隐形守望 6.8和具有自签名证书的ISE集成

我将通过带有自签名证书的pxGrid通过ISE 2.1和Stealthwatch进行集成。我个人喜欢在部署中使用CA签名证书,因为如果我需要重建ISE实例或pxGrid客户端,使用CA签名证书重新启动它并运行非常容易,但这并不总是理想的情况给大家。对于那些没有PKI基础结构或实验室环境的用户来说,无需外部PKI基础结构即可设置pxGrid集成非常容易。

我将使用ISE 2.1和StealthWatch 6.8进行演示并非常快速地进行介绍。如果您想了解有关pxGrid集成或其他各种部署方法的更多详细信息,请转到ISE设计专区查看ISE指南。 这里 .

在ISE中,导航至 行政>System>Deployment 并单击要运行pxGrid服务的ISE节点的名称。在“编辑节点”屏幕中,确保选中pxGrid旁边的框,然后单击 .

导航 行政>System>Certificates>System 证明书 并通过选中pxGrid旁边的框并单击,确保为pxGrid启用了默认的自签名证书 编辑 .

在确保将自签名证书用于pxGrid之后,请返回上一屏幕。

确保已为此证书启用pxGrid后,单击 出口 按钮以导出证书。您应该只导出公共证书,而不是私钥。

 

我们希望在设置时确保ISE无需额外批准即可接受所有pxGrid客户端的请求,因此请导航至 行政>pxGrid Services>Settings 并选中自动批准新帐户旁边的框,然后单击 .

切换到Stealthwatch管理中心,单击 管理员用户>Administer Appliance 然后导航到 组态>Certificate Authority 证明书。在此屏幕上,上传您刚刚导出的ISE自签名证书。

使用根凭据通过SSH到您的StealthWatch管理中心,并使用以下命令创建密钥:

openssl genrsa -des3 -out selfsmc.key 2048

它将要求您输入密码。您可以选择任何一个。在这种情况下,我只选择了cisco123。


颁发密钥后,我们将通过发出以下命令从中创建证书签名请求:

openssl req-新-key selfsmc.key -out selfsmc.csr
 
输出将立即要求输入密码(cisco123),然后填写一些基本证书参数。需要注意的一件事是,最后,如果要与此CSR一起使用,则可以选择选择质询密码。我没有用过。

接下来,我们将通过发出以下命令来创建自签名SMC证书:

openssl x509 -req -days 365 -in selfsmc.csr -signkey selfsmc.key -out selfsmc.crt

它将再次询问您密钥的密码(cisco123)

接下来,我将使用以下命令解密密钥文件的密码:

cp selfsmc.key selfsmc.key.org

openssl rsa -in selfsmc.key.org -out selfsmc.key

它将再次要求输入密码(cisco123)

完成此操作后,使用WinSCP使用您的根凭据连接到StealthWatch管理中心,然后将刚创建的文件复制到本地磁盘。

在StealthWatch管理中心中,导航到 管理员用户>Administer Appliance 然后导航到 组态>SSL Certificate.

向下滚动至页面底部的SSL身份证书,然后在“目标证书文件”字段中上载刚刚创建的自签名.crt证书,并在“私钥”字段中上载密钥文件。请点击 上载 如下所示安装证书。

 

在ISE中,导航至 行政>System>Certificates>Trusted 证明书 然后点击 进口 。上载我们先前创建的SMC .crt文件,然后单击 提交 完成后如下图所示

在StealthWatch管理中心中,导航到 部署>Cisco 伊势 组态 如果您使用的是6.8版或 工具类>Cisco 伊势 组态 在6.7.1版中

添加ISE节点的IP地址和SMC Syslog端口(如果与默认端口不同)。为StealthWatch提供ISE的用户名/密码,如下所示。如果您有一个ISE节点,则该节点应该是一个节点,但是如果您有分布式部署,则可能是MnT和PSN节点,它们可能会将syslog通信发送到SMC。请点击 完成时。

您应该弹出一个对话框,说明Cisco 伊势 连接已成功。如果没有,请检查之间的网络连接 ISE和SMC以及可能阻塞端口的所有防火墙。
 
如果所有配置均正确,您将得到一个绿色圆圈,表明已建立与ISE的通信,并且 添加思科ISE缓解措施 按钮。单击该按钮进行下一步。

在Cisco 伊势 Mitigation菜单上,从下拉菜单中选择我们先前安装的SMC自签名身份证书,然后添加ISE主要Admin节点的名称和IP地址以及可选的辅助Admin模式,然后单击 .

您应该弹出一个窗口,显示到ISE缓解节点的连接成功。
 
在ISE中,导航至 运作方式>自适应网络控制>Policy List。在开始隔离设备之前,我们将需要添加ANC策略。请点击 。给策略命名一个隔离区,然后选择操作 隔离。

接下来,我们需要创建一个用于隔离的全局异常规则。转到“授权策略”的“例外”并创建以下规则:

名称: 非国大 (或任何您想调用的名称)
条件: 时段:EPSStatus EQUALS隔离
然后: 拒绝访问 (或者您希望为隔离用户提供何种访问权限)

 

导航 行政>pxGrid Services>Clients 并且您应该看到您的SMC客户端。选中SMC客户端旁边的框,然后单击 按钮。

在“客户组”下,删除 基本的 并添加 每股收益 。 然后点击 .

您的SMC客户端现在应该显示为:

接下来,我们将Stealthwatch管理中心配置为远程日志记录目标。在ISE中,导航至 行政>System>Logging>Remote 记录中 Targets 然后点击

随便命名远程目标,并确保IP地址指向Stealthwatch管理中心。对于端口,请在Stealthwatch管理中心(默认为3514)中选择ISE配置中先前定义的端口。完成后,单击 提交 .

导航 行政>System>Logging>Logging Categories 并将新的远程日志记录目标添加到以下内容:

  • 通过认证
  • RADIUS记帐
  • 行政和运营审计
  • 探查器

现在,您已完成配置ISE和StealthWatch的集成。您可以在StealthWatch管理中心中拉出主机报告,并且应该看到该主机的“隔离和取消隔离”按钮。您还应该查看哪些用户已登录到该主机的历史记录,以及ISE通过Syslog提供的其他上下文信息。

如果单击“隔离”按钮,它将触发ISE中的“例外”策略并隔离端点。通过单击“未隔离”,它将将该端点从其EPS状态中删除。