使用AMP和安全狀態服務配置ISE 2.1以威脅為中心的NAC (TC-NAC)

簡介

本文檔介紹如何在身份服務引擎(ISE) 2.1上配置具有高級惡意軟體防護(AMP)的以威脅為中心的NAC。威脅嚴重性級別和漏洞評估結果可用於動態控制終端或使用者的訪問級別。安全評估服務也是本文檔的一部分。 

注意：本文檔的目的是描述ISE 2.1與AMP的整合，當從ISE調配AMP時，安全評估服務顯示為必需。

必要條件

需求

思科建議您瞭解以下主題的基本知識：

• 思科身分辨識服務引擎

• 高級惡意軟體防護

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科身分辨識服務引擎版本2.1
• 無線LAN控制器(WLC) 8.0.121.0
• AnyConnect VPN客戶端4.2.02075
• Windows 7 Service Pack 1

設定

網路圖表

詳細流程

1. 客戶端連線到網路，分配AMP_Profile，並且使用者重定向到Anyconnect調配門戶。如果在電腦上未檢測到Anyconnect，則安裝所有配置的模組（VPN、AMP、安全評估）。每個模組的配置都會與該配置檔案一起推送

2. 安裝Anyconnect後，運行狀態評估

3. AMP Enabler模組安裝FireAMP聯結器

4. 當客戶端嘗試下載惡意軟體時，AMP聯結器會發出警告消息並將其報告給AMP雲

5. AMP雲向ISE傳送此資訊

配置AMP雲

步驟 1.從AMP雲下載聯結器

要下載聯結器，請導航到Management > Download Connector。然後選擇type並Download FireAMP(Windows、Android、Mac、Linux)。在本例中，選擇了Audit，並且安裝了FireAMP for Windows安裝檔案。

注意：下載此檔案會生成一個名為Audit_FireAMPSetup.exe的.exe檔案(在示例中為Audit_FireAMPSetup.exe)。在使用者要求配置AMP後，此檔案被傳送到Web伺服器以供使用。

配置ISE

步驟 1.配置狀態策略和條件

導航到Policy > Policy Elements > Conditions > Posture > File Condition。您可以看到已建立了一個簡單檔案存在條件。如果端點要符合狀態模組驗證的策略，則檔案必須存在：

此條件用於要求：

此要求用於Microsoft Windows系統的狀態策略：

步驟 2.配置狀態配置檔案

• 導航到策略(Policy) >策略元素(Policy Elements) >結果(Results) >客戶端調配(Client Provisioning) >資源(Resources)，並增加網路准入控制(NAC)代理或AnyConnect代理狀態配置檔案(AnyConnect Agent Posture Profile)
• 選擇Anyconnect

• 在Posture Protocol部分增加*以允許代理連線到所有伺服器

步驟 3.配置AMP配置檔案

AMP配置檔案包含Windows Installer所在位置的資訊。Windows Installer以前從AMP雲下載。它應該可以從客戶端電腦訪問。安裝程式所在的HTTPS伺服器憑證也應受使用者端電腦信任。

步驟 2.將應用和XML配置檔案上傳到ISE

• 從官方思科站點手動下載應用程式：anyconnect-win-4.2.02075-k9.pkg
• 在ISE上，導航到Policy > Policy Elements > Results > Client Provisioning > Resources，然後增加來自本地磁碟的代理資源
• 選擇思科提供的軟體套件，然後選擇anyconnect-win-4.2.02075-k9.pkg

• 導航到策略(Policy) >策略元素(Policy Elements) >結果(Results) >客戶端調配(Client Provisioning) >資源(Resources)，並從本地磁碟增加代理資源(Agent Resources)
• 選擇客戶建立的軟體套件並鍵入AnyConnect Profile。選擇VPNDisable_ServiceProfile.xml

注意：VPNDisable_ServiceProfile.xml用於隱藏VPN標題，因為本示例不使用VPN模組。以下是VPNDisable_ServiceProfile.xml的內容：

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns：xsi="http://www.w3.org/2001/XMLSchema-instance" xsi：schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 <客戶端初始化>
  <ServiceDisable>true</ServiceDisable>
 </ClientInitialization>
</AnyConnectProfile>

步驟 3.下載AnyConnect合規性模組

• 導航到策略(Policy) >策略元素(Policy Elements) >結果(Results) >客戶端調配(Client Provisioning) >資源(Resources)，然後從思科站點增加代理資源(Agent Resources)
• 選擇AnyConnect Windows Compliance Module 3.6.10591.2並按一下Save

步驟 4.增加AnyConnect配置

• 導航到Policy > Policy Elements > Results > Client Provisioning > Resources，然後增加AnyConnect Configuration
• 配置名稱並選擇合規性模組和所有所需的AnyConnect模組（VPN、AMP和安全狀態）
• 在配置檔案選擇中，選擇之前為每個模組配置的配置檔案

步驟 5.配置客戶端調配規則

在客戶端調配規則中引用以前建立的AnyConnect配置

步驟 6.配置授權策略

首先，重定向到客戶端調配門戶。使用安全評估的標準授權策略。

之後，一旦符合標準，就會指派完整存取權

步驟 7.啟用TC-NAC服務

在Administration > Deployment > Edit Node下啟用TC-NAC Services。選中Enable Threat Centric NAC Service覈取方塊。

步驟 8.設定AMP介面卡

導航到Administration > Threat Centric NAC > Third Party Vendors > Add。點選儲存

 它應轉換到Ready to Configure狀態。點選準備配置

 選擇Cloud，然後按一下Next

按一下FireAMP連結並在FireAMP中以admin身份登入。

按一下Applications面板中的Allow以授權流事件導出請求。在該操作之後，您將重定向回思科ISE

選擇要監控的事件（例如，可疑下載、與可疑域的連線、執行的惡意軟體、Java危害）。介面卡執行處理組態的摘要會顯示在「組態摘要」頁面中。轉接器例證會轉換為「已連線/使用中」狀態。

驗證

端點

透過PEAP (MSCHAPv2)連線到無線網路。

連線到客戶端調配門戶後，將重新定向。

 由於客戶端電腦上未安裝任何內容，因此ISE會提示AnyConnect客戶端安裝。

應該從使用者端電腦下載並執行Network Setup Assistant (NSA)應用程式。

NSA負責安裝所需的元件和配置檔案。

安裝完成後，AnyConnect狀態模組會執行合規性檢查。

當提供完整訪問許可權時，如果終端相容，則從AMP配置檔案中以前指定的Web伺服器下載並安裝AMP。

AMP聯結器出現。

要測試AMP的實際應用，需要下載zip檔案中包含的Eicar字串。檢測到威脅，並報告給AMP雲。

AMP雲

要驗證可以使用AMP雲的威脅控制台的詳細資訊，請執行以下操作：

要獲取有關威脅、檔案路徑和指紋的更多詳細資訊，您可以點選檢測到惡意軟體的主機。

要檢視或註銷ISE例項，您可以導航到帳戶>應用

ISE

在ISE自身上可以看到常規安全評估流程，首先進行重定向以檢查網路合規性。只要終端相容，就會傳送CoA Reauth並分配具有PermitAccess的新配置檔案。

要檢視檢測到的威脅，您可以導航到Context Visibility > Endpoints > Intrinsed Endpoints

如果您選擇終端並導航到Threat頁籤，則會顯示更多詳細資訊。

當檢測到終端的威脅事件時，您可以在「受危害的終端」(Incomed Endpoints)頁面上選擇終端的MAC地址並應用ANC策略（如果已配置，例如隔離）。或者，您可以發出Change of Authorization來終止會話。

如果選擇CoA Session Terminate，ISE會傳送CoA Disconnect，並且客戶端失去對網路的訪問許可權。

疑難排解

為了在ISE上啟用調試，請導航到Administration > System > Logging > Debug Log Configuration，選擇TC-NAC Node，並將TC-NAC元件的Log Level更改為DEBUG

要檢查的日誌- irf.log。您可以直接從ISE CLI跟蹤它：

ISE21-3ek/admin# show logging application irf.log tail

甚至從AMP雲接收威脅

2016-06-30 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher：processDelivery：53 -：：：-正在呼叫通知處理程式com.cisco.cpm.irf.service.IrfNotificationHandler$MyNotificationHandler@3fac8043 Message{messageType=NOTIFICATION， messageId=THREAT_EVENT， content='{"c0:4a 00:14:8d：4b"： [{「事件」：{「Impact_Qualification」：「痛苦」}，「時間戳」： 1467304068599，「供應商」：「AMP」，「標題」：「檢測到威脅」}]}'， priority=0， timestamp=Thu Jun 30 18:27:48 CEST 2016， amqpEnvelope=Envelope(deliverTag=79， redeliver=false， exchange=irf.topic.events， routingKey=irf.events) Properties=#contentHeader<basic>(content-type=application/json， content-encoding=null， headers=null， delivery-mode=null， priority=0， correlation-id=null， reply-to=null， expiration=null， message-id=THREAT_EVENT， timestamp=null， type=NOTIFICATION， user-id=null， app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4， cluster-id=null)}
2016-06-30 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.service.IrfNotificationHandler：handle：140 -：：：：-已增加到掛起隊列： Message{messageType=NOTIFICATION， messageId=THREAT_EVENT， content='{"c0:4a：00:14：d：4b"：{事件"： {"Impact_Qualification"： "Paulse"}， "time-stamp"： 1467304068599， "vendor"： "AMP"， "title"： "Threat Detected"}]}'， priority=0， timestamp=Thu Jun 30 18:27:48 CEST 2016， amqpEnvelope=Envelope(deliverTag=79， redeliver=false， exchange=irf.topic.events， routingKey=irf.properties， routingKey=irf.json<ring)， amqpProperties=#contentHeader<basic><basic>（內容型別=application/json/application）， content-encoding=null， headers=null， delivery-mode=null， priority=0， correlation-id=null， reply-to=null， expiration=null， message-id=THREAT_EVENT， timestamp=null， type=NOTIFICATION， user-id=null， app-id=fe80e-cde8-4d7f-a836-545416ae56f4， cluster-id=null)}
2016-06-30 18:27:48,617 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher：processDelivery：59 -：：：- DONE處理通知：Envelope(deliveryTag=79， redeliver=false， exchange=irf.topic.events， routingKey=irf.events.threat) #contentHeader<basic>(content-type=application/json， content-type=null， headers)， delivery-mode=null， priority=0， correlation-id=null， reply-to=null， expiration=null， message-id=THREAT_EVENT， timestamp=null， type=NOTIFICATION， user-id=null， app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4， cluster-id=null)
2016-06-30 18:27:48,706 DEBUG [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor：parseNotification：221 -：：：-語法分析通知： Message{messageType=NOTIFICATION， messageId=THREAT_EVENT， content='{"c0:4a：00:14:8d：4b"： [{"incident"： {"incident"： "}， "time-stamp"： 1467304068599， "vendor"： "AMP"， "title"："Threat Detected"}]}'， priority=0， timestamp=Thu Jun 30 18:27:48 CEST 2016， amqpEnvelope=Envelope(deliveryTag=79， redeliver=false， exchange=irf.topic.events， routingKey=irf.events.threat)， amqpProperties=#contentHeader<basic>(content-type=application/json， content-encoding=null， headers=headers=null， headers=null， null， delions=null， delivertage=null， delivery-correlation id=null， reply-to=null， expiration=null， message-id=THREAT_EVENT， timestamp=null， type=NOTIFICATION， user-id=null， app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4， cluster-id=null)}

有關威脅的資訊將傳送到PAN

2016-06-30 18:27:48,724調試[IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor：storeEventsInES ：366 -：：：：-增加威脅事件資訊以傳送到PAN - c0:4a：00:14:8d：4b {incident={Impact_Qualification=Paulty}， time-stamp=1467304068599， vendor=AMP， title=Threat Detected}