ISE.自定义配置文件:可以't See The Forest From The Trees

谈到剖析端点时,我注意到即使是一些偏心的工程师甚至也认为它是幕后发生的神奇和模糊的东西。这也不是ISE。我不认为我已经看到了一个网络访问控制产品,其具有100%的分析保真度或颗粒,因为客户可能会期望它。我会说,ISE的内置配置文件可能会识别至少高级的90%的端点。这个博客帖子的目的是帮助删除一些“后面的场景”魔法,以便您为您提供貌相。

我所做的第一件事是确保在ISE和网络设备中正确打开探针。假设他们是,我要做的下一件事就是看一下ISE正在接收的所有端点及其属性。您可以在ISE GUI中单击一个逐个设备,但这将是非常繁琐的,如果您单独查看它们,很难比较类似的端点。这是我喜欢使用的诀窍:从ISE拉出端点转储。我在思科生活在2019年之前进行了以下视频,它演示了如何提取ISE的所有端点以及为这些端点接收的所有配置文件属性以及:

</iframe>" data-provider-name="YouTube">


在下载的CSV文件中,您会注意到您获得了一吨不同的信息列。很容易被淹没。你必须摆脱一些噪音。我通常删除除以下内容之外的所有列:

  • 主机名 - 从DHCP学习。有时默认主机名将告诉您某种类型的设备类型或者在环境中使用的命名约定,您可以在配置文件中使用它作为属性。

  • matchedpolicy. - 我通常会在那里保持这个,所以我可以看出端点是否正在正确配置终端,甚至它已经拥有ISE的配置文件。

  • oui. - 帮助我识别设备的制造商

  • DHCP类 - 标识符 - 某些供应商实际上将在类标识符中陈述设备,型号或其他信息,其可以用作配置文件的一部分。类标识符的一个例子将是“dolbyaudiohub” - 这将告诉我它是什么类型的端点。

  • DHCP-参数 - 请求列表 - 有用于帮助确定设备上的操作系统。 Windows,Mac OSX,Android和iOS具有某些DHCP参数列表,该列表可以帮助您确定端点正在运行的操作系统。

  • 用户代理 - 这是从Web流量收集的,并且可以帮助我们不仅确定设备的型号,而且可以帮助我们确定设备的型号。许多Android和IOS设备将在浏览器用户代理中陈述型号。这个例子可能是“Android / ... / nexus 5 build” - 这个例子会告诉我它是运行Android操作系统的Nexus 5手机。

  • mdmmanufacturer - 如果您在环境中使用MDM,则此数据可以为您提供制造商信息,例如端点是Android还是Apple设备。此信息比其他任何东西更丰富,因为您无法在分析政策中使用它。

  • mdmmodel. - 如果您在环境中使用MDM,则此数据可以为您提供型号信息,例如它是iPhone,iPad等。此信息比其他任何东西更具信息性,因为您无法在分析策略中使用它。

  • mdmosversion. - 如果您在环境中使用MDM,则此数据可以为您提供IOS和Android OS版本的移动OS版本。此信息比其他任何东西更丰富,因为您无法在分析政策中使用它。

  • cdpcacheplatform. - 如果设备使用CDP,您通常可以确定此端点来自此端点的设备或类型。虽然CDP是思科专有协议,但许多非思科设备使用它 - VMware将是使用CDP的非Cisco平台的一个很好的例子。这将是“Cisco Air-AP3802I-B-K9”的示例 - 从此示例中,我可以看到它是Cisco 3802接入点。

  • cdpcacheversion. - 如果设备使用CDP,这可以告诉您OS版本它正在运行,并且可能有关端点模型的更多信息。一个例子可能是“Cisco AP软件,C3700” - 这个例子告诉我它是Cisco 3700系列接入点。

  • cdpcachedeviceid - 如果设备使用CDP,这可以告诉您设备的主机名。有时设备类型在该主机名中 - 例如,“rtr-4451”可能最终是ISR4451。

  • LLDPSYstemDescription. - 如果端点使用LLDP,则可以从LLDP系统描述中收集型号,操作系统版本和其他信息。一个例子可能是“Cisco AP软件,C3700” - 这个例子告诉我它是Cisco 3700系列接入点。

  • lldpsystemname. - 如果设备使用LLDP,这可以告诉您设备的主机名。有时设备类型在该主机名中 - 例如,“rtr-4451”可能最终是ISR4451。

  • hrdevicedescr. - 如果在端点上启用SNMP,并且ISE执行SNMP NMAP扫描,则可以从设备描述中收集诸如型号和制造商之类的信息。一个例子可能是“Canon IPF780” - 这个例子告诉我它是一个佳能大打印机,型号是IPF780

  • sysdescr. - 如果在端点启用SNMP和ISE执行SNMP NMAP扫描,我们可以获得诸如“APC Management Center”或类似说明中的终端点类型的很好描述。

  • 广告主体存在 - 如果它已加入域名,这将是真实的。如果我想指定类似的东西,我有时会创建子配置文件

  • 广告操作系统 - 如果端点连接到Active Directory域,并且打开探头,则此探测器将告诉您端点上的操作系统。一个例子可能是“Mac OS X”或“Windows 10”

  • 设备平台 - 如果端点与AnyConnect上的VPN连接,ISE可以收集其他设备平台信息。设备平台可能会为您提供关于端点是MAC设备(MAC-Intel)或Windows设备(Win)的信息

  • 设备类型 - 如果端点与AnyConnect上的VPN连接,ISE可以收集有关设备类型的更多信息,例如它是否是一个可以进一步用于分析的“MacBookPro”或“IMAC”。

在我们跳进我们的端点转储CSV之前,让我们恢复一步,看看分析逻辑。配置文件不必平坦。您可以嵌套配置文件以获得更具体的模型或端点类型。我创建了以下原油图形来说明:

使用以上逻辑,可以使用嵌套配置文件作为Cisco 7942 IP电话来配置端点:

  1. 端点首先匹配根(思科设备) 通过匹配该配置文件中的列出的规则之一来实现配置文件。

  2. 如果端点符合要求 思科设备如果它符合下列下列的其他属性之一,则可以进一步示为IP电话。 Cisco-IP电话 轮廓。如果端点已经匹配父配置文件,则只能与父片配置文件(思科设备)。否则,将无法评估端点 Cisco-IP电话.

  3. 匹配后 Cisco-IP电话 配置文件,可以进一步评估端点并匹配 Cisco-IP-Phone-7942 基于具有满足的属性的配置文件 Cisco-IP电话-7942 嵌套的配置文件。

当然不是所有属性都可以加权。每次匹配分析规则时,它会增加此设备类型是否是有问题的配置文件的确定性因素。您可以决定最低确定性因素应该是您创建的配置文件。创建自定义配置文件时,可以手动设置此配置文件的最小确定性因素以及您创建的每个规则的确定性因素。您可以说明基于匹配的规则或属性的确定性因素增加多少。如果端点与两个不同的配置文件匹配,则它将与其具有最高确定性因子的匹配。为了确保您的自定义配置文件比内置思科配置文件重量重,建议较重的确定性因素 - 1000或以上会很棒。

再一次,让我们说明如何用我的原油设计技能工作:


在上图中,这是iPad与ipad配置文件匹配的方式:

  1. 端点连接到网络,首先匹配 苹果设备 确定性因子为80.由于此个人资料的最低确定性因素为40,因此该端点落在了下面 苹果设备 轮廓。 ISE检测以下属性:

    1. 用户 - 代理包含“Mac”(+40至确定性因子)

    2. DHCP请求的参数匹配IOS设备的指纹(+40至确定性因子)

  2. 这个端点然后匹配 Apple-iOS设备 嵌套在Apple-Device配置文件下的配置文件,其确定性为100.这是由于ISE检测到以下属性:

    1. 用户代理还包含“ipad”(+50到确定性因子)

    2. DHCP请求参数匹配IOS设备的指纹(+50至确定性因子)

  3. 最后,端点匹配 iPad. 个人资料会议只是嵌套配置文件的确定性因子100。它确实如此评估以下属性:

    1. 用户代理包含“ipad”(+50到确定性因子)

    2. 主机名包含“ipad)(+50到确定性因子)

希望这不太令人困惑。上面的关键外卖,我想要在任何阅读的人中Ingraine是:

  • 您可以使用嵌套配置文件来获得更具体的端点类型

  • 为了匹配嵌套配置文件,端点需要首先匹配父配置。

  • 由于所有属性未创建相等,因此您可以在配置文件中称重这些属性,以便在某些属性上具有更大的值。

  • 创建自定义配置文件时,请确保某些因素和属性的权重更高(100或更大),因此您的自定义配置文件在任何内置的Cisco配置文件中首选。


返回到我们的端点转储,如果删除了所有列以外的所有列以外,它可能仍然看起来像一团糟:

我喜欢做的下一件事是清理这个怪物电子表格的视图。我建议突出显示Excel电子表格上的顶级标题行。然后在Excel顶部,导航到 看法.

然后点击 冻结窗子 并选择 冻结顶行 从下拉下来。无论您滚动电子表格多远,这将保持顶阶。

我喜欢做的下一件事是通过点击顶部左边区域上的三角形来突出显示所有内容。

在下面 首页 在顶部栏上,单击 包装文本 确保文本包裹在细胞中。您可能需要重新调整列以使其更具可读性。

现在,单元格应该是一个人类可读,但电子表格仍然没有很好地组织,如下所示:

端点 - 转储-6.jpg

我建议做什么在页面上选择任何列:

然后导航到 数据 在顶部菜单和单击 种类.

从排序警告弹出,选择选项 展开选择。请务必选中框 我的数据有标题。 我通常喜欢根据这样对数据转储来排序:

  1. oui.

  2. DHCP-参数 - 请求列表

  3. DHCP类 - 标识符

  4. 用户代理

在我格式化并组织CSV文件后,我通常可以缩小我的电子表格并更快地识别像属性。让我们用下面的端点作为一个例子。

所有端点都显示为ISE中被标识为“未知”,但我们可以注意到一对耦合的蝙蝠,这些东西在所有端点之间都是相似的:

  • Mac Oui似乎是Aaeon Technologies - SCADA和PLC设备的制造者

  • DHCP-Class-identifier进一步将设备识别为PLC设备

  • 端点都请求相同的DHCP-参数 - 请求列表

有了这些信息,我们可以使用将这三个属性绑在一起,轻松创建自定义配置文件。

一旦您倾倒和组织的端点,就可以识别相同类型的端点或属性之间常见的属性,这些属性或标识它是什么样的端点。让我们来看看端点转储的另一部分。

从上面的屏幕截图,您可以如此缩小属性:

  • 绿色 - 标识这是某种类型的苹果设备

  • 紫色 - 识别它是一个专门的iOS设备

  • 黄色 - 识别它是什么类型的IOS设备:iPad

使用不同的属性,您可以创建一个大型大量配置文件,或者您可以嵌套您的配置文件以获得更细粒度的设备类型。

组织您将用于自定义配置文件的属性后,您将在ISE下构建配置文件 政策>Profiling。您可以观看我在视频上创建自定义配置文件 这里 如果您需要查看基本示例。

希望这个博客帖子分解了分析背后的一些神秘面纱,并给出了一些关于如何更好地组织和识别属性的提示,这样您就可以在分析中使用它们。