為TrustSec感知服務配置與ISE的WSA整合

簡介

本文檔介紹如何將網路安全裝置(WSA)與身份服務引擎(ISE)整合。ISE版本1.3支援名為pxGrid的新API。這種現代而靈活的協定支援身份驗證、加密和許可權（組），從而能夠方便地與其他安全解決方案整合。

WSA版本8.7支援pxGrid協定，並能夠從ISE檢索上下文身份資訊。因此，WSA允許您根據從ISE檢索的TrustSec安全組標籤(SGT)組構建策略。

必要條件

需求

思科建議您具有思科ISE配置的經驗並具備以下主題的基本知識：

• ISE部署和授權配置
• 適用於TrustSec和VPN訪問的自適應安全裝置(ASA) CLI配置
• WSA配置
• 對TrustSec部署有基本的瞭解

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Microsoft Windows 7
• Cisco ISE軟體1.3版及更高版本
• Cisco AnyConnect Mobile Security版本3.1及更高版本
• Cisco ASA版本9.3.1及更高版本
• Cisco WSA版本8.7及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

注意：使用命令查詢工具(僅供註冊客戶使用)可獲取有關此部分中所用命令的更多資訊。

網路圖和流量流程

TrustSec SGT標籤由ISE分配，用作訪問企業網路的所有型別使用者的身份驗證伺服器。這包括透過802.1x或ISE訪客門戶進行身份驗證的有線/無線使用者。此外，使用ISE進行身份驗證的遠端VPN使用者。

對於WSA，使用者如何訪問網路並不重要。

本示例顯示遠端VPN使用者在ASA-VPN上終止會話。這些使用者被分配了特定的SGT標籤。發往Internet的所有HTTP流量都將被ASA-FW（防火牆）攔截，並重定向到WSA進行檢查。WSA使用身份配置檔案，允許根據SGT標籤對使用者進行分類，並根據該標籤構建訪問或解密策略。

詳細流程如下：

1. AnyConnect VPN使用者終止ASA-VPN上的安全套接字層(SSL)會話。ASA-VPN配置為TrustSec並使用ISE對VPN使用者進行身份驗證。為透過身份驗證的使用者分配SGT標籤值= 2（名稱= IT）。使用者從172.16.32.0/24網路（本示例中為172.16.32.50）接收IP地址。
2. 使用者嘗試訪問Internet中的網頁。ASA-FW配置用於Web快取通訊協定(WCCP)，該協定將流量重定向到WSA。
3. 為ISE整合配置WSA。它使用pxGrid從ISE下載資訊：使用者IP地址172.16.32.50已分配SGT標籤2。
4. WSA處理來自使用者的HTTP請求並點選訪問策略PolicyForIT。該策略被配置為阻止到體育賽場的流量。其他所有使用者（不屬於SGT 2）都達到了預設訪問策略，並且擁有對體育網站的完全訪問許可權。

ASA-VPN

這是為TrustSec配置的VPN網關。詳細設定超出本檔案的範圍。請參閱以下範例：

• ASA和Catalyst 3750X系列交換機TrustSec配置示例和故障排除指南
• ASA版本9.2 VPN SGT分類和實施配置示例

ASA-FW

ASA防火牆負責將WCCP重定向到WSA。此裝置未辨識TrustSec。

interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 172.16.33.110 255.255.255.0 

interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.32.110 255.255.255.0 

access-list wccp-routers extended permit ip host 172.16.32.204 any 
access-list wccp-redirect extended deny tcp any host 172.16.32.204 
access-list wccp-redirect extended permit tcp any any eq www 
access-list wccp-redirect extended permit tcp any any eq https 

wccp 90 redirect-list wccp-redirect group-list wccp-routers
wccp interface inside 90 redirect in

ISE

ISE是TrustSec部署的中心點。它將SGT標籤分配給訪問網路並進行身份驗證的所有使用者。本節列出了基本配置所需的步驟。

步驟 1.IT和其他組的SGT

選擇策略>結果>安全組訪問>安全組，並建立SGT：

步驟 2.VPN訪問許可權的授權規則分配SGT = 2 (IT)

選擇策略>授權，然後建立遠端VPN訪問的規則。透過ASA-VPN建立的所有VPN連線都將獲得完全訪問許可權(PermitAccess)，並且將被分配SGT標籤2 (IT)。

步驟 3.為ASA-VPN增加網路裝置和生成PAC檔案

要將ASA-VPN增加到TrustSec域，需要手動生成代理自動配置(PAC)檔案。該檔案將在ASA上導入。

此操作可在管理>網路裝置下配置。增加ASA後，向下滾動到TrustSec設定並生成PAC檔案。在單獨（參考）文檔中描述的的詳細資訊。

步驟 4.啟用pxGrid角色

選擇管理>部署，以啟用pxGrid角色。

步驟 5.為管理和pxGrid角色生成證書

pxGrid協定對客戶端和伺服器都使用證書身份驗證。為ISE和WSA配置正確的證書非常重要。兩個憑證均應在主體中包含完整網域名稱(FQDN)，並在使用者端驗證和伺服器驗證時加入x509延伸模組。此外，確保為ISE和WSA建立正確的DNS A記錄，並與相應的FQDN匹配。

如果兩個憑證皆由不同的憑證授權單位(CA)簽署，則務必將這些CA包含在受信任的存放區中。

要配置證書，請選擇管理>證書。

ISE可以為每個角色生成證書簽名請求(CSR)。對於pxGrid角色，請使用外部CA導出並簽署CSR。

在本例中，Microsoft CA已用於此模板：

最終結果可能如下所示：

不要忘記為ise14.example.com和pxgrid.example.com建立指向172.16.31.202的DNS A記錄。

第6步：pxGrid自動註冊

預設情況下，ISE不會自動註冊pxGrid使用者。應該由管理員手動批准。應針對WSA整合更改該設定。

選擇管理> pxGrid服務，然後選擇啟用自動註冊。

WSA

步驟 1.透明模式和重定向

在本示例中，僅使用管理介面、透明模式和從ASA重定向來配置WSA：

 

步驟 2.證書生成

WSA需要信任CA來簽署所有證書。選擇網路>證書管理，以增加CA證書：

還需要生成WSA將用來向pxGrid進行身份驗證的證書。選擇網路>身份服務引擎> WSA客戶端證書，以生成CSR，並使用正確的CA模板(ISE-pxgrid)對其進行簽名，然後將其導回WSA。

此外，對於「ISE管理員證書」和「ISE pxGrid證書」，請導入CA證書（以便信任ISE提供的pxGrid證書）：

步驟 3.測試ISE連線

選擇網路>身份服務引擎，測試與ISE的連線：

步驟 4.ISE標識配置檔案

選擇網路安全管理器>標識配置檔案，為ISE增加新配置檔案。對於「標識和身份驗證」，使用「使用ISE透明辨識使用者」。

步驟 5.根據SGT標籤訪問策略

選擇網路安全管理器>訪問策略，增加新策略。成員身份使用ISE配置檔案：

對於選定的組和使用者，將增加SGT標籤2 (IT)：

該策略拒絕屬於SGT IT的使用者訪問所有體育網站：

驗證

使用本節內容，確認您的組態是否正常運作。

步驟 1.VPN會話

VPN使用者向ASA-VPN發起VPN會話：

ASA-VPN使用ISE進行身份驗證。ISE建立會話並分配SGT標籤2 (IT)：

在身份驗證成功後，ASA-VPN會建立一個具有SGT標籤2的VPN會話（在cisco-av-pair中以Radius Access-Accept返回）：

asa-vpn# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : cisco                  Index        : 2
Assigned IP  : 172.16.32.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 12979961               Bytes Rx     : 1866781
Group Policy : POLICY                 Tunnel Group : SSLVPN
Login Time   : 21:13:26 UTC Tue May 5 2015
Duration     : 6h:08m:03s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : ac1020640000200055493276
Security Grp : 2:IT

由於ASA-VPN與ASA-FW之間的鏈路未啟用TrustSec，因此ASA-VPN會為該流量傳送未標籤的幀（無法使用CMD/TrustSec欄位注入GRE封裝乙太網幀）。

步驟 2.WSA檢索的會話資訊

在此階段，WSA應接收IP地址、使用者名稱和SGT之間的對映（透過pxGrid協定）：

步驟 3.流量重定向到WSA

VPN使用者發起到sport.pl的連線，該連線被ASA-FW攔截：

asa-fw# show wccp 

Global WCCP information:
    Router information:
        Router Identifier:                   172.16.33.110
        Protocol Version:                    2.0

    Service Identifier: 90
        Number of Cache Engines:             1
        Number of routers:                   1
        Total Packets Redirected:            562
        Redirect access-list:                wccp-redirect
        Total Connections Denied Redirect:   0
        Total Packets Unassigned:            0
        Group access-list:                   wccp-routers
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

asa-fw# show access-list wccp-redirect
access-list wccp-redirect; 3 elements; name hash: 0x9bab8633
access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)
 0xfd875b28 
access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)
 0x028ab2b9 
access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)
 0xe202a11e 

並透過GRE隧道連線到WSA（請注意，WCCP router-id是配置的最高IP地址）：

asa-fw# show capture 
capture CAP type raw-data interface inside [Capturing - 70065 bytes] 
  match gre any any  

asa-fw# show capture CAP

525 packets captured

   1: 03:21:45.035657       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 60 
   2: 03:21:45.038709       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 48 
   3: 03:21:45.039960       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 640 

WSA繼續TCP握手並處理GET請求。因此，名為PolicyForIT的策略會遭到攻擊並阻止流量：

這已得到WSA報告的確認：

注意ISE顯示使用者名稱。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

不正確的憑證

當WSA未正確初始化（證書）時，測試ISE連線故障：

ISE pxgrid-cm.log報告：

[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]
[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1

使用Wireshark可以發現失敗的原因：

對於用於保護可擴展消息傳送和線上狀態協定(XMPP)交換的SSL會話（由pxGrid使用），客戶端會報告SSL故障，因為伺服器提供了未知的證書鏈。

正確案例

對於正確的場景，ISE pxgrid-controller.log記錄：

2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher
 -:::::- Handling authentication for user name wsa.example.com-test_client

此外，ISE GUI會將WSA顯示為具有正確功能的使用者：

相關資訊

• 帶ISE的ASA 9.2.1版VPN安全評估配置示例
• WSA 8.7使用手冊
• ASA和Catalyst 3750X系列交換機TrustSec配置示例和故障排除指南
• Cisco TrustSec交換機配置指南：瞭解Cisco TrustSec
• 配置外部伺服器以進行安全裝置使用者授權
• Cisco ASA系列VPN CLI配置指南，版本9.1
• 思科身份服務引擎使用手冊，版本1.2
• 技術支援與文件 - Cisco Systems