Em posts anteriores falamos que o ISE garante o acesso controlado e seguro na rede. Não só temos visibilidade sobre quem se liga na rede (identidade do utilizador) mas também sobre o quê. Neste artigo iremos explorar mais esta capacidade do ISE poder identificar o tipo de dispositivo.
O Cisco ISE tem um serviço denominado Profiling, que permite identificar os dispositivos que se ligam a rede bem como a sua localização. Os dispositivos são categorizados de acordo as políticas de profiling definidas no Cisco ISE. O ISE garante o acesso aos recursos da rede, de acordo o resultado das políticas.
Usando o serviço profiling:
- É possível adicionar uma camada adicional de proteção aos serviços 802.1X, MAB (Mac Authentication Bypass) e WebAuth (Web Authentication)
- Identificar, localizar e determinar as características de todos os dispositivos ligados na rede
- Proteger contra o acesso não autorizado de determinados dispositivos
Os dispositivos quando identificados, são classficados em grupos específicos, permitindo criar políticas específicas para cada tipo de dispositivo. Por exemplo, podemos definir que o utilizador Silésio poderá aceder um servidor da empresa se estiver usando um computador com o sistema operativo Linux mas não poderá aceder o servidor, caso ele esteja usando um computador com o sistema operacional MAC ou Windows.
O serviço profiling detecta o tipo de equipamento, usando probes.
Probes são mensagens enviadas ou solicitadas pelo ISE quando o dispositivo se liga à rede. Estas mensagens são enviadas de diferentes formas, por diferentes equipamentos. Algumas probes são enviadas pelo NAD (switch ou WLC), Active Directory, computador, etc. Vamos ver algumas destas probes:
- NetFlow Probe - ISE suporta NetFlow versão 5 e versão 9. O NetFlow permite rastrear/monitorar características do tráfego como IP de origem, IP de destino, porta de origem, porta de destino, tipo de serviço...
- DHCP Probe - é usado para classficar o tipo de equipamento quando o ISE é definido como servidor DHCP usando o compando ip-helper address. Eis alguns dos atributos usados para identificar o equipamento: Class-Identifier, Client-FQDN, Host-Name, Domain-Name.
- RADIUS - é o primeiro mecanismo de comunicação entre o NAD e o servidor de autenticação. Eis alguns dos atributos usados para identificar o tipo de equipamento: Calling-Station-Id, Framed-IP-Address, Called-Station-Id, NAS-Port-Type, Service-Type.
- Network Scan (NMAP) - NMAP é uma ferramenta de varredura que usa portas, SNMP, SNMB e outros mecanismos para identificar o sistema operativo do dispositivo, nome do computador, nome do domínio e outros atributos.
- DNS - esta probe é usada para colectar FQDN (Fully Qualified Domain Name) do equipamento fazendo reverse lookup no registo de DNS estático ou dinâmico.
- SNMPQUERY e SNMPTRAP - é usada para consultar NADs que não suportem o sensor de dispositivo Cisco. Após ativar a probe SNMPQUERY, ISE recolhe todos os valores SNMP habilitados no NAD. A probe SNMPTRAP é enviada pelo NAD e contém notificação de alteração de MAC, estado da porta linkup e linkdown.
- Active Directory - esta probe ajuda a distinguir equipamentos que sejam do domínio e equipamentos que não sejam do domínio. A AD mantém informação detalhada sobre o sistema operativo dos computadores, o que permite usar determinados atributos como: AD-Host-Exists, AD-Join-Point, AD-Operating-System, AD-OS-Version, AD-Service-Pack.
Exemplo de Probes:
