Firepower 6.1 pxGrid-herstel configureren met ISE

Downloadopties

  • PDF     (1.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.5 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 november 2017
Document-id:210524

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Firepower 6.1 pxGrid-herstel kunt configureren met Identity Services Engine (ISE). Firepower 6.1+ ISE-saneringsmodule kan worden gebruikt met ISE Endpoint Protection Service (EPS) om quarantaine/zwarte lijst van aanvallers op de netwerktoegangslaag te automatiseren.

    Voorwaarden

    Vereisten

    Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:

    • Cisco ISE-software
    • Cisco Firepower

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE versie 2.0 Patch 4
    • Cisco FirePOWER-applicatie 6.1.0
    • Virtual Wireless LAN-controller (vWLC) 8.3.10.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Configureren

    Dit artikel is niet van toepassing op de eerste configuratie van ISE-integratie met Firepower, ISE-integratie met Active Directory (AD), Firepower-integratie met AD. Voor deze informatie navigeer naar het gedeelte met referenties. Firepower 6.1 Remediation module staat Firepower systeem toe om ISE EPS mogelijkheden (quarantaine, unquarantaine, port shutdown) te gebruiken als herstel wanneer correlatieregel wordt aangepast.

    Opmerking: het uitschakelen van de poort is niet beschikbaar voor draadloze implementaties.

    Netwerkdiagram

    210524-configure-firepower-6-1-pxgrid-remediati-00.png

    De stroombeschrijving:

    1. Een client maakt verbinding met een netwerk, verifieert met ISE en raakt een autorisatieregel met een autorisatieprofiel dat onbeperkte toegang tot het netwerk verleent.
    2. Het verkeer van de client stroomt vervolgens door een FirePOWER-apparaat.
    3. De gebruiker begint een kwaadaardige activiteit uit te voeren en raakt een correlatieregel die op zijn beurt Firepower Management Center (FMC) aanzet om ISE-herstel te doen via pxGrid.
    4. ISE wijst een status quarantaine toe aan het eindpunt en activeert RADIUS-wijziging van autorisatie op een netwerktoegangsapparaat (WLC of Switch).
    5. De klant raakt een ander autorisatiebeleid dat een beperkte toegang toekent (verandert SGT of omleidt naar portal of ontkent toegang).

    Opmerking: Network Access Device (NAD) moet worden geconfigureerd om RADIUS-accounting naar ISE te verzenden, zodat het IP-adresinformatie krijgt die wordt gebruikt om IP-adres naar een eindpunt toe te wijzen.

    Firepower configureren

    Stap 1. Configureer een instantie voor beperking van spxGrid.

    Navigeer naar Beleid > Handelingen > Instanties en voeg een instantie voor beperking van pxGrid toe zoals in de afbeelding.

    210524-configure-firepower-6-1-pxgrid-remediati-01.png

    Stap 2. Configureer een herstel.

    Er zijn twee soorten beschikbaar: Mitigate Destination en Mitigate Source. In dit voorbeeld wordt bronbeperking gebruikt. Kies het type probleemoplossing en klik op Toevoegen zoals in de afbeelding:

    210524-configure-firepower-6-1-pxgrid-remediati-02.jpeg

    Beperkende actie aan de sanering toewijzen zoals in de afbeelding:

    210524-configure-firepower-6-1-pxgrid-remediati-03.png

    Stap 3. Configureer een correlatieregel.

    Ga naar Beleid > Correlatie > Regelbeheer en klik op Regel correlatieregel aanmaken als de oorzaak voor de sanering. Correlatieregel kan meerdere voorwaarden bevatten. In dit voorbeeld Correlatieregel PingDC wordt geraakt als inbraakgebeurtenis optreedt en het IP-adres van de bestemming 192.168.0.121 is. Aangepaste inbraakregel die overeenkomt met icmp echo-antwoord is geconfigureerd voor de test zoals in de afbeelding:

    210524-configure-firepower-6-1-pxgrid-remediati-04.png

    Stap 4. Configureer een correlatiebeleid.

    Navigeer naar Beleid > Correlatie > Beleidsbeheer en klik op Beleid maken, voeg regel toe aan het beleid en wijs reactie erop toe zoals in de afbeelding:

    210524-configure-firepower-6-1-pxgrid-remediati-05.png

    Schakel het correlatiebeleid in zoals in de afbeelding:

    210524-configure-firepower-6-1-pxgrid-remediati-06.png

    ISE configureren

    Stap 1. Configureerbeleid.

    Ga naar Beleid > Autorisatie en voeg een nieuw autorisatiebeleid toe dat wordt geraakt nadat de sanering plaatsvindt. Gebruik Session: EPSSstatus = Quarantaine als voorwaarde. Er zijn verschillende opties die als resultaat kunnen worden gebruikt:

    • Toegang toestaan en verschillende SGT toewijzen (afdwingen toegangscontrole beperking op netwerkapparaten)
    • Toegang weigeren (gebruiker moet uit het netwerk worden gegooid en kan geen verbinding maken)
    • Omleiden naar een zwarte lijst portal (in dit scenario aangepaste hotspot portal is geconfigureerd voor dit doel

    210524-configure-firepower-6-1-pxgrid-remediati-07.png

    Configuratie van aangepaste portal

    In dit voorbeeld is het hotspotportaal ingesteld als een zwarte lijst. Er is alleen een pagina Acceptable Use Policy (AUP) met aangepaste tekst en er is geen mogelijkheid om de AUP te accepteren (dit gebeurt met JavaScript). Om dit te bereiken, moet u eerst JavaScript inschakelen en vervolgens een code plakken die AUP knop en besturingselementen verbergt in portal aanpassingsconfiguratie.

    Stap 1. JavaScript inschakelen.

    Ga naar Beheer > Systeem > Admin Access > Instellingen > Aanpassing portal. Kies Portal aanpassen met HTML en JavaScript inschakelen en klik op Opslaan.

    210524-configure-firepower-6-1-pxgrid-remediati-08.png

    Stap 2. Maak een hotspotportal.

    Navigeer naar Gasttoegang > Configureren > Gastportalen en klik op Maken, en kies hotspottype.

    210524-configure-firepower-6-1-pxgrid-remediati-09.png

    Stap 3. Poortaanpassing configureren.

    Navigeer naar Portal Page Personalisatie en wijzig titels en inhoud om een juiste waarschuwing te geven aan de gebruiker.

    210524-configure-firepower-6-1-pxgrid-remediati-10.png

    Scroll naar Optie Inhoud 2, klik op HTML-bron in-/uitschakelen en plak het script erin:

     Klik op HTML-bron verwijderen.

    210524-configure-firepower-6-1-pxgrid-remediati-11.png

    Verifiëren

    Gebruik de informatie die in deze sectie wordt verstrekt om te verifiëren dat uw configuratie behoorlijk werkt.

    vuurkracht

    De oorzaak voor de sanering is een klap van correlatiebeleid/regel. Navigeer naar Analyse > Correlatie > Correlatie-gebeurtenissen en controleer of correlatie-gebeurtenis heeft plaatsgevonden.

    210524-configure-firepower-6-1-pxgrid-remediati-12.png

    ISE

    ISE moet dan Radius: CoA starten en de gebruiker opnieuw authenticeren, deze gebeurtenissen kunnen worden geverifieerd in Operation > RADIUS Livelog.

    210524-configure-firepower-6-1-pxgrid-remediati-13.png

    In dit voorbeeld heeft ISE verschillende SGT MaliciousUser toegewezen aan het eindpunt. In het geval van een profiel voor toegangsweigering verliest de gebruiker de draadloze verbinding en kan geen verbinding meer worden gemaakt.

    Het herstel met zwarte lijst portal. Als de regel van de saneringsvergunning wordt gevormd om aan het portaal opnieuw te richten, zou het als dit vanuit het aanvallerperspectief moeten kijken:

    210524-configure-firepower-6-1-pxgrid-remediati-14.png

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Navigeer naar Analyse > Correlatie > Status zoals in deze afbeelding.

    210524-configure-firepower-6-1-pxgrid-remediati-15.pngDe resultaatmelding moet de melding Succesvolle voltooiing van de correctie of een specifieke foutmelding retourneren. Controleer syslog: Systeem > Bewaking > Syslog en filter uitvoer met pxgrid. Dezelfde logbestanden kunnen worden geverifieerd in /var/log/berichten.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    07-Nov-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Valerii Palkin
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten