Segurança : Cisco Identity Services Engine

Opção 55 da lista da requisição de parâmetro DHCP usada para perfilar o exemplo de configuração dos valores-limite

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Outubro 2015) | Feedback

Introdução

Este documento descreve o uso da opção 55 da lista da requisição de parâmetro DHCP como um método alternativo perfilar os dispositivos que usam o Identity Services Engine (ISE).

Contribuído por Harisha Gunna e por Pula de Todd, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem:

  • Conhecimento básico do processo de descoberta DHCP
  • Experiência com o uso do ISE configurar o costume que perfila regras

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 1.2 ISE
  • IOS de Apple
  • Windows 8

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Em disposições da produção ISE, algum do distribuído mais comumente perfilando pontas de prova inclui o RAIO, o HTTP, e o DHCP. Com reorientação URL no centro dos trabalhos ISE, a prova HTTP é amplamente utilizada a fim capturar dados importantes do valor-limite da corda do agente de usuário. Contudo, em alguns casos do uso da produção, a reorientação URL não é desejada e o dot1x preferered, que faz mais difícil perfilar exatamente um valor-limite. Por exemplo, um empregado PC que conecte a um conjunto de serviço corporativo Indentifier (SSID) obtém o acesso direto quando seu iDevice pessoal (iPhone, iPad, iPod) obtiver o acesso ao Internet somente. Em ambas as encenações, os usuários são perfilados e traçados dinamicamente a um grupo mais específico da identidade para a harmonização do perfil da autorização que não confia no usuário para abrir um navegador da Web. Uma outra alternativa de uso geral é harmonização do hostname. Esta solução é imperfeita porque os usuários puderam mudar o hostname do valor-limite a um valor não padronizado.

Nos casos secundários tais como estes, a ponta de prova DHCP e a opção 55 da lista da requisição de parâmetro DHCP podem ser usadas como um método alternativo para perfilar estes dispositivos. O campo da lista da requisição de parâmetro no pacote DHCP pode ser usado a fim tomar as impressões digitais um sistema operacional do valor-limite bem como um Intrusion Prevention System (IPS) usa uma assinatura a fim combinar um pacote. Quando o sistema operacional do valor-limite envia um DHCP descobre ou o pacote de requisição no fio, o fabricante inclui uma lista numérica de opções de DHCP que pretende receber do servidor DHCP (roteador padrão, Domain Name Server (DNS), servidor TFTP, etc.). A ordem por que as requisições de cliente de DHCP estas opções do server são razoavelmente originais e podem ser usadas a fim tomar as impressões digitais um sistema operacional do origem específica. O uso da opção da lista da requisição de parâmetro não é tão exato como a corda do agente de usuário HTTP, contudo, é distante mais controlado do que o uso dos nomes de host e de outros dados estático-definidos.

Nota: A opção da lista da requisição de parâmetro DHCP não é uma solução perfeita porque os dados que produza são vendedor-dependentes e podem ser duplicados por tipos de dispositivo múltiplo.

Antes que você configure o ISE que perfila regras, o uso Wireshark captura de um valor-limite/Switched Port Analyzer (SPAN) ou a descarga do Transmission Control Protocol (TCP) captura no ISE a fim avaliar as opções da lista da requisição de parâmetro no pacote DHCP (se presente). Esta captação da amostra indica as opções da lista da requisição de parâmetro DHCP para uma empresa PC de Windows 8.

A corda da lista da requisição de parâmetro que resulta é escrita no seguinte formato vírgula-separado: 1,15,3,6,44,46,47,31,33,121,249,252,43. Use este formato ao configurar o costume que perfila circunstâncias no ISE.

A seção de configuração demonstra o uso do costume que perfila circunstâncias para combinar iPhones, iPads, e iPod em um único grupo da identidade chamado Apple-iDevice. Ao contrário da corda da lista da requisição de parâmetro que é original a Windows 8, Apple usa um grupo comum de cordas através dos tipos do ponto final múltiplo. Devido a isto, não é possível diferenciar o tipo do iDevice de Apple com o uso da opção da lista da requisição de parâmetro apenas. Esta é uma configuração aceitável em disposições da produção ISE porque a mesma política da autorização é aplicada tipicamente aos iPhones, aos iPads, e aos iPod.

Configurar

  1. Entre ao ISE admin GUI e navegue à política > aos elementos > às condições da política > perfilando. O clique adiciona a fim adicionar uma condição de perfilamento feita sob encomenda nova. Neste exemplo, quatro regras exclusivas são definidas para as impressões digitais as mais de uso geral da lista da requisição de parâmetro do iDevice de Apple. Refira Fingerbank.org para uma lista completa de valores da lista da requisição de parâmetro. 

    Nota: A caixa de texto do valor de atributo não pôde indicar todas as opções numéricas, e você pôde precisar de enrolar com o rato ou o teclado a fim ver a lista completa.





  2. Com as condições do costume definidas, navegue à política > perfilando > perfilando Polcies a fim alterar uma política de perfilamento atual ou a fim configurar um novo. Neste exemplo, a política de Apple-iDevice do padrão é editada a fim incluir as condições novas da lista da requisição de parâmetro.

  3. Adicionar uma condição composta nova à regra da política do perfilador de Apple-iDevice e assegure-se de que OU o operando esteja selecionado de modo que algumas das cordas da lista de pedido do parâmetro configurado possam conduzir a um fósforo. Altere o fator da certeza como exigido na ordem para conseguir o resultado de perfilamento desejado.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Navegue à administração > ao Gerenciamento de identidades > às identidades > aos valores-limite e edite o perfil do valor-limite para o dispositivo/MAC address.
  • Confirme que o EndPointPolicy é Apple-iDevice, que o EndPointSource é ponta de prova DHCP, e que a DHCP-parâmetro-pedido-lista avalia o fósforo os valores da circunstância previamente configurou.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

  • Verifique que os pacotes DHCP alcançaram os Nós da política ISE que executam a função de perfilamento (com ajudante-endereço ou PERÍODO).
  • Use as operações > pesquisam defeitos > ferramentas de diagnóstico > ferramentas gerais > de descarga TCP ferramenta a fim executar nativamente captações da descarga TCP do ISE admin GUI.
  • Refira o banco de dados da impressão digital de Fingerbank.org DHCP para uma lista atual de opções da lista da requisição de parâmetro. 
  • Assegure-se de que os valores corretos da lista da requisição de parâmetro estejam configurados no ISE que perfila circunstâncias. Algumas das cordas mais de uso geral incluem:
    tipo de dispositivoValor da lista da requisição de parâmetro
    Windows XP
    1,15,3,6,44,46,47,31,33,249,43
    1,15,3,6,44,46,47,31,33,249,43,252
    1,15,3,6,44,46,47,31,33,249,43,252,12
    15,3,6,44,46,47,31,33,249,43
    15,3,6,44,46,47,31,33,249,43,252
    15,3,6,44,46,47,31,33,249,43,252,12
    28,2,3,15,6,12,44,47
    Windows Vista/7 ou server 2008
    1,15,3,6,44,46,47,31,33,121,249,43
    1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,252
    1,15,3,6,44,46,47,31,33,121,249,43,195
    Windows 81,15,3,6,44,46,47,31,33,121,249,252,43
    Mac OS X1,3,6,15,112,113,78,79,95
    1,3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95
    3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79
    1,3,6,15,119,95,252,44,46,101
    1,3,6,15,119,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252,44,47
    1,3,6,15,112,113,78,79,95,252,44,47
    1,3,12,6,15,112,113,78,79
    60,43
    43,60
    1,3,6,15,119,95,252,44,46,47
    1,3,6,15,119,95,252,44,46,47,101
    iPhone, iPad, iPod
    1,3,6,15,119,78,79,95,252
    1,3,6,15,119,252
    1,3,6,15,119,252,46,208,92
    1,3,6,15,119,252,67,52,13

Os determinados comandos de exibição dos apoios da ferramenta Output Interpreter (clientes registrados somente). Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116235