ISE Posture 구축
목차
소개
이 문서에서는 리디렉션 기반 상태의 여러 활용 사례를 처리하는 몇 가지 기본 컨피그레이션에 대해 설명합니다.
제한 사항
이 문서의 컨피그레이션은 Cisco NADs에서 사용할 수 있지만 서드파티 NADs에서는 사용할 수 없습니다.
클라이언트 동작 상태
상태 클라이언트는 다음 시간에 프로브를 트리거할 수 있습니다.
- 초기 로그인
- 레이어 3(L3) 변경/NIC(Network Interface Card) 변경(새 IP 주소, NIC 상태 변경)
활용 사례
활용 사례 1 - 클라이언트 재인증은 NAD가 새 세션 ID를 생성하도록 강제합니다.
이 활용 사례에서 클라이언트는 여전히 규정을 준수하지만 재인증 때문에 NAD는 리디렉션 상태(리디렉션 URL 및 액세스 목록)에 있습니다.
기본적으로 ISE(Identity Services Engine)는 네트워크에 연결될 때마다, 특히 새 세션마다 포스처 평가를 수행하도록 구성됩니다.
이 설정은 Work Centers(작업 센터) > Posture(포스처) > Settings(설정) > Posture General Settings(포스처 일반 설정)에서 구성됩니다.
NAD가 재인증 시 새 세션 ID를 생성하지 않도록 하려면 권한 부여 프로파일에서 이러한 재인증 값을 구성합니다. 표시된 재인증 타이머는 표준 권장 사항이 아니며, 연결 유형(무선/유선), 설계(로드 밸런서의 지속성 규칙) 등을 기준으로 구축당 재인증 타이머를 고려하십시오.
Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)
스위치에서 각 인터페이스 또는 템플릿을 구성하여 ISE에서 재인증 타이머를 가져와야 합니다.
authentication timer reauthenticate server
활용 사례 2 - 스위치가 MAB DOT1X 및 우선 순위 DOT1X MAB(유선)로 구성되었습니다.
이 경우 재인증 중에 MAB(MAC Authentication Bypass)를 시도하면 802.1x 세션에 대한 계정 관리 중지를 보낼 수 있으므로 재인증을 종료할 수 있습니다.
- 클라이언트에 대한 사용자 이름이 802.1X 사용자 이름에서 MAB 사용자 이름으로 변경되므로 인증에 실패할 때 MAB 프로세스에 대해 전송되는 어카운팅 중지가 정확합니다.
- 회계 정지에서의 method-id로서 dot1x는 또한 인증 방법이 dot1x였으므로 정확하다.
- Dot1x 메서드가 성공하면 method-id가 포함된 계정 관리 시작을 dot1x로 보냅니다. 여기서도 역시 이러한 행동은 예상했던 바와 같다.
이 문제를 해결하려면 엔드포인트가 규정을 준수할 때 사용되는 authZ 프로파일에서 cisco-av-pair:termination-action-modifier=1을 구성합니다. 이 AV(attribute-value) 쌍은 구성된 순서와 상관없이 NAD가 원래 인증에서 선택한 방법을 재사용하도록 지정합니다.
활용 사례 3 - 무선 클라이언트가 로밍하고 서로 다른 AP에 대한 인증이 서로 다른 컨트롤러로 이동합니다.
이러한 상황에서는 로밍을 위해 다른 AP에 연결할 수 있는 액세스 포인트(AP)가 동일한 활성 컨트롤러를 사용하도록 무선 네트워크를 설계해야 합니다. 한 가지 예로 WLC(Wireless LAN Controller) SSO(Stateful Switchover) 페일오버가 있습니다. WLC용 HA(High Availability) SSO에 대한 자세한 내용은 SSO(High Availability) 구축 가이드를 참조하십시오.
활용 사례 4 - 로드 밸런서가 있는 구축(2.6 이전 패치 6, 2.7 패치 P2 및 3.0).
부하 분산 장치가 포함된 구축에서는 이전 활용 사례를 변경한 후에도 세션이 동일한 PSN으로 계속 이동하는지 확인해야 합니다. 이 단계에 나열된 버전/패치 이전에 상태 상태는 Light Data Distribution(이전의 Light Session Directory)을 통해 노드 간에 복제되지 않습니다. 이 때문에, 상이한 PSN들이 상이한 포스처 상태 결과들을 리턴하는 것이 가능하다.
지속성이 올바르게 구성되지 않은 경우 재인증하는 세션은 원래 사용되던 PSN과 다른 PSN으로 이동할 수 있습니다. 이 경우 새 PSN은 세션 규정 준수 상태를 알 수 없음으로 표시하고 리디렉션 ACL(Access Control List)/URL로 authZ 결과를 전달하고 엔드포인트 액세스를 제한할 수 있습니다. 다시, NAD에 대한 이 변경 사항은 상태 모듈에 의해 인식 되지 않으며 프로브는 트리거 되지 않습니다.
로드 밸런서 구성 방법에 대한 자세한 내용은 Cisco & F5 Deployment Guide: ISE Load Balancing Using BIG-IP를 참조하십시오. 부하 균형 환경에서 ISE 구축을 위한 모범 사례 설계의 상위 레벨 개요 및 F5 특정 컨피그레이션을 제공합니다.
활용 사례 5 - 2단계 검색 프로브는 클라이언트가 인증된 것과 다른 서버(Pre 2.6 Patch 6, 2.7 Patch 2, 3.0)에 의해 응답됩니다.
이 다이어그램의 빨간색 상자 내에서 프로브를 확인합니다.
PSN은 5일 동안 세션 데이터를 저장하므로 클라이언트가 해당 노드를 더 이상 인증하지 않더라도 "규정 준수" 세션에 대한 세션 데이터가 원래 PSN에 남아 있는 경우도 있습니다. 빨간색 상자에 포함된 프로브가 현재 세션을 인증하고 PSN이 이전에 소유하여 이 엔드포인트를 호환 상태로 표시한 PSN이 아닌 다른 PSN에 의해 응답된 경우 엔드포인트의 포스처 모듈 포스처 상태와 현재 인증 PSN이 일치하지 않을 수 있습니다.
이러한 불일치가 발생할 수 있는 몇 가지 일반적인 시나리오는 다음과 같습니다.
- 네트워크 연결이 끊어질 때 엔드포인트에 대한 계정 관리 중지가 수신되지 않습니다.
- NAD가 한 PSN에서 다른 PSN으로 장애 조치되었습니다.
- 로드 밸런서는 동일한 엔드포인트에 대해 서로 다른 PSN에 인증을 전달합니다.
이 동작으로부터 보호하기 위해 ISE는 특정 엔드포인트의 검색 프로브만 현재 인증된 PSN에 연결되도록 구성할 수 있습니다. 이를 위해 구축의 각 PSN에 대해 다른 권한 부여 정책을 구성합니다. 이러한 정책에서 authZ 조건에 지정된 PSN에 대해서만 프로브를 허용하는 DACL(Downloadable Access Control List)이 포함된 다른 authZ 프로필을 참조합니다. 다음 예를 참조하십시오.
각 PSN에는 알 수 없는 상태 상태에 대한 규칙이 있습니다.
각 개별 프로필은 서로 다른 DACL을 참조합니다.
각 DACL은 인증을 처리하는 PSN에 대한 프로브 액세스만 허용합니다.
이전 예에서 10.10.10.1은 PSN 1의 IP 주소입니다. 참조되는 DACL은 필요에 따라 추가 서비스/IP에 대해 변경할 수 있지만, 인증을 처리하는 PSN에 대해서만 액세스를 제한합니다.
Behavior Change Post 2.6 Patch 6, 2.7 Patch 2, 3.0
상태 상태가 Light Data Distribution 프레임워크를 통해 RADIUS 세션 디렉토리에 추가되었습니다. 모든 PSN에서 상태 업데이트를 수신할 때마다 구축의 모든 PSN에 복제됩니다. 이 변경이 적용되면 다른 인증에서 다른 PSN에 도달하는 인증 및 또는 프로브의 의미가 제거되고 모든 PSN이 현재 인증된 위치에 관계없이 모든 엔드포인트에 응답할 수 있습니다.
이 문서의 5가지 활용 사례에서 다음 동작을 고려하십시오.
활용 사례 1 - 클라이언트 재인증은 NAD가 새 세션 ID를 생성하도록 강제합니다. 클라이언트는 여전히 규정을 준수하지만 재인증 때문에 NAD는 리디렉션 상태(리디렉션 URL 및 액세스 목록)에 있습니다.
- 이 동작은 변경되지 않으며 이 컨피그레이션은 ISE 및 NADs에서 계속 구현될 수 있습니다.
활용 사례 2 - 스위치가 MAB DOT1X 및 우선 순위 DOT1X MAB(유선)로 구성되었습니다.
- 이 동작은 변경되지 않으며 이 컨피그레이션은 ISE 및 NADs에서 계속 구현될 수 있습니다.
활용 사례 3 - 무선 클라이언트가 로밍하고 서로 다른 AP에 대한 인증이 서로 다른 컨트롤러로 이동합니다.
- 이 동작은 변경되지 않으며 이 컨피그레이션은 ISE 및 NADs에서 계속 구현될 수 있습니다.
활용 사례 4 - 로드 밸런서가 있는 구축.
- 로드 밸런싱 설명서에 정의된 모범 사례를 계속 준수할 수 있지만, 로드 밸런서에 의해 인증이 여러 PSN으로 전달되는 경우 올바른 상태 상태를 클라이언트에 반환할 수 있습니다.
활용 사례 5 - 2단계 검색 프로브는 클라이언트가 인증되지 않은 다른 서버에서 응답합니다.
- 이 문제는 새 동작에서는 문제가 될 수 없으며 PSN별 권한 부여 프로파일이 필요하지 않습니다.
동일한 SessionID를 유지 관리할 때의 고려 사항
이 문서에 설명된 방법을 사용하면 네트워크에 연결된 상태로 유지되는 사용자가 오랫동안 규정을 준수할 수 있습니다. 다시 인증하더라도 sessionID는 변경되지 않으므로 ISE는 규정 준수 상태와 일치하는 규칙에 대한 AuthZ 결과를 계속 전달합니다.
이 경우 엔드포인트가 정의된 간격으로 기업 정책을 준수하도록 포스처를 구성해야 하도록 정기적 재평가를 구성해야 합니다.
이는 Work Centers(작업 센터) > Posture(포스처) > Settings(설정) > Resessment configurations(평가 컨피그레이션)에서 구성할 수 있습니다.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
2.0 |
21-Feb-2024 |
"해야" 및 "의지"에 대한 간략한 소개, 업데이트된 언급. 이미지에 대체 텍스트를 추가했습니다. |
1.0 |
19-Feb-2020 |
최초 릴리스 |
피드백