使用ISE配置Firepower 6.1 pxGrid補救

簡介

本文檔介紹如何使用身份服務引擎(ISE)配置Firepower 6.1 pxGrid補救。Firepower 6.1+ ISE補救模組可與ISE終端保護服務(EPS)一起使用，以自動在網路接入層對攻擊者進行排隊/黑名單。

必要條件

需求

思科建議您瞭解以下主題的基本知識：

• 思科ISE
• Cisco Firepower

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ISE版本2.0修補4
• Cisco Firepower 6.1.0
• 虛擬無線LAN控制器(vWLC) 8.3.102.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

本文不包括ISE與Firepower整合的初始配置、ISE與Active Directory (AD)的整合、Firepower與AD的整合。如需此資訊，請瀏覽至「參照」區段。Firepower 6.1補救模組允許Firepower系統在匹配關聯規則時使用ISE EPS功能（隔離、取消隔離、埠關閉）作為補救。

注意：無線部署無法使用埠關閉功能。

網路圖表

流程說明：

1. 客戶端連線到網路，使用ISE進行身份驗證並使用授權配置檔案點選授權規則，授權配置檔案授予對網路的無限制訪問許可權。
2. 然後，來自客戶端的流量流經Firepower裝置。
3. 使用者開始執行惡意活動並點選關聯規則，從而觸發Firepower管理中心(FMC)透過pxGrid執行ISE補救。
4. ISE向終端分配EPSStatus Quarantine並觸發對網路接入裝置（WLC或交換機）的RADIUS授權更改。
5. 客戶端點選另一個授權策略，該策略分配受限訪問（更改SGT或重定向到門戶或拒絕訪問）。

注意：應該將網路接入裝置(NAD)配置為向ISE傳送RADIUS記帳(RADIUS Accounting)，以便為它提供IP地址資訊，該資訊用於將IP地址對映到終端。

配置Firepower

步驟 1.配置pxGrid緩解例項。

導航到策略>操作>例項，增加pxGrid緩解例項，如下圖所示。

步驟 2.配置補救。

有兩種型別可用：「緩解目標」和「緩解源」。本例中使用了源緩解。選擇補救型別並按一下Add，如圖所示：

將緩解操作分配到補救，如圖所示：

步驟 3.配置關聯規則。

導航到策略>關聯>規則管理，然後點選建立規則關聯規則是進行補救的觸發器。關聯規則可以包含多個條件。在本示例中，如果發生入侵事件並且目標IP地址為192.168.0.121，則會命中關聯規則PingDC。為測試目的配置了與icmp回應應答匹配的自定義入侵規則，如圖所示：

步驟 4.配置關聯策略。

導航到策略>關聯>策略管理，點選建立策略，向策略增加規則並向其分配響應（如圖所示）：

啟用關聯策略，如圖所示：

配置ISE

步驟 1.配置授權策略。

導航到策略>授權，然後增加在補救發生後將會執行的新授權策略。使用Session： EPSStatus EQUALS Quarantine作為條件。因此可使用以下幾種選項：

• 允許訪問並分配不同的SGT（在網路裝置上實施訪問控制限制）
• 拒絕存取（使用者應被踢出網路，且無法再次連線）
• 重定向至黑名單門戶（在此案例中，自定義熱點門戶為此進行配置）

自定義門戶配置

在本示例中，熱點門戶配置為黑名單。只有「可接受使用原則」(AUP)頁面包含自訂文字，而且無法接受AUP （這可以透過JavaScript完成）。要達到此目的，首先需要啟用JavaScript，然後貼上在門戶自定義配置中隱藏AUP按鈕和控制項的代碼。

步驟 1.啟用JavaScript。

導航到管理>系統>管理員訪問許可權>設定>門戶自定義。選擇Enable Portal Customization with HTML and JavaScript並按一下Save。

步驟 2.建立熱點入口網站。

導航到訪客接入>配置>訪客門戶，點選建立，然後選擇熱點型別。

步驟 3.配置門戶自定義。

導航到門戶頁面自定義，更改標題和內容，為使用者提供適當的警告。

滾動到選項內容2，按一下切換HTML源，然後將指令碼貼上到內部：

 按一下取消切換HTML源。

驗證

使用本節提供的資訊來驗證您的組態是否正常運作。

FirePOWER

觸發補救的是關聯策略/規則的命中。導航到分析>關聯>關聯事件，驗證發生了關聯事件。

ISE

然後，ISE應觸發Radius： CoA並重新驗證使用者，這些事件可以在Operation > RADIUS Livelog中進行驗證。

在本示例中，ISE為終端分配了不同的SGT MaliciousUser。在使用拒絕訪問授權配置檔案的情況下，使用者會丟失無線連線並且無法再次連線。

使用黑名單門戶進行補救。如果將補救授權規則配置為重定向到門戶，則從攻擊者的角度應如下所示：

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

導航到分析>關聯>狀態，如此圖所示。

結果消息應返回成功完成補救或特定錯誤消息。驗證syslog：System > Monitoring > Syslog並使用pxgrid過濾輸出。可以在/var/log/messages中驗證相同的日誌。

相關資訊

• https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200319-Troubleshoot-ISE-and-FirePOWER-Integrati.html
• https://communities.cisco.com/docs/DOC-68284
• https://communities.cisco.com/docs/DOC-68285
• https://communities.cisco.com/thread/64870?start=0&tstart=0
• http://www.cisco.com/c/en/us/td/docs/security/ise/2-0/admin_guide/b_ise_admin_guide_20.html
• http://www.cisco.com/c/en/us/td/docs/security/firepower/610/configuration/guide/fpmc-config-guide-v61.html