与XP客户端NAC认证是一个单元

因为它是在NAC过程中的第一步，我们开始与认证测试：如何将最终用户识别自己的网络？

因为它是在NAC过程中的第一步，我们开始与认证测试：如何将用户识别自己的网络？

我们先从一个简单的测试用例：使用802.1X认证一个执行点，虚拟LAN（VLAN）分配用于访问控制，一个策略服务器，没有端点安全和Windows XP客户端。

对于中航集团的执行点，我们在网络的边缘使用Cisco Catalyst 3750交换机，这是一个可靠的工具。(思科提供给我们发一个企业级的Cisco Catalyst 6509交换机，而是因为我们没有测试性能，我们使用了3750作为一个更小，更环保的测试用例。）

中航的政策服务器在我们的管理网络上运行的Cisco Secure Access Control Server v4.1可以访问Catalyst switch，这是中航集团唯一的选择。终端认证由思科的思科安全服务客户端(CSSC)作为802.1X请求者处理，而思科信托代理(CTA)在其之上，两者都运行在Windows XP之上，适用于戴尔和IBM/联想笔记本电脑。

在TCG / TNC方面，我们不得不在某些方面有更多的选择，而在其他更少的选择。我们最初的执行点是一个矩阵凯创C2系列交换机。对于策略服务器，我们开始与瞻博网络的统一接入控制服务器，该IC-4000，最强的竞争者支持TCG / TNC NAC框架。对于终点，我们安装了Juniper的UAC代理，其中既包括802.1X客户端和姿势检查功能。

我们预计这是一个扣篮的测试，这是。如果一个企业IT部门想要的东西，简单的为它的NAC部署，人生将是巨大的。

然后，我们复杂的测试网络。我们添加了思科接入点事物的CNAC侧，Aruba移动控制器到TCG / TNC侧。我们也扔三个开关到TCG / TNC，惠普ProCurve交换机另外，5406zl，一台Cisco Catalyst 3750和Extreme Networks的峰会X450a。所有新的齿轮，有线和无线，我们简单的基于Windows XP的测试的完美无缺。

因为我们使用了我们的访问控制的执行VLAN分配，有没有任何理由不尝试HP，Enterasys公司和Extreme中航网络上的交换机，以及 - 所以我们所做的，他们还曾。然而，标准化RADIUS协议不支持你可能想在NAC环境中的每个功能。特别是，RADIUS有没有办法让NAC服务器告诉一个开关来启动有人掉或使它们重新认证。这意味着半专有扩展到半径将开始出现在NAC策略服务器了，我们可以期待“更好”的结果，尤其是边缘的情况下，有些端点安全方案，当你匹配思科品牌在Cisco ACS服务器切换。

我们无法得到任何失败的认证测试。也就是说，直到我们切换用户机平台。

NAC在Mac

我们的第一个真正的并发症来了，当我们从我们的移动员工，导通视窗-XP场景的员工上的Mac-OS-X方案。无论是思科，还是TCG / TNC，有适用于Mac台式机或者笔记本的立即答复。在Cisco方面，我们与内置在Mac本地802.1X客户端逃走了操作系统。因为我们不是在寻找终点评估然而，这就够了修复。

在TCG/TNC方面，我们有更大的差距需要跨越。Juniper发送的UAC v2.0 IC-4000控制器在Juniper客户端上工作得很好，但仅为TCG/TNC部署设计。如果我们的Mac笔记本电脑上没有TCG/TNC客户机，我们就无法对UAC控制器进行身份验证。Juniper解释我们遇到这个问题的原因是该公司刚刚开始整合Steel-Belted RADIUS服务器与恐慌软件收购UAC与2.0版本,但没有暴露所有的力量UAC的RADIUS服务器内部设备。

随着UAC的新版本（2.1版预计在今年夏天的晚些时候），一切都需要做两TCG / TNC式身份验证以及简单的802.1X认证。我们与正式发布的产品来到了该解决方案是丑陋，但可行的。我们在UAC控制器的前端安装一个主RADIUS服务器，然后告诉新RADIUS服务器只有TCG / TNC兼容的客户端身份验证和授权请求发送到UAC控制器。

热情接待客人

从员工迁移到客人是一个真正的探索单一厂商NAC产品像那些之间的区别有个足球雷竞技app正在单独测试(看到这些测试的详细信息相关)和一个NAC框架。对于单一供应商的NAC，有一个简单的回答:“这样做，这就是我们对待客人的方式。”

无论是思科还是我们TCG / TNC球队愿意要这样严格的客人访问是如何允许的项。为了使在同一交换机端口作为雇员客人在工作，开关必须有一个“访客VLAN”模式，这样，当802.1X认证没有工作，客户端机器将被送往开了个客人，只有VLAN。我们能够成功配置了思科，Enterasys公司，Extreme和HP交换机要做到这一点很容易。在无线一面，我们只是创建了一个额外的无线服务集标识符，供客人使用，分开的员工。

处理客户身份验证最明显的解决方案是专属门户，特别是因为客户用户已经习惯了这种基于浏览器的身份验证系统。思科为我们提供了他们产品线的产品选择，包括思科清洁接入(CCA)设备。思科解决方案的困难在于，策略管理现在将被拆分为两个不同的系统:客户用户的CCA和员工系统的ACS。

在一台NetScreen 5GT瞻博网络防火墙带来了开发基于内置到ScreenOS中和UAC设备上的标准工具来宾用户一个更优雅的解决方案。因为工作的ScreenOS防火墙系统内部紧密相关瞻博网络UAC设备，防火墙能够与UAC电器合作，创建一个紧密联系在一起的UAC中的政策工具强制网络门户的环境。

验证unauthenticatable

认证的最大障碍是无代理客户机，即既没有Web浏览器也没有802.1X客户机的设备。我们挑选了一台惠普打印机、包括一台Palm PDA、一部诺基亚E61智能手机和两部有线会话启动协议电话在内的无线设备作为例子。

有了这个情况下，我们拉长了什么NAC是所有有关的概念。

例如，我们必须把我们的打印机连接到网络。一种选择可能是简单地说：“NAC不适用”，因为你没有真正验证用户身份，也没有检查端点安全状态。网络管理员可以找到打印机连接的端口，并配置它是一个静态VLAN。用这种方法的问题是，你不知道那件事自称是打印机实在是一台打印机，或黑客伪装成打印机在网络上得到。

因为我们要整合我们的安全可能的最高级别的打印机，我们选择去寻找更好的方法。我们发现的是，它现在变成了更多的测试交换机和无线齿轮比中航和TCG / TNC框架故障或功能。例如，我们的催化剂3750交换机有一个名为“MAC认证旁路”功能。MAC认证旁路交换机端口组将尝试802.1X身份验证，但如果失败也将尝试验证基于他的MAC地址，直接到RADIUS服务器的用户。

其思想是预先加载打印机的MAC地址(或者仅仅是MAC地址前缀)网络电话手机到您的认证数据库，并使用该认证。无论是思科和凯创开关在测试床可以做的MAC认证旁路。The switch Extreme sent couldn’t do MAC bypass using its “Network Login” facilities, and we couldn’t successfully make the HP switch handle 802.1X, guests, and printers all on the same ports (HP’s documentation is ambiguous on whether this is even supposed to work).

当然，使用MAC地址进行身份验证有其自身的风险。打印机通常在容易看到的地方有一个包含其MAC地址的标签，如果不能，确定MAC地址只需要攻击者几秒钟的时间。如果mac认证的打印机放在专门用于打印机的VLAN上，防火墙只允许“打印”流量，并与网络的其他部分隔离，这可能是一种可以接受的折衷方案。另一方面，许多网络管理员可能希望简单地将打印机作为最终用户系统放在同一个VLAN上。在这种情况下，使用MAC地址进行身份验证或静态地映射端口，将意味着任何类型的NAC策略在安全性上都存在漏洞。

即使打印机可以防火墙断开，各种网络中的无代理设备的可能排除具有用于每个设备类型的防火墙。打印机和VoIP电话很容易投入到垃圾箱特殊，因为它们具有可预测的流量模式和目的地。但对于徽章读者和安全摄像机和温度传感器和UPS和设备的所有其他方式插入到网络？思科和TCG / TNC团队对如何与这种多样性应对思路。

多样化无代理访问

思科带来了合作伙伴Qualys公司和大湾软件每个都有自己的战略来处理客人和非认证装置。

Qualys公司提供了一个小的器具，其的QualysGuard服务，其通常通过企业网络用于漏洞扫描的一部分。在中航方案，我们Qualys公司家电直接跟Cisco ACS服务器。当一个新的系统请求的访问，ACS服务器使用思科定义的协议到的QualysGuard器具详述请求者的IP地址发送的消息。该设备的QualysGuard会运行快速扫描，并用传球返回一个状态报告/对新系统的失败结果。

整合是快速和优雅，但实际部署是非常有限的。在的QualysGuard NAC集成的初始化身，我们没有很多的配置好的系统和坏系统之间的差异选择，因为该报告似乎并没有给我们带来了很多关于发生了什么事情的信息。随着越来越多的来宾用户配备在笔记本电脑上运行防火墙，很可能是这种做法会提供较少的有用信息。因为的QualysGuard必须具有的系统的IP地址以进行扫描，这种方法还没有用于802.1X用户或MAC验证的设备，如打印机的工作 - 这两者都不具有IP地址，当扫描具有发生。

为补充的QualysGuard的审计功能，大湾软件带来了在其信标设备与Cisco ACS和帮助整合与设备，如VoIP电话和打印机的问题。信标是一个多用途的设备，但它的主要任务之一是网络设备发现工具。使用多种技术，如包嗅探和SNMP发现，信标尝试的简档与所述网络上的每个设备相关联。随着灯塔，我们就不必目录的MAC地址为我们的网络上的每台无代理设备，我们将有一些“检查”，以帮助受谁想要伪装成打印机的入侵者减少MAC地址欺骗的风险。我们用信标基础上，他们的表现如何在网络上，以确定我们的VoIP电话和打印机。

Beacon和Cisco ACS之间的链接是使用LDAP连接建立的。当无代理设备尝试连接时，该设备的MAC地址被发送到Cisco ACS进行身份验证，然后使用信标服务器中的LDAP查找该设备。如果Beacon已经为该设备构建了一个配置文件，那么该配置文件将被发送回ACS, ACS可以使用它来决定哪些访问控制设置是合适的。对于我们的VoIP电话和打印机，我们能够将它们放在正确的vlan上，而不必提前知道它们的MAC地址是什么。

当然，因为Beacon使用标准化协议(LDAP)与Cisco ACS进行通信，而不是使用专有协议(正如QualysGuard需要的那样)，所以我们也能够将Beacon设备带着相同的功能偷偷地放到我们的TCG/TNC网络上。我们确实需要处理在TCG/TNC端有两个RADIUS服务器的笨拙问题，但是能够使用这种技术对打印机和VoIP电话进行身份验证。

我们大约穿过我们的实验室厂商了解到一个重要的发展是一个新的TCG / TNC协议目前正在开发中。规范，被称为IF-MAP，是专门设计，让工具，如入侵检测系统和安全信息管理（SIM）饲料信息反馈到NAC部署。这种联动将是完美的解决MAC认证的问题。目前没有关于IF-MAP没有可用的公共信息。