セキュリティ : Cisco Identity Services Engine - Japanese

エンドポイント 設定例をプロファイルするのに使用される DHCP パラメータ要求リスト オプション 55

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 19 日) | フィードバック

概要

この資料は代替方式として DHCP パラメータ要求リスト オプション 55 の使用を Identity Services Engine (ISE)を使用するデバイスをプロファイルする記述したものです。

Harisha Gunna およびタッド プーラによって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco では次の前提を満たす推奨しています。

  • DHCP 発見のプロセスの基本的な知識
  • ルールをプロファイルするカスタムを設定する ISE の使用のエクスペリエンス

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ISE バージョン 1.2
  • Apple iOS
  • Windows 8

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

本番 ISE 配備では、一般には展開されるのいくつかはプローブをプロファイルして RADIUS、HTTP および DHCP が含まれています。 ISE 作業の流れのセンターの URL リダイレクションによってユーザーエージェント ストリングからの重要なエンドポイント データをキャプチャ するため、HTTP プローブは広く利用されているです。 ただし、いくつかの本番ユース ケースで、URL リダイレクションは適切ではないし、正確にエンドポイントをプロファイルすることさらに困難にする Dot1x は preferered。 たとえば個人的な iDevice (iPhone、iPad、iPod)がインターネットアクセスだけを得る間、団体サービス セット Indentifier (SSID)に接続する従業員 PC はフルアクセスを得ます。 両方のシナリオで、ユーザは Webブラウザを開くためにユーザに頼らない許可 プロファイル一致のための特定の識別グループにプロファイルされ、動的にマッピング されます。 もう一つの広く使われた代替はホスト名一致です。 このソリューションはユーザが標準外値にエンドポイント ホスト名を変更するかもしれませんので不完全です。

これらのような稀な場合ではこれらのデバイスをプロファイルするのに、DHCP プローブおよび DHCP パラメータ要求リスト オプション 55 は代替方式として使用することができます。 DHCPパケットのパラメータ要求リスト フィールドは侵入防御システム(IPS)と同じようにエンドポイント オペレーティング システムの指紋をとるために使用しますパケットを一致するためにシグニチャを使用することができます。 エンドポイント オペレーティング システムがネットワークの DHCP 検出するか要求パケットを送信 するとき、製造業者は DHCPサーバ(デフォルトルータ、Domain Name Server (DNS)から、TFTPサーバ、等)受け取るように意図する DHCP オプションの数字リストが含まれています。 DHCP クライアントがサーバからのこれらのオプションを要求する順序はかなりユニークで、特定ソース オペレーティング システムの指紋をとるために使用することができます。 パラメータ要求リスト オプションの使用は正確が程に HTTP ユーザーエージェント ストリングではないです、ホスト名および他の静的定義 データの使用よりはるかに制御されています。

: DHCP パラメータ要求リスト オプションは、ベンダに依存 して 多数のデバイス型によって複写することができる生成 する データので完全なソリューションではないです。

DHCPパケットのパラメータ要求リスト オプションを評価するためにエンドポイント/スイッチ型ポートアナライザ (SPAN)からのルール、使用 Wireshark キャプチャまたは ISE の伝送制御 プロトコル(TCP) ダンプするキャプチャをプロファイルする ISE を設定する前に(もしあれば)。 このサンプル キャプチャは Windows 8 企業 PC のための DHCP パラメータ要求リスト オプションを表示する。

生じるパラメータ要求リスト ストリングは次のコンマで分けられた 形式に書かれます: 1,15,3,6,44,46,47,31,33,121,249,252,43。 条件をプロファイルするカスタムを設定した場合 ISE でこの形式を使用して下さい。

コンフィギュレーションセクションは AppleiDevice と呼ばれる単一識別グループに iPhone、iPads および iPod を一致するためにカスタム プロファイル状態の使用を示します。 Windows 8 にユニークであるパラメータ要求リスト ストリングとは違って、Apple は公有地一組の複数のエンドポイント タイプを渡るストリングを使用します。 このような理由で、単独でパラメータ要求リスト オプションの使用の Apple iDevice 型を区別することはできません。 これは同じ承認ポリシーが iPhone、iPads および iPod に一般的に適用されるので本番 ISE 配備の受諾可能な設定です。

設定

  1. ISE admin GUI にログオンし、ポリシー > ポリシー要素 > 状態> ナビゲート しまプロファイルします。 新しいカスタム プロファイル状態を追加するために『Add』 をクリック して下さい。 この例では、4 つの固有のルールは最も広く使われた Apple iDevice パラメータ要求リスト フィンガープリントのために定義されます。 パラメータ要求リスト値の完全なリストのための Fingerbank.org を参照して下さい。 

    : 属性値 テキストボックスは数字オプションすべてを表示する 詳細なリストを表示するためにマウスかキーボードによってスクロールする必要があるかもしれません。





  2. ポリシーに、ナビゲート定義されるカスタム状態と > Polcies をまたは新しいものを設定するため現在のプロファイル ポリシーを修正するためにプロファイルし > プロファイルします。 この例では新しいパラメータ要求リスト状態を含むために、デフォルト AppleiDevice ポリシーは編集されます。

  3. 新しい複合条件(COBOL)を AppleiDevice プロファイラー ポリシー ルールに追加し、設定されたパラメータ 要求リスト ストリングのうちのどれかが一致という結果に終る場合があるようにまたはオペランドが選択されるようにして下さい。 望ましいプロファイル結果を実現させるために確実度ファクタを要求に応じて修正して下さい。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

確認

このセクションでは、設定が正常に機能していることを確認します。

  • Administration > アイデンティティ管理 > 識別 > エンドポイントにナビゲート し、デバイス/MAC アドレスのためのエンドポイント プロファイルを編集して下さい。
  • EndPointSource が DHCP プローブであること、そしてこと EndPointPolicy が AppleiDevice である確認して下さい、dhcp パラメータ要求リストが評価しますこと前もって設定された条件値を一致する。

特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

  • DHCP パケットがプロファイル機能を行う ISE ポリシー ノードに到着したことを確認して下さい(helper-address か SPAN と)。
  • オペレーションを > 解決します > 診察道具 > 汎用ツール > TCP ダンプする ツール ISE admin GUI からネイティブで TCP ダンプするキャプチャを実行するために使用して下さい。
  • パラメータ要求リスト オプションの現在の一覧のための Fingerbank.org DHCP フィンガープリント データベースを参照して下さい。 
  • 正しいパラメータ要求リスト値が状態をプロファイルする ISE で設定されるようにして下さい。 いくつかの一般には使用されたストリングは下記のものを含んでいます:
    デバイス タイプパラメータ要求リスト値
    Windows XP
    1,15,3,6,44,46,47,31,33,249,43
    1,15,3,6,44,46,47,31,33,249,43,252
    1,15,3,6,44,46,47,31,33,249,43,252,12
    15,3,6,44,46,47,31,33,249,43
    15,3,6,44,46,47,31,33,249,43,252
    15,3,6,44,46,47,31,33,249,43,252,12
    28,2,3,15,6,12,44,47
    Windows Vista/7 かサーバ 2008
    1,15,3,6,44,46,47,31,33,121,249,43
    1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,252
    1,15,3,6,44,46,47,31,33,121,249,43,195
    Windows 81,15,3,6,44,46,47,31,33,121,249,252,43
    Mac OS X1,3,6,15,112,113,78,79,95
    1,3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95
    3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79
    1,3,6,15,119,95,252,44,46,101
    1,3,6,15,119,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252,44,47
    1,3,6,15,112,113,78,79,95,252,44,47
    1,3,12,6,15,112,113,78,79
    60,43
    43,60
    1,3,6,15,119,95,252,44,46,47
    1,3,6,15,119,95,252,44,46,47,101
    iPhone、iPad、iPod
    1,3,6,15,119,78,79,95,252
    1,3,6,15,119,252
    1,3,6,15,119,252,46,208,92
    1,3,6,15,119,252,67,52,13

特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

関連情報



Document ID: 116235