Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
エンドポイント プロファイルの設定
エンドポイント プロファイルの設定
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

エンドポイント プロファイルの設定

概要

エンドポイント プロファイルの確実度について

既存のエンドポイント プロファイルのイネーブル

Cisco NAC Profiler 設定でのエンドポイント プロファイルの新規作成

MAC ベンダー規則

新しい規則のエンドポイント プロファイルへの保存

IP アドレス規則

トラフィック規則

Cisco NAC Profiler 規則と NetInquiry

TCP オープン ポート規則

アプリケーション規則

[Advanced Rules]

[Set Static]

プロファイルの静的規則セットの編集

[View/Edit Profiles List]

プロファイルに保存されている規則の編集

エンドポイント プロファイルの設定

この章は、次の内容で構成されています。

「概要」

「新しい規則のエンドポイント プロファイルへの保存」

「IP アドレス規則」

「トラフィック規則」

「アプリケーション規則」

概要

Cisco NAC Profiler はそのネットワーク分析機能を使用して、ネットワークに接続されたエンドポイント トラフィックを検査し、事前に定義された動作パターンにしたがって分類します。トラフィック タイプを既知のエンドポイント プロファイルと一致させることで、Cisco NAC Profiler は各ネットワーク アクセス ポートに誰がまたは何が接続されているのかある程度推測できます。エンドポイントがネットワーク リソース、ネットワーク リソースのユーザ、またはその両方の組み合せのいずれを表すのか判断することが、このプロセスで一番重要な点になります。この判断は、認証、IT セキュリティ、Network Admission Control(NAC)の配置に影響を与えます。

管理者は Cisco NAC Profiler を使用して、監視、分類、管理したい情報のタイプを定義できます。Cisco NAC Profiler には、データ パケットで送信されているハードウェア アドレス、ネットワーク プロトコル アドレス、またはアプリケーションに基づいて規則を作成する場合に使用するオプション セットが入っています。Cisco NAC Profiler のネットワーク マッピング機能と組み合せて、どの種類のデバイスまたはユーザが各ポートに接続されているか正確に認識し、エンドポイントを Cisco NAC アプライアンスにプロビジョニングするかどうか判断できます。さらに、これらのエンドポイントの場所とタイプを知ることは、エンドポイントが接続されているスイッチ ポートへの設定を変更するシステムとして役立ちます。

エンドポイント プロファイルの確実度について

Cisco NAC Profiler は、エンドポイントの属性とその動作を集約識別して、デバイスのタイプを突き止めるエンドポイント プロファイリング機能を実行します。Cisco NAC Profiler で実行されるエンドポイント プロファイリングの精度は、デバイスが現在正しいプロファイルにあるという確実度の尺度または信頼性レベルに反映されます。エンドポイント プロファイルへ作成または追加されるとき、各規則には確実度値がそれぞれ割り当てられます。この値は、真偽を判断する規則が、デバイスがその規則が適用されているプロファイルに属していることをどれだけ正確に予測するかを反映しています。

デバイスは、Cisco NAC Profiler システムで監視されて真であると判断された 1 つまたは複数の規則にしたがって、ある指定した時間に 1 つのプロファイルにだけ進みます。異なる種類の動作の相対確実度は企業ネットワーク間で異なるため、確実度値はハードコーディングされていません。一般的に、マシンまたはその動作の比較的重要度の低い属性よりも、エンドポイントの動作のより重要な側面が確実度値の増加に大きく影響するように、プロファイルに追加される規則を設計する必要があります。これによりデバイスの ID は、他のデバイス タイプと共有される場合がある属性とは反対に、それ自体のタイプが持つ独自の特性により決定されます。

たとえば、エンドポイントの MAC アドレスはエンドポイントのタイプを識別する場合の開始点として便利な場合が多いのですが、この値はネットワークに不正にアクセスしようとする者により簡単にコピー(「なりすますこと」)されます。結果として、MAC ベンダー規則に低い確実度値を割り当て、プロトコル動作、OS 動作、または DHCP ベンダー クラスなど他の規則タイプの規則により高い確実度値を指定することが、エンドポイント プロファイルで利用する規則の構築におけるベスト プラクティスになります。エンドポイント動作のこうした識別可能な側面は本質的にかなり複雑なため、不正なネットワーク アクセスにはあまり利用されることがなく、しばしばそのタイプの端末をより正確にエンドポイント プロファイリングする結果になります。

既存のエンドポイント プロファイルのイネーブル

Cisco NAC Profiler は、現場で作成およびテストされた多数の事前定義エンドポイント プロファイルとともに出荷されます。これらのプロファイルは、好みに応じてそのまま再利用したり、状況に応じて変更できます。また、これらはこの項の後半部分で説明するようにプロファイル新規作成のためのテンプレートの役割を果たし、正確にデバイスをプロファイリングするため、どれだけ異なる規則タイプとさまざまなレベルの確実度を使用できるか図示しています。

システム設定で現在使用できるエンドポイント プロファイルのリストを表示するには、[Configuration] タブにナビゲートし、左端ペインにあるグローバル ナビゲーション メニューから [Endpoint Profiles] オプションを選択するか、メイン [Configuration] ページにある表の左端カラムから [Endpoint Profiles] を選択します。[View/Edit Profile List] を選択し、現在システム設定に保存されているエンドポイント プロファイルを表示します。

Cisco NAC Profiler 設定でのエンドポイント プロファイルの新規作成

図 9-1 に示すように、[Profiles Configuration] ページに表示されたエンドポイント プロファイル表から [Create Profiles] リンクをクリックして、プロファイルを作成します。

図 9-1 エンドポイント プロファイルの設定ページ

 

[Create Profiles] リンクをクリックすると、[Add Profile] ページに図 9-2 に示す [Add Profile] フォームが表示されます。

図 9-2 [Add Profile] フォーム

 

フォームの次のフィールドに記入し、エンドポイント プロファイルの新規作成を開始します。

[Profile Name]

Windows Web ユーザや HP プリンタなど、このプロファイルにどのようなエンドポイントが入るのか識別するための一意の名前を入力します。

[Description]

このデバイスの簡単な説明を入力します。このフィールドは一般的に、デバイスに含まれている規則を記述にする場合に使用します。この情報は、[Description] というラベルが付いたカラムの [Table of Profiles] に表示されます。[Table of Profiles] は、現在設定されているエンドポイント プロファイルの概要を表示する場合にいつでも選択できます。

[802.1X enabled]

適切なオプション ボタンを選択して、このプロファイルに一致するデバイスが 802.1X 認証にイネーブルにされているかどうかを指定します。デフォルトでは [No] に設定します。

このオプションは、プロファイル内に含まれるエンドポイントに適用されている情報属性です。Cisco NAC Profiler では、どの設定でもこの値は使用されません。

[Profile enabled]

適切なオプション ボタンを選択して、このプロファイルをイネーブルにするかディセーブルにするかを指定します。デフォルトはイネーブルで、続いて [Apply Changes]、[Update Modules] の順番で選択するとすぐに、プロファイルはアクティブになります。

[Allow timeout]

このプロファイル属性は、 第 6 章「Cisco NAC Profiler Server の設定」 で説明しているように、作成中のプロファイルが Server 設定で指定されたタイムアウトに従うかどうか判断します。特に、プロファイル単位でエンドポイントとディレクトリ タイムアウトをイネーブルにする場合に使用します。デフォルトは [No] で、エンドポイント値またはディレクトリ タイムアウト値が Server 設定で指定されていても、この属性がイネーブルになっていないプロファイルはエンドポイントまたはディレクトリ タイムアウトに従わないことを意味します。


) 劣化間隔とペナルティが Server 設定で指定されている場合、劣化間隔とペナルティはすべてのプロファイルにグローバルに適用されます。これはプロファイル単位では指定できません。


[LDAP]

このオプション ボタンは、プロファイルの LDAP 認証をイネーブルまたはディセーブルにします。[Yes] を選択すると、Cisco ACS や Juniper Steel Belted RADIUS などの認証サーバにより問い合せがあった場合、Cisco NAC Profiler システムによりプロファイルのエンドポイントが認証されます。プロファイルが LDAP にイネーブルになっていない場合、Cisco NAC Profiler システムによるプロファイルのエンドポイントの認証は行われません。

[Add Profile] フォームにパラメータを入力し終わったら、[Add Profile] ボタンをクリックし、新しいエンドポイント プロファイルを Cisco NAC Profiler 設定に保存します。この時点で、新しいプロファイルが設定に追加されますが、プロファイルには規則が適用されておらず、Cisco NAC Profiler Modeler によるエンドポイントへのプロファイルの追加は行われません。規則は、次に記述されているようにプロファイルに追加する必要があります。

[Add Profile] ボタンをクリックすると、図 9-3 に示すような [Save Profile] フォームを含む新しいページがブラウザに表示されます。このフォームは、上記のプロファイル作成プロセスの最初の手順で取り込まれたデータを表示し、フォームの [Add Rule] 見出しの下にあるボタンにより 1 つまたは複数の規則をプロファイルに追加できます。規則をプロファイルに追加すると、Cisco NAC Profiler は、プロファイルがイネーブルにされていると見なしてプロファイルへのエンドポイントの分類を開始でき、規則とともにプロファイルを保存した後は [Apply Changes]、[Update Modules] の順番に実行されます。プロファイルの構築で使用する使用可能な規則タイプごとに、ボタンが提供されています。

規則をプロファイルに追加するには、目的の規則タイプのボタンをクリックし、選択した規則タイプの規則作成ページを表示します。

図 9-3 [Save Profile] フォーム

 

Cisco NAC Profiler 規則タイプ

Cisco NAC Profiler 規則は、特定の属性を備えたエンドポイントをエンドポイント プロファイルに分類するさまざまな方法を提供しています。規則タイプが複数存在する複数の規則をある指定のプロファイルに追加するオプションがサポートされています。エンドポイント トラフィックやこの章で説明するその他の情報源から Collector により収集できるエンドポイント プロファイル構築に使用する規則は、レイヤ 2 からレイヤ 7 に及ぶ多数の異なる基準を利用できます。使用できる Cisco NAC Profiler 規則のタイプは次のとおりです。

[MAC Address]:Cisco NAC Profiler は MAC アドレス ベンダー割り当てのすべての OUI 値のリストを保守します。MAC ベンダー規則により、エンドポイント MAC アドレスをプロファイルに分類する場合の基準として使用できます。

[IP Address]:Cisco NAC Profiler はエンドポイントのホスト アドレスを使用し、指定範囲内のホスト IP アドレスをプロファイルに分類する場合の基準として使用して、デバイスを分類できます。

[Traffic]:レイヤ 3 ~ 4 のトラフィック情報を分析します。NetWatch Collector モジュール(トラフィック分析)または NetRelay Collector モジュール(NetFlow 対応デバイスからエクスポートされた NetFlow データ)のいずれかで収集される情報を基にしています。

[TCP Open Port]:SYN-ACK 情報をパッシブに監視するかこの章の後半部分で説明する NetInquiry のアクティブ プロファイリング機能のいずれかで収集されるレイヤ 4 ポート情報です。

[Application]:DHCP、サーバ バナー、DNS 名、ユーザ エージェントなどのアプリケーション層動作を分析します。

[Advanced]:AND、OR、または NOT を使用して複雑な表現を作成したり、複数の規則ロジックを 1 つの規則に集約する場合に使用します。

プロファイルに複数の規則を設定する場合、それぞれの規則に確実度値が割り当てられます。両方の規則に一致するトラフィックは合せて 100% を超える確実度にならないことを理解することが大切です。たとえば、一致している 2 つの確実度が 80% の規則は、確実度 160% にはならず、100% にもなりません。結果は 80%(この場合正確には 96%)をはるかに超えますが、100% 以上にはなりません。さらに、Cisco NAC Profiler によりある指定のプロファイルに分類されるため、エンドポイントがすべての規則に一致する必要はないことを理解することが大切です。プロファイルに複数の規則が含まれている場合、Cisco NAC Profiler は OR 演算子を利用します。これで、いずれか 1 つの規則が満たされると、エンドポイントがそのプロファイルに分類されます。「OR」以外のブール型ロジックで規則を組み合せたり、作成するには、「[Advanced Rules]」を参照してください。

コンフィギュレーション ガイドの次の項では、プロファイル内の規則の作成プロセスについて説明します。規則作成は、エンドポイント プロファイリングと動作モニタリングの Cisco NAC Profiler 設定の極めて重要な側面です。プロファイルと規則の関係を概念化するには、Cisco NAC Profiler プロファイルを、似たような特性と機能を備えたエンドポイントがエンドポイント プロファイリング プロセスでソートされる論理コンテナと考える必要があります。規則はプロファイルごとに指定され、ネットワーク上のエンドポイントをプロファイルに分類する(割り当てる)基準やロジックを判断する場合に、Cisco NAC Profiler によって利用されます。

プロファイルに含まれるまたは適用されている規則により、エンドポイント プロファイリングを決定するときに Cisco NAC Profiler で使用されるロジックが提供されます。この決定では、エンドポイントをプロファイルに配置したり、使用できる最新情報に基づいてエンドポイントをあるプロファイルから別のプロファイルに移動したりします。

この項で図示しているように、Cisco NAC Profiler 自体は規則の構築時に利用できる情報を管理者に提供します。Cisco NAC Profiler は、Collector モジュールが環境で収集した情報のデータベースを保守します。たとえば、Cisco NAC Profiler で監視されているパケットの MAC ベンダー名はすべてシステムに記録され、MAC ベンダー ストリングがネットワークでアクティブであるとの判断に基づき、新しい MAC ベンダー規則の構築中に表示できます。

次の項では、Cisco NAC Profiler の各規則タイプとこれらの規則をエンドポイント プロファイルに追加するときの設定方法について説明します。

MAC ベンダー規則

MAC ベンダー規則により、デバイスの MAC アドレスから収集された情報を使用してエンドポイント プロファイリングを決定できます。Cisco NAC Profiler は、多数のメカニズムによりネットワーク上のステーションの MAC アドレスを検出できます。最も一般的な MAC 情報収集メカニズムは、SNMP 経由でのエッジ ネットワーク デバイスの定期クエリーです。Cisco NAC Profiler は、システムで検出された各 MAC の MAC アドレス(Organizationally Unique Identifier(OUI; 固有識別情報)と呼ばれる)の最初の 3 バイト(24 ビット)を検査し、デバイスの製造元を判断します。Cisco NAC Profiler に MAC ベンダー規則を含むプロファイルが設定されている場合、指定された MAC ベンダー ストリングを持つ MAC アドレスで監視されたエンドポイントが、MAC ベンダー規則に基づき、確実度の割り当てレベルでプロファイルに配置されます。


) MAC 規則を作成する場合、多数のベンダー製造ネットワーク インターフェイスがさまざまなエンドポイントで使用されている点に注意してください。そのため、MAC アドレスだけで正確なデバイス タイプを識別できない場合があります。


[Save Profile] ダイアログボックスで、[MAC Vendor] ボタンをクリックします。[Add MAC Vendor Rule] フォームを含む [Add MAC Vendor Rule] ページが表示されます(図 9-4)。

図 9-4 [Add MAC Address Rule] フォーム

 

プロファイルの MAC ベンダー規則を作成するには、次の情報をフォームに入力します。

[MAC Vendor String]

規則を追加中のプロファイルに分類するため、この規則が一致するベンダーの名前を入力します。「不明の」(プロファイルされていない)エンドポイントについて今まで Cisco NAC Profiler がトラフィック ネットワークで監視してきた MAC ベンダー ストリングを判断するには、[Show Data] ボタンをクリックします。図 9-5 に示すように、現在不明プロファイルにあるエンドポイントの MAC ベンダー ストリングを示すポップアップがインターフェイスに表示されます。表で各 MAC ベンダー ストリングに続いて [Show MAC/IP] リンクを選択すると、完全 MAC アドレス(16 進形式)と IP アドレスにより MAC アドレスがそのストリングに解決されている不明エンドポイントのリストが表示されます。

図 9-5 [Show Data]:[Table of MAC Vendors]

 

[MAC Vendor String] フィールドには、複数の形式の MAC ベンダー ストリングに一致する正規表現を指定できます。たとえば、Linksys デバイスには、次のようないくつか異なる MAC ベンダー ストリングに解決している複数の OUI が IEEE に登録されています。

The Linksys Group, Inc.

Cisco-Linksys

Cisco-Linksys, LLC

Cisco-Linksys LLC


) [MAC address String] フィールドに入力された /linksys/i の正規表現は、大文字小文字に関係なく、ストリング「linksys」など、すべての MAC ベンダー ストリングに一致します。正規表現の詳細については、「アプリケーション規則」を参照してください。


[Certainty]

この規則に適用する「確実度」値を入力します。これは、この規則によりプロファイリングされたエンドポイントがこの章の前半部分で説明しているように正確にプロファイリングされていることの確実度を相対的に測定します。

MAC ベンダー規則の定義が終わったら、[Add MAC Vendor Rule] フォーム下部の [Add MAC Vendor Rule] ボタンをクリックし、変更を保存して、新規作成した MAC ベンダー規則をプロファイルに追加します。

新しい規則のエンドポイント プロファイルへの保存

「MAC ベンダー規則」ですでに説明したように、新しい規則をプロファイルに無事保存したら、新しい規則を設定中のプロファイルの [Save Profile] ページがブラウザに表示されます。図 9-6 で示すように、前述の手順で追加された規則が、設定済みの規則を含むその他のすべてのプロファイル属性とともに、[Save Profile] フォームに表示されます。

図 9-6 MAC アドレス規則を示す [Save Profile] フォーム

 

エンドポイント プロファイルには、必要に応じて 1 つまたは複数の規則が入っています。プロファイルに新しい規則が追加されると、[Save Profile] フォームが表示されます。この章の後半部分で説明するように、プロファイルの既存の属性はどれでも [Save Profile] フォームから編集できます。Cisco NAC Profiler Rule タイプの新しい規則は、追加する規則タイプに合ったボタンをクリックし、この章で説明する手順に従ってプロファイルに追加できます。

目的の規則がすべてプロファイルに追加されたら、フォーム下部の [Save Profile] ボタンをクリックするとプロファイルとその関連規則への変更が Cisco NAC Profiler 設定に保存されます。しかし、新しいプロファイルが実行中の設定の一部になるようにするには、プロファイルが [Table of Profiles] で「イネーブル」になっており、[Apply Changes]、[Update Modules] の順番に実行する必要があります。システムを再起動すると、プロファイルはアクティブになり、新しいプロファイルで指定された規則に一致する Cisco NAC Profiler Endpoint データベースのエンドポイントは、不明プロファイル、またはこの章の前半部分で説明している確実度規則にしたがってイネーブルにされたその他のプロファイルから新しいプロファイルに移動します。エンドポイントを不明プロファイル以外の既存プロファイルから新しいプロファイルに移動するには、新しいプロファイルの一致する規則の確実度値は、現在のプロファイルより高くなければなりません。

IP アドレス規則

IP アドレス規則により、エンドポイントから発信されたトラフィックの IP ヘッダーから収集された情報に基づいてエンドポイント プロファイリングを決定できます。IP アドレス規則に一致するアドレスを検出するため Cisco NAC Profiler によりネットワーク トラフィックの発信元 IP アドレスが検査されます。IP アドレス規則内で指定されたホスト アドレスで監視されたエンドポイントは、割り当てられたレベルの確実度で、その IP アドレス規則を含むプロファイルに配置されます。

この規則タイプは、ある指定のネットワーク上の該当デバイス タイプを持つすべてのエンドポイントに、特定の IP サブネットでホスト アドレスが割り当てられている場合に便利です。たとえば、すべての 10.10.x.x アドレスがプリンタに割り当てられている場合、IP アドレス規則は、ネットワークのすべてのプリンタを含むよう作成されているプロファイルに追加するのに非常に有効な規則になります。

IP アドレス規則を選択したプロファイルに追加するには、選択したプロファイルの [Save Profile] ページで [IP Address] ボタンをクリックします。図 9-7 に図示されているようなフォームを含む [Add Address Rule] ページがブラウザに表示されます。

図 9-7 [Add Address Rule] フォーム(IP アドレス規則)

 

プロファイルに含める IP アドレス規則を作成するには、フォームに次の情報を入力します。

[IP Address]

規則に一致し、IP アドレス規則を含むプロファイルに移動する場合に使用する必要がある IP アドレス ホストを入力します。前述の例から、このプロファイルに配置するすべてのデバイスに 10.0.0.0 Class A ネットワークのサブネット .10 にホスト アドレスが割り当てられている場合、このフィールドには 10.10.0.0 と入力します。

[Mask]

指定した IP アドレスに適用する必要があるサブネット マスクを入力します。たとえば、10.0.0.0 Class A ネットワークのサブネット .10 のすべてのホストと一致させるには、このサブネットのアドレスに割り当てられたすべてのホストがその規則に一致するよう、マスク 255.255.0.0 を入力します。

[Certainty]

この規則に適用する「確実度」値を入力します。これは、この規則によりプロファイリングされたエンドポイントがこの章の前半部分で説明しているように正確にプロファイリングされていることの確実度を相対的に測定します。

入力が終わったら、[Add IP Address Rule] フォームの下部にある [Add IP Address Rule] ボタンをクリックして変更を保存し、IP アドレス規則をプロファイルに追加します。

規則をプロファイルへ保存したら、設定中のプロファイルの [Save Profile] ページがブラウザに表示されます。前述の手順で追加された IP アドレス規則が、その他のすべてのプロファイル属性とともに [Save Profile] フォームに表示されます。この時点で、エンドポイント プロファイルの編集または追加を行うことができたり、プロファイルへの変更を保存できます。

トラフィック規則

トラフィック規則により、次に関する規則で指定された特性を備えたトラフィックの流れを Cisco NAC Profiler で監視することで、エンドポイント プロファイリングを決定できます。

特定の発信元または宛先 TCP または UDP ポート番号

特定の発信元または特定の宛先 IP、または任意の IP 間

プロファイル内に含まれるトラフィック規則は、エンドポイントがそのプロファイルに分類される確実度を著しく高める可能性があります。このデータは、デバイスがネットワークで提供または消費しているサービスを簡単に区別できる指標になるためです。したがって、それらは極めて信頼性のあるデバイス タイプの指標の場合が多いです。

たとえば、プロファイリング プリンタのトラフィック規則の構築は次のようになります。規則は、Print Server(その規則の IP アドレスは Print Server の IP アドレスで、発信元 IP が選択されています)から既知の宛先ポート番号 9100 を使用したエンドポイントへの通信のネットワーク トラフィックを検査するよう構成されます。この規則に一致する監視されたトラフィックは、Print Server が印刷を目的とするデバイスと直接通信していることを示します。トラフィックが向かうデバイスは、プリンタである場合が非常に高いです。

トラフィック規則を選択したプロファイルに追加するには、選択したプロファイルの [Save Profile] ページで [Traffic] ボタンをクリックします。図 9-8 に図示されているようなフォームを含む [Add Address Rule] ページがブラウザに表示されます。

図 9-8 [Add Traffic Rule] フォーム

 

プロファイルに含めるトラフィック規則を作成するには、次の情報をフォームに入力します。

[IP Address]

一致する IP アドレスを入力し、[Source IP] または [Destination IP] を選択して通信の方向を指定します。任意のアドレスを指定する場合に使用する 0.0.0.0 を除き、この値はサブネットではなくホスト アドレスでなければなりません。

[Source Port]

通信で予想されている発信元ポートを入力します。この規則が宛先ポートを検査している場合は、ここには 0 と入力します。

[Destination Port]

通信で予想されている宛先ポートを入力します。この規則が発信元ポートを検査している場合は、ここには 0 と入力します。

[Certainty]

この規則に適用する「確実度」値を入力します。これは、この規則によりプロファイリングされたエンドポイントがこの章の前半部分で説明しているように正確にプロファイリングされていることの確実度を相対的に測定します。


) トラフィック規則を構築する場合、規則ロジックの方向を考えることが大切です。トラフィック規則の方向を決めるには次のルールを使用します。

(上記のプリンタの例のように)発信元 IP アドレスがトラフィック規則で指定されている場合は、指定されたネットワーク トラフィックの宛先 IP アドレスに関する情報が収集されます。

(次の例のように)宛先 IP アドレスがトラフィック規則に指定されている場合は、指定されたネットワーク トラフィックの発信元 IP アドレスに関する情報が収集されます。

例:Web ユーザは通常 Web サーバのポート 8080 で通信します。宛先ポートを 8080 にして、規則の宛先 IP が Web サーバの IP になるよう指定して、トラフィック規則を Web ユーザのプロファイルで利用できます。この規則は、この規則を満たすエンドポイントが監視した送信パケットが Web ブラウザを実行している可能性が高いという基準を満たす、エンドポイント発信パケットを特徴付けるのに使用されます。


入力が終わったら、[Add Traffic Rule] フォームの下部にある [Add Traffic Rule] ボタンをクリックして変更を保存し、トラフィック規則をプロファイルに追加します。

規則をプロファイルへ保存したら、設定中のプロファイルの [Save Profile] ページがブラウザに表示されます。前述の手順で追加されたトラフィック規則が、その他のすべてのプロファイル属性とともに [Save Profile] フォームに表示されます。この時点で、エンドポイント プロファイルの編集または追加を行うことができたり、プロファイルへの変更を保存できます。

Cisco NAC Profiler 規則と NetInquiry

NetInquiry モジュールは、この コンフィギュレーション ガイドの前半部分で紹介されました。NetInquiry は、Cisco NAC Profiler 内でエンドポイントをアクティブにプローブし、そのエンドポイントからの応答を生成する手段を提供する Cisco NAC Profiler モジュールで、エンドポイント プロファイリングに役立ちます。実際は NetInquiry は、Cisco NAC Profiler で直接監視でき、エンドポイントが正確にプロファイリングされる方法で該当エンドポイントにネットワーク会話を開始させることで動作します。NetInquiry は、Cisco NAC Profiler Endpoint Profiling 機能を支援しながら、エンドポイントやネットワークに害がない方法で指定のエンドポイント セットから通信を開始するのに使用できます。

他の Cisco NAC Profiler モジュールのように、NetInquiry は規則を使用して、ある指定の環境でどのように動作するか定義します。NetInquiry に関する Cisco NAC Profiler 規則タイプは次のとおりです。

TCP Open Port 規則

Web サーバ タイプ、SMTP サーバ バナー、および DNS 名 などのアプリケーション規則タイプ

これらの規則タイプにより、NetWatch と NetInquiry の両方が Cisco NAC Profiler システムでどのように動作するのか定義されます。NetInquiry オプション機能が Cisco NAC Profiler で使用されているかどうかに関係なく、NetInquiry はアクティブにできるタイプの各規則にある設定オプションから制御できます(NetInquiry モジュールが設定に追加され、システムで実行していることを前提としています)。Cisco NAC Profiler の NetInquiry はシステムに配置されている Collector で実行されていることを思い出してください。1 つまたは複数の Collector で NetInquiry モジュールが設定され、アクティブな規則を含むプロファイルがイネーブルになっている場合、Cisco NAC Profiler はこの章全体で説明しているパッシブ技術に加えて、アクティブ プロファイリング技術を利用します。

上記のアクティブ機能を備えた規則タイプの [Add and Edit] インターフェイスで、そのインターフェイスには [Active] というラベルが付いたチェックボックスから選択した設定オプションが入っています。Cisco NAC Profiler に配置された NetInquiry モジュールは、システム設定の各 Collector について、NetInquiry モジュール設定で指定されているようにエンドポイントと定期的に通信を開始します。このプロセスは、Profiler Server 設定の [Active Profiling Configuration] セクションの [Frequency] パラメータにしたがって、Profiler Server モジュール設定で指定された頻度で繰り返されます。該当する設定にしたがい指定された頻度で、システムのすべての NetInquiry モジュールはアクティブ プロファイリングを開始します。

設定の結果、該当エンドポイントにより必要なネットワーク トラフィックが生成され、続いて Cisco NAC Profiler による分析で、特にこのトラフィックがさもなければ Cisco NAC Profiler に使用できなくなるような場合に、エンドポイントを迅速かつ正確にプロファイルできるようになります。

NetInquiry で使用される規則の正しい設定に関するその他の情報は、TCP オープン ポート規則とアプリケーション規則の設定に関する次の項で説明しています。

TCP オープン ポート規則

TCP オープン ポート規則により、TCP オープン ポート規則で指定された TCP ポートのその他のエンドポイントからの TCP 接続を許可する Cisco NAC Profiler 監視エンドポイントに基づいて、エンドポイント プロファイリングを決定できます。

この規則は、既知のポートのエンドポイント受信 TCP 通信がデバイス タイプを示している場合に便利な場合があります。たとえば、Compaq Insight Manager はTCP ポート 2301 を使用して Compaq Insight Manager Agent を実行しているサーバと通信することがわかっています。特定のエンドポイントがポート 2301 で TCP 接続を確立したことを示すトラフィックが Cisco NAC Profiler で監視されている場合、接続を受信したデバイスが Agent を実行しており、Insight Manager で管理されているサーバの可能性が高いことを示す極めて信頼性が高い指標になります。

[Save Profile] ダイアログボックスで、[TCP Open Port] ボタンをクリックします。[Add Port Rule] ダイアログが表示されます。

図 9-9 [Add TCP Port Rule] フォーム

 

プロファイルに含める TCP オープン ポート規則を作成するには、次の情報をフォームに入力します。

[TCP Port]

この規則の該当 TCP 接続を指定する TCP ポート番号を入力します。エンドポイントで受信されたが、プロファイルする必要がある TCP 接続を表示するには、[Show Data] ボタンをクリックします。すべてのエンドポイント データを詳細に調べるには、プロファイルされたエンドポイントとまだされていないエンドポイントについて、Cisco NAC Profiler Web ユーザ インターフェイスの任意のページの [Utilities] タブ下にある Profile Data オプションを選択します。

[Certainty]

この規則に適用する「確実度」値を入力します。これは、この規則によりプロファイリングされたエンドポイントがこの章の前半部分で説明しているように正確にプロファイリングされていることの確実度を相対的に測定します。

[Active]

このオプションを選択すると、この章の後半部分で説明している NetInquiry モジュール機能がイネーブルになります。このオプションを選択し、NetInquiry モジュールがシステムの 1 つまたは複数の Collector で設定および稼動している場合、Cisco NAC Profiler は NetInquiry 設定で指定したステーションとの TCP セッションを開設しようとします。

入力が終わったら、[Add Port Rule] フォームの下部にある [Add Port Rule] ボタンをクリックして変更を保存し、ポート規則をプロファイルに追加します。

規則をプロファイルへ保存したら、設定中のプロファイル Ã [Save Profile] ページがブラウザに表示されます。前述の手順で追加された TCP オープン ポート規則が、その他のすべてのプロファイル属性とともに [Save Profile] フォームに表示されます。この時点で、エンドポイント プロファイルの編集または追加を行うことができたり、プロファイルへの変更を保存できます。

アプリケーション規則

アプリケーション規則により、デバイス タイプを示す可能性がある、Cisco NAC Profiler 監視ネットワーク トラフィックを含むアプリケーション データに基づいてエンドポイント プロファイリングを決定できます。アプリケーション規則は実際、アプリケーション層でさまざまなタイプのエンドポイント トラフィックの監視可能な属性を使用して、そのネットワーク トラフィックを使用しているエンドポイントについて推測する規則のファミリです。また、アプリケーション規則の DNS 名タイプは、エンドポイントの情報を判断するため、ネットワークのネーム サービスに保持されたデータを利用できます。

選択したプロファイルの [Save Profile] フォームで、[Application] ボタンをクリックします。アプリケーション規則を新規作成できる [Add Application Rule] フォームが表示されます。

図 9-10 [Add Application Rule] フォーム

 

[Application Type] フィールドのドロップダウン メニューから、使用できるアプリケーション規則タイプのいずれかを選択できます。アプリケーション規則の作成で使用できるアプリケーション規則タイプを図 9-11 に示します。

図 9-11 [Add Application Rule]:規則タイプの選択

 

アプリケーション規則タイプを 1 つずつ次に説明します(規則タイプ名の後ろにあるアスタリスクは、この章の前半部分で説明したように、そのアプリケーション規則タイプを NetInquiry やアクティブ プロファイリングと合せて使用できることを示します)。

[Web Server Type]*:クライアント要求に応答するネットワーク上の Web サーバからのトラフィックを検査し、応答しているエンドポイントのタイプ(Apache または Microsoft IIS など)とともに、それが Web サーバであることを判断します。

アクティブ規則としてオプションで使用されている場合、Cisco NAC Profiler は Cisco NAC Profiler 全体で稼動している NetInquiry モジュールの設定で指定されたデバイスとの HTTP セッションを開始しようとします。HTTP セッションを確立する Web サーバのタイプとともに、応答しているデバイスが Web サーバであることを判断するために応答する Web サーバの応答が分析されます。

[Web User Agent]:エンドポイントから Web サーバへのトラフィック、特に Web サーバへのクライアントの要求を検査し、これらの要求の ユーザ エージェント ストリングを検索します。ユーザ エージェント ストリングを使用して、トラフィックを送信したエンドポイントの属性を判断できます。たとえば、マシンが Windows で Microsoft Internet Explorer を実行している場合です。

[Web URL]:エンドポイントからの使用できる HTTP トラフィックを検査し、特定の URL を検索します。例として、Windows PC と思われるデバイスを識別するため、どのエンドポイントがアンチウイルス ベンダーの自動アップデート サイトと通信しているかを識別するために HTTP トラフィックを検査する場合があります。

[SMTP Server Banner]*:エンドポイント トラフィックのプロトコル ヘッダー情報を検査して E メール トラフィックを識別し、E メール トラフィックからパッシブに E メール サーバのアドレスとタイプを収集します。

SMTP サーバ バナー規則がオプションでアクティブ規則として使用されている場合、Cisco NAC Profiler は、NetInquiry モジュールの設定で指定されたアドレス範囲でホストと通信します。その範囲の既存の SMTP サーバと通信すると、それらのサーバの識別に必要なトラフィックが生成され、Collector のインターフェイスに送信されて分析できます。

[DHCP Client Name]:DHCP 要求のペイロードを検査して、クライアントのホスト名を判断し、指定のテキスト ストリングと一致する名前を見つけます。これは、ホスト名がエンド ノード タイプを示している場合に便利です。たとえば、プレフィクス「BSTXP」で始まるホスト名は Windows XP マシンとして認識でき、プレフィクス BSTPS のホスト名はプリンタとして認識できます。DHCP トラフィックから収集されたデータを使用して、この環境で DHCP クライアント名規則を利用して Windows マシンとプリンタをプロファイリングできます。

[DHCP Client Vendor]:エンドポイント DHCP 要求のペイロードを検査し、DHCP クライアント スタックのベンダーに関する識別情報が存在するかどうか判断します。多くのベンダーが、要求を出しているデバイス タイプを示す DHCP のこの部分に情報を記入します。たとえば、Cisco 7960G IP Phone には、これらのデバイスで送信された DHCP 要求の DHCP クライアント ベンダー部分に「Cisco Systems, Inc. IP Phone CP-7960G」というストリングがあります。エンドポイントから DHCP 要求を検査し、このストリングを含むエンドポイントからの要求を検出した場合、要求を送信しているデバイスが Cisco IP Phone である確率が高いことを示しています。

[DNS Name]*:エンドポイントの DNS 名を検出し、DNS 名に指定のストリングが含まれているエンドポイントに対して一致させる目的で、ネットワーク上の DNS クエリーとリプライ トラフィックを検査します(順ルックアップと逆ルックアップ)。DHCP クライアント名規則と同様に、DNS 名規則を利用し、ネットワークで監視されている DNS トランザクションを使用してエンドポイントを識別できます。

オプションでアクティブ規則として使用されている場合、Cisco NAC Profiler はシステムの NetInquiry モジュールで指定されたホスト アドレスで逆ルックアップを実行し、Server 設定で指定されたネーム サーバから各ホストの DNS 名を収集します。

[SNMPDescription]:(通常)ネットワーク インフラストラクチャ間の SNMP トラフィックを検査し、sysDescr 値を基準として使用し、特定のタイプのインフラストラクチャ デバイスを識別します。

パッシブ モードで動作しているアプリケーション規則では、ネットワーク上で Web サーバ、SMTP サーバ、DHCP サービス、または DNS リゾルバ間を行き交うエンドポイント トラフィックを Cisco NAC Profiler で稼動している 1 つまたは複数の Collector のモニタリング インターフェイスに送信する必要があります。SPAN または RSPAN によるトラフィック リダイレクションは、これらのサービスが常駐する VLAN やサブネットから該当のトラフィックを CAS/Collector のモニタリング インターフェイスにリダイレクトする 1 つの方式です。アクティブ モードでは、NetWatch で分析できるよう CAS/Collector の管理インターフェイスでトラフィックを生成するため、Cisco NAC Profiler は上記のようにエンドポイントと直接通信します。アクティブ方式では、ネイティブ エンドポイント トラフィックを Collector のモニタリング インターフェイスへリダイレクトする必要はありません。基本的に アクティブ モードでは、Collector により指定範囲のエンドポイントは Collector の管理インターフェイスに該当トラフィックを送信し、そこで Cisco NAC Profiler により分析できます。パッシブ技術を採用するか、アクティブ技術を採用するかは、各ネットワーク環境の特性によります。両方の方式には妥協点があり、実装ごとの目標を最も満たすプロファイリング戦略を工夫する場合に、徹底的に考慮する必要があります。

いったんアプリケーション規則タイプを選択すると、アプリケーション規則を追加するときは次に、タイプによって規則の特定のパラメータを指定します。

すべてのタイプについて、アプリケーション規則では、分析のため、上記のパッシブ方式またはアクティブ方式のいずれかで送信されたパケット中のテキスト ストリングを検索するよう指定します。

[Search Data]

上記のように、アプリケーション規則タイプは基本的に、選択したアプリケーション規則タイプに固有のパケットの指定領域で、特定のコンテンツを検索しているエンドポイントのネットワーク トラフィックにあるアプリケーション層情報を検査することで動作します。前述の例では、ストリング「Cisco Systems, Inc. IP Phone CP-7960G」を一致させることで、DHCP クライアント ベンダー規則を使用して Cisco IP Phone を識別しています。

[Add Application Rule] フォームの [Search Data] 部分は、基準に一致するエンドポイントを識別するため、Cisco NAC Profiler で検索されるストリングの指定に使用します。Cisco NAC Profiler は正規表現を使用して、アプリケーション規則の検索データを指定します。正規表現は、ある構文規則にしたがってストリング セットを記述または一致させる場合に使用するストリングです。正規表現は、一致するパターンを指定する極めて強力で柔軟性が高い方式を実現します。しかし、正規表現を作成する前に、まず正規表現を使用するときに検索しなければならないストリング パターンを決めるのが望ましい方法です。

Cisco NAC Profiler は、Collector のモジュールが監視しているデータを収集し、この章で説明しているさまざまなタイプの規則を構築するために使用できる検索データを判断する目的で、システム管理者がデータを使用できるようにします。このデータを使用するには [Utilities] タブにナビゲートし、[Profile Data] メニュー オプションを選択して図 9-12 に示すように、インターフェイスに [Profile Data Reports] ページを表示します。

図 9-12 [Profile Data Reports] ページ

 

表から [Endpoint Data Summary] リンクを選択すると、インターフェイスは [Endpoint Data Reports] ページになります。このページからアクセスできるレポートには、Cisco NAC Profiler で監視およびカタログ化されて、次のカテゴリに分類されたすべてのエンドポイント情報が記載されています。

[Endpoint User Agents] :Cisco NAC Profiler で監視されたエンドポイントの Web クライアント ユーザ エージェントを表示します。

[Endpoint Server Banners] :Cisco NAC Profiler で監視されたエンドポイントからの Web バナーと SMTP バナーを表示します。

[Endpoint DHCP Vendors] :Cisco NAC Profiler で監視されたエンドポイント DHCP 要求からの DHCP クライアント ベンダー ストリングを表示します。

[Endpoint Open Ports] :特定のオープン ポートを持つよう Cisco NAC Profiler で監視されたエンドポイントを表示します。

[MAC Vendors] :(ネットワーク上で Cisco NAC Profiler で監視された IEEE 登録 OUI から変換された)MAC ベンダー ストリングを表示します。

[DNS Names] :この章の前半部分の DNS 名アプリケーション規則タイプで説明しているように、Cisco NAC Profiler により収集された DNS 名を表示します。

[SNMP Data] :Cisco NAC Profiler で監視された SNMP トラフィックの sysDescr の内容を表示します。

レポートの例として、機能システムからエンドポイント サーバ バナーを図 9-13 に示します。

図 9-13 エンドポイント サーバ バナー レポートの例

 

このレポートでは、Cisco NAC Profiler がトラフィックを監視した Web サーバと SMTP サーバ、また各サーバ タイプの数を示しています。表の最初のカラムには、Cisco NAC Profiler がネットワーク トラフィックで監視した Web サーバのタイプの ID ストリングと、Web Server Type アプリケーション規則の Search Data として正規表現を作成する場合に使用するストリングが表示されています。この規則は、Apache Web サーバを実行するエンドポイントを含むプロファイルに追加されます。その Web サーバ タイプ アプリケーション規則は図 9-14 のように表示されます。

図 9-14 アプリケーション規則の正規表現の例

 

上記 Web サーバ アプリケーション規則の [Search Data] フィールドの内容をメモします。正規表現 ^Apache が入力されています。

正規表現中の ^ は正規表現の「アンカー文字」でストリングの開始を指定します。この正規表現は、「Apache」というストリングで始まるすべての Web サーバ タイプと一致します。パターン修飾子「i」を使用して大文字小文字に関係なくストリングを一致させる場合を除き、正規表現では大文字と小文字は区別されます。

正規表現のその他の例は次のとおりです。

正規表現 /Apple|Mac|CFNet/ は、「Apple」、「MAC」、または「CFNet」(大文字と小文字を区別)という単語を含むストリングと一致します。

この正規表現はプロファイルの Web ユーザ エージェント規則で使用し、アップル ユーザの Web トラフィックを監視して、それらのユーザを含めます。

/^Dell Network Printer$/ は、「Dell」で始まり「Printer」で終わるストリングだけと一致します。

この正規表現は DHCP クライアント ベンダー規則で使用され、Dell プリンタの DHCP 要求中のこのストリングを監視して、Dell プリンタをプロファイルにプロファイリングします。

/Windows|Win32/i は、大文字小文字に関係なく、「windows」または「win32」という単語を含むストリングと一致します。

最初の正規表現と同様、これは Web ユーザ エージェント規則で使用され、User Agent Windows オペレーティング システムと Internet Explorer を実行するデバイスを識別します。

Cisco NAC Profiler に入っている事前設定されたプロファイルには、さまざまなエンドポイント プロファイル規則で使用される正規表現の例が入っています。正規表現の詳細については、次の Web サイトを参照してください。

http://www.regular-expressions.info/

http://www.cs.tut.fi/~jkorpela/perl/regexp.html

http://www.ilovejackdaniels.com/cheat-sheets/regular-expressions-cheat-sheet/

[Application Rule] の [Search Data] を入力したら、作成または編集中のアプリケーション規則の残りのパラメータを入力します。

[Certainty]

この規則に適用する「確実度」値を入力します。これは、この規則によりプロファイリングされたエンドポイントがこの章の前半部分で説明しているように正確にプロファイリングされていることの確実度を相対的に測定します。

入力が終わったら、[Add Application Rule] フォームの下部にある [Save Application Rule] ボタンをクリックして変更を保存し、IP アドレス規則をプロファイルに追加します。

アプリケーション規則をプロファイルへ保存したら、設定中のプロファイルの [Save Profile] ページがブラウザに表示されます。前述の手順で追加されたアプリケーション規則が、その他のすべてのプロファイル属性とともに [Save Profile] フォームに表示されます。この時点で、エンドポイント プロファイルの編集または追加を行うことができたり、プロファイルへの変更を保存できます。

[Active]

このパラメータはオプションで、Web サーバ タイプ、SMTP サーバ バナー、および DNS 名 というアプリケーション規則タイプの [Add Application Rule] フォームにだけ表示されます。この項の前半部分で説明したように、これらのタイプのアプリケーション規則で [Active] を選択すると、NetInquiry モジュール機能が規則 [Application Type] にしたがって [Web Server Type]、[SMTP Server]、または [DNS Name] の NetInquiry 設定で指定されたエンドポイントをアクティブにプローブしたり問い合せることができます。

[Advanced Rules]


) 詳細については、付録 A「XML の詳細規則」も参照してください。


詳細規則オプションは、Extensible Markup Language(XML)を使用して Cisco NAC Profiler 規則タイプとブール型ロジック演算子を組み合せてカスタム規則を定義し、また Cisco NAC Profiler で分析されたエンドポイント トラフィックから監視および収集されたエンドポイント データについてパターン一致を定義する機能を実現します。たとえば、DHCP 要求の MAC ベンダー ストリング オプションと DHCP オプションの両方をエンドポイントから検査し、両方の規則の論理積をとる(つまり、規則を満たすには両方が真であることを証明する必要がある)詳細規則を定義できます。要求された MAC ベンダー ストリングと DHCP 両方のオプションが詳細規則で指定されている内容と一致している場合、エンドポイントは特定タイプの可能性が高くなっています。

このタイプの詳細規則は、DHCP を使用してアドレス指定している MAC OS デバイスを識別するために作成できます。Apple MAC OS DHCP 要求には、これらのデバイスのプロファイリングで標準 DHCP クライアント ベンダー規則を使用できないようにするヌル DHCP クライアント ベンダーが入っています。Apple ユーザからのインターネット トラフィックが Cisco NAC Profiler で直接分析できず Web ユーザ エージェント規則が使用できないようなシナリオでは、MAC OS デバイスで DHCP を使用すると、Cisco NAC Profiler による DHCP 要求の分析は MAC OS エンドポイントの効果的なプロファイリングができます。

目的の MAC ベンダー ストリングと指定された DHCP オプションのリスト両方をチェックする 1 つの詳細規則を含む MAC OS プロファイルを作成するには、次の手順を行う必要があります。

1. [Configuration] タブから新しいプロファイルを作成し、Mac OS という名前を付けます(この名前は 2 行目の XML 規則で指定された名前と一致する必要があります)。

2. 説明は「Devices running Mac OS」で十分です。

3. [Enable] オプション ボタンをクリックし、その他はデフォルトのままにして [ADD PROFILE] を選択します。

4. 新規作成された Mac OS プロファイルの [Save Profile] フォームが表示され、フォームの [ADD RULES] セクションがイネーブルになっています。[Advanced] ボタンをクリックして詳細規則をこのプロファイルに追加します。図 9-15 は、表示された [Add Advanced Rule] フォームを示しています。

図 9-15 [Add Advanced Rule] フォーム

 

5. [XML Rule] というヘッダーの隣の大きなテキスト ボックスには、規則を XML 形式で入力します。詳細規則の場合、確実度値を含むすべてのパラメータは XML テキストに記述します。例では、この規則の確実度は 75% です。

XML 形式の規則のテキストは通常、Windows Notepad などのエディタからテキスト ボックスに「カット & ペースト」され、フォーマットおよび確認されてから規則に適用されます。例では、次のテキストが [XML Rule] テキスト ボックスに入力されます。

<Rule name="MacOSAdv">
<RuleEntity entity="Mac OS" cf="0.75"/>
<AND>
<Vendor vendor="/^Apple/i"/>
<DHCPReqOptions option-list="/^1,3,6,15,112,113,78,79,95/"/>
</AND>
</Rule>
 

6. この詳細規則を構成している 2 つの規則には、MAC ベンダー規則と特定の DHCP オプション セットが入っており、DHCP 経由でアドレス指定情報を要求するときにエンドポイントにより含められます。MAC ベンダー規則は、大文字小文字に関係なく「Apple」という単語で始まるすべての MAC ベンダー ストリングを一致させる正規表現を使用します。同様に、DHCP オプション要求は、一致が検出されるよう指示されたストリングで始まる必要があります。2 つの <AND> ステートメントは、規則の開始と終了が論理積をとっていることを示します。この場合、この詳細規則が真であるためには、両方の規則が真でなければなりません。

入力が終わったら、[Add Advanced Rule] フォームの下部にある [Add Advanced Rule] ボタンをクリックして変更を保存し、詳細規則をプロファイルに追加します。


) リリース 2.1.8 では、XML 規則が正しくフォーマットされているか確認するために XML Parse Error チェッカが追加されています。[Add Advance Rule] ボタンをクリックすると、チェッカは自動的に実行されます。エラーが発生すると、[Add Advance Rule] ボタンの下にエラーの簡単な内容を説明した [XML Parse Error] が表示されます。エラーが解決されるまで、詳細規則は追加できません。


アプリケーション規則をプロファイルへ保存したら、設定中のプロファイルの [Save Profile] ページがブラウザに表示されます。前述の手順で追加されたアプリケーション規則が、その他のすべてのプロファイル属性とともに [Save Profile] フォームに表示されます。この時点で、エンドポイント プロファイルの編集または追加を行うことができたり、プロファイルへの変更を保存できます。

[Set Static]

この章でこれまでに説明してきた 6 種類の規則とは別に、Cisco NAC Profiler はエンドポイントをエンドポイント プロファイルに分類する方法をさらに 1 つ提供しています。[Save Profile] フォームの下にある [Set Static] ボタンは、MAC アドレスまたは IP アドレスにより特定のエンドポイントを指定したレベルの確実度で、エンドポイント プロファイルに指定する方法を提供します。

プロファイルの [Set Static] ボタンをクリックすると、エンドポイントの IP ホスト アドレスまたは MAC アドレスのリストをプロファイルに静的に配置できる図 9-16 のようなフォームが表示されます。

図 9-16 [Set Static] プロファイル規則

 

入力が終わったら、[Add Advanced Rule] フォームの下部にある [Add Advanced Rule] ボタンをクリックして変更を保存し、詳細規則をプロファイルに追加します。

アプリケーション規則をプロファイルへ保存したら、設定中のプロファイルの [Save Profile] ページがブラウザに表示されます。前述の手順で追加されたアプリケーション規則が、その他のすべてのプロファイル属性とともに [Save Profile] フォームに表示されます。この時点で、エンドポイント プロファイルの編集または追加を行うことができたり、プロファイルへの変更を保存できます。

フォームに MAC アドレスを入力するには、標準形式 01:02:03:04:05:06 で 1 行に 1 つずつ MAC アドレスを入力します。IP ホスト アドレスは 1 行に 1 つずつドット付き 10 進表記(192.168.1.1 など)で入力します。

静的規則からプロファイルに追加されたデバイスの確実度値を指定します。確実度メカニズムは引き続き前述のように動作します。Cisco NAC Profiler が別のイネーブルにされたプロファイルの規則と一致する静的割り当てにより、現在プロファイルにあるエンドポイントから動作を監視している場合、新しいプロファイルの確実度値が高い場合、エンドポイントはプロファイルを移動します。プロファイルに静的に割り当てられたエンドポイントがプロファイルから移動しないようにするには、静的規則に 100% などの高い確実度値を割り当ててください。

[Save Static] ボタンをクリックすると、プロファイルに静的割り当てが保存され、インターフェイスはそのプロファイルの [Save Profile] フォームに戻ります。

プロファイルの静的規則セットの編集

静的規則セットを含むプロファイルには、[Save Profile] フォームの [Rules] セクションに次の行があります。

「Static Rule Set (use button to modify)」

規則を編集または削除する場合に [Edit] および [Remove] オプション ボタンを使用するその他の規則タイプと異なり、静的規則では [Set Static] ボタンを使用して [Static Addresses] フォームを開く必要があります。必要に応じてアドレスを編集したり、すべてのアドレスを削除して、プロファイルから静的規則セットを削除します。

[View/Edit Profiles List]

ユーザまたはシステムが作成したプロファイルのリストを表示または編集するには、[View/Edit Profiles List] オプションを選択します。図 9-17 は、ユーザ インターフェイスに、現在システム設定に保存されているすべてのエンドポイント プロファイルのリストを表示した [View/Edit Profiles] ページを示しています。

図 9-17 [View/Edit Profile List]:[Table of Profiles]

 

[Table of Profiles] の各エンドポイント プロファイルについて、プロファイルの概要が表示されています。[802.1X Aware] カラムは、プロファイルの [802.1X] オプション ボタンが現在 [Yes] または [No] のどちらに設定されているかを示します。これは、ある指定のプロファイルのデバイスに 802.1X サプリカントがあるかどうかを示す場合の完全に通知目的の属性です。右端のカラムは、プロファイルが現在イネーブルになっているかどうかを示します。

表の左端カラムにある緑色のハイパーリンクになったプロファイル名をクリックすると、選択したプロファイルの [Save Profile] フォームが起動され、図 9-18 に示すようにプロファイルの現在の設定が反映されます。このフォームにより、プロファイルについて規則の追加、編集、または削除など、プロファイルのパラメータを編集できます。

図 9-18 プロファイルの編集ダイアログ

 

プロファイルに保存されている規則の編集

規則のすぐ右にある [Edit] オプション ボタンをクリックし、オプション ボタンの下の [Edit] ボタンをクリックすると、その規則の [Save Rule] フォームが表示されます。この章の前半部分で説明した指示に従って、規則パラメータを変更します。フォームの下にある [Save] ボタンをクリックし、変更内容を保存します。

[Endpoint Profiler] から規則を削除するには、[Save Profile] フォームの [Remove] ボタン上にあるチェックボックスをクリックし、[Remove] ボタンをクリックします。規則は、プロファイルから永久に削除されます。

「[Set Static]」の項で説明したように、静的規則は [Save Profile] フォームの下にある [Set Static] ボタンをクリックして編集または削除します。必要に応じて変更したり、すべての静的エントリを削除したり、静的規則を保存して、変更を適用します。