實(shí)戰(zhàn)解析PxGrid安全分享協(xié)議

■ 河南 許紅軍

編者按： pxGrid安全分享協(xié)議擁有支持多廠商跨平臺特性，讓網(wǎng)絡(luò)系統(tǒng)協(xié)同運(yùn)作，pxGrid提供了一個統(tǒng)一的框架，實(shí)現(xiàn)生態(tài)系統(tǒng)中的合作者緊密集成，pxGrid是非常安全的，并且可以靈活定制。pxGrid協(xié)議能夠控制內(nèi)容，實(shí)現(xiàn)雙向內(nèi)容共享，可以分享原生格式數(shù)據(jù)，同時連接多個平臺。

pxGrid協(xié)議的作用和功能

在正常情況下，對于網(wǎng)絡(luò)邊界設(shè)備（例如交換機(jī)、ASA防火墻等）來說，當(dāng)客戶使用SSL VPN、802.1X 等方式接入時，都需要借助3A設(shè)備進(jìn)行安全認(rèn)證等。對于其他網(wǎng)絡(luò)設(shè)備（例如FirePower防火墻等），當(dāng)用戶在連接時，必然要求用戶再次執(zhí)行身份認(rèn)證操作。用戶實(shí)際上需要執(zhí)行重復(fù)認(rèn)證，體驗(yàn)上不佳。

使用pxGrid協(xié)議可以將ISE上收集到的豐富的認(rèn)證信息共享給其他安全設(shè)備使用。這樣，ASA防火墻就可以知曉用戶的賬戶、組等信息，便于進(jìn)行更加精確的控制，此外利用pxGrid協(xié)議，可以讓不同安全設(shè)備間自由分享信息，對提高安全性非常重要。

例如在pxGrid協(xié)議的幫助下，ISP設(shè)備可以將非法用戶信息推給ISE設(shè)備，ISE設(shè)備查找該客戶是通過哪臺邊界設(shè)備進(jìn)入的，進(jìn)而將授權(quán)信息提交給該設(shè)備，將不法用戶直接攔截在整個網(wǎng)絡(luò)之外。

實(shí)驗(yàn)環(huán)境介紹

在網(wǎng)絡(luò)邊界有一臺ASA防火墻連接在FrePower防火墻G0/0接 口，F(xiàn)irePower的G0/2接口連接DMZ區(qū)，在DMZ中存在Windows 2008 AD服務(wù)器和ISE設(shè)備，在Windows Server 2008 上配置Web服 務(wù)，DMZ的IP地 址 為192.168.1.0/24。FirePower的G0/1接口連接內(nèi)部網(wǎng)絡(luò)，在內(nèi)網(wǎng)中存在FMC，管理主機(jī)及其他設(shè)備，該區(qū)域IP地址為10.1.1.0/24。

當(dāng)外部用戶通過SSL VPN連接ASA防火墻后，會先到ISE設(shè)備上進(jìn)行認(rèn)證，之后ISE設(shè)備將該用戶信息推送給FMC主機(jī)，F(xiàn)MC主機(jī)將其發(fā)布到FirePower防火墻。這樣該客戶在通過ASA防護(hù)墻后，就可以直接在FirePower防火墻進(jìn)行被動認(rèn)證，進(jìn)而直接訪問內(nèi)部的Web服務(wù)。

可以看到，在以上各環(huán)節(jié)中pxGrid起著關(guān)鍵作用，其中ASA防火墻充當(dāng)pxGrid發(fā)布者的角色，ISE設(shè)備充當(dāng)pxGrid控制者的角色，F(xiàn)irePower充當(dāng)pxGrid訂閱者的角色。ASA防火墻通過RADIUS協(xié)議和ISE通訊，ISE通過pxGrid協(xié)議和FMC網(wǎng)管中心通訊。

為ISE配置pxGrid專用證書

pxGrid必須使用證書進(jìn)行認(rèn)證。在上述Windows Server 2008域控上打開“證書管理”窗口，右擊“管理”項(xiàng)，在模版列表中選擇“Web服務(wù)器”項(xiàng)，右擊“復(fù)制模版”項(xiàng)然后確定。在新模版屬性窗口中的“常規(guī)”面板中輸入名稱（如“pxgridmb”），選擇“在Active Directory中發(fā)布證書”項(xiàng)，在“擴(kuò)展”面板中選擇“應(yīng)用程序策略”項(xiàng)，點(diǎn)擊“編輯”，在打開窗口中添加“安全電子郵件”、“加密文件系統(tǒng)”和“客戶端身份驗(yàn)證”項(xiàng)導(dǎo)入。

在上述窗口中選擇“證書模版”項(xiàng)，找到“要頒發(fā)的證書模版”項(xiàng)，選擇上述pxgridmb模版發(fā)布。登錄ISE管理界面，點(diǎn)擊“Adminis tration”→“System”→“Certif icates”項(xiàng)，選擇“Certificate Signing Requests” 項(xiàng)，在右側(cè)點(diǎn)擊“Generate Certificate Signing Reauests(CSR)”按鈕，在打開窗口中選擇“pxgrid”項(xiàng)，在“Node(s)”欄中選擇本ISE的角色（如主ISE設(shè)備），在“Subject”欄中輸入申請的內(nèi)容。其余默認(rèn)，點(diǎn)擊“Generate”生成請求文件。

之后復(fù)制申請內(nèi)容，訪問“https://serverzs.xxx.com/certsrv”地址，在證書申請頁面中依次點(diǎn)擊“申請證書”、“高級證書申請”連接，在“保存的申請”欄中粘貼上述請求內(nèi)容，在“證書模版”列表中選擇“pxgridmb”模版提交。在打開的網(wǎng)頁中選擇“Base 64編碼”項(xiàng)，點(diǎn)擊“下載證書”鏈接，得到所需的證書文件（例如“isepxgrid.cer”）。 當(dāng) 然，還需在證書申請頁面下載CA證書，得到根證書。

在ISE中激活pxGrid功能

在上述ISE管理窗口選擇“Trustes Certificate”項(xiàng)，點(diǎn) 擊“Import”→“瀏覽”，選擇上述根證書并加載。 選 擇“Certificate Signing Request”項(xiàng)，選擇上述證書請求項(xiàng)，點(diǎn)擊“Bind Certificate”→“瀏覽”按鈕，選擇上述“isepxgrid.cer” 證 書 文 件，點(diǎn) 擊“Submit”將兩者綁定。

點(diǎn) 擊“Administration”→“System”→“Deployment”，在部署方式窗口中點(diǎn)擊主ISE節(jié)點(diǎn)，選擇“pxGrid”，點(diǎn)擊“Save”激活。點(diǎn)擊工具欄上的“Administration”→“Identity Management”→“External Identity Source”，選擇“Active Directory”，在“Join Pointer Name”欄中輸入合適的名稱，在“Active Domain Name”欄中輸入域名，在“Identity Store Name”中輸入標(biāo)識名稱（如“ISEtag”），點(diǎn)擊“submit”保存。

根據(jù)提示輸入域管理員名稱和密碼，加入到域環(huán)境。點(diǎn)擊“Add”→“Select Group From Directory”項(xiàng)，點(diǎn)擊“Retrieve Groups”，列出該域中所有的組，選擇所需的組（如“Fpgrp”，需預(yù)先創(chuàng)建好），然后確定添加。讓ISE集成到域是便于對用戶的身份進(jìn)行驗(yàn)證。

在FMC上配置證書

登錄到FMC管理主機(jī)，輸入賬戶名（默認(rèn)為“admin”）和密碼，之后以管理員身份進(jìn)行操作。執(zhí)行“openssl genrsa -das3 -out fire.key 4096”命令，生成所需密鑰文件。根據(jù)提示輸入密碼，用于加密私鑰。執(zhí)行“openssl req -new -key fire.key -out fire.csr”命令，使用上述密鑰文件生成簽名請求文件。根據(jù)提示輸入上述私鑰密碼和相關(guān)信息。注意在“Common Name”欄中必須輸入FirePower設(shè)備的全域名。

執(zhí)行“cp fire.* /home”命令，將上述文件復(fù)制到“/home”目錄。在內(nèi)網(wǎng)客戶機(jī)上運(yùn)行WinCSP，在連接窗口中輸入Firepower管理地址，輸入賬戶和密碼，使用的文件協(xié)議為SCP，連接成功后復(fù)制上述“firekey”和“fire.cer”文件。打開fire.cer文件，復(fù)制申請的內(nèi)容，按照上述方法來申請證書和根證書。

登錄到FMC網(wǎng)管界面，點(diǎn) 擊“Object” →“Object Management”， 選 擇“PKI”→“Trusted CAs”，點(diǎn)擊“Add Trusted CA”按鈕，輸入名稱（如“FirepowerCA”），點(diǎn)擊“Browse”按鈕，選擇獲得的根證書，點(diǎn)擊“Save”按鈕加載根證書。在左側(cè)選 擇“PKI” →“Internal Certs”項(xiàng)，在右側(cè)點(diǎn)擊“Add Internal Cert”按鈕，輸入名稱（如“InternalCA”），點(diǎn) 擊第一個“Browse”按鈕，導(dǎo)入上述獲取的證書。點(diǎn)擊第二個“Browse”按鈕，選擇密鑰文件，并輸入加密密碼。點(diǎn)擊“Save”按鈕，加載證書文件。

將FMC集成到域環(huán)境

對于FirePower來說，一般基于用戶組進(jìn)行策略控制。雖然ISE可以通過pxGrid協(xié)議將用戶的認(rèn)證信息推送過來，但FirePwer無法基于用戶進(jìn)行控制，因此必須利用LDAP協(xié)議和域控進(jìn)行通訊，來確定指定的用戶屬于哪個組。這樣，就必須將FirePower集成到域環(huán)境。

在FMC管理界面點(diǎn)擊“System”→“Itegration”，在“Realms”面板點(diǎn)擊“New realm”，在打開窗口中輸入合適的名稱，在“AD Primary Domain”欄中輸入域名，在“AD Join Username”中 輸入域管理員名，在“AD Join Password”欄中輸入密碼，在“Directory Username” 和“Directory Password” 欄中輸入用于查詢的賬戶和密碼，可以是權(quán)限較低的賬戶。在“Base DN”和“Group DN”欄中輸入“dc=xxx.dc=com”，用來指定查詢的起始位置。

點(diǎn)擊確定后在添加目錄窗口中輸入域名，加入到域環(huán)境。對應(yīng)域名項(xiàng)點(diǎn)擊“Edit directory”，選擇“Download user and groups”， 列 出域中所有賬戶信息。在“Available Groups”列表中選擇上述“FPgrp”組，點(diǎn)擊“Add to Include”添加進(jìn)來，點(diǎn)擊“Save”保存。在對應(yīng)域名項(xiàng)目右側(cè)“Status”欄中撥動滑塊，并下載上述組中賬戶信息將其徹底激活。

在ISE和FMC之間建立信任關(guān)系

在“Identity Sources”中 點(diǎn) 擊“Identity Services Engine”， 在“Primary Host Name/IP Address”中輸入ISE域名或IP，在“pxGrid Server CA”和“MNT Server CA”列表中選擇根證書，在“FMC Server Certificate”列表選擇上述為FMC頒發(fā)的證書。點(diǎn)擊“Test”進(jìn)行連接測試。

在ISE界 面 點(diǎn) 擊“Administration”→ “pxGrid Services”項(xiàng)，點(diǎn)擊刷新，可以看到FMC的連接請求信息，選擇后點(diǎn)擊“Approve”允許測試連接。當(dāng)在FMC中保存設(shè)置后，需在ISE中再次刷新，選擇新出現(xiàn)的FMC請求信息，點(diǎn)擊“Approve”允許連接，才可在ISE和FMC間建立pxGrid信任關(guān)系。

在FMC中創(chuàng)建控制規(guī)則

在工具欄上點(diǎn)擊“Policies” →“Access Control” →“Access Control”項(xiàng)，點(diǎn) 擊“Add a new policy”鏈接，在新建策略窗口中的“Name”欄輸入策略名稱（如“FTDPolicy”），其余默認(rèn)，創(chuàng)建該策略。

之后打開該控制策略，在 對 應(yīng) 的“Default Action”列表中選擇“Access Control:BlockAll Traffic”項(xiàng)，禁止所有流量。之后根據(jù)需要，來創(chuàng)建對應(yīng)的控制策略。例如在“Mandatory”欄中點(diǎn)擊“Add Rule”鏈接，創(chuàng)建新的規(guī)則。

但是并沒有創(chuàng)建對應(yīng)的規(guī)則來放行VPN流量。即外部主機(jī)的訪問VPN流量可以通過ASA防火墻認(rèn)證，但無法穿越FirePower訪問目標(biāo)Web服務(wù)器。點(diǎn)擊“Policies” →“Access Control”→“Identity”項(xiàng)，點(diǎn) 擊“Add a new policy”按鈕輸入新的策略名稱（如“rzpolicy”），點(diǎn) 擊“Save”創(chuàng)建該策略。點(diǎn)擊“New Rule”，在打開窗口中輸入規(guī)則名稱（如“rule1”），在“Zones”中選擇“Outside”區(qū)域，點(diǎn)擊“Add to Source”按鈕。選擇“DMZ”，點(diǎn)擊“Add to Destination”按鈕。

這樣，就允許放行外部流量到DMZ區(qū)。在“Networks”面板中點(diǎn)擊“+”，輸入該網(wǎng)絡(luò)對象的名稱（如“vpnnetwork”），選 擇“Network”，輸入網(wǎng)絡(luò)范圍（如“172.16.1.0/24”），點(diǎn)擊“Save”按鈕后在“Networks”面板中選擇該網(wǎng)絡(luò)對象，點(diǎn)擊“Add to Source”按鈕，這樣，只有來自該網(wǎng)絡(luò)的訪問才可以進(jìn)行被動認(rèn)證。在“Ports” →“Selected Destination Ports”→“Protocol”中選擇“TCP”項(xiàng)，在“Port”中輸入“80”，點(diǎn)擊“Add”按鈕添加。

在“Realm & Settings”面板中的“Realm”列表中選擇上述域名項(xiàng)目。這樣當(dāng)外部主機(jī)訪問目標(biāo)Web服務(wù)器時，可使用域中賬戶進(jìn)行認(rèn)證。注意這種訪問流量是被動認(rèn)證，即ISE將認(rèn)證信息推送過來實(shí)現(xiàn)一次性認(rèn)證，讓客戶不在頻繁輸入賬號和密碼進(jìn)行認(rèn)證。但所需的規(guī)則和授權(quán)等配置信息必須存在。點(diǎn)擊“Policies” →“Access Control” →“Access Control”項(xiàng)，在列表頂部創(chuàng)建新的策略，輸入名稱（如“pxgridcl”），在“Zones”中選擇“Outside”→“Add to Source” →“DMZ” →“Add to Destination”。

在“Networks”中 選 擇上述“vpnnetwork”對象，點(diǎn)擊“Add to Source”按鈕添加。在“URLs”面板中輸入目標(biāo)Web地址，點(diǎn)擊“Add”按鈕添加。因?yàn)镕MC已經(jīng)和ISE實(shí)現(xiàn)了集成，所以在“SGT/ISE Attributes”面板中顯示ISE推送過來的相關(guān)信息。例如在“Available Attributes”列表中選擇“Device Type”項(xiàng)，在“Availiable Metadata”列表中選擇“Windows7-Workstation”項(xiàng)，點(diǎn)擊“add to Rule”按鈕添加。在“User”面板中選擇上述域名項(xiàng)目，選擇目標(biāo)組添加進(jìn)來。

在“Logging”面板中選擇“Log at Beginning of Connection”和“Log at End of Connection”記錄訪問信息，可實(shí)現(xiàn)基于源/區(qū)域/設(shè)備類型/用戶組等方式進(jìn)行靈活過濾操作。在策略列表 窗 口“Identity Policy”欄中點(diǎn)擊“None”，選擇上述“rzpolicy”身份認(rèn)證策略。點(diǎn)擊“Save”和“Deploy”保存并部署到FirePower防火墻。

在ISE中配置授權(quán)規(guī)則

在ISE管理界面工具欄上點(diǎn)擊“Administratio n”→“Network”→“Network Devices”項(xiàng)，點(diǎn)擊“Add”，輸入設(shè)備名稱，在“IP Addess”欄輸入ASA地址，選擇“RADIUS Authentication Settings” 項(xiàng)， 在“Share Secret”欄輸入認(rèn)證密鑰，點(diǎn)擊“Submit”提交修改信息。

點(diǎn)擊“Policy”→“Policy Elements”→“Result”項(xiàng)，選 擇“Authorization” →“Authorization Profiles”項(xiàng)，點(diǎn)擊“Add”，輸入認(rèn)證策略項(xiàng)名稱（如“ASAprofile”），在“Common Tasks” 欄 中選 擇“ASA VPN”項(xiàng)，輸 入在ASA防火墻上配置好的 Group Policy名 稱（如“SSLVPN Policy”）?？梢栽贏SA命令行中執(zhí)行“sh run group→policy”命令，查看對應(yīng)Group Policy信息。

通過該Group Policy授權(quán)，可以讓用戶取得其所有授權(quán)策略。點(diǎn)擊“Submit”提交修改。點(diǎn)擊“Policy”→“Authorization”項(xiàng)，在授權(quán)列表點(diǎn)擊“Edit”→“Insert New Rule Allow”項(xiàng)，輸入新的策略名稱（如“Policy1”），在“Condition(s)” 列中 點(diǎn) 擊“Create New Condition (Advanced Option)”按鈕，在彈出面板 中 的“Description”列表中上述域名項(xiàng)目，選擇“ExternalGroup”項(xiàng)，并選擇“Equals”，在其后選擇上述預(yù)設(shè)的組名（如“FPgrp”）。

點(diǎn)擊右側(cè)的“Edit”鏈接， 在“Permissions” 列中 選 擇“Standard”菜 單下的上述認(rèn)證策略項(xiàng)名稱（如“ASAprofile”）。 點(diǎn) 擊“+”按鈕可以添加更多授權(quán)項(xiàng)目。點(diǎn)擊“Done”鏈接保存該授權(quán)策略。經(jīng)過以上配置，在外網(wǎng)主機(jī)上打開Cisco AnyConnect Secure Mobility Client程序，通過SSLVPN連接ASA防火墻，在打開的認(rèn)證窗口中輸入賬戶名和密碼就可實(shí)現(xiàn)一次性認(rèn)證連接。連接成功后就可以訪問目標(biāo)Web服務(wù)器了。