NAC И СТРАТЕГИЯ БЕЗОПАСНОСТИ CISCO

ВОПРОС. Почему Cisco занимается разработкой NAC?

ОТВЕТ. Компания Cisco взяла на себя задачу решить одну из важнейших проблем обеспечения безопасности, с которой сталкиваются сегодня клиенты: внедрить контроль доступа в сеть, основанный на соблюдении политики безопасности в конечных узлах. Решение этой задачи, в свою очередь, поможет сократить сбои в работе, вызываемые червями, вирусами и шпионскими программами. Масштабы ущерба, причиняемого червями, вирусами и шпионскими программами, демонстрируют, что существующие операционные и технические средства защиты недостаточны. NAC – это новое комплексное решение, которое позволяет клиентам повсеместно внедрить политику внесения программных исправлений на хостах и направлять не отвечающие предписанным требованиям и потенциально уязвимые системы в карантинные зоны с ограниченным или нулевым сетевым доступом. Объединяя информацию о статусе безопасности конечных узлов и правила доступа в сеть, NAC дает клиентам возможность существенно повысить уровень безопасности своей вычислительной инфраструктуры.

ВОПРОС. Что представляет собой самозащищающаяся сеть Cisco?

ОТВЕТ. Самозащищающаяся сеть Cisco – это инновационная, многофункциональная стратегия обеспечения безопасности, которая существенно повышает способность сетей идентифицировать и предотвращать возникающие угрозы безопасности, а также адаптироваться к ним. Самозащищающаяся сеть Cisco дополняет стратегию Cisco по интеграции сервисов безопасности в сетях IP, предоставляя новый механизм защиты от сетевых угроз на системном уровне.

ВОПРОС. Как связаны NAC и самозащищающаяся сеть Cisco?

ОТВЕТ. NAC – одна из фундаментальных составляющих самозащищающейся сети Cisco.

ВОПРОС. Как связаны NAC и SAFE Blueprints?

ОТВЕТ. SAFE Blueprints компании Cisco служат для разработчиков сетевых ресурсов методическими указаниями при анализе требований к безопасности, предъявляемых сетями. SAFE вводит подход к разработке системы безопасности сети, ориентированный на углубленную защиту и сконцентрированный на ожидаемых угрозах и способах их нейтрализации. Таким образом, формируется многоуровневый подход к обеспечению безопасности, при котором выход из строя одной из систем безопасности вряд ли приведет к взлому сетевых ресурсов. В SAFE Blueprints будут внесены надлежащие обновления для охвата этого нового решения по обеспечению безопасности, и другие дополнения, связанные с разработкой и внедрением.

ОБЗОР УСТРОЙСТВА NAC/CISCO CLEAN ACCESS

ВОПРОС. Почему Cisco предлагает продукт NAC на базе устройства?

ОТВЕТ. Cisco Clean Access предоставляет клиентам более широкий выбор ресурсов NAC. Поскольку этот продукт создан “под ключ”, он быстро и легко развертывается. Кроме этого, Cisco Clean Access объединяет ключевые функции NAC – аутентификацию и авторизацию, проверку статуса, карантин и коррективные меры – в одном продукте Cisco.

ВОПРОС. Доступен ли Cisco Clean Access сегодня?

ОТВЕТ. Да. Cisco Clean Access – это широко применяемое и апробированное решение по NAC; в сетях, находящихся под защитой Clean Access, работают свыше 350 компаний и 2,5 млн. пользователей. Cisco Clean Access можно индивидуально устанавливать на серверах в корпоративной рабочей среде и в компаниях небольшого размера в рабочей среде, рассчитанной на 100, 250 или 50 пользователей.

ВОПРОС. Каким образом Cisco Clean Access сочетается с Cisco Security Agent?

ОТВЕТ. Cisco Security Agent защищает от злоумышленных угроз и атак конечный узел как таковой и не предоставляет доступ в сеть или отказывает в таком доступе на основании статуса безопасности конечного узла. В Cisco Clean Access основное внимание уделено контролю соблюдения политики безопасности, и перед предоставлением доступа каждый конечный узел проверяется на соответствие критериям. Эти два решения могут работать совместно: Cisco Clean Access помогает проконтролировать и обеспечить наличие Cisco Security Agent на конечном устройстве.

ВОПРОС. Как чаще всего применяется Cisco Clean Access?

ОТВЕТ. Cisco Clean Access применяется в различных сценариях. В дополнение к защите сети при работе с пользователями, подключающимися через LAN, Cisco Clean Access проверяет пользователей и устройства, которые подключаются через концентраторы VPN и беспроводные точки доступа. Cisco Clean Access часто используют для такой защиты сетей, при которой разрешен доступ гостей и временных пользователей.

ВОПРОС. Проверки какого рода выполняет Cisco Clean Access?

ОТВЕТ. Cisco Clean Access выполняет проверки сетей и агентов. Проверка сети нацелена на поиск уязвимостей сети, например, переполнения буферов вызова удаленных процедур (RPC) или переполнения буферов сообщений. Проверка агентов может применяться к системному реестру пользователя, файловой системе и к системной памяти конкретных сервисов и приложений.

ВОПРОС. Где можно найти дополнительную информацию о Cisco Clean Access?

ОТВЕТ. На странице http://www.cisco.com/go/cca.

ТЕХНИЧЕСКИЕ ДЕТАЛИ CISCO CLEAN ACCESS

ВОПРОС. Из каких элементов состоит Cisco Clean Access?

ОТВЕТ. Cisco Clean Access состоит из трех элементов: Cisco Clean Access Server, Cisco Clean Access Manager и опционный Cisco Clean Access Agent. Вам потребуется, по меньшей мере, один Cisco Clean Access Server и один Cisco Clean Access Manager. Как правило, мы рекомендуем дополнительную пару для отказоустойчивости. Cisco Clean Access Agents и обновления наборов правил включены в стоимость.

ВОПРОС. Какие существуют варианты развертывания Cisco Clean Access?

ОТВЕТ. Cisco Clean Access можно развернуть линейно (в этом случае через Clean Access Server будет проходить весь трафик) или вне полосы пропускания. Во внеполосном сценарии устройство находится на линии трафика только в течение процесса аутентификации, экспертизы и корректировки, после чего сертифицированные устройства переключают трафик обратно в базовую сеть маршрутизации. Развертывание можно выполнить в центре или на границе, в форме реального IP-шлюза или виртуального шлюза.

ВОПРОС. Как блокируется устройство, не отвечающее предписанным требованиям?

ОТВЕТ. Если Cisco Clean Access Server развернут на линии, он блокирует устройства, не отвечающие предписанным требованиям, напрямую, перенаправляя их в конкретную подсеть. Если Cisco Clean Access развертывается во внеполосном режиме, блокировка пользователей, не отвечающих предписанным требованиям, осуществляется на уровне коммутации портов, используя назначения VLAN.

ВОПРОС. Cisco Clean Access проверяет каждую систему, которая пытается получить доступ, включая и те, которые уже были увидены и проверены ранее?

ОТВЕТ. Нет. Cisco Clean Access использует концепцию списка сертифицированных устройств. Cisco Clean Access Server проверяет только хосты, не включенные в список сертифицированных устройств. Администратор может при помощи таймеров сеансов задать периодичность обновления списка для сканирования сети, учитывая возникающие уязвимости.

ВОПРОС. Cisco Clean Access работает с сетевыми устройствами других разработчиков?

ОТВЕТ. Cisco Clean Access, развернутый в линейном режиме, может работать с любым сетевым устройством. При развертывании во внеполосном режиме Clean Access работает только с коммутаторами Cisco. Список поддерживаемых коммутаторов вы найдете на странице http://www.cisco.com/go/cca.

ВОПРОС. Могу ли я подстроить механизмы аутентификации и авторизации, используя существующий Microsoft Active Directory?

ОТВЕТ. Вы можете использовать Cisco Clean Access для подстройки прав сетевого доступа, ограничений полосы пропускания и времени сеансов на базе групп Active Directory. Поскольку Cisco Clean Access действует как агент аутентификации, синхронизация или репликация базы данных аутентификации не требуется. Поддерживается большинство основных форм аутентификации, в частности RADIUS, LDAP, Kerberos и Windows NT.

ВОПРОС. Работает ли Cisco Clean Access с сервером контроля безопасного доступа Cisco ACS?

ОТВЕТ. Да. Cisco Clean Access работает с Cisco Secure ACS, используя RADIUS. Cisco Clean Access также обеспечивает подробный аудит RADIUS успешных событий и отказов.

ВОПРОС. Использует ли Cisco Clean Access для аутентификации 802.1X?

ОТВЕТ. Нет. В Cisco Clean Access для аутентификации не требуется 802.1X. Это позволяет развертывать Cisco Clean Access и в рабочих средах, построенных не по стандарту 802.1X.

ВОПРОС. Какие проверки пре-инсталлированы в Cisco Clean Access?

ОТВЕТ. В Cisco Clean Access пре-инсталлированы более 150 проверок по 16 наиболее популярным разработчикам антивирусных программ, обновлениям Microsoft и средствам борьбы с шпионскими программами. Обновление этих наборов правил осуществляется бесплатно.

ОБЗОР АРХИТЕКТУРЫ NAC (NAC FRAMEWORK)

ВОПРОС. Что представляет собой архитектура NAC (NAC Framework)?

ОТВЕТ. Архитектура NAC (NAC Framework) – это технологический подход на базе архитектуры, основанный на общеотраслевой инициативе, реализуемой под руководством Cisco Systems. Здесь для обеспечения соблюдения политики безопасности на всех конечных узлах используется сетевая инфраструктура и программное обеспечение сторонних разработчиков. Этим обеспечивается интеграция и более эффективное освоение инвестиций в сети Cisco, антивирусные технологии и другое программное обеспечение управления и безопасности. В настоящее время в этой инициативе участвуют более 60 разработчиков, которые интегрируют свое программное обеспечение в архитектуру NAC.

Архитектура NAC дает возможность использовать права доступа на сетевых устройствах Cisco, включая маршрутизаторы и коммутаторы, при попытке конечного устройства установить соединение с управляемой сетью. Принимаемое решение может быть основано на информации о конечном устройстве, в частности, о текущем состоянии его программного обеспечения, включая уровень программных исправлений для антивирусных ресурсов и операционной системы. NAC дает возможность отказать в доступе тем устройствам, на которых не соблюдаются назначенные требования, поместить их в карантинную зону или предоставить ограниченный доступ к вычислительным ресурсам.

ВОПРОС. Нужно ли мне модернизировать инфраструктуру, чтобы внедрить NAC?

ОТВЕТ. Cisco и ведущие разработчики решений в области управления и обеспечения безопасности постарались обеспечить самые широкие возможности внедрения NAC, однако может потребоваться обновление или модернизация некоторых элементов сети или элементов обеспечения безопасности. Большинство решений по сетевой интеграции NAC – это функции программного обеспечения, которые доступны посредством стандартных модернизаций или контракта SmartNet. На устройствах сетевого доступа должна работать версия программного обеспечения, поддерживающаяся функции NAC. Для работы решений сторонних разработчиков тоже, как правило, требуется, чтобы компания использовала те версии их продуктов, в которых предусмотрена поддержка NAC.

На сетевых устройствах Cisco, включая маршрутизаторы, коммутаторы, концентраторы VPN, точки беспроводного доступа и контроллеры беспроводных LAN, поддержка NAC уже реализована или будет обеспечена в ближайшее время. Исключение составит только оборудование, разработанное в форме электрооптических систем, и оборудование, которое невозможно модернизировать для поддержки NAC. Полный список устройств, поддерживающих NAC, можно найти на странице http://www.cisco.com/go/nac или получить у представителя компании Cisco.

ВОПРОС. Когда будет доступно NAC Framework?

ОТВЕТ. NAC в настоящее время доступно на коммутаторах Cisco Catalyst®, точках беспроводного доступа Cisco, маршрутизаторах доступа и маршрутизаторах среднего уровня Cisco и на концентраторах Cisco VPN серии 3000. В последующих выпусках будут охвачены и другие устройства безопасности Cisco. Cisco Trust Agent включен в продукты Cisco и в клиентское и административное программное обеспечение разработчиков-участников инициативы по NAC. Полный перечень разработчиков, которые уже включили или планируют включить свои продукты в NAC, приведен на странице http://www.cisco.com/go/nac.

ВОПРОС. Применяются ли к архитектуре NAC меры экспортного контроля?

ОТВЕТ. Архитектуре NAC – это не уникальный продукт, а технология, реализуемая при помощи различных компонентов. Для уточнения мер экспортного контроля, применимых к архитектуре NAC, следует изучить опубликованную информацию по каждому интересующему компоненту. К решению в целом меры экспортного контроля не применяются.

ВОПРОС. Какие платформы и программное обеспечение поддерживает NAC Framework на сегодняшний день?

ОТВЕТ. NAC Framework состоит из ряда компонентов, созданных компанией Cisco и другими разработчиками NAC.

Компоненты компании Cisco:

• Поддерживаемые коммутационные платформы (этот список расширяется)
  • Catalyst 6500-Sup2, 32, 720-Catalyst OS, Hybrid и Cisco IOS (поддержка Cisco IOS в Sup32 и 720).
  • Catalyst 4000-SupII+, II+TS, IV, V, V-10GE-IOS.
  • Catalyst 4948, 4948-10GE.
  • Catalyst 3550, 3560, 3750- IP base и IP services.
  • Catalyst 2940, 2950, 2955, 2960, 2970 - Все.
• Поддерживаемые беспроводные платформы (этот список расширяется)
  • Точки доступа Aironet 1100, 1130AG, 1200, 1230AG, 1300 на базе программного обеспечения Cisco IOS.
  • Упрощенные точки доступа Aironet 1000, 1130AG, 1200, 1230AG, 1240AG, на которых поддерживается LWAPP, соединенные с контроллером беспроводных LAN Cisco 2000, 4100 или 4400.
  • Сервисный модуль беспроводной LAN Catalyst 6500 Series Wireless LAN Services Module (WLSM).
• Поддерживаемые платформы маршрутизаторов (этот список расширяется):
  • Образы программного обеспечения Cisco IOS®, выпуск 12.3(8)T (и далее) с функциями безопасности.
  • Cisco 75xx.
  • Cisco 72xx.
  • Cisco 38xx.
  • Cisco 37xx.
  • Cisco 3640 . 3660-ENT.
  • Cisco 2800.
  • Cisco 2600XM и 2691.
  • Cisco 1800.
  • Cisco 1701, 1711, 1712, 1721, 1751, 1751-V, 1760.
  • Cisco 83x.
• Концентратор Cisco VPN серии 3000.
• Сервер Cisco Secure ACS.
• Cisco Trust Agent v1.0, который поддерживает следующие платформы:
  • Windows XP Professional (Service Pack 1).
  • Windows 2000 Professional и Server (Service Pack 4).
  • Windows NT 4.0.
  
  В дополнение к этому, v2.0 поддерживает следующие платформы:
  • Windows 2003.
• Windows XP Professional (Service Pack 2).
• Red Hat Enterprise Linux 3.0.
• Cisco Security Agent.
• Система мониторинга, анализа и ответных мер по обеспечению безопасности Cisco Cisco Secure Monitoring, Analysis and Response System (MARS).
• Решение CiscoWorks по безопасному управлению информацией CiscoWorks Security Information Management Solution (SIMS).

Полный список разработчиков, которые уже включили или планируют интегрировать свои продукты в NAC Framework, приведен на странице http://www.cisco.com/go/nac.

ТЕХНИЧЕСКИЕ ДЕТАЛИ NAC FRAMEWORK

ВОПРОС. Каковы основные функциональные компоненты NAC Framework?

ОТВЕТ. В системе NAC четыре компонента (Рис. 1).

Рис. 1. Четыре компонента NAC Framework

• Программные средства обеспечения безопасности на конечных узлах (например, Antivirus и Cisco Security Agent) и Cisco Trust Agent - Cisco Trust Agent собирает информацию о статусе безопасности от операционной системы и от различных клиентов программных средств обеспечения безопасности, например, от клиентов антивирусных программ, и передает эту информацию в соединенную с ним сеть Cisco, в которой реализуются решения по контролю доступа. Решение о доступе в сеть можно принять с учетом статуса приложения и операционной системы, например, уровней программных исправлений антивирусных средств или мандатов операционной системы. Cisco и ее партнеры по NAC внедряют Cisco Trust Agent со своими клиентами программных средств обеспечения безопасности.
• Устройства сетевого доступа – В число сетевых устройств, которые могут или будут реализовывать политику контроля доступа, входят маршрутизаторы, коммутаторы, точки беспроводного доступа, контроллеры беспроводных LAN и устройства безопасности. Эти устройства запрашивают мандаты хостов и передают эти сведения на серверы политики, на которых принимаются решения по контролю доступа в сеть. На основе политики, установленной клиентом, сеть реализует применимое решение - предоставляет доступ, отказывает в нем, направляет в карантин или ограничивает.
• Сервер политики – Сервер политики несет ответственность за оценку информации о безопасности на конечных узлах, получаемой от сетевых устройств, и выбор применимой политики доступа. Cisco Secure ACS, сервер RADIUS, аутентификации, авторизации и учета (ААА), является фундаментом системы сервера политики. Он действует совместно с серверами приложений партнеров по NAC, которые дают возможность более углубленной проверки достоверности мандатов, например, с серверами антивирусной политики. Кроме этого, он работает во взаимодействии с серверами аудита, которые оказывают помощь в оценки систем, не отвечающих на запросы, исходящие от NAC.
• Система управления – Решения Cisco по управлению содержат необходимые элементы NAC и операционные инструменты мониторинга и отчетности. Фундаментом, который дает такую возможность, служат решение CiscoWorks по VPN/ Security Management Solution (VMS), Cisco Secure Monitoring, Analysis and Response System (MARS) и решение CiscoWorks SIMS. Партнеры по NAC предлагают управленческие решения для собственных программных средств обеспечения безопасности на конечных узлах.

ВОПРОС. Что такое Cisco Trust Agent?

ОТВЕТ. Программа-агент доверительных отношений Cisco Trust Agent собирает информацию о статусе безопасности от операционной системы и от различных клиентов программных средств обеспечения безопасности, например, от клиентов антивирусных программ и Cisco Security Agent, и передает эту информацию в соединенную с ней сеть Cisco, в которой реализуются решения контроля доступа. У Cisco Trust Agent три основные обязанности:

• Сетевые коммуникации – Отвечать на поступающие от сети запросы информации о приложениях и операционных системах, например, об антивирусных средствах и программных исправлениях операционной системы; сюда входит поддержка коммуникационных протоколов: на сегодняшний день на 3-м уровне, а во второй фазе будет охвачен 2-й уровень.
• Модель безопасности – Аутентификация приложения или устройства, запрашивающего мандаты хоста, и шифрование этой информации при ее передаче.
• Посредник приложений – Посредством API дает многим приложениям возможность отвечать на запросы состояния и мандатов.

Cisco выдала своим партнерам по NAC лицензии на Cisco Trust Agent для возможности его интеграции с их клиентскими программами обеспечения безопасности. Некоторые разработчики включают Cisco Trust Agent в состав своих продуктов. В Cisco Security Agent версии 4.5 встроен Cisco Trust Agent как опция инсталляции. Cisco и ряд ее партнеров по NAC предоставляют Cisco Trust Agent заказчикам бесплатно. В

Cisco Trust Agent 2.0 опционно включен супликант 802.1x, который поддерживает ресурсы NAC для проводных соединений с коммутаторами Cisco. Этот супликант предоставляется бесплатно. Он не поддерживает беспроводные соединения и не обеспечивает централизованный управленческий интерфейс.

ВОПРОС. Какие супликанты 802.1x поддерживает NAC?

ОТВЕТ. При использовании NAC в среде стандарта 802.1x для проводных или беспроводных топологий требуется супликант 802.1x, который поддерживал бы NAC и связанные с NAC типы EAP. На сегодняшний день можно получить супликант с функциями поддержки NAC несколькими способами:

• В Cisco Trust Agent 2.0 опционально входит супликант 802.1x, который поддерживает NAC для проводных соединений с коммутаторами Cisco. Этот супликант предоставляется бесплатно. Он не поддерживает беспроводные соединения и не обеспечивает централизованный управленческий интерфейс.
• Funk предлагает для использования клиент Odyssey с унифицированным супликантом NAC.
• Meeting House предлагает для использования клиент AEGIS с унифицированным супликантом NAC.
• Супликант Cisco Compatible версии 4 (CCXv4), который встроен во многие беспроводные клиентские наборы микросхем, поддерживает функции NAC для беспроводных рабочих сред.

Исходные супликанты, доступные на платформах Windows и других операционных системах, в настоящее время не поддерживают NAC.

ВОПРОС. Как сетевые устройства поддерживают коммуникацию с хостами?

ОТВЕТ. Сетевые устройства запрашивают у хостов мандаты приложений и операционных систем, используя обмен сообщениями. EAP применяется для пакетирования и передачи мандатов хостов для аутентификации. Используются два основных транспортных протокола – использование шлюза для проверки контроля доступа с применением IP на 3-м уровне и взаимодействия в месте подключения пользователя с применением 802.1X на 2-м уровне. Первый способ применяется в том случае, если сетевое устройство находится на расстоянии произвольного количества переходов от хоста и первоначально сетевое устройство видит со стороны хоста только IP-пакет. Сюда входят маршрутизаторы, межсетевые экраны и устройства удаленного доступа. Второй способ будет применяться в границах LAN коммутаторами и для беспроводных соединений с точками доступа и контроллерами беспроводных LAN. Некоторые коммутаторы поддерживают IP-взаимодействие 3-го уровня на уровне коммутационных портов и, следовательно, не требуют использования 802.1x.

ВОПРОС. Можно ли обеспечить, чтобы на всех хостах работали антивирусные программы, отвечающие предопределенным требованиям?

ОТВЕТ. Да. NAC взаимодействует с антивирусными программами многих ведущих разработчиков, в числе которых Computer Associates, McAfee, Symantec и Trend Micro. NAC помогает проследить за тем, чтобы на хостах работали антивирусные программы, и чтобы версии программного обеспечения, рабочих механизмов и файлов шаблонов соответствовали политике клиента. Эту информацию собирает и передает в сеть Cisco Trust Agent. В зависимости от действующей политики, тем хостам, на которых не действуют антивирусные программы или предопределенные версии, может быть предоставлен ограниченный доступ или отказано в сетевом доступе. Эта возможность поддерживается на платформах Windows, включая NT, XP, 2000 и 2003, а также в ряде версий Red Hat Linux.

ВОПРОС. Можно ли обеспечить, чтобы на хостах действовали соответствующие программные исправления ОС?

ОТВЕТ. Да. Cisco Trust Agent проверяет информацию о версии операционной системы, программных исправлениях и “заплатках” и передает эту информацию в связанную с ним сеть Cisco, в которой реализуются решения по контролю доступа. Тем хостам, на которых не действуют требуемые программные исправления, может быть предоставлен ограниченный доступ или отказано в сетевом доступе. На сегодняшний день эта возможность поддерживается на платформах Windows, включая NT, XP, 2000 и 2003, а также в ряде версий Red Hat Linux. Cisco Security Agent и многие продукты партнеров по NAC также выдают информацию о программных исправлениях ОС и, в некоторых случаях, могут применять коррективные меры и обновлять конечный узел, чтобы привести его в соответствие применимым требованиям.

ВОПРОС. Можно ли обеспечить, чтобы гостевые системы, системы подрядчиков и партнеров соответствовали моим правилам политик?

ОТВЕТ. Да. NAC можно использовать для проверки соответствия каждой системы, которая пытается получить сетевой доступ, а не только тех систем, которые находятся под управлением ИТ. Управляемые и неуправляемые хосты, включая системы подрядчиков и партнеров, можно проверить на соответствие политике антивирусов и операционной системы. Если на опрашиваемом хосте не присутствует Cisco Trust Agent, в первой фазе применяется политика доступа по умолчанию. Тем хостам, на которых не действуют требуемые программные исправления, может быть предоставлен ограниченный доступ или отказано в сетевом доступе. Во второй фазе NAC будут введены инструменты сканирования и аудита хостов от сторонних производителей и появится возможность экспертизы безагентских (не отвечающих на запросы) хостов, которая позволит определить уровень предоставляемого доступа.

Кроме этого, NAC поддерживает сценарии работы с антивирусными программами разных поставщиков. Например, если у работника есть антивирусное решение McAfee с Cisco Trust Agent, а подрядчик использует антивирусное решение Symantec с Cisco Trust Agent, в границах одной сети можно проверить на соответствие мандаты и того, и другого, и применить дифференцированную политику с учетом пользовательских параметров идентификации и статуса безопасности конечных узлов.

ВОПРОС. Какие платформы хостов поддерживаются?

ОТВЕТ. NAC может работать со всеми платформами хостов. Существуют различия в уровне подробной оценки, которая может быть выполнена на хостах, в зависимости от типа хоста:

• Отвечающие на запросы – хосты, на которых работает Cisco Trust Agent, поддерживающий коммуникацию с сетью и передающий от хоста в сеть для целей оценки информацию о программах безопасности, приложениях и операционной системе.
• Не отвечающие на запросы – безагентские хосты, на которых Cisco Trust Agent неактивен (не инсталлирован или не действует), не способные передать в сеть информацию о приложениях и операционной системе.

Политика доступа в сеть для устройств, отвечающих на запросы, может основываться на любых проверках приложений и операционной системы, которые доступны на хосте, например, на проверке уровня антивирусных средств и программных исправлений операционной системы. Не отвечающие на запросы устройства не передают эту информацию, поэтому в данном случае политика доступа в сеть должна строиться на других критериях, например, на IP-адресе или на аудите системы.

В каждой фазе NAC увеличивается объем информации, доступной для оценки как отвечающих, так и не отвечающих на запросы устройств. В первой фазе для этого в архитектуре NAC интегрируется большее количество приложений и углубляются проводимые проверки. Во второй фазе предлагается система аудита для экспертизы и оценки устройств с целью определения типа и состояния устройства. Cisco Trust Agent поддерживается в Windows NT, XP, 2000 и 2003 и в ряде версий Red Hat Linux. На следующих фазах будет расширена поддержка операционных систем, и решение постепенно превратится в открытую структуру, которая упростит широкое распространение и поддержку.

ВОПРОС. Может ли архитектура NAC оказаться полезной, если на хосте не действует Cisco Trust Agent?

ОТВЕТ. Хосты, на которых не действует Cisco Trust Agent, именуются безагентскими или не отвечающими на запросы устройствами, поскольку они не реагируют на сетевые запросы информации о приложениях и операционной системе. Политика доступа в сеть может быть сформулирована не только для отвечающих, но и для не отвечающих на запросы устройств. К не отвечающим на запросы устройствам правила политики могут применяться на базе сетевой информации о них, например, MAC- и IP-адресов. В определенных случаях для процесса аудита может быть установлена связь с инструментами сканирования и аудита хостов сторонних производителей, которая расширит критерии выбора.

ВОПРОС. Каковы возможные варианты работы с хостами, на которых не соблюдаются предписанные требования? Как обеспечивается их соответствие требованиям?

ОТВЕТ. Основная задача NAC - дать администраторам возможность мониторинга уровней соответствия хостов и, опционально, ограничения или отказа в сетевом доступе тем хостам, которые не соответствуют требованиям. Чаще всего ограничение доступа осуществляется путем помещения в карантин или изоляции хоста для того, чтобы он мог поддерживать связь только с ограниченной областью сети, или же предоставляется возможность соединения только с общедоступными сегментами. Еще одна задача карантинных систем состоит в создании надежной среды для корректировки систем, не отвечающих необходимым требованиям. Для этого применяются, в частности, такие механизмы как внесение программных исправлений в файл антивирусных шаблонов или обновление операционной системы.

На сегодняшний день маршрутизаторы Cisco и концентраторы серии Cisco VPN 3000 обеспечивают контроль доступа в сеть, используя ACL, которые могут быть применены на маршрутизаторе для ограничения доступа систем, не отвечающих необходимым требованиям. Клиенты могут конфигурировать эти ACL с очень высокой степенью индивидуализации, ограничивая взаимодействие между хостами, которые не соответствуют требованиям, и другими системами в сети. Например, может быть разрешена только коммуникация с антивирусным сервером для загрузки нового файла шаблонов или с сервером управления программными исправлениями для обновления на хосте версии программного обеспечения.

Коммутаторы Cisco Catalyst и беспроводные точки доступа или контроллеры беспроводных LAN обеспечивают контроль доступа в сеть через назначение VLAN, которое может применяться на 2-ом уровне для ограничения доступа систем, не отвечающих необходимым требованиям. Клиенты могут разработать такую рабочую среду 2-го уровня, в которой будет ограничено взаимодействие между хостами, отвечающими и не отвечающими предписанным требованиям. Помимо этого, некоторые коммутаторы Catalyst поддерживают для ограничения взаимодействия распределение списков ACL, которые базируются на портах. Такой механизм действует как альтернативный подход к сегментации, по своей концепции он сходен с подходом на базе маршрутизаторов.

ВОПРОС. Во всех ли случаях хосты, не отвечающие предписанным требованиям, получают отказ в доступе?

ОТВЕТ. Нет, хотя это один из вариантов административной политики. Обращение с хостами, не отвечающими предписанным требованиям, зависит от выработанной политики компании. Не отвечающие требованиям хосты можно идентифицировать, но при этом все же предоставлять им нормальный сетевой доступ или доступ только к общедоступным сегментам или к корректировочным сегментам для получения обновлений, или же полностью отказывать им в доступе. Во многих случаях обращение с хостами, которые не соответствуют требованиям, зависит от местоположения. Например, если речь идет о лабораторных машинах, можно полностью заблокировать их коммуникацию с производственной сетью, а в случае настольных пользовательских ПК можно применить изоляцию или карантин, сохранив возможность взаимодействия только с корректировочными серверами.

ВОПРОС. Каким образом архитектура NAC связывается с AAA пользователей и устройств?

ОТВЕТ. NAC дает компаниям возможность аудита политики доступа, основанной на состоянии конечного узла, которая соединяется с сетью. Этот механизм дополняет проверку идентификационных параметров пользователей и устройств, выполняемую с той же целью. На маршрутизаторах Cisco и концентраторах VPN серии 3000 это выполняется на границе сети через IP, причем NAC автономен и не зависит от механизмов ААА пользователей и устройств. Кроме этого, NAC поддерживает 2-й уровень с коммутаторами Cisco Catalyst и беспроводными точками доступа Cisco или контроллерами беспроводных LAN, поэтому они могут быть опционально связаны с 802.1X. В настоящее время эти методы доступа предлагают механизмы AAA пользователей и устройств, а NAC будет действовать совместно с ними, давая администраторам возможность задать политику, основанную на комбинации идентификационных параметров пользователя, идентификационных параметров устройства и состояния устройства.

РАЗВЕРТЫВАНИЕ АРХИТЕКТУРЫ NAC

ВОПРОС. Каковы возможные варианты развертывания NAC Framework?

ОТВЕТ. NAC обеспечит полномасштабный контроль, охватывающий все методы доступа, которыми пользуются хосты для соединения с сетью – сетевую коммутацию, беспроводной доступ, каналы связи WAN и LAN, удаленный доступ IPSec и коммутируемый доступ. Некоторые сценарии развертывания перечислены ниже и показаны на Рис. 2.:

Рис. 2. Комплексная проверка соблюдения требований

• Филиальный офис (и малый/домашний офис) – Контроль соблюдения предписанных требований – Проверяется соблюдение требований на хостах, находящихся в удаленных/малых/домашних офисах и пытающихся соединиться с централизованными корпоративными ресурсами по частной WAN или через защищенный канал по Интернет. В частности, здесь предусмотрены проверки соответствия на выходном маршрутизаторе филиального офиса или на объединяющем маршрутизаторе главного офиса.
• Удаленный доступ – Контроль соблюдения предписанных требований – Проверяется наличие на настольных ПК удаленных и мобильных пользователей новейших антивирусных средств и программных исправлений операционной системы, и только после этого им предоставляется доступ к ресурсам компании через IPSec и другие соединения VPN.
• Коммутируемый доступ – Контроль соблюдения предписанных требований – Как и в случае удаленного доступа по IPSec, проверяется соблюдение корпоративной политики на хостах, которые используют традиционные коммутируемые соединения.
• Защита коллективных беспроводных сред – Проверяются хосты, которые соединяются с сетью по беспроводным схемам, и наличие на них надлежащих программных исправлений. Для выполнения этой проверки достоверности используются 802.1X в сочетании с аутентификацией устройств и пользователей.
• Защита коллективного доступа и центров обработки данных – Мониторинг настольных ПК и серверов внутри офиса. Проверяется соблюдение на них корпоративной политики антивирусных средств и внесения программных исправлений в операционную систему, и только после этого они получают нормальный доступ в LAN. Таким образом, снижается риск распространения вирусов и червей внутри компании, поскольку контроль доступа распространяется и на ближайшие коммутаторы 2-го уровня индивидуально для каждого порта.

ВОПРОС. Кто поставляет компоненты архитектуры NAC?

ОТВЕТ. Поставку компонентов архитектуры NAC осуществляют компания Cisco и партнеры по NAC. Cisco поставляет следующие компоненты, которые формируют основу для NAC:

• Маршрутизаторы, коммутаторы, точки беспроводного доступа, контроллеры беспроводных LAN и устройства безопасности - это те сетевые устройства, на которых реализуется контроль доступа. Функциональные возможности интегрируются в существующие и новые платформы путем модернизации программного обеспечения.
• Cisco Secure ACS – это сервер AAA RADIUS, точка принятия политических решений для установления привилегий доступа. Функциональные возможности Cisco Secure ACS сейчас расширяются для поддержки NAC.
• Cisco Trust Agent – это программа-агент для хостов, разработанная компанией Cisco. Ее распространение будет осуществляться по разным каналам – напрямую компанией Cisco и ее партнерами по NAC в форме автономной программы-агента, а также путем интеграции с Cisco Security Agent.
• Cisco Security Agent можно применять на хостах как для защиты от неизвестных новых червей и вирусов, так и для предоставления в NAC информации о программных исправлениях и обновлениях операционной системы в целях проверки соблюдения предписанных требований.
• Cisco Secure MARS – это инструмент мониторинга и отчетности системы. В этих же целях можно использовать CiscoWorks SIMS.
• CiscoWorks VMS можно использовать для одновременной конфигурации настроек NAC на нескольких маршрутизаторах.

Партнеры по NAC предлагают широкий спектр модернизаций для рабочей среды NAC, включая интеграцию механизмов обеспечения безопасности на конечных узлах для целей экспертной оценки, интеграцию компонентов управления политикой для целей экспертной оценки и принятия коррективных мер, а также инструменты мониторинга и отчетности, которые обеспечивают наглядную информацию об инцидентах в системе.

ВОПРОС. Как получить Cisco Trust Agent?

ОТВЕТ. Cisco Trust Agent встроен в программное обеспечение ряда партнеров по NAC, а также в Cisco Security Agent, и бесплатно доступен непосредственно на Cisco.com.

ВОПРОС. Как можно развернуть архитектуру NAC?

ОТВЕТ. Подробная информация о развертывании NAC дана в отдельном руководстве. Основные технологические компоненты, которые необходимы для развертывания:

• Наличие надлежащей сетевой аппаратуры, поддерживающей NAC.
• Модернизированные образы на соответствующих сетевых устройствах.
• Модернизированные антивирусные средства и программное обеспечение для конечных узлов на хостах.
• Cisco Trust Agent на хостах.
• Серверы Cisco Secure ACS для оценки соблюдения предписанных требований и реализации политических правил.
• Cisco Secure MARS или CiscoWorks SIMS для мониторинга и отчетности в рабочей среде NAC.
• Инструменты управления для конфигурации компонентов системы NAC (например, конфигурации маршрутизаторов), включая CiscoWorks VMS.

Дополнительно, необходимо принять во внимание следующие рабочие аспекты:

• Определение модели административных прав для управления системой и необходимой подстройки элементов управления.
• Назначение и использование правил политики контроля доступа в сеть.
• Определение требований к масштабируемости и быстродействия, которые гарантировали бы работоспособность системы в пиковых условиях (это особенно важно для инфраструктуры работы с политиками, например, Cisco Secure ACS).
• Определение характера и внедрение карантинной и коррективной рабочей среды.

При первоначальном развертывании NAC Cisco рекомендует в первую очередь проверить соблюдение требований политик, но не вводить принудительное соответствие этим требованиям. Для этого следует запросить проверку достоверности мандатов доступа хостов для целей отчетности, поддерживая при этом нормальный сетевой доступ, независимо от результата. Затем следует приступить к внедрению обязательного соответствия с учетом корпоративной политики, в готовности так же как к тяжести кризисной ситуации.

ВОПРОС. Как следует планировать ресурсы, учитывать время ожидания и аспекты быстродействия в работе с архитектурой NAC?

ОТВЕТ. Подробная информация о развертывании NAC дана в отдельных документах. Основное руководство – это “NAC Solution Guide”. Информацию о быстродействии и масштабируемости вы можете получить у вашего представителя Cisco.

ВОПРОС. Какими сервисами Cisco можно воспользоваться для упрощения развертывания NAC?

ОТВЕТ. Отдел обслуживания и сопровождения Cisco® предлагает полный спектр услуг, включая высокоспециализированные консалтинговые услуги и техническую поддержку. Cisco Advanced Services предлагает профессиональные консультации по анализу, планированию, разработке и внедрению, которые играют очень важную роль в эффективном внедрении NAC. Применяя последовательную апробированную методологию внедрения NAC, консультанты Advanced Services оказывают следующие услуги:

• Оценка готовности к NAC – Анализ требований, предъявляемых к развертыванию NAC, и экспертиза готовности ваших сетевых устройств, операций и архитектуры к NAC.
• Ограниченное развертывание NAC – Инсталляция и конфигурирование ограниченного решения, которое дает вашим специалистам возможность испытать NAC и получить опыт работы с ним.
• Проработка NAC – Помощь вашим специалистам в детальной проработке для интеграции NAC в вашу сетевую инфраструктуру.
• Инженерная поддержка внедрения NAC – Помощь вашим специалистам в полномасштабном внедрении: разработка подробных планов по инсталляции, конфигурированию, интеграции и управлению.

После того как ваше решение по NAC будет развернуто, Cisco предложит вам услуги технического сопровождения, которые дополнят ваши внутрифирменные ресурсы, обеспечат эффективную работу и высокую готовность продуктов Cisco и применение только обновленного системного программного обеспечения.

ВОПРОС. Необходим ли мне для внедрения архитектуры NAC новый сервер AAA?

ОТВЕТ. Да. Сервер Cisco Secure ACS был модернизирован для поддержи NAC; это необходимый элемент системы. Cisco Secure ACS продолжает выполнять традиционные сервисы RADIUS и TACACS+, в частности, сервисы AAA пользователей и устройств; на базе этих новых функциональных возможностей Cisco Secure ACS будет выполнять AAA пользователей, устройств, операционных систем и статуса приложений. Cisco также будет работать над поддержкой NAC совместно с ведущими разработчиками RADIUS. К NAC прилагается техническая документация, где даны рекомендации в аспектах разработки, быстродействия и масштабирования, которые помогут принять решения о путях расширения существующих Cisco Secure ACS и об обеспечении управления политикой NAC.

ВОПРОС. Как осуществляется контроль доступа?

ОТВЕТ. Устройства сетевого доступа генерируют сообщения, которые запрашивают мандаты хоста. Cisco Secure ACS – сервер ААА – устанавливает защищенный диалог по EAP с Cisco Trust Agent на хосте. Здесь Cisco Trust Agent проверяет достоверность Cisco Secure ACS. Мандаты передаются от приложений хоста, через Cisco Trust Agent, через сетевые устройства, и принимаются на Cisco Secure ACS для аутентификации и авторизации. В некоторых случаях Cisco Secure ACS может действовать как модуль доступа к серверам политик других разработчиков и пересылать мандаты программных приложений напрямую на сервер другого разработчика для экспертизы. После оценки мандатов Cisco Secure ACS выбирает подходящую политику для сетевого устройства. Например, Cisco Secure ACS может направить список ACL на маршрутизатор, чтобы применить конкретную политику к конкретному хосту. К не отвечающим на запросы, безагентским устройствам, т.е. к тем устройствам, на которых нет активно действующего Cisco Trust Agent, в сети или на Cisco Secure ACS может быть применена стандартная политика. Кроме этого, в определенных случаях сервер аудита, например, инструмент экспертизы уязвимостей, может выполнять динамическое инспектирование системы хоста и затем определять надлежащий уровень сетевого доступа, который следует предоставить конечному узлу.

ВОПРОС. Каким образом осуществляется коммуникация сетевых устройств с инфраструктурой ААА?

ОТВЕТ. Между сетевыми устройствами и Cisco Secure ACS используется протокол RADIUS.

ВОПРОС. Как серверы ААА и серверы партнеров по NAC участвуют в архитектуре NAC?

ОТВЕТ. Сервер AAA Cisco Secure ACS несет ответственность за проверку достоверности мандатов соответствия хоста предписанным программным исправлениям приложений и операционной системы, за выбор применяемой политики доступа в сеть и за генерирование надлежащих учетных записей системы мониторинга. В некоторых случаях Cisco Secure ACS может выступать как модуль доступа для аутентификации мандатов приложений и может пересылать эту информацию на отдельный сервер политики для приложений. Например, можно конфигурировать Cisco Secure ACS таким образом, чтобы мандаты антивирусного программного обеспечения пересылались для экспертизы на сервер антивирусной политики или политики управления программными исправлениями. В этом случае сервер политики для приложений выполняет экспертизу данной информации и посылает в Cisco Secure ACS токен, описывающий уровень соответствия (например, полное соответствие, частичное соответствие или несоответствие предписанным требованиям). Такая коммуникация через модуль доступа сходна с применяемым сейчас на серверах ААА механизмом аутентификации однократных пользовательских паролей (OTP). Затем Cisco Secure ACS сопоставляет этот токен с применимой политикой и обновляет сетевое устройство, устанавливая надлежащие параметры контроля доступом.

ВОПРОС. Это решение основано на стандартах?

ОТВЕТ. В NAC используются технологии, основанные на стандартах, в частности, EAP, EAP поверх UDP, 802.1X и RADIUS. В некоторых случаях для поддержки NAC может требоваться определенная модернизация этих технологий. Cisco планирует стимулировать внедрение этих модернизаций через соответствующие органы стандартизации.

ВОПРОС. Где найти дополнительную информацию?

ОТВЕТ. Дополнительную информацию о NAC вы можете получить у местного торгового представителя Cisco или найти на странице http://www.cisco.com/go/nac.