Обзор решения

В этом документе дается описание технологии Cisco® Network Admission Control (NAC) для беспроводных сетей, основанной на концепции NAC Framework и линейке продуктов NAC Appliance (Cisco Clean Access).


ПРОБЛЕМА


Сети должны быть защищены от угроз безопасности, таких, как вирусы, черви и шпионское программное обеспечение. Эти угрозы препятствуют нормальной работе бизнеса, вызывают простои и требуют постоянного применения новых патчей для программного обеспечения. Для того, чтобы гарантировать соответствие всех проводных и беспроводных устройств, пытающихся получить доступ к сети, корпоративной политике безопасности, нужно обеспечить полную прозрачность и управляемость всех оконечных устройств. Зараженные или уязвимые оконечные устройства необходимо автоматически выявлять, изолировать и "лечить".

РЕШЕНИЕ


Индустриальная инициатива Network Admission Control была специально предложена для того, чтобы помочь обеспечить адекватную защиту всех проводных и беспроводных оконечных устройств (таких, как персональные компьютеры, ноутбуки, серверы и КПК), обращающихся к сетевым ресурсам, от угроз безопасности. Внедрение инициативы NAC позволяет организациям анализировать и контролировать все устройства, подключающиеся к сети. Располагая гарантией того, что каждое оконечное устройство удовлетворяет корпоративной политике безопасности и использует актуальные версии антивирусного программного обеспечения, организации могут существенно снизить или вообще исключить оконечные устройства из числа источников заражения или ухудшения параметров сети.

Инициатива NAC представляет собой совокупность технологий и решений, в основе которых лежит подход, предложенный компанией Cisco Systems®. NAC использует возможности сетевой инфраструктуры для проверки соответствия политике безопасности всех устройств, пытающихся получить доступ к вычислительным ресурсам сети. Это позволяет ограничить ущерб от разнообразных угроз безопасности, таких, как вирусы, черви и шпионское программное обеспечение. Заказчики, использующие NAC, могут предоставить возможность доступа к сети только удовлетворяющим условиям политики безопасности и доверенным оконечным устройствам и заблокировать доступ для всех остальных устройств. NAC, являющаяся частью решения Cisco Self-Defending Network, – это стратегия, позволяющая значительно повысить возможности сети в плане автоматического выявления и предотвращения угроз безопасности, а также адаптации к ним.

Cisco предлагает два варианта подхода к реализации NAC, серверный и архитектурный. Наличие альтернативного выбора позволяет удовлетворить функциональные и эксплуатационные требования любой организации, независимо от того, проповедует ли она простую политику безопасности или нуждается в поддержке сложной системы безопасности, включающей в себя решения различных производителей и корпоративные средства контроля за настольными пользовательскими системами.

Решение NAC Appliance, в основе которого лежит линейка продуктов Cisco Clean Access, предлагает механизм быстрого развертывания в сочетании со средствами самостоятельного анализа оконечных устройств, управления политиками и сервисами излечения от вирусов. Решение NAC Appliance представляет собой сработанную "под ключ", самодостаточную версию протокола NAC, выполненную в виде комплексного решения типа "все-в-одном".

Концепция NAC Framework воплощает архитектурный подход к системам на базе оборудования различных производителей, который использует возможности сетевой инфраструктуры Cisco и решения сторонних производителей для устранения проблем, связанных с контролем доступа к сети. Эта концепция позволяет интегрировать в интеллектуальную сетевую инфраструктуру решения от более чем 60 ведущих производителей антивирусных пакетов, а также других программных продуктов, предназначенных для обеспечения безопасности сети и управления ею.


NAC для сетей WLAN

Сети WLAN должны быть защищены от угроз безопасности, таких, как вирусы, черви и шпионское программное обеспечение. И решение NAC Appliance, и концепция NAC Framework обеспечивают защиту от угроз безопасности WLAN посредством проверки на предмет соответствия политикам безопасности устройств, используемых клиентами WLAN для подключения к сети. Эти решения переводят в режим карантина клиентов WLAN, не отвечающих требованиям политик безопасности, и применяют к ним сервисы "излечения" для того, чтобы в итоге обеспечить соответствие требованиям. Оба решения полностью совместимы с решением Cisco Unified Wireless Network.


NAC Appliance (Cisco Clean Access)

Комплекс NAC Appliance, в основе которого лежит линейка продуктов Cisco Clean Access, представляет собой всеобъемлющее, сквозное решение, предназначенное для управления процессом регистрации в сети и контроля за соблюдением корпоративных политик. Оно позволяет сетевым администраторам осуществлять аутентификацию, авторизацию, анализ и – если требуется – лечение проводных и беспроводных устройств пользователей до того, как им будет разрешено подключиться к сети. Комплекс NAC Appliance позволяет провести ситуационный анализ и подобрать "лечение" для любого беспроводного пользовательского устройства, поддерживающего стандарт 802.11, в том числе точек доступа Cisco Aironet® и других совместимых с оборудованием Cisco клиентских устройств. Для поддержки сетей WLAN решение NAC Appliance должно быть установлено в варианте in-band. Будучи установлено в варианте in-band, решение NAC Appliance всегда контролирует текущую ситуацию с пользовательским трафиком – перед тем, как провести аутентификацию, ситуационный анализ и "излечение", в процессе выполнения этих процедур и после их завершения. Этот сервер в безопасном режиме контролирует аутентифицированный и неаутентифицированный пользовательский трафик посредством управления политиками обработки трафика, зависящими от используемых протокола/порта или подсети. Данный сервер управляет политиками выделения пропускной способности либо исходя из сведений о совокупной пропускной способности или данных о пропускной способности, выделенной конкретным пользователям, либо используя сессии, ограниченные во времени, в сочетании со средствами контроля состояния (Рисунок 1)


Рисунок 1. Архитектура NAC Appliance в режиме In-Band (нажмите на рисунок, чтобы открыть в полном размере)



При подключении к беспроводной сети через любую точку доступа Wi-Fi все пользователи обязательно проходят верификацию на уровне сервера NAC Appliance. NAC Appliance поддерживает следующие беспроводные продукты:


  • Любые точки доступа с поддержкой стандарта 802.11 Wi-Fi, в том числе:
    • автономные точки доступа Cisco Aironet, работающие в изолированном режиме или в режиме сервисов беспроводного домена (Wireless Domain Services, WDS) – точки доступа Cisco Aironet серий 350, 1100, 1130AG, 1200, 1230AG, 1240AG и 1300.
    • "облегченные" точки доступа Cisco Aironet, используемые в сочетании с контроллерами беспроводной сети Cisco (точки доступа – Cisco Aironet серий 1000, 1130AG, 1200*, 1230AG, 1240AG и 1500, контроллеры беспроводной сети Cisco серий 2000, 4100 и 4400, а также модуль беспроводных сервисов (WiSM) для Cisco Catalyst серии 6500 и модуль контроллера беспроводной сети для маршрутизаторов с интеграцией сервисов). Настройка опций Clean Access для "облегченных" точек доступа Cisco Aironet осуществляется через специальный Web-интерфейс на контроллере беспроводной сети.
  • Любые клиентские устройства с поддержкой 802.11 Wi-Fi, в том числе:
    • Клиентские устройства Cisco Aironet
    • Клиентские устройства, совместимые с оборудованием Cisco


NAC Framework

NAC Framework представляет собой архитектурно-ориентированный технологический подход, в основе которого лежит отраслевая инициатива, предложенная компанией Cisco Systems и предусматривающая использование сетевой инфраструктуры и программных продуктов сторонних производителей для контроля за соблюдением политик безопасности для всех оконечных устройств. Эта концепция позволяет интегрировать сетевые технологии Cisco, антивирусные пакеты и другие программные продукты для защиты сети и управления сетью, а также повысить отдачу от инвестиций в названные компоненты инфраструктуры.

Решение NAC Framework позволяет применять привилегии доступа на сетевых устройствах Cisco, в том числе на маршрутизаторах и коммутаторах, при попытке оконечного устройства подключиться к управляемой сети. Решение о предоставлении доступа к сети принимается исходя из сведений об оконечном устройстве, например о текущем состоянии его программного обеспечения, в частности, о наличии антивирусных программ и уровне патчей для операционной системы. Решение NAC Framework позволяет выбрать один из трех вариантов действий в отношении устройств, не прошедших проверку на соответствие требованиям безопасности: им можно запретить доступ, их можно поместить в карантинную зону и, наконец, им можно предоставить ограниченные права на доступ к сетевым ресурсам.

Решение NAC Framework проверяет соответствие устройств политике безопасности сети WLAN на точках доступа в момент, когда клиенты WLAN пытаются подключиться к сети. Точки доступа WLAN реализуют политику NAC с помощью сетей VLAN. Сервер RADIUS** помещает не отвечающих требованиям политики безопасности клиентов WLAN в карантинную или "лечебную" сеть VLAN/мобильную группу на автономной точке доступа (рисунок 2) или на контроллере беспроводной сети в случае "облегченных" точек доступа (рисунок 3).


Рисунок 2. Точки доступа Cisco Aironet, работающие в автономном режиме (нажмите на рисунок, чтобы открыть в полном размере)




 * - Точки доступа Cisco Aironet серии 1200, снабженные радиомодулем 802.11g (AIR-MP21G-x-K9) и/или радиомодулями второго поколения 802.11a (AIR-RM21A-x-K9 или AIR-RM22A-x-K9.
 ** - Требует наличия Cisco Secure Access Control Server (ACS) версии 4.0 или более поздней.



Рисунок 3. "Облегченные" точки доступа Cisco Aironet (нажмите на рисунок, чтобы открыть в полном размере)



NAC Framework, помимо маршрутизаторов и коммутаторов Cisco, поддерживает следующие сетевые продукты:


  • Автономные точки доступа Cisco Aironet, работающие в изолированном режиме или в режиме WDS – точки доступа Cisco Aironet серий 1100, 1130AG, 1200, 1230AG, 1240AG и 1300, работающие под управлением Cisco IOS® Software Release 12.3(7)JA или более поздней версии
  • "Облегченные" точки доступа Cisco Aironet, используемые в сочетании с контроллером беспроводной сети Cisco (точки доступа Cisco Aironet серий 1000, 1130AG, 1200***, 1230AG, 1240AG и 1500, контроллеры беспроводной сети Cisco серий 2000, 4100 или 4400, а также модуль беспроводных сервисов (WiSM) для Cisco Catalyst серии 6500 и модуль контроллера беспроводной сети для маршрутизаторов с интеграцией сервисов), работающие под управлением Cisco Unified Wireless Network Software Release 3.1 или более поздней версии
  • Модуль беспроводных сервисов (WLSM) для Cisco Catalyst® серии 6500, используемый в качестве устройства WDS, работающего под управлением Cisco IOS Software Release 1.4.1 или более поздней версии
  • Любые клиентские устройства с поддержкой стандарта 802.11 Wi-Fi с дополнением IEEE 802.1X, поддерживающим NAC. (Примечание: Поставляемое Cisco дополнение предназначено только для адаптера Ethernet, а не для адаптеров WLAN)
    • Клиентское устройство Cisco Aironet с дополнением NAC от сторонних производителей, например, от клиента Funk Odyssey или Meeting House AEGIS
    • Клиентское устройство с поддержкой Wi-Fi с дополнением NAC от сторонних производителей, например, от клиента Funk Odyssey или Meeting House AEGIS
    • Совместимые с Cisco клиентские устройства с версией программного обеспечения Cisco Compatible 4.0 и выше (версия 4.0 Cisco Compatible включает необходимое дополнение NAC.)

ЗАКЛЮЧЕНИЕ


Вторжения вирусов и червей продолжают угрожать бизнесу, вызывая простои и вынуждая компании постоянно использовать новые патчи для защиты программного обеспечения. NAC помогает организациям снизить риски для безопасности сети за счет предотвращения доступа к сети в обычном режиме уязвимых хостов. NAC позволяет удостовериться в том, что все хосты отвечают требованиям корпоративных политик в отношении установки последних версий антивирусов, защитного программного обеспечения и патчей для операционной системы, до того, как данному хосту будет предоставлен доступ к сети в обычном режиме. Уязвимые и не отвечающие требованиям безопасности хосты можно изолировать или предоставить им ограниченный доступ к сети, чтобы предотвратить их превращение в цель – или источник – заражения червями или вирусами.

Система NAC будет полезна любой организации, которая ищет способы ограничить ущерб от актуальных угроз безопасности, таких как вирусы, черви и шпионское программное обеспечение. Она нужна организациям, которые намереваются ограничить доступ к корпоративной сети только авторизованными пользователями и устройствами, соответствующими требованиям безопасности. NAC поможет компаниям, которые хотят внедрить систему аудита и мониторинга доступа всех оконечных точек к сетевой среде. NAC будет интересна всем крупным компаниям, в особенности тем из них, кто испытывает трудности в обеспечении соответствия стандартам настольных систем и серверов, включая системы подрядчиков и бизнес-партнеров. В силу тех же самых причин система NAC будет интересна организациям меньшего размера. Практически все отраслевые сегменты – в том числе финансовые институты, учреждения здравоохранения, правительственные организации и производственные предприятия – могут получить ощутимый эффект от использования NAC. Для того, чтобы обеспечить полноценное сетевое покрытие, NAC анализирует все методы доступа, которыми пользуются хосты для подключения к сети, включая беспроводные.

 *** Точки доступа Cisco Aironet серии 1200, которые снабжены радиомодулем 802.11g (AIR-MP21G-x-K9) и/или радиомодулями второго поколения 802.11a (AIR-RM21A-x-K9 или AIR-RM22A-x-K9)

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ


Дополнительную информацию о Cisco NAC можно найти по адресу: http://www.cisco.com/go/nac
Дополнительную информацию о продуктах Cisco Aironet можно найти по адресу: http://www.cisco.com/go/aironet
Дополнительную информацию о решении Cisco Unified Wireless Network можно найти по адресу: http://www.cisco.com/go/unifiedwireless