身份服務的ISE和FirePOWER整合故障排除

下載選項

  • PDF     (2.4 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.9 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (2.6 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2016 年 1 月 11 日
文件 ID:200319

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹如何在思科下一代入侵防禦系統(NGIPS)上配置TrustSec感知策略並對其進行故障排除。NGIPS 6.0版支援與身份服務引擎(ISE)的整合,允許構建基於身份感知的策略。

必要條件

需求

思科建議您瞭解以下主題:

  • Cisco Adaptive Security Appliance (ASA) VPN配置
  • Cisco AnyConnect安全移動客戶端配置
  • Cisco FirePower管理中心基本配置
  • Cisco ISE配置
  • Cisco TrustSec解決方案

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • Microsoft Windows 7
  • Microsoft Windows 2012 Certificate Authority (CA)
  • Cisco ASA版本9.3
  • 思科ISE軟體版本1.4
  • Cisco AnyConnect安全行動化使用者端版本4.2
  • Cisco FirePower管理中心(FMC)版本6.0
  • Cisco FirePower NGIPS版本6.0

設定

FirePower管理中心(FMC)是FirePower的管理平台。與ISE整合相關的功能有兩種型別:
  • 補救-允許FMC透過ISE隔離攻擊者,ISE會動態更改訪問裝置上的授權狀態,從而提供有限的網路訪問。此解決方案分為兩代:
  1. 使用對ISE的終端保護服務(EPS) API呼叫的傳統perl指令碼。
  2. 使用pxGrid協定呼叫ISE的較新模組(僅在5.4版本中支援此模組-在6.0中不支援,在6.1中規劃了本地支援)。
  • 策略-允許FMC根據TrustSec安全組標籤(SGT)配置策略。

本文重點介紹第二個功能。有關補救示例,請閱讀參考部分

網路圖表

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-00.jpeg

FMC配置了包含兩個規則的訪問控制策略:

  • 使用自定義URL (attack-url)拒絕HTTP流量
  • 允許使用自定義URL (attack-url)的HTTP流量,但前提是使用者被ISE分配到Audit (9) SGT標籤

ISE決定為屬於管理員組並使用ASA-VPN裝置進行網路訪問的所有Active Directory使用者分配稽核標籤。

使用者透過ASA上的VPN連線訪問網路。然後,使用者嘗試使用URL attack-url訪問已稽核伺服器,但由於尚未將其分配到稽核SGT組而失敗。一旦修正此錯誤,連線就會成功。

ISE

Active Directory

必須配置AD整合,並且必須獲取正確的組(Administrators組用於授權規則條件):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-01.png

網路存取裝置

ASA增加為網路裝置。使用自定義組ASA-VPN-Audit,如下圖所示:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-02.png

pxGrid和MnT的證書

FMC在ISE上使用兩種服務:

  • 用於SGT和分析資料查詢的pxGrid
  • 用於批次會話下載的監控和報告(MnT)

MnT的可用性非常重要,因為透過這種方式通知FMC什麼是已驗證會話的IP地址,以及它的使用者名稱和SGT標籤。在此基礎上,可以應用正確的策略。請注意,與ASA一樣,NGIPS不支援本地SGT標籤(內聯標籤)。但是,與ASA相反,它支援SGT名稱,而不是僅支援數字。

由於這些要求,ISE和FMC需要相互信任服務(證書)。MnT僅使用伺服器端證書,pxGrid同時使用客戶端和伺服器端證書。

Microsoft CA用於對所有證書進行簽名。

對於MnT(管理員角色),ISE必須生成證書簽名請求(CSR),如下圖所示:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-03.png

經Microsoft CA簽名後,必須透過 繫結證書選項導入此證書。
pxGrid服務必須遵循類似的過程。 將用於選項 的證書必須已選中pxGrid。
由於不能有兩個具有相同使用者名稱的證書,因此完全可以為OU或O部分增加不同的值(例如pxGrid)。

注意:請確保ISE和FMC的每個完全限定域名(FQDN)都在DNS伺服器上配置了正確的DNS記錄。

Admin和pxGrid證書之間的唯一區別在於簽名過程。由於pxGrid證書必須具有Microsoft CA上的客戶端和伺服器身份驗證自定義模板的擴展金鑰使用選項,因此可用於以下目的:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-04.png
 如何使用Microsoft Web服務簽署pxGrid CSR如下圖所示:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-05.png
最終,ISE必須擁有由受信任CA (Microsoft)簽署的管理員和pxGrid證書,如下圖所示:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-06.png

pxGrid服務

使用正確的證書,必須啟用特定節點的pxGrid角色,如下圖所示:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-07.png

自動核准必須設為「啟用」:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-08.png

授權策略

使用預設身份驗證策略(如果找不到本地使用者,則執行AD查詢)。

授權策略已配置為為透過ASA-VPN進行身份驗證並屬於Active Directory組管理員的使用者提供完全網路訪問(許可權:PermitAccess) -對於這些使用者,返回SGT標籤審計器:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-09.png

FMC

Active Directory領域

需要配置領域才能與ISE整合配合使用(使用身份策略並檢索被動身份驗證使用者的組成員身份)。可以為Active Directory或輕型目錄訪問協定(LDAP)配置領域。在本示例中,正在使用AD。在系統>整合>領域中:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-10.png

使用標準目錄設定:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-11.png

並檢索一些AD組(在訪問控制規則中用作附加條件):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-12.png

管理員和pxGrid的證書

儘管不是必需的,但為管理員訪問生成CSR是一種好的做法。使用受信任AD簽署CSR,匯回簽署的憑證,如下圖所示:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-13.png

需要將CA證書增加到受信任的儲存:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-14.png
最後一步是生成FMC用於授權ISE pxGrid服務的pxGrid證書。若要產生CSR,必須使用CLI(或任何其他使用openssl工具的外部機器)。 
admin@firepower:~$ sudo su -
Password: 
root@firepower:~# 
root@firepower:~# openssl genrsa -des3 -out fire.key 4096
Generating RSA private key, 4096 bit long modulus
.........
..............
e is 65537 (0x10001)
Enter pass phrase for fire.key:
Verifying - Enter pass phrase for fire.key:
root@firepower:~# 
root@firepower:~# openssl req -new -key fire.key -out fire.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Code []:PL
State or Province Name []:
Locality Name []:
Organization Name []:Cisco
Organizational Unit Name []:TAC
Common Name []:firepower.example.com
Email Address []:
root@firepower:~#
生成fire.csr後,使用Microsoft CA(pxGrid模板)對其進行簽名。將私密金鑰(fire.key)和簽署的憑證(fire.pem)匯回到FMC內部憑證存放區。對於私鑰,請使用在金鑰生成期間設定的口令( openssl genrsa命令):
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-15.png

ISE整合

安裝所有證書後,從System > Integration配置ISE整合:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-16.png

使用導入的CA進行pxGrid和MnT服務證書驗證。對於管理控制檯(MC),使用為pxGrid生成的內部證書。

身份策略

配置身份策略,該策略使用以前配置的AD領域進行被動身份驗證:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-17.png

存取控制原則

在本示例中,已建立自定義URL:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-18.png

以及自定義訪問控制策略中的兩個規則:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-19.png
PermitPrivileged-HTTP規則允許屬於已分配SGT標籤的AD Administrators組的所有使用者。稽核者對所有目標執行HTTP攻擊。
DenyUnprivileged-HTTP會拒絕該操作給所有其他使用者。
另請注意,以前建立的身份策略已分配給此訪問控制策略。
在此頁籤上,無法檢視SGT標籤,但在建立或編輯特定規則時,這些標籤可見:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-20.png
確保將策略分配給NGIPS並且部署所有更改:
200319-Troubleshoot-ISE-and-FirePOWER-Integrati-21.png


驗證

在正確配置所有內容後,ISE應看到pxGrid客戶端訂購會話服務(狀態Online)。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-22.png

從日誌中,您還可以確認FMC已訂閱TrustSecMetaData (SGT標籤)服務-已獲取所有標籤並取消訂閱。

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-23.png

VPN會話建立

當ISE上的授權未返回正確的SGT標籤(NGIPS不允許進行審核子測試)時,會為場景執行第一個測試。

VPN會話啟動後,AnyConnect使用者介面(UI)可提供更多詳細資訊:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-24.png

ASA可以確認會話已建立:

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3

請注意,ASA確實看到針對此身份驗證返回的任何SGT標籤。未為TrustSec配置ASA -因此仍會跳過資訊。

ISE還報告成功的授權(23:36:19的日誌) -未返回SGT標籤:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-25.png

FMC從MnT獲取會話資料

在該階段, /var/log/messages中的FMC報告管理員使用者名稱的新會話(作為pxGrid服務的使用者接收),並對組成員身份執行AD查詢:

firepower SF-IMS[3554]: [17768] ADI:adi.LdapRealm [INFO] search 
'(|(sAMAccountName=Administrator))' has the following DN: 
'CN=Administrator,CN=Users,DC=example,DC=com'.

非授權和特權網路訪問

當使用者在此階段嘗試開啟Web瀏覽器並存取稽核的伺服器時,連線將會終止:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-26.png

可從使用者端擷取封包來確認它(根據FMC組態傳送TCP RST):

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-27.png

將ISE配置為返回後,稽核標籤ASA會話將報告:

asav# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : Administrator          Index        : 1
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128                                                                                                                              
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1                                                                                                                               
Bytes Tx     : 11428                  Bytes Rx     : 24604                                                                                                                                                         
Group Policy : POLICY                 Tunnel Group : SSLVPN                                                                                                                                                        
Login Time   : 12:22:59 UTC Wed Dec 2 2015                                                                                                                                                                         
Duration     : 0h:01m:49s                                                                                                                                                                                          
Inactivity   : 0h:00m:00s                                                                                                                                                                                          
VLAN Mapping : N/A                    VLAN         : none                                                                                                                                                          
Audt Sess ID : ac101f6400001000565ee2a3
Security Grp : 9

ISE還報告成功的授權(23:37:26的日誌) -返回SGT標籤Auditor:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-28.png

並且使用者可以訪問所述服務:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-29.png

FMC記錄存取

連線事件報告可以確認此活動:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-30.png

首先,該使用者沒有分配SGT標籤,並且正在觸發DenyUnprivileged-HTTP規則。當ISE(並由FMC)規則分配了審計員的標籤後,使用PermitPrivileged-HTTP並允許訪問。

另請注意,為了進行顯示,已移除多個列,因為通常訪問控制規則和安全組標籤顯示為最後一列之一(需要使用水準捲軸)。將來可以儲存並重複使用該自定義檢視。

疑難排解

FMC調試

若要檢查負責辨識服務的adi元件的記錄,請檢查/var/log/messages檔案:

[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] Parsing command line arguments...            
[23509] ADI_ISE_Test_Help:adi.DirectoryTestHandler [INFO] test: ISE connection.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing ISE Connection objects...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Preparing subscription objects...             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to EndpointProfileMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability EndpointProfileMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to TrustSecMetaDataCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability TrustSecMetaDataCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] subscribed successfully to SessionDirectoryCapability            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] registered callback for capability SessionDirectoryCapability           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Connecting to ISE server...            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Beginning to connect to ISE server...          
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: _reconnection_thread started         
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: pxgrid connection init done successfully      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: connecting to host lise20.example.com .......      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: stream opened         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: EXTERNAL authentication complete        
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:44 [ INFO]: authenticated successfully (sasl mechanism: EXTERNAL)      
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully subscribed         
message repeated 2 times               
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Queried 1 bulk download hostnames:lise20.example.com:8910           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ...successfully connected to ISE server.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Starting bulk download             
[23514] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: curl_easy_setopt() for CURLOPT_URL: 'https://lise20.example.com:8910/pxgrid/mnt/sd/getSessionListByTime'       
[8893] ADI:ADI [INFO] : sub command emits:'* Trying 172.16.31.210...'          
[8893] ADI:ADI [INFO] : sub command emits:'* Connected to lise20.example.com (172.16.31.210) port 8910 (#0)'     
[8893] ADI:ADI [INFO] : sub command emits:'* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH'         
[8893] ADI:ADI [INFO] : sub command emits:'* SSL connection using TLSv1.2 / DHE-RSA-AES256-SHA256'      
[8893] ADI:ADI [INFO] : sub command emits:'* Server certificate:'          
[8893] ADI:ADI [INFO] : sub command emits:'* ^I subject: CN=lise20.example.com'         
[8893] ADI:ADI [INFO] : sub command emits:'* ^I start date: 2015-11-21 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I expire date: 2017-11-20 14:40:36 GMT'      
[8893] ADI:ADI [INFO] : sub command emits:'* ^I common name: lise20.example.com (matched)'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I issuer: DC=com; DC=example; CN=example-WIN-CA'       
[8893] ADI:ADI [INFO] : sub command emits:'* ^I SSL certificate verify ok.'       
[8893] ADI:ADI [INFO] : sub command emits:'> POST /pxgrid/mnt/sd/getSessionListByTime HTTP/1.1^M'         
[8893] ADI:ADI [INFO] : sub command emits:'Host: lise20.example.com:8910^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Accept: */*^M'           
[8893] ADI:ADI [INFO] : sub command emits:'Content-Type: application/xml^M'           
[8893] ADI:ADI [INFO] : sub command emits:'user:firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com^M'            
[8893] ADI:ADI [INFO] : sub command emits:'Content-Length: 269^M'           
[8893] ADI:ADI [INFO] : sub command emits:'^M'            
[8893] ADI:ADI [INFO] : sub command emits:'* upload completely sent off: 269 out of 269 bytes'   
[8893] ADI:ADI [INFO] : sub command emits:'< HTTP/1.1 200 OK^M'         
[8893] ADI:ADI [INFO] : sub command emits:'< Date: Tue, 01 Dec 2015 23:10:45 GMT^M'     
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Type: application/xml^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Content-Length: 1287^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< Server: ^M'          
[8893] ADI:ADI [INFO] : sub command emits:'< ^M'           
[8893] ADI:ADI [INFO] : sub command emits:'* Connection #0 to host lise20.example.com left intact'     
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] bulk download processed 0 entries.           
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] disconnecting pxgrid              
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Starting reconnection stop        
[23510] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: _reconnection_thread exited         
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: stream closed; err_dom=(null) 2015-12-01T23:10:45 [ INFO]: clientDisconnectedCb -> destroying client object
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid connection shutdown done successfully      
[23511] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: Exiting from event base loop      
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: successfully disconnected         
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: connection disconnect done .....       
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid reconnection             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying underlying pxgrid connection            
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] destroying pxgrid config             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] ISE identity feed destructor called           
[23509] ADI_ISE_Test_Help:ADI_ISE_Test_Help [INFO] /usr/local/sf/bin/adi_iseTestHelp cleanly exits.             
[23509] ADI_ISE_Test_Help:adi.ISEConnection [INFO] Captured Jabberwerx log:2015-12-01T23:10:45 [ INFO]: pxgrid library has been uninitialized      
[8893] ADI:ADI [INFO] Parent done waiting, child completed with integer status 0       

若要獲得更詳細的調試,可以終止adi進程(在sudo之後從根開始),並使用debug引數運行它:

root@firepower:/var/log# ps ax | grep adi             
24047 ?        Sl     0:00 /usr/local/sf/bin/adi
24090 pts/0    S+     0:00 grep adi
root@firepower:/var/log# kill -9 24047                 
root@firepower:/var/log# /usr/local/sf/bin/adi --debug
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:adi.Adi [DEBUG] adi.cpp:319:HandleLog(): ADI Created, awaiting config
Dec 01 23:14:34 firepower SF-IMS[24106]: [24106] ADI:config [DEBUG] config.cpp:289:ProcessConfigGlobalSettings(): Parsing global settings
<..........a lot of detailed output with data.......>

透過pxGrid進行SGT查詢

Test按鈕在ISE整合部分被點選,或者當SGT清單被刷新時,在訪問控制策略中增加規則時,執行此操作。

Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): Querying Security Group metaData...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): pxgrid_connection_query(connection*:0x10c7da0, capability: 0x1064510, request:<getSecurityGroupListRequest xmlns='http://www.cisco.com/pxgrid/identity'/>)...
Dec 01 23:14:38 firepower SF-IMS[24106]: [24139] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK|<ns5:getSecurityGroupListResponse xmlns:ns2='http://www.cisco.com/pxgrid' xmlns:ns3='http://www.cisco.com/pxgrid/net' xmlns:ns4='http://www.cisco.com/pxgrid/admin' xmlns:ns5='http://www.cisco.com/pxgrid/identity' xmlns:ns6='http://www.cisco.com/pxgrid/eps' xmlns:ns7='http://www.cisco.com/pxgrid/netcap' xmlns:ns8='http://www.cisco.com/pxgrid/anc'><ns5:SecurityGroups><ns5:SecurityGroup><ns5:id>fc6f9470-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Unknown</ns5:name><ns5:description>Unknown Security Group</ns5:description><ns5:tag>0</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fc7c8cc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>ANY</ns5:name><ns5:description>Any Security Group</ns5:description><ns5:tag>65535</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fcf95de0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Auditors</ns5:name><ns5:description>Auditor Security Group</ns5:description><ns5:tag>9</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd14fc30-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>BYOD</ns5:name><ns5:description>BYOD Security Group</ns5:description><ns5:tag>15</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd2fb020-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Contractors</ns5:name><ns5:description>Contractor Security Group</ns5:description><ns5:tag>5</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd4e34a0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Developers</ns5:name><ns5:description>Developer Security Group</ns5:description><ns5:tag>8</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fd6d2e50-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Development_Servers</ns5:name><ns5:description>Development Servers Security Group</ns5:description><ns5:tag>12</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fda10f90-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Employees</ns5:name><ns5:description>Employee Security Group</ns5:description><ns5:tag>4</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdbcd4f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Guests</ns5:name><ns5:description>Guest Security Group</ns5:description><ns5:tag>6</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdd9abc0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Network_Services</ns5:name><ns5:description>Network Services Security Group</ns5:description><ns5:tag>3</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fdf4d4e0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>PCI_Servers</ns5:name><ns5:description>PCI Servers Security Group</ns5:description><ns5:tag>14</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe11abb0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Point_of_Sale_Systems</ns5:name><ns5:description>Point of Sale Security Group</ns5:description><ns5:tag>10</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe2d22f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Servers</ns5:name><ns5:description>Production Servers Security Group</ns5:description><ns5:tag>11</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe487320-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Production_Users</ns5:name><ns5:description>Production User Security Group</ns5:description><ns5:tag>7</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe62d8f0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Quarantined_Systems</ns5:name><ns5:description>Quarantine Security Group</ns5:description><ns5:tag>255</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe7d3ec0-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>Test_Servers</ns5:name><ns5:description>Test Servers Security Group</ns5:description><ns5:tag>13</ns5:tag></ns5:SecurityGroup><ns5:SecurityGroup><ns5:id>fe99c770-6d8f-11e5-978e-005056bf2f0a</ns5:id><ns5:name>TrustSec_Devices</ns5:name><ns5:description>TrustSec Devices Security Group</ns5:description><ns5:tag>2</ns5:tag></ns5:SecurityGroup></ns5:SecurityGroups></ns5:getSecurityGroupListResponse>]

為了獲得更好的檢視效果,您可以將該記錄中的xml內容複製到xml檔案,然後由Web瀏覽器開啟。您可以確認是否正在接收特定SGT(稽核)以及在ISE上定義的所有其他SGT:

200319-Troubleshoot-ISE-and-FirePOWER-Integrati-31.png

透過REST API到MnT的會話查詢

這也是Test操作的一部分(請注意,MnT主機名和埠透過pxGrid傳遞)。使用批次會話下載:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.pxGridAdapter [DEBUG] adi.cpp:319:HandleLog(): returns [OK, p_node*:0x7f0ea6ffa8a8(<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>)]
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISEConnection [DEBUG] adi.cpp:319:HandleLog(): bulk download invoking callback on entry# 1
Dec 01 23:14:39 firepower SF-IMS[24106]: [24143] ADI:adi.ISESessionEntry [DEBUG] adi.cpp:319:HandleLog(): parsing Session Entry with following text:<session xmlns='http://www.cisco.com/pxgrid/net'><gid xmlns='http://www.cisco.com/pxgrid'>ac101f6400007000565d597f</gid><lastUpdateTime xmlns='http://www.cisco.com/pxgrid'>2015-12-01T23:37:31.191+01:00</lastUpdateTime><extraAttributes xmlns='http://www.cisco.com/pxgrid'><attribute>UGVybWl0QWNjZXNzLEF1ZGl0b3Jz</attribute></extraAttributes><state>Started</state><RADIUSAttrs><attrName>Acct-Session-Id</attrName><attrValue>91200007</attrValue></RADIUSAttrs><interface><ipIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.50.50</ipAddress></ipIntfID><macAddress>08:00:27:23:E6:F2</macAddress><deviceAttachPt><deviceMgmtIntfID><ipAddress xmlns='http://www.cisco.com/pxgrid'>172.16.31.100</ipAddress></deviceMgmtIntfID></deviceAttachPt></interface><user><name xmlns='http://www.cisco.com/pxgrid'>Administrator</name><ADUserDNSDomain>example.com</ADUserDNSDomain><ADUserNetBIOSName>EXAMPLE</ADUserNetBIOSName></user><assessedPostureEvent/><endpointProfile>Windows7-Workstation</endpointProfile><securityGroup>Auditors</securityGroup></session>

和剖析結果(已接收1個作用中階段作業):

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISESessionEntry [DEBUG] 
adi.cpp:319:HandleLog(): Parsing incoming DOM resulted in following ISESessionEntry:
{gid = ac101f6400007000565d597f, timestamp = 2015-12-01T23:37:31.191+01:00, 
state = Started, session_id = 91200007, nas_ip = 172.16.31.100, 
mac_addr = 08:00:27:23:E6:F2, ip = 172.16.50.50, user_name = Administrator, 
sgt = Auditors, domain = example.com, device_name = Windows7-Workstation}

在此階段,NGIPS會嘗試將該使用者名稱(和域)與領域AD使用者名稱相關聯:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.RealmContainer [DEBUG] adi.cpp:319
:HandleLog(): findRealm: Found Realm for domain example.com
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.ISEConnectionSub [DEBUG] 
adi.cpp:319:HandleLog(): userName = 'Administrator' realmId = 2, ipAddress = 172.16.50.50

LDAP用於查詢使用者和組成員資格:

Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [INFO] adi.cpp:322:
HandleLog(): search '(|(sAMAccountName=Administrator))' has the following 
DN: 'CN=Administrator,CN=Users,DC=example,DC=com'.
Dec 01 23:14:39 firepower SF-IMS[24106]: [24142] ADI:adi.LdapRealm [DEBUG] adi.cpp:319:
HandleLog(): getUserIdentifier: searchfield sAMAccountName has display naming attr: 
Administrator.

ISE調試

啟用pxGrid元件的TRACE級別調試後,可以檢查每個操作(但沒有負載/資料,如FMC上的負載/資料)。

使用SGT標籤檢索的示例:

2015-12-02 00:05:39,352 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.query.CoreAuthorizationManager -::
:::- checking core authorization (topic=TrustSecMetaData, user=firesightisetest-firepower.example.com
-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com, operation=subscribe)...
2015-12-02 00:05:39,358 TRACE  [pool-1-thread-14][] cisco.pxgrid.controller.common.
LogAdvice -:::::- args: [TrustSecMetaData, subscribe, firesightisetest-firepower.example.com-0739edea820cc77e04cc7c44200f661e@xg
rid.cisco.com]
2015-12-02 00:05:39,359 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::-  groups [Any, Session] found for client firesightisetest-firepower.
example.com-0739edea820cc77e04cc7c44200f661e@xgrid.cisco.com
2015-12-02 00:05:39,360 DEBUG  [pool-1-thread-14][] cisco.pxgrid.controller.persistence.
XgridDaoImpl -:::::- permitted rule found for Session TrustSecMetaData subscribe. 
total rules found 1

錯誤

CSCuv32295 - ISE可能會在使用者名稱欄位中傳送域資訊

CSCus53796 -無法獲取REST批次查詢的主機的FQDN

CSCuv43145 - PXGRID和身份對映服務重新啟動,信任儲存的導入/刪除

參考資料

修訂記錄

修訂 發佈日期 意見
1.0
11-Jan-2016
初始版本
TAC Authored

由思科工程師貢獻

  • 米哈爾·加爾卡斯
    Cisco TAC工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品