OpenDNS-WLC 統合ガイド
はじめに 2 前提条件 2
使用されるコンポーネント 2 表記法 2
機能概要 2
OpenDNSにおける一般ワークフロー 3
OpenDNSワイヤレスLANコントローラ統合の設定 4 OpenDNS WLANコンフィギュレーション モード 30 OpenDNSのアクティビティ レポート 31
OpenDNSサポート 33 OpenDNSの制限事項 34
Revised: June 16, 2017,
はじめに
このドキュメントでは、OpenDNS WLC統合について紹介し、その展開のための一般的なガイドラインを示します。
このドキュメントでは、次のことを目的としています。
• OpenDNS WLC統合機能の概要の提供
•サポートされている主な機能のハイライト
• WLCでのOpenDNSの展開および管理に関する詳細の提供
前提条件
顧客は、8.4コードにアップグレードするために、ワイヤレスLANコントローラにAireOS 8.0以降のリリースを用意 する必要があります。
使用されるコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このマニュアルで使用され るデバイスはすべて、初期設定(デフォルト)の状態から作業が開始されています。ネットワークが稼働中の場合は、
コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『Cisco Technical Tips Conventions』を参照してください。
機能概要
OpenDNSは、クラウドで提供されているネットワーク セキュリティ サービスです。マルウェアからデバイスを保護
し、リアルタイムで侵害を阻止するためのインサイトを提供します。進化するビッグ データとデータ マイニング手法 を使用して、攻撃を積極的に予測し、カテゴリ ベースのフィルタリングも行います。
この機能の動作に関連する用語は次のとおりです。
1 APIトークンは、OpenDNSポータルから発行され、デバイス登録にのみ使用されます。
2 デバイスIDは固有デバイス識別子です。ポリシーはIDごとに適用されます。
3 EDNSは、タグ付けされたDNSパケットを伝送するDNSの拡張機能です。
DNS要求は常にWeb要求に先行します。ワイヤレスLANコントローラは、クライアントからのDNS要求をインター セプトし、クエリをクラウド上のOpenDNSサーバ(208.67.222.222, 208.67.220.220)にリダイレクトします。OpenDNS サーバはDNSクエリを解決し、事前設定されたセキュリティ フィルタリング ルールをID単位で適用して、ブロック されたページをクライアントに返すことで悪意のあるドメインとしてマーキングするか、または解決済みのIPアドレ スをクライアントに返すことで安全なドメインとしてマーキングします。
OpenDNS における一般ワークフロー
1 OpenDNSサーバにおけるWLC登録は1度限りの作業であり、セキュアなHTTPSトンネルを介して行われます。
2 OpenDNSのダッシュボードからデバイス(WLC)登録のAPIトークンを取得します。
3 ワイヤレスLANコントローラにトークンを適用します。これにより、デバイスがOpenDNSアカウントに登録され ます。次に、WLCでOpenDNSプロファイルを作成します。プロファイルがIDとしてOpenDNSに自動的にプッ シュされ、ポリシーはIDごとに適用されます。
4 ワイヤレス クライアントとOpenDNSサーバ間のトラフィック フロー 5 ワイヤレス クライアントがWLCにDNS要求を送信します。
6 WLCがDNSパケットをスヌーピングし、OpenDNSプロファイルでタグ付けします。プロファイルは、OpenDNS にも存在するパケットのIDです
7 このEDNSパケットは、名前解決のためにOpenDNSクラウド サーバにリダイレクトされます。
8 次にOpenDNSは、IDに応じてポリシーを適用し、カテゴリ ベースのフィルタリング ルールを適用して組織のコン プライアンスを確実にします。
9 ルールに応じて、照会されたDNS要求に対して、ブロックされたページまたは解決されたIPアドレスをクライア ントに返します。
OpenDNS ワイヤレス LAN コントローラ統合の設定
手順
ステップ 1 OpenDNSのプロビジョニングでは、OpenDNSクラウドでユーザ アカウントを作成する必要がありま す。
サブスクリプションはアカウントごとに適用され、OpenDNSでは14日間の無償トライアル ライセンス が提供されます。
永久ライセンスは、CiscoOne Advanced Subscriptionの対象となります。
ステップ 2 次に、OpenDNS用のワイヤレス コントローラ(GUIまたはCLI)を有効にします。
ステップ 3 WLCは、セキュアなHTTPSトンネルを介してクラウド アカウントに登録します。
ステップ 4 WLCでプロファイル(ID)を設定します。プロファイルは、WLAN、APグループのいずれかにマッピ ングするか、またはローカル ポリシーに組み込むことができます。
ステップ 5 WLCは、DNSパケットをOpenDNSクラウドにリダイレクトします。
ステップ 6 OpenDNSのセキュリティ ポリシーは、IDごとに適用されます。
ワイヤレス コントローラのOpenDNS設定手順では、OpenDNS機能を有効にし、APIトークンを設定 し、プロファイルを作成し、プロファイルをWLAN、APグループ、またはローカル ポリシーにマッピ ングする必要があります。
1 ローカル ポリシー 2 AP Group
3 WLAN
OpenDNSプロファイルをローカル ポリシーにマップすると、属性(ユーザ ロール、デバイス タイプな
ど)の動的評価に基づいて、細分化されたユーザ ブラウジング エクスペリエンスが可能になります。ド キュメントの残りの部分では、次の2つのシナリオについて説明します。
•シナリオ1:OpenDNS用にWLCを設定し、OpenDNSプロファイルをユーザ ロール ベースのロー カル ポリシーに組み込みます。また、OpenDNSサーバの基本設定にも触れます。
•シナリオ2:OpenDNS用にWLCを設定し、WLANおよびAPグループにOpenDNSプロファイル を適用します。
シナリオ 1 : OpenDNS 用のローカル ポリシーの設定
組織内で、ユーザのロール タイプに基づいて、(特定のWebサイトの)インターネット アクセスをユーザに対し制限 することを目標とします。たとえば、従業員には、アダルト、ギャンブル、ヌードなどのサイトを除くフル インター ネット アクセスを許可し、請負業者に対してはより厳密に、ソーシャルWebサイト、スポーツ、アダルト、ゲーム、
ヌードなどへのアクセスを制限する必要があるとします。
シスコは、外部のAAAサーバを使用してユーザを認証し、IDに基づいて、請負業者または従業員としてロールをWLC に渡します。WLCでは、ユーザは従業員用と請負業者用の2つのポリシーを設定し、それぞれに異なるOpenDNSプ ロファイルを適用して、同じdot1x対応WLANに接続したときにブラウジング アクティビティを制限します。これを 行うために、次の順序で設定します。
1 OpenDNSサーバ上:アカウントを作成し、デバイス(WLC)登録のためのAPIトークンを生成します。
2 WLC上:OpenDNSをグローバルに有効にし、APIトークンを適用して、従業員と請負業者用のOpenDNSプロファ イルを作成します。
3 OpenDNSサーバ上:従業員と請負業者のカテゴリ定義とルールおよびポリシーを作成します。
4 WLC上:AAAが返すロールとそれぞれの下にあるOpenDNSプロファイルを関連付ける従業員と請負業者用のロー カル ポリシーをそれぞれ作成します。
5 WLC上:2つのローカル ポリシーをdot1x WLANに関連付けます。
手順
ステップ 1 次のWebサイトから、14日間のトライアル アカウントを作成します:https://signup.umbrella.com/
ステップ 2 OpenDNS Umbrellaサイトにログインし、アカウントを作成します:https://login.opendns.com/
ステップ 3 OpenDNS Umbrellaのダッシュボードのメインのランディング ページで、[GET MY API TOKEN]をクリッ クします。
ステップ 4 WLCのメイン メニューから、[Controller]> [General]に移動して、ドメインを解決できるDNSサーバの IPアドレスを入力します。これは、WLCでOpenDNS機能を有効にする際に初めて必要となります。
ステップ 5 WLCのメイン メニューから、[Security]> [OpenDNS] > [General] > [enable OpenDNS Global Status]に移動 します。
CLI command:config openDNS enable
ステップ 6 同じ[WLC]画面で、OpenDNSサーバ アカウント(ステップ2)から取得したAPIトークンを設定しま す。
ステップ 7 同じページから、[Security]> [OpenDNS] > [General]に移動して、OpenDNSプロファイルを作成します。
CLI command: config openDNS profile create <profile-name>
ステップ 8 WLCで、CLIまたはGUIを介して、従業員用(employeeOD)と請負業者用(contractorOD)の2つの
OpenDNSプロファイルを作成します。これらのプロファイルは自動的にIDとしてOpenDNSアカウン
トにプッシュされます。
CLIで、次に示すように、2つのプロファイルを確認できます。
各OpenDNSプロファイルには、コントローラ上で生成された独自のOpendns-Identity(<WLC name> _<profile name>の形式)があり、クラウド上の関連付けられているOpenDNSアカウン トにプッシュされます。
(注)
a) OpenDNSのダッシュボードから、左側のメニューで、[Identities]> [Network Devices]をクリックしま
両方のIDemployeeODおよびcontractorODが含まれているWLCが[Device Name]に表示されている ことを確認します。
b) 次に、従業員および請負業者のユーザ ロールの分類ルールを作成して、どのドメインを両方でブロッ クする必要があるかを確認します。左側のメニュー バーで、[Policies]> [Category Settings]を選択しま
ここでは、演習用にemployeeCategoryとcontractorCategoryを作成しました。
employeeCategoryは、アダルト テーマ、アドウェア、ギャンブルなどの特定のサイト カテゴリを制 限しています。同様に、contractorCategoryは、アダルト テーマ、アドウェア、ギャンブル、ゲー ム、ニュース、ソーシャル ネットワーキングなど、より多くのコンテンツを制限しています。
ブロックされたカテゴリを表示するには、employeeCategoryをクリックします。リストを編集して カテゴリを追加または削除できます。
ステップ 9 最後に、OpenDNSサーバで2つのポリシーを作成して設定します。左側のメニュー バーで、[Policies]>
[Policy List]を参照します。
ここでは次の2つのポリシーを作成しました。
1 EmployeePolicy 2 Contrator Policy
EmployeePolicyはemployeeODIDに割り当てられ、最後のステップで作成したカテゴリemployeeCategory に関連付けられます。
同様に、contractorPolicyも、以前に作成されたカスタム カテゴリcontractorCategoryに関連付けられて いるcontractorODIDに割り当てられます。
ポリシーEmployeePolicy、contractorPolicyをクリックして、この詳細を表示できます。
[Select Policy Settings]に移動して、カテゴリ設定をemployeeCategoryに設定したことを確認します。
ステップ 10 ISEでのユーザ ロールの設定。
a) AAAサーバまたはISEを設定して、ユーザの802.1x認証を許可し、ローカル ポリシーの適用のため
にAAAサーバがワイヤレス コントローラにROLE文字列を送り返すようにします。
以下に示すように、ISEで、ユーザ(従業員と請負業者)およびグループ(グループemployeeおよ びcontractor)を設定します。
b) また、グループ(グループEmployeeおよびcontractor)を設定します。
ISEのこのセクションでは、ISEの内部ユーザを対象にテストを行っています。ISEがActive
Directoryのような外部ユーザ データベースを指している場合、ルールはそれぞれのユーザ
ADグループを指すように変更されます。
(注)
c) 目的のロールを持つ特定のユーザ グループ(employeeまたはcontractor)に対してISEポリシーを 作成します。
この時点で管理者は、上記に示すように、ワイヤレス ユーザがアクセス タイプ(accept/reject)およ びユーザ ロール(employee/contractor)を含む認証プロファイルを返すように、ISE/AAAサーバ上で
ステップ 11 OpenDNS用のローカル ポリシーの設定
ユーザは、ユーザ ロール ベースのローカル ポリシーを設定し、OpenDNSプロファイルをそのローカル ポリシーに関連付けることができるようになりました。最後に、ローカル ポリシーを特定のWLANに マップします。
a) WLCで従業員と請負業者用の2つのローカル ポリシーを作成します。
WLCのメイン メニューから、[Security]> [Local Policies]に移動して、[New]をクリックします。
ローカル ポリシー名を「employee」および「contractor」として作成し、[Apply]をクリックします。
同様に、請負業者用にもう1つを作成します。
b) 従業員のローカル ポリシーをクリックし、従業員のOpenDNSプロファイル(employeeOD)で設定 します。
c) [Match Criteria]で、[Match Role String]を「employee」として設定し、[Action]リストの下で、[OpenDNS Profile]に移動します。ドロップダウン リストから、「employeeOD」を選択し、[Apply]をクリック します。
[Match Criteria]で、[Match Role String]を「contractor」として設定し、[Action]リストの下で、ドロッ プダウンから請負業者用の[OpenDNS Profile]を選択し、「contractorOD」を選択してから、[Apply]
をクリックします。
ステップ 12 WLANでのOpenDNSの設定
a) WLCのメイン メニューから、[WLAN]> [WLAN ID] > [Policy-Mapping]に移動します。[Priority Index]
を[1]に指定し、[Local Policy]ドロップダウン メニューから[employee]を選択し、[Add]をクリック します。
同様に、WLANに請負業者のポリシーを適用します。
その結果、従業員クレデンシャルでログインしているユーザは、「role = employee」に関連付けら れ、WLCで従業員のOpenDNSプロファイル(employeeOD)を継承します。同様に、請負業者のク レデンシャルにログインしているユーザは、「role = contractor」に関連付けられ、WLCで請負業者 のOpenDNSプロファイル(contractorOD)を継承します。
b) WLCがWLANのすべてのDNSをOpenDNSサーバにリダイレクトするには、[OpenDNS Mode]を次 に示すように[Forced]に設定する必要があります。これを行うには、[WLAN]> [Advanced]に移動しま す。
c) 検証
1 従業員のユーザ クレデンシャルを使用してクライアントをWLANに接続します。
2 従業員用に作成したカテゴリ フィルタリング ルールでブロックされているサイトにアクセスを試 みます。ブロックされたサイトの場合、クライアントには、サイトまたはドメインが制限されて いることを示すページが表示されます。
3 請負業者のユーザ クレデンシャルを使用して同じWLANへの関連付けを試みて、テストを繰り 返します。従業員に許可されたブラウジング アクセスと請負業者に許可されたブラウジング アク セスの違いがわかります。
シナリオ 2 : OpenDNS の WLAN/AP グループの設定
ローカル ポリシーと同様に、OpenDNSプロファイルは、WLANまたはAPグループに関連付けることができます。以 下のセクションでは、OpenDNSプロファイルをWLANおよびAPグループに関連付ける方法に関するGUIおよびCLI コマンドからのスクリーンショットを示します。OpenDNSアカウントがすでに作成されており、そこからAPIトーク ンがコピーされているものとします。
手順
ステップ 1 WLCのメイン メニューから、[Controller]> [General]に移動して、ドメインを解決できるDNSサーバの IPアドレスを入力します。これは、WLCでOpenDNS機能を有効にする際に初めて必要となります。
CLI command: config opendns server-ipv4 primary <primary-server> secondary <secondary-server>
ステップ 2 [Security]> [OpenDNS] > [General]に移動して、WLCでopenDNSをグローバルに有効にします。
CLI command: config openDNS enable
ステップ 3 OpenDNSアカウントから取得したAPIトークンを設定します。
CLI command: config openDNS api-token <token>
ステップ 4 OpenDNSプロファイルを作成します。
CLI command:config openDNS profile create <profile-name>
ステップ 5 WLANまたはAPグループにプロファイルをマッピングします。
a) WLANにOpenDNSプロファイルを関連付けるには、[WLANs]> [WLAN Id] > [Advanced]に移動して、
[OpenDNS Profile]の下で、上記で作成したcontractorODプロファイルを選択します。
CLI command: config wlan opeDNS-profile <wlan-id> <profile name> enable
b) APグループにプロファイルをマッピングするには、[WLANs]> [Advanced] > [AP Groups]に移動しま す。目的のAPグループを選択し、[WLANs]タブに移動します。右側の青いボタンの上にマウスを置 き、[OpenDNS Profile]を選択します。
次のスクリーンショットでは、APグループAPgrp1が選択され、contractorODOpenDNSプロファイ ルが にマップされています。
CLI command:config wlan apgroup opendns-profile <wlan-id> <site-name> <profile-name> enable
OpenDNSマッピングを表示するには、次に示すように、[Security]> [OpenDNS] > [General]に移動して、
[Profile Mapped Summary]をクリックします。
ここでは、OpenDNSプロファイルcontractorODがWLAN ID 1にマッピングされています。
同じ[OpenDNS Profile Map Summary]ページの[AP Group]の下で、次に示すように、プロファイル contractorODもまたAPグループAPgrp1にマッピングされています。
CLIから
OpenDNS WLAN コンフィギュレーション モード
管理者は、WLANの詳細設定タブで、WLANにOpenDNSの3つのモードを設定できます。
1 DNSオーバーライドのDHCPプロキシ
インターフェイス レベルの設定。インターフェイスに関連付けられたすべてのWLANにOpenDNSのIPアドレス を伝播するDHCPプロセスの一部。クライアントの参加フェーズで行われます。
2 OpenDNS Forceモード:(デフォルトで有効になっています)
WLANごとに適用され、クライアントがWLANに接続した後の意図的なクライアント アクティビティをブロック します。
3 OpenDNS Ignoreモード
WLCは、クライアントによって使用されているDNSサーバ(OpenDNSサーバ、またはその他のDNSサーバ)を 尊重します。
OpenDNS のアクティビティ レポート
OpenDNSサーバにログインすることで、管理者はクライアントのアクティビティ レポートを表示・生成し、感染した
デバイスや(禁止サイトにアクセスしようとしている)標的ユーザを特定できます。またこれらのレポートは、クライ アントID、宛先および送信元IPでフィルタリングできます。
OpenDNS サポート
•サポートされているWLCプラットフォーム:5508、5520、7500、8510、8540。ME、vWLCはサポートされてい ません。
•サポートされているAPモード:ローカル モード、Flexセントラルスイッチング。
• WLCで10個のOpenDNSプロファイルを設定可能
•ゲスト(外部 アンカー)シナリオでは、アンカー でプロファイルが適用されます。
OpenDNS の制限事項
• Webプロキシ経由のクライアントは、サーバ アドレスを解決するためにDNSクエリを送信しません。
•アプリケーションまたはホストは、DNSの代わりに直接IPアドレスを使用してドメインを照会します。
©2017 Cisco Systems, Inc. All rights reserved.
【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/ ) をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容 については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販 売パートナー、または、弊社担当者にご確認ください。
