Cisco Cisco Identity Services Engine 1.2 产品宣传页
Cisco Systems © 2016
49페이지
보안
액세스 방법 가이드
선택해야 합니다. 마찬가지로 엔드포인트가 Android 클라이언트로 탐지되는 경우 Android 클라이언트용
Supplicant Provisioning 파일을 엔드포인트에 설치해야 합니다.
Supplicant Provisioning 파일을 엔드포인트에 설치해야 합니다.
클라이언트 프로비저닝 서비스에서 User-Agent 특성을 학습하는 경우 ISE는 프로파일링 서비스를 이 정보로
업데이트하여 이 정보를 사용합니다. 또한 클라이언트 프로비저닝은 활성 세션에 포함되므로 ISE는 세션
캐시에서 검색되는 MAC 주소(Calling-Station-ID)에 이 정보를 적용할 수 있습니다. 이 프로세스만 사용해도
다수의 여러 엔드포인트를 완전히 프로파일링할 수 있습니다.
업데이트하여 이 정보를 사용합니다. 또한 클라이언트 프로비저닝은 활성 세션에 포함되므로 ISE는 세션
캐시에서 검색되는 MAC 주소(Calling-Station-ID)에 이 정보를 적용할 수 있습니다. 이 프로세스만 사용해도
다수의 여러 엔드포인트를 완전히 프로파일링할 수 있습니다.
Central WebAuth를 사용한 URL 리디렉션
CWA(Central WebAuth)는 URL 리디렉션을 사용합니다. CWA 프로세스 중에 HTTP 프로브는 정책 서비스
노드에서 암호화가 완료된 리디렉션 HTTPS 패킷으로부터 User-Agent 특성을 캡처할 수 있습니다. 클라이언트
프로비저닝 서비스와 마찬가지로, 게스트 흐름은 ISE가 세션 캐시에서 MAC 주소(Calling-Station-ID)를 검색할
수 있는 활성 세션에 포함됩니다. 이 프로세스에서 HTTP 프로브는 엔드포인트 데이터베이스를 채우는 데
필요한 User-Agent 및 관련 MAC 주소를 학습할 수 있습니다.
노드에서 암호화가 완료된 리디렉션 HTTPS 패킷으로부터 User-Agent 특성을 캡처할 수 있습니다. 클라이언트
프로비저닝 서비스와 마찬가지로, 게스트 흐름은 ISE가 세션 캐시에서 MAC 주소(Calling-Station-ID)를 검색할
수 있는 활성 세션에 포함됩니다. 이 프로세스에서 HTTP 프로브는 엔드포인트 데이터베이스를 채우는 데
필요한 User-Agent 및 관련 MAC 주소를 학습할 수 있습니다.
일반적으로 HTTP 프로브는 User-Agent를 통해 클라이언트 OS 유형을 탐지할 수 있는 하이파이(Hi-Fi)를
제공합니다. HTTP 프로브는 운영 체제 기반 정책이 필요한 경우, 특히 엔드포인트가 개인 자산인지, 아니면
기업 자산인지에 따라 고객이 주로 차별화된 액세스를 제공해야 하는 무선 환경에서 권장됩니다.
제공합니다. HTTP 프로브는 운영 체제 기반 정책이 필요한 경우, 특히 엔드포인트가 개인 자산인지, 아니면
기업 자산인지에 따라 고객이 주로 차별화된 액세스를 제공해야 하는 무선 환경에서 권장됩니다.
두 시나리오 모두(CP 사용 URL 리디렉션과 CWA 사용 URL 리디렉션)에서 ISE는 기존의 IP-MAC 주소 바인딩
없이도 User-Agent 특성을 MAC 주소에 적용할 수 있습니다. 엔드포인트와 인접한 레이어 2에 해당하는
세그먼트에서 미러링되는 트래픽이 발생하는 경우를 제외하고 HTTP SPAN 방식을 사용하려면 항상 기존의
IP-MAC 바인딩 항목이 필요합니다. 이러한 특정한 경우 패킷 소스 MAC 주소는 실제 엔드포인트이며 그에
따라 엔드포인트 데이터베이스를 업데이트하는 데 사용할 수 있습니다.
없이도 User-Agent 특성을 MAC 주소에 적용할 수 있습니다. 엔드포인트와 인접한 레이어 2에 해당하는
세그먼트에서 미러링되는 트래픽이 발생하는 경우를 제외하고 HTTP SPAN 방식을 사용하려면 항상 기존의
IP-MAC 바인딩 항목이 필요합니다. 이러한 특정한 경우 패킷 소스 MAC 주소는 실제 엔드포인트이며 그에
따라 엔드포인트 데이터베이스를 업데이트하는 데 사용할 수 있습니다.
모범
사례: User-Agent를 얻으려면 CWA 활용 사례에서 HTTP 프로브와 URL 리디렉션을 사용하십시오. Posture 에이전트 또는 Native Supplicant
Provisioning 서비스가 필요한 경우 클라이언트 프로비저닝에서 URL 리디렉션을 사용한 프로파일링이 자동으로 수행됩니다. 그러나
경우에
경우에
따라 Posture 또는 Supplicant Provisioning이 필요하지 않은 경우에도 의도적으로 CP를 트리거하는 것이 적합할 수 있습니다. 이를
위해서는
엔드포인트 프로파일이 Unknown(알 수 없음) 또는 Incomplete(불완전)으로 설정된 경우 CWA(Posture 에이전트를 활성화함)
또는
CPP(Client Provisioning and Posture) 서비스(Posture Discovery)로 리디렉션하면 됩니다. 목표는 프로세스에서 User-Agent를
캡처하여
결과 Posture 상태에서 CoA(Change of Authorization)를 트리거하도록 허용하는 것입니다. 다시 연결될 경우 보다 구체적인
프로파일
일치 항목에 따라 새로운 권한 부여 정책 규칙을 할당할 수 있습니다.
앞서
언급한 것처럼, URL 리디렉션은 정책 서비스 노드에서 User-Agent 특성을 가져올 때 패킷 미러링 방법에 비해 트래픽 부하를
최소화할
수 있으므로 일반적으로 HTTP SPAN보다 권장됩니다. 일부 특수한 경우 ARP 캐시를 먼저 채우지 않고 프로파일링할 수
있습니다
. 또한 RADIUS 권한 부여에 기반한 URL 리디렉션은 항상 RADIUS 트래픽이 종료되는 동일한 PSN으로 보내지므로 이러한
리디렉션은
고가용성 시나리오를 간소화합니다.
그러나
액세스 디바이스와 같이 RADIUS가 구축되지 않은 몇 가지 시나리오에서는 SPAN 방식이 실행 가능한 유일한 옵션일 수 있습니다.
HTTP 프로브 구성
리디렉션된 트래픽에 HTTP 프로브를 사용하려면 액세스 디바이스는 HTTP 트래픽을 ISE로 직접
리디렉션(예: Local WebAuth를 통해)하거나 RADIUS 권한 부여를 통해 리디렉션할 수 있어야 합니다.
RADIUS 기반 리디렉션의 경우 권한 부여 결과로 url-redirect의 Cisco AVP(특성 값 쌍)를 반환하는 권한 부여
정책 규칙을 사용하여 ISE를 구성해야 합니다.
리디렉션(예: Local WebAuth를 통해)하거나 RADIUS 권한 부여를 통해 리디렉션할 수 있어야 합니다.
RADIUS 기반 리디렉션의 경우 권한 부여 결과로 url-redirect의 Cisco AVP(특성 값 쌍)를 반환하는 권한 부여
정책 규칙을 사용하여 ISE를 구성해야 합니다.