ProCurve NAC 800
Материал из Xgu.ru
Объявлена дата End of Sale Date для ProCurve Network Access Controller 800: April 1, 2010. |
ProCurve Network Access Controller 800 — контроллер доступа, который объединяет функции сервера аутентификации на основе RADIUS с возможностью проверки целостности систем, подключающихся к сети.
NAC 800 является частью решения ProCurve Network Access Control.
[править] Устройство NAC 800
У NAC 800 есть два порта, они по-разному используются и в зависимости от способа внедрения будут по-разному работать.
Порт 1
На порт 1 должен приходить управляющий трафик:
- HTTPS трафик;
- SSH трафик;
- трафик аутентификации на RADIUS-сервер;
- трафик проверки компьютеров.
Порт 2
Назначение порта 2 и трафик, который должен на него приходить отличаются в зависимости от метода внедрения. В каждом методе внедрения будет указано как использовать порт 2.
[править] Интерфейсы управления
[править] Режимы работы NAC 800
NAC 800 может работать в одном из трех режимов:
- Сервер управления (Management server, MS)
- Сервер применения (Enforcement server, ES)
- Комбинированный сервер (Combination server, CS)
Ни сервер управления, ни сервер применения не могут работать по отдельности. Они работают только вместе.
В этой связке сервер применения осуществляет проверку компьютеров и/или аутентификацию пользователей, а сервер управления отвечает за настройку серверов применения.
[править] Сервер управления
Через сервер управления осуществляется настройка серверов применения.
Настройка сервера для работы MS требует всего нескольких шагов:
- Перевод одного NAC 800 в режим MS;
- Перевод остальных NAC 800 в режим ES;
- Из веб-интерфейса MS добавить в конфигурацию существующие ES.
После этого все настройки, которые выполняются на MS, будут соответственно применяться на ES.
Один сервер управления должен обслуживать в сумме по всем кластерам не более 10ти серверов применения.
MS отвечает за такие глобальные настройки:
- Лицензии проверки целостности;
- Соединение с Интернет;
- Время — может использовать внутренние часы или синхронизировать время с NTP сервером. Для всех ES он работает как NTP сервер;
- Обновление программного обеспечения — скачивает новое программное обеспечение, обновляет свое и всех ES;
- Обновление тестов — при наличии необходимых лицензий, MS автоматически проверяет и скачивает обновления тестов, частоту проверки обновлений можно задавать;
- Политики контроля доступа — MS хранит список и настройки тестов, которые применяют ES.
MS хранит и применяет такие настройки ES:
- Индивидуальные настройки ES:
- IP адрес;
- Имя устройства;
- Пароль root;
- Временная зона;
- Настройки способа внедрения (метода карантина).
MS обрабатывает информацию о компьютерах в сети и позволяет:
- Отслеживать:
- Обнаруженные компьютеры;
- Активность компьютеров:
- Статус контроля доступа
- Статус тестирования
- Изменять состояние контроля доступа компьютеров;
- Генерировать отчеты.
[править] Сервер применения
Все настройки политик контроля доступа выполняются на MS, а ES отвечает за применение этих политик.
ES осуществляет:
- Аутентификацию компьютеров, если работает как RADIUS-сервер;
- Проверку целостности компьютеров;
- Контроль доступа в сеть компьютеров на основании результатов аутентификации и/или проверки.
[править] Комбинированный сервер
В режиме комбинированного сервера одно устройство контролирует и применяет политики.
В этом режиме одно физическое устройство (NAC 800) объединяет в себе два сервера — сервер управления и сервер применения. Поэтому в режиме комбинированного сервера NAC 800 имеет все возможности сервера управления и сервера применения.
Режим комбинированного сервера стоит применять если:
- Количество тестируемых компьютеров не превышает 2500;
- NAC 800 используется только в качестве RADIUS-сервера и не проверяет целостность копьютеров.
Если NAC 800 используется только в качестве RADIUS-сервера, то он может аутентифицировать более чем 2500 компьютеров (порядка 10000 портов).
CS поддерживает такие возможности и настройки:
- Лицензии проверки целостности;
- Соединение с Интернет;
- Время — может использовать внутренние часы или синхронизировать время с NTP сервером;
- Обновление программного обеспечения — скачивает новое программное обеспечение и обновляет его;
- Обновление тестов — при наличии необходимых лицензий, CS автоматически проверяет и скачивает обновления тестов, частоту проверки обновлений можно задавать;
- Политики контроля доступа — CS хранит список и настройки тестов.
- Индивидуальные настройки:
- IP адрес;
- Имя устройства;
- Пароль root;
- Временная зона;
- Настройки способа внедрения (метода карантина).
CS осуществляет:
- Аутентификацию компьютеров, если работает как RADIUS-сервер;
- Проверку целостности компьютеров;
- Контроль доступа в сеть компьютеров на основании результатов аутентификации и/или проверки.
CS обрабатывает информацию о компьютерах в сети и позволяет:
- Отслеживать:
- Обнаруженные компьютеры;
- Активность компьютеров:
- Статус контроля доступа
- Статус тестирования
- Изменять состояние контроля доступа компьютеров;
- Генерировать отчеты.
[править] Кластер применения
Кластер применения — это группа ES (или один CS), которые контролируют (тестируют, помещают в карантин и др.) одну группу компьютеров.
Что такое группа компьютеров? Это нечто условное или вполне конкретное? Домен? |
[править] Кластер применения для MS и ES
MS группирует сервера применения в кластера применения. Каждый кластер применяет одинаковые политики контроля доступа используя одинаковый способ внедрения.
Разные кластера могут использоваться различные способы внедрения, но в пределах кластера, на всех серверах применения, может использоваться только один способ.
В кластере применения рекомендуется использовать от 2 до 10 серверов применения.
У кластера из нескольких ES такие преимущества над кластером CS:
- Он может тестировать большее количество компьютеров — по 3000 каждый ES (до 30000 суммарно) по сравнению с 3000 CS — балансируя нагрузку между различными ES;
- Внесение избыточности в сеть, при выходе из строя одного ES остальные будут выполнять тестирование компьютеров;
- MS позволяет управлять всеми серверами централизовано;
- Разделение лицензий между серверами и кластерами.
Следующие настройки применяются к кластеру:
- Способ внедрения;
- Метод тестирования;
- Доступные сервисы для компьютеров в карантине;
- Исключения (домены и компьютеры, которые не проверяются);
- Оповещения (email адрес администратора, которому будут отправляться сообщения);
- Вид окна для пользователей;
- Имя пользователя/пароль для тестирования без агента (имя и пароль пользователя с правами администратора для компьютеров в домене);
- NAC policy group (набор политик и тестов, которые применяются к пользователям).
[править] Кластер применения для CS
Так как NAC 800 в режиме комбинированного сервера просто объединяет в одном физическом устройстве два сервера (применения и управления), то у него тоже есть кластер применения.
Этот кластер применения один, и сам комбинированный сервер единственный сервер применения в этом кластере. Этот кластер создается автоматически, его нельзя удалить, и нельзя создать дополнительные кластеры.
Все настройки, которые выполняются с MS для кластера, также доступны для кластера CS.
[править] Изменение режима работы
При изменении режима работы NAC 800 происходит обнуление настроек, даже если режим работы меняется на тот же, который был до этого.
При обнулении настроек сохраняются:
- IP address
- Имя устройства
- Маршрут по умолчанию
- DNS сервер
- NTP сервер
- Временная зона
Обнуление из командной строки:
resetSystem.py [both | ms | es]
Файл resetSystem.py находится в /usr/local/nac/bin
[править] Проверка целостности компьютеров
Без детализации процедура проверки целостности компьютера происходит так:
- Когда NAC 800 обнаруживает новый подключенный компьютер, он тестирует его, проверяет соответствие компьютера политике безопасности компании;
- В зависимости от результатов проверки NAC 800:
- разрешает полный доступ к сети компьютеру, если он прошел все тесты;
- помещает в карантин или разрешает временный доступ к сети компьютерам, которые не прошли тесты;
- разрешает компьютерам помещенным в карантин доступ к "доступным сервисам", которые помогают в устранении несоответствия политикам.
[править] Тесты
NAC 800 может тестировать компьютеры с такими операционными системами:
- Windows 2000
- Windows XP Professional
- Windows XP Home
- Windows Server 2000 or 2003
- Windows Vista Ultimate
- Windows Vista Home Premium
- Windows Vista Home Basic
- Windows Vista Business
- Windows Vista Enterprise
- Mac OS X (версии 10.3.7 или более поздней)
|
[править] Примеры существующих тестов
Настройки безопасности (для Windows)
Тесты предназначены для проверки настроек безопасности компьютера, например:
- Включенные сервисы;
- Сети с которыми соединен компьютер;
- Настройки безопасности для макросов;
- Локальные настройки безопасности, которые определяют какой доступ пользователям разрешен к компьютеру.
Настройки безопасности (для других ОС)
Тесты предназначены для проверки настроек безопасности компьютера под управлением Mac OS, например:
- Настройки беcпроводного клиента;
- Включенные сервисы;
- Включенный межсетевой экран и отключенное Internet sharing.
Программное обеспечение (для Windows)
Эти тесты проверяют какое программное обеспечение установлено на компьютере:
- наличие обязательного программного обеспечения, например, персонального межсетевого экрана или антивирусного ПО;
- наличие запрещенного программного обеспечения;
- сканируют компьютер на наличие вирусов или другого вредоносного ПО.
Операционная система (для Windows)
Эти тесты проверяют операционную систему компьютера на наличие необходимых исправлений и патчей (hotfixes, patches).
[править] Свойства тестов
Свойства теста — это критерии, которым должен соответствовать компьютер, для того чтобы пройти тест.
Например, тест по проверке необходимого ПО проверяет наличие определенного программного обеспечения на компьютере. Его свойства — это список программного обеспечения. Если на компьютере не установлено требуемое программное обеспечение, то он не проходит тест.
Свойства могут быть настраиваемые или ненастраиваемые.
Например, в тесте по проверке необходимого ПО свойства настраиваемые: можно выбрать какое ПО обязательно должно быть установлено на компьютерах в сети.
А в тесте Mac airport WEP enabled, например, свойства ненастраиваемые. Если на компьютере включен WEP, то он проходит тест, если WEP выключен, то нет.
[править] Обновление тестов
При обновлении тестов может добавиться:
- полностью новый тест;
- свойства в существующий тест.
NAC 800 автоматически проверяет наличие обновлений тестов и устанавливает их, при наличии:
- Лицензии на проверку целостности компьютеров;
- Работающего соединения с Интернет.
Периодичность проверки обновлений тестов можно задавать.
[править] Действия по результатам теста
Когда компьютер не проходит тест, NAC 800 может выполнить такие действия (оба или одно из них):
- Послать оповещение на указанный адрес электронной почты;
- Поместить компьютер в карантин:
- Немедленно
- После периода временного предоставления доступа (время настраивается).
Действия выбираются для каждого теста.
NAC 800 может, например, немедленно поместить в карантин компьютер на котором обнаружен вирус, но предоставить временный доступ в сеть компьютеру, которому надо обновить patch.
А отправлять оповещение на почту можно, например, если на компьютере установлено запрещенное ПО.
[править] Политики контроля доступа
Политики NAC указывают как NAC 800 будет проверять целостность конкретных компьютеров.
Политика включает в себя такие настройки:
- Название политики и описание;
- Политика для обработки компьютеров с ОС, которые NAC 800 не может тестировать;
- Частота повторного тестирования;
- Политика для обработки неактивных компьютеров;
- Список компьютеров к которым применяется политика;
- Список активированных тестов, включая свойства и действия для каждого теста.
[править] Политики для компьютеров с нетестируемыми ОС
По умолчанию компьютеры, которые не могут быть проверены, помещаются в карантин. Можно изменить эту политику, для того чтобы предоставлять им доступ в сеть.
Нетестируемые компьютеры разделены на несколько категорий:
- Windows 95 или ME
- Windows 98
- Windows NT
- Unix (без Linux)
- Любые другие ОС (включая Linux)
Нетестируемым компьютерам доступ предоставляется на постоянной основе. Даже при изменении политики работы с нетестируемыми компютерами, к компьютерам, которые уже подключены к сети она применена не будет, до тех пор пока:
- компьютер не обновит свой адрес (метод внедрения DHCP);
- компьютер повторно не аутентифицируется (метод внедрения 802.1X);
- компьютер не разорвет и не возобновит соединение.
[править] Частота повторного тестирования (post-connect проверки)
NAC 800 поддерживает pre-connect и post-connect проверки целостности компьютеров.
Частота повторного тестирования определяет как часто будут происходить post-connect проверки.
Метод внедрения влияет на post-connect проверки.
Для DHCP метода изменения будут применяться только после очередного запроса DHCP от клиента. Поэтому время аренды адресов должно выставляться не большим.
Для методов внедрения Inline и 802.1X изменения применяются мгновенно. Например, при использовании метода 802.1X, NAC 800 скомандует сетевому устройству, к которому подключен клиент, что надо повторно аутентифицировать клиента, аутентификация произойдет и клиент, например, попадет в другой VLAN.
Кроме повторной проверки компьютеров с помощью NAC 800, можно настроить post-connect тестирование. Эта возможность может использоваться для того, чтобы такие устройства как IDS/IPS могли выполнять свои проверки и сообщать о их результатах NAC 800. Если компьютер не проходит тестирование, устройства IDS/IPS могут отправлять запрос NAC 800 и он поместит компьютер в карантин.
[править] Политика для обработки неактивных компьютеров
Эти настройки применяются, только если был предоставлен доступ компьютерам с нетестируемыми ОС.
NAC 800 не может контролировать компьютеры с нетестируемыми ОС так же как компьютеры с тестируемыми ОС, поэтому после того как NAC 800 предоставляет такому компьютеру доступ в сеть, он только слушает его трафик. До тех пор пока компьютер продолжает генерировать трафик, NAC 800 считает, что он подключен и сохраняет правила межсетевого экрана, которые предоставляют доступ компьютеру. Если NAC 800 не обнаруживает трафик от компьютера какое-то время (настраиваемый период времени), то он убирает правила и запрещает доступ.
[править] Список компьютеров к которым применяется политика
Так как на NAC 800 может быть создано несколько политик, то в каждой из них надо прописать к каким конкретный компьютерам она применяется.
Политика можно применить:
- К домену (включая все компьютеры в домене);
- К конкретному компьютеру, который можно указать с помощью:
- IP адреса
- MAC-адреса
- NetBIOS имени
- Имени компьютера
Политика не будет применяться к указанным компьютерам до тех пор, пока Policy Group не назначена на кластер. |
[править] Список активированных тестов
В каждой политике есть возможность выбрать тесты, которые политика будет применять.
Свойства тестов и действия настраиваются ко всей политике. В разных политиках к одним и тем же тестам могут относиться различные свойства и действия.
[править] Группы политик
NAC 800 объединяет политики контроля доступа в группы политик. На каждый CS или кластер ES назначается одна группа политик, которая применяет все политики в группе.
Группа политик контроля доступа состоит из таких настроек:
- Имя группы политик;
- Список кластеров, которые используют эту группу политик;
- Список политик.
Кластер, использующий группу политик, применяет конкретную политику из группы на основании:
- Списка доменов и компьютеров указанных в политике;
- Приоритета политики — если компьютер попадает под несколько политик, то NAC 800 применит политику с наивысшим приоритетом;
- Если компьютер не попал ни под какую политику, то NAC 800 применит к нему последнюю политику из списка.
[править] Виды тестирования
NAC 800 поддерживает три вида тестирования:
- Постоянный агент
- Временный агент
- Без агента
|
[править] Настройки браузера
Если в IE Internet security zone установлена в значение High, то компьютер не может быть протестирован. Следующие настройки позволят сделать компьютер тестируемым:
- Пользователь может поменять IE Internet security zone в значение Medium (Tools>>Internet options>>Security>>Custom level>>Reset to Medium);
- Пользователь может добавить IP адрес NAC 800 в Trusted sites zone и установить значение Medium для Trusted sites zone;
- Пользователь может оставить значение High, но разрешить опции которые нужны для тестирования:
- NAC Agent тестирование использует ActiveX,
- Тесты ActiveX используют ActiveX,
- Все тесты используют JavaScript.
[править] Постоянный агент
На NAC 800 хранится ProCurve NAC EI агент. Агент может быть установлен на компьютер пользователя:
- Автоматически до тестирования (с помощью автоматического распространения ПО в сети);
- Автоматически при первом тестировании;
- Скачать агент по ссылке: https://<CS или ES ip адрес>:89/setup.exe;
- Файл установки может быть скопирован с NAC 800 с помощью scp (/usr/local/nac/agentInstall/setup.exe).
При автоматической установке используется ActiveX .
NAC агент это программа, которая постоянно находится на компьютере клиента. Агент слушает на TCP порту 1500 запросы на сканирование.
NAC 800 использует случайный номер порта для каждого соединения с компьютером.
Для того чтобы проверить, что путь между NAC 800 и компьютером открыт, и что на компьюере открыт порт 1500, из командной строки NAC 800 нужно выполнить команду:
nmap -sT -P0 -p1500-1500 <адрес компьютера>
Пример выполнения команды для проверки связи с компьютером 192.168.20.220:
ProCurve NAC 800(NAC800):~ # nmap -sT -P0 -p1500-1500 192.168.20.220 Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-05-10 11:32 EEST Interesting ports on 192.168.20.220: PORT STATE SERVICE 1500/tcp open vlsi-lm Nmap run completed -- 1 IP address (1 host up) scanned in 0.007 seconds
[править] Требования для тестирования с помощью агента
Агент должен быть установлен на компьютере. Для того чтобы NAC 800 автоматически скачал агент на компьютер нужно разрешить использование ActiveX на компьютере.
Если между компьютером и NAC 800 находится маршрутизатор, на нем