Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
ネットワーク アドミッション コントロール: エージェントレス ホスト サポート
ネットワーク アドミッション コントロール:エージェントレス ホスト サポート
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ネットワーク アドミッション コントロール:エージェントレス ホスト サポート

機能情報の確認

この章の構成

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの前提条件

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの概要

ネットワーク アドミッション コントロール

エージェントレス ホスト

EAPoUDP バイパス

この機能のためのベンダー固有アトリビュート

audit-session-id

url-redirect-acl

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの設定方法

NAD での EAPoUDP 通信のバイパスの設定

エージェントレス ホストと EAPoUDP バイパスの確認

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの設定例

RADIUS メッセージでの url-redirect-acl VSA の交換:例

新しく定義された VSA の値の出力表示

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの機能情報

ネットワーク アドミッション コントロール:エージェントレス ホスト サポート

ネットワーク アドミッション コントロール:エージェントレス ホスト サポート機能を使用すると、エージェントレス ホスト(Cisco Trust Agent ソフトウェアを実行していないホスト)の包括的な検査を実行できます。任意のサードパーティ製監査メカニズムをネットワーク アドミッション コントロール アーキテクチャに統合することで、顧客はこの機能を使用して堅牢なホストまたは検査機能を構築できます。

また、この機能では Extensible Authentication Protocol over UDP(EAPoUDP)バイパスを使用することができます。これにより、Cisco Trust Agent を使用していないホストのポスチャ検証を高速化することができます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの前提条件

Cisco IOS リリース 12.4(6)T 以降のリリースを実行している必要があります。

Cisco Access Control Server(ACS)バージョン 4.0 以降を使用する必要があります。

シスコまたはサードパーティ製の監査サーバをセットアップする必要があります。

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの概要

ネットワーク アドミッション コントロール:エージェントレス ホスト サポート機能を設定するには、次の概念を理解しておく必要があります。

「ネットワーク アドミッション コントロール」

「エージェントレス ホスト」

「EAPoUDP バイパス」

「この機能のためのベンダー固有アトリビュート」

ネットワーク アドミッション コントロール

Cisco Network Admission Control 機能を使用すると、装置のネットワーク リソースへのアクセスが許可される前に、エンドポイント装置のクレデンシャルがセキュリティ ポリシーに準拠しているかどうかを確認できます。この確認を行うには、エンド デバイスに Cisco Trust Agent(CTA)と呼ばれるセキュリティ ソフトウェアをインストールする必要があります。CTA は、セキュリティ状態の情報を収集し、アクセス サーバにその情報を送信します。アクセス サーバでは、ポリシー デシジョンが行われ、最終的にはそのポリシーがシスコのネットワーク アクセス装置(ルータやスイッチなど)で実施されます。

エージェントレス ホスト

CTA を実行していないエンド デバイスは、Network Access Device(NAD; ネットワーク アクセス装置)から要求されてもクレデンシャルを提供できません。このようなホストは「エージェントレス」または「非応答」と呼ばれます。ネットワーク アドミッション コントロールのフェーズ 1 のリリースでは、例外リスト(アイデンティティ プロファイル)を使用してスタティックに設定したり、ACS で「clientless」ユーザ名とパスワードを使用して認証することで、エージェントレス ホストがサポートされていました。これらの方法は限定的であるため、ポリシー デシジョンが行われる間のホストに関する特定の情報は伝達されません。

EAPoUDP バイパス

EAPoUDP バイパス機能を使用して、CTA を使用していないホストの検証で発生する遅延を減らすことができます。EAPoUDP バイパスがイネーブルの場合、NAD はアンチウイルスの状態を要求するためにホストに接続しません(EAPoUDP バイパス オプションが設定されている場合、NAD はそのホストと EAPoUDP の関連付けを確立しようとはしません)。代わりに、NAD は Cisco Secure ACS に要求を送信します。Cisco Secure ACS には、そのホストの IP アドレス、MAC アドレス、サービス タイプ、および EAPoUDP のセッション ID が含まれます。Cisco Secure ACS はアクセス コントロールを決定し、そのポリシーを NAD に送信します。

EAPoUDP バイパスがイネーブルの場合、NAD はエージェント ホストの要求を Cisco Secure ACS に送信し、サーバからのアクセス ポリシーをそのホストに適用します。

EAPoUDP バイパスがイネーブルでありホストが Cisco Trust Agent を使用している場合も、NAD は非応答ホストの要求を Cisco Secure ACS に送信し、サーバからのアクセス ポリシーをそのホストに適用します。

この機能のためのベンダー固有アトリビュート

さまざまな RADIUS メッセージを交換するために、次の新しいアトリビュートがサポートされています。

「audit-session-id」

「url-redirect-acl」

audit-session-id

audit-session-id Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)は、ホスト セッションを一意に識別する 32 バイトの文字列です。この識別情報はホストが検出されたときに NAD によって生成され、セッションが削除されるまで同じです。セッションの再検証または再初期化設定によってこの識別情報が変更されることはありません。セッションが削除されるたびに、新しい識別情報が生成されます。このアトリビュートは、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバへのアクセス要求や、監査サーバへの Web 要求に含まれます。このアトリビュートの値を表示するには、 show eou コマンドに ip キーワードを使用して出力します。

url-redirect-acl

url-redirect-acl VSA 文字列には、URL リダイレクションの Access Control List(ACL; アクセス コントロール リスト)の名前を指定します。このアトリビュートによって指定されたアクセス リストに一致するホストからの入力 HTTP は、url-redirect VSA によって指定された URL アドレスにリダイレクトされます。このアトリビュートに指定されたアクセス リストは、「ip access-list extended」という名前の ACL として NAD のローカルに設定する必要があります。このアトリビュートは、RADIUS の Access-Accept メッセージのみに指定します。url-redirect-acl アトリビュートの値を表示するには、 show eou コマンドに ip キーワードを使用します。


) フェーズ 1 のネットワーク アドミッション コントロール機能では url-redirect VSA が導入されました。この VSA を使用すると、ユーザの HTTP セッションを url-redirect VSA によって指定されたアドレスにリダイレクトすることができます。このリダイレクションは、ネットワーク セキュリティ ポリシーに準拠していないホストを修復する場合に便利です。ただし、どのユーザに対する HTTP 要求をリダイレクトするかを判断するために、フェーズ 1 のネットワーク アドミッション コントロールでは、ホスト ポリシー ACL(アクセス コントロール サーバの ACL)によって代行受信および拒否された HTTP トラフィックがリダイレクションの対象であることを前提にしていました。url-redirect-acl VSA では、ユーザがリダイレクトの条件をカスタマイズできるようにするためのオプションを提供しています。url-redirect-acl VSA では下位互換性をサポートしています。url-redirect-acl がホストの Access-Accept メッセージに指定されている場合、ACL と一致するユーザの HTTP セッションはリダイレクトの対象になります。ただし、url-redirect-acl アトリビュートが受信されない場合は、フェーズ 1 のリダイレクションを実行するロジックが使用されます。フェーズ 1 のリダイレクションを実行するロジックは、Cisco IOS ルータのみに適用されます。Cisco IOS スイッチでは url-redirect-acl アトリビュートは必須です。


ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの設定方法

ここでは、次のような必須の作業およびオプションの作業について説明します。

「NAD での EAPoUDP 通信のバイパスの設定」(必須)

「エージェントレス ホストと EAPoUDP バイパスの確認」(任意)

NAD での EAPoUDP 通信のバイパスの設定

EAPoUDP バイパスを NAD に設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip admission name admission-name eapoudp bypass

4. eou allow clientless

5. interface type s lot / port

6. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip admission name admission-name eapoudp bypass

 

Router (config)# ip admission name greentree eapoudp bypass

IP ネットワーク アドミッション コントロール ルールによって EAPoUDP 通信がバイパスされます。

ステップ 4

eou allow clientless

 

Router (config)# eou allow clientless

クライアントレス ホスト(Cisco Trust Agent を実行していないシステム)を認証できるようにします。

ステップ 5

interface type slot / port

 

Router (config)# interface ethernet 2/4

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 6

end

 

Router (config-if)# end

コンフィギュレーション モードを終了します。

エージェントレス ホストと EAPoUDP バイパスの確認

エージェントレス ホストと EAPoUDP バイパスの設定を確認するには、次の手順を実行します。 debug および show コマンドは、互いに独立して使用できます。

手順の概要

1. enable

2. debug eou

3. show eou ip ip-address

4. show ip admission configuration

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug eou

 

Router# debug eou

EAUoUDP に関する情報を表示します。

ステップ 3

show eou ip ip-address

 

Router# show eou ip 10.0.0.0

EAPoUDP のグローバル値、または EAPoUDP セッションのキャッシュ エントリに関する情報を表示します。

ステップ 4

show ip admission configuration

 

Router# show ip admission configuration

エージェントレスの設定、および EAPoUDP バイパスの設定に関する情報を表示します。

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの設定例

ここでは、次の設定例について説明します。

「RADIUS メッセージでの url-redirect-acl VSA の交換:例」

「新しく定義された VSA の値の出力表示」

RADIUS メッセージでの url-redirect-acl VSA の交換:例

ACS の設定

url-redirect=http://audit-server.com/host_session_id=$host_session_id
url-redirect-acl=RedirectACL

NAD の設定

Router(config)# ip access-list extended RedirectACL
Router (config-ext-nacl)# permit tcp any 10.0.0.0 0.0.0.255 eq www
Router (config-ext-nacl)# end

新しく定義された VSA の値の出力表示

次の show eou コマンドの出力では、指定された IP アドレスの EAPoUPD セッションのキャッシュ情報を表示します。新しく定義された VSA の値も表示されます。

Router# show eou ip 10.0.0.1
 
Address : 10.0.0.1
MAC Address : 0001.027c.f364
Interface : FastEthernet1/0/3
AuthType : EAP
Audit Session ID : 000000001C8A6A330000001812000001
PostureToken : Infected
Age(min) : 444
URL Redirect : http://wwwin.cisco.com
URL Redirect ACL : RedirectACL
ACL Name : #ACSACL#-IP-Infected-42835ff7
User Name : NAC-DEV-PC-3:Administrator
Revalidation Period : 30000 Seconds
Status Query Period : 300 Seconds
Current State : AUTHENTICATED

の他の参考資料

ここでは、ネットワーク アドミッション コントロール:エージェントレス ホストに関する関連資料について説明します。

関連資料

内容
参照先

EAPoUDP 用の AAA および RADIUS の設定

「Network Admission Control」フィーチャ モジュール

ネットワーク アドミッション コントロール

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ネットワーク アドミッション コントロール:エージェントレス ホスト サポートの機能情報

機能名
リリース
機能情報

ネットワーク アドミッション コントロール:エージェントレス ホスト サポート

12.4(6)T

ネットワーク アドミッション コントロール:エージェントレス ホスト サポート機能を使用すると、エージェントレス ホスト(Cisco Trust Agent ソフトウェアを実行していないホスト)の包括的な検査を実行できます。任意のサードパーティ製監査メカニズムをネットワーク アドミッション コントロール アーキテクチャに統合することで、顧客はこの機能を使用して堅牢なホストまたは検査機能を構築できます。

また、この機能では Extensible Authentication Protocol over UDP(EAPoUDP)バイパスを使用することができます。これにより、Cisco Trust Agent を使用していないホストのポスチャ検証を高速化することができます。

この機能は、Cisco IOS リリース 12.4(6)T で導入されました。

次のコマンドが導入または変更されました。 eou clientless ip admission name show eou

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2006-2009 Cisco Systems, Inc.
All rights reserved.