Einleitung
In diesem Dokument wird die Migration vom Benutzer-Agenten zur Identity Services Engine (ISE) für den Firepower-Benutzer-Agenten beschrieben.
Hintergrundinformationen
In zukünftigen Versionen ist der Firepower User Agent nicht mehr verfügbar. Sie wird durch die ISE oder Identity Services Engine - Passive ID Connector (ISE-PIC) ersetzt. Wenn Sie derzeit User Agent verwenden und eine Migration auf die ISE in Erwägung ziehen, enthält dieses Dokument Hinweise und Strategien für Ihre Migration.
Übersicht über die Benutzeridentität
Derzeit gibt es zwei Methoden, um Informationen zur Benutzeridentität aus der vorhandenen Identitätsinfrastruktur zu extrahieren: User Agent und ISE-Integration.
Benutzer-Agent
Benutzer-Agent ist eine Anwendung, die auf einer Windows-Plattform installiert ist. Es verwendet das WMI-Protokoll (Windows Management Instrumentation), um auf Benutzeranmeldeereignisse (Ereignistyp 4624) zuzugreifen, und speichert die Daten dann in einer lokalen Datenbank. Es gibt zwei Möglichkeiten, wie der Benutzer-Agent die Anmeldeereignisse abruft: in Echtzeit aktualisiert, wenn sich der Benutzer anmeldet (nur Windows Server 2008 und 2012), oder die Daten für jedes konfigurierbare Intervall abgefragt. Ebenso sendet der Benutzer-Agent in Echtzeit vom Active Directory (AD) empfangene Daten an das FirePOWER Management Center (FMC) und regelmäßig Stapel von Anmeldedaten an das FMC.
Zu den vom Benutzer-Agent erkannten Anmeldearten gehören die direkte oder die Remotedesktopanmeldung bei einem Host, die Anmeldung bei der Dateifreigabe und die Anmeldung bei einem Computerkonto. Andere Anmeldetypen wie Citrix-, Netzwerk- und Kerberos-Anmeldungen werden vom Benutzer-Agent nicht unterstützt.
Der Benutzer-Agent verfügt über eine optionale Funktion, um festzustellen, ob der zugeordnete Benutzer sich abgemeldet hat. Wenn die Abmeldeüberprüfung aktiviert ist, überprüft sie regelmäßig, ob der Prozess auf jedem zugeordneten Endpunkt ausgeführt wirdexplorer.exe
. Wenn der laufende Prozess nicht erkannt werden kann, wird nach 72 Stunden die Zuordnung für diesen Benutzer entfernt.
Identity Services Engine
Die ISE ist ein robuster AAA-Server, der die Netzwerk-Anmeldesitzungen der Benutzer verwaltet. Da die ISE direkt mit Netzwerkgeräten wie Switches und Wireless-Controllern kommuniziert, hat sie Zugriff auf aktuelle Daten über die Aktivitäten des Benutzers und ist damit eine bessere Identitätsquelle als der User Agent. Wenn sich ein Benutzer an einem Endpunkt anmeldet, stellt er in der Regel automatisch eine Verbindung mit dem Netzwerk her. Wenn die 802.1x-Authentifizierung für das Netzwerk aktiviert ist, erstellt die ISE eine Authentifizierungssitzung für diese Benutzer und hält sie am Leben, bis sich der Benutzer vom Netzwerk abmeldet. Wenn die ISE in FMC integriert ist, leitet sie die Benutzer-IP-Zuordnungsdaten (zusammen mit anderen von der ISE erfassten Daten) an FMC weiter.
Die ISE kann über pxGrid in FMC integriert werden. pxGrid ist ein Protokoll, das die Verteilung von Sitzungsinformationen zwischen ISE-Servern und mit anderen Produkten zentralisiert. Bei dieser Integration fungiert die ISE als pxGrid-Controller und FMC abonniert den Controller, um Sitzungsdaten zu empfangen (FMC veröffentlicht keine Daten an die ISE, außer bei einer später besprochenen Sanierung) und leitet die Daten an die Sensoren weiter, um eine Benutzererkennung zu erreichen.
Identity Services Engine - Passive Identity Connector (ISE-PIC)
Identity Services Engine - Der passive Identity Connector (ISE-PIC) ist im Wesentlichen eine Instanz der ISE mit eingeschränkter Lizenz. ISE-PIC führt keine Authentifizierung durch, sondern fungiert als zentraler Hub für verschiedene Identitätsquellen im Netzwerk, sammelt die Identitätsdaten und stellt sie den Teilnehmern zur Verfügung. ISE-PIC ähnelt dem Benutzer-Agent insofern, als es auch WMI verwendet, um Anmeldeereignisse aus dem AD zu erfassen, jedoch mit stabileren Funktionen, die als Passive Identity bezeichnet werden. Es ist auch mit FMC über pxGrid integriert.
Überlegungen zur Migration
Lizenzanforderungen
Für das FMC sind keine zusätzlichen Lizenzen erforderlich. Die ISE benötigt eine Lizenz, wenn sie nicht bereits in der Infrastruktur bereitgestellt ist. Einzelheiten finden Sie im Dokument zum Cisco ISE-Lizenzmodell. ISE-PIC ist ein Funktionssatz, der bereits in der vollständigen ISE-Bereitstellung vorhanden ist. Daher sind keine zusätzlichen Lizenzen erforderlich, wenn bereits eine ISE-Bereitstellung vorhanden ist. Einzelheiten zu einer neuen oder separaten Bereitstellung von ISE-PIC finden Sie im Dokument Cisco ISE-PIC Licensing.
SSL-Zertifikat
Während User Agent keine Publick Key Infrastructure (PKI) für die Kommunikation mit FMC und AD benötigt, erfordert die ISE- oder ISE-PIC-Integration SSL-Zertifikate, die von ISE und FMC nur zu Authentifizierungszwecken gemeinsam genutzt werden. Die Integration unterstützt von der Zertifizierungsstelle signierte und selbstsignierte Zertifikate, sofern den Zertifikaten sowohl die Serverauthentifizierung als auch die Clientauthentifizierungs-Erweiterungsschlüsselverwendung (EKU) hinzugefügt werden.
Abdeckung der Identitätsquelle
Der Benutzer-Agent deckt nur Windows-Anmeldeereignisse von Windows-Desktops ab, und es wird eine abfragebasierte Abmeldeerkennung ausgeführt. ISE-PIC unterstützt die Windows Desktop-Anmeldung sowie zusätzliche Identitätsquellen wie AD Agent, Kerberos SPAN, Syslog Parser und Terminal Services Agent (TSA). Vollständige ISE deckt alle ISE-PICs ab und bietet unter anderem Netzwerkauthentifizierung von Nicht-Windows-Workstations und Mobilgeräten.
|
Benutzer-Agent |
ISE-PIC |
ISE |
Active Directory-Desktopanmeldung |
Ja |
Ja |
Ja |
Netzwerkanmeldung |
Nein |
Nein |
Ja |
Endpunktsammlung |
Ja |
Ja |
Ja |
InfoBlox/IPAM |
Nein |
Ja |
Ja |
LDAP |
Nein |
Ja |
Ja |
Sichere Web-Gateways |
Nein |
Ja |
Ja |
REST-API-Quellen |
Nein |
Ja |
Ja |
Syslog-Parser |
Nein |
Ja |
Ja |
Netzwerk-Spanne |
Nein |
Ja |
Ja |
End-of-Life für Benutzer-Agenten
Die letzte Version von Firepower zur Unterstützung des Benutzer-Agenten ist 6.6. Dies zeigt eine Warnung an, dass der Benutzer-Agent vor dem Upgrade auf neuere Versionen deaktiviert werden muss. Wenn ein Upgrade auf eine Version nach 6.6 erforderlich ist, muss die Migration von User Agent auf ISE oder ISE-PIC vor dem Upgrade abgeschlossen werden. Weitere Informationen finden Sie im Konfigurationshandbuch für Benutzer-Agenten.
Kompatibilität
Lesen Sie den Kompatibilitätsleitfaden für Firepower-Produkte, um sicherzustellen, dass die bei der Integration verwendeten Softwareversionen kompatibel sind. Beachten Sie, dass für zukünftige Firepower-Versionen die Unterstützung für spätere ISE-Versionen spezifische Patch-Level erfordert.
Migrationsstrategie
Die Migration von User Agent zu ISE oder ISE-PIC erfordert sorgfältige Planung, Ausführung und Tests, um einen reibungslosen Übergang der Benutzeridentitätsquelle für FMC sicherzustellen und Beeinträchtigungen des Benutzerdatenverkehrs zu vermeiden. Dieser Abschnitt enthält Best Practices und Empfehlungen für diese Aktivität.
Vorbereitung auf die Migration
Diese Schritte können durchgeführt werden, bevor die Integration von User Agent in ISE umgestellt wird:
Schritt 1: Konfigurieren Sie ISE oder ISE-PIC, um PassiveID zu aktivieren, und stellen Sie eine WMI-Verbindung mit Active Directory her. Weitere Informationen finden Sie im ISE-PIC Administrationshandbuch.
Schritt 2: Identitätsnachweis des FÜZ erstellen. Dabei kann es sich entweder um ein selbstsigniertes Zertifikat handeln, das vom FMC ausgestellt wurde, oder um eine auf dem FMC generierte Zertifikatsanforderung (Certificate Signing Request, CSR), die von einer privaten oder öffentlichen Zertifizierungsstelle (Certificate Authority, CA) signiert wird. Das selbstsignierte Zertifikat oder das Stammzertifikat der Zertifizierungsstelle muss auf der ISE installiert sein. Weitere Informationen finden Sie im ISE- und FMC-Integrationshandbuch.
Schritt 3: Installieren Sie das CA-Stammzertifikat, das das pxGrid-Zertifikat der ISE (oder das pxGrid-Zertifikat, falls selbstsigniert) auf dem FMC signiert hat. Weitere Informationen finden Sie im ISE- und FMC-Integrationshandbuch.
Umstellung
Die FMC-ISE-Integration kann nicht konfiguriert werden, ohne die Konfiguration des Benutzeragenten auf dem FMC zu deaktivieren, da sich die beiden Konfigurationen gegenseitig ausschließen. Dies kann sich möglicherweise während der Änderung auf die Benutzer auswirken. Diese Schritte sollten während des Wartungsfensters durchgeführt werden.
Schritt 1: Aktivieren und Überprüfen der FMC-ISE-Integration Weitere Informationen finden Sie im ISE- und FMC-Integrationshandbuch.
Schritt 2: Stellen Sie sicher, dass Benutzeraktivitäten an das FMC gemeldet werden, indem Sie zu der Seite auf dem FMC navigierenAnalysis > User > User Activities
.
Schritt 3: Überprüfen Sie, ob die Benutzer-IP-Zuordnung und die Benutzer-Gruppen-Zuordnung auf verwalteten Geräten vonAnalysis > Connections > Events > Table View of Connection Events
verfügbar sind.
Schritt 4: Ändern Sie die Zugriffskontrollrichtlinie, um die Aktion vorübergehend in Überwachung in Regeln zu ändern, die den Datenverkehr abhängig vom Benutzernamen oder der Benutzergruppenbedingung blockieren. Bei Regeln, die Datenverkehr auf Basis des Initiatorbenutzers oder der Initiatorgruppe zulassen, machen Sie eine doppelte Regel aus, die den Datenverkehr ohne Benutzerkriterien zulässt, und deaktivieren Sie dann die ursprüngliche Regel. Mit diesem Schritt soll sichergestellt werden, dass geschäftskritischer Datenverkehr während der Testphase nach dem Wartungsfenster nicht beeinträchtigt wird.
Schritt 5: Beobachten Sie nach dem Wartungsfenster während der normalen Geschäftszeiten die Connection Events (Verbindungsereignisse) auf dem FMC, um die Benutzer-IP-Zuordnung zu überwachen. Beachten Sie, dass die Verbindungsereignisse nur dann Benutzerinformationen anzeigen, wenn eine aktivierte Regel vorhanden ist, für die Benutzerdaten erforderlich sind. Aus diesem Grund wird im vorherigen Schritt die Aktion "Überwachen" vorgeschlagen.
Schritt 6: Sobald der gewünschte Status erreicht ist, müssen die Änderungen an den Zugriffskontrollrichtlinien zurückgesetzt und die Richtlinienbereitstellung auf die verwalteten Geräte übertragen werden.
Zugehörige Informationen