Пришло время четвертой публикации цикла статей, посвященному Cisco ISE. В данной статье мы обсудим тему профайлинга в ISE, источники данных, а также его настройку. Ссылки на все статьи в цикле приведены ниже:
1. Профилирование - это?
Профилирование (профайлинг) - это опция, позволяющая определять модели оконечных устройств, их операционную систему, производителя, месторасположение, тем самым применяя определенный профиль на устройство.
Профилирование позволяет:
приобрести мониторинг оконечных устройств;
приобрести видимость BYOD устройств;
облегчить формирование политики сетевого доступа, основываясь на профилях устройств.
В Cisco ISE есть большое количество профилей, созданных по умолчанию. Используя политики профилирования (Profiling Policies), вы можете группировать устройства по физическим признакам (производитель, МАС адрес) или по логическим (например, принтеры, IP-телефоны) и использовать эти профили в политике аутентификации.
2. Источники данных
В качестве источников данных об оконечных устройствах могут выступать следующие зонды (probes):
RADIUS
SNMP Trap
SNMP Query
DHCP (копия трафика отправляется на ISE для сбора DHCP пакетов)
HTTP (разбор HTTP заголовков)
DNS
Netflow (сетевая телеметрия)
NMAP Scan (сканирование подсетей)
Active Directory (интеграция с AD)
PxGrid
Остановимся на каждом из источнике немного подробнее.
2.1 RADIUS Probe
Один из самых популярных способов профайлинга - RADIUS. Cisco ISE собирает RADIUS атрибуты из EAP сообщений между RADIUS сервером и клиентов. Дополнительно данный зонд может собирать атрибуты, слушая трафик протоколов CDP, LLDP и даже DHCP. Вот некоторые RADIUS атрибуты, использующиеся для профайлинга:
User-Name - имя аутентифицированного пользователя;
Calling-Station-Id - MAC адрес хоста;
NAS-IP-Address - IP адрес устройства, отправляющего запрос на аутентификацию;
NAS-Port - Название физического интерфейса;
Framed-IP-Address - IP адрес хоста;
Acct-Session-ID - Уникальный номер учета (Accounting ID);
Acct-Session-Time - Время активности в секундах ;
Acct-Terminate-Cause - Причина завершения соединения.
Можно получить много ценной информации от RADIUS Probe, она бывает очень полезной для траблшутинга.
2.2 SNMP Trap Probe
В этом случае требуется на сетевых устройствах настроить SNMP Trap’ы, это позволит получить информацию о подключенных и отключенных хостах. Для примера документация по настройке SNMP на Cisco коммутаторах 4500 доступна по ссылке. В целом данный зонд включать совершенно необязательно, так как все передаваемые данные и даже больше можно получить через RADIUS Probe.
2.3 SNMP Query Probe
Данный зонд отправляет SNMP запросы (SNMP Queries) на сетевые устройства доступа для получения данных из SNMP MIB (Management Information Base). С помощью таких запросов ISE получает информацию о физическом интерфейсе, CDP, LLDP и ARP. Предварительно нужно настроить SNMP Community на устройствах, которые мы хотим опрашивать. Есть 2 основных типа запросов: System Queries и Interface Queries.
System Queries включают в себя:
Bridge, IP (ARP) - запрос для заполнения таблицы IP-MAC адрес (ARP кэш).
cdpCacheEntry - информацию получаемую по CDP
lldpRemoteSystemsData- информацию получаемую по LLDP
cldcClientEntry - информацию о клиентах получаемую от точек доступа (МАС адреса и другое).
Interface Queries включают в себя:
ifIndex, ifDesc и другие данные об интерфейсах
информацию о VLAN’ах
данные сессии для Ethernet интерфейсов
данные интерфейсов из CDP
данные интерфейсов из LLDP
2.4 DHCP Probe
В этом случае мы отправляем копию DHCP запросов на ISE с помощью DHCP-relay или SPAN/RSPAN. В качестве примера, DHCP Probe позволяет получить следующую информацию:
dhcp-class-identifier - платформа или операционная система
dhcp-client-identifier - MAC адрес
dhcp-message-type - тип DHCP сообщения (DHCP Request, DHCP Discover и пр.)
dhcp-parameter-request-list - идентификатор типа устройства (DHCP клиента)
dhcp-requested-address - IP адрес DHCP клиента
host-name - имя хоста
domain-name - доменное имя
client-fqdn - FQDN DHCP клиента
2.5 HTTP Probe
HTTP Probe анализирует заголовки web трафика клиентов и может отдавать данные о типе приложения, операционной системы, производителе устройства и другое. Данная информация передается в HTTP-Request заголовке в поле User-Agent.
Существует 2 способа отправки HTTP трафика на ISE: URL redirection или SPAN. Оба способа настраиваются на стороне коммутаторов. Для URL redirection на Cisco коммутаторах доступа нужно использовать команды ip http server и ip https secure-server.
Разумеется, если вы выбрали отправлять SPAN, то получать из копии трафика информацию будет не только HTTP Probe, но и DHCP Probe.
Важно: для работы HTTP Probe у вас уже должен быть настроен IP-MAC маппинг на ISE, например, посредством RADIUS, SNMP или DHCP Probe.
2.6 DNS Probe
Здесь ISE использует reverse DNS lookup с PSN ноды (Policy Service Node) для получения FQDN оконечного хоста, зная его IP адрес. Включив опцию на ISE, введите команду ip name-server на Cisco коммутаторах доступа.
2.7 Netflow Probe
Для работы Netflow Probe мы должны отослать Netflow трафик (телеметрию) на ISE. На практике данный метод особо не используется, так как у Cisco есть отдельное рабочее решение по мониторингу сетевого трафика не только на предмет производительности сети и сетевых устройств, но и на обнаружение аномалий, продвинутых таргетированных атак, 0-day файлов и многого другого. Решение называется Cisco StealthWatch, об этом я написал целый цикл статей.
Тем не менее, Netflow Probe позволяет получить ISE следующую информацию:
IP адрес источника
IP адрес назначения
Номер порта источника
Номер порта назначения
Протокол
ToS (тип сервиса)
Физические интерфейсы и их индексы
2.8 NMAP Scan Probe
Старый добрый сканер nmap встроен в ISE с графической оболочкой и во вкладке Work Centers > Profiler > Manual Scans можно просканировать подсеть для классифицирования оконечных хостов и узнать их операционную систему, версию ОС и запущенные сервисы. Используйте соответствующие опции сканирования в данной вкладке в ISE.
Также можно настроить в политике профайлинга, чтобы скан запускался автоматически. Дополнительно параметры сканирования, как и их результаты можно сохранять для удобства.
2.9 Active Directory Probe
Про создание пользователей, LDAP и в том числе интеграцию с AD была написана целая статья. В данном случае ISE будет подтягивать AD атрибуты, такие как:
AD-Join-Point - какой контроллер домена отдает информацию о хосте
AD-Operating-System - операционная система хоста
AD-OS-Version - версия ОС хоста
AD-Service-Pack - сервисный пакет ОС
2.10 PxGrid Probe
В случае использования PxGrid Node в Cisco ISE, есть возможность настроить ее в том числе и для профилирования. PxGrid - протокол для интеграция разных ИТ и ИБ решений, то есть сетевые устройства должны его поддерживать, чтобы отдавать различные данные. PxGrid Probe сможет получить множество атрибутов оконечных устройств, таких как: IP, MAC адреса, ID, тип, серийный номер, производитель устройства, подключенные сетевые интерфейсы и некоторые другие кастомные атрибуты.
3. Настройка
1) В первую очередь во вкладке Administration > System > Deployment > Profiling Configuration следует выбрать, какие Probes будут использоваться на ISE для профилирования. После выбора галочками, нажмите Save.
2) Затем перейдите во вкладку Work Centers > Profiler > Network Devices и по старой технологии, как в прошлой статье добавьте сетевые устройства уровня доступа (коммутаторы, WLC, роутеры), которые будут отдавать данные для профайлинга.
3) Для работы RADIUS Probe и SNMP Probe у вас должны быть включены настроены эти протоколы как в Network Device объекте, так и со стороны самого устройства.
4) Для того, чтобы использовать AD, проинтегрируйте Cisco ISE согласно данной статье.
5) Далее перейдите во вкладку Work Centers > Profiler > Settings > Profiler Settings и включить опции профайлинга.
6) Во вкладке Logical Profiles можно создавать свои логические профили устройств, добавлять новые профили и устройства в эти профили. В целом многое предустановлено, данный шаг является тонкой настройкой.
7) Дополнительно во вкладке Profiling Policies существует возможность редактировать профиль каждого устройства, создавать исключения для сканирования устройств, CoA (Change of Authorization) реакции (port bounce, port shutdown и др.). Так, например, при определении какого-то устройства можно автоматически начать сканирование или “потушить” порт на коммутаторе.
8) Убедитесь, что настройки политики авторизации во вкладке Profiler > Policy Sets > Default Policy > Authorization Policy соответствуют вашим способам аутентификации устройств. Если вы только внедряете решение, то можете поставить Default - Permit Access, далее уже выполните более тонкую настройку по аналогии с дефолтной политикой.
9) Со стороны сетевых устройств доступа (коммутаторов, роутеров, контроллеров точек доступа) следует настроить Device Sensor - семейство протоколов по терминологии Cisco - CDP, LLDP, DHCP, RADIUS + 802.1X, которые отдают профайлинговые данные.
Для работы SNMP Trap, SNMP Query Probes следует настроить SNMP на устройствах уровня доступа.
10) В результате во вкладке Profiler > Endpoint Classification можно наблюдать имеющиеся в сети устройства.
Нажав на МАС адрес, мы получаем лог в развернутом виде. HTTP Probe отдал информацию о виртуалке Debian.
4. Заключение
Профилирование в ISE может многое сказать об устройствах в сети, идентифицировать их по параметрам:
MAC адрес и OUI
Производителя оборудования
Версию операционной системы
Браузер и его версию на устройстве
FQDN хоста
Hostname
Порты источника, назначения
Протокол
AD атрибуты
RADIUS атрибуты
CDP/LLDP данные
В итоге, ISE является мощным инструментом мониторинга сети на уровне доступа. Профили устройств можно использовать для формирования политики доступа, настройки CoA реакций и сканирований со стороны ISE.
Для тестирования Cisco ISE обращайтесь по ссылке, а также следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).