Inleiding
Dit document beschrijft hoe u van User Agent naar Identity Services Engine (ISE) kunt migreren voor Firepower User Agent.
Achtergrondinformatie
In de toekomst is de Firepower User Agent niet meer beschikbaar. Het wordt vervangen door de ISE of Identity Services Engine - Passive ID Connector (ISE-PIC). Als u momenteel User Agent gebruikt en overweegt om naar ISE te migreren, biedt dit document overwegingen en strategieën voor uw migratie.
Gebruikersidentiteit - Overzicht
Er zijn momenteel twee methoden om informatie over gebruikersidentiteit uit bestaande identiteitsinfrastructuur te halen: gebruikersagent en ISE-integratie.
Gebruikersagent
User Agent is een toepassing die op een Windows-platform is geïnstalleerd. Het maakt gebruik van het Windows Management Instrumentation (WMI)-protocol om toegang te krijgen tot de logon-gebeurtenissen van de gebruiker (gebeurtenistype 4624) en slaat de gegevens vervolgens op in een lokale database. Er zijn twee manieren waarop User Agent de logon-gebeurtenissen ophalen: bijgewerkt in real-time als de gebruiker inlogt (alleen Windows Server 2008 en 2012) of de gegevens voor elk configureerbaar interval. Op dezelfde manier stuurt de User Agent in real-time gegevens die van Active Directory (AD) zijn ontvangen naar het Firepower Management Center (FMC) en stuurt hij regelmatig partijen logongegevens naar het FMC.
De soorten logins die door de Gebruikersagent kunnen worden gedetecteerd, zijn onder meer de aanmelding bij een host direct of via Remote Desktop, de aanmelding voor het delen van bestanden en de aanmelding bij een computeraccount. Andere soorten logins zoals Citrix, netwerk logons, en Kerberos logins worden niet ondersteund door User Agent.
User Agent heeft een optionele functie om te detecteren of de toegewezen gebruiker zich heeft afgemeld. Als de afmeldingscontrole is ingeschakeld, controleert deze periodiek of hetexplorer.exeproces op elk toegewezen eindpunt wordt uitgevoerd. Als het proces niet actief kan worden gedetecteerd, wordt de toewijzing voor deze gebruiker na 72 uur verwijderd.
Identity Services Engine
ISE is een robuuste AAA-server die de netwerkinlogsessies van de gebruiker beheert. Aangezien ISE direct communiceert met netwerkapparaten zoals switches en draadloze controllers, heeft het toegang tot actuele gegevens over de activiteiten van de gebruiker, waardoor het een betere identiteitsbron is dan de User Agent. Wanneer een gebruiker zich aanmeldt bij een eindpunt, maakt hij meestal automatisch verbinding met het netwerk. Als de dot1x-verificatie voor het netwerk is ingeschakeld, maakt ISE voor deze gebruikers een verificatiesessie en houdt deze actief totdat de gebruiker het netwerk uitschakelt. Indien ISE geïntegreerd is met FMC, stuurt het de user-IP mapping (samen met andere door ISE verzamelde gegevens) naar FMC.
ISE kan worden geïntegreerd met FMC via pxGrid. pxGrid is een protocol ontworpen om de distributie van sessieinformatie tussen ISE-servers en met andere producten te centraliseren. In deze integratie treedt ISE op als pxGrid-controller en maakt FMC een abonnement op de controller om sessiegegevens te ontvangen (FMC publiceert geen gegevens aan ISE, behalve tijdens herstel, wat later wordt besproken) en geeft de gegevens door aan de sensoren om gebruikersbewustzijn te bereiken.
Identity Services Engine - Passive Identity Connector (ISE-PIC)
Identity Services Engine - Passive Identity Connector (ISE-PIC) is in wezen een geval van ISE met een beperkte licentie. ISE-PIC voert geen authenticatie uit, maar fungeert in plaats daarvan als een centraal knooppunt voor verschillende identiteitsbronnen in het netwerk, waarbij de identiteitsgegevens worden verzameld en aan abonnees worden geleverd. ISE-PIC is vergelijkbaar met User Agent in de manier waarop het ook WMI gebruikt om inloggebeurtenissen te verzamelen uit de AD, maar met meer robuuste functies die bekend staan als Passive Identity. Het is ook geïntegreerd met FMC via pxGrid.
Overwegingen bij migratie
Licentie-eisen
Het VCC heeft geen aanvullende vergunningen nodig. ISE vereist een licentie als het nog niet in de infrastructuur is geïmplementeerd. Raadpleeg het Cisco ISE-licentiemodeldocument voor meer informatie. ISE-PIC is een functieset die reeds bestaat in volledige ISE-uitrol. Daarom zijn er geen extra licenties nodig als er een bestaande ISE-uitrol is. Raadpleeg voor een nieuwe of afzonderlijke implementatie van ISE-PIC het Cisco ISE-PIC-licentiestuk voor meer informatie.
SSL-certificaat
Terwijl User Agent geen Public Key Infrastructure (PKI) nodig heeft voor communicatie met FMC en AD, vereist ISE of ISE-PIC integratie SSL-certificaten die alleen voor authenticatiedoeleinden tussen ISE en FMC worden gedeeld. De integratie ondersteunt certificaten die zijn ondertekend door een certificeringsinstantie en zelfondertekende certificaten, op voorwaarde dat zowel de serververificatie als het gebruik van de clientverificatie-uitbreidingssleutel (EKU) aan de certificaten worden toegevoegd.
Dekking van identiteitsbron
User Agent dekt alleen Windows-aanmeldingsgebeurtenissen van Windows Desktops, met opiniepeiling-gebaseerde logout-detectie. ISE-PIC dekt Windows Desktop login plus extra identiteitsbronnen zoals AD Agent, Kerberos SPAN, Syslog Parser en Terminal Services Agent (TSA). Full ISE heeft de dekking van alle ISE-PIC's plus netwerkverificatie van niet-Windows werkstations en mobiele apparaten onder andere functies.
|
Gebruikersagent |
ISE-PIC |
ISE |
| Active Directory-desktopaanmelding |
Ja |
Ja |
Ja |
| Netwerkaanmelding |
Nee |
Nee |
Ja |
| Endpoint-sonde |
Ja |
Ja |
Ja |
| InfoBlox/IPAM’s |
Nee |
Ja |
Ja |
| LDAP |
Nee |
Ja |
Ja |
| Secure-webgateways |
Nee |
Ja |
Ja |
| REST API-bronnen |
Nee |
Ja |
Ja |
| Syslog-parser |
Nee |
Ja |
Ja |
| Netwerkbereik |
Nee |
Ja |
Ja |
End-of-life van gebruikersagent
De laatste versie van Firepower die User Agent ondersteunt, is 6.6. Dit geeft een waarschuwing dat User Agent moet worden uitgeschakeld voordat een upgrade naar latere releases wordt uitgevoerd. Als een upgrade van een versie na 6.6 nodig is, moet de migratie van User Agent naar ISE of ISE-PIC vóór de upgrade worden voltooid. Raadpleeg de configuratiehandleiding van de User Agent voor meer informatie.
Compatibiliteit
Bekijk de compatibiliteitsgids voor Firepower producten om er zeker van te zijn dat de softwareversies die bij de integratie betrokken zijn compatibel zijn. Merk op dat voor toekomstige FirePOWER releases, ondersteuning voor latere ISE-versies specifieke patchniveaus vereist.
Migratiestrategie
Migratie van User Agent naar ISE of ISE-PIC vereist zorgvuldige planning, uitvoering en tests om een soepele overgang van de gebruikersidentiteitsbron voor FMC te waarborgen en eventuele gevolgen voor gebruikersverkeer te voorkomen. In deze sectie worden de beste praktijken en aanbevelingen voor deze activiteit gegeven.
Voorbereiden op migratie
Deze stappen kunnen worden uitgevoerd voordat u overschakelt van User Agent naar ISE-integratie:
Stap 1. Configureer ISE of ISE-PIC om PassiveID in te schakelen en maak WMI-verbinding met Active Directory. Raadpleeg de ISE-PIC-beheershandleiding.
Stap 2. stelt het identificatiecertificaat van het VCC op. Het kan een door het VCC zelf ondertekend certificaat zijn, of een door het VCC opgesteld verzoek tot ondertekening van het certificaat (CSR), dat door een particuliere of openbare certificeringsinstantie (CA) moet worden ondertekend. Het zelfondertekende certificaat of het basiscertificaat van de CA moet op ISE worden geïnstalleerd. Raadpleeg de integratiegids van de ISE en het VCC voor meer informatie.
Stap 3. Installeer het CA-basiscertificaat dat het pxGrid-certificaat van de ISE (of het pxGrid-certificaat indien zelfondertekend) heeft ondertekend op FMC. Raadpleeg de integratiegids van de ISE en het VCC voor meer informatie.
Omschakelingsproces
De integratie van FMC-ISE kan niet worden geconfigureerd zonder de configuratie van User Agent op FMC uit te schakelen, aangezien de twee configuraties elkaar uitsluiten. Dit kan mogelijk invloed hebben op de gebruikers tijdens de wijziging. Deze stappen worden aanbevolen om tijdens het onderhoudsvenster te worden uitgevoerd.
Stap 1. Integratie van FMC-ISE inschakelen en verifiëren. Raadpleeg de integratiegids van ISE en FMC voor meer informatie.
Stap 2. Ervoor zorgen dat de gebruikersactiviteiten aan het VCC worden gemeld door naar de pagina op het VCC te navigerenAnalysis > User > User Activities.
Stap 3. Controleer of user-IP mapping en user-group mapping beschikbaar zijn op beheerde apparaten vanAnalysis > Connections > Events > Table View of Connection Events.
Stap 4. Wijs het Toegangsbeheerbeleid aan om de actie tijdelijk te wijzigen om te monitoren naar regels die verkeer blokkeren afhankelijk van de gebruikersnaam of gebruikersgroepvoorwaarde. Voor regels die verkeer toestaan op initiatorgebruiker of groep wordt gebaseerd, maak een dubbele regel die het verkeer zonder gebruikerscriteria toestaat, en maak dan de originele regel onbruikbaar. Het doel van deze stap is ervoor te zorgen dat bedrijfskritisch verkeer niet wordt beïnvloed tijdens de testfase na het onderhoudsvenster.
Stap 5. Neem na het onderhoudsvenster, tijdens normale kantooruren, de Connection Events op FMC waar om de user-IP-mapping te controleren. Merk op dat de verbindingsgebeurtenissen gebruikersinformatie tonen slechts als er een toegelaten regel is die gebruikersgegevens vereist. Daarom wordt in de eerste stap voorgesteld een monitoractie uit te voeren.
Stap 6. Als de gewenste status is bereikt, draai de wijzigingen die zijn aangebracht in het toegangscontrolebeleid gewoon om en duw de beleidsimplementatie naar de beheerde apparaten.
Gerelateerde informatie
Feedback