Cisco Umbrella WLAN

Cisco Umbrella WLAN

Cisco Umbrella WLAN は、既知と緊急の両方の脅威を自動検出する、クラウド提供のネットワーク セキュリティ サービスをドメイン ネーム システム(DNS) レベルで提供します。

この機能により、マルウェア、ボット ネットワーク、およびフィッシングが実際に悪意のある脅威になる前に、それらをホストしているサイトをブロックできます。

Cisco Umbrella WLAN は次の機能を提供します。

  • シングル ポイントでのユーザ グループごとのポリシーの設定。

  • ネットワーク、グループ、ユーザ、デバイス、または IP アドレスごとのポリシーの設定。

    ポリシーの優先順位は次のとおりです。

    1. ローカル ポリシー

    2. AP グループ

    3. WLAN

  • リアルタイムのビジュアル セキュリティ アクティビティ ダッシュボードと集約レポート。

  • スケジュール設定と電子メールによるレポートの送信。

  • 最大 60 のコンテンツ カテゴリのサポートとカスタム ホワイトリスト エントリとブラックリスト エントリを追加するためのプロビジョニング。

この機能は、次のシナリオでは機能しません。

  • アプリケーションまたはホストが、DNS を使用する代わりに IP アドレスを直接使用してドメイン名をクエリしている場合。

  • クライアントが Web プロキシに接続されていて、サーバ アドレスを解決するための DNS クエリを送信しない場合。

Cisco Umbrella WLAN の設定(GUI)

始める前に

  • Cisco Umbrella のアカウントが必要です。

  • Cisco Umbrella からの API トークンが必要です。

手順

ステップ 1

[Security] > [OpenDNS] > [General] を選択します。

[OpenDNS General Configuration] ウィンドウが表示されます。

ステップ 2

[OpenDNS Global Status] チェックボックスをオンにして、OpenDNS の設定を有効にします。

ステップ 3

[OpenDns-ApiToken] フィールドに、OpenDNS サーバ アカウントから取得した API トークンを入力します。

ステップ 4

[Profile Name] フィールドに、OpenDNS の設定で使用されるプロファイル名を入力します。

ステップ 5

[Add] をクリックします。

ステップ 6

対応する WLAN または AP グループにプロファイルをマッピングします。

  1. WLAN にプロファイルをマッピングするには、[WLAN] > [WLAN ID] > [Advanced] を選択し、[OpenDNS Profile] から目的のプロファイルを選択します。

    (注)   

    管理者は、WLAN の [Advanced] タブで、WLAN に次のモードの OpenDNS を設定できます。

    • DNS オーバーライドの DHCP プロキシ:これはインターフェイス レベルの設定で、インターフェイスに関連付けられているすべての WLAN に OpenDNS の IP アドレスを伝達するように DHCP プロセスの一部を形成します。

    • OpenDNS Force(デフォルト):このモードは WLAN ごとに適用され、クライアントが WLAN に関連付けられた後の意図的なクライアント アクティビティをブロックします。

    • OpenDNS Ignore:Cisco WLC は、クライアントによって使用されている DNS サーバ(OpenDNS サーバ、またはエンタープライズ/外部 DNS サーバ)を受け入れます。

  2. AP グループにプロファイルをマッピングするには、[WLANs] > [Advanced] > [AP Groups] を選択して、対応する AP グループを選択し、[WLAN] タブをクリックして青色のボタンにマウス オーバーし、[OpenDNS Profiile] を選択します。

OpenDNS マッピングを表示するには、[Security] > [OpenDNS] > [General] を選択して、[Profile Mapped Summary] ハイパーリンクをクリックします。

(注)   

各 Cisco Umbrella プロファイルには、コントローラで生成される一意の openDNS-Identity(WLC name _profile name 形式)が設定されます。これは、クラウド内の関連付けられている Cisco Umbrella アカウントにプッシュされます。

ステップ 7

[Apply] をクリックします。

次のタスク

  1. [Cisco Umbrella] ダッシュボードで、[Device Name] の下に、Cisco WLC とその ID が表示されていることを確認します。

  2. ユーザ ロールの分類ルール(従業員のルールや従業員以外のルールなど)を作成します。

  3. Cisco Umbrella サーバでポリシーを設定します。

Cisco Umbrella WLAN の設定(CLI)

このセクションでは、ワイヤレス LAN(WLAN)または WLAN のアクセス ポイント(AP)グループに対して Cisco Umbrella を設定する手順について説明します。

始める前に

  • Cisco Umbrella のアカウントが必要です。

  • Cisco Umbrella からの API トークンが必要です。

手順

ステップ 1

config network dns serverip server-ip

例:

(Cisco Controller) > config network dns serverip 208.67.222.222

ネットワークの DNS サーバの IP アドレスを設定します。
ステップ 2

config opendns enable

例:

(Cisco Controller) > config opendns enable

Cisco Umbrella のグローバル設定を有効にします。
ステップ 3

config opendns api-token api-token

例:

(Cisco Controller) > config opendns api-token D72996C18DC334FB2E3AA46148D600A4001E5997

ネットワークに Cisco Umbrella の API トークンを登録します。
ステップ 4

config opendns profile create profilename

例:

(Cisco Controller) > config opendns profile create profile1

WLAN 経由で適用できる Cisco Umbrella プロファイルを作成します。
ステップ 5

config wlan opendns-profile wlan-id profile-name enable

例:

(Cisco Controller) > config wlan opendns-profile wlan1 profile1 enable

Cisco Umbrella プロファイルを WLAN に適用します。
ステップ 6

config wlan apgroup opendns-profile wlan-id site-name profile-name enable

例:

(Cisco Controller) >config wlan apgroup opendns-profile wlan1 apgrp1 profile1

(オプション)Cisco Umbrella プロファイルを WLAN が有効な AP グループに適用します。
ステップ 7

config policy policy-namecreate

例:

(Cisco Controller) > config policy ipad create

ポリシー名を作成します。

Cisco WLC では、ポリシーとは、ルールを指定し、特定のクライアントがルールの基準を満たしている場合の関連アクションを指定する一般的な用語です。

ポリシーを作成し、AAA サーバからのロール名が従業員の場合に、関連付けられている Cisco Umbrella プロファイルをそのポリシーに適用するアクションを実行するルールを設定できます。クライアントの WLAN がこのポリシーに対してマッピングされている場合、Cisco Umbrella プロファイルはそのクライアントに適用されます。

ステップ 8

config policy policy-nameaction opendns-profile-name enable

例:

(Cisco Controller) > config policy ipad action opendns-profile-name enable

ポリシー名を Cisco Umbrella プロファイルにアタッチします。

次のタスク

opendns.com でポリシーを設定します。

  • 各プロファイルのカテゴリに基づいてサイトをブロックする詳細なポリシーを設定します(プロファイルはアイデンティティとして一覧表示されます)。

  • 各プロファイルのホワイトリスト ルールとブラックリスト ルールを追加します。

Cisco Umbrella 用のローカル ポリシーの設定(GUI)

Cisco Umbrella をローカル ポリシーにマッピングすると、属性(ユーザ ロール、デバイス タイプなど)の動的な評価に基づいてきめ細かい差別化されたユーザ ブラウジング エクスペリエンスを提供できます。

次の手順を使用して、ユーザ ロール ベースのローカル ポリシー設定し、対応する Cisco Umbrella プロファイルをそのポリシーに関連付けます。次の手順には、ローカル ポリシーを WLAN にマッピングする方法も含まれています。

手順

ステップ 1

[Security] > [Local Policies] > [New] を選択します。

新しいポリシーの作成ページが表示されます。

  1. [Policy Name] フィールドに、ローカル ポリシー名を入力します。

  2. [Apply] をクリックします。

ステップ 2

[Policy List] にリストされているポリシーから、Cisco Umbrella プロファイルを設定する [Policy Name] を選択します。

  1. [Match Criteria] サブセクションで [Match Role String] を入力します。

  2. [Action] サブセクションの [OpenDNS Profile] ドロップダウン リストから必要なオプションを選択します。

  3. [Apply] をクリックします。

ステップ 3

[WLAN] > [WLAN ID] > [Policy Mapping] を選択します。

  1. [Priority Index] フィールドに、優先順位のインデックス番号を入力します。

  2. [Local Policy] ドロップダウン リストから値を選択します。

  3. [Add] をクリックします。

次のタスク

WLAN にクライアントを接続して、作成したポリシーが機能しているか確認します。