伊势 2.0 - 剖析

在理想情况下,您可以使用dot1x或通过访客门户对主机进行身份验证以进入网络,但现实情况是,并非每个连接到网络的设备都具有导航访客流或使用dot1x的能力。不幸的是,我们大多数人并不生活在一个完美的世界中,必须将设备连接到我们的网络,例如电话,IP摄像头,打印机,徽章读取器,访问点等,因此,配置文件应运而生。ISE将做什么ISE从端点所连接的NAD收集了一系列属性,并基于这些属性集合,ISE能够确定该端点是哪种设备。

伊势已经有大量的预先创建的配置文件,并且由于启用了探查器提要,因此将按计划使用新的配置文件进行更新。 伊势使用简单但有效的逻辑查看端点:它查看从探针接收到的一系列端点属性,并基本上为每个匹配的属性赋予一个分数。为了匹配配置文件,它需要满足最低确定性分数。分析还应该与ISE实施的安全控制相平衡。例如,如果您已连接并配置了IP摄像机,并且仅需要连接到CCTV服务器,则该摄像机应在端口上收到DACL,该DACL限制了除必要访问之外的所有访问。

当我们配置无线控制器和交换机时,我们实际上配置了NAD以向ISE提供配置信息。我将继续进行一些不同的探针类型的运行:

RADIUS探针:

这是最常见的探针之一。 伊势可以根据从RADIUS服务器的RADIUS请求/响应消息中收集的RADIUS属性来配置文件。必须将NAD配置为AAA才能起作用。如果您选择一个,这可能是更关键的探针之一。我在发布交换机时在交换机上进行了配置 半径服务器vsa, 半径服务器属性aaa会计dot1x 命令。我没有在无线控制器上完全配置它,因为我选择将被叫站ID为AP Mac:SSID而不是系统MAC地址。这是完全可以接受的,因为它可以更轻松地在多个SSID之间创建我们的策略,并且我配置了SNMP查询探针(下面有更多详细信息)。 RADIUS探针还侦听设备传感器功能使用的RADIUS记帐数据包中发送的CDP,LLDP和DHCP属性。收集的一些常见RADIUS属性包括:

  • 用户名-由RADIUS服务器验证的用户名(如果有)
  • 呼叫站ID-注意:这通常是端点的MAC地址
  • NAS-IP-Address-请求认证的网络访问设备的IP地址
  • NAS端口-物理端口号
  • Framed-IP-Address-端点的IP地址
  • Acct-Session-ID-唯一的会计ID
  • Acct-Session-Time-指示端点已接收服务的秒数
  • Acct-Terminate-Cause-如果会话或连接被终止,则将指示原因。

可以从RADIUS属性中提取很多信息。 伊势可以根据MAC检查供应商的OUI,提供MAC到IP的映射绑定,并获取重要信息以进行会话终止时的故障排除。

在查看我的一个配置文件的主机 行政>Identity Management>Identities>Endpoints,我可以看到收集的属性:

向下滚动:

 

SNMP陷阱:

该探针将提供有关与网络连接或断开连接的端点的ISE信息。我在接口级别的接口上对其进行了配置 snmp trap mac-通知 和全球背景 mac地址表通知 SNMP服务器启用陷阱Mac通知 命令。这是向ISE部署提供MAC信息的另一种方式。如果您在网络中配置了RADIUS探针,则可能不需要进行配置,但是我在我们的交换机配置中进行了配置。在生产环境中,您可能并不需要太多的探针以减少产生的额外流量。 

 

SNMP查询:

该探针用于向您的NAD发送查询,以收集存储在SNMP RIB中的端点数据。它从NAD收集详细信息,例如接口,CDP,LLDP和ARP。必须在ISE中为SNMP配置NAD。我们通过设置SNMP社区在交换机和无线控制器上启用了此功能,并且当我们在ISE中创建NAD时,我们将ISE配置为查询信息。可以从此探针获取的一些有用信息是:

系统 Queries:

  • IP网桥(ARP)-用于在ISE中构建IP-MAC ARP缓存表的查询。如果您未配置RADIUS探针或DHCP探针无法提供该信息,这也是将MAC地址信息发送给ISE的另一种方法
  • cdpCacheEntry(有线)-CDP提供的信息
  • lldpRemoteSystemsData(有线)-LLDP提供的信息
  • cldcClientEntry(无线)-提供有关与此AP关联的客户端的信息。条目是唯一标识客户端的MAC地址。

接口查询:

  • ifIndex,ifDesc等-接口数据
  • 端口和VLAN数据
  • 会话数据(如果接口类型为以太网)
  • CDP数据
  • LLDP数据

以下是来自SNMP查询的一些示例:

 

DHCP服务器探针:

在这里,我们将DHCP请求的副本直接发送到ISE服务器。这是一种将DHCP流量发送到ISE的简单方法,并且需要配置NAD才能将DHCP数据包中继到ISE。对于WLC,禁用DHCP代理。这是通过我们的 ip helper-address 交换机的SVI上的命令。该探针向ISE提供的一些功能如下:

  • dhcp-class-identifier-提供平台或操作系统信息
  • dhcp-user-class-id-可能使用某些操作系统进行自定义以提供唯一的标识符
  • dhcp-client-identifier-这提供了一个MAC地址
  • dhcp-message-type-这是什么类型的DHCP消息(即DHCPREQUEST)
  • dhcp-parameter-request-list-可以提供设备类型的唯一指示符,因为参数的值和顺序对于单个或一组有限的设备类型通常是唯一的
  • dhcp-requested-address-这将提供一个IP地址
  • 主机名-可用于对某些类型的设备进行分类
  • 域名-可用于对某些类型的设备进行分类
  • client-fqdn-可用于对某些类型的设备进行分类

以下是来自我的一个端点的DHCP属性的示例:

HTTP探针:

HTTP探针从Web浏览器本身提供信息信息。这可以包括应用程序类型,操作系统,软件供应商和软件版本。此信息在称为用户代理的请求标头字段中传输。发送HTTP探测的两种方法是URL重定向或SPAN。关于HTTP探针的另一件重要事情是,您确实需要ISE中已经使用的IP到MAC地址绑定才能真正利用此信息,因此您需要启用另一个探针,该探针将拉出IP和MAC地址来创建该绑定。
 

我们之前在交换机和WLC上都配置了HTTP探针。在交换机上,这是通过我们的配置 仅ISE ACL并通过启用 ip http服务器 ip http安全服务器。在WLC上,我们在SSID本身上启用了HTTP和DHCP探测,并且在RADIUS身份验证服务器配置下,我们启用了对RFC 3576的支持。

这是User-Agent从我的AD服务器提取浏览器类型的示例:

 

DNS探针:

一旦了解到现有端点,就可以通过从PSN进行反向DNS查找来获取DNS FQDN。除非知道设备的IP地址,否则无法完成此操作。这是通过发出以下命令在我们的交换机配置上配置的 IP名称服务器 命令。

净流量探针:

我必须承认,我没有在生产中使用过这种产品。您可以在交换机和WLC上使用简单的Netflow配置对其进行配置。它可以提供给ISE的关键信息是:

  • 源IP地址
  • 目的IP地址
  • 源端口号
  • 目的端口号
  • 三层协议类型
  • ToS字节
  • 输入逻辑信息(ifIndex)

我尚未在实验室中配置此配置,但是如果您要配置它,则可以在交换机上轻松进行配置:
mls netflow接口
mls netflow ip接口-已满
mls nde发送者
mls nde接口
ip流缓存超时活动1
ip flow-export源Vlan100
ip flow-export版本9
ip流导出目标10.1.100.21 9996

我的建议是不要打开此探针,因为它提供了许多其他探针以不太有效的方式提供的相同冗余信息。 

 

NMAP扫描探针:

NMAP实用程序已集成到ISE中,以允许探查器通过子网扫描检测新的端点,并根据NMAP检测到的端点的操作系统,操作系统版本和服务对端点进行分类。网络扫描探针被认为是“主动”评估机制,因为它直接与端点通信以从源获取信息。罐头扫描还可以根据策略动态触发。

该探针对端点执行以下扫描:

  • 操作系统扫描
  • SNMP端口扫描
  • 通用端口扫描
  • 自定义端口扫描
  • 中小企业扫描

这将帮助ISE确定SNMP端口是否打开以及通过打开哪些端口启用哪些常用服务,从而确定端点的操作系统和版本。如果您想根据设备所运行的服务或操作系统对设备进行分类,则可以为您提供帮助。您可以通过导航到来手动运行扫描 行政>System>Deployment>伊势节点>分析配置 然后选择 运行扫描 在网络扫描下。或者,您可以通过导航到按需运行它 政策>Policy Elements>Results>Profiling>网络扫描(NMAP)操作 并查看您现有的扫描操作。如果您想对其进行一些自定义,也可以在此处创建不同的网络扫描类型。

如果您想将网络扫描操作分配给性能分析操作,则可以导航至 政策>Profiling 并选择一个配置文件以根据特定的配置策略强制执行NMAP动作:

  1. 在我的实验室中,我将扫描进入网络的所有工作站。

运行扫描后,您可以看到有关此主机的新属性:

  • EndPointPolicy
  • LastNmapScanCount
  • NmapScanCount
  • OUI
  • 操作系统

Active Directory探针

这是从ISE 2.1开始添加的新探针。它通过从AD中提取详细信息来提高OS保真度。一旦从DHCP探针和DNS探针获知了计算机主机名,它将利用AD运行时连接器并尝试获取AD属性。 

通过以下方式来控制AD查询:

  • 重新扫描间隔(默认为1天)
  • 端点的探查器活动

AD探针可以收集的一些属性: 

  • AD主机存在
  • 广告联接点
  • AD操作系统
  • AD-OS版本
  • 广告服务包

因此,总结一下我对探针的概述,ISE可以告诉我们有关可以帮助识别它的端点的很多信息:

  • 这是OUI,可能是制造商
  • 它正在运行什么操作系统和版本
  • 浏览器类型和版本
  • 端点上运行的服务
  • 如果有一个DNS名称映射到它
  • 端点的主机名
  • 源端口和目标端口
  • 协议类型
  • 经常标识特定设备类型的参数请求列表
  • 提供更多信息的CDP / LLDP信息
  • DHCP服务器供应商类别

...还有更多。那么我们打开哪些探针呢?将它们全部打开似乎很诱人,但是在大型环境中,您可能会得到很多of不休和多余的信息。我建议简单地使用许多NAD中内置的设备传感器进行性能分析。它会让您的NAD通过RADIUS将端点原始数据发送到ISE,并且一些优点包括:

  • 不需要数据包重定向(DHCP Helper)和SPAN会话进行性能分析  
  • 高度可扩展且高效
  • 在ISE上使用RADIUS探针 

设备传感器的配置文件基于:

  • CDP /低密度聚乙烯
  • DHCP服务器
  • HTTP(仅WLC)
  • 域名解析
  • H325
  • MSI代理(4K交换机)

要为有线配置设备传感器,请遵循以下说明:

  1. 筛选DHCP,CDP和LLDP选项/ TLV:
    设备传感器过滤器列表cdp列表my_cdp_list
    电视名称设备名称
    tlv名称平台类型
    设备传感器过滤器规范cdp包含列表my_cdp_list
    设备传感器过滤器列表lldp列表my_lldp_list
    电视名称系统名称
    电视名称系统说明
    设备传感器过滤器规范lldp包含列表my_lldp_list
    设备传感器过滤器列表dhcp列表my_dhcp_list

    选项名称主机名
    选项名称类标识符
    选项名称客户端标识符
    设备传感器过滤器规范dhcp包含列表my_dhcp_list
  2. 使传感器数据能够在RADIUS计费中发送,包括所有更改
    设备传感器计费
    设备传感器通知所有更改
  3. 如果将传感器更新发送到ISE(中央分析仪),请禁用本地分析仪
    没有宏自动监控
    访问会话模板监视器

要为无线配置设备传感器,请按WLAN启用/禁用设备配置进行配置,方法是单击SSID下的“客户端配置”,然后选中“ DHCP服务器配置和HTTP配置”框,例如 

基于识别出的设备,我们可以利用现有的配置文件或创建新的配置文件类型,然后构建策略以“仅”授予该端点所需的访问量。例如,如果我们配置了打印机,则可以在只能与某些端口或与打印服务器进行通信的位置锁定访问。
 

我的实验室不是很复杂,所以我要创建一个非常简单的策略。我要做的第一件事是导航到 政策>Profiling>Profiling Policies 然后深入到 思科设备>Cisco-Access-Point 并查看每个访问点的一些不同的探查器策略:

如果查看其中一个探查器策略,则可以查看某些检查并进行修改:

根据上述分析器政策,确定性因子必须至少为30,才能纳入 思科AP-Aironet-3600 政策。一些检查包括包含字符串“ cisco AIR-CAP3602”的cdpCachePlatform信息,这将指示该端点将是此接入点模型。

一样的 政策>Profiling 页面上,我将导航到 逻辑配置文件 文件夹,然后单击 创建一个新的逻辑配置文件。我要命名我的逻辑配置文件 思科AP 并移动顶层 思科接入点 政策纳入 分配政策 柱。

保存策略后,我将继续创建新的自定义配置文件。我的WLC是一台虚拟机,因此目前没有固定配置文件,因此我将创建一个。导航回 行政>Identity Management>Identities>Endpoints 并单击我的VM端点,即使它没有直接连接到交换机本身,我也将专注于有关vWLC的某些详细信息:

在上面我在整体终结点属性中提到的三件事中,有两件事我将用来创建我的配置文件策略。这些是从特定的SNMP陷阱中提取的属性:

  • sysDescr-此值应包括制造商给出的实体描述
  • sysName-这是提取该节点的管理分配名称的属性。我不会基于此创建策略,但是很高兴看到可以识别设备
  • sysObjectID-这是实体中包含的网络管理子系统的供应商权威标识。它为确定“什么样的盒子”提供了一种简单而明确的方法。

接下来,我将导航到 政策>Profiling>Profiling Policies 然后点击 。在这里,我将基于sysDescr和sysObjectID创建一个策略:

现在,我将基于配置的终结点创建策略。由于我的交换机没有连接太多设备,因此我将为接入点创建策略。您还记得,我没有在AP上启用Flexconnect,因此所有内容都通过隧道传送回WLC。在这种情况下,我可以创建和测试配置文件,在该配置文件中对AP进行了配置,并仅授予了它与无线控制器进行通信所需的访问权限。

创建此策略所需做的第一件事是创建我的策略元素。我将从导航到开始 政策>Policy Elements>Authorization>Downloadable ACLs 然后点击 加。 我将创建以下DACL:

名称: 仅WLC
ACL:
允许udp 任何 eq bootpc 任何 eq bootps
允许udp任何任何eq域
允许ip任何主机10.1.100.41
拒绝任何ip

保存该DACL之后,我将导航至 政策>Policy Elements>Authorization>授权资料 然后点击 。我将创建以下授权配置文件:

名称: 仅WLC

  • 检查一下 DACL名称 然后选择 仅WLC 从下拉菜单
  • 检查一下 虚拟局域网 并输入VLAN ID 100

保存授权策略后,我将导航至 政策>Policy Sets 并编辑我现有的 有线 政策。我唯一需要添加的是在“授权策略”中其他规则之上的以下规则:

名称: 思科AP
如果:<any>
Condition(s): 终点:LogicalProfile EQUALS 思科AP
然后: 仅WLC

保存策略集后,我可以安全地将访问点移至ISE管理的端口并检查 运作方式>RADIUS Livelog。我应该看到以下内容:

在实际的交换机上,我可以发出 显示身份验证会话界面g1 / 0/23详细信息 命令以查看应用于端口的内容:

从上面的输出中可以看到,dot1x停止,并且MAB上的Authc成功。将端点放入VLAN 100(端口最初在VLAN 70中),并将WLC-ONLY DACL应用于端口。

感谢您的阅读,这是基本概要分析!我希望这对那里的一些读者有所帮助。