Cisco Cisco Identity Services Engine 1.3 전단

129페이지

보안

액세스 방법 가이드

프로파일링

설계 및 모범 사례

이 섹션에서는 다양한 구축 및 활용 사례에 대한 일반적인 프로파일링 설계 및 모범 사례 권장 사항에 대해
설명합니다.

프로파일링

설계 고려 사항

ISE 프로파일링 요구 사항에 대한 계획을 수립하는 경우에는 먼저 네트워크 액세스 정책을 지원하기 위해
분류해야 하는 엔드포인트 유형을 파악해야 합니다. 예를 들어 특정 유형의 네트워크 디바이스 중 다수가
802.1X 또는 웹 기반 인증을 지원하지 않는 경우 디바이스 분류에 따라 MAB 인증과 권한 부여가 요구될
가능성이 높습니다. 네트워크 액세스를 위한 프로파일링이 필요할 수 있는 알려진 디바이스 유형을 모두
나열해야 합니다.

알려진

디바이스 유형 프로파일링

ISE 계획 단계에서 디바이스 분류(프로파일 특성에 따라 권한 부여)가 요구되는 엔드포인트를 식별하고
이러한 엔드포인트를 프로파일링하는 데 필요한 특성을 결정합니다. 권한 부여가 필요한 디바이스가 이미
알려져 있는 경우 다음 단계는 그러한 디바이스를 적절히 프로파일링하는 데 필요한 특성 및 관련 프로브를
결정하는 것입니다.

널리 사용되는 엔드포인트의 경우 ISE 프로파일 라이브러리에 사전 구성된 정책이 있습니다. 이러한 기본 ISE
프로파일을 검토하여 특성 및 프로브 요구 사항을 결정합니다. 예를 들어 프로파일 X에 조건 A, B 및 C가
포함되어 있다는 것을 알면 해당 데이터를 수집하는 데 필요한 특성 및 프로브를 추론할 수 있습니다.
프로파일 라이브러리에 특정 일치 항목이 없으면 유사한 디바이스 유형의 프로파일을 참조합니다.
프로파일링 요구 사항은 유사한 디바이스 유형의 요구 사항과 유사한 경우가 종종 있습니다.

기존 프로파일이 없는 경우 엔드포인트에 대한 특성을 수집하기 위한 프로브를 일시적으로 활성화할 수
있습니다. 관리자는 대개 엔드포인트를 재설정하거나 네트워크 연결을 해제했다가 다시 연결하는 방식으로
정상 시동 시 디바이스에 사용할 수 있는 특성을 캡처할 수 있습니다. ISE에 표시되는 특성은 엔드포인트를
고유하게 분류할 수 있는 관련 특성을 나타내는 경우가 많습니다. 일부 디바이스의 경우 OUI, DHCP 옵션,
사용자 에이전트, TCP/UDP 포트 또는 DNS 이름 지정을 위한 고유한 특성을 결정하기 위해 패킷 캡처를
비롯한 트래픽 분석이 필요할 수 있습니다.

다음 예(그림 102)에서는 Apple-iPod 프로파일에 대한 일치에 사용되는 특성을 조회하는 방법을 보여줍니다.
이 프로파일은 DHCP 특성 또는

User-Agent

기반임을 알 수 있습니다. 그러므로 Apple iPod을

프로파일링하려면 DHCP 및 HTTP를 사용하는 것이 좋습니다.