解決済み: Cisco ISE のプロファイリングにおいて、認証端末が仮想マシンであるかを判別したい

cja56910tf · ‎2021-09-17

Cisco ISE 3.1を使用しています。

有線・無線の認証において802.1XやMABを用いた認証を行っています。

プロファイリングを有効にしてあるので、認証端末の詳細(属性)が分るのですが、その端末が物理PCなのかVMwareやHyper-V上で動作している仮想PC(ゲストOS)なのかが分かりません。

これを判別できるようにするためにはどうしたら良いかご教授いただけませんでしょうか。

(カスタムプロファイリングを作成して適用する？という感じで実現できそうな気もしますが・・・)

出来ましたら具体的な設定例を添えてご回答いただけると有難いです。

TUN88 · ‎2022-02-22

ご参考にまとめてみました。まずHyper-Vを識別する定義です。こちらではHyper-Vを使っておりませんで、実際の動作は割愛します。
まずHyper-VのOUIは下記サイトによれば00:15:5dとなります。
https://macaddress.io/faq/how-to-recognise-a-microsoft-hyper-v-virtual-machine-by-its-mac-address

次にこの値でISEのProfiler Conditionsを作ります。
※添付1-Profiler Conditions.JPG

作った定義を使ったProfiling Policyを作成します。定義済みのポリシー、VMWare-Deviceをコピーすると楽ですね。
Minimum Certainty Factorはある程度大きな値にしないと、他のポリシー定義に負けてしまうのでここでは200としています。同じくRuleの方の値も大きく200としました。もしかすると、Yes, create matching Identity Groupはチェックを入れて、このポリシーに対応するMACアドレスグループは作っていいかもしれません。
※添付2-Profiling Policy.JPG、3-Profiling Policy.JPG

これでHyper-VのOUIに一致するクライアントからISEへ認証が来れば、Hyper-Vとして判別されるはずです。

精度がいまひとつという点は難しい部分なのだと思います。動きを見ていると、定義済みのProfiling Policyのルールを変更したり、確度の高いルールの数値を大きくして、判定の仕組みを調整すると改善される様子です。あとはProfilingが複数の探査方法をサポートしているので、複数有効にしてもいいのかもしれません。
※添付4-Profiling Config.JPG

Profilingはここのページに詳しく書かれておりました。Device Sensorも使うと、なお精度が上がりそうでした。
https://community.cisco.com/t5/security-documents/ise-profiling-design-guide/ta-p/3739456

元の投稿で解決策を見る

TUN88 · ‎2022-02-17

バージョン3系で見てみましたが、プロファイリングポリシーだとデフォルトでWindowsクライアント用のWindows10-Workstation、Windows11-Workstation等と、VM用と思しきVMWare-Deviceという定義があります。
VMWare-Device定義の中身がMACアドレスのOUIで判定しているので、同じ要領でHyper-VマシンをOUIで判定するプロファイリングポリシーを設定すれば仮想マシンが判定できて、こちらに該当しなかったらWindowsという区別ができると思われます。

動き次第ではプロファイリングポリシーのCertainity Factorを編集して、クライアントにマッチさせる優先順位を挙げる等調整は必要なのかもしれません。

cja56910tf · ‎2022-02-17

ご回答いただきまして誠にありがとうございます。

ご教授いただいた内容について概ね理解出来ましたが、もう少し質問・確認させて下さい。

・もし可能であれば、"Hyper-VマシンをOUIで判定するプロファイリングポリシーを設定"の具体的な手順またはスクリーンショットをご提供いただけませんでしょうか。プロファイラポリシーを新規作成し、さらにそこで使う判定条件も新規作成して、そのExpressionをMAC:OUI CONTAINS xxxxx のような形にすれば良いのかな？と思うのですが・・・

・"Hyper-VマシンをOUIで判定するプロファイリングポリシーを上げる"についても、可能であれば詳細手順またはスクリーンショットをご提供いただけますと助かります。

なお、私の最初の質問の仕方が不適切であったので、補足/訂正させて下さい。

コンテキストの可視性・エンドポイントの画面では、認識されたエンドポイントのエンドポイントプロファイルが"VMware-Device"や"Windows xxx-Workstation"として表示されているものがあります。なのでプロファイラの機能は動いているとは思っています。ただ、実際はWindows7の端末なのにWindows8と表示されたり、Windows Server 2003/2008/2012のようなサーバOSのプロファイリングが出来なかったり、Hyper-Vの端末が識別出来なかったりしたので、判定制度はイマイチなのかな？と思いまして、より判定制度を高める方法はないだろうかと思いまして投稿した次第です。

また、有線と無線接続時に802.1XあるいはMAC(MAB)による認証を行っているのですが、この条件判定に物理PCか仮想PCかを使いたく思っていたのですが、それが思った通りに動作しない場合がありました。具体的には例えば仮想PCなのにその条件に一致しないというものです。ただ、認証成功後に少しすると該当端末がVMware-Deviceと識別されている場合もあります。恐らく認証時には得られる情報が少なくて仮想PCであると判定できなかったが、認証成功後のパケットのやり取りを見て端末のプロファイリングが出来たのだろうと思っています。なのでプロファイリング精度を高めるためにも、何か良い方法がないかと思いまして投稿しました。

なかなかに難しい要望だとは思いますが、もし具体例や設定例についてご存じの事がありましたら、ご教授いただけますと幸いです。

TUN88 · ‎2022-02-22

ご参考にまとめてみました。まずHyper-Vを識別する定義です。こちらではHyper-Vを使っておりませんで、実際の動作は割愛します。
まずHyper-VのOUIは下記サイトによれば00:15:5dとなります。
https://macaddress.io/faq/how-to-recognise-a-microsoft-hyper-v-virtual-machine-by-its-mac-address

次にこの値でISEのProfiler Conditionsを作ります。
※添付1-Profiler Conditions.JPG

作った定義を使ったProfiling Policyを作成します。定義済みのポリシー、VMWare-Deviceをコピーすると楽ですね。
Minimum Certainty Factorはある程度大きな値にしないと、他のポリシー定義に負けてしまうのでここでは200としています。同じくRuleの方の値も大きく200としました。もしかすると、Yes, create matching Identity Groupはチェックを入れて、このポリシーに対応するMACアドレスグループは作っていいかもしれません。
※添付2-Profiling Policy.JPG、3-Profiling Policy.JPG

これでHyper-VのOUIに一致するクライアントからISEへ認証が来れば、Hyper-Vとして判別されるはずです。

精度がいまひとつという点は難しい部分なのだと思います。動きを見ていると、定義済みのProfiling Policyのルールを変更したり、確度の高いルールの数値を大きくして、判定の仕組みを調整すると改善される様子です。あとはProfilingが複数の探査方法をサポートしているので、複数有効にしてもいいのかもしれません。
※添付4-Profiling Config.JPG

Profilingはここのページに詳しく書かれておりました。Device Sensorも使うと、なお精度が上がりそうでした。
https://community.cisco.com/t5/security-documents/ise-profiling-design-guide/ta-p/3739456

cja56910tf · ‎2022-02-24

ご回答ありがとうございます。

ご教授いただいた内容に沿って早速ISEの設定を行いました。

(Profiling探査方法も可能な限り複数を対象としました。)

結果、Hyper-V端末が "MS_Hyper-V"であると判断されるようになりました。

おかげ様で意図した事が実現出来ました。

この度のご教授・ご指南に対し、あらためまして厚く御礼申し上げます。

TUN88 · ‎2022-02-25

とんでもないです。無事動作したようで、何よりです。