FirePOWER 6.0 PXGRID与ISE - CA签名证书集成

在此帖子中,我将使用CA签名证书与ISE的PxGrid集成的Firepower V6.0.x的配置。在未来的帖子中,我计划使用自签名和CA-anded证书来完成Firepower 5.4和6.0的配置。我打算这样做的原因是因为它们略有不同,很重要的是要知道这一点。 

在FirePOWER 5.4中,在修复方面,PXGRID集成是可能的,但它是通过Python脚本的限制和执行。 Firepower 6.0删除了Python脚本,而是在ISE和Firepower之间分享上下文信息。一个缺点是,在至少火力6.0中,修复部分暂时被删除。我相信我会在不久的将来写一个博客,了解如何在将来的版本中配置这一点,但对于可能在火力6.0中寻找该功能的任何人来说,这是一个重要的。 

在我的实验中,我有一个ISE节点而不是分布式部署。如果要在ISE分布式部署中阅读有关PxGrid的更多信息,请单击“ 这里 查看指南。要启动,我要将我的FMC SSH并发出以下命令以创建证书签名请求: 

openssl genrsa -out sourcefireagent.key 4096
openssl req -new -key sourcefireagent.key -out sourcefireagent.csr

填写CSR的信息,然后按Enter键。接下来,您需要使用Winscp或客户的首选连接到FMC并复制您刚刚从设备上创建的.key和.csr文件。

在记事本中打开CSR。

然后打开浏览器并导航到Active Directory证书服务Web注册页面,然后单击链接 下载CA证书,证书链或CRL。  在下一页中,在Base 64格式中下载CA证书并重命名是更容易记住它用于如CA-Root.Cer所用的东西

单击浏览器上的返回,然后返回主广告CA Web注册主屏幕。点击 请求证书。 在下一页上,点击 高级证书申请。 您将被带到页面以提交证书请求。将CSR记事本中的文本复制到 Base-64编码的证书申请 领域并选择 PxGrid. 作为证书模板。点击 提交 完成后:

笔记: 如果您没有此模板或尚未阅读我之前的注释,请单击 这里 要了解如何在Windows服务器上创建模板。 

在下一页上,在Base 64编码的格式下下载证书,如果需要,请将证书重命名为更逻辑的名称,例如CA-Signed.Cer,以使其更容易跟踪。 

回到FMC中,我们需要将CA根证书添加到可信CA存储器,以便相信我们刚刚创建的CA签名证书。在FMC中,导航到 对象>Object Management>Trusted CAs 然后点击 添加可信CA:

点击 浏览 并浏览到CA-Root.Cer我们刚下载,然后单击 保存  要导入证书。

在以前的帖子中,我提到了这一点,但在你只是读这个帖子的情况下,必须用几件事来配置ISE,以便PxGrid工作。请确保在ISE中配置以下内容:

  • 导航 行政>System>Certificates 请确保为PxGrid启用了CA签名证书  
  • 导航 行政>System>Deployment> ise-node 并确保已启用PxGrid PersonA
  • 确保ISE节点将通过导航来自动批准新帐户 行政>pxGrid Services>Settings

 

 

如果在ISE中配置了所有这些设置,请返回FMC并导航到 系统>Integration>Identity Sources 然后点击 身份 Services Engine

在此页面上,执行以下操作:

  • 输入ISE服务器的IP地址 主要主机名/ IP地址 field
  • 选择以前上传的CA-Root证书 PXGRID服务器CAMNT服务器CA 领域
  • 请按 按钮在MC服务器证书字段旁边。
    • 给它一个对你有意义的逻辑名称,如CA签名 
    • 点击 浏览 按钮旁边 证书数据 字段并选择“先前创建的CA符号。
    • 点击 浏览 按钮旁边 钥匙 字段并选择我们以前从FMC下载的.key文件与Winscp 
  • 点击 保存 完成后

现在单击测试按钮以测试ISE和FMC之间的连接。您应该看到以下内容: 

点击 保存 在本页面。 

我们还可以通过导航到ISE中的此连接 行政>pxGrid Services>Clients 而且你应该看到新的FireSight / FMC客户端:

如果您跟随上述步骤,这仍然没有工作,请检查以下内容:

  • 检查FMC和ISE之间的网络连接(来自CLI的Ping)
  • 如果您使用的是2.0或更低,则需要点击 启用自动注册 而是在这一边 行政>pxGrid Services>Clients 页:
  • 确保在您使用的ISE客户端上启用了PXGRID PersonA
  • 确保没有 待批准 在下面 行政>pxGrid Services

我们将配置的下一件事是FirePOWER中的Active Directory Realm。导航 系统>Integration>Realms 然后点击 新疆 :

在里面 添加新境界 弹出,添加以下内容:

  • 境界名称
  • (可选)描述
  • 选择类型 - 广告或LDAP
  • 输入广告主域
  • 添加用户名
  • 添加密码
  • 基地DN.
  • 组DN  
  • 选择Group属性 - 会员 

在下一页上,单击 添加目录 按钮并添加域服务器:

点击 测试 按钮以确保您可以连接到广告服务器,然后单击 好的

单击“用户下载”选项卡。在此选项卡上,选中旁边的框 下载用户和组 然后单击立即下载按钮以下载广告组:

点击 保存 拯救领域。 

您将被带回领域页面。确保启用状态滑块以启用此域:

导航 政策>Access Control>Identity 然后点击 新政策 。为新策略命名,然后单击 好的。 在下一页上,单击 添加规则 并创建被动身份验证策略,如下所示:

点击 添加 并保存您的身份策略。 

 

现在,我们将新创建的身份策略添加到访问控制策略。导航 政策>Access Control>Access Control 并编辑你的政策。在顶部,单击“身份策略”旁边的“链接”,然后从“下拉目”中选择新策略,然后单击“保存”。

点击一下 先进的 标签并编辑 传输/网络层预处理器设置 并检查旁边的框 跟踪连接时忽略VLAN标头 然后点击 好的

保存您访问控制策略。

要验证您获取有关主机的信息,请导航到 分析>Users>User Activity 您应该查看ISE传递的信息:

现在我们将根据ISE属性创建策略。导航 政策>Access Control>Access Control 并编辑你的政策。点击 添加规则 并单击“ISE属性”选项卡:

在此选项卡下,我们可以根据以下内容创建规则:

  • 安全组标签
  • 设备类型 
  • 位置IP.

在这条规则中,我要去 基于Domain Admin SGT的阻止社交媒体:

单击“确定”后,保存和部署我的策略后,任何带有域admin sgt的人都应该阻止访问社交媒体。