Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
Clean Access の設定概要
Clean Access の設定概要
発行日;2012/02/01 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 23MB) | フィードバック

目次

Clean Access の設定概要

Clean Access の概要

Clean Access Agent

Cisco NAC Web Agent

Clean Access Updates

ネットワーク スキャナ

Certified Devices List

ロールベースの設定

Clean Access の設定手順

アップデートの取得

最新アップデートの表示

アップデートの設定およびダウンロード

CAM アップデートのためのプロキシ設定(任意)

General Setup の概要

エージェント ログイン

Web Login

ユーザ ページの概要

証明済みデバイスの管理

免除デバイスの追加

証明済みデバイスまたは免除デバイスの手動消去

証明済みデバイスのレポートの表示

アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示

証明済みデバイス タイマーの設定

フローティング デバイスの追加

Clean Access の設定概要

この章では、Cisco NAC アプライアンスの Clean Access の設定に関する基本事項を説明します。この章の内容は次のとおりです。

「Clean Access の概要」

「アップデートの取得」

「General Setup の概要」

「ユーザ ページの概要」

「証明済みデバイスの管理」

ネットワーク スキャンの設定に関する詳細は、 第 14 章「ネットワーク スキャンの設定」 を参照してください。

エージェント要件に関する詳細は、 第 12 章「エージェント要件の設定」 を参照してください。

Clean Access の概要

Clean Access の適合ポリシーによって、コンピュータ ウイルス、ワーム、およびその他の悪意あるコードのネットワークへの脅威を軽減できます。Clean Access は、ネットワーク アクセス条件を強制し、クライアント上にあるセキュリティの脅威や脆弱性を検出し、パッチやアンチウイルスおよびアンチスパイウェア ソフトウェアを配布できる強力なツールです。このツールを使用すると、設定されたセキュリティ条件への不適合がある場合、アクセスのブロックやユーザの隔離を実行できます。これによって、危害を受ける前にウイルスやワームをネットワークのエッジで阻止します。

Clean Access はユーザがネットワークへのアクセスを試行すると、クライアント システムを評価します。Clean Access のほとんどの機能は、ユーザ ロール別およびオペレーティング システム別に設定され、適用されます。そのため、ネットワークにアクセスするユーザやデバイスのタイプに応じて、Clean Access を適切にカスタマイズすることができます。Clean Access には、クライアント システム上の脆弱性を検出し、ユーザが脆弱性を修正したり必要なパッケージをインストールしたりできるようにする方法が 3 つあります。

[Clean Access Agent]:ローカル マシンに、エージェントベースのポスチャ評価と修復を提供します。ユーザは Clean Access Agent をダウンロードしてインストールする必要があります。これによって、ホスト レジストリの表示、プロセス検査、アプリケーション検査、サービス検査が可能となります。このエージェントを使用すると、ユーザがシステムを修正できるように、AV/AS 定義の更新、Clean Access Manager にアップロードされたファイルの配布、または Web サイトへのリンクの配布を実行できます。

[Cisco NAC Web Agent]:Clean Access Agent と同様に、この Windows クライアント マシン用の一時的な Web Agent は、ローカル マシン用のエージェントベースのポスチャ評価と修正を提供し、ホスト レジストリの表示、プロセス検査、アプリケーション検査、およびサービス検査を可能にします。ただし、Clean Access Agent と異なるのは、Cisco NAC Web Agent は「永続性」のないエンティティであるため、単一ユーザ セッションを提供する間だけクライアント マシンに存在するということです。エージェント アプリケーションをダウンロードしてインストールする代わりに、ユーザがブラウザ ウィンドウを開くと、NAC アプライアンスの Web ログイン ページにログインします。クライアント マシン上で 自己解凍型のエージェント スタブ インストーラを開始する方法について、Cisco NAC Web Agent、ActiveX コントロール、または Java アプレットのいずれかを選択して起動し、Web Agent ファイルをクライアントの一時ディレクトリにインストールします。インストールが完了すると、Cisco NAC Web Agent はポスチャ評価を実行し、システムをスキャンしてネットワーク セキュリティの適合を確認します。また、適合ステータスを NAC アプライアンス システムにレポートします。Cisco NAC Web Agent では、Clean Access Agent と同じ修復機能を実行しません。Web Agent を使用する場合、ネットワーク セキュリティに適合させるようにするには、ユーザがクライアント マシンを手動で修復する必要があります。

[Network Scanner]:ネットワークベースの脆弱性評価と Web ベースの修復を提供します。これは、ローカル Clean Access Server 内のネットワーク スキャナであり、実際のネットワーク スキャンや、特定のホストに多いよく知られたポート脆弱性のチェックを実行します。脆弱性が発見されると、Clean Access Manager に設定されている Web ページがユーザに表示され、Web サイトへのリンクまたはシステムの修正方法に関する情報が提示されます。

ご使用のネットワークでは、Clean Access を以下の方法で使用できます。

Clean Access Agent/Cisco NAC Web Agent だけ

ネットワーク スキャンだけ

エージェントとネットワーク スキャン

Clean Access Agent のダウンロード

図 10-1 は、管理者がユーザのロールおよび OS に対して Clean Access Agent の使用を要求した場合に、Clean Access Agent の初回のダウンロードおよびインストールがどのように進行するかを示しています。

図 10-1 Clean Access Agent のダウンロード

 

Clean Access Agent ソフトウェアは、Clean Access Manager ソフトウェアに、その一部として必ず含まれています。CAM をインストールすれば、Clean Access Agent の「セットアップ インストール」ファイルと「パッチ アップグレード」ファイルがインストールされ、自動的に CAM から CAS へ発行されます。 クライアントにエージェントを配布するのは、ただ CAM Web コンソールで該当するユーザ ロール/オペレーティング システムに対して Clean Access Agent を使用するように要求するだけです。エージェントのダウンロードとインストールが完了すると、CAM に設定した Clean Access Agent の条件に従って、エージェントがクライアント上で検査を実行します。

ユーザは、ネットワークにログインするために Web ブラウザを開くことによって、初回の Clean Access Agent のダウンロードとインストールを行うことができます。ユーザのログイン証明書から、エージェントを必要とするロールにそのユーザが関連付けられると、そのユーザは Clean Access Agent ダウンロード ページにリダイレクトされます。Clean Access Agent のダウンロードとインストール後すぐに、ユーザはエージェントの ダイアログを使用してネットワークにログインするよう促され、エージェント条件と Nessus プラグイン脆弱性(イネーブルの場合)のスキャンを受けます。ユーザのロールおよびオペレーティング システムに設定されている条件を満たし、スキャンに合格すれば(イネーブルの場合)、そのユーザはネットワークへのアクセスが許可されます。

Web コンソールで自動アップグレード オプションを設定すれば、クライアントに エージェント パッチ アップグレード ファイルを配布できます。CAM でのエージェント パッチ アップグレードの取得は、「Clean Access Updates」を通じて行われます。

詳細については、 第 11 章「Agent の配布」 を参照してください。

VPN ユーザの Clean Access Agent

Cisco NAC アプライアンスを使用すると、VPN コンセントレータまたはルータ(または複数のルータ)の後ろにインバンドで CAS を配置できます。Cisco NAC アプライアンスは、ユーザと CAS の間に 1 つ以上のルータがある場合、CAM と CAS が固有の IP アドレスによってユーザを追跡できるようにすることで、マルチホップのレイヤ 3 インバンド配置をサポートしています。レイヤ 2 に接続するユーザについては、従来どおり、CAM/CAS がユーザ MAC アドレスに基づいてユーザ セッションの管理を継続します。図 10-5 は、Clean Access Agent を使用してシングル サインオンしている、VPN コンセントレータ ユーザによる Clean Access Agent のダウンロードおよびスキャン プロセスを示します。

図 10-2 SSO を使用する VPN コンセントレータ ユーザの場合の Clean Access Agent

 

詳細は、「Cisco VPN SSO」、および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』の「Integrating with Cisco VPN Concentrators」を参照してください。

L3 OOB ユーザの Clean Access Agent

Cisco NAC アプライアンスは、アウトオブバンド(ワイヤード)配置のマルチホップ L3 サポートを可能にし、管理者は CAS アウトオブバンドを中央(コアまたは分散レイヤ)に配置して、L3 スイッチの後ろ(たとえば、ルーテッド アクセス)にいるユーザと、場合によっては WAN ルータの後ろにいるリモート ユーザをサポートすることができます。L3 OOB を使用することで、複数の L3 ホップ分 CAS から離れているユーザがサポートされ、そのユーザのトラフィックは認証/ポスチャ評価のために Cisco NAC アプライアンスだけを通過します。

Clean Access Agent の MAC 検出メカニズムは、L3 OOB 配置で自動的にクライアント MAC アドレスを取得します。

Web ログインを実行しているユーザは、ユーザ マシンの MAC アドレスを判別するために、ユーザのログイン前に、ActiveX コントロール(IE ブラウザ用)または Java アプレット(IE 以外のブラウザ用)のいずれかをクライアントマシンにダウンロードして実行します。次にこの情報は CAS と CAM にレポートされ、IP アドレス/MAC アドレス マッピングが提供されます。

Clean Access Agent のクライアント評価プロセス

図 10-3 は、Clean Access Agent を介するユーザ認証時の Clean Access クライアント評価プロセス(ネットワーク スキャンの有無も含めて)を示しています。

図 10-3 Clean Access Agent のクライアント評価

 

Clean Access では次のユーザ ロールを使用します。ユーザ ロールにはトラフィック ポリシーおよびセッション タイムアウトと指定して設定する必要があります。

Unauthenticated ロールは、Clean Access Server の後ろにいる未認証ユーザに適用され、Web ログインまたはネットワーク スキャンを実行しているユーザに割り当てられます。

Clean Access Agent Temporary ロールは、Clean Access Agent ログインを実行しているユーザに割り当てられます。

Quarantine ロールは、ネットワーク スキャンによってクライアント マシンに脆弱性が発見されたユーザに割り当てられます。

ユーザが Clean Access Agent の条件を満たした場合またはネットワーク スキャンで脆弱性が発見されなかった場合、またはその両方の場合には、そのユーザは標準ログイン ユーザ ロールでのネットワーク アクセスが許可されます。詳細については、「Clean Access ロール」を参照してください。

Cisco NAC Web Agent の起動

図 10-4 は、ユーザのロールおよびオペレーティング システムに対して、Cisco NAC Web Agent を使用するように要求する場合の Cisco NAC Web Agent の起動の流れを示しています。

図 10-4 Cisco NAC Web Agent のユーザ対話/ユーザ体験

 

ネットワーク スキャンのクライアント評価

図 10-5 は、Web ログインを通じたユーザ認証時の全般的なネットワーク スキャンのクライアント評価プロセスを示しています。あるユーザ ロールに対して、Clean Access Agent/Cisco NAC Web Agent とネットワーク スキャンが両方ともイネーブルに設定されている場合、図 10-3 のプロセス後、図 10-5 のネットワーク スキャンのプロセスが続きます。この場合、エージェントのダイアログにユーザ情報が表示されます(適用できる場合)。

図 10-5 ネットワーク スキャンのクライアント評価(Web ログイン)

 

Clean Access Agent

Clean Access Agent は、Windows システムに常駐する読み取り専用の使いやすいクライアント ソフトウェアで、アプリケーションまたはサービスの稼動、レジストリ キーの有無、またはレジストリ キーの値を確認する機能があります。また、このエージェントは、マシンを脆弱性やウイルス感染から守るために必要なソフトウェアをインストールしているかどうかを確認できます。


) Clean Access Agent のポスチャ評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼動していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


Clean Access Agent には次の機能があります。

初回のワンタイム Web ログインによって簡単にエージェントをクライアントにダウンロードしインストールできます。エージェントは、そのクライアント PC の現在のユーザおよびその他のすべてのユーザにデフォルトでインストールされます。

Windows バージョンおよび Mac OS X(認証だけ)バージョンのエージェント。

クライアント マシンに対するエージェントの直接またはスタブ インストールの柔軟なインストール オプション。

エージェント ユーザ ダイアログをローカライズするためのエージェント言語テンプレートのサポート(対応しているローカル/言語 OS プラットフォーム用) 。

自動アップグレード エージェントをクライアントにインストールすると、エージェントの以降のバージョンは自動的に検出、ダウンロードされ、アップグレードが行われます。エージェントは、ログイン要求のたびに新しいエージェント パッチ アップグレード ファイルがあるかを確認します。管理者は、エージェントの自動アップグレードを、すべてのユーザに対して必須または任意に設定できます。また パッチ アップグレードの通知をディセーブルに設定することもできます。

主要な AntiVirus(AV; アンチウイルス)および AntiSpyware(AS; アンチスパイウェア)ベンダーに対応できる AV/AS チェック機能が組み込まれています。AV/AS のルールと条件を設定できるため、クライアントで実行する必要のある最も一般的なタイプのチェックを簡単に実行でき、またエージェントによってクライアント マシン上の AV および AS 定義ファイルを自動的に検出および更新できます。「Clean Access Updates」を使用することにより、CAM での AV/AS 製品のサポートは常に最新の状態に保たれます。

クライアントが要件を満たしていない場合には、証明済み/デジタル署名済の実行可能プログラムを起動する機能。詳細については、「Launch Programs 要件の設定」を参照してください。

ルールとチェックのカスタム設定。管理者はクライアントに特定のアプリケーション、サービス、またはレジストリ キーがあるかをチェックするための条件を設定できます。その際、あらかじめ定義されたシスコのチェックおよびルール、または独自に作成したカスタム チェックおよびルールを使用できます。

マルチホップ L3 In-Band(IB; インバンド)および Out-of-Band(OOB; アウトオブバンド)配置のサポートおよび VPN コンセントレータ/L3 アクセス。クライアントと CAS の間に(L2 の近接ではなく)1 つ以上の L3 ホップがあるネットワーク構成の場合、クライアントが CAS を認識できるように、CAM/CAS/エージェントを設定できます。また、Clean Access を Cisco VPN コンセントレータの後ろに(インバンドで)統合する場合は、Single Sign-On(SSO; シングルサインオン)もサポートされます。詳細は、「L3 配置サポートのイネーブル化」、および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Integrating with Cisco VPN Concentrators」または「Configuring Layer 3 Out-of-Band (L3 OOB)」を参照してください。

Windows ドメインの Active Directory シングルサインオン。Windows AD SSO が Cisco NAC アプライアンス用に設定されている場合、Clean Access Agent をインストール済のユーザは、Windows ドメインにログインする際に、自動的に Cisco NAC アプライアンスにログインできます。クライアント システムの条件が自動的にスキャンされます。個別のエージェント ログインは不要です。詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。

自動 DHCP リリース/更新。Clean Access Agent が OOB 配置でログインに使用される場合、アクセス VLAN でクライアントに新規 IP アドレスが必要になると、エージェントは自動的に DHCP IP アドレスを更新します。詳細については、「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。


) OOB クライアント マシンの認証 VLAN の変更検出へのアクセス方法については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


Windows のログオフ/シャットダウンに伴う Clean Access Agent のログオフ。ユーザが Windows ドメインからログオフしたり、Windows マシンをシャットダウンした場合に、Cisco NAC アプライアンス ネットワークからのエージェントのログオフを、イネーブルまたはディセーブルに設定できます。この機能は、OOB 配置には適用されません。

上記のエージェント設定機能に関する詳細は、 第 12 章「エージェント要件の設定」 を参照してください。

エージェントの各バージョンの機能については、最新の リリース ノート にある「Clean Access Agent Version Summary」を参照してください。

Cisco NAC Web Agent

Clean Access Agent と異なるのは、Cisco NAC Web Agent は「永続性」のないエンティティであるため、単一ユーザ セッションを提供する間だけクライアント マシンに存在するということです。エージェント アプリケーションをダウンロードしてインストールする代わりに、ユーザがブラウザ ウィンドウを開くと、NAC アプライアンスの Web ログイン ページにログインします。クライアント マシン上で自己解凍型のエージェント スタブ インストーラを開始する方法について、一時的な Cisco NAC Web Agent、ActiveX コントロール、または Java アプレット([Administration] > [User Pages] > [Login Page] の設定ページの [Web Client (ActiveX/Applet)] オプションを使用して、優先する方法を指定します)のいずれかを選択して起動します。エージェント ファイルがクライアントの一時ディレクトリにインストールされた後、ポスチャ評価/システムのスキャンが実行されてセキュリティの適合を確認します。また、適合ステータスを NAC アプライアンス システムにレポートします。この間は、ユーザは Temporary ロールに限定したアクセス権が付与されます。クライアント マシンが 1 つ以上の理由により適合していない場合、ネットワーク アクセスを制限したことをユーザに通知します。ユーザは次のうちいずれかを実行できます。

クライアント マシンを手動で修復および更新する。この場合、Temporary ロールをタイムアウトする前に再度適合をテストする必要があります。

「制限付き」ネットワーク アクセスのまましばらく使用する。次回のログイン セッションでは、クライアント マシンが条件を満たすようにします。


) OOB ユーザが制限付きアクセスを使用する場合は、そのロールが CAM で定義されている間 OOB ユーザはそのロールを持ち続けます。したがって、ユーザが制限付きアクセス ロールで接続中に手動修復を実行できた場合であっても、クライアント マシンは、そのセッションを一度終了してからユーザが再度ログインを試行するまで再スキャンは実行されません。



) Cisco NAC Web Agent はクライアントの修復を実行しません。ユーザは、内部ネットワークにアクセスする前に、Web Agent セッションに関係なく、NAC アプライアンスの条件のガイドラインに従って、コンプライアンスを守らなければなりません。Temporary ロールのタイムアウトが発生するまでに、ユーザがクライアント マシンを適合するように修正および更新できた場合、ユーザはクライアント マシンの「再スキャン」を選択して、ネットワークに正常にログインできます。


ユーザが適切なログイン証明書を提供し、Web Agent によりクライアント マシンが NAC アプライアンスのセキュリティ条件を満たしていることが確認されれば、ブラウザ セッションを開いたまま、ユーザがネットワークにログインされます。このユーザが Web Agent ブラウザ ウィンドウの [Logout] ボタンをクリックしたり、システムを停止したり、NAC アプライアンスの管理者が CAM からセッションを終了するまで、ログインの状態が続きます。セッションの終了後、Web インターフェイスは、ユーザをネットワークからログアウトさせ、セッションをクライアント マシンから削除します。ユーザ ID は Online Users リストに表示されなくなります。

Clean Access Updates

 

あらかじめパッケージにされたポリシーおよびルールの定期的な更新によって、オペレーティング システム、アンチウイルス/アンチスパイウェア ソフトウェア、およびその他のクライアント ソフトウェアの最新ステータスを検査できます。Cisco NAC アプライアンスは主な AV および AS ベンダーのビルトイン サポートを提供します。詳細については、「アップデートの取得」を参照してください。

 

ネットワーク スキャナ

ネットワーク スキャンは、Nessus プラグインによって実行されます。Nessus( http://www.nessus.org )は、オープン ソースの脆弱性スキャナです。Nessus プラグインは、ネットワークを通じてクライアント システムを検査し、セキュリティの脆弱点がないかどうか調べます。システムのスキャンの結果、脆弱性またはウイルス感染が発見された場合、Clean Access は、脆弱性を持つユーザに警告したり、そのユーザのネットワーク アクセスをブロックしたり、あるいはユーザがシステムを修正できる Quarantine ロールに割り当て、ただちに措置を講じます。


) クライアントにパーソナル ファイアウォールがインストールされている場合、ネットワーク スキャンはタイムアウトの結果を応答する可能性が高くなります。結果がタイムアウトの場合、隔離、ネットワーク アクセスの制限、またはネットワーク アクセスの許可のどの方法でクライアント マシンを扱うのかは、任意に決めることができます(パーソナル ファイアウォールが十分な保護を提供している場合)。


新しい Nessus プラグインがリリースされると、Clean Access Manager のリポジトリにロードできます。ロードしたプラグインは、CAM のリポジトリから実際にスキャンを実行する Clean Access Server へ自動的に発行されます。CAM は、Clean Access Server 内のプラグイン セットのバージョンが CAM 内のバージョンと異なっている場合、CAS の起動時にプラグイン セットを CAS に配布します。

Clean Access Agent/Cisco NAC Web Agent の検査とネットワーク スキャンを調整して、ネットワーク スキャンの前に脆弱性を修正するソフトウェアの有無をエージェントが検査するようにできます。たとえば、ある脆弱性に対処するために Microsoft Windows アップデートが必要な場合は、これをエージェントの必須パッケージとして指定できます。このようにすれば、ネットワーク脆弱性スキャンの実行前に、エージェントはユーザがスキャンに合格するように導くことができます。


) • Nessus 2.2 プラグインを使用して、Cisco NAC アプライアンスでスキャンを実行できます。アップロードされている Nessus プラグイン アーカイブのファイル名は、plugins.tar.gz である必要があります。

Tenable 社によるライセンス条件のため、シスコは、事前に試験済みの Nessus プラグインまたは自動プラグインのアップデートをリリース 3.3.6/3.4.1 から Cisco NAC アプライアンスにバンドルできなくなります。ただし、お客様は引き続き Nessus サイトから Nessus プラグインを選択して手動でダウンロードできます。入手可能なプラグインについては、 http://www.nessus.org/plugins/index.php?view=all を参照してください。
Nessus プラグインについての詳細は、 http://www.nessus.org/plugins/index.php?view=feed を参照してください。

Cisco では、クライアント システムのネットワーク スキャンに使用するプラグインの数は、多くても 5 ~ 8 程度にすることを推奨します。これよりも多くのプラグインを使用すると、ユーザのシステムにファイアウォールがある場合、各プラグインがタイムアウトになり、ログインに長い時間がかかる可能性があります。


 

 

詳細については、 第 14 章「ネットワーク スキャンの設定」 を参照してください。

Certified Devices List

Clean Access Manager の Web コンソールには、ユーザとそのデバイスを管理する 2 つの重要なリストである [Online Users] リストと [Certified Devices List] があります。

[Online Users] リストには、IP アドレスとログイン証明書を使用してログイン状態にあるユーザが表示されます(「オンライン ユーザ リスト」を参照)。インバンドとアウトオブバンドのオンライン ユーザ リストは個別に存在します。

[Certified Devices List] はデバイス ベースのリストで、次のデバイスが表示されます。

エージェントの条件を満たしているデバイスの MAC アドレス

ネットワーク スキャンに合格し、脆弱性のないデバイスの MAC アドレス

Online Users リストからユーザが削除されても、Certified Devices List からクライアント デバイスは削除されません。ただし、Certified Devices List から手動で削除されたクライアントはネットワークからも、Online Users リスト(IB または OOB)からも削除されます。

CAS に近接する L2 ユーザ、およびすべてのエージェント ユーザは、両方のリストで MAC アドレスと IP アドレスによって追跡されます。1 つ以上の L3 ホップ分 CAS から離れている Web ログイン ユーザは、(クライアントの MAC アドレスを取得するために)ActiveX/Java アプレット Web クライアントがログイン ページでイネーブルになっていないかぎり、IP アドレスでだけ追跡されます。L3 配置に関する詳細は、「Agent によるすべての使用可能なアダプタの IP/MAC の送信」も参照してください。

エージェントと Web ログイン ユーザのどちらの場合も、そのデバイスを使用してログインした最初のユーザだけが Certified Devices List に記録されます。これは、ユーザ同意ページ(Web ログイン ユーザの場合)またはネットワーク ポリシー ページ(エージェント ユーザの場合)を受け入れた認証ユーザの識別に役立ちます(そのロールにこれらのページが設定されている場合)。これらのページの詳細は、 表 10-2 「Web Login - General Setup の設定オプション」 および「ユーザ ページの概要」を参照してください。

証明済みデバイスは、以下の事象が発生するまで、Certified Devices List に表示されます。

このリストが証明済みデバイス タイマーによって自動的に消去された場合

管理者がリスト全体を手動で消去した場合

管理者がリストからそのクライアントを手動で削除した場合

ユーザがログアウトするか、またはネットワークから削除され、[General Setup] > [Web Login] ページで [Require users to be certified at every web login] オプションがロールに対して選択されている場合

ネットワーク スキャンを使用する場合は、デバイスがスキャンに合格して Certified Devices List に表示されると、そのデバイスが Certified Devices List から削除されないかぎり、以降のログイン時に再スキャンは実行されません。

ネットワーク スキャン ユーザの場合は、Certified Devices List からクライアントが削除されると、再度ユーザ認証とデバイスのネットワーク スキャンを受けないかぎり、ネットワーク アクセスを許可されません。ネットワーク スキャン ユーザがログオフした場合に必ず Certified Devices List からデバイスが削除されるようにするには、[General Setup] > [Web Login] タブの [Require users to be certified at every web login] オプションをイネーブルに設定します(「General Setup の概要」を参照)。

Clean Access Agent ユーザおよび Cisco NAC Web Agent ユーザの場合は、デバイスがすでに Certified Devices List に含まれていても、ログインのたびにこのデバイスに対するエージェントの条件が検査されます。

Certified Devices List から削除されたクライアントは、ネットワーク スキャンに合格し、再度エージェントの条件を満たさないと、ネットワークへの再アクセスが許可されません。ユーザ セッション期間中だけ証明済みとなるフローティング デバイスを追加することができます。また、Certified Devices List にネットワーク スキャン デバイスを手動で追加して、Nessus スキャンの対象外にすることもできます。

証明済みデバイス タイマーを使用している場合、タイマーの [Keep Online Users] オプションをイネーブルまたはディセーブルに設定することでリストが消去される際に、ユーザを削除するかどうかを設定できます。詳細については、「証明済みデバイス タイマーの設定」を参照してください。

詳細は、以下も参照してください。

「証明済みデバイスの管理」

「アクティブ ユーザの意味」

「アウトオブバンド ユーザ」

「OOB ユーザ」

ロールベースの設定

Clean Access のネットワーク保護機能は、ロール別およびオペレーティング システム別にユーザに設定します。ユーザが Clean Access ネットワークに存在する場合(たとえば、ユーザがインバンド内に存在する間)以下のユーザ ロールが採用され、これらのロールにはトラフィック ポリシーとセッション タイムアウトを設定する必要があります。

Unauthenticated ロール:Clean Access Server の後ろ側の未認証ユーザ(エージェントまたは Web ログイン)用のデフォルト システム ロール。Web ログイン ユーザは、ネットワーク スキャンの実行中、Unauthenticated ロールになります。

Agent Temporary ロール:Clean Access Agent および Cisco NAC Web Agent のユーザは、システムでエージェントの条件を確認している間は Temporary ロールになります。

Quarantine ロール:Web ログインとエージェントのいずれのユーザも、ネットワーク スキャンによってクライアント マシンに脆弱性があると判断された場合、Quarantine ロールになります。

Temporary ロールおよび Quarantine のロールは、セッション時間とネットワーク アクセスをユーザがシステムを修正する目的だけに制限するためのロールです。

Clean Access は、ユーザ認証時に Web ログイン ページまたは Clean Access Agent/Cisco NAC Web Agent を通じて、ユーザの標準ログイン ロールかどうかを判別します。また、そのロールに対して、条件検査、ネットワーク スキャン、またはその両方を実行すべきかも判断します。その後 Clean Access はそのロールおよびオペレーティング システムの設定に従って、条件検査またはネットワーク スキャンまたはその両方を実行します。

ユーザのロールは最初のログインの後すぐに判断されますが(そのユーザに関連付けられているスキャンまたはシステム条件を判断するため)、条件を満たしたうえでスキャンを実行し、脆弱性がなくなるまで、実際には標準ログイン ロールにはなりません。クライアントが条件を満たしていない場合、そのユーザは条件を満たすか、またはセッションがタイムアウトになるまで Agent Temporary ロールのままです。条件を満たしていても、ネットワーク スキャンで脆弱性が発見されたユーザは、設定に応じて、Quarantine ロールに割り当てられるか、または単にアクセスをブロックされます。

詳細については、「ユーザ ロールのタイプ」を参照してください。

Clean Access の設定手順

Clean Access の全体的なセットアップ手順は、以下のとおりです。


ステップ 1 アップデートをダウンロードします。
Clean Access Agent/Cisco NAC Web Agent およびその他の構成要素の汎用アップデートを取得します。「アップデートの取得」を参照してください。

ステップ 2 [General Setup] タブで、ユーザ ロール別および OS 別に Clean Access Agent/Cisco NAC Web Agent またはネットワーク スキャンを設定します。
ロールに対して Clean Access Agent/Cisco NAC Web Agent の使用を要求し、Web ログイン ユーザには Web ページのネットワーク スキャンをイネーブルにします。また、脆弱性のあるユーザは隔離するかアクセスをブロックします。「General Setup の概要」を参照してください。

ステップ 3 セッション タイムアウトとトラフィック ポリシーを指定して Clean Access 関連のユーザ ロールを設定します(インバンド)。 Quarantine ロールのトラフィック ポリシーは、ユーザ同意ページとネットワーク スキャンで不合格になった隔離ユーザ用の Web リソースへのアクセスを許可します。Agent Temporary ロールのトラフィック ポリシーは、ユーザが必要とするソフトウェア パッケージのダウンロード元リソースへのアクセスを許可します。「Agent Temporary および Quarantine ロールのポリシーの設定」を参照してください。

ステップ 4 ネットワーク スキャンまたは Clean Access Agent/Cisco NAC Web Agent のスキャン、またはその両方を設定します

ステップ 5 ネットワーク スキャンを設定する場合 : Clean Access Manager のリポジトリに Nessus プラグインをロードします。ネットワーク スキャンをイネーブルにするには、スキャンを実施する Nessus プラグインを選択し、ユーザ ロールおよびオペレーティング システムに対して、スキャン結果の脆弱性に関する設定を行います。ユーザ同意ページをカスタマイズします。「ネットワーク スキャンの設定手順」を参照してください。ネットワーク スキャンの結果は、ネットワーク スキャンを実行しないようにブロックするパーソナル ファイアウォールの有効範囲によって異なります。

ステップ 6 Clean Access Agent を設定する場合 : [General Setup] > [Agent Login] タブでユーザ ロールに対して、Clean Access Agent/Cisco NAC Web Agent の使用を要求します。ユーザ ロール別に条件を検討して定義します。AV 規則を設定するか、またはチェックからカスタム ルールを作成します。AV 規則を AV Definition Update 条件に対応付けるか、カスタム規則をカスタム条件に対応付けるか(File Distribution/Link Distribution/Local Check)、またはその両方を行います。条件を各ユーザ ロールに対応付けます。「Windows Clean Access Agent の設定手順」を参照してください。

ステップ 7 クライアントとして非信頼ネットワークに接続することにより、ユーザ ロールおよびオペレーティング システムの 設定をテストします。 テストの間、Certified Devices List、[Online Users] ページ、イベント ログを監視します。Web ログインを実行してネットワーク スキャンをテストします。ネットワーク スキャン プロセス、ログアウト ページ、および関連するクライアントおよび管理者のレポートを確認します。最初の Web ログインとエージェントのダウンロード、ログイン、条件検査とスキャンの実行を通して Clean Access Agent/Cisco NAC Web Agent をテストし、関連するクライアントおよび管理者のレポートを表示します。

ステップ 8 必要に応じて、フローティング デバイスや免除デバイスなどを設定して、Certified Devices List を管理します。フローティング デバイスに対しては、各ユーザ セッションの開始時に証明を受ける必要があります。免除デバイスは、常にネットワーク スキャン(Nessus スキャン)から除外されます。「証明済みデバイスの管理」を参照してください。


 

詳細については、以下を参照してください。

「ネットワーク スキャンの設定手順」

「Windows Clean Access Agent の設定手順」

アップデートの取得

各種アップデートは、Clean Access Updates サーバから入手できます。このサーバには、[Device Management] > [Clean Access> Updates] からアクセスできます。必要に応じて手動で更新したり、自動的に実行するようにスケジュールすることができます。ここでは、次の方法について説明します。

最新アップデートの表示

アップデートの設定およびダウンロード

CAM アップデートのためのプロキシ設定(任意)

最新アップデートの表示


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます。デフォルトでは [Summary] ページが表示されます(図 10-6)。

図 10-6 アップデート概要

 

ステップ 2 [Current Versions of Updates] に、現時点で CAM 上にある Cisco Updates の現在のバージョンがすべて表示されます。

シスコのチェックおよび規則

シスコは、ホットフィックス、Windows アップデート、各種アンチウイルス ソフトウェア パッケージなど、標準クライアント チェック用のさまざまなタイプの設定済み規則(「pr_」)およびチェック(「pc_」)を提供しています。シスコのチェックおよび規則を使用すると、独自のカスタム チェックおよび規則の手動作成が必要な場合に、簡単に作成することができます。

Supported AV/AS Product List (Windows/Macintosh)

Cisco NAC アプライアンスの Supported AV/AS Product List は、中央集中型アップデート サーバから配布されバージョン設定された XML ファイルです。このアップデート サーバは、ポスチャ評価/修復のために AntiVirus(AV; アンチウイルス)規則または AntiSpyware(AS; アンチスパイウェア)規則、ならびに AV または AS の Definition Update 要件の設定に使用されるサポート対象の AV および AS のベンダーおよび製品バージョンのほぼ最新のリストを提供します。このリストは、Clean Access Agent の各リリースに AV/AS 製品およびバージョンを対応させるため、およびエージェントの新しいバージョンに合せて新しい製品を追加するために定期的に更新されます。リストにはバージョン情報だけが提供されることに注意してください。CAM が Supported AV/AS Product List をダウンロードする際、AV/AS 製品の最新バージョンに関する情報がダウンロードされています。実際のパッチ ファイルやウイルス定義ファイルはダウンロードされません。この情報に基づいて、エージェントはネイティブ AV/AS アプリケーションをトリガしてアップデートを実行することができます。

Supported AV/AS Product List を最新に維持することで、AV/AS 規則の設定ページに新しいエージェントでサポートされる新しい製品がすべて含まれるようになります。CAM 上で Windows Agent のセットアップ/パッチ バージョンまたは Mac OS Agent を更新している場合は、最新に維持するようにします。

サポート対象の製品およびバージョンについては、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] を参照するか、最新の リリース ノート の「Clean Access Supported AV/AS Product List」の項を参照してください。

デフォルトのホスト ポリシー

Clean Access には、デフォルトのホストベース ポリシーの自動更新機能があります(Unauthenticated ロール、Temporary ロール、および Quarantine ロールの場合)。デフォルト許可ホストはデフォルトでディセーブルに設定されているため、[User Management] > [User Roles] > [Traffic Control] > [Hosts] でロールごとにイネーブルに設定する必要があります。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

デフォルトの L2 ポリシー

CAM 上で入手可能なデフォルトのレイヤ 2 トラフィック ポリシーの最新バージョンを表示します。CAM がアップデートを([Device Management] > [Clean Access] > [Updates]ページを使用して手動または自動で)検索するときはいつでも、入手可能な より新しいバージョンのデフォルト レイヤ 2 トラフィック ポリシーがあるかどうかを自動的に確認します。

OS 検出フィンガープリント

デフォルトでは、HTTP ヘッダーの User-Agent ストリングを使用して、クライアント OS が判別されます。さらに、JavaScript のプラットフォーム情報または TCP/IP ハンドシェイクの OS フィンガープリントを、CAM データベース内の OS シグニチャ情報と比較して、クライアント OS を判別することもできます。新しい OS シグニチャが使用可能になり、OS フィンガープリントを Windows マシンとして検証できるようになると、CAM 内のこの情報を更新できます。拡張 OS フィンガープリントは、ユーザが HTTP 情報を操作して、クライアント オペレーティング システム の ID を変更できないようにするための機能です。この機能は TCP ハンドシェイクだけを検査し、個人用ファイアウォールの有無に影響されない「パッシブ」検出技術です(Nessus は使用しません)。詳細は、Web コンソールの CAS 管理ページの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Authentication] > [OS Detection]、および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』も参照してください。


) OS 検出/フィンガープリント機能は、ブラウザの User-Agent ストリングと TCP/IP スタック情報の両方を使用して、クライアント マシンの OS の判別を試行します。検出ルーチンで最適な一致を検出しているときに、エンド ユーザがクライアント マシンで TCP/IP スタックを修正してブラウザの User-Agent ストリングを変更すると、OS が誤って検出される可能性があります。悪意のあるユーザが OS フィンガープリント/検出メカニズムを回避していると考えられる場合は、マシンの OS を確認するために管理者がネットワーク スキャンを利用することを推奨します。何らかの理由でネットワーク スキャンを使用できないか好ましくない場合、ネットワーク管理者はクライアント マシンに Clean Access Agent を事前にインストールしておくか、Cisco NAC Web Agent によるユーザのログインを許可することを検討する必要があります。


サポートされているアウトオブバンド スイッチ OID

サポートされているスイッチの Object ID(OID; オブジェクト ID)のアップデートは、入手可能になると、ダウンロードされ発行されます。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は、CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Updates を実行するだけでそのスイッチ OID をサポート対象にすることができます。

アップデート スイッチ OID 機能は既存モデルだけに適用されることに注意してください。新規スイッチ シリーズが導入される場合、管理者は従来どおりアップグレードして、新規スイッチの OOB をサポートできるようにする必要があります。OOB の詳細は、 第 4 章「スイッチ管理:アウトオブバンド配置の設定」 を参照してください。

Windows Clean Access Agent のパッチ

エージェント アップグレード パッチは CAM に自動的にダウンロードされ、CAS にプッシュされて、クライアントにダウンロードおよびインストールされます(自動アップグレードが設定されている場合)。詳細については、「CAA 自動アップグレードの設定」を参照してください。

Macintosh Clean Access Agent

CAM 上に現在インストールされている Mac OS X Clean Access Agent の現在のバージョンを表示します。これは、ユーザが Cisco NAC アプライアンスに最初にログインした際にクライアント マシンにアップロードおよびインストールされた Mac OS X Agent のバージョンです。Mac OS X Agent は、ユーザのサインイン時に CAM 上からより新しいバージョンのエージェントが入手可能な場合、さらに新しいバージョンに自動的に更新されます。

Cisco NAC Web Agent

CAM 上に現在インストールされている Cisco NAC Web Agent の現在のバージョンを表示します。ログインして一時的な Cisco NAC Web Agent を使用することを選択したユーザは、ユーザ セッションに必要な最新バージョンのエージェントを毎回受け取ります。

Cisco NAC Web Agent Facilitator (ActiveX/Applet)

Cisco NAC アプライアンスにアクセスして Cisco NAC Web Agent を使用することを選択した場合は、CAM がクライアント マシンへの一時的なエージェントのインストールに使用する Cisco NAC Web Agent ActiveX/Java アプレットの現在のバージョンを表示します。

L3 MAC アドレス検出(ActiveX/アプレット)

ユーザが L3 OOB 配置で Web ログインを実行する場合、クライアント MAC アドレス検出に L3 Java アプレットおよび L3 ActiveX Web クライアントが必要です。Clean Access Agent/Cisco NAC Web Agent の MAC 検出メカニズムでは、L3 OOB 配置で自動的にクライアント MAC アドレスを取得します(「Agent によるすべての使用可能なアダプタの IP/MAC の送信」を参照)。

Web ログインを実行しているユーザは、ユーザ マシンの MAC アドレスを判別するために、ユーザのログイン前に、ActiveX コントロール(IE ブラウザ用)または Java アプレット(IE 以外のブラウザ用)のいずれかをクライアントマシンにダウンロードして実行します。次にこの情報は CAS と CAM にレポートされ、IP アドレス/MAC アドレス マッピングが提供されます。

ActiveX/Java アプレットおよびブラウザの互換性

ActiveX は、Windows Vista、Windows XP、および Windows 2000 システムの IE 6.0 でサポートされています。

IE 7.0 は、エージェント バージョン 4.1.0.0 以降でサポートされます。


) 今後の Windows OS または IE のリリースに対するサポートは、これらのリリースに対してテストを実施し認定後に追加されます。


Java アプレットは、Safari 1.2+、Mozilla(Camino、Opera)、および Windows Vista、Windows XP、Windows 2000、Mac OS X、Linux オペレーティング システムの Internet Explorer を含む主要なブラウザ用にサポートされています。

Java に関する Firefox の問題があるため、Mac OS X 上の Firefox では Java アプレットはサポートされません。詳細は、Firefox のリリース ノート( http://www.mozilla.com/firefox/releases/1.5.0.3.html )を参照してください。


) • Clean Access チェックに最新の Microsoft Windows ホットフィックスを含めるには、常にシスコのチェックおよび規則の最新「アップデート」を取得して(必要に応じて Clean Update を使用)、ホストベースのトラフィック ポリシーが適切に配置されていることを確認します(詳細は、「ホストベースのグローバル トラフィック ポリシーの追加」を参照してください)。

CAM/CAS を Cisco NAC アプライアンスの最新リリースにアップグレードすると、すべての Perfigo/Cisco 設定済みチェック/規則が自動的に更新されます。


 

ステップ 3 更新が(手動または自動で)実行されれば、[Summary] ページを参照してアップデートを確認できます。


 

アップデートの設定およびダウンロード


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます。

ステップ 2 [Update] サブタブをクリックして、Cisco Updates で CAM にダウンロードする内容、Clean Access Updates のチェック頻度、またはその両方を設定します (図 10-7)。

図 10-7 [Device Management] > [Clean Access] > [Updates] > [Update]

 

ステップ 3 CAM の自動アップデートを設定するには、[Automatically check for updates starting from [ ] every [ ] hours] のチェックボックスをオンにして、開始時間を 24 時間形式(13:00:00 など)で入力し、「繰り返し」間隔( 1 時間を推奨)を入力します。

ステップ 4 [Check for Windows Clean Access Agent updates] オプションをクリックして、CAM が常に最新バージョンのエージェント アップグレード パッチをダウンロードするように設定します。Windows Clean Access Agent の自動アップグレードを使用する場合は、このオプションをイネーブルに設定する必要があります。

ステップ 5 [Check for Macintosh Clean Access Agent updates] オプションをクリックして、CAM が常に最新バージョンのエージェント アップグレード パッチをダウンロードするように設定します。Macintosh Clean Access Agent の自動アップグレードを使用する場合は、このオプションをイネーブルに設定する必要があります。

ステップ 6 [Check for Cisco NAC Web Agent updates] オプションをクリックして、CAM が常に最新バージョンの Cisco NAC Web Agent アップグレード パッチをダウンロードするように設定します。

ステップ 7 [Check for CCA L3 Java Applet/ActiveX web client updates] オプションをクリックして、CAM が常に最新バージョンの L3 Java アプレットおよび ActiveX Web クライアントをダウンロードするように設定します。Web ログイン ユーザは、CAS が L3 配置(特に L3 OBB)で MAC 情報を取得できるように、ログイン ページからこれらのヘルパー制御をダウンロードする必要があります。エージェントを使用すると、エージェントはクライアント MAC 情報を自動的に CAS に送信します。

ステップ 8 次のいずれかを実行します。

a. [Update] をクリックし、最新のシスコ チェックおよび規則、エージェント アップグレード パッチ、Supported AV/AS Product List、およびデフォルト ホスト ポリシーで、既存のデータベースを手動で更新します。

b. [Clean Update] をクリックして、以前のアップデート アイテムをデータベースから削除してから iチェック、規則、エージェント パッチ、および Supported AV/AS Product List のうちユーザが作成したもの以外)、新しいアップデートをダウンロードします。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

ステップ 9 アップデートを取得すると、ページ下部に次のステータス メッセージが表示されます。

[Cisco auto-update schedule](イネーブルの場合)

[Latest Version of Cisco Checks & Rules]:ダウンロードされたシスコのチェックおよび規則のバージョンを示します。シスコの設定済みチェック(「 pc_ 」)および規則(「 pr_ 」)の最新アップデートに、[Check List] および [Rule List] がそれぞれ読み込まれます([Device Management] > [Clean Access] > [Clean Access Agent] > [Rules])。

[Latest version of Windows Clean Access Agent Installer (Agent Upgrade Patch)](使用可能な場合)

[Latest version of Macintosh Clean Access Agent Installer (Agent Upgrade Patch)](使用可能な場合)

インストールされた Latest Cisco NAC Web Agent version Cisco NAC Web Agent Applet Facilitator version 、および Cisco NAC Web Agent ActiveX Facilitator version

[Latest version of Supported AV/AS Product List]:
サポート対象 AV/AS 製品リストの最新バージョンを示します。[New AV Rule] またはタイプ [AV Definition Update] の要件を作成すると、サポート対象ベンダーおよび製品バージョンのリストが適宜更新されます。

[Latest version of default host policies]:
Unauthenticated ロール、Temporary ロール、および Quarantine ロール用に提供されているデフォルトのホストベース ポリシーの最新バージョンを表示します。

[Latest version of OS detection fingerprint]:
Windows マシンで新しいオペレーティング システムが利用可能になると、OS 検出フィンガープリント(またはシグニチャ)の更新が行われます。

[Latest version of L3 Java Applet web client]:
L3 Java アプレットの Web クライアントのアップデートが利用可能になると、ダウンロードされて発行されます。

[Latest version of L3 ActiveX web client]:
L3 ActiveX の Web クライアントのアップデートが利用可能になると、ダウンロードされて発行されます。

[Latest version of OOB switch OIDs]:
サポートされているスイッチの Object ID(OID; オブジェクト ID)のアップデートが利用可能になると、ダウンロードされて発行されます。

 


) リリース 4.5 からは、管理者は、CAM アップデートの実行時に(サポートされているスイッチの他に)サポートされている WLC プラットフォームの Object ID(OID; オブジェクト ID)を更新できます。


[Latest version of default L2 policies]:
デフォルト L2 ポリシーのアップデートが利用可能になると、ダウンロードされて発行されます。


 

CAM アップデートのためのプロキシ設定(任意)

ご使用の CAM でインターネットへの接続にプロキシ サーバが必要な場合、CAM が Clean Access Updates を取得できるようにプロキシ サーバを設定します。


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます。

ステップ 2 [HTTP Settings] サブタブをクリックします。

図 10-8 [Device Management] > [Clean Access] > [Update] > [HTTP Settings]

 

ステップ 3 CAM からプロキシ サーバを経由してインターネットにアクセスする場合は、[Use an HTTP proxy server to connect to the update server] オプションをクリックします。

ステップ 4 CAM がインターネットの接続に使用する [Proxy Hostname] と [Proxy Port] を指定します。

ステップ 5 プロキシ サーバでプロキシ セッションの認証に証明書が必要な場合、[Proxy Authentication] の方法を次のうち 1 つ以上指定します。

[Basic]:CAM とプロキシ サーバの間のプロキシ セッションを認証するのに必要な [Username] および [Password] の入力が求められます。

[Digest]:[Basic] 設定の場合と同様に、このオプションでも CAM とプロキシ サーバ間のプロキシ セッションの認証に [Username] と [Password] の入力と、さらに証明書のハッシュが必要です。また、ユーザ名とパスワードをネットワーク上で保護するために情報をダイジェスト認証するプロキシ サービスが必要になります。

[NTLM]:CAM とプロキシ サーバ間のプロキシ セッションの認証に [Username] と [Password] が必要であることに加えて、既存の Microsoft Windows NT LAN Manager(NTLM)プロキシ サービスをサポートするために、プロキシの [Host] および [Domain] を指定する必要があります。


) [NTLM] オプションは NTLM バージョン 1 およびバージョン 2 をサポートしています。


ステップ 6 [Save] をクリックします。


 

General Setup の概要

ポスチャ評価を設定する前に、[Device Management] > [Clean Access] > [General Setup] で Clean Access Agent スキャン、ネットワーク スキャン、またはその両方を最初にイネーブルに設定する必要があります。

エージェント ログイン サブページで、ユーザ ロール/OS ごとに Clean Access Agent/Cisco NAC Web Agent を制御できます。

Web Login サブページで、ユーザロール/OS ごとにネットワーク スキャンを制御できます。

ダイアログおよび Web ページの内容だけでなく、ユーザが特定のユーザ ロールおよび OS でログインした場合にページを表示するかどうかを指定することもできます。ロールに対して Clean Access Agent/Cisco NAC Web Agent とネットワーク スキャンの両方をイネーブルに設定する場合、[Agent Login] と [Web Login] の両方の設定ページでロール/OS オプションの設定を確認します。


) エージェントおよびネットワーク スキャンのページは必ず、ユーザ ロール単位とクライアント OS 単位の両方で設定されます。


エージェント ログイン

Clean Access Agent および Cisco NAC Web Agent のユーザが初回の Web ログインを最初に実行する際に、エージェント セットアップ インストール ファイルをダウンロードしてインストールするために Web ログイン ページとエージェント ダウンロード ページが表示されます。エージェントのインストール後、Clean Access Agent ユーザは、自動的にポップアップされる Clean Access Agent ダイアログからログインすることになります。このダイアログが自動的に表示されるのは、システム トレイ アイコン メニューで [Popup Login Window] が選択されている場合です(デフォルト設定)。Clean Access Agent ユーザは、Clean Access Agent のシステム トレイ アイコンを右クリックして [Login] を選択することで、ログイン ダイアログを表示させることもできます。Cisco NAC Web Agent ユーザは、クライアント マシンのスキャンの結果、エージェント条件の設定に適合していることが確認されると、ネットワークに自動的に接続されます。


) Clean Access Agent のログイン/ログアウトは、VPN SSO、AD SSO、および MAC アドレスベースのログインなど、特殊なログインに対しては使用できません(グレイアウトで表示されます)。マシンが即座に再ログインしようとするため、これらの構成ではログアウト オプションは不要です。


エージェント ユーザの場合、エージェント ダイアログで通信が実行されるため、Quarantine ロール ページやポップアップ脆弱性スキャン レポートは表示されません。エージェント ユーザがログインした後、ネットワークにアクセスする前に同意しなければならない [Network Policy] ページ([Acceptable Use] ページ)を設定することもできます。

リモートユーザの確認に RADIUS サーバを使用するように Clean Access Manager を設定した場合、エンド ユーザのエージェント ログイン セッションでは、標準のユーザ ID およびパスワード加えて、他のダイアログ セッションで利用できない追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、Clean Access Manager や Clean Access Server に追加設定は不要です。たとえば、標準のユーザ ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するような、RADIUS サーバ プロファイル設定に追加の認証確認を装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。


) 選択した RADIUS 認証方式に従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


表 10-1 は、図 10-9 に示す Agent Login の設定について説明します。

図 10-9 Agent Login - General Setup

 

 

表 10-1 Agent Login - General Setup の設定オプション

設定項目
説明

User Role

システム内のすべてのロールが表示されるドロップダウン メニューから、ユーザ ロールを選択します。Clean Access Agent を必要とするロールごとに Agent Login を設定します (新規ユーザ ロールの作成方法については、「新しいロールの追加」を参照してください)。

Operating System

特定のユーザ ロールのクライアント OS を選択します。

デフォルトの [ALL] を選択すると、OS 固有の設定値が指定されていない場合、すべてのクライアント オペレーティング システムにデフォルト設定が適用されます。

[WINDOWS_ALL] を選択すると、Windows OS 固有の設定値が指定されていない場合、すべての Windows オペレーティング システム に設定が適用されます。

Require use of Clean Access Agent (for Windows and Macintosh OSX only)

このチェックボックスをオンにすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に [Clean Access Agent Download Page Message](または URL)にリダイレクトされます。ユーザは、ネットワークにログインするために、Clean Access Agent をダウンロードおよびインストールして、使用するように促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。「概要」を参照してください。

。両方のオプションを使用できるように選択した場合は、ユーザがログイン ページに誘導されたときに両方の選択肢を表示します。

Require use of Cisco NAC Web Agent (for Windows only)

このチェックボックスをオンにすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に [Cisco NAC Web Agent Download Page Message] (または URL) にリダイレクトされます。ユーザは、一時的な Cisco NAC Web Agent をダウンロードおよびインストールして、ネットワークにアクセスに使用するように促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。「概要」を参照してください。

。両方のオプションを使用できるように選択した場合は、ユーザがログイン ページに誘導されたときに両方の選択肢を表示します。

Allow restricted network access in case user cannot use Clean Access Agent

このオプションのチェックボックスをオンにすると、Clean Access Agent のインストールも Cisco NAC Web Agent の起動もどちらも選ばなかったユーザに制限付きネットワーク アクセスを許可します。この機能は、主に、エージェントが必要なユーザ ロールにログインしているユーザで、(たとえば、マシンに対する権限が足りない、管理者権限がないなどの場合)エージェントのダウンロードとインストールを実行できないシステムのユーザにアクセスを許可するためのものです。

ユーザは、クライアント マシンが修復に失敗すると、限定的にネットワークにアクセスできる「制限付き」ネットワーク アクセスも利用できます。ユーザは、割り当てられたユーザ ロールでログインする前に、ネットワーク アクセス条件を満たすように更新を実行する必要があります。

詳細については、「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

Restricted Access User Role

このドロップダウン メニューを使用して、Clean Access Agent をインストールせずに、または Cisco NAC Web Agent をインストールおよび起動せずに制限付きネットワーク アクセスに同意するユーザ用のユーザ ロールを指定します。

Restricted Access Button Text

NAC アプライアンス システムにログイン可能なユーザに表示するこのボックスのテキストを変更できます。Cisco NAC Web Agent ログイン ダイアログに表示される「カスタマイズされた」ボタンのテキストです。Clean Access Agent からログインする場合、この設定可能なテキスト文字列は表示されません。代わりに、Clean Access Agent ユーザにだけ「限定的な」ボタン ラベルを表示します。

Show Network Policy to Clean Access Agent users [Network Policy Link:]

Network Policy(Acceptable Use Policy)Web ページへの Clean Access Agent/Cisco NAC Web Agent ログイン セッションでリンクをエージェント ユーザに表示する場合は、このチェックボックスをオンにします。このオプションを使用すると、ネットワークにアクセスする前にユーザが同意しなければならないポリシーまたは情報のページを提供できます。このページは、外部 Web サーバまたは Clean Access Manager 自体に保存しておくことができます。

外部サーバ上に置かれているページとリンクさせる場合は、[Network Policy Link] フィールドに http://mysite.com/helppages の形式で URL を入力します。

ネットワーク ポリシー ページ(たとえば、「helppage.htm」)を CAM に保存する場合は、[Administration] > [User Pages] > [File Upload] で、そのページをアップロードしてから、[Network Policy Link] フィールドに http://< CAS_IP_address >/auth/helppage.htm の URL を入力することにより、そのページを示します。

(注) [Network Policy] ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、[Network Policy] ページに同意した認証ユーザの識別に役立ちます。Certified Devices List からデバイスを消去すると、次回のログイン時にユーザは再度ネットワーク ポリシーに同意しなければなりません。

詳細については、図 10-3および「Agent ユーザ用の Network Policy ページ(AUP)の設定」を参照してください。

Logoff Clean Access Agent users from network on their machine logoff or shutdown after <x> secs (for Windows & In-Band setup)

 

ユーザが Windows ドメインをログオフしたり([スタート] > [シャットダウン] > [現在のユーザのログオフ])、Windows ワークステーションをシャットダウンした場合に、Clean Access ネットワークからそのエージェントがログオフできるように設定する場合は、このオプションをクリックします。これで、ユーザが Online Users リストから削除されます。

(注) CAM で [Logoff Clean Access Agent users from network on their machine logoff or shutdown] のオプションをイネーブルに設定しないと、クライアント上の現在のユーザがクライアント システムからログオフした場合でも、最後に認証されたユーザがログインした状態のままになります。SSO の場合、このクライアントを使用する次回のユーザは、前回のユーザの証明書でログインされます。(SSO を実行しない)Cisco NAC Web Agent の場合、次回のユーザには、前回のユーザのアクセス権が付与されます。

Refresh Windows domain group policy after login (for Windows only)

このチェックボックスをオンにすると、ユーザ ログイン後自動的に Windows ドメイン グループ ポリシーが更新されます(GPO アップデートが実行されます)(Windows の場合だけ)。この機能は、Windows AD SSO が Clean Access Agent ユーザに設定されている場合に GPO アップデートを容易にするためのものです。詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』の「 Enable GPO Updates 」の項を参照してください。

Automatically close login success screen after [] secs

このチェックボックスをオンにして、ユーザが標準ログイン ロールで正常に認証/ログインした後にログイン成功のダイアログを自動的に閉じる時間を設定します(設定しない場合、ログイン ユーザは、[OK] ボタンをクリックする必要があります)。時間を 0 秒に設定すると、エージェント ログイン成功の画面は表示されません(図 13-22を参照)。有効な範囲は 0 ~ 300 秒です。

Automatically close logout success screen after [] secs (for Windows only)

このチェックボックスをオンにして、ユーザが手動でログアウトする際にログアウト成功のダイアログを自動的に閉じる時間を設定します(設定しない場合は、ログアウトしたユーザは [OK] ボタンをクリックする必要があります)。時間を 0 秒に設定すると、ログアウト成功の画面は表示されません(図 13-24を参照)。有効な範囲は 0 ~ 300 秒です。

Web Login

図 10-10 Web Login - General Setup

 

Web ログイン ユーザには、ログイン ページとログアウト ページ、Quarantine ロール ページまたはアクセス ブロック ページ、および Nessus 脆弱性スキャン レポートのうち、イネーブルに設定されているものが表示されます。ネットワークにアクセスする前に、Web ログイン ユーザにユーザ同意ページを設定することもできます。

リモートユーザの確認に RADIUS サーバを使用するように Clean Access Manager を設定した場合、初回の Web ログイン セッションでは、標準のユーザ ID およびパスワードに加えて、追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、Clean Access Manager や Clean Access Server に追加設定は不要です。たとえば、標準のユーザ ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するような、RADIUS サーバ プロファイル設定に追加の認証確認を装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。


) 選択した RADIUS 認証方式に従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


表 10-2 では、図 10-10 に示されている [General Setup] > [Web Login] の設定オプションについて説明します。すべてのユーザ ページの例と説明は、表 10-3を参照してください。

 

表 10-2 Web Login - General Setup の設定オプション

設定項目
説明

User Role

Clean Access の [General Setup] の設定を適用するユーザ ロールを選択します。ドロップダウン リストには、システム内のすべてのロールが表示されます。[User Management] > [User Role] で、ユーザ ロールを設定します(「新しいロールの追加」を参照)。

Operating System

特定のユーザ ロールのクライアント OS を選択します。デフォルトの「ALL」の設定を選択すると、OS 固有の設定値が指定されていない場合、すべてのクライアント オペレーティング システムに設定が適用されます。

Show Network Scanner User Agreement Page to web login users

Web ログインおよびネットワーク スキャン後に、[User Agreement Page](「Virus Protection Information」)を表示する場合は、このチェックボックスをオンにします。このページには、[User Agreement] 設定フォームで設定した内容が表示されます。ネットワークにアクセスするためには、ユーザは [Accept] ボタンをクリックしなければなりません。

(注) ユーザ同意ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、ユーザ同意ページに同意した認証ユーザの識別に役立ちます。Certified Devices List からデバイスを消去すると、次回のログイン時にユーザは再度、このページで同意しなければなりません。

このオプションを選択する場合は、「ユーザ同意(User Agreement)ページのカスタマイズ」の説明に従って、ページの設定を確認する必要があります。

Enable pop-up scan vulnerability reports from User Agreement Page

このチェックボックスをオンにすると、ポップアップ ブラウザ ウィンドウから、Web ログイン ユーザに対してネットワーク スキャンの結果を表示することができます。ポップアップ ウィンドウがクライアント コンピュータでブロックされている場合、ユーザはログアウト ページの [Scan Report] リンクをクリックすることでレポートを表示できます。

Require users to be certified at every web login

このチェックボックスをオンすると、ネットワークにアクセスするたびにユーザにネットワーク スキャンを強制できます。

ディセーブルに設定すると(デフォルト)、ユーザ証明が必要になるのは、そのユーザが最初にネットワークにアクセスしたとき、または [Certified Devices List] からそのユーザの MAC アドレスが消去されるまでの間です。

(注) このオプションは、In-Band Online Users リストにだけ適用します。このオプションをイネーブルにして、Online Users リスト エントリを削除すると、同じ MAC アドレスを使用する Online Users リスト(インバンドまたはアウトオブバンド)のエントリが他にない場合は、対応する Certified Devices List エントリが削除されます。

Exempt certified devices from web login requirement by adding to MAC filters

このチェックボックスをオンにすると、Clean Access の [Certified Devices List] 上にあるデバイスの MAC アドレスが認証パススルー リストに追加されます。これによって、デバイスは、次回のネットワーク アクセス時に認証と Clean Access プロセスをどちらも回避できます。

Block/Quarantine users with vulnerabilities in role

このチェックボックスをオンにして、ドロップダウン メニューから [Quarantine] ロールを選択すると、ネットワーク スキャン後に脆弱性が発見された場合、そのユーザは Quarantine ロールに割り当てられます。Quarantine ロールで隔離されたユーザは、システムの問題を修正し、再度ネットワーク スキャンを受けて、脆弱性が発見されなくなるまでネットワークにアクセスできません。

ネットワーク スキャン後に脆弱性が発見された場合にネットワークからユーザをブロックするには、このチェックボックスをオンにして、ドロップダウン メニューから [Block Access] を選択します。ブロックされたユーザには、[Message (or URL) for Blocked Access Page:] フィールドに入力した内容のアクセスブロック ページが表示されます。

(注) Quarantine ロールの名前の横にあるカッコ内に、ロール セッションの期限が表示されます。このセッション時間は、ユーザ同意ページにも表示されます(Quarantine ユーザに対して、このページの表示がイネーブルになっている場合)。

Show quarantined users the User Agreement Page of

[Block/Quarantine users with vulnerabilities in role] で、[Quarantine] を選択した場合は、下部にこのオプションが表示されます。これによって、スキャンで不合格になったユーザ用に選択された Quarantine ロール専用のユーザ同意ページを表示できます。あるいは、Clean Access でユーザの標準ログイン ロールに関連付けられたページを表示したり、ページを何も表示させないことも可能です。詳細については、「ユーザ同意(User Agreement)ページのカスタマイズ」を参照してください。

Message (or URL) for Blocked Access Page:

[Block/Quarantine users with vulnerabilities in role] で、[Block Access] を選択した場合は、下部にこのオプションが表示されます。デフォルトのメッセージを変更する場合は、ユーザが Nessus スキャンに不合格となったため、ネットワークからブロックされたときに表示するメッセージの HTML テキストまたは URL を入力します。

ユーザ ページの概要

ログインと Nessus スキャンのプロセス中にユーザに表示される Web ページ、および Web 管理コンソールで設定するリストについて、 表 10-3 に概要を示します。

 

表 10-3 ユーザ ページの概要

ページ
設定場所
目的
Web ログイン ページ

ログイン ページ

[Administration] > [User Pages] > [Login Page]

詳細については、「ユーザ ログイン ページ」を参照してください。

ログイン ページは、エージェント/ネットワーク スキャン用の Web ページとは別に設定され、ネットワーク スキャンだけを使用する場合にはネットワーク認証インターフェイスになります。エージェント ユーザがこのページの使用しなければならないのは、エージェントのインストール ファイルを最初にダウンロードするときの 1 回だけです。ログイン ページは、VLAN、サブネット、クライアント OS 別に設定できます。ユーザは、認証のために自分の証明書を入力し、CAM はローカル ユーザ/ユーザ ロールの設定に基づいて、ユーザに割り当てるロールを判断します。

ログアウト ページ

(Web ログイン ユーザだけ)

[User Management] > [User Roles] > [New Role] または [Edit Role]

詳細については、「ログアウト ページ情報の指定」を参照してください。

ログアウト ページは、認証に Web ログインを使用するユーザにだけ表示されます。ユーザが正常にログインすると、ユーザのブラウザにログアウト ページがポップアップされ、選択したオプションの組み合せに応じて、ユーザのステータスが示されます。

(注) ユーザ(特に Quarantine ロールのユーザ)は、このログアウト ページを閉じないように注意する必要があります。このページを閉じてしまうと、セッション タイムアウトが発生するまでログアウトできなくなります。

Clean Access Agent ユーザ ページ

Clean Access Agent ダウンロード ページ

[Device Management] > [Clean Access] > [General Setup] > [Agent Login]

 

「概要」 参照 してください。

 

 

 

 

 

 

「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

Clean Access Agent の使用が必要なロールのユーザには、初回のワンタイム Web ログイン後にこのページが表示され、エージェントのダウンロードとインストールを促します。エージェントをインストールしたら、ユーザはブラウザを開くのではなく、エージェントを使用してログインしなければなりません。

ダウンロード ページの下部には、ロールに従ってユーザがエージェントを使用するように要求されている場合にエージェントをダウンロードできないときは、Restricted Network Access ボタンを配置するように任意に設定することができます。

 

 

 

 

 

 

 

 

 

(任意)制限付きネットワークアクセス

Cisco NAC Web Agent エージェント起動ページ

 

 

 

 


 

(任意)制限付きネットワークアクセス

[Device Management] > [Clean Access] > [General Setup] > [Agent Login]

 

「概要」 参照 してください。

 

 

 

「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

Cisco NAC Web Agent を使用する必要があるロールのユーザには、Web ログインの後にこのページが表示され、Web Agent の起動を促します。

ダウンロード ページの下部には、ロールに従ってユーザが Cisco NAC Web Agent を使用するように要求されている場合にこれを起動できないときは、[Restricted Network Access] ボタンを配置するように任意に設定することができます。

Clean Access ネットワーク ポリシー ページ

[Device Management] > [Clean Access] > [General Setup] > [Agent Login]

「Agent ユーザ用の Network Policy ページ(AUP)の設定」および図 10-3 参照 してください。

「Network Usage Terms & Conditions」リンクを表示するように Clean Access Agent を設定できます。このリンクをクリックすると、事前に設定済みのネットワーク利用ポリシー Web ページが開き、これに同意することができます。このページは、外部の Web サーバまたは CAM 自体に保存しておくことができます。エージェント ユーザが、ネットワークにアクセスするためには、エージェント ダイアログで [Accept] ボタンをクリックする必要があります。

Web ログイン/ネットワーク スキャナ ユーザ ページ

ネットワーク スキャン ユーザ同意ページ

イネーブルに設定:

[Device Management] > [Clean Access] > [General Setup] > [Web Login]

設定ページ:

[Device Management] > [Clean Access] > [Network Scanner] > [Scan Setup] > [User Agreement]

「ユーザ同意(User Agreement)ページのカスタマイズ」および図 10-5を参照してください。

このページをイネーブルに設定すると、Web ログイン ユーザに対して、認証およびネットワーク スキャン合格後にこのページが表示されます。ネットワークにアクセスするためには、ユーザは [Accept] ボタンをクリックしなければなりません。

脆弱性スキャン レポート

イネーブルに設定:

[Device Management] > [Clean Access] > [General Setup] > [Web Login]

設定ページ:

[Device Management] > [Clean Access] > [Network Scanner] > [Scan Setup] > [Vulnerabilities]

「脆弱性の処理の設定」および図 10-5を参照してください。

イネーブルに設定すると、ネットワーク スキャンによって脆弱性が発見された場合、Web ログイン ユーザに、このクライアント レポートが表示されます。ログアウト ページにも、このレポートへのリンクが表示されます。管理者は、[Device Management] > [Clean Access] > [Network Scanner] > [Reports] から、このクライアント レポートの管理バージョンを表示できます。ネットワーク スキャンで脆弱性が発見されたエージェント ユーザに対して、エージェント ダイアログの一部としてこの情報が表示されます。レポートは次のように表示されます。

アクセス ブロック ページ

[Device Management] > [Clean Access] > [General Setup] > [Web Login]

「ユーザ同意(User Agreement)ページのカスタマイズ」を参照してください。

イネーブルに設定すると、ネットワーク スキャンによってクライアント システムに脆弱性が発見され、ネットワークからブロックされる場合に、Web ログイン ユーザに対してこのページが表示されます。

User Agreement Page:隔離ユーザ、オリジナル ロール

イネーブルに設定:

[Device Management] > [Clean Access] > [General Setup] > [Web Login]

設定ページ:

[Network Scanner] > [Scan Setup] > [User Agreement]

[Normal Login] ロールを選択します。

「ユーザ同意(User Agreement)ページのカスタマイズ」を参照してください。

イネーブルに設定すると、ネットワーク スキャンによってクライアント システムに脆弱性が発見されて隔離される場合に、Web ログイン ユーザに対してこのページが表示されます。

このページには、Normal Login ロール用のユーザ同意ページと同じ [Information Page Message (or URL)] コンテンツ(「Virus Protection Information」)が表示されます。ただし、[Acknowledgment Instructions] にはオリジナル ロールのセッション タイムアウトがハードコードされていて、さらに、ボタン ラベルは、「 Report 」および「 Logout 」にハードコードされています。

ユーザ同意ページ:

隔離ユーザ、Quarantine ロール

イネーブルに設定: [Device Management] > [Clean Access] > [General Setup] > [Web Login]

設定ページ: [Network Scanner] > [Scan Setup] > [User Agreement]

該当する [Quarantine] ロールを選択します。

「ユーザ同意(User Agreement)ページのカスタマイズ」を参照してください。

イネーブルに設定すると、ネットワーク スキャンによってクライアント システムに脆弱性が発見されて隔離される場合に、Web ログイン ユーザに対してこのページが表示されます。

このページでは、Quarantine ロール専用のユーザ同意ページを指定できます(上述の Normal Login ロール用の Quarantine 版ユーザ同意ページを使用するのではありません)。[Acknowledgment Instructions] には Quarantine ロール用のセッション タイムアウトがハードコードされ、またボタン ラベルも「Report」および「Logout」にハードコードされています。

ロール別にユーザを特定のページまたは URL(Clean Access の外)にリダイレクトする方法については、「ローカル ユーザ アカウントの作成」を参照してください。

Clean Access の設定に関するその他の事項は、「General Setup ページでの設定」を参照してください。

エージェント条件の設定に関する詳細は、 第 12 章「エージェント要件の設定」 を参照してください。

証明済みデバイスの管理

ここでは、次の項目について説明します。

「免除デバイスの追加」

「証明済みデバイスまたは免除デバイスの手動消去」

「証明済みデバイスのレポートの表示」

「アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示」

「証明済みデバイス タイマーの設定」

「フローティング デバイスの追加」

ユーザ デバイスがネットワーク スキャンを通過するか、またはエージェントの条件を満たしている場合、Clean Access Server は、そのデバイスの MAC アドレスを Certified Devices List に追加します(CAS に近接する L2 ユーザの場合)。


) Certified Devices List はクライアント MAC アドレスに基づいて作成されているため、L3 配置のユーザには Certified Devices List は適用されません。


ネットワーク スキャンが実行される場合、Certified Devices List に追加されているデバイスは、その MAC アドレスが Certified Devices List 上にあるかぎり、そのデバイスのユーザがログアウトして別のユーザとしてネットワークにアクセスしても、再度証明プロセスを受ける必要はありません (マルチユーザ デバイスに対してログインのたびに再認証を求めるには、そのデバイスをフローティング デバイスとして設定する必要があります)。

Clean Access Agent ユーザおよび Cisco NAC Web Agent ユーザの場合は、デバイスがすでに Certified Devices List に含まれていても、ログインのたびにエージェントの条件が検査されます。

自動的に Certified Device List に追加されたデバイスは、手動で消去することも、間隔を指定して自動的に消去することも可能です。管理者は免除デバイスをリストに手動で追加するため、これを手動で削除する必要があります。したがって、グローバルの Certified Devices Timer フォームを使用して一定間隔で定期的にリストを消去しても、Certified Devices List 上の免除デバイスは自動的に削除されません。

Certified Devices List からデバイスを消去すると(手動でも自動でも)、次のアクションが実行されます。

IB クライアントは、In-Band Online Users リストから削除され、ネットワークからログオフされます。

OOB クライアントは、OOB Online Users リストから削除され、ポートをバウンスされます
(OOB VGW でポート バウンスがディセーブルに設定されていない場合、詳細は「ポート プロファイルの追加」を参照してください)。

次回のログイン時にクライアント デバイスに対して再度 Clean Access 条件を強制します。

[Monitoring] > [Online Users] > [View Online Users] で IB ユーザまたは OOB ユーザをネットワークからログオフさせても、そのクライアントは Certified Devices List からは削除されません。したがって、このようなユーザのクライアント デバイスは、ネットワーク スキャンを強制されずに再度ログインできます。エージェント ユーザの場合は、デバイスがすでに Certified Devices List に含まれていても、ログインのたびにこのデバイスに対するエージェントの条件が検査されます。


) Certified Devices List には、既知の L2 MAC アドレスに基づいて認証および証明されたユーザが表示されるため、IP アドレスだけで追跡されるリモートの VPN/マルチホップ L3 ユーザに関する情報は、Certified Devices List には表示されません。認証済みのリモート VPN/マルチホップ L3 ユーザを確認するには、In-Band Online Users リストを表示してください。これらのユーザの User MAC フィールドには、「00:00:00:00:00:00」が表示されます。


アクティブなユーザ セッションの終了に関する詳細は、「アクティブ ユーザの意味」および「OOB ユーザ」を参照してください。

証明済みデバイスが、ある CAS から別の CAS に移動した場合、そのデバイスがすべての Clean Access Server に対してグローバル レベルで免除デバイスとして手動でリストに追加されていなければ、新しい CAS で再度 Nessus スキャンを受けなければなりません。したがって、ある Clean Access Server の Clean Access 条件を別の CAS より厳しくすることも可能です。

デバイスの証明とリストへの追加は Clean Access Server 別にしか実行できませんが、削除する場合は、すべての Clean Access Server からグローバルに証明済みデバイスを削除することも、また特定の CAS だけからローカルに削除することも可能です(詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』を参照してください)。

また、「Certified Devices List」も参照してください。

免除デバイスの追加

デバイスを「免除」デバイスとして指定すると、ネットワーク スキャン(Nessus スキャン)からそのデバイスを除外します。クライアントに対してネットワーク スキャン レポートは作成されません。デバイスを手動で免除するには、そのデバイスを Certified Devices List に追加します。この MAC アドレスがリスト上に存在している間はネットワーク スキャンの回避が許可されます。


) デバイスを免除デバイスとして追加しても、クライアント マシンの Clean Access Agent ポスチャ評価は免除されません。



) ユーザまたはデバイスに対する認証を回避できるようにする手順は、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。


免除デバイスの追加手順


ステップ 1 [Device Management] > [Clean Access] > [Certified Devices] > [Add Exempt Device] の順番に進みます。

図 10-11 免除デバイスの追加

 

ステップ 2 [Exempt Device MAC Address] フィールドに、MAC アドレスを入力します。一度に複数のアドレスを追加する場合は、アドレスの区切りに改行を使用してください。

ステップ 3 [Add Exempt] をクリックします。

ステップ 4 [Certified Devices List] ページが表示され、免除デバイスが強調表示されます(図 10-12)。


) このフォームで追加された免除デバイスは、すべての Clean Access Server で免除扱いとなります。特定の Clean Access Server だけに対する免除デバイスの指定については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』を参照してください。


図 10-12 Clean Access Certified Devices List

 


 

証明済みデバイスまたは免除デバイスの手動消去

デバイスの MAC アドレスを消去する場合は、[Device Management] > [Clean Access] > [Certified Devices] > [Certified Devices List] の順番に進み、以下をクリックします。

[Clear Exempt]:[Add Exempt] ボタンを使用して手動で追加された MAC アドレスだけを削除する場合

[Clear Certified]:Clean Access Server によって自動的に追加された MAC アドレスだけを削除する場合

[Clear All]:免除デバイスと証明済みデバイスの両方の MAC アドレスを削除する場合

アドレスを個別に削除する場合は、その MAC アドレスの横にある [Delete] をクリックします。

証明済みデバイスのレポートの表示

[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] から、証明済みデバイスに対する前回のエージェント スキャンの結果を表示できます。[View] ボタンをクリックすると、個々のクライアントがどのような条件、ルール、検査に合格または不合格になったのかを調べることができます。詳細については、「スキャン レポートの表示」を参照してください。

[Device Management] > [Clean Access] > [Network Scanner] > [Reports] からは、証明済みデバイスに対する前回のネットワーク スキャンの結果をいつでも表示できます。個別のスキャン レポートを表示する場合は、[Report] アイコンをクリックします。詳細については、「スキャン レポートの表示」を参照してください。

アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示

アウトオブバンド ユーザの場合だけ、[Certified Devices List ](図 10-12)にはアウトオブバンド スイッチの IP アドレスおよび特定ポートを含む [Location] カラム、または「(ワイヤレス LAN コントローラの場合は)特定のアウトオブバンド WLC の IP アドレスおよび SSID」 が読み込まれます。

OOB クライアントの詳細は、以下を参照してください。

第 4 章「スイッチ管理:アウトオブバンド配置の設定」 および「アウトオブバンド ユーザ」

第 5 章「Wireless LAN コントローラの管理:ワイヤレス アウトオブバンド配置の設定」

証明済みデバイス タイマーの設定

自動的に Certified Device List を削除するように証明済みデバイスの「タイマー」を設定することができます。これにより、タイマーを適用する時間がくるたびに、Certified Devices List 全体を削除する必要がなくなります。管理者は次のことが可能になります。

Clean Access Server、ユーザ ロール、認証プロバイダーごとに、またはこれら 3 つすべて合せて、Certified Devices List を削除することができます。

[Keep Online Users] オプションを使用して、ユーザをネットワークから削除せずに証明済みのデバイスを削除することができます。[Keep Online Users] オプションが選択されている場合、リストの削除時にユーザ セッションは即座に終了せず、ユーザ ログアウト時(または OOB のリンクダウン時)に終了します。ユーザ認証とデバイスの修復後にデバイスをリストに再入力することができます。

(ピーク時のユーザの再ログインおよび証明書を管理するために)Certified Devices List を一度に削除するか、またはバッチ処理で削除します。リストに追加されている期間や決められたバッチ間隔に応じてデバイスを削除できます。これにより、数多くのデバイスを削除する際に CAM データベース管理が容易になります。

複数の独立したタイマーを設定します。管理者は、(スケジュール化されたジョブ/タスクのように)証明済みデバイス タイマーの複数インスタンスを作成し保存することができます。各タイマーは互いに独立して、個別に更新できます。たとえば、6 つの CAS ペアを管理する場合、管理者は各 HA-CAS ペアに対して別々のタイマーを作成できます。

 


) Certified Devices Timer フォームは、Clean Access によって Certified Devices List に追加されたデバイスだけを消去する自動プロセスです。手動で Certified Devices List に追加された免除デバイスは消去されません。[Keep Online Users] オプションが無効に設定されている場合、Certified Devices List を削除するとすべてのオンライン ユーザ セッションが中断されます。


新規証明済みデバイス タイマーを作成するには、次の手順を実行します。

1. [Device Management] > [Clean Access] > [Certified Devices] > [Timer] の順番に進みます。デフォルトで、[List] ページが表示されます。

図 10-13 Certified Devices Timer - List

 

2. [New] サブリンクをクリックして、[New Timer] 設定フォームを起動します。

図 10-14 New Certified Devices Timer

 

3. [Timer Name] に、タイマーの名前を入力します。

4. (任意)タイマーの説明を [Description] フィールドに入力します。

5. [Enable this timer] のチェックボックスをオンにして、設定直後にこのタイマーを適用します。

6. ネットワークからユーザを削除せずに Certified Devices List からクライアント [Keep Online Users] デバイスを削除する場合は、 のチェックボックスをオンにします。

7. [Start Date and Time] に、タイマーの開始日付と時間を [YYYY-MM-DD hh:mm:ss] の形式で入力します。[Start Date and Timer] には、このタイマーが Certified Devices List を削除する初回の日付と時間を設定します。

8. [Recurrence] に、このタイマーの繰り返し間隔を日数単位で入力します。たとえば、[Recurrence] が 7 の場合、初回の削除から 7 日後の [Start Time] の指定時間に Certified Devices List を削除します。「0」 を入力すると、Certified Devices List を 1 回だけ削除します。

9. ドロップダウン メニューから任意の項目を選択して、以下の Criteria でこのタイマーを適用します。

a. [Clean Access Server]:このタイマーを [Any CCA Server](任意の CCA サーバ、デフォルト)に適用するか、IP アドレスで指定された CAS に適用します。

b. [User Role]:このタイマーを [Any User Role](任意のユーザ ロール、デフォルト)に適用するか、特定のシステム ユーザ ロールに適用します。

c. [Provider]:このタイマーを [Any Provider](任意のプロバイダー、デフォルト)に適用するか、特定のシステム [Auth Provider](ローカル DB またはその他)に適用します。

10. 指定した日数 Certified Devices List 上に追加されているデバイスだけを削除するため、[Minimum Age] を日数単位で入力します。「0」 を入力すると、Certified Devices List に追加された期間に関係なくすべてのデバイスが削除されます。

11. (Criteria によってソートされた)Certified Devices List からタイマーで一度にどの程度削除するか、その [Method](方法)を選択します。次のオプションを選択できます。

a. [Clear all matching certified devices](一致する証明済みデバイスをすべて削除)。

b. [Clear the oldest [] matching certified devices only](古い方から [] 個の証明済みデバイスだけを削除)。(たとえば、[10] の場合、ソート リストの中で古い方から 10 個の証明済みデバイスが削除されます)。

c. [Clear the oldest [] certified devices every [] minutes until all matching certified devices are cleared](すべての一致する証明済みデバイスが削除されるまで、古い方から [] 個の証明済みデバイスを [] 分ごとに削除)。

12. 設定終了後、[Update] をクリックします。これにより、証明済みデバイス タイマー リスト内にタイマーが保存されます。


) ユーザ セッションの終了に関するその他の事項は、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」を参照してください。


フローティング デバイスの追加

フローティング デバイスの証明が有効なのは、1 回のユーザ セッション中だけです。ユーザがログアウトすると、そのデバイスの次のユーザは再度証明プロセスを受けなければなりません。フローティング デバイスは、kiosk コンピュータや図書館で貸し出される無線カードなどの共用機器を管理する場合に便利です。

セッション期間による証明以外に、これまでに証明されていないデバイスも設定できます。これは、ネットワークの非信頼側からマルチユーザ トラフィックを導くダイヤルアップ ルータなど、マルチユーザ デバイスの管理に役立ちます。この場合、Clean Access Server はネットワーク トラフィックの送信元と宛先として、そのデバイスの MAC アドレスだけを認識します。このようなデバイスの証明を許可すると、最初のユーザの証明後、他のユーザも証明を免除されることになります。証明されていないフローティング デバイスとしてルータの MAC アドレスを設定すれば、そのデバイスを通じてネットワークにアクセスする各ユーザは個別に、脆弱性/条件に適合しているかどうか評価されます。

この場合、ユーザは IP アドレスで区別されるため、 ユーザには異なる IP アドレスが必要です。ルータが NAT サービスを実行する場合、Clean Access Manager はユーザを区別できず、最初のユーザだけが証明されます。

図 10-15 に、[Floating Devices] タブを示します。

図 10-15 Floating Devices

 


) VPN コンセントレータまたはマルチホップ L3 配置の場合、管理者は、ルータ/VPN コンセントレータの MAC アドレスをフローティング デバイス リストに追加しなければなりません(入力例:00:16:21:11:4D:67 1 vpn_concentrator)。『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』の「Integrating with Cisco VPN Concentrators」を参照してください。


フローティング デバイスの設定手順

1. [Device Management] > [Clean Access] > [Certified Devices] > [Add Floating Device] の順番に進みます。

2. [Floating Device MAC Address] フィールドに、MAC アドレスを入力します。フォームのエントリを次のように入力します。

<MAC> <type> <description>
 

上記で

<MAC> は、そのデバイスの MAC アドレスです。

<type> は、次のいずれかです。

0 :セッション範囲での証明

1 :そのデバイスを証明済みとは見なさない場合

<description> は、そのデバイスの説明です(任意)。

各要素の区切りにはスペースを入力し、複数のエントリ間の区切りには改行を使用します。次の例を参考にしてください。

00:16:21:23:4D:67 0 LibCard1
00:16:34:21:4C:68 0 LibCard2
00:16:11:12:4A:71 1 Router1
 

3. [Add Device] をクリックして、設定値を保存します。

フローティング デバイスを削除する場合は、その MAC アドレスの [Delete] アイコンをクリックします。