Tweet
Configuring pxGrid Participants (Cấu hình người tham gia pxGrid)
Có nhiều người đăng ký và nhà xuất bản khác nhau có thể tham gia vào hệ sinh thái với pxGrid. Mỗi người sẽ sử dụng thông tin theo cách riêng của mình và UI tích hợp được ràng buộc là duy nhất cho mỗi sản phẩm, nhưng các yêu cầu cơ bản và các bước cấu hình sẽ luôn giữ nguyên:
Step 1. Tin tưởng cơ quan cấp chứng chỉ ISE.
Step 2. Cài đặt chứng chỉ pxGrid cho danh tính của chính nó.
Step 3. Định cấu hình IP hoặc FQDN của bộ điều khiển pxGrid.
Đối với hầu hết các phần, đó là tất cả những gì bạn thực sự cần phải làm trên mỗi người tham gia. Một số sẽ làm cho mọi thứ dễ dàng hơn những người khác. Hãy cùng xem qua việc định cấu hình một số người tham gia pxGrid chính: Trung tâm quản lý hỏa lực của Cisco, Cisco Stealthwatch và Thiết bị bảo mật web của Cisco.
Configuring Firepower Management Center for Identity with pxGrid(Định cấu hình Trung tâm quản lý để nhận dạng với pxGrid)
Trung tâm quản lý hỏa lực của Cisco (FMC) là công cụ quản lý thiết bị và giám sát bảo mật cấp doanh nghiệp cho dòng NGFW và NGIPS của Cisco, được mô tả chi tiết trong Chương 5, Tường lửa thế hệ tiếp theo, Công nghệ bảo mật tích hợp và Giải pháp -Volume I, cũng bao gồm Manger Thiết bị hỏa lực (FDM) được sử dụng để quản lý thiết bị cá nhân.
FMC đã tích hợp pxGrid với ISE trong một thời gian, nhưng phiên bản 6.2 đã thêm một tích hợp thậm chí tốt hơn, với khả năng sử dụng dữ liệu TrustSec độc lập với danh tính người dùng. FMC có thể sử dụng thông tin ngữ cảnh được cung cấp bởi pxGrid, chẳng hạn như hồ sơ điểm cuối, thẻ TrustSec và cả danh tính người dùng thụ động và chủ động.
Giống như FMC, giải pháp FDM cũng có khả năng tích hợp với ISE bằng pxGrid, nhưng phần này chỉ tập trung vào tích hợp FMC.
Trung tâm quản lý hỏa lực tận dụng pxGrid để tìm hiểu bối cảnh của ai và những gì trên mạng và ánh xạ của các thiết bị đó đến địa chỉ IP. Tuy nhiên, FMC tận dụng các lĩnh vực theo LDAP để tìm hiểu về những gì người dùng và nhóm tồn tại trong Giám đốc hoạt động để tạo chính sách truy cập.
Chúng tôi sẽ bắt đầu bằng cách định cấu hình tích hợp pxGrid, và sau đó theo dõi cấu hình cảnh giới.
Configuring Firepower Management Center for pxGrid(Cấu hình Trung tâm quản lý cho pxGrid)
Trước khi định cấu hình pxGrid trên FMC, hãy tạo chứng chỉ pxGrid cho FMC để sử dụng. Bắt đầu với ISE 2.2, quản trị viên có thể tải xuống chứng chỉ CA, và tạo chứng chỉ trực tiếp từ giao diện người dùng Dịch vụ pxGrid.
Để tạo chứng chỉ pxGrid cho FMC:
Step 1. Navigate to Administration > pxGrid Services > Certificates, as shown in Figure 6-13.
Xem xét Hình 6-13, từ màn hình này, bạn có thể tạo một chứng chỉ, ký yêu cầu ký chứng chỉ (CSR), tạo chứng chỉ hàng loạt từ tệp CSV hoặc tải xuống chuỗi ủy quyền chứng chỉ để nhập vào kho ủy thác của người tham gia pxGrid. Đối với FMC, chúng ta cần tạo cặp khóa chứng chỉ.
Step 2. Select Generate a single certificate (without a certificate signing request).
Step 3. Trong trường Tên chung (CN), nhập tên chung cho chủ đề chứng chỉ của bạn.
CN thường là FQDN của máy chủ (ví dụ: atw-fmc.securitydemo.net). Tuy nhiên, một thực tế phổ biến là thêm tiền tố vào CN của bạn, chẳng hạn như pxGrid-, điều này sẽ giúp bạn tránh các lỗi cài đặt đôi khi có thể xảy ra khi bạn cố gắng cài đặt nhiều hơn một chứng chỉ có cùng FQDN.
Step 4. Trong hộp xoay Tên thay thế chủ đề (SAN), thêm SAN, nếu cần.
Nếu bạn sử dụng bất cứ thứ gì khác ngoài FQDN thực sự cho thiết bị, thì bạn cần nhập SAN vào trường này. Theo RFC 6125, bất cứ khi nào bạn sử dụng SAN, nó cũng phải chứa CN. Thêm một mục nhập cho FQDN của máy chủ lưu trữ. Thêm SAN cho địa chỉ IP là hữu ích, chỉ trong trường hợp một trong những đồng nghiệp pxGrid được gửi đến máy chủ thông qua địa chỉ IP thay vì FQDN.
Step 5. Trong hộp xoay Định dạng Tải xuống Chứng chỉ, chọn Chứng chỉ ở định dạng Thư điện tử nâng cao bảo mật (PEM), nhập theo định dạng PKCS8 PEM.
Tất cả các tùy chọn sẽ bao gồm các chứng chỉ CA nội bộ, cho toàn bộ phân cấp PKI. Có cũng là một tùy chọn để tải xuống dưới dạng tệp chuỗi PKCS12, trong đó chứng chỉ chung + khóa riêng + chuỗi ký kết đều nằm trong một tệp duy nhất. Đối với FMC, định dạng tải xuống cần phải là các tệp PEM riêng biệt, không phải là chuỗi PKCS12.
Step 6. Trong trường Mật khẩu chứng chỉ, thêm mật khẩu cho khóa riêng (và sau đó xác nhận nó).
ISE sẽ không bao giờ cấp khóa riêng nếu không có mật khẩu để mã hóa khóa.
Step 7. Nhấp vào Tạo và tải xuống tệp ZIP kết quả.
Hình 6-14 hiển thị biểu mẫu chứng chỉ đã hoàn thành và Hình 6-15 hiển thị nội dung của tệp ZIP.
Xem xét Hình 6-15, tệp ZIP chứa chứng chỉ đã ký, khóa riêng được mã hóa và tất cả các chứng chỉ ký trong phân cấp PKI cho chứng chỉ được cấp. Ngoài ra, các chứng chỉ ký trong phân cấp PKI cho chứng chỉ quản trị viên cũng được đưa vào để có biện pháp tốt. Bắt đầu với ISE 2.2, chúng không nên được yêu cầu, nhưng dù sao cũng được bao gồm trong tệp ZIP.
Bây giờ bạn có tất cả các chứng chỉ cần thiết và khóa riêng cho FMC. Để định cấu hình pxGrid trên FMC:
Step 1. Navigate to System > Integration > Identity Sources, as shown in Figure 6-16.
Step 2. Click the Identity Services Engine button.
Step 3. Trong trường Tên máy chủ / Địa chỉ IP chính, nhập địa chỉ FQDN hoặc IP của bộ điều khiển pxGrid chính.
Step 4. Nếu có bộ điều khiển phụ, hãy thêm địa chỉ FQDN hoặc IP của nó vào trường Tên máy chủ / Địa chỉ IP phụ.
Step 5. Nhấp vào nút + màu xanh lá cây ở bên phải của trường CA pxGrid Server để thêm chứng chỉ CA gốc ISE.
Điều này thêm chứng chỉ CA gốc vào danh sách các CA đáng tin cậy trong FMC. Trong trường Tên, đặt tên cho chứng chỉ có ý nghĩa với bạn, tương tự như những gì bạn thấy trong Hình 6-17.
Step 6. Bấm Browse và chọn chứng chỉ CA gốc từ tệp ZIP mở rộng mà bạn đã tải xuống trước đó, như trong Hình 6-17.
Step 7. Chọn Save.
Step 8. Đảm bảo rằng chứng chỉ CA gốc mới được nhập được liệt kê trong cả trường CA pxGrid Server CA và MNT Server CA, như trong Hình 6-19.
Step 9. Thêm chứng chỉ đã ký và khóa riêng cho FMC bằng cách nhấp vào nút + màu xanh lá cây ở bên phải trường Chứng chỉ máy chủ FMC.
Điều này bổ sung cho FMC chứng chỉ được mã hóa PEM được ký bởi CA điểm cuối ISE và khóa riêng được mã hóa. Trong trường Tên, cung cấp cho chứng chỉ nội bộ một tên có ý nghĩa với bạn, tương tự như những gì bạn thấy trong Hình 6-18.
Step 10. Nhấp vào Duyệt tìm dữ liệu chứng chỉ và chọn chứng chỉ PEM từ tệp ZIP mở rộng mà bạn đã tải xuống trước đó, như trong Hình 6-18.
Step 11. Bấm Duyệt tìm Khóa và chọn tệp khóa PKCS8 từ tệp ZIP mở rộng mà bạn đã tải xuống trước đó, như trong Hình 6-18.
Step 12. Nhấp vào Save ở góc trên bên phải của màn hình. Hình 6-19 cho thấy hình thức hoàn thành.
Step 13. Nhấp vào Kiểm tra để xác minh kết nối thành công.
Thử nghiệm rất có thể sẽ thất bại ngay lần đầu tiên bạn thử trừ khi ISE được định cấu hình để tự động phê duyệt những người tham gia mới.
Step 14. In the ISE UI, navigate to Administration > pxGrid Services > Clients.
Nếu ISE không được định cấu hình để tự động phê duyệt người tham gia, bạn cần chấp nhận tác nhân thử nghiệm và tác nhân FMC.
Step 15. Chọn hộp kiểm tương ứng cho máy khách iseagent cho FMC, như trong Hình 6-20, và bấm Phê duyệt.
Step 16. Chọn hộp kiểm khách hàng firesightisetest và nhấp vào Phê duyệt.
Step 17. Quay trở lại giao diện người dùng FMC và nhấp vào Kiểm tra để thử lại. Thử nghiệm này nên thành công.
Việc phê duyệt thủ công từng người tham gia pxGrid và tài khoản thử nghiệm của họ có thể tốn thời gian và hơi khó hiểu. Ngoài ra, bạn có thể cho phép tự động phê duyệt các tài khoản dựa trên chứng chỉ trong Cài đặt pxGrid, như trong Hình 6-21. Chỉ cần nhớ vô hiệu hóa nó một lần nữa sau khi bạn hoàn thành.
Có nhiều người đăng ký và nhà xuất bản khác nhau có thể tham gia vào hệ sinh thái với pxGrid. Mỗi người sẽ sử dụng thông tin theo cách riêng của mình và UI tích hợp được ràng buộc là duy nhất cho mỗi sản phẩm, nhưng các yêu cầu cơ bản và các bước cấu hình sẽ luôn giữ nguyên:
Step 1. Tin tưởng cơ quan cấp chứng chỉ ISE.
Step 2. Cài đặt chứng chỉ pxGrid cho danh tính của chính nó.
Step 3. Định cấu hình IP hoặc FQDN của bộ điều khiển pxGrid.
Đối với hầu hết các phần, đó là tất cả những gì bạn thực sự cần phải làm trên mỗi người tham gia. Một số sẽ làm cho mọi thứ dễ dàng hơn những người khác. Hãy cùng xem qua việc định cấu hình một số người tham gia pxGrid chính: Trung tâm quản lý hỏa lực của Cisco, Cisco Stealthwatch và Thiết bị bảo mật web của Cisco.
Configuring Firepower Management Center for Identity with pxGrid(Định cấu hình Trung tâm quản lý để nhận dạng với pxGrid)
Trung tâm quản lý hỏa lực của Cisco (FMC) là công cụ quản lý thiết bị và giám sát bảo mật cấp doanh nghiệp cho dòng NGFW và NGIPS của Cisco, được mô tả chi tiết trong Chương 5, Tường lửa thế hệ tiếp theo, Công nghệ bảo mật tích hợp và Giải pháp -Volume I, cũng bao gồm Manger Thiết bị hỏa lực (FDM) được sử dụng để quản lý thiết bị cá nhân.
FMC đã tích hợp pxGrid với ISE trong một thời gian, nhưng phiên bản 6.2 đã thêm một tích hợp thậm chí tốt hơn, với khả năng sử dụng dữ liệu TrustSec độc lập với danh tính người dùng. FMC có thể sử dụng thông tin ngữ cảnh được cung cấp bởi pxGrid, chẳng hạn như hồ sơ điểm cuối, thẻ TrustSec và cả danh tính người dùng thụ động và chủ động.
Giống như FMC, giải pháp FDM cũng có khả năng tích hợp với ISE bằng pxGrid, nhưng phần này chỉ tập trung vào tích hợp FMC.
Trung tâm quản lý hỏa lực tận dụng pxGrid để tìm hiểu bối cảnh của ai và những gì trên mạng và ánh xạ của các thiết bị đó đến địa chỉ IP. Tuy nhiên, FMC tận dụng các lĩnh vực theo LDAP để tìm hiểu về những gì người dùng và nhóm tồn tại trong Giám đốc hoạt động để tạo chính sách truy cập.
Chúng tôi sẽ bắt đầu bằng cách định cấu hình tích hợp pxGrid, và sau đó theo dõi cấu hình cảnh giới.
Configuring Firepower Management Center for pxGrid(Cấu hình Trung tâm quản lý cho pxGrid)
Trước khi định cấu hình pxGrid trên FMC, hãy tạo chứng chỉ pxGrid cho FMC để sử dụng. Bắt đầu với ISE 2.2, quản trị viên có thể tải xuống chứng chỉ CA, và tạo chứng chỉ trực tiếp từ giao diện người dùng Dịch vụ pxGrid.
Để tạo chứng chỉ pxGrid cho FMC:
Step 1. Navigate to Administration > pxGrid Services > Certificates, as shown in Figure 6-13.
Xem xét Hình 6-13, từ màn hình này, bạn có thể tạo một chứng chỉ, ký yêu cầu ký chứng chỉ (CSR), tạo chứng chỉ hàng loạt từ tệp CSV hoặc tải xuống chuỗi ủy quyền chứng chỉ để nhập vào kho ủy thác của người tham gia pxGrid. Đối với FMC, chúng ta cần tạo cặp khóa chứng chỉ.
Step 2. Select Generate a single certificate (without a certificate signing request).
Step 3. Trong trường Tên chung (CN), nhập tên chung cho chủ đề chứng chỉ của bạn.
CN thường là FQDN của máy chủ (ví dụ: atw-fmc.securitydemo.net). Tuy nhiên, một thực tế phổ biến là thêm tiền tố vào CN của bạn, chẳng hạn như pxGrid-, điều này sẽ giúp bạn tránh các lỗi cài đặt đôi khi có thể xảy ra khi bạn cố gắng cài đặt nhiều hơn một chứng chỉ có cùng FQDN.
Step 4. Trong hộp xoay Tên thay thế chủ đề (SAN), thêm SAN, nếu cần.
Nếu bạn sử dụng bất cứ thứ gì khác ngoài FQDN thực sự cho thiết bị, thì bạn cần nhập SAN vào trường này. Theo RFC 6125, bất cứ khi nào bạn sử dụng SAN, nó cũng phải chứa CN. Thêm một mục nhập cho FQDN của máy chủ lưu trữ. Thêm SAN cho địa chỉ IP là hữu ích, chỉ trong trường hợp một trong những đồng nghiệp pxGrid được gửi đến máy chủ thông qua địa chỉ IP thay vì FQDN.
Step 5. Trong hộp xoay Định dạng Tải xuống Chứng chỉ, chọn Chứng chỉ ở định dạng Thư điện tử nâng cao bảo mật (PEM), nhập theo định dạng PKCS8 PEM.
Tất cả các tùy chọn sẽ bao gồm các chứng chỉ CA nội bộ, cho toàn bộ phân cấp PKI. Có cũng là một tùy chọn để tải xuống dưới dạng tệp chuỗi PKCS12, trong đó chứng chỉ chung + khóa riêng + chuỗi ký kết đều nằm trong một tệp duy nhất. Đối với FMC, định dạng tải xuống cần phải là các tệp PEM riêng biệt, không phải là chuỗi PKCS12.
Step 6. Trong trường Mật khẩu chứng chỉ, thêm mật khẩu cho khóa riêng (và sau đó xác nhận nó).
ISE sẽ không bao giờ cấp khóa riêng nếu không có mật khẩu để mã hóa khóa.
Step 7. Nhấp vào Tạo và tải xuống tệp ZIP kết quả.
Hình 6-14 hiển thị biểu mẫu chứng chỉ đã hoàn thành và Hình 6-15 hiển thị nội dung của tệp ZIP.
Xem xét Hình 6-15, tệp ZIP chứa chứng chỉ đã ký, khóa riêng được mã hóa và tất cả các chứng chỉ ký trong phân cấp PKI cho chứng chỉ được cấp. Ngoài ra, các chứng chỉ ký trong phân cấp PKI cho chứng chỉ quản trị viên cũng được đưa vào để có biện pháp tốt. Bắt đầu với ISE 2.2, chúng không nên được yêu cầu, nhưng dù sao cũng được bao gồm trong tệp ZIP.
Bây giờ bạn có tất cả các chứng chỉ cần thiết và khóa riêng cho FMC. Để định cấu hình pxGrid trên FMC:
Step 1. Navigate to System > Integration > Identity Sources, as shown in Figure 6-16.
Step 2. Click the Identity Services Engine button.
Step 3. Trong trường Tên máy chủ / Địa chỉ IP chính, nhập địa chỉ FQDN hoặc IP của bộ điều khiển pxGrid chính.
Step 4. Nếu có bộ điều khiển phụ, hãy thêm địa chỉ FQDN hoặc IP của nó vào trường Tên máy chủ / Địa chỉ IP phụ.
Step 5. Nhấp vào nút + màu xanh lá cây ở bên phải của trường CA pxGrid Server để thêm chứng chỉ CA gốc ISE.
Điều này thêm chứng chỉ CA gốc vào danh sách các CA đáng tin cậy trong FMC. Trong trường Tên, đặt tên cho chứng chỉ có ý nghĩa với bạn, tương tự như những gì bạn thấy trong Hình 6-17.
Step 6. Bấm Browse và chọn chứng chỉ CA gốc từ tệp ZIP mở rộng mà bạn đã tải xuống trước đó, như trong Hình 6-17.
Step 7. Chọn Save.
Step 8. Đảm bảo rằng chứng chỉ CA gốc mới được nhập được liệt kê trong cả trường CA pxGrid Server CA và MNT Server CA, như trong Hình 6-19.
Step 9. Thêm chứng chỉ đã ký và khóa riêng cho FMC bằng cách nhấp vào nút + màu xanh lá cây ở bên phải trường Chứng chỉ máy chủ FMC.
Điều này bổ sung cho FMC chứng chỉ được mã hóa PEM được ký bởi CA điểm cuối ISE và khóa riêng được mã hóa. Trong trường Tên, cung cấp cho chứng chỉ nội bộ một tên có ý nghĩa với bạn, tương tự như những gì bạn thấy trong Hình 6-18.
Step 10. Nhấp vào Duyệt tìm dữ liệu chứng chỉ và chọn chứng chỉ PEM từ tệp ZIP mở rộng mà bạn đã tải xuống trước đó, như trong Hình 6-18.
Step 11. Bấm Duyệt tìm Khóa và chọn tệp khóa PKCS8 từ tệp ZIP mở rộng mà bạn đã tải xuống trước đó, như trong Hình 6-18.
Step 12. Nhấp vào Save ở góc trên bên phải của màn hình. Hình 6-19 cho thấy hình thức hoàn thành.
Step 13. Nhấp vào Kiểm tra để xác minh kết nối thành công.
Thử nghiệm rất có thể sẽ thất bại ngay lần đầu tiên bạn thử trừ khi ISE được định cấu hình để tự động phê duyệt những người tham gia mới.
Step 14. In the ISE UI, navigate to Administration > pxGrid Services > Clients.
Nếu ISE không được định cấu hình để tự động phê duyệt người tham gia, bạn cần chấp nhận tác nhân thử nghiệm và tác nhân FMC.
Step 15. Chọn hộp kiểm tương ứng cho máy khách iseagent cho FMC, như trong Hình 6-20, và bấm Phê duyệt.
Step 16. Chọn hộp kiểm khách hàng firesightisetest và nhấp vào Phê duyệt.
Step 17. Quay trở lại giao diện người dùng FMC và nhấp vào Kiểm tra để thử lại. Thử nghiệm này nên thành công.
Việc phê duyệt thủ công từng người tham gia pxGrid và tài khoản thử nghiệm của họ có thể tốn thời gian và hơi khó hiểu. Ngoài ra, bạn có thể cho phép tự động phê duyệt các tài khoản dựa trên chứng chỉ trong Cài đặt pxGrid, như trong Hình 6-21. Chỉ cần nhớ vô hiệu hóa nó một lần nữa sau khi bạn hoàn thành.