Ce document décrit comment intégrer l’appareil de sécurité Web (WSA) avec la plateforme de services d'identité (ISE). La version 1.3 de l’ISE prend en charge une nouvelle API appelée pxGrid. Ce protocole moderne et flexible prend en charge l’authentification, le chiffrement et les privilèges (groupes) qui facilitent l’intégration avec d’autres solutions de sécurité.
La version 8.7 du WSA prend en charge le protocole pxGrid et est en mesure de récupérer les données d’identité dans le contexte de l’ISE. Par conséquent, le WSA vous permet de créer des politiques reposant sur les groupes Security Group Tag (SGT) de TrustSec récupérés de l’ISE.
Cisco vous recommande de faire l’essai de la configuration du système informatique unifié Cisco (ISE) et de connaître la base sur les sujets suivants :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Les balises SGT TrustSec sont affectées par les ISE utilisés comme serveur d’authentification pour tous les types d’utilisateurs qui accèdent au réseau d’entreprise. Les utilisateurs filaires et sans fil qui s’authentifient par les portails 802.1x ou ISE sont compris. En outre, les utilisateurs VPN à distance utilisent l’ISE pour l’authentification.
Pour le WSA, il importe peu de connaître la façon dont l’utilisateur accède au réseau.
Cet exemple présente une fin de session des utilisateurs VPN à distance sur l’ASA-VPN. Ces utilisateurs ont été affectés à une balise SGT précise. Le trafic HTTP d’Internet sera intercepté par l’ASA-FW (pare-feu) et redirigé vers le WSA aux fins d’inspection. Le WSA utilise le profil d’identité qui lui permet de classer les utilisateurs en fonction de la balise SGT et de créer des politiques d’accès ou de chiffrement à cet effet.
En détail, le flux va comme suit :
Il s’agit d’une passerelle VPN configurée pour TrustSec. La configuration détaillée n’est pas traitée dans le présent document. Consultez les exemples suivants :
Le pare-feu de l’ASA est responsable de la redirection du WCCP au WSA. Cet appareil n’est pas lié à TrustSec.
interface GigabitEthernet0/0
nameif outside
security-level 100
ip address 172.16.33.110 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.32.110 255.255.255.0
access-list wccp-routers extended permit ip host 172.16.32.204 any
access-list wccp-redirect extended deny tcp any host 172.16.32.204
access-list wccp-redirect extended permit tcp any any eq www
access-list wccp-redirect extended permit tcp any any eq https
wccp 90 redirect-list wccp-redirect group-list wccp-routers
wccp interface inside 90 redirect in
L’ISE représente un point central dans le déploiement de TrustSec. Il assigne les balises SGT à tous les utilisateurs qui accèdent et s’authentifient au réseau. La marche à suivre de la configuration de base est indiquée dans la présente section.
Choisissez Policy > Results > Security Group Access > Security Groups, puis créez le SGT :
Choisissez Policy > Authorization , puis créez une règle pour l’accès VPN à distance. Toutes les connexions VPN créées par l’ASA-VPN obtiendront un accès complet (PermitAccess) et seront affectées à la baliste de SGT 2 (TI).
Afin d’ajouter l’ASA-VPN au domaine TrustSec, il faut nécessairement créer le fichier PAC (Proxy Auto-Configuration) manuellement. Ce fichier sera importé sur l’ASA.
Il peut être configuré à partir de : Administration > Network Devices. Après l’ajout de l’ASA, déroulez la page jusqu’aux paramètres TrustSec, puis créez le fichier PAC. Les détails à cet effet sont décrits dans un document distinct (référencé).
Sélectionnez Administration > Deployment pour activer le rôle de pxGrid.
Le protocole de pxGrid utilise l’authentification par certificat pour le client et le serveur. Il est très important de configurer les bons certificats pour l’ISE et le WSA. Les deux certificats devraient comprendre le FQDN en objet et les extensions x509 pour l’authentification du client et du serveur. Assurez-vous également que le bon enregistrement DNS A est créé pour l’ISE et le WSA, et qu’il correspond au FQDN pertinent.
Si les deux certificats sont signés par une autorité de certification (CA) différente, il importe d’introduire les CA dans le commerce de confiance.
Pour configurer des certificats, sélectionnez Administration > Certificates.
L’ISE peut produire une demande de signature de certificat (CSR) pour chaque rôle. Pour le rôle de pxGrid, exportez la RSE et faites-la signer par une autorité de certification externe.
Dans l’exemple actuel, la CA de Microsoft a été utilisée :
Le résultat final pourrait ressembler à ceci :
N’oubliez pas de créer les enregistrements DNS A pour les sites ise14.example.com et pxgrid.example.com qui dirigent vers 172.16.31.202.
Par défaut, l’ISE n’inscrira pas automatiquement les abonnées de pxGrid. L’approbation doit donc se faire manuellement par l’administrateur. Ce paramètre devrait être modifié aux fins d’intégration du WSA.
Choisissez Administration > pxGrid Services, puis Activer l’auto-enregistrement.
Ici, le WSA est configuré seulement avec l’interface de gestion, le mode transparent et la redirection à partir de l’ASA :
Le WSA doit approuver l’autorité de certification pour la signature des certificats. Sélectionnez Network > Certificate Management pour ajouter un certificat destiné à la CA :
Il faut également créer un certificat que le WSA utilisera pour s’authentifier auprès de pxGrid. Choisissez Network > Identity Services Engine > WSA Client certificate pour créer le CSR, faites-le signer par le bon modèle de CA (ISE-pxgrid) et importez-le de nouveau.
De plus, pour « ISE Admin Certificate » et « ISE pxGrid Certificate », importez le certificat de la CA (pour approuver le certificat de pxGrid présenté par l’ISE) :
Choisissez Network > Identity Services Engine pour tester la connexion à l’ISE :
Choisissez Web Security Manager > Identification Profiles pour ajouter un nouveau profil d’ISE. Pour « Identification et authentification », utilisez « Identifier les utilisateurs en toute transparence avec l’ISE ».
Choisissez Web Security Manager > Access Policies pour ajouter une politique. Les membres utilisent le profil ISE :
Pour certains groupes et utilisateurs, la balise de SGT 2 sera ajoutée (TI) :
La police refuse l’accès aux sites de sport pour les utilisateurs qui appartiennent au SGT TI :
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
L’utilisateur VPN amorce une session VPN vers l’ASA-VPN :
L’ASA-VPN utilise l’ISE pour l’authentification. L’ISE crée une session et affecte la balise de SGT 2 (TI) :
Après une authentification réussie, l’ASA-VPN crée une session VPN avec la balise de SGT 2 (retourné en RADIUS Access-Accept dans cisco-av-pair) :
asa-vpn# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 2
Assigned IP : 172.16.32.50 Public IP : 192.168.10.67
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 12979961 Bytes Rx : 1866781
Group Policy : POLICY Tunnel Group : SSLVPN
Login Time : 21:13:26 UTC Tue May 5 2015
Duration : 6h:08m:03s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac1020640000200055493276
Security Grp : 2:IT
Étant donné que le lien entre l’ASA-VPN et l’ASA-FW n’est pas pris en charge par TrustSec, l’ASA-VPN envoie des trames sans balise pour le trafic (il ne serait pas en mesure d’utiliser l’encapsulation de routage générique [GRE] pour les trames Ethernet avec le champ injecté CMD/TrustSec ).
À ce stade, le WSA devrait recevoir le mappage entre l’adresse IP, le nom d’utilisateur et le SGT (par le protocole de pxGrid) :
L’utilisateur VPN amorce la connexion à sport.pl, qui est intercepté par l’ASA-FW :
asa-fw# show wccp
Global WCCP information:
Router information:
Router Identifier: 172.16.33.110
Protocol Version: 2.0
Service Identifier: 90
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 562
Redirect access-list: wccp-redirect
Total Connections Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: wccp-routers
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total Bypassed Packets Received: 0
asa-fw# show access-list wccp-redirect
access-list wccp-redirect; 3 elements; name hash: 0x9bab8633
access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)
0xfd875b28
access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)
0x028ab2b9
access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)
0xe202a11e
et envoyé dans un tunnel dans la GRE du WSA (remarquez que l’identifiant du routeur de WCCP est la plus haute adresse IP configurée) :
asa-fw# show capture
capture CAP type raw-data interface inside [Capturing - 70065 bytes]
match gre any any
asa-fw# show capture CAP
525 packets captured
1: 03:21:45.035657 172.16.33.110 > 172.16.32.204: ip-proto-47, length 60
2: 03:21:45.038709 172.16.33.110 > 172.16.32.204: ip-proto-47, length 48
3: 03:21:45.039960 172.16.33.110 > 172.16.32.204: ip-proto-47, length 640
Le WSA poursuit la connexion TCP et traite la requête GET. Par conséquent, la politique PolicyForIT est touchée, et le trafic est bloqué :
Le rapport du WSA le confirme :
Notez que l’ISE affiche le nom d’utilisateur.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Lorsque le WSA n’est pas correctement initialisé (certificats), le test de connexion de l’ISE échoue :
L’ISE de pxgrid-cm.log rapporte ce qui suit :
[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]
[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1
La raison de l’échec peut être vue grâce à Wireshark :
Pour une session SSL utilisée pour protéger l’échange du protocole de messagerie instantanée et de présence (XMPP) (utilisé par le pxGrid), le client signale que l’échec SSL est causé par une chaîne de certificats inconnue présentée par le serveur.
Pour le scénario correct, l’ISE pxgrid-controller.log indique :
2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher
-:::::- Handling authentication for user name wsa.example.com-test_client
Le GUI de l’ISE présente également le WSA comme un abonné ayant les bonnes capacités :
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
30-Jul-2015 |
Première publication |