Cisco NAC アプライアンス - Clean Access Manager コンフィギュレーション ガイド
はじめに
はじめに
発行日;2012/02/01 | 英語版ドキュメント(2011/10/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

はじめに

Cisco NAC アプライアンスとは

Cisco NAC アプライアンス ネットワークにおける FIPS の準拠

Cisco NAC アプライアンス コンポーネント

Clean Access Manager(CAM)

Clean Access Server(CAS)

Cisco NAC アプライアンス Agent

Cisco NAC アプライアンスのアップデート

クライアント ログインの概要

Agent ログイン

Web ログイン

クライアント ポスチャ評価の概要

クライアント ポスチャ評価を設定する手順の概要

Cisco NAC アプライアンス Agent

Cisco NAC Agent

Cisco NAC Web Agent

Mac OS X Agent

Clean Access Agent

ネットワーク スキャナ

ユーザの管理

Web 管理コンソールの要素の概要

Clean Access Server(CAS)管理ページ

管理コンソールの要約

Cisco NAC アプライアンスとは

Cisco Network Admission Control(NAC)アプライアンス(以前の Cisco Clean Access)は、使いやすく強力なアドミッション コントロールおよび適合性強制ソリューションです。包括的なセキュリティ機能、インバンドまたはアウトオブバンドの配置オプション、ユーザ認証ツール、帯域およびトラフィックのフィルタリング制御機能を備えた Cisco NAC アプライアンスは、ネットワークを制御して保護するための完全なソリューションです。Cisco NAC アプライアンスは、ネットワークの集中アクセス管理ポイントとして、セキュリティ、アクセス、適合性のポリシーを一箇所で導入できるため、ネットワークを通じて多くのデバイスにポリシーを伝播する必要はありません。

Cisco NAC アプライアンスには、ユーザ認証、ポリシーベースのトラフィック フィルタリング、クライアント ポスチャ評価、修復などのセキュリティ機能があります。Cisco NAC アプライアンスは、ウイルスやワームをネットワーク エッジで食い止めます。また、リモート システムやローカル システムの検査によって、指定条件を満たしていないユーザ デバイスは、ネットワークにアクセスできないようにします。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)管理サーバの Web コンソールから管理し、Clean Access Server(CAS)および Cisco NAC Agent/Cisco NAC Web Agent を通じて実行する統合ネットワーク ソリューションです。Cisco NAC アプライアンスはネットワークの必要性に応じ、最適な設定で使用できます。Clean Access Server は、単純なルーティング機能、高度な DHCP サービス、およびその他のサービスを提供するエッジ デバイスの第 1 ホップ ゲートウェイとして使用できます。または、ネットワーク内の要素がすでにこのサービスを提供している場合は、「Bump-In-The-Wire」方式で導入することにより、既存のネットワークを変更せずに、これらの要素と CAS を共存させることが可能です。

そのほかにも、Cisco NAC アプライアンスには、主に次のような機能があります。

標準ベースのアーキテクチャ:HTTP、HTTPS、XML、Java Management Extensions(JMX)を使用します。

ユーザ認証:Kerberos、LDAP、RADIUS、Windows NT ドメインなど、既存のバックエンド認証サーバと統合します。

VPN コンセントレータとの統合:Cisco VPN コンセントレータ(VPN 3000、ASA など)と統合し、シングルサインオン(SSO)を実現できます。

Active Directory SSO:Windows サーバの Active Directory と統合して、Cisco NAC Agent ユーザが Windows システムにシングル サインオンでログインできるようにします(Cisco NAC Web Agent では SSO はサポートされません)。

Cisco NAC アプライアンス適合性ポリシー:Agent または Nessus ベースのネットワーク ポート スキャンを使用することで、クライアント ポスチャ評価および修復の設定が可能です。

Cisco NAC Web Agent によって、ポスチャ評価が実行されますが、修復のための手段は提供されません。ユーザは、クライアント マシンを手動で訂正または更新して、Web Agent のポスチャ評価要件を満たすために「再スキャン」する必要があります。

Cisco NAC Agent は、Nessus ベースのネットワーク スキャンをサポートしていません。

レイヤ 2 またはレイヤ 3 配置オプション:CAS は、ユーザの L2 近接内、またはユーザから複数ホップ離して配置することもできます。1 つの CAS を L3 と L2 の両方のユーザに使用できます。

インバンド(IB)またはアウトオブバンド(OOB)配置オプション:Cisco NAC アプライアンスはユーザ トラフィックを処理するようにインラインで配置することも、アウトオブバンドで配置して、クライアントがポスチャ評価および修復の処理中にだけネットワークを経由し、認証(ポスチャ評価)後に回避できるようにすることもできます。

 

トラフィック フィルタリング ポリシー:ロールベース IP およびホストベース ポリシーにより、インバンド ネットワーク トラフィックを細かく柔軟に制御できます。

帯域幅管理制御:ダウンロードまたはアップロードの帯域幅を制限できます。

ハイ アベイラビリティ:アクティブ/パッシブなフェールオーバー(2 つのサーバが必要)により、予期せぬシャットダウンが発生してもサービスを続行できます。Clean Access Manager(CAM)マシンまたは CAS マシンのペアをハイ アベイラビリ モードで構成できます。


) Cisco サービス統合型ルータ(ISR)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


Cisco NAC アプライアンス ネットワークにおける FIPS の準拠

Cisco NAC アプライアンス リリース 4.7(0) は、新しい Cisco NAC-3315、NAC-3355、および NAC-3395 ハードウェア アプライアンス プラットフォームへの新規インストールにおいて、Federal Information Processing Standard(FIPS)140-2 Common Criteria EAL2 への準拠をサポートします。お使いの Cisco NAC アプライアンス ネットワークで FIPS への準拠を実現するには、CAM と CAS の両方が新しいハードウェア プラットフォームを使用し、FIPS に準拠する必要があります。つまり、非 FIPS CAM が 1 つまたは複数の FIPS CAS に接続している場合、またはその逆の場合の配置は、サポートされません。

Cisco NAC アプライアンスで FIPS 140-2 への準拠をイネーブルにするために、新しい NAC-3315、NAC-3355、および NAC-3395 には、プライマリ FIPS「レベル 2」の準拠機能を処理し、システムの秘密鍵を管理する暗号化カードが備わっています。また、ネットワーク セキュリティを高め、FIPS 140-2 に準拠するために、Cisco NAC アプライアンスではクライアント マシンと CAS の間の SWISS 通信がカプセル化されます。これには、HTTPS プロトコルを使用した検出パケットの送信と確認、認証、およびポスチャ評価の結果が含まれます。SWISS メカニズムは、SWISS プロトコル機能向けに、3DES 暗号化を使用する拡張ハンドラも備えています。

また、Cisco NAC アプライアンス ネットワークが FIPS に準拠するために、実行する必要のある特定のタスクがいくつか存在します。

『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』の「Cisco NAC Appliance Hardware Platforms」の章の説明に従って、適切な次世代 FIPS 準拠ハードウェアを入手します。

『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』の「Installing the Clean Access Manager and Clean Access Server」の章の説明に従って、同じ次世代 FIPS 準拠ハードウェアをインストールし、適切に設定します。

必要に応じて、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』のインストールのトラブルシューティングに関する項にある「Enabling TLSv1 on Internet Explorer Version 6」に従って、Internet Explorer バージョン 6 で TLSv1 オプションをイネーブルにします。

CAM/CAS の SSL 証明書が、「CAM SSL 証明書の管理」および『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Manage CAS SSL Certificates」で説明されているガイドラインに準拠していることを確認します。

「SNMP Receiver の設定」のガイドラインに従って、アウトオブバンド スイッチの管理に使用する適切な暗号化プロトコルを指定します。

「RADIUS」および「ACS サーバを使用した FIPS 140-2 準拠 RADIUS 認証プロバイダーの追加」のガイドラインに従って、外部 RADIUS 認証サーバへの接続を設定します。

Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Add VPN Concentrator to Clean Access Server」および「Configure VPN SSO in a FIPS 140-2 Compliant Deployment」のガイドラインに従って、FIPS 準拠ネットワークでは Cisco ASA 経由で VPN SSO を実行するように Cisco NAC アプライアンスを設定します。

『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』の「Configure Active Directory for FIPS 140-2 Compliant AD SSO」のガイドラインに従って、FIPS 140-2 準拠ネットワークでは Windows クライアント マシンに対して AD SSO を実行するように Cisco NAC アプライアンスを設定します。


) Cisco NAC アプライアンス リリース 4.7(1) は、FIPS 140-2 準拠のリリースではありません。

Cisco NAC Profiler および Cisco NAC ゲスト サーバは、リリース 4.7(0) の FIPS 準拠の展開ではサポートされません。


Cisco NAC アプライアンス コンポーネント

Cisco NAC アプライアンスは、Clean Access Manager の Web コンソールから管理し、CAS およびオプションの Agent を通じて実行する統合ネットワーク ソリューションです。Cisco NAC アプライアンスは、クライアント システムの検査、ネットワーク要求の強制、パッチやアンチウイルス ソフトウェアの配布を実行するとともに、脆弱なクライアントや感染したクライアントをネットワーク アクセス前に隔離し、修復します。Cisco NAC アプライアンスは、次のコンポーネントで構成されています(図 1-1を参照)。

Clean Access Manager(CAM):Cisco NAC アプライアンス用の管理サーバ。Clean Access Manager のセキュアな Web コンソールを通じ、1 か所で配置内の最大 20 の Clean Access Server を管理できます(SuperCAM をインストールする場合は 40 の CAS)。アウトオブバンド(OOB)配置の場合、Web 管理コンソールで SNMP を使用してスイッチおよびユーザ ポートの VLAN 割り当てを制御できます。


) CAM Web 管理コンソールでは、Internet Explorer 6.0 以上だけがサポートされ、高度暗号化(64 ビットまたは 128 ビット)が必要です。高度暗号化はクライアント ブラウザの Web ログインおよび Agent の認証にも必要です。


Clean Access Server(CAS):非信頼(管理対象)ネットワークと信頼ネットワークの間の強制サーバ。CAS は、ネットワーク アクセス権限、認証要件、帯域幅の制限、Cisco NAC アプライアンスのシステム要件など、ユーザが CAM Web 管理コンソールで定義したポリシーを強制します。

CAS は、スタンドアロン アプライアンス(Cisco NAC-3300 シリーズなど)または Cisco ISR シャーシ内のネットワーク モジュール(Cisco NME-NAC-K9)のいずれかとしてインストールして、インバンド(常にユーザ トラフィックを処理する)またはアウトオブバンド(認証/ポスチャ評価中にだけユーザ トラフィックを処理する)で配置できます。CAS は、レイヤ 2 モード(ユーザは CAS に L2 隣接)またはレイヤ 3 モード(ユーザは CAS から複数 L3 ホップ離れる)で配置することもできます。

異なるネットワーク セグメントのニーズを満たすために、さまざまなサイズ/容量の CAS をいくつか配置することもできます。たとえば、数千ものユーザを処理して 1 つ以上の Cisco NAC ネットワーク モジュールを ISR プラットフォームに同時にインストールして、サテライト オフィスにいる小さいユーザ グループに対応するために、Cisco NAC-3300 シリーズ アプライアンスを本社のコアにインストールできます。

Cisco NAC アプライアンス Agent:オプションでクライアント マシン上に存在する、読み取り専用の永続的または一時的 Agent。Cisco NAC アプライアンス Agent は、ネットワークへのアクセス権を付与する前に、アプリケーション、ファイル、サービス、またはレジストリ キーを検査して、指定されたネットワーク条件およびソフトウェア条件にクライアント マシンが適合しているかどうかを確認します。


) Agent によるポスチャ評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼動していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


Cisco NAC アプライアンスのアップデート:事前に作成されたひとまとまりのポリシーまたはルールの定期アップデート。これらのポリシーまたはルールは、OS(オペレーティング システム)、AV(アンチウィルス)、AS(アンチスパイウェア)、その他のクライアント ソフトウェアの最新状態をチェックするために使用されます。AV ベンダーおよび AS ベンダーに対するビルトイン サポートを提供しています。

図 1-1 Cisco NAC アプライアンスの配置(L2 インバンド例)

 

Clean Access Manager(CAM)

Clean Access Manager(CAM)は、導入された Cisco NAC アプライアンスのすべての Clean Access Server、ユーザ、ポリシーの設定およびモニタリングを集中管理するサーバであり、またデータベースでもあります。1 つの CAM で最大 20 の Clean Access Server を管理できます。Clean Access Manager の Web 管理コンソールは、ブラウザベースのセキュアな管理インターフェイスです(図 1-2を参照)。Web コンソールのモジュールに関する概要は、「管理コンソールの要約」を参照してください。アウトオブバンド(OOB)配置で利用する場合、Web 管理コンソールは、[OOB Management] モジュールとなり、Clean Access Manager のドメイン内でスイッチの追加や制御およびスイッチ ポートの構成を行います。

図 1-2 CAM Web 管理コンソール

 

Clean Access Server(CAS)

Clean Access Server(CAS)は、非信頼ネットワークと信頼ネットワークの間のゲートウェイとして機能します。Clean Access Server は次のいずれかのインバンド(IB)モードまたはアウトオブバンド(OOB)モードで動作できます。

IB Virtual Gateway(L2 トランスペアレント ブリッジ モード)

IB Real-IP Gateway

OOB Virtual Gateway

OOB Real-IP Gateway

このマニュアルでは、Clean Access Manager Web 管理コンソールを使用した Clean Access Server および Cisco NAC アプライアンス配置のグローバル コンフィギュレーションと管理について説明します。

CAS 動作モードの要約については、「管理ドメインへの Clean Access Server の追加」を参照してください。CAS 構成の詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。

OOB の実装および設定の詳細は、 第 3 章「スイッチ管理:アウトオブバンド配置の設定」 を参照してください。

DHCP 設定、Cisco VPN コンセントレータの統合、またはローカル トラフィック ポリシーなど、CAS でローカルに設定するオプションの詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。

Cisco NAC アプライアンス Agent

Cisco NAC アプライアンスを導入すると、ネットワークにアクセスするコンピュータが指定のシステム条件に適合しているどうかを Agent で確認できます。Agent は、ユーザの Windows マシンにインストールされる軽くて使いやすい読み取り専用プログラムです。Agent は、ユーザがネットワークにアクセスしようとするとクライアント システムを検査し、必要なソフトウェアがあるかどうかを確認して、足りないアップデートまたはソフトウェアがあれば取得できるようにします。

設定されたシステム検査に合格しない Agent ユーザは、Agent Temporary ロールに割り当てられます。このロールのユーザには、限定的なアクセス権が付与され、Agent の条件を満たすために必要なリソースだけにネットワーク アクセスが制限されます。クライアント システムが要件を満たせば、「クリーン」であると見なされ、ネットワーク アクセスが許可されます。

Cisco NAC アプライアンスで使用できる Cisco NAC アプライアンス Agent のタイプは、以下のとおりです。

Cisco NAC Agent(Windows クライアント マシン用の永続的 Agent)

Windows CAA(リリース 4.6(1) よりも前で使用できる Windows クライアント用永続的 Agent。リリース 4.7 は下位互換性あり)

Mac OS X Agent(Macintosh クライアント用の永続的 Agent)

Cisco NAC Web Agent(Windows クライアント マシン用の一時的 Agent)

Cisco NAC アプライアンスで使用できる Agent のタイプの詳細については、 第 10 章「Cisco NAC アプライアンス Agent」 を参照してください。

Cisco NAC アプライアンスのアップデート

 

あらかじめパッケージにされたポリシーおよびルールの定期的なアップデートによって、オペレーティング システム、アンチウイルス/アンチスパイウェア ソフトウェア、およびその他のクライアント ソフトウェアの最新ステータスを検査できます。Cisco NAC アプライアンスは、主な AV および AS ベンダーのビルトイン サポートを提供します。詳細については、「Cisco NAC アプライアンスのアップデートの取得」を参照してください。

クライアント ログインの概要

ポスチャ評価を設定する前に、[Device Management] > [Clean Access] > [General Setup] で Agent スキャンやネットワーク スキャンをイネーブルにする必要があります。

Agent ログイン サブページにより、ユーザ ロール/OS 別の Agent 制御がイネーブルになります。

Web ログイン サブページにより、ユーザ ロール/OS 別のネットワーク スキャン制御がイネーブルになります。

ダイアログおよび Web ページの内容だけでなく、ユーザが特定のユーザ ロールおよび OS でログインした場合にページを表示するかどうかを指定することもできます。ロールに対して Agent とネットワーク スキャンの両方をイネーブルにする場合、 Agent Login Web Login 設定ページの両方でロール/OS オプションを設定します。


) エージェントおよびネットワーク スキャンのページは必ず、ユーザ ロール単位とクライアント OS 単位の両方で設定されます。


Agent ログイン

Agent ユーザは、初回の Web ログインを最初に実行する際に、Agent 設定インストール ファイルをダウンロードしてインストールするために Web ログイン ページと Agent ダウンロード ページを確認します。エージェントのインストール後、Agent ユーザは、自動的にポップアップされる Agent ダイアログからログインすることになります。このダイアログが自動的に表示されるのは、システム トレイ アイコン メニューで [Popup Login Window] が選択されている場合です(デフォルト設定)。Agent ユーザは、Agent のシステム トレイ アイコンを右クリックして [Login] を選択することで、ログイン ダイアログを表示させることもできます。Cisco NAC Web Agent ユーザは、クライアント マシンのスキャンの結果、エージェント条件の設定に適合していることが確認されると、ネットワークに自動的に接続されます。


) Agent のログイン/ログアウトは、VPN SSO、AD SSO、および MAC アドレスベースのログインなど、特殊なログインに対しては使用できません(グレーで表示されます)。これらの配置ではマシンが常に再ログインを即座に試みるので、ログアウト オプションは不要です。


Agent ユーザの場合は Agent ダイアログで通信が実行されるため、Quarantine ロール ページやポップアップ脆弱性スキャン レポートは表示されません。Agent ユーザがログイン後、ネットワークにアクセスする前に同意を求められる [Network Policy] ページ([Acceptable Use] ページ)を設定することもできます。

リモート ユーザの確認に RADIUS サーバを使用するように Clean Access Manager を設定した場合、エンド ユーザの Agent ログイン セッションでは、標準のユーザ ID およびパスワードに加えて、他のダイアログ セッションでは利用できない追加の認証チャレンジ/レスポンス ダイアログを使用することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM や CAS に設定を追加する必要はありません。たとえば、標準のユーザ ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。


) 選択した RADIUS 認証方式に従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


図 1-3 Agent ログイン:一般的なセットアップ

 

図 1-3 に示されている [General Setup] > [Agent Login] タブの設定オプションについて、 表 1-1 で説明します。Agent ログイン ユーザ ページの例と説明については、 第 10 章「Cisco NAC アプライアンス Agent」 を参照してください。

 

表 1-1 Agent ログイン:[General Setup] の設定オプション

設定項目
説明

User Role

システム内のすべてのロールが表示されているドロップダウン メニューから、ユーザ ロールを選択します。Agent を必要とする各ロールに対して Agent Login 設定を設定します(新規ユーザ ロールの作成方法については、「新しいロールの追加」を参照してください)。

Operating System

その特定のユーザ ロールのクライアント OS を選択します。

デフォルトの [ALL] を選択すると、OS 固有の設定値が設定されなければ、すべてのクライアント OS に設定が適用されます。

[WINDOWS ALL] を選択すると、Windows OS 固有の設定値が設定されなければ、すべての Windows OS に設定が適用されます。

Require use of Agent (for Windows and Macintosh OSX only)

このチェックボックスをオンにすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に [Agent Download Page Message (or URL)] にリダイレクトされます。ユーザは、ネットワークにログインするために、Agent のダウンロード、インストール、使用を促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。

。両方のオプションをイネーブルにするように選択した場合は、ユーザがログイン ページに誘導されたときに両方の選択肢が表示されます。

Require use of Cisco NAC Web Agent (for Windows 2000/XP/Vista only)

このチェックボックスをオンにすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に [Cisco NAC Web Agent Download Page Message (or URL)] にリダイレクトされます。ユーザは、一時的な Cisco NAC Web Agent をダウンロードおよびインストールして、ネットワークにアクセスに使用するように促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。

。両方のオプションをイネーブルにするように選択した場合は、ユーザがログイン ページに誘導されたときに両方の選択肢が表示されます。

Allow restricted network access in case user cannot use NAC Agent and Cisco NAC Web Agent

このオプションのチェックボックスをオンにすると、Agent のインストールも Cisco NAC Web Agent の起動もどちらも選ばなかったユーザに制限付きネットワーク アクセスが許可されます。この機能は、主に、Agent を必要とするユーザ ロールにログインしているユーザがシステムで Agent のダウンロードとインストールを実行できない(たとえば、マシンに対する権限が足りない、管理者権限がないなどの場合)場合に、そのユーザにアクセスを許可するためのものです。

ユーザは、クライアント マシンが修復に失敗すると、限定的にネットワークにアクセスできる「制限付き」ネットワーク アクセスも利用できます。ユーザは、割り当てられたユーザ ロールでログインする前に、ネットワーク アクセス条件を満たすように更新を実行する必要があります。

詳細については、「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

Restricted Access User Role

このドロップダウン メニューを使用して、Agent のインストールも、Cisco NAC Web Agent のインストールと起動もすることなく、制限付きネットワーク アクセスに同意するユーザに対して、ユーザ ロールを指定します。

Restricted Access Button Text

このボックスでは、Agent ログイン ダイアログのプロセス内で Cisco NAC アプライアンス システムにログイン可能なユーザに表示する、「カスタマイズした」ボタンのテキストを変更できます。

Show Network Policy to NAC Agent and Cisco NAC Web Agent users (Windows only)
[Network Policy Link:]

Agent ログイン セッションで [Network Policy]([Acceptable Use Policy])Web ページへのリンクを Agent ユーザに表示する場合は、このチェックボックスをオンにします。このオプションを使用すると、ネットワークにアクセスする前にユーザが同意しなければならないポリシーまたは情報のページを提供できます。このページは、外部 Web サーバまたは CAM 自体に保存しておくことができます。

外部サーバ上に置かれているページとリンクさせる場合は、[Network Policy Link] フィールドに https://mysite.com/helppages の形式で URL を入力します。

ネットワーク ポリシー ページ(たとえば、「helppage.htm」)を CAM に保存する場合は、[Administration] > [User Pages] > [File Upload] で、そのページをアップロードしてから、[Network Policy Link] フィールドに URL( https://<CAS_IP_address>/auth/helppage.htm )を入力することにより、そのページを示します。

(注) [Network Policy] ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、[Network Policy] ページに同意した認証ユーザの識別に役立ちます。[Certified Devices List] からデバイスを消去すると、次回のログイン時にユーザは再度ネットワーク ポリシーに同意しなければなりません。

詳細については、図 10-30および「Agent ユーザ用の Network Policy ページ(AUP)の設定」を参照してください。

Logoff NAC Agent users from network on their machine logoff or shutdown after <x> secs (for Windows & In-Band setup)

 

ユーザが Windows ドメインをログオフしたり([スタート] > [シャットダウン] > [現在のユーザのログオフ])、Windows ワークステーションをシャットダウンした場合に、Cisco NAC アプライアンス ネットワークからその Agent がログオフするように設定する場合は、このオプションをオンにします。これで、ユーザが [Online Users] リストから削除されます。

secs] オプションをイネーブルに設定しないと、クライアント上の現在のユーザがクライアント システムからログオフした場合でも、最後に認証されたユーザがログインした状態のままになります。SSO の場合、このクライアントを使用する次回のユーザは、前回のユーザの証明書でログインされます。(SSO を実行しない)Cisco NAC Web Agent の場合、次回のユーザには、前回のユーザのアクセス権が付与されます。

secs] オプションがオンになっていないと、クライアント マシンはセッション タイマーが切れるまで Temporary ロールのままになり、ユーザには再度ログイン/修復を実行する機会が与えられます。

Refresh Windows domain group policy after login (for Windows only)

このチェックボックスをオンにすると、ユーザ ログイン後自動的に Windows ドメイン グループ ポリシーが更新されます(GPO アップデートが実行されます)(Windows の場合のみ)。この機能は、Windows AD SSO が Cisco NAC Agent ユーザに設定されている場合に GPO アップデートを容易にするためのものです。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1)』の「 Enable GPO Updates 」を参照してください。

Automatically close login success screen after [] secs

このチェックボックスをオンにして、ユーザが通常のログイン ロールで正常に認証/ログインした後にログイン成功ダイアログを自動的に閉じるまでの時間を設定します(設定しない場合、ユーザは [OK] ボタンをクリックする必要があります)。時間を 0 秒に設定すると、Agent ログイン成功画面が表示されません。有効な範囲は 0 ~ 300 秒です。

Automatically close logout success screen after [] secs (for Windows only)

このチェックボックスをオンにして、ユーザが手動でログアウトする際にログアウト成功ダイアログを自動的に閉じるまでの時間を設定します(設定しない場合、ユーザは [OK] ボタンをクリックする必要があります)。時間を 0 秒に設定すると、ログアウト成功画面が表示されません。有効な範囲は 0 ~ 300 秒です。

Web ログイン

図 1-4 Web ログイン:[General Setup]

 

Web ログイン ユーザには、ログイン ページとログアウト ページ、Quarantine ロール ページまたはアクセス ブロック ページ、そして Nessus 脆弱性スキャン レポートのうち、イネーブルに設定されているものが表示されます。Web ログイン ユーザがネットワークにアクセスする前に提示される [User Agreement] ページを設定することもできます。

リモート ユーザの確認に RADIUS サーバを使用するように CAM を設定した場合、初回の Web ログイン セッションには、標準のユーザ ID およびパスワードに加えて、追加の認証チャレンジ/レスポンス ダイアログを使用することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、CAM や CAS に設定を追加する必要はありません。たとえば、標準のユーザ ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の認定証を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。


) 選択した RADIUS 認証方式に従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


表 1-2 で、図 1-4 に示されている [General Setup] > [Web Login] の設定オプションについて説明します。Web ログイン ユーザ ページの例と説明については、表 1-3を参照してください。

 

表 1-2 Web ログイン:[General Setup] の設定オプション

設定項目
説明

User Role

Cisco NAC アプライアンスの [General Setup] タブの設定を適用するユーザ ロールを選択します。ドロップダウン リストには、システム内のすべてのロールが表示されます。[User Management] > [User Role] で、ユーザ ロールを設定します(「新しいロールの追加」を参照)。

Operating System

その特定のユーザ ロールのクライアント OS を選択します。デフォルトの [ALL] を選択すると、OS 固有の設定値が指定されない限り、すべてのクライアント OS に設定が適用されます。

Show Network Scanner User Agreement Page to web login users

Web ログインおよびネットワーク スキャン後に、[User Agreement] ページ(「Virus Protection Information」)を表示する場合は、このチェックボックスをオンにします。このページには、[User Agreement] 設定フォームで設定した内容が表示されます。ネットワークにアクセスするためには、ユーザは [Accept] ボタンをクリックする必要があります。

(注) [User Agreement] ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、[User Agreement] ページに同意した認証ユーザの識別に役立ちます。[Certified Devices List] からデバイスを消去すると、次回のログイン時にユーザは再度、このページで同意しなければなりません。

このオプションを選択する場合は、「ユーザ同意(User Agreement)ページのカスタマイズ」の説明に従ってページの設定を行う必要があります。

Enable pop-up scan vulnerability reports from User Agreement Page

このチェックボックスをオンにすると、ポップアップ ブラウザ ウィンドウから、Web ログイン ユーザにネットワーク スキャンの結果を表示することができます。ポップアップ ウィンドウがクライアント コンピュータでブロックされている場合、ユーザはログアウト ページの [Scan Report] をクリックしてレポートを表示させることができます。

Require users to be certified at every web login

このチェックボックスをオンにすると、ネットワークにアクセスするたびにユーザにネットワーク スキャンを強制できます。

ディセーブルに設定すると(デフォルト)、ユーザ証明が必要になるのは、そのユーザが最初にネットワークにアクセスしたとき、または Certified Devices リスト からそのユーザの MAC アドレスが消去されるまでの間です。

(注) このオプションは、In-Band Online Users リストにだけ適用されます。このオプションをイネーブルにして、Online Users リストのエントリを削除すると、同じ MAC アドレスを使用する Online Users リスト(インバンドまたはアウトオブバンド)のエントリが他にない場合は、対応する Certified Devices リストのエントリが削除されます。

Exempt certified devices from web login requirement by adding to MAC filters

このチェックボックスをオンにすると、Cisco NAC アプライアンスの Certified Devices リスト上にあるデバイスの MAC アドレスが認証パススルー リストに追加されます。これによって、デバイスは、次回のネットワーク アクセス時に認証とポスチャ評価をどちらも回避できます。

Block/Quarantine users with vulnerabilities in role

このチェックボックスをオンにして、ドロップダウン メニューから [quarantine] ロールを選択すると、ネットワーク スキャン後に脆弱性が発見された場合、そのユーザは Quarantine ロールに割り当てられます。Quarantine ロールで隔離されたユーザは、システムの問題を修正し、再度ネットワーク スキャンを受け、脆弱性が発見されなくなるまで、ネットワークにアクセスできません。

ネットワーク スキャン後に脆弱性が発見された場合にネットワークからユーザをブロックする場合は、このチェックボックスをオンにし、ドロップダウン メニューから [Block Access] を選択します。ブロックされたユーザには、[Message (or URL) for Blocked Access Page:] フィールドに入力した内容のアクセス ブロック ページが表示されます。

(注) Quarantine ロールの名前の横にあるカッコ内に、ロール セッションの期限が表示されます。このセッション タイムは、[User Agreement] ページにも表示されます(Quarantine ユーザに対して、このページの表示がイネーブルになっている場合)。

Show quarantined users the User Agreement Page of

[Block/Quarantine users with vulnerabilities in role] で、[Quarantine] を選択した場合は、下部にこのオプションが表示されます。これにより、スキャンで不合格になったユーザ用に選択された Quarantine ロール専用の[User Agreement] ページを表示できます。あるいは、Cisco NAC アプライアンスでユーザの標準ログイン ロールに関連付けられたページを表示したり、ページを何も表示しないことも可能です。詳細については、「ユーザ同意(User Agreement)ページのカスタマイズ」を参照してください。

Message (or URL) for Blocked Access Page:

[Block/Quarantine users with vulnerabilities in role] で、[Block Access] を選択した場合は、下部にこのオプションが表示されます。デフォルトのメッセージを変更する場合は、ユーザが Nessus スキャンに不合格となったためにネットワークからブロックされたときに表示するメッセージの HTML テキストまたは URL を入力します。

クライアント ポスチャ評価の概要

Cisco NAC アプライアンスの適合ポリシーによって、コンピュータ ウイルス、ワーム、その他の悪意あるコードのネットワークへの脅威を軽減できます。Cisco NAC アプライアンスは、ネットワーク アクセス条件を強制し、クライアント上にあるセキュリティの脅威や脆弱性を検出し、パッチや AV(アンチウイルス)および AS(アンチスパイウェア)ソフトウェアを配布することのできる強力なツールです。このツールを使用すると、設定されたセキュリティ条件への不適合がある場合、アクセスのブロックやユーザの隔離を実行できます。

Cisco NAC アプライアンスは、ユーザがネットワークへのアクセスを試行すると、クライアント システムを評価します。Cisco NAC アプライアンスのほとんどの機能は、ユーザ ロール別および OS(オペレーティング システム)別に設定され、適用されます。これによって、ネットワークにアクセスするユーザやデバイスのタイプに応じて Cisco NAC アプライアンスを適切にカスタマイズすることができます。Cisco NAC アプライアンスには、クライアント システム上の脆弱性を検出し、ユーザが脆弱性を修正したり必要なパッケージをインストールしたりできるようにする方法が 3 つあります。

Cisco NAC アプライアンス Agent のみ(Cisco NAC Agent または Cisco NAC Web Agent)

ネットワーク スキャンのみ

Agent とネットワーク スキャン

クライアント ポスチャ評価を設定する手順の概要

Cisco NAC アプライアンスでクライアント ポスチャ評価を設定する手順の一般的な概要は、次のとおりです。


ステップ 1 アップデートをダウンロードします。
Agent および他の構成要素の汎用アップデートを取得します。「Cisco NAC アプライアンスのアップデートの取得」を参照してください。

ステップ 2 [General Setup] タブで、ユーザ ロールおよび OS 別に Agent ベース アクセスまたはネットワーク スキャンを設定します。
ロールに Agent の使用を要求し、Web ログイン ユーザには Web ページのネットワーク スキャンをイネーブルにし、脆弱性のあるユーザは隔離するかアクセスをブロックします。「クライアント ログインの概要」を参照してください。

ステップ 3 クライアント ポスチャ評価に関連するユーザ ロールに、セッション タイムアウトとトラフィック ポリシーを設定します(インバンド)。 Quarantine ロールのトラフィック ポリシーは、[User Agreement] ページとネットワーク スキャンで不合格になった隔離ユーザ用の Web リソースへのアクセスを許可します。Agent Temporary ロールのトラフィック ポリシーは、ユーザが必要とするソフトウェア パッケージのダウンロード元リソースへのアクセスを許可します。「Agent Temporary および Quarantine ロールのポリシーの設定」を参照してください。

ステップ 4 Agent ベースのポスチャ評価、ネットワーク スキャン、またはその両方を設定します。

Agent ログインを設定する場合 : [General Setup] > [Agent Login] タブで、ユーザ ロールに対して Agent の使用を要求します。ユーザ ロール別に条件を検討して定義します。AV 規則を設定するか、またはチェックからカスタム ルールを作成します。AV 規則を AV Definition Update 条件に対応付けるか、またはカスタム ルールをカスタム条件に対応付けるか(File Distribution/Link Distribution/Local Check)、またはその両方を行います。条件を各ユーザ ロールに対応付けます。「Agent ベースのポスチャ評価の設定」を参照してください。

ネットワーク スキャンを設定する場合 : CAM リポジトリに Nessus プラグインをロードします。ネットワーク スキャンをイネーブルにするには、スキャンを実施する Nessus プラグインを選択し、ユーザ ロールおよびオペレーティング システムに対して、スキャン結果の脆弱性に関する設定を行います。[User Agreement] ページをカスタマイズします。「ネットワーク スキャンの設定手順」を参照してください。ネットワーク スキャンの結果は、ネットワーク スキャンをブロックするパーソナル ファイアウォールがあるかどうかによって異なります。


) Cisco NAC Agent は、Nessus ベースのネットワーク スキャンをサポートしていません。


ステップ 5 クライアントとして非信頼ネットワークに接続することにより、ユーザ ロールおよび OS の 設定をテストします。 テストの間、[Certified Devices List]、[Online Users] ページ、イベント ログを監視します。Web ログインを実行してネットワーク スキャンをテストし、ネットワーク スキャン プロセス、ログアウト ページ、関連するクライアントおよび管理者レポートを検査します。最初の Web ログインと Agent のダウンロード、ログイン、条件検査とスキャンの実行を通して Agent をテストし、関連するクライアントおよび管理者のレポートを表示します。

ステップ 6 必要に応じて、フローティング デバイスや免除デバイスなどを設定して、[Certified Devices List] を管理します。フローティング デバイスは、各ユーザ セッションの開始時に認証を受ける必要があります。免除デバイスは、常にネットワーク スキャン(Nessus スキャン)から除外されます。「証明済みデバイスの管理」を参照してください。


 

詳細については、次の資料を参照してください。

「Agent ベースのポスチャ評価の設定」

「ネットワーク スキャンの設定手順」

Cisco NAC アプライアンス Agent

Cisco NAC Agent

Cisco NAC Agent は、32 ビットおよび 64 ビットの Windows オペレーティング システムのローカル マシン向けに、Agent ベースのポスチャ評価と修復を提供します。また、「ダブルバイト」文字形式をサポートしており、UTF-8 に全面的に準拠しているほか、いくつもの一般的な言語でネイティブのクライアント側ローカライズが可能です(サポートされている言語のリストについては、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください)。ユーザは Agent をダウンロードしてインストールする必要があります。それにより、ホスト レジストリの表示、プロセス検査、アプリケーション検査、サービス検査が可能になります。この Agent を使用すると、ユーザがシステムを修正できるように、AV/AS 定義の更新、CAM にアップロードされたファイルの配布、または Web サイトへのリンクの配布を実行できます。


) Cisco NAC Agent のポスチャ評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼動していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


Cisco NAC Agent クライアント マシンのログインおよびセッションの動作は、クライアント マシンのインストール ディレクトリにある NACAgentCFG.xml Agent コンフィギュレーション ファイルで指定された設定によって決まります (Windows XP におけるデフォルトのインストール ディレクトリは、 C:¥Program Files¥Cisco¥Cisco NAC Agent¥ です。しかし、管理者またはクライアント マシンのユーザは、別のディレクトリを指定することもできます)。 NACAgentCFG.xml ファイルの設定を 「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」で説明されているパラメータに基づいてカスタマイズすることも、デフォルト設定を使用して Cisco NAC Agent に独自の Agent 設定 XML ファイルを作成させることもできます。

Cisco NAC Agent には次の機能があります。

初回のワンタイム Web ログインによって簡単に Agent をクライアントにダウンロードしインストールできます。Agent は、そのクライアント PC の現在のユーザおよびその他のすべてのユーザにデフォルトでインストールされます。

ポスチャ評価は、32 ビットと 64 ビット両方の Windows オペレーティング システムをサポートしています(Cisco NAC アプライアンスの以前のリリースでは、64 ビット Windows オペレーティング システムでの認証しかサポートしていませんでした)。

「ダブルバイト」文字のサポート。これによって Agent は、サポートされているロケール/言語の OS プラットフォームでユーザ ダイアログを表示できます。

有線接続されていない、またはワイヤレスの NIC がクライアント マシンでイネーブルになっている Evolution Data Optimized(EVDO)接続。この機能を Cisco NAC Agent でイネーブルにする場合の詳細については、 表 9-8 「クライアント側の MAC アドレス管理」 を参照してください。

自動アップグレード。クライアントにインストールされた Agent は、次のバージョンを自動的に検出、ダウンロードし、アップグレードします。Agent は、ログイン要求のたびに、Agent のアップデートがないか確認します。管理者は、Agent の自動アップグレードを、すべてのユーザに対して必須または任意に設定できます。また、アップデートの通知をディセーブルに設定することもできます。

主要な AntiVirus(AV; アンチウイルス)および AntiSpyware(AS; アンチスパイウェア)ベンダーに対応できる AV/AS チェック機能が組み込まれています。AV/AS のルールと条件を設定できるので、クライアントで実行する必要のある一般的なタイプのチェックのほとんどを簡単に実行でき、Agent によってクライアント マシン上の AV および AS 定義ファイルを自動的に検出、更新できます。「Cisco NAC アプライアンスのアップデート」を使用することにより、CAM での AV/AS 製品のサポートは常に最新の状態に保たれます。

クライアントが要件を満たしていない場合に認定済/デジタル署名済の実行可能プログラムを起動する機能。詳細については、「Launch Programs 要件の設定」を参照してください。

ルールとチェックのカスタム設定。管理者はクライアントに特定のアプリケーション、サービス、またはレジストリ エントリがないかどうかチェックするために条件を設定できます。その際、あらかじめ定義されたシスコ製のチェックおよびルールも、また自分で作成したカスタム チェックおよびルールも使用できます。

マルチホップ レイヤ 3 インバンド(IB)およびアウトオブバンド(OOB)配置のサポートと、VPN コンセントレータ/レイヤ 3 アクセス。クライアントと CAS の間に 1 つ以上のレイヤ 3 ホップがあるような(L2 の近接ではなく)ネットワーク構成の場合でもクライアントが CAS を認識できるように、CAM/CAS/Agent を設定できます。また、Cisco NAC アプライアンスと Cisco VPN コンセントレータを統合する場合(インバンド)は、SSO もサポートされます。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Enable L3 Deployment Support」、「Integrating with Cisco VPN Concentrators」または「Configuring Layer 3 Out-of-Band (L3 OOB)」を参照してください。

Windows ドメインの Active Directory SSO。Windows AD SSO が Cisco NAC アプライアンス用に設定されている場合、Agent をインストール済のユーザは、Windows ドメインにログインする際に、自動的に Cisco NAC アプライアンスにログインすることができます。クライアント システムは要件に対して自動的にスキャンされ、個別の Agent ログインは不要です。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。


) AD SSO から Cisco NAC アプライアンスにログインするユーザは、FIPS に準拠するために、Windows Vista を実行していて、最新の Cisco NAC Agent(バージョン 4.7.1.15)をクライアント マシンにインストールしている必要があります。AD SSO を実行する Windows XP クライアント マシンは、FIPS 140-2 の適合要件を満たしません。


自動 DHCP リリース/更新。Agent が OOB 配置のログインに使用される場合、アクセス VLAN でクライアントに新規 IP アドレスが必要になると、Agent は自動的に DHCP IP アドレスを更新します。詳細については、「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。


) OOB クライアント マシンの認証 VLAN 変更検出へのアクセスの詳細については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


Windows のログオフ/シャットダウンに伴う Cisco NAC Agent のログオフ。ユーザが Windows ドメインからログオフしたり、Windows マシンをシャットダウンした場合に、Cisco NAC アプライアンス ネットワークから Agent がログオフするかどうかを、イネーブルまたはディセーブルに設定できます。この機能は、OOB 配置には適用されません。

上記の Agent 設定機能に関する詳細については、 第 9 章「Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定」 を参照してください。

Agent の各バージョンの機能については、最新の リリース ノート で「Cisco NAC Appliance Agents」を参照してください。

Cisco NAC Web Agent

Cisco NAC Agent と異なるのは、Cisco NAC Web Agent は「永続的」でないエンティティであるため、単一ユーザ セッションを提供する間だけクライアント マシンに存在するということです。Agent アプリケーションをダウンロードしてインストールする代わりに、ユーザがブラウザ ウィンドウを開くと、NAC アプライアンスの Web ログイン ページにログインします。クライアント マシン上で自己解凍型の Agent インストーラを開始する方法として、一時的な Cisco NAC Web Agent、ActiveX コントロール、または Java アプレットのいずれかを選択して([Administration] > [User Pages] > [Login Page] の設定ページの [Web Client (ActiveX/Applet)] オプションを使用して、優先する方法を指定します)起動します。Agent ファイルがクライアントの一時ディレクトリにインストールされた後、ポスチャ評価/システムのスキャンが実行されてセキュリティの適合を確認します。また、適合ステータスを NAC アプライアンス システムにレポートします。この間、ユーザには Temporary ロールに限定したアクセス権が付与されます。クライアント マシンが 1 つ以上の理由により適合していない場合、ネットワーク アクセスを制限したことをユーザに通知します。ユーザは次のうちいずれかを実行できます。

クライアント マシンを手動で修復および更新する。この場合、Temporary ロールをタイムアウトする前に再度適合をテストする必要があります。

「制限付き」ネットワーク アクセスのまましばらく使用する。次回のログイン セッションでは、クライアント マシンが条件を満たすようにします。


) OOB ユーザが制限付きアクセスを使用する場合は、そのロールが CAM で定義されている間、OOB ユーザはそのロールを持ち続けます。したがって、ユーザが制限付きアクセス ロールで接続中に手動修復を実行できた場合であっても、クライアント マシンでは、そのセッションを一度終了してからユーザが再度ログインを試行するまで再スキャンは実行されません。



) Cisco NAC Web Agent はクライアントの修復を実行しません。ユーザは、内部ネットワークにアクセスする前に、Web Agent セッションに関係なく、NAC アプライアンスの条件のガイドラインに従って、コンプライアンスを守る必要があります。Temporary ロールのタイムアウトが発生するまでに、ユーザがクライアント マシンを適合するように修正および更新できた場合、ユーザはクライアント マシンの「再スキャン」を選択して、ネットワークに正常にログインできます。


ユーザが適切なログイン証明書を提供し、Web Agent によりクライアント マシンが NAC アプライアンスのセキュリティ条件を満たしていることが確認されれば、ブラウザ セッションを開いたまま、ユーザがネットワークにログインされます。このユーザが Web Agent ブラウザ ウィンドウの [Logout] ボタンをクリックしたり、システムを停止したり、NAC アプライアンスの管理者が CAM からセッションを終了するまで、ログインの状態が続きます。セッションの終了後、Web インターフェイスは、ユーザをネットワークからログアウトさせ、セッションをクライアント マシンから削除します。ユーザ ID は [Online Users] リストに表示されなくなります。

Mac OS X Agent

Windows クライアント マシン用の Cisco NAC Agent と同様に、 Macintosh クライアント マシンについて、ローカル マシンで Agent ベースのポスチャ評価および修復を実行できます。

Mac OS X Agent には次の機能があります。

初回のワンタイム Web ログインによって簡単に Agent をクライアントにダウンロードしインストールできます。Agent は、そのクライアント マシンの現在のユーザおよびその他のすべてのユーザにデフォルトでインストールされます。

Mac OS X Agent では、Cisco NAC Agent または Cisco NAC Web Agent を実行している Windows ユーザが利用できるクライアント ポスチャ評価および修復機能の一部しか実行されません。詳細については、「Agent ベースのポスチャ評価の設定」を参照してください。

自動アップグレード。クライアントにインストールされた Agent は、次のバージョンを自動的に検出、ダウンロードし、アップグレードします。Agent は、ログイン要求のたびに、新しい更新ファイルがないかどうかをチェックします。管理者は、Agent の自動アップグレードを、すべてのユーザに対して必須または任意に設定できます。また、アップデートの通知をディセーブルに設定することもできます。

主要な AntiVirus(AV; アンチウイルス)および AntiSpyware(AS; アンチスパイウェア)ベンダーに対応できる AV/AS チェック機能が組み込まれています。AV/AS のルールと条件を設定できるので、クライアントで実行する必要のある一般的なタイプのチェックのほとんどを簡単に実行でき、Agent によってクライアント マシン上の AV および AS 定義ファイルを自動的に検出、更新できます。「Cisco NAC アプライアンスのアップデート」を使用することにより、CAM での AV/AS 製品のサポートは常に最新の状態に保たれます。


) OOB クライアント マシンの認証 VLAN 変更検出へのアクセスの詳細については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


上記の Agent 設定機能に関する詳細については、 第 9 章「Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定」 を参照してください。

Agent の各バージョンの機能については、最新の リリース ノート を参照してください。

Clean Access Agent

(リリース 4.6(1) よりも前の Cisco NAC アプライアンスには、Windows クライアント マシン用の永続的 Agent が用意されていました)

Windows バージョンの Clean Access Agent の詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』を参照してください。

 

ネットワーク スキャナ


Nessus ベースのネットワーク スキャン機能は、クライアント ネットワーク スキャンと Agent ログイン機能の組み合わせが設定されている Web ログイン ユーザおよび Clean Access Agent ユーザにだけ適用されます。Cisco NAC Agent は、Nessus ベースのネットワーク スキャンをサポートしていません。


Cisco NAC アプライアンスのネットワーク スキャナという方法は、ネットワーク ベースの脆弱性評価と Web ベースの修復を提供します。これは、ローカル Clean Access Server(CAS)内のネットワーク スキャナであり、実際のネットワーク スキャンや、特定のホストに多いよく知られたポート脆弱性のチェックを実行します。脆弱性が発見されると、CAM に設定されている Web ページがユーザに表示され、Web サイトへのリンクまたはシステムの修正方法に関する情報が提示されます。

ネットワーク スキャンは、Nessus プラグインによって実行されます。Nessus( http://www.nessus.org )は、オープン ソースの脆弱性スキャナです。Nessus プラグインは、ネットワークを通じてクライアント システムを検査し、セキュリティの脆弱点がないかどうかを調べます。スキャンの結果、脆弱性またはウイルス感染が発見された場合、Cisco NAC アプライアンスは、脆弱性を抱えているユーザに警告したり、そのユーザのネットワーク アクセスをブロックしたり、あるいはそのユーザを Quarantine ロールに割り当ててシステムを修正できるようにするなど、すぐに措置を講じます。


) クライアントにパーソナル ファイアウォールがインストールされている場合、ネットワーク スキャンは、タイムアウトの結果を応答する可能性が高くなります。結果がタイムアウトの場合、隔離、ネットワーク アクセスの制限、またはネットワーク アクセスの許可のどの方法でクライアント マシンを扱うのかは、任意に決めることができます(パーソナル ファイアウォールが十分な保護を提供している場合)。


新しい Nessus プラグインがリリースされると、CAM リレポジトリにロードできます。ロードしたプラグインは、CAM のリポジトリから実際にスキャンを実行する CAS へ自動的に発行されます。CAM は、CAS 内のプラグイン セットのバージョンが CAM のバージョンと異なっていると、CAS の起動時にプラグイン セットを CAS に配布します。

Agent の検査とネットワーク スキャンを調整して、ネットワーク スキャンの前に脆弱性修正ソフトウェアの有無をエージェントが検査するといったことも可能です。たとえば、ある脆弱性に対処するために Microsoft Windows アップデートが必要な場合は、これをエージェントの必須パッケージとして指定できます。このようにすれば、ネットワーク脆弱性スキャンの実行前に、ユーザがスキャンに合格するようにできます。


) • Nessus 2.2 プラグインを使用することによって、Cisco NAC アプライアンスでスキャンを実行できます。アップロードされている Nessus プラグイン アーカイブのファイル名は、plugins.tar.gz でなければなりません。Cisco NAC アプライアンスのソフトウェア リリースに付属するのは、Nessus バージョン 2.2.7 だけです。Nessus バージョン 2.2.7 の NASL_LEVEL 値は、3004 未満です。Cisco NAC アプライアンスは、NASL_LEVEL が 3004 以上であることを要求される Nessus プラグインをサポートしません。現在、ベンダー ライセンス上の制約から、Cisco NAC アプライアンスは Nessus バージョン 3 プラグインをサポートしていません。

Tenable 社によるライセンス条件のため、シスコは、事前に試験済みの Nessus プラグインまたは自動プラグインのアップデートをリリース 3.3.6/3.4.1 以降 Cisco NAC アプライアンスにバンドルすることができません。ただし、お客様は引き続き Nessus サイトから Nessus プラグインを選択して手動でダウンロードできます。入手可能なプラグインについては、 http://www.nessus.org/plugins/index.php?view=all を参照してください。
Nessus プラグインの詳細については、 http://www.nessus.org/plugins/index.php?view=feed を参照してください。

クライアント システムのネットワーク スキャンに使用するプラグインの数は、多くても 5 ~ 8 程度にすることを推奨します。これよりも多くのプラグインを使用すると、ユーザのシステムにファイアウォールがある場合、各プラグインがタイムアウトになり、ログインに長い時間がかかる可能性があります。


 

 

ログインと Nessus スキャンのプロセス中にユーザに表示される Web ページの概要、および Web 管理コンソールでの設定方法の一覧を、 表 1-3 に示します。

 

表 1-3 Web ログイン ユーザ ページの概要

ページ
設定場所
目的
Web ログイン ページ

ログイン ページ

[Administration] > [User Pages] > [Login Page]

詳細については、「ユーザ ログイン ページ」を参照してください。

ログイン ページは、エージェント/ネットワーク スキャン用の Web ページとは別に設定され、ネットワーク スキャンだけを使用する場合にはネットワーク認証インターフェイスになります。Agent ユーザがこのページを使用する必要があるのは、エージェントのインストール ファイルを最初にダウンロードするときの 1 回だけです。ログイン ページは、VLAN、サブネット、クライアント OS 別に設定できます。ユーザは、認証のために自分の証明書を入力し、CAM はローカル ユーザ/ユーザ ロールの設定に基づいて、ユーザに割り当てるロールを判断します。

ログアウト ページ

(Web ログイン ユーザのみ)

[User Management] > [User Roles] > [New Role or Edit Role]

詳細については、「ログアウト ページ情報の指定」を参照してください。

ログアウト ページは、認証に Web ログインを使用するユーザだけに表示されます。ユーザが正常にログインすると、ユーザのブラウザにログアウト ページが表示され、選択されているオプションの組み合わせに応じて、ユーザのステータスが示されます。

(注) ユーザ(特に Quarantine ロールのユーザ)は、このログアウト ページを閉じないように注意する必要があります。このページを閉じてしまうと、セッションがタイムアウトするまでログアウトできなくなります。

ロール別にユーザを特定のページまたは URL(Cisco NAC アプライアンス外の)にリダイレクトする場合の詳細については、「ローカル ユーザ アカウントの作成」を参照してください。

Cisco NAC アプライアンスの設定に関するその他の情報については、「General Setup ページでの設定」を参照してください。

エージェント条件の設定に関する詳細は、「Agent ベースのポスチャ評価の設定」を参照してください。

詳細については、 第 12 章「ネットワーク スキャンの設定」 を参照してください。

ユーザの管理

Clean Access Manager を使用すると、既存の認証メカニズムをネットワーク上のユーザに簡単に適用できます(図 1-5を参照)。ユーザ ロールをカスタマイズしてグループ化して、特定のユーザ グループ用のトラフィック ポリシー、帯域幅制限、セッション期間、クライアント ポスチャ評価、および Cisco NAC アプライアンス内のその他のポリシーを定義できます。その後、ロールマッピングを使用して、外部認証ソースから渡された VLAN ID または属性に基づいてユーザをこれらのポリシーにマップできます。

Clean Access Server は、非信頼ネットワークから HTTP 要求を受信すると、その要求が認証済みのユーザからのものかどうかを確認します。認証済みのユーザからの要求でない場合は、そのユーザにカスタマイズ可能な安全な Web ログイン ページが提示されます。Web ログイン ページを介して安全に送信されたユーザの証明書は、CAM 自身(ローカル ユーザの検査の場合)によって、または LDAP、RADIUS、Kerberos、Windows NT など、外部認証サーバで実行できます。Agent が配布される場合、ユーザは初期 Web ログイン後に Agent をダウンロードおよびインストールし、その後ログイン/ポスチャ評価に使用します。

図 1-5 認証パス

 

Agent やネットワーク ポート スキャンに関する要件を設定することにより、ポスチャ評価および修復を設定し、認証済みユーザに適用できます。


) Cisco NAC Web Agent によって、ポスチャ評価が実行されますが、修復のための手段は提供されません。ユーザは、クライアント マシンを手動で訂正または更新して、Web Agent のポスチャ評価要件を満たすために「再スキャン」する必要があります。


IP ベースおよびホストベースのトラフィック ポリシーによって、認証前、ポスチャ評価の実行中、およびユーザ デバイスが「クリーン」と証明された後に、ユーザのネットワーク アクセスを制御できます。

IP ベース、ホストベース、および(Virtual Gateway 構成の場合)レイヤ 2 イーサネットのトラフィック ポリシーによって、認証前、ポスチャ評価の実行中、およびユーザ デバイスが「クリーン」と証明された後に、ユーザのネットワーク アクセスを制御できます。


) レイヤ 2 イーサネット トラフィック制御は、バーチャル ゲートウェイ モードで動作する Clean Access Server にだけ適用されます。


さらに、Online Users ページ(L2 および L3 配置の場合)や Certified Devices List(L2 配置の場合だけ)を通じて、Web コンソールからユーザの活動を監視できます。

Web 管理コンソールの要素の概要


FIPS 140-2 準拠 CAM/CAS の Web コンソールへのアクセスに Internet Explorer バージョン 6 を使用している管理者は、ネットワークと「対話」するために、TLSv1(Microsoft Internet Explorer バージョン 6 のデフォルトではディセーブルにされています)をブラウザの詳細設定でイネーブルにしておく必要があります。『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』で、インストールのトラブルシューティングに関する項にある「Enabling TLSv1 on Internet Explorer Version 6」を参照してください。


ライセンスによって Cisco NAC アプライアンス ソフトウェアが使用可能になると、CAM の Web 管理コンソールで、Cisco NAC アプライアンスを管理するための簡単に使用できるインターフェイスが提供されます。Web コンソールの左側のパネルには、主なモジュールとサブモジュールが表示されます。Web コンソール上部のナビゲーション パスを見れば、今、このインターフェイス内のどのモジュールおよびサブモジュールが表示されているのかがわかります。サブモジュールをクリックすると、そのインターフェイスのタブが開くか、あるいは直接、設定のページまたはフォームが表示されます。設定ページではアクションを実行でき、設定フォームではフィールドに情報を入力できます。Web 管理コンソールのページは、次の要素で構成されています(図 1-6を参照)。

図 1-6 Web 管理コンソールのページの要素

 


) このマニュアルでは、管理コンソールのナビゲーション リンクに次の表記方法を使用します。
[<モジュール>] > [<サブモジュール>] > [<タブ>] > [<タブ リンク>] > [<サブタブ リンク>](該当する場合)


Clean Access Server(CAS)管理ページ

Clean Access Server を Web 管理コンソールから管理できるようにするには、その Server を Clean Access Manager ドメインに追加する必要があります。 第 2 章「デバイス管理:Clean Access Server の追加、フィルタの追加」 に、手順が説明されています。ドメインに追加した Clean Access Server に管理コンソールからアクセスするには、次の手順を使用します。このマニュアルで「CAS 管理ページ」と記述されている場合、図 1-8 に示されている一連のページ、タブ、フォームを表します。

1. [Device Management]モジュールの [CCA Servers] リンクをクリックします。デフォルトでは、[List of Servers] タブが表示されます。

図 1-7 CAS List of Servers ページ

 

2. アクセスする Clean Access Server の IP アドレスの [Manage] ボタンをクリックします。


) ハイ アベイラビリティ構成の Clean Access Server では、最初にサービス IP が自動的に表示され、現在アクティブな CAS の IP アドレスはカッコ内に表示されます。


3. Clean Access Server 用の CAS 管理ページは、図 1-8のように表示されます。

図 1-8 CAS 管理ページ

 

管理コンソールの要約

表 1-4 に、Web 管理コンソールの各モジュールの主な機能をまとめて示します。

 

表 1-4 Clean Access Manager Web 管理コンソールのモジュールの要約

モジュール
モジュールの説明

 

[Device Management]モジュールでは、次のことができます。

CAS 管理ページ(図 1-8)を使用した Clean Access Server でのソフトウェア アップグレードを追加、設定、管理、実行します。
第 2 章「デバイス管理:Clean Access Server の追加、フィルタの追加」 を参照してください。
AD SSO、DHCP、Cisco VPN コンセントレータの統合など、ローカル CAS の設定については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1) 』を参照してください。

アップグレード情報については、『 Release Notes for Cisco NAC Appliance Version 4.7(1) 』の「Upgrading」を参照してください。

非信頼側にあるデバイスが認証とポスチャ評価を回避できるようにデバイスまたはサブネットのフィルタを設定します。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

ポスチャ評価(Agent/ネットワーク スキャン)や修復をユーザのロールおよび OS ごとに設定します。次の章を参照してください。

「Agent ベースのポスチャ評価の設定」

第 12 章「ネットワーク スキャンの設定」

(注) ユーザ セッションは、MAC アドレス(該当する場合)または IP アドレスと、ユーザが指定したユーザ ロールで管理されます。ユーザ ロールは、[User Management ]モジュールで設定します。

 

Cisco NAC アプライアンスのアウトオブバンド配置には、[OOB Management] モジュールを使用します。このモジュールでは次のことができます。

アウトオブバンドのグループ、スイッチ、WLC、ポートのプロファイル、および Clean Access Manager の SNMP Receiver の設定

サポート対象のアウトオブバンド スイッチの追加、送信する SNMP トラップの設定、[Ports]([Port Profile])ページを通じた個々のスイッチ ポートの管理、検出されたクライアントのリストの監視

第 3 章「スイッチ管理:アウトオブバンド配置の設定」 を参照してください。

 

[User Management]モジュールでは、次のことができます。

正常ログイン ユーザのロールを作成します。ユーザ グループを認証パラメータ、トラフィック制御ポリシー、セッション タイムアウト、帯域幅制限に関連付けることができます。OOB ポート プロファイルにロールベースの設定を使用している場合は、ユーザ ロールを使用してアクセス VLAN を設定できます。

IP およびホストベースのトラフィック制御ポリシーを追加して、すべてのユーザ ロールのネットワーク アクセスを設定します。Agent Temporary ロールのトラフィック ポリシー/セッション タイムアウトと Quarantine ロールの設定し、クライアント デバイスが条件を満たしていない場合またはネットワーク スキャンで脆弱性が発見された場合、そのデバイスのネットワーク アクセスを制限できます。

CAM に認証サーバを追加します(ネットワーク上の外部認証ソースの設定)。

CAS に AD SSO または Cisco VPN コンセントレータ統合が設定されている場合、Active Directory SSO や Cisco VPN SSO などの認証ソースを追加して SSO をイネーブルにします。

複雑なマッピング ルールの作成。LDAP もしくは RADIUS の属性、または VLAN ID に基づいてユーザをユーザ ロールに対応付けることができます。

RADIUS アカウンティングを実行します。

CAM によって内部認証されたローカル ユーザの作成(試用)。

詳細については、次の項目を参照してください。

第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」

第 7 章「ユーザ管理:認証サーバの設定」

第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」

Cisco VPN コンセントレータの統合に関する詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1) 』を参照してください。

 

[Monitoring] モジュールでは、次のことができます。

配置のステータス要約の表示

インバンドおよびアウトオブバンドのオンライン ユーザの管理

Clean Access Manager イベント ログの表示、検索、リダイレクト

Clean Access Manager 用の基本的な SNMP ポーリングおよび警告の設定

第 13 章「イベント ログのモニタリング」 を参照してください。

 

[Administration] モジュールでは、次のことができます。

Clean Access Manager ネットワークおよびハイ アベイラビリティ(フェールオーバー)の設定。
詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』を参照してください。

CAM SSL 証明書、システム時間、CAM/CAS プロダクト ライセンスの設定、CAM データベース バックアップ スナップショットの作成と復元、テクニカル サポート ログのダウンロード。
第 14 章「CAM の管理」 を参照してください。

CAM でのソフトウェア アップグレードの実行。
Release Notes for Cisco NAC Appliance, Version 4.7(1) 』の「Upgrading to a New Software Release」を参照してください。

デフォルト ログイン ページ(すべてのユーザ認証に必須)の追加、および Web ログイン ユーザ用の Web ログイン ページのカスタマイズ。
第 5 章「ユーザ ログイン ページとゲスト アクセスの設定」 を参照してください。

複数の管理者グループおよびアクセス権限の設定。
「管理ユーザ」を参照してください。