Introducción
Este documento describe la detección y la aplicación anómalas de la punto final. Esto es una nueva característica de perfilado introducida en Cisco Identity Services Engine (ISE) para la visibilidad aumentada de la red.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Configuración atada con alambre de puente de la autenticación MAC (MAB) en el conmutador
- Configuración inalámbrica MAB en el regulador inalámbrico LAN (WLC)
- Cambio de la configuración de la autorización (CoA) en ambos dispositivos
Componentes usados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Identity Services Engine 2.2
- Regulador inalámbrico 8.0.100.0 LAN
- Conmutador 3750 15.2(3)E2 del Cisco Catalyst
- Windows 10 con atado con alambre y adaptadores de red inalámbrica
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Antecedentes
La característica anómala de la detección de la punto final permite que el ISE vigile los cambios a los atributos específicos y los perfiles para las puntos finales conectadas. Si un cambio hace juego uno o más de las reglas anómalas preconfiguradas del comportamiento, ISE marcará la punto final como anómala. Una vez que está detectado, ISE puede tomar medidas (con el CoA) y aplicar ciertas directivas para restringir el acceso de la punto final sospechosa. Uno de los casos del uso para esta característica incluye la detección de falsificación de la dirección MAC.
- Note: Esta característica no dirige todos los decorados potenciales para la falsificación de la dirección MAC. Esté por favor seguro de leer los tipos de anomalías cubiertas por esta característica para determinar su aplicabilidad a sus casos del uso.
Una vez que se activa la detección, ISE vigila cualquier nueva información recibida para las puntos finales existentes y controla si estos atributos han cambiado:
- NAS-Puerto-tipo - Determina si el método de acceso de esta punto final ha cambiado. Por ejemplo, si la misma dirección MAC que conectó vía Dot1x atado con alambre se utiliza para la Tecnología inalámbrica Dot1x y la visa-versa.
- Identificación de la clase del DHCP - Determina si el tipo de cliente/de vendedor de la punto final ha cambiado. Esto se aplica solamente cuando el atributo identificación de la clase del DHCP se puebla con cierto valor y después se cambia a otro valor. Si una punto final se configura con IP estático, el atributo identificación de la clase del DHCP no será poblado en ISE. Después, si otras parodias del dispositivo la dirección MAC y DHCP de las aplicaciones, la identificación de la clase cambian de un valor vacío a una cadena específica. Esto no accionará la detección del comportamiento de Anomouls.
- Directiva de la punto final - Un cambio en el perfil de la punto final de la impresora o del teléfono IP al puesto de trabajo.
Una vez que ISE detecta uno de los cambios mencionados anteriormente, el atributo de AnomalousBehaviour se agrega a la punto final y al conjunto para verdad. Esto se puede utilizar después como una condición en las directivas de la autorización para restringir el acceso para la punto final en las autenticaciones futuras.
Si se configura la aplicación, ISE puede enviar un CoA una vez que el cambio se detecta re-para autenticar o para realizar una despedida del puerto para la punto final. Si en efecto, puede quarantine la punto final anómala dependiendo de las directivas de la autorización que fueron configuradas.
Configurar
Diagrama de la red

Configuraciones
Las configuraciones simples MAB y AAA se realizan en el conmutador y el WLC. Para utilizar esta característica, siga los siguientes pasos:
Paso 1. Detección anómala del permiso.
Navegue a la administración > al sistema > a las configuraciones > perfilando.

La primera opción permite que ISE detecte cualquier comportamiento anómalo pero no se envía ningún CoA (modo de la visibilidad-Solamente). La segunda opción permite que ISE envíe el CoA una vez que se detecta el comportamiento anómalo (modo de implementación).
Paso 2. Configure la directiva de la autorización.
Configure el atributo de Anomlousbehaviour como condición en la directiva de la autorización, tal y como se muestra en de la imagen:

Verifique
Conecte con un adaptador de red inalámbrica. Utilice el comando ipconfig /all de encontrar la dirección MAC del adaptador de red inalámbrica, tal y como se muestra en de la imagen:

Para simular a un usuario malintencionado, usted puede spoof la dirección MAC del adaptador de los Ethernetes hacer juego la dirección MAC del usuario normal.

Una vez que el usuario normal conecta, usted puede ver una entrada de la punto final en la base de datos. Luego, el usuario malintencionado conecta usando una dirección MAC spoofed.
De los informes usted puede ver la conexión inicial del WLC. Luego, el usuario malintencionado conecta y 10 segundos después, un CoA es accionado debido a la detección del cliente anómalo. Puesto que el tipo global CoA se fija a Reauth, la punto final intenta conectar otra vez. ISE fijó ya el atributo de AnomalousBehaviour para verdad así que ISE hace juego la primera regla y niega al usuario.

Tal y como se muestra en de la imagen, usted puede ver los detalles bajo punto final en la tabulación de la visibilidad del contexto:

Como usted puede ver, la punto final se puede suprimir de la base de datos para borrar este atributo.
Tal y como se muestra en de la imagen, el panel incluye una nueva tabulación para mostrar el número de clientes que exhiben este comportamiento:


Troubleshooting
Para resolver problemas, activar la depuración del profiler, como usted navega a la administración > al sistema > a la configuración del registro del registro > de la depuración.

Para encontrar el fichero ISE Profiler.log, navegue a las operaciones > a los registros de la transferencia directa > a los registros de la depuración, tal y como se muestra en de la imagen:

Estos registros muestran algunos recortes del fichero de Profiling.log. Como usted puede ver, ISE podía detectar que la punto final con la dirección MAC de C0:4A:00:21:49:C2 ha cambiado el método de acceso comparando los viejos y nuevos valores del NAS-Puerto-tipo atributos. Es inalámbrico pero se cambia a los Ethernetes.
2016-12-30 20:37:43,874 DEBUG [EndpointHandlerWorker-2-34-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Classify hierarchy C0:4A:00:21:49:C2
2016-12-30 20:37:43,874 DEBUG [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Received AttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2
2016-12-30 20:37:49,618 DEBUG [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Received AttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2
2016-12-30 20:37:49,618 INFO [MACSpoofingEventHandler-52-thread-1][] com.cisco.profiler.api.MACSpoofingManager -:ProfilerCollection:- Anomalous Behaviour Detected: C0:4A:00:21:49:C2 AttrName: NAS-Port-Type Old Value: Wireless - IEEE 802.11 New Value: Ethernet
2016-12-30 20:37:49,620 DEBUG [MACSpoofingEventHandler-52-thread-1][] cisco.profiler.infrastructure.cache.EndPointCache -:ProfilerCollection:- Updating end point: mac - C0:4A:00:21:49:C2
2016-12-30 20:37:49,621 DEBUG [MACSpoofingEventHandler-52-thread-1][] cisco.profiler.infrastructure.cache.EndPointCache -:ProfilerCollection:- Reading significant attribute from DB for end point with mac C0:4A:00:21:49:C2
2016-12-30 20:37:49,625 DEBUG [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.EndpointPersistEventHandler -:ProfilerCollection:- Adding to queue endpoint persist event for mac: C0:4A:00:21:49:C2
Por lo tanto, ISE toma medidas puesto que se activa la aplicación. La acción aquí es enviar un CoA dependiendo de la configuración global en las configuraciones de perfilado mencionadas anteriormente. En nuestro ejemplo, el tipo CoA se fija a Reauth que permita que ISE re-autentique la punto final y que vuelva a inspeccionar las reglas que fueron configuradas. Esta vez, hace juego la regla anómala del cliente y por lo tanto se niega.
2016-12-30 20:37:49,625 INFO [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Taking mac spoofing enforcement action for mac: C0:4A:00:21:49:C2
2016-12-30 20:37:49,625 INFO [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Triggering Delayed COA event. Should be triggered in 10 seconds
2016-12-30 20:37:49,625 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Received CoAEvent notification for endpoint: C0:4A:00:21:49:C2
2016-12-30 20:37:49,625 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Configured Global CoA command type = Reauth
2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Received FirstTimeProfileCoAEvent for endpoint: C0:4A:00:21:49:C2
2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Wait for endpoint: C0:4A:00:21:49:C2 to update - TTL: 1
2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Setting timer for endpoint: C0:4A:00:21:49:C2 to: 10 [sec]
2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Rescheduled event for endpoint: C0:4A:00:21:49:C2 to retry - next TTL: 0
2016-12-30 20:37:59,644 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- About to call CoA for nad IP: 10.62.148.106 for endpoint: C0:4A:00:21:49:C2 CoA Command: Reauth
2016-12-30 20:37:59,645 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Applying CoA-REAUTH by AAA Server: 10.48.26.89 via Interface: 10.48.26.89 to NAD: 10.62.148.106
Información Relacionada