FMC Integration witch ISE Via PXGrid

FMC Integration witch ISE Via PXGrid

Merhaba ;

Yazımızın konusu Cisco FirePower , ISE entegrasyonu

Öncelikle PXGrid teknolojisinden bahsedeyim ;Network altyapısını oluşturan güvenlik, monitoring, kimlik yönetimi, tehdit algılama, önleme gibi tüm bileşenlerin arasındaki entegrasyonu sağlayıp ,aralarında bilgi alışverişi sağlayan multivendor çalışan bir teknolojidir.

Ağımıza yeni katılan bir cihazın ip adresi, mac adresi, kimlik bilgisi, konumu, üzerindeki yazılımları vs gibi önemli bilgileri ISE ile öğrenebiliyoruz. Bu öğrendiğimiz bilgileri networkdeki diğer cihazlar ile paylaşıp ,bu bilgiler üzerinden yetkilendirme , gruplama gibi işlemleri yapabiliriz. PXGrid in yaptığı da bu cihazlar arası bilgi alışverişi sağlamak.

Makalenin sonunda ISE üzerindeki SGT (Security Group Tags) lere göre Firepower üzerinde kural yazabilir. FirePower ile Active Directory entegrasyonunu sağlayabilir duruma geleceğiz.

ISE üzerinde yapılması gereken işlemler;

PXGrid servisini enable etmek için

Administrator > Deployment

Servislerin durumunu kontrol etmek için kullanacağımız komut

show application status ise

Entegrasyonun sağlandığında PXGrid isteğini otomatik olarak kabul edilmesi ile ilgili bir ayardır, manuel de yapılabilir.

ISE üzerinde sertfika konfigürasyonunu tekrardan anlatmayacağım ,detaylı bilgiyi sitemde bulabilirsiniz.

FMC üzerinde yapılması gereken ayarlar;

Microsoft CA Root sertfikamızı ,FMC sunucumuza import ediyoruz.

Object > PKI > Trusted CAs

PXGrid servisi için bir sertifika kullanacağız , bunun için CSR oluşturuyoruz.

Object > PKI >Internal Cas Generate CA

İlgili alanları doldurduktan sonra Generate CSR diyoruz.

Oluşturduğumuz CSR ı kopyalayıp Microsoft CA üzerinden onaylıyoruz.

Bu işlem sonunda elimizde pxgrid2.cer adında Microsoft CA in onayladığı bir sertifikaya sahip oluyoruz.

Sertifika işlemini bitirmek için aynı ekranda pxgird2.cer gösterip save diyoruz.

FMC için oluşturduğumuz Internal CA sertifika hazır , internal sertfikalar altında görebilmek için bir işlemimiz daha var

Oluşturduğumuz sertifikayı private key i ile birlikte export alıyoruz.

Export ettiğimiz *.p12 uzantılı dosyamızı pem formatına çevirmemiz gerekmektedir. Bu işlem için online bir tool kullanacağız.

Object > PKI >Internal Certs Add Internal Cert

Certificate Date yazan kısım için pxgrid2.cer , Key için *.pem dosyamızı gösteriyoruz.

Bag Attributes ile başlayan kısımları silerek OK diyoruz.

Internal Certs altında sertifikamızı görebiliyoruz artık.

Bir sonraki adım Integration > Identity Sources kısmından entegrasyon yapacağımız alana ulaşıyoruz.

İstenilen bilgileri sağlayıp Test butonuna basıyoruz.

Active Directoy entegrasyonu için tanımlarımıza devam ediyoruz.

System > Integration Directory bu kısımda Active Directory sunucumuzu ekliyoruz.

System > Integration Realm configuration Active Directory erişim bilgilerimizi giriyoruz.

System > Integration User Download Active Directory üzerindeki gruplarımızı seçiyoruz.

Firewall kurallarında bu entegrasyonu kullanabilmek için

Policy > Identity New Policy

Bir önceki adımda Realm konfigürasyonumuzu burada seçiyoruz.

Policy sekmesinde de identity Policy miz artık seçilebilir duruma geliyor.

Artık kurallarımızda Active Directory objelerimizi kullanabiliriz.

SGT için ISE üzerinde oluşturduğum statik grupların FMC üzerine geldiğini kontrol edelim.

COSKUN1 ve COSKUN2 adındaki 2 adet Grup firewall a gelmiş.

FMC 6.5 sürümüne kadar Active Directory entegrasyonunu agent ile yapabiliyorduk , 6.5 den sonra bu işlem için ISE veya ISE PIC kullanılması gerekecek bunu da dipnot olarak belirtmeykte fayda var.

Makalemizin başında PXGrid için multivendor çalışan bir teknoloji olduğundan bahsetmiştim ,bir sonraki makalemizin konusu da ISE / Checkpoint entegrasyonu PXGrid ile sağlayabiliriz.

Görüşmek üzere.

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)