Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Aruba ClearPass

ファイアウォールとNFXシリーズ・デバイスがAruba ClearPassと通信する方法をご確認ください。Web API とユーザー クエリ機能について学習できます。

ファイアウォールとNFXシリーズデバイスはAruba ClearPassに関連付けられ、デバイスのIPアドレスではなく、ユーザー名または所属するグループに基づいて、ユーザーレベルからユーザーアクセスを制御します。

ClearPassとファイアウォール間の通信

ファイアウォールとClearPass Policy Manager(CPPM)は相互に通信してユーザーを認証し、インターネットおよび内部の保護されたリソースへのアクセスを提供します。

利点

  • ネットワーク、クライアント、デバイスの管理と保守に役立つデータにすばやく簡単にアクセスできます。

  • 継続的な監視と高度な分析により、ネットワークをリアルタイムで可視化します。

ファイアウォールとClearPass間の通信はどのように行われますか?

図1:ClearPassとファイアウォールの通信 ClearPass and firewall Communication

  1. ClearPass Policy Manager(CPPM)は、Web APIを使用してファイアウォールとのセキュアな接続を開始します。

  2. 3人のユーザーがネットワークに参加し、CPPMによって認証されます。

    • タブレット ユーザーが、企業 WAN を介してネットワークに参加します。

    • スマートフォンユーザーが、社内WANを介してネットワークに参加します。

    • ワイヤレス ラップトップ ユーザーは、企業 LAN に接続されたレイヤー 2 スイッチに接続された有線ラップトップからネットワークに参加します。

  3. CPPMは、Web APIを使用して、POSTリクエストメッセージでネットワークにログインしているユーザーの認証とID情報をファイアウォールに送信します。

    ユーザーからのトラフィックがファイアウォールに到着すると、ファイアウォールは以下を実行します。

    • トラフィックが一致するセキュリティ ポリシーを識別します。

    • ClearPass認証テーブルでユーザーの認証エントリーを見つけます。

    • ユーザーを認証した後、トラフィックにセキュリティポリシーを適用します。

  4. 内部の保護されたリソースへのアクセスを要求しているスマートフォンユーザーからのトラフィックは、ファイアウォールに到着します。手順 3 で特定されたすべての条件が満たされ、セキュリティ ポリシーで許可されているため、ファイアウォールは保護されたリソースへのユーザー接続を許可します。

  5. 保護されたリソースへのアクセスを要求している有線ラップトップ ユーザーからのトラフィックは、ファイアウォールに到着します。手順 3 で特定されたすべての条件が満たされ、セキュリティ ポリシーで許可されているため、ファイアウォールはリソースへのユーザー接続を許可します。

  6. インターネットへのアクセスを要求しているタブレット ユーザーからのトラフィックは、ファイアウォールに到着します。手順 3 で特定されたすべての条件が満たされ、セキュリティ ポリシーで許可されているため、ファイアウォールはユーザーがインターネットに接続できるようにします。

  7. UserID デーモンは、CPPM から完全な IP ユーザー・マッピングを取得します。認証されたユーザーごとに、UserID デーモンはルーティングエンジン認証テーブルにエントリーを生成します。

    ルーティングエンジンの認証テーブルは、ClearPassに加えて、他の認証ソースからの情報にもとづく認証エントリーを保持するという点で共通しています。たとえば、Microsoft Active Directory によって認証されたユーザーのエントリも保持される場合があります。

  8. UserIDデーモンは、ユーザー認証情報をルーティングエンジン認証テーブルからパケット転送エンジン上のClearPass認証テーブルに同期します。ClearPass認証テーブルは、ClearPass認証情報のみを保持するための専用テーブルです。図 2 を参照してください。

    図2:CPPMからファイアウォールへのユーザー情報ルーティングエンジンClearPass認証テーブルに同期 User Information from the CPPM to the firewall Routing Engine Synchronized to the ClearPass Authentication Table

ファイアウォールは、認証されたユーザー ID 情報を次のプロセスで使用します。ユーザーが内部の保護されたリソースまたはインターネットにアクセスしようとすると、デバイスは次のことを行います。

  • ユーザーが生成したトラフィックに、一致するセキュリティポリシーがあるかどうかを確認します。送信元トラフィックは、セキュリティ ポリシーで指定されたすべてのタプルに一致する必要があります。一致には、ユーザー名またはグループ名を指定する source-identity フィールドが含まれます。

    一致を識別するために、ファイアウォールは、ユーザー名またはグループ名を、他のすべてのセキュリティ ポリシー値とともに、セキュリティ ポリシーで設定されている source-identity 仕様と比較します。

  • セキュリティポリシーの一致が見つかった場合、ClearPass認証テーブルでユーザーの認証エントリをチェックします。

    ClearPass認証テーブルにエントリが見つからない場合、ファイアウォールは、一致するものが見つかるまで、指定した順序で他のローカル認証テーブルをチェックします。ただし、ユーザークエリー機能が設定されている場合、他のローカル認証テーブルはチェックされません。

    ファイアウォールは、特定の状況下で、CPPMから個々のユーザー情報をまだ受け取っていない場合、CPPMにその情報を照会できます。この機能は、ユーザー クエリと呼ばれます。

Aruba ClearPassでセキュリティを強化

ファイアウォール(NFXシリーズ)デバイスは、Aruba ClearPassと連携して、ユーザー識別レベルでセキュリティを適用し、インターネットへのユーザーアクセスを制御することで、ネットワークリソースを保護します。ClearPass Policy Manager(CPPM)は、有線、無線、VPNの各インフラストラクチャでユーザーを認証できます。

Enforcement SecurityにAruba ClearPassが必要な理由

  1. リスクと課題:会社のスマートフォンの使用は、企業にとって最大のITセキュリティリスクの1つです。

    • 今日のネットワーク環境は、多かれ少なかれ 、いつでも、あらゆるデバイス へのアクセスをサポートし、ユーザーが複数のネットワークに接続されたデバイスを同時に使用できるため、さまざまな種類の攻撃にさらされています。

    • 攻撃者は、近くの会社所有のモバイルデバイスにアクセスし、マルウェアをインストールして、いつでもデータをキャプチャすることができます。

    • 攻撃者は、情報収集ベンチャーを立ち上げ、ビジネス活動を停止し、企業の機密データを盗む可能性があります。

  2. ビジネスのニーズ:モバイルデバイスやクラウドサービスの急増とそれらのセキュリティ保護は、企業のサイバーセキュリティの基本的な戦略的部分となっています。

    • モバイルデバイスをサポートする作業環境では、ユーザーの身元を知ることが重要です。

    • ユーザー ID により、IT 管理者は、攻撃元を特定し、同じ戦略に従う将来の潜在的な攻撃を防止する上で有利になります。

    • 強制セキュリティを備えたClearPassは、モバイルデバイスおよび同時に接続された複数のデバイスの使用によって生じる悪意のある侵入から保護します。

  3. ClearPassを使用した保護—セキュリティを適用したClearPassは、ユーザー名またはユーザーが属するグループでユーザーを識別するセキュリティポリシーを構成できるようにすることで、攻撃や侵入からユーザーを保護できます。

    • ClearPassは、ネットワーク環境に対して行われた脅威と攻撃を特定し、この情報をCPPMに提供します。

    • CPPMの管理者は、セキュリティの適用をより適切に調整して、同じ種類の将来の攻撃から保護できます。

    • ユーザーが複数のデバイスでネットワークにログインしている場合、デバイスだけでなく、ID に基づいてアクティビティを追跡できます。

    • 意図したかどうかにかかわらず、ネットワークアクセスや悪質なアクティビティを簡単に制御できます。

Aruba ClearPassとEnforcement Securityの仕組み

ポリシー適用セキュリティを備えたAruba ClearPassは、SCREENS、IDP、およびコンテンツセキュリティ機能の保護を提供し、さまざまな攻撃戦略からネットワークを保護します。デバイスは、企業のネットワークリソースを保護するだけでなく、攻撃や攻撃の脅威に対応して、これらの保護セキュリティ機能によって生成されたCPPMログレコードで利用できるようにすることができます。すでに発生している脅威や具体的な攻撃を把握していれば、IT部門はコンプライアンス違反のシステムやネットワークの露出エリアを特定するのに役立ちます。この情報をもとに、デバイスコンプライアンスを徹底し、リソースの保護を強化することで、セキュリティを強化できます。

適用セキュリティを備えたClearPassでは、ユーザーレベルでのきめ細かな制御が可能です。

  • デバイスの管理者は、 アイデンティティ認識型セキュリティ ポリシーの ID ソース パラメータで、CPPM がデバイスに送信するユーザ名またはロール(グループ)名を指定できるようになりました。ユーザーを識別する手段として、デバイスのIPアドレスのみに依存することはもうありません。デバイスだけでなく、デバイスのユーザーに焦点を合わせることで、セキュリティ適用の制御を強化できます。

  • CPPMは、認証されたユーザー情報をファイアウォールに提供するだけでなく、デバイスタイプをロールにマッピングし、ユーザーをそのロールに割り当てることができます。その後、そのロールマッピングをファイアウォールに送信できます。この機能により、ユーザーが 特定のタイプのデバイスを使用しているときに、セキュリティ ポリシーを使用してリソースへのアクセスを制御できます。

たとえば、CPPM の管理者が marketing-company-device というロールを設定し、会社のデバイスとマーケティング部門のメンバーの両方をそのロールにマッピングしたとします。デバイスの管理者は、セキュリティポリシーでそのロールをグループであるかのように指定できます。その後、セキュリティ ポリシーはロールにマッピングされたすべてのユーザーに適用され、そのタイプのデバイス タイプを使用する場合のネットワーク アクティビティを本質的に制御します。

ファイアウォールのセキュリティポリシーは、企業のリソースを保護し、CPPMからデバイスに送信されるユーザー認証とID情報を利用して、きめ細かなレベルでアクセス制御を実施します。CPPMは認証ソースとして機能します。独自の内部RADIUSサーバーを使用してユーザーを認証します。また、外部RADIUSサーバーやActive Directoryなどの外部認証ソースに依存して認証を実行することもできます。

CPPM認証は、スイッチやアクセスコントローラなどのNASデバイスからの要求によってトリガーされます。CPPMは、デバイスが公開するRESTful WebサービスのXML部分を使用して、POSTリクエストメッセージをデバイスの認証済みユーザーID、およびデバイスのポスチャ情報に送信します。

ファイアウォールとAruba ClearPassは、企業のリソースを保護し、モバイルデバイスのインターネット・アクセス・ポリシーを適用するために必要な、複雑で複雑なセキュリティ・タスクを簡素化します。このセキュリティは、モバイルエクスペリエンスをサポートし、ユーザーが独自のシステム、スマートフォン、タブレットなど、さまざまなデバイスを使用する自由度を与えるネットワーク環境に不可欠です。

Web API関数

ファイアウォールは、CPPMを統合し、認証されたユーザーID情報をデバイスに効率的に送信できるようにするWeb APIデーモン(webapi)インターフェイスをCPPMに公開します。Web API デーモンは、HTTP と HTTPS の同時要求をサポートする RESTful Web サービスの一部を実装するという点で、HTTP サーバーとして機能します。この関係では、CPPMはクライアントです。Web API デーモンは、HTTP/HTTPS 要求のみの処理に制限されています。その他の種類の要求を受信すると、エラー メッセージが生成されます。

ClearPass Web API 機能と Web 管理を同時に展開する場合は、異なる HTTP または HTTPS サービス ポートを使用していることを確認する必要があります。ただし、セキュリティ上の理由から、HTTP ではなく HTTPS を使用することをお勧めします。HTTP は、主にデバッグ目的でサポートされています。

Web API を構成するときに、接続プロトコルとして HTTPS を使用している場合は、証明書キーを指定します。セキュリティを確保するため、HTTPS のデフォルトの証明書キーのサイズは 2048 バイトです。証明書のサイズを指定しない場合は、既定のサイズが想定されます。証明書を指定するには、次の 3 つの方法があります。

  • 既定の証明書

  • PKI によって生成された証明書

  • カスタム証明書と証明書キー

    Web API では、証明書と証明書キーの構成の Privacy-Enhanced Mail (PEM) 形式のみがサポートされています。

既定のポート (HTTP (8080) または HTTPS (8443)) で Web API を有効にする場合は、ポートでホスト インバウンド トラフィックを有効にする必要があります。他のTCPポートで有効にする場合は、パラメーター any-service を指定してホスト インバウンド トラフィックを有効にする必要があります。例えば:

Web APIデーモンは、シャーシ クラスタ環境のプライマリ ルーティングエンジンで実行されます。シャーシ クラスタのスイッチオーバー後、デーモンは新しいプライマリ ルーティングエンジンで自動的に起動します。パケット転送エンジンには影響ありません。Web API は、CPPM から取得した IPv4 と IPv6 の両方のアドレス ユーザー エントリをサポートします。

ClearPassからファイアウォールに送信されるデータの整合性

次の要件により、CPPMから送信されるデータが危険にさらされることはありません。

  • Web API の実装は、HTTP/HTTPS POST 要求の処理のみに制限されています。その他の種類の要求を受信すると、エラー メッセージが生成されます。

  • Web API デーモンは、次の専用 URL からの HTTP/HTTPS 要求のみを分析および処理します。

  • CPPMがデバイスに送信するHTTP/HTTPSコンテンツは、一貫して正しくフォーマットされている必要があります。正しい XML形式は、妥協がないことを示し、ユーザー ID 情報が失われないようにします。

データ サイズの制限とその他の制約

CPPMには、次のデータサイズの制限と制限が適用されます。

  • CPPMは、投稿するデータのサイズを制御する必要があります。そうしないと、Web API デーモンはそれを処理できません。現在、Web API は最大 2 メガバイトのデータを処理できます。

  • ロールおよびデバイスポスチャ情報の XML データには、次の制限が適用されます。Web API デーモンは、これらの量を超える送信された XML データ (つまり、オーバーフロー データ) を破棄します。

    • ファイアウォールは、最大 209 個のロールを処理できます。

    • ファイアウォールは、6 つの可能なポスチャ トークンまたは値を持つ 1 種類のポスチャのみをサポートします。個々のユーザーの ID 情報には、ポスチャ トークンを 1 つだけ含めることができます。

    • CPPMはファイアウォールの正常性と態勢をチェックし、その情報を投稿するユーザー情報の一部としてファイアウォールに送信できます。

    • ファイアウォールでポスチャを定義することはできません。また、ファイアウォールは受信したポスチャ情報をチェックしません。

ポスチャ状態とポスチャ グループ

ユーザ、ロール、およびポスチャトークンフィールドは、CPPMのコンテキストで区別されます。ユーザー ID 情報の各セットには、ユーザーおよびロール(グループ)ID とポスチャ トークンが含まれています。ファイアウォールまたはNFXシリーズ デバイスは user フィールドとロール(グループ)フィールドのみをサポートするため、ポスチャ トークン値はプレフィックス posture–を追加することでロールにマッピングされます。その後、セキュリティ ポリシーでそのロールをグループとして使用でき、そのポリシーはポリシーに一致するすべてのトラフィックに適用されます。

事前定義されたポスチャ ID の状態は次のとおりです。

  • posture-healthy(HEALTHY)

  • posture-checkup(CHECKUP)

  • ポスチャトランジション(TRANSITION)

  • ポスチャ検疫(QUARANTINE)

  • posture-infected(感染)

  • posture-unknown(不明)

ユーザークエリ関数

個々のユーザーのユーザー認証と ID 情報は、ClearPass Policy Manager(CPPM)によってファイアウォールに直接投稿されていない場合に、その情報を取得できます。

さまざまな理由で、CPPMがユーザーのユーザー認証情報を送信しない場合があります。そのユーザーからのトラフィックがファイアウォールに到着すると、ファイアウォールはユーザーを認証できません。ユーザークエリ機能を有効にするようにデバイスを構成すると、個々のユーザーの認証情報をClearPass Webサーバーに照会できます。デバイスは、ユーザーのアクセス要求トラフィックから取得したユーザーのデバイスのIPアドレスに基づいてクエリを実行します。

ユーザー クエリ機能が構成されている場合、リソースまたはインターネットへのアクセスを要求するユーザーからのトラフィックを受信したときに、デバイスが ClearPass 認証テーブルでユーザーのエントリを見つけられないと、クエリ プロセスが自動的にトリガーされます。ファイアウォールは、他の認証テーブルを検索しません。代わりに、CPPMにクエリを送信し、ユーザーの認証情報を要求します。この例では、次のようになります。

図3:ClearPass統合のユーザークエリ関数 The ClearPass Integration User Query Function

  1. ユーザーがリソースにアクセスしようとします。ファイアウォールは、アクセスを要求するトラフィックを受信します。ファイアウォールは、ClearPass認証テーブルでユーザーのエントリーを検索しますが、見つかりませんでした。

  2. ファイアウォールは、CPPMからユーザーの認証を要求します。

  3. CPPMはユーザーを認証し、ユーザー認証とID情報をデバイスに返します。

  4. ファイアウォールは、ClearPass認証テーブルにユーザーのエントリーを作成し、ユーザーにインターネットへのアクセスを許可します。

以下の 2 つのメカニズムを設定することで、デバイスが要求を自動的に送信するタイミングを制御できます。

  • delay-query-time パラメーター

    delay-query-timeパラメータに設定する値を決定するには、ユーザーID情報がClearPassからデバイスに転送される方法に関連するイベントと期間を理解するのに役立ちます。delay-query-time パラメーターは、クエリ プロセスに影響を与えます。

    1. CPPMが最初にWeb APIを使用してユーザID情報をデバイスに投稿してから、デバイスがその情報でローカルClearPass認証テーブルを更新できるようになるまで、遅延が発生します。

    2. ユーザー識別情報は、まず、ClearPassデバイスのコントロールプレーンとデバイスのコントロールプレーンを通過する必要があります。言い換えれば、このプロセスは、ファイアウォールがClearPass認証テーブルにユーザーID情報を入力できるようになるまでに遅延する可能性があります。

    3. このプロセスが行われている間、認証および ID 情報が ClearPass からデバイスに転送されているユーザーからのアクセス要求によって生成されたデバイスにトラフィックが到着する可能性があります。

      ユーザーがクエリを すぐに送信してデバイスが自動的に応答できるようにするのではなく、秒単位で指定された delay-query-time パラメーターを設定して、デバイスがクエリを送信する前に一定時間待機できるようにすることができます。

    4. 遅延タイムアウトの期限が切れた後、ファイアウォールはクエリをCPPMに送信し、ルーティングエンジン認証テーブルに保留中のエントリを作成します。この期間中、トラフィックはデフォルトポリシーと一致し、ポリシー設定に応じてドロップまたは許可されます。

    5. キューに多数のクエリ要求がある場合、ファイアウォールはClearPassへの複数の同時接続を維持して、スループットを向上させることができます。ただし、ClearPassがこれらの接続によってストレスを受けないようにするために、同時接続の数は20以下(<=20)に制限されています。この値は変更できません。

  • ファイアウォールのClearPass認証テーブルでトラフィックに関連付けられたユーザーのエントリーが見つからない場合に、パケットに適用されるデフォルトポリシー。

    システムのデフォルトポリシーは、パケットをドロップするように設定されています。このトラフィックに適用する別のアクションを指定するポリシーを設定することで、このアクションを上書きできます。

表 1:ユーザ クエリ機能と CLI によって処理される Active Directory 認証の関係

Active Directory が構成されている

ClearPassユーザークエリ機能が有効

CLIチェック結果

いいえ

いいえ

通る

いいえ

はい

通る

はい

いいえ

通る

はい

はい

失敗する

表の一番下の行に障害状態が反映されないようにするには、Active Directory またはユーザー クエリ機能を無効にする必要があります。両方が設定されている場合、次のエラーメッセージが表示されます。

ユーザー クエリ要求への応答で、ClearPass Web サーバーは、要求で指定された IP アドレスを持つユーザーのデバイスの情報を返します。この応答には、ISO 8601 で定義されている UTC (協定世界時) で表されるタイム スタンプが含まれます。

次に例をいくつか示します。

  • 2016-12-30T09:30:10.678123Z

  • 2016-12-30T09:30:10Z

  • 2016年6月6日T00:31:52-07:00

表 2: ISO 8601 で定義されているタイムスタンプ コンポーネント

フォーマットコンポーネント

意味

YYYY

2 桁の月

DDの

2 桁の日付

hh

2 桁の時間 (00 から 23)

ミリメートル

2 桁の分

SSの

2 桁の秒

s

1 秒の小数部を表す 1 桁以上の数字

TZD

タイムゾーン指定子: Z または +hh:mm または -hh:mm

脅威と攻撃のログのフィルタリングとレート制限

ファイアウォールは、記録された脅威ログと攻撃ログをClearPass Policy Manager(CPPM)に送信します。CPPMは、ログデータを使用してセキュリティを強化できます。また、特定のデバイスとそのユーザーに関連する脅威と攻撃を構成することもできます。詳細については、「 例: 脅威ログと攻撃ログをフィルタリングしてレート制限するための ClearPass の設定」を参照してください。

ClearPassが脅威と攻撃を検出してCPPMに通知する方法

ファイアウォールが脅威イベントと攻撃イベントを検出すると、そのイベントがファイアウォール イベント ログに記録されます。ファイアウォールは syslog を使用してログを CPPM に転送します。CPPMはログを評価し、一致する条件に基づいてアクションを実行できます。ClearPassの管理者は、ファイアウォールからの情報を使用し、CPPMで適切なアクションを定義してセキュリティを強化できます。

ファイアウォール上の Junos OS は、10 以上のモジュールによって発行された 100 種類以上のログ エントリーを生成します。脅威ログと攻撃ログを生成するファイアウォールには、SCREENS、IDP、およびコンテンツセキュリティがあります。ファイアウォールとログサーバーの過負荷を回避するために、ClearPassでは、SCREENS、IDP、およびコンテンツセキュリティ機能によって検出されたアクティビティに応じてイベントログに書き込まれた攻撃および脅威ログエントリのみをCPPMに送信するようにファイアウォールを設定できます。

ログ送信を制御するために、以下の条件を設定できます。

  • 脅威と攻撃のログのみを送信するためのログ ストリーム フィルター。

  • 送信ボリュームを制御するレートリミッター。デバイスログの送信は、設定したレート制限条件を超えることはありません。

CPPMが送信するログ情報を分析するためには、コンテンツを標準的で構造化された方法でフォーマットする必要があります。ファイアウォールログの送信は、ベンダー固有の拡張を構造化された方法で提供できるメッセージ形式を持つsyslogプロトコルに従います。

表 3: サンプル ログを使用した攻撃ログ フィールド

ログエントリコンポーネント

意味

形式

優先権

pri = LOG_USER + 重大度。バージョンは常に 1 です

PRIの version

<14>1

時間とタイムゾーン

ログがいつ記録されたか、どのタイムゾーンに記録されたか。

y-m-dThs.ms+time zone

  • y = 年

  • m=月

  • d = 日

  • T+時間

2014-07-24T1358.362+08:00

デバイス/ホスト名

イベント ログの送信元のデバイスの名前。この値はユーザーによって構成されます。

hostname

BJSOLAR社

サービス名

イベント ログを発行した SRXシリーズ機能。

service

SERVICE_IDP

アプリケーション名

ログ エントリを生成したアプリケーション。

application-name

何一つ

PID

プロセス ID。

このコンテキストではプロセス ID は意味をなさないため、 pid は "-" に置き換えられます。

値 "-" は、プロセス ID のプレースホルダーです。

pid

-

errmsg タグ

ログID名、エラーメッセージタグ。

log-name and tag

IDP_ATTACK_LOG_EVENT

errmsgタグ角括弧

丸括弧で囲まれたログの内容。

[ ]

-

OID

シャーシデーモン(chassisd)によって提供される製品ID。

junos@oid

junos@2636.1.1.1.2.86

エポックタイム

エポック後にログが生成された時刻。

number

1421996988

脅威と攻撃のログをAruba ClearPassに送信

ファイアウォールとポリシー適用機能は、Aruba ClearPassと連携し、攻撃と脅威のイベント・ログを使用して、潜在的および実際の攻撃から企業のリソースを保護します。SRXシリーズ SCREENS、IDP、Content Securityコンポーネントによって生成されるこれらのログは、企業のネットワークセキュリティを脅かす攻撃や脅威のタイプを明確に特定します。

ファイアウォールは、ログエントリ全体から脅威と攻撃イベントを報告するログをフィルタリングし、これらのログエントリをClearPass Policy Manager(CPPM)に転送して、企業のセキュリティポリシーの評価と実施に使用します。ファイアウォールは、設定したレート制限条件によって決定されるボリュームでログを送信します。

表 4: SRXシリーズ コンポーネントによって生成される脅威と攻撃のログ エントリー

ログの種類

形容

RT_SCREEN_ICMP

ICMP攻撃

RT_SCREEN_ICMP_LS

RT_SCREEN_IP

IP攻撃

RT_SCREEN_IP_LS

RT_SCREEN_TCP

TCP攻撃

RT_SCREEN_TCP_LS

RT_SCREEN_TCP_DST_IP

TCP 宛先 IP 攻撃

RT_SCREEN_TCP_DST_IP_LS

RT_SCREEN_TCP_SRC_IP

TCP送信元IP攻撃

RT_SCREEN_TCP_SRC_IP_LS

RT_SCREEN_UDP

UDP攻撃

RT_SCREEN_UDP_LS

AV_VIRUS_DETECTED_MT

ウイルス感染

ウイルス対策スキャナーによってウイルスが検出されました。

AV_VIRUS_DETECTED_MT_LS

ANTISPAM_SPAM_DETECTED_MT

スパム

特定された電子メールはスパムとして検出されました。

ANTISPAM_SPAM_DETECTED_MT_LS

IDP_APPDDOS_APP_ATTACK_EVENT

アプリケーションレベルの分散型サービス拒否(AppDDoS)攻撃

AppDDoS攻撃は、クライアントトランザクションの数がユーザーが設定した接続、コンテキスト、および時間バインディングのしきい値を超えたときに発生しました。

IDP_APPDDOS_APP_ATTACK_EVENT_LS

IDP_APPDDOS_APP_STATE_EVENT

AppDDoS攻撃

AppDDoS の状態遷移は、アプリケーション トランザクションの数がユーザーが構成した接続またはコンテキストのしきい値を超えたときに発生しました。

IDP_APPDDOS_APP_STATE_EVENT_LS

IDP_ATTACK_LOG_EVENT

IDPによって発見された攻撃

IDP が攻撃のログ エントリを生成しました。

IDP_ATTACK_LOG_EVENT_LS

JIMSを使用したClearPass

ファイアウォールは、ユーザーID情報については、Juniper Identity Management Service(JIMS)とClearPassに依存しています。ClearPassとJuniper Identity Management Service(JIMS)は同時に設定できます。ClearPassとJIMSを同時に設定すると、ファイアウォールはJIMSにユーザー識別エントリーを照会でき、ClearPassはWeb APIを介してこれらのエントリーをデバイスにプッシュできます。詳細については、「 例: JIMS を使用した ClearPass の構成」を参照してください。

ClearPassとJIMSの関係

ユーザーがCPPMによって認証されると、CPPMはWeb APIを使用してユーザーまたはデバイス情報をファイアウォールにプッシュします。ファイアウォールは、ユーザーの認証エントリーまたはデバイス情報を構築し、ユーザートラフィックはセキュリティポリシーに基づいてファイアウォールを通過できます。Windows Active Directory クライアントがドメインにログオンすると、ファイアウォールはバッチ クエリを介して JIMS からクライアントのユーザーまたはデバイス情報を取得します。認証テーブルは、JIMS によって提供されるエントリで更新されます。ユーザートラフィックは、セキュリティポリシーに基づいてデバイスを通過できます。

JIMS IP クエリと ClearPass ユーザー クエリの両方が有効になっている場合、ファイアウォールは常に最初に ClearPass にクエリを実行します。CPPMがIPユーザー・マッピング情報とともに戻った場合、その情報はその後認証テーブルに追加されます。CPPMがIPユーザーマッピング情報を返さない場合、またはファイアウォールがIPユーザーマッピングなしでCPPMから応答を受信した場合、ファイアウォールはJIMSにクエリーを実行してIPユーザーまたはグループのマッピングを取得します。

IP ユーザーまたはグループ マッピングが JIMS と CPPM の両方から受信されると、ファイアウォールは最新の認証エントリを考慮し、既存の認証エントリを上書きします。

秒単位で指定された delay-query-time パラメーターを設定して、デバイスがクエリを送信する前に一定時間待機できるようにすることができます。遅延時間は、ClearPassとJIMSで同じ値にする必要があります。そうでない場合は、エラーメッセージが表示され、コミットチェックは失敗します。

JIMS と CPPM の両方から IP ユーザーまたはグループ マッピングを受信すると、デバイスは最新の認証エントリーを考慮し、既存の認証エントリーを上書きします。

ClearPassとJIMSの連携に関するさまざまなシナリオ

JIMSを使用したClearPassがどのように機能するかについて、シナリオを含む詳細な説明は次のとおりです。

シナリオ1:CPPMがIPユーザーまたはグループマッピング情報で応答した場合のファイアウォールの動作

図4は、ファイアウォールがCPPMにIPユーザーまたはグループのマッピング情報を照会し、認証テーブルに追加する場合を示しています。

  1. ユーザーがリソースにアクセスしようとします。ファイアウォールは、トラフィック要求を受信すると、ClearPass認証テーブルとローカルActive Directory認証テーブルでユーザーのエントリを検索しますが、ユーザー情報は見つかりません。

  2. ファイアウォールは、ClearPassにユーザーIDを照会します。

  3. ClearPassは、IPユーザーまたはグループのマッピング情報をファイアウォールに送信します。

  4. ファイアウォールは、認証テーブルに情報を追加します。

    図4:CPPMがIPユーザーまたはグループマッピング情報で応答した場合のファイアウォールの動作 What Firewall Does If CPPM Responds with IP-User or Group Mapping Information

シナリオ2:CPPMが応答しない場合、またはCPPMがIPユーザーまたはグループマッピング情報なしで応答した場合のファイアウォールの対処方法

図 5 は、ファイアウォールが JIMS にクエリーを実行する場合、CPPM から応答がない場合、または IP ユーザーまたはグループのマッピング情報を受信していない場合を示しています。

  1. ユーザーがリソースにアクセスしようとします。ファイアウォールは、トラフィック要求を受信すると、ClearPass認証テーブルとJIMS認証テーブルでユーザーのエントリを検索しますが、ユーザー情報は見つかりません。

  2. ファイアウォールは、ClearPassにユーザーIDを照会します。

  3. ファイアウォールがClearPassから応答を受け取らない場合、ファイアウォールはJIMSにクエリーを実行します。

  4. JIMS は、IP ユーザーまたはグループのマッピング情報をファイアウォールに送信します。

  5. ファイアウォールは、JIMSから受信した情報を認証テーブルに追加します。

図5:CPPMが応答しない場合、またはCPPMがIPユーザーまたはグループマッピング情報なしで応答した場合のファイアウォールWhat Firewall Does If CPPM Does Not Respond or CPPM Responds with No IP-User or Group Mapping Information

ドメインと関心のあるグループ

ユーザ ID グループ情報がデバイス上でどのように管理されるかは、ドメイン グループと対象グループの 2 つの概念によって決まります。

ドメイン グループ

デバイスは、ドメイン名前空間のユーザー名の処理方法に関して、通常のコースに従います。名前空間を使用して、 admin など、同じであるが、異なるソースからのものであり、異なるドメインにある名前を区別します。これらは異なるドメインに属しているため、名前は競合しません。

IP ユーザー マッピングの一部であるグループは、そのドメインが特定のドメインであるか GLOBAL ドメインであるかに関係なく、常にドメインに属します。ドメイン名がIPユーザー・マッピングで指定されていない場合は、GLOBALドメインが想定されます。

表 5: グループへのドメインの割り当て

IP とユーザーのマッピングにドメイン名が含まれているか

どのドメインがグループに適用されますか?

いいえ

例えば:

IP, , user1, group-list

2 番目のコンマはドメイン名のプレースホルダーとして機能し、GLOBAL ドメインが適用されます。

group-list に含まれるグループは、GLOBAL ドメインに属します。

はい

例えば:

IP, domain1, user1, group-list

この例では、IP ユーザー マッピングはドメイン名を domain1 として指定します。

ドメイン名 domain1 は、CPPM からの IP ユーザ マッピングに含まれており、使用されます。これは、パケット転送エンジン上のClearPass認証テーブル内の認証済みユーザーのエントリーに保持されます。

関心のあるグループ

グループは、セキュリティ ポリシーによって参照されている場合(つまり、ポリシーの source-identity フィールドで指定されている場合)に 、対象グループ として認定されます。ルーティングエンジンの認証テーブルでは、各ユーザーエントリーに、セキュリティポリシーが存在するグループの名前を識別するポリシーリストが参照するグループが含まれます。ユーザー・エントリーに含まれるグループが現在セキュリティー・ポリシーで使用されていない場合、そのグループはこのリストに含まれません。グループは、ポリシーリストによって参照されるグループ内およびグループ外に移動できます。

  • 関心のあるグループリスト

    関心のあるグループリスト、またはポリシーによって参照されるグループのリストは、グループ全体のサブセットです。これは、ユーザー認証項目のグループ・リストと、セキュリティー・ポリシーの送信元 ID リストの共通部分です。つまり、ClearPass認証テーブルのユーザーエントリーに含まれるすべてのグループが、対象グループとして認定されます。ルーティングエンジンは、セキュリティポリシーによって参照されるグループのみを、パケット転送エンジンのClearPass認証テーブルのユーザーエントリーに同期します。

    その仕組みは次のとおりです。

    • UserID デーモンは、CPPM から完全な IP ユーザーロール (グループ) マッピングを取得します。

    • ユーザー・ID デーモンは、グループごとに、そのグループを参照するセキュリティー・ポリシーがあるかどうかを判別することによって、そのグループがインタレスト・グループであるかどうかを識別します。条件を満たすグループは、ルーティングエンジン上のポリシーリストが参照するグループに含まれます。UserIDデーモンは、残りのユーザー認証およびID情報とともに、パケット転送エンジン対象グループのClearPass認証テーブル内のユーザーエントリーと同期します。

    ルーティングエンジンでのユーザーエントリーの対象グループリストは、以下のイベントに基づいて変化する可能性があります:

    • ルーティングエンジンのユーザーエントリーに含まれるが、エントリーの参照グループリストにはまだ含まれていないグループを参照する新しいセキュリティポリシーが設定されます。

    • 現在設定されているセキュリティポリシーのうち、source-identity でグループを参照しているものは削除されます。

    次の例について考えてみます。

    • CPPMが2人のユーザーに関する次の情報をファイアウォールに投稿したとします。

    • デバイスがポスチャをマッピングし、グループとして定義すると、デバイス ルーティングエンジン認証テーブル内の 2 つのユーザー エントリーは以下のようになります。

    • 複数のセキュリティ ポリシーに、group1、group3、posture-healthy のいずれかを参照する source-identity フィールドが含まれているとします。

      上記のセット(元のグループリストとグループを参照するセキュリティポリシーのリスト)の共通部分は、次の関心のあるグループリストになります。

      • ユーザ john の場合、ポリシー リストによって参照されるグループには group1 と posture-healthy が含まれます。

      • ユーザ abe の場合、ポリシー リストによって参照されるグループには、group1、group3、および posture-healthy が含まれます。

    ここで、source-identity フィールドに group1 が指定されたセキュリティ ポリシーが削除されたとします。2 人のユーザー (john と abe) のユーザー認証エントリーのポリシーリストによって参照されるグループは変更され、以下の結果になります。

    • ユーザ john の場合、リストには posture-healthy のみが含まれます。

    • ユーザ abe の場合、リストには group3 と posture-healthy が含まれます。

表6 は、グループがセキュリティポリシーによって参照 されておらず 、したがって関心のあるグループではない場合の、ClearPass認証テーブルへの影響を示しています。

表6:関心のあるグループ:ClearPass認証テーブルへの影響

セキュリティ ポリシーの設定と変更

その結果、ClearPass認証テーブルへの影響 パケット転送エンジンのエントリー数

Case 1:

ファイアウォールは、CPPMからユーザーのIPユーザーマッピングを取得します。

ユーザー・マッピング内のどのグループも、セキュリティー・ポリシーによって参照されません。

CPPMからのIPユーザーマッピング:

203.0.113.9, ,user1, g1, g2, g3, g4

このユーザーのパケット転送エンジンのClearPass認証テーブルに書き込まれたユーザー認証エントリーには、グループが含まれていません。

203.0.113.9 , ,user1

Case 2:

ファイアウォールは、CPPMからユーザーのIPユーザーマッピングを取得します。グループリストをセキュリティポリシーリストと照合し、そのうちの2つのグループがセキュリティポリシーによって参照されていることを検出します。

ルーティングエンジンでのIPユーザーマッピング:

192.0.2.1, domain1, user2, g1, g2, g3, g4

このユーザーのパケット転送エンジン上のClearPass認証テーブルに書き込まれるユーザー認証エントリーには、ルーティングエンジンのポリシーリストで参照されるグループに含まれる以下のグループが含まれます。 

192.0.2.1, domain1, user2, g2, g4

ユーザーが別のソースによってすでに認証されている場合

例えば、デバイスルーティングエンジン認証テーブルとパケット転送エンジン上の個々のMicrosoft Active Directory認証テーブルに、Active Directoryによって認証されたユーザーのエントリーが含まれている場合があります。通常どおり、CPPM はユーザの IP ユーザ マッピングをデバイスに送信します。ルーティングエンジン認証テーブルは Active Directory と ClearPass の両方に共通であるため、デバイスで問題を解決する必要があります。

デバイスが状況を処理する方法は次のとおりです。

  • ルーティングエンジン認証テーブル上:

    • デバイスは、共通ルーティングエンジン認証テーブル内のユーザーの Active Directory 認証エントリーを、CPPM からのユーザーの IP ユーザー マッピングから新しく生成されたエントリーで上書きします。

      これで、IPアドレスまたはユーザー名の競合は発生しなくなりました。

  • パケット転送エンジン上:

    • デバイスは、ユーザーの既存の Active Directory 認証エントリーを Active Directory 認証テーブルから削除します。

      これにより、IPアドレスに関連付けられているアクティブなセッションが削除されます。

    • デバイスは、パケット転送エンジンのClearPass認証テーブルに、CPPM認証されたユーザー向けの新しいエントリーを生成します。

      IPユーザー マッピング エントリに関連付けられたトラフィックは、ClearPass認証テーブル内のユーザー認証に基づいて新しいセッションを開始します。

ClearPass認証テーブル

ファイアウォールは CPPM から情報を受信します。ファイアウォールは、ユーザー認証とID情報を抽出し、分析します。ファイアウォールは、このユーザー情報を保持するために、パケット転送エンジン側にClearPass認証テーブルを作成します。ファイアウォールがClearPassから情報を受信すると、ファイアウォールは認証されたユーザーのClearPass認証テーブルにエントリを生成します。ファイアウォールは、ユーザーからのアクセス要求を受信すると、ClearPass認証テーブルをチェックしてユーザーが認証されていることを確認してから、ユーザーからのトラフィックに一致するセキュリティポリシーを適用できます。

ClearPass認証テーブルのデフォルトの優先度値は110です。ローカル認証テーブルのエントリーを100から120に変更して、パケット転送エンジン上に他の認証テーブルがある場合、ファイアウォールが最初にClearPass認証テーブルをチェックするように指示する必要があります。

ファイアウォールはClearPass認証テーブルをどのように管理しますか?

ファイアウォールは、CPPMから認証されたユーザーID情報を取得し、ClearPass認証テーブルにエントリーを生成して、セキュリティポリシーとユーザーイベントに関連してこれらのエントリーを管理します。ClearPassは、ファイアウォールの認証ソースとして機能します。CPPMは、認証したユーザーに関するファイアウォールID情報をファイアウォールに送信します。ファイアウォールの UserID デーモン プロセスは、この情報を受信して処理し、この目的のために生成される独立した ClearPass 認証テーブルのパケット転送エンジン側に同期します。

デバイスの管理者は、セキュリティー・ポリシーで認証されたユーザー・アイデンティティー情報を使用して、保護されたリソースおよびインターネットへのアクセスを制御できます。

デバイスがCPPMから取得し、個々のClearPass認証テーブルに同期されるグローバルルーティングエンジン認証テーブルにエントリーを作成するために使用するユーザー識別情報のコレクションは、ユーザー名と関連するグループリストがユーザーのデバイスのIPアドレスにマッピングされるため、マッピング、またはより一般的にはIPユーザーマッピングと呼ばれます。

グループリストでは、ClearPass認証テーブル内のユーザー認証エントリーごとに、ユーザーが属するグループと、正常かどうかなどのデバイスの状態を示すポスチャトークンなどの情報が表示されます。

ClearPass認証テーブル内のユーザー認証エントリー

ファイアウォールのIPアドレスは、ClearPass認証テーブルエントリ内のユーザー名とそのグループに関連付けられているため、セキュリティポリシーでユーザー名またはグループ名を使用してユーザーを識別し、使用するデバイスのIPアドレスに直接依存しないようにすることができます。グループリストでは、ClearPass認証テーブル内のユーザー認証エントリーごとに、ユーザーが属するグループと、正常かどうかなどのデバイスの状態を示すポスチャトークンなどの情報が表示されます。ClearPass認証は、認証テーブルにユーザーIDと認証エントリがあるユーザーごとに最大2048セッションを管理します。

ユーザー・エントリーごとに、エントリー内のグループまたはロールの数は 200 を超えることはできません。容量に達すると、追加のロールは破棄され、次の syslog メッセージが送信されます。

CPPMは、次の形式でユーザーにユーザー情報を投稿します。デバイスはこれらの情報のすべてを使用するわけではありません。

以下は、ユーザーのClearPass認証テーブルエントリの形式と、それに続くエントリ例とそのコンポーネントの説明です。

次の例では、ユーザは human-resources-grp グループと posture-healthy グループの 2 つのグループに属しています。ファイアウォールは、ポスチャ情報を CPPM からグループ名に変換します。デバイスが posture-healthy グループ(ロール)に属している場合、すべてのユーザーにマーケティング サーバーへのアクセスを許可するセキュリティ ポリシーを設定できます。

  • IP アドレス

    これは、使用するデバイスのIPアドレスです。

  • ユーザーが属するドメインの名前。

    この例では、ドメイン名は「my-company-domain」です。ドメイン名が指定されていない場合は、デフォルトのドメイン名GLOBALが使用されます。

  • ユーザー名

    ユーザー名は、ネットワークへの接続に使用されるユーザーのログイン名で、この例では linです。

    この名前は、使用するデバイスに関係なく一定です。

    source-identity タプルが、使用されるデバイスの IP アドレスではなく、ユーザ名またはグループ名でトラフィックの送信元を識別するセキュリティ ポリシーを設定すると、セキュリティ ポリシーがデバイスに依存していないかのようになります。これは、使用するデバイスに関係なく、ユーザーのアクティビティに適用されます。

  • ユーザーが属する 1 つ以上のグループ

    ここで、 利害関係 グループの概念とセキュリティポリシーとの関係が関係してきます。対象グループは、セキュリティ ポリシーで参照されるグループです。関心のあるグループの概念については、このトピックの後半で説明します。

ユーザーが複数のデバイスを使用してネットワークに接続している場合、そのユーザーに対して複数の IP ユーザー マッピングが存在する可能性があることに注意してください。各マッピングには、ユーザー名と IP アドレスとともに、独自の値のセット(ドメイン名とグループリスト)があります。

例えば、3 つの別々のデバイスを使用してネットワークに接続しているユーザー abe には、以下の 3 つの IP アドレスからユーザー名へのマッピングが存在する可能性があります。

ファイアウォールが 110.208.132.23, abe のログアウト メッセージを受信したとします。以下の部分的なユーザー認証エントリーは、ユーザー abe が 2 つのデバイスのみを使用してネットワークにログインしていることを示しています。

2048 を超えるセッションが ClearPass 認証テーブル内の 1 つの認証エントリに関連付けられている場合、ClearPass の Active Directory はオーバーフローの原因となったセッションを管理しません。その結果、これらのセッションのセッション終了ログに報告されるセッションのユーザー識別情報はありません。

ClearPassタイムアウト設定

Aruba ClearPassのタイムアウト設定とは何ですか?

Aruba ClearPass認証テーブルの認証エントリーには、エントリーの有効期限が切れるまでのタイムアウト値が含まれています。無効なエントリーに固有のタイムアウト設定を構成することで、認証テーブル内の無効なユーザー認証エントリーが、ユーザーを検証する前に期限切れになるのを防ぐことができます。無効な認証エントリのタイムアウト設定は、有効なエントリに適用される一般的な認証エントリのタイムアウト設定とは別のものです。

ClearPass機能では、認証されていないユーザーがネットワークに参加しようとして、ユーザーのデバイスのIPアドレスが見つからない(つまり、パケット転送エンジンにない場合)は、デバイスはAruba ClearPassにユーザーの情報を照会します。クエリが失敗した場合、システムはユーザーに対して無効な認証エントリを生成します。無効なタイムアウト設定の値を構成すると、そのタイムアウトがエントリに適用されます。無効なエントリのタイムアウトを設定しない場合、デフォルトのタイムアウトである30分が新しいエントリに適用されます。無効なエントリのタイムアウトは、状態が valid または pending から INVALID に変更されたエントリにも適用されます。

Aruba ClearPassのタイムアウト設定の仕組み

次のコマンドを使用して、ClearPass認証テーブルのエントリに無効な認証エントリのタイムアウトを設定します。ここでは、ClearPass認証テーブル内の無効な認証エントリは、作成されてから22分後に有効期限が切れます。

  • ClearPass の無効な認証エントリのタイムアウト値を最初に設定すると、設定 後に 生成された無効な認証エントリに適用されます。ただし、既存の無効な認証エントリーはすべて、デフォルトのタイムアウトである 30 分を保持します。

  • 無効な認証エントリーのタイムアウト設定を構成しない場合、デフォルトのタイムアウトである 30 分がすべての無効な認証エントリーに適用されます。

    無効な認証エントリのタイムアウト設定を行い、後で削除した場合、削除後に生成される新しい無効な認証エントリにデフォルト値が適用されます。ただし、設定された値が以前に適用された既存の無効な認証エントリーは、その値を保持します。

  • 無効な認証エントリーのタイムアウト値の設定を変更すると、値の変更 後に 作成されたすべての無効な認証エントリーに新しい値が適用されます。ただし、既存の無効な認証エントリーはすべて、以前の無効な認証エントリーのタイムアウト設定が適用されたままになります。デフォルト値の 30 分が以前に適用されていたエントリは、その設定を保持します。

  • エントリの保留中または有効な状態が無効に変更されると、無効な認証エントリのタイムアウト設定が適用されます。

    無効な認証エントリの状態が保留中または有効に変更されると、無効な認証エントリのタイムアウト設定は適用されなくなります。共通認証エントリーのタイムアウトに設定されたタイムアウト値が適用されます。

    表 7: ClearPass認証テーブル内の無効なエントリに対する無効な認証タイムアウト

    無効な入力タイムアウト設定

    初期無効な入力タイムアウト設定

    経過時間

    新しい無効な入力タイムアウトの構成設定

    既存の無効な入力の最終タイムアウト設定

    新しい無効な認証エントリ

    50

    50

    既存の無効なエントリのタイムアウト

    20

    5

    50

    15

    既存の無効なエントリのタイムアウト

    0

    40

    20

    0

    既存の無効なエントリのタイムアウト

    40

    20

    0

    20

関連資料