使用AMP和安全评估服务配置ISE 2.1以威胁为中心的NAC (TC-NAC)

简介

本文档介绍如何在身份服务引擎(ISE) 2.1上配置具有高级恶意软件防护(AMP)的以威胁为中心的NAC。威胁严重性级别和漏洞评估结果可用于动态控制终端或用户的访问级别。状况服务也包含在本文档中。 

注意：本文档的目的是描述ISE 2.1与AMP的集成，当我们从ISE调配AMP时，会根据需要显示终端安全评估服务。

先决条件

要求

Cisco 建议您具有以下主题的基础知识：

• 思科身份服务引擎

• 高级恶意软件防护

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科身份服务引擎版本2.1
• 无线局域网控制器(WLC) 8.0.121.0
• AnyConnect VPN客户端4.2.02075
• Windows 7 Service Pack 1

配置

网络图

详细流程

1. 客户端连接到网络，然后分配AMP_Profile并将用户重定向到Anyconnect调配门户。如果在计算机上未检测到Anyconnect，则安装所有配置的模块（VPN、AMP、安全评估）。每个模块的配置与该配置文件一起推送

2. 安装Anyconnect后，运行状态评估

3. AMP Enabler模块安装FireAMP连接器

4. 当客户端尝试下载恶意软件时，AMP连接器会抛出警告消息并报告给AMP云

5. AMP云将此信息发送到ISE

配置AMP云

步骤1:从AMP云下载连接器

要下载连接器，请导航到Management > Download Connector。然后选择类型并下载FireAMP(Windows、Android、Mac、Linux)。在本示例中，选择了Audit并且选择了适用于Windows的FireAMP的安装文件。

注意：下载此文件会生成一个在本示例中名为Audit_FireAMPSetup.exe的.exe文件。在用户要求配置AMP后，此文件即被发送到Web服务器。

配置ISE

步骤1:配置状况策略和条件

导航至Policy > Policy Elements > Conditions > Posture > File Condition。您可以看到，已创建文件存在的简单条件。如果终端要符合状态模块验证的策略，文件必须存在：

此条件用于要求：

此要求在Microsoft Windows系统的安全评估策略中使用：

第二步：配置状态配置文件

• 导航到策略>Policy元素>结果>客户端调配>资源并添加网络准入控制(NAC)代理或AnyConnect代理状态配置文件
• 选择Anyconnect

• 在Posture Protocol部分添加*以允许代理连接到所有服务器

第三步：配置AMP配置文件

AMP配置文件包含Windows Installer所在位置的信息。Windows Installer之前是从AMP云下载的。它应该可以从客户端计算机访问。安装程序所在的HTTPS服务器证书也应受客户端信任。

第二步：将应用和XML配置文件上传到ISE

• 从官方思科站点手动下载应用程序：anyconnect-win-4.2.02075-k9.pkg
• 在ISE上，导航到策略>Policy元素>结果>客户端调配>资源，然后添加来自本地磁盘的代理资源
• 选择思科提供的软件包并选择anyconnect-win-4.2.02075-k9.pkg

• 导航到策略>Policy元素>结果>客户端调配>资源并从本地磁盘添加代理资源
• 选择客户创建的包并键入AnyConnect Profile。选择VPNDisable_ServiceProfile.xml

注意：VPNDisable_ServiceProfile.xml用于隐藏VPN标题，因为本示例不使用VPN模块。以下是VPNDisable_ServiceProfile.xml的内容：

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns：xsi="http://www.w3.org/2001/XMLSchema-instance" xsi：schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 <ClientInitialization>
  <ServiceDisable>true</ServiceDisable>
 </ClientInitialization>
</AnyConnectProfile>

第三步：下载AnyConnect合规性模块

• 导航到策略>Policy元素>结果>客户端调配>资源并从思科站点添加代理资源
• 选择AnyConnect Windows Compliance Module 3.6.10591.2并单击Save

第四步：添加Anyconnect配置

• 导航到策略>Policy元素>结果>客户端调配>资源，然后添加AnyConnect配置
• 配置名称并选择合规性模块和所有所需的AnyConnect模块（VPN、AMP和状态）
• 在配置文件选择中，选择之前为每个模块配置的配置文件

第五步：配置客户端调配规则

之前创建的AnyConnect配置在客户端调配规则中引用

第六步：配置授权策略

首先，重定向到客户端调配门户。使用状况的标准授权策略。

之后，一旦符合要求，即可分配完全访问权限

步骤 7.启用TC-NAC服务

在Administration > Deployment > Edit Node下启用TC-NAC服务。选中Enable Threat Centric NAC Service复选框。

步骤 8配置AMP适配器

导航到Administration > Threat Centric NAC > Third Party Vendors > Add。点击保存

 它应过渡到Ready to Configure状态。点击准备配置

 选择云并单击下一步

点击FireAMP链接并以管理员身份登录FireAMP。

点击应用面板中的允许，以授权流传输事件导出请求。此操作后，您会重定向回思科ISE

选择要监控的事件（例如，可疑下载、与可疑域的连接、已执行的恶意软件、java危害）。适配器实例配置的摘要显示在配置摘要页面中。适配器实例转换为已连接/活动状态。

验证

终端

通过PEAP (MSCHAPv2)连接到无线网络。

连接到客户端调配门户后，将发生重定向。

 由于客户端计算机上未安装任何内容，因此ISE会提示AnyConnect客户端安装。

网络设置助理(NSA)应用应从客户端计算机下载并运行。

NSA负责安装所需的组件和配置文件。

安装完成后，AnyConnect状态模块会执行合规性检查。

当提供完全访问权限时，如果终端兼容，则从AMP配置文件中先前指定的Web服务器下载并安装AMP。

AMP连接器显示。

要测试正在运行的AMP，需要下载zip文件中包含的Eicar字符串。检测到威胁并将其报告给AMP云。

AMP云

若要检验AMP云的威胁控制面板的详细信息，可以使用。

要获取有关威胁、文件路径和指纹的详细信息，可以点击检测到恶意软件的主机。

要查看或取消注册ISE实例，您可以导航到帐户>应用

ISE

在ISE本身上，可以看到常规安全评估流程，首先进行重定向以检查网络合规性。只要终端兼容，就会发送CoA Reauth并分配具有PermitAccess的新配置文件。

要查看检测到的威胁，可以导航到Context Visibility > Endpoints > Compromised Endpoints

如果您选择终端并导航至Threat选项卡，则会显示更多详细信息。

当检测到终端的威胁事件时，您可以在Compromised Endpoints页面上选择终端的MAC地址，并应用ANC策略（如果已配置，例如隔离）。或者，您可以发出Change of Authorization来终止会话。

如果选择了CoA会话终止，ISE会发送CoA断开连接，并且客户端失去对网络的访问权限。

故障排除

要在ISE上启用调试，请导航到Administration > System > Logging > Debug Log Configuration，选择TC-NAC Node，并将TC-NAC组件的日志级别更改为DEBUG

要检查的日志- irf.log。您可以直接从ISE CLI对其进行跟踪：

ISE21-3ek/admin# show logging application irf.log tail

甚至从AMP云接收威胁

2016-06-30 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher：processDelivery：53 -：：：-调用通知处理程序com.cisco.cpm.irf.service.IrfNotificationHandler$MyNotificationHandler@3fac8043 Message{messageType=NOTIFICATION， messageId=THREAT_EVENT， content='{"c0:4a 00:14:8d：4b"： [{"incident"： {"Impact_Qualification"： "Paired"}， "time-stamp"： 1467304068599， "vendor"： "AMP"， "title"： "Threat Detected"}]}'， priority=0， timestamp=Thu Jun 30 18:27:48 CEST 2016， amqpEnvelope=Envelope(deliveryTag=79， redeliate=false， exchange=ire=irf.topic.topic.events， routing.routing.events， routing.routing.routing.routing.key=irs.routing)， amqqp.events) Properties=#contentHeader<basic>(content-type=application/json， content-encoding=null， headers=null， delivery-mode=null， priority=0， correlation-id=null， reply-to=null， expiration=null， message-id=THREAT_EVENT， timestamp=null， type=NOTIFICATION， user-id=null， app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4， cluster-id=null)}
2016-06-30 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.service.IrfNotificationHandler：handle：140 -：：：：-已添加到挂起队列： Message{messageType=NOTIFICATION， messageId=THREAT_EVENT， content='{"c0:4a：00:14：d：4b"： [事件"： {"Impact_Qualification"： "Paulse"}， "time-stamp"： 1467304068599， "vendor"： "AMP"， "title"： "Threat Detected"}]}'， priority=0， timestamp=Thu Jun 30 18:27:48 CEST 2016， amqpEnvelope=Envelope(deliveryTag=79， redeliver=false， exchange=irf.topic.events， routingKey=iringKey=irf.events，routingKey=irf.events，routingKey=irf.events，routingKey=#contentHeader<basic><json.threat)， amqp 、content-encoding=null、headers=null、delivery-mode=null、priority=0、correlation-id=null、reply-to=null、expiration=null、message-id=THREAT_EVENT、timestamp=null、type=NOTIFICATION、user-id=null、app-id=fe80e-cde8-4d7f-a836-545416ae56f4、cluster-id=null)}
2016-06-30 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher：processDelivery：59 -：：：：- DONE处理通知：Envelope(deliveryTag=79， redeliver=false， exchange=irf.topic.events， routingKey=irf.events.threat) #contentHeader<basic>(content-type=application=application/application/json， content-encoding=null， headers， delivery-mode=null， priority=0， correlation-id=null， reply-to=null， expiration=null， message-id=THREAT_EVENT， timestamp=null， type=NOTIFICATION， user-id=null， app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4， cluster-id=null)
2016-06-30 18:27:48,706 DEBUG [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor：parseNotification：221 -：：：-正在分析通知：Message{messageType=NOTIFICATION， messageId=THREAT_EVENT， content='{"c0:4a：00:14:8d：4b"： [{"incident"： "}， "time-stamp"： 1467304068599， "vendor"： "AMP"， "title"： "Threat Detected"}]}'， priority=0， timestamp=Thu Jun 30 18:27:48 CEST 2016， amqpEnvelope=Envelope(deliveryTag=79， redeliver=false， exchange=irf.topic.events， routingKey=irf.events.threat)， amqpProperties=#contentHeader<basic>(content-type=application/json， content-encoding=null， headers， headers=null， id=null、reply-to=null、expiration=null、message-id=THREAT_EVENT、timestamp=null、type=NOTIFICATION、user-id=null、app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4、cluster-id=null)}

有关威胁的信息会发送到PAN

2016-06-30 18:27:48,724调试[IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor：storeEventsInES ：366 -：：：：- 正在添加威胁事件信息以发送到PAN - c0:4a：00:14:8d：4b {incident={Impact_Qualification=Paottle}， time-stamp=1467304068599， vendor=AMP， title=Threat Detected}