姿势代理概述
Cisco信托代理架构
姿态插件功能
供应商应用实例:Cisco安全代理
网络接收控制-启动主机能向姿态服务器传递姿态证书时,主机上必须存在姿态代理
Cisco信托代理与各种NAC驱动主机应用通信 通过他们的姿势插件NAC第三方供应商必须建立自己的姿态插件向决策点传送证书每一个商家都由独一无二的商家身份证识别,该身份证识别商家应用类型(例如杀毒)和属性(例如版本)。
Cisco Trust代理从所有NAC启动应用插件接收姿态证书并传递网络
本章探讨主机在NAC中的作用并描述Cisco信托代理和NAC驱动应用交互操作
本章描述下列项目:
NAC姿态代理物的两个主要功能
进程姿态验证
身份和姿势验证过程
姿势插件和商家命名空间格式
.dll和.inf文件的姿态插件
Cisco信托代理支持主机操作系统
使用Cisco安全代理实施NAC框架四大好处
姿势代理概述
显示于图3-1NAC框架解决方案内有三大作用:
宿主连接网络
网络访问设备作为政策执行点
政策服务器起决策点作用
网络录入控制逻辑作用
装饰表示证书和属性集合的术语定义用户计算机和计算机应用的状态或健康主机
使用NAC时需要姿态代理并居宿主或题目详解并传递信息如设备操作系统和应用级信息,形式为证书认证
NAD转发主机证书验证Cisco安全存取控制服务器发布网络执行指令供NAD执行
姿态代理还执行各种功能,例如通过发送用户描述主机姿态条件的自定义配置消息通知通知通知用户下举不达标主机通知示例 : “您的计算机缺少必要的更新量,因此无法访问网络 。恢复正常网络访问时, 请求立即更新您的计算机到下位 。 ”除消息通知外, 通知字符串, 诸如 URL项, 也可以由管理员配置, 管理员自动发送不兼容主机到修复服务器 。
额外动作存在并因供应商应用而异
Cisco信托代理架构
下节描述Cisco信托代理
姿势代理插件文件定义主机姿态证书属性
Cisco信托代理日志文件 和事件类型捕捉使用
这部分还识别Cisco信托代理支持的操作系统
第一,我们走遍姿态代理结构,从强制组件Cisco信托代理开始,如图所示图3-2.
Cisco信托代理架构
Cisco信托代理主机并运行后台服务服务存在并因思科信托代理版本而异服务应自动启动并运行其中包括以下内容:
Cisco信托代理
Cisco信托代理事件日志服务
Cisco纹理服务器守护程序
思科系统公司Cisco信托代理Posture国家守护程序
Cisco信托代理EOU守护程序
Cisco信托代理 Logger守护程序
802.1X应运行下列附加服务
Cisco信托代理802.1XWired客户端
Cisco信托代理802.1XWired客户日志
Cisco信托代理提供以下两个主要函数:
Cisco信托代理通过内部姿势插件收集主机操作系统信息并代理从第三方主机应用姿势插件收集证书
Cisco信托代理与NAD上游协议之一通信:用户数据表协议扩展认证协议(EAP对UDP、EAPOUDP或EOU)和EAP对LANLOEEAP
注释-802.1x实现程序Cisco信托代理不直接联系NADEAP所有事务从Cisco信托代理到suplicant和NAD,反之亦然
Cisco信托代理免费可用并可由注册用户下载http://cisco.com/cgi-bin/tablebuild.pl/cta.还可以打包加SA和第三方NAC供应商应用
Cisco信托代理还拥有以下附加特征:
操作系统姿态评估宿主
客户通知和默认浏览器集成
Cisco信托代理脚本界面
Cisco信托代理包含自有两个姿势插件:一报告姿态代理自身状况,一报告它运行主机基本信息每一种姿势插件都返回证书作为验证过程的一部分
Cisco信托代理程序结束时也可以启动网络浏览器通过在对应ACS配置通知字符串中安插URL实现姿态验证Cisco信托代理程序或具有此功能的其他程序也可以显示弹出消息,即将PA消息段插入ACS网络存取剖析文设置中PA消息验证段
需要任意信息宿主完全姿态评估时,CTASI可用用户脚本可写出格式化文件,CTASI可读进Cisco信托代理内部数据库数据库后寄出为姿态决策过程附加证书
Cisco信托代理有两种初级版本:一种有802.1x求偶程序,一种没有求偶程序
从核心强制功能开始 Cisco信托代理可单为姿态评估操作Cisco信托代理使用UDP端口号21862处理EOU通信可编辑ctad.ini配置文件修改此端口,此端口后段描述备注中,无论使用哪个UDP端口,所有主机个人防火墙都必须修改,允许输入UDP端口Cisco信托代理无法向NAD传递NAC请求,结果主机无法认证并因此接收有限访问网络
Cisco信托代理程序也可以同时收集身份和姿态证书,使用嵌入式单线802.1X求普
注释-Cisco信托代理包括802.1x只线接口求解收费电线并无线支持第三方求偶商可参与处理(例如会议数据通信http://www.mtghouse.com)
NAC-L2IP方法NAD检测新宿主DHCP或地址解析协议NAD信号cisco安全ACS新主机加入网络
CS和Cisco信托代理搭建安全通道使用EAP保护PEAP使用数字证书PEAP通道安全由ACS在建立会话期间提交证书Cisco信托代理安装root或root中间证书后,它信任ACS并因此搭建安全通道
注释-关于PEAP过程的更多资料,参考第二章“理解NAC框架”中“NAC-L3-IP和NAC-L2IP姿态验证与执行过程”一节
注释-Cisco信托代理安装时,它必须持有ACS服务器证书或权限链中的证书,或root证书或root中间证书更多Cisco信托代理安装使用数字证书信息参考Cisco信托代理管理员指南位址http://www.cisco.com.
万一想评价用户和/或设备身份和姿态证书时,应使用802.1X
802.1技术可用嵌入式线性求普程序或第三方求普程序使用在这种假想中,扩展验证协议-通过安全隧道法灵活验证方法必须使用外部验证方法(在写作时)。处理多认证类型的能力,例如用户和机器标识和姿态验证,在一个认证请求中调用证书链EAP-FAST目前是唯一允许证书链化的EAP隧道化方法EAP-FAST类似于PEAP,因为它也是支持各种认证方法的管道协议不同之处在于EAP-FAST不要求像PEAP那样数字证书设计它运行几乎所有主机设备 并偏向于一些客户
可用于身份认证的内部EAP类型包括:
EAP-Microoft握手协议v2微软活动目录使用基于用户名和密码证书
EAP-运输层安全机器和/或用户证书使用
EAP-Generic调令卡轻量目录存取协议使用或一次性密码使用,如Rivest、Shamir和Adelman安全标识用于身份信息并包括相关姿态信息类型长度值
EAP-FAST更多参考http://www.ietf.org/internet-drafts/draft-cam-winget-eap-fast-06.txt.
用户通知用Cisco信托通知弹出式表示图3-3并打开主机默认浏览器
用户通知实例隔离条件
全部信息均以ACS配置的录入控制策略表达
简言之,Cisco信托代理执行以下两个强制函数:
EAPOUDP或EAPOL(802.1X)与NAD通信
与主机上NAC能力应用通信
纹理代理插件文件
Cisco信托代理包含两种姿态评估能力:收集自身姿态信息并收集宿主的姿态细节,例如操作系统信息透视内部姿势插件
Cisco信托代理阵容插件或ctapp.inf文件
[main] PluginName=ctapp.dll VendorID=9 VendorIDName=Cisco Systems AppList=pa [pa] AppType=1 AppTypeName=CtaEoU AttributeList=attr1,attr2,attr3,attr4,attr5,attr6,attr7,attr8 attr1=1,notify,AppPostureResult attr2=2,notify,SysPostureResult attr3=3,string,AppName attr4=4,version,AppVersion attr5=5,string,OSName attr6=6,version,OSVersion attr7=11,Unsigned32,CTAState attr8=7,notify,UserNotify
Cisco信托代理主机插件或CiscoHostP.inf文件实例如下:
[main] PluginName=CiscoHostPP.dll VendorID=9 VendorIDName=Cisco Systems AppList=CiscoHost [CiscoHost] AppType=2 AppTypeName=Host Posture Plugin AttributeList=attr6,attr7,attr8 attr6=6,string,ServicePack attr7=7,string,HotFixes attr8=8,string,SystemName
可见Cisco信托代理插件收集评价属性或证书NAC其他姿势插件在组织方式上相似具体属性因应用而异
姿势插件也可以对从ACS接收到的电文在姿态验证过程结束时作用消息有两种形式一是弹出消息显示主机屏幕上,通知用户姿态验证结果并选入活动URL二是通知字符串,可因验证过程发送通知字符串可启动主机默认 web浏览器或触发姿态插件启动修复过程,如更新反病毒签名文件通知字符串触发动作依姿态插件关联的具体安全应用而异
Cisco信托代理日志
Cisco信托代理拥有极用日志功能解决NAC事件但他们默认禁用(本写作时)。