購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1232
閲覧回数
6
いいね!
0
コメント

ISEでのEAP Session Resumeに関して

hiryokoy
Cisco Employee
Cisco Employee

‎2021-10-26 04:28 PM

はじめに

本稿ではISEのGUIを使ってEAP session resumeの概要を簡単に紹介します。弊社の旧製品であるACSでも機能はあり、元より弊社固有の機能ではありません。
ISEの設定箇所としては、Administration > System > Settings > Protocols配下のEAP FAST Settings/EAP-TLS/PEAP/EAP-TTLSです。

  • EAP FAST Settings

     

    2021-10-23-18-00-04.png

  • EAP-TLS

     

    2021-10-23-18-03-38.png

  • PEAP

     

    2021-10-23-18-05-49.png

  • EAP-TTLS

     

    2021-10-23-18-07-19.png

Session Resumeとは

EAP Session ResumeといってもEAPの話ではなく、TLSレベルの話になります。
Session ResumeはSession Resumption, セッション再開等と言われます。

Stateful Session Resume

通常のSession ResumeはSession情報をサーバ側(ここではISE PSN)にキャッシュしておき、既存のSessionに関する接続リクエストが来た場合にTLSのnegotiationを簡略化します。これによって端末側では再接続の速度向上やサーバ側ではパフォーマンス向上/負荷低減が見込まれます。上の4つの絵の赤線のものになります。それぞれキャッシュしておく時間をSession Timeout値として設定可能です(Switch/FW等で設定するSession Timeoutとは全く別ものです)。サーバ側でSessionの情報を保持しておくという意味でStatefulなSession Resumeと言えます。

Stateless Session Resume

上の絵で一箇所青線となっている箇所がありますが、これはStatelessなSession Resumeとなっています。これはRFC5077(Transport Layer Security (TLS) Session Resumption without Server-Side State)にあるTLS Session Ticket extentionを使う方法になります。この場合、サーバ側に情報をキャッシュするのではなくその情報はSession Ticket内に保持され再接続時端末から提供されます。Session TicketであればDeployment内の他のPSNに再接続した場合も利用可能です。Stateless Session ResumeはEAP-TLSでのみ使用可能で有効にするには上記の絵以外のPolicy > Policy Elements > Results > Authentication > Allowed Protocolsの個々のServiceで

 

2021-10-23-19-31-43.png


有効にする必要があります。

さらに上の絵で一箇所黄線となっているところがありますが、これはPEAPのFast Reconnectです。Session ResumeでTLSのnegotiationを簡略化するのに対し、Fast ReconnectはPEAPのTLS tunnel(Outer method)内を流れるMSCHAPv2等のinner methodを省略することでPEAPのやりとりを簡略化します。Windows等の端末側にも設定箇所があります。

EAP-FASTでのSession Resume

上のEAP FAST SettingsにはPAC-less Session Resumeという表記があります。これはいわゆる通常のSession Resume(Stateful)であり、サーバ側で情報をキャッシュするものになります。

EAP-FASTでは通常PAC(Protected Access Credential/Protected Authentication Credential:本稿では詳細は割愛します)を使用します。EAP-TLSでStateless Session Resumeを有効にした設定箇所の下にEAP-FASTの設定箇所があり、

 

2021-10-23-20-07-48.png

とStateless Session Resumeを有効にできます。Don't Use PACsにチェックが入っている場合上の絵の項目は表示されません。PACによってサーバ側に情報を持たせずに再接続を高速にするという意味でTLSのSession TicketとPACには類似性があると言えると思います。

注意

Stateful/Stateless Session Resumeはスピードや負荷といった面で有効ではありますが、セキュリティの観点では非セキュアでは?という議論があります。両者はトレードオフの関係にあり、要件は利用者側のセキュリティポリシーによってきますので十分検討の上導入する必要があります。

参考情報

Cisco Live: Advanced ISE Architect, Design and Scale ISE for your production networks - BRKSEC-3432 p.142-146

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents