WAN-integratie configureren met ISE voor TrustSec-bewuste services
Inhoud
Inleiding
Dit document beschrijft hoe u de Web security applicatie (WSA) kunt integreren met Identity Services Engine (ISE). ISE versie 1.3 ondersteunt een nieuwe API genaamd pxGrid. Dit moderne en flexibele protocol ondersteunt verificatie, encryptie en privileges (groepen) die een eenvoudige integratie met andere beveiligingsoplossingen mogelijk maakt.
WSA versie 8.7 ondersteunt pxGrid-protocol en kan informatie over context-identiteit ophalen van ISE. Hierdoor kunt u met WSA beleid maken op basis van TrustSec Security Group Tag (SGT)-groepen die via ISE worden opgehaald.
Voorwaarden
Vereisten
Cisco raadt u aan ervaring te hebben met Cisco ISE-configuratie en basiskennis van deze onderwerpen:
- ISE-implementaties en -autorisatieconfiguratie
- Adaptieve security applicatie (ASA) CLI-configuratie voor TrustSec en VPN-toegang
- WSA-configuratie
- Basiskennis van TrustSec-implementaties
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Microsoft Windows 7
- Cisco ISE-softwareversie 1.3 en hoger
- Cisco AnyConnect mobiele security versie 3.1 en hoger
- Cisco ASA versie 9.3.1 en hoger
- Cisco WAP versie 8.7 en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
Netwerkdiagram en verkeersstroom
TrustSec SGT-tags worden door ISE toegewezen als een verificatieserver voor alle typen gebruikers die toegang hebben tot het bedrijfsnetwerk. Dit betreft bekabelde/draadloze gebruikers die hun authenticatie uitvoeren via 802.1x of ISE-gastenportals. Ook externe VPN-gebruikers die ISE gebruiken voor verificatie.
Voor WSA, maakt het niet uit hoe de gebruiker tot het netwerk heeft toegang gehad.
Dit voorbeeld toont een externe VPN-gebruiker die een sessie afsluit op de ASA-VPN. Deze gebruikers hebben een specifieke SGT-tag toegewezen gekregen. Al het HTTP-verkeer naar internet wordt door de ASA-FW (firewall) onderschept en naar de WSA doorgestuurd voor inspectie. De WSA maakt gebruik van het identiteitsprofiel dat het mogelijk maakt gebruikers te classificeren op basis van de SGT-tag en op basis daarvan een toegangs- of decryptiebeleid op te stellen.
De gedetailleerde stroom is:
- De AnyConnect VPN-gebruiker beëindigt de SSL-sessie (Secure Sockets Layer) op de ASA-VPN. ASA-VPN wordt geconfigureerd voor TrustSec en gebruikt ISE voor verificatie van VPN-gebruikers. De geverifieerde gebruiker krijgt een SGT-tagwaarde = 2 (naam = IT) toegewezen. De gebruiker ontvangt een IP-adres van het 172.16.32.0/24-netwerk (172.16.32.50 in dit voorbeeld).
- De gebruiker probeert toegang te krijgen tot de webpagina op het internet. ASA-FW wordt geconfigureerd voor Web Cache Communication Protocol (WCCP), dat verkeer naar de WSA doorstuurt.
- WSA wordt geconfigureerd voor ISE-integratie. Het gebruikt pxGrid om informatie van de ISE te downloaden: het IP-adres van de gebruiker 172.16.32.50 is toegewezen SGT-tag 2.
- De WSA verwerkt het HTTP-verzoek van de gebruiker en raakt het toegangsbeleid PolicyForIT. Dat beleid is ingesteld om verkeer naar de sportlocaties te blokkeren. Alle andere gebruikers (die niet tot SGT 2 behoren) raken het standaard toegangsbeleid en hebben volledige toegang tot de sportsites.
ASA 5500-VPN router
Dit is een VPN-gateway die is geconfigureerd voor TrustSec. De gedetailleerde configuratie valt buiten het bereik van dit document. Zie de volgende voorbeelden:
- ASA en Catalyst 3750X Series Switch TrustSec-configuratievoorbeeld en gids voor probleemoplossing
- ASA versie 9.2 Configuratie-voorbeeld van VPN SGT-classificatie en -handhaving
ASA 500-FW
De ASA firewall is verantwoordelijk voor WCCP-omleiding naar de WSA. Dit apparaat is niet bekend met TrustSec.
interface GigabitEthernet0/0
nameif outside
security-level 100
ip address 172.16.33.110 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.32.110 255.255.255.0
access-list wccp-routers extended permit ip host 172.16.32.204 any
access-list wccp-redirect extended deny tcp any host 172.16.32.204
access-list wccp-redirect extended permit tcp any any eq www
access-list wccp-redirect extended permit tcp any any eq https
wccp 90 redirect-list wccp-redirect group-list wccp-routers
wccp interface inside 90 redirect in
ISE
ISE is een centraal punt in de TrustSec-implementatie. Het wijst SGT-tags toe aan alle gebruikers die toegang hebben tot het netwerk en deze authenticeren. De stappen die vereist zijn voor de basisconfiguratie worden in deze sectie vermeld.
Stap 1. SGT voor IT en andere groepen
Kies Beleid > Resultaten > Beveiligingsgroeptoegang > Beveiligingsgroepen en maak de SGT:
Stap 2. Autorisatieregel voor VPN-toegang waarbij SGT = 2 (IT) wordt toegewezen
Kies Beleid > Autorisatie en maak een regel voor externe VPN-toegang. Alle VPN-verbindingen die via ASA-VPN tot stand zijn gebracht, krijgen volledige toegang (PermitAccess) en krijgen SGT-tag 2 (IT) toegewezen.
Stap 3. Netwerkapparaat toevoegen en PAC-bestand voor ASA-VPN genereren
Om ASA-VPN aan het TrustSec-domein toe te voegen, is het nodig om het proxy Auto Config (PAC)-bestand handmatig te genereren. Dat bestand wordt op de ASA geïmporteerd.
Dat kan worden geconfigureerd via Beheer > Netwerkapparaten. Nadat de ASA is toegevoegd, scrolt u naar de TrustSec-instellingen en genereert u het PAC-bestand. De gegevens daarvoor worden in een afzonderlijk document (waarnaar wordt verwezen) beschreven.
Stap 4. PxGrid-rol inschakelen
Kies Beheer > Implementatie om de rol pxGrid in te schakelen.
Stap 5. Genereer het certificaat voor beheer en de rol pxGrid
Het PxGrid-protocol maakt gebruik van certificaatverificatie voor zowel de client als de server. Het is zeer belangrijk om de juiste certificaten voor zowel ISE als WSA te configureren. Beide certificaten moeten de Fully Qualified Domain Name (FQDN) in het onderwerp en x509-extensies voor clientverificatie en serververificatie bevatten. Zorg er ook voor dat de juiste DNS A-record is gemaakt voor zowel ISE als WSA en overeenkomt met de corresponderende FQDN.
Als beide certificaten worden ondertekend door een andere certificeringsinstantie (CA), is het belangrijk om deze CA’s op te nemen in de vertrouwde winkel.
Om certificaten te configureren kiest u Beheer > Certificaten.
ISE kan voor elke rol een certificaatondertekeningsverzoek genereren. Voor de rol pxGrid exporteer en onderteken de MVO met een externe CA.
In dit voorbeeld is de Microsoft CA gebruikt met deze sjabloon:
Het eindresultaat kan er als volgt uitzien:
Vergeet niet DNS A-records te maken voor ise14.example.com en pxgrid.example.com die verwijzen naar 172.16.31.202.
Stap 6. Automatische registratie van pxGrid
Standaard zal ISE geen pxGrid-abonnees automatisch registreren. Dat moet handmatig worden goedgekeurd door de beheerder. Die instelling moet worden gewijzigd voor WSA-integratie.
Kies Beheer > PxGrid-services en stel Automatisch registreren in.
WSA
Stap 1. Transparante modus en omleiding
In dit voorbeeld is de WSA geconfigureerd met alleen de beheerinterface, transparante modus en omleiding vanuit de ASA:
Stap 2. Certificaat genereren
De WSA moet erop vertrouwen dat de CA alle certificaten ondertekent. Kies Netwerk > Certificaatbeheer om een CA-certificaat toe te voegen:
Het is ook nodig om een certificaat te genereren dat de WSA zal gebruiken om te authenticeren naar pxGrid. Kies Netwerk > Identity Services Engine > WSA-clientcertificaat om de CSR te genereren, onderteken het met de juiste CA-sjabloon (ISE-pxgrid) en importeer het opnieuw.
Ook voor "ISE Admin Certificate" en "ISE pxGrid Certificate" moet u het CA-certificaat importeren (om te vertrouwen op het pxGrid-certificaat dat door ISE wordt aangeboden):
Stap 3. Test ISE-connectiviteit
Kies Network > Identity Services Engine om de verbinding met ISE te testen:
Stap 4. ISE-identificatieprofielen
Kies Web Security Manager > Identificatieprofielen om een nieuw profiel voor ISE toe te voegen. Voor "Identificatie en Verificatie" moet u "Transparently identificeert users with ISE" gebruiken.
Stap 5. Toegang tot het beleid op basis van de SGT-tag
Kies Web Security Manager > Toegangsbeleid om een nieuw beleid toe te voegen. Lidmaatschap gebruikt het ISE-profiel:
Voor geselecteerde groepen en gebruikers wordt de SGT-tag 2 toegevoegd (IT):
Het beleid ontzegt gebruikers die behoren tot SGT IT toegang tot alle sportsites:
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Stap 1. VPN-sessie
De VPN-gebruiker start een VPN-sessie naar de ASA-VPN:
ASA-VPN gebruikt ISE voor verificatie. ISE maakt een sessie en wijst de SGT tag 2 (IT) toe:
Na succesvolle verificatie maakt de ASA-VPN een VPN-sessie met de SGT-tag 2 (geretourneerd in Radius Access-Accept in cisco-av-paar):
asa-vpn# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 2
Assigned IP : 172.16.32.50 Public IP : 192.168.10.67
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 12979961 Bytes Rx : 1866781
Group Policy : POLICY Tunnel Group : SSLVPN
Login Time : 21:13:26 UTC Tue May 5 2015
Duration : 6h:08m:03s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac1020640000200055493276
Security Grp : 2:IT
Aangezien de koppeling tussen ASA-VPN en ASA-FW niet TrustSec ingeschakeld is, verstuurt ASA-VPN niet-getagde frames voor dat verkeer (de ASA-VPN kan geen Ethernet-frames inkapselen met het geïnjecteerde CMD/TrustSec-veld).
Stap 2. Sessiegegevens die door de WSA zijn verzameld
In deze fase moet de WSA de koppeling tussen het IP-adres, de gebruikersnaam en SGT ontvangen (via pxGrid-protocol):
Stap 3. Verkeersomleiding naar de WSA
De VPN-gebruiker start een verbinding met sport.pl, die door de ASA-FW wordt onderschept:
asa-fw# show wccp
Global WCCP information:
Router information:
Router Identifier: 172.16.33.110
Protocol Version: 2.0
Service Identifier: 90
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 562
Redirect access-list: wccp-redirect
Total Connections Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: wccp-routers
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total Bypassed Packets Received: 0
asa-fw# show access-list wccp-redirect
access-list wccp-redirect; 3 elements; name hash: 0x9bab8633
access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)
0xfd875b28
access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)
0x028ab2b9
access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)
0xe202a11e
en via een tunnel in GRE naar de WSA (merk op dat de WCCP router-id het hoogste IP-adres is dat is geconfigureerd):
asa-fw# show capture
capture CAP type raw-data interface inside [Capturing - 70065 bytes]
match gre any any
asa-fw# show capture CAP
525 packets captured
1: 03:21:45.035657 172.16.33.110 > 172.16.32.204: ip-proto-47, length 60
2: 03:21:45.038709 172.16.33.110 > 172.16.32.204: ip-proto-47, length 48
3: 03:21:45.039960 172.16.33.110 > 172.16.32.204: ip-proto-47, length 640
WSA zet de TCP-handdruk voort en verwerkt het GET-verzoek. Hierdoor wordt het beleid met de naam PolicyForIT geraakt en wordt het verkeer geblokkeerd:
Dit wordt bevestigd in het rapport van de WSA:
Bericht dat ISE de gebruikersnaam toont.
Problemen oplossen
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
Onjuiste certificaten
Wanneer WSA niet op de juiste wijze is geïnitialiseerd (certificaten), test u op een ISE-verbindingsfout:
De ISE pxgrid-cm.log meldt:
[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]
[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1
De reden voor de mislukking kan met Wireshark worden gezien:
Voor een SSL-sessie die wordt gebruikt om XMPP (Extensible Messaging and Presence Protocol)-uitwisseling te beveiligen (gebruikt door pxGrid), meldt de client SSL-storing vanwege een onbekende certificaatketen die door de server wordt gepresenteerd.
Correct scenario
Voor het juiste scenario logt de ISE pxgrid-controller.log:
2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher
-:::::- Handling authentication for user name wsa.example.com-test_client
Ook presenteert de ISE GUI de WSA als een abonnee met de juiste functies:
Gerelateerde informatie
- ASA versie 9.2.1 VPN-houding met ISE-configuratievoorbeeld
- WSA 8.7 gebruikershandleiding
- ASA en Catalyst 3750X Series Switch TrustSec-configuratievoorbeeld en gids voor probleemoplossing
- Cisco TrustSec Switch-configuratiehandleiding: begrip van Cisco TrustSec
- Gebruikersautorisatie voor een externe server voor security applicatie configureren
- Configuratiehandleiding voor Cisco ASA Series VPN CLI, 9.1
- Gebruikershandleiding voor Cisco Identity Services Engine, release 1.2
- Technische ondersteuning en documentatie – Cisco Systems
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
30-Jul-2015 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)