Solução de problemas de integração do ISE e do FirePOWER para o Identity Services

Opções de download

  • PDF     (2.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.9 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de janeiro de 2016
ID do documento:200319

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar e solucionar problemas de políticas compatíveis com o TrustSec no Cisco Next Generation Intrusion Prevention System (NGIPS). O NGIPS versão 6.0 suporta integração com o Identity Services Engine (ISE), permitindo a criação de políticas de reconhecimento baseadas em identidade.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Configuração de VPN do Cisco Adaptive Security Appliance (ASA)
  • Configuração do Cisco AnyConnect Secure Mobility Client
  • Configuração básica do Cisco FirePower Management Center
  • configuração do Cisco ISE
  • Soluções Cisco TrustSec

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Microsoft Windows 7
  • Autoridade de Certificação (CA) do Microsoft Windows 2012
  • Cisco ASA versão 9.3
  • Software Cisco ISE versões 1.4
  • Cisco AnyConnect Secure Mobility Client versões 4.2
  • Cisco FirePower Management Center (FMC) versão 6.0
  • Cisco FirePower NGIPS versão 6.0

Configurar

O FirePower Management Center (FMC) é a plataforma de gerenciamento do FirePower. Há dois tipos de funcionalidades relacionados à integração do ISE:
  • Correção - permite que o FMC coloque o invasor em quarentena através do ISE, que está alterando dinamicamente o status de autorização no dispositivo de acesso que fornece acesso limitado à rede. Há duas gerações dessa solução:
  1. Script perl legado usando chamada de API do Serviço de Proteção de Ponto de Extremidade (EPS) para ISE.
  2. Módulo mais recente usando chamada de protocolo pxGrid para ISE (este módulo é suportado somente na versão 5.4 - não suportado no 6.0, suporte nativo planejado no 6.1).
  • Política - permite que o FMC configure políticas com base nas tags de grupos de segurança (SGT) do TrustSec.

Este artigo se concentra na segunda funcionalidade. Para obter um exemplo de remediação, leia a seção de referências

Diagrama de Rede

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-00.jpeg

O FMC é configurado com a política de controle de acesso que contém duas regras:

  • Negar para tráfego HTTP com URL personalizada (ataque-url)
  • Permitir tráfego HTTP com URL personalizada (ataque-url), mas somente se o usuário estiver atribuído à marca SGT Audit (9) pelo ISE

O ISE decide atribuir a marca de Auditoria a todos os usuários do Ative Diretory que pertencem ao grupo Administrador e usam o dispositivo ASA-VPN para acesso à rede.

O usuário acessa a rede através da conexão VPN no ASA. Em seguida, o usuário tenta acessar o servidor auditado usando URL attack-url - mas falha porque não foi atribuído ao grupo SGT de auditoria. Uma vez corrigido, a conexão é bem-sucedida.

ISE

Diretório ativo

A integração do AD deve ser configurada e os grupos corretos devem ser buscados (o grupo Administradores é usado para condição de regra de autorização):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-01.png

Dispositivo de acesso à rede

O ASA é adicionado como um dispositivo de rede. O grupo personalizado ASA-VPN-Audit é usado, como mostrado nesta imagem:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-02.png

Certificados para pxGrid e MnT

O FMC usa os dois serviços no ISE:

  • pxGrid para SGT e consulta de dados de criação de perfil
  • Monitoramento e relatórios (MnT) para download de sessão em massa

A disponibilidade de MnT é muito importante, pois dessa forma o FMC está sendo informado sobre qual é o endereço IP da sessão autenticada, também seu nome de usuário e marca SGT. Com base nisso, as políticas corretas podem ser aplicadas. Observe que o NGIPS não suporta tags SGT nativas (marcação em linha) como o ASA. Mas, ao contrário do ASA, ele suporta nomes SGT em vez de apenas números.

Devido a esses requisitos, o ISE e o FMC precisam confiar em serviços (certificados). O MnT usa apenas certificado do lado do servidor, o pxGrid usa certificado do lado do cliente e do lado do servidor.

A Microsoft CA é usada para assinar todos os certificados.

Para MnT (função do administrador), o ISE deve gerar a solicitação de assinatura de certificado (CSR), como mostrado nesta imagem:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-03.png

Depois de ser assinado pela Microsoft CA, ele deve ser importado por meio da opção Bind Certificate.
Um processo semelhante deve ser seguido para o serviço pxGrid. O(s) certificado(s) será(ão) usado(s) para a opção deve(m) ter o pxGrid selecionado.
Como não pode haver dois certificados com Nome de Entidade idêntico, é totalmente aceitável adicionar um valor diferente para a seção OU ou O (por exemplo, pxGrid).

Observação: certifique-se de que, para cada Nome de domínio totalmente qualificado (FQDN) para ISE e FMC, o registro DNS correto esteja configurado no servidor DNS.

A única diferença entre o certificado Admin e o pxGrid é o processo de assinatura. Como os certificados pxGrid devem ter opções de Uso Estendido de Chave para autenticação de Cliente e Servidor, o modelo personalizado na Microsoft CA pode ser usado para isso:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-04.png
 Como usar o Microsoft Web Service para assinar o CSR do pxGrid é mostrado nesta imagem:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-05.png
No final, o ISE deve ter certificados Admin e pxGrid assinados pela autoridade de certificação confiável (Microsoft), como mostrado nesta imagem:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-06.png

serviço pxGrid

Com os certificados corretos, a função pxGrid para um nó específico deve ser habilitada, como mostrado nesta imagem:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-07.png

E a aprovação automática deve ser definida como habilitada:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-08.png

Política de Autorização

A política de autenticação padrão é usada (a pesquisa do AD é executada se o usuário local não for encontrado).

A diretiva de autorização foi configurada para fornecer acesso total à rede (Permissão: PermitAccess) para usuários que se autenticam via ASA-VPN e pertencem ao grupo Administradores do Ative Diretory. Para esses usuários, a marca SGT Audit é retornada:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-09.png

CVP

Território do Ative Diretory

A configuração do território é necessária para trabalhar com a integração do ISE (para usar Políticas de identidade e recuperar a associação de grupo para usuários autenticados passivamente). O território pode ser configurado para o Ative Diretory ou o Lightweight Diretory Access Protocol (LDAP). Neste exemplo, o AD está sendo usado. Em System > Integration > Realm:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-10.png

As configurações padrão de diretório são usadas:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-11.png

E alguns dos grupos do AD são recuperados (para serem usados como condição adicional nas regras de controle de acesso):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-12.png

Certificados para Admin e pxGrid

Embora não seja obrigatório, é uma boa prática gerar CSR para acesso de administrador. Assine esse CSR usando o AD confiável, importe novamente o certificado assinado, como mostrado nesta imagem:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-13.png

O certificado CA precisa ser adicionado a um armazenamento confiável:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-14.png
A última etapa é gerar o certificado pxGrid usado pelo FMC para autorizar o serviço pxGrid do ISE. Para gerar CSR, a CLI precisa ser usada (ou qualquer outra máquina externa com a ferramenta openssl). 
admin@firepower:~$ sudo su -
Password: 
root@firepower:~# 
root@firepower:~# openssl genrsa -des3 -out fire.key 4096
Generating RSA private key, 4096 bit long modulus
.........
..............
e is 65537 (0x10001)
Enter pass phrase for fire.key:
Verifying - Enter pass phrase for fire.key:
root@firepower:~# 
root@firepower:~# openssl req -new -key fire.key -out fire.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Code []:PL
State or Province Name []:
Locality Name []:
Organization Name []:Cisco
Organizational Unit Name []:TAC
Common Name []:firepower.example.com
Email Address []:
root@firepower:~#
Uma vez gerado o fire.csr, assine-o usando o Microsoft CA (modelo pxGrid). Importe novamente a chave privada (fire.key) e o certificado assinado (fire.pem) para o armazenamento de Certificados Internos do FMC. Para chave privada, use a senha configurada durante a geração da chave (comando openssl genrsa):
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-15.png

Integração do ISE

Depois que todos os certificados estiverem instalados, configure a integração do ISE em System > Integration:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-16.png

Use a CA importada para validação de certificados de serviços pxGrid e MnT. Para o Management Console (MC), use o certificado interno gerado para o pxGrid.

Política de identidade

Configure a Política de Identidade que está utilizando o Domínio do AD configurado anteriormente para Autenticação Passiva:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-17.png

Política de controle de acesso

Para este exemplo, a URL personalizada foi criada:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-18.png

E as duas regras na Política de controle de acesso personalizada:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-19.png
A regra PermitPrivileged-HTTP permite todos os usuários pertencentes ao grupo de Administradores do AD que receberam a marca SGT. Auditores para executar ataques HTTP em todos os destinos.
DenyUnprivileged-HTTP nega essa ação a todos os outros usuários.
Observe também que a política de identidade criada anteriormente foi atribuída a esta política de controle de acesso.
Nessa guia, não é possível ver as marcas SGT, mas elas ficam visíveis durante a criação ou edição de uma regra específica:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-20.png
Verifique se a política está atribuída ao NGIPS e se todas as alterações foram implantadas:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-21.png


Verificar

Depois que tudo estiver configurado corretamente, o ISE deverá ver o cliente pxGrid se inscrevendo para um serviço de sessão (status Online).

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-22.png

Nos registros, você também pode confirmar que o FMC assinou o serviço TrustSecMetaData (marcas SGT) - recebeu todas as marcas e cancelou a assinatura.

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-23.png

estabelecimento de sessão VPN

O primeiro teste é executado para um cenário em que a autorização no ISE não retorna a tag SGT correta (o NGIPS não permite testes de auditoria).

Quando a sessão VPN estiver ativa, a interface de usuário (UI) do AnyConnect poderá fornecer mais detalhes:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-24.png

O ASA pode confirmar que a sessão foi estabelecida:

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3

Observe que o ASA não vê nenhuma tag SGT retornada para esta autenticação. O ASA não está configurado para TrustSec; portanto, as informações são ignoradas mesmo assim.

O ISE também está relatando uma autorização bem-sucedida (o registro em 23:36:19) - nenhuma marca SGT foi retornada:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-25.png

FMC obtendo dados de sessão do MnT

Nesse estágio, o FMC em /var/log/messages relata uma nova sessão (recebida como assinante do serviço pxGrid) para o nome de usuário do Administrador e realiza uma pesquisa do AD para a associação ao grupo:

firepower SF-IMS[3554]: [17768] ADI:adi.LdapRealm [INFO] search 
'(|(sAMAccountName=Administrator))' has the following DN: 
'CN=Administrator,CN=Users,DC=example,DC=com'.

Acesso à rede privilegiada e não privilegiada

Quando, nesse estágio, o usuário tentar abrir o navegador da Web e acessar o servidor auditado, a conexão será encerrada:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-26.png

Isso pode ser confirmado pelas capturas de pacotes tiradas do cliente (envio do TCP RST de acordo com a configuração do FMC):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-27.png

Quando o ISE estiver configurado para retornar, a sessão de ASA da etiqueta de auditoria informará:

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3
Security Grp : 9

O ISE também relata uma autorização bem-sucedida (o registro às 23:37:26) - tag SGT O auditor é retornado:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-28.png

E o usuário pode acessar o serviço mencionado:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-29.png

Acesso ao registro do FMC

Esta atividade pode ser confirmada pelo relatório de evento de conexão:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-30.png

Primeiro, o usuário não tinha nenhuma tag SGT atribuída e estava atingindo a regra DenyUnprivileged-HTTP. Quando a marca do auditor tiver sido atribuída pela regra do ISE (e recuperada pelo FMC), PermitPrivileged-HTTP será usado e o acesso será permitido.

Observe também que para ter a exibição, várias colunas foram removidas porque normalmente a Regra de controle de acesso e a Tag de grupo de segurança são exibidas como uma das últimas colunas (e a barra de rolagem horizontal precisa ser usada). Essa visualização personalizada pode ser salva e reutilizada no futuro.

Troubleshooting

depurações do FMC

Para verificar os logs do componente adi responsável pelos serviços de identidade, verifique o arquivo /var/log/messages:

[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] Parsing command line arguments...            
[23509] ADI_ISE_Test_Help:adi.DirectoryTestHandler [INFO] test: ISE connection.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing ISE Connection objects...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing subscription objects...             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to EndpointProfileMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability EndpointProfileMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to TrustSecMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability TrustSecMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to SessionDirectoryCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability SessionDirectoryCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Connecting to ISE server...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Beginning to connect to ISE server...          
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: _reconnection_thread started         
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: pxgrid connection init done successfully      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: connecting to host lise20.example.com .......      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: stream opened         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: EXTERNAL authentication complete        
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: authenticated successfully (sasl mechanism: EXTERNAL)      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully subscribed         
message repeated 2 times               
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Queried 1 bulk download hostnames:lise20.example.com:8910           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ...successfully connected to ISE server.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Starting bulk download             
[23514] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: curl_easy_setopt() for CURLOPT_URL: 'https://lise20.example.com:8910/pxgrid/mnt/sd/getSessionListByTime'       
[8893] ADI:ADI [INFO] : sub command emits:'* Trying 172.16.31.210...'          
[8893] ADI:ADI [INFO] : sub command emits:'* Connected to lise20.example.com (172.16.31.210) port 8910 (#0)'     
[8893] ADI:ADI [INFO] : sub command emits:'* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH'         
[8893] ADI:ADI [INFO] : sub command emits:'* SSL connection using TLSv1.2 / DHE-RSA-AES256-SHA256'      
[8893] ADI:ADI [INFO] : sub command emits:'* Server certificate:'          
[8893] ADI:ADI [INFO] : sub command emits:'* ^I subject: CN=lise20.example.com'         
[8893] ADI:ADI [INFO] : sub command emits:'* ^I start date: 2015-11-21 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I expire date: 2017-11-20 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I common name: lise20.example.com (matched)'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I issuer: DC=com; DC=example; CN=example-WIN-CA'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I SSL certificate verify ok.'       
[8893] ADI:ADI [INFO] : sub command emits:'> POST /pxgrid/mnt/sd/getSessionListByTime HTTP/1.1^M'         
[8893] ADI:ADI [INFO] : sub command emits:'Host: lise20.example.com:8910^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Accept: */*^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Content-Type: application/xml^M'           
[8893] ADI:ADI [INFO] : sub command emits:'user:firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com^M'            
[8893] ADI:ADI [INFO] : sub command emits:'Content-Length: 269^M'           
[8893] ADI:ADI [INFO] : sub command emits:'^M'            
[8893] ADI:ADI [INFO] : sub command emits:'* upload completely sent off: 269 out of 269 bytes'   
[8893] ADI:ADI [INFO] : sub command emits:'< HTTP/1.1 200 OK^M'         
[8893] ADI:ADI [INFO] : sub command emits:'< Date: Tue, 01 Dec 2015 23:10:45 GMT^M'     
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Type: application/xml^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Length: 1287^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Server: ^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< ^M'           
[8893] ADI:ADI [INFO] : sub command emits:'* Connection #0 to host lise20.example.com left intact'     
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] bulk download processed 0 entries.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] disconnecting pxgrid              
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Starting reconnection stop        
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: _reconnection_thread exited         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: stream closed; err_dom=(null) 2015-12-01T23:10:45 [ INFO]: clientDisconnectedCb -> destroying client object
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid connection shutdown done successfully      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Exiting from event base loop      
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully disconnected         
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: connection disconnect done .....       
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid reconnection             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying underlying pxgrid connection            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid config             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ISE identity feed destructor called           
[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] /usr/local/sf/bin/adi_iseTestHelp cleanly exits.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid library has been uninitialized      
[8893] ADI:ADI [INFO] Parent done waiting, child completed with integer status 0       

Para obter depurações mais detalhadas, é possível eliminar o processo do 'adi' (a partir da raiz após o 'sudo') e executá- lo com o argumento de depuração:

root@firepower:/var/log# ps ax | grep adi             
24047 ?        Sl     0:00 /usr/local/sf/bin/adi
24090 pts/0    S+     0:00 grep adi
root@firepower:/var/log# kill -9 24047                 
root@firepower:/var/log# /usr/local/sf/bin/adi --debug
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:adi.Adi [DEBUG] adi.cpp:319:HandleLog(): ADI Created, awaiting config
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:config [DEBUG] config.cpp:289:ProcessConfigGlobalSettings(): Parsing global settings
<..........a lot of detailed output with data.......>

Consulta SGT via pxGrid

A operação é executada quando o botão Teste é clicado na seção Integração do ISE ou quando a lista SGT é atualizada, ao adicionar a regra na Política de controle de acesso.

Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): Querying Security Group metaData...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): pxgrid_connection_query(connection*:0x10c7da0, capability: 0x1064510, request:<getSecurityGroupListRequest xmlns='http://www.cisco.com/pxgrid/identity'/>)...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK|<ns5:getSecurityGroupListResponse xmlns:ns2='http://www.cisco.com/pxgrid' xmlns:ns3='http://www.cisco.com/pxgrid/net' xmlns:ns4='http://www.cisco.com/pxgrid/admin' xmlns:ns5='http://www.cisco.com/pxgrid/identity' xmlns:ns6='http://www.cisco.com/pxgrid/eps' xmlns:ns7='http://www.cisco.com/pxgrid/netcap' xmlns:ns8='http://www.cisco.com/pxgrid/anc'><ns5:SecurityGroups><ns5:SecurityGroup><ns5:id>fc6f9470-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Unknown</ns5:name><ns5:description>Unknown Security Group</ns5:description><ns5:tag>0</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fc7c8cc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>ANY</ns5:name><ns5:description>Any Security Group</ns5:description><ns5:tag>65535</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fcf95de0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Auditors</ns5:name><ns5:description>Auditor Security Group</ns5:description><ns5:tag>9</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd14fc30-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>BYOD</ns5:name><ns5:description>BYOD Security Group</ns5:description><ns5:tag>15</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd2fb020-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Contractors</ns5:name><ns5:description>Contractor Security Group</ns5:description><ns5:tag>5</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd4e34a0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Developers</ns5:name><ns5:description>Developer Security Group</ns5:description><ns5:tag>8</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd6d2e50-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Development_Servers</ns5:name><ns5:description>Development Servers Security Group</ns5:description><ns5:tag>12</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fda10f90-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Employees</ns5:name><ns5:description>Employee Security Group</ns5:description><ns5:tag>4</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdbcd4f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Guests</ns5:name><ns5:description>Guest Security Group</ns5:description><ns5:tag>6</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdd9abc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Network_Services</ns5:name><ns5:description>Network Services Security Group</ns5:description><ns5:tag>3</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdf4d4e0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>PCI_Servers</ns5:name><ns5:description>PCI Servers Security Group</ns5:description><ns5:tag>14</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe11abb0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Point_of_Sale_Systems</ns5:name><ns5:description>Point of Sale Security Group</ns5:description><ns5:tag>10</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe2d22f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Servers</ns5:name><ns5:description>Production Servers Security Group</ns5:description><ns5:tag>11</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe487320-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Users</ns5:name><ns5:description>Production User Security Group</ns5:description><ns5:tag>7</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe62d8f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Quarantined_Systems</ns5:name><ns5:description>Quarantine Security Group</ns5:description><ns5:tag>255</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe7d3ec0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Test_Servers</ns5:name><ns5:description>Test Servers Security Group</ns5:description><ns5:tag>13</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe99c770-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>TrustSec_Devices</ns5:name><ns5:description>TrustSec Devices Security Group</ns5:description><ns5:tag>2</ns5:tag></ns5:SecurityGroup></ns5:SecurityGroups></ns5:getSecurityGroupListResponse>]

Para melhor visualização, o conteúdo xml desse registro pode ser copiado para o arquivo xml e aberto por um navegador da Web. Você pode confirmar que o SGT específico (auditoria) está sendo recebido, bem como todos os outros SGT definidos no ISE:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-31.png

Consulta de sessão via API REST para MnT

Isso também faz parte da operação de teste (observe que o nome de host e a porta MnT são passados via pxGrid). O download em massa da sessão é usado:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK, p_node*:0x7f0ea6ffa8a8(<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>)]
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): bulk download invoking callback on entry# 1
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISESessionEntry [DEBUG] adi.cpp:319:HandleLog(): parsing Session Entry with following text:<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>

E resultado analisado (1 sessão ativa recebida):

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISESessionEntry [DEBUG] 
adi.cpp:319:HandleLog(): Parsing incoming DOM resulted in following ISESessionEntry:
{gid = ac101f6400007000565d597f, timestamp = 2015-12-01T23:37:31.191+01:00, 
state = Started, session_id = 91200007, nas_ip = 172.16.31.100, 
mac_addr = 08:00:27:23:E6:F2, ip = 172.16.50.50, user_name = Administrator, 
sgt = Auditors, domain = example.com, device_name = Windows7-Workstation}

Nesse estágio, o NGIPS tenta correlacionar esse nome de usuário (e domínio) com o nome de usuário do Realm-AD:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.RealmContainer [DEBUG] adi.cpp:319
:HandleLog(): findRealm: Found Realm for domain example.com
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISEConnectionSub [DEBUG] 
adi.cpp:319:HandleLog(): userName = 'Administrator' realmId = 2, ipAddress = 172.16.50.50

O LDAP é usado para localizar um usuário e uma associação de grupo:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [INFO] adi.cpp:322:
HandleLog(): search '(|(sAMAccountName=Administrator))' has the following 
DN: 'CN=Administrator,CN=Users,DC=example,DC=com'.
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [DEBUG] adi.cpp:319:
HandleLog(): getUserIdentifier: searchfield sAMAccountName has display naming attr: 
Administrator.

depurações do ISE

Depois de habilitar a depuração de nível TRACE para o componente pxGrid, é possível verificar todas as operações (mas sem payload/dados como no FMC).

Exemplo com recuperação de tag SGT:

2015-12-02 00:05:39,352 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.query.CoreAuthorizationManager -::
:::- checking core authorization (topic=TrustSecMetaData, user=firesightisetest-firepower.example.com
-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com, operation=subscribe)...
2015-12-02 00:05:39,358 TRACE  [pool-1-thread-14][] cisco.pxgrid.controller.common.
LogAdvice -:::::- args: [TrustSecMetaData, subscribe, firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xg
rid.cisco.com]
2015-12-02 00:05:39,359 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::-  groups [Any, Session] found for client firesightisetest-firepower.
example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com
2015-12-02 00:05:39,360 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::- permitted rule found for Session TrustSecMetaData subscribe. 
total rules found 1

Erros

CSCuv32295 - O ISE pode enviar informações de domínio em campos de nome de usuário

CSCus53796 - Não é possível obter o FQDN do host para a consulta em massa REST

CSCuv43145 - PXGRID e reinício do serviço de mapeamento de identidade, importação/exclusão de armazenamento confiável

Referências

Histórico de revisões

Revisão Data de publicação Comentários
1.0
11-Jan-2016
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Michal Garcarz
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos