Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC Profiler Events の設定
Cisco NAC Profiler Events の設定
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC Profiler Events の設定

概要

Newly Profiled イベント タイプ

Profile Change イベント タイプ

MAC Change イベント タイプ

NAC イベント

Profiler Events の設定

Profiler Events の作成

ネットワーク デバイスごとのイベントのイネーブル化

Profiler Events のアクティブ化

Profiler Events の編集

Cisco NAC Profiler Events の設定

この章は、次の内容で構成されています。

「概要」

「Profiler Events の設定」

概要

Profiler Events は、Cisco NAC Profiler のエンドポイント動作モニタリング機能、および Cisco NAC アプライアンスとの統合において重要なコンポーネントです。Cisco NAC Profiler は、ネットワークエンドポイントを検出、特定、識別できるだけではなく、エンドポイント環境の変更を継続的に監視することもできます。指定ポートに接続されたエンドポイントが変更されたり、エンドポイントのデバイス タイプ(プロファイルなど)が変わったことを表す動作を示し始めたりすると、これらのイベントは Cisco NAC Profiler によってロギングされ、システムはネットワーク操作やセキュリティ管理に自動的にアラートします。Cisco NAC Profiler のエンドポイント動作モニタリング機能は、このようにして、継続的な管理を行う Cisco NAC アプライアンスの配備に有益なサポートを提供します。

Profiler Events 機能は、Newly Profiled、MAC Change、Profile Change、および NAC イベントの 4 種類のイベントを提供します。最初の 3 種類のイベントは、動作モニタリングのアラート機能の基礎を成すものです。4 つめのイベント、NAC イベントは、Cisco NAC Profiler と Cisco NAC アプライアンスとの統合でだけ使用されます。このイベント タイプについては、Cisco NAC Profiler と Cisco NAC アプライアンスとの統合を設定する手順に関する 第 11 章「Cisco NAC アプライアンスとの統合」 で詳しく説明します。

Newly Profiled、MAC Change、および Profile Change の各イベントは、一般的なアラート メカニズム、つまり NMS への SNMP トラップ、Profiler Server 自体、またはネットワーク上の別の Syslog サーバへの Syslog 入力、あるいはこれらの組み合せによって、ネットワークやセキュリティ操作をアラートするよう作成、および設定されるほか、Cisco NAC Profiler の Web インターフェイスの Endpoint Console 内でイベント通知も作成、設定します。エンドポイント動作モニタリングは、重要な変更がネットワークのエッジで発生すると、適切な担当者およびシステムに即座に、かつ自動的にアラートを送信することにより、継続的な管理、トラブルシューティング、およびネットワーク セキュリティ ポスチャの改善を支援するために使用されます。

この章の大半では、最初の 3 種類のイベントの機能と、これらがどのように設定されるかについて説明します。NAC イベントについては、Cisco NAC Profiler ユーザ インターフェイスを通じて Profiler Events を表示、管理する方法について説明する、 第 11 章「Cisco NAC アプライアンスとの統合」 第 13 章「エンドポイント コンソールの使用」 で詳述します。

Newly Profiled イベント タイプ

このイベントは、エンドポイントが、対象となるプロファイル(複数可)に最初にプロファイリングされたときに、アラートを送信するよう設定されています。特定の製造業者のエンドポイント、つまり、ポリシーによって承認されていないデバイスなどがネットワークに追加されたときに通知を受け取りたい場合があります。一例として、SOHO アクセス ポイント ルータの製造元として知られるベンダー "Belkin" の MAC を持つデバイスを識別するために、"Belkin Devices" というプロファイルを指定するとします。エンドポイントがネットワークで検出され、Belkin Device プロファイルに入れられると、Cisco NAC Profiler は、エンドポイントがこのプロファイルに追加されたことを通知するイベントと、トラブル チケットを発行するために使用される場所情報を生成します。

Newly Profiled イベントは、Cisco NAC Profiler システムに対してグローバルに定義されます。システム設定に追加されたイベントは、システム全体でイネーブルになります。

Profile Change イベント タイプ

このイベントは、指定ポート上のエンドポイントが、定常状態のプロファイルから、別のプロファイルに変わったときにアラートを送信する際に使用されます。このイベントは、ネットワーク デバイス レベルで選択されたポートでイネーブルになります。Profile Change イベントのイネーブル化は、 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 で説明するネットワーク デバイスの編集手順によってデバイス単位で設定されます。


) Cisco NAC Profiler が SNMP 経由でデバイスを正常にポーリングしなければイネーブルにはなりません。


第 11 章「Cisco NAC アプライアンスとの統合」 で説明するように、Cisco NAC Profiler が Cisco NAC アプライアンスと統合されると、CAM のフィルタ リストに含まれるプロファイルから、CAM フィルタ リストに含まれないプロファイルへの変更を許可する動作(Printer が Windows User に遷移するなど)がエンドポイントで見られる場合は、設定に応じ、Cisco NAC Profiler によってエンドポイントのエントリがフィルタ リストから削除され、エンドポイントとネットワークとの接続が Cisco NAC アプライアンスによって終了される場合があります。Profile Change イベントは、このアクションが発生したことをネットワーク管理にアラートするために使用されます。


) Profile Change のイベント ロジック上、以前は未検出だった新しいエンドポイントは、Profile Change イベントがイネーブルになった状態でポート上のネットワークに参加するので、イベントはロギングされません。新しいエンドポイントが参加し、イネーブルになったプロファイルに最初にプロファイリングされた場合、または検出されたが Unknown として分類された場合は、このイベント タイプの目的上、エンドポイントに対して定常状態のプロファイルが設定されます。新規エンドポイントが、その後、定常プロファイルから別のプロファイルに、または Unknown のプロファイルからイネーブルになったプロファイルに遷移した場合は、定常状態のプロファイルから新規プロファイルに遷移したことによって Profile Change イベントが生成されます。


MAC Change イベント タイプ

このイベント タイプは、選択されたネットワーク デバイス上の指定ポートに接続されたエンドポイントで、MAC アドレスの変更を検出する必要がある環境向けとして設計されています。これらのポートは、Cisco NAC アプライアンスが管理しておらず、アドミッション コントロールが適用されていないポートなどです。これらのポートに接続されたエンドポイントに対しては、認証クレデンシャルのチャレンジが行われず、ポスチャもされません。そのため、そのポートに現在接続されている MAC アドレスが変更されたかどうかの把握が重要となるのです。Profile Change イベントのように、MAC Change イベントは、ネットワーク デバイスの編集手順によって、選択されたネットワーク デバイス上でポートごとにイネーブルになります。 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照してください。


) MAC Change イベントは、Cisco NAC Profiler が SNMP 経由でデバイスを正常にポーリングしなければイネーブルにはなりません。


MAC Change イベントは、接続されたエンドポイントの MAC アドレスに対する変更が重要となる、ネットワーク エッジのポートに対してイネーブルになります。MAC Change イベントは、複数の MAC アドレスがポートで学習されることが予期されるトランク ポートには設定してはなりません。Cisco NAC Profiler ネットワークによって保持されるネットワークのモデルは、(MAC アドレスで)ネットワーク デバイスと、現在ネットワークに接続されているすべてのエンドポイントに接続を提供するポートを追跡します。MAC Change イベントがエッジ ポートでイネーブルになると、Cisco NAC Profiler は、そのポートに現在接続されている MAC アドレスを記録します。MAC Change イベントは、そのポートで異なる MAC アドレスが学習された場合、つまり、予期される MAC が置換された可能性がある場合にトリガーされます。


) MAC Change イベントが、開いているポートでイネーブルになると(エンドポイントが接続されていない場合など)、このポートに接続される最初のエンドポイントの MAC アドレスが Cisco NAC Profiler によって検出されますが、イベントはトリガーされません。MAC Change イベントがイネーブルになったポートの最初の MAC アドレスを学習したら、イベントはアームされます。ポート上の Cisco NAC Profiler が新しい MAC アドレスを学習するとイベントがトリガーされ、その MAC アドレスはポートの参照 MAC アドレスとなり、それが変更されると、イベントが再度発生します。



) 現行の MAC Change イベントの実装では、イベント メカニズムは、ポート上で学習される最後の MAC だけを記録します。したがって、ハブ、管理されていないスイッチ、ワイヤレス アクセス ポイントなどのファンアウト デバイスを通じて複数のデバイスをサポートするエッジ ポートの場合は、MAC Change イベントは、以前の MAC がポートから削除されても、それを明確には示しません。そのため、これらのイベントは、単独のエンドポイントしかサポートしないスイッチ ポートだけで使用する必要があります。


NAC イベント

Cisco NAC Profiler イベントの機能は、Cisco NAC アプライアンスとの統合を簡便化し、ネットワーク アドミッション コントロールの実装と管理に伴う運用上の負担を大幅に減らします。Cisco NAC Profiler と Cisco NAC アプライアンスを統合すると、CAM デバイス フィルタ リストの入力と管理が自動化されます。このリストは、NAC と直接相互作用できないために、MAC アドレスに基づいてネットワークへのアクセスの可否が決定される MAC アドレスの「ホワイト リスト」としての役割を果たします。Cisco NAC Profiler を Cisco NAC アプライアンスの配備に統合すると、非 NAC 準拠のエンドポイントに対処するうえでの運用上の負担が大幅に軽減されるとともに、フィルタ リスト上のデバイスに対する潜在的な不正アクセスを継続的に監視することにより、ネットワーク アドミッション コントロール メカニズムの整合性を劇的に向上します。

NAC イベントの設定も含め、Cisco NAC Profiler と Cisco NAC アプライアンスとの統合については、 第 11 章「Cisco NAC アプライアンスとの統合」 で詳述しています。

Profiler Events の設定

Profiler Events を定義するには、[Configuration] タブを選択し、左側のサイド バーまたはメイン ペイン テーブルから [Profiler Events] を選択します。図 10-1 に、Profiler Events 設定ページをブラウザに表示した様子を示します。

図 10-1 [Profiler Events] ページ

 

Profiler Events の作成

図 10-1 に示すように、[Profiler Events] ページのテーブルから [Create Events] オプション(または、ページ上部のリンク)を選択し、Newly Profiled、Profile Change、または MAC Change イベントを作成し、システム設定に追加します。

[Add Event] フォームは、図 10-2 に示すように、メイン ページに表示されます。

図 10-2 [Add Event] フォーム

 

新しいエンドポイント イベントを作成するには、次の手順に従って [Add Event] フォームに入力し、必要なイベント タイプを作成します。

[Event Name]

このイベントを説明する、意味のある名前を入力します。イベントに名前を付ける際は、このイベント名がネットワーク デバイスの Profile Change および MAC Change イベントの設定でも使用されることを考慮に入れる必要があります。そのため、選択されたデバイスでイベントをイネーブルにするときに名前をすぐに認識できるよう、わかりやすい名前にする必要があります。

[Event Logic]

ラジオボタンを使用し、追加されるイベントに該当するイベント タイプを [Newly Profiled]、[Profile Change]、または [MAC Change] の中から選択します。

加えて、Event Logic を使用すると、管理者はイベント メカニズムの選択性を高めるオプションを選択できるので、ネットワーク操作やセキュリティ管理における Profiler Events の価値を高めることができます。

[Matching Profile] フィールドは、イベント メカニズムの選択性を高めることによって、イベントをさらに絞り込むメカニズムを提供します。[Matching Profile] には、1 つ以上のプロファイル名に一致する正規表現を入力できます。

Newly Profiled イベントについては、[Matching Profile] フィールドは、エンドポイントの追加を監視するプロファイル(複数可)を指定するために使用されます。この章の前半の例で示したように、Cisco NAC Profiler では "Belkin Devices" というプロファイルにエンドポイントが追加されるたびにイベントを生成するので、[Matching Profile] には /Belkin/ と入力します。

Profile Change イベントについては、[Matching Profiles] フィールドには、許容可能なプロファイル変更として指定されている 1 つ以上のプロファイルを入力できます。つまり、定常状態から [Matching Profile] に遷移しても、イベントは生成されません。たとえば、エンドポイントがアラーム以外の理由(IP 電話のアップグレード)で "Cisco IP Phone(CP-7960G)" から "Cisco IP Phone CP-7970G" というプロファイルに遷移した場合は、正規表現 /phone/i を [Matching Profile] フィールドに入力しておくと、このようなプロファイル変更は許容可能なのでイベントを発生させる必要がないことを示すことができます。

MAC Change イベントの場合は、[Matching Profiles] フィールドは任意であり、許容可能な MAC 変更として 1 つ以上のプロファイルを指定できます。つまり、[Matching Profiles] フィールドに入力された名前と一致するプロファイルの MAC を、同じく [Matching Profiles] フィールドのプロファイル名と一致するプロファイルの、別のデバイス(異なる MAC)と置換する場合は、MAC Change イベントは 発生しません 。たとえば、MAC A のエンドポイントが "Printers" という名前のプロファイルにあり、これを、同じく Printer プロファイルにあり、MAC Change イベントがイネーブルになっており、かつ [Matching Profile] フィールドが /Printer/ に設定されている MAC B と置換されても MAC Change イベントは発生しません。

[Event Delivery Methods]

Cisco NAC Profiler は、Newly Profiled、Profile Change、および MAC Change イベントに適用されるエンドポイント イベント配信方法を 4 種類提供します。これらのイベント配信方法は次のとおりです。

SNMP Trap:Cisco NAC Profiler は、[Server Module Configuration] ウィンドウで定義された SNMP マネージャの IP アドレスに対し、SNMP トラップを発行します。

Syslog:Cisco NAC Profiler は、/etc/syslog.conf の設定に基づき、syslog メッセージを書き込みます。

Cisco NAC Profiler Interface:Cisco NAC Profiler は、ユーザ インターフェイスで提供される Endpoint Console の [Profiler Events] ページで、イベントを表示します。

作成されるエンドポイント イベントに対し、これらの 3 つのオプションを任意に組み合せることができます。

[Event Level]

[Event Level] オプション([Info]、[Minor]、[Normal]、または [Critical])の中から 1 つ選択すると、オペレータがこのエンドポイント イベントの優先度/重大度を判断する際に役立ちます。

[Event Enabled]

適切なオプションを選択すると、定義されたイベントを随時イネーブルまたはディセーブルにできます。

[Add Event] ボタンをクリックし、新規作成されたエンドポイント イベントを保存します。

Profiler Events を追加するには、このセクションで説明した手順を繰り返し、必要に応じて Newly Profiled、Profile Change、および MAC Change イベントを作成します。システム設定に、必要なイベントがすべて追加されたら、次のセクションに従って、選択されたネットワーク デバイスの指定ポート上で Profile Change および MAC Change イベントをイネーブルにします。

ネットワーク デバイスごとのイベントのイネーブル化


) Newly Profiled イベントはグローバルにイネーブルになるので、ネットワーク デバイスでイネーブルにする必要はありません。Newly Profiled イベントについてはこのセクションを飛ばし、この章の次のセクションに進んでください。


この章の前半でも述べたように、Profile Change イベントと MAC Change イベントは、選択されたネットワーク デバイスのポート単位でイネーブルになります。上記のようにして定義された Profile Change および MAC Change イベントをアクティブにするには、ネットワーク エッジのネットワーク デバイスの対象ポートでイネーブルにする必要があります。

Profile Change または MAC Change イベントが Cisco NAC Profiler 設定に追加され、ネットワーク デバイスが SNMP 経由で初めてポーリングされたあと、図 10-3 に示すように、[Edit Network Device] フォームに [Profiler Events] という新しいセクションが追加されます(Cisco NAC Profiler のネットワーク デバイス設定の完全なガイドについては、 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照してください)。このセクションでは、システム設定に保存され、指定ポートでイネーブル化された Profile Change または MAC Change イベントを、設定内の各ネットワーク デバイスに指定できます。

図 10-3 [Edit Network Device] フォーム:[Profiler Events]

 

図 10-3 に示すように、Cisco NAC Profiler によってネットワーク デバイスが正常にポーリングされると、利用可能な Profile Change および MAC Change イベントがデバイス上でイネーブルになります。[Event Network Device] フォームの [Profiler Events] セクションには、図 10-3 に示すように、システム設定内の各 Profile Change や MAC Change イベントに対し、2 つの項目があります。

MAC Change または Profile Change イベントをネットワーク エッジでイネーブルにするには、イベント名の隣にあるチェックボックスを選択するだけです。こうすると、すべてのポートのイベントがイネーブルになります。[Port Filter] フィールドでは、イベントのチェック プロセスから 除外する ポート(複数可)を指定できます。MAC Change イベントのスイッチ間リンクなど、イベントをイネーブルにしない、またはチェックしないポートを Port Filter リストに追加する必要があります。


) [Port Filter] リストの構文は、イベントのイネーブル化から除外するポート(複数可)の ifIndex です。個々のポートをカンマで区切って指定することも(例:1,5,11)、ifIndices の範囲を指定することも(例:1-5,7,8)できます。
ifIndex は、[Endpoint Console] > [View Manage Endpoints] > [Display Endpoints by Device Ports] の順に選択し、[Ungrouped] をクリックします。次に、[Port Control] の [View] をクリックします。最初の列に、物理ポートと ifIndex が角カッコに囲まれてリストされます。


必要なパラメータが [Edit Network Device] フォームに入力されたら、[Update Device] ボタンをクリックします。前述したように、前のステップで作成された Profile Change または MAC Change イベントが各ポートでイネーブルになった、残りすべてのネットワーク デバイスの設定を完了します。その後、設定された Profiler Events を Cisco NAC Profiler でアクティブにする方法について説明する、次のセクションに進みます。

Profiler Events のアクティブ化

Profiler Events をアクティブにするには、前のセクションで説明した設定変更を、システムの現行設定にコミットする必要があります。

新規にプロファイリングされたイベントの場合は、イベントが作成されて保存されたあとに、[Apply Changes] -> [Update Modules] を実行します。[Update Modules] を実行すると、新規にプロファイリングされたイベントの Matching Profile エントリに一致するプロファイルにエンドポイントがプロファイリングされると、イベントがトリガーされます。


) 新規にプロファイリングされたイベントについては、イベントをアクティブにする前に、イベントの Matching Profiles で指定されたプロファイル(複数可)にあるエンドポイントに対してはイベントはトリガーされません。イベント ロジックでは、イベントをアクティブにしたあとに、エンドポイントをプロファイルに追加する必要があるからです。新規にプロファイリングされたイベントをアクティブにする前に、プロファイル内のエンドポイントでイベントを強制的に発生させるには、プロファイルを一時的にディセーブルにし、[Apply Changes] -> [Update Modules] を実行してから、プロファイルを再度イネーブルにします。こうすると、プロファイルがパージされ、エンドポイントは再プロファイリングされるので、エンドポイントのイベントがトリガーされます。


Profile Change および MAC Change イベントについては、該当するネットワーク デバイスでイベントをイネーブルにしてから、[Apply Changes] -> [Update Modules] を実行します。[Update Modules] を実行後、Profile Change や MAC Change イベント(複数可)は、前述のステップの設定に従い、ネットワーク デバイスおよびポートで正常にアクティブになります。

正しく設定されていれば、Profile Change、MAC Change、または Newly Profiled イベントが発生すると、それぞれのイベント設定で指定された通知にイベントが表示されるはずです。Cisco NAC Profiler の Endpoint Console におけるイベントの表示と管理については、 第 13 章「エンドポイント コンソールの使用」 を参照してください。

Profiler Events の編集

システムに保存された Profiler イベントと、現在のステータスを確認するには、[Profiler Events] テーブルの [View/Edit Events List] リンクを選択します。図 10-4 に、[View/Edit Events] を選択すると表示されるテーブルを例示します。

図 10-4 [Table of Events]

 

緑のハイパーリンクで示される [Event Name] を選択すると、図 10-5 に示す [Edit Event] フォームが開きます。

図 10-5 [Edit Event] フォーム

 

このフォームには、必要に応じて編集可能な、現在のイベント パラメータが入力されます。各パラメータと、Profiler イベントを定義するための手順については、「Profiler Events の作成」 を参照してください。

エンドポイント イベントを一時的にイネーブルまたはディセーブルにするには、該当するラジオボタンを選択します。

システムにコミットするイベントに変更を加えたら、必ず [Save Event] ボタンを選択し、システム設定に変更を保存します。

イベントを削除する場合は、[Delete Event] ボタンを選択し、システム設定からイベントを削除します。


) Profile Change および MAC Change イベントは、指定ポートで選択されたネットワーク デバイスに設定されることを思い出してください。デバイスやポート単位でこれらのタイプの プロファイラ イベントを変更する場合は、この章で説明したように、影響を受けるネットワーク デバイスの設定に対して変更を加える必要があります。


必要な変更を加えたら、実行中のシステム設定に変更をコミットする必要があります。Profiler Events の変更内容をコミットするには、[Apply Changes] -> [Update Modules] を実行します。