Cisco NAC Appliance - Clean Access Server インストレーション コンフィギュレーション ガイド
はじめに
はじめに
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

はじめに

Cisco NAC アプライアンスとは

Cisco NAC アプライアンスのコンポーネント

CAS の機能

インストール要件

製品ライセンスおよびサービス契約のサポート

ソフトウェアのアップグレード

Cisco NAC アプライアンスのハードウェア プラットフォーム

重要なリリース情報

CAS 管理ページの概要

グローバルおよび ローカルの管理設定値

設定値のプライオリティ

はじめに

この章では、Cisco NAC アプライアンス ソリューションの概要について説明します。この章の内容は、次のとおりです。

「Cisco NAC アプライアンスとは」

「Cisco NAC アプライアンスのコンポーネント」

「CAS の機能」

「インストール要件」

「CAS 管理ページの概要」

「グローバルおよび ローカルの管理設定値」

Cisco NAC アプライアンスとは

Cisco Network Admission Control(NAC)アプライアンス(Cisco Clean Access と呼ぶこともあります)は、使いやすく強力なアドミッション コントロールおよび準拠性強制ソリューションです。包括的なセキュリティ機能、インバンドまたはアウトオブバンドの導入オプション、ユーザ認証ツール、帯域およびトラフィックのフィルタリング制御機能を備え、高度なネットワーク制御とセキュリティを実現します。NAC アプライアンス(Cisco Clean Access)は、ネットワークの集中アクセス管理ポイントとして、セキュリティ、アクセス、準拠性のポリシーを一箇所で管理できるので、ネットワークを通じて多くのデバイスにポリシーを伝播する必要はありません。

Cisco NAC アプライアンスには、ユーザ認証、ポリシーベースのトラフィック フィルタリング、Clean Access 脆弱性評価、修復(ポスチャ評価)などのセキュリティ機能があります。Clean Access は、ウィルスやワームをネットワークのエッジで食い止めます。また、リモート システムやローカル システムの検査によって、指定条件を満たしていないユーザ デバイスは、ネットワークにアクセスできないようにします。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)の Web コンソールから管理し、Clean Access Server(CAS)およびオプションの Clean Access Agent または Cisco NAC Web Agent を通じて実行する統合ネットワーク ソリューションです。NAC アプライアンス ソフトウェアはネットワークの必要性に応じ、最適な設定で導入できます。CAS は、単純なルーティング機能、高度な DHCP サービス、およびその他のサービスを提供するエッジ デバイスの第 1 ホップ ゲートウェイとして導入できます。ネットワーク内の要素がすでにこのサービスを提供している場合は、Bump-In-The-Wire(BITW)方式で導入することにより、既存のネットワークを変更せずに、これらの要素と CAS を共存させることが可能です。

その他にも、Cisco NAC アプライアンスには、次のような機能があります。

標準ベースのアーキテクチャ:HTTP、HTTPS、XML、Java Management Extensions(JMX)を使用できます。

ユーザ認証:Kerberos、LDAP、RADIUS、Windows NT ドメインなど、既存のバックエンド認証サーバと統合できます。

VPN コンセントレータとの統合:Cisco VPN コンセントレータ(VPN 3000、ASA など)と統合し、Single Sign-On(SSO; シングルサインオン)を実現できます。

Clean Access 準拠性ポリシー:Clean Access Agent や Cisco NAC Web Agent または Nessus ベースのネットワーク ポート スキャンによるクライアントの脆弱性評価および修復の設定が可能です。

L2 または L3 導入オプション:CAS は、ユーザの L2 近接内、またはユーザから複数ホップ離して導入することもできます。1 つの CAS を L3 と L2 の両方のユーザに使用できます。

インバンド(IB)またはアウトオブバンド(OOB)の導入オプション:Cisco NAC アプライアンスはユーザ トラフィックが常に通過するように導入することもできますし、またアウトオブバンド構成にして、クライアントは認証(ポスチャ評価)後 Clean Access ネットワークを迂回し、脆弱性評価と修復時にだけ Clean Access ネットワークを通過するように導入することもできます。

 

トラフィック フィルタリング ポリシー:ロール ベース IP およびホスト ベース ポリシーによって、インバンド ネットワーク トラフィックを細かく柔軟に制御できます。

帯域幅管理制御:ダウンロードまたはアップロードの帯域幅を制限します。

ハイ アベイラビリティ:アクティブまたはパッシブのフェールオーバー(サーバが 2 つ必要)によって不測のシャットダウンが発生しても確実にサービスを継続できます。CAM サーバと CAS サーバの両方またはいずれかのペアをハイ アベイラビリティ モードに設定できます。


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に実装された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていません。


Cisco NAC アプライアンスのコンポーネント

Cisco NAC アプライアンスは、CAM の Web コンソールから管理し、CAS およびオプションの Clean Access Agent や Cisco NAC Web Agent を通じて実行する統合ネットワーク ソリューションです。Cisco NAC アプライアンスは、クライアント システムの検査、ネットワーク要求の強制、パッチやアンチウィルス ソフトウェアの配布を実行するとともに、脆弱なクライアントや感染したクライアントをネットワーク アクセス前に隔離し、修復します。Cisco NAC アプライアンスは、次のコンポーネントで構成されています(図 2-1 を参照)。

Clean Access Manager(CAM):Clean Access 用の管理サーバ。CAM のセキュアな Web コンソールを通じ、一箇所で最大 20 の CAS を管理できます(Super CAM の場合は最大 40 の CAS)。アウトオブバンドの場合は、Web 管理コンソールから SNMP を使用してスイッチの制御やユーザ ポートの VLAN 割り当てを実行できます。


) CAM Web 管理コンソールには、Internet Explorer 6.0 以上、および高度暗号化(64 ビットまたは 128 ビット)を必要とします。高度暗号化はクライアント ブラウザの Web ログインおよび Clean Access Agent または Cisco NAC Web Agent の認証にも必要です。


Clean Access Server (CAS):非信頼(管理対象の)ネットワークと信頼ネットワークの間の強制サーバ。CAS は、ネットワーク アクセス権限、認証要件、帯域幅の制限、Clean Access システムの要件など、ユーザが CAM Web 管理コンソールで定義したポリシーを強制します。

CAS はスタンドアロン アプライアンス(Cisco NAC-3300 シリーズのように)に設置するか、Cisco ISR シャーシ内のネットワーク モジュール(Cisco NME-NAC-K9)として設置でき、インバンド(常にユーザ トラフィックが通過)またはアウトオブバンド(認証またはポスチャ評価時だけユーザ トラフィックが通過)で導入できます。また、レイヤ 2 モード(ユーザは CAS と L2 隣接)、またはレイヤ 3 モード(ユーザは CAS から L3 で複数ホップ離れている)で導入することもできます。

さまざまなネットワーク セグメントの要件に合わせて、各種のサイズと容量の CAS を複数導入することもできます。Cisco NAC-3300 シリーズ アプライアンスを企業の本社に設置して数千のユーザを処理すると当時に、1 台以上の Cisco NAC ネットワーク モジュールを ISR プラットフォームに設置して、出張所などの少数のユーザ グループを収容するといったことができます。

Clean Access Agent(CAA):Windows クライアントに常駐するオプションの読み取り専用エージェント。CAAは、アプリケーション、ファイル、サービス、またはレジストリ キーを検査し、ネットワークへのアクセス権を付与する前に、指定されたネットワーク条件およびソフトウェア条件にクライアントが適合しているかどうか確認します。


) CAA の脆弱性評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼動していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


Cisco NAC Web Agent:Cisco NAC Web Agent は、クライアント マシンの一時的な脆弱性評価を行います。ユーザが Cisco NAC Web Agent の実行ファイルを起動すると、ActiveX コントロールまたは Java アプレットを通じて、Web Agent のファイルがクライアント マシン上の一時ディレクトリにインストールされます。ユーザが Web Agent セッションを終了すると、Web Agent はユーザをネットワークからログオフし、ユーザ ID が Online Users リストから削除されます。

Clean Access Policy Updates:事前に作成されたひとまとまりのポリシーまたはルールの定期更新ツール。これらのポリシーまたはルールは、OS(オペレーティング システム)、AV(アンチウィルス)、AS(アンチスパイウェア)、およびその他のクライアント ソフトウェアの最新の状態を検査するために使用されます。24 の AV ベンダーおよび 17 の AS ベンダーに対するビルトイン サポートを提供しています。

図 2-1 Cisco NAC アプライアンスの導入(L2 インバンドの例)

 

CAS の機能

次に、CAS の主な機能および利点を示します。

インバンドおよびアウトオブバンドでの導入

レイヤ 2 またはレイヤ 3 の配置

Cisco VPN コンセントレータとの統合

セキュアなユーザ認証

Clean Access ネットワーク ベースおよびエージェントベースのスキャンと修復

ロールベース アクセス コントロール

信頼できない(管理対象)クライアントの DHCP アドレス割り当て、または DHCP リレーまたはパススルー モード

Network Address Translation(NAT; ネットワーク アドレス変換)サービス、およびダイナミックまたは 1:1 NAT のサポート(非運用環境のみ)

帯域幅管理

イベント ロギングおよびレポート サービス

VLAN(仮想 LAN)のサポート。CAS を VLAN 終端ポイントに設定したり、VLAN をパススルーさせたり、VLAN ベース アクセス制御を実行することができます。

ほとんどのネットワーク アーキテクチャに CAS を統合できるようにする柔軟な導入オプション

ハイ アベイラビリティ:アクティブまたはパッシブのフェールオーバー(サーバが 2 つ必要)によって不測のシャットダウンが発生しても確実にサービスを継続できます。CAM サーバと CAS サーバの両方またはいずれかのペアをハイ アベイラビリティ モードに設定できます。


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に実装された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていません。


インストール要件

ここでは、次の内容について説明します。

製品ライセンスおよびサービス契約のサポート

ソフトウェアのアップグレード

Cisco NAC アプライアンスのハードウェア プラットフォーム

重要なリリース情報

製品ライセンスおよびサービス契約のサポート


Cisco NAC アプライアンスの製品ライセンスの取得とインストールおよびサービス契約サポートの取得方法についての詳細は、『Cisco NAC Appliance Service Contract / Licensing Support』を参照してください。


ソフトウェアのアップグレード

ご使用の CAM または CAS を最新のソフトウェア リリースにアップグレードする方法については、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) )』の「Upgrading to 4.5」を参照してください。

Cisco NAC アプライアンスのハードウェア プラットフォーム

Cisco NAC アプライアンス リリース 4.5 から、Cisco NAC アプライアンス ソフトウェアは次の Cisco NAC アプライアンス プラットフォームだけをサポートし、これらのプラットフォームにだけインストールできます。

Cisco CCA-3140

Cisco NAC-3310

Cisco NAC-3350

Cisco NAC-3390

Cisco NAC ネットワーク モジュール(NME-NAC-K9)


) リリース 4.5 のハードウェア互換性情報の詳細については、『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください。


Cisco NAC アプライアンス 3300 シリーズは、CAM(MANAGER)または CAS(SERVER)のいずれかのアプリケーション、オペレーティング システム、およびすべての関連コンポーネントが専用サーバ マシンにあらかじめインストールされた Linux ベースのネットワーク ハードウェア アプライアンスです。

Cisco NAC ネットワーク モジュールは、Cisco 2800 および 3800 シリーズ ISR シャーシに設置可能な CAS であり、ハイ アベイラビリティをサポートしていないことを除き、スタンドアロンの CAS アプライアンスと同じ機能をすべて備えています。


) Cisco NAC ネットワーク モジュールの詳細は、『Getting Started with NAC Network Modules in Cisco Access Routers』および『Installing Cisco Network Modules in Cisco Access Routers』を参照してください。


Cisco NAC アプライアンスのオペレーティング システムには、Fedora Core に基づく強化 Linux カーネルが組み込まれていいます。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンに他のパッケージやアプリケーションをインストールできません。


) Cisco NAC アプライアンス 3100 シリーズには、Cisco Clean Access 3140(CCA-3140-H1)NAC アプライアンス(EOL)が含まれています。CCA-3140-H1 には、Clean Access Server または Clean Access Manager のソフトウェアを CD からインストールする必要があります。


Cisco NAC アプライアンス 3300 シリーズ アプライアンスの詳細は、『 Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.5 』を参照してください。

重要なリリース情報

4.5 ソフトウェア リリースの追加情報および最新情報については、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』を参照してください。

CAS 管理ページの概要

CAS を Web 管理コンソールから管理できるようにするためには、その CAS を CAM ドメインに追加する必要があります。手順については、「CAM への CAS の追加」を参照してください。ドメインに追加した CAS に管理コンソールからアクセスするには、次のようにします。このマニュアルで CAS 管理ページ と記述されている場合、以下に示されている一連のページ、タブ、フォームを表します。

1. [Device Management] モジュールの [CCA Servers] リンクをクリックします。デフォルトでは、[List of Servers] タブが表示されます。

図 2-2 [Device Management] > [CCA Servers] > [List of Servers]

 

2. アクセスする CAS の [Manage] ボタンをクリックします。


) ハイ アベイラビリティ構成の CAS では、最初にサービス IP が自動的に表示され、現在アクティブな CAS の IP アドレスがカッコ内に表示されます。


3. 図 2-3 に、CAS 管理ページを示します。デフォルトでは、[Status] タブが表示されます。

図 2-3 CAS 管理ページ

 

グローバルおよび ローカルの管理設定値

CAM の Web 管理コンソールには、次のような種類の設定値があります。

CAM 管理設定値 は、CAM だけに関連する設定値です。これらには、IP アドレスとホスト名、SSL 証明書情報、ハイ アベイラビリティ(フェールオーバー)の設定値などがあります。

グローバル管理設定値 は、CAM で設定され、CAM から すべての CAS に適用されます。これには、認証サーバ情報、グローバル デバイスおよびサブネット フィルタ ポリシー、ユーザ ロール、Cisco Clean Access コンフィギュレーションなどがあります。

ローカル管理設定値 は、該当する管理コンソールの CAS 管理ページで設定され、その CAS だけに適用されます。これには、CAS ネットワークの設定値、SSL 証明書、VPN コンセントレータの統合、DHCP および 1:1 NAT コンフィギュレーション、IPSec キー変更、ローカル トラフィック制御ポリシー、ローカル デバイスおよびサブネット フィルタ ポリシーなどがあります。

設定値のグローバルまたはローカルの範囲は、図 2-4 のように、Web 管理コンソールの [Clean Access Server] カラムに表示されます。

図 2-4 設定値の範囲

 

GLOBAL :CAM Web 管理コンソールからグローバル形式で作成されたエントリです。この CAM のドメイン内のすべての CAS に適用されます。

<IP アドレス> :CAS 管理ページからローカル形式で作成されたエントリです。この IP アドレスを持つ CAS だけに適用されます。

ほとんどの場合、グローバル設定は、設定を作成するために使用されるグローバル フォームから追加、編集、および削除されます。ローカル設定は、設定を作成するために使用されるローカル フォームから追加、編集、および削除されます。

一部のページには、わかりやすいようにグローバル設定値(GLOBAL で表記)、およびローカル設定値(IP アドレスで表記)も表示されています。通常、これらのローカル設定値はグローバル ページで修正したり削除することができますが、ローカル設定値の 追加 は、特定の CAS 用のローカル CAS 管理ページからしか実行できません。

設定値のプライオリティ

多くの場合、1 つの CAS に、グローバル設定値(すべての CAS 用に CAM で設定された値)とローカル設定値(CAS 固有の値)が両方あります。グローバルとローカルの設定値が競合する場合は、一般にローカル設定値がグローバル設定値よりも優先されます。以下の点に留意してください。

ある 範囲 の MAC アドレスおよびトラフィック制御ポリシーに影響を与えるデバイス フィルタ ポリシーでは、ポリシーのプライオリティ([Device Management] > [Filters] > [Devices] > [Order] での高低)により、適用するグローバル ポリシーまたはローカル ポリシーが決まります。個別の MAC アドレスに対するデバイス フィルタ ポリシーは、個別の MAC アドレスを含むある 範囲 のアドレスに対するフィルタ ポリシー(グローバルまたはローカル)よりも優先されます。

1 つのサブネット フィルタがより広いサブネット フィルタ内のアドレス範囲のサブセットを指定しているサブネット フィルタ ポリシーでは、サブネット アドレス範囲の大きさに基づいて CAM がフィルタのプライオリティを決定します。サブネットが小さいほど(サブネット マスク /30 や /28 など)、サブネット フィルタ階層内の優先度が高くなります。

一部の機能は、CAM で設定する前に、まず CAS で(CAS 管理ページで)イネーブルにしなければなりません。たとえば、次のような機能が該当します。

Clean Access Agent および Cisco NAC Web Agent のレイヤ 3 サポート(マルチホップ L3 配置の場合)

帯域幅管理

ユーザ ロール内のユーザと CAS の間での VPN ポリシーの使用

Clean Access の要件およびネットワーク スキャン プラグインは、CAM からグローバルとして設定され、すべての CAS に適用されます。