Cisco ISE: Профилирование. Часть 4

6b9120ad462c4ef2369e987b8ef06fbd

Пришло время четвертой публикации цикла статей, посвященному Cisco ISE. В данной статье мы обсудим тему профайлинга в ISE, источники данных, а также его настройку. Ссылки на все статьи в цикле приведены ниже:

  1. Cisco ISE: Введение, требования, установка. Часть 1

  2. Cisco ISE: Создание пользователей, добавление LDAP серверов, интеграция с AD. Часть 2

  3. Cisco ISE: Настройка гостевого доступа на FortiAP. Часть 3

  4. Cisco ISE: Профилирование. Часть 4

1. Профилирование — это?

Профилирование (профайлинг) — это опция, позволяющая определять модели оконечных устройств, их операционную систему, производителя, месторасположение, тем самым применяя определенный профиль на устройство. 

Профилирование позволяет:

  • приобрести мониторинг оконечных устройств;

  • приобрести видимость BYOD устройств;

  • облегчить формирование политики сетевого доступа, основываясь на профилях устройств.

В Cisco ISE есть большое количество профилей, созданных по умолчанию. Используя политики профилирования (Profiling Policies), вы можете группировать устройства по физическим признакам (производитель, МАС адрес) или по логическим (например, принтеры, IP-телефоны) и использовать эти профили в политике аутентификации. 

2. Источники данных

В качестве источников данных об оконечных устройствах могут выступать следующие зонды (probes):

  • RADIUS 

  • SNMP Trap

  • SNMP Query

  • DHCP (копия трафика отправляется на ISE для сбора DHCP пакетов)

  • HTTP (разбор HTTP заголовков)

  • DNS 

  • Netflow (сетевая телеметрия)

  • NMAP Scan (сканирование подсетей)

  • Active Directory (интеграция с AD)

  • PxGrid

Остановимся на каждом из источнике немного подробнее.

2.1 RADIUS Probe

Один из самых популярных способов профайлинга — RADIUS. Cisco ISE собирает RADIUS атрибуты из EAP сообщений между RADIUS сервером и клиентов. Дополнительно данный зонд может собирать атрибуты, слушая трафик протоколов CDP, LLDP и даже DHCP. Вот некоторые RADIUS атрибуты, использующиеся для профайлинга:

  • User-Name — имя аутентифицированного пользователя;

  • Calling-Station-Id — MAC адрес хоста;

  • NAS-IP-Address — IP адрес устройства, отправляющего запрос на аутентификацию;

  • NAS-Port — Название физического интерфейса;

  • Framed-IP-Address — IP адрес хоста;

  • Acct-Session-ID — Уникальный номер учета (Accounting ID);

  • Acct-Session-Time — Время активности в секундах ;

  • Acct-Terminate-Cause — Причина завершения соединения.

Можно получить много ценной информации от RADIUS Probe, она бывает очень полезной для траблшутинга.

2.2 SNMP Trap Probe

В этом случае требуется на сетевых устройствах настроить SNMP Trap«ы, это позволит получить информацию о подключенных и отключенных хостах. Для примера документация по настройке SNMP на Cisco коммутаторах 4500 доступна по ссылке. В целом данный зонд включать совершенно необязательно, так как все передаваемые данные и даже больше можно получить через RADIUS Probe.

2.3 SNMP Query Probe

Данный зонд отправляет SNMP запросы (SNMP Queries) на сетевые устройства доступа для получения данных из SNMP MIB (Management Information Base). С помощью таких запросов ISE получает информацию о физическом интерфейсе, CDP, LLDP и ARP. Предварительно нужно настроить SNMP Community на устройствах, которые мы хотим опрашивать. Есть 2 основных типа запросов: System Queries и Interface Queries.

System Queries включают в себя:

  • Bridge, IP (ARP) — запрос для заполнения таблицы IP-MAC адрес (ARP кэш).

  • cdpCacheEntry — информацию получаемую по CDP

  • lldpRemoteSystemsData- информацию получаемую по LLDP

  • cldcClientEntry — информацию о клиентах получаемую от точек доступа (МАС адреса и другое).

Interface Queries включают в себя:

  • ifIndex, ifDesc и другие данные об интерфейсах

  • информацию о VLAN«ах

  • данные сессии для Ethernet интерфейсов

  • данные интерфейсов из CDP 

  • данные интерфейсов из LLDP

2.4 DHCP Probe

В этом случае мы отправляем копию DHCP запросов на ISE с помощью DHCP-relay или SPAN/RSPAN. В качестве примера, DHCP Probe позволяет получить следующую информацию:

  • dhcp-class-identifier — платформа или операционная система

  • dhcp-client-identifier — MAC адрес

  • dhcp-message-type — тип DHCP сообщения (DHCP Request, DHCP Discover и пр.)

  • dhcp-parameter-request-list — идентификатор типа устройства (DHCP клиента)

  • dhcp-requested-address — IP адрес DHCP клиента

  • host-name — имя хоста

  • domain-name — доменное имя

  • client-fqdn — FQDN DHCP клиента

2.5 HTTP Probe

HTTP Probe анализирует заголовки web трафика клиентов и может отдавать данные о типе приложения, операционной системы, производителе устройства и другое. Данная информация передается в HTTP-Request заголовке в поле User-Agent.

Существует 2 способа отправки HTTP трафика на ISE: URL redirection или SPAN. Оба способа настраиваются на стороне коммутаторов. Для URL redirection на Cisco коммутаторах доступа нужно использовать команды ip http server и ip https secure-server.

Разумеется, если вы выбрали отправлять SPAN, то получать из копии трафика информацию будет не только HTTP Probe, но и DHCP Probe.

Важно: для работы HTTP Probe у вас уже должен быть настроен IP-MAC маппинг на ISE, например, посредством RADIUS, SNMP или DHCP Probe.

2.6 DNS Probe

Здесь ISE использует reverse DNS lookup с PSN ноды (Policy Service Node) для получения FQDN оконечного хоста, зная его IP адрес. Включив опцию на ISE, введите команду ip name-server на Cisco коммутаторах доступа.

2.7 Netflow Probe

Для работы Netflow Probe мы должны отослать Netflow трафик (телеметрию) на ISE. На практике данный метод особо не используется, так как у Cisco есть отдельное рабочее решение по мониторингу сетевого трафика не только на предмет производительности сети и сетевых устройств, но и на обнаружение аномалий, продвинутых таргетированных атак, 0-day файлов и многого другого. Решение называется Cisco StealthWatch, об этом я написал целый цикл статей.

Тем не менее, Netflow Probe позволяет получить ISE следующую информацию:

  • IP адрес источника

  • IP адрес назначения

  • Номер порта источника

  • Номер порта назначения

  • Протокол

  • ToS (тип сервиса)

  • Физические интерфейсы и их индексы

2.8 NMAP Scan Probe

Старый добрый сканер nmap встроен в ISE с графической оболочкой и во вкладке Work Centers > Profiler > Manual Scans можно просканировать подсеть для классифицирования оконечных хостов и узнать их операционную систему, версию ОС и запущенные сервисы. Используйте соответствующие опции сканирования в данной вкладке в ISE.

86c3e32f4d94a199c00baa4bbba381ec

Также можно настроить в политике профайлинга, чтобы скан запускался автоматически. Дополнительно параметры сканирования, как и их результаты можно сохранять для удобства.

2.9 Active Directory Probe

Про создание пользователей, LDAP и в том числе интеграцию с AD была написана целая статья. В данном случае ISE будет подтягивать AD атрибуты, такие как:

  • AD-Join-Point — какой контроллер домена отдает информацию о хосте

  • AD-Operating-System — операционная система хоста

  • AD-OS-Version — версия ОС хоста

  • AD-Service-Pack — сервисный пакет ОС

2.10 PxGrid Probe

В случае использования PxGrid Node в Cisco ISE, есть возможность настроить ее в том числе и для профилирования. PxGrid — протокол для интеграция разных ИТ и ИБ решений, то есть сетевые устройства должны его поддерживать, чтобы отдавать различные данные. PxGrid Probe сможет получить множество атрибутов оконечных устройств, таких как: IP, MAC адреса, ID, тип, серийный номер, производитель устройства, подключенные сетевые интерфейсы и некоторые другие кастомные атрибуты.

3. Настройка

1) В первую очередь во вкладке Administration > System > Deployment > Profiling Configuration следует выбрать, какие Probes будут использоваться на ISE для профилирования. После выбора галочками, нажмите Save.

21932689467083274cef4e153a0291ca

2) Затем перейдите во вкладку Work Centers > Profiler > Network Devices и по старой технологии, как в прошлой статье добавьте сетевые устройства уровня доступа (коммутаторы, WLC, роутеры), которые будут отдавать данные для профайлинга.

5255710f0bbbb084b507df0fc19fa77c

3) Для работы RADIUS Probe и SNMP Probe у вас должны быть включены настроены эти протоколы как в Network Device объекте, так и со стороны самого устройства.

0ca390549b3f4f5f113f5f30c7dcb2b9

4) Для того, чтобы использовать AD, проинтегрируйте Cisco ISE согласно данной статье.

5) Далее перейдите во вкладку Work Centers > Profiler > Settings > Profiler Settings и включить опции профайлинга.

205e3372239f58b0ec6b797f8661683d

6) Во вкладке Logical Profiles можно создавать свои логические профили устройств, добавлять новые профили и устройства в эти профили. В целом многое предустановлено, данный шаг является тонкой настройкой.

4cd774d44178a35f94dbe63cb19ae69d

7) Дополнительно во вкладке Profiling Policies существует возможность редактировать профиль каждого устройства, создавать исключения для сканирования устройств, CoA (Change of Authorization) реакции (port bounce, port shutdown и др.). Так, например, при определении какого-то устройства можно автоматически начать сканирование или «потушить» порт на коммутаторе.

3810d23339276de6a11bba7ac7a0de65

8) Убедитесь, что настройки политики авторизации во вкладке Profiler > Policy Sets > Default Policy > Authorization Policy соответствуют вашим способам аутентификации устройств. Если вы только внедряете решение, то можете поставить Default — Permit Access, далее уже выполните более тонкую настройку по аналогии с дефолтной политикой.

bab3e0c3e404d8f773a4cfefe3fb06e9

9) Со стороны сетевых устройств доступа (коммутаторов, роутеров, контроллеров точек доступа) следует настроить Device Sensor — семейство протоколов по терминологии Cisco — CDP, LLDP, DHCP, RADIUS + 802.1X, которые отдают профайлинговые данные.

Для работы SNMP Trap, SNMP Query Probes следует настроить SNMP на устройствах уровня доступа.

10) В результате во вкладке Profiler > Endpoint Classification можно наблюдать имеющиеся в сети устройства.

c453a7801df4bc638c201c11a1642583

Нажав на МАС адрес, мы получаем лог в развернутом виде. HTTP Probe отдал информацию о виртуалке Debian.

7a4681cafd8566170e5024d831bddf00

4. Заключение

Профилирование в ISE может многое сказать об устройствах в сети, идентифицировать их по параметрам:

  • MAC адрес и OUI

  • Производителя оборудования

  • Версию операционной системы

  • Браузер и его версию на устройстве

  • FQDN хоста

  • Hostname

  • Порты источника, назначения

  • Протокол

  • AD атрибуты

  • RADIUS атрибуты

  • CDP/LLDP данные

В итоге, ISE является мощным инструментом мониторинга сети на уровне доступа. Профили устройств можно использовать для формирования политики доступа, настройки CoA реакций и сканирований со стороны ISE.

Для тестирования Cisco ISE обращайтесь по ссылке, а также следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

© Habrahabr.ru