Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
ネットワーク スキャンの設定
ネットワーク スキャンの設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ネットワーク スキャンの設定

概要

ネットワーク スキャンの設定手順

Quarantine ロールの設定

CAM のリポジトリへの Nessus プラグインのロード

プラグインのアップロード

プラグインの削除

General Setup タブでの設定

プラグインの適用

プラグイン オプションの設定

脆弱性の処理の設定

スキャンのテスト

ログの表示

スキャン レポートの表示

ユーザ同意ページのカスタマイズ

概要

Clean Access のネットワーク スキャナは、セキュリティの脆弱性の検査に Nessus プラグインを使用しています。Clean Access では、スキャン結果に対する即座の自動対応を設定できます。たとえば、脆弱性が発見された場合、そのユーザに対し、通知、ネットワークからのブロック、または Quarantine(検疫)ロールへの割り当てを実行できます。

セキュリティ関連ソフトウェアのオープン ソース プロジェクトである Nessus
http://www.nessus.org )は、ネットワーク上の特定の脆弱性テスト用に設計されたプラグインを提供しています。特定のワームの存在をリモートから検出するプラグインだけでなく、ピアツーピアのソフトウェア アクティビティまたは Web サーバを検出するためのプラグインもあります。Nessus プラグインの特長は次のとおりです。

Nessus プラグインは、一般的なウイルス スキャナ アプリケーションのウイルス シグニチャと非常によく似ています。各プラグインは、特定の脆弱性をテストするように作成されています。これらは、実際に脆弱性を利用するように設計されたものもあれば、単に既知の脆弱なソフトウェア バージョンかどうかをテストするだけのものもあります。プラグインはほとんどの言語で作成できますが、通常は、Nessus Attack Scripting Language(NASL)で作成されます。NASL は、特に脆弱性テスト開発用に設計された Nessus 独自の言語です。各プラグインは、既知の特定の脆弱性、または業界の最良の方法、またはその両方があるかどうかをテストできるように設計されます。NASL プラグインは通常、対象に特定のコードを送信し、保存されている脆弱性の値と結果を比較する方法でテストを実行します。

Anderson, Harry 著『Introduction to Nessus』、2003 年 10 月 28 日
http:/www.securityfocus.com/infocus/1741(2004 年 10 月 29 日)

Clean Access では、標準的なほとんどの Nessus プラグインを使用できます。また、プラグインをカスタマイズしたり、NASL を使用して、独自のプラグインを作成することも可能です。NASL を使用したプラグインの作成方法については、Nessus Web サイトを参照してください。

スキャンが実行されると、選択したプラグインに従ってネットワーク スキャナがクライアント システムをスキャンし、スキャン結果の標準レポートを生成して、Clean Access Manager(CAM)に提出します。ネットワーク スキャン レポートには、そのプラグインによってセキュリティ ホールの有無、警告、またはシステム情報が示されます(Nessus プラグインの設計に応じて)。CAM は、設定されている脆弱性定義とプラグインの結果を比較して、レポートを解釈します。脆弱性として設定されている結果とレポートの結果が一致すれば、 Monitoring > Event Logs > View Logs にそのイベントが記録されます。そのほかに設定できるオプションは、次のとおりです。

ユーザにスキャン結果を表示する。

ネットワークからユーザをブロックする。

そのユーザを Quarantine ロールにして、クライアント システム が修正されるまで、アクセスを制限する。

脆弱性についてユーザに警告する(ユーザ同意ページを使用)。

ネットワーク スキャンの設定手順

以下の各項で、ネットワーク スキャンの設定に必要な手順を説明します。


ステップ 1 「Quarantine ロールの設定」

ステップ 2 「CAM のリポジトリへの Nessus プラグインのロード」

ステップ 3 「General Setup タブでの設定」

ステップ 4 「プラグインの適用」

ステップ 5 「プラグイン オプションの設定」

ステップ 6 「脆弱性の処理の設定」

ステップ 7 「スキャンのテスト」

ステップ 8 「ユーザ同意ページのカスタマイズ」

ステップ 9 「スキャン レポートの表示」


 

Quarantine ロールの設定

詳細は、「ネットワーク スキャンによる Quarantine ロールの設定」を参照してください。

CAM のリポジトリへの Nessus プラグインのロード

CAM の最初のインストール時には、Nessus スキャン プラグイン リポジトリは空の状態です(図12-1)。このリポジトリ内のプラグインは、 Device Management > Clean Access > Network Scanner > Scan Setup > Plugins に表示されます。Nessus Web サイトからダウンロードしたプラグイン(連結された plugins.tar.gz ファイルまたは個々の .nasl ファイル)は、Clean Access Manager のプラグイン リポジトリに手動でロードできます。また、自分で作成した .nasl プラグインをロードすることもできます。

図12-1 Network Scanner Plugins ページ

 


) Tenable 社によるライセンス条件のために、シスコはリリース 3.3.6/3.4.1 から事前に試験済みの Nessus プラグインや自動プラグイン アップデートを Cisco NAC アプライアンスにバンドルできなくなります。ただし、お客様は引き続き http://www.nessus.org から、Nessus プラグインを手動で選択してダウンロードできます。
Nessus プラグインのフィードに関する詳細は、http://www.nessus.org/plugins/index.php?view=feed を参照してください。
手動でアップロードしたプラグインの簡便なデバッグ方法については、「ログの表示」を参照してください。



) ほとんどの Nessus 2.2 プラグインは CAM でサポートされておりアップロードできます。Nessus 2.2 を入手するには、http://www.nessus.org/plugins/index.php?view=register から登録する必要があります。登録後、無償のプラグインをダウンロードできます。


追加するプラグインに従属するプラグインがある場合は、それらのプラグインもロードする必要があります。ロードしない場合、プラグインは適用されません。プラグインをカスタマイズする場合は、Nessus アップデート セットのプラグインで上書きされないようにするため、プラグインに固有の名前を付けることを推奨します。

プラグインの説明は、 Scan Setup サブメニューの Plugins フォームに表示されます(図12-3)。プラグインの説明をカスタマイズして、管理コンソール ユーザがプラグイン セット内のプラグインを区別できるようにすることも可能です。

ロードしたプラグインは、CAM のレポジトリから 実際にスキャンを実行する Clean Access Server(CAS)へ自動的に発行されます。CAM は、CAS 内のプラグイン セットのバージョンが CAM のバージョンと異なっていると、その CAS の起動時にプラグイン セットを CAS に配布します。

プラグインのアップロード

1. Device Management > Clean Access > Network Scanner > Plugin Updates の順番に進みます。

図12-2 Plugin Updates 画面

 

2. 使用中のコンピュータでアクセス可能なロケーションにプラグイン ファイルがあれば、 Manual Update の横にある Browse ボタンをクリックし、プラグイン アーカイブ ファイル( plugins.tar.gz )または個々のプラグイン ファイル( myplugin.nasl )を探します。


) アップロードされている Nessus プラグイン アーカイブのファイル名は、plugins.tar.gz でなければなりません。ほとんどの Nessus 2.2 プラグインはサポートされています。


3. Upload をクリックします。

4. リポジトリにロードされているプラグインのリストは、 Network Scanner > Scan Setup > Plugins に表示されます(図12-3)。

図12-3 アップロード後のプラグイン ページ

 


Plugins ページのデフォルト表示は、[Selected] です。そのユーザ ロールに対して、Nessus プラグインの確認と更新がまだ実行されていなければ、デフォルト(Selected Plugins)では、プラグインは表示されません。アップロードしたプラグインを表示するには、[Show...Plugins] ドロップダウンから、その他の表示([All]、[Backdoors] など)のうち 1 つ選択する必要があります。


5. Upload をクリックしてもすぐにプラグインが表示されない場合は、 Delete All Plugins をクリックしてから、再度アップロードを実行してください。

6. プラグインを適用し、以下の項の説明に従ってプラグインのパラメータを設定します。

「プラグインの適用」

「脆弱性の処理の設定」


) プラグインに依存関係があり、前提となるプラグインがアップロードされていない場合は、プラグインをアップロードしても表示されません。


プラグインの削除

1. Device Management > Clean Access > Network Scanner > Plugin Updates の順番に進みます。

2. リポジトリからすべてのプラグインを削除する場合は、 Delete All Plugins ボタンをクリックします。 Network Scanner > Scan Setup > Plugins ページに、プラグインが表示されなくなります。

General Setup タブでの設定

スキャン プラグインをロードしたら、ユーザ ロール別および OS 別にスキャンを設定できます。作業を始める前に、ご使用の環境に適したユーザ ロールが作成されていることを確認してください。

General Setup ページには、一般的な設定オプションがあり、ユーザ同意ページとスキャン レポートのどちらを表示するか、脆弱性が発見された場合にクライアントをブロックするか、隔離するかなど、ネットワーク スキャンに関する事項をユーザ ロール別および OS 別に設定できます。

ネットワーク スキャン ユーザ ページのオプションの設定手順

1. Device Management > Clean Access > General Setup> Web Login に移動します。

図12-4 General Setup -- Web Login

 

2. User Role ドロップダウンからスキャンを設定するロールを選択します。

3. 同様に、 Operating System ドロップダウンから、その設定を適用する OS を選択します。設定は、あらゆるバージョンの OS プラットフォーム(WINDOWS_ALL など)に適用することも、また特定の OS バージョン(WINDOWS_XP)に適用することも可能です。ALL の設定がクライアント システムに適用されるのは、そのユーザの OS の特定バージョンに対する設定がない場合です。

特定のバージョンに設定を適用する場合は、OS を選択して、ALL 設定のチェックボックスを解除します(たとえば、[ Use 'ALL' settings for the WINDOWS OS family if no version-specific settings are specified ]の選択を解除します)。

4. 次のネットワーク スキャン オプションをイネーブルにします。

Show Network Scanner User Agreement Page to web login users

Enable pop-up scan vulnerability reports from User Agreement Page

Require users to be certified at every web login ― このオプションをイネーブルにすると、ログインのたびにクライアントにネットワーク スキャンを強制します(ディセーブルにすると、クライアントに対するスキャンは初回のログイン時だけになります)。

Exempt certified devices from web login requirement by adding to MAC filters ― (任意)このオプションをイネーブルにすると、ネットワーク スキャン要件を満たしているユーザは、デバイス フィルタ リストにそれらのユーザのマシンの MAC アドレスを追加することで、Web ログインを完全にバイパスすることが許可されます。

Block/Quarantine users with vulnerabilities in role ― 次のいずれかを選択します。

ユーザを隔離する Quarantine ロールを選択する。または

ユーザをネットワークからブロックし、表示されるアクセス ブロック ページの内容を変更する場合は、Block Access を選択する。

5. 完了したら、 Update をクリックして、ユーザ ロールへの変更を保存します。

詳細は、「General Setup の概要」および「ユーザ同意ページのカスタマイズ」を参照してください。

プラグインの適用

クライアントの脆弱性の判断に使用される Nessus プラグインを、 Plugins ページから選択します。ユーザ ロールと OS を選択し、スキャンに参加させるプラグインを選択します。

スキャン プラグインの適用手順

1. Network Scanner > Scan Setup > Plugins の順番に進みます。

図12-5 Plugins 画面

 

2. このフォームで、 User Role Operating System を選択し、 Enable scanning with selected plugins チェックボックスを選択します。

3. リポジトリに多くのプラグインがある場合、以下の方法で、プラグイン リストからプラグイン ファミリーを選択することにより、一度に表示されるプラグインを絞ることができます。

All を選択すると、リポジトリ内のすべてのプラグインが表示されます。

- Selected- を選択すると、そのロールに対して選択し、イネーブルにしたプラグインだけが表示されます。

 


) Nessus プラグイン ページ(Device Management > Clean Access > Network Scanner > Scan Setup > Plugins)のデフォルトの表示は [Selected] です。そのユーザ ロールに対して、Nessus プラグインの確認と更新がまだ実行されていなければ、デフォルト(Selected Plugins)では、プラグインは表示されません。プラグインを選択するには、管理者が [Show...Plugins] ドロップダウンから、その他の表示([All]、[Backdoors] など)をどれか選択する必要があります。


4. 詳細情報を見る場合は、プラグイン名をクリックします。各プラグインの情報ダイアログが表示されます(図12-6)。

図12-6 Nessus プラグインの説明

 

5. そのロールのスキャンに参加させる各プラグインのチェックボックスを選択します。


) そのプラグインがリポジトリ内のほかのプラグインに従属している場合、これらのプラグインも自動的にイネーブルになります。


6. 完了したら、 Update をクリックします。これによって、選択されたプラグインが Vulnerabilities ページに移動し、クライアント システムで脆弱性が発見された場合にどのように処理するかを設定できるようになります。

プラグインに設定可能なパラメータがある場合は、 Options フォームを使用し、以下の手順で設定できます。設定可能なパラメータがなければ、「脆弱性の処理の設定」に進みます。

プラグイン オプションの設定

入力パラメータをサポートしているプラグインの場合は、 Options フォームでパラメータを設定できます。作業を始める前に、「プラグインの適用」の手順に従って、 Plugins フォームでそのプラグインがイネーブルに設定されている必要があります。

プラグイン オプションの設定手順

1. Network Scanner タブで Scan Setup サブメニュー リンクをクリックして、 Options フォームを開きます。

2. 適切なロールと OS を選択し、設定するプラグインを Plugin リストから選択します。リストには、イネーブルに設定されているすべてのプラグインが表示されます。

3. そのプラグインに設定するオプションをオプション リストから選択します。設定可能なオプションを選択すると、そのオプションに応じて、 Category Preference Name 、および Preference Value のドロップダウンまたはテキストボックスが表示されます。設定できないパラメータの場合は、[Not supported] のメッセージが表示されます。

図12-7 Options フォーム

 

4. Category および Preference Name のドロップダウン メニューから選択し、 Preference Value に値を入力して(該当する場合)、 Update をクリックします。設定する各パラメータごとに Update をクリックする必要があります。


) ホスト レジストリ検査には、Clean Access Agent(CAA)を使用することを推奨します。Nessus Windows レジストリ検査を使用するためには、検査対象となるすべてのマシン上に、レジストリへのアクセス権を持つ共有アカウントが必要になります。これは、Device Management > Clean Access > Network Scanner > Scan Setup > Options | Category: Login configurations | Preference Name: [SMB account/domain/password] で設定できます。Nessus 2.2 Windows レジストリ検査(証明書を要求)についての詳細は、http://www.nessus.org/documentation/nessus_credential_checks.pdf を参照してください。


脆弱性の処理の設定

スキャンの対象外の脆弱性がユーザ システム上にある場合、そのユーザに対して、ネットワークからのブロック、隔離、または脆弱性に関する警告を行います。

ネットワーク スキャン レポートは、ユーザのログイン試行別に、 Device Management > Clean Access > Network Scanner > Reports に表示されます。クライアント スキャン レポートをイネーブルにするには、 Device Management > Clean Access > General Setup から、[ Enable pop-up scan vulnerability reports from User Agreement page ] オプションを選択します。

クライアント スキャン レポートをイネーブルにすると、脆弱性が発見された場合、ユーザへ通知するためレポートがポップアップ ウィンドウに表示されます。このクライアント レポートはスキャン レポートの一部であり、脆弱性の結果とその脆弱性の修復へとユーザを導く手順または URL だけが表示されます。ユーザのシステムでブラウザのポップアップがブロックされている場合は、ログアウト ページの Scan Report リンクをクリックすると、レポートを表示できます。脆弱性に関してユーザに表示される警告テキストは、以下の手順で設定できます。

通常、問題が発見されなければ、プラグインは結果を返しません。したがって、クライアントがネットワーク スキャンを受けて、脆弱性が発見されなければ、スキャン レポートは表示されません。

脆弱性処理の設定手順

1. Network Scanner > Scan Setup > Vulnerabilities フォームを開きます。

2. User Role Operating System を選択します。選択したプラグインは、ユーザ ロール と OS の組み合わせに対して適用されます。そのロールのすべての OS に対して同じプラグイン集合が表示されます。ただし、どのプラグインを脆弱と判断するのは OS 単位でカスタマイズできます。

図12-8 Vulnerabilities フォーム

 

3. イネーブルになっているプラグイン(Plugins メニューですでにイネーブルにされているプラグイン)に対して、以下を選択します。

ID: スキャン レポートに表示されるプラグイン番号

Name: プラグインの名前

Vulnerable if これらのドロップダウンオプションでは、プラグインの結果を CAM がどのように解釈するかを設定します。クライアントのスキャンが実行され、返ってきたプラグイン結果が脆弱性の設定と一致していた場合、そのクライアントは Quarantine ロールを割り当てられます(またはブロックされます)。脆弱と判断し、ユーザへの Quarantine ロールの割り当てをトリガーする結果レベルの高低を調節できます。

a. NEVER = プラグインのレポートを無視します。HOLE、WARN、INFO の結果がレポートに表示されても、このプラグインは脆弱であるとして処理されることも、ユーザが Quarantine ロールに割り当てられることもありません。

b. プラグインの結果が HOLE の場合、クライアントには脆弱性があり、Quarantine ロールが割り当てられます。レポートの結果が WARN または INFO の場合、このプラグインでは脆弱とは判断されません。ほとんどの管理者は、脆弱性の設定として [HOLE] を選択します。[HOLE] を選択すると、プラグインによってほかのタイプの情報が報告されても無視されます。

c. HOLE, WARN (タイムアウト)= この設定の意味は以下のとおりです。

プラグインの結果が HOLE なら脆弱と判断し、クライアントは Quarantine ロールになります。

プラグインの結果が WARN なら脆弱と判断し、クライアントは Quarantine ロールになります。WARN の結果は、プラグインのスキャンが(パーソナル ファイアウォールまたはその他のソフトウェアによって)タイムアウトになり、そのマシン上でスキャンを実行できなかったことを意味しています。脆弱性として WARN を選択すると、ファイアウォールがイネーブルになっているクライアントはすべて隔離されます。ただし、この設定は、スキャン結果が既知のものでなかった場合にクライアントを隔離する予防手段として利用できます。

レポートの結果が INFO の場合、このプラグインを脆弱とは判断しません。

d. HOLE, WARN, INFO = この設定の意味は以下のとおりです。

HOLE = プラグインの結果が HOLE の場合、クライアントには脆弱性があり、Quarantine ロールが割り当てられます。

プラグインの結果が WARN なら脆弱と判断し、クライアントは Quarantine ロールになります。WARN の結果は、通常、クライアントでファイアウォールがイネーブルになっていることを示します。

レポート結果が INFO の場合、脆弱と判断し、クライアントは Quarantine ロールになります。INFO の結果は、ポートで稼働しているサービス(Windows など)やそのマシンの NetBIOS 情報などのステータス情報を示します。このレベルの脆弱性を選択すると、ステータス情報が戻るすべてのクライアントが隔離されます。


) このプラグインが INFO の結果を返さない場合(HOLE または WARN の結果もない場合)、クライアントは隔離されません。


4. プラグインの設定を変更する場合、設定するプラグインの横にある Edit ボタンをクリックします。

5. Edit Vulnerabilities フォームが表示されます。

図12-9 Edit Vulnerability フォーム

 

6. Vulnerability if report result is:オプション メニューで、このプラグインで報告され、ユーザに Quarantine ロールを割り当てる脆弱性のレベルを上下できます。

7. Instruction テキスト フィールドには、このプラグインが脆弱性を発見した場合にユーザに表示されるポップアップ ウィンドウの通知メッセージを入力します。

8. Link フィールドには、システムを修正するためにユーザがアクセスできるようにする URL を入力します。この URL はスキャン レポートにリンクとして表示されます。Quarantine ロールのトラフィック ポリシーで、その URL へのユーザ HTTP アクセスが許可されていることを確認してください。

9. 完了したら、 Update をクリックします。

スキャンのテスト

Test フォームを使用すると、スキャンの設定を試すことができます。どのマシンでもスキャンの対象とすることができます。テストのため、対象クライアントに想定されるユーザ ロールを指定することもできます。この種のテストでは、CAM に保存されているスキャン プラグインのコピーに対して実際にテストが実行されます。実働環境では、CAS は CAM から自動的にスキャン プラグインのコピーを取得し、スキャンを実行します。

テスト スキャンの実行手順

1. Device Management > Clean Access > Network Scanner > Scan Setup > Test の順番に進みます。

2. ユーザ テストを行うユーザ ロールと OS を User Role Operating System のドロップダウンから選択します。

3. Target Computer フィールドに、スキャン対象のマシンの IP アドレスを入力します(デフォルトでは現在のマシンのアドレスが表示されます)。

4. Test をクリックします。ページの下部にスキャン結果が表示されます。

図12-10 ネットワーク スキャンの Test ページ

 

ログの表示

Device Management > Network Scanner > Scan Setup > Test ページの Show Log ボタンをクリックすると、テスト対象のコンピュータのデバッグ ログ(図12-11)が表示されます(表示元は
/var/nessus/logs/nessusd.messages)。ログには実行されたプラグイン、実行結果、省略されたプラグインとその理由(依存関係、タイムアウトなど)が示されています。スキャン結果が期待どおりでなかった場合、管理者はこのログから原因を調べることができます。

図12-11 ネットワーク スキャンの Show Log ページ

 

スキャン レポートの表示

ネットワーク スキャンをイネーブルにすると、 Device Management > Clean Access > Network Scanner > Reports から、個々のスキャン レポートを表示できます。ここで表示されるレポートは、管理者用の詳細なレポートです(図12-13)。エンド ユーザに表示されるレポートの内容は、イネーブルに設定されているプラグインの脆弱性通知だけです(ユーザはログアウト ページの Scan Report リンクをクリックすることにより、該当するバージョンのスキャン レポートにアクセスできます)。

図12-12 Network Scanner の Reports 画面

 

 

すべてのレポートを表示するには、 Time のドロップダウン メニューから Anytime を選択します。

選択したレポートだけを表示するには、 Time を選択するか、または検索 テキスト または プラグイン ID を入力して、 View をクリックします。[ User Defined ] タイム インターバルを選択した場合は、最初のテキスト ボックスに「開始」年月日と時刻(例:2006-03-22 13:10:00)、2 番めのテキスト ボックスに「終了」年月日と時刻(例:2006-03-23 11:25:00)を入力して、 View をクリックします。

表示されているレポートを選択した基準に従って削除する場合は、 Delete をクリックします。

Report アイコンをクリックすると、図12-14 のような詳細なスキャン レポートが開きます。

図12-13 ネットワーク スキャナ管理者レポートの例

 


) プラグイン間に依存関係がある場合、たとえば、プラグイン B がイネーブルに設定され、プラグイン A のスキャン結果がプラグイン B の前提条件となっているような場合、プラグイン A がイネーブルに設定されているかどうかに関係なく、ネットワーク スキャナは自動的にプラグイン A を適用します。ただし、プラグイン A は明示的にイネーブルには設定されていないので、プラグイン A から報告されるスキャン結果が表示されるのは管理者レポートだけです。


イベント ログ( Monitoring > Event Logs > View Logs )にレポートを追加するには、[ Add reports containing holes to event log ] オプションを選択します。図12-14 のような CleanAccess カテゴリ レポートが生成されます。

図12-14 CleanAccess ネットワーク スキャン イベント ログ

 

ユーザ同意ページのカスタマイズ

ユーザ同意ページ(「ウイルス対策ページ」)を Web ログイン ユーザに対してイネーブルにすると、ログインおよびネットワーク スキャンの通過後に、ネットワーク ポリシー情報、ウイルスに関する警告、ソフトウェア パッチやアップデートへのリンクのいずれかまたは全部をユーザに通知できます。

ユーザ同意ページは、未認証のユーザに対してのみ表示されます。ユーザ デバイスが Certified List に登録されたあとは、そのデバイスが Certified List から消去されるまで、ユーザ同意ページは表示されません。 Certified List は、デバイスにログインした最初のユーザのみを記録し、この方法で、どのユーザがログイン時にユーザ同意ページで同意したかを追跡します。ログインのたびにユーザに対してユーザ同意ページが表示されるようにするには、 General Setup ページの該当するロール/OS に対して [ Require users to be certified at every web login ] オプションをイネーブルにします。

このページは、2 カ所で設定します。

ページの対象(あるユーザ ロールのユーザにこのページを表示するかどうか)は、 Device Management > Clean Access > General Setup図12-15)で設定します。

図12-15 General Setup タブ

 

ユーザ ロール別のページ内容は、 Device Management Clean Access > Network Scanner > Scan Setup > User Agreement Page図12-16)で設定されます。

図12-16 ユーザ同意ページの内容設定フォーム

 

図12-17 は、エンド ユーザに表示されるデフォルト生成ページを示しています。ユーザ同意ページは、HTML フレームベースのページで、次に示すコンポーネントで構成されています。

Information Page Message (or URL) コンポーネント ― 指定するページ内容

Acknowledgement Instructions フレーム コンポーネント ― 同意を確認するためのテキストやボタン(Accept、Decline)


) Quarantine ロールのページでは、テキストがハードコードされ、そのロールに設定されているセッション タイムアウトが含まれます。また、ボタンもハードコードされています([Report] および [Logout])。


図12-17 ユーザ同意ページ(Quarantine ロールの例)

 


図12-17 に示されているページ内容(「ウイルス対策情報」)は、ユーザ同意ページにほかの通知メッセージや URL が指定されなかった場合にエンド ユーザに表示されるデフォルトのページ内容です。このデフォルトのページ内容は、設定フォームの Information Page Message (or URL) テキスト領域には表示されないので注意してください。


設定フォーム(図12-16)では、Web ログイン ユーザ用の次のタイプのページを設定できます。

ネットワーク スキャンでシステムに脆弱性が発見されなかった場合 ― ユーザには Normal Login ロール用に設定されたユーザ同意ページ(Accept と Decline のボタン)が表示されます。

Web ログイン後のネットワーク スキャンでクライアント システムに脆弱性が発見された場合 ―

ユーザには Quarantine ロールが割り当てられ、Quarantine ロール用のユーザ同意ページ(Report と Logout のボタン)が表示されます。

ユーザには Quarantine ロールが割り当てられますが、Normal Login ロールのユーザ同意ページ(Report と Logout のボタン)が表示されます。

作業を始める前に、 Information Page Message (or URL) コンポーネントに使用する HTML ページを作成します。Cisco NAC アプライアンスは、特定のロールまたは OS のユーザに特定の通知ページを表示します。カスタマイズされたページは、Cisco NAC アプライアンスの要素からアクセス可能な Web サーバ上に置かなければなりません。

ユーザ同意ページの設定が完了したら、トラフィック ポリシーを作成して、そのロールのユーザに、そのページの Web リソースへのアクセス権を与えなければなりません。ロールには、CAM のポート 80 へのアクセス権があります。詳細は、 第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」 を参照してください。

ユーザ同意ページのカスタマイズ手順

1. Device Management > Clean Access > Network Scanner > Scan Setup > User Agreement Page の順番に進みます。図12-18 のように、ユーザ同意ページの設定フォームが表示されます。

図12-18 ユーザ同意ページの設定フォーム

 

2. User Role Operating System のドロップダウンで、そのページを適用するユーザ ロールと OS を選択します。CAM は、ログイン時にユーザのシステムの OS を判断し、その OS に指定されているページを表示します。Quarantine ロールを選択した場合は、 Acknowledgement Instructions とボタンのフィールドがディセーブルになります。

3. ユーザ同意ページの Information Page Message (or URL) フィールドに表示するページの HTML コンテンツまたは URL を入力します。CAM または CAS にアップロードしたファイルを使用する場合は、次の方法でファイルを参照できます。

a. URL の入力 :(単一の Web ページを表示する場合)

外部 URL の場合は、 http://www.webpage.com 形式を使用します。

CAM 上の URL の場合は、以下の形式を使用します。

https://<CAM_IP>/upload/file_name.htm
 

<CAM_IP> は、証明書に表示されるドメイン名または IP です。


) 外部 URL または CAM の URL を入力する場合は、その外部サーバまたは CAM へのユーザ HTTP アクセスだけを許可する Unauthenticated ロールのトラフィック ポリシーが作成されていることを確認してください。


b. HTML の入力 :(ロゴと HTML リンクなど、リソースの組み合わせを追加する場合)

HTML コンテンツを直接テキストフィールドに入力します。

HTML コンテンツの一部としてアップロードされているリソース ファイルを参照する場合は、次の形式を使用します。

アップロードされた HTML ファイルへのリンクを参照する場合は、次の形式を使用します。

<a href=”file_name.html”> file_name.html </a>
 

画像ファイル(JPEG ファイルなど)を参照する場合は、次のように入力します。

<img src=”file_name.jpg”>
 

詳細は、「リソース ファイルのアップロード」を参照してください。

4. Acknowledgement Instructions フィールドには、必要に応じて、Accept と Decline のボタンの上部に表示するテキストを入力します。

5. Accept と Decline のボタンに表示するラベルをそれぞれのフィールドに入力します。

6. Save ボタンをクリックして、変更を保存します。

これで、ネットワークにログインするユーザには、変更後のユーザ同意ページが生成されます。


) Web ユーザ ログイン ページの詳細については、第 5 章「ユーザ ログイン ページとゲスト アクセスの設定」を参照してください。トラフィック ポリシーの詳細については、「Agent Temporary および Quarantine ロールのポリシーの設定」を参照してください。