購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
961
閲覧回数
2
いいね!
6
返信

ISE PSN のアクセスリスト (ACL) 設定

解決策を見る
Suzukikoki
Spotlight
Spotlight

‎2023-06-26 04:36 PM

下記URLに従って、ISEのHardeningをしているのですが、下記の要件を満たすための設定が見つからず困っています。

https://community.cisco.com/t5/security-knowledge-base/ise-security-best-practices-hardening/ta-p/3640651

<要件>
"Configure ACLs that require ISE PSN access to specific ports (8443, 8905, etc, versus ip or tcp any any)."

IPについては、GUIからAdministration ==> Admin Access ==> Settings ==> Access ==>IP Accessでフィルターはできるのですが、Port番号まで指定できません。

要件にあるようにACLで設定しようとしたのですが、CLIにはACLの設定がないようです。

GUIでもCLIでも、特定のPortだけを許可する設定(要件を満たす設定)をご存知でしたら、教えてください。

ラベル:
1 件の受理された解決策

受理された解決策

解決策を見る
Kenichiro Kato
Cisco Employee
Cisco Employee

‎2023-06-27 11:43 AM

ここで書いているようなPSNに直接端末からアクセスするパターンはGuest PortalかPostureになりますが、確認したところISE側ではGuest Portal / Postureで個別にご希望のようなACLを設定する機能はない模様です。

従いまして、途中経路のFirewallやスイッチ等のネットワーク機器にて制限いただく必要がございます。

最後に大変恐れ入りますが、こちらは「エンドポイントセキュリティ」のDiscussionを行う場であるため、もし追加のご質問などがある場合については、ご案内差し上げたAAAのDiscussionの部屋にて確認いただけますと幸いです。

元の投稿で解決策を見る

6件の返信6

解決策を見る
Kenichiro Kato
Cisco Employee
Cisco Employee

‎2023-06-26 04:58 PM

恐れ入りますが、こちらの「エンドポイントセキュリティ」のカテゴリーではなく、以下でAAAのカテゴリで書き込みいただいた方が適切な回答が得られるかと存じます。

https://community.cisco.com/t5/-/bd-p/5256-discussions-aaa

ただ、参照いただいているURLの内容をみる限りで言えば、一般的なISEのセキュリティベストプラクティスということですので、PSNに直接アクセスしうるホスト等からのアクセスを途中経路上のFirewall等で正しく制限して欲しいと意図のようにも見受けられました。

0 いいね!

解決策を見る
Suzukikoki
Spotlight
Spotlight
Kenichiro Katoに対する応答

‎2023-06-27 10:18 AM

@Kenichiro Kato さん
ご回答ありがとうございます。途中経路上のFirewallは設置しているのですが、そもそもの仕様として、PortベースのACLが設定ができるのか知りたいのです(サポートされているか否か)。
仮に設定できるのであれば、2重にした方がセキュリティが強固という指摘がされ、設定をする必要が出てくるため、
仕様について、ご教示頂ければ幸いです。

0 いいね!

解決策を見る
Kenichiro Kato
Cisco Employee
Cisco Employee

‎2023-06-27 11:43 AM

ここで書いているようなPSNに直接端末からアクセスするパターンはGuest PortalかPostureになりますが、確認したところISE側ではGuest Portal / Postureで個別にご希望のようなACLを設定する機能はない模様です。

従いまして、途中経路のFirewallやスイッチ等のネットワーク機器にて制限いただく必要がございます。

最後に大変恐れ入りますが、こちらは「エンドポイントセキュリティ」のDiscussionを行う場であるため、もし追加のご質問などがある場合については、ご案内差し上げたAAAのDiscussionの部屋にて確認いただけますと幸いです。

解決策を見る
Suzukikoki
Spotlight
Spotlight
Kenichiro Katoに対する応答

‎2023-06-27 01:15 PM

ご回答ありがとうございました。もし差し支えなければ、下記に記載された情報が載っているURLをご教示いただけますでしょうか?
"ISE側ではGuest Portal / Postureで個別にご希望のようなACLを設定する機能はない模様です。"
もし、AAAのDiscussionの部屋にて新規でディスカッションを開始した方がよろしければ、再投稿します。

0 いいね!

解決策を見る
Kenichiro Kato
Cisco Employee
Cisco Employee

‎2023-06-27 01:38 PM

直接ACLを設定する機能がないという書き方はしていませんが、以下Guest Portal / PostureのGuideを見ていただければわかる通り、そういう設定はございません。こちらご確認ください。

https://www.cisco.com/c/ja_jp/td/docs/security/ise/3-1/admin_guide/b_ise_admin_3_1/b_ISE_admin_31_guest.html

https://www.cisco.com/c/ja_jp/td/docs/security/ise/3-1/admin_guide/b_ise_admin_3_1/b_ISE_admin_31_compliance.html

また、全体的なFirewall/Switchなどで開ける必要があるポート等については以下をご確認ください。

https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/install_guide/b_ise_InstallationGuide31/b_ise_InstallationGuide31_chapter_7.html

0 いいね!

解決策を見る
Suzukikoki
Spotlight
Spotlight
Kenichiro Katoに対する応答

‎2023-06-27 01:43 PM

丁寧にご回答ありがとうございました!

0 いいね!
Customers Also Viewed These Support Documents