Probleemoplossing voor ISE- en FirePOWER-integratie voor identiteitsservices

Downloadopties

  • PDF     (2.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.9 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:11 januari 2016
Document-id:200319

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u TrustSec-bewust beleid voor Cisco Next Generation Inbraakpreventiesysteem (NGIPS) kunt configureren en problemen kunt oplossen. NGIPS versie 6.0 ondersteunt integratie met Identity Services Engine (ISE) waardoor op identiteit gebaseerde, bewuste beleidsregels kunnen worden opgebouwd.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Cisco adaptieve security applicatie (ASA) VPN-configuratie
  • Configuratie van Cisco AnyConnect Secure Mobility-client
  • Cisco FirePOWER Management Center - basisconfiguratie
  • Cisco ISE-configuratie
  • Cisco TrustSec-oplossingen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Microsoft Windows 7
  • Microsoft Windows 2012-certificeringsinstantie (CA)
  • Cisco ASA versie 9.3
  • Cisco ISE-softwareversies 1.4
  • Cisco AnyConnect Secure Mobility-client versies 4.2
  • Cisco FirePOWER Management Center (FMC) versie 6.0
  • Cisco FirePOWER NGIPS versie 6.0

Configureren

FirePower Management Center (FMC) is het beheerplatform voor FirePower. Er zijn twee soorten functies met betrekking tot ISE-integratie:
  • Oplossing - maakt het VCC in staat om de aanvaller in quarantaine te plaatsen via ISE, dat dynamisch de status van de machtiging verandert op toegangsapparaat dat beperkte netwerktoegang biedt. Er zijn twee generaties van deze oplossing:
  1. Verouderde perl-scripts met de API-oproep van Endpoint Protection Service (EPS) aan ISE.
  2. Nieuwe module met PxGrid-protocolaanroep naar ISE (deze module wordt alleen ondersteund in versie 5.4 - niet ondersteund in 6.0, native ondersteuning gepland in 6.1).
  • Beleid - maakt het FMC mogelijk beleid te configureren op basis van TrustSec Security Group Tags (SGT).

Dit artikel richt zich op de tweede functionaliteit. Voor een voorbeeld van herstel lees de sectie met referenties

Netwerkdiagram

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-00.jpeg

FMC is geconfigureerd met een toegangscontrolebeleid dat twee regels bevat:

  • Ontken voor HTTP-verkeer met aangepaste URL (aanval-url)
  • Sta HTTP-verkeer met aangepaste URL (aanval-url) toe maar alleen als de gebruiker door ISE is toegewezen aan Audit (9) SGT-tag

ISE besluit om de Audittag toe te wijzen aan alle Active Directory-gebruikers die tot de Beheerdersgroep behoren en ASA-VPN-apparaat gebruikt voor netwerktoegang.

Gebruiker heeft toegang tot netwerk via VPN-verbinding via de ASA. De gebruiker probeert vervolgens toegang te krijgen tot de Geauditeerde server met URL-aanval-url - maar mislukt omdat hij niet is toegewezen aan de Auditgroep SGT. Zodra dat is gerepareerd, is de verbinding succesvol.

ISE

Active Directory

AD-integratie moet worden geconfigureerd en de juiste groepen moeten worden gehaald (de groep Beheerders wordt gebruikt voor de voorwaarde van de autorisatieregel):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-01.png

Netwerktoegangsapparaat

ASA wordt toegevoegd als netwerkapparaat. Aangepaste groep ASA-VPN-Audit wordt gebruikt, zoals in deze afbeelding:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-02.png

Certificaten voor pxGrid en MnT

FMC gebruikt beide diensten op ISE:

  • pxGrid voor SGT en gegevensquery voor profilering
  • Monitoring and Reporting (MnT) voor het downloaden van bulksessies

MnT-beschikbaarheid is erg belangrijk omdat FMC op deze manier wordt geïnformeerd over wat het IP-adres van de geverifieerde sessie is, ook zijn gebruikersnaam en SGT-tag. Op basis daarvan kan het juiste beleid worden toegepast. Merk op dat NGIPS geen Native SGT-tags (inline tagging) ondersteunt zoals de ASA. Maar in tegenstelling tot ASA, steunt het SGT namen in plaats van slechts aantallen.

Wegens deze vereisten moeten zowel ISE als FMC elkaar vertrouwen (certificaat). MnT gebruikt alleen server side certificaat, pxGrid gebruikt zowel client en server side certificaat.

Microsoft CA wordt gebruikt om alle certificaten te ondertekenen.

Voor MnT (Admin role) moet ISE certificaat signing request (CSR) genereren, zoals in deze afbeelding wordt getoond:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-03.png

Nadat het is ondertekend door Microsoft CA moet het worden geïmporteerd via de optie Bind Certificate.
Voor de pxGrid-service moet een soortgelijk proces worden gevolgd. Er worden certificaten gebruikt voor de optie moet pxGrid zijn geselecteerd.
Aangezien er geen twee certificaten met identieke Onderwerpnaam kunnen zijn, is het volledig aanvaardbaar om verschillende waarde toe te voegen voor OU of O sectie (bijvoorbeeld pxGrid).

Opmerking: Zorg ervoor dat voor elke Fully Qualified Domain Name (FQDN) voor zowel ISE als FMC het juiste DNS-record op DNS-server is geconfigureerd.

Het enige verschil tussen Admin en pxGrid-certificaat is met het ondertekeningsproces. Aangezien pxGrid-certificaten uitgebreide Key Usage-opties moeten hebben voor zowel client- als serververificatie, kan aangepaste sjabloon op Microsoft CA worden gebruikt voor dat:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-04.png
 De manier waarop u Microsoft Web-service kunt gebruiken om pxGrid CSR te ondertekenen, wordt in deze afbeelding getoond:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-05.png
Aan het eind moet ISE Admin- en PxGrid-certificaten hebben die zijn ondertekend door de vertrouwde CA (Microsoft) zoals in deze afbeelding wordt getoond:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-06.png

PxGrid-service

Met de juiste certificaten moet pxGrid rol voor specifieke knooppunt worden ingeschakeld, zoals in deze afbeelding wordt getoond:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-07.png

En de automatische goedkeuring moet worden ingesteld op:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-08.png

Vergunningsbeleid

Er wordt standaard verificatiebeleid gebruikt (AD-lookup wordt uitgevoerd als lokale gebruiker niet wordt gevonden).

Het autorisatiebeleid is zodanig geconfigureerd dat het volledige netwerktoegang biedt (Permission: PermitAccess) voor gebruikers die authenticeren via ASA-VPN en behoren tot Active Directory-groepsbeheerders - voor die gebruikers wordt SGT-tag-accountants teruggestuurd:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-09.png

VCC

Active Directory-domein

Om met ISE-integratie te kunnen werken, is een realistische configuratie vereist (om identiteitsbeleid te gebruiken en groepslidmaatschap op te halen voor passief geverifieerde gebruikers). Real kan worden geconfigureerd voor Active Directory of Lichtgewicht Directory Access Protocol (LDAP). In dit voorbeeld wordt AD gebruikt. Van Systeem > Integratie > Realm:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-10.png

Standaard directory instellingen worden gebruikt:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-11.png

En sommige AD-groepen worden opgehaald (te gebruiken als aanvullende voorwaarde in toegangscontroleregels):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-12.png

Certificaten voor Admin en PxGrid

Hoewel dit niet nodig is, is het een goede praktijk om MVO voor admin toegang te genereren. Onderteken dat MVO met vertrouwde AD het ondertekende certificaat importeert, zoals in deze afbeelding wordt getoond:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-13.png

CA-certificaat moet worden toegevoegd aan een vertrouwde winkel:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-14.png
De laatste stap is om pxGrid certificaat te genereren dat door FMC gebruikt wordt om toestemming te geven voor ISE pxGrid-service. Om CSR te genereren moet CLI worden gebruikt (of een andere externe machine met openssl tool). 
admin@firepower:~$ sudo su -
Password: 
root@firepower:~# 
root@firepower:~# openssl genrsa -des3 -out fire.key 4096
Generating RSA private key, 4096 bit long modulus
.........
..............
e is 65537 (0x10001)
Enter pass phrase for fire.key:
Verifying - Enter pass phrase for fire.key:
root@firepower:~# 
root@firepower:~# openssl req -new -key fire.key -out fire.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Code []:PL
State or Province Name []:
Locality Name []:
Organization Name []:Cisco
Organizational Unit Name []:TAC
Common Name []:firepower.example.com
Email Address []:
root@firepower:~#
Zodra gegenereerde fire.csr, onderteken het met Microsoft CA (pxGrid sjabloon). Importeer terug privé-sleutel (fire.key) en ondertekend certificaat (fire.pem) naar FMC Interne certificaatwinkel. Gebruik voor een persoonlijke sleutel het wachtwoord dat is ingesteld tijdens het genereren van de sleutel ( openssl genrsa-opdracht):
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-15.png

ISE-integratie

Zodra alle certificaten zijn geïnstalleerd, configureer dan ISE-integratie vanuit Systeem > Integratie:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-16.png

Gebruik de geïmporteerde CA voor zowel pxGrid- als MnT-servicecertificaten. Gebruik voor Management Console (MC) een intern certificaat dat voor pxGrid is gegenereerd.

Identiteitsbeleid

Identity Policy instellen dat gebruik maakt van de eerder geconfigureerde AD Realm voor passieve verificatie:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-17.png

Toegangsbeheerbeleid

In dit voorbeeld is de aangepaste URL gemaakt:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-18.png

En de twee regels in het aangepaste toegangscontrolebeleid:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-19.png
De regel PermitPrivileged-HTTP staat alle gebruikers toe die tot de groep van de Beheerders van de Post behoren die de markering van SGT zijn toegewezen. Accountants om HTTP-aanvallen uit te voeren op alle doelen.
DenyUnprivileged-HTTP ontkent die actie aan alle andere gebruikers.
Merk ook op dat eerder gemaakt identiteitsbeleid is toegewezen aan dit toegangscontrolebeleid.
Op dit tabblad is het niet mogelijk om SGT-tags te zien, maar die zijn zichtbaar tijdens het maken of bewerken van specifieke regel:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-20.png
Zorg ervoor dat het beleid wordt toegewezen aan de NGIPS en dat alle wijzigingen worden geïmplementeerd:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-21.png


Verifiëren

Nadat alles correct is geconfigureerd zou ISE pxGrid client abonneren op een Session Service (status Online).

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-22.png

Uit de logboeken kunt u ook bevestigen dat FMC zich heeft geabonneerd op de TrustSecMetaData (SGT tags) service - alle tags en uitgeschreven.

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-23.png

VPN-sessieinstelling

De eerste test wordt uitgevoerd voor een scenario wanneer de vergunning op ISE niet de juiste SGT-tag retourneert (NGIPS staat geen Audittests toe).

Als VPN-sessie is ingesteld op AnyConnect User Interface (UI), kunt u meer informatie geven:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-24.png

ASA kan bevestigen dat de sessie is ingesteld:

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3

Merk op dat ASA geen SGT-tag teruggeeft voor deze verificatie. ASA is niet ingesteld voor TrustSec - zodat de informatie toch wordt overgeslagen.

ISE meldt ook succesvolle autorisatie (de log op 23:36:19) - geen SGT tag teruggegeven:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-25.png

FMC verkrijgen sessiegegevens van MnT

In die fase meldt het FMC in /var/log/message een nieuwe sessie (ontvangen als abonnee voor pxGrid-service) voor de gebruikersnaam voor de beheerder en voert AD lookup uit voor groepslidmaatschap:

firepower SF-IMS[3554]: [17768] ADI:adi.LdapRealm [INFO] search 
'(|(sAMAccountName=Administrator))' has the following DN: 
'CN=Administrator,CN=Users,DC=example,DC=com'.

Ongeprivilegieerde en geprivilegieerde netwerktoegang

Wanneer een gebruiker in dat stadium probeert om een webbrowser te openen en toegang te krijgen tot een gecontroleerde server, wordt de verbinding verbroken:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-26.png

Het kan worden bevestigd door het pakket dat van de client wordt genomen (TCP/RST verzenden volgens FMC-configuratie):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-27.png

Zodra ISE is ingesteld om terug te keren, rapporteert de audit tag ASA sessie:

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3
Security Grp : 9

ISE meldt ook een succesvolle autorisatie (de log op 23:37:26) - SGT tag Auditor wordt teruggestuurd:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-28.png

En de gebruiker heeft toegang tot de genoemde service:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-29.png

FMC-toegang tot logboekregistratie

Deze activiteit kan worden bevestigd door het Connection Event-rapport:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-30.png

Eerst had de gebruiker geen SGT-tag toegewezen en raakte de DenyUnprivged-HTTP-regel. Zodra de tag van de auditor is toegewezen door de ISE-regel (en opgehaald door het VCC), wordt PermitPrivileged-HTTP gebruikt en wordt toegang toegestaan.

Merk ook op dat om het display te hebben, meerdere kolommen zijn verwijderd omdat normaal Access Control Rule en Security Group Tag worden weergegeven als een van de laatste kolommen (en horizontale schuifbalk moet worden gebruikt). Die aangepaste weergave kan in de toekomst worden opgeslagen en opnieuw gebruikt.

Problemen oplossen

FMC-debugs

Om de logbestanden te controleren van de hulpcomponent die verantwoordelijk is voor de identiteitsdiensten check /var/log/message bestand:

[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] Parsing command line arguments...            
[23509] ADI_ISE_Test_Help:adi.DirectoryTestHandler [INFO] test: ISE connection.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing ISE Connection objects...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing subscription objects...             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to EndpointProfileMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability EndpointProfileMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to TrustSecMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability TrustSecMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to SessionDirectoryCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability SessionDirectoryCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Connecting to ISE server...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Beginning to connect to ISE server...          
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: _reconnection_thread started         
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: pxgrid connection init done successfully      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: connecting to host lise20.example.com .......      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: stream opened         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: EXTERNAL authentication complete        
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: authenticated successfully (sasl mechanism: EXTERNAL)      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully subscribed         
message repeated 2 times               
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Queried 1 bulk download hostnames:lise20.example.com:8910           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ...successfully connected to ISE server.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Starting bulk download             
[23514] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: curl_easy_setopt() for CURLOPT_URL: 'https://lise20.example.com:8910/pxgrid/mnt/sd/getSessionListByTime'       
[8893] ADI:ADI [INFO] : sub command emits:'* Trying 172.16.31.210...'          
[8893] ADI:ADI [INFO] : sub command emits:'* Connected to lise20.example.com (172.16.31.210) port 8910 (#0)'     
[8893] ADI:ADI [INFO] : sub command emits:'* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH'         
[8893] ADI:ADI [INFO] : sub command emits:'* SSL connection using TLSv1.2 / DHE-RSA-AES256-SHA256'      
[8893] ADI:ADI [INFO] : sub command emits:'* Server certificate:'          
[8893] ADI:ADI [INFO] : sub command emits:'* ^I subject: CN=lise20.example.com'         
[8893] ADI:ADI [INFO] : sub command emits:'* ^I start date: 2015-11-21 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I expire date: 2017-11-20 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I common name: lise20.example.com (matched)'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I issuer: DC=com; DC=example; CN=example-WIN-CA'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I SSL certificate verify ok.'       
[8893] ADI:ADI [INFO] : sub command emits:'> POST /pxgrid/mnt/sd/getSessionListByTime HTTP/1.1^M'         
[8893] ADI:ADI [INFO] : sub command emits:'Host: lise20.example.com:8910^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Accept: */*^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Content-Type: application/xml^M'           
[8893] ADI:ADI [INFO] : sub command emits:'user:firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com^M'            
[8893] ADI:ADI [INFO] : sub command emits:'Content-Length: 269^M'           
[8893] ADI:ADI [INFO] : sub command emits:'^M'            
[8893] ADI:ADI [INFO] : sub command emits:'* upload completely sent off: 269 out of 269 bytes'   
[8893] ADI:ADI [INFO] : sub command emits:'< HTTP/1.1 200 OK^M'         
[8893] ADI:ADI [INFO] : sub command emits:'< Date: Tue, 01 Dec 2015 23:10:45 GMT^M'     
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Type: application/xml^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Length: 1287^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Server: ^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< ^M'           
[8893] ADI:ADI [INFO] : sub command emits:'* Connection #0 to host lise20.example.com left intact'     
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] bulk download processed 0 entries.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] disconnecting pxgrid              
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Starting reconnection stop        
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: _reconnection_thread exited         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: stream closed; err_dom=(null) 2015-12-01T23:10:45 [ INFO]: clientDisconnectedCb -> destroying client object
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid connection shutdown done successfully      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Exiting from event base loop      
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully disconnected         
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: connection disconnect done .....       
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid reconnection             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying underlying pxgrid connection            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid config             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ISE identity feed destructor called           
[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] /usr/local/sf/bin/adi_iseTestHelp cleanly exits.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid library has been uninitialized      
[8893] ADI:ADI [INFO] Parent done waiting, child completed with integer status 0       

Om gedetailleerdere debugs te krijgen is het mogelijk om het proces van de hulp te doden (van wortel na sudo) en het uit te voeren met debug argument:

root@firepower:/var/log# ps ax | grep adi             
24047 ?        Sl     0:00 /usr/local/sf/bin/adi
24090 pts/0    S+     0:00 grep adi
root@firepower:/var/log# kill -9 24047                 
root@firepower:/var/log# /usr/local/sf/bin/adi --debug
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:adi.Adi [DEBUG] adi.cpp:319:HandleLog(): ADI Created, awaiting config
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:config [DEBUG] config.cpp:289:ProcessConfigGlobalSettings(): Parsing global settings
<..........a lot of detailed output with data.......>

SGT-query via pxGrid

De bewerking wordt uitgevoerd wanneer op de knop Test wordt gedrukt in het gedeelte ISE-integratie of wanneer de SGT-lijst wordt vernieuwd terwijl u regels toevoegt in het beleid voor toegangscontrole.

Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): Querying Security Group metaData...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): pxgrid_connection_query(connection*:0x10c7da0, capability: 0x1064510, request:<getSecurityGroupListRequest xmlns='http://www.cisco.com/pxgrid/identity'/>)...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK|<ns5:getSecurityGroupListResponse xmlns:ns2='http://www.cisco.com/pxgrid' xmlns:ns3='http://www.cisco.com/pxgrid/net' xmlns:ns4='http://www.cisco.com/pxgrid/admin' xmlns:ns5='http://www.cisco.com/pxgrid/identity' xmlns:ns6='http://www.cisco.com/pxgrid/eps' xmlns:ns7='http://www.cisco.com/pxgrid/netcap' xmlns:ns8='http://www.cisco.com/pxgrid/anc'><ns5:SecurityGroups><ns5:SecurityGroup><ns5:id>fc6f9470-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Unknown</ns5:name><ns5:description>Unknown Security Group</ns5:description><ns5:tag>0</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fc7c8cc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>ANY</ns5:name><ns5:description>Any Security Group</ns5:description><ns5:tag>65535</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fcf95de0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Auditors</ns5:name><ns5:description>Auditor Security Group</ns5:description><ns5:tag>9</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd14fc30-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>BYOD</ns5:name><ns5:description>BYOD Security Group</ns5:description><ns5:tag>15</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd2fb020-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Contractors</ns5:name><ns5:description>Contractor Security Group</ns5:description><ns5:tag>5</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd4e34a0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Developers</ns5:name><ns5:description>Developer Security Group</ns5:description><ns5:tag>8</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd6d2e50-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Development_Servers</ns5:name><ns5:description>Development Servers Security Group</ns5:description><ns5:tag>12</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fda10f90-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Employees</ns5:name><ns5:description>Employee Security Group</ns5:description><ns5:tag>4</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdbcd4f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Guests</ns5:name><ns5:description>Guest Security Group</ns5:description><ns5:tag>6</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdd9abc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Network_Services</ns5:name><ns5:description>Network Services Security Group</ns5:description><ns5:tag>3</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdf4d4e0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>PCI_Servers</ns5:name><ns5:description>PCI Servers Security Group</ns5:description><ns5:tag>14</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe11abb0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Point_of_Sale_Systems</ns5:name><ns5:description>Point of Sale Security Group</ns5:description><ns5:tag>10</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe2d22f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Servers</ns5:name><ns5:description>Production Servers Security Group</ns5:description><ns5:tag>11</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe487320-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Users</ns5:name><ns5:description>Production User Security Group</ns5:description><ns5:tag>7</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe62d8f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Quarantined_Systems</ns5:name><ns5:description>Quarantine Security Group</ns5:description><ns5:tag>255</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe7d3ec0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Test_Servers</ns5:name><ns5:description>Test Servers Security Group</ns5:description><ns5:tag>13</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe99c770-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>TrustSec_Devices</ns5:name><ns5:description>TrustSec Devices Security Group</ns5:description><ns5:tag>2</ns5:tag></ns5:SecurityGroup></ns5:SecurityGroups></ns5:getSecurityGroupListResponse>]

Voor een betere weergave xml inhoud uit dat log kan worden gekopieerd naar xml bestand en geopend door een webbrowser. U kunt bevestigen dat specifieke SGT (audit) wordt ontvangen, evenals alle andere SGT die op ISE zijn gedefinieerd:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-31.png

Session query via REST API naar MnT

Dat is ook een onderdeel van Test operation (let op dat MnT hostname en port wordt doorgegeven via pxGrid). Bulksessie downloaden wordt gebruikt:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK, p_node*:0x7f0ea6ffa8a8(<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>)]
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): bulk download invoking callback on entry# 1
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISESessionEntry [DEBUG] adi.cpp:319:HandleLog(): parsing Session Entry with following text:<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>

En geparseerd resultaat (1 actieve sessie ontvangen):

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISESessionEntry [DEBUG] 
adi.cpp:319:HandleLog(): Parsing incoming DOM resulted in following ISESessionEntry:
{gid = ac101f6400007000565d597f, timestamp = 2015-12-01T23:37:31.191+01:00, 
state = Started, session_id = 91200007, nas_ip = 172.16.31.100, 
mac_addr = 08:00:27:23:E6:F2, ip = 172.16.50.50, user_name = Administrator, 
sgt = Auditors, domain = example.com, device_name = Windows7-Workstation}

In die fase probeert NGIPS die gebruikersnaam (en domein) te correleren met Realm-AD gebruikersnaam:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.RealmContainer [DEBUG] adi.cpp:319
:HandleLog(): findRealm: Found Realm for domain example.com
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISEConnectionSub [DEBUG] 
adi.cpp:319:HandleLog(): userName = 'Administrator' realmId = 2, ipAddress = 172.16.50.50

LDAP wordt gebruikt om een gebruiker en groepslidmaatschap te vinden:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [INFO] adi.cpp:322:
HandleLog(): search '(|(sAMAccountName=Administrator))' has the following 
DN: 'CN=Administrator,CN=Users,DC=example,DC=com'.
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [DEBUG] adi.cpp:319:
HandleLog(): getUserIdentifier: searchfield sAMAccountName has display naming attr: 
Administrator.

ISE-debugs

Na het inschakelen van TRACE level debug voor pxGrid component is het mogelijk om elke operatie te controleren (maar zonder payload/data zoals op FMC).

Voorbeeld met SGT tag ophalen:

2015-12-02 00:05:39,352 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.query.CoreAuthorizationManager -::
:::- checking core authorization (topic=TrustSecMetaData, user=firesightisetest-firepower.example.com
-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com, operation=subscribe)...
2015-12-02 00:05:39,358 TRACE  [pool-1-thread-14][] cisco.pxgrid.controller.common.
LogAdvice -:::::- args: [TrustSecMetaData, subscribe, firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xg
rid.cisco.com]
2015-12-02 00:05:39,359 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::-  groups [Any, Session] found for client firesightisetest-firepower.
example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com
2015-12-02 00:05:39,360 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::- permitted rule found for Session TrustSecMetaData subscribe. 
total rules found 1

Bugs

CSCuv32295 - ISE kan domeininformatie versturen in gebruikersnaamvelden

CSCus53796 - Kan geen FQDN van host voor REST bulk query verkrijgen

CSCuv43145 - PXGRID & Identity mapping-service opnieuw opstarten, importeren/verwijderen van vertrouwensopslag

Referenties

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
11-Jan-2016
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Michal Garcarz
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten