Configuratie van analoge Endpoint Detectie en handhaving op ISE 2.2

Downloadopties

  • PDF     (687.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (653.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (842.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 mei 2018
Document-id:200973

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe endpoints worden gedetecteerd en afgedwongen. Dit is een nieuwe Profileringsfunctie die in Cisco Identity Services Engine (ISE) is geïntroduceerd voor een verbeterde netwerkzichtbaarheid.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Wired MAC-verificatie Bypass (MAB)-configuratie op de switch
    • Draadloze LAN-configuratie voor draadloze LAN-controller (WLC)
    • Verandering van de configuratie van de vergunning (CoA) op beide apparaten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    1. Identity Services Engine 2.2
    2. Draadloze LAN-controller 8.0.10.0
    3. Cisco Catalyst switch 3750 15.2(3)E2
    4. Windows 10 met bekabelde en draadloze adapters

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    Met de functie Anomalous Endpoint Detection kunt u de ISE in staat stellen om wijzigingen in specifieke eigenschappen en profielen te controleren voor verbonden endpoints. Als een verandering één of meer van vooraf gevormde anomaliegedragsregels aanpast, zal ISE het eindpunt als Anomaleus markeren. Wanneer ISE is gedetecteerd, kan deze actie ondernemen (met CoA) en bepaalde beleidsmaatregelen afdwingen om de toegang tot het verdachte eindpunt te beperken.  Eén van de gebruikcases voor deze functie is de detectie van MAC-adresspoofing.

    • Opmerking: Deze eigenschap richt niet alle mogelijke scenario's voor het spoofing van het adres van MAC aan.  Lees de typen anomalieën die onder deze functie vallen ook door om te bepalen of deze op uw gevallen van toepassing zijn.

    Als detectie is ingeschakeld, controleert ISE alle nieuwe informatie die voor bestaande endpoints wordt ontvangen en controleert u of deze eigenschappen zijn gewijzigd:

    1. NAS-poorts-type - bepaalt of de toegangsmethode voor dit eindpunt is gewijzigd. Bijvoorbeeld, als het zelfde MAC adres dat via Wired Dot1x verbonden is gebruikt voor Wireless Dot1x en visum-versa.

    2. DHCP-klasse-ID - bepaalt of het type client/verkoper van eindpunt is gewijzigd. Dit is alleen van toepassing wanneer de eigenschap DHCP-klasse ID met een bepaalde waarde wordt ingevuld en vervolgens wordt gewijzigd in een andere waarde. Als een eindpunt met een statische IP wordt ingesteld, zal de eigenschap DHCP-klasse ID niet op ISE worden ingevuld. Later, als een ander apparaat het adres van MAC spooft en DHCP gebruikt zal DHCP, zal de Klasse ID van een lege waarde in een specifieke string veranderen. Dit zal geen gedragsdetectie van Anomouls veroorzaken.

    3. Endpoint Policy - een verandering in endpointprofiel van printer of IP-telefoon naar werkstation

    Zodra ISE een van de hierboven vermelde veranderingen detecteert, wordt de eigenschap AnomalousBehavior toegevoegd aan het eindpunt en op True ingesteld. Dit kan later als voorwaarde in het machtigingsbeleid worden gebruikt om de toegang voor het eindpunt in toekomstige authenticaties te beperken.

    Als Handhaving is ingesteld, kan ISE een CoA verzenden zodra de verandering wordt gedetecteerd om opnieuw authentiek te verklaren of een poortaanval voor het eindpunt uit te voeren. In feite kan het de anomalische eindpunten in quarantaine brengen, afhankelijk van het vergunningsbeleid dat is ingesteld.

    Configureren

    Netwerkdiagram

    200973-configure-anomalous-endpoint-detection-a-00.png

    Configuraties

    Eenvoudige MAB- en AAA-configuraties worden uitgevoerd op de switch en WLC. Om deze functie te gebruiken, volgt u de volgende stappen:

    Stap 1. Schakel detectie van abnormaliteiten in.

    Navigeer naar Beheer > Systeem > Instellingen > Profileren.

    200973-configure-anomalous-endpoint-detection-a-01.png

    Met de eerste optie kan ISE abnormaal gedrag detecteren, maar er wordt geen CoA verzonden (Visibility-only modus). Een tweede optie geeft ISE de mogelijkheid om CoA te verzenden zodra een abnormaal gedrag is gedetecteerd (handhavingsmodus).

    Stap 2. Het machtigingsbeleid configureren.

    Configureer de eigenschap anoniem gedrag als een voorwaarde in het machtigingsbeleid, zoals in de afbeelding wordt weergegeven:

    200973-configure-anomalous-endpoint-detection-a-02.png

    Verifiëren

    Sluit aan op een draadloze adapter. Gebruik opdrachtinvoer /all om MAC-adres van draadloze adapter te vinden, zoals in het beeld wordt getoond:

    200973-configure-anomalous-endpoint-detection-a-03.png

    Om een kwaadaardige gebruiker te simuleren, kunt u het MAC-adres van de Ethernet-adapter benaderen om het MAC-adres van de normale gebruiker aan te passen.

    200973-configure-anomalous-endpoint-detection-a-04.png

    Zodra de normale gebruiker zich aansluit, kunt u een endpointingang in de database zien. Daarna verbindt de kwaadaardige gebruiker zich met een gespoofd MAC-adres.

    Aan de hand van de rapporten kunt u de eerste verbinding van de WLC zien. Daarna verbindt de kwaadaardige gebruiker zich en 10 seconden later wordt een CoA geactiveerd vanwege de detectie van de abnormale client. Aangezien het wereldwijde CoA-type op Reauth is ingesteld, probeert het eindpunt opnieuw verbinding te maken. ISE stelt de eigenschap AnomalousBehavior al in aan True zodat ISE de eerste regel aanpast en de gebruiker ontkent.

    200973-configure-anomalous-endpoint-detection-a-05.png

    Zoals in het beeld wordt getoond, kunt u de details onder het eindpunt in het tabblad Context Visibility zien:

    200973-configure-anomalous-endpoint-detection-a-06.png

     Zoals u kunt zien, kan het eindpunt uit de database worden verwijderd om deze eigenschap te wissen.

    Zoals in de afbeelding wordt getoond, bevat het dashboard een nieuw tabblad om het aantal klanten weer te geven dat dit gedrag vertoont:

    200973-configure-anomalous-endpoint-detection-a-07.png

    200973-configure-anomalous-endpoint-detection-a-08.png

    Problemen oplossen

    Raadpleeg voor probleemoplossing het defect profiler, aangezien u navigeert als beheerder > Systeem > Vastlegging > Logconfiguratie > Log reinigen.

    200973-configure-anomalous-endpoint-detection-a-09.png

    Om het ISE Profiler.log-bestand te vinden, navigeer naar Operations > Download logs > Debug Logs, zoals in de afbeelding getoond:

    200973-configure-anomalous-endpoint-detection-a-10.png

    Deze logs tonen een aantal fragmenten uit het bestand Profilering.log. Zoals u kunt zien, kon ISE ontdekken dat het eindpunt met het adres van MAC van C0:4A:00:21:49:C2 de toegangsmethode door de oude en nieuwe waarden van de eigenschappen van het NAS-Port-type te vergelijken heeft veranderd. Het is draadloos maar veranderd in Ethernet.

    2016-12-30 20:37:43,874 DEBUG  [EndpointHandlerWorker-2-34-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Classify hierarchy C0:4A:00:21:49:C2
2016-12-30 20:37:43,874 DEBUG  [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Received AttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2
2016-12-30 20:37:49,618 DEBUG  [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Received AttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2
2016-12-30 20:37:49,618 INFO   [MACSpoofingEventHandler-52-thread-1][] com.cisco.profiler.api.MACSpoofingManager -:ProfilerCollection:- Anomalous Behaviour Detected: C0:4A:00:21:49:C2 AttrName: NAS-Port-Type Old Value: Wireless - IEEE 802.11 New Value: Ethernet
2016-12-30 20:37:49,620 DEBUG  [MACSpoofingEventHandler-52-thread-1][] cisco.profiler.infrastructure.cache.EndPointCache -:ProfilerCollection:- Updating end point: mac - C0:4A:00:21:49:C2
2016-12-30 20:37:49,621 DEBUG  [MACSpoofingEventHandler-52-thread-1][] cisco.profiler.infrastructure.cache.EndPointCache -:ProfilerCollection:- Reading significant attribute from DB for end point with mac C0:4A:00:21:49:C2
2016-12-30 20:37:49,625 DEBUG  [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.EndpointPersistEventHandler -:ProfilerCollection:- Adding to queue endpoint persist event for mac: C0:4A:00:21:49:C2

    Daarom neemt ISE maatregelen, aangezien handhaving mogelijk is. De actie hier is om een CoA te verzenden afhankelijk van de mondiale configuratie in de hierboven genoemde profielen. In ons voorbeeld wordt het CoA-type ingesteld op Reauth waardoor ISE het eindpunt opnieuw kan bevestigen en de regels die waren geconfigureerd opnieuw kan controleren. In dit geval komt het overeen met de anomaleuze klantenwet en wordt het derhalve ontkend.

    2016-12-30 20:37:49,625 INFO   [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Taking mac spoofing enforcement action for mac: C0:4A:00:21:49:C2
2016-12-30 20:37:49,625 INFO   [MACSpoofingEventHandler-52-thread-1][] profiler.infrastructure.probemgr.event.MACSpoofingEventHandler -:ProfilerCollection:- Triggering Delayed COA event. Should be triggered in 10 seconds
2016-12-30 20:37:49,625 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Received CoAEvent notification for endpoint: C0:4A:00:21:49:C2
2016-12-30 20:37:49,625 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Configured Global CoA command type = Reauth
2016-12-30 20:37:49,626 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Received FirstTimeProfileCoAEvent for endpoint: C0:4A:00:21:49:C2
2016-12-30 20:37:49,626 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Wait for endpoint: C0:4A:00:21:49:C2 to update - TTL: 1
2016-12-30 20:37:49,626 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Setting timer for endpoint: C0:4A:00:21:49:C2 to: 10 [sec]
2016-12-30 20:37:49,626 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Rescheduled event for endpoint: C0:4A:00:21:49:C2 to retry - next TTL: 0
2016-12-30 20:37:59,644 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- About to call CoA for nad IP: 10.62.148.106 for endpoint: C0:4A:00:21:49:C2 CoA Command: Reauth
2016-12-30 20:37:59,645 DEBUG  [CoAHandler-40-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:ProfilerCoA:- Applying CoA-REAUTH by AAA Server: 10.48.26.89 via Interface: 10.48.26.89 to NAD: 10.62.148.106

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Zaid Al Kurdi
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten