購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2040
閲覧回数
15
いいね!
6
返信

AnyConnect接続時に、接続端末のホスト名あるいは製造番号などの情報を使って認証制御が出来るか?

解決策を見る
cja56910tf
VIP
VIP

‎2021-05-24 11:39 PM

AnyConnect接続時に予め許可されたホスト名あるいは製造番号などの装置固有の識別情報を使って、認証を許可したり拒否したり制御する事が可能でしょうか?

認証サーバはCisco ISE 2.7 、 anyconnect接続時は hostscanが走るものとします。

 

質問の背景/要件としては、個人所有PCからの接続を排除し社給PCからの接続のみを許可したいのですが、上記のような手法でそれが実現できたら良いなと思っていますが、それが分からずに困っています。

上記の方法以外でもxxxという方法で実現できるというものがありましたらご教授いただけますと助かります。

ラベル:
0 いいね!
2 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-05-29 09:18 PM ‎2021-05-30 10:06 PM 更新

詳しい補足説明有難う御座います!

 

>>ただ、クライアント証明書を個人所有PCにインポートされてしまうと、接続者は正規ユーザーなので、ID/Passwordも適切であることから接続出来てしまいます。(BYODを認めてしまえば良いのでしょうけど・・・)

こ、これは・・悪い子ですね。。なお、クライアント証明書をExport不能にするのも手ですが・・(私が以前導入担当したときは、IT管理者の方が社員PCはセットアップしてたので、その時クライアント証明書いれてました。)

 

あとはISE お使いとのことで、ISE Postureを使えば、PC内のファイルや アプリケーションの Conditionを元に制御できるので、会社PC内にしか存在しない秘密のファイルや、レジストリ確認(特定のActive Directory Domainに属してるか)、企業アプリケーションインストール有無などを条件にしてみるのは如何でしょうか。会社PCでしか持ちえない情報を条件にすれば、個人PCでの接続リスクはほぼ無効化できるかと思いますし、運用も楽かと思います。
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2019/pdf/5eU6DfQV/LTRSEC-2502.pdf
https://community.cisco.com/t5/-/-/ta-p/4061326#toc-hId--516652808

https://www.youtube.com/watch?v=6Kj8P8Hn7dY&t=4s
https://community.cisco.com/t5/-/-/ta-p/3680273

 

補足ですが、HostScanは古い技術でASA側で検疫チェック・評価するため、特に新規接続Clientの多い環境だとASA側に負荷がかかります。そのため、特に大規模環境だとHostScanの利用は向いてないと聞きます。逆にISE Postureの場合は、ISEからPUSHされたポリシーを元にクライアント側で評価を行うため、システムへの負荷が低いのもメリットです。

 

なお、ご存知かと思いますが、Hostscan もしくは ISEポスチャ―の利用には、AnyConnect Apex もしくは VPN-Onlyライセンスが必要となります。(お持ちかと思いますが。。)

元の投稿で解決策を見る

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-05-30 10:58 PM ‎2021-05-30 11:09 PM 更新

詳しい返信ありがとう御座います。AnyConnectの検疫は経験豊富というわけではないのですが、私の個人的な意見ですがご参考になれば。

 

まず、ISE Postureの評価についてですが、ISEのスマートライセンスは 初期インストール時 90日は全てのライセンスの試用ができたと思うので、そちらで試して頂くといいのではと思います。またASAもAnyConnect Apexの終端は2つまで無料でできたと思います。90日以内に評価が終わらない場合は、ISEを再インストールして頂ければ評価ライセンス復活したと思うので、何度でも試せたと思います。
https://community.cisco.com/t5/security-documents/how-to-get-ise-evaluation-software-amp-licenses/ta-p/3630795

 

ISE Posture利用時のクライアント側の動作ですが、AnyConnectの組み込みモジュールのため、AnyConnect接続時に勝手にモジュールがシステムスキャンし検疫を行ってくれます。そのため、クライアント側は煩わしさは感じないはずです。

 

Hostscanの処理は AnyConnect Clientと VPNコンセントレーター(つまりASA)間で発生するため、ISE側としてはそのやり取りは知る由はなかったような気がします。また、Hostscanを利用する場合は、1つ1つクライアントの処理負荷は低くても、膨大なクライアントが同時接続する環境(※)だと そこそこな処理負荷になるため、Hostscanの設定はシンプルにしたり、ASAの数を増やして処理負荷を分散するとよかったはずです。(※Hostscanを多用する大規模環境で、管理が複雑になったり、過負荷でシステムが不安定になったケースは何度か見たことがあるので・・。)

 

そのため、仮に私が担当社内SEでしたら、Hostscan設定が膨大に増えかねない端末ごとのユニークな許可/排除設定は、パフォーマンスや 管理運用性の観点(都度追加や管理はIT管理者が疲弊したりミスの温床になる)から、採用しないことを推奨しますし、許可しないと思います。

 

なお、私は ISE Posture を何がなんでも推奨!というわけではなく、同時接続数が多くなかったり、ASA側で処理負荷に余裕ある場合、かつ ISE Postureでしかできない機能(※)は使わない場合は、Hostscanの利用でも問題ないかと思います。また、正直いえば今でも利用者はHostscan使ってる方のほうが多数だと思います。Hostscanは実績も豊富ですし。また、Hostscanも、ご存知かと思いますが、レジストリやプロセスのチェックはできるため、ISE Postureを使うか Hostscanを使うかは、予算や管理運用性、機能要件、スケーリング設計、および 担当エンジニアの新技術への興味次第かな、と思います。(※USB利用有無、アプリやファイルの詳細チェック、Disk暗号化有無チェック機能など)

 

あと本スレッドの制限の目的は個人所有PCの排除かと思うので、ドメイン非参加 及び 業務アプリケーションや会社指定アンチマルウェアソフトウェアがインストールされてなければ、まず黒かなぁと思うのですが、そう単純じゃない感じなのでしょうか?(私の考慮が不足してたらすみません。)例えば私の会社が利用してるアンチマルウェアソフトウェアは商用のものなので、個人が購入して個人PCにインストールは困難です。他、いくつか社員は強制インストールさせられるアプリがあります。PCは指定メーカーのを使ってるので、そのメーカー純正アプリも入ってますね。逆に個人PCに入ってそうな、Lineや Zoom、iTuneとかはブロックするとか。

 

あと、私の感覚上、ドメイン非参加の社員PCというのは それってアリなの?とおもってしまいますし(私ならそういう社員はRAVPNはつながさせません  (`・ω・´)キリッ)、協力会社さんのPCの場合は別の証明書やID/Passwordを渡して 社内アクセスは最低限に制限して情報流出のリスクを減らすと思います。

元の投稿で解決策を見る

6件の返信6

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-05-28 10:43 PM

こんばんは!

 

ご期待の回答ではないかもしれないのですが、個人所有PCでの接続を排除したい場合は、偽装困難なクライアント証明書を 会社から配布PCにインストールして 従業員に配るのが一般的かな、と思います。あとはできれば、証明書認証と合わせて、ユーザー・パスワード入力も求める二要素認証や、もしくは Cisco Duoを利用しての多要素認証を使うとより安全かと思います。
https://www.infraexpert.com/study/sslserver4.html
http://www.labminutes.com/sec0127_ssl_vpn_anyconnect_client_certificate_double_authentication_1
https://licensecounter.jp/engineer-voice/blog/articles/20200812_cisco_duo1_duomfa.html

 

ご存知かと思いますが、リモートアクセスVPNは悪用されると 不正侵入や情報流出の原因となるため、「偽装」可能な識別情報は使わないのが推奨されます。例えばホスト名やMACアドレス、ユーザー名・パスワードなどのみで仮に認証すると、それら認証情報が外部に漏れてしまうと第三者は偽装して簡単に侵入できるようになってしまうので。。。

解決策を見る
cja56910tf
VIP
VIP
Akira Muranakaに対する応答

‎2021-05-29 04:11 PM

ご回答、誠にありがとうございます。

実はご紹介いただいたサイトは既に読んでおりまして、それを基にしながら構築を行いました。

そして現在の当方の環境では クライアント証明書+ID/Password(AD連携) で認証・接続を行わせています。

 

ただ、クライアント証明書を個人所有PCにインポートされてしまうと、接続者は正規ユーザーなので、ID/Passwordも適切であることから接続出来てしまいます。(BYODを認めてしまえば良いのでしょうけど・・・)

また、Duoは現時点では制約が多い事や費用が別途掛かるので導入は考えておりません。

 

そう言った訳でして、クライアント証明書+ID/Passwordに加えて、さらに接続装置のホスト名・MACアドレス・シリアル番号などで制御出来ないだろうかと思いまして投稿した次第です。(先に詳しく書いておくべきでしたね。申し訳ありません・・・)

 

よってご回答いただいた内容は仰る通りだと思いますが、上記事情/背景を前提としてご意見を頂戴できましたら幸いです。

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-05-29 09:18 PM ‎2021-05-30 10:06 PM 更新

詳しい補足説明有難う御座います!

 

>>ただ、クライアント証明書を個人所有PCにインポートされてしまうと、接続者は正規ユーザーなので、ID/Passwordも適切であることから接続出来てしまいます。(BYODを認めてしまえば良いのでしょうけど・・・)

こ、これは・・悪い子ですね。。なお、クライアント証明書をExport不能にするのも手ですが・・(私が以前導入担当したときは、IT管理者の方が社員PCはセットアップしてたので、その時クライアント証明書いれてました。)

 

あとはISE お使いとのことで、ISE Postureを使えば、PC内のファイルや アプリケーションの Conditionを元に制御できるので、会社PC内にしか存在しない秘密のファイルや、レジストリ確認(特定のActive Directory Domainに属してるか)、企業アプリケーションインストール有無などを条件にしてみるのは如何でしょうか。会社PCでしか持ちえない情報を条件にすれば、個人PCでの接続リスクはほぼ無効化できるかと思いますし、運用も楽かと思います。
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2019/pdf/5eU6DfQV/LTRSEC-2502.pdf
https://community.cisco.com/t5/-/-/ta-p/4061326#toc-hId--516652808

https://www.youtube.com/watch?v=6Kj8P8Hn7dY&t=4s
https://community.cisco.com/t5/-/-/ta-p/3680273

 

補足ですが、HostScanは古い技術でASA側で検疫チェック・評価するため、特に新規接続Clientの多い環境だとASA側に負荷がかかります。そのため、特に大規模環境だとHostScanの利用は向いてないと聞きます。逆にISE Postureの場合は、ISEからPUSHされたポリシーを元にクライアント側で評価を行うため、システムへの負荷が低いのもメリットです。

 

なお、ご存知かと思いますが、Hostscan もしくは ISEポスチャ―の利用には、AnyConnect Apex もしくは VPN-Onlyライセンスが必要となります。(お持ちかと思いますが。。)

解決策を見る
cja56910tf
VIP
VIP
Akira Muranakaに対する応答

‎2021-05-30 05:17 PM

早速ご回答いただきましてありがとうございます。

また、丁寧に解説いただいている事もお礼申し上げます。

 

まず、証明書のインポート作業は各自に任せており、また、一人が複数端末でAnyConnectを用いる場合があることから、クライアント証明書をExport不能にするのは難しいです。あとAnyConnect接続端末はドメイン非参加PCや協力会社のPCの場合もあります。

※もちろんAnyConnect Apex ライセンスは使用ユーザー数分購入済みです。

 

次にISE Postureについてご教示いただいたURLの内容や資料については初見でしたので、これから精読させていただきますが、当方ではISEのライセンスは Base と Plus しかなく、ApexがないのでPosture機能は使うことが出来ないと思っております。

また、仮にApexライセンスがあったとしても、上記のような色んな端末が接続しにくるので、会社PCでしか持ちえない情報というのは他に何があるだろうか?という疑問も湧いております。

さらに、ISE PostureというのはAnyConnect接続時にWebブラウザが開いてそこで検疫プログラムが走るものというイメージなのですが、その認識は合っていますでしょうか。ISE Postureでは何が出来てどのような動作をするのか具体的かつ分かり易く日本語で記載された資料が見当たらないので、理解するのが難しく導入に消極的です。

 

ちなみに、制御はできないまでもAnyConnect接続端末の情報を可能な限り吸い上げる目的で、AnyConnect接続時にHostScanを走らせていますが、これは意味がありますでしょうか?(HostScanで採取した?情報がCisco ISEに転送され、エンドポイント情報として表示されるだろうかという質問です)

HostScanの高負荷を回避するためにISE Postureに切り替えるのもありですが、ISE Postureの方が(条件による制御を行わなかったとしても)HostScanよりも多くの端末情報を収集できるものなのでしょうか。

 

 

ご厚意に甘えて、つい取り留めの無いことをつらつらとあれこれ質問ばかりしてしまい誠に申し訳ございませんが、どのような事でも構いませんのでご意見頂戴できれば幸いです。

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-05-30 10:58 PM ‎2021-05-30 11:09 PM 更新

詳しい返信ありがとう御座います。AnyConnectの検疫は経験豊富というわけではないのですが、私の個人的な意見ですがご参考になれば。

 

まず、ISE Postureの評価についてですが、ISEのスマートライセンスは 初期インストール時 90日は全てのライセンスの試用ができたと思うので、そちらで試して頂くといいのではと思います。またASAもAnyConnect Apexの終端は2つまで無料でできたと思います。90日以内に評価が終わらない場合は、ISEを再インストールして頂ければ評価ライセンス復活したと思うので、何度でも試せたと思います。
https://community.cisco.com/t5/security-documents/how-to-get-ise-evaluation-software-amp-licenses/ta-p/3630795

 

ISE Posture利用時のクライアント側の動作ですが、AnyConnectの組み込みモジュールのため、AnyConnect接続時に勝手にモジュールがシステムスキャンし検疫を行ってくれます。そのため、クライアント側は煩わしさは感じないはずです。

 

Hostscanの処理は AnyConnect Clientと VPNコンセントレーター(つまりASA)間で発生するため、ISE側としてはそのやり取りは知る由はなかったような気がします。また、Hostscanを利用する場合は、1つ1つクライアントの処理負荷は低くても、膨大なクライアントが同時接続する環境(※)だと そこそこな処理負荷になるため、Hostscanの設定はシンプルにしたり、ASAの数を増やして処理負荷を分散するとよかったはずです。(※Hostscanを多用する大規模環境で、管理が複雑になったり、過負荷でシステムが不安定になったケースは何度か見たことがあるので・・。)

 

そのため、仮に私が担当社内SEでしたら、Hostscan設定が膨大に増えかねない端末ごとのユニークな許可/排除設定は、パフォーマンスや 管理運用性の観点(都度追加や管理はIT管理者が疲弊したりミスの温床になる)から、採用しないことを推奨しますし、許可しないと思います。

 

なお、私は ISE Posture を何がなんでも推奨!というわけではなく、同時接続数が多くなかったり、ASA側で処理負荷に余裕ある場合、かつ ISE Postureでしかできない機能(※)は使わない場合は、Hostscanの利用でも問題ないかと思います。また、正直いえば今でも利用者はHostscan使ってる方のほうが多数だと思います。Hostscanは実績も豊富ですし。また、Hostscanも、ご存知かと思いますが、レジストリやプロセスのチェックはできるため、ISE Postureを使うか Hostscanを使うかは、予算や管理運用性、機能要件、スケーリング設計、および 担当エンジニアの新技術への興味次第かな、と思います。(※USB利用有無、アプリやファイルの詳細チェック、Disk暗号化有無チェック機能など)

 

あと本スレッドの制限の目的は個人所有PCの排除かと思うので、ドメイン非参加 及び 業務アプリケーションや会社指定アンチマルウェアソフトウェアがインストールされてなければ、まず黒かなぁと思うのですが、そう単純じゃない感じなのでしょうか?(私の考慮が不足してたらすみません。)例えば私の会社が利用してるアンチマルウェアソフトウェアは商用のものなので、個人が購入して個人PCにインストールは困難です。他、いくつか社員は強制インストールさせられるアプリがあります。PCは指定メーカーのを使ってるので、そのメーカー純正アプリも入ってますね。逆に個人PCに入ってそうな、Lineや Zoom、iTuneとかはブロックするとか。

 

あと、私の感覚上、ドメイン非参加の社員PCというのは それってアリなの?とおもってしまいますし(私ならそういう社員はRAVPNはつながさせません  (`・ω・´)キリッ)、協力会社さんのPCの場合は別の証明書やID/Passwordを渡して 社内アクセスは最低限に制限して情報流出のリスクを減らすと思います。

解決策を見る
cja56910tf
VIP
VIP
Akira Muranakaに対する応答

‎2021-05-31 08:54 AM

早速のご回答、誠にありがとうございます。

 

まず、当方のISEは本番環境で稼働中なので、再インストールは出来ないとご理解いただきたく思います。

ISE PostureはAnyConnect接続時にモジュールが自動的にシステムスキャンしてくれるというのは、HostScanと同じなので、面倒や煩わしさがないことから導入のハードルは下がったように思います。

 

 ISE PostureとHostSacanのメリット/デメリット、導入/使用実績、推奨/提案とその根拠、Akira Muranaka様のご見解は大変興味深く拝読させていただきました。いただいた内容を基にして当方の環境を見直したいと思います。

 

なお当方の環境については世間一般の常識から外れており、大変お恥ずかしい限りです。

社員であっても従来の慣習と業務都合を盾にしてドメイン非参加PCを使用し続けているというお粗末な状況です。

あとは客先に持ち出して使用する現地作業用のノートPCもあり、それらはなぜかドメイン参加してくれません。

あと、派遣社員はまだ良いのですが、プロジェクト期間中のみの一時ユーザーや、国内外オフショア開発のための外部ユーザーもAnyConnectを使用して接続しに来ているので、画一的な条件設定が難しいという事情があります。

もちろんアクセス先についてはACLや対象サーバで制限を掛けていますし、それらのユーザーがちゃんと社給貸与の機器を使ってくれれば良いのですが、個人PCを使って接続していた例が発見されたので今回の投稿に至った訳です。

MACやシリアル番号などを申請させて、それと一致しないと接続出来ないようにする事は可能か?と問い合わせを受けたものですから・・・

 

すみません。いつの間にか愚痴になっておりました。

いずれにせよ、何かの基準を設けて制御しないといずれ情報流出・漏洩が起きそうなので、対策は強化しようと思います。

今回ご教授いただいた内容のおかげで、どの機能・製品で何が出来るのか/出来ないのかが大体分かりましたので、これを基に社内で再検討して必要な措置を適用していきたいと思います。

 

最後になりましたが、非常に分かりやすく丁寧で親身なご回答をいただきましたこと、あらためまして厚く御礼申し上げます。

0 いいね!
Customers Also Viewed These Support Documents