Introdução
Este documento descreve como migrar do Agente do usuário para o Identity Services Engine (ISE) para o Agente do usuário Firepower.
Informações de Apoio
Em versões futuras, o agente do usuário do Firepower não estará mais disponível. Ele é substituído pelo ISE ou Identity Services Engine - Conector de ID passiva (ISE-PIC). Se você usa atualmente o agente de usuário e está considerando migrar para o ISE, este documento fornece considerações e estratégias para sua migração.
Visão geral da identidade do usuário
Existem atualmente dois métodos para extrair informações de identidade do usuário da infraestrutura de identidade existente: agente de usuário e integração do ISE.
Agente de usuário
O agente de usuário é um aplicativo instalado em uma plataforma Windows. Ele se baseia no protocolo WMI (Instrumentação de Gerenciamento do Windows) para acessar os eventos de logon do usuário (tipo de evento 4624) e salva os dados em um banco de dados local. Há duas maneiras pelas quais o agente de usuário recupera os eventos de logon: atualizado em tempo real à medida que o usuário faz logon (somente Windows Server 2008 e 2012) ou sondando os dados para cada intervalo configurável. Da mesma forma, o agente de usuário envia os dados recebidos do Ative Diretory (AD) para o Firepower Management Center (FMC) em tempo real e envia lotes de dados de logon ao FMC regularmente.
Os tipos de logons detectáveis pelo Agente de Usuário incluem logon em um host diretamente ou por meio da Área de Trabalho Remota; logon de compartilhamento de arquivos e logon em conta de computador. Outros tipos de logons, como Citrix, logons de rede e logons Kerberos, não são suportados pelo agente do usuário.
O agente de usuário tem um recurso opcional para detectar se o usuário mapeado fez logoff. Se a verificação de logoff estiver habilitada, ela verificará periodicamente se o processoexplorer.exeestá em execução em cada ponto final mapeado. Se não puder detectar o processo em execução, o mapeamento para esse usuário será removido após 72 horas.
Identity Services Engine
O ISE é um servidor AAA robusto que gerencia as sessões de login na rede do usuário. Como o ISE se comunica diretamente com dispositivos de rede, como switches e controladores sem fio, ele tem acesso a dados atualizados sobre as atividades do usuário, tornando-o uma fonte de identidade melhor do que o agente do usuário. Quando um usuário faz logon em um endpoint, ele geralmente se conecta automaticamente à rede e, se a autenticação dot1x estiver habilitada para a rede, o ISE cria uma sessão de autenticação para esses usuários e a mantém ativa até que o usuário faça logoff da rede. Se o ISE estiver integrado ao FMC, ele encaminha os dados de mapeamento do IP do usuário (juntamente com outros dados coletados pelo ISE) para o FMC.
O ISE pode ser integrado ao FMC via pxGrid. O pxGrid é um protocolo projetado para centralizar a distribuição de informações de sessão entre os servidores ISE e com outros produtos. Nessa integração, o ISE atua como um controlador pxGrid e o FMC se inscreve no controlador para receber dados de sessão (o FMC não publica nenhum dado no ISE, exceto durante a correção, que será discutida posteriormente) e passa os dados para os sensores a fim de sensibilizar o usuário.
Identity Services Engine - Conector de identidade passiva (ISE-PIC)
Identity Services Engine - O Passive Identity Connector (ISE-PIC) é essencialmente uma instância do ISE com uma licença restrita. O ISE-PIC não executa nenhuma autenticação, mas atua como um hub central para várias fontes de identidade na rede, coletando os dados de identidade e fornecendo-os aos assinantes. O ISE-PIC é semelhante ao agente de usuário na forma em que também usa o WMI para reunir eventos de login do AD, mas com recursos mais robustos conhecidos como Identidade passiva. Ele também está integrado ao FMC via pxGrid.
Considerações sobre migração
Requisitos de licenciamento
O CVP não necessita de licenças adicionais. O ISE requer uma licença se ainda não estiver implantado na infraestrutura. Consulte o documento Modelo de licenciamento do Cisco ISE para obter detalhes. O ISE-PIC é um conjunto de recursos que já existe na implantação completa do ISE, portanto, não são necessárias licenças adicionais se houver uma implantação do ISE existente. Para uma implantação nova ou separada do ISE-PIC, consulte o documento Licenciamento do Cisco ISE-PIC para obter detalhes.
Certificado SSL
Embora o agente de usuário não exija a Public Key Infrastructure (PKI) para comunicações com o FMC e o AD, a integração ISE ou ISE-PIC requer certificados SSL compartilhados entre o ISE e o FMC somente para fins de autenticação. A integração suporta certificados assinados e autoassinados pela Autoridade de Certificação, desde que a Autenticação do Servidor e o Uso de Chave de Extensão (EKU - Extention Key Usage) da Autenticação do Cliente sejam adicionados aos certificados.
Cobertura da fonte de identidade
O Agente de Usuário cobre somente eventos de login do Windows de Desktops Windows, com detecção de logout baseada em sondagem. O ISE-PIC abrange o login do Windows Desktop mais fontes de identidade adicionais, como Agente AD, SPAN Kerberos, Analisador de Syslog e Agente de Serviços de Terminal (TSA). O ISE completo tem a cobertura de todos os ISE-PICs, além de autenticação de rede de estações de trabalho e dispositivos móveis não Windows, entre outros recursos.
|
Agente de usuário |
ISE-PIC |
ISE |
| Logon do Ative Diretory Desktop |
Yes |
Yes |
Yes |
| Logon de rede |
No |
No |
Yes |
| Sonda de ponto final |
Yes |
Yes |
Yes |
| InfoBlox/IPAMs |
No |
Yes |
Yes |
| LDAP |
No |
Yes |
Yes |
| Gateways da Web seguros |
No |
Yes |
Yes |
| Fontes de API REST |
No |
Yes |
Yes |
| Analisador de Syslog |
No |
Yes |
Yes |
| Alcance da rede |
No |
Yes |
Yes |
Fim da Vida Útil do Agente do Usuário
A última versão do Firepower para oferecer suporte ao User Agent é a 6.6, que fornece um aviso de que o User Agent deve ser desabilitado antes da atualização para versões posteriores. Se for necessário um upgrade para uma versão posterior à 6.6, a migração do agente do usuário para o ISE ou ISE-PIC deverá ser concluída antes do upgrade. Consulte o Guia de Configuração do Agente do Usuário para obter mais detalhes.
Compatibilidade
Consulte o guia de compatibilidade de produtos Firepower para garantir que as versões de software envolvidas na integração sejam compatíveis. Observe que para versões futuras do Firepower, o suporte para versões posteriores do ISE requer níveis de patch específicos.
Estratégia do migração
A migração do agente de usuário para o ISE ou ISE-PIC exige planejamento, execução e teste cuidadosos para garantir uma transição tranquila da fonte de identidade do usuário para o FMC e evitar qualquer impacto no tráfego do usuário. Esta seção fornece as melhores práticas e recomendações para esta atividade.
Preparação para a migração
Estas etapas podem ser realizadas antes da transferência do agente do usuário para a integração do ISE:
Etapa 1. Configure o ISE ou ISE-PIC para habilitar PassiveID e estabelecer conexão WMI com o Ative Diretory. Consulte o Guia de Administração do ISE-PIC.
Etapa 2. Preparar o certificado de identificação do CVP. Pode ser um certificado autoassinado emitido pelo CVP ou um pedido de assinatura do certificado (CSR) gerado no CVP, a assinar por uma autoridade de certificação (AC) pública ou privada. O certificado autoassinado ou o certificado raiz da CA deve estar instalado no ISE. Consulte o Guia de integração do ISE e do FMC para obter mais detalhes.
Etapa 3. Instale o certificado raiz de CA que assinou o certificado pxGrid do ISE (ou o certificado pxGrid, se autoassinado) no FMC. Consulte o Guia de integração do ISE e do FMC para obter mais detalhes.
Processo de transição
A integração FMC-ISE não pode ser configurada sem desativar a configuração do agente de usuário no FMC, pois as duas configurações são mutuamente exclusivas. Isso pode afetar os usuários durante a alteração. Recomenda-se executar essas etapas durante a janela de manutenção.
Etapa 1. Habilitar e verificar a integração FMC-ISE. Consulte o Guia de integração do ISE e do FMC para obter detalhes.
Etapa 2. Assegurar que as atividades dos utilizadores sejam comunicadas ao CVP, navegando até àAnalysis > User > User Activitiespágina do CVP.
Etapa 3. Verifique se o mapeamento de IP de usuário e o mapeamento de grupo de usuários estão disponíveis em dispositivos gerenciados doAnalysis > Connections > Events > Table View of Connection Events.
Etapa 4. Modifique a Política de controle de acesso para alterar temporariamente a ação para Monitorar para qualquer regra que bloqueie o tráfego, dependendo do nome de usuário ou da condição do grupo de usuários. Para regras que permitem tráfego com base no usuário ou grupo do iniciador, crie uma regra duplicada que permita o tráfego sem critérios do usuário e desabilite a regra original. A finalidade desta etapa é garantir que o tráfego essencial para os negócios não seja afetado durante a etapa de teste após a janela de manutenção.
Etapa 5. Após a janela de manutenção, durante o horário comercial normal, observe os eventos de conexão no FMC para monitorar o mapeamento do IP do usuário. Observe que os eventos de conexão só mostrarão informações de usuário se houver uma regra habilitada que exija dados de usuário. É por isso que a ação de monitoramento é sugerida na etapa anterior.
Etapa 6. Quando o estado desejado for alcançado, simplesmente reverta as alterações feitas nas Políticas de controle de acesso e envie a implantação da política para os dispositivos gerenciados.
Informações Relacionadas
Feedback