Cisco NAC アプライアンス Clean Access Manager コンフィギュレーション ガイド リリース 4.9
概要
概要
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

概要

Cisco NAC アプライアンスとは

Cisco NAC アプライアンス ネットワークにおける FIPS の準拠

Cisco NAC アプライアンスのコンポーネント

Clean Access Manager(CAM)

Clean Access Server(CAS)

Cisco NAC アプライアンス Agent

Cisco NAC アプライアンス アップデート

クライアント ログインの概要

Agent ログイン

Web ログイン

クライアント ポスチャ評価の概要

クライアント ポスチャ評価を設定する手順の概要

Cisco NAC アプライアンス Agent

Cisco NAC Agent

Cisco NAC Web Agent

Mac OS X Agent

Clean Access Agent

ネットワーク スキャナ

ユーザの管理

Web 管理コンソールの要素の概要

Clean Access Server(CAS)管理ページ

管理コンソールの要約

Cisco NAC アプライアンスとは

Cisco Network Admission Control(NAC)アプライアンス(以前の Cisco Clean Access)は、使いやすく強力なアドミッション コントロールおよび準拠性強制ソリューションです。包括的なセキュリティ機能、インバンドまたはアウトオブバンドの配置オプション、ユーザ認証ツール、帯域およびトラフィックのフィルタリング制御機能を備えた Cisco NAC アプライアンスは、ネットワークを制御して保護するための完全なソリューションです。Cisco NAC アプライアンスは、ネットワークの集中アクセス管理ポイントとして、セキュリティ、アクセス、コンプライアンス ポリシーを一箇所で導入できるため、ネットワークを通じて多くのデバイスにポリシーを伝播する必要はありません。

Cisco NAC アプライアンスには、ユーザ認証、ポリシーベースのトラフィック フィルタリング、クライアント ポスチャ評価と修復などのセキュリティ機能があります。Cisco NAC アプライアンスは、ウイルスやワームをネットワーク エッジで食い止めます。また、リモート システムやローカル システムの検査によって、指定条件を満たしていないユーザ デバイスは、ネットワークにアクセスできないようにします。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)管理サーバの Web コンソールから管理し、Clean Access Server(CAS)および Cisco NAC Agent/Cisco NAC Web Agent を通じて実行する統合ネットワーク ソリューションです。Cisco NAC アプライアンスはネットワークの必要性に応じ、最適な設定で配置できます。Clean Access Server は、単純なルーティング機能、高度な DHCP サービス、およびその他のサービスを提供するエッジ デバイスの第 1 ホップ ゲートウェイとして使用できます。または、ネットワーク内の要素がすでにこのサービスを提供している場合は、「Bump-In-The-Wire」方式で導入することにより、既存のネットワークを変更せずに、これらの要素と CAS を共存させることが可能です。

その他にも、Cisco NAC アプライアンスには、次のような機能があります。

標準ベースのアーキテクチャ:HTTP、HTTPS、XML、Java Management Extensions(JMX)を使用します。

ユーザ認証:Kerberos、LDAP、RADIUS、Windows NT ドメインなど、既存のバックエンド認証サーバと統合します。

VPN コンセントレータとの統合:Cisco VPN コンセントレータ(VPN 3000、ASA など)と統合し、Single Sign-On(SSO; シングルサインオン)を実現できます。

Active Directory SSO:Windows サーバの Active Directory と統合して、Cisco NAC Agent ユーザが Windows システムにシングル サインオンでログインできるようにします(Cisco NAC Web Agent では SSO はサポートされません)。

Cisco NAC アプライアンス準拠性ポリシー:Agent によるクライアント ポスチャ評価および修復の設定が可能です。

Cisco NAC Web Agent によって、ポスチャ評価が実行されますが、修復のための手段は提供されません。ユーザは、クライアント マシンを手動で訂正または更新して、Web Agent のポスチャ評価要件を満たすために「再スキャン」する必要があります。

Cisco NAC Agent は、Nessus ベースのネットワーク スキャンをサポートしていません。

レイヤ 2 またはレイヤ 3 配置オプション:CAS は、ユーザの L2 近接内、またはユーザから複数ホップ離して配置することもできます。1 つの CAS を L3 と L2 の両方のユーザに使用できます。

インバンド(IB)またはアウトオブバンド(OOB)配置オプション:Cisco NAC アプライアンスはユーザ トラフィックを処理するようにインラインで配置することも、アウトオブバンドで配置して、クライアントがポスチャ評価および修復の処理中にだけネットワークを経由し、認証(ポスチャ評価)後に回避できるようにすることもできます。

 

トラフィック フィルタリング ポリシー:ロールベース IP およびホストベース ポリシーにより、インバンド ネットワーク トラフィックを細かく柔軟に制御できます。

帯域幅管理制御:ダウンロードまたはアップロードの帯域幅を制限します。

ハイ アベイラビリティ:アクティブ/パッシブなフェールオーバー(2 つのサーバが必要)により、予期せぬシャットダウンが発生してもサービスを続行できます。Clean Access Manager(CAM)マシンまたは CAS マシンのペアをハイ アベイラビリ モードで構成できます。


) Cisco Integrated Services Router(ISR; サービス統合型ルータ)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


Cisco NAC アプライアンス ネットワークにおける FIPS の準拠

Cisco NAC アプライアンス リリース 4.7(0)、4.8、および 4.9 は、新しい Cisco NAC-3315、NAC-3355、NAC-3395 ハードウェア アプライアンス プラットフォームおよび Cisco NAC-3310、NAC-3350、NAC-3390 プラットフォーム(『 Cisco NAC Appliance FIPS Field-Replaceable Unit Installation Guide 』で説明されているとおりに現場交換可能な FIPS カードを取り付けているもの)への新規インストールにおいて、Federal Information Processing Standard(FIPS)140-2 Common Criteria EAL2 への準拠をサポートします。お使いの Cisco NAC アプライアンス ネットワークで FIPS への準拠を実現するには、CAM と CAS の両方が新しいハードウェア プラットフォームを使用し、FIPS に準拠する必要があります。

Cisco NAC アプライアンスで FIPS 140-2 への準拠をイネーブルにするために、CAM/CAS には、プライマリ FIPS「レベル 2」の準拠機能を処理し、システムの秘密キーを管理する暗号化カードが備わっています。また、ネットワーク セキュリティを高め、FIPS 140-2 に準拠するために、Cisco NAC アプライアンスではクライアント マシンと CAS の間の SWISS 通信がカプセル化されます。これには、HTTPS プロトコルを使用した検出パケットの送信と確認、認証、およびポスチャ評価の結果が含まれます。また、SWISS メカニズムは SWISS プロトコル機能の 3DES 暗号化を使用する拡張ハンドラも備えています。

また、Cisco NAC アプライアンス ネットワークが FIPS に準拠するために、実行する必要のある特定のタスクがいくつか存在します。

『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の「Cisco NAC Appliance Hardware Platforms」の章の説明に従って、適切な次世代 FIPS 準拠ハードウェアを入手します。

『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の「Installing the Clean Access Manager and Clean Access Server」の章の説明に従って、同じ次世代 FIPS 準拠ハードウェアをインストールし、適切に設定します。

必要に応じて、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』のインストールのトラブルシューティングに関する項にある「Enabling TLSv1 on Internet Explorer Version 6」に従って、Internet Explorer バージョン6で TLSv1 オプションをイネーブルにします。

CAM/CAS の SSL 証明書が、「CAM SSL 証明書の管理」および『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Manage CAS SSL Certificates」で説明されているガイドラインに準拠していることを確認します。

「SNMP Receiver の設定」のガイドラインに従って、アウトオブバンド スイッチの管理に使用する適切な暗号化プロトコルを指定します。

「RADIUS」および「ACS サーバを使用した FIPS 140-2 準拠 RADIUS 認証プロバイダーの追加」のガイドラインに従って、外部 RADIUS 認証サーバへの接続を設定します。

Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Adding/Editing VPN Concentrator Entries」、「Adding/Editing Accounting Server Entries」、および「Configure VPN SSO in a FIPS 140-2 Compliant Deployment」のガイドラインに従って、FIPS 準拠ネットワークでは Cisco ASA 経由で VPN SSO を実行するように Cisco NAC アプライアンスを設定します。

『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』の「Configure Active Directory for FIPS 140-2 Compliant AD SSO」のガイドラインに従って、FIPS 140-2 準拠ネットワークでは Windows クライアント マシンに対して AD SSO を実行するように Cisco NAC アプライアンスを設定します。

必ず、「システム時刻の設定」および『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Synchronize System Time」の手順に従って、CAM と CAS の両方で Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバ認証をディセーブルにしてください。


) Cisco NAC アプライアンス リリース 4.7(0)、4.8、4.9 では、FIPS 140-2 準拠のリリースのみテストが実施されています。

Cisco NAC Profiler および Cisco NAC ゲスト サーバは、リリース 4.7(0)、4.8、4.9 の FIPS 準拠の展開ではサポートされません。


Cisco NAC アプライアンスのコンポーネント

Cisco NAC アプライアンスは、CAM の Web コンソールから管理し、CAS およびオプションの Agent を通じて実行する統合ネットワーク ソリューションです。Cisco NAC アプライアンスは、クライアント システムの検査、ネットワーク要求の強制、パッチやアンチウイルス ソフトウェアの配布を実行するとともに、脆弱なクライアントや感染したクライアントをネットワーク アクセス前に隔離し、修復します。Cisco NAC アプライアンスは、次のコンポーネントで構成されています(図 1-1 を参照)。

Clean Access Manager(CAM):Cisco NAC アプライアンス用の管理サーバ。Clean Access Manager のセキュアな Web コンソールで、1 箇所で配置内の最大 20 の Clean Access Server を管理できます(SuperCAM をインストールする場合は 40 の CAS)。Out-of-Band(OOB; アウトオブバンド)配置の場合、Web 管理コンソールで、SNMP を使用してスイッチおよびユーザ ポートの VLAN 割り当てを制御できます。


) CAM Web 管理コンソールでは、Internet Explorer 6.0 以上だけがサポートされ、高度暗号化(64 ビットまたは 128 ビット)が必要です。高度暗号化はクライアント ブラウザの Web ログインおよび Agent の認証にも必要です。


Clean Access Server(CAS):非信頼(管理対象)ネットワークと信頼ネットワークの間の強制サーバ。CAS は、ネットワーク アクセス権限、認証要件、帯域幅の制限、Cisco NAC アプライアンス システムの要件など、ユーザが CAM Web 管理コンソールで定義したポリシーを強制します。

CAS はスタンドアロン アプライアンス(Cisco NAC-3300 シリーズのように)として設置するか、Cisco ISR シャーシ内のネットワーク モジュール(Cisco NME-NAC-K9)として設置でき、インバンド(常にユーザ トラフィックが通過)またはアウトオブバンド(認証またはポスチャ評価時だけユーザ トラフィックが通過)で導入できます。CAS は、レイヤ 2 モード(ユーザは CAS への隣接 L2)またはレイヤ 3 モード(ユーザは CAS から複数 L3 ホップ離れる)で配置することもできます。

異なるネットワーク セグメントのニーズを満たすために、さまざまなサイズ/容量の CAS をいくつか配置することもできます。Cisco NAC-3300 シリーズ アプライアンスを企業の本社に設置して数千のユーザを処理すると当時に、1 台以上の Cisco NAC ネットワーク モジュールを ISR プラットフォームに設置して、出張所などの少数のユーザ グループを収容するといったことができます。

Cisco NAC アプライアンス Agent:クライアント マシンにあるオプションの読み取り専用の永続的または一時的な Agent。Cisco NAC アプライアンス Agent は、アプリケーション、ファイル、サービス、またはレジストリ キーを検査し、ネットワークへのアクセス権を付与する前に、指定されたネットワーク要件およびソフトウェア要件にクライアント マシンが適合しているかどうか確認します。


) Agent によるクライアント ポスチャ評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼動していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


Cisco NAC アプライアンス アップデート:事前に作成されたひとまとまりのポリシーまたはルールの定期更新ツール。これらのポリシーまたはルールは、オペレーティング システム、antivirus(AV; アンチウイルス)、antispyware(AS; アンチスパイウェア)、およびその他のクライアント ソフトウェアの最新の状態を検査するために使用されます。AV ベンダーおよび AS ベンダーに対するビルトイン サポートを提供しています。

図 1-1 Cisco NAC アプライアンスの配置(L2 インバンド例)

 

Clean Access Manager(CAM)

Clean Access Manager(CAM)は、Cisco NAC アプライアンスの配置のすべての Clean Access Server、ユーザ、ポリシーの設定およびモニタリングを集中管理するサーバであり、またデータベースでもあります。1 つの CAM で最大 20 の Clean Access Server を管理できます。Clean Access Manager の Web 管理コンソールは、ブラウザベースのセキュアな管理インターフェイスです(図 1-2 を参照)。Web コンソールのモジュールに関する概要は、「管理コンソールの要約」を参照してください。Out-Of-Band(OOB; アウトオブバンド)配置で利用する場合、Web 管理コンソールは、[OOB Management] モジュールとなり、Clean Access Manager のドメイン内でスイッチの追加や制御およびスイッチ ポートの構成を行います。

図 1-2 CAM Web 管理コンソール

 

Clean Access Server(CAS)

Clean Access Server(CAS)は、非信頼ネットワークと信頼ネットワークの間のゲートウェイです。Clean Access Server は次のいずれかのIn-Band(IB; インバンド)モードまたはOut-of-Band(OOB; アウトオブバンド)モードで動作できます。

IB Virtual Gateway(L2 トランスペアレント ブリッジ モード)

IB Real-IP ゲートウェイ

OOB バーチャル ゲートウェイ

OOB Real-IP ゲートウェイ

このマニュアルでは、Clean Access Manager Web 管理コンソールを使用した Clean Access Server および Cisco NAC アプライアンス配置のグローバル コンフィギュレーションと管理について説明します。

CAS 動作モードの要約については、「管理ドメインへの Clean Access Server の追加」を参照してください。CAS 構成の詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。

OOB の実装および設定の詳細は、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

DHCP 設定、Cisco VPN コンセントレータの統合、またはローカル トラフィック ポリシーなど、CAS でローカルに設定するオプションの詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。

Cisco NAC アプライアンス Agent

Agent が Cisco NAC アプライアンスの配置でイネーブルになっている場合、ネットワークにアクセスするコンピュータが、指定したシステム要件を満たしていることを確認できます。Agent は Windows ユーザ マシンに常駐する、使いやすく負荷の小さい読み取り専用のプログラムです。ユーザがネットワークにアクセスしようとすると、Agent では必要とされるソフトウェアについてクライアント システムを確認し、アップデートやソフトウェアが見つからない場合、その入手を支援します。

設定したシステム チェックに失敗した Agent ユーザには Agent Temporary ロールが割り当てられます。このロールでユーザに与えられるネットワーク アクセスは Agent 要件への準拠に必要なリソースへのアクセスに限定されます。クライアント システムが要件を満たせば、「クリーン」であると見なされ、ネットワーク アクセスが許可されます。

Cisco NAC アプライアンスで利用できる Cisco NAC アプライアンス Agent には次の種類があります。

Cisco NAC Agent(Windows クライアント マシン用の永続的な Agent)

Windows Clean Access Agent(リリース 4.9 が下位互換性のある 4.6(1) よりも前のリリースで利用できる Windows クライアント マシン用の永続的な Agent)

Mac OS X Agent(Macintosh クライアント用の永続的 Agent)

Cisco NAC Web Agent(Windows クライアント マシン用の一時的な Agent)

Cisco NAC アプライアンスで使用できる Agent のタイプの詳細については、「Cisco NAC アプライアンス Agent」を参照してください。

Cisco NAC アプライアンス アップデート

 

事前に作成されたひとまとまりのポリシーまたはルールの定期更新ツールは、オペレーティング システム、AV(アンチウイルス)、AS(アンチスパイウェア)、およびその他のクライアント ソフトウェアの最新の状態を検査するために使用できます。Cisco NAC アプライアンスは主な AV および AS ベンダーのビルトイン サポートを提供します。詳細については、「Cisco NAC アプライアンスのアップデートの取得」を参照してください。

クライアント ログインの概要

ポスチャ評価を設定する前に、[Device Management] > [Clean Access] > [General Setup] で Agent スキャンやネットワーク スキャンをイネーブルにする必要があります。

Agent ログイン サブページにより、ユーザ ロール/OS 別の Agent 制御がイネーブルになります。

Web ログイン サブページで、ユーザロール/OS ごとにネットワーク スキャンを制御できます。

ダイアログおよび Web ページの内容だけでなく、ユーザが特定のユーザ ロールおよび OS でログインした場合にページを表示するかどうかを指定することもできます。ロールに対して Agent とネットワーク スキャンの両方をイネーブルにする場合、[Agent Login] と [Web Login] 設定ページの両方でロール/OS オプションを設定します。


) エージェントおよびネットワーク スキャンのページは必ず、ユーザ ロール単位とクライアント OS 単位の両方で設定されます。


Agent ログイン

Agent ユーザは、初回の Web ログインを最初に実行する際に、Agent 設定インストール ファイルをダウンロードしてインストールするために Web ログイン ページと Agent ダウンロード ページを確認します。エージェントのインストール後、Agent ユーザは、自動的にポップアップされる Agent ダイアログからログインすることになります。このダイアログが自動的に表示されるのは、システム トレイ アイコン メニューで [Popup Login Window] が選択されている場合です(デフォルト設定)。Agent ユーザは、Agent のシステム トレイ アイコンを右クリックして [Login] を選択することで、ログイン ダイアログを表示させることもできます。Cisco NAC Web Agent ユーザは、クライアント マシンのスキャンの結果、エージェント条件の設定に適合していることが確認されると、ネットワークに自動的に接続されます。


) Agent のログイン/ログアウトは、VPN SSO、AD SSO、および MAC アドレスベースのログインなど、特殊なログインに対しては使用できません(グレーで表示されます)。マシンが即座に再ログインしようとするため、これらの構成ではログアウト オプションは不要です。


エージェント ユーザの場合、エージェント ダイアログで通信が実行されるため、Quarantine ロール ページやポップアップ脆弱性スキャン レポートは表示されません。エージェント ユーザがログインした後、ネットワークにアクセスする前に同意しなければならない [Network Policy] ページ([Acceptable Use] ページ)を設定することもできます。

リモートユーザの確認に RADIUS サーバを使用するように Clean Access Manager を設定した場合、エンド ユーザのエージェント ログイン セッションでは、標準のユーザ ID およびパスワード加えて、他のダイアログ セッションで利用できない追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、Clean Access Manager や Clean Access Server に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の資格情報を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。


) 選択した RADIUS 認証方式に従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


図 1-3 Agent ログイン:一般的なセットアップ

 

図 1-3 に示されている [General Setup] > [Agent Login] タブの設定オプションについて、 表 1-1 で説明します。Agent ログイン ユーザ ページの例と説明については、「Cisco NAC アプライアンス Agent」を参照してください。

 

表 1-1 [Agent Login] - [General Setup] の設定オプション

制御
説明

User Role

システム内のすべてのロールが表示されるドロップダウン メニューから、ユーザ ロールを選択します。Agent を必要とする各ロールに対して Agent Login 設定を設定します(新規ユーザ ロールの作成方法については、「新しいユーザ ロールの追加」を参照してください)。

Operating System

特定のユーザ ロールのクライアント OS を選択します。

デフォルトの [ALL] を選択すると、OS 固有の設定値が指定されていない場合、すべてのクライアント オペレーティング システムにデフォルト設定が適用されます。

[WINDOWS_ALL] を選択すると、Windows OS 固有の設定値が指定されていない場合、すべての Windows オペレーティング システムに設定が適用されます。

Enable OOB logoff for Windows NAC Agent and Mac OS X Agent

このチェックボックスをオンにすると、OOB ログオフがイネーブルになります。このオプションは、すべての OOB CAS とユーザ ロールにグローバルに適用され、OOB Agent 接続の Agent ログアウトとハートビート タイマーがイネーブルになります。OOB Agent 接続でパッシブ再評価を機能させるには、このオプションをイネーブルにする必要があります。詳細については、「アウトオブバンド ログオフの設定」を参照してください。

Require use of Agent (for Windows and Macintosh OSX only)

このチェックボックスをオンにすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に [Agent Download Page Message (or URL)] にリダイレクトされます。ユーザは、ネットワークにログインするために、Agent のダウンロード、インストール、使用を促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。

オプションは、相互に排他的ではありません。両方のオプションをイネーブルにするように選択した場合、Login ページに誘導された際に両方の選択が提示されます。

Require use of Cisco NAC Web Agent (for Windows XP/Vista only)

このチェックボックスをオンにすると、選択したユーザ ロールおよび OS のクライアントは、初回の Web ログイン後に [Cisco NAC Web Agent Download Page Message] (または URL) にリダイレクトされます。ユーザは、一時的な Cisco NAC Web Agent をダウンロードおよびインストールして、ネットワークにアクセスに使用するように促されます。デフォルトのダウンロード指示メッセージを変更するには、HTML テキストまたは URL を入力します。

オプションは、相互に排他的ではありません。両方のオプションをイネーブルにするように選択した場合、Login ページに誘導された際に両方の選択が提示されます。

Allow restricted network access in case user cannot use NAC Agent and Cisco NAC Web Agent

このオプションのチェックボックスをオンにすると、Agent のインストールも Cisco NAC Web Agent の起動もどちらも選ばなかったユーザに制限付きネットワーク アクセスが許可されます。この機能は、主に、エージェントが必要なユーザ ロールにログインしているユーザで、(たとえば、マシンに対する権限が足りない、管理者権限がないなどの場合)エージェントのダウンロードとインストールを実行できないシステムのユーザにアクセスを許可するためのものです。

ユーザは、クライアント マシンが修復に失敗すると、限定的にネットワークにアクセスできる「制限付き」ネットワーク アクセスも利用できます。ユーザは、割り当てられたユーザ ロールでログインする前に、ネットワーク アクセス条件を満たすように更新を実行する必要があります。

詳細については、「Agent ユーザに対する制限付きネットワーク アクセスの設定」を参照してください。

Restricted Access User Role

このドロップダウン メニューを使用して、Agent のインストールも、Cisco NAC Web Agent のインストールと起動もすることなく、制限付きネットワーク アクセスに同意するユーザに対して、ユーザ ロールを指定します。

Restricted Access Button Text

このボックスでは、Agent ログイン ダイアログのプロセス内で Cisco NAC アプライアンス システムにログイン可能なユーザに表示する、「カスタマイズした」ボタンのテキストを変更できます。

Show Network Policy to NAC Agent and Cisco NAC Web Agent users (Windows only)
[Network Policy Link:]

Agent ログイン セッションで [Network Policy]([Acceptable Use Policy])Web ページへのリンクを Agent ユーザに表示する場合は、このチェックボックスをオンにします。このオプションを使用すると、ネットワークにアクセスする前にユーザが同意しなければならないポリシーまたは情報のページを提供できます。このページは、外部 Web サーバまたは Clean Access Manager 自体に保存しておくことができます。

外部サーバ上に置かれているページとリンクさせる場合は、[Network Policy Link] フィールドに https://mysite.com/helppages の形式で URL を入力します。

ネットワーク ポリシー ページ(たとえば、「helppage.htm」)を CAM に保存する場合は、[Administration] > [User Pages] > [File Upload] で、そのページをアップロードしてから、[Network Policy Link] フィールドに URL( https://<CAS_IP_address>/auth/helppage.htm )を入力することにより、そのページを示します。

(注) [Network Policy] ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、[Network Policy] ページに同意した認証ユーザの識別に役立ちます。Certified Devices List からデバイスを消去すると、次回のログイン時にユーザは再度ネットワーク ポリシーに同意しなければなりません。

詳細については、図 10-31および「Agent ユーザ用の [Network Policy] ページ(AUP)の設定」を参照してください。

Logoff NAC Agent users from network on their machine logoff or shutdown after <x> secs (for Windows & In-Band setup, for OOB setup when OOB Logoff is enabled)

 

ユーザが Windows ドメインをログオフしたり([Start] > [Shutdown] > [Log off current user])、Windows ワークステーションをシャットダウンした場合に、Cisco NAC アプライアンス ネットワークからその Agent がログオフするように設定する場合は、このオプションをオンにします。これで、ユーザが Online Users リストから削除されます。

secs] オプションをイネーブルに設定しないと、クライアント上の現在のユーザがクライアント システムからログオフした場合でも、最後に認証されたユーザがログインした状態のままになります。SSO の場合、このクライアントを使用する次回のユーザは、前回のユーザの資格情報でログインされます。(SSO を実行しない)Cisco NAC Web Agent の場合、次回のユーザには、前回のユーザのアクセス レベルが付与されます。

secs] オプションがオンになっていないと、クライアント マシンはセッション タイマーが切れるまで Temporary ロールのままになり、ユーザには再度ログイン/修復を実行する機会が与えられます。

Refresh Windows domain group policy after login (for Windows only)

このチェックボックスをオンにすると、ユーザ ログイン後自動的に Windows ドメイン グループ ポリシーが更新されます(GPO アップデートが実行されます)(Windows の場合だけ)。この機能は、Windows AD SSO が Cisco NAC Agent ユーザに設定されている場合に GPO アップデートを容易にするためのものです。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Enable GPO Updates」を参照してください。

Automatically close login success screen after [] secs

このチェックボックスをオンにして、ユーザが標準ログイン ロールで正常に認証/ログインした後にログイン成功のダイアログを自動的に閉じる時間を設定します(設定しない場合、ログイン ユーザは、[OK] ボタンをクリックする必要があります)。時間を 0 秒に設定すると、Agent ログイン成功画面が表示されません。有効な範囲は 0 ~ 300 秒です。

Automatically close logout success screen after [] secs (for Windows only)

このチェックボックスをオンにして、ユーザが手動でログアウトする際にログアウト成功のダイアログを自動的に閉じる時間を設定します(設定しない場合は、ログアウトしたユーザは [OK] ボタンをクリックする必要があります)。時間を 0 秒に設定すると、ログアウト成功画面が表示されません。有効な範囲は 0 ~ 300 秒です。

Web ログイン

図 1-4 [Web Login] - [General Setup]

 

Web ログイン ユーザには、ログイン ページとログアウト ページ、Quarantine ロール ページまたはアクセス ブロック ページ、および Nessus 脆弱性スキャン レポートのうち、イネーブルに設定されているものが表示されます。ネットワークにアクセスする前に、Web ログイン ユーザにユーザ同意ページを設定することもできます。

リモートユーザの確認に RADIUS サーバを使用するように Clean Access Manager を設定した場合、初回の Web ログイン セッションでは、標準のユーザ ID およびパスワードに加えて、追加の認証チャレンジ/レスポンス ダイアログに対応することができます。この追加の対話方式は、RADIUS サーバ自体のユーザ認証プロファイルによるもので、Clean Access Manager や Clean Access Server に追加設定は不要です。たとえば、標準の ID およびパスワードに加えてトークン生成 PIN や他のユーザ固有の資格情報を確認するといった、追加の認証確認を RADIUS サーバ プロファイル設定に装備することができます。この場合、1 つ以上のログイン ダイアログ画面がログイン セッションの一部として表示される場合があります。


) 選択した RADIUS 認証方式に従って正しく対話するように、RADIUS サーバおよび関連クライアントが設定されていることを確認します。


表 1-2 では、図 1-4 に示されている [General Setup] > [Web Login] の設定オプションについて説明します。Web ログイン ユーザ ページの例と説明については、表 1-3を参照してください。

 

表 1-2 [Web Login] - [General Setup] の設定オプション

制御
説明

User Role

Cisco NAC アプライアンスの [General Setup] タブの設定を適用するユーザ ロールを選択します。ドロップダウン リストには、システム内のすべてのロールが表示されます。[User Management] > [User Role] で、ユーザ ロールを設定します(「新しいユーザ ロールの追加」を参照)。

Operating System

特定のユーザ ロールのクライアント OS を選択します。デフォルトでは、OS 固有の設定値が指定されていない場合、すべてのクライアント オペレーティング システムに [ALL] の設定が適用されます。

Show Network Scanner User Agreement Page to web login users

Web ログインおよびネットワーク スキャン後に、[User Agreement Page](「Virus Protection Information」)を表示する場合は、このチェックボックスをオンにします。このページには、[User Agreement] 設定フォームで設定した内容が表示されます。ネットワークにアクセスするためには、ユーザは [Accept] ボタンをクリックしなければなりません。

(注) ユーザ同意ページが表示されるのは、そのデバイスでログインした最初のユーザだけです。これは、ユーザ同意ページに同意した認証ユーザの識別に役立ちます。Certified Devices List からデバイスを消去すると、次回のログイン時にユーザは再度、このページで同意しなければなりません。

このオプションを選択する場合は、「ユーザ同意ページのカスタマイズ」の説明に従って、ページの設定を確認する必要があります。

Enable pop-up scan vulnerability reports from User Agreement Page

このチェックボックスをオンにすると、ポップアップ ブラウザ ウィンドウから、Web ログイン ユーザに対してネットワーク スキャンの結果を表示することができます。ポップアップ ウィンドウがクライアント コンピュータでブロックされている場合、ユーザはログアウト ページの [Scan Report] リンクをクリックすることでレポートを表示できます。

Require users to be certified at every web login

このチェックボックスをオンすると、ネットワークにアクセスするたびにユーザにネットワーク スキャンを強制できます。

ディセーブルに設定すると(デフォルト)、ユーザ証明が必要になるのは、そのユーザが最初にネットワークにアクセスしたとき、または Certified Devices List からそのユーザの MAC アドレスが消去されるまでの間です。

(注) このオプションは、In-Band Online Users リストにだけ適用します。このオプションをイネーブルにして、[Online Users] リスト エントリを削除すると、同じ MAC アドレスを使用する [Online Users] リスト(インバンドまたはアウトオブバンド)のエントリが他にない場合は、対応する [Certified Devices] リスト エントリが削除されます。

Exempt certified devices from web login requirement by adding to MAC filters

このチェックボックスをオンにすると、Cisco NAC アプライアンスの Certified Devices List 上にあるデバイスの MAC アドレスが認証パススルー リストに追加されます。これによって、デバイスは、次回のネットワーク アクセス時に認証とポスチャ評価をどちらも回避できます。

Block/Quarantine users with vulnerabilities in role

このチェックボックスをオンにして、ドロップダウン メニューから Quarantine ロールを選択すると、ネットワーク スキャン後に脆弱性が発見された場合、そのユーザは Quarantine ロールに割り当てられます。Quarantine ロールで隔離されたユーザは、システムの問題を修正し、再度ネットワーク スキャンを受けて、脆弱性が発見されなくなるまでネットワークにアクセスできません。

ネットワーク スキャン後に脆弱性が発見された場合にネットワークからユーザをブロックするには、このチェックボックスをオンにして、ドロップダウン メニューから [Block Access] を選択します。ブロックされたユーザには、[Message (or URL) for Blocked Access Page:] フィールドに入力した内容のアクセスブロック ページが表示されます。

(注) Quarantine ロールの名前の横にあるカッコ内に、ロール セッションの期限が表示されます。このセッション時間は、ユーザ同意ページにも表示されます(Quarantine ユーザに対して、このページの表示がイネーブルになっている場合)。

Show quarantined users the User Agreement Page of

[Block/Quarantine users with vulnerabilities in role] で、[Quarantine] を選択した場合は、下部にこのオプションが表示されます。これによって、スキャンで不合格になったユーザ用に選択された Quarantine ロール専用のユーザ同意ページを表示できます。あるいは、Cisco NAC アプライアンスでユーザの標準ログイン ロールに関連付けられたページを表示したり、ページを何も表示しないことも可能です。詳細については、「ユーザ同意ページのカスタマイズ」を参照してください。

Message (or URL) for Blocked Access Page:

[Block/Quarantine users with vulnerabilities in role] で、[Block Access] を選択した場合は、下部にこのオプションが表示されます。デフォルトのメッセージを変更する場合は、ユーザが Nessus スキャンに不合格となったため、ネットワークからブロックされたときに表示するメッセージの HTML テキストまたは URL を入力します。

クライアント ポスチャ評価の概要

Cisco NAC アプライアンスの適合ポリシーによって、コンピュータ ウイルス、ワーム、その他の悪意あるコードのネットワークへの脅威を軽減できます。Cisco NAC アプライアンスは、ネットワーク アクセス条件を強制し、クライアント上にあるセキュリティの脅威や脆弱性を検出し、パッチや AV(アンチウイルス)および AS(アンチスパイウェア)ソフトウェアを配布することのできる強力なツールです。このツールを使用すると、設定されたセキュリティ条件への不適合がある場合、アクセスのブロックやユーザの隔離を実行できます。これによって、危害を受ける前にウイルスやワームをネットワークのエッジで阻止します。

Cisco NAC アプライアンスは、ユーザがネットワークへのアクセスを試行すると、クライアント システムを評価します。Cisco NAC アプライアンスのほとんどの機能は、ユーザ ロール別および OS(オペレーティング システム)別に設定され、適用されます。これによって、ネットワークにアクセスするユーザやデバイスのタイプに応じて Cisco NAC アプライアンスを適切にカスタマイズすることができます。Cisco NAC アプライアンスには、クライアント システム上の脆弱性を検出し、ユーザが脆弱性を修正したり必要なパッケージをインストールしたりできるようにする方法が 3 つあります。

Cisco NAC アプライアンス Agent のみ(Cisco NAC Agent または Cisco NAC Web Agent)

ネットワーク スキャンだけ

エージェントとネットワーク スキャン

クライアント ポスチャ評価を設定する手順の概要

Cisco NAC アプライアンスでクライアント ポスチャ評価を設定する手順の一般的な概要は、次のとおりです。


ステップ 1 アップデートをダウンロードします。
Agent および他の構成要素の汎用アップデートを取得します。「Cisco NAC アプライアンスのアップデートの取得」を参照してください。

ステップ 2 [General Setup] タブで、ユーザ ロールおよび OS 別に Agent ベース アクセスまたはネットワーク スキャンを設定します。
ロールに Agent の使用を要求し、Web ログイン ユーザには Web ページのネットワーク スキャンをイネーブルにし、脆弱性のあるユーザは隔離するかアクセスをブロックします。「クライアント ログインの概要」を参照してください。

ステップ 3 クライアント ポスチャ評価に関連するユーザ ロールに、セッション タイムアウトとトラフィック ポリシーを設定します(インバンド)。 Quarantine ロールのトラフィック ポリシーは、ユーザ同意ページとネットワーク スキャンで不合格になった隔離ユーザ用の Web リソースへのアクセスを許可します。Agent Temporary ロールのトラフィック ポリシーは、ユーザが必要とするソフトウェア パッケージのダウンロード元リソースへのアクセスを許可します。「Agent Temporary および Quarantine ロールのポリシーの設定」を参照してください。

ステップ 4 Agent ベースのポスチャ評価、ネットワーク スキャン、またはその両方を設定します。

Agent ログインを設定する場合 : [General Setup] > [Agent Login] タブで、ユーザ ロールに対して Agent の使用を要求します。ユーザ ロール別に条件を検討して定義します。AV ルールを設定するか、またはチェックからカスタム ルールを作成します。AV ルールを AV Definition Update 条件に対応付けるか、カスタム ルールをカスタム条件に対応付けるか(File Distribution/Link Distribution/Local Check)、またはその両方を行います。条件を各ユーザ ロールに対応付けます。「Agent ベースのポスチャ評価の設定」を参照してください。

ネットワーク スキャンを設定する場合 : Clean Access Manager のリポジトリに Nessus プラグインをロードします。ネットワーク スキャンをイネーブルにするには、スキャンを実施する Nessus プラグインを選択し、ユーザ ロールおよびオペレーティング システムに対して、スキャン結果の脆弱性に関する設定を行います。ユーザ同意(User Agreement)ページのカスタマイズ 「ネットワーク スキャンの設定手順」を参照してください。ネットワーク スキャンの結果は、ネットワーク スキャンを実行しないようにブロックするパーソナル ファイアウォールの有効範囲によって異なります。


) Cisco NAC Agent は、Nessus ベースのネットワーク スキャンをサポートしていません。


ステップ 5 クライアントとして非信頼ネットワークに接続することにより、ユーザ ロールおよびオペレーティング システムの 設定をテストします。 テストの間、Certified Devices List、[Online Users] ページ、イベント ログを監視します。Web ログインを実行してネットワーク スキャンをテストします。ネットワーク スキャン プロセス、ログアウト ページ、および関連するクライアントおよび管理者のレポートを確認します。最初の Web ログインと Agent のダウンロード、ログイン、条件検査とスキャンの実行を通して Agent をテストし、関連するクライアントおよび管理者のレポートを表示します。

ステップ 6 必要に応じて、フローティング デバイスや免除デバイスなどを設定して、Certified Devices List を管理します。フローティング デバイスに対しては、各ユーザ セッションの開始時に証明を受ける必要があります。免除デバイスは、常にネットワーク スキャン(Nessus スキャン)から除外されます。「証明済みデバイスの管理」を参照してください。


 

詳細については、次を参照してください。

「Agent ベースのポスチャ評価の設定」

「ネットワーク スキャンの設定手順」

Cisco NAC アプライアンス Agent

Cisco NAC Agent

Cisco NAC Agent は、32 ビットおよび 64 ビットの Windows オペレーティング システムのローカル マシン向けに、Agent ベースのポスチャ評価と修復を提供します。また、「ダブルバイト」文字形式をサポートしており、UTF-8 に全面的に準拠しているほか、いくつもの一般的な言語でネイティブのクライアント側ローカライズが可能です(サポートされている言語のリストについては、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください)。ユーザは Agent をダウンロードしてインストールする必要があります。それにより、ホスト レジストリの表示、プロセス検査、アプリケーション検査、サービス検査が可能になります。このエージェントを使用すると、ユーザがシステムを修正できるように、AV/AS 定義の更新、Clean Access Manager にアップロードされたファイルの配布、または Web サイトへのリンクの配布を実行できます。


) Cisco NAC Agent のポスチャ評価には、クライアント側ファイアウォールによる制約はありません。このエージェントは、パーソナル ファイアウォールがインストールされ、稼動していても、クライアントのレジストリ、サービス、アプリケーションを検査できます。


Cisco NAC Agent クライアント マシンのログインおよびセッションの動作は、クライアント マシンのインストール ディレクトリにある NACAgentCFG.xml Agent コンフィギュレーション ファイルで指定された設定によって決まります(Windows XP におけるデフォルトのインストール ディレクトリは、 C: ¥ Program Files ¥ Cisco ¥ Cisco NAC Agent ¥ です。しかし、管理者またはクライアント マシンのユーザは、別のディレクトリを指定することもできます)。 NACAgentCFG.xml ファイルの設定を 「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」で説明されているパラメータに基づいてカスタマイズすることも、デフォルト設定を使用して Cisco NAC Agent に独自の Agent 設定 XML ファイルを作成させることもできます。

Cisco NAC Agent には次の機能があります。

初回のワンタイム Web ログインによって簡単にエージェントをクライアントにダウンロードしインストールできます。エージェントは、そのクライアント PC の現在のユーザおよびその他のすべてのユーザにデフォルトでインストールされます。

ポスチャ評価は、32 ビットと 64 ビット両方の Windows オペレーティング システムをサポートしています(Cisco NAC アプライアンスの以前のリリースでは、64 ビット Windows オペレーティング システムでの認証しかサポートしていませんでした)。

「ダブルバイト」文字のサポート。これによって Agent は、サポートされているロケール/言語の OS プラットフォームでユーザ ダイアログを表示できます。

有線接続されていない、またはワイヤレスの NIC がクライアント マシンでイネーブルになっている Evolution Data Optimized(EVDO)接続。この機能を Cisco NAC Agent でイネーブルにする場合の詳細については、 表 9-10 「クライアント側の MAC アドレス管理」 を参照してください。

自動アップグレード エージェントをクライアントにインストールすると、エージェントの以降のバージョンは自動的に検出、ダウンロードされ、アップグレードが行われます。Agent は、ログイン要求のたびに、Agent のアップデートがないか確認します。管理者は、Agent の自動アップグレードを、すべてのユーザに対して必須または任意に設定できます。また、アップデートの通知をディセーブルに設定することもできます。

主要な AntiVirus(AV; アンチウイルス)および AntiSpyware(AS; アンチスパイウェア)ベンダーに対応できる AV/AS チェック機能が組み込まれています。AV/AS のルールと条件を設定できるため、クライアントで実行する必要のある最も一般的なタイプのチェックを簡単に実行でき、またエージェントによってクライアント マシン上の AV および AS 定義ファイルを自動的に検出および更新できます。「Cisco NAC アプライアンス アップデート」を使用することにより、CAM での AV/AS 製品のサポートは常に最新の状態に保たれます。

クライアントが要件を満たしていない場合には、証明済み/デジタル署名済の実行可能プログラムを起動する機能。詳細については、「Launch Programs 要件の設定」を参照してください。

ルールとチェックのカスタム設定。管理者はクライアントに特定のアプリケーション、サービス、またはレジストリ エントリがないかどうかチェックするために条件を設定できます。その際、あらかじめ定義されたシスコ製のチェックおよびルールも、また自分で作成したカスタム チェックおよびルールも使用できます。

マルチホップ レイヤ 3 インバンド(IB)およびアウトオブバンド(OOB)配置のサポートと、VPN コンセントレータ/レイヤ 3 アクセス。クライアントと CAS の間に 1 つ以上のレイヤ 3 ホップがあるような(L2 の近接ではなく)ネットワーク構成の場合でもクライアントが CAS を認識できるように、CAM/CAS/Agent を設定できます。また、Cisco NAC アプライアンスと Cisco VPN コンセントレータを統合する場合(インバンド)は、SSO もサポートされます。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Enable L3 Deployment Support」、「Integrating with Cisco VPN Concentrators」または「Configuring Layer 3 Out-of-Band (L3 OOB)」を参照してください。

Windows ドメインの Active Directory シングルサインオン。Windows AD SSO が Cisco NAC アプライアンス用に設定されている場合、Agent をインストール済のユーザは、Windows ドメインにログインする際に、自動的に Cisco NAC アプライアンスにログインすることができます。クライアント システムの条件が自動的にスキャンされます。個別のエージェント ログインは不要です。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Configuring Active Directory Single Sign-On (AD SSO)」の章を参照してください。


) AD SSO から Cisco NAC アプライアンスにログインするユーザは、FIPS に準拠するために、Windows Vista または Windows 7 を実行していて、適切な Cisco NAC Agent(バージョン 4.7.1.15、4.8.0.32、または4.9.0.33)をクライアント マシンにインストールしている必要があります。Windows XP クライアントで AD SSO を実行した場合、FIPS 140-2 準拠要件を満たしません。


自動 DHCP リリース/更新。Agent が OOB 配置のログインに使用される場合、アクセス VLAN でクライアントに新規 IP アドレスが必要になると、Agent は自動的に DHCP IP アドレスを更新します。詳細については、「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。


) OOB クライアント マシンの認証 VLAN 変更検出へのアクセスの詳細については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


Windows のログオフ/シャットダウンに伴う Cisco NAC Agent のログオフ。ユーザが Windows ドメインからログオフしたり、Windows マシンをシャットダウンした場合に、Cisco NAC アプライアンス ネットワークから Agent がログオフするかどうかを、イネーブルまたはディセーブルに設定できます。この機能は、OOB 配置には適用されません。

上記のエージェント設定機能に関する詳細は、「Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定」を参照してください。

Agent の各バージョンの機能については、最新の リリース ノート で「Cisco NAC Appliance Agents」を参照してください。

Cisco NAC Web Agent

Cisco NAC Agent と異なるのは、Cisco NAC Web Agent は「永続的」でないエンティティであるため、単一ユーザ セッションを提供する間だけクライアント マシンに存在するということです。Agent アプリケーションをダウンロードしてインストールする代わりに、ユーザがブラウザ ウィンドウを開くと、NAC アプライアンスの Web ログイン ページにログインします。クライアント マシン上で自己解凍型の Agent インストーラを開始する方法として、一時的な Cisco NAC Web Agent、ActiveX コントロール、または Java アプレットのいずれかを選択して([Administration] > [User Pages] > [Login Page] の設定ページの [Web Client (ActiveX/Applet)] オプションを使用して、優先する方法を指定します)起動します。Agent ファイルがクライアントの一時ディレクトリにインストールされた後、ポスチャ評価/システムのスキャンが実行されてセキュリティの適合を確認します。また、適合ステータスを NAC アプライアンス システムにレポートします。この間は、ユーザは Temporary ロールに限定したアクセス権が付与されます。クライアント マシンが 1 つ以上の理由により適合していない場合、ネットワーク アクセスを制限したことをユーザに通知します。ユーザは次のうちいずれかを実行できます。

クライアント マシンを手動で修復および更新する。この場合、Temporary ロールをタイムアウトする前に再度適合をテストする必要があります。

「制限付き」ネットワーク アクセスのまましばらく使用する。次回のログイン セッションでは、クライアント マシンが条件を満たすようにします。


) OOB ユーザが制限付きアクセスを使用する場合は、そのロールが CAM で定義されている間 OOB ユーザはそのロールを持ち続けます。したがって、ユーザが制限付きアクセス ロールで接続中に手動修復を実行できた場合であっても、クライアント マシンは、そのセッションを一度終了してからユーザが再度ログインを試行するまで再スキャンは実行されません。



) Cisco NAC Web Agent はクライアントの修復を実行しません。ユーザは、内部ネットワークにアクセスする前に、Web Agent セッションに関係なく、NAC アプライアンスの条件のガイドラインに従って、コンプライアンスを守らなければなりません。Temporary ロールのタイムアウトが発生するまでに、ユーザがクライアント マシンを適合するように修正および更新できた場合、ユーザはクライアント マシンの「再スキャン」を選択して、ネットワークに正常にログインできます。


ユーザが適切なログイン資格情報を提供し、Web Agent によりクライアント マシンが NAC アプライアンスのセキュリティ条件を満たしていることが確認されれば、ブラウザ セッションを開いたまま、ユーザがネットワークにログインされます。このユーザが Web Agent ブラウザ ウィンドウの [Logout] ボタンをクリックしたり、システムを停止したり、NAC アプライアンスの管理者が CAM からセッションを終了するまで、ログインの状態が続きます。セッションの終了後、Web インターフェイスは、ユーザをネットワークからログアウトさせ、セッションをクライアント マシンから削除します。ユーザ ID は Online Users リストに表示されなくなります。

Mac OS X Agent

Windows クライアント マシン用の Cisco NAC Agent と同様に、 Macintosh クライアント マシンについて、ローカル マシンで Agent ベースのポスチャ評価および修復を実行できます。

Mac OS X Agent には次の機能があります。

初回のワンタイム Web ログインによって簡単にエージェントをクライアントにダウンロードしインストールできます。Agent は、そのクライアント マシンの現在のユーザおよびその他のすべてのユーザにデフォルトでインストールされます。

Mac OS X Agent では、Cisco NAC Agent または Cisco NAC Web Agent を実行している Windows ユーザが利用できるクライアント ポスチャ評価および修復機能の一部しか実行されません。詳細については、「Agent ベースのポスチャ評価の設定」を参照してください。

自動アップグレード エージェントをクライアントにインストールすると、エージェントの以降のバージョンは自動的に検出、ダウンロードされ、アップグレードが行われます。Agent は、ログイン要求のたびに、新しい更新ファイルがないかどうかをチェックします。管理者は、Agent の自動アップグレードを、すべてのユーザに対して必須または任意に設定できます。また、アップデートの通知をディセーブルに設定することもできます。

主要な AntiVirus(AV; アンチウイルス)および AntiSpyware(AS; アンチスパイウェア)ベンダーに対応できる AV/AS チェック機能が組み込まれています。AV/AS のルールと条件を設定できるため、クライアントで実行する必要のある最も一般的なタイプのチェックを簡単に実行でき、またエージェントによってクライアント マシン上の AV および AS 定義ファイルを自動的に検出および更新できます。「Cisco NAC アプライアンス アップデート」を使用することにより、CAM での AV/AS 製品のサポートは常に最新の状態に保たれます。


) OOB クライアント マシンの認証 VLAN 変更検出へのアクセスの詳細については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


上記のエージェント設定機能に関する詳細は、「Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定」を参照してください。

Agent の各バージョンの機能については、最新の リリース ノート を参照してください。

Clean Access Agent

(リリース 4.6(1) よりも前の Cisco NAC アプライアンスには、Windows クライアント マシン用の永続的 Agent が用意されていました)

Windows バージョンの Clean Access Agent の詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』を参照してください。

 

ネットワーク スキャナ


Nessus ベースのネットワーク スキャン機能は、クライアント ネットワーク スキャンと Agent ログイン機能の組み合わせが設定されている Web ログイン ユーザおよび Clean Access Agent ユーザにだけ適用されます。Cisco NAC Agent は、Nessus ベースのネットワーク スキャンをサポートしていません。


Cisco NAC アプライアンスのネットワーク スキャナという方法は、ネットワーク ベースの脆弱性評価と Web ベースの修復を提供します。これは、ローカル Clean Access Server 内のネットワーク スキャナであり、実際のネットワーク スキャンや、特定のホストに多いよく知られたポート脆弱性のチェックを実行します。脆弱性が発見されると、Clean Access Manager に設定されている Web ページがユーザに表示され、Web サイトへのリンクまたはシステムの修正方法に関する情報が提示されます。

ネットワーク スキャンは、Nessus プラグインによって実行されます。Nessus( http://www.nessus.org )は、オープン ソースの脆弱性スキャナです。Nessus プラグインは、ネットワークを通じてクライアント システムを検査し、セキュリティの脆弱点がないかどうか調べます。スキャンの結果、脆弱性またはウイルス感染が発見された場合、Cisco NAC アプライアンスは、脆弱性を抱えているユーザに警告したり、そのユーザのネットワーク アクセスをブロックしたり、あるいはそのユーザを Quarantine ロールに割り当ててシステムを修正できるようにするなど、すぐに措置を講じます。


) クライアントにパーソナル ファイアウォールがインストールされている場合、ネットワーク スキャンはタイムアウトの結果を応答する可能性が高くなります。結果がタイムアウトの場合、隔離、ネットワーク アクセスの制限、またはネットワーク アクセスの許可のどの方法でクライアント マシンを扱うのかは、任意に決めることができます(パーソナル ファイアウォールが十分な保護を提供している場合)。


新しい Nessus プラグインがリリースされると、Clean Access Manager のリポジトリにロードできます。ロードしたプラグインは、CAM のリポジトリから実際にスキャンを実行する Clean Access Server へ自動的に発行されます。CAM は、Clean Access Server 内のプラグイン セットのバージョンが CAM 内のバージョンと異なっている場合、CAS の起動時にプラグイン セットを CAS に配布します。

Agent の検査とネットワーク スキャンを調整して、ネットワーク スキャンの前に脆弱性修正ソフトウェアの有無をエージェントが検査するといったことも可能です。たとえば、ある脆弱性に対処するために Microsoft Windows アップデートが必要な場合は、これをエージェントの必須パッケージとして指定できます。このようにすれば、ネットワーク脆弱性スキャンの実行前に、エージェントはユーザがスキャンに合格するように導くことができます。


) • Nessus 2.2 プラグインを使用して、Cisco NAC アプライアンスでスキャンを実行できます。アップロードされている Nessus プラグイン アーカイブのファイル名は、plugins.tar.gz でなければなりません。Cisco NAC アプライアンスのソフトウェア リリースに付属するのは、Nessus バージョン 2.2.7 だけです。Nessus バージョン 2.2.7 の NASL_LEVEL 値は、3004 未満です。Cisco NAC アプライアンスは、NASL_LEVEL が 3004 以上であることを要求される Nessus プラグインをサポートしません。現在、ベンダー ライセンス上の制約から、Cisco NAC アプライアンスは Nessus バージョン 3 プラグインをサポートしていません。

Tenable 社によるライセンス条件のため、シスコは、事前に試験済みの Nessus プラグインまたは自動プラグインのアップデートをリリース 3.3.6/3.4.1 から Cisco NAC アプライアンスにバンドルできなくなります。ただし、お客様は引き続き Nessus サイトから Nessus プラグインを選択して手動でダウンロードできます。入手可能なプラグインについては、 http://www.nessus.org/plugins/index.php?view=all を参照してください。
Nessus プラグインのフィードに関する詳細は、 http://www.nessus.org/plugins/index.php?view=feed を参照してください。

Cisco では、クライアント システムのネットワーク スキャンに使用するプラグインの数は、多くても 5 ~ 8 程度にすることを推奨します。これよりも多くのプラグインを使用すると、ユーザのシステムにファイアウォールがある場合、各プラグインがタイムアウトになり、ログインに長い時間がかかる可能性があります。


 

 

ログインと Nessus スキャンのプロセス中にユーザに表示される Web ページ、および Web 管理コンソールで設定するリストについて、 表 1-3 に概要を示します。

 

表 1-3 Web ログイン ユーザ ページの概要

ページ
設定場所
目的
Web ログイン ページ

[Login] ページ

[Administration] > [User Pages] > [Login Page]

詳細については、「ユーザ ログイン ページ」を参照してください。

ログイン ページは、エージェント/ネットワーク スキャン用の Web ページとは別に設定され、ネットワーク スキャンだけを使用する場合にはネットワーク認証インターフェイスになります。エージェント ユーザがこのページの使用しなければならないのは、エージェントのインストール ファイルを最初にダウンロードするときの 1 回だけです。ログイン ページは、VLAN、サブネット、クライアント OS 別に設定できます。ユーザは、認証のために自分の資格情報を入力し、CAM はローカル ユーザ/ユーザ ロールの設定に基づいて、ユーザに割り当てるロールを判断します。

[Logout] ページ

(Web ログイン ユーザだけ)

[User Management] > [User Roles] > [New Role] または [Edit Role]

詳細については、「ログアウト ページ情報の指定」を参照してください。

ログアウト ページは、認証に Web ログインを使用するユーザにだけ表示されます。ユーザが正常にログインすると、ユーザのブラウザにログアウト ページがポップアップされ、選択したオプションの組み合わせに応じて、ユーザのステータスが示されます。

(注) ユーザ(特に Quarantine ロールのユーザ)は、このログアウト ページを閉じないように注意する必要があります。このページを閉じてしまうと、セッション タイムアウトが発生するまでログアウトできなくなります。

ロール別にユーザを特定のページまたは URL(Cisco NAC アプライアンス外の)にリダイレクトする場合の詳細については、「ローカル ユーザ アカウントの作成」を参照してください。

Cisco NAC アプライアンスの設定に関するその他の情報については、「[General Setup] ページでの設定」を参照してください。

エージェント条件の設定に関する詳細は、「Agent ベースのポスチャ評価の設定」を参照してください。

詳細については、「ネットワーク スキャンの設定」を参照してください。

ユーザの管理

Clean Access Manager を使用すると、既存の認証メカニズムをネットワーク上のユーザに簡単に適用できます(図 1-5を参照)。ユーザ ロールをカスタマイズしてグループ化して、特定のユーザ グループ用のトラフィック ポリシー、帯域幅制限、セッション期間、クライアント ポスチャ評価、および Cisco NAC アプライアンス内のその他のポリシーを定義できます。その後、ロールマッピングを使用して、外部認証ソースから渡された VLAN ID または属性に基づいてユーザをこれらのポリシーにマップできます。

Clean Access Server は、非信頼ネットワークから HTTP 要求を受信すると、その要求が認証済みのユーザからのものかどうかを確認します。認証済みのユーザからの要求でない場合は、そのユーザにカスタマイズ可能な安全な Web ログイン ページが提示されます。Web ログイン ページを介して安全に送信されたユーザの資格情報は、CAM 自身(ローカル ユーザの検査の場合)によって、または LDAP、RADIUS、Kerberos、Windows NT など、外部認証サーバで実行できます。Agent が配布される場合、ユーザは初期 Web ログイン後に Agent をダウンロードおよびインストールし、その後ログイン/ポスチャ評価に使用します。

図 1-5 認証パス

 

Agent やネットワーク ポート スキャンに関する要件を設定することにより、ポスチャ評価および修復を設定し、認証済みユーザに適用できます。


) Cisco NAC Web Agent によって、ポスチャ評価が実行されますが、修復のための手段は提供されません。ユーザは、クライアント マシンを手動で訂正または更新して、Web Agent のポスチャ評価要件を満たすために「再スキャン」する必要があります。


IP ベースおよびホストベースのトラフィック ポリシーによって、認証前、ポスチャ評価の実行中、およびユーザ デバイスが「クリーン」と証明された後に、ユーザのネットワーク アクセスを制御できます。

IP ベース、ホストベース、および(Virtual Gateway 構成の場合)レイヤ 2 イーサネットのトラフィック ポリシーによって、認証前、ポスチャ評価の実行中、およびユーザ デバイスが「クリーン」と証明された後に、ユーザのネットワーク アクセスを制御できます。


) レイヤ 2 イーサネット トラフィック制御は、バーチャル ゲートウェイ モードで動作する Clean Access Server にだけ適用されます。


さらに、[Online Users] ページ(L2 および L3 配置の場合)や Certified Devices List(L2 配置の場合だけ)を通じて、Web コンソールからユーザの活動を監視できます。

Web 管理コンソールの要素の概要


FIPS 140-2 準拠 CAM/CAS の Web コンソールへのアクセスに Internet Explorer バージョン 6 を使用している管理者は、ネットワークと「対話」するために、TLSv1(Microsoft Internet Explorer バージョン 6 のデフォルトではディセーブルにされています)をブラウザの詳細設定でイネーブルにしておく必要があります。『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』で、インストールのトラブルシューティングに関する項にある「Enabling TLSv1 on Internet Explorer Version 6」を参照してください。


ライセンスによって Cisco NAC アプライアンス ソフトウェアが使用可能になると、CAM の Web 管理コンソールで、Cisco NAC アプライアンスを管理するための簡単に使用できるインターフェイスが提供されます。Web コンソールの左側のパネルには、主なモジュールとサブモジュールが表示されます。Web コンソール上部のナビゲーション パスを見れば、今、このインターフェイス内のどのモジュールおよびサブモジュールが表示されているのかがわかります。サブモジュールをクリックすると、そのインターフェイスのタブが開くか、あるいは直接、設定のページまたはフォームが表示されます。設定ページではアクションを実行でき、設定フォームではフィールドに情報を入力できます。Web 管理コンソールのページは、次の要素で構成されています(図 1-6を参照)。

図 1-6 Web 管理コンソールのページの要素

 


) このマニュアルでは、管理コンソールのナビゲーション リンクに次の表記方法を使用します。[<モジュール>] > [<サブモジュール>] > [<タブ>] > [<タブ リンク>] > [<サブタブ リンク>](該当する場合)


Clean Access Server(CAS)管理ページ

Clean Access Server を Web 管理コンソールから管理できるようにするには、その Server を Clean Access Manager ドメインに追加する必要があります。「デバイス管理:Clean Access Server の追加、フィルタの追加」に、手順が説明されています。ドメインに追加した Clean Access Server に管理コンソールからアクセスするには、次の手順を使用します。このマニュアルで「 CAS 管理ページ 」と記述されている場合、図 1-8 に示されている一連のページ、タブ、フォームを表します。

1. [Device Management] モジュールの [CCA Servers] リンクをクリックします。デフォルトでは、[List of Servers] タブが表示されます。

図 1-7 CAS の [List of Servers] ページ

 

2. アクセスする Clean Access Server の IP アドレスの [Manage] ボタンをクリックします。


) ハイ アベイラビリティ構成の Clean Access Server では、最初にサービス IP が自動的に表示され、現在アクティブな CAS の IP アドレスはカッコ内に表示されます。


3. Clean Access Server 用の CAS 管理ページは、図 1-8のように表示されます。

図 1-8 CAS 管理ページ

 

管理コンソールの要約

表 1-4 に、Web 管理コンソールの各モジュールの主な機能をまとめて示します。

 

表 1-4 Clean Access Manager Web 管理コンソールのモジュールの要約

モジュール
モジュールの説明

 

[Device Management] モジュールでは、次のことができます。

CAS 管理ページ(図 1-8)を使用した Clean Access Server でのソフトウェア アップグレードを追加、設定、管理、実行します。を参照してください。
「デバイス管理:Clean Access Server の追加、フィルタの追加」を参照してください。
AD SSO、DHCP、Cisco VPN コンセントレータの統合など、ローカル CAS の設定については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。

アップグレード情報については、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading」を参照してください。

非信頼側にあるデバイスが認証とポスチャ評価を回避できるようにデバイスまたはサブネットのフィルタを設定します。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

ポスチャ評価(Agent/ネットワーク スキャン)や修復をユーザのロールおよび OS ごとに設定します。以下を参照してください。

「Agent ベースのポスチャ評価の設定」

「ネットワーク スキャンの設定」

モジュールで設定します。

 

Cisco NAC アプライアンスのアウトオブバンド配置には、[OOB Management] モジュールを使用します。このモジュールでは次のことができます。

アウトオブバンドのグループ、スイッチ、WLC、ポートのプロファイル、および Clean Access Manager の SNMP Receiver の設定

サポート対象のアウトオブバンド スイッチの追加、送信する SNMP トラップの設定、[Ports]([Port Profile])ページを通じた個々のスイッチ ポートの管理、検出されたクライアントのリストの監視

「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

 

[User Management] モジュールでは、次のことができます。

正常ログイン ユーザのロールを作成します。ユーザ グループを認証パラメータ、トラフィック制御ポリシー、セッション タイムアウト、帯域幅制限に関連付けることができます。OOB ポート プロファイルにロールベースの設定を使用している場合は、ユーザ ロールを使用してアクセス VLAN を設定できます。

IP およびホストベースのトラフィック制御ポリシーを追加して、すべてのユーザ ロールのネットワーク アクセスを設定します。Agent Temporary ロールのトラフィック ポリシー/セッション タイムアウトと Quarantine ロールの設定し、クライアント デバイスが条件を満たしていない場合またはネットワーク スキャンで脆弱性が発見された場合、そのデバイスのネットワーク アクセスを制限できます。

CAM に認証サーバを追加します(ネットワーク上の外部認証ソースの設定)。

CAS に AD SSO または Cisco VPN コンセントレータ統合が設定されている場合、Active Directory SSO や Cisco VPN SSO などの認証ソースを追加して SSO をイネーブルにします。

複雑なマッピング ルールの作成。LDAP もしくは RADIUS の属性、または VLAN ID に基づいてユーザをユーザ ロールに対応付けることができます。

RADIUS アカウンティングを実行します。

CAM によって内部認証されたローカル ユーザの作成(試用)

詳細については、次の項目を参照してください。

「ユーザ管理:ユーザ ロールとローカル ユーザの設定」

「ユーザ管理:認証サーバの設定」

「ユーザ管理:トラフィック制御、帯域幅、スケジュール」

Cisco VPN コンセントレータの統合に関する詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。

 

[Monitoring] モジュールでは、次のことができます。

配置のステータス要約の表示

現在のシステム情報および事前設定されたレポートを表示します。

インバンドおよびアウトオブバンドのオンライン ユーザの管理

Clean Access Manager イベント ログの表示、検索、リダイレクト

Clean Access Manager 用の基本的な SNMP ポーリングおよび警告の設定

「イベント ログのモニタリング」を参照してください。

 

[Administration] モジュールでは、次のことができます。

Clean Access Manager ネットワークおよびハイアベイラビリィティ(フェールオーバー)の設定。
詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.9』を参照してください。

CAM SSL 証明書、システム時間、CAM/CAS プロダクト ライセンスの設定、CAM データベース バックアップ スナップショットの作成と復元、テクニカル サポート ログのダウンロード。
「CAM の管理」 を参照してください。

CAM でのソフトウェア アップグレードの実行。
アップグレード情報については、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading to a New Software Release」を参照してください。

デフォルト ログイン ページ(すべてのユーザ認証に必須)の追加、および Web ログイン ユーザ用の Web ログイン ページのカスタマイズ。
「ユーザ ログイン ページとゲスト アクセスの設定」を参照してください。

複数の管理者グループおよびアクセス権限の設定。
「管理ユーザ」を参照してください。