Cisco Trust Agent アドミニストレータ ガイド
Cisco Trust Agent の概要
Cisco Trust Agent の概要
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Trust Agent の概要

Cisco NAC の概要

の展開に関する検討事項

Cisco Trust Agent の概要

Cisco Trust Agent は Cisco Network Admission Control(NAC)ソリューションの一部です。 ネットワーク クライアント上で動作する NAC 対応のアプリケーションに必要なセキュリティ態勢のデータを収集し、それをポスチャ確認サーバに報告します。

この章は、次の項で構成されています。

「Cisco NAC の概要」

「Cisco Trust Agent の展開に関する検討事項」

Cisco NAC の概要

NAC を使用すると、ネットワーク アクセス デバイスは、ホスト上のソフトウェアのステートに基づいて、ネットワーク ホストによるネットワークへのアクセスを許可または拒否することができます。 このプロセスはポスチャ確認と呼ばれます。

ポスチャ確認プロセスには、次に示す 4 つの主要なコンポーネントがあります。

Cisco Trust Agent を実行するネットワーク クライアント :Cisco Trust Agent は、ネットワーク クライアント上で動作する NAC 対応のアプリケーションからセキュリティ態勢に関する情報を集約します。 NAC 対応のアプリケーションには、次のようなものがあります。

アンチウィルス アプリケーション

パーソナル ファイアウォール

ホスト ベースの侵入防止アプリケーション(Cisco Security Agent など)

ネットワーク アクセス デバイス(NAD) :NAD はネットワーク アクセスを許可または拒否します。 通常、NAD は Cisco IOS ルータです。

認証サーバ(Cisco Secure Access Control Server(ACS)) :認証サーバの役割は、ネットワーク クライアントからセキュリティ態勢のクレデンシャルを取得し、それを評価してシステム全体のポスチャを判別し、そのシステム ポスチャに基づいて適切なネットワーク アクセス ポリシーを NAD に提供することです。

ポスチャ確認サーバ(オプション) :ポスチャ確認サーバは、システム全体のポスチャを判別する際に Cisco Secure ACS をサポートします。 一般に、ポスチャ確認サーバはサードパーティ製アプリケーションであり、特定の NAC 対応のアプリケーションに必要なセキュリティ態勢のクレデンシャルの検査をサポートします。

ポスチャ確認の各コンポーネントがポスチャ確認プロセスでどのように連携するかについて、概要を次に示します。

1. ネットワーク クライアントが IP トラフィックをネットワークに送信します。

2. NAD がクライアントから最初のパケットを受信したとき、または指定の間隔を経過した後に最初のパケットを受信したとき、そのトラフィックが NAD のポスチャ確認を要求するように指定されている場合に、NAD はポスチャ確認を開始します。 NAD はクライアントのネットワーク トラフィックにデフォルトのアクセス ポリシーを適用し、クライアントとの EAP over UDP(EAPoUDP)セッションを開始します。

3. NAD が EAP 識別要求をネットワーク クライアントに送信し、その後、EAP 識別応答を Cisco Secure ACS に転送します。

4. Cisco Secure ACS がネットワーク クライアントとのセキュアな PEAP セッションを確立し、ネットワーク クライアントのセキュリティ態勢のクレデンシャルを要求します。

5. Cisco Trust Agent がネットワーク クライアント上で動作しながら、セキュリティ態勢のクレデンシャルの要求を受信し、次に、クライアント上の NAC 対応のアプリケーションにセキュリティ態勢のクレデンシャルを要求します。セキュリティ態勢のクレデンシャルの要求と受信は、NAC 対応のアプリケーションが提供するポスチャ プラグインを介して行われます。 Cisco Trust Agent はセキュリティ態勢に関する情報をすべて集約し、その情報を Cisco Secure ACS に返します。

6. Cisco Secure ACS がネットワーク クライアント上のアプリケーションごとにセキュリティ態勢のクレデンシャルを評価します。 Cisco Secure ACS は、ローカル データベースの規則に基づいてクレデンシャルを評価することができます。あるいは、アプリケーションのクレデンシャルをアプリケーション固有のポスチャ確認サーバに引き渡して評価することもできます。 評価の結果は、アプリケーション ポスチャを表すトークン(評価対象のアプリケーションごと)とユーザ通知(オプション)で表されます。

7. Cisco Secure ACS が、アプリケーション ポスチャを表すトークンをシステム全体のポスチャを表すトークンに統合します。 一般に、システム ポスチャを表すトークンは、アプリケーション ポスチャを表すトークンの中で最低のトークンになります。

システム ポスチャを表すトークンには、次の値があります。

Healthy

Checkup

Quarantine

Infected

Unknown

8. Cisco Secure ACS は、システム ポスチャを表すトークンをネットワーク アクセス ポリシーとオプションのユーザ通知にマッピングします。

9. Cisco Secure ACS は、ネットワーク クライアント上の Cisco Trust Agent にセキュリティ態勢確認の結果とすべてのユーザ通知を送信します。 Cisco Trust Agent の設定方法によっては、ポスチャ確認の結果がロギングされ、すべてのユーザ通知が画面上のダイアログボックスに表示されます。

10. Cisco Secure ACS はネットワーク クライアントとの PEAP セッションを終了し、該当する強制ポリシーを NAD にダウンロードします。 NAD はそのポリシーを適用し、ネットワーク クライアントとの EAP セッションを終了します。

アクセス ポリシーに基づいて、ネットワーク クライアントはネットワークへのアクセスを許可または拒否されるか、あるいは、NAC 対応のアプリケーションが必要なレベルにアップデートされるまで感染修復ネットワークに隔離されます。

Cisco Trust Agent の展開に関する検討事項

ネットワーク クライアントは、ご使用のネットワーク上のホストになります。 たとえば、PC、ラップトップ、ワークステーション、サーバなどです。 Cisco Trust Agent をインストールするネットワーク クライアントの数は、数百または数千に及ぶこともあります。 それほど多くのネットワーク クライアントに Cisco Trust Agent をインストールして設定する場合、多大な時間がかかる可能性があります。

Cisco Trust Agent のインストールと設定にかかる時間を短縮するには、カスタム インストール パッケージを作成します。 カスタム インストール パッケージでは、Cisco Trust Agent のインストール時の設定を指定することができます。 指定できる設定は次のとおりです。

通信設定

ロギングと通知の設定

証明書検査規則

また、カスタム インストール パッケージを使用すると、Microsoft Windows Installer(MSI)に対するポスチャ確認サーバ証明書、追加のポスチャ プラグイン、および アップデート情報を事前に指定することもできます。これらは、インストールの状況によっては必要になる場合があります。

詳細については、「カスタム インストール パッケージの作成」を参照してください。