Інтеграція Cisco FirePOWER і ISE



Привіт habr! Починаючи з версії FirePOWER 6.0.0.0, з'явилася можливість інтеграції з корпоративним сервером централізованої аутентифікації та авторизації Cisco ISE. У даній замітці коротко розглянемо, що саме дає зв'язок Cisco FirePOWER з ISE і як цей зв'язок налагоджується.

Що таке FirePOWERДосить багато написали на нашому сайті в розділі " питання/відповіді:
Також є стаття на habrahabr «Ділимося досвідом. Інтеграція сервісів FirePOWER на Cisco ASA».

Що таке Cisco ISEДоволі докладно написано на habrahabr в корпоративному блозі Cisco.
Також є серйозна стаття від інженера Cisco, що описує сценарії використання Cisco ISE і архітектуру TrustSec.

Інтеграція FirePOWER c ISE дає в першу чергу новий спосіб отримання ідентифікаційних даних користувачів. До версії FirePOWER 6.0.0.0 аутентифікація користувачів відбувалася в пасивному режимі. Це означає, що десь в мережі на комп'ютері, що входить у домен, чи безпосередньо на сервері Active Directory (AD) повинен бути встановлений агент. Даний агент повинен моніторити логи ОГОЛОШЕННЯ на предмет подій login/logoff користувачів і передавати відповідності IP-адреси і облікового запису користувача на FirePOWER. Остання реінкарнація даного агента від SourceFIRE отримала назву Cisco FirePOWER User Agent.

Агенти пасивної аутентифікаціїУ спадок від SourceFIRE компанія Cisco отримала агент SourceFIRE User Agent, здатний інтегруватися з системою управління Defence Center (FireSIGHT). До речі, зараз актуальне назва системи управління FirePOWER виглядає так: FirePOWER Management Center (скорочено FMC). А агент іменується Cisco FirePOWER User Agent.

До цього в Cisco були власні варіанти агентів: Cisco Active Directory Agent (AD Agent), керований з командного рядка, пізніше рішення з графічним інтерфейсом — Context Directory Agent (CDA). Дані рішення можна було використовувати для отримання функціональності Identity FireWall на пристрої Cisco ASA. Тобто на Cisco ASA з'являлася можливість створювати списки доступу за IP-адресами, а за обліковими записами з AD. Також CDA можна було використовувати з рішенням Cisco ASA CX (дане рішення вже більше не продається на користь ASA+FirePOWER), з WEB-proxy сервер Cisco WSA і з сервером аутентифікації та авторизації Cisco ISE.

Перевага використання агента для аутентифікації користувачів – повна прозорість процесу аутентифікації. Іншими словами, User Experience для кінцевого користувача абсолютно ніяк не змінюється при впровадженні аутентифікації на мережевому шлюзі. Однак, у цього методу є ряд недоліків. Очевидний мінус полягає в самому підході: потрібно встановлювати додаткове ПЗ, яке повинно цілодобово моніторити логи AD. Якщо з якоїсь причини логи AD будуть недоступні, ви не авторизований на мережному пристрої. Також може проявитися проблема з невірним наданням прав доступу. Наприклад, якщо на момент входу користувача в систему ПК був відключений від мережі, в теорії, новий користувач зможе отримати права доступу попереднього користувача ПК, якщо через якийсь час підключить ПК назад до мережі.

Інший підхід – активна аутентифікація, при якій установка агента не потрібно, але користувачі повинні самостійно вводити облікові дані за запитом. Недолік цього методу очевидний.

Активна аутентифікація на FirePOWER також була представлена з виходом версії 6.0.0.0.

Використання Cisco ISE для ідентифікації користувачів на FirePOWER вирішує проблеми, притаманні як пасивної аутентифікації з агентом, так і активної аутентифікації. Як випливає з визначення, Cisco ISE є централізованою системою аутентифікації та авторизації користувачів при підключенні до мережі. Як тільки користувач успішно проходить процедури аутентифікації та авторизації та отримує доступ в мережу, на Cisco ISE з'являється повна інформація про це користувача, що включає IP-адресу користувача та його обліковий запис. Далі цю інформацію досить передати на FirePOWER, а точніше на систему управління FirePOWER Management Center. Система отримає можливість зіставити IP-адресу мережевої транзакції з обліковим записом користувача та застосувати налаштовані політики доступу.

Але функціональність Cisco ISE не обмежується аутентифікацією і авторизацією користувачів в мережі. Cisco ISE дозволяє профілювати користувальницькі пристрої, тобто визначати, який пристрій підключено до певного певного порту комутатора. До інформації про пристрої відносяться: виробник, версія ОС, тип пристрою (мобільний/стаціонарне) і т. д. Дана інформація також може бути передана на FirePOWER. Це дає можливість налаштовувати різні правила доступу для різних типів пристроїв. Наприклад, для Android і iOS більш специфічні обмеження, ніж для Microsoft Workstation. Приклад налаштування правила з урахуванням типу пристрою представлений нижче:



Крім профілювання пристроїв Cisco ISE дозволяє реалізувати архітектуру Cisco TrustSec. Дуже коротко, Cisco TrustSec дозволяє розмежовувати доступ до мережі по мітках, званим Security Group Tags (SGT). Мітка являє собою довільне число від 1 до 65535 передається в рамках Ethernet-кадри. Відповідно, пристрої, через які проходять кадри з мітками SGT, повинні підтримувати архітектуру TrustSec. В іншому випадку, інформація про мітці для мережевої транзакції може передаватися за допомогою протоколу Security Group Tag Exchange Protocol (SXP). При успішному проходженні процедур аутентифікації та авторизації користувачеві привласнюється мітка, що визначає його доступ до ресурсів мережі. Опис, привласнення мітки SGT, а також налаштування правил доступу по мітках (SGT ACL) здійснюється за допомогою Cisco ISE. Починаючи з версії FirePOWER 6.0.0.0 з'явилася можливість використовувати мітки SGT в політиках доступу на FirePOWER. Приклад налаштування правила з урахуванням мітки SGT представлений нижче:



Останній атрибут ISE, який може бути використаний в політиках доступу FirePOWER версії 6.0.0.0, – Location IP. Даний атрибут означає IP-адресу мережевого пристрою, який аутентифицировало користувача через Cisco ISE. Отже, можна створювати різні правила доступу для одного і того ж користувача, залежно від того, до якого мережного пристрою приєднано комутатор або точка доступу Wi-fi, або, наприклад, комутатор в головному офісі або комутатор у віддаленому філії, або, наприклад, підключення користувача віддалено через AnyConnect).

Перш ніж переходити до налаштування зв'язку FirePOWER c Cisco ISE підіб'ємо підсумок. При інтеграції FirePOWER і Cisco ISE отримуємо наступні переваги:
  1. Відпадає необхідність використання агента Cisco FirePOWER User Agent для аутентифікації користувачів. Також відпадає необхідність в активній аутентифікації. Всі задачі аутентифікації та авторизації користувачів в мережі бере на себе Cisco ISE.
  2. Більш точна ідентифікація користувачів на FirePOWER порівняно з використанням агента Cisco FirePOWER User Agent.
  3. Використання атрибутів Cisco ISE, а саме:
    • З'являється можливість використовувати результати профілювання Cisco ISE в правилах доступу FirePOWER.
    • З'являється можливість використовувати мітки TrustSec (SGT) у правилах доступу FirePOWER.

    • З'являється можливість використання IP-адреси авторизующего пристрою в правилах доступу FirePOWER.
Настройка зв'язку FirePOWER з Cisco ISE

Налаштування наводиться для FirePOWER Management Center версії 6.0.1 і Cisco ISE версії 2.0.0.306. Як говорилося раніше, Cisco ISE зберігає докладну інформацію про авторизованих в мережі користувачів. Основне завдання – передати необхідну інформацію на FirePOWER.

Традиційно, коли одна система повинна комунікувати з іншою системою, використовують кастомні або пропрієтарні API (Application Programing Interface). Cisco пропонує власну технологію, за допомогою якої здійснюється взаємодія різних продуктів Cisco, а також зв'язок рішень Cisco з системами інших вендорів. Технологія іменується Cisco Platform Exchange Grid (pxGrid). Дана технологія пропонує спільну мову взаємодії для обміну інформацією між різними системами, наприклад, FirePOWER, ISE, WSA, Cyber Defense Threat (CTD) і т. д.

Центральним компонентів pxGrid є Cisco ISE. Інші зовнішні системи виступають у ролі клієнтів або агентів у межах pxGrid і підписуються на Cisco ISE для отримання або передачі інформації. Коли зовнішні системи підключаються до pxGrid, реєструючись на Cisco ISE, вони одержують можливість обмінюватися інформацією за схемою «кожен з кожним», використовуючи для цього єдині методи. Реєстрація зовнішніх систем на Cisco ISE в pxGrid здійснюється за допомогою цифрових сертифікатів. Для можливості використання pxGrid на Cisco ISE вимагається наявність ліцензії PLUS.

Перейдемо до налаштувань. Спершу Cisco ISE.

1. Активувати pxGrid Persona на Cisco ISE.

Вкладка Administration -> System -> Deployment.



Вибрати сервер ISE. Клацнути на його назві. Встановити галку навпроти pxGrid:



Натиснути Save.

2. Отримати цифровий сертифікат для pxGrid. Сервіс pxGrid вимагає розширені можливості використання цифрового ключа, а саме, аутентифікація як сервера, так і клієнта. Тому сертифікат, що використовується для стандартних завдань ISE (EAP Authentication Admin portals, User Portals) не підходить для pxGrid. Необхідно згенерувати і підписати на корпоративному засвідчувальному центрі (далі корпоративний CA) сертифікат для pxGrid. Для цього потрібно зайти на вкладку Administration -> System -> Certificates і в меню зліва вибрати Certificate Signing Requests:



Натиснути Generate Certificate Signing Request (CSR) і заповнити необхідні поля. Приклад на зображенні нижче:



Нажимам Generate і експортуємо отриманий CSR. Тепер йдемо на корпоративний CA і підписуємо з CSR сертифікат. На даному моменті докладно зупинятися не буду, просто вставлю скріншоти:









Підписаний сертифікат отримано. Повертаємося на ISE, прив'язуємо сертифікат до CSR:





Тепер на ISE є необхідний сертифікат для pxGrid:



3. Перевірити підключені pxGrid клієнти можна на вкладці Administration -> pxGrid Services. Тут же встановимо налаштування «Enable Auto Registration»:



ISE налаштований. Тепер перейдемо до налаштувань pxGrid на FirePOWER.

4. Необхідно перейти на вкладку System -> Integration -> Identity Sources і вибрати Identity Services Engine в якості джерела ідентифікаційної інформації:



5. Заповнити обов'язкові поля. Необхідно вказати IP-адресу або ім'я сервера ISE:



6. Вказати сертифікати «pxGrid CA Server» і «MNT Server CA». В якості цих сертифікатів можна використовувати кореневий сертифікат корпоративного CA:



7. Вказати ключ і сертифікат «FMC Server Certificate». Даний сертифікат FirePOWER Management Center буде пред'являти Cisco ISE при спробі підключення до pxGrid. Щоб отримати цей сертифікат, потрібно на FirePOWER згенерувати CSR, підписати його на корпоративному CA і завантажити отриманий підписаний сертифікат на FirePOWER. Для цього потрібно згенерувати пару ключів і CSR з командного рядка FMC, використовуючи утиліту openssl:



Я використовував наступний рядок параметрів для створення CSR і Private Key:

req -batch -new -newkey rsa:2048 -nodes -keyout fp.key -subj '/C=RU/ST=Moscow/L=Moscow/O=CBS/OU=Computers/[email protected]/CN=fmc/CN=cbs/CN=com/CN=ru' -out fp.csr

Далі по CSR потрібно підписати сертифікат на корпоративному CA. Процедура абсолютно аналогічна процесу отримання сертифіката pxGrid для ISE. Підписаний сертифікат імпортуємо на FirePOWER Management Center. Вкладка Objects -> Object Management меню PKI -> Internal Certs:



Натискаємо Add Internal Cert, вибираємо підписаний сертифікат і Private Key:



Сертифікат і ключ «FMC Server Certificate» готовий. Повертаємося на вкладку System -> Integration -> Identity Sources і вибрати Identity Services Engine. Вказуємо «FMC Server Certificate»:



8. В цьому ж меню натискаємо Test. Повинно з'явитися вікно «Success»:



9. Не забути натиснути Save у верхньому правому кутку:



10. Повернемося до ISE, перевіримо вкладку Administration -> pxGrid Services. Бачимо, з'явилися нові клієнти pxGrid:



Перевіримо працездатність налаштованого рішення. Cisco ISE налаштований на аутентифікацію тестового сегмента провідної мережі. Налаштування політик Cisco ISE в рамках даної замітки розглядати не будемо. Підключимося за допомогою ноутбука до дротової мережі, сапликанта використовуємо Cisco AnyConnect Network Access Manager (NAM):



В логах ISE перевіримо Radius Livelog (вкладка Operations -> RADIUS Livelog):



Аутентифікація пройшла успішно. Тепер перевіримо User Activity на FirePOWER (вкладка Analysis -> Users -> User Activity):



Якщо прокрутити висновок User Activity праворуч, то можна побачити, що FirePOWER Management Center отримав від ISE додаткові атрибути: Security Group Tag, Endpoint Profile і Endpoint Location:



На цьому опис налаштування інтеграції ISE і FirePOWER я завершую. Сподіваюся, наведений матеріал буде корисним читачам.

Якщо дана тема зацікавить, ласкаво просимо до нас на демостенды Cisco ISE, Cisco FirePOWER.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.