ProCurve NAC 800

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Icon-caution.gif

Объявлена дата End of Sale Date для ProCurve Network Access Controller 800: April 1, 2010.

ProCurve Network Access Controller 800 — контроллер доступа, который объединяет функции сервера аутентификации на основе RADIUS с возможностью проверки целостности систем, подключающихся к сети.

NAC 800 является частью решения ProCurve Network Access Control.

Содержание

[править] Устройство NAC 800

У NAC 800 есть два порта, они по-разному используются и в зависимости от способа внедрения будут по-разному работать.

Порт 1

На порт 1 должен приходить управляющий трафик:

  • HTTPS трафик;
  • SSH трафик;
  • трафик аутентификации на RADIUS-сервер;
  • трафик проверки компьютеров.

Порт 2

Назначение порта 2 и трафик, который должен на него приходить отличаются в зависимости от метода внедрения. В каждом методе внедрения будет указано как использовать порт 2.

[править] Интерфейсы управления

[править] Режимы работы NAC 800

NAC 800 может работать в одном из трех режимов:

  • Сервер управления (Management server, MS)
  • Сервер применения (Enforcement server, ES)
  • Комбинированный сервер (Combination server, CS)

Ни сервер управления, ни сервер применения не могут работать по отдельности. Они работают только вместе.

В этой связке сервер применения осуществляет проверку компьютеров и/или аутентификацию пользователей, а сервер управления отвечает за настройку серверов применения.

[править] Сервер управления

Через сервер управления осуществляется настройка серверов применения.

Настройка сервера для работы MS требует всего нескольких шагов:

  • Перевод одного NAC 800 в режим MS;
  • Перевод остальных NAC 800 в режим ES;
  • Из веб-интерфейса MS добавить в конфигурацию существующие ES.

После этого все настройки, которые выполняются на MS, будут соответственно применяться на ES.

Один сервер управления должен обслуживать в сумме по всем кластерам не более 10ти серверов применения.

MS отвечает за такие глобальные настройки:

  • Лицензии проверки целостности;
  • Соединение с Интернет;
  • Время — может использовать внутренние часы или синхронизировать время с NTP сервером. Для всех ES он работает как NTP сервер;
  • Обновление программного обеспечения — скачивает новое программное обеспечение, обновляет свое и всех ES;
  • Обновление тестов — при наличии необходимых лицензий, MS автоматически проверяет и скачивает обновления тестов, частоту проверки обновлений можно задавать;
  • Политики контроля доступа — MS хранит список и настройки тестов, которые применяют ES.

MS хранит и применяет такие настройки ES:

  • Индивидуальные настройки ES:
    • IP адрес;
    • Имя устройства;
    • Пароль root;
    • Временная зона;
  • Настройки способа внедрения (метода карантина).

MS обрабатывает информацию о компьютерах в сети и позволяет:

  • Отслеживать:
    • Обнаруженные компьютеры;
    • Активность компьютеров:
      • Статус контроля доступа
      • Статус тестирования
  • Изменять состояние контроля доступа компьютеров;
  • Генерировать отчеты.

[править] Сервер применения

Все настройки политик контроля доступа выполняются на MS, а ES отвечает за применение этих политик.

ES осуществляет:

  • Аутентификацию компьютеров, если работает как RADIUS-сервер;
  • Проверку целостности компьютеров;
  • Контроль доступа в сеть компьютеров на основании результатов аутентификации и/или проверки.

[править] Комбинированный сервер

В режиме комбинированного сервера одно устройство контролирует и применяет политики.

В этом режиме одно физическое устройство (NAC 800) объединяет в себе два сервера — сервер управления и сервер применения. Поэтому в режиме комбинированного сервера NAC 800 имеет все возможности сервера управления и сервера применения.

Режим комбинированного сервера стоит применять если:

  • Количество тестируемых компьютеров не превышает 2500;
  • NAC 800 используется только в качестве RADIUS-сервера и не проверяет целостность копьютеров.

Если NAC 800 используется только в качестве RADIUS-сервера, то он может аутентифицировать более чем 2500 компьютеров (порядка 10000 портов).

CS поддерживает такие возможности и настройки:

  • Лицензии проверки целостности;
  • Соединение с Интернет;
  • Время — может использовать внутренние часы или синхронизировать время с NTP сервером;
  • Обновление программного обеспечения — скачивает новое программное обеспечение и обновляет его;
  • Обновление тестов — при наличии необходимых лицензий, CS автоматически проверяет и скачивает обновления тестов, частоту проверки обновлений можно задавать;
  • Политики контроля доступа — CS хранит список и настройки тестов.
  • Индивидуальные настройки:
    • IP адрес;
    • Имя устройства;
    • Пароль root;
    • Временная зона;
  • Настройки способа внедрения (метода карантина).

CS осуществляет:

  • Аутентификацию компьютеров, если работает как RADIUS-сервер;
  • Проверку целостности компьютеров;
  • Контроль доступа в сеть компьютеров на основании результатов аутентификации и/или проверки.

CS обрабатывает информацию о компьютерах в сети и позволяет:

  • Отслеживать:
    • Обнаруженные компьютеры;
    • Активность компьютеров:
      • Статус контроля доступа
      • Статус тестирования
  • Изменять состояние контроля доступа компьютеров;
  • Генерировать отчеты.

[править] Кластер применения

Кластер применения — это группа ES (или один CS), которые контролируют (тестируют, помещают в карантин и др.) одну группу компьютеров.

Questionmark.jpg

Что такое группа компьютеров? Это нечто условное или вполне конкретное? Домен?

[править] Кластер применения для MS и ES

MS группирует сервера применения в кластера применения. Каждый кластер применяет одинаковые политики контроля доступа используя одинаковый способ внедрения.

Разные кластера могут использоваться различные способы внедрения, но в пределах кластера, на всех серверах применения, может использоваться только один способ.

В кластере применения рекомендуется использовать от 2 до 10 серверов применения.

У кластера из нескольких ES такие преимущества над кластером CS:

  • Он может тестировать большее количество компьютеров — по 3000 каждый ES (до 30000 суммарно) по сравнению с 3000 CS — балансируя нагрузку между различными ES;
  • Внесение избыточности в сеть, при выходе из строя одного ES остальные будут выполнять тестирование компьютеров;
  • MS позволяет управлять всеми серверами централизовано;
  • Разделение лицензий между серверами и кластерами.

Следующие настройки применяются к кластеру:

  • Способ внедрения;
  • Метод тестирования;
  • Доступные сервисы для компьютеров в карантине;
  • Исключения (домены и компьютеры, которые не проверяются);
  • Оповещения (email адрес администратора, которому будут отправляться сообщения);
  • Вид окна для пользователей;
  • Имя пользователя/пароль для тестирования без агента (имя и пароль пользователя с правами администратора для компьютеров в домене);
  • NAC policy group (набор политик и тестов, которые применяются к пользователям).

[править] Кластер применения для CS

Так как NAC 800 в режиме комбинированного сервера просто объединяет в одном физическом устройстве два сервера (применения и управления), то у него тоже есть кластер применения.

Этот кластер применения один, и сам комбинированный сервер единственный сервер применения в этом кластере. Этот кластер создается автоматически, его нельзя удалить, и нельзя создать дополнительные кластеры.

Все настройки, которые выполняются с MS для кластера, также доступны для кластера CS.

[править] Изменение режима работы

При изменении режима работы NAC 800 происходит обнуление настроек, даже если режим работы меняется на тот же, который был до этого.

При обнулении настроек сохраняются:

  • IP address
  • Имя устройства
  • Маршрут по умолчанию
  • DNS сервер
  • NTP сервер
  • Временная зона

Обнуление из командной строки:

resetSystem.py [both | ms | es]

Файл resetSystem.py находится в /usr/local/nac/bin

[править] Проверка целостности компьютеров

Без детализации процедура проверки целостности компьютера происходит так:

  • Когда NAC 800 обнаруживает новый подключенный компьютер, он тестирует его, проверяет соответствие компьютера политике безопасности компании;
  • В зависимости от результатов проверки NAC 800:
    • разрешает полный доступ к сети компьютеру, если он прошел все тесты;
    • помещает в карантин или разрешает временный доступ к сети компьютерам, которые не прошли тесты;
    • разрешает компьютерам помещенным в карантин доступ к "доступным сервисам", которые помогают в устранении несоответствия политикам.

[править] Тесты

NAC 800 может тестировать компьютеры с такими операционными системами:

  • Windows 2000
  • Windows XP Professional
  • Windows XP Home
  • Windows Server 2000 or 2003
  • Windows Vista Ultimate
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Business
  • Windows Vista Enterprise
  • Mac OS X (версии 10.3.7 или более поздней)

Questionmark.jpg

  • Как фактически проходит тест?
  • Есть ли что-то общее у всех тестов?
  • Может быть, они все это python-модули или ещё что-то?
  • Они скачиваются с нака отдельно?
  • Или все вместе?
  • В какой момент?
  • Подписывается ли результат проверки каким-то образом?
  • Можно ли писать свои тесты?
  • Если да, то чему они должны соответствовать? Каким-то требованиям, стандартам?
  • Существуют ли независимые (третьи фирмы) производители тестов?
  • Существуют ли свободные тесты? Репозитории тестов?
  • С какими правами исполняются локально программы тестирования?

[править] Примеры существующих тестов

Настройки безопасности (для Windows)

Тесты предназначены для проверки настроек безопасности компьютера, например:

  • Включенные сервисы;
  • Сети с которыми соединен компьютер;
  • Настройки безопасности для макросов;
  • Локальные настройки безопасности, которые определяют какой доступ пользователям разрешен к компьютеру.

Настройки безопасности (для других ОС)

Тесты предназначены для проверки настроек безопасности компьютера под управлением Mac OS, например:

  • Настройки беcпроводного клиента;
  • Включенные сервисы;
  • Включенный межсетевой экран и отключенное Internet sharing.

Программное обеспечение (для Windows)

Эти тесты проверяют какое программное обеспечение установлено на компьютере:

  • наличие обязательного программного обеспечения, например, персонального межсетевого экрана или антивирусного ПО;
  • наличие запрещенного программного обеспечения;
  • сканируют компьютер на наличие вирусов или другого вредоносного ПО.

Операционная система (для Windows)

Эти тесты проверяют операционную систему компьютера на наличие необходимых исправлений и патчей (hotfixes, patches).

[править] Свойства тестов

Свойства теста — это критерии, которым должен соответствовать компьютер, для того чтобы пройти тест.

Например, тест по проверке необходимого ПО проверяет наличие определенного программного обеспечения на компьютере. Его свойства — это список программного обеспечения. Если на компьютере не установлено требуемое программное обеспечение, то он не проходит тест.

Свойства могут быть настраиваемые или ненастраиваемые.

Например, в тесте по проверке необходимого ПО свойства настраиваемые: можно выбрать какое ПО обязательно должно быть установлено на компьютерах в сети.

А в тесте Mac airport WEP enabled, например, свойства ненастраиваемые. Если на компьютере включен WEP, то он проходит тест, если WEP выключен, то нет.

[править] Обновление тестов

При обновлении тестов может добавиться:

  • полностью новый тест;
  • свойства в существующий тест.

NAC 800 автоматически проверяет наличие обновлений тестов и устанавливает их, при наличии:

  • Лицензии на проверку целостности компьютеров;
  • Работающего соединения с Интернет.

Периодичность проверки обновлений тестов можно задавать.

[править] Действия по результатам теста

Когда компьютер не проходит тест, NAC 800 может выполнить такие действия (оба или одно из них):

  • Послать оповещение на указанный адрес электронной почты;
  • Поместить компьютер в карантин:
    • Немедленно
    • После периода временного предоставления доступа (время настраивается).

Действия выбираются для каждого теста.

NAC 800 может, например, немедленно поместить в карантин компьютер на котором обнаружен вирус, но предоставить временный доступ в сеть компьютеру, которому надо обновить patch.

А отправлять оповещение на почту можно, например, если на компьютере установлено запрещенное ПО.

[править] Политики контроля доступа

Политики NAC указывают как NAC 800 будет проверять целостность конкретных компьютеров.

Политика включает в себя такие настройки:

  • Название политики и описание;
  • Политика для обработки компьютеров с ОС, которые NAC 800 не может тестировать;
  • Частота повторного тестирования;
  • Политика для обработки неактивных компьютеров;
  • Список компьютеров к которым применяется политика;
  • Список активированных тестов, включая свойства и действия для каждого теста.

[править] Политики для компьютеров с нетестируемыми ОС

По умолчанию компьютеры, которые не могут быть проверены, помещаются в карантин. Можно изменить эту политику, для того чтобы предоставлять им доступ в сеть.

Нетестируемые компьютеры разделены на несколько категорий:

  • Windows 95 или ME
  • Windows 98
  • Windows NT
  • Unix (без Linux)
  • Любые другие ОС (включая Linux)

Нетестируемым компьютерам доступ предоставляется на постоянной основе. Даже при изменении политики работы с нетестируемыми компютерами, к компьютерам, которые уже подключены к сети она применена не будет, до тех пор пока:

  • компьютер не обновит свой адрес (метод внедрения DHCP);
  • компьютер повторно не аутентифицируется (метод внедрения 802.1X);
  • компьютер не разорвет и не возобновит соединение.

[править] Частота повторного тестирования (post-connect проверки)

NAC 800 поддерживает pre-connect и post-connect проверки целостности компьютеров.

Частота повторного тестирования определяет как часто будут происходить post-connect проверки.

Метод внедрения влияет на post-connect проверки.

Для DHCP метода изменения будут применяться только после очередного запроса DHCP от клиента. Поэтому время аренды адресов должно выставляться не большим.

Для методов внедрения Inline и 802.1X изменения применяются мгновенно. Например, при использовании метода 802.1X, NAC 800 скомандует сетевому устройству, к которому подключен клиент, что надо повторно аутентифицировать клиента, аутентификация произойдет и клиент, например, попадет в другой VLAN.

Кроме повторной проверки компьютеров с помощью NAC 800, можно настроить post-connect тестирование. Эта возможность может использоваться для того, чтобы такие устройства как IDS/IPS могли выполнять свои проверки и сообщать о их результатах NAC 800. Если компьютер не проходит тестирование, устройства IDS/IPS могут отправлять запрос NAC 800 и он поместит компьютер в карантин.

[править] Политика для обработки неактивных компьютеров

Эти настройки применяются, только если был предоставлен доступ компьютерам с нетестируемыми ОС.

NAC 800 не может контролировать компьютеры с нетестируемыми ОС так же как компьютеры с тестируемыми ОС, поэтому после того как NAC 800 предоставляет такому компьютеру доступ в сеть, он только слушает его трафик. До тех пор пока компьютер продолжает генерировать трафик, NAC 800 считает, что он подключен и сохраняет правила межсетевого экрана, которые предоставляют доступ компьютеру. Если NAC 800 не обнаруживает трафик от компьютера какое-то время (настраиваемый период времени), то он убирает правила и запрещает доступ.

[править] Список компьютеров к которым применяется политика

Так как на NAC 800 может быть создано несколько политик, то в каждой из них надо прописать к каким конкретный компьютерам она применяется.

Политика можно применить:

  • К домену (включая все компьютеры в домене);
  • К конкретному компьютеру, который можно указать с помощью:
    • IP адреса
    • MAC-адреса
    • NetBIOS имени
    • Имени компьютера

Icon-caution.gif

Политика не будет применяться к указанным компьютерам до тех пор, пока Policy Group не назначена на кластер.

[править] Список активированных тестов

В каждой политике есть возможность выбрать тесты, которые политика будет применять.

Свойства тестов и действия настраиваются ко всей политике. В разных политиках к одним и тем же тестам могут относиться различные свойства и действия.

[править] Группы политик

NAC 800 объединяет политики контроля доступа в группы политик. На каждый CS или кластер ES назначается одна группа политик, которая применяет все политики в группе.

Группа политик контроля доступа состоит из таких настроек:

  • Имя группы политик;
  • Список кластеров, которые используют эту группу политик;
  • Список политик.

Кластер, использующий группу политик, применяет конкретную политику из группы на основании:

  • Списка доменов и компьютеров указанных в политике;
  • Приоритета политики — если компьютер попадает под несколько политик, то NAC 800 применит политику с наивысшим приоритетом;
  • Если компьютер не попал ни под какую политику, то NAC 800 применит к нему последнюю политику из списка.

[править] Виды тестирования

NAC 800 поддерживает три вида тестирования:

  • Постоянный агент
  • Временный агент
  • Без агента

Questionmark.jpg

  • Должны ли быть компьютеры в домене для того чтобы их проверить?
  • Какие методы позволяют проверять компьютеры не в домене?
  • Подтверждается ли как-то подлинность информации от агента?


[править] Настройки браузера

Если в IE Internet security zone установлена в значение High, то компьютер не может быть протестирован. Следующие настройки позволят сделать компьютер тестируемым:

  • Пользователь может поменять IE Internet security zone в значение Medium (Tools>>Internet options>>Security>>Custom level>>Reset to Medium);
  • Пользователь может добавить IP адрес NAC 800 в Trusted sites zone и установить значение Medium для Trusted sites zone;
  • Пользователь может оставить значение High, но разрешить опции которые нужны для тестирования:
    • NAC Agent тестирование использует ActiveX,
    • Тесты ActiveX используют ActiveX,
    • Все тесты используют JavaScript.

[править] Постоянный агент

На NAC 800 хранится ProCurve NAC EI агент. Агент может быть установлен на компьютер пользователя:

  • Автоматически до тестирования (с помощью автоматического распространения ПО в сети);
  • Автоматически при первом тестировании;
  • Скачать агент по ссылке: https://<CS или ES ip адрес>:89/setup.exe;
  • Файл установки может быть скопирован с NAC 800 с помощью scp (/usr/local/nac/agentInstall/setup.exe).

При автоматической установке используется ActiveX .

NAC агент это программа, которая постоянно находится на компьютере клиента. Агент слушает на TCP порту 1500 запросы на сканирование.

NAC 800 использует случайный номер порта для каждого соединения с компьютером.

Для того чтобы проверить, что путь между NAC 800 и компьютером открыт, и что на компьюере открыт порт 1500, из командной строки NAC 800 нужно выполнить команду:

nmap -sT -P0 -p1500-1500 <адрес компьютера>

Пример выполнения команды для проверки связи с компьютером 192.168.20.220:

ProCurve NAC 800(NAC800):~ # nmap -sT -P0 -p1500-1500 192.168.20.220

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-05-10 11:32 EEST
Interesting ports on 192.168.20.220:
PORT     STATE SERVICE
1500/tcp open  vlsi-lm

Nmap run completed -- 1 IP address (1 host up) scanned in 0.007 seconds
[править] Требования для тестирования с помощью агента

Агент должен быть установлен на компьютере. Для того чтобы NAC 800 автоматически скачал агент на компьютер нужно разрешить использование ActiveX на компьютере.

Если между компьютером и NAC 800 находится маршрутизатор, на нем должен быть открыт порт 1500. В большинстве случаев, на компьютере NAC 800 автоматически открывает нужные порты через межсетевой экран компьютера.

Icon-caution.gif

Автоматически порт 1500 не открывается, если компьютер соответствует таким критериям:

  • Неуправляемый
  • ОС Windows XP
  • Использует межсетевой экран не SP2 (например, Norton)

Поддерживаются такие браузеры:

  • IE,
  • Firefox,
  • Mozilla.

[править] Временный агент (ActiveX)

При использовании метода ActiveX NAC 800 автоматически скачивает и устанавливает ActiveX агент на компьютер. После тестирования ActiveX агент удаляется.

[править] Требования для тестирования с помощью временного агента

Для того чтобы NAC 800 автоматически скачал временного агента на компьютер нужно разрешить использование ActiveX и Java script в браузере.

Для проведения тестирования временным агентом на компьютере должен быть открыт браузер во время каждого тестирования.

Браузер должен быть IE версии 6.0 или более поздней.

Icon-caution.gif

Если пользователь закроет браузер после того как ему был предоставлен доступ в сеть, NAC 800 не сможет выполнить post-connect проверку.

Если между компьютером и NAC 800 находится маршрутизатор, на нем должен быть открыт порт 1500. В большинстве случаев, на компьютере NAC 800 автоматически открывает нужные порты через межсетевой экран компьютера.

Icon-caution.gif

Автоматически порт 1500 не открывается, если компьютер соответствует таким критериям:

  • Неуправляемый
  • ОС Windows XP
  • Использует межсетевой экран не SP2 (например, Norton)
[править] Ограничения использования временного агента

Ограничения метода ActiveX:

  • работает только в DHCP или Inline режиме
  • не работает с Firefox
  • не работает с IE 7
  • не работает с Apple Mac OS X

Questionmark.jpg

  • Какие ограничения остались в новой версии NAC?

[править] Без агента

Ограничения:

  • Компьютер должен быть в домене.

[править] Преимущества и недостатки разных методов тестирования

Метод тестирования Преимущества Недостатки
Без агента
  • Не требует установки или скачивания агента
  • Никакой дополнительной нагрузки памяти на компьютере пользователя
  • Тестирование, просмотр результатов теста и предоставление доступа в сеть происходит без какого-либо участия пользователя (для компьютеров в домене Windows)
  • Проще внедрять, чем остальные методы тестирования
  • Менее дорогой метод, так как позволяет уменьшить затраты на администрирование
  • RPC Service должен быть доступен для NAC 800 (порты 139 или 445)
  • Должны быть включены file and print sharing
  • Не поддерживается legacy Windows™ и не Windows ОС
  • Если компьютер не в домене, то пользователь должен вводить local credentials. Пользовательно может не знать какие credentials вводить
Временный агент (ActiveX)
  • Не требует установки или обновления
  • Поддерживает все версии Windows
  • Через персональный межсетевой экран на компьютере должен быть разрешен доступ только браузеру. Должен быть открыт порт 1500
  • Если браузер закрыт, то компьютер не может быть протестирован
  • Поддерживается только на Windows
  • Настройки безопасности браузера должны разрешать ActiveX. NAC 800 должен быть в trusted zone
  • Требует участия пользователя (надо скачивать агент)
Постоянный агент
  • Всегда доступен для повторного тестирования
  • Агент автоматически обновляется вместе с обновлением NAC 800
  • Поддерживаются все версии Windows
  • Нужно устанавливать и обновлять агент
  • Пользовательно должен перед первым тестированием скачать и установить агент, прежде чем ему будет предоставлен доступ в сеть

[править] Состояние целостности компьютера

В зависимости от результатов тестирования NAC 800 присваивает компьютерам такие значения состояния целостности:

  • Unknown (неизвестное) — еще не тестировался;
  • Healthy (здоров) — прошел все тесты;
  • Check-up — не прошел как минимум один тест, но разрешен временный доступ;
  • Quarantine (карантин):
    • не прошел как минимум один тест за который помещен в карантин,
    • истек срок временного доступа,
    • нетестируемый компьютер (если политика для нетестируемых компьютеров подразумевает помещение в карантин).
  • Infected (инфицирован) — инфицирован вредоносным ПО (malware). То есть, не прошел тест на Worms, Viruses и Trojans.

[править] Доступные сервисы

[править] Исключения

В NAC 800 есть два типа исключений:

  • Whitelist — список компьютеров, которым всегда разрешен доступ в сеть и их целостность никогда не проверяется;
  • Blacklist — список компьютеров, которые всегда находятся в карантине и их целостность никогда не проверяется.

Исключения можно настраивать для всех кластеров или для конкретного кластера отдельно. Значения, настроенные в конкретном кластере, переписывают значения настроенные в настройках по умолчанию для всех кластеров.

Для того чтобы компьютер не проходил процедуру тестирования его необходимо добавить в Whitelist. После добавления NAC 800 будет обнаруживать этот компьютер (сеть или домен), но не будет выполнять проверку целостности для него.

[править] Приоритетность применения настроек, касающихся проверки компьютера

NAC 800 предоставляет доступ в сеть устройствам или помещает их в карантин в соответствии с настройками, которые применяются в зависимости от приоритета (по убыванию):

  1. Режим доступа (access mode) -- normal или allow all. Применяется ко всем компьютерам в кластере применения.
  2. Временный доступ (временное помещение в карантин или предоставление доступа). Назначается в Endpoint activity. Применяется к выбранному компьютеру.
  3. Исключения (всегда предоставлять доступ или всегда помещать в карантин). Применяется к компьютерам или домену.
  4. Post-connect (external quarantine request).
  5. Политики контроля доступа.

[править] Влияние на производительность проверки целостности компьютеров

[править] Post-Connect тестирование

NAC 800 может быть интегрирован с IDS/IPS системами.

IDS/IPS системы позволяют с помощью анализа сигнатур, обнаружения аномальных активностей и мониторинга сети определять атаки.

Если компьютер не проходит тестирование, устройства IDS/IPS могут отправлять запрос NAC 800 и он поместит компьютер в карантин.

[править] Способы внедрения NAC 800

NAC 800 поддерживает три различных способа внедрения: inline, DHCP и 802.1X. Одно устойство может быть внедрено только в одном режиме, все устройства в кластере должны работать в одном режиме.

В различных кластерах под управлением одного управляющего сервера могут использоваться различные режимы внедрения.

Способы внедрения также называются методами карантина или методами применения из-за того, что все три понятия неотрывно связаны друг с другом.

[править] Inline

Inline метод внедрения удобно использовать когда в сети есть некая единая точка доступа через которую подключаются клиенты.

В режиме Inline NAC 800:

  • Физически разделяет проверяемых клиентов и защищаемую сеть и проверяет проходящий через него трафик клиентов;
  • Работает как устройство 2 уровня;
  • Разрешает или запрещает доступ клиентов к сети на основании IP адреса с помощью iptables.

При использовании управляющего сервера в этом режиме внедрения, нужно обратить внимание на топологию сети и, возможно, настроить протокол STP (если он еще не настроен).

В режиме Inline к порту 2 должны быть подключены компьютеры, которые будут проходить проверку, а к порту 1 защищаемая сеть.

Правила взаимодействия портов NAC 800 в режиме Inline:

  • Трафик передается с порта 2 на порт 1 только если у компьютера источника трафика статус Healthy или Check-up;
  • Трафик с порта 1 не передается на порт 2 компьютерам, которые находятся в карантине или в статусе unknown;
  • Компьютеры находящиеся со стороны порта 2 имеют доступ к любым компьютерам, которые находятся на той же стороне;
  • Трафик может передаваться от любого компьютера с порта 2 на порт 1, если компьютер на порту 1 занесен в список исключений.

[править] DHCP

[править] 802.1X

Использование NAC 800 позволяет добавить к процедуре аутентификации пользователей по 802.1X проверку целостности компьютера.

В методе внедрения 802.1X решение о предоставлении доступа в сеть принимается с учетом таких факторов:

  • Пользователя, который подключается;
  • Других факторов, таких как время и местоположение компьютера;
  • Целостности компьютера (результата прохождения тестов).

NAC 800 может использоваться по-разному в этом методе внедрения:

  • Для аутентификации — NAC 800 работает как RADIUS-сервер;
  • Только для проверки целостности компьютеров — NAC 800 проверяет целостность, а за аутентификацию пользователей отвечает сервер аутентификации (IAS);
  • Для аутентификации и для проверки целостности — NAC 800 выступает в роли сервера аутентификации и учитывает целостность компьютера как фактор при предоставлении доступа.

Icon-caution.gif

Если NAC 800 используется только для проверки целостности, то IAS это единственный RADIUS-сервер, который поддерживается для такой схемы работы. Если в сети уже есть другой RADIUS-сервер, то NAC 800 нужно настроить как RADIUS-сервер, но перенаправлять запросы аутентификации на уже существующий сервер (NAC 800 будет работать как прокси).

Далее рассматриваются два варианта работы NAC 800:

  • Использование NAC 800 для проверки целостности компьютера (с и без внутреннего RADIUS-сервера);
  • Использование NAC 800 только для аутентификации.

[править] NAC 800 в качестве RADIUS-сервера

NAC 800 для аутентификации пользователей может использовать:

  • Свою локальную базу данных
  • Работать как прокси для запросов на аутентификацию и перенаправлять их на другой RADIUS-сервер
  • Синхронизировать информацию о пользователях с внешним каталогом (AD, Open LDAP, Novell eDirectory)

Все эти варианты использования можно настраивать двумя способами:

  • без IDM
  • с IDM

На странице ProCurve NAC 800/RADIUS описана процедура настройки NAC 800 для аутентификации пользователей с использованием локальной базы данных.

[править] Проверка целостности компьютера

Icon-caution.gif

До тех пор пока на коммутаторе не настроена аутентификация 802.1X порт 2 NAC 800 не подключать.

Когда NAC 800 используется для проверки целостности компьютера в методе 802.1X, он должен видеть трафик от DHCP-сервера. Это можно сделать двумя способами:

  1. Зеркалировать трафик с порта к которому подключен DHCP-сервер на порт 2 NAC 800.
  2. Установить на DHCP-сервер программное обеспечение, которое будет перенаправлять трафик на NAC 800. В этом случае трафик перенаправляется на порт 1 и порт 2 подключать не надо.

Icon-caution.gif

На DHCP-сервере для гостевого VLAN и VLAN карантина надо указать NAC 800 в качестве DNS-сервера.

[править] Device Activity Capture (DAC)

DAC works in a numberof configurations:

  • DHCP (Router) and Inline Mode – DAC runs on the Enforcement Servers (ES) and discovers endpoints when they generate traffic across the ES bridge. There is no need for you to do any extra configuration of DAC in these modes.
  • 802.1X Mode
    • Mirror Port – DAC runs on the ESs. The eth1 interface of the ES is connected to a mirror port on a switch that mirrors DHCP traffic. The eth1 interface can also be configured to listen on a mirror port for other types of traffic to discover endpoints with static IP addresses. Select the local radio button in the Home window>>System configuration>> 802.1X Quarantine method>>Quarantining window to enable this mode.
    • Remote DAC (RDAC) – DAC runs as a standalone service on a Windows DHCP server and relays DHCP information back to the ESs. DAC can also be configured to run on a non-DHCP server to discover endpoints with static IP addresses. Select the remote radio button in the Select the local radio button in the Home window>>System configuration>> 802.1X Quarantine method>>Quarantining window to enable this mode.

[править] Дополнительная информация

[править] Материалы по контролю доступа в сеть на Xgu.ru