Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
61페이지
보안
액세스 방법 가이드
DNS 프로브를 사용한 프로파일링
기존 엔드포인트의 IP 주소가 학습된 경우 DNS 프로브는 ISE 정책 서비스 노드에서 역방향 DNS 조회를
기반으로 DNS FQDN(정규화된 도메인 이름)을 얻는 데 사용됩니다. 그러므로 DNS 프로브는 IP 주소가 알려진
경우 이외에는 작동되지 않습니다.
기반으로 DNS FQDN(정규화된 도메인 이름)을 얻는 데 사용됩니다. 그러므로 DNS 프로브는 IP 주소가 알려진
경우 이외에는 작동되지 않습니다.
엔드포인트의 IP 주소를 확인하는 데 사용할 수 있는 프로브는 다음과 같습니다.
Framed-IP-Address를 통한 RADIUS 프로브
cdpCacheAddress를 통한 SNMP 프로브
SourceIP를 통한 HTTP 프로브
dhcp-requested-address를 통한 DHCP 프로브
cdpCacheAddress를 통한 SNMP 프로브
SourceIP를 통한 HTTP 프로브
dhcp-requested-address를 통한 DHCP 프로브
알려진 IP 주소 외에, 역방향 DNS 조회가 작동하기 위한 다른 요구 사항에는 여러 가지가 있습니다.
DNS의 각 엔드포인트에는 주소 또는 A 레코드(호스트 이름) 및 포인터 또는 PTR 레코드(IP
주소)가 필요합니다.
엔드포인트에서 DHCP를 사용한다고 가정할 때 DHCP 서버에 DDNS(동적 DNS)를 구성해야 합니다.
DHCP 서버 컨피그레이션에 따라 엔드포인트에는 동적 업데이트를 요청하는 컨피그레이션이
DHCP 서버 컨피그레이션에 따라 엔드포인트에는 동적 업데이트를 요청하는 컨피그레이션이
필요할 수 있습니다.
동적으로 업데이트되는 DNS 서버에서 주소를 확인하도록 ISE 정책 서비스 노드를 구성해야 합니다.
DDNS가 구성되어 적절히 작동하고 있다고 가정할 때 DNS 프로브는 FQDN을 검색할 수 있습니다.
DDNS가 구성되어 적절히 작동하고 있다고 가정할 때 DNS 프로브는 FQDN을 검색할 수 있습니다.
그렇지 않으면 역방향 조회가 실패할 경우 특성이 추가되지 않습니다.
표준 호스트 이름, 도메인 이름 또는 FQDN 명명 규칙이 특정 엔드포인트에 구축된 경우 이들 특성은 그러한
항목을 분류하는 데 사용될 수 있습니다. 예를 들어 모든 Windows CP 클라이언트에 jsmith-winxp와 같은
이름이 할당된 경우 Windows XP 엔드포인트를 분류하기 위한 조건에서 host-name 특성 또는 client-fqdn 특성을
사용할 수 있습니다. 마찬가지로 규칙에 따라 기업 엔드포인트의 호스트 이름을 jsmith-corp-dept와 같은
특성으로 채워야 할 경우 기업 자산을 검증하는 데 그러한 특성을 사용할 수 있습니다.
항목을 분류하는 데 사용될 수 있습니다. 예를 들어 모든 Windows CP 클라이언트에 jsmith-winxp와 같은
이름이 할당된 경우 Windows XP 엔드포인트를 분류하기 위한 조건에서 host-name 특성 또는 client-fqdn 특성을
사용할 수 있습니다. 마찬가지로 규칙에 따라 기업 엔드포인트의 호스트 이름을 jsmith-corp-dept와 같은
특성으로 채워야 할 경우 기업 자산을 검증하는 데 그러한 특성을 사용할 수 있습니다.
프로파일 특성을 ID와 혼동하지 않도록 주의해야 합니다. 특성에서 엔드포인트가 특정 유형임을 나타내는
특정 신뢰도 레벨을 추가할 수 있습니다. 예를 들어 프로파일링에 권한 부여 정책을 사용하여 직원에 대한
전체 액세스 권한을 거부할 수 있습니다. 이 경우 PC의 host-name 특성(일치하는 엔드포인트 ID 그룹으로
표시됨)에 예상 값이 포함되지 않습니다. 참고: 이 가이드의 뒷부분에서는 프로파일과 엔드포인트 ID 그룹의
관계에 대해 설명합니다.
특정 신뢰도 레벨을 추가할 수 있습니다. 예를 들어 프로파일링에 권한 부여 정책을 사용하여 직원에 대한
전체 액세스 권한을 거부할 수 있습니다. 이 경우 PC의 host-name 특성(일치하는 엔드포인트 ID 그룹으로
표시됨)에 예상 값이 포함되지 않습니다. 참고: 이 가이드의 뒷부분에서는 프로파일과 엔드포인트 ID 그룹의
관계에 대해 설명합니다.
여기에 설명된 것처럼 다른 프로브를 사용하여 FQDN 또는 해당 구성 요소를 수집할 수 있습니다. 그러므로
다른 수단을 통해 FQDN의 일부 또는 동일한 FQDN 정보를 이미 사용할 수 있는 경우에는 DNS 프로브를
사용할 필요가 없을 수 있습니다. 그러나 DHCP 클라이언트 패킷을 통해 해당 정보를 검색될 수 있게 하여
DDNS를 보다 안전하게 구성할 수 있습니다. 이 방법은 신뢰할 수 있는 DNS 서버에 대한 역방향 조회에 비해
신뢰성이 떨어집니다.
다른 수단을 통해 FQDN의 일부 또는 동일한 FQDN 정보를 이미 사용할 수 있는 경우에는 DNS 프로브를
사용할 필요가 없을 수 있습니다. 그러나 DHCP 클라이언트 패킷을 통해 해당 정보를 검색될 수 있게 하여
DDNS를 보다 안전하게 구성할 수 있습니다. 이 방법은 신뢰할 수 있는 DNS 서버에 대한 역방향 조회에 비해
신뢰성이 떨어집니다.
그림 44에서는 DNS 프로브를 사용한 샘플 토폴로지를 보여줍니다. 그림에 나타난 것처럼 ISE 정책 서비스
노드는 여러 가지 방법 중 한 가지를 사용하여 엔드포인트의 IP 주소를 학습합니다. 그런 다음 PSN은 IP
주소에 대한 역방향 조회를 시작합니다. 응답이 수신되면 ISE 프로파일링 서비스는 엔드포인트 레코드를
FQDN 특성으로 업데이트합니다.
노드는 여러 가지 방법 중 한 가지를 사용하여 엔드포인트의 IP 주소를 학습합니다. 그런 다음 PSN은 IP
주소에 대한 역방향 조회를 시작합니다. 응답이 수신되면 ISE 프로파일링 서비스는 엔드포인트 레코드를
FQDN 특성으로 업데이트합니다.