Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
Clean Access の設定概要
Clean Access の設定概要
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Clean Access の設定概要

Clean Access の概要

CAA

Clean Access Updates

ネットワーク スキャナ

Certified List

ロールベースの設定

Clean Access の設定手順

アップデートの取得

Cisco アップデートのダウンロード

General Setup の概要

エージェントログイン

Web ログイン

ユーザ ページの概要

証明済みデバイスの管理

免除デバイスの追加

証明済みデバイスまたは免除デバイスの手動消去

証明済みデバイスの Clean Access レポートの表示

アウトオブバンドの証明済みデバイスに関するスイッチ情報の表示

証明済みデバイス タイマーの設定

フローティング デバイスの追加

Clean Access の設定概要

この章では、Cisco NAC アプライアンスの Clean Access の設定に関する基本事項を説明します。この章の内容は以下のとおりです。

「Clean Access の概要」

「アップデートの取得」

「General Setup の概要」

「ユーザ ページの概要」

「証明済みデバイスの管理」

ネットワーク スキャンの設定については、 第 12 章「ネットワーク スキャンの設定」 を参照してください。

CAA の設定については、 第 11 章「CAA 要件の設定」 を参照してください。

Clean Access の概要

Clean Access の適合ポリシーによって、コンピュータ ウイルス、ワーム、およびその他の悪意あるコードのネットワークへの脅威を軽減できます。Clean Access は、ネットワーク アクセス条件を強制し、クライアント上にあるセキュリティの脅威や脆弱性を検出し、パッチや AV(アンチウイルス)および AS(アンチスパイウェア)ソフトウェアを配布することのできる強力なツールです。このツールを使用すると、設定されたセキュリティ条件への不適合がある場合、アクセスのブロックやユーザの隔離を実行できます。

Clean Access はユーザがネットワークへのアクセスを試行すると、クライアント システムを評価します。Clean Access のほとんどの機能は、ユーザ ロール別および OS(オペレーティング システム)別に設定され、適用されます。そのため、ネットワークにアクセスするユーザやデバイスのタイプに応じて、Clean Access を適切にカスタマイズすることができます。Clean Access には、クライアント システム上の脆弱性を検出し、ユーザが脆弱性を修正したり必要なパッケージをインストールしたりできるようにするメカニズムが 2 つあります。

Clean Access Agent(CAA) ― ローカル マシンに、エージェントベースの脆弱性評価と修復を提供します。ユーザは CAA をダウンロードしてインストールする必要があります。これによって、ホスト レジストリの表示、プロセス検査、アプリケーション検査、サービス検査が可能となります。このエージェントを使用すると、ユーザがシステムを修正できるように、AV/AS 定義の更新、Clean Access Manager(CAM)にアップロードされたファイルの配布、または Web サイトへのリンクの配布を実行できます。

Network Scanner ― ネットワークベースの脆弱性評価と Web ベースの修復を提供します。これは、ローカル Clean Access Server(CAS)内のネットワーク スキャナであり、実際のネットワーク スキャンや、特定のホストに多いよく知られたポート脆弱性のチェックを実行します。脆弱性が発見されると、CAM に設定されている Web ページがユーザに表示され、Web サイトへのリンクまたはシステムの修正方法に関する情報が提示されます。

ご使用のネットワークでは、Clean Access を以下の方法で使用できます。

CAA のみ

ネットワーク スキャンのみ

CAA とネットワーク スキャン

CAA のダウンロード

図9-1 は、管理者がユーザのロールおよび OS に対して CAA の使用を要求した場合に、CAA の初回のダウンロードおよびインストールがどのように進行するかを示しています。

図9-1 CAA のダウンロード

 

CAA ソフトウェアは、CAM ソフトウェアに、その一部として必ず含まれています。CAM をインストールすれば、CAA の Setup Installation ファイルと Patch Upgrade ファイルがインストールされ、自動的に CAM から CAS へ発行されます。このエージェントは、該当するユーザ ロールまたは OS(オペレーティング システム)に対して CAM Web コンソールの CAA を使用することによって、簡単にクライアントに配布できます。このエージェントをダウンロードしてインストールすると、CAM に設定した CAA の条件に従って、このエージェントがクライアントを検査します。

ユーザは、ネットワークにログインするために Web ブラウザを開くことによって、CAA のダウンロードとインストールを行うことができます。ユーザのログイン証明書から、このエージェントを必要とするロールにそのユーザが関連付けられると、そのユーザは CAA ダウンロード ページにリダイレクトされます。CAA のダウンロードとインストール後、ユーザは Agent ダイアログを使用してすぐにネットワークにログインするよう促され、Agent の条件と Nessus プラグイン脆弱性(イネーブルになっている場合)のスキャンを受けます。そのユーザのロールおよび OS に設定されている条件を満たし、スキャンに合格すれば(イネーブルの場合)、そのユーザはネットワークへのアクセスを許可されます。

Web コンソールで自動更新オプションを設定すれば、クライアントに エージェント パッチ アップグレード ファイルを配布することもできます。CAM でのエージェント パッチ アップグレードの取得は、「Clean Access Updates」を通じて行われます。

詳細は、 第 10 章「CAA の配布」 を参照してください。

VPN ユーザの CAA

Cisco NAC アプライアンスを使用すると、VPN コンセントレータまたはルータ(または複数のルータ)の後ろにインバンドで CAS を配置できます。Cisco NAC アプライアンスは、マルチホップの L3 インバンド配置をサポートしており、ユーザと CAS の間に 1 つまたは複数のルータがある場合、CAM と CAS が固有の IP アドレスによってユーザを追跡できるようにします。CAM/CAS では、レイヤ 2 接続のユーザのセッションを今までどおりユーザの MAC アドレスで管理します。図9-2 は、SSO(シングルサインオン)で CAA を使用する VPN コンセントレータ ユーザに対する CAA ダウンロードおよびスキャン プロセスを図示したものです。

図9-2 SSO を使用する VPN コンセントレータ ユーザの場合の CAA

 

詳細は、「Cisco VPN SSO」、および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) の「Integrating with Cisco VPN Concentrators」を参照してください。

L3 OOB ユーザの CAA

Cisco NAC アプライアンスは、アウトオブバンド(ワイヤード)配置のマルチホップ L3 サポートが可能で、管理者は CAS アウトオブバンドを中央(コアまたは分散レイヤ)に配置して、L3 スイッチの背後(たとえば、ルーテッド アクセス)にいるユーザと、場合によっては WAN ルータの背後にいるリモート ユーザをサポートすることができます。L3 OOB を使用することで、複数の L3 ホップ分 CAS から離れているユーザがサポートされ、そのユーザのトラフィックは認証/ポスチャ評価のために Cisco NAC アプライアンスのみを通過します。

CAA の MAC 検出メカニズムは、L3 OOB 配置で自動的にクライアント MAC アドレスを取得します。

Web ログインを実行するユーザは、ユーザ マシンの MAC アドレスを判別するために、ユーザのログイン前に、Active X コントロール(IE ブラウザ用)または Java アプレット(IE 以外のブラウザ用)のいずれかをクライアントマシンにダウンロードして実行します。次にこの情報は CAS と CAM にレポートされ、IP アドレス/MAC アドレス マッピングが提供されます。

CAA の評価プロセス

図9-3 は、CAA によるユーザ認証時の全般的な Clean Access クライアント評価プロセス(ネットワーク スキャンの有無も含めて)を図示したものです。

図9-3 CAA のクライアント評価

 

Clean Access では次のユーザ ロールが使用されます。これらに対してトラフィック ポリシーとセッション タイムアウトを設定する必要があります。

Unauthenticated ロールは、CAS の後ろの未認証ユーザに適用され、Web ログインまたはネットワーク スキャンを実行するユーザに割り当てられます。

CAA Temporary ロールは、CAA ログインを実行するユーザに割り当てられます。

Quarantine ロールは、ネットワーク スキャンによってクライアント マシンに脆弱性が発見されたユーザに割り当てられます。

ユーザが CAA の条件に適合した場合またはネットワーク スキャンで脆弱性が発見されなかった場合、またはその両方の場合には、そのユーザに Normal Login ユーザ ロールでのネットワーク アクセスが許可されます。詳細は、「Clean Access ロール」を参照してください。

ネットワーク スキャンのクライアント評価

図9-4 は、Web ログインを通じたユーザ認証時の全般的なネットワーク スキャンのクライアント評価プロセスを図示したものです。あるユーザ ロールに対して、CAA とネットワーク スキャンが両方イネーブルに設定されている場合には、ユーザは図9-3 のプロセス後に、図9-4 のネットワーク スキャン部分を通過します。この場合、CAA ダイアログにユーザ情報が表示されます(適用される場合)。

図9-4 ネットワーク スキャンのクライアント評価(Web ログイン)

 

CAA

CAA は、Windows システムに常駐する読み取り専用の使いやすいクライアント ソフトウェアで、アプリケーションまたはサービスの稼働、レジストリ キーの有無、またはレジストリ キーの値を確認する機能があります。また、このエージェントは、ユーザがマシンを脆弱性やウイルス感染から守るために必要なソフトウェアをインストールしているかどうかも確認します。


) CAA の脆弱性評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼働していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


CAA には次の機能があります。

初回のワンタイム Web ログインによって簡単にエージェントをクライアントにダウンロードしインストールできます。エージェントは、そのクライアント PC の現在のユーザおよびその他のすべてのユーザにデフォルトでインストールされます。

エージェントの Windows および Mac OS X(認証のみ)バージョン

クライアント マシン上にあるエージェントの直接またはスタブ インストールの柔軟なインストール オプション

サポートされているロケール/言語 OS プラットフォームに対する、ローカライズされたエージェント ユーザ ダイアログのエージェント言語テンプレートのサポート

自動更新。クライアントにインストールされたエージェントは、次のバージョンを自動的に検出、ダウンロードし、更新します。エージェントは、ログイン要求のたびに、新しい エージェント パッチ アップグレード ファイルがないかどうかチェックします。管理者は、エージェントの自動更新を、すべてのユーザに対して必須または任意に設定できます。またパッチ アップグレードの通知をディセーブルに設定することもできます。

主要なAV(アンチウイルス)およびAS(アンチスパイウェア)ベンダーに対応できる AV/AS チェック機能が組み込まれています。AV/AS のルールと条件を設定できるので、クライアント実行する必要のある一般的なチェックタイプのほとんどを簡単に実行でき、またエージェントによってクライアント マシン上の AV および AS 定義ファイルを自動的に検出・更新できます。「Clean Access Updates」を使用することにより、CAM での AV/AS 製品のサポートは常に最新の状態に保たれます。

クライアントが要件を満たしていない場合に認定済/デジタル署名済の実行可能プログラムを起動する能力。詳細は、「Launch Programs 要件の設定」を参照してください。

ルールとチェックのカスタム設定。管理者はクライアントに特定のアプリケーション、サービス、またはレジストリ キーがないかどうかチェックするために条件を設定できます。その際、あらかじめ定義されたシスコ製のチェックおよびルールも、また自分で作成したカスタム チェックおよびルールも使用できます。

マルチホップ L3 インバンド(IB)およびアウトオブバンド(OOB)配置のサポートと、VPN コンセントレータ/L3 アクセス。クライアントと CAS の間に 1 つ以上の L3 ホップがあるような(L2 の近接ではなく)ネットワーク構成の場合もクライアントが CAS を認識できるように、CAM/CAS/Agent を設定できます。また、Clean Access と Cisco VPN コンセントレータを統合する場合(インバンド)は、SSO もサポートされます。詳細は、「L3 配置サポートのイネーブル化」、および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) の「Integrating with Cisco VPN Concentrators」または「Configuring Layer 3 Out-of-Band (L3 OOB)」を参照してください。

Windows ドメインの Active Directory Single Sign-On。Windows AD SSO が Cisco NAC アプライアンス用に設定されている場合、CAA をインストール済のユーザは、Windows ドメインにログインする際に、自動的に Cisco NAC アプライアンスにログインすることができます。クライアント システムは要件に対して自動的にスキャンされ、個別のエージェント ログインは不要です。AD SSO の詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。

自動 DHCP 更新/リリース。CAA が OBB 配置のログインに使用される場合、アクセス VLAN でクライアントが新規 IP アドレスを必要になると、エージェントは自動的に DHCP IP アドレスを更新します。詳細は、「CAA/ActiveX/アプレットによる DHCP のリリースと更新」を参照してください。

Windows ログオフ/シャットダウンによるエージェントのログオフ。ユーザが Windows ドメインからログオフしたり、Windows マシンをシャットダウンした場合に、Cisco NAC アプライアンス ネットワークからエージェントがログオフするかどうかを、イネーブルにもまたディセーブルにも設定できます。この機能は、OOB 配置には適用されません。

上記のエージェント設定機能に関する詳細は、 第 11 章「CAA 要件の設定」 を参照してください。

エージェントの各バージョンの機能については、最新の リリース ノート にある「Clean Access Agent Version Summary」を参照してください。

Clean Access Updates

あらかじめ作成されたひとまとまりのポリシーまたはルールの定期更新によって、OS、AV/AS ソフトウェア、およびその他のクライアント ソフトウェアの最新の状態を検査できます。Cisco NAC アプライアンスは主な AV および AS ベンダーのビルトイン サポートを提供します。詳細は、「アップデートの取得」を参照してください。

ネットワーク スキャナ

ネットワーク スキャンは、Nessus プラグインによって実行されます。Nessus( http://www.nessus.org )は、オープン ソースの脆弱性スキャナです。Nessus プラグインは、ネットワークを通じてクライアント システムを検査し、セキュリティの脆弱点がないかどうか調べます。スキャンの結果、脆弱性またはウイルス感染が発見された場合、Clean Access は、脆弱なユーザに警告したり、そのユーザのネットワーク アクセスをブロックしたり、あるいはそのユーザを Quarantine ロールに割り当ててシステムを修正できるようにするなど、すぐに措置を講じます。


) クライアントにパーソナル ファイアウォールがインストールされている場合、ネットワーク スキャンはタイムアウトの結果を応答する可能性が高くなります。結果がタイムアウトの場合、隔離、ネットワーク アクセスの制限、またはネットワーク アクセスの許可のどの方法でクライアント マシンを扱うのかは、任意に決めることができます(パーソナル ファイアウォールが十分な保護を提供している場合)。


新しい Nessus プラグインがリリースされると、CAM のレポジトリにロードできます。ロードしたプラグインは、CAM のレポジトリから実際にスキャニングを実行する CAS へ自動的に発行されます。CAM は、CAS 内のプラグイン セットのバージョンが CAM のバージョンと異なっていると、その CAS の起動時にプラグイン セットを CAS に配布します。

CAA の検査とネットワーク スキャンを調整して、ネットワーク スキャンの前に脆弱性修正ソフトウェアの有無をエージェントが検査するといったことも可能です。たとえば、ある脆弱性に対処するために Microsoft Windows アプデートが必要な場合は、CAA の必須パッケージとしてこれを指定します。このようにすれば、ネットワーク脆弱性スキャンの実行前に、ユーザがスキャンに合格するように導くことができます。


) • Nessus 2.2 プラグインを使用することによって、Cisco NAC アプライアンスでスキャンを実行できます。アップロードされている Nessus プラグイン アーカイブのファイル名は、plugins.tar.gz です。

Tenable 社によるライセンス条件のために、シスコは事前に試験済みの Nessus プラグインや自動プラグイン アップデートをリリース 3.3.6/3.4.1 から、Cisco NAC アプライアンスにバンドルできなくなります。ただし、お客様は引き続き Nessus プラグインを選択的に手動で Nessus サイトからダウンロードできます。入手可能なプラグインについては、
http://www.nessus.org/plugins/index.php?view=all を参照してください。
Nessus プラグインについての詳細は、 http://www.nessus.org/plugins/index.php?view=feed を参照してください。

クライアント システムのネットワーク スキャンに使用するプラグインの数は、多くても 5 ~ 8 程度にすることを推奨しますこれよりも多くのプラグインを使用すると、ユーザのシステムにファイアウォールがある場合、各プラグインがタイムアウトになり、ログインに長い時間がかかる可能性があります。


 

詳細は、 第 12 章「ネットワーク スキャンの設定」 を参照してください。

Certified List

CAM の Web コンソールには、ユーザとそのデバイスを管理する 2 つの重要なリストである Online Users Certified List があります。

Online Users リストには、IP アドレスとログイン証明書を使用してオンライン状態にあるユーザが表示されます( オンライン ユーザ リストを参照)。インバンドとアウトオブバンドのオンライン ユーザ リストは個別に存在します。

Certified List はデバイスベースのリストで、次のデバイスが表示されます。

CAA の条件を満たしているデバイスの MAC アドレス

ネットワーク スキャンに合格し、脆弱性のないデバイスの MAC アドレス

CAS に近接する L2 ユーザ、およびすべてのエージェント ユーザは、両方のリストで MAC アドレスと IP アドレスによって追跡されます。1 つ以上の L3 ホップ分 CAS から離れている Web ログイン ユーザは、(クライアントの MAC アドレスを取得するために)ActiveX/Java アプレット Web クライアントがログイン ページでイネーブルになっていないかぎり、IP アドレスでのみ追跡されます。L3 配置に関する詳細は、「CAA によるすべての使用可能なアダプタの IP/MAC の送信」を参照してください。

エージェントと Web ログイン ユーザのどちらの場合も、そのデバイスを使用してログインした最初のユーザだけが Certified List に記録されます。これは、User Agreement Page(Web ログイン ユーザの場合)または Network Policy Page(エージェント ユーザの場合)を受け入れた認証ユーザの識別に役立ちます(そのロールにこれらのページが設定されている場合)。これらのページについての詳細は、 表9-2 「Web Login -- General Setup 設定オプション」 および「ユーザ ページの概要」を参照してください。

証明済みデバイスは、以下の事象が発生するまで、Certified List に表示されます。

このリストが証明済みデバイスタイマーによって自動的に消去された場合

管理者がリスト全体を手動で消去した場合

管理者がリストからそのクライアントを手動で削除した場合

ユーザがログアウトするか、またはネットワークから排除され、 General Setup > Web Login ページで [Require users to be certified at every web login] オプションが選択されている場合

ネットワーク スキャンを使用する場合は、デバイスがスキャンに合格して Certified List に表示されると、そのデバイスが Certified List から削除されないかぎり、次のログイン時にスキャンは実行されません。

ネットワーク スキャン ユーザは、Certified List からクライアントが削除されると、再度ユーザ認証とデバイスのネットワーク スキャンを受けないかぎり、ネットワーク アクセスを認められません。ネットワーク スキャン ユーザがログオフした場合に必ず Certified List から削除されるようにするには、 General Setup > Web Login タブの [Require users to be certified at every web login] オプションをイネーブルにします(General Setup の概要を参照)。

CAA ユーザの場合は、デバイスがすでに Certified List に含まれていても、ログインのたびに CAA の条件検査を通過しなければなりません。

Certified List から削除されたクライアントは、ネットワーク スキャンに合格し、再度 CAA の条件に適合しないと、ネットワークへの再アクセスを認められません。ユーザ セッション期間中だけ証明済みとなるフローティング デバイスを追加することもできます。あるいは、Clean Access の証明プロセスを免除して、デバイスを手動で Certified List に追加することも可能です。

Online Users リストからユーザが削除されても、Certified List からクライアント デバイスは削除されません。

Certified List から手動で削除されたユーザはネットワークからも、Online Users リストからも削除されます。

証明済みデバイスタイマーを使用している場合、タイマーの Keep Online Users オプションをイネーブル/ディセーブルにすることでリストがクリアされる際に、ユーザを削除するかどうかを設定することができます。詳細は、「証明済みデバイス タイマーの設定」を参照してください。

詳細については、以下も参照してください。

「証明済みデバイスの管理」

「アクティブ ユーザの意味」

「OOB ユーザ」

「アウトオブバンド ユーザ リストの概要」

ロールベースの設定

Clean Access のネットワーク保護機能は、ロールおよび OS 別にユーザに設定します。ユーザが Clean Access ネットワークに存在する場合(たとえばユーザがインバンド内に存在する間)以下のユーザ ロールが採用され、これらのロールにはトラフィック ポリシーとセッション タイムアウトを設定する必要があります。

Unauthenticated ロール ― CAS の後ろ側の未認証ユーザ(エージェントまたは Web ログイン)用のデフォルト システム ロール。Web ログイン ユーザは、ネットワーク スキャンの実行中、Unauthenticated ロールになります。

CAA Temporary ロール ― CAA ユーザは、システムに対する CAA 条件検査が実行されている間、このロールになります。

Quarantine ロール ― Web ログインとエージェントのいずれのユーザも、ネットワーク スキャンによってクライアント マシンに脆弱性があると判断された場合、Quarantine ロールになります。

Temporary と Quarantine のロールは、セッション時間とネットワーク アクセスをユーザがシステムを修正する目的だけに制限するためのロールです。

Clean Access は、ユーザ認証時に、Web ログイン ページと CAA のいずれかを通じて、そのユーザが Normal Login ロールかどうかを判断します。また、そのロールに対して、条件検査、ネットワーク スキャン、その両方のいずれを実行すべきかも判断します。その後 Clean Access はそのロールおよび OS の設定に従って、条件検査またはネットワーク スキャンまたはその両方を実行します。

ユーザのロールは最初のログイン後すぐに判断されるので(そのユーザに関連付けられているスキャンまたはシステム条件を判断するため)、条件に適合し、スキャンで脆弱性がないことが明らかになるまで、Normal Login ロールにはなりません。クライアントが条件を満たしていない場合、そのユーザは条件を満たすまで、またはセッションがタイムアウトになるまで、CAA Temporary ロールになります。条件には適合していても、ネットワーク スキャンで脆弱性が発見されたユーザは、設定に応じて、Quarantine ロールに割り当てられるか、または単にアクセスをブロックされます。

詳細は、「ユーザ ロールのタイプ」を参照してください。

Clean Access の設定手順

Clean Access の全体的なセットアップ手順は、以下のとおりです。


ステップ 1 アップデートをダウンロードします。
CAA および他の構成要素の汎用アップデートを取得します。「アップデートの取得」を参照してください。

ステップ 2 General Setup タブで、ユーザ ロールおよび OS 別に CAA またはネットワーク スキャンを設定します。
ロールに CAA の使用を要求し、Web ログイン ユーザには Web ページのネットワーク スキャンをイネーブルにし、脆弱性のあるユーザは隔離するかアクセスをブロックします。「General Setup の概要」を参照してください。

ステップ 3 Clean Access に関連したユーザ ロールに、セッション タイムアウトとトラフィック ポリシーを設定します(インバンド)。 Quarantine ロールのトラフィック ポリシーでは、User Agreement ページとネットワーク スキャンで不合格になった隔離ユーザ用の Web リソースへのアクセスを許可します。CAA Temporary ロールのトラフィック ポリシーでは、ユーザが必要とするパッケージのダウンロード元リソースへのアクセスを許可します。「Agent Temporary および Quarantine ロールのポリシーの設定」を参照してください。

ステップ 4 ネットワーク スキャンまたは Clean Access Agent のスキャンまたはその両方を設定します。

ステップ 5 ネットワーク スキャンを設定する場合 ― CAM に Nessus プラグインをロードします。ネットワーク スキャンをイネーブルにするには、Nessus プラグインを選択してスキャンに参加し、ユーザ ロールおよび OS 別にスキャン結果の脆弱性に関する設定を行います。ユーザ同意ページをカスタマイズします。「ネットワーク スキャンの設定手順」を参照してください。ネットワーク スキャンの結果は、ネットワーク スキャンをブロックするパーソナル ファイアウォールがあるかどうかによって異なります。

ステップ 6 CAA を設定する場合 General Setup> Agent Login タブでそのユーザ ロールに対して、CAA の使用を要求します。ユーザ ロール別に条件を考え、定義します。AV Rules を設定するか、またはチェックからカスタム ルールを作成します。AV Rules を AV Definition Update 条件に対応付けるか、またはカスタム ルールをカスタム条件に対応付けるか(File Distribution/Link Distribution/Local Check)、またはその両方を行います。条件を各ユーザ ロールに対応付けます。「CAA 要件の設定手順」を参照してください。

ステップ 7 クライアントとして非信頼ネットワークに接続することにより、ユーザ ロールおよび OS の 設定をテストします。 テストの間、Certified List、Online Users ページ、Event Logs を監視します。Web ログインを実行してネットワーク スキャンをテストし、ネットワーク スキャン プロセス、ログアウト ページ、関連するクライアントおよび管理者レポートを検査します。最初の Web ログインと CAA のダウンロード、CAA のログイン、条件検査とスキャン、そして関連するクライアントおよび管理者レポートの表示を通じて、CAA をテストします。

ステップ 8 必要な場合は、フローティング デバイスや免除デバイスなどを設定して、Certified List を管理します。フローティング デバイスに対しては、各ユーザ セッションの開始時に証明を実行しなければなりません。免除デバイスは、Clean Access 条件から除外されます。「証明済みデバイスの管理」を参照してください。


 

詳細は、以下を参照してください。

「ネットワーク スキャンの設定手順」

「CAA 要件の設定手順」

アップデートの取得

各種アップデートは Clean Access Updates サーバから入手できます。このサーバには、 Device Management > Clean Access> Updates からアクセスできます。必要に応じて手動で更新したり、自動実行するようにスケジュールすることができます。

シスコのチェックおよび規則

シスコは、ホットフィックス、Windows アップデート、各アンチウイルス ソフトウェア パッケージなど、標準クライアント チェック用のさまざまなタイプの設定済み規則(「pr_」)およびチェック(「pc_」)を提供しています。シスコのチェックおよび規則を使用すると、独自のカスタム チェックおよび規則の手動作成が必要な場合に、簡単に作成することができます。

Supported AV/AS Product List

このリストは、中央集中型アップグレード サーバから配布される、バージョン設定された XML ファイルです。このサーバが提供するサポート対象の AV/AS ベンダーや製品バージョンの最新リストを使用すると、AV/AS 規則、および AV/AS 定義アップデート要件を設定することができます。このリストは、新規製品のサポートを追加するために定期的に更新されます。リストにはバージョン情報のみが提供されることに注意してください。CAM がサポートされている AV/AS 製品リストをダウンロードする際、AV/AS 製品の最新バージョンに関する情報がダウンロードされていて、実際のパッチ ファイルやウイルス定義ファイルはダウンロードされません。この情報に基づいて、エージェントはネイティブ AV/AS アプリケーションをトリガしてアップデートを実行することができます。製品の最新詳細とサポートされているバージョンについては、 Device Management > Clean Access > Clean Access Agent > Rules > AV/AS Support Info を参照するか、 最新のリリース ノート の「Clean Access Supported Antivirus/Antispyware Product List」を参照してください。

AV の規則および要件

管理者の標準タスクを容易にするために、CAA には、Supported AV/AS Product List にある 28 程度の主要 AV ベンダーのサポートが組み込まれていて、AV 規則および AV Definition Update 要件が事前に定義されています。Agent はインストール済みの AV ソフトウェアおよび最新のウイルス定義をチェックして、クライアント システム上でこれらのパッケージを自動的に更新することができます。サポート対象 AV ベンダー パッケージのリストには、以下のベンダーが含まれています。

 

AhnLab, Inc.

ALWIL Software

America Online, Inc

Authentium, Inc.

Beijing Rising Technology Corp. Ltd

ClamWin

Computer Associates International, Inc.

EarthLink, Inc.

Eset Software

Frisk Software International

F-Secure Corp.

GData Software AG

Grisoft, Inc.

H+BEDV Datentechnik GmbH

Kaspersky Labs

Kingsoft Corp

McAfee, Inc.

Microsoft Corp.

MicroWorld

Norman ASA

Panda Software

SalD Ltd.

SOFTWIN

Sophos Plc.

Symantec Corp.

Trend Micro, Inc.

Yahoo!, Inc.

Zone Labs LLC

AS の規則および要件

Cisco NAC アプライアンスは、20 以上の AS ベンダー Windows Vista/XP/2000 の以下のスパイウェア対応(AS)製品サポートを、Supported AV/AS Product List と事前定義された AS 規則および AS Definition Update 要件に統合します。

 

AhnLab, Inc.

America Online, Inc

Anonymizer, Inc

Bullet Proof Soft

Computer Associates International, Inc

EarthLink, Inc.

Face Time Communications, Inc

Javacool Software LLC

Lavasoft, Inc.

McAfee, Inc.

MicroSmarts LLC

Microsoft Corp.

PC Tools Software

Prevx Ltd.

Safer Networking Ltd.

SOFTWIN

Sunbelt Software

Symantec Corp.

Trend Micro Inc.

Webroot Software, Inc.

Yahoo!, Inc.

デフォルトのホスト ポリシー

Clean Access には、デフォルト ホストベース ポリシーの自動更新機能があります(Unauthenticated、Temporary、および Quarantine ロール用)。デフォルト許可ホストはデフォルトでディセーブルであるため、 User Management > User Roles > Traffic Control > Hosts でロールごとにイネーブルにする必要があります。詳細は、「デフォルト許可ホストのイネーブル設定」を参照してください。

OS 検出フィンガープリント

デフォルトでは、HTTP ヘッダーの User-Agent ストリングを使用して、クライアント OS が判別されます。さらに、JavaScript のプラットフォーム情報または TCP/IP ハンドシェイクの OS フィンガープリントを、CAM データベース内の OS シグニチャ情報と比較して、クライアント OS を判別することもできます。新しい OS シグニチャが使用可能になり、OS フィンガープリントを Windows マシンとして検証できるようになったら、CAM 内のこの情報を更新できます。拡張 OS フィンガープリント機能は、ユーザが HTTP 情報を操作して、クライアント OS の ID を変更できないようにします。この機能は TCP ハンドシェイクのみを検査し、個人用ファイアウォールの有無に影響されない、「パッシブ」検出技術です(Nessus は使用しません)。詳細については、Web コンソールの CAS 管理ページの Device Management > CCA Servers > Manage [CAS_IP] > Authentication > OS Detection 、および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。


) OS 検出/フィンガープリント機能は、ブラウザのユーザ エージェント文字列と TCP/IP スタック情報の両方を使用して、クライアント マシンの OS を判別しようとします。検出ルーチンで最適一致を検出しようとしている際に、エンド ユーザがクライアント マシンで TCP/IP スタックを修正してブラウザのユーザ エージェント文字列を変更すると、OS が誤って検出される可能性があります。悪意のあるユーザが OS フィンガープリント/検出メカニズムを逃れていると考えられる場合、管理者は、マシンの OS を確認するためにネットワークスキャンを使用することを推奨します。何らかの理由でネットワーク スキャンを使用できないか好ましくない場合、ネットワーク管理者はマシンに CAA を事前にインストールしておくことを考慮する必要があります。


サポートされているアウトオブバンド スイッチ OID

利用可能になると、サポートされているスイッチのオブジェクト ID(OID)の更新がダウンロードされ発行されます。たとえば、サポートされているモデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW)がリリースされると、管理者がスイッチ OID のサポートを取得するために必要なのは、CAM/CAS のソフトウェア アップグレードを実行する代わりに、CAM で Cisco アップデートを実行することだけです。

アップデート スイッチ OID 機能は既存モデルのみに適用されることに注意してください。新規スイッチ シリーズが導入される場合、新規スイッチの OOB サポートを確認するために管理者は従来どおりアップグレードする必要があります。OOB の詳細については、 第 4 章「スイッチ管理:アウトオブバンド(OOB)配置の設定」 を参照してください。

Windows Clean Access Agent アップグレード パッチ

Agent アップグレード パッチは CAM に自動的にダウンロードされ、CAS にプッシュされて、クライアントにダウンロードおよびインストールされます(自動アップグレードが設定されている場合)。詳細は、「CAA 自動アップグレードの設定」を参照してください。

L3 Java アプレット/L3 ActiveX Web クライアント

ユーザが L3 OOB 配置で Web ログインを実行する場合、L3 Java アプレットおよび L3 Active X Web クライアントがクライアント MAC アドレス検出に必要です。CAA の MAC 検出メカニズムは、L3 OOB 配置で自動的にクライアント MAC アドレスを取得します( CAA によるすべての使用可能なアダプタの IP/MAC の送信参照)。

Web ログインを実行するユーザは、ユーザ マシンの MAC アドレスを判別するために、ユーザのログイン前に、Active X コントロール(IE ブラウザ用)または Java アプレット(IE 以外のブラウザ用)のいずれかをクライアントマシンにダウンロードして実行します。次にこの情報は CAS と CAM にレポートされ、IP アドレス/MAC アドレス マッピングが提供されます。

ActiveX/Java アプレットおよびブラウザの互換性

ActiveX は、Windows Vista、Windows XP、Windows 2000 システムの IE 6.0 でサポートされています。

IE 7.0 は、エージェント バージョン 4.1.0.0 からサポートが開始されます。


) Windows OS または IE リリースの今後のサポートは、これらのリリースでテストおよび認証が実行されたあとにのみ追加されます。


Java アプレットは、Safari 1.2+、Mozilla(Camino、Opera)、および Windows Vista、Windows XP、Windows 2000、Mac OS X、Linux オペレーティング システムの Internet Explorer を含む主要なブラウザ用にサポートされています。

Java の Firefox の問題により、Java アプレットは Mac OS X 上の Firefox ではサポートされていません。詳細については、Firefox のリリース ノート
http://www.mozilla.com/firefox/releases/1.5.0.3.html )を参照してください。


) • Clean Access チェックに最新の Microsoft Windows ホットフィックスを追加するには、常に Cisco Checks and Rules の最新 Updates を取得して(必要に応じて Clean Update を使用)、ホストベースのトラフィック ポリシーが適切に配置されていることを確認します(詳細については、 ホストベースのグローバル トラフィック ポリシーの追加を参照)。

CAM/CAS を Cisco NAC アプライアンスの最新リリースにアップグレードすると、すべての Perfigo/Cisco 設定済みチェック/規則が自動的にアップデートされます。


 

Cisco アップデートのダウンロード

1. Device Management > Clean Access > Updates の順番に進みます。

2. デフォルトで Summary ページが表示されます。

図9-5 アップデート概要

 

3. Current Versions of Updates に、CAM にあるすべての最新 Cisco アップデート バージョンが表示されます。

シスコのチェックおよび規則

Supported AV/AS Product List

デフォルトのホスト ポリシー

デフォルトの L2 ポリシー

OS 検出フィンガープリント

サポートされているアウトオブバンド スイッチ OID

Windows CAA エージェント アップグレード パッチ

L3 Java アプレット Web クライアント

L3 ActiveX Web クライアント

4. Update サブタブをクリックして、CAM にダウンロードするシスコ アップデートと、Clear Access アップデートのチェック頻度を設定します。

図9-6 Device Management > Clean Access > Updates > Update

 

5. CAM の自動アップデートを設定するには、 Automatically check for updates starting from [ ] every [ ] hours のチェックボックスをオンして、開始時間を 24 時間形式(13:00:00 など)で入力して、繰り返し間隔( 1 時間を推奨)を入力します。

6. Check for Windows CCA Agent upgrade patches オプションをクリックして、CAM が常に最新バージョンの Agent アップグレード パッチをダウングレードするように設定します。Agent 自動アップグレードを使用する場合は、このオプションをイネーブルにする必要があります。

7. Check for CCA L3 Java Applet/ActiveX web client updates オプションをクリックして、CAM が常に最新バージョンの L3 Java アプレットおよび ActiveX Web クライアントをダウンロードするように設定します。Web ログイン ユーザは、CAS が L3 配置(特に L3 OBB)で MAC 情報を取得するように、ログイン ページからこれらのヘルパー制御をダウンロードする必要があります。エージェントが使用される場合、MAC 情報が自動的に CAS に送信されます。

8. Update をクリックし、最新のシスコ チェックおよび規則、Agent アップグレード パッチ、Supported AV/AS Product List、およびデフォルト ホスト ポリシーを使用して、既存データベースを手動で更新します。

9. Clean Update をクリックして、データベースから古い項目(チェック、規則、Agent パッチ、Supported AV/AS Product List、およびデフォルト ホスト ポリシーなど)をすべて削除してから、新しいアップデートをすべてダウンロードします。Clean Update を実行すると、既存のデフォルト ホスト ポリシー(およびイネーブル/ディセーブル設定)がすべて削除され、新しいデフォルト ホスト ポリシー(デフォルトでディセーブル)が追加されます。詳細は、「デフォルト許可ホストのイネーブル設定」を参照してください。

10. アップデートを取得すると、ページ下部に次のステータス メッセージが表示されます。

Cisco auto-update schedule (イネーブルの場合)

Latest Version of Cisco Checks & Rules:
ダウンロードされたシスコ チェックおよび規則のバージョンを示します。シスコの設定済みチェック(「 pc_ 」)および規則(「 pr_ 」)の最新アップデートに、 Check List および Rule List がそれぞれ読み込まれます( Device Management > Clean Access > Clean Access Agent > Rules )。

Latest version of Windows Clean Access Agent Installer (Agent Upgrade Patch) (使用可能な場合)

Latest version of Supported AV/AS Product List:
Supported AV/AS Product List の最新バージョンを示します。 New AV Rule またはタイプ AV Definition Update の要件を作成すると、サポートされているベンダーおよび製品バージョンのリストが適宜更新されます。

Latest version of default host policies:
Unauthenticated、Temporary、Quarantine ロール用に提供されているデフォルトのホストベースのポリシーの最新バージョンを表示します。

Latest version of OS detection fingerprint :
Windows マシンで新しいオペレーティング システムが利用可能になると、OS 検出フィンガープリント(またはシグニチャ)の更新が行われます。

Latest version of L3 Java Applet web client :
利用可能になると、L3 Java アプレットの Web クライアントのアップデートがダウンロードされ発行されます。

Latest version of L3 ActiveX web client :
利用可能になると、L3 ActiveX Web クライアントのアップデートがダウンロードされ発行されます。

Latest version of OOB switch OIDs :
利用可能になると、サポートされているスイッチのオブジェクト ID(OID)のアップデートがダウンロードされ発行されます。

Latest version of default L2 policies :
利用可能になると、レイヤ 2 トラフィック ポリシーのアップデートがダウンロードされ発行されます。

11. CAM でインターネットの接続にプロキシ サーバが必要である場合、HTTP Setting サブタブをクリックして、Clean Access Update を取得できるようになるのに必要なプロキシ サーバ パラメータを指定します。

図9-7 Device Management > Clean Access > Update > HTTP Settings

 

12. CAM からプロキシ サーバを経由してインターネットにアクセスする場合は、[ Use an HTTP proxy server to connect to the update server ] オプションをクリックします。

13. CAM がインターネットの接続に使用する Proxy Hostname と Proxy Port を指定します。

14. プロキシ サーバでプロキシ セッションの認証に証明書が必要な場合、以下のいずれかをクリックして Proxy Authentication メソッドを指定します。

Basic ― CAM とプロキシ サーバの間のプロキシ セッションを認証するのに必要な Username および Password を指定するように求められます。

Digest ― Basic 設定と同様に、このオプションでも CAM とプロキシ サーバの間のプロキシ セッション認証に Username と Password が必要です。さらにユーザ名とパスワードをネットワーク上で保護するために、証明書のハッシュと、情報を要約するプロキシ サービスが必要になります。

NTLM ― CAM とプロキシ サーバとプロキシ セッションの認証に Username と Password が必要であることに加えて、既存の Microsoft Windows NT LAN マネージャ(NTLM)プロキシ サービスをサポートするために、プロキシの Host および Domain を指定する必要があります。


NTML オプションは NTLM バージョン 1 および 2 をサポートしています。


15. Save をクリックします。

General Setup の概要

ポスチャ評価を設定する前に、 Device Management > Clean Access > General Setup で CAA スキャンやネットワーク スキャンをイネーブルにする必要があります。

エージェントログイン サブページにより、ユーザロール/OS 別の CAA 制御がイネーブルになります。

Web ログイン サブページにより、ユーザロール/OS 別のネットワーク スキャン制御がイネーブルになります。

ダイアログおよび Web ページの内容だけでなく、ユーザが特定のユーザ ロールおよび OS でログインした場合にページを表示するかどうかを指定することもできます。ロールに対して CAA とネットワーク スキャンの両方をイネーブルにする場合、 Agent Login Web Login 設定ページの両方でロール/OS オプションを設定します。


) CAA またはネットワーク スキャンのページは必ず、ユーザ ロール単位とクライアント OS 単位の両方で設定されます。


エージェントログイン

CAA ユーザは、初回の Web ログインを最初に実行する際に、CAA 設定インストール ファイルをダウンロードしてインストールするために Web ログイン ページと CAA ダウンロード ページを確認します。エージェントのインストール後、CAA ユーザは 自動的に表示される CAA ダイアログに従ってログインすることになります。このダイアログが自動的に表示されるのは、システム トレイ アイコン メニューで Popup Login Window が選択されている場合です(デフォルト設定)。CAA ユーザは、CAA システム トレイを右クリックして Login を選択する方法でも、ログイン ダイアログを表示させることができます。


) VPN SSO、AD SSO、および Mac ベースのログインなどの特殊なログインの場合、エージェント ログイン/ログアウトはディセーブル(グレーアウト)です。マシンが即座に再ログインしようとするので、これらの構成ではログアウト オプションは不要です。


CAA ユーザの場合、エージェント ダイアログで通信が実行されるので、Quarantine ロール ページやポップアップ脆弱性スキャン レポートは表示されません。エージェント ユーザがログイン後でネットワークにアクセスする前に同意しなければならない Network Policy ページ(Acceptable Use ページ)を設定することもできます。

リモートユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、エンド ユーザの CAA ログオン セッションでは、標準のユーザ ID およびパスワードに加えて、他のダイアログ セッションで利用できない追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM や CAS に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するような、RADIUS サーバ プロファイル設定に追加の認証確認を装備することができます。この場合、1 つまたは複数のログイン ダイアログ画面がログイン セッションの一部として表示されます。


) 選択した RADIUS 認証メソッドに従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


図9-8 Agent Login -- General Setup

 

 

表9-1 Agent Login -- General Setup 設定オプション

設定項目
説明

User Role

システム内のすべてのロールが表示されているドロップダウン メニューから、ユーザ ロールを選択します。CAA を必要とする各ロールに対して Agent Login 設定を設定します(新規ユーザ ロールの作成方法については、「新しいロールの追加」を参照してください)。

Operating System

その特定のユーザ ロールのクライアント OS を選択します。

ALL を選択すると、OS 固有の設定値が設定されなければ、すべてのクライアント OS に設定が適用されます。

WINDOWS ALL を選択すると、Windows OS 固有の設定値が設定されていなければ、すべての Windows OS に設定が適用されます。

Require use of Clean Access Agent (for Windows and Macintosh OSX only)

このチェックボックスをクリックすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に Clean Access Agent Download Page Message(または URL) にリダイレクトされます。ユーザは、ネットワークにログインするために、CAA のダウンロード、インストール、使用を促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。「CAA 要件の作成」を参照してください。


第 11 章「CAA 要件の設定」の説明に従って、CAA の条件の設定を完成させなければなりません。


Allow restricted network access in case user cannot use Clean Access Agent

このオプションのチェックボックスをオンにすると、CAA のダウンロードを迂回する場合にユーザに制限されたネットワーク アクセスを許可することができます。この機能は、主に、CAA エージェントが必要なユーザ ロールにログインするユーザで、(マシンの管理以外の権限の場合のように)エージェントのダウンロードとインストールを行うことのできないシステム上にいるユーザにアクセスを許可するためのものです。詳細は、「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

Show Network Policy to Clean Access Agent users [Network Policy Link:]

Network Policy(Acceptable Use Policy)Web ページ への CAA 内のリンクを、CAA ユーザに表示したい場合は、このチェックボックスをクリックします。このオプションを使用すると、ネットワークにアクセスする前にユーザが同意しなければならないポリシーまたは情報のページを提供できます。このページは、外部 Web サーバまたは CAM 自体に保存しておくことができます。

外部サーバ上に置かれているページとリンクさせる場合は、 Network Policy Link フィールドに http://mysite.com/helppages の形式で URL を入力します。

ネットワーク ポリシー ページ(たとえば、[helppage.htm])を CAM に保存する場合は、 Administration > User Pages > File Upload で、そのページをアップロードしてから、 Network Policy Link フィールドに URL http://<CAS IP アドレス>/auth/helppage.htm を入力することにより、そのページを示します。


) ネットワーク ポリシー ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、ネットワーク ポリシー ページに同意した認証ユーザの識別に役立ちます。Certified List からデバイスを消去すると、次回のログイン時にユーザは再度ネットワーク ポリシーに同意しなければなりません。


詳細は、図9-3および「Agent ユーザ用の Network Policy ページ(AUP)の設定」を参照してください。

Logoff Clean Access Agent users from network on their machine logoff or shutdown (for Windows & In-Band only)

ユーザが Windows ドメインをログオフしたり(Start->Shutdown->Log off current user)、Windows ワークステーションをシャットダウンした場合に、Clean Access ネットワークからそのエージェントがログオフするように設定する場合は、このオプションをクリックします。このオプションを選択しないと、ユーザのマシンがログオフまたはシャットダウン/再起動しても、そのユーザは Clean Access にログインしたままになります。この機能をイネーブルにすると、マシンの再起動時に Auto-Update によってそのエージェント上の更新ファイルの検査が確実に実行されます。この機能をイネーブルにしないと、次回のユーザ ログイン時まで、クライアントの更新ファイルの検査は実行されません。


) この機能は、OOB 配置に適用されません。
この機能はイネーブルに設定すると即座に有効となり、新しいユーザのログイン時に実行されます。
Clean Access 環境から正常にログオフする前に、Windows がエージェントを終了した場合、ユーザはログインしたままになる可能性があります。


Refresh Windows domain group policy after login (for Windows only)

このチェックボックスをクリックすると、ユーザ ログイン後自動的に Windows ドメイン グループ ポリシーが更新されます(GPO アップデートが実行されます)(Windows の場合のみ)。この機能は、Windows AD SSO がエージェント ユーザに設定されている場合に GPO アップデートを容易にするためのものです。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。

Automatically close login success screen after [] secs

このチェックボックスをクリックして、ユーザが通常のログイン ロールで正常に認証/ログインしたあとに Login success ダイアログを自動的に閉じる時間を設定します(設定しない場合は、ユーザは OK ボタンをクリックする必要があります)。時間を 0 秒に設定すると、Agent ログイン成功画面が表示されません(図11-72を参照)。有効な範囲は 0 ~ 300 秒です。

Automatically close logout success screen after [] secs (for Windows only)

このチェックボックスをクリックして、ユーザが手動でログアウトする際に Logout success ダイアログを自動的に閉じる時間を設定します(設定しない場合は、ユーザは OK ボタンをクリックする必要があります)。時間を 0 秒に設定すると、ログアウト成功画面が表示されません(図11-73を参照)。有効な範囲は 0 ~ 300 秒です。

Web ログイン

図9-9 Web Login -- General Setup

 

Web ログイン ユーザには、ログイン ページとログアウト ページ、Quarantine ロール ページまたはアクセス ブロック ページ、そして Nessus 脆弱性スキャン レポートのうち、イネーブルに設定されているものが表示されます。ネットワークにアクセスする前に、Web ログイン ユーザに User Agreement ページを表示するように設定することもできます。

リモートユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、初回の Web ログイン セッションでは、標準のユーザ ID およびパスワードに加えて、追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM や CAS に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するような、RADIUS サーバ プロファイル設定に追加の認証確認を装備することができます。この場合、1 つまたは複数のログイン ダイアログ画面がログイン セッションの一部として表示されます。


) 選択した RADIUS 認証メソッドに従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


図9-9 に示されている General Setup> Web Login タブの設定オプションについて、 表9-2 でまとめて説明します。ユーザ ページの例と説明は、 表9-3 を参照してください。

 

表9-2 Web Login -- General Setup 設定オプション

設定項目
説明

User Role

Clean Access の General Setup タブの設定を適用するユーザ ロールを選択します。ドロップダウン リストには、システム内のすべてのロールが表示されます。 User Management > User Role で、ユーザ ロールを設定します( 新しいロールの追加を参照)。

OS

その特定のユーザ ロールのクライアント OS を選択します。デフォルトの [ALL] を選択すると、OS 固有の設定値が設定されなければ、すべてのクライアント OS に設定が適用されます。

Show Network Scanner User Agreement Page to web login users

Web ログインおよびネットワーク スキャン後に、 ユーザ同意ページ (ウイルス対策情報)を表示する場合は、このチェックボックスをクリックします。このページには、 User Agreement 設定フォームで設定した内容が表示されます。ネットワークにアクセスするためには、ユーザは Accept ボタンをクリックしなければなりません。


) ユーザ同意ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、ユーザ同意ページに同意した認証ユーザの識別に役立ちます。Certified List からデバイスを消去すると、次回のログイン時にユーザは再度、このページで同意しなければなりません。


このオプションを選択する場合は、「ユーザ同意ページのカスタマイズ」の説明に従って、ページの設定を行う必要があります。

Enable pop-up scan vulnerability reports from User Agreement Page

このチェックボックスをクリックすると、ポップアップ ブラウザ ウィンドウから、Web ログイン ユーザにネットワーク スキャンの結果を表示することができます。ポップアップ ウィンドウがクライアント コンピュータでブロックされている場合、ユーザはログアウト ページの Scan Report をクリックする方法でもレポートを表示させることができます。

Require users to be certified at every web login

このチェックボックスをクリックすると、ネットワークにアクセスするたびにユーザにネットワーク スキャンを強制できます。

ディセーブルに設定すると(デフォルト)、ユーザ証明が必要になるのは、そのユーザが最初にネットワークにアクセスしたとき、または Certified List からそのユーザの MAC アドレスが消去されるまでのみです。

Exempt certified devices from web login requirement by adding to MAC filters

このチェックボックスをクリックすると、Clean Access Certified List 上のデバイスの MAC アドレスが認証パススルー リストに追加されます。これによって、デバイスは、次回のネットワーク アクセス時に認証と Clean Access プロセスをどちらも回避できます。

Block/Quarantine users with vulnerabilities in role

このチェックボックスをクリックして、ドロップダウン メニューから quarantine ロールを選択すると、ネットワーク スキャン後に脆弱性が発見された場合、そのユーザは Quarantine ロールに割り当てられます。Quarantine ロールで隔離されたユーザは、システムの問題を修正し、再度ネットワーク スキャンを受け、脆弱性が発見されなくなるまで、ネットワークにアクセスできません。

ネットワーク スキャン後に脆弱性が発見された場合にネットワークからユーザをブロックする場合は、このチェックボックスをクリックし、ドロップダウン メニューから Block Access を選択します。ブロックされたユーザには、 Message (or URL) for Blocked Access Page: フィールドに入力した内容のアクセスブロック ページが表示されます。


) Quarantine ロールの名前の横にあるカッコ内に、ロール セッションの期限が表示されます。このセッション タイムは、ユーザ同意ページにも表示されます(Quarantine ユーザに対して、このページの表示がイネーブルになっている場合)。


Show quarantined users the User Agreement Page of

[ Block/Quarantine users with vulnerabilities in role ] で、 Quarantine を選択した場合は、下部にこのオプションが表示されます。これによって、スキャンで不合格になったユーザ用に選択された Quarantine ロール専用のユーザ同意ページを表示できます。あるいは、ユーザの Normal Login ロールに関連付けられたページを表示したり、ページは何も表示しないといったことも可能です。詳細は、「ユーザ同意ページのカスタマイズ」を参照してください。

Message (or URL) for Blocked Access Page:

[ Block/Quarantine users with vulnerabilities in role ] で、 Block Access を選択した場合は、下部にこのオプションが表示されます。デフォルトのメッセージを変更する場合は、Clean Access 証明に不合格となったためにネットワークからブロックされた場合にユーザに表示するメッセージの HTML テキストまたは URL を入力します。

ユーザ ページの概要

ログインと Clean Access 証明のプロセス中にユーザに表示される Web ページと Web 管理コンソールで設定するリストについて、 表9-3 に概要を示します。

 

表9-3 ユーザ ページの概要

ページ
設定場所
目的
Web ログイン ページ

ログイン ページ

Administration > User Pages > Login Page

詳細は、「ユーザ ログイン ページ」を参照してください。

ログアウト ページ

(Web ログイン ユーザのみ)

User Management > User Roles > New Role or Edit Role

詳細は、「ログアウト ページの情報の指定」を参照してください。

CAA ユーザ ページ

CAA ダウンロード ページ

Device Management > Clean Access > General Setup > Agent Login

「CAA 要件の作成」を参照してください。

「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

CAA の使用が必要なロールのユーザには、初回のワンタイム Web ログイン後にこのページが表示され、エージェントのダウンロードとインストールを促します。エージェントをインストールしたら、ユーザはブラウザを開くのではなく、エージェントを使用してログインしなければなりません。

 

Download ページの下部には、ロールによってユーザがエージェントの使用を要求されるがそのときにエージェントをダウンロードできない場合に、オプションで Restricted Network Access ボタンを配置するように設定することができます。

Clean Access ネットワーク ポリシー ページ

Device Management > Clean Access > General Setup > Agent Login

「Agent ユーザ用の Network Policy ページ(AUP)の設定」および図9-3を参照してください。

Web ログイン/ネットワーク スキャナ ユーザ ページ

ネットワーク スキャン ユーザ同意ページ

イネーブルに設定:

Device Management > Clean Access > General Setup > Web Login

ページの設定:

Device Management > Clean Access > Network Scanner > Scan Setup > User Agreement

「ユーザ同意ページのカスタマイズ」および図9-4を参照してください。

このページをイネーブルにすると、Web ログイン ユーザに対して、認証およびネットワーク スキャン合格後にこのページが表示されます。ネットワークにアクセスするためには、ユーザは Accept ボタンをクリックしなければなりません。

脆弱性スキャン レポート

イネーブルに設定:

Device Management > Clean Access > General Setup > Web Login

ページの設定:

Device Management > Clean Access > Network Scanner > Scan Setup > Vulnerabilities

「脆弱性の処理の設定」および図9-4を参照してください。

イネーブルに設定すると、ネットワーク スキャンによって脆弱性が発見された場合、Web ログイン ユーザに、このクライアント レポートが表示されます。ログアウト ページにも、このレポートへのリンクが表示されます。管理者は、 Device Management > Clean Access > Network Scanner > Reports から、このクライアント レポートの管理バージョンを表示できます。ネットワーク スキャンで脆弱性が発見されたエージェント ユーザは、エージェント ダイアログの一環としてこの情報を提供されます。レポートは次のように表示されます。

アクセス ブロック ページ

Device Management > Clean Access > General Setup > Web Login

「ユーザ同意ページのカスタマイズ」を参照してください。

イネーブルに設定すると、ネットワーク スキャンによってクライアント システムに脆弱性が発見され、ネットワークからブロックされる場合に、Web ログイン ユーザに対してこのページが表示されます。

ユーザ同意ページ:隔離ユーザ、オリジナル ロール

イネーブルに設定:

Device Management > Clean Access > General Setup > Web Login

ページの設定:

Network Scanner > Scan Setup > User Agreement

normal login ロールを選択します。

「ユーザ同意ページのカスタマイズ」を参照してください。

ユーザ同意ページ:

隔離ユーザ、Quarantine ロール

イネーブルに設定: Device Management > Clean Access > General Setup > Web Login

ページの設定: Network Scanner > Scan Setup > User Agreement

該当する quarantine ロールを選択します。

「ユーザ同意ページのカスタマイズ」を参照してください。

イネーブルに設定すると、ネットワーク スキャンによってクライアント システムに脆弱性が発見され、隔離される場合に、Web ログイン ユーザに対してこのページが表示されます。

このページでは、Quarantine ロール専用のユーザ同意ページを指定できます(上述の Normal Login ロール用のユーザ同意ページの Quarantine 版を使用するのではなく)。 Acknowledgment Instructions には Quarantine ロール用のセッション タイムアウトがハードコードされ、またボタンも[ Report ] および [ Logout ] にハードコードされています。

ロール別にユーザを特定のページまたは URL(Clean Access 外の)にリダイレクトする場合に関する詳細は、「ローカル ユーザ アカウントの作成」を参照してください。

Clean Access の設定に関するその他の事項は、「General Setup タブでの設定」を参照してください。

CAA の設定に関する詳細は、 第 11 章「CAA 要件の設定」 を参照してください。

証明済みデバイスの管理

ここでは、次の項目について説明します。

「免除デバイスの追加」

「証明済みデバイスまたは免除デバイスの手動消去」

「証明済みデバイスの Clean Access レポートの表示」

「アウトオブバンドの証明済みデバイスに関するスイッチ情報の表示」

「証明済みデバイス タイマーの設定」

「フローティング デバイスの追加」

ユーザ デバイスがネットワーク スキャンを通過するか、または CAA の条件に適合した場合、CAS は、そのデバイスの MAC アドレスを Certified List に追加します(CAS に近接する L2 ユーザの場合)。


) Certified List はクライアント MAC アドレスに基づいて作成されているので、L3 配置のユーザには Certified List は適用されません。


ネットワーク スキャンが実行される場合、Certified List に追加されているデバイスは、その MAC アドレスが Certified List 上にあるかぎり、そのデバイスのユーザがログアウトして別のユーザとしてネットワークにアクセスしても、再度証明プロセスを受ける必要はありません(マルチユーザ デバイスに対してログインのたびに再認証を求めるには、そのデバイスをフローティング デバイスとして設定する必要があります)。

CAA ユーザの場合は、デバイスがすでに Certified List に含まれていても、ログインのたびに CAA の条件検査を通過しなければなりません。

Clean Access によって自動的に Certified Device リストに追加されたデバイスは、手動で消去することも、また指定間隔で自動的に消去することも可能です。免除デバイスは手動でリストに追加されるので、削除も手動で行う必要があります。したがって、グローバルの Certified Devices Timer フォームを使用して一定間隔で定期的にリストを消去しても、Certified List 上の免除デバイスは自動的には削除されません。

Certified List からデバイスを消去すると(手動でも自動でも)、次のアクションが実行されます。

IB ユーザは、IB Online Users リストから削除され、ネットワークからログオフされます。

OOB ユーザは、OOB Online Users リストから削除され、ポートをバウンスされます(OOB VGW でポート バウンスがディセーブルになっていない場合、詳細は ポート プロファイルの追加を参照)。

次回のログイン時にクライアント デバイスに対して再度 Clean Access 条件を強制します。

Monitoring > Online Users > View Online Users で IB または OOB のユーザをネットワークからログオフさせても、そのクライアントは Certified List からは削除されません。したがって、このようなユーザのクライアント デバイスは、ネットワーク スキャンを強制されずに再度ログインできます。CAA ユーザの場合は、デバイスがすでに Certified List に含まれていても、ログインのたびに CAA の条件検査を通過しなければなりません。


) Certified List には、既知の L2 MAC アドレスに基づいて認証および証明されたユーザが表示されるので、IP アドレスのみによって追跡されるリモートの VPN/マルチホップ L3 ユーザに関する情報は、Certified List には表示されません。認証済みの VPN/マルチホップ L3 ユーザを調べる場合は、IB Online Users リストを表示してください。これらのユーザの User MAC フィールドは、[00:00:00:00:00:00] になります。


アクティブなユーザ セッションの終了に関する詳細は、「アクティブ ユーザの意味」および「アウトオブバンド ユーザ リストの概要」を参照してください。

証明済みデバイスが、ある CAS から別の CAS に移動した場合、そのデバイスが全 CAS に対するグローバルレベルで免除デバイスとして手動でリストに追加されていなければ、新しい CAS で再度 Clean Access 証明を受けなければなりません。したがって、あるCAS の Clean Access 条件を別の CAS より厳しくするといったことも可能です。

デバイスの証明とリストへの追加は CAS 別にしか実行できませんが、削除する場合は、全 CAS からグローバルに証明済みデバイスを削除することも、また特定の CAS からだけローカルに削除することも可能です(詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照)。

また、「Certified List」も参照してください。

免除デバイスの追加

免除デバイスとして指定するには、自動生成される Certified List に、そのデバイスを手動で追加します。CAS が Certified List にデバイスを追加するのは、設定されている Clean Access の基準にそのデバイスが適合している場合だけです。免除の指定を受けたデバイスは、クリーンであるとみなされるため、その MAC アドレスが Certified List にある間は、証明プロセスを免除されます。実際に免除デバイスを追加すると、CAS による Clean Access 証明の自動プロセスが回避されます。


) ユーザまたはデバイスに対する認証と証明の両方を回避できるようにする手順は、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。


免除デバイスの追加手順

1. Device Management > Clean Access > Certified Devices > Add Exempt Device の順番に進みます。

図9-10 免除デバイスの追加

 

2. Exempt Device MAC Address フィールドに、MAC アドレスを入力します。一度に複数のアドレスを追加する場合は、アドレスの区切りに改行を使用してください。

3. Add Exempt をクリックします。

4. Certified List ページが表示され、免除デバイスが強調表示されます(図9-11)。


) このフォームで追加された免除デバイスは、すべての CAS で免除扱いとなります。特定の CAS だけに対する免除デバイスの指定については、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Release 4.1(1) を参照してください。


図9-11 Clean Access Certified List

 

証明済みデバイスまたは免除デバイスの手動消去

デバイスの MAC アドレスを消去する場合は、 Device Management > Clean Access > Certified Devices > Certified List の順番に進み、以下をクリックします。

Clear Exempt Add Exempt ボタンを使用して手動で追加された MAC アドレスだけを削除する場合

Clear Certified ― Clean Access によって自動的に追加された MAC アドレスだけを削除する場合

Clear All ― 免除デバイスと証明済みデバイスの両方の MAC アドレスを削除する場合

アドレスを個別に削除する場合は、その MAC アドレスの横にある Delete をクリックします。

証明済みデバイスの Clean Access レポートの表示

Device Management > Clean Access > Clean Access Agent > Reports から、証明済みデバイスに対する前回の Clean Access スキャンの結果を表示できます。View ボタンをクリックすると、個々のクライアントがどのような条件、ルール、検査に合格または不合格になったのかを調べることができます。詳細は、「スキャン レポートの表示」を参照してください。

Device Management > Clean Access > Network Scanner > Reports からは、証明済みデバイスに対する前回のネットワーク スキャンの結果をいつでも表示できます。 個別のスキャン レポートを表示する場合は、 Report アイコンをクリックします。詳細は、「スキャン レポートの表示」を参照してください。

アウトオブバンドの証明済みデバイスに関するスイッチ情報の表示

アウトオブバンド ユーザの場合だけは、 Certified List図9-11)に Switch カラムと Switch ボタンが表示されます。OOB クライアントの Switch ボタンをクリックすると、スイッチ IP、ポート ID、そのクライアントの最終更新時間が示されたダイアログが表示されます(図9-12)。

図9-12 Switch ボタンのポップアップ画面

 

OOB クライアントに関する詳細は、 第 4 章「スイッチ管理:アウトオブバンド(OOB)配置の設定」 および「OOB ユーザ」を参照してください。

証明済みデバイス タイマーの設定

自動的に Certified Device リストを削除するように証明済みデバイスの タイマー を設定することができます。タイマーが適用されるたびに、Certified Devices リスト全体を削除することが不要になります。管理者は次のことが可能になります。

CAA、ユーザ ロール、認証プロバイダ、またはこれら 3 つの組み合わせごとに、Certified List を削除することができます。

[Keep Online Users] オプションを使用して、ユーザをネットワークから削除せずに証明済みのデバイスを削除することができます。[Keep Online Users] オプションのチェックマークがオンの場合、リストの削除時にユーザ セッションは即座に終了せず、ユーザ ログアウト時(または OBB のリンクダウン時)に終了します。ユーザ認証とデバイスの修復後にデバイスをリストに再入力することができます。

(ピーク時にユーザの再ログインおよび証明書を管理するために)Certified List をただちに削除するか、まとめて削除します。リストに掲載されている期間の長さや決められたバッチ間隔に応じてデバイスを削除することができます。これにより、数多くのデバイスを削除する際に CAM データベース管理が容易になります。

複数の独立したタイマーを設定します。管理者は、(スケジュール化されたジョブ/タスクのように)証明済みデバイス タイマーの複数インスタンスを作成し保存することができます。各タイマーは互いに独立して、個別に更新することができます。たとえば、6 つの CAS ペアを管理する場合、管理者は各 HA-CAS ペアに対して別々のタイマーを作成することができます。

Certified Devices Timer フォームは、Clean Access によって Certified List に追加されたデバイスだけを消去する自動プロセスです。手動で Certified List に追加された免除デバイスは消去されません。[Keep Online Users] オプションがディセーブルの場合、Certified List を削除するとすべてのオンライン ユーザ セッションが中断されます。

新規証明済みデバイス タイマーを作成するには、次の手順を実行します。

1. Device Management > Clean Access > Certified Devices > Timer の順番に進みます。デフォルトで、 List ページが表示されます。

図9-13 証明済みデバイス タイマ -- リスト

 

 

2. New サブリンクをクリックして、 New Timer 設定フォームを起動します。

図9-14 新規証明済みデバイス タイマー

 

3. Timer Name に、タイマーの名前を入力します。

4. (任意)タイマーの説明を Description フィールドに入力します。

5. Enable this timer のチェックボックスをクリックして、設定直後にこのタイマーを適用します。

6. ネットワークからユーザを削除せずに Certified List からクライアント デバイスを削除する場合は、 Keep Online Users のチェックボックスをオンにします。

7. Start Date and Time に、タイマーの開始日付と時間を YYYY-MM-DD hh:mm:ss の形式を使用して入力します。 Start Date and Timer は、このタイマーが Certified List を削除する初回の日付と時間を設定します。

8. Recurrence に、このタイマーの繰り返し間隔を日数単位で入力します。たとえば、 Recurrence 7 の場合、初回の削除から 7 日後の Start Time の指定時間に Certified List を削除します。 0 を入力すると、Certified List を 1 回のみ削除します。

9. ドロップダウン メニューから任意の項目を選択して、以下の Criteria でこのタイマーを適用します。

a. Clean Access Server :このタイマーを Any CCA Server (任意の CCA サーバ、デフォルト)に適用するか、IP アドレスで指定された CAS に適用します。

b. User Role :このタイマーを Any User Role (任意のユーザ ロール、デフォルト)に適用するか、特定のシステム ユーザ ロールに適用します。

c. Provider :このタイマーを Any Provider (任意のプロバイダー、デフォルト)に適用するか、特定のシステム Auth Provider (ローカル DB またはその他)に適用します。

10. 指定した日数 Certified List 上に掲載されているデバイスのみを削除するために、 Minimum Age にその日数を入力します。 0 を入力すると、Certified List に掲載された期間に関係なくすべてのデバイスが削除されます。

11. 1 度にタイマーで削除される(Criteria によってソートされた)Certified List について、削除する Method (方法)を選択します。次のオプションを選択できます。

a. Clear all matching certified devices (一致する証明済みデバイスをすべて削除)。

b. Clear the oldest [] matching certified devices only (古い方から [] 個の証明済みデバイスのみを削除)。(たとえば、[10] の場合、ソート リストの中で古い方から 10 個の証明済みデバイスが削除されます)

c. Clear the oldest [] certified devices every [] minutes until all matching certified devices are cleared (すべての一致する証明済みデバイスが削除されるまで、古い方から [] 個の証明済みデバイスを [] 分ごとに削除)

12. 設定終了後、 Update をクリックします。これにより、証明済みデバイス タイマー リスト内にタイマーが保存されます。


) ユーザ セッションの終了に関するその他の事項は、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」を参照してください。


フローティング デバイスの追加

フローティング デバイスの証明が有効なのは、1 回のユーザ セッション中だけです。ユーザがログアウトすると、そのデバイスの次のユーザは再度証明プロセスを受けなければなりません。フローティング デバイスは、kiosk コンピュータや図書館で貸し出される無線カードなどの共用機器を管理する場合に便利です。

セッション期間の証明だけでなく、デバイスが証明されないように設定することも可能です。これは、ネットワークの非信頼側からマルチユーザ トラフィックを導くダイヤルアップ ルータなど、マルチユーザ デバイスの管理に役立ちます。この場合、CAS はネットワーク トラフィックの送信元と宛先として、そのデバイスの MAC アドレスだけを認識します。このようなデバイスの証明を許可すると、最初のユーザの証明後、ほかのユーザも証明を免除されることになります。証明されないフローティング デバイスとしてルータの MAC アドレスを設定すれば、そのデバイスを通じてネットワークにアクセスする各ユーザは個別に、脆弱性/条件に適合しているかどうか評価されます。

その場合、ユーザは IP アドレスで区別されるので、ユーザには異なる IP アドレスが必要です。ルータが NAT サービスを実行する場合、CAM はユーザを区別できず、最初のユーザだけが証明されます。

図9-15 に、 Floating Devices タブを示します。

図9-15 Floating Devices タブ

 


) VPN コンセントレータまたはマルチホップ L3 配置の場合、管理者は、ルータ/VPN コンセントレータの MAC アドレスを Floating Device リストに追加しなければなりません(入力例:
00:16:21:11:4D:67 1 vpn_concentrator)。『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Release 4.1(1) の「Integrating with Cisco VPN Concentrators」を参照してください。


フローティング デバイスの設定手順

1. Device Management > Clean Access > Certified Devices > Add Floating Device の順番に進みます。

2. Floating Device MAC Address フィールドに、MAC アドレスを入力します。フォームのエントリに次のように入力します。

<MAC> <type> <description>
 

上記で

<MAC> は、そのデバイスの MAC アドレスです。

<type> は、次のいずれかです。

0 ― セッション範囲での証明

1 ― そのデバイスを証明済みとはみなさない場合

<description> は、そのデバイスの説明です(任意)。

各要素の区切りにはスペースを入力し、複数のエントリ間の区切りには改行を使用します。次の例を参考にしてください。

00:16:21:23:4D:67 0 LibCard1
00:16:34:21:4C:68 0 LibCard2
00:16:11:12:4A:71 1 Router1
 

3. Add Device をクリックして、設定値を保存します。

フローティング デバイスを削除する場合は、その MAC アドレスの Delete アイコンをクリックします。