第14章 AAA デバイスの設定
Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)デバイスを使用すると、ネットワーク全体でアカウンタビリティが実現されます。これにより、有効なユーザは要求したネットワーク サービスを使用できるようになり、このような要求の失敗や成功に関する詳細なイベント ログが作成されます。
AAA サーバは NAC 先進機能の重要な要素です(「ネットワーク アドミッション制御機能の設定」および「NAC 固有のメッセージのイネーブル化」を参照)。NAC の AAA サーバである Cisco Secure Access Control Server(ACS)は、ネットワーク サービスの要求元ホストのアンチウイルス証明書に基づいて、ネットワーク アクセス デバイスに対するアクセス制御判断を戻します。
MARS は Cisco Secure ACS ソフトウェアおよび Cisco Secure ACS Solution Engine バージョン 3.3 以上をサポートします。Cisco Secure ACS ソフトウェア の場合、サポートは Cisco Secure ACS サーバに常駐するエージェントによって提供されます。Cisco Secure ACS Solution Engine の場合、このエージェントはリモート ロギング ホストに常駐していなければなりません。このエージェントは MARS に Syslog フォーマットの 3 つのイベント ログを提供します。これらのログは、次のとおりです。
・
認証成功ログ(Cisco Secure ACS、3.3 以上が必要)
・試行失敗ログ
・RADIUS アカウンティング ログ
NAC および 802.1X 機能をサポートするために、Cisco Secure ACS は RADIUS 認証プロトコルおよび cisco-av-pair 属性を使用します。Cisco Secure ACS を NAC のポスチャ確認サーバとして設定する方法については、次の URL を参照してください。
cisco-av-pair 属性の詳細については、次の URL を参照してください。
この章では、MARS がイベント ログを収集できるように、Cisco Secure ACS サーバまたは Cisco Secure ACS Solution Engine を準備する方法について説明します。これらのログを正しく受信して処理するように、MARS を設定する方法についても説明します。HTML インターフェイスを使用して、Cisco Secure ACS サーバ(または Cisco Secure ACS Solution Engine のログを収集するリモート ロギング エージェント)を表すホストを定義してから、このホストにソフトウェア アプリケーションを追加します。
Cisco Secure ACS サーバのサポート
レポート デバイスとして機能するように Cisco Secure ACS サーバを設定するには、3 つのタスクを実行する必要があります。
1. 正しいログ ファイルおよび詳細を生成するように Cisco Secure ACS サーバを設定して、AAA クライアントを定義します。
2. Cisco Secure ACS サーバに PN ログ エージェントをインストールして、正しいログ ファイルを転送するように設定します。
3. MARS HTML インターフェイスに Cisco Secure ACS サーバを追加します。
MARS アプライアンスへのコマンドを許可するように、Cisco Secure ACS を設定することもできます。この役割の場合、Cisco Secure ACS は、レポート デバイスおよび軽減デバイスで特定のコマンドを実行する許可が MARS アプライアンスに付与されていることを確認します。
ここでは、Cisco Secure ACS サーバのサポートの詳細を示します。
・ MARS での Cisco ACS デバイスの追加および設定
Cisco Secure ACS ソリューション エンジンのサポート
MARS はリモート ロギング ホストを介して、Cisco Secure ACS Solution Engine をサポートします。Windows 用 Cisco Secure ACS Remote Agent、および Solaris 用 Cisco Secure ACS Remote Agent は、リモート ロギングのために Cisco Secure ACS Solution Engine をサポートするアプリケーションです。
Cisco Secure ACS Solution Engine がリモート ロギング ホストを介して最大 5 つのアプライアンスをサポートする場合でも、MARS で現在サポートされているのは、リモート ロギング ホストごとに 1 つの Cisco Secure ACS Solution Engines のみです。MARS は送信元の Cisco Secure ACS Solution Engine の IP アドレスを、リモート ロギング ホストごとに複数識別することはできません。
このサポートをイネーブルにする手順は、次のとおりです。
1. ログをリモート ロギング ホストにパブリッシュするように、Cisco Secure ACS Solution Engine を設定します。「Cisco Secure ACS のブートストラップ」を参照してください。
2. ターゲット リモート ロギング ホストに Windows 用 Cisco Secure ACS Remote Agent または Solaris 用 Cisco Secure ACS Remote Agent をインストールして、設定します。
リモート エージェントのインストール方法および設定方法については、『Installation and Configuration Guide for Cisco Secure ACS Remote Agents』を参照してください。
3. リモート ロギング ホストに PN ログ エージェントをインストールします。
PN ログ エージェントのインストール方法および設定方法については、「PN ログ エージェントのインストールおよび設定」を参照してください。
4. Cisco ACS 3.x レポート デバイスとしてリモート ロギング ホストを MARS に追加します。このタスクを実行するには、「MARS での Cisco ACS デバイスの追加および設定」を参照して、ACS サーバの参照をリモート ロギング ホストで置き換えます。
Cisco Secure ACS のブートストラップ
Cisco Secure ACS をブートストラップする場合は、次のタスクを実行します。
・ ログを生成するための Cisco Secure ACS の設定
・(任意)シスコ製ルータおよびスイッチに関する TACACS+ コマンド許可の設定
ログを生成するための Cisco Secure ACS の設定
MARS で必要な監査ログを生成するように Cisco Secure ACS を設定する手順は、次のとおりです。
ステップ 1 Cisco Secure ACS サーバまたは Solution Engine にログインします。
ステップ 2 System Configuration > Logging の順に選択します。
ステップ 3 CVS Failed Attempts、Passed Authentications、および CVS RADIUS Accounting Logging がイネーブルであることを確認します。
ステップ 4 CSV Failed Attempts をクリックして、Logged Attributes リストに次の属性が表示されていることを確認します。
・User-Name
・Caller-ID
・NAS-Port
・NAS-IP-Address
ステップ 5 Submit をクリックします。
ステップ 6 CVS Passed Authentications をクリックして、Logged Attributes リストに次の属性が表示されていることを確認します。
・User-Name
・Caller-ID
・NAS-Port
・NAS-IP-Address
・System-Posture-Token
・EAP Type Name
ステップ 7 Submit をクリックします。
ステップ 8 CVS RADIUS Accounting をクリックして、Logged Attributes リストに次の属性が表示されていることを確認します。
・User-Name
・Calling-Station-Id
・Acct-Status-Type
・NAS-Port
・NAS-IP-Address
ステップ 9 NAC の 802.1X 機能をサポートするには、次の RADIUS アカウンティング属性を選択します。
・Framed-IP address
・cisco-av-pair
ステップ 10 Submit をクリックします。
Cisco Secure ACS でサポートされている RADIUS 属性の詳細については、次の URL を参照してください。
AAA クライアントの定義
NAC の 802.1X 機能をサポートするには、シスコ製スイッチを Cisco Secure ACS 内の AAA クライアントとして定義する必要もあります。AAA クライアントを定義する場合は、次の設定を確認します。
・Using Authentication ボックスで RADIUS(IETF)が選択されていること。その他の RADIUS は 802.1X を正しくサポートしないことがあります。
・この AAA Client ボックスで Log Update/Watchdog Packets が選択されていること。
図 14-1 に、このようなクライアントの正しい設定を示します。
図 14-1 802.1X をサポートするための AAA クライアントの設定
AAA クライアントの定義の詳細については、次の URL を参照してください。
シスコ製ルータおよびスイッチに関する TACACS+ コマンド許可の設定
Cisco Secure ACS の TACACS+ 機能を使用すると、MARS がレポート デバイス上で実行できるコマンド セットを許可することができます。MARS でこの機能を使用する必要はありません。ただし、ルータおよびスイッチでこの機能を使用している場合は、MARS が特定のコマンドを実行できるようにする必要があります。必要なコマンドは、2 つの処理(設定の取得および軽減機能)にグループ化されます。
設定の取得をサポートするコマンドは、次のとおりです。
・すべての show コマンド
・changeto system
・changeto context <context_name>
・enable
・page
・no page
・terminal length 0
・terminal pager lines 0
・write terminal
軽減機能をサポートするコマンドは、次のとおりです。
・conf terminal
・interface <interface_name>
・shutdown
・set port disable <port_name>
Cisco Secure ACS でコマンド許可セットを設定する方法については、次の URL を参照してください。
PN ログ エージェントのインストールおよび設定
MARS には、Cisco Secure ACS アクティブ ログ ファイル(試行失敗、認証成功、および RADIUS アカウンティング)をモニタするための PN ログ エージェントが組み込まれています。このエージェントは、Syslog を介してこれらのログ ファイルを MARS にプッシュします。次の URL にあるソフトウェア ダウンロード センターから PN ログ エージェントをダウンロードできます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/cs-mars-misc
注 新しいバージョンの PN ログ エージェントにアップグレードする場合は、「PN ログ エージェントの新規バージョンへのアップグレード」を参照してください。
PN ログ エージェント サービスは処理の一環として、エラーおよび情報メッセージをアプリケーション ログに書き込みます。書き込まれたメッセージは、Event Viewer で表示できます。これらのメッセージの詳細については、「PN ログ エージェントのアプリケーション ログ メッセージ」を参照してください。
PN ログ エージェントをインストールおよび設定する手順は、次のとおりです。
ステップ 1 PN ログ エージェントをダウンロードして、Cisco Secure ACS が稼働しているサーバ、または Cisco Secure ACS Solution Engine がログをパブリッシュするリモート ロギング ホストにインストールします。
注 リモート ロギング ホストにインストールする場合は、ターゲット リモート ロギング ホストに Windows 用 Cisco Secure ACS Remote Agent および Solaris 用 Cisco Secure ACS Remote Agent をあらかじめ設定しておく必要があります。
リモート エージェントのインストール方法および設定方法については、『Installation and Configuration Guide for Cisco Secure ACS Remote Agents』を参照してください。
ステップ 2 Start > All Programs> Protego Networks> PNLogAgent> Pn Log Agent の順に選択します。
ステップ 3 Edit > PN-MARS Config の順にクリックします。
結果:PN Log Agent Configuration ダイアログボックスが表示されます。
ステップ 4 MARS IP Address フィールドに、MARS アプライアンスのアドレスを入力して、OK をクリックします。
ステップ 5 Edit > Log File Config > Add の順に選択します。
ステップ 6 Edit プルダウン メニューで、Add をクリックします。
結果:Add/Edit File Details ダイアログボックスが表示されます。
ステップ 7 Application Name リストで、Cisco ACS-Failed Attempts を選択します。
ステップ 8 ... ボタンをクリックして、すべての Cisco Secure ACS ログが格納されている適切なログを選択します。この例では、Failed Attempts アプリケーションを選択したあとに、対応するログ ファイル(Failed Attempts active ログ)を必ず選択してください。
結果:Open ダイアログボックスが表示されます。
ステップ 9 3 つのアプリケーションおよびそれらのアクティブ ログ ファイルをすべて追加します。
・認証失敗アクティブ
・認証成功アクティブ
・RADIUS アカウンティング アクティブ
結果:設定されたファイルが List of Log Files to Monitor リストに表示されます。
ステップ 10 File > Activate の順に選択します。
PN ログ エージェントの新規バージョンへのアップグレード
サーバで稼働している PN ログ エージェントのバージョンを判別するには、PN Log Agent Configuration ダイアログボックスで Help > About の順に選択します。このプログラムは、MARS アプライアンス ソフトウェア アップデートとは独立して更新されます。したがって、バージョン番号は MARS アプライアンス ソフトウェアのリリースとは対応しません。
注 4.1.3 リリース以降の PN ログ エージェントを正しく動作させるには、報告先のアプライアンスで、リリース 4.1.3 以上の Cisco Security Monitoring、Analysis、and Response System が稼働している必要があります。
既存のインストールから新しい PN ログ エージェントにアップグレードする手順は、次のとおりです。
ステップ 1 PN ログ エージェントが稼働している Cisco Secure ACS または Syslog サーバで、古いエージェントをアンインストールします。
a. 古いエージェントをアンインストールするには、Start > Control Panel > Add/Remove Programs の順にクリックします。
b. 現在インストールされているプログラム リストの中から PnLogAgent を選択し、Remove をクリックします。
c. Yes を選択して、削除を確認します。
ステップ 2 サーバをリブートします。
ステップ 3 新しいエージェントをインストールします。このツールは次の URL からダウンロードできます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/cs-mars-misc
ステップ 4 新しいエージェントを再設定し、MARS アプライアンスのファイル リストや IP アドレスなどを指定します。
PN ログ エージェントの設定方法については、「PN ログ エージェントのインストールおよび設定」を参照してください。
PN ログ エージェントのアプリケーション ログ メッセージ
PN ログ エージェント サービスは、Cisco Secure ACS サーバの Event Viewer のアプリケーション ログにイベントを書き込みます。ログ メッセージ内で PNLogAgentService として識別されたエージェントによって、サービスの起動および停止の成功などのステータス メッセージが書き込まれます。また、サービスのメモリ不足など、設定が不完全な状態およびエラー状態を示すエラー メッセージも書き込まれます。
表 14-1 に、発生する可能性のあるメッセージ タイプの分類、および PN ログ エージェント サービスへの影響を示します。
MARS での Cisco ACS デバイスの追加および設定
ホストおよび Cisco Secure ACS ソフトウェア アプリケーションを MARS に追加する手順は、次のとおりです。
ステップ 1 Admin > Security and Monitor Devices > Add の順にクリックします。
ステップ 2 Device Type リストで、Add SW Security apps on a new host を選択します。
Management >IP Management 設定の一部として MARS 内でホストをすでに定義している場合、またはホスト上で Microsoft Internet Information Services など別のアプリケーションを稼働している場合は、既存ホストで Add SW Security アプリケーションを選択することもできます。
ステップ 3 Device Name フィールドに、サーバまたはリモート ロギング ホストのホスト名を入力します。
ステップ 4 Reporting IP フィールドに、Syslog メッセージの送信元となる Cisco Secure ACS サーバまたはリモート ロギング ホストのインターフェイスの IP アドレスを入力します。
ステップ 5 Enter interface information に、Syslog メッセージの送信元となる Cisco Secure ACS サーバまたはリモート ロギング ホストのインターフェイスの名前、IP アドレス、およびネットマスク値を入力します。
このアドレスは Reporting IP アドレスと値が同じです。
ステップ 6 Apply をクリックします。
ステップ 7 Next をクリックして、Reporting Applications タブに移動します。
ステップ 8 Select Application ボックスで、Cisco ACS 3.x を選択し、Add をクリックします。
結果:サーバにエージェントがインストールされていなければならないことを示す、Cisco ACS 3.x Windows Requirements ページが表示されます(「PN ログ エージェントのインストールおよび設定」を参照)。
注 Cisco ACS 3.x オプションは、Cisco Secure ACS 3.x および Cisco Secure ACS 4.0 の両方をサポートします。Cisco Secure ACS に対し、明示的に 4.0 を指定するオプションはありません。
ステップ 9 Submit をクリックして、ホストにこのアプリケーションを追加します。
結果:Device Type リストに Cisco ACS 3.x が表示されます。
ステップ 10 Vulnerability Assessment Info リンクをクリックして、MARS がこのホストに対するフォールス ポジティブ攻撃を判別するために使用するホスト情報を定義します。「脆弱性評価情報の定義」に進みます。
ステップ 11 Done をクリックして、変更を保存します。
結果:Security and Monitoring Information リストに新しいホストが表示されます。
ステップ 12 デバイスをアクティブにするには、Activate をクリックします。
