本文檔介紹如何使用Cisco FireSight裝置上的補救模組檢測攻擊,並使用Cisco身份服務引擎(ISE)作為策略伺服器自動補救攻擊者。本文檔中提供的示例描述了用於補救通過ISE進行身份驗證的遠端VPN使用者的方法,但它也可以用於802.1x/MAB/WebAuth有線或無線使用者。
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
使用本節提供的資訊來配置系統。
本文所述的範例使用以下網路設定:
以下是此網路設定的流程:
如前所述,只要使用ISE進行身份驗證,且網路接入裝置支援RADIUS CoA(所有現代Cisco裝置),此方案適用於任何型別的已驗證會話(VPN、有線802.1x/MAB/Webauth、無線802.1x/MAB/Webauth)。
虛擬機器有三個介面,一個用於管理,兩個用於內聯檢查(內部/外部)。
來自VPN使用者的所有流量通過FirePower移動。
安裝正確的許可證並新增FirePower裝置後,導航到Policies > Access Control,然後建立用於將HTTP流量丟棄到172.16.32.1的訪問策略:
接受所有其他流量。
在社群門戶上共用的ISE模組的當前版本為ISE 1.2 Remediation Beta 1.3.19:
導航到Policies > Actions > Remediations > Modules並安裝檔案:
然後應建立正確的例項。導航到Policies > Actions > Remediations > Instances,並提供策略管理節點(PAN)的IP地址以及REST API所需的ISE管理憑據(建議使用具有ERS Admin角色的獨立使用者):
源IP地址(攻擊者)也應用於補救:
現在必須配置特定的關聯規則。此規則在連線開始時觸發,該連線與之前配置的訪問控制規則(DropTCP80)相匹配。 要配置規則,請導航到Policies > Correlation > Rule Management:
此規則用於關聯策略。導航到Policies > Correlation > Policy Management以建立新策略,然後新增配置的規則。按一下右側的Remediate並新增兩個操作:針對源IP(之前配置)和系統日誌的補救:
確保啟用關聯策略:
充當VPN網關的ASA配置為使用ISE進行身份驗證。還必須啟用記帳和RADIUS CoA:
tunnel-group SSLVPN-FIRESIGHT general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key *****
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
導覽至Administration > Network Devices,然後新增充當RADIUS客戶端的ASA。
導航到Administration > System > Settings > Adaptive Network Control以啟用隔離API和功能:
要建立用於隔離主機的可下載訪問控制清單(DACL),請導航至Policy > Results > Authorization > Downloadable ACL。
導覽至Policy > Results > Authorization > Authorization Profile,然後使用新的DACL建立授權配置檔案:
您必須建立兩個授權規則。第一條 規則(ASA-VPN)為在ASA上終止的所有VPN會話提供完全訪問許可權。當主機已處於隔離狀態(提供有限的網路訪問)時,為重新身份驗證的VPN會話點選規則ASA-VPN_quarantine。
要建立這些規則,請導航到Policy > Authorization:
使用本節提供的資訊以驗證您的組態是否正常運作。
ASA建立無任何DACL(完全網路訪問)的會話:
asav# show vpn-sessiondb details anyconnect
Session Type: AnyConnect
Username : cisco Index : 37
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 18706 Bytes Rx : 14619
Group Policy : POLICY Tunnel Group : SSLVPN-FIRESIGHT
Login Time : 03:03:17 UTC Wed May 20 2015
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac10206400025000555bf975
Security Grp : none
......
DTLS-Tunnel:
<some output omitted for clarity>
使用者嘗試訪問http://172.16.32.1後,訪問策略被命中,對應的流量被內聯阻止,系統日誌消息從FirePower管理IP地址傳送:
May 24 09:38:05 172.16.31.205 SFIMS: [Primary Detection Engine
(cbe45720-f0bf-11e4-a9f6-bc538df1390b)][AccessPolicy] Connection Type: Start, User:
Unknown, Client: Unknown, Application Protocol: Unknown, Web App: Unknown,
Access Control Rule Name: DropTCP80, Access Control Rule Action: Block,
Access Control Rule Reasons: Unknown, URL Category: Unknown, URL Reputation:
Risk unknown, URL: Unknown, Interface Ingress: eth1, Interface Egress: eth2,
Security Zone Ingress: Internal, Security Zone Egress: External, Security
Intelligence Matching IP: None, Security Intelligence Category: None, Client Version:
(null), Number of File Events: 0, Number of IPS Events: 0, TCP Flags: 0x0,
NetBIOS Domain: (null), Initiator Packets: 1, Responder Packets: 0, Initiator Bytes:
66, Responder Bytes: 0, Context: Unknown, SSL Rule Name: N/A, SSL Flow Status: N/A,
SSL Cipher Suite: N/A, SSL Certificate: 0000000000000000000000000000000000000000,
SSL Subject CN: N/A, SSL Subject Country: N/A, SSL Subject OU: N/A, SSL Subject Org:
N/A, SSL Issuer CN: N/A, SSL Issuer Country: N/A, SSL Issuer OU: N/A, SSL Issuer Org:
N/A, SSL Valid Start Date: N/A, SSL Valid End Date: N/A, SSL Version: N/A, SSL Server
Certificate Status: N/A, SSL Actual Action: N/A, SSL Expected Action: N/A, SSL Server
Name: (null), SSL URL Category: N/A, SSL Session ID:
0000000000000000000000000000000000000000000000000000000000000000, SSL Ticket Id:
0000000000000000000000000000000000000000, {TCP} 172.16.50.50:49415 -> 172.16.32.1:80
FireSight管理(防禦中心)關聯策略被命中,該策略由防禦中心傳送的系統日誌消息報告:
May 24 09:37:10 172.16.31.206 SFIMS: Correlation Event:
CorrelateTCP80Block/CorrelationPolicy at Sun May 24 09:37:10 2015 UTCConnection Type:
FireSIGHT 172.16.50.50:49415 (unknown) -> 172.16.32.1:80 (unknown) (tcp)
在這個階段,防禦中心使用對ISE的REST API(隔離)呼叫,ISE是一個HTTPS會話,可以在Wireshark中解密(使用安全套接字層(SSL)外掛和PAN管理證書的私鑰):
在GET請求中,攻擊者的IP地址被通過(172.16.50.50),該主機由ISE隔離。
導覽至Analysis > Correlation > Status,以確認成功的修正:
在此階段,ISE prrt-management.log通知應傳送CoA:
DEBUG [RMI TCP Connection(142)-127.0.0.1][] cisco.cpm.prrt.impl.PrRTLoggerImpl
-::::- send() - request instanceof DisconnectRequest
clientInstanceIP = 172.16.31.202
clientInterfaceIP = 172.16.50.50
portOption = 0
serverIP = 172.16.31.100
port = 1700
timeout = 5
retries = 3
attributes = cisco-av-pair=audit-session-id=ac10206400021000555b9d36
Calling-Station-ID=192.168.10.21
Acct-Terminate-Cause=Admin Reset
運行時(prrt-server.log)將CoA terminate消息傳送到NAD,NAD將終止會話(ASA):
DEBUG,0x7fad17847700,cntx=0000010786,CPMSessionID=2e8cdb62-bc0a-4d3d-a63e-f42ef8774893,
CallingStationID=08:00:27:DA:EF:AD, RADIUS PACKET: Code=40 (
DisconnectRequest) Identifier=9 Length=124
[4] NAS-IP-Address - value: [172.16.31.100]
[31] Calling-Station-ID - value: [08:00:27:DA:EF:AD]
[49] Acct-Terminate-Cause - value: [Admin Reset]
[55] Event-Timestamp - value: [1432457729]
[80] Message-Authenticator - value:
[00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00]
[26] cisco-av-pair - value: [audit-session-id=ac10206400021000555b9d36],
RadiusClientHandler.cpp:47
ise.psc會傳送類似以下內容的通知:
INFO [admin-http-pool51][] cisco.cpm.eps.prrt.PrrtManager -:::::- PrrtManager
disconnect session=Session CallingStationID=192.168.10.21 FramedIPAddress=172.16.50.50
AuditSessionID=ac10206400021000555b9d36 UserName=cisco PDPIPAddress=172.16.31.202
NASIPAddress=172.16.31.100 NASPortID=null option=PortDefault
導航到Operations > Authentication時,它應顯示Dynamic Authorization succeeded。
終端使用者傳送通知以指示會話已斷開(對於802.1x/MAB/訪客有線/無線,此過程是透明的):
Cisco AnyConnect日誌中的詳細資訊顯示:
10:48:05 AM Establishing VPN...
10:48:05 AM Connected to 172.16.31.100.
10:48:20 AM Disconnect in progress, please wait...
10:51:20 AM The secure gateway has terminated the VPN connection.
The following message was received from the secure gateway: COA initiated
由於always-on VPN已配置,因此會立即構建新會話。這一次,ISE ASA-VPN_quarantine規則被命中,該規則提供有限的網路訪問:
在ASA上,可以使用show vpn-sessiondb detail anyconnect CLI命令驗證具有受限訪問許可權的會話:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 39
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11436 Bytes Rx : 4084
Pkts Tx : 8 Pkts Rx : 36
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : POLICY Tunnel Group : SSLVPN-FIRESIGHT
Login Time : 03:43:36 UTC Wed May 20 2015
Duration : 0h:00m:10s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac10206400027000555c02e8
Security Grp : none
......
DTLS-Tunnel:
<some output ommited for clarity>
Filter Name : #ACSACL#-IP-DENY_ALL_QUARANTINE-5561da76
本節提供的資訊可用於對組態進行疑難排解。
ISE補救指令碼位於以下位置:
root@Defence:/var/sf/remediations/ISE_1.3.19# ls
_lib_ ise-instance ise-test.pl ise.pl module.template
這是一個使用標準SourceFire(SF)日誌記錄子系統的簡單perl指令碼。執行補救後,可以通過/var/log/messages確認結果:
May 24 19:30:13 Defence SF-IMS[2414]: ise.pl:SourceIP-Remediation [INFO] [2414]
quar_ip:172.16.50.50 (1->3 sid:1) Starting remediation
May 24 19:30:13 Defence SF-IMS[2414]: ise.pl:SourceIP-Remediation [INFO] [2414]
quar_ip:172.16.50.50 (1->3 sid:1) 172.16.31.202 - Success 200 OK - Quarantined
172.16.50.50 as admin
在ISE上啟用自適應網路控制服務非常重要。要檢視運行時進程(prrt-management.log和prrt-server.log)中的詳細日誌,必須為運行時AAA啟用DEBUG級別。導覽至Administration > System > Logging > Debug Log Configuration以啟用調試。
您還可以導航到操作>報告>端點和使用者>自適應網路控制稽核,以檢視隔離請求每次嘗試和結果的資訊:
請參閱Cisco錯誤ID CSCuu41058(ISE 1.4終端隔離不一致和VPN故障)以瞭解與VPN會話故障(802.1x/MAB工作正常)相關的ISE錯誤資訊。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
17-Nov-2015 |
初始版本 |