为控制台和OPadmin门户配置安全恶意软件分析设备RADIUS over DTLS身份验证

下载选项

  • PDF     (1.0 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (738.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (587.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 4 月 22 日
文档 ID:215420

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在安全恶意软件分析设备(以前称为Threat Grid)版本2.10中引入的远程身份验证拨入用户服务(RADIUS)身份验证功能。它允许用户使用身份验证、授权和记帐(AAA)服务器中存储的凭证登录到管理员门户和控制台门户,该服务器支持通过DTLS进行RADIUS身份验证(draft-ietf-radext-dtls-04)。在本例中,使用了思科身份服务引擎。

    在本文档中,您可以找到配置该功能所需的步骤。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 安全恶意软件分析设备(以前称为Threat Grid)
    • 身份服务引擎 (ISE)

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 安全恶意软件分析设备2.10
    • 身份服务引擎2.7

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

    配置

    本节提供有关如何为RADIUS身份验证功能配置安全恶意软件分析设备和ISE的详细说明。

    注意:要配置身份验证,请确保允许安全恶意软件分析设备安全接口和ISE策略服务节点(PSN)之间的端口UDP 2083上的通信。

    配置

    步骤1:准备安全恶意软件分析设备证书以进行身份验证。

    RADIUS over DTLS使用相互证书身份验证,这意味着需要来自ISE的证书颁发机构(CA)证书。首先检查哪个CA签名的RADIUS DTLS证书:

    ISE中的系统证书列表

    第二步:从ISE导出CA证书。

    导航到Administration > System > Certificates > Certificate Management > Trusted Certificates,找到CA,选择Export(如映像所示),然后将证书保存到磁盘以供以后使用:

    ISE中的受信任证书列表

    第三步:添加安全恶意软件分析设备作为网络访问设备。

    导航到管理>网络资源>网络设备>添加以为TG创建新条目,并输入NameIP地址的Clean接口,然后选择DTLS必需,如图所示。点击底部的Save:

    ISE

    第四步:为授权策略创建授权配置文件。

    导航到Policy > Policy elements > Results > Authorization > Authorization Profiles,然后单击Add。输入Name并选择Advanced Attributes Settings(如图所示),然后单击Save:

    屏幕截图2020-02-20(09.04.38)

    第五步:创建身份验证策略。

    导航到Policy > Policy Sets,然后点击+。输入Policy Set Name并将条件设置为NAD IP Address,将其分配给安全恶意软件分析设备的干净接口,然后点击Save,如下图所示:

    屏幕截图2020-02-10(11.23.13)

    第六步:创建授权策略。

    单击>转到授权策略,展开Authorization Policy,单击+并按照图中所示进行配置,完成后单击Save:

    屏幕截图2020-02-20(09.41.28)

    提示:您可以为同时匹配管理员和UI的所有用户创建一个授权规则。

    步骤 7.为安全恶意软件分析设备创建身份证书。

    安全恶意软件分析设备的客户端证书必须基于椭圆曲线密钥:

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    您必须根据该密钥创建CSR,然后必须由ISE信任的CA进行签名。选中Import the Root Certificates to the Trusted Certificate Store页,以获取有关如何将CA证书添加到ISE受信任证书存储区的详细信息。

    步骤 8配置安全恶意软件分析设备以使用RADIUS。

    登录到管理员门户,导航到Configuration > RADIUS。在RADIUS CA证书中粘贴从ISE收集的PEM文件的内容,在客户端证书中粘贴从CA收到的PEM格式的证书,以及在客户端密钥中粘贴上一步的private-ec-key.pem文件的内容,如图所示。单击Save:

    屏幕截图2020-03-02(13.39.11)

    注意:在保存RADIUS设置后,必须重新配置安全恶意软件分析设备。

    步骤 9将RADIUS用户名添加到控制台用户。

    要登录到控制台门户,您必须将RADIUS Username属性添加到相应的用户,如图所示:

    屏幕截图2020-02-20(10.27.50)

    步骤 10启用仅RADIUS身份验证。

    成功登录管理员门户后,系统将显示新选项,该选项将完全禁用本地系统身份验证,并保留唯一基于RADIUS的身份验证。

    屏幕截图2020-02-20(10.34.15)

    验证

    重新配置Secure Malware Analytics Appliance后,注销,现在登录页面看起来与映像、管理员和控制台门户中的页面类似:

    屏幕截图2020-02-20(09.56.15)

    屏幕截图2020-02-20(09.56.53)

    故障排除

    有三种组件可能导致问题:ISE、网络连接和安全恶意软件分析设备。

    • 在ISE中,确保将ServiceType=Administrative返回到安全恶意软件分析设备的身份验证请求。导航到Operations > RADIUS > Live Logs on ISE并检查详细信息:

    屏幕截图2020-02-20(08.51.49)
    屏幕截图2020-02-20(09.58.49)

    • 如果您看不到这些请求,请在ISE上捕获数据包。导航到操作>故障排除>诊断工具> TCP转储,在TG的clean接口的Filter字段中提供IP,点击开始,然后尝试登录到Secure Malware Analytics设备:

    屏幕截图2020-02-20(10.07.42)

    您必须看到该字节数增加。在Wireshark中打开pcap文件了解更多信息。

    • 如果在您单击Save in Secure Malware Analytics Appliance后看到错误“We're sorry, but something wrong wrong wrong.”,则页面如下所示:

    屏幕截图2020-02-20(10.17.39)

    这意味着您很可能将RSA密钥用于客户端证书。必须将ECC密钥与步骤7中指定的参数配合使用。

    修订历史记录

    版本 发布日期 备注
    1.0
    22-Apr-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 拉德克·奥尔斯佐维
      ATS TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们