Безопасность : Платформа Cisco Identity Services Engine

Опция 55 списка запроса параметра DHCP, используемая для профилирования Примера конфигурации оконечных точек

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает использование опции 55 DHCP Parameter Request List как альтернативный метод для профилирования устройств, которые используют платформу Identity Services Engine (ISE).

Внесенный Хэришей Ганной и Тоддом Пулой, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь:

  • Базовые знания о процессе обнаружения DHCP
  • Опыт с использованием ISE для настройки пользовательских копировальных правил

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 1.2 ISE
  • IOS Apple
  • Windows 8

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

В производственных развертываниях ISE некоторые более обычно развертываемые копировальные зонды включают RADIUS, HTTP и DHCP. С перенаправлением URL в центре потока операций ISE Проверка HTTP широко используется для получения важных данных оконечной точки от строки User-Agent. Однако в некоторых производственных вариантах использования, перенаправление URL не требуется, и Dot1x является preferered, который делает более трудным точно представить оконечную точку. Например, ПК сотрудника, который подключает с корпоративным Набором сервисов Indentifier (SSID), получает полный доступ, в то время как его персональный продукт компании Apple (iPhone, iPad, iPod) получает доступ в Интернет только. В обоих сценариях пользователи представлены и динамично сопоставлены с более определенной идентификационной группой для профиля авторизации, совпадающего, который не полагается на пользователя для открытия web-браузера. Другая обычно используемая альтернатива является соответствием имени хоста. Это решение несовершенно, потому что пользователи могли бы изменить имя хоста оконечной точки на нестандартное значение.

В предельных условиях, таких как они, зонд DHCP и опция 55 DHCP Parameter Request List могут использоваться в качестве альтернативного метода для профилирования этих устройств. Поле Parameter Request List в пакете DHCP может использоваться для снятия отпечатков пальцев у операционной системы оконечной точки во многом как использование Системы предотвращения вторжений (IPS) подпись для соответствия с пакетом. Когда операционная система оконечной точки передает DHCP, обнаруживают или пакет запроса на проводе, изготовитель включает числовой список параметров DHCP, которые это намеревается получить от DHCP server (маршрутизатор по умолчанию, Сервер доменных имен (DNS), TFTP server, и т.д.). Заказ, которым запросы клиента DHCP эти опции от сервера довольно уникально и может использоваться для снятия отпечатков пальцев у операционной системы конкретного источника. Использование опции Parameter Request List не так точно как строка User-Agent HTTP, однако, это намного более управляется, чем использование имен хоста и других статически определенных данных.

Примечание: Опция DHCP Parameter Request List не является оптимальным решением, потому что данные она продукты зависимы от поставщика и могут быть дублированы типами составного устройства.

Перед настройкой правил профилирования ISE используйте перехваты Wireshark от перехватов Дампа Оконечной точки/коммутируемого анализатора для портов (SPAN) или Протокола TCP на ISE для оценки опций Parameter Request List в пакете DHCP (если есть). Этот типовой перехват отображает опции DHCP Parameter Request List для Windows 8 Enterprise PC.

Строка Списка Запроса параметра, которая результаты записаны в придерживающемся разделенном от запятой формате: 1,15,3,6,44,46,47,31,33,121,249,252,43. Используйте этот формат при настройке пользовательских копировальных условий в ISE.

Раздел конфигурации демонстрирует использование пользовательских копировальных условий совпасть с iPhone, iPad и iPod в одиночную идентификационную группу, названную продуктом компании Apple Apple. В отличие от строки Списка Запроса параметра, которая уникальна для Windows 8, Apple использует единый набор строк по типам нескольких оконечных точек. Из-за этого не возможно дифференцировать тип продукта компании Apple Apple с использованием одной только опции Parameter Request List. Это - приемлемая конфигурация в производственных развертываниях ISE, потому что та же политика авторизации, как правило, применяется к iPhone, iPad и iPod.

Настройка

  1. Войдите в систему GUI admin ISE и перейдите к Политике> Элементы Политики> Условия> Профилирование. Нажмите Add для добавления нового пользовательского копировального условия. В данном примере четыре уникальных правила определены для обычно используемых отпечатков пальца Списка Запроса параметра продукта компании Apple Apple. Обратитесь к Fingerbank.org для полного списка значений Списка Запроса параметра. 

    Примечание: Текстовое поле Значения атрибута не могло бы отобразить все числовые опции, и вы, возможно, должны были бы перейти с мышью или клавиатурой для просмотра полного списка.





  2. С пользовательскими определенными условиями перейдите к Политике> Представляющий> Представляющий Polcies для изменения текущей копировальной политики или для настройки нового. В данном примере политика продукта компании Apple Apple по умолчанию отредактирована для включения новых условий Списка Запроса параметра.

  3. Добавьте, что новое составное условие к политике профилировщика продукта компании Apple Apple управляет и гарантирует, что операнд OR выбран так, чтобы любая из строк Списка запросов настроенного параметра могла привести к соответствию. Модифицируйте Фактор Уверенности как требуется для достижения требуемого копировального результата.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

  • Перейдите к администрированию> Управление идентификацией> Личности> Оконечные точки и измените Профиль Оконечной точки для УСТРОЙСТВА/MAC-АДРЕСА.
  • Подтвердите, что EndPointPolicy является продуктом компании Apple Apple, что EndPointSource является Зонд DHCP, и что значения dhcp-parameter-request-list совпадают со значениями условия, ранее настроенными.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

  • Проверьте, что пакеты DHCP достигли узлов политики ISE, которые выполняют копировальную функцию (с helper-address или SPAN).
  • Используйте Операции> Устранение неполадок> Инструменты диагностики> Общие средства> программное средство Дампа TCP для собственного выполнения перехватов Дампа TCP от GUI admin ISE.
  • Обратитесь к базе данных отпечатка пальца DHCP Fingerbank.org для текущего списка опций Parameter Request List. 
  • Гарантируйте, что корректные значения Списка Запроса параметра настроены в ISE копировальные условия. Некоторые более обычно используемые строки включают:
    Тип устройстваЗначение списка запроса параметра
    Windows XP
    1,15,3,6,44,46,47,31,33,249,43
    1 15 3 6 44 46 47 31 33 249 43 252
    1,15,3,6,44,46,47,31,33,249,43,252,12
    15,3,6,44,46,47,31,33,249,43
    15 3 6 44 46 47 31 33 249 43 252
    15,3,6,44,46,47,31,33,249,43,252,12
    28,2,3,15,6,12,44,47
    Windows Vista/7 или Сервер 2008
    1,15,3,6,44,46,47,31,33,121,249,43
    1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
    1 15 3 6 44 46 47 31 33 121 249 43 252
    1 15 3 6 44 46 47 31 33 121 249 43 195
    Windows 81,15,3,6,44,46,47,31,33,121,249,252,43
    Mac OS X1,3,6,15,112,113,78,79,95
    1 3 6 15 112 113 78 79 95 252
    3 6 15 112 113 78 79 95 252
    3,6,15,112,113,78,79,95
    3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79
    1 3 6 15 119 95 252 44 46 101
    1 3 6 15 119 112 113 78 79 95 252
    3,6,15,112,113,78,79,95,252,44,47
    1,3,6,15,112,113,78,79,95,252,44,47
    1,3,12,6,15,112,113,78,79
    60,43
    43,60
    1,3,6,15,119,95,252,44,46,47
    1 3 6 15 119 95 252 44 46 47 101
    iPhone, iPad, iPod
    1 3 6 15 119 78 79 95 252
    1 3 6 15 119 252
    1,3,6,15,119,252,46,208,92
    1,3,6,15,119,252,67,52,13

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.