Cisco ISE技術解説 ~Identity Services Engine~

Slides:



Advertisements
Similar presentations
WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオン トレーニング.
Advertisements

CCP Express 3.1 簡単設定ガイド ※本資料は 2015/06 現在のハードウェア / ソフトウェアにおけるガイドです.
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
1 ルータ・スイッチ 基礎教育 (基礎編). 2 Agenda ~基礎編~ シスコ機器との接続方法 IOS とメモリの種類 ルータの起動順序 IOS のアクセスレベル パスワードの設定 インターフェースの設定 show コマンド copy コマンド debug コマンド CDP ( Cisco Discovery.
BBT 大学 Ruby on Rails 開発環境セットアップマニュアル Mac 版 1.1 最終更新日: 2013/1/5.
ご提案書 『ホテル インターネットサービスソリューション』
Curlの特徴.
SAP 環境における Active Directory 導入のメリット
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
スクリーンショットの取り方 コラボエンドポイントスクリーンショットの取得 シスコシステムズ合同会社 テクニカルソリューションズアーキテクト
揮発性情報 2003/05/25 伊原 秀明(Port139).
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
Ad / Press Release Plan (Draft)
Novell ZENworks Desktop Management Starter Campaign
SMART/InSightのセキュリティ機能と設計
Windows Azure 仮想マシン 入門.
CCP Express 3.1 初期設定ガイド(WAN/LAN)
Active Directory って? Windows Server で標準提供されるディレクトリ サービス ・グローバルなデータ ストア
SharePoint Server において 構成ウィザードが失敗する場合の トラブルシューティング
柔軟な優先度制御が可能な キャンパス間無線LANローミング
電子社会設計論 第11回 Electronic social design theory
GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月
有無線ネットワークの アクセスコントロールポリシーコントロールのための (Bring Your Own Device) BYODソリューション提案書 2015.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
無線LANセキュリティの救世主 IEEE802.1xについて
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
2005年11月17日 Webサービス II (第6回) 年11月17日.
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
ファイアウォール 基礎教育 (1日目).
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
iStorage NSシリーズ ウィルスチェック運用の手引き
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
ファイアウォール 基礎教育 (2日目).
スマホの悩み解決ブック ~ 認証サーバ編 ~ シスコシステムズ合同会社 2017年2月.
マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター
いつでも! どこでも! 『働き方改革』 が解決します!! SMA100シリーズで安心・安全リモートアクセス
IBAQS-FX 製品紹介 2018年09月 アイビーソリューション株式会社 Ver 4.8.
Cisco Startシリーズ 製品概要&エントリー モデル編
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
ようこそいらっしゃいました 混在環境にWindows Server がいると 何がうれしいのか? についてお話させていただきます。
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
ISE : Identity Service Engine Overview
パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に
Cisco? 最先端の研究活動を支える オープンかつセキュアな ICT 基盤を構築 Why 課題 ソリューション 結果~今後 ユーザ事例
Cisco dCloud dCloud登録ルータ配下からのvWLCへのAP接続 シスコシステムズ合同会社 2016年7月.
CCP Express 3.3 アップグレード ガイド
インターネットにおける真に プライベートなネットワークの構築
Cisco Umbrella のご紹介 2018 年 1 月.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
Cisco dCloud dCloudへのルータの登録について シスコシステムズ合同会社 2016年7月.
gate-toroku-system のしくみ
~ 第5回 認証のためのプロキシー Web Application Proxy
Cisco Configuration Professional Express 3.3 アップデート
GoNET-MIS のご紹介 2015年04月 アイビーソリューション株式会社 Ver 2.1.
『GoNET-SR 機能一覧』 2017年04月 アイビーソリューション株式会社 Ver 3.4.
ネットワークをシンプルにする エンタープライズ NFV
IDSとFirewallの連携によるネットワーク構築
gate登録システム: 設計ポリシーから使い方まで
Ibaraki Univ. Dept of Electrical & Electronic Eng.
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
情報ネットワーク 岡村耕二.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
プロトコル番号 長野 英彦.
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

Cisco ISE技術解説 ~Identity Services Engine~ シスコシステムズ合同会社 パートナーシステムズエンジニアリング パートナーシステムズエンジニア 和田 一寿

Agenda Overview Authentication& Authorization Profiler Other(Guest, Posture) Agenda

Overview

Identity Services Engine Overview - ISE Features ISE: Identity Services Engine ACS NAC Profiler NAC Manager Guest Server NAC Server NAC Collector

Authentication& Authorization

Authentication 認証方式と利用パターン 802.1X MAB Web Auth 802.1x 登録済みユーザ MAB 登録済みデバイス (802.1xサプリカントなし) Web Auth 802.1X デバイスを持たないユーザ 証明書認証に失敗したユーザ SSC 従業員 SSC 従業員 (証明書なし) Guest 802.1X 802.1x MAC Authentication Bypass (MAB) 端末からのDHCP/ARPパケットをトリガーにして、MACアドレス情報を元に認証を実施 802.1xサプリカントを持たない端末に有効 Web Authentication 端末からのhttp通信をリダイレクトし、認証用ポータル画面を表示 ゲストアクセスに有効、802.1x認証実施不可の場合のフォールバックとしての利用も可

Authentication 概要 Authentication 認証リクエストを分類、ルール(認証プロトコル、参照データベース) を選択 複数ルールを組み合わせた柔軟な設定が可能(ファーストマッチ) Condition: 認証リクエスト分類条件 Allow Protocol: 認証サービス Identity Source: 認証データベース

Authentication Condition RADIUSパケットに含まれる情報を元にリクエストを分類 認証方式(802.1x / MAB / Web Authentication) アクセス形態(Wired / Wireless) クライアントロケーション など

Authentication Condition RADIUSパケットに含まれる情報を元にリクエストを分類 認証方式(802.1x / MAB / Web Authentication) アクセス形態(Wired / Wireless) クライアントロケーション など Radius Service-Type: Framed Radius NAS-Port-Type: IEEE802.11

Allow Protocols Authentication 認証サービスは以下の2つ サポートされる認証プロトコル Allowed Protocol:事前定義された認証プロトコルリストから選択 Proxy Service:事前定義されたRADIUSサーバから選択 サポートされる認証プロトコル PAP/CHAP/MS-CHAPv1,2/EAP-MD5 EAP-TLS PEAP(w/MSCHAPv2, EAP-GTC, EAP-TLS) EAP-FAST(MSCHAPv2, EAP-GTC)

802.1X Authentication データベース Internal Users がデフォルトで使用されるローカル認証データベース ユーザをグループ化し、グループと連携したポリシーアサインが可能 外部データベースサポート(AD,LDAP etc.) Active Directory内情報の検索、ルールへの利用などが容易 Users: 802.1x認証ユーザデータベース Endpoints: MAB用MACアドレスデータベース

Identity Source Authentication 以下データベースをサポート データベース OS / バージョン ISE 内部エンドポイント, 内部ユーザ データベース RADIUS RFC 2865-compliant RADIUS servers Active Directory Microsoft Windows Active Directory 2000   Microsoft Windows Active Directory 2003, 32-bit のみ Microsoft Windows Active Directory 2003 R2, 32-bit のみ  Microsoft Windows Active Directory 2008, 32-bit and 64-bit  Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit  LDAP Servers SunONE LDAP Directory Server, Version 5.2  Linux LDAP Directory Server, Version 4.1  NAC Profiler, Version 2.1.8 以上 Token Servers RSA ACE/Server 6.x Series  RSA Authentication Manager 7.x Series  RADIUS RFC 2865-compliant token servers SafeWord Server prompts

Authorization概要 Authorization 認証済みIdentity Groupに対してAuthorization Profile(アクセス可否 / dACL / VLAN / 検疫適用の有無など)を適用する 日時・場所などの条件(Authorization Condition)をIdentity GroupにAND / OR で掛け合わせて、Authorizationの適用対象をさらに細かく絞る設定も可能 Identity Groups: 認証済みユーザ・デバイスグループ Condition: Authorizationi対象限定条件(オプション) Permissions: アクセス制御内容(Authorization Profile / SGT)

Authorization Condition 認証方式 / ロケーション / 日時 / 検疫状況 / OSタイプ などを組み合わせて Authorization対象を適切に絞るための条件を作成する

Authorization Profile アクセス可否 / dACL / VLAN / 検疫などの制御内容を定義する Access Type: アクセス可否 (ACCESS_ACCEPT/ACCESS_REJECT) Downloadable ACLS VLAN Assignment Posture Discovery Web Auth Voice etc.

ISE vs ACS Authentication& Authorization MigrationGuide 無線 / 有線の802.1xやVPNを認証する形でACSを導入しているユーザ環境であ れば、ISEへマイグレーション可能 現時点でISEがTACACS+を未サポートであることから、コマンド権限ベースの 機器(IOS Router, Switch)の管理目的であれば、ACSを推奨 TACACS+の実装時期は未定 MigrationGuide Cisco Identity Services Engine Migration Guide for Cisco Secure ACS 5.1 and 5.2, Release 1.0.4 http://www.cisco.com/en/US/docs/security/ise/1.0.4/migration_guide/ise104_mig_book.html

Profiler

ISE Profiler概要 Windows XP Windows 7 Mac OS iPhone iPad Android IP-Phone Printer ISE Endpoint Profiling ネットワーク上の「どこ」に「何」 が接続されているかを分類(Profiling)する

ISE Profiler概要 BYOD ~Bring Your Own Device~ 同一ユーザがネットワークにアクセスするとき 会社貸与PCでアクセスした場合、Vlan10 プライベートiPhoneでアクセスした場合、Vlan20 アクセスデバイスを判別し、ネットワークへのアクセス権限を柔軟に変更 Vlan10 Vlan20 ISE WLAN Controller Access Point 社内 ネットワーク インターネット 会社貸与PC プライベート端末 同一ユーザ Mac OS → Vlan10をアサイン iPhone → Vlan20をアサイン

ISE Profiler概要 MAB ~Mac Authentication Bypass~ MAB ~Mac Authentication Bypass~ (802.1x環境) ノンユーザデバイスや802.1x非対応デバイスはネットワークに多数存在し、 それらにはMAC Addressによる認証バイパスが適用されている Profiling結果に基づいて適切なポリシーを適用することが可能 MAC Address詐称による不正アクセスを防ぐことも可能 MAC詐称端末 MAB対象端末 セキュア ネットワーク

ISE Profiler “Profiling” Endpoint Profiling Endpointの “Attribute”(各種情報) を収集し、それらのAttributeと Profile RuleからProfilingを行う Endpoint の各種情報(Attribute)を収集 MAC OUI: Apple DHCP host-name: iPhone User-Agent: iPhone OS ISE Profiling:  このデバイスは “iPhone ”

ISE Profiler “Profiling” Probe ISEはEndpoint attributeを収集する為の“Probe” を持つ 収集したいAttribute (Profileに必要な情報) ISE Profilerを導入する環境 上記のような項目と照らし合わせ、適切なProbeを利用する Probe DHCP SNMP Query DHCP SPAN SNMP Trap HTTP DNS RADIUS Netflow ISE

ISE Profiler “Profiling” Probe, Attribute 各Probe と主なAttributeの対応は下表のとおり Probe Attribute DHCP DHCP SPAN host-name, dhcp-class-identifier, MAC OUI HTTP cookie, user-agent RADIUS Framed-IP-Address, Calling-Station-Id, User-Name SNMP Query SNMP Trap MAC address, system, interface, cdp informations Netflow src/dst IP, src/dst MAC, protocol DNS FQDN

Configuration Administration > System > Deployment > Node Profiling Configuration タブ 各種Probeの設定

ISE Profiler “Profiling” Profiling Policy Endpoint ProfilingはProfiling Policyによって行われる Profiling PolicyでEndpoint Attributeから、Profileする為に利用する情報と値を指定する Endpoint Profilingを単一のRuleだけで実行すると、Profiling 精度の低下が想定され るので、複数Ruleを用いたProfilingにより精度を向上させることが可能 また、単一RuleによるProfilingでは偽装Endpointにより誤ったProfilingをしてしまう 可能性が生じる(ex. MAC Address偽装による誤ったProfile) 以上から、複数Ruleの併用による正しいEndpoint Profiling Systemを構築するのが望ま しい ex. Profiling Policy “Apple-iPhone” Rule1: DHCP hostname に“iPhone ”が含まれている     かつ Rule2: User Agent に“iPhone; U; CPU iPhone OS”が含まれている場合 Apple-iPhoneだとProfile

ISE Profiler “Profiling” Certainty Factor: CF ProfilingはProfiling Policyに含まれるCertainty Factorにより判断される Minimum Certainty Factor 各Profiling Policyに設定されている値(1~65535) Minimum Certainty Factor以上のCertainty Factorを持つEndpointがそのPolicyに該当 する(Policyに該当する/しない の最終判断を行う各Endpointの値) Certainty Factor 各Profiling Policyを構成する“Rules” によって、そのEndpointがある条件を満たした 際に付与される値(1~65535) ex. Profiling Policy “Apple-iPhone” Rule1: DHCP hostname に“iPhone ”が含まれている Rule2: User Agent に“iPhone; U; CPU iPhone OS”が含まれている Rule1を満たす場合 CF10増加, Rule2を満たす場合 CF20増加 CFが30以上(Minimum CF = 30)で“Apple-iPhone”だとProfile

Configuration Policy > Profiling Profiling Policyの作成

Configuration Policy > Profiling Minimum Certainty Factor: “Rules” によってCertainty Factorが20以上の場合 [Apple-iPhone] としてProfileされる Rules: Probeによって収集した各Attributeとそれらに付与するCertainty Factor の値を設定

Configuration Policy > Policy Elements > Conditions Profile Policyで利用するProfile Ruleの作成

Configuration Policy > Policy Elements > Conditions Profile Ruleの作成 作成したRuleを各種Profile Policyにて利用可能(後述) Profile Policy毎に新規で設定することも可能

Report Administration > Identity Management > Identities > Endpoints 各種Profile結果とEndpointの情報を見ることが可能

Report Administration > Identity Management > Identities > Endpoints 各種Profile結果とEndpointの情報を見ることが可能

Other(Guest, Posture)

Guest 概要 Guest 無線 / 有線アクセス環境に、統合ゲストサービスを提供 Guest Server サービス : スポンサーによるゲストアカウント発行 セルフレジストレーション セルフデバイス登録 Guest Server 機能概要: 複数ポータルの提供 (Web Auth etc.) ポータル画面のカスタマイズ ゲストユーザのポリシー設定(アクセス権、通知方法、アカウント有効期限等) スポンサーグループのポリシー設定(アカウントの一括発行、発行可能なゲストユー ザポリシー等)

Guest 概要 Guest Account 発行

Posture 概要 Posture Posture = セキュリティポリシーの検疫 最新のWindows パッチが適用されているか アンチウイルスインストール済? 最新? アンチスパイウェアインストール済? 最新? ユーザとシステムのIdentityとして、ポスチャ状態を含めることが可能に チェック可能な項目 AV / AS, レジストリ, ファイル, アプリケーション / プロセス, Windows アップデート, WSUS など 準拠していなかったら – 自動修復, 警告, ファイルのダウンロード NAC Agent (インストール版)とWeb Agent (一時利用) に対応

Posture 概要 Posture Wired Wireless VPN 従業員ポリシ: Microsoft パッチ 最新  最新 McAfee AV  インストール済み  動作中  最新バージョン 企業アプリケーション  稼働中 Posture 契約社員ポリシ: アンチウィルスソフト  インストール済  動作中  最新Version ゲストポリシ: 利用条件に同意 (ポスチャチェックなし – Internet Only) Wired Wireless VPN

まとめ

Identity Services Engine まとめ ISE: Identity Services Engine 認証と制御、及びデバイスプロファイルを1製品で実現可能 Authentication Authorization Profiler BYODを上記機能の連携で実現 更に、ゲストアクセス、検疫のサービスを同時に実現することも - ISE: Identity Services Engine ACS NAC Profiler NAC Manager Guest Server NAC Server NAC Collector