はじめに

ISEのSecurity SettingsでSecurity向上を目的として使用可能なTLSのVersionを制限できます。TLSの対向として何を考慮すべきかはオンラインヘルプでわかりますが、特に802.1x supplicant端末のover EAPなTLS接続におけるTLSのversionがよく気になる点かと思われます。
本投稿ではTrustSec使用時の注意点を簡単に紹介します(以下はiSE 3.1での画面例でTLS 1.0/TLS 1.1は許可しない設定になっています)。

TrustSec使用環境での注意点

TrustSecではISEとNAD(Network Access Device: Switch,WLC等)の間でEAP-FASTを使ったPAC(Protected Access Credential)のやりとり(PAC Provisioning)を実施します。EAP-FASTもEAP-TLS/PEAP同様over EAPなTLSをISE-NAD間で確立しますがここでもTLSのVersionが関係してきます(EAP-TLS/PEAPは端末-ISE間のTLS)。

16.x 以下(15.x, 12,x, 3.x 含め)のversionのIOS(-XE)ではover EAPなTLSのversionは1.0のみとなっています。関連のIDとしては
CSCvr92716: C9300- 16.6.3 Cannot provision PAC using TLS 1.2

が上げられます。このIDはC9300/16.6.3という限定的なhardware/softwareの題名となっていますが、実際にはover EAPなTLS version 1.2は17.x以降のIOS-XEで実装されるとご理解ください。

そのため、上記画面のようにTLS 1.0/1.1を許さない設定にするとISE-NAD間でのPACのやりとりが出来ず、TrustSec情報(SGT, Environment data, SGACL, policy等)をNADが持ちえずNetwork全断といった状況も考えられます。

有線NADだけではなく無線NADにもこのような制限があり、
CSCvr86052:ENH: Adding EAP-FAST TLSv1.2 support in AireOS(非公開)
が報告されています。

まとめ

一般的に「NADでサポートしているTLS version」という観点でconfiguration guide/command reference/release notes等確認した場合、製品の実装にもよるかとは思いますがそれはover TCPなTLSのversionを指していることが多いようです。TrustSec NetworkでISE側でTLS versionを制限する場合はご利用のNADがover EAPなTLSに関してどのversionに対応しているかを注意し、十分検証の上本番環境での適用をすることが必要になります。

(個別の対応状況に関しては本投稿では割愛します。)