ISE/ISE-PIC によるユーザーの制御

次のトピックでは、ISE/ISE-PIC によりユーザー認識とユーザー制御を実行する方法について説明します。

ISE/ISE-PIC アイデンティティ ソース

Cisco Identity Services Engine(ISE)または ISE Passive Identity Connector(ISE-PIC)の展開を Firepower システムと統合して、ISE/ISE-PIC をパッシブ認証に使用できます。

ISE/ISE-PIC は、信頼できるアイデンティティ ソースで、Active Directory(AD)、LDAP、RADIUS、または RSA を使用して認証するユーザに関するユーザ認識データを提供します。さらに、Active Directory ユーザのユーザ制御を行えます。ISE/ISE-PIC は、ISE ゲスト サービス ユーザーの失敗したログイン試行またはアクティビティは報告しません。


(注)  
Firepower システムは IEEE 802.1x マシン認証を解析しませんが、802.1x ユーザー認証を解析します。ISE で 802.1x を使用している場合は、ユーザー認証を含める必要があります。802.1x マシン認証は、ポリシーで使用できる FMC にユーザー ID を提供しません。

Cisco ISE/ISE-PIC の詳細については、『Cisco Firepower Threat Defense Virtual for MicrosoftAzure Quick Start Guide』 および『Identity Services Engine Passive Identity Connector (ISE-PIC) Installation and Administrator Guideを参照してください。


(注)  

最新バージョンの ISE/ISE-PIC を使用して、最新の機能セットと最大数の問題修正を入手することを強くお勧めします。

宛先セキュリティグループタグ(SGT)の照合

Cisco TrustSec ネットワークでトラフィックを分類するために ISE を使用してセキュリティ グループ タグ(SGT)を定義して使用する場合は、送信元と宛先の両方の一致基準として SGT を使用するアクセス コントロール ルールを作成できます。これにより、IP アドレスまたはネットワーク オブジェクトではなく、セキュリティ グループ メンバーシップに基づいてアクセスをブロックまたは許可することができます。

SGT タグの照合には、次の利点があります。

  • FMC は、ISE から Security Group Tag eXchange Protocol(SXP)マッピングにサブスクライブできます。

    ISE は SXP を使用して、IP-to-SGT マッピング データベースを管理対象デバイスに伝搬します。ISE サーバーを使用するように FMC を設定する場合は、ISE から SXP トピックをリッスンするオプションを有効にします。そのため、FMC は ISE から直接セキュリティグループタグとマッピングについて学習します。次に、FMC は SGT とマッピングを管理対象デバイスにパブリッシュします。

    SXP トピックは、ISE と他の SXP 準拠デバイス(スイッチなど)の間の SXP プロトコルを通じて学習した静的マッピングと動的マッピングに基づいてセキュリティグループタグを受信します。

    ISE でセキュリティ グループ タグを作成し、各タグにホストまたはネットワークの IP アドレスを割り当てることができます。また、ユーザー アカウントに SGT を割り当て、SGT がユーザーのトラフィックに割り当てられるようにすることもできます。ネットワーク内のスイッチおよびルータがそのように設定されている場合、これらのタグは、ISE、Cisco TrustSec クラウドによって制御されるネットワークに入るときにパケットに割り当てられます。

    SXP は ISE-PIC ではサポートされていません

  • FMC および管理対象 FTD デバイスは、追加のポリシーを展開しなくても、SGT マッピングについて学習できます(つまり、アクセス コントロール ポリシーを展開しなくても SGT マッピングの接続イベントを表示できます)。

  • Cisco TrustSec をサポートしているため、ネットワークをセグメント化して重要なビジネス資産を保護することができます。

  • 管理対象デバイスは、アクセス コントロール ルールのトラフィック一致基準として SGT を評価するときに、次の優先順位を使用します。

    1. パケット内で定義されている送信元 SGT タグ(存在する場合)。

      SGT タグがパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。

      SGT タグがパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。

    2. ISE セッション ディレクトリからダウンロードされるユーザー セッションに割り当てられた SGT。SGT は、送信元または宛先と照合することができます。

    3. SXP を使用してダウンロードされた SGT-to-IP アドレス マッピング。IP アドレスが SGT の範囲内にある場合、トラフィックは SGT を使用するアクセス コントロール ルールと一致します。SGT は、送信元または宛先と照合することができます。

次に例を示します。

  • ISE で、Guest Users という名前の SGT タグを作成し、それを 192.0.2.0/24 ネットワークに関連付けます。

    たとえば、Guest Users をアクセス コントロール ルール内の送信元 SGT 条件として使用し、ネットワークにアクセスするすべてのユーザーによる特定の URL、Web サイト カテゴリ、またはネットワークへのアクセスを制限することができます。

  • ISE で、Restricted Networks という名前の SGT タグを作成し、それを 198.51.100.0/8 ネットワークに関連付けます。

    たとえば、Restricted Networks を宛先 SGT ルール条件として使用し、Guest Users や、ネットワークへのアクセスを許可されていないユーザーを持つ他のネットワークからのアクセスをブロックすることができます。

ISE/ISE-PIC のライセンス要件

FTD ライセンス

任意

従来のライセンス

Control

ISE/ISE-PIC の要件と前提条件

モデルのサポート

NGIPSv を除くすべて。

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

ISE/ISE-PIC のガイドラインと制限事項

Firepower システムで ISE/ISE-PIC を構成する際に、このセクションで説明されているガイドラインを使用してください。

ISE/ISE-PIC バージョンと設定の互換性

ご使用の ISE/ISE-PIC バージョンと設定は、次のように Firepower との統合や相互作用に影響を与えます。

  • 最新バージョンの ISE/ISE-PIC を使用して最新の機能セットを入手することを強くお勧めします。

  • ISE/ISE-PIC サーバーと Firepower Management Center の時刻を同期します。そうしないと、システムが予期しない間隔でユーザーのタイムアウトを実行する可能性があります。

  • ISE または ISE-PIC データを使用してユーザー制御を実装するには、レルムおよびレルムディレクトリの作成 の説明に従って、pxGrid のペルソナを想定して ISE サーバーのレルムを設定し有効にします。

  • ISE サーバーに接続する各 Firepower Management Center ホスト名は一意である必要があります。そうでない場合、Firepower Management Center のいずれかへの接続は廃棄されます。

  • ISE の展開で ISE Endpoint Protection Service(EPS)が有効で設定されている場合は、ISE 接続を使用して、相関ポリシー違反に関与している送信元または宛先ホストに対する ISE EPS 修復を実行できます。

  • ユーザーの EPSStatus が変更された後でユーザーの SGT を更新するように ISE の展開を設定した場合は、ISE EPS 修復により、Firepower Management Center 上の SGT も更新されます。

  • ISE-PIC は、ISE 属性データを提供しないか、または ISE EPS の修復をサポートしません。

システムのこのバージョンと互換性がある特定のバージョンの ISE/ISE-PIC については、『Cisco Firepower Compatibility Guide』を参照してください。

IPv6 サポート

ISE/ISE-PIC のバージョン 2.0(パッチ 4)以降には、IPv6 対応エンドポイントのサポートが含まれています。

ISE でのクライアントの認証

ISE サーバと Firepower Management Center の間の接続が成功するには、ISE でクライアントを手動で承認する必要があります。(通常、接続テスト用と ISE エージェント用の 2 つのクライアントがあります)。

Cisco Identity Services Engine Administrator Guide』の「Managing users and external identity sources」の章で説明しているように、ISE で [新しいアカウントを自動的に承認(Automatically approve new accounts)] を有効にすることもできます。

セキュリティ グループ タグ(SGT)(Security Group Tag (SGT))

セキュリティグループタグ(SGT)は、信頼ネットワーク内のトラフィックの送信元の権限を指定します。Cisco ISE および Cisco TrustSec は、ネットワークに入るときに、セキュリティ グループ アクセス(SGA)と呼ばれる機能を使用して、パケットに SGT 属性を適用します。これらの SGT は、ISE または TrustSec 内のユーザの割り当てられたセキュリティグループに対応します。ID ソースとして ISE を設定すると、Firepower システムは、これらの SGT を使用してトラフィックをフィルタリングできます。

セキュリティ グループ タグは、アクセス コントロール ルール内の送信元および宛先の両方の一致基準として使用できます。


(注)  

ISE SGT 属性タグのみを使用してユーザー制御を実装する場合、ISE サーバーのレルムを設定する必要はありません。ISE SGT 属性条件は、関連するアイデンティティ ポリシーの有無にかかわらずポリシーで設定できます。詳細については、ISE 属性条件の設定を参照してください。


(注)  
一部のルールでは、カスタム SGT 条件が ISE によって割り当てられなかった SGT 属性にタグ付けされたトラフィックを照合できます。これはユーザー制御とみなされず、アイデンティティ ソースとして ISE/ISE-PIC を使用しない場合にのみ機能します。カスタム SGT 条件 を参照してください。
送信元 SGT タグに加えて宛先 SGT タグを照合するには、次の条件が適用されます。

必要な ISE バージョン:2.2 パッチ 1 以降

推奨される ISE バージョン:2.6 以降

ルータのサポート:イーサネットを介した SGT インライン タギングをサポートする任意のシスコ ルータ。詳細については、『Cisco Group Based Policy Platform and Capability Matrix Release』などの参考資料を参照してください。

制限事項

  • サービス品質(QoS)ポリシーは、送信元 SGT 照合のみを使用し、宛先 SGT 照合は使用しません

  • RA-VPN は、RADIUS を介した SGT マッピングの直接の受信はしません。

FMC が FirePOWER Services デバイスを使用して ASA を管理している場合、SXP サブスクリプションは、キャプティブ ポータル アイデンティティ ルールがデバイスに展開されている場合にのみ機能します。

ISE と高可用性
プライマリ Firepower Management Center が失敗すると、次の処理が行われます。

  • スタンバイがプライマリに昇格するまで、セカンダリ Firepower Management Center ユーザー データベースは読み取り専用です。

    リポジトリに追加されたユーザー(Active Directory など)は Firepower Management Center にダウンロードされず、それらのユーザーは [不明(Unknown)] と識別されます。

    新しい SGT は使用されません。

  • スタンバイがプライマリに昇格すると、すべての動作が正常に戻ります。つまり、ユーザーがダウンロードされ、SGT が使用され、可能な場合はユーザーが識別されます。

ISE プライマリ サーバーが失敗した場合は、セカンダリをプライマリに手動で昇格させる必要があります。自動でフェール オーバーすることはありません。
エンドポイント ロケーション(Endpoint Location)(またはロケーション IP(Location IP))

[エンドポイント ロケーション(Endpoint Location)] 属性は、ISE によって識別される、ユーザーの認証に ISE を使用したネットワーク デバイスの IP アドレスです。

[エンドポイント ロケーション(Endpoint Location)]([ロケーション IP(Location IP)])に基づいてトラフィックを制御するには、アイデンティティ ポリシーを設定し、展開する必要があります。

ISE 属性

ISE 接続を設定すると、ISE 属性データが Firepower Management Center データベースに入力されます。ユーザー認識とユーザー制御に使用できる ISE 属性は、次のとおりです。 これは、ISE-PIC ではサポートされません。

エンドポイント プロファイル(Endpoint Profile)(またはデバイス タイプ(Device Type))

[エンドポイント プロファイル(Endpoint Profile)] 属性は、ISE によって識別されるユーザーのエンドポイント デバイス タイプです。

[エンドポイント プロファイル(Endpoint Profile)]([デバイス タイプ(Device Type)])に基づいてトラフィックを制御するには、アイデンティティ ポリシーを設定し、展開する必要があります。

ユーザー制御用 ISE/ISE-PIC の設定方法

ISE/ISE-PIC は、次の設定のいずれかで使用できます。

  • レルム、アイデンティティ ポリシー、および関連付けられたアクセス コントロール ポリシーを使用。

    レルムを使用して、ポリシー内のネットワーク リソースへのユーザー アクセスを制御します。ポリシーでは、ISE/ISE-PIC セキュリティ グループ タグ(SGT)のメタデータを引き続き使用できます。

  • アクセス コントロール ポリシーのみを使用。レルムまたはアイデンティティ ポリシーは必要ありません。

    SGT メタデータのみを使用してネットワーク アクセスを制御するには、この方法を使用します。

レルムなしで ISE を設定する方法

このトピックでは、SGT タグを使用してネットワークへのアクセスを許可またはブロックできるように ISE を設定するために必要なタスクの概要について説明します。

手順

  コマンドまたはアクション 目的
ステップ 1

SGT 照合:ISE で SXP を有効にします。

これにより、SGT メタデータの変更時に FMC が ISE から更新を受信できるようになります。
ステップ 2

ISE/ISE-PIC からシステム証明書をエクスポートします。

証明書は、ISE/ISE-PIC pxGrid、モニタリング(MNT)サーバー、および FMC の間で安全に接続するために必要です。FMC で使用するための ISE/ISE-PIC サーバーからの証明書のエクスポートを参照してください

ステップ 3

ISE/ISE-PIC アイデンティティ ソースを作成します。

ISE/ISE-PIC アイデンティティ ソースを使用すると、ISE/ISE-PIC によって提供されるセキュリティ グループ タグ(SGT)を使用してユーザー アクティビティを制御できます。ユーザー制御用 ISE/ISE-PIC の設定を参照してください。

ステップ 4

アクセス コントロール ルールを作成します。

アクセス コントロール ルールは、トラフィックがルール基準に一致する場合に実行するアクション(許可またはブロックなど)を指定します。アクセス コントロール ルール内の一致基準として、送信元および宛先の SGT メタデータを使用できます。アクセス コントロール ルールの概要を参照してください。

ステップ 5

管理対象デバイスにアクセス コントロール ポリシーを展開します。

ポリシーを有効にするには、事前に管理対象デバイスに展開しておく必要があります。設定変更の展開 を参照してください。

次のタスク

FMC で使用するための ISE/ISE-PIC サーバーからの証明書のエクスポート

レルムを使用したユーザー制御用 ISE/ISE-PIC の設定方法

始める前に

このトピックでは、ユーザ制御用 ISE/ISE-PIC を設定し、ユーザまたはグループによるネットワークへのアクセスを許可またはブロックできるようにするために必要なタスクの概要について説明します。ユーザーおよびグループは、レルムがサポートされているサーバーに記載されている任意のサーバーに保存できます。

手順

  コマンドまたはアクション 目的
ステップ 1

宛先 SGT のみ:ISE で SXP を有効にします。

これにより、SGT メタデータの変更時に FMC が ISE から更新を受信できるようになります。
ステップ 2

ISE/ISE-PIC からシステム証明書をエクスポートします。

証明書は、ISE/ISE-PIC pxGrid、モニタリング(MNT)サーバー、および FMC の間で安全に接続するために必要です。FMC で使用するための ISE/ISE-PIC サーバーからの証明書のエクスポートを参照してください

ステップ 3

レルムを作成します。

レルムの作成は、選択したユーザーおよびグループによるネットワークへのアクセスを制御するためにのみ必要です。

レルムおよびレルムディレクトリの作成を参照してください。

ステップ 4

ユーザーおよびグループをダウンロードし、レルムを有効にします。

ユーザーおよびグループをダウンロードすると、それらをアクセス コントロール ルールで使用できるようになります。を参照してくださいユーザーとグループのダウンロードを参照してください
ステップ 5

ISE/ISE-PIC アイデンティティ ソースを作成します。

ISE/ISE-PIC アイデンティティ ソースを使用すると、ISE/ISE-PIC によって提供されるセキュリティ グループ タグ(SGT)を使用してユーザー アクティビティを制御できます。ユーザー制御用 ISE/ISE-PIC の設定を参照してください。

ステップ 6

アイデンティティ ポリシーを作成します。

アイデンティティ ポリシーは、1 つ以上のアイデンティティ ルールのコンテナです。アイデンティティ ポリシーの作成を参照してください。

ステップ 7

アイデンティティ ルールを作成します。

アイデンティティ ルールは、ユーザーおよびグループによるネットワークへのアクセスを制御するためにレルムがどのように使用されるかを指定します。アイデンティティ ルールの作成を参照してください。

ステップ 8

アクセス コントロール ポリシーとアイデンティティ ポリシーを関連付けます。

これにより、アクセス コントロール ポリシーがレルム内のユーザーとグループを使用できるようになります。
ステップ 9

アクセス コントロール ルールを作成します。

アクセス コントロール ルールは、トラフィックがルール基準に一致する場合に実行するアクション(許可またはブロックなど)を指定します。アクセス コントロール ルール内の一致基準として、送信元および宛先の SGT メタデータを使用できます。アクセス コントロール ルールの概要を参照してください。

ステップ 10

管理対象デバイスにアクセス コントロール ポリシーを展開します。

ポリシーを有効にするには、事前に管理対象デバイスに展開しておく必要があります。設定変更の展開 を参照してください。

次のタスク

FMC で使用するための ISE/ISE-PIC サーバーからの証明書のエクスポート

ISE/ISE-PIC の設定

次のトピックでは、FMC のアイデンティティ ポリシーで使用するように ISE/ISE-PIC サーバを設定する方法について説明します。

FMC で認証するには、ISE/ISE-PIC サーバーから証明書をエクスポートする必要があります。また、ISE サーバー上で更新されるセキュリティ グループ タグ(SGT)を使用して FMC が更新されるように SXP トピックを公開する必要があります。

ISE でのセキュリティ グループと SXP パブリッシングの設定

Cisco Identity Services Engine(ISE)では、TrustSec ポリシーとセキュリティグループタグ(SGT)を作成するために実行を必要とする設定が多数あります。TrustSec の実装の詳細については、ISE のマニュアルを参照してください。

次の手順では、FTD デバイスがスタティック SGT から IP アドレスへのマッピングをダウンロードして適用できるようにするために ISE で設定する必要があるコア設定のハイライトを示します。これは、アクセス制御ルールでの送信元と宛先 SGT の照合に使用できます。詳細については、ISE のマニュアルを参照してください。

この手順のスクリーンショットは、ISE 2.4 に基づいています。これらの機能にアクセスするための正確な手順は後続のリリースで変更される可能性がありますが、概念と要件は同じです。ISE 2.4 以降、特に 2.6 以降が推奨されますが、ISE 2.2 パッチ 1 以降でもこの設定は動作します。

始める前に

SGT から IP アドレスへのスタティックマッピングを公開し、ユーザーセッションからと SGT へのマッピングを取得して FTD デバイスがそれらを受信できるようにするには、ISE Plus ライセンスが必要です。

手順

ステップ 1

[ワークセンター(Work Centers)] > [TrustSec] > [設定(Settings)] > [SXP設定(SXP Settings)] を選択し、[PxGridでSXPバインディングを公開(Publish SXP Bindings on PxGrid)] オプションを選択します。

このオプションにより、ISE は SXP を使用して SGT マッピングを送信します。リストから SXP トピックまでを "確認する" には、FTD デバイスに対してこのオプションを選択する必要があります。このオプションは、FTD デバイスが静的 SGT-to-IP アドレスマッピング情報を取得するために選択する必要があります。単に、パケット内で定義された SGT タグ、またはユーザーセッションに割り当てられた SGT を使用するのみの場合は、このステップは必要ありません。


ISE で、[PxGridでSXPバインディングを公開(Publish SXP Bindings on PxGrid)] オプションをオンにします。
ステップ 2

[ワークセンター(Work Centers)] > [TrustSec] > [SXP] > [SXPデバイス(SXP Devices)] を選択し、デバイスを追加します。

これは実際のデバイスである必要はありませんが、FTD デバイスの管理 IP アドレスを使用することもできます。このテーブルには、ISE が静的 SGT-to-IP アドレスマッピングをパブリッシュするためのデバイスが 1 つ以上必要です。単に、パケット内で定義された SGT タグ、またはユーザーセッションに割り当てられた SGT を使用するのみの場合は、このステップは必要ありません。


ISE に SXP デバイスを追加します。
ステップ 3

[ワークセンター(Work Centers)] > [TrustSec] > [コンポーネント(Components)] > [セキュリティグループ(Security Groups)] の順に選択し、セキュリティグループタグが定義されていることを確認します。必要に応じて新しいタグを作成します。


ISE でセキュリティグループタグ(SGT)を設定します。
ステップ 4

[ワークセンター(Work Centers)] > [TrustSec] > [コンポーネント(Components)] > [IP SGTスタティックマッピング(IP SGT Static Mapping)] を選択し、ホストとネットワーク IP アドレスをセキュリティ グループ タグにマッピングします。

単に、パケット内で定義された SGT タグ、またはユーザーセッションに割り当てられた SGT を使用するのみの場合は、このステップは必要ありません。


ISE で IP から SGT へのスタティック マッピングを設定します。

FMC で使用するための ISE/ISE-PIC サーバーからの証明書のエクスポート

ここでは、次のことを行う方法について説明します。

  • ISE/ISE-PIC サーバーからシステム証明書をエクスポートします。

    これらの証明書は、ISE/ISE-PIC サーバーに安全に接続するために必要です。ISE システムの設定に応じ、次のうち 1 つまたは最大 3 つの証明書をエクスポートする必要があります。

    • pxGrid サーバー用の証明書

    • モニターリング(MNT)サーバー用の証明書

    • FMC 用の証明書(秘密キーを含む)

  • これらの証明書を FMC にインポートします。

システム証明書のエクスポート

システム証明書とその証明書に関連付けられている秘密キーをエクスポートできます。証明書とその秘密キーをバックアップ用にエクスポートする場合は、それらを必要に応じて後で再インポートできます。

始める前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)]の順に選択します。

ステップ 2

エクスポートする証明書の横にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックします。

ステップ 3

証明書のみをエクスポートするか、証明書と証明書に関連付けられている秘密キーをエクスポートするかを選択します。

ヒント 

値が公開される可能性があるため、証明書に関連付けられている秘密キーのエクスポートは推奨しません。秘密キーをエクスポートする必要がある場合(たとえば、ワイルドカードシステム証明書をエクスポートしてノード間通信用に他の Cisco ISE ノードにインポートする場合)は、その秘密キーの暗号化パスワードを指定します。このパスワードは、証明書を別の Cisco ISE ノードにインポートするときに指定して、秘密キーを復号化する必要があります。

ステップ 4

秘密キーをエクスポートする場合は、パスワードを入力します。パスワードは、8 文字以上にする必要があります。

ステップ 5

[エクスポート(Export)] をクリックして、クライアント ブラウザを実行しているファイル システムに証明書を保存します。

証明書のみをエクスポートする場合、証明書は PEM 形式で保存されます。証明書と秘密キーの両方をエクスポートする場合、証明書は PEM 形式の証明書と暗号化された秘密キーファイルを含む .zip ファイルとしてエクスポートされます。

ISE/ISE-PIC 証明書のインポート

この手順は任意です。ユーザー制御用 ISE/ISE-PIC の設定で説明されているように、ISE/ISE-PIC アイデンティティソースを作成するときに ISE サーバー証明書をインポートすることもできます。

始める前に

システム証明書のエクスポートの説明に従って、ISE/ISE-PIC サーバから証明書をエクスポートします。証明書とキーは、FMC へのログイン元のマシンに存在している必要があります。

次の 2 種類の証明書オブジェクトをインポートします。

  • ISE/ISE-PIC で認証するための FMC の内部証明書と秘密キー。

  • pxGrid および ISE モニタリング(MNT)サーバ用の 1 つ以上の信頼できる認証局(CA)。

    これは、ISE/ISE-PIC システムのセットアップ方法に応じ、2 つの個別の証明書である場合と 1 つの証明書である場合があります。

手順
ステップ 1

FMC にまだログインしていない場合はログインします。
ステップ 2

[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] をクリックします。

ステップ 3

[PKI] を展開します。

ステップ 4

[内部証明書(Internal Cert)] をクリックします。

ステップ 5

[内部証明書の追加(Add Internal Cert)] をクリックします。

ステップ 6

画面の指示に従って、証明書と秘密キーをインポートします。
ステップ 7

[信頼できるCA(Add Trusted CAs)] をクリックします。

ステップ 8

[信頼できるCAの追加(Add Trusted CA)] をクリックします。

ステップ 9

画面の指示に従って、pxGrid サーバー証明書をインポートします。
ステップ 10

必要に応じ、上記の手順を繰り返して MNT サーバーの信頼できる CA をインポートします。
次のタスク

ユーザー制御用 ISE/ISE-PIC の設定

ユーザー制御用 ISE/ISE-PIC の設定

次の手順では、ISE/ISE-PIC アイデンティティソースを設定する方法について説明します。このタスクを実行するには、グローバルドメインに属している必要があります。

始める前に

  • Microsoft Active Directory サーバーまたはサポート対象の LDAP サーバーからユーザー セッションを取得するには、レルムおよびレルムディレクトリの作成の説明に従って、pxGrid ペルソナを想定し、ISE サーバーのレルムを設定して有効にします。

  • ISE または ISE-PIC への接続を設定します。詳細については、ISE/ISE-PIC アイデンティティ ソースおよびISE/ISE-PIC 設定フィールドを参照してください。

  • SXP を介して公開された SGT から IP アドレスへのマッピングを含む、ISE で定義されているすべてのマッピングを取得するには、次の手順を実行します。別の方法として、次のオプションがあります。

    • パケット内の SGT 情報のみを使用し、ISE からダウンロードされたマッピングを使用しないようにするには、アクセスコントロールルールの作成および編集に記載されている手順をスキップしてください。この場合、送信元条件としてのみ SGT タグを使用できます。これらのタグは、宛先の基準に一致しません。

    • パケットおよびユーザーと IP アドレス/SGT のマッピングでのみ SGT を使用するには、ISE ID ソースの SXP トピックにサブスクライブしたり、SXP マッピングをパブリッシュするように ISE を設定したりしないでください。この情報は送信元と宛先の両方の一致条件に使用できます。

  • ISE/ISE-PIC サーバーから証明書をエクスポートし、必要に応じて、FMC で使用するための ISE/ISE-PIC サーバーからの証明書のエクスポートの説明に従って証明書を FMC にインポートします。

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[アイデンティティの送信元(Identity Sources)] をクリックします。

ステップ 4

[サービス タイプ(Service Type)] で [Identity Services Engine] をクリックし、ISE 接続を有効にします。

(注)   

接続を無効にするには、[なし(None)] をクリックします。

ステップ 5

[プライマリ ホスト名/IP アドレス(Primary Host Name/IP Address)]、およびオプションで [セカンダリ ホスト名/IP アドレス(Secondary Host Name/IP Address)] を入力します。

ステップ 6

[pxGrid サーバー CA(pxGrid Server CA)] および [MNT サーバー CA(MNT Server CA)] リストから該当する認証局を、[FMC サーバー証明書(FMC Server Certificate)] リストから適切な証明書をそれぞれクリックします。また、 をクリックして証明書を追加することもできます。

(注)   

[FMC サーバー証明書(FMC Server Certificate)] には、clientAuth 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。

ステップ 7

(オプション)CIDR ブロック表記を使用して [ISE ネットワーク フィルタ(ISE Network Filter)] を入力します。

ステップ 8

[サブスクライブ先(Subscribe To)] セクションで、次のことを確認します。

  • ISE サーバーから ISE ユーザー セッション情報を受信するための [セッションディレクトリのトピック(Session Directory Topic)]。

  • ISE サーバーから利用可能な場合に SGT から IP へのマッピングの更新を受信するための [SXPトピック(SXP Topic)]。このオプションは、アクセス コントロール ルールで宛先の SGT タグを使用するために必要です。

ステップ 9

接続をテストするには、[テスト(Test)] をクリックします。

テストが失敗した場合、接続障害に関する詳細については、[その他のログ(Additional Logs)] をクリックします。

(注)   

2 つの ISE pxGrid 1.0 ノードを実行する場合、1 つのホストが [Success] と表示され、もう 1 つのホストが [Failure] と表示されるのは正常です。pxGrid 1.0 は一度に 1 つの ISE ノードでのみアクティブに実行されるため、成功する可能性は ISE のどのノードがアクティブな pxGrid ノードであるかによって異なります。

次のタスク

  • アイデンティティ ポリシーの作成の説明に従って、制御するユーザーおよび他のオプションを、アイデンティティ ポリシーを使って指定します。

  • アクセス制御への他のポリシーの関連付けの説明に従って、アイデンティティ ルールをアクセス コントロール ポリシーに関連付けます。このポリシーは、トラフィックをフィルタし、オプションで検査します。

  • 設定変更の展開の説明に従って、使用するアイデンティティ ポリシーとアクセス コントロール ポリシーを管理対象デバイスに展開します。

  • ワークフローの使用の説明に従って、ユーザー アクティビティをモニターします。

ISE/ISE-PIC 設定フィールド

次のフィールドを使用して ISE/ISE-PIC への接続を設定します。

プライマリおよびセカンダリ ホスト名/IP アドレス(Primary and Secondary Host Name/IP Address)

プライマリ(およびオプションでセカンダリ)pxGrid ISE サーバのホスト名または IP アドレス。

指定するホスト名により使用されるポートには、ISE と Firepower Management Center の両方から到達可能である必要があります。

pxGrid サーバー CA(pxGrid Server CA)

pxGrid フレームワークの認証局。展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

MNT サーバー CA(MNT Server CA)

一括ダウンロード実行時の ISE 証明書の認証局。展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

FMC サーバー証明書(FMC Server Certificate)

ISE/ISE-PIC への接続時、または一括ダウンロードの実行時に Firepower Management Center が ISE/ISE-PIC に提供する必要がある証明書およびキー。


(注)  

[FMC サーバー証明書(FMC Server Certificate)] には、clientAuth 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。

ISE ネットワーク フィルタ(ISE Network Filter)

オプションのフィルタで、ISE が Firepower Management Center にレポートするデータを制限するために設定できます。ネットワーク フィルタを指定する場合、ISE はそのフィルタ内のネットワークからデータをレポートします。次の方法でフィルタを指定できます。

  • 任意(Any)のフィルタを指定する場合はフィールドを空白のままにします。

  • CIDR 表記を使用して単一の IPv4 アドレス ブロックを入力します。

  • CIDR 表記を使用して IPv4 アドレス ブロックのリストをカンマで区切って入力します。


(注)  

このバージョンの Firepower システムは、ISE のバージョンに関係なく、IPv6 アドレスを使用したフィルタリングをサポートしません。

登録:
[セッションディレクトリのトピック(Session Directory Topic)]:このボックスをオンにして、ISE サーバーのユーザー セッションの情報をサブスクライブします。SGT とエンドポイントのメタデータが含まれます。
[SXPトピック(SXP Topic)]:このボックスをオンにして、ISE サーバーからの SXP マッピングをサブスクライブします。

ISE/ISE-PIC または Cisco TrustSec の問題のトラブルシューティング

Cisco TrustSec の問題のトラブルシューティング

デバイスインターフェイスでは、ISE / ISE-PIC またはネットワーク上のシスコデバイスからセキュリティグループタグ(SGT)を伝達するように設定できます(Cisco TrustSec と呼ばれます)。デバイス管理ページ([Devices] > [Device Management])では、デバイスの再起動後にインターフェイスの [Propagate Security Group Tag ] チェックボックスがオンになります。インターフェイスが TrustSec データを伝播しないようにするには、このボックスをオフにします。

FMC ヘルスモニターの問題

ISE/ISE-PIC 接続ステータスモニター(ヘルスモニター)には、接続に問題がなくても、ISE/ISE-PIC が pxgrid v1 を使用している場合に接続チェックエラーが表示されます。

ISE /ISE-PIC の問題のトラブルシューティング

関連の他のトラブルシューティングについては、レルムとユーザーのダウンロードのトラブルシュートおよびユーザー制御のトラブルシューティングを参照してください。

ISE または ISE-PIC 接続に問題が起こった場合は、次のことを確認してください。

  • ISE と FirePOWER システムを正常に統合するには、ISE 内の pxGrid アイデンティティ マッピング機能を有効にする必要があります。

  • プライマリ サーバーが失敗した場合は、セカンダリをプライマリに手動で昇格させる必要があります。自動でフェール オーバーすることはありません。

  • ISE サーバと Firepower Management Center の間の接続が成功するには、ISE でクライアントを手動で承認する必要があります。(通常、接続テスト用と ISE エージェント用の 2 つのクライアントがあります)。

    Cisco Identity Services Engine Administrator Guide』の「Managing users and external identity sources」の章で説明しているように、ISE で [新しいアカウントを自動的に承認(Automatically approve new accounts)] を有効にすることもできます。

  • [FMC サーバー証明書(FMC Server Certificate)] には、[clientAuth] 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。

  • ISE サーバの時刻は、Firepower Management Center の時刻と同期している必要があります。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。

  • 展開にプライマリとセカンダリの pxGrid ノードが含まれている場合は、

    • 両方のノードの証明書が、同じ認証局によって署名される必要があります。

    • ホスト名により使用されるポートが、ISE サーバと Firepower Management Center の両方により到達可能である必要があります。

  • 展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

ユーザーから IP へ、およびセキュリティグループタグ(SGT)から IP へのマッピングを ISE から受信するときに、サブネットを除外するには configure identity-subnet-filter { add | remove} コマンドを使用します。通常は、Snort アイデンティティ正常性モニターのメモリエラーを防ぐために、メモリの少ない管理対象デバイスに対してこれを行う必要があります。

ISE または ISE-PIC によって報告されるユーザー データに関する問題が発生した場合は、次の点に注意してください。

  • システムはデータがまだデータベースにない ISE ユーザーのアクティビティを検出すると、サーバーからそれらに関する情報を取得します。ISE ユーザから見えるアクティビティは、システムがユーザのダウンロードで情報の取得に成功するまでアクセス コントロール ルールで処理されず、Web インターフェイスに表示されません

  • LDAP、RADIUS、または RSA ドメイン コントローラで認証された ISE ユーザに対するユーザ制御は実行できません。

  • Firepower Management Center は、ISE ゲスト サービス ユーザのユーザ データを受信できません。

  • ISE が TS エージェントと同じユーザをモニタした場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントと ISE が同じ IP アドレスによる同一のアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。

  • 使用する ISE バージョンと構成は、Firepower システムでの ISE の使用方法に影響を与えます。詳細については、ISE/ISE-PIC アイデンティティ ソースを参照してください。

  • Firepower Management Center high availability(高可用性、ハイ アベイラビリティ) が設定されていると、プライマリが失敗するが、ISE とで高可用性のセクションを参照してくださいISE/ISE-PIC のガイドラインと制限事項

  • ISE-PIC は ISE 属性のデータを提供しません。

  • ISE-PIC は ISE EPS の修復を実行できません。

  • Active FTP sessions are displayed as the Unknown user in events. これは正常な処理です。アクティブ FTP では、(クライアントではない)サーバーが接続を開始し、FTP サーバーには関連付けられているユーザー名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

サポートされている機能に問題がある場合は、ISE/ISE-PIC アイデンティティ ソースで詳細を参照してバージョンの互換性を確認してください。

ISE/ISE-PIC の履歴

機能

バージョン

詳細

宛先セキュリティ グループ タグ(SGT)の照合

6.5.0

導入された機能。アクセス コントロール ルール内の送信元および宛先の両方の一致基準に ISE SGT タグを使用できるようにします。

SGT タグは、ISE によって取得されたタグからホスト/ネットワークへのマッピングです。

新規/変更された画面:

  • 宛先 SGT 照合を設定するための新しいオプション:

    [システム(System)] > [統合(Integration)] > [アイデンティティソース(Identity Sources)] > [ISE/ISE-PIC]

    • [セッションディレクトリのトピック(Session Directory Topic)]:ISE ユーザー セッションの情報をサブスクライブします。

    • [SXPトピック(SXP Topic)]:ISE サーバでの SGT タグの更新をサブスクライブします。

  • [分析(Analysis)] > [接続(Connections)] > [イベント(Events)] の新規カラムおよび名前が変更されたカラム

    • 名前の変更:[セキュリティグループタグ(Security Groups Tags)] が [送信元SGT(Source SGT)] に名称変更されました

    • 新規:[宛先SGT(Destination SGT)]

ISE-PIC との統合

6.2.1

ISE-PIC のデータを使用できるようになりました。

ユーザ制御用の SGT タグ。

6.2.0

ISE セキュリティ グループ タグ(SGT)データに基づいてユーザ制御を実行するために、レルムまたはアイデンティティ ポリシーを作成する必要がなくなりました。

ISE との統合。

6.0

導入された機能。シスコの Platform Exchange Grid(PxGrid)に登録することで、Firepower Management Center で追加のユーザー データ、デバイス タイプ データ、デバイス ロケーション データ、およびセキュリティ グループ タグ(SGT:ネットワーク アクセス コントロールを提供するために ISE によって使用される方式)をダウンロードできます。