Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
ユーザ管理:トラフィック制御、帯域幅、ス ケジュール
ユーザ管理:トラフィック制御、帯域幅、スケジュール
発行日;2012/02/01 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 23MB) | フィードバック

目次

ユーザ管理:トラフィック制御、帯域幅、スケジュール

概要

グローバル範囲とローカル範囲

グローバル トラフィック制御ポリシーの表示

IP ベースのグローバル トラフィック ポリシー

IP ベースのポリシーの追加

IP ベースのポリシーの編集

ホストベースのグローバル トラフィック ポリシーの追加

ロール別の信頼 DNS サーバの追加

デフォルト許可ホストのイネーブル設定

許可ホストの追加

DNS ホストに使用される IP アドレスの表示

プロキシ サーバとホスト ポリシー

グローバル レイヤ 2 イーサネット トラフィック ポリシーの追加

帯域利用の制御

ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定

セッション タイマー

ハートビート タイマー

インバンド(L2)セッション

OOB(L2)およびマルチホップ(L3)のセッション

セッション タイマーとハートビート タイマーの相互作用

セッション タイマーの設定(ユーザ ロール単位)

ハートビート タイマー(ユーザ非アクティブ タイムアウト)の設定

Agent Temporary および Quarantine ロールのポリシーの設定

Agent Temporary ロールの設定

Temporary ロールのセッション タイムアウトの設定

Temporary ロールのトラフィック制御ポリシーの設定

ネットワーク スキャン Quarantine ロールの設定

Quarantine ロールの追加作成

Quarantine ロールのセッション タイムアウトの設定

Quarantine ロールのトラフィック制御ポリシーの設定

トラフィック ポリシーの例

Windows ドメイン認証用の認証サーバ トラフィックの許可

ローカル サーバでの企業向け AV 更新用トラフィックの許可

ゲーム ポートの許可

Microsoft Xbox

その他のゲーム ポート

デフォルト ロール用のトラフィック ポリシーの追加

ホストベースのポリシーに関するトラブルシューティング

ユーザ管理:トラフィック制御、帯域幅、スケジュール

この章では、ロールベースのトラフィック制御ポリシー、帯域幅管理、セッションおよびハートビート タイマーの設定方法について説明します。この章の内容は次のとおりです。

「概要」

「IP ベースのグローバル トラフィック ポリシー」

「ホストベースのグローバル トラフィック ポリシーの追加」

「帯域利用の制御」

「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」

「Agent Temporary および Quarantine ロールのポリシーの設定」

「トラフィック ポリシーの例」

「ホストベースのポリシーに関するトラブルシューティング」

ユーザ ロールおよびローカル ユーザの設定の詳細については、 第 7 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。

認証サービスの設定に関する詳細は、 第 8 章「ユーザ管理:認証サーバの設定」 を参照してください。

Web ユーザ ログイン ページの作成および設定の詳細については、 第 6 章「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

概要

さまざまなメカニズムを使用して Clean Access Server (CAS)を通過するインバンド ユーザ トラフィックを制御できます。ここでは、ユーザ ロールごとに設定するトラフィック制御、帯域幅、スケジューリングのポリシーについて説明します。

Cisco NAC アプライアンスを新たに導入した場合、デフォルト システム ロール(Unauthenticated、Temporary、Quarantine)であろうと、作成した新しいユーザ ロールであろうと、デフォルトのままでは信頼ネットワークから非信頼ネットワークへのトラフィックはすべて許可され、非信頼ネットワークから信頼ネットワークへのトラフィックはブロックされます。ただし、非信頼ネットワークからのトラフィックの必要性に応じて、アクセス権を拡大することはできます。

Cisco NAC アプライアンスには、次の 3 種類のトラフィック ポリシーがあります。

IP ベースのポリシー :IP ベースのポリシーは、細かく柔軟な設定が可能であり、さまざまな方法でトラフィックを停止できます。IP ベースのポリシーは、あらゆるロールに適用でき、送信元および宛先のポート番号に加え、IP プロトコル番号も指定できます。たとえば、特定のホストへの IPSec トラフィックを通し、その他のトラフィックは拒否するといった IP ベースポリシーを作成できます。

ホストベースのポリシー :ホストベースのポリシーは、IP ベースのポリシーほど柔軟性はありませんが、ホストに複数の IP アドレスまたはダイナミック IP アドレスがある場合にホスト名またはドメイン名でトラフィック ポリシーを指定できるという利点があります。ホストベースのポリシーは、主に Agent Temporary ロールと Quarantine ロール用のトラフィック ポリシーの設定を簡単にすることを目的としたものです。このポリシーは、ホストの IP アドレスが常に変化する場合や、ホスト名が複数の IP に解決される可能性がある場合に使用してください。

レイヤ 2 イーサネット トラフィックのポリシー :レイヤ 2 レベルで発信されるデータ転送または類似の操作をサポートするために、Cisco Clear Access レイヤ 2 イーサネット トラフィック制御ポリシーを使用して、トラフィック タイプに基づいて Clean Access Server (CAS)を通過するレイヤ 2 イーサネット トラフィックを許可または拒否できます。IP、ARP、RARP フレームを除くネットワーク フレームは、標準レイヤ 2 トラフィックを構成します。


) レイヤ 2 イーサネット トラフィック制御は、バーチャル ゲートウェイ モードで動作する CAS にだけ適用されます。


トラフィック制御ポリシーはトラフィックの方向別に指定します。IP ベース ポリシーとレイヤ 2 イーサネット トラフィック ポリシーでは、非信頼(管理対象)ネットワークから信頼ネットワークへのトラフィック、または信頼ネットワークから非信頼ネットワークへのトラフィックを許可したり拒否したりできます。ホストベースのポリシーでは、非信頼ネットワークから特定のホストおよび特定の信頼 DNS サーバへのトラフィックを許可できます。

デフォルトでは、新しいユーザ ロールを作成すると、トラフィック制御ポリシーは次のようになります。

非信頼ネットワークから信頼ネットワークへのトラフィックはすべてブロックされます。

信頼ネットワークから非信頼ネットワークへのトラフィックはすべて許可されます。

ロールに応じて適切なトラフィックを許可するようなポリシーを作成する必要があります。あるいは、特定のマシンへのトラフィックをブロックしたり、ユーザを特定の活動(E メールの使用や Web ブラウジングなど)に制限するようなトラフィック制御ポリシーを設定することもできます。たとえば、次のようなトラフィック ポリシーを作成できます。

deny access to the computer at 191.111.11.1 または
allow www communication from computers on subnet 191.111.5/24

トラフィック ポリシーのプライオリティ

最終的にトラフィックがどのようにフィルタリングされるかは、ポリシー リスト内のトラフィック ポリシーの順序によって決まります。リストの一番上にある第 1 ポリシーが最も優先されます。非信頼から信頼への方向のトラフィック制御ポリシーがどのように機能するかを、いくつかの例で示します。

例 1:

1. Deny Telnet

2. Allow All

結果:Telnet トラフィックだけがブロックされ、他のトラフィックはすべて許可されます。

例 2(逆のプライオリティ):

1. Allow All

2. Deny Telnet

結果:すべてのトラフィックが許可され、Telnet トラフィックをブロックするという 2 番目のポリシーは無視されます。

例 3:

1. Allow TCP *.* 10.10.10.1/255.255.255.255

2. Block TCP *.* 10.10.10.0/255.255.255.0

結果:10.10.10.1 への TCP アクセスは許可され、サブネット(10.10.10.*)のその他の場所への TCP アクセスはブロックされます。

例 4 (レイヤ 2 イーサネット - バーチャル ゲートウェイ モードだけ):

1. Allow SNA IBM Systems Network Architecture

2. Block ALL All Traffic

結果: IBM System Network Archtecture(SNA; システム ネットワーク アーキテクチャ)レイヤ 2 トラフィックだけが許可され、その他のレイヤ 2 トラフィックは拒否されます。

グローバル範囲とローカル範囲

この章では、[User Management] > [User Roles] > [Traffic Control] で設定するグローバル トラフィック制御ポリシーについて説明します。[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Roles] で設定するローカル トラフィック制御ポリシーについての詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』を参照してください。


) 特定の Clean Access Server(CAS)を対象としたローカル トラフィック制御ポリシーの方が、プライオリティが高い場合は、グローバル ポリシーよりもローカル ポリシーが優先されます。


[User Management] > [User Roles] > [Traffic Control] のグローバル フォームを使用して追加したトラフィック ポリシーは、Clean Access Manager (CAM)のドメイン内のすべての CAS に適用され、グローバル ページには、白いバックグラウンドで表示されます。

グローバル トラフィック ポリシーは、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Roles] のローカル CAS 用のフォームにも表示されますが、ローカル リストでは、バックグラウンドが黄色になります。

トラフィック制御ポリシーを削除するには、そのポリシーの作成に使用したグローバルまたはローカルのフォームを使用します。

あらかじめ設定されているデフォルトのホストベース ポリシーは、グローバル設定としてすべての CAS に適用され、グローバルとローカルの両方のホストベース ポリシー リストに、黄色のバックグラウンドで表示されます。これらのデフォルト ポリシーは、イネーブルにもディセーブルにもできますが、削除することはできません。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

グローバル トラフィック制御ポリシーの表示

[User Management] > [User Roles] > [Traffic Control] > [IP] で IP ベースのトラフィック ポリシーを設定するには、IPサブタブ リンクをクリックします(図 9-2)。

[User Management] > [User Roles] > [Traffic Control] > [Host] でホストベースのトラフィック ポリシーを設定するには、[Host] サブタブ リンクをクリックします(図 9-7)。

[User Management] > [User Roles] > [Traffic Control] > [Ethernet] でレイヤ 2 イーサネット トラフィックの制御 ポリシーを設定するには、[Ethernet] サブタブ リンクをクリックします(図 9-9)。

デフォルトでは、ロール用の IP ベースのトラフィック ポリシーは、トラフィックの送信元として非信頼ネットワーク、宛先として信頼ネットワークが表示されます。反対方向のトラフィックのポリシーを設定するには、送信元から宛先への方向フィールドで [Trusted->Untrusted] を選択し、[Select] をクリックします。

ロールのドロップダウン メニューから選択して、[Select] ボタンをクリックすることにより、すべてのロールの(ALL Roles)または特定のロールの IP、ホストベース、またはレイヤ 2 イーサネットのトラフィック ポリシーを表示できます(図 9-1)。

図 9-1 [Trusted -> Untrusted] の方向フィールド

 

IP ベースのグローバル トラフィック ポリシー

システム内にすでに存在しているすべてのデフォルト ロール(Unauthenticated、Temporary、Quarantine)のトラフィック ポリシーを設定することができます。通常のログイン ユーザ ロールを作成してから、トラフィック ポリシーを設定する必要があります( 第 7 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照)。

ここでは、次の項目について説明します。

「IP ベースのポリシーの追加」

「IP ベースのポリシーの編集」

IP ベースのポリシーの追加

IP ベースのトラフィック ポリシーの設定に、個々のポート、ポート範囲、ポートとポート範囲の組み合せ、またはワイルドカードを指定できます。

1. [User Management] > [User Roles] > [Traffic Control] > [IP] の順番に進みます。すべてのロールの IP ベース ポリシーのリストが表示されます(図 9-2)。

図 9-2 IP ベースのポリシーのリスト

 

2. そのポリシーに適用する送信元から宛先の方向を選択します。[Trusted->Untrusted] または [Untrusted->Trusted] を選択して、[Select] をクリックします。

3. 特定のロールに新しいポリシーを作成する場合は、該当するユーザ ロールの横にある [Add Policy] リンクをクリックします。また、一度にすべてのロールに新しいポリシーを追加する場合は、[Add Policy to All Roles] をクリックします(Unauthenticated ロールを除く)。


) [Add Policy to All Roles] オプションは、Unauthenticated ロールを除くすべてのロールにポリシーを追加します。一度追加されると、トラフィック ポリシーは個別に変更されてロール別にだけ削除されます。


4. そのロールの [Add Policy] フォームが表示されます(図 9-3)。

図 9-3 IP ベースのポリシーの追加

 

5. [Priority] ドロップダウン メニューで、そのポリシーの プライオリティ を設定します。実行時には、リストの一番上にある IP ポリシーが最も優先されます。デフォルトでは、最後に作成されたポリシーよりも低いポリシーが表示されます(第 1 ポリシーは 1、第 2 ポリシーは 2 のように表示されます)。リスト内のプライオリティの数は、そのロール用に作成されたポリシーの数に応じて決まります。組み込まれている [Block All] ポリシーは、デフォルトでは、すべてのポリシーの中で最も低いプライオリティに設定されます。


) ポリシーの [Priority] をあとで変更する場合は、IP ポリシー リスト ページの [Move] カラムで、そのポリシーの上または下の矢印をクリックします(図 9-2)。


6. [Action] で、そのトラフィック ポリシーの動作を設定します。

[Allow](デフォルト):トラフィックを許可します。

[Block]:トラフィックをドロップします。

7. [State] で、そのトラフィック ポリシーのステートを設定します。

[Enabled](デフォルト):ロールの新規トラフィックに対してこのトラフィック ポリシーをただちにイネーブルにします。

[Disabled]:ロールに対するこのトラフィック ポリシーをディセーブルにしますが、今後使用する場合に備えてこのポリシーの設定を保持します。


) ロール レベルでトラフィック ポリシーをイネーブルまたはディセーブルにするには、IP ポリシー リスト ページの [Enable] カラムにある対応するチェックボックスをオンにします(図 9-2)。


8. [Category] で、そのトラフィックのカテゴリを設定します。

[ALL TRAFFIC](デフォルト):このポリシーは、すべてのプロトコルの、信頼側および非信頼側のすべての送信元および宛先アドレスに適用されます。

[IP]:これを選択すると、Protocol フィールドが表示されます(後述の説明を参照)。

[IP FRAGMENT]:デフォルトでは、Clean Access Manager は IP 断片化パケットをブロックします。このようなパケットは DoS 攻撃に使用される可能性があるからです。 断片化されたパケットを許可する場合は、このオプションを使用して、そのようなパケットを許可するロール ポリシーを定義してください。

9. [IP] カテゴリを選択した場合は、次のオプションとともに [Protocol] フィールドが表示されます。

[CUSTOM]:Protocol ドロップダウン メニューに表示されているプロトコル以外のプロトコル番号を指定する場合は、このオプションを選択します。

[TCP (6)]:TCP の場合に選択します。 TCP の設定には、HTTP、HTTPS、Telnet が含まれます。

[UDP(17)]:通常、ブロードキャスト メッセージに使用される UDP を設定する場合に選択します。

[ICMP(1)]:Internet Control Message Protocol(ICMP)の場合に選択します。ICMP を選択する場合は、ドロップダウン メニューから Type も選択してください。

[ESP(50)]:主として VPN トンネルを構築する目的で IP パケット データの暗号化に使用される IPSec サブプロトコル、Encapsulated Security Payload(ESP)を設定する場合に選択します。

[AH(51)]:IP ヘッダーおよびパケットの認証を保証するために暗号チェックサムの計算に使用される IPSec サブプロトコル、Authentication Header(AH)を設定する場合に選択します。

10. [Untrusted (IP/Mask:Port)]フィールドで、そのポリシーを適用する非信頼ネットワークの IP アドレスとサブネット マスクを指定します。[IP/Mask:Port] フィールドのアスタリスクは、そのポリシーがあらゆるアドレス/アプリケーションに適用されることを意味しています。
[Protocol] で [TCP] または [UDP] を選択した場合は、[Port] テキスト フィールドに、そのアプリケーションの TCP/UDP ポート番号も入力してください。


) TCP/UDP ポートの設定に、個々のポート、ポート範囲、ポートとポート範囲の組み、またはワイルドカードを指定できます。たとえば、「*」、「21, 1024-1100」、「1024-65535」という形でポート値を指定し、1 つのポリシーで複数のポートをカバーできます。TCP/UDP ポート番号に関する詳細は、http://www.iana.org/assignments/port-numbers を参照してください。


11. [Trusted (IP/Mask:Port)]フィールドで、そのポリシーを適用する信頼ネットワークの IP アドレスとサブネット マスクを指定します。[IP/Mask:Port] フィールドのアスタリスクは、そのポリシーがあらゆるアドレス/アプリケーションに適用されることを意味しています。[Protocol] で [TCP] または [UDP] を選択した場合は、[Port] テキスト フィールドに、そのアプリケーションの TCP/UDP ポート番号も入力してください。


) ポリシー リストを表示する際に選択したトラフィックの方向([Untrusted] -> [Trusted] または [Trusted] -> [Untrusted])によって、[Add Policy] フォームを開いたときの送信元と宛先が設定されます。

表示される最初の IP/Mask/Port エントリは送信元です。

表示される 2 番目の IP/Mask/Port エントリは宛先です。


 

12. (任意)[Description] フィールドにそのポリシーの説明を入力します。

13. 完了したら、[Add Policy] をクリックします。ポリシーを変更した場合は、[Update Policy] ボタンをクリックします。

IP ベースのポリシーの編集

1. [User Management] > [User Roles] > [Traffic Control] > [IP] の順番に進みます。

2. 変更するロール ポリシーの [Edit] ボタンをクリックします(図 9-4)。

図 9-4 IP ポリシーの編集

 

3. そのロール ポリシーの [Edit Policy] フォームが表示されます(図 9-5)。

図 9-5 IP ポリシー編集用のフォーム

 

4. 目的に応じてプロパティを変更します。


) TCP/UDP ポート用に「*」、「21, 1024-1100」、または「1024-65535」のように、個々のポート、ポート範囲、ポートとポート範囲の組み合せ、またはワイルドカードを指定できます。TCP/UDP ポートに関する詳細は、http://www.iana.org/assignments/port-numbers を参照してください。


5. 完了したら、[Update Policy] をクリックします。

[Edit] フォームから直接、ポリシー プライオリティを変更することはできません。[Priority] の値を変更する場合は、IP ポリシー リスト ページの [Move] カラムで、そのポリシーの上または下の矢印をクリックします。

ホストベースのグローバル トラフィック ポリシーの追加

Clean Access Agent/Cisco NAC Web Agent の [Update] または [Clean Update] が CAM から実行されると、Unauthenticated、Temporary、Quarantine のロールのデフォルト ホスト ポリシーが自動的に取得され、アップデートされます(アップデートに関する詳細は、「アップデートの取得」を参照してください)。

ホストに複数の IP アドレスまたはダイナミック IP アドレスがある場合は、ホスト名またはドメイン名でロールのカスタム DNS ホストベース ポリシーを設定することが可能です。ユーザ ロールごとに DNS アドレスを設定できるので、クライアントが Clean Access Agent の条件を満たしていない場合やネットワーク スキャンで脆弱性が発見された場合に、システムの修正を目的として Windows やウイルス対策ソフトの更新サイトへクライアントがアクセスするのを許可できます。ホストペースのポリシーを使用する場合は、まず、そのユーザ ロールの信頼 DNS サーバを追加しなければなりません。


) • ソフトウェアのアップグレード後、デフォルトの設定では、新しいデフォルト ホストベース ポリシーはディセーブルになりますが、既存のホストベース ポリシーのイネーブル/ディセーブル設定は以前のまま変更されません。

Clean Update を実行すると、既存のすべてのデフォルト ホストベース ポリシーが削除され、新しい デフォルト ホストベース ポリシーがディセーブルのデフォルト設定のまま追加されます。


 

ここでは、次の項目について説明します。

「ロール別の信頼 DNS サーバの追加」

「デフォルト許可ホストのイネーブル設定」

「許可ホストの追加」

「プロキシ サーバとホスト ポリシー」

ロール別の信頼 DNS サーバの追加

あるロールのホストベース トラフィック ポリシーをイネーブルにするには、そのロールの信頼 DNS サーバを追加する必要があります。

1. [User Management] > [User Roles] > [Traffic Control] に進み、[Host] リンクをクリックします。

2. 信頼 DNS サーバを追加するロールを選択します。

3. [Trusted DNS Server] フィールドに IP アドレスを入力します。あるいは、すべての DNS サーバを指定する場合は、アスタリスク 「 * 」を入力します。

図 9-6 信頼 DNS サーバの追加

 

4. (任意)[Description] フィールドにそのポリシー DNS サーバの説明を入力します。

5. [Enable] チェックボックスがすでに選択されているはずです。

6. [Add] をクリックします。新しいポリシーが [Trusted DNS Server] カラムに表示されます。


) • 信頼 DNS サーバが [Host] フォームに追加されると、そのサーバへの DNS/UDP トラフィックを許可する IP ベースのポリシーが自動的にそのロールに追加されます([IP] フォーム)。

特定の DNS サーバを追加してから、そのロールにあらゆる(「*」)DNS サーバを追加すると、前に追加したサーバはすべての DNS サーバを許可する全体ポリシーのサブセットになり、表示されなくなります。後で、あらゆる(「*」)DNS サーバのポリシーを削除すると、以前に許可した特定の信頼 DNS サーバが再び表示されるようになります。


 

デフォルト許可ホストのイネーブル設定

Cisco NAC アプライアンスには、Unauthenticated、Temporary、および Quarantine のロール用のデフォルト ホスト ポリシーがあります。デフォルト ホスト ポリシーは出荷当初システムに設定されていますが、Clean Access の [Update] または [Clean Update] を実行することにより、動的に更新されます。新たに追加されたデフォルト ホスト ポリシーは、デフォルトではディセーブルに設定されるため、[User Management] > [User Roles] > [Traffic Control] > [Hosts] で、各ロールに対してイネーブルに設定する必要があります。

ユーザ ロール用にデフォルト ホスト ポリシーをイネーブル設定


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます(図 10-6 を参照)。

ステップ 2 [Update] をクリックするか、Clean Access のアップデートに伴う最新のデフォルト ホスト ポリシーが取得されます。デフォルト ホスト ポリシーをアップデートしても、既存のデフォルト ホスト ポリシーのユーザ定義設定は上書きされません。

ステップ 3 [User Management] > [User Roles] > [Traffic Control] > [Host] の順番に進みます (図 9-7を参照)。

ステップ 4 デフォルト ホスト ポリシーをイネーブルにするロール(Unauthenticated、Temporary、または Quarantine)をドロップダウン メニューから選択し、[Select] を選択します。

ステップ 5 そのロールに許可する各デフォルト ホスト ポリシーの [Enable] チェックボックスをクリックします。

ステップ 6 信頼 DNS サーバが追加されていることを確認します(「ロール別の信頼 DNS サーバの追加」を参照)。

ステップ 7 その他のカスタム ホストをロールに追加する場合は、「許可ホストの追加」の手順で行います。


) 更新の設定に関する詳細は、「アップデートの取得」を参照してください。



 

許可ホストの追加

許可ホスト フォームを使用すると、デフォルト ロール用のデフォルト ホスト ポリシーに他の更新サイトを追加したり、任意のユーザ ロール用にカスタム ホストベース トラフィック ポリシーを作成することができます。

1. [User Management] > [User Roles] > [Traffic Control] に進み、[Host] リンクをクリックします。

図 9-7 許可ホストの追加

 

2. DNS ホストを追加するロールを選択します。

3. [Allowed Host] フィールドにホスト名を入力します(「allowedhost.com」など)。

4. [Match] ドロップダウン メニューで、ホスト名の照合に使用する演算子([equals]、[ends]、[begins]、または [contains])を選択します。

5. [Description] フィールドに、そのホストの説明を入力します(「Allowed Update Host」など)。

6. [Enable] チェックボックスがすでに選択されているはずです。

7. [Add] をクリックします。新しいポリシーが [Add] フィールドの上に表示されます。


) ロールのホストベース トラフィック ポリシーをイネーブルにするには、そのロールに信頼 DNS サーバを追加する必要があります。


DNS ホストに使用される IP アドレスの表示

クライアントがシステムを更新するためにホストに接続するときに、その DNS ホストに使用される IP アドレスを表示することができます。このような IP アドレスは、Clean Access Server 管理ページに CAS 別に表示されることに注意してください。

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Roles] > [Allowed Hosts] の順番に進みます。

2. すべてのロールでアクセスされる DNS ホストのすべての IP アドレスを表示するには、このページの上部に表示されている [View Current IP addresses for All Roles] をクリックします。

3. 特定のロールのクライアントがアクセスする DNS ホストの IP アドレスを表示する場合は、該当するロールの横にある [View Current IP addresses] リンクをクリックします。

4. アクセスされる各 IP アドレスの [IP Address]、[Host Name]、および [Expire Time] が表示されます。[Expire Time] には、DNS reply TTL に基づく値が表示されます。その DNS ホストの IP アドレスは、[Expire Time] の値に到達すると無効になります。

図 9-8 すべてのロールの現在の IP アドレスの表示

 


ヒント ホストベースのポリシー アクセスに問題が生じた場合は、テスト用のクライアント マシンのコマンド プロンプトから ipconfig /flushdns を実行してみてください。Cisco NAC アプライアンスは、該当する IP アドレスを許可リストに入れる前に DNS 応答を必要とします。


プロキシ サーバとホスト ポリシー

CAS で指定されたプロキシ サーバが使用される場合、ユーザ(たとえば、要件を満たす必要のある Temporary ユーザまたは Quarantine ユーザ)がロールでイネーブルにされているホスト サイトにだけアクセスできるようにできます。

プロキシ設定は CAS 管理ページを使用して CAS で設定されたローカル ポリシーであり、この機能をイネーブルにするには次のページを設定する必要があることに注意してください。

[Device Management] > [Clean Access Servers] > [Manage [CAS_IP]] > [Advanced] > [Proxy]

[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Roles] > [Allowed Hosts] ([Parse Proxy Traffic] オプションがイネーブルに設定されている必要があります)

詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』を参照してください。

また、「プロキシの設定」も参照してください。

グローバル レイヤ 2 イーサネット トラフィック ポリシーの追加


) レイヤ 2 イーサネット トラフィック制御は、レイヤ 2 イーサネット制御が CAS 設定ページでイネーブルになっているバーチャル ゲートウェイ モードで動作する Clean Access Server にだけ適用されます。


システム内にすでに存在しているすべてのデフォルト ロール(Unauthenticated、Temporary、Quarantine)のトラフィック ポリシーを設定することができます。通常のログイン ユーザ ロールを作成してから、トラフィック ポリシーを設定する必要があります( 第 7 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照)。

1. [User Management] > [User Roles] > [Traffic Control] > [Ethernet] の順番に進みます。全ロールのレイヤ 2 イーサネット トラフィック制御ポリシーのリストが表示されます(図 9-2)。

図 9-9 レイヤ 2 イーサネット トラフィック制御ポリシー

 

2. [Action] ドロップダウン メニューで [Allow] または [Block] を選択します。

3. [Protocol] ドロップダウン メニューで許可またはブロックするレイヤ 2 イーサネット トラフィックのタイプを指定します。


) すべてのレイヤ 2 トラフィックを許可する場合を除いて、「IBM Systems Network Architecture (SNA)」プロトコルだけが CCA で利用できます。追加のプリセット オプションについては、Clean Access Manager の Cisco Clean Access アップデート サービスを通じて今後のリリースで利用可能になる予定です。


4. [Enable] をクリックします。

5. [Add] をクリックします。

トラフィック制御ポリシーの「追加」後、CAM は、[Protocol] ドロップダウン メニューで指定したオプションの説明を使用して、エントリの Description カラムを自動的に入力します。

帯域利用の制御

Cisco NAC アプライアンスを使用すると、ユーザが使用できるネットワーク帯域幅をロール別に制御できます。CAM のグローバル フォームを使用すれば必要に応じてシステム ユーザ ロールに帯域管理を設定できますし、またローカル フォームを使用すれば、一部の Clean Access Server だけに帯域管理を設定することも可能です。ただし、この機能を使用するためには、まず CAS でこのオプションがイネーブルに設定されている必要があります。さらに、個々のロールまたはロール全体の各ユーザに対する帯域制限も指定できます。

たとえば、1 つの CAM で 2 つの CAS を管理している場合、すべてのロールを指定することも、必要に応じて一部のロール(Guest ロール、Quarantine ロール、Temporary ロールなど)に帯域幅管理を設定することもできます。帯域幅が重要なのは、CAS1 が配置されているネットワーク セグメントだけであり、CAS2 が配置されているネットワーク セグメントでは帯域幅を重要視する必要がないのであれば、CAS1 では帯域管理を有効にし、CAS2 では有効にしないといった設定方法も可能です。

また、バースト時に、帯域制限からのわずかな逸脱を許可することもできます。これによって、ユーザによるコンテンツのストリーミングや大きなファイルの転送は帯域制限の対象としながら、断続的に帯域リソースを必要とするユーザ(たとえば、ページのダウンロードや閲覧時)に対応することができます。

デフォルトでは、ロールの帯域ポリシーは無制限になります(アップストリーム トラフィックとダウンストリーム トラフィックの両方とも 1 に指定)。

ロールの帯域幅の設定

1. まず、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Roles] > [Bandwidth] に進み、その CAS で帯域管理をイネーブルにします。

2. [Enable Bandwidth Management] を選択し、[Update] をクリックします。


) ローカル帯域幅の管理の詳細は、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide,Relase 4.5(1)』 を参照してください。


3. [User Management] > [User Roles] > [Bandwidth] から、帯域幅の制限を設定するロールの横にある [Edit] ボタンをクリックします。次の図のように、[Bandwidth] フォームが表示されます。

図 9-10 User ロール用の Bandwidth フォーム

 


) あるいは、[User Management] > [User Roles] > [List of Roles] に進み、該当ロールの横の [BW] ボタンをクリックする方法でも設定できます。


4. [Upstream Bandwidth および Downstream Bandwidth] に、[Upstream Bandwidth] と [Downstream Bandwidth] の最大帯域幅をキロビット/秒単位で設定します。アップストリーム トラフィックは、非信頼ネットワークから信頼ネットワークへのトラフィックです。ダウンストリーム トラフィックは、信頼ネットワークから非信頼ネットワークへのトラフィックです。

5. [Burstable Traffic] に、帯域制限からのわずかな(1 秒)逸脱を許可するレベルとして、2 ~ 10 の値を入力します。[Burstable Traffic] にレベル 1 を設定すると、バースト トラフィックをディセーブルにする効果があります。

[Burstable Traffic] フィールドは、バケットの「容量」を判断するために使用されるトラフィック バースト係数です。たとえば、帯域幅が 100 Kbps で、[Burstable Traffic] フィールドが 2 の場合、そのバケットの容量は 100Kb*2=200Kb です。あるユーザが一定時間に 1 つもパケットを送信しなかった場合、そのユーザのバケットには最大で 200 Kb のトークンが入ります。そのユーザがパケットを送信する必要が生じた場合、そのユーザはすぐに 200 Kb のパケットを送信できます。その後、そのユーザが追加パケットを送信する場合は、100 Kbps のレートでトークンが来るのを待たなければなりません。これは、平均レートが 100 Kbps で、ピーク レートは約 200 Kbps であると考えることもできます。つまり、これは、Web ブラウズのようなバースト アプリケーションの使用に対応することを目的とした機能なのです。

6. [Shared Mode] フィールドで、次のいずれかを選択します。

[All users share the specified bandwidth]:この設定値は、そのロールのすべてのユーザに適用されます。この場合、設定された値が使用可能な総帯域幅になります。したがって、あるユーザが使用可能な帯域幅の 80 %を占有した場合、そのロールの他のユーザは残りの 20 %の帯域幅しか使用できません。

[Each user owns the specified bandwidth]:この設定値は、各ユーザに適用されます。使用中の総帯域幅は、そのロールのオンライン ユーザの数の増減によって変化しますが、各ユーザの帯域幅は同じです。

7. (任意)[Description] にその帯域設定値の説明を入力します。

8. 完了したら、[Save] をクリックします。

この帯域設定は、該当ロールに適用され、[Bandwidth] タブに表示されます。


) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずにデバイス フィルタを通じて許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。


ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定

タイムアウト プロパティは、設定時間経過後にユーザ セッションを終了させることにより、ネットワーク セキュリティを強化します。自動ユーザ タイムアウトの主なメカニズムは次の 3 つです。

セッション タイマー

ハートビート タイマー

証明済みデバイス タイマー(「証明済みデバイス タイマーの設定」を参照)

ここでは、セッション タイマーとハートビート タイマーについて説明します。

セッション タイマー

セッション タイマーは、ユーザ ロール固有の絶対的なタイマーです。あるロールにセッション タイマーが設定されると、そのロールに属すユーザのセッションは、セッション タイマーに設定された時間だけしか持続できません。たとえば、ユーザ A が 1:00pm にログインし、ユーザ B が 1:30pm にログインし、両者ともセッション タイマーが 2 時間に設定されている Test ロールに属している場合、ユーザ A は 3:00pm に、ユーザ B は 3:30pm にログアウトされます。セッション タイムアウトが設定されていると、接続状態やアクティビティに関係なく、ユーザのセッションは終了します。

ハートビート タイマー

ハートビート タイマーでは、Clean Access Server からの ARP クエリに応答しない場合、ユーザが何分後にネットワークからログオフされるかを設定します。この機能によって、CAS は、ネットワークからログオフせずにネットワークから去った(マシンのシャットダウンやサスペンドによって)ユーザを検出し、切断できます。ハートビート タイマーは、ローカル認証か外部認証かに関係なく、すべてのユーザに適用される点に注意してください。

接続の確認は、ping ではなく、ARP クエリで実行されます。これによって、ICMP トラフィックがブロックされていても、ハートビート チェックは機能します。CAS には、その非信頼側の ARP テーブルが維持されており、そのテーブルには、CAS が非信頼側で認識した、またはクエリを送信したすべてのマシンが含まれています。特定のマシンからのパケットが検出されないと、通常の ART キャッシュ タイムアウトを通じて、そのマシンの ARP エントリはタイムアウトになります。パケットが検出されれば、そのマシンのエントリには、fresh のマークが付きます。CAS の ARP キャッシュに完全に解決されたエントリがなく、ハートビート タイマーの設定時間のあいだ ARP に応答しないマシンは、ネットワーク上には存在しないと見なされ、そのマシンのセッションは終了します。

インバンド(L2)セッション

インバンド構成の場合、ユーザ セッションはクライアントの MAC アドレスと IP アドレスに基づいて確立され、次のいずれかが発生するまで持続します。

Web ユーザ ログアウト ページまたは Clean Access Agent/Cisco NAC Web Agent ログアウト オプションを通じてユーザがネットワークからログアウトした場合

管理者がそのユーザを手動でネットワークから削除した場合

そのユーザ ロールのセッション タイマーの設定に従ってセッション タイムアウトが発生した場合

CAS がハートビート タイマーを使用して、そのユーザが接続されていないと判断し、CAM がそのセッションを終了した場合

Certified Device リストが消去され(自動または手動で)、そのユーザがネットワークから削除された場合

OOB(L2)およびマルチホップ(L3)のセッション

セッション タイマーは、マルチホップ L3 インバンド配置の場合も、L2(インバンドまたはアウトオブバンド)配置の場合と同様に機能します。

L3 配置の場合、ユーザ セッションは MAC アドレスではなく、固有の IP アドレスに基づいて確立されます。

ハートビート タイマーは、L2 配置に加えて L3 配置の非アクティブ/アイドル タイマーとして動作します。L3 配置の場合、タイマーでのハートビートは次のケースで説明されているように動作します。

ルータがプロキシ ARP を実行しない L3 配置

Clean Access Server でハートビート タイマーが設定された期間ユーザからのパケットが検出されない場合、ユーザはログアウトされます。ユーザのマシンがネットワークに接続されていても CAS に到達するネットワーク上で 1 つもパケットを送信していない場合、ログアウトされます。ユーザがアクティブになっていない場合でも、現在のシステムは多くのパケットを送信するので(チャット プログラム、Windows アップデート、AV ソフトウェア、Web ページの広告など)、このようなことは滅多にありません。

ルータ/VPN コンセントレータがネットワーク上の IP アドレスのプロキシ ARP を実行している L3 配置

このシナリオでは、デバイスがネットワークに接続されている場合、ルータはデバイスの IP アドレスのプロキシ ARP を実行します。そうでない場合、デバイスがネットワークに接続されていないと、ルータはプロキシ ARP を実行しません。一般的に、VPN コンセントレータだけがこのように動作します。この場合、Clean Access Server サーバでパケットが検出されないと、CAM/CAS がユーザの ARP を実行しようとします。プロキシ ARP のためルータが CAS に応答すると、CAM/CAS はユーザをログアウトしません。そうでない場合、デバイスがネットワーク上になくなったためにルータが CAS に応答しないと、CAM/CAS はユーザをログアウトします。

ルータ/VPN コンセントレータがサブネット全体のプロキシ ARP を実行している L3 配置

このシナリオでは、個別デバイスの接続の有無に関係なくルータ/VPN コンセントレータはプロキシ ARP を実行します。この場合、ハートビート タイマーの動作は変更されず、CAM/CAS はユーザをログアウトしません。


) • ハートビート タイマーはアウトオブバンド ユーザには適用されません。

マルチホップ L3 VPN コンセントレータ統合構成で SSO(シングルサインオン)機能が設定されている場合、CAS でユーザのセッションがタイムアウトになっても、そのユーザがまだ VPN コンセントレータにログインしたままであれば、SSO によってそのユーザはユーザ名/パスワードを指定せずに CAS にログバックできます。


 

セッション タイマーとハートビート タイマーの相互作用

セッション タイマーがゼロに設定されていて、ハートビート タイマーが設定されていない場合、ユーザは Online Users リストから削除されず、再ログインを要求されません。

セッション タイマーがゼロに設定されていて、ハートビート タイマーが設定されている場合は、ハートビート タイマーが有効になります。

セッション タイマーがゼロ以外に設定されていて、ハートビート タイマーが設定されていない場合は、セッション タイマーが有効になります。

両方のタイマーが設定されている場合は、到達した最初のタイマーが最初にアクティブになります。

ユーザがログアウトしてマシンをシャットダウンすると、そのユーザは Online Users リストから削除され、再ログオンが必要となります。

DHCP リース時間がセッション タイムアウトより大幅に長い場合、DHCP リースは効果的に再利用されません。

詳細については、「アクティブ ユーザの意味」を参照してください。

セッション タイマーの設定(ユーザ ロール単位)

1. [User Management] > [User Roles] > [Schedule] > [Session Timer] の順番に進みます

図 9-11 セッション タイマー

 

2. タイムアウト値を設定するロールの横にある [Edit] ボタンをクリックします。

3. [Session Timeout] チェックボックスをオンにし、分単位で時間を入力します。設定した時間後にユーザ セッションはタイムアウトになります。タイムアウト クロックは、ユーザのアクティビティには関係なく、ユーザのログオン時に開始されます。セッション期限の経過後もネットワークの使用を続けるユーザは、ネットワークに再度ログインしなければなりません。

4. (任意)[Description] フィールドに、そのセッション時間制限の説明を入力します。

5. 完了したら、[Update] をクリックします。

ハートビート タイマー(ユーザ非アクティブ タイムアウト)の設定

1. [Schedule] タブで、[Heartbeat Timer] フォームを開きます。

図 9-12 ハートビート タイマー

 

2. [Enable Heartbeat Timer] チェックボックスをクリックします。

3. [Log Out Disconnected Users After] フィールドに、分単位で時間を設定します。接続試行によって到達できないユーザは、この時間が経過すると、ネットワークからログオフされます。

4. [Update] をクリックして設定値を保存します。

ネットワークからログオフされても、Certified Devices List からそのユーザが削除されるわけではありません。ただし、Certified Devices List から削除されたユーザは、ネットワークからもログオフされます。管理者は、ユーザを個別にネットワークから排除することも、一度にすべてのユーザのセッションを終了させることもできます。詳細については、「Certified Devices List」および「オンライン ユーザ リスト」を参照してください。


) Clean Access セッションベースの接続設定に基づいてクライアント マシンがシャットダウンされた場合、Clean Access Agent/Cisco NAC Web Agentは CAS にログアウト要求を送信しません。


Agent Temporary および Quarantine ロールのポリシーの設定

ここでは、次の場合に必要な一般的なトラフィック ポリシーおよびセッション タイムアウトの設定について説明します。

「Agent Temporary ロールの設定」

「ネットワーク スキャン Quarantine ロールの設定」

詳細については、 第 10 章「Clean Access の設定概要」 を参照してください。

Agent Temporary ロールの設定

システム チェックで不合格となったユーザは、Agent Temporary ロールに指定されます。このロールの目的は、Agent 要件に適合するために必要なリソースだけに、ユーザ アクセスを制限することです。

Quarantine ロールとは異なり、システムには 1 つの Agent Temporary ロール(Agent Temp ロール)だけを設定できます。このロールは全面的に変更することが可能であり、必要なインストレーション ファイルへのユーザ アクセスを許可するトラフィック制御ポリシーをすべてこのロールに集めることを目的としています。Temporary ロールが削除された場合、デフォルトの設定では Unauthenticated ロールが使用されます。Temporary ロールに使用されるロール名は(Agent のバージョンとともに)、[Device Management] > [Clean Access> Clean Access Agent] > [Distribution] に表示されます。

Temporary ロールには、セッション タイムアウトとトラフィック ポリシーの両方を設定する必要があります。Temporary ロールのデフォルト セッション タイムアウトは 4 分ですが、この値は、後述の方法で変更できます。Temporary および Quarantine のロールには、非信頼側から信頼側へのすべてのトラフィックをブロックするというトラフィック制御ポリシーがデフォルトで設定されています。重要なのは、ユーザがログインを試行する Normal Login ロールに必要条件(必要なパッケージ)を関連付ける場合、クライアントは Temporary ロールの間にその条件を満たさなければならないという点です。したがって、クライアントがダウンロード サイトで、必要なすべてのソフトウェア インストール ファイルにアクセスできるように、Temporary ロールにトラフィック制御ポリシーを追加する必要があります。

第 12 章「エージェント要件の設定」 に、Agent 要件の詳細が説明してあります。また、「ユーザ ロールのタイプ」も参照してください。

Temporary ロールのセッション タイムアウトの設定

1. [User Management] > [User Roles> Schedule] の順番に進みます。

2. [Session Timer] リストが表示されます。

図 9-13 [Schedule] タブ

 

3. Temporary ロールの [Edit] ボタンをクリックします。

4. Temporary ロールの [Session Timer] フォームが表示されます(図 9-14)。

図 9-14 セッション タイマー - Temporary ロール

 

5. [Session Timeout] チェックボックスをオンにします。

6. ユーザ セッションの持続時間を分単位で入力します(デフォルトは 4 分)。システムのパッチや設定のために必要なファイルをユーザがダウンロードできるように適切な値を選択してください。

7. (任意)[Description] に、そのセッション タイムアウト条件の説明を入力します。

8. [Update]をクリックします。[Session Timer] リストに、Temporary ロールの新しい時間が表示されます。

Temporary ロールのトラフィック制御ポリシーの設定

1. [User Management] > [User Roles] から、[Traffic Control] タブをクリックします。デフォルトでは、[IP] トラフィック ポリシーのリストが表示されます。

2. ロールのドロップダウン メニューから [Temporary Role] を選択し、[Untrusted->Trusted] の方向はそのままにして、[Select] をクリックします。これによって、Temporary ロールのすべての IP ポリシーが表示されます。

図 9-15 IP トラフィック ポリシー - Temporary ロール

 

3. IP ポリシーを設定する場合は、Temporary ロールの横の [Add Policy] リンクをクリックします。たとえば、必要なソフトウェア インストール ファイルを(CAM にあるファイルのファイル配信要件などを通じて)提供する場合は、非信頼側から信頼側への IP ベースのトラフィック ポリシーとして、Temporary ロールに、CAM のポート 80(HTTP)(10.201.240.11 /255.255.255.255:80 など)へのアクセスを許可するようなポリシーを設定します。ユーザが他の外部 Web ページやサーバを使用してシステムを修正できるようにする場合は、それらの Web リソースへのアクセスを許可するポリシーを設定します。[Add Policy] ページについての詳細は、「IP ベースのポリシーの追加」を参照してください。

4. ホスト ベースのポリシーを設定する場合は、[Traffic Control] タブの上部にある [Host] リンクをクリックします。次の各項の説明に従って、インストール ファイルが置かれているサーバにアクセスできるように、ホストベースのトラフィック ポリシーを設定してください。

「デフォルト許可ホストのイネーブル設定」

「許可ホストの追加」

「デフォルト ロール用のトラフィック ポリシーの追加」

ネットワーク スキャン Quarantine ロールの設定

ネットワーク スキャンの設定に関する詳細は、 第 14 章「ネットワーク スキャンの設定」 を参照してください。

Clean Access は、クライアント システムに重大な脆弱性を発見すると、そのユーザを Quarantine ロールに指定します。このロールは、マシンを修正するためにユーザに一時的なネットワーク アクセス権を与えることを目的としたメカニズムです。脆弱なユーザの隔離は、任意設定の機能です。隔離の代わりに、ユーザのアクセスをブロックしたり、ユーザに警告を与える方法もあります。ユーザを隔離しない場合は、次の手順を飛ばして次に進んでください。

Quarantine ロールの追加作成

システムには、あらかじめセッション タイムアウトが 4 分に設定され、トラフィック ポリシーの設定だけを必要とするデフォルト Quarantine ロールが 1 つあります。複数の Quarantine ロールを使用する場合は、次の手順に従って、追加の Quarantine ロールを作成してください。

1. [User Management] > [User Roles] > [New Role] の順番に進みます。

2. そのロールの [Role Name] と [Role Description] を入力します。Quarantine ロールを特定のログイン ロールに関連付ける場合は、新しい名前として、そのログイン ロールと隔離タイプを表す名前を付けると判別しやすくなります。たとえば、その Quarantine ロールを 「 R1 」というログイン ロールに関連付ける場合は、「R1-Quarantine」といった名前にします。

3. [Role Type] リストで、[Quarantine Role] を選択します。

4. 必要に応じて、ロールのその他の設定値を入力します。名前、説明、ロール タイプ以外のロール設定値はデフォルトの値のままにしておいてもかまいません (詳細については、「新しいロールの追加」を参照してください)。

5. [Create Role] ボタンをクリックします。[List of Roles] タブにこのロールが表示されます。

Quarantine ロールのセッション タイムアウトの設定

システムにはあらかじめ、セッション タイムアウトが 4 分に設定されたデフォルトの Quarantine ロールが 1 つあります。ロールのセッション タイムアウトは、次の手順で設定します。

1. [User Management] > [User Roles] > [Schedule] > [Session Timer] の順番に進みます。

2. 該当する Quarantine ロールの横にある [Edit] ボタンをクリックします。

3. その Quarantine ロールの [Session Timer] フォームが表示されます。

図 9-16 セッション タイマー - Quaratine ロール

 

4. [Session Timeout] チェックボックスをクリックします。

5. ユーザ セッションの持続時間を分単位で入力します。ユーザがシステムを修正するために必要なファイルをダウンロードするのに十分な時間を選択します。

6. (任意)[Description] に、そのセッション タイムアウト条件の説明を入力します。

7. [Update] をクリックします。[List of Roles] タブのそのロールの横の [Session Timeout] カラムに新しい値が表示されます。

これらのパラメータを比較的小さい値に設定すると、ネットワークをログアウトせずにコンピュータを再起動したユーザを CAS が検出/切断しやすくなります。ここに入力したセッション タイマーの値は、スキャンや必要なソフトウェアのダウンロードをテストしたうえで、さらに適切な値に変更しなければならない場合もあります。


) 接続チェックは ARP メッセージで実行されるので、トラフィック制御ポリシーによってクライアントへの ICMP トラフィックがブロックされていても、ハートビート チェックは機能します。


Quarantine ロールのトラフィック制御ポリシーの設定

1. [User Management] > [User Roles] > [List of Roles] から、そのロールの横にある [Policies] ボタンをクリックします(または [Traffic Control] タブをクリックして、ドロップダウン メニューから Quarantine ロールを選択し、[Select] をクリックする方法もあります)。

2. ロールのドロップダウン メニューから [Quarantine Role] を選択し、[Untrusted->Trusted] の方向はそのままにして、[Select] をクリックします。これによって、その Quarantine ロールのすべての IP ポリシーが表示されます。

3. [IP] ポリシーを設定する場合は、その Quarantine ロールの横の [Add Policy] リンクをクリックします。

図 9-17 Add Policy - Quarantine ロール

 

4. 「IP ベースのポリシーの追加」の手順に従って、各フィールドを設定します。

必要なソフトウェア インストール ファイルを CAM から(ネットワーク スキャンの Vulnerabilities ページなどを通じて)提供する場合は、非信頼側から信頼側への IP ベースのトラフィック ポリシーとして、その Quarantine ロールに、CAM のポート 80(HTTP)(10.201.240.11 /255.255.255.255:80 など)へのアクセスを許可するようなポリシーを設定します。

ユーザが他の外部 Web ページやサーバを使用してシステムを修正できるようにする場合は、それらの Web リソースへのアクセスを許可するポリシーを設定します。「デフォルト ロール用のトラフィック ポリシーの追加」も参照してください。

5. ホスト ポリシーを設定する場合は、[Traffic Control] タブの上部にあるその Quarantine ロールの [Host] リンクをクリックします。 次の各項の説明に従って、インストール ファイルが置かれているサーバにアクセスできるように、ホストベースのトラフィック ポリシーを設定してください。

「デフォルト許可ホストのイネーブル設定」

「許可ホストの追加」

「デフォルト ロール用のトラフィック ポリシーの追加」

Quarantine ロールを設定したら、その Quarantine ロールをユーザに適用できます。[General Setup] タブの [Block/Quarantine users with vulnerabilities in role] オプションでユーザの Quarantine ロールとしてそのロールを選択します。詳細については、「General Setup の概要」を参照してください。

Quarantine ロールの設定が完了したら、「Clean Access Manager のリポジトリへの Nessus プラグインのロード」の説明に従って、スキャン プラグインをロードします。

トラフィック ポリシーの例

ここでは、次の項目について説明します。

「Windows ドメイン認証用の認証サーバ トラフィックの許可」

「ローカル サーバでの企業向け AV 更新用トラフィックの許可」

「ゲーム ポートの許可」

「デフォルト ロール用のトラフィック ポリシーの追加」

Windows ドメイン認証用の認証サーバ トラフィックの許可

ネットワーク上のユーザが Cisco NAC アプライアンスで認証を受ける前に、Windows ドメインの認証を受けることができるようにする場合は、次に示す最低限のポリシーによって、Unauthenticated ロールのユーザが AD(NTLM)ログイン サーバにアクセスできるようにします。

Allow TCP *:* Server/255.255.255.255: 88

Allow UDP *:* Server/255.255.255.255: 88

Allow TCP *:* Server/255.255.255.255: 389

Allow UDP *:* Server/255.255.255.255: 389

Allow TCP *:* Server/255.255.255.255: 445

Allow UDP *:* Server/255.255.255.255: 445

Allow TCP *:* Server/255.255.255.255: 135

Allow UDP *:* Server/255.255.255.255: 135

Allow TCP *:* Server/255.255.255.255: 3268

Allow UDP *:* Server/255.255.255.255: 3268

Allow TCP *:* Server/255.255.255.255: 139

Allow TCP *:* Server/255.255.255.255: 1025

ローカル サーバでの企業向け AV 更新用トラフィックの許可

Trend Micro OfficeScan などの企業向けアンチウイルス製品の定義の更新を許可するには、自動 AV 定義更新用のローカル サーバへのアクセスを許可するように Tenporary ロールを設定する必要があります。

Trend Micro OfficeScan の場合、Temporary ロール ポリシーは、AutoPccP.exe によるローカル サーバへのアクセスを許可する必要があります。Agent が Trend クライアントをローカルに呼び出し、次に Trend クライアントが(TrendMicro の設定に従って)(¥¥<trendserverip¥ofcscan¥Autopccp.exe にある)共有ドライブまたは HTTP を通じて AutoPccP.exe ファイルを実行して AV パッチをダウンロードします。

ゲーム ポートの許可

Microsoft Xbox Live などのゲーム サービスを許可する場合は、ゲーム ユーザ ロールを作成し、そのデバイスの MAC アドレスのフィルタを追加して([Device Management] > [Filters] > [Devices] > [New])、作成したゲーム ロールをそのデバイスに割り当てることをシスコでは推奨しています。このようにすれば、そのゲーム ロールのトラフィック ポリシーを作成し、ゲーム ポートのトラフィックを許可できます。

Microsoft Xbox

次に示すのは、Microsoft Xbox ポートのアクセスを許可するポリシーの推奨例です。

Kerberos-Sec (UDP); Port 88; UDP; Send Receive

DNS Query (UDP); Port 53; Send 3074 over UDP/tcp

Game Server Port(TCP):22042

Voice Chat Port(TCP/UDP):22043 ~ 22050

Peer Ping Port(UDP):

Peer Query Port(UDP):

その他のゲーム ポート

表 9-1 に、その他のゲーム ポート(PlayStation など)へのアクセスを許可する推奨ポリシーをまとめます。

 

表 9-1 その他のゲーム ポート用のトラフィック ポリシー 1

プロトコル ポート
プロトコル

2300 ~ 2400

UDP

4000

TCP、UDP

4000

TCP、UDP

80

TCP

2300

UDP

6073

UDP

2302 ~ 2400

UDP

33334

UDP

33335

TCP

6667

TCP

3783

TCP

27900

TCP

28900

TCP

29900

TCP

29901

TCP

27015

TCP

各クライアントに 2213 + 1(第 1 コンピュータは 2213、第 2 コンピュータは 2214、第 3 コンピュータは 2215 など)

TCP

6073

TCP

2302 ~ 2400

UDP

27999

TCP

28000

TCP

28805 ~ 28808

TCP

9999

TCP

47624

TCP

2300 ~ 2400

TCP

2300 ~ 2400

UDP

6073

UDP

2302 ~ 2400

UDP

47624

TCP

2300 ~ 2400

TCP

2300 ~ 2400

UDP

5120 ~ 5300

UDP

6500

UDP

27900

UDP

28900

UDP

3782

TCP

3782

UDP

27910

TCP、UDP

6073

UDP

2302 ~ 2400

UDP

47624

TCP

2300 ~ 2400

TCP

2300 ~ 2400

UDP

4000

TCP

7777

TCP、UDP

4000

TCP

27015 ~ 27020

TCP

6667

TCP

28800 ~ 29000

TCP

1.http://www.us.playstation.com/support.aspx?id=installation/networkadaptor/415013907.html で提供されている情報も参照してください。

詳細は、次の項目を参照してください。

「デバイス フィルタとゲーム ポート」

http://www.cisco.com/warp/customer/707/ca-mgr-faq2.html#q16

「新しいロールの追加」

 

デフォルト ロール用のトラフィック ポリシーの追加

次の説明に従って、デフォルト ロール(Unauthenticated、Temporary、Quarantine)に非信頼側から信頼側へのトラフィック ポリシーを作成することにより、任意のリソースへのユーザ アクセスを許可できます。

Unauthenticated ロール

CAM または外部 URL 上のロゴやファイルを参照するように Web ログイン ページをカスタマイズする場合は、Unauthenticated ロールに対して、CAM または外部サーバへの HTTP(ポート 80)アクセスを許可するような IP ポリシーを作成します(「リソース ファイルのアップロード」および「右フレームのコンテンツの作成」も参照してください)。

Agent Temporary ロール

企業向けアンチウイルス製品の定義アップデートを提供する場合、Clean Access Agent がライブ アップデートをトリガできるようにローカル アップデート サーバへのアクセスを許可します(「ローカル サーバでの企業向け AV 更新用トラフィックの許可」を参照)。


) Cisco NAC Web Agent は自動修正をサポートしていないので、これが適用されるのは Clean Access Agent だけです。


CAM から(File Distribution などを通じて)必要なソフトウェア パッケージを提供する場合は、Temporary ロールに対して、CAM のポート 80(HTTP)へのアクセスを許可するような IP ポリシーを作成します。必ず、CAM へのアクセスだけを許可するような IP アドレス/サブネット マスク(10.201.240.11/255.255.255.255:80 など)を指定してください。

デフォルトのホスト ポリシーおよび信頼 DNS サーバをイネーブルにするか、または更新サイトへのユーザ アクセスを許可するような新しい許可ホスト ポリシーを作成します(「デフォルト許可ホストのイネーブル設定」を参照)。

Temporary ロールのユーザが外部 Web ページまたはサーバにアクセスできるようにするために、任意のトラフィック ポリシーを追加し、設定します(たとえば、「Agent ユーザ用の Network Policy ページ(AUP)の設定」を参照してください)。

Quarantine ロール

CAM から(ネットワーク スキャンの Vulnerabilities ページなどを通じて)必要なソフトウェア パッケージを提供する場合は、Quarantine ロールに対して、CAM のポート 80(HTTP)へのアクセスを許可するような IP ポリシーを作成します。必ず、CAM へのアクセスだけを許可するような IP アドレス/サブネット マスク(10.201.240.11/255.255.255.255:80 など)を指定してください。

デフォルトのホスト ポリシーおよび信頼 DNS サーバをイネーブルにするか、または更新サイトへのユーザ アクセスを許可するような新しい許可ホスト ポリシーを作成します(「デフォルト許可ホストのイネーブル設定」を参照)。

Quarantine ロールのユーザが修復のために外部 Web ページまたはサーバにアクセスできるようにするために、任意のトラフィック ポリシーを追加し、設定します。

表 9-2 に、リソース、ロール、システム ロールのトラフィック ポリシーの例をまとめて示します。

 

表 9-2 各ロールの一般的なトラフィック ポリシー

リソース
ロール
ポリシーの例(非信頼側から信頼側へ)
IP ベースのトラフィック ポリシー

ログイン ページのロゴ/右側のフレームのコンテンツ(logo.jpg、file.htm)

Unauthenticated

IP (CAM または外部サーバ上のファイル) :

TCP *.* <CAM_IP_address または external_server_IP_address> / 255.255.255.255: http(80)を許可

ユーザ同意ページ(UAP.htm)

アクセス ブロック後のリダイレクト URL(block.htm)(任意)

ネットワーク ポリシー ページ(AUP.htm)

Temporary

ファイル配布条件ファイル(Setup.exe)

脆弱性レポート ファイル(fixsteps.htm、stinger.exe)

Quarantine

ホスト ベースのトラフィック ポリシー

信頼 DNS サーバのイネーブル設定

ホスト ポリシーを使用するすべてのロール

Trusted DNS Server: e.g. 63.93.96.20、または * (任意の DNS サーバ)

リンク配布条件(外部 Web サイト)

Temporary

Default Host: windowsupdate.com、または

Custom Host: database.clamav.net(同等)

脆弱性レポート(外部 Web サイトへのリンク)

Quarantine

その他

その環境でのプロキシ サーバ

プロキシを通じたアクセスを使用するあらゆるロール

IP: <proxy_IP_address> /255.255.255.255:http(80)

Host: proxy-server.com (equals)

フル ネットワーク アクセス

Normal Login ロール

Allow ALL TRAFFIC * /*

詳細は、次の項目を参照してください。

「リソース ファイルのアップロード」

「右フレームのコンテンツの作成」

「ユーザ ページの概要」は、Web コンソール内のユーザ ページ/設定位置のリストです。

「File Distribution /Link Distribution / Local Check 要件の作成」

「脆弱性の処理の設定」

図 9-18 ファイル配布条件用のトラフィック ポリシーの例(CAM 内のファイル)

 

ホストベースのポリシーに関するトラブルシューティング

ホストベースのポリシーの場合、トラフィックを許可するためには、CAS が DNS 応答を認識できなければなりません。ホストベースのポリシーに問題が生じた場合は、次の事項を確認してください。

許可ホストがイネーブルに設定されていること。

追跡する DNS サーバのリストに DNS サーバが正しく追加されていること(あらゆる DNS サーバを追跡する場合はアスタリスク(「*」)を追加することもできます)。

DNS サーバが CAS の信頼側インターフェイス上にあること。DNS サーバが CAS の非信頼側にあると、CAS は DNS トラフィックを認識しません。

DNS 応答トラフィックが CAS を通過すること。たとえば、戻りトラフィック(つまり信頼側から非信頼側へのトラフィック)の代替ルート(トラフィックが CAS を通じて送出されるのに CAS を通じて戻らないようなルート)がないことを確認します。これは、Unauthenticated または Temporary ロールの信頼側から非信頼側への方向に、「Block ALL」ポリシーを追加することによってテストできます。このようなポリシーを追加しても DNS が成功するようなら、代替パスがあると判断できます。

クライアントに表示されている DNS サーバが正しいこと。

そのクライアントのプロキシの設定値が正しいこと(プロキシの設定が必要な場合)。

[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filters] > [Roles] > [Allowed Hosts] > [View Current IP Address List] で、ホストベースのポリシーで追跡されている現行の IP のリストを確認する。このリストが空の場合、ユーザにはセキュリティ メッセージが表示されます。