데이터를 FMC(Firepower 관리 센터)로 실시간으로 전송하고 로그온 데이터 배치를 정기적으로 FMC로 전송합니다.
User Agent에서 탐지할 수 있는 로그인 유형에는 호스트에 직접 또는 원격 데스크톱을 통해 로그인하는 경우, 파일 공유 로그인 및 컴퓨터 계정 로그인이 포함됩니다. Citrix, 네트워크 로그온 및 Kerberos 로그인과 같은 다른 유형의 로그인은 사용자 에이전트에서 지원되지 않습니다.
User Agent에는 매핑된 사용자가 로그오프했는지 여부를 탐지하는 선택적 기능이 있습니다. 로그오프 확인이 활성화된 경우, 주기적으로 프로세스가 각 매핑된explorer.exe엔드포인트에서 실행 중인지 확인합니다. 프로세스가 실행 중임을 감지할 수 없는 경우 72시간이 지나면 이 사용자에 대한 매핑이 제거됩니다.
ISE(Identity Services Engine)
ISE는 사용자의 네트워크 로그인 세션을 관리하는 강력한 AAA 서버입니다. ISE는 스위치 및 무선 컨트롤러와 같은 네트워크 디바이스와 직접 통신하므로 사용자의 활동에 대한 최신 데이터에 액세스할 수 있으므로 User Agent보다 ID 소스가 더 좋습니다. 사용자가 엔드포인트에 로그온하면 일반적으로 네트워크에 자동으로 연결되며, 네트워크에 dot1x 인증이 활성화된 경우 ISE는 이러한 사용자에 대한 인증 세션을 생성하고 사용자가 네트워크에서 로그오프할 때까지 이 세션을 유지합니다. ISE가 FMC와 통합된 경우 사용자-IP 매핑(ISE에서 수집한 다른 데이터와 함께) 데이터를 FMC에 전달합니다.
ISE는 pxGrid를 통해 FMC와 통합될 수 있습니다. pxGrid는 ISE 서버 및 기타 제품 간의 세션 정보 배포를 중앙 집중화하기 위해 설계된 프로토콜입니다. 이 통합에서 ISE는 pxGrid 컨트롤러 역할을 하며, FMC는 세션 데이터를 수신하기 위해 컨트롤러에 가입하고(FMC는 나중에 설명하는 리미디에이션 과정 이외에는 ISE에 데이터를 게시하지 않음) 사용자 인식을 달성하기 위해 센서에 데이터를 전달합니다.
ISE-PIC(Identity Services Engine - Passive Identity Connector)
ISE-PIC(Identity Services Engine - Passive Identity Connector)는 기본적으로 라이센스가 제한된 ISE의 인스턴스입니다. ISE-PIC는 어떤 인증도 수행하지 않지만 대신 네트워크의 다양한 ID 소스에 대한 중앙 허브 역할을 하여 ID 데이터를 수집하고 가입자에게 제공합니다. ISE-PIC는 AD에서 로그인 이벤트를 수집하기 위해 WMI를 사용하지만 Passive Identity라고 하는 더 강력한 기능을 사용한다는 점에서 User Agent와 유사합니다. 또한 pxGrid를 통해 FMC와 통합됩니다.
마이그레이션 고려 사항
라이센싱 요구 사항
FMC에는 추가 라이센스가 필요하지 않습니다. ISE는 아직 인프라에 구축되지 않은 경우 라이센스가 필요합니다. 자세한 내용은 Cisco ISE 라이센싱 모델 문서를 참조하십시오. ISE-PIC는 전체 ISE 구축에 이미 존재하는 기능 집합이므로 기존 ISE 구축이 있는 경우 추가 라이센스가 필요하지 않습니다. ISE-PIC의 신규 또는 개별 구축에 대한 자세한 내용은 Cisco ISE-PIC 라이센싱 문서를 참조하십시오.
SSL 인증서
User Agent는 FMC 및 AD와의 통신에 PKI(Public Key Infrastructure)를 필요로 하지 않지만, ISE 또는 ISE-PIC 통합에는 인증 목적으로만 ISE와 FMC 간에 공유되는 SSL 인증서가 필요합니다. 서버 인증 및 EKU(Client Authentication Extension Key Usage)가 모두 인증서에 추가되면 통합에서 CA(Certificate Authority) 서명 및 자체 서명 인증서를 지원합니다.
ID 소스 커버리지
사용자 에이전트는 폴링 기반 로그아웃 감지 기능과 함께 Windows 데스크톱의 Windows 로그인 이벤트만 다룹니다. ISE-PIC는 Windows Desktop 로그인과 AD 에이전트, Kerberos SPAN, Syslog 파서 및 TSA(Terminal Services Agent)와 같은 추가 ID 소스를 다룹니다. Full ISE는 모든 ISE-PIC의 커버리지와 기타 기능 중에서 비 Windows 워크스테이션 및 모바일 장치의 네트워크 인증을 포함합니다.
|
사용자 에이전트 |
ISE-PIC |
ISE |
| Active Directory 데스크톱 로그온 |
예 |
예 |
예 |
| 네트워크 로그온 |
아니요 |
아니요 |
예 |
| 엔드포인트 프로브 |
예 |
예 |
예 |
| InfoBlox/IPAM |
아니요 |
예 |
예 |
| LDAP |
아니요 |
예 |
예 |
| 보안 웹 게이트웨이 |
아니요 |
예 |
예 |
| REST API 소스 |
아니요 |
예 |
예 |
| Syslog 파서 |
아니요 |
예 |
예 |
| 네트워크 범위 |
아니요 |
예 |
예 |
사용자 에이전트 단종
User Agent를 지원하는 Firepower의 마지막 버전은 6.6입니다. 이 버전은 이후 릴리스로 업그레이드하기 전에 User Agent를 비활성화해야 한다는 경고를 제공합니다. 6.6 이상 버전으로 업그레이드해야 하는 경우 업그레이드 전에 사용자 에이전트에서 ISE 또는 ISE-PIC로 마이그레이션을 완료해야 합니다. 자세한 내용은 사용자 에이전트 컨피그레이션 가이드를 참조하십시오.
호환성
통합과 관련된 소프트웨어 버전이 호환되는지 확인하려면 Firepower 제품 호환성 가이드를 검토하십시오. 향후 Firepower 릴리스의 경우 이후 ISE 버전을 지원하려면 특정 패치 레벨이 필요합니다.
마이그레이션 전략
User Agent에서 ISE 또는 ISE-PIC로 마이그레이션하려면 FMC에 대한 사용자 ID 소스의 원활한 전환을 보장하고 사용자 트래픽에 대한 영향을 방지하기 위해 세심한 계획, 실행 및 테스트가 필요합니다. 이 섹션에서는 이 활동에 대한 모범 사례와 권장 사항을 제공합니다.
마이그레이션 준비
사용자 에이전트에서 ISE 통합으로 전환하기 전에 다음 단계를 수행할 수 있습니다.
1단계. PassiveID를 사용하도록 ISE 또는 ISE-PIC를 구성하고 Active Directory와 WMI 연결을 설정합니다. ISE-PIC 관리 가이드를 참조하십시오.
2단계. FMC의 ID 인증서를 준비합니다. FMC에서 발급한 자체 서명 인증서이거나 FMC에서 생성된 CSR(Certificate Signing Request)일 수 있으며, 사설 또는 공용 CA(Certificate Authority)에서 서명합니다. CA의 자체 서명 인증서 또는 루트 인증서는 ISE에 설치해야 합니다. 자세한 내용은 ISE 및 FMC 통합 가이드를 참조하십시오.
3단계. ISE의 pxGrid 인증서에 서명한 CA 루트 인증서(또는 자체 서명된 경우 pxGrid 인증서)를 FMC에 설치합니다. 자세한 내용은 ISE 및 FMC 통합 가이드를 참조하십시오.
컷오버 프로세스
두 컨피그레이션은 함께 사용할 수 없으므로 FMC에서 User Agent 컨피그레이션을 비활성화하지 않으면 FMC-ISE 통합을 구성할 수 없습니다. 이는 변경 중에 사용자에게 영향을 미칠 수 있습니다. 이러한 단계는 유지 보수 기간 중에 수행하는 것이 좋습니다.
1단계. FMC-ISE 통합을 활성화하고 확인합니다. 자세한 내용은 ISE 및 FMC 통합 가이드를 참조하십시오.
2단계. FMC의 페이지로 이동하여 사용자 활동이 FMC에Analysis > User > User Activities보고되는지 확인합니다.
3단계. 사용자-IP 매핑 및 사용자-그룹 매핑이 의 관리되는 디바이스에서 사용 가능한지Analysis > Connections > Events > Table View of Connection Events검토합니다.
4단계. 사용자 이름 또는 사용자 그룹 조건에 따라 트래픽을 차단하는 규칙으로 모니터링 작업을 임시로 변경하려면 액세스 제어 정책을 수정합니다. 개시자 사용자 또는 그룹을 기준으로 트래픽을 허용하는 규칙의 경우 사용자 기준 없이 트래픽을 허용하는 중복 규칙을 만든 다음 원래 규칙을 비활성화합니다. 이 단계의 목적은 유지 관리 기간 이후 테스트 단계에서 비즈니스 크리티컬 트래픽이 영향을 받지 않도록 하는 것입니다.
5단계. 유지 보수 기간이 끝나면 정상 업무 시간 중에 FMC의 Connection Events(연결 이벤트)를 관찰하여 사용자-IP 매핑을 모니터링합니다. 사용자 데이터를 필요로 하는 활성화된 규칙이 있는 경우에만 연결 이벤트에 사용자 정보가 표시됩니다. 이전 단계에서 모니터 작업이 제안된 이유입니다.
6단계. 원하는 상태가 되면 액세스 제어 정책의 변경 사항을 되돌리고 정책 구축을 관리되는 디바이스에 푸시하기만 하면 됩니다.
관련 정보
피드백