セキュリティ : Cisco NAC アプライアンス(Clean Access)

Clean Access:ネットワーク スキャニング機能を使用して、エージェント チェックのバイパスを試みるユーザを検出する方法

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Clean Access は、ネットワーク管理者が指定するネットワーク アクセスの要件をユーザが満たすことができるセキュリティ ポリシー コンプライアンス ソリューションです。 Cisco Clean Access は、ユーザがアクセス要件を満たすまでネットワークへのアクセスを制限します。 また、Cisco Clean Access は、システムを評価し、コンプライアンス違反を検出し、コンプライアンスを実現するための修復を支援する使いやすいクライアント アプリケーションを通じて、要件への準拠を支援します。 現在、このエージェント(クライアントアプリケーション)は Windows 98、Windows Me, Windows 2000 専門家および Windows XP が含まれている Microsoft Windows オペレーティング システムでだけ利用できます(ホームおよび親プロの 32 ビット バージョンだけサポートされます)。

準拠性必要条件チェックを避けるためにエージェント インストールを避けたいと思うかもしれない悪意のあるユーザは Windows 以外 の システムとして提起するためにシステムを修正できます。 この資料は方法で推奨事項をそのようなユーザを検出する可能性としてはネットワークにアクセスをブロックする提供したものです。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • Windows 98、Windows Me, Windows 2000 専門家および Windows XP (ホームおよび親プロの 32 ビット バージョンだけサポートされます)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

解決策

クライアント ベース スキャンおよび治療に加えて、Cisco Clean Access はまたシステムのネットワークベース スキャンを行い、Webベース治療を提供するためにメカニズムを提供します。 ネットワークベース スキャンは Windows 以外 の システムのために主に使用されます。 ただし、スキャンは Windows 以外 の システムに制限されません。

ネットワーク スキャン機能を使用するために、ネットワーク管理者は Cisco Clean Access サーバで Nessus オープン ソース脆弱性スキャナーのための必須プラグインをダウンロードし、インストールする必要があります。 Cisco NAC アプライアンスネットワーク スキャンの設定を参照して下さい Nessus プラグインをダウンロードしインストールする- Clean Access Manager インストレーション コンフィギュレーション ガイドは、方法についての情報のための 4.1(2) をリリースします

このシナリオで Nessus 複数のプラグインを使用できます。 そのうちのいくつかはあります(これは包括的でないリストです):

  • ターゲット システムに対してこれらのプラグインを実行する時オペレーティング システム識別のためのプラグイン(たとえば、プラグイン #11936) —、スキャンの結果検出するオペレーティング システム名前をつけます。 これらのプラグインは Cisco Clean Access の内で使用されるために修正される必要があります。 具体的には、プラグインはスキャンされるオペレーティング システムが非 Windows オペレーティング システムではない場合ホールを戻すために修正される必要があります。 たとえばスキャンされる Linuxシステムが Windows システムであることをなればそしてプラグインはホール結果を返す必要があります。

  • ターゲット システムに対してこれらのプラグインを実行する時ポート スキャンのためのプラグイン(たとえば、nmap.nasl) —、等開港のリストを、リスナー提供するために、それらを設定できます。 これらのプラグインにまたどのオペレーティング システムが TCP 指紋採取のような手法によるホストで使用されるか検出する機能があります。 オペレーティング システム識別のためのプラグインと同様にこれらのプラグインを修正する必要があります。 それらはスキャンされるオペレーティング システムが非 Windows オペレーティング システムではない場合ホールを戻す必要があります。 期待されたオペレーティング システムが非 Windows オペレーティング システムではない場合具体的には、ホールを返品するためにプラグインを修正する必要があります。 たとえばスキャンされる Linuxシステムが Windows システムであることをなればそしてプラグインはホール結果を返す必要があります。

  • Windows システムからの情報を得るプラグインは(たとえば、サーバ メッセージ ブロック[SMB]関連のプラグインおよびプラグイン #10859) —このアプローチの後ろの推論 Linux ホスト、Mac ホスト、または他のどの Windows 以外 の システムもの意味するマシンが実際に Windows システムであるかどうか検出するには十分に十分であることです。 これをする最も簡単な方法はとりわけプラグイン id# 10859 Nessus いくつかの SMB 関連のプラグインを有効に することです(SMB はホスト SID を得ます)。 このプラグインは Windows システムの戻り値だけべきです。 それ故に、情報を返せば、それはシステムがウィンドウズオペレーティングシステムを稼動すること安全に完了することができます。 また NETBIOS を使用する Windows システムからの情報を回復 するプラグインを使用できます。 システムが NETBIOS 情報を返す場合、Windows システムであることは可能性が高いです。

    注意 注意: Samba を実行する Linux マシンのような false positive があるかもしれません。

Cisco Clean Access Manager を Nessus プラグインを使用してネットワーク スキャンを行うために設定するためにこれらのステップを完了して下さい:

  1. ブラウザの Cisco Clean Access Manager Webコンソールを開き、管理者としてログインして下さい。

  2. スキャン セットアップページにアクセスするために Clean Access > Network Scanner の順に選択 して下さい。

  3. ユーザの役割にロールが設定されているとスキャンしたくすべてに設定 される オペレーティング システムはこの資料内の Windows システム箇条書き項目からの情報を得るために述べられるプラグインのプラグインを選択します(たとえば、#10859)。

  4. …」「脆弱の設定 して下さい 穴があくために設定 して脆弱性セクションの INFO 警告して下さい

  5. ウィンドウズオペレーティングシステムのためのスキャンをディセーブルにして下さい:

    1. オペレーティング システム ドロップダウン リストから『WIN_ALL』 を選択 して下さい。

    2. この選択のためのスキャンをディセーブルにして下さい。

要約

この資料は Cisco Clean Access ネットワーク スキャン機能を Windows 以外 の システムを使用するためにふりをするユーザを検出するのに使用するようにメカニズムを提供したものです。 利用可能 な オペレーティング システムを検出するでよりよいジョブをすることができる他の複数のプラグインがあるかもしれませんことに注目して下さい。 一例として、nmap ネットワーク スキャン ツールを使用して、Sys セキュリティからの xprobe2 は、等必要によりよく合うかもしれません。 またクライアントマシンがパーソナルファイアーウォールを実行する場合ネットワーク スキャンが信頼できる結果を提供できないかもしれませんことに注目して下さい。

注意事項

  • Nessus は維持可能なネットワーク セキュリティの登録商標です。

  • Nessus プラグインを得るために維持可能なセキュリティで登録する必要があります。

  • /作成者プラグインが修正するとき、Nessus および維持可能なネットワーク セキュリティ用の認可および商標必要条件と対応であることを確認して下さい。


関連情報


Document ID: 67052