OpenDNS-WLC 統合ガイド

ダウンロード オプション

  • PDF     (3.9 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2017 年 8 月 13 日

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

はじめに

はじめに

このドキュメントでは、OpenDNS WLC 統合について紹介し、その展開のための一般的なガイドラインを示します。このドキュメントでは、次のことを目的としています。

  • OpenDNS WLC 統合機能の概要の提供

  • サポートされている主な機能のハイライト

  • WLC での OpenDNS の展開および管理に関する詳細の提供

前提条件

顧客は、8.4 コードにアップグレードするために、ワイヤレス LAN コントローラに AireOS 8.0 以降のリリースを用意する必要があります。

使用されるコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このマニュアルで使用されるデバイスはすべて、初期設定(デフォルト)の状態から作業が開始されています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『Cisco Technical Tips Conventions』を参照してください。

機能概要

OpenDNS は、クラウドで提供されているネットワーク セキュリティ サービスです。マルウェアからデバイスを保護し、リアルタイムで侵害を阻止するためのインサイトを提供します。進化するビッグ データとデータ マイニング手法を使用して、攻撃を積極的に予測し、カテゴリ ベースのフィルタリングも行います。

この機能の動作に関連する用語は次のとおりです。

  1. API トークンは、OpenDNS ポータルから発行され、デバイス登録にのみ使用されます。

  2. デバイス IDは固有デバイス識別子です。ポリシーは ID ごとに適用されます。

  3. EDNS は、タグ付けされた DNS パケットを伝送する DNS の拡張機能です。

  4. FQDN は完全修飾ドメイン名です。



DNS 要求は常に Web 要求に先行します。ワイヤレス LAN コントローラは、クライアントからの DNS 要求をインターセプトし、クエリをクラウド上の OpenDNS サーバ(208.67.222.222, 208.67.220.220)にリダイレクトします。OpenDNS サーバは DNS クエリを解決し、事前設定されたセキュリティ フィルタリング ルールを ID 単位で適用して、ブロックされたページをクライアントに返すことで悪意のあるドメインとしてマーキングするか、または解決済みの IP アドレスをクライアントに返すことで安全なドメインとしてマーキングします。

OpenDNS における一般ワークフロー



  1. OpenDNS サーバにおける WLC 登録は 1 度限りの作業であり、セキュアな HTTPS トンネルを介して行われます。

  2. OpenDNS のダッシュボードからデバイス(WLC)登録の API トークンを取得します。

  3. ワイヤレス LAN コントローラにトークンを適用します。これにより、デバイスが OpenDNS アカウントに登録されます。次に、WLC で OpenDNS プロファイルを作成します。プロファイルが ID として OpenDNS に自動的にプッシュされ、ポリシーは ID ごとに適用されます。

  4. ワイヤレス クライアントと OpenDNS サーバ間のトラフィック フロー

  5. ワイヤレス クライアントが WLC に DNS 要求を送信します。

  6. WLC が DNS パケットをスヌーピングし、OpenDNS プロファイルでタグ付けします。プロファイルは、OpenDNS にも存在するパケットの ID です

  7. この EDNS パケットは、名前解決のために OpenDNS クラウド サーバにリダイレクトされます。

  8. 次に OpenDNS は、ID に応じてポリシーを適用し、カテゴリ ベースのフィルタリング ルールを適用して組織のコンプライアンスを確実にします。

  9. ルールに応じて、照会された DNS 要求に対して、ブロックされたページまたは解決された IP アドレスをクライアントに返します。



OpenDNS ワイヤレス LAN コントローラ統合の設定

手順
    ステップ 1   OpenDNS のプロビジョニングでは、OpenDNS クラウドでユーザ アカウントを作成する必要があります。

    サブスクリプションはアカウントごとに適用され、OpenDNS では 14 日間の無償トライアル ライセンスが提供されます。

    永久ライセンスは、CiscoOne Advanced Subscription の対象となります。
    ステップ 2   次に、OpenDNS 用のワイヤレス コントローラ(GUI または CLI)を有効にします。
    ステップ 3   WLC は、セキュアな HTTPS トンネルを介してクラウド アカウントに登録します。
    ステップ 4   WLC でプロファイル(ID)を設定します。プロファイルは、WLAN、AP グループのいずれかにマッピングするか、またはローカル ポリシーに組み込むことができます。
    ステップ 5   WLC は、DNS パケットを OpenDNS クラウドにリダイレクトします。
    ステップ 6   OpenDNS のセキュリティ ポリシーは、ID ごとに適用されます。

    ワイヤレス コントローラの OpenDNS 設定手順では、OpenDNS 機能を有効にし、API トークンを設定し、プロファイルを作成し、プロファイルを WLAN、AP グループ、またはローカル ポリシーにマッピングする必要があります。

    ポリシーの優先順位(最も高い順から)は次のとおりです。

    1. ローカル ポリシー

    2. AP Group

    3. WLAN

    OpenDNS プロファイルをローカル ポリシーにマップすると、属性(ユーザ ロール、デバイス タイプなど)の動的評価に基づいて、細分化されたユーザ ブラウジング エクスペリエンスが可能になります。ドキュメントの残りの部分では、次の 2 つのシナリオについて説明します。

    • シナリオ 1:OpenDNS 用に WLC を設定し、OpenDNS プロファイルをユーザ ロール ベースのローカル ポリシーに組み込みます。また、OpenDNS サーバの基本設定にも触れます。

    • シナリオ 2:OpenDNS 用に WLC を設定し、WLAN および AP グループに OpenDNS プロファイルを適用します。

    シナリオ 1:OpenDNS 用のローカル ポリシーの設定

    組織内で、ユーザのロール タイプに基づいて、(特定の Web サイトの)インターネット アクセスをユーザに対し制限することを目標とします。たとえば、従業員には、アダルト、ギャンブル、ヌードなどのサイトを除くフル インターネット アクセスを許可し、請負業者に対してはより厳密に、ソーシャル Web サイト、スポーツ、アダルト、ゲーム、ヌードなどへのアクセスを制限する必要があるとします。

    シスコは、外部の AAA サーバを使用してユーザを認証し、ID に基づいて、請負業者または従業員としてロールを WLC に渡します。WLC では、ユーザは従業員用と請負業者用の 2 つのポリシーを設定し、それぞれに異なる OpenDNS プロファイルを適用して、同じ dot1x 対応 WLAN に接続したときにブラウジング アクティビティを制限します。これを行うために、次の順序で設定します。

    1. OpenDNS サーバ上:アカウントを作成し、デバイス(WLC)登録のための API トークンを生成します。

    2. WLC 上:OpenDNS をグローバルに有効にし、API トークンを適用して、従業員と請負業者用の OpenDNS プロファイルを作成します。

    3. OpenDNS サーバ上:従業員と請負業者のカテゴリ定義とルールおよびポリシーを作成します。

    4. WLC 上:AAA が返すロールとそれぞれの下にある OpenDNS プロファイルを関連付ける従業員と請負業者用のローカル ポリシーをそれぞれ作成します。

    5. WLC 上:2 つのローカル ポリシーを dot1x WLAN に関連付けます。

    手順
      ステップ 1   次の Web サイトから、14 日間のトライアル アカウントを作成します: https:/​/​signup.umbrella.com/​

      ステップ 2   OpenDNS Umbrella サイトにログインし、アカウントを作成します: https:/​/​login.opendns.com/​

      ステップ 3   OpenDNS Umbrella のダッシュボードのメインのランディング ページで、[GET MY API TOKEN]をクリックします。



      ステップ 4   WLC のメイン メニューから、[Controller]> [General] に移動して、ドメインを解決できる DNS サーバの IP アドレスを入力します。これは、WLC で OpenDNS 機能を有効にする際に初めて必要となります。

      ステップ 5   WLC のメイン メニューから、[Security]> [OpenDNS] > [General] > [enable OpenDNS Global Status] に移動します。 

      CLI command:config openDNS enable
      ステップ 6   同じ [WLC] 画面で、OpenDNS サーバ アカウント(ステップ 2)から取得した API トークンを設定します。

      ステップ 7   同じページから、[Security]> [OpenDNS] > [General] に移動して、OpenDNS プロファイルを作成します。 

      CLI command: config openDNS profile create <profile-name>
      ステップ 8   WLC で、CLI または GUI を介して、従業員用(employeeOD)と請負業者用(contractorOD)の 2 つの OpenDNS プロファイルを作成します。これらのプロファイルは自動的に ID として OpenDNS アカウントにプッシュされます。

      CLI で、次に示すように、2 つのプロファイルを確認できます。


      (注)     

      各 OpenDNS プロファイルには、コントローラ上で生成された独自の Opendns-Identity(<WLC name> _<profile name> の形式)があり、クラウド上の関連付けられている OpenDNS アカウントにプッシュされます。
      1. OpenDNS のダッシュボードから、左側のメニューで、[Identities]> [Network Devices] をクリックします。

        両方の ID employeeOD および contractorOD が含まれている WLC が [Device Name] に表示されていることを確認します。



      2. 次に、従業員および請負業者のユーザ ロールの分類ルールを作成して、どのドメインを両方でブロックする必要があるかを確認します。左側のメニュー バーで、[Policies]> [Category Settings] を選択します。



        ここでは、演習用に employeeCategorycontractorCategory を作成しました。


        employeeCategory は、アダルト テーマ、アドウェア、ギャンブルなどの特定のサイト カテゴリを制限しています。同様に、contractorCategory は、アダルト テーマ、アドウェア、ギャンブル、ゲーム、ニュース、ソーシャル ネットワーキングなど、より多くのコンテンツを制限しています。

        ブロックされたカテゴリを表示するには、employeeCategory をクリックします。リストを編集してカテゴリを追加または削除できます。
      ステップ 9   最後に、OpenDNS サーバで 2 つのポリシーを作成して設定します。左側のメニュー バーで、[Policies]> [Policy List] を参照します。

      ここでは次の 2 つのポリシーを作成しました。

      1. EmployeePolicy

      2. Contrator Policy



      EmployeePolicyemployeeOD ID に割り当てられ、最後のステップで作成したカテゴリ employeeCategory に関連付けられます。

      同様に、contractorPolicy も、以前に作成されたカスタム カテゴリ contractorCategory に関連付けられている contractorOD ID に割り当てられます。

      ポリシー EmployeePolicycontractorPolicy をクリックして、この詳細を表示できます。


      [Select Policy Settings]に移動して、カテゴリ設定を employeeCategory に設定したことを確認します。
      ステップ 10   ISE でのユーザ ロールの設定。
      1. AAA サーバまたは ISE を設定して、ユーザの 802.1x 認証を許可し、ローカル ポリシーの適用のために AAA サーバがワイヤレス コントローラに ROLE 文字列を送り返すようにします。

        以下に示すように、ISE で、ユーザ(従業員と請負業者)およびグループ(グループ employee および contractor)を設定します。


      2. また、グループ(グループ Employee および contractor)を設定します。

        (注)     

        ISE のこのセクションでは、ISE の内部ユーザを対象にテストを行っています。ISE が Active Directory のような外部ユーザ データベースを指している場合、ルールはそれぞれのユーザ AD グループを指すように変更されます。
      3. 目的のロールを持つ特定のユーザ グループ(employee または contractor)に対して ISE ポリシーを作成します。







        この時点で管理者は、上記に示すように、ワイヤレス ユーザがアクセス タイプ(accept/reject)およびユーザ ロール(employee/contractor)を含む認証プロファイルを返すように、ISE/AAA サーバ上で必要な認証ルールを設定しています。
      ステップ 11   OpenDNS 用のローカル ポリシーの設定

      ユーザは、ユーザ ロール ベースのローカル ポリシーを設定し、OpenDNS プロファイルをそのローカル ポリシーに関連付けることができるようになりました。最後に、ローカル ポリシーを特定の WLAN にマップします。

      1. WLC で従業員と請負業者用の 2 つのローカル ポリシーを作成します。

        WLC のメイン メニューから、[Security]> [Local Policies] に移動して、[New] をクリックします。


        ローカル ポリシー名を「employee」および「contractor」として作成し、[Apply] をクリックします。





        同様に、請負業者用にもう 1 つを作成します。


      2. 従業員のローカル ポリシーをクリックし、従業員の OpenDNS プロファイル(employeeOD)で設定します。


      3. [Match Criteria]で、[Match Role String] を「employee」として設定し、[Action] リストの下で、[OpenDNS Profile]に移動します。ドロップダウン リストから、「employeeOD」を選択し、[Apply] をクリックします。

      4. [Back]ボタンをクリックして、[Local Policy] ページに移動し、contractor ポリシーをクリックします。

        [Match Criteria]で、[Match Role String] を「contractor」として設定し、[Action] リストの下で、ドロップダウンから請負業者用の [OpenDNS Profile] を選択し、「contractorOD」を選択してから、[Apply] をクリックします。
      ステップ 12   WLAN での OpenDNS の設定
      1. WLC のメイン メニューから、[WLAN]> [WLAN ID] > [Policy-Mapping]に移動します。[Priority Index]を [1] に指定し、[Local Policy] ドロップダウン メニューから [employee] を選択し、[Add] をクリックします。

        同様に、WLAN に請負業者のポリシーを適用します。


        その結果、従業員クレデンシャルでログインしているユーザは、「role = employee」に関連付けられ、WLC で従業員の OpenDNS プロファイル(employeeOD)を継承します。同様に、請負業者のクレデンシャルにログインしているユーザは、「role = contractor」に関連付けられ、WLC で請負業者の OpenDNS プロファイル(contractorOD)を継承します。

      2. WLC が WLAN のすべての DNS を OpenDNS サーバにリダイレクトするには、[OpenDNS Mode]を次に示すように [Forced]に設定する必要があります。これを行うには、[WLAN]> [Advanced] に移動します。

      3. 検証

        1. 従業員のユーザ クレデンシャルを使用してクライアントを WLAN に接続します。

        2. 従業員用に作成したカテゴリ フィルタリング ルールでブロックされているサイトにアクセスを試みます。ブロックされたサイトの場合、クライアントには、サイトまたはドメインが制限されていることを示すページが表示されます。

        3. 請負業者のユーザ クレデンシャルを使用して同じ WLAN への関連付けを試みて、テストを繰り返します。従業員に許可されたブラウジング アクセスと請負業者に許可されたブラウジング アクセスの違いがわかります。

      シナリオ 2:OpenDNS の WLAN/AP グループの設定

      ローカル ポリシーと同様に、OpenDNS プロファイルは、WLAN または AP グループに関連付けることができます。以下のセクションでは、OpenDNS プロファイルを WLAN および AP グループに関連付ける方法に関する GUI および CLI コマンドからのスクリーンショットを示します。OpenDNS アカウントがすでに作成されており、そこから API トークンがコピーされているものとします。

      手順
        ステップ 1   WLC のメイン メニューから、[Controller]> [General] に移動して、ドメインを解決できる DNS サーバの IP アドレスを入力します。これは、WLC で OpenDNS 機能を有効にする際に初めて必要となります。 

        CLI command: config opendns server-ipv4 primary <primary-server> secondary <secondary-server>
        ステップ 2   [Security]> [OpenDNS] > [General] に移動して、WLC で openDNS をグローバルに有効にします。 

        CLI command: config openDNS enable
        ステップ 3   OpenDNS アカウントから取得した API トークンを設定します。 

        CLI command: config openDNS api-token <token>
        ステップ 4   OpenDNS プロファイルを作成します。 

        CLI command:config openDNS profile create <profile-name>
        ステップ 5   WLAN または AP グループにプロファイルをマッピングします。
        1. WLAN に OpenDNS プロファイルを関連付けるには、[WLANs]> [WLAN Id] > [Advanced] に移動して、[OpenDNS Profile] の下で、上記で作成した contractorOD プロファイルを選択します。 

          CLI command: config wlan opeDNS-profile <wlan-id> <profile name> enable
        2. AP グループにプロファイルをマッピングするには、[WLANs]> [Advanced] > [AP Groups]に移動します。目的の AP グループを選択し、[WLANs]タブに移動します。右側の青いボタンの上にマウスを置き、[OpenDNS Profile]を選択します。

          次のスクリーンショットでは、AP グループ APgrp1 が選択され、contractorOD OpenDNS プロファイルが WLAN 1 にマップされています。


        CLI command:config wlan apgroup opendns-profile <wlan-id> <site-name> <profile-name> enable

        OpenDNS マッピングを表示するには、次に示すように、[Security]> [OpenDNS] > [General] に移動して、[Profile Mapped Summary] をクリックします。


        ここでは、OpenDNS プロファイル contractorOD が WLAN ID 1 にマッピングされています。


        同じ [OpenDNS Profile Map Summary]ページの [AP Group] の下で、次に示すように、プロファイル contractorOD もまた AP グループ APgrp1 にマッピングされています。


        CLI から

        OpenDNS WLAN コンフィギュレーション モード

        管理者は、WLAN の詳細設定タブで、WLAN に OpenDNS の 3 つのモードを設定できます。


        1. DNS オーバーライドの DHCP プロキシ

          インターフェイス レベルの設定。インターフェイスに関連付けられたすべての WLAN に OpenDNS の IP アドレスを伝播する DHCP プロセスの一部。クライアントの参加フェーズで行われます。

        2. OpenDNS Force モード:(デフォルトで有効になっています)

          WLAN ごとに適用され、クライアントが WLAN に接続した後の意図的なクライアント アクティビティをブロックします。

        3. OpenDNS Ignore モード

          WLC は、クライアントによって使用されている DNS サーバ(OpenDNS サーバ、またはその他の DNS サーバ)を尊重します。

        OpenDNS のアクティビティ レポート

        OpenDNS サーバにログインすることで、管理者はクライアントのアクティビティ レポートを表示・生成し、感染したデバイスや(禁止サイトにアクセスしようとしている)標的ユーザを特定できます。またこれらのレポートは、クライアント ID、宛先および送信元 IP でフィルタリングできます。






        OpenDNS サポート

        • サポートされている WLC プラットフォーム:5508、5520、7500、8510、8540。ME、vWLC はサポートされていません。

        • サポートされている AP モード:ローカル モード、Flex セントラルスイッチング。

        • WLC で 10 個の OpenDNS プロファイルを設定可能

        • ゲスト(外部 - アンカー)シナリオでは、アンカー WLC でプロファイルが適用されます。

        OpenDNS の制限事項

        • Webプロキシ経由のクライアントは、サーバ アドレスを解決するために DNS クエリを送信しません。

        • アプリケーションまたはホストは、DNS の代わりに直接 IP アドレスを使用してドメインを照会します。

        Copyright © 2017, Cisco Systems, Inc. All rights reserved.

        このドキュメントは役に立ちましたか?

        Feedbackフィードバック

        シスコに問い合わせ

        このドキュメントは次の製品に対応しています