fmc интеграция с атсСкачать:
Описание:
Устранение неполадок с идентификаторами
пользователей в системах пожарной безопасности может быть довольно
сложным, если вы не знаете, где именно вы должны искать проблемы,
смотри больше об fmc интеграция с атс. После того, как я столкнулся с множеством разных
проблем, я подумал, что было бы неплохо записать, что я узнал из
различных сеансов устранения неполадок, так как, к сожалению,
количество доступной документации совершенно отсутствует.
Архитектура Перед тем, как погрузиться в различные инструменты, которые мы можем использовать для устранения проблем с идентификацией, вы можете сосредоточиться на том, как работает пассивная идентификация пользователя, и как мы можем точно сопоставлять пользователей с IP-адресами. В большинстве сценариев мы используем каталог LDAP для извлечения пользовательских IP-сопоставлений. Поскольку пользователи используют центральную точку для аутентификации в корпоративной сети, мы можем запросить нашу службу каталогов (например, Active Directory), чтобы узнать, какой ip-адрес вызвал событие входа в систему. Чтобы получить эту информацию, мы можем использовать два разных подхода. Первый подход - использование выделенного агента, который должен быть установлен на подключенном к домену сервере Windows. Пользовательский агент Firepower (FUA) будет использоваться для запроса журнала безопасности активного каталога для событий входа в систему и отправки этой информации в FMC с использованием интерфейса REST. Второй подход - интеграция Cisco ISE. ISE может подключиться к домену активного каталога, чтобы запросить журнал безопасности для событий входа в систему. Затем эта информация распространяется на FMC с использованием pixGRID. pxGRID - это в основном просто шина сообщений, которая используется FMC для подписки на идентификационную информацию ISE. Помимо выборки ip-сопоставлений с использованием либо FUA, либо ISE, Центр управления огнем также будет напрямую запрашивать каталог ldap для загрузки пользователей для группировки сопоставлений. На FMC настроено так называемое «Realm», чтобы периодически загружать эту информацию в FMC, чтобы отслеживать любые изменения, которые могут произойти (например, новый пользователь добавлен в группу HR, удаляемых пользователей и т. Д.). Последний шаг в цепочке распространяется на принятый пользователь для группировки сопоставлений и пользовательских сопоставлений ip с датчиками. Чтобы обеспечить отправку идентификационных данных на правильные датчики, мы должны связать так называемую политику идентификации с нашей политикой контроля доступа в FMC. Политика идентификации определит, какую область использовать и для каких диапазонов сети мы хотим отправить идентификационные сопоставления нашим датчикам (например, отправьте ip на пользовательские сопоставления на датчик, если ip-адрес находится в диапазонах RFC1918). После того, как политика контроля доступа с соответствующей политикой идентификации была успешно развернута на нашем датчике, FMC отправит идентификационную информацию на датчик с использованием туннеля, зашифрованного tls, который используется для связи между FMC и датчиком. Так называемый компонент sftunnel (Sourcefire Tunnel) используется для связи между двумя устройствами и используется для различных целей (мониторинг, развертывание конфигурации, обновления и т. Д.). Снимок доступных в настоящее время сопоставлений помещается FMC на датчик через sftunnel, который затем обрабатывается процессом SFDataCorrelator. Скриншоты:
|
Комментарии (0)
|