Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
132페이지
보안
액세스 방법 가이드
또 다른 고려 사항으로는 초기에 포트에 적용되거나 중간 또는 최종 권한 부여 상태에 적용되는 전체 액세스
정책이 있습니다. 예를 들어 엔드포인트가 처음 네트워크에 연결되는 경우 포트 ACL(로임펙트 모드라고
가정) 또는 초기 VLAN에 따라 액세스가 부여될 수 있습니다. 엔드포인트를 알 수 없으며 MAB 조회가
실패하거나 해당 포스처 상태를 알 수 없는 경우에는 Central WebAuth 또는 Posture 상태로 진행할 수 있으며
포트 또는 VLAN 할당 시 새 ACL이 적용됩니다. 성공적인 웹 인증 또는 보안정책 교정에 따라 포트는 새 ACL
또는 VLAN으로 권한이 부여될 수 있습니다. 각 상태마다 서로 다른 레벨의 네트워크 액세스가 있습니다.
프로파일링에서 특정 데이터 수집이 사용되는 경우 해당 액세스가 허용되어야 합니다.
정책이 있습니다. 예를 들어 엔드포인트가 처음 네트워크에 연결되는 경우 포트 ACL(로임펙트 모드라고
가정) 또는 초기 VLAN에 따라 액세스가 부여될 수 있습니다. 엔드포인트를 알 수 없으며 MAB 조회가
실패하거나 해당 포스처 상태를 알 수 없는 경우에는 Central WebAuth 또는 Posture 상태로 진행할 수 있으며
포트 또는 VLAN 할당 시 새 ACL이 적용됩니다. 성공적인 웹 인증 또는 보안정책 교정에 따라 포트는 새 ACL
또는 VLAN으로 권한이 부여될 수 있습니다. 각 상태마다 서로 다른 레벨의 네트워크 액세스가 있습니다.
프로파일링에서 특정 데이터 수집이 사용되는 경우 해당 액세스가 허용되어야 합니다.
간단한 예는 DHCP입니다. DHCP가 허용되지 않으면 DHCP 프로브의 데이터를 활용하는 프로파일링이
사용되지 않을 수 있습니다. 네트워크 검사가 사용되지만 포트에서 NMAP 프로브에 의해 조사되는 포트에
대한 액세스를 차단할 경우, 다시 말하지만 프로파일링을 결정하는 데 해당 정보를 사용할 수 없습니다.
여기에는 엔드포인트에서 활성화되어 있는 SNMP 포트에 대한 액세스도 포함됩니다. 또한 엔드포인트
자체에서도 트래픽을 허용해야 합니다. 일반적인 예는 NMAP를 사용하여 OS 검사를 수행하는 것입니다. 개인
방화벽에서 엔드포인트 검사 시도를 차단하는 경우 프로브에서 결과가 생성되지 않습니다.
사용되지 않을 수 있습니다. 네트워크 검사가 사용되지만 포트에서 NMAP 프로브에 의해 조사되는 포트에
대한 액세스를 차단할 경우, 다시 말하지만 프로파일링을 결정하는 데 해당 정보를 사용할 수 없습니다.
여기에는 엔드포인트에서 활성화되어 있는 SNMP 포트에 대한 액세스도 포함됩니다. 또한 엔드포인트
자체에서도 트래픽을 허용해야 합니다. 일반적인 예는 NMAP를 사용하여 OS 검사를 수행하는 것입니다. 개인
방화벽에서 엔드포인트 검사 시도를 차단하는 경우 프로브에서 결과가 생성되지 않습니다.
NetFlow 데이터를 수집하도록 네트워크와 통신할 수 있는 액세스 권한이 엔드포인트에 허용되어야 하므로
NetFlow 프로브를 사용하는 것은 특히 어려운 과제일 수 있습니다. 그러므로 엔드포인트에 대한 완전한
네트워크 액세스를 고려하지 않고 정책에서 데이터의 초기 수집을 허용해야 합니다. 한 가지 가능한 솔루션은
VLAN A의 엔드포인트를 프로파일링하는 것입니다. 이 경우 보안 리소스에 대한 액세스를 금지하되 지정된
포트에 대한 일반적인 액세스는 차단하지 않습니다. 일치하는 트래픽에 따라 프로파일링된 경우
엔드포인트는 VLAN B에 대해 다시 권한이 부여될 수 있으며 보안 리소스에 대한 권한 있는 액세스가
허용됩니다.
NetFlow 프로브를 사용하는 것은 특히 어려운 과제일 수 있습니다. 그러므로 엔드포인트에 대한 완전한
네트워크 액세스를 고려하지 않고 정책에서 데이터의 초기 수집을 허용해야 합니다. 한 가지 가능한 솔루션은
VLAN A의 엔드포인트를 프로파일링하는 것입니다. 이 경우 보안 리소스에 대한 액세스를 금지하되 지정된
포트에 대한 일반적인 액세스는 차단하지 않습니다. 일치하는 트래픽에 따라 프로파일링된 경우
엔드포인트는 VLAN B에 대해 다시 권한이 부여될 수 있으며 보안 리소스에 대한 권한 있는 액세스가
허용됩니다.
또 다른 옵션은 초기에 트래픽을 허용하되 비정상적 트래픽이 탐지되면 포트 권한 부여를 변경하는 보다
구체적인 프로파일을 일치시키는 것입니다. 예를 들어 프로세스 제어 엔드포인트가 예기치 않은 포트에서
통신하는 경우 엔드포인트를 격리 ID 그룹 및 정책에 할당하도록 예외 작업을 적용할 수 있습니다. 다시
말하지만, ISE 프로파일링은 안티 스푸핑 솔루션 역할을 하도록 설계되지 않았지만 비정상적인 트래픽 또는
기타 프로파일링 특성을 기반으로 정책을 적용하는 데 사용할 수 있습니다. 중요한 디바이스가 포함된
환경에서 그러한 디바이스는 종종 잠기거나 알려진 엔드포인트 목록으로 액세스가 제한됩니다. 이 경우 특정
프로파일링 정책과 일치하는 모든 엔드포인트에서 이러한 디바이스 유형과 일치하는 특성을 표시하도록
프로파일링 값을 파악할 수 있습니다.
구체적인 프로파일을 일치시키는 것입니다. 예를 들어 프로세스 제어 엔드포인트가 예기치 않은 포트에서
통신하는 경우 엔드포인트를 격리 ID 그룹 및 정책에 할당하도록 예외 작업을 적용할 수 있습니다. 다시
말하지만, ISE 프로파일링은 안티 스푸핑 솔루션 역할을 하도록 설계되지 않았지만 비정상적인 트래픽 또는
기타 프로파일링 특성을 기반으로 정책을 적용하는 데 사용할 수 있습니다. 중요한 디바이스가 포함된
환경에서 그러한 디바이스는 종종 잠기거나 알려진 엔드포인트 목록으로 액세스가 제한됩니다. 이 경우 특정
프로파일링 정책과 일치하는 모든 엔드포인트에서 이러한 디바이스 유형과 일치하는 특성을 표시하도록
프로파일링 값을 파악할 수 있습니다.
예외 작업은 정적 정책 할당을 수행해야 하는 경우 사용할 수 있는 도구가 될 수 있습니다. 그러나
엔드포인트가 프로파일에 정적으로 할당된 경우에는 관리자만이 해당 할당을 변경할 수 있다는 점에
유의하십시오.
엔드포인트가 프로파일에 정적으로 할당된 경우에는 관리자만이 해당 할당을 변경할 수 있다는 점에
유의하십시오.
프로브
선택 모범 사례
구축마다 각기 다른 프로브를 사용할 수 있습니다. 이 섹션에서는 각 프로브에 따라 사용 가능한 정보를
중점적으로 다루고 구축 유형에 따른 프로브 선택 과정을 안내합니다.
중점적으로 다루고 구축 유형에 따른 프로브 선택 과정을 안내합니다.
프로브
특성
네트워크에서 사용할 프로브를 결정할 때는 각 프로브에서 수집하는 특성을 이해하는 것이 도움이 됩니다. 표
8에는 다양한 프로브, 수집되는 키 특성 및 해당하는 활용 사례가 요약되어 있습니다.
8에는 다양한 프로브, 수집되는 키 특성 및 해당하는 활용 사례가 요약되어 있습니다.