Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la détection et l'application des points de terminaison anormaux. Il s'agit d'une nouvelle fonctionnalité de profilage introduite dans Cisco Identity Services Engine (ISE) pour une visibilité accrue du réseau.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La fonction de détection des points de terminaison anormaux permet à ISE de surveiller les modifications apportées à des attributs et des profils spécifiques pour les points de terminaison connectés. Si une modification correspond à une ou plusieurs règles de comportement anormal préconfigurées, ISE marquera le point de terminaison comme Anomaleux. Une fois détecté, ISE peut prendre des mesures (avec CoA) et appliquer certaines stratégies pour restreindre l'accès au point de terminaison suspect. L'un des cas d'utilisation de cette fonctionnalité inclut la détection de l'usurpation d'adresse MAC.
Une fois la détection activée, ISE surveille toutes les nouvelles informations reçues pour les terminaux existants et vérifie si ces attributs ont changé :
Une fois que ISE a détecté l'une des modifications mentionnées ci-dessus, l'attribut AnomalousBehavior est ajouté au point de terminaison et défini sur True. Cette condition peut être utilisée ultérieurement dans les stratégies d'autorisation pour restreindre l'accès au point de terminaison dans les authentifications futures.
Si l'application est configurée, ISE peut envoyer une CoA une fois que la modification est détectée pour une nouvelle authentification ou pour exécuter un renvoi de port pour le point de terminaison. En effet, il peut mettre en quarantaine le point de terminaison anormal en fonction des stratégies d'autorisation configurées.
Des configurations MAB et AAA simples sont effectuées sur le commutateur et le WLC. Pour utiliser cette fonction, procédez comme suit :
Accédez à Administration > System > Settings > Profilage.
La première option permet à ISE de détecter tout comportement anormal, mais aucune CoA n'est envoyée (mode Visibilité uniquement). La deuxième option permet à ISE d'envoyer CoA une fois que le comportement anormal est détecté (Mode Application).
Configurez l'attribut comportement anormal comme condition dans la stratégie d'autorisation, comme illustré dans l'image :
Connectez-vous avec un adaptateur sans fil. Utilisez la commande ipconfig /all pour rechercher l'adresse MAC de la carte sans fil, comme illustré dans l'image :
Pour simuler un utilisateur malveillant, vous pouvez usurper l'adresse MAC de la carte Ethernet pour qu'elle corresponde à l'adresse MAC de l'utilisateur normal.
Une fois que l'utilisateur Normal se connecte, une entrée de point d'extrémité s'affiche dans la base de données. Ensuite, l'utilisateur malveillant se connecte à l'aide d'une adresse MAC usurpée.
À partir des rapports, vous pouvez voir la connexion initiale à partir du WLC. Par la suite, l'utilisateur malveillant se connecte et 10 secondes plus tard, une CoA est déclenchée en raison de la détection du client anormal. Puisque le type CoA global est défini sur Réalité, le point de terminaison tente de se reconnecter. ISE a déjà défini l'attribut AnomalousBehavior sur True pour qu'ISE corresponde à la première règle et refuse l'utilisateur.
Comme l'illustre l'image, vous pouvez voir les détails sous le point de terminaison dans l'onglet Visibilité contextuelle :
Comme vous pouvez le voir, le point de terminaison peut être supprimé de la base de données pour effacer cet attribut.
Comme l'illustre l'image, le tableau de bord comprend un nouvel onglet pour afficher le nombre de clients présentant ce comportement :
Afin de dépanner, activez le débogage du profileur, lorsque vous accédez à Administration > System > Logging > Debug Log Configuration.
Afin de trouver le fichier Profiler.log ISE, accédez à Operations > Download Logs > Debug Logs, comme indiqué dans l'image :
Ces journaux affichent des extraits du fichier Profilage.log. Comme vous pouvez le voir, ISE a pu détecter que le point de terminaison avec l'adresse MAC C0:4A:00:21:49:C2 a modifié la méthode d'accès en comparant les anciennes et les nouvelles valeurs des attributs NAS-Port-Type. Il s'agit d'un réseau sans fil, mais il est remplacé par Ethernet.
2016-12-30 20:37:43,874 DEBUG [EndpointHandlerWorker-2-34-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Classify hierarchy C0:4A:00:21:49:C2 2016-12-30 20:37:43,874 DEBUG [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Received AttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2 2016-12-30 20:37:49,618 DEBUG [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Received AttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2 2016-12-30 20:37:49,618 INFO [MACSpoofingEventHandler-52-thread-1][] com.cisco.profiler.api.MACSpoofingManager -:ProfilerCollection:- Anomalous Behaviour Detected: C0:4A:00:21:49:C2 AttrName: NAS-Port-Type Old Value: Wireless - IEEE 802.11 New Value: Ethernet 2016-12-30 20:37:49,620 DEBUG [MACSpoofingEventHandler-52-thread-1][] cisco.profiler.infrastructure.cache.EndPointCache -:ProfilerCollection:- Updating end point: mac - C0:4A:00:21:49:C2 2016-12-30 20:37:49,621 DEBUG [MACSpoofingEventHandler-52-thread-1][] cisco.profiler.infrastructure.cache.EndPointCache -:ProfilerCollection:- Reading significant attribute from DB for end point with mac C0:4A:00:21:49:C2 2016-12-30 20:37:49,625 DEBUG [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.EndpointPersistEventHandler -:ProfilerCollection:- Adding to queue endpoint persist event for mac: C0:4A:00:21:49:C2
Par conséquent, ISE prend des mesures puisque l'application est activée. L'action ici consiste à envoyer une CoA en fonction de la configuration globale dans les paramètres de profilage mentionnés ci-dessus. Dans notre exemple, le type CoA est défini sur Reauth, ce qui permet à ISE de réauthentifier le point de terminaison et de vérifier à nouveau les règles qui ont été configurées. Cette fois-ci, il correspond à la règle client Anomalie et par conséquent il est refusé.
2016-12-30 20:37:49,625 INFO [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Taking mac spoofing enforcement action for mac: C0:4A:00:21:49:C2 2016-12-30 20:37:49,625 INFO [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Triggering Delayed COA event. Should be triggered in 10 seconds 2016-12-30 20:37:49,625 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Received CoAEvent notification for endpoint: C0:4A:00:21:49:C2 2016-12-30 20:37:49,625 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Configured Global CoA command type = Reauth 2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Received FirstTimeProfileCoAEvent for endpoint: C0:4A:00:21:49:C2 2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Wait for endpoint: C0:4A:00:21:49:C2 to update - TTL: 1 2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Setting timer for endpoint: C0:4A:00:21:49:C2 to: 10 [sec] 2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Rescheduled event for endpoint: C0:4A:00:21:49:C2 to retry - next TTL: 0 2016-12-30 20:37:59,644 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- About to call CoA for nad IP: 10.62.148.106 for endpoint: C0:4A:00:21:49:C2 CoA Command: Reauth 2016-12-30 20:37:59,645 DEBUG [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Applying CoA-REAUTH by AAA Server: 10.48.26.89 via Interface: 10.48.26.89 to NAD: 10.62.148.106