火力 6.0 pxGrid 与ISE集成-CA签名证书

在这篇文章中,我将通过使用CA签名证书来完成Firepower v6.0.x的配置,以便与ISE进行pxGrid集成。在以后的文章中,我计划使用自签名和CA签名证书对Firepower 5.4和6.0进行配置。我计划这样做的原因是因为它们略有不同,因此了解这一点很重要。 

在Firepower 5.4中,就补救而言,可以实现pxGrid集成,但是它受到限制并通过python脚本执行。 火力 6.0删除了python脚本,而是在ISE和Firepower之间共享上下文信息。一个缺点是,至少在Firepower 6.0中,修复部分已被临时删除。我敢肯定,我会在不久的将来写一个博客,介绍如何在将来的版本中配置它,但重要的是要指出,对于任何可能在Firepower 6.0中正在寻找该功能的人。 

在我的实验室中,我只有一个ISE节点,而不是分布式部署。如果要在ISE分布式部署中阅读有关pxGrid的更多信息,请单击 这里 查看指南。首先,我要通过SSH进入FMC,并发出以下命令来创建证书签名请求: 

openssl genrsa -out sourcefireAgent.key 4096
openssl req-新-key sourcefireAgent.key -out sourcefireAgent.csr

填写CSR信息,然后按Enter。接下来,您将需要使用WinSCP或您选择的客户端连接到FMC,并复制刚从设备上创建的.key和.csr文件。

在记事本中打开CSR。

然后打开浏览器并导航到Active Directory证书服务Web注册页面,然后单击以下链接: 下载CA证书,证书链或CRL。  在下一页中,下载Base 64格式的CA证书并重命名,这样更容易记住它的用途,例如CA-Root.cer。

在浏览器上单击返回,并返回到AD CA Web注册主屏幕。点击 申请证书。 在下一页上,单击 高级证书申请。 您将被带到一个页面来提交证书申请。将文本从CSR记事本复制到 Base-64编码的证书请求 字段并选择 pxGrid 作为证书模板。请点击 提交 完成后:

注意: 如果您没有此模板或没有阅读我以前的笔记,请单击 这里 了解如何在Windows 服务器 上创建模板。 

在下一页上,以Base 64编码格式下载证书,如果需要,可将证书重命名为更具逻辑性的名称,例如CA-Signed.cer,以使其更易于跟踪。 

回到FMC中,我们需要将CA Root证书添加到受信任的CA存储中,以便它将信任刚刚创建的CA签名的证书。在FMC中,导航到 对象>Object Management>Trusted CAs 然后点击 添加受信任的CA:

请点击 浏览 并浏览到我们刚刚下载的CA-Root.cer,然后单击  导入证书。

在以前的文章中,我已经提到了这一点,但是如果您只是在阅读这篇文章,则必须为ISE配置一些功能,以使pxGrid正常工作。请确保在ISE中配置了以下内容:

  • 导航 行政>System>Certificates 并请确保已为pxGrid启用了CA签名的证书  
  • 导航 行政>System>Deployment> 伊势 节点 并确保已启用pxGrid Persona
  • 通过导航到,确保ISE节点将自动批准新帐户。 行政>pxGrid Services>Settings

 

 

如果在ISE中配置了所有这些设置,请返回至FMC并导航至 系统>Integration>Identity Sources 然后点击 身分识别 Services Engine

在此页面上,执行以下操作:

  • 在窗口中输入ISE服务器的IP地址。 主主机名/ IP地址 领域
  • 从下拉菜单中为两个文件选择先前上传的CA-Root证书。 pxGrid 服务器CAMNT服务器CA 领域
  • 按下 MC服务器证书字段旁边的按钮。
    • 给它一个对您有意义的逻辑名称,例如CA-Signed 
    • 点击 浏览 旁边的按钮 证书数据 字段,然后选择我们先前创建的CA-Signed.cer。
    • 点击 浏览 旁边的按钮 字段,然后选择我们先前使用WinSCP从FMC下载的.key文件 
  • 请点击 完成时

现在单击“测试”按钮以测试ISE和FMC之间的连接。您应该看到以下内容: 

请点击 在本页。 

我们还可以通过导航到ISE来验证此连接 行政>pxGrid Services>Clients 并且您应该看到新的Firesight / FMC客户:

如果您按照上述步骤操作,但仍然无法执行,请检查以下内容:

  • 检查FMC和ISE之间的网络连接(从CLI ping等)
  • 如果您使用的是ISE 2.0或更低版本,则需要单击 启用自动注册 而是在 行政>pxGrid Services>Clients 页:
  • 确保您使用的ISE客户端上已启用pxGrid Persona
  • 确保没有 待批准 行政>pxGrid Services

我们将配置的下一件事是Firepower中的Active Directory领域。导航 系统>Integration>Realms 然后点击 新境界 :

在里面 添加新领域 弹出窗口,添加以下内容:

  • 领域名称
  • (可选)说明
  • 选择一种类型-AD或LDAP
  • 输入AD主域
  • 添加用户名
  • 添加密码
  • 基本DN
  • 群组DN  
  • 选择组属性-成员 

在下一页上,单击 添加目录 按钮并添加域服务器:

点击 测试 按钮以确保您可以连接到AD服务器,然后单击

单击“用户下载”选项卡。在此标签上,选中旁边的框 下载用户和组 然后单击立即下载按钮以下载AD组:

请点击 保存领域。 

您将被带回“领域”页面。确保启用状态滑块以启用此领域:

导航 政策规定>Access Control>Identity 然后点击 新政策 。命名新策略,然后单击 好。 在下一页上,单击 添加规则 并创建如下的被动身份验证策略:

请点击 并保存您的身份政策。 

 

现在,我们将新创建的身份策略添加到访问控制策略中。导航 政策规定>Access Control>Access Control 并修改您的政策。在顶部,单击“身份策略”旁边的链接,然后从下拉列表中选择新策略,然后单击“保存”。

点击 高级 标签并编辑 传输/网络层预处理器设置 并选中旁边的框 跟踪连接时忽略VLAN标头 然后点击

救 you 访问控制 Policy.

要验证您是否正在获取有关主机的信息,请导航至 分析>Users>User Activity 并且您应该看到ISE通过的信息:

现在,我们将基于ISE属性创建一个策略。导航 政策规定>Access Control>Access Control 并修改您的政策。请点击 添加规则 并单击“ 伊势 属性”选项卡:

在此标签下,我们可以基于以下内容创建规则:

  • 安全组标签
  • 设备类型  
  • 位置IP

按照这个规则,我要 根据Domain Admin SGT阻止社交媒体:

单击“确定”,保存并部署我的策略后,应阻止任何使用Domain Admin SGT的人访问社交媒体。