偷偷地 6.8和与CA签名证书的ISE集成

在这个博客文章中,我将通过pxgrid探耸偷偷跟踪和ISE集成。通过这种集成,ISE将共享与窃取的智权操作中的上下文信息,例如用户名和设备信息,并且它会增加快速威胁遏制来隔离不当行为的端点。我将在此帖子中使用CA签名证书,稍后将添加一个带有自签名证书的帖子。 

我要做的第一件事就是将CA根证书上传到偷窥文。要下载此方法,请导航到http:// _ <CA-IP-address> / certsrv.

点击 下载CA证书,证书链或CRL 并在Base64格式下下载CA证书。

 

在浏览器中打开隐身管理控制台并导航到 管理员用户>Administer Appliance>Configuration>证书颁发机构证书

在此屏幕上,选择先前从CA下载的根证书并将其添加到偷窥文。

 
完成此后,您应该看到以下内容:

接下来,我们需要创建SMC私钥和CA权限签名的签名请求(CSR)。 

要将此此操作,ssh或控制台进行偷窥,请进入隐身管理控制台根shell并创建私钥:

openssl genrsa -out smc.key 4096

 

然后创建将由CA Server签名的SMC CSR请求,其中包含密钥文件:

openssl req -new -key smc.key -out smc.csr 

 

使用您选择的SCP客户端将SMC.CSR和SMC.KEY文件复制到安全PC。在桌面上的记事本中打开CSR。 

在浏览器中返回CA服务器,然后单击 请求证书:

 

在下一页上,单击 高级证书申请。您将被采用以下页面:

将CSR的内容从记事本复制并粘贴到基本-64编码的证书申请中,然后选择PxGrid证书模板。要查看有关如何创建此模板的说明,请参阅我以前的博客文章 这里

点击 提交

创建证书后,以Base 64格式下载并更改您刚下载到的证书的扩展.crt。

 

在SMC,导航到 管理员用户>Administer Appliance>Configuration>SSL Certificates 并滚动到页面底部,您可以在那里上传身份。 


在以前版本的StealthWatch中,需要替换整个SSL证书以便利用PxGrid。从6.7.1版本中,StealthWatch分开了SSL证书函数。在此页面上,您可以选择上传SSL Server身份,但如果向下滚动,则可以选择上载SSL客户端标识。这是我们将上传我们以前创建的证书的地方

将CA签名证书上传到目标证书字段,在证书链中上传CA根证书,并将SMC.Key文件上传到私钥字段中。 
 

为了利用ISE以隔离终点,我们需要在ISE中创建一个隔离anc策略并将其添加到异常策略中。 

在ISE中,我们需要创建将用于检疫政策的DACL。 Navigate to 政策>Policy Elements>Authorization>Downloadable ACLs 然后单击“添加”以创建一个新的DACL,这将是此策略的Quariine ACL。此DACL应限制对网络的访问,以便快速包含威胁。 

有一点要注意: 由于思科无线控制器不支持DACL,您还需要在无线控制器上创建ACL,并按Airespace ACL名称字段下的名称在授权配置文件中引用

接下来,我们需要创建授权配置文件。创建DACL后,导航到 政策>Policy Elements>Authorization>授权配置文件 然后点击 添加 。在授权配置文件上,选择先前创建的DACL以及任何Airespace ACL(如适用)

 

创建自适应网络控制策略列表。在ISE中,导航到 运营>自适应网络控制>Policy List 然后点击 添加 。使用隔离的操作创建列表:

创建全局异常策略。在ISE中的策略下,创建以下全局异常

 

在下一步中,我们将在ISE中创建远程日志导出商,导出器某些日志到SMC。 In ISE, navigate to 行政>System>Logging>远程日志记录目标 然后点击 添加 。使用以下内容创建日志记录目标:

  • 名称:  <名称 - 您是offer-to-fow-thing-form-exporter>
  • IP /主机地址: <SMC-IP-Address>
  • 港口:  3514
  • 设施代码: Local6
  • 最大长度: 1024

点击 保存 完成后。

 

导航 行政>System>Logging>Logging Categories 并将新的远程记录目标添加到以下类别:

  • 通过身份验证
  • Radius会计
  • 行政和运营审核
  • 探查器

 

PXGRID ANC缓解功能使SMC能够将作为PXGRID客户端注册到ISE PXGRID节点,并订阅endpointProtectionService能力调用ISE认证端点上的隔离区/单孤隔离的缓解操作。 我们需要做的第一件事是在SMC中添加ISE。要这样做,导航到 工具>Settings>Cisco ISE配置 在smc。您将提供以下字段:

本节将允许您添加ISE MNT和PSN节点。添加后,您应该看到以下弹出窗口,以指示您与ISE的连接成功:

接下来要做的是增加ISE缓解。在此同一页面上,应该有一个按钮添加ISE缓解。单击此按钮后,将有以下字段填写:

 

从证书选择下拉下来,选择先前上传的SSL客户端身份证书并添加ISE PAN节点信息。如果一切正确完成,您应该看到一个弹出窗口,指出连接到ISE缓解节点的连接成功。 

在ISE上,导航到 行政>pxGrid Services 你应该看到SMC注册。如果未注册,请确保启用PXGRID服务,已配置PXGRID证书,并且此页面上没有待处理的批准。如果所有这些都已正确完成,您应该在列表中看到以下内容:

选中此页面上SMC旁边的框,然后单击 团体 button.

类型 eps. 进入弹出窗口和 保存 .

 

要测试缓解,请在SMC中查找一个端点,您应该看到 隔离 不定 纽扣

当你点击时 隔离 按钮,您应该在SMC中看到一个弹出窗口,指出隔离请求已成功发送给ISE。 

导航 the ISE RADIUS LiveLog 页面要查看端点已被隔离。 

要取消查询一个端点,请返回SMC中的主页,然后单击“无答题”按钮。您应该看到ISE触发RADIUS Livelog中的COA请求,并将先前的策略应用于端点。 

恭喜!您刚刚在PxGrid中设置了Lancope和ISE,并能够在您的网络上检疫威胁!