Seguridad : Cisco Identity Services Engine

Opción 55 de la lista del pedido del parámetro del DHCP usada para perfilar el ejemplo de configuración de los puntos finales

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (20 Octubre 2015) | Comentarios

Introducción

Este documento describe el uso de la opción 55 de la lista del pedido del parámetro del DHCP como método alternativo de perfilar los dispositivos que utilizan el Identity Services Engine (ISE).

Contribuido por Harisha Gunna y las pulas de Todd, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene:

  • Conocimiento básico del proceso de detección del DHCP
  • Experiencia con el uso del ISE de configurar la aduana que perfila las reglas

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 1.2 ISE
  • IOS de Apple
  • Windows 8

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

En las implementaciones de la producción ISE, algo de desplegado generalmente perfilando las sondas incluye el RADIUS, el HTTP, y el DHCP. Con el cambio de dirección URL en el centro del flujo de trabajo ISE, el sondeo HTTP es ampliamente utilizado para capturar los datos importantes del punto final de la cadena del agente de usuario. Sin embargo, en algunos casos del uso de la producción, el cambio de dirección URL no se desea y el dot1x preferered, que hace más difícil perfilar exactamente un punto final. Por ejemplo, un empleado PC que conecta con un conjunto de servicio corporativo Indentifier (SSID) consigue el acceso total mientras que su iDevice personal (iPhone, iPad, iPod) consigue el acceso a internet solamente. En ambos escenarios, perfilan y se asocian dinámicamente a los usuarios a un grupo más específico de la identidad para corresponder con del perfil de la autorización que no confíe en el usuario para abrir a un buscador Web. Otra alternativa de uso general es el corresponder con del nombre de host. Esta solución es imperfecta porque los usuarios pudieron cambiar el nombre de host del punto final a un valor no estándar.

En los casos que ocurres sólo fuera de los parámetros de funcionamiento normales tales como éstos, la sonda del DHCP y la opción 55 de la lista del pedido del parámetro del DHCP se pueden utilizar como método alternativo para perfilar estos dispositivos. El campo de la lista del pedido del parámetro en el paquete DHCP se puede utilizar para tomar las huellas dactilares un sistema operativo del punto final como un Sistema de prevención de intrusiones (IPS) utiliza una firma para hacer juego un paquete. Cuando el sistema operativo del punto final envía un DHCP descubre o el paquete de pedidos en el alambre, el fabricante incluye una lista numérica de opciones DHCP que se preponga recibir del servidor DHCP (router predeterminado, Domain Name Server (DNS), servidor TFTP, etc.). La orden por la cual los pedidos de DHCP cliente estas opciones del servidor son bastante únicos y se pueden utilizar para tomar las huellas dactilares un sistema operativo de la fuente particular. El uso de la opción de la lista del pedido del parámetro no es tan exacto como la cadena del agente de usuario HTTP, sin embargo, es lejos más controlado que el uso de los nombres de host y de otros datos estático-definidos.

Nota: La opción de la lista del pedido del parámetro del DHCP no es una solución perfecta porque los datos que presenta son vendedor-dependientes y se pueden duplicar por los tipos de dispositivo múltiple.

Antes de que usted configure el ISE que perfila las reglas, el uso Wireshark captura de un punto final/del Switched Port Analyzer (SPAN) o el volcado del Transmission Control Protocol (TCP) captura en el ISE para evaluar las opciones de la lista del pedido del parámetro en el paquete DHCP (si presente). Esta captura de la muestra visualiza las opciones de la lista del pedido del parámetro del DHCP para una empresa PC de Windows 8.

La cadena de la lista del pedido del parámetro que resulta se escribe en el formato separado por coma siguiente: 1,15,3,6,44,46,47,31,33,121,249,252,43. Utilice este formato al configurar la aduana que perfila las condiciones en el ISE.

La sección de configuración demuestra el uso de la aduana que perfila las condiciones para hacer juego los iPhones, los iPads, e iPod en un solo grupo de la identidad llamado Apple-iDevice. A diferencia de la cadena de la lista del pedido del parámetro que es única a Windows 8, Apple utiliza un conjunto común de cadenas a través de los tipos del punto final múltiple. Debido a esto, no es posible distinguir el tipo del iDevice de Apple con el uso de la opción de la lista del pedido del parámetro solamente. Esto es una configuración aceptable en las implementaciones de la producción ISE porque la misma directiva de la autorización se aplica típicamente a los iPhones, a los iPads, y a iPod.

Configurar

  1. Abra una sesión al ISE admin GUI y navegue a la directiva > a los elementos > a las condiciones de la directiva > perfilando. El tecleo agrega para agregar una nueva condición de perfilado de encargo. En este ejemplo, cuatro reglas únicas se definen para las huellas dactilares más de uso general de la lista del pedido del parámetro del iDevice de Apple. Refiera a Fingerbank.org para una lista completa de valores de la lista del pedido del parámetro. 

    Nota: El cuadro de texto del valor de atributo no pudo visualizar todas las opciones numéricas, y usted puede ser que necesite navegar con el ratón o el teclado para ver la lista completa.





  2. Con las condiciones de la aduana definidas, navegue a la directiva > perfilando > perfilando Polcies para modificar una directiva de perfilado actual o para configurar un nuevo. En este ejemplo, la directiva de Apple-iDevice del valor por defecto se edita para incluir las nuevas condiciones de la lista del pedido del parámetro.

  3. Agregue una nueva condición compuesta a la regla de la directiva del profiler de Apple-iDevice y asegúrese de que O el operando está seleccionado de modo que las cadenas unas de los de la lista de pedidos del parámetro configurado puedan dar lugar a una coincidencia. Modifique el factor de la certeza como se requiere en la orden para alcanzar el resultado de perfilado deseado.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

  • Navegue a la administración > a la Administración de la identidad > a las identidades > a los puntos finales y edite el perfil del punto final para el dispositivo/la dirección MAC.
  • Confirme que el EndPointPolicy es Apple-iDevice, que el EndPointSource es sonda del DHCP, y que los valores de la DHCP-parámetro-petición-lista hacen juego los valores de la condición configurados previamente.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

  • Verifique que los paquetes DHCP alcanzaran los Nodos de la directiva ISE que realizan la función de perfilado (con el ayudante-direccionamiento o el SPAN).
  • Utilice las operaciones > el Troubleshooting > las herramientas de diagnóstico > las herramientas generales > herramienta del volcado TCP para ejecutar nativo las capturas del volcado TCP del ISE admin GUI.
  • Refiera a la base de datos de la huella dactilar del DHCP de Fingerbank.org para un objeto list actual de las opciones de la lista del pedido del parámetro. 
  • Asegúrese de que los valores correctos de la lista del pedido del parámetro estén configurados en el ISE que perfila las condiciones. Algunas de las cadenas generalmente usadas incluyen:
    tipo de dispositivoValor de la lista del pedido del parámetro
    Windows XP
    1,15,3,6,44,46,47,31,33,249,43
    1,15,3,6,44,46,47,31,33,249,43,252
    1,15,3,6,44,46,47,31,33,249,43,252,12
    15,3,6,44,46,47,31,33,249,43
    15,3,6,44,46,47,31,33,249,43,252
    15,3,6,44,46,47,31,33,249,43,252,12
    28,2,3,15,6,12,44,47
    Windows Vista/7 o servidor 2008
    1,15,3,6,44,46,47,31,33,121,249,43
    1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,252
    1,15,3,6,44,46,47,31,33,121,249,43,195
    Windows 81,15,3,6,44,46,47,31,33,121,249,252,43
    Mac OS X1,3,6,15,112,113,78,79,95
    1,3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95
    3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79
    1,3,6,15,119,95,252,44,46,101
    1,3,6,15,119,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252,44,47
    1,3,6,15,112,113,78,79,95,252,44,47
    1,3,12,6,15,112,113,78,79
    60,43
    43,60
    1,3,6,15,119,95,252,44,46,47
    1,3,6,15,119,95,252,44,46,47,101
    iPhone, iPad, iPod
    1,3,6,15,119,78,79,95,252
    1,3,6,15,119,252
    1,3,6,15,119,252,46,208,92
    1,3,6,15,119,252,67,52,13

Los ciertos comandos show de los soportes de la herramienta del Output Interpreter (clientes registrados solamente). Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116235