Cisco ISE技術解説 ~Identity Services Engine~

Slides:

Advertisements

Similar presentations

WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオントレーニング.

Advertisements

CCP Express 3.1 簡単設定ガイド ※本資料は 2015/06 現在のハードウェア / ソフトウェアにおけるガイドです.

1 製品説明プレゼンテーション FortiAPの優位性プロダクトラインナップのご紹介プレゼンでソリューションの特長を伝えましょう.

1 会社名：氏名：日付：会社名：氏名：日付：. 2 内容企業のセキュリティ対策状況ユーザー管理の重要性ユーザー管理製品市場状況 Active Directory とは Active Directory 利用に最低限必要な準備ユーザー管理のご提案内容最初の取り組み：ユーザー情報の統合管理.

1 ルータ･スイッチ基礎教育（基礎編）. 2 Agenda ～基礎編～シスコ機器との接続方法 IOS とメモリの種類ルータの起動順序 IOS のアクセスレベルパスワードの設定インターフェースの設定 show コマンド copy コマンド debug コマンド CDP （ Cisco Discovery.

BBT 大学 Ruby on Rails 開発環境セットアップマニュアル Mac 版 1.1 最終更新日： 2013/1/5.

ご提案書『ホテルインターネットサービスソリューション』

SAP 環境における Active Directory 導入のメリット

安全なログオン手順 2004/08/26 Port139 伊原秀明.

スクリーンショットの取り方コラボエンドポイントスクリーンショットの取得シスコシステムズ合同会社テクニカルソリューションズアーキテクト

揮発性情報 2003/05/25 伊原秀明(Port139).

SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL

.NET テクノロジーを利用した SAP ソリューションの拡張（３階層化）（評価環境構築ガイド）

Ad / Press Release Plan (Draft)

Novell ZENworks Desktop Management Starter Campaign

SMART/InSightのセキュリティ機能と設計

Windows Azure 仮想マシン入門.

CCP Express 3.1 初期設定ガイド(WAN/LAN)

Active Directory って？ Windows Server で標準提供されるディレクトリサービス・グローバルなデータストア

SharePoint Server において構成ウィザードが失敗する場合のトラブルシューティング

柔軟な優先度制御が可能なキャンパス間無線LANローミング

電子社会設計論第１１回 Electronic social design theory

GoNET ～ Ver 2.3 新機能紹介～ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月

有無線ネットワークのアクセスコントロールポリシーコントロールのための (Bring Your Own Device) BYODソリューション提案書 2015.

キャンパスクラウドによる実験環境の構築情報ネットワーク特論講義資料.

無線LANセキュリティの救世主 IEEE802.1ｘについて

Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.

2005年11月17日 Webサービス II (第6回) 年11月17日.

WindowsNTによるLAN構築ポリテクセンター秋田情報・通信系.

ファイアウォール　基礎教育（１日目）.

.NET テクノロジーを利用した SAP ソリューションの拡張（３階層化）（評価環境構築ガイド）

iStorage NSシリーズウィルスチェック運用の手引き

GoNET　競合比較　POPCHAT 2015年04月アイビーソリューション株式会社.

ファイアウォール　基礎教育（２日目）.

スマホの悩み解決ブック～認証サーバ編～シスコシステムズ合同会社 2017年2月.

マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター

いつでも! どこでも! 『働き方改革』が解決します!! SMA100シリーズで安心・安全リモートアクセス

IBAQS-FX 製品紹介 2018年09月アイビーソリューション株式会社 Ver 4.8.

Cisco Startシリーズ製品概要＆エントリーモデル編

九州大学キャンパスクラウド利用法情報ネットワーク特論講義資料.

ようこそいらっしゃいました混在環境にWindows Server がいると何がうれしいのか？についてお話させていただきます。

大阪大学大学院情報科学研究科博士前期課程２年宮原研究室土居聡

ISE : Identity Service Engine Overview

パーソナル・ファイアウォールネットワーク内部の特定の通信を保護するための簡単な手段

Cisco Router GUI設定 CCPE3.2 紹介本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

SAML 2.0解説その2 sstc-saml-tech-overview-2.0-draft-09を元に

Cisco? 最先端の研究活動を支えるオープンかつセキュアな ICT 基盤を構築 Why 課題ソリューション結果～今後ユーザ事例

Cisco dCloud dCloud登録ルータ配下からのvWLCへのAP接続シスコシステムズ合同会社 2016年7月.

CCP Express 3.3 アップグレードガイド

インターネットにおける真にプライベートなネットワークの構築

Cisco Umbrella のご紹介 2018 年 1 月.

キャンパスクラウドによる実験環境の構築情報ネットワーク特論講義資料.

RD セッションホストにおける RDC クライアントのシングルサインオン (SSO) について

Cisco dCloud dCloudへのルータの登録についてシスコシステムズ合同会社 2016年7月.

gate-toroku-system のしくみ

～第5回認証のためのプロキシー Web Application Proxy

Cisco Configuration Professional Express 3.3 アップデート

GoNET-MIS　のご紹介 2015年04月アイビーソリューション株式会社 Ver 2.1.

『GoNET-SR 機能一覧』 2017年04月アイビーソリューション株式会社 Ver 3.4.

ネットワークをシンプルにするエンタープライズ NFV

IDSとFirewallの連携によるネットワーク構築

gate登録システム：設計ポリシーから使い方まで

Ibaraki Univ. Dept of Electrical & Electronic Eng.

CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマバージョン対応)

異種セグメント端末による分散型仮想LAN構築機構の設計と実装

情報ネットワーク岡村耕二.

Cisco Umbrella セミナー第4回　Umbrella 設定概要.

プロトコル番号長野英彦.

VPNクライアント接続サーバー保守のための安全な経路＋作業者単位のアクセス制御簡単な図（網羅性より象徴性）

Presentation transcript:

Cisco ISE技術解説 ~Identity Services Engine~ シスコシステムズ合同会社パートナーシステムズエンジニアリングパートナーシステムズエンジニア和田一寿

Agenda Overview Authentication& Authorization Profiler Other(Guest, Posture) Agenda

Overview

Identity Services Engine Overview - ISE Features ISE: Identity Services Engine ACS NAC Profiler NAC Manager Guest Server NAC Server NAC Collector

Authentication& Authorization

Authentication 認証方式と利用パターン 802.1X MAB Web Auth 802.1x 登録済みユーザ MAB 登録済みデバイス（802.1xサプリカントなし） Web Auth 802.1X デバイスを持たないユーザ証明書認証に失敗したユーザ SSC 従業員 SSC 従業員（証明書なし） Guest 802.1X 802.1x MAC Authentication Bypass (MAB) 端末からのDHCP/ARPパケットをトリガーにして、MACアドレス情報を元に認証を実施 802.1xサプリカントを持たない端末に有効 Web Authentication 端末からのhttp通信をリダイレクトし、認証用ポータル画面を表示ゲストアクセスに有効、802.1x認証実施不可の場合のフォールバックとしての利用も可

Authentication 概要 Authentication 認証リクエストを分類、ルール（認証プロトコル、参照データベース）を選択複数ルールを組み合わせた柔軟な設定が可能（ファーストマッチ） Condition: 認証リクエスト分類条件 Allow Protocol: 認証サービス Identity Source: 認証データベース

Authentication Condition RADIUSパケットに含まれる情報を元にリクエストを分類認証方式（802.1x / MAB / Web Authentication）アクセス形態（Wired / Wireless）クライアントロケーション　など

Authentication Condition RADIUSパケットに含まれる情報を元にリクエストを分類認証方式（802.1x / MAB / Web Authentication）アクセス形態（Wired / Wireless）クライアントロケーション　など Radius Service-Type: Framed Radius NAS-Port-Type: IEEE802.11

Allow Protocols Authentication 認証サービスは以下の2つサポートされる認証プロトコル Allowed Protocol：事前定義された認証プロトコルリストから選択 Proxy Service：事前定義されたRADIUSサーバから選択サポートされる認証プロトコル PAP/CHAP/MS-CHAPv1,2/EAP-MD5 EAP-TLS PEAP(w/MSCHAPv2, EAP-GTC, EAP-TLS) EAP-FAST(MSCHAPv2, EAP-GTC)

802.1X Authentication データベース Internal Users がデフォルトで使用されるローカル認証データベースユーザをグループ化し、グループと連携したポリシーアサインが可能外部データベースサポート(AD,LDAP etc.) Active Directory内情報の検索、ルールへの利用などが容易 Users: 802.1x認証ユーザデータベース Endpoints: MAB用MACアドレスデータベース

Identity Source Authentication 以下データベースをサポートデータベース OS / バージョン ISE 内部エンドポイント, 内部ユーザデータベース RADIUS RFC 2865-compliant RADIUS servers Active Directory Microsoft Windows Active Directory 2000 Microsoft Windows Active Directory 2003, 32-bit のみ Microsoft Windows Active Directory 2003 R2, 32-bit のみ Microsoft Windows Active Directory 2008, 32-bit and 64-bit Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit LDAP Servers SunONE LDAP Directory Server, Version 5.2 Linux LDAP Directory Server, Version 4.1 NAC Profiler, Version 2.1.8 以上 Token Servers RSA ACE/Server 6.x Series RSA Authentication Manager 7.x Series RADIUS RFC 2865-compliant token servers SafeWord Server prompts

Authorization概要 Authorization 認証済みIdentity Groupに対してAuthorization Profile（アクセス可否 / dACL / VLAN / 検疫適用の有無など）を適用する日時・場所などの条件（Authorization Condition）をIdentity GroupにAND / OR で掛け合わせて、Authorizationの適用対象をさらに細かく絞る設定も可能 Identity Groups: 認証済みユーザ・デバイスグループ Condition: Authorizationi対象限定条件（オプション） Permissions: アクセス制御内容（Authorization Profile / SGT）

Authorization Condition 認証方式 / ロケーション / 日時 / 検疫状況 / OSタイプ　などを組み合わせて Authorization対象を適切に絞るための条件を作成する

Authorization Profile アクセス可否 / dACL / VLAN / 検疫などの制御内容を定義する Access Type: アクセス可否 (ACCESS_ACCEPT/ACCESS_REJECT) Downloadable ACLS VLAN Assignment Posture Discovery Web Auth Voice etc.

ISE vs ACS Authentication& Authorization MigrationGuide 無線 / 有線の802.1xやVPNを認証する形でACSを導入しているユーザ環境であれば、ISEへマイグレーション可能現時点でISEがTACACS+を未サポートであることから、コマンド権限ベースの機器(IOS Router, Switch)の管理目的であれば、ACSを推奨 TACACS+の実装時期は未定 MigrationGuide Cisco Identity Services Engine Migration Guide for Cisco Secure ACS 5.1 and 5.2, Release 1.0.4 http://www.cisco.com/en/US/docs/security/ise/1.0.4/migration_guide/ise104_mig_book.html

Profiler

ISE Profiler概要 Windows XP Windows 7 Mac OS iPhone iPad Android IP-Phone Printer ISE Endpoint Profiling ネットワーク上の「どこ」に「何」が接続されているかを分類（Profiling）する

ISE Profiler概要 BYOD ~Bring Your Own Device~ 同一ユーザがネットワークにアクセスするとき会社貸与PCでアクセスした場合、Vlan10 プライベートiPhoneでアクセスした場合、Vlan20 アクセスデバイスを判別し、ネットワークへのアクセス権限を柔軟に変更 Vlan10 Vlan20 ISE WLAN Controller Access Point 社内ネットワークインターネット会社貸与PC プライベート端末同一ユーザ Mac OS → Vlan10をアサイン iPhone → Vlan20をアサイン

ISE Profiler概要 MAB ~Mac Authentication Bypass~ MAB ~Mac Authentication Bypass~ (802.1x環境) ノンユーザデバイスや802.1x非対応デバイスはネットワークに多数存在し、それらにはMAC Addressによる認証バイパスが適用されている Profiling結果に基づいて適切なポリシーを適用することが可能 MAC Address詐称による不正アクセスを防ぐことも可能 MAC詐称端末 MAB対象端末セキュアネットワーク

ISE Profiler “Profiling” Endpoint Profiling Endpointの “Attribute”（各種情報）を収集し、それらのAttributeと Profile RuleからProfilingを行う Endpoint の各種情報(Attribute)を収集 MAC OUI: Apple DHCP host-name: iPhone User-Agent: iPhone OS ISE Profiling: 　このデバイスは “iPhone ”

ISE Profiler “Profiling” Probe ISEはEndpoint attributeを収集する為の“Probe” を持つ収集したいAttribute （Profileに必要な情報） ISE Profilerを導入する環境上記のような項目と照らし合わせ、適切なProbeを利用する Probe DHCP SNMP Query DHCP SPAN SNMP Trap HTTP DNS RADIUS Netflow ISE

ISE Profiler “Profiling” Probe, Attribute 各Probe と主なAttributeの対応は下表のとおり Probe Attribute DHCP DHCP SPAN host-name, dhcp-class-identifier, MAC OUI HTTP cookie, user-agent RADIUS Framed-IP-Address, Calling-Station-Id, User-Name SNMP Query SNMP Trap MAC address, system, interface, cdp informations Netflow src/dst IP, src/dst MAC, protocol DNS FQDN

Configuration Administration > System > Deployment > Node Profiling Configuration タブ各種Probeの設定

ISE Profiler “Profiling” Profiling Policy Endpoint ProfilingはProfiling Policyによって行われる Profiling PolicyでEndpoint Attributeから、Profileする為に利用する情報と値を指定する Endpoint Profilingを単一のRuleだけで実行すると、Profiling 精度の低下が想定されるので、複数Ruleを用いたProfilingにより精度を向上させることが可能また、単一RuleによるProfilingでは偽装Endpointにより誤ったProfilingをしてしまう可能性が生じる（ex. MAC Address偽装による誤ったProfile）以上から、複数Ruleの併用による正しいEndpoint Profiling Systemを構築するのが望ましい ex. Profiling Policy “Apple-iPhone” Rule1: DHCP hostname に“iPhone ”が含まれている　　　　かつ Rule2: User Agent に“iPhone; U; CPU iPhone OS”が含まれている場合 Apple-iPhoneだとProfile

ISE Profiler “Profiling” Certainty Factor: CF ProfilingはProfiling Policyに含まれるCertainty Factorにより判断される Minimum Certainty Factor 各Profiling Policyに設定されている値（1～65535） Minimum Certainty Factor以上のCertainty Factorを持つEndpointがそのPolicyに該当する（Policyに該当する/しないの最終判断を行う各Endpointの値） Certainty Factor 各Profiling Policyを構成する“Rules” によって、そのEndpointがある条件を満たした際に付与される値（1～65535） ex. Profiling Policy “Apple-iPhone” Rule1: DHCP hostname に“iPhone ”が含まれている Rule2: User Agent に“iPhone; U; CPU iPhone OS”が含まれている Rule1を満たす場合 CF10増加, Rule2を満たす場合 CF20増加 CFが30以上（Minimum CF = 30）で“Apple-iPhone”だとProfile

Configuration Policy > Profiling Profiling Policyの作成

Configuration Policy > Profiling Minimum Certainty Factor: “Rules” によってCertainty Factorが20以上の場合 [Apple-iPhone] としてProfileされる Rules: Probeによって収集した各Attributeとそれらに付与するCertainty Factor の値を設定

Configuration Policy > Policy Elements > Conditions Profile Policyで利用するProfile Ruleの作成

Configuration Policy > Policy Elements > Conditions Profile Ruleの作成作成したRuleを各種Profile Policyにて利用可能（後述） Profile Policy毎に新規で設定することも可能

Report Administration > Identity Management > Identities > Endpoints 各種Profile結果とEndpointの情報を見ることが可能

Report Administration > Identity Management > Identities > Endpoints 各種Profile結果とEndpointの情報を見ることが可能

Other(Guest, Posture)

Guest 概要 Guest 無線 / 有線アクセス環境に、統合ゲストサービスを提供 Guest Server サービス : スポンサーによるゲストアカウント発行セルフレジストレーションセルフデバイス登録 Guest Server 機能概要: 複数ポータルの提供 (Web Auth etc.) ポータル画面のカスタマイズゲストユーザのポリシー設定（アクセス権、通知方法、アカウント有効期限等）スポンサーグループのポリシー設定（アカウントの一括発行、発行可能なゲストユーザポリシー等）

Guest 概要 Guest Account 発行

Posture 概要 Posture Posture = セキュリティポリシーの検疫最新のWindows パッチが適用されているかアンチウイルスインストール済? 最新? アンチスパイウェアインストール済? 最新? ユーザとシステムのIdentityとして、ポスチャ状態を含めることが可能にチェック可能な項目 AV / AS, レジストリ, ファイル, アプリケーション / プロセス, Windows アップデート, WSUS など準拠していなかったら – 自動修復, 警告, ファイルのダウンロード NAC Agent (インストール版)とWeb Agent (一時利用) に対応

Posture 概要 Posture Wired Wireless VPN 従業員ポリシ: Microsoft パッチ最新　最新 McAfee AV 　インストール済み　動作中　最新バージョン企業アプリケーション　稼働中 Posture 契約社員ポリシ: アンチウィルスソフト　インストール済　動作中　最新Version ゲストポリシ: 利用条件に同意 (ポスチャチェックなし – Internet Only) Wired Wireless VPN

まとめ

Identity Services Engine まとめ ISE: Identity Services Engine 認証と制御、及びデバイスプロファイルを1製品で実現可能 Authentication Authorization Profiler BYODを上記機能の連携で実現更に、ゲストアクセス、検疫のサービスを同時に実現することも - ISE: Identity Services Engine ACS NAC Profiler NAC Manager Guest Server NAC Server NAC Collector