第三章:姿态代理

• 姿势代理概述

• Cisco信托代理架构

• 姿态插件功能

• 供应商应用实例:Cisco安全代理

网络接收控制-启动主机能向姿态服务器传递姿态证书时,主机上必须存在姿态代理

Cisco信托代理与各种NAC驱动主机应用通信 通过他们的姿势插件NAC第三方供应商必须建立自己的姿态插件向决策点传送证书每一个商家都由独一无二的商家身份证识别,该身份证识别商家应用类型(例如杀毒)和属性(例如版本)。

Cisco Trust代理从所有NAC启动应用插件接收姿态证书并传递网络

本章探讨主机在NAC中的作用并描述Cisco信托代理和NAC驱动应用交互操作

本章描述下列项目:

• NAC姿态代理物的两个主要功能

• 进程姿态验证

• 身份和姿势验证过程

• 姿势插件和商家命名空间格式

• .dll和.inf文件的姿态插件

• Cisco信托代理支持主机操作系统

• 使用Cisco安全代理实施NAC框架四大好处

姿势代理概述

显示于图3-1NAC框架解决方案内有三大作用:

• 宿主连接网络

• 网络访问设备作为政策执行点

• 政策服务器起决策点作用

图3-1

网络录入控制逻辑作用

装饰表示证书和属性集合的术语定义用户计算机和计算机应用的状态或健康主机

使用NAC时需要姿态代理并居宿主或题目详解并传递信息如设备操作系统和应用级信息,形式为证书认证

NAD转发主机证书验证Cisco安全存取控制服务器发布网络执行指令供NAD执行

姿态代理还执行各种功能,例如通过发送用户描述主机姿态条件的自定义配置消息通知通知通知用户下举不达标主机通知示例 : “您的计算机缺少必要的更新量,因此无法访问网络 。恢复正常网络访问时, 请求立即更新您的计算机到下位 。 ”除消息通知外, 通知字符串, 诸如 URL项, 也可以由管理员配置, 管理员自动发送不兼容主机到修复服务器 。

额外动作存在并因供应商应用而异

Cisco信托代理架构

下节描述Cisco信托代理

• 姿势代理插件文件定义主机姿态证书属性

• Cisco信托代理日志文件 和事件类型捕捉使用

这部分还识别Cisco信托代理支持的操作系统

第一,我们走遍姿态代理结构,从强制组件Cisco信托代理开始,如图所示图3-2.

图3-2

Cisco信托代理架构

Cisco信托代理主机并运行后台服务服务存在并因思科信托代理版本而异服务应自动启动并运行其中包括以下内容:

• Cisco信托代理

• Cisco信托代理事件日志服务

• Cisco纹理服务器守护程序

• 思科系统公司Cisco信托代理Posture国家守护程序

• Cisco信托代理EOU守护程序

• Cisco信托代理 Logger守护程序

802.1X应运行下列附加服务

• Cisco信托代理802.1XWired客户端

• Cisco信托代理802.1XWired客户日志

Cisco信托代理提供以下两个主要函数:

• Cisco信托代理通过内部姿势插件收集主机操作系统信息并代理从第三方主机应用姿势插件收集证书

• Cisco信托代理与NAD上游协议之一通信:用户数据表协议扩展认证协议(EAP对UDP、EAPOUDP或EOU)和EAP对LANLOEEAP

---

记事本-802.1x实现程序Cisco信托代理不直接联系NADEAP所有事务从Cisco信托代理到suplicant和NAD,反之亦然

---

Cisco信托代理免费可用并可由注册用户下载https://cisco.com/cgi-bin/tablebuild.pl/cta.还可以打包加SA和第三方NAC供应商应用

Cisco信托代理还拥有以下附加特征:

• 操作系统姿态评估宿主

• 客户通知和默认浏览器集成

• Cisco信托代理脚本界面

Cisco信托代理包含自有两个姿势插件:一报告姿态代理自身状况,一报告它运行主机基本信息每一种姿势插件都返回证书作为验证过程的一部分

Cisco信托代理程序结束时也可以启动网络浏览器通过在对应ACS配置通知字符串中安插URL实现姿态验证Cisco信托代理程序或具有此功能的其他程序也可以显示弹出消息,即将PA消息段插入ACS网络存取剖析文设置中PA消息验证段

需要任意信息宿主完全姿态评估时,CTASI可用用户脚本可写出格式化文件,CTASI可读进Cisco信托代理内部数据库数据库后寄出为姿态决策过程附加证书

Cisco信托代理有两种初级版本:一种有802.1x求偶程序,一种没有求偶程序

从核心强制功能开始 Cisco信托代理可单为姿态评估操作Cisco信托代理使用UDP端口号21862处理EOU通信可编辑ctad.ini配置文件修改此端口,此端口后段描述备注中,无论使用哪个UDP端口,所有主机个人防火墙都必须修改,允许输入UDP端口Cisco信托代理无法向NAD传递NAC请求,结果主机无法认证并因此接收有限访问网络

Cisco信托代理程序也可以同时收集身份和姿态证书,使用嵌入式单线802.1X求普

---

记事本-Cisco信托代理包括802.1x只线接口求解收费电线并无线支持第三方求偶商可参与处理(例如会议数据通信https://www.mtghouse.com)

---

NAC-L2IP方法NAD检测新宿主DHCP或地址解析协议NAD信号cisco安全ACS新主机加入网络

CS和Cisco信托代理搭建安全通道使用EAP保护PEAP使用数字证书PEAP通道安全由ACS在建立会话期间提交证书Cisco信托代理安装root或root中间证书后,它信任ACS并因此搭建安全通道

---

记事本-关于PEAP过程的更多资料,参考第二章“理解NAC框架”中“NAC-L3-IP和NAC-L2IP姿态验证与执行过程”一节

---

---

记事本-Cisco信托代理安装时,它必须持有ACS服务器证书或权限链中的证书,或root证书或root中间证书更多Cisco信托代理安装使用数字证书信息参考Cisco信托代理管理员指南位址https://www.cisco.com.

---

万一想评价用户和/或设备身份和姿态证书时,应使用802.1X

802.1技术可用嵌入式线性求普程序或第三方求普程序使用在这种假想中,扩展验证协议-通过安全隧道法灵活验证方法必须使用外部验证方法(在写作时)。处理多认证类型的能力,例如用户和机器标识和姿态验证,在一个认证请求中调用证书链EAP-FAST目前是唯一允许证书链化的EAP隧道化方法EAP-FAST类似于PEAP,因为它也是支持各种认证方法的管道协议不同之处在于EAP-FAST不要求像PEAP那样数字证书设计它运行几乎所有主机设备 并偏向于一些客户

可用于身份认证的内部EAP类型包括:

• EAP-Microoft握手协议v2微软活动目录使用基于用户名和密码证书

• EAP-运输层安全机器和/或用户证书使用

• EAP-Generic调令卡轻量目录存取协议使用或一次性密码使用,如Rivest、Shamir和Adelman安全标识用于身份信息并包括相关姿态信息类型长度值

EAP-FAST更多参考https://www.ietf.org/internet-drafts/draft-cam-winget-eap-fast-06.txt.

用户通知用Cisco信托通知弹出式表示图3-3并打开主机默认浏览器

图3-3

用户通知实例隔离条件

全部信息均以ACS配置的录入控制策略表达

简言之,Cisco信托代理执行以下两个强制函数:

• EAPOUDP或EAPOL(802.1X)与NAD通信

• 与主机上NAC能力应用通信

纹理代理插件文件

Cisco信托代理包含两种姿态评估能力:收集自身姿态信息并收集宿主的姿态细节,例如操作系统信息透视内部姿势插件

Cisco信托代理阵容插件或ctapp.inf文件

[main] PluginName=ctapp.dll VendorID=9 VendorIDName=Cisco Systems AppList=pa  [pa] AppType=1 AppTypeName=CtaEoU AttributeList=attr1,attr2,attr3,attr4,attr5,attr6,attr7,attr8 attr1=1,notify,AppPostureResult attr2=2,notify,SysPostureResult attr3=3,string,AppName attr4=4,version,AppVersion attr5=5,string,OSName attr6=6,version,OSVersion attr7=11,Unsigned32,CTAState attr8=7,notify,UserNotify

Cisco信托代理主机插件或CiscoHostP.inf文件实例如下:

[main] PluginName=CiscoHostPP.dll VendorID=9 VendorIDName=Cisco Systems AppList=CiscoHost  [CiscoHost] AppType=2 AppTypeName=Host Posture Plugin AttributeList=attr6,attr7,attr8 attr6=6,string,ServicePack attr7=7,string,HotFixes attr8=8,string,SystemName

可见Cisco信托代理插件收集评价属性或证书NAC其他姿势插件在组织方式上相似具体属性因应用而异

姿势插件也可以对从ACS接收到的电文在姿态验证过程结束时作用消息有两种形式一是弹出消息显示主机屏幕上,通知用户姿态验证结果并选入活动URL二是通知字符串,可因验证过程发送通知字符串可启动主机默认 web浏览器或触发姿态插件启动修复过程,如更新反病毒签名文件通知字符串触发动作依姿态插件关联的具体安全应用而异

Cisco信托代理日志

Cisco信托代理拥有极用日志功能解决NAC事件但他们默认禁用(本写作时)。

启动日志时,转到Cisco信托代理安装宿主目录Cisco信托代理日志文件默认定位于C:Documents和setAll用户应用DataCisco系统CiscoTrustAgent

ktalogd.tm文件重命名为ctalogd.ini日志文件一经Cisco信托代理接收下一个EAPOUDP/EAPoL请求即创建日志子目录日志文件不创建, 或重命名正确或Cisco信托代理不接受EAPOUDP/EAPoL请求, 这可能由个人防火墙阻塞请求或Cisco信托代理端口NAD引起日志编程也可以通过命令行程序clogcli.exe实现并配置

写作时默认最大日志尺寸为4MB并可以通过编辑ctalogd.ini文件修改最大日志规模实现后,新日志文件创建随时间推移,无限数文件创建

关于日志文件或如何定制文件的信息,参考Cisco信托代理事件日志部分Cisco信托代理管理员指南位址https://www.cisco.com.

操作系统支持

Cisco信托代理支持Windows和RedHatLinuxX级和4X级操作系统微软Windows移动5和WindowsXP板、Sun Solaris和Apple MacintoshOSX预计会额外平台支持

Cisco信托代理从前文描述的两个插件中看到(ctapp.inf和CiscoHostP.inf),Cisco信托代理可收集Windows4.0Windows2000或WindowsX

• 操作系统名(例如WindowsXP专业类)

• 操作系统版本(例如2002版)

• 操作系统服务包(例如服务打包2)

• 操作系统热修补法(例如KB123456KB234567等)

• 机器名(例如主机完全限定域名

• Cisco信托代理信息

  • 姿势代理名(例如Cisco信托代理)

  • 纹理代理版(例如2.0.0.30)

  • 机器姿态状态(例如启动对登录)

红帽Linux Cisco信托代理收集以下信息

• 选择红帽包管理器版本

• 操作系统类型(例如RedHat企业LinuxES)

• 操作系统发布(包括OS内核名称、版本和硬件平台)

• 内核版Uname-r)

• Cisco信托代理信息

  • 姿势代理名(例如Cisco信托代理)

  • 纹理代理版(例如2.0.0.30)

  • 机器姿态状态(例如启动对登录)

Linux主机姿态插件可检索某些包的版本号,但这些包必须预定义ACS策略注意Linux RPM格式前后不一致下例版本数显示Cisco信任代理使用特殊格式返回包版号

首例是方位验证规则,由ACS配置,请求OpenSSL包数请求字符串时,版本数归并数和字母组合,如0.9.7a

二例按4-oct号请求版本返回数可能是 0.9.7.97

---

记事本-Cisco信托代理Linux不对支持检索主机FQDN

---

Cisco信托代理程序结合姿势插件和第三方托管程序选用后可深入了解企业机群安全策略遵守情况

纹理插件功能性

插件从各种安全应用或主机操作系统收集数据,格式可接受并传递给姿态代理Cisco信托代理

NAC框架方法的一个关键重要方面是它智能融入第三方应用的能力CiscoNAC伙伴程序的一部分(更多信息见https://www.cisco.com/en/US/partners/pr46/nac/partners.html)主机反病毒、端点安全、守约审核和补丁管理产品供应商使用Cisco信托代理提交证书,以根据全面访问控制策略验证解决方案第三方安全和守法解决方案现在可以使用网络无所不在的强力执行点,从而大大扩展客户对应用的现有资本和业务投资

每位NAC控件插件都通过互联网分配号局分配售品识别码列表IANA分配https://www.iana.org/assignments/enterprise-numbers.

内置标识符内,供销商可实施逐项应用类型,并继之以供销商评价录入控制策略验证时需要的各种属性NAC供应商必须遵循下列格式或命名空间:

厂商:Application-Type:属性化

参考表3-1从主机获取证书列表列表可视安装的姿态代理而变化

表3-1证书属性

Windows版本中,每个CiscoNAC供应商必须创建与Cisco信托代理交互操作的以下两个文件:

• .dllLinks Cisco信托代理程序与主机应用.dll文件内存程序插件动作应用代码

• .inf描述从商家插件中可获取的各种属性通常定位于下列主机目录中

  • Cisco信托代理v1:C:ProgramfileCisco系统

  • C:Program文件Common

AC供应商证书从主机寄送ACS时,ACS必须能理解要实现此目标,ACS必须包含NAC供应商专用的合伙人属性定义文件(ADFs)。CS-UITL工具可导入ACS词典参考4.0版Cisco安全ACS配置指南位址https://www.cisco.comCisco安全技术文档姿态插件附加功能是状态改变通知相关安全应用完成修复过程时,例如接收反病毒程序更新签名文件时,姿态插件可信号Cisco信任代理Cisco信托代理安装NAC-L2-802.1X模式时,Cisco信托代理可信号请求向NAD发送EAPOL启动包启动正常认证序列特征目前仅可用NAC-L2-802.1X模式并调用异步状态查询以NAC-L2IP或NAC-L3-IP模式操作时,主机必须等待接收状态查询后再启动重新验证

供应商应用实例:思科安全代理

由许多NAC驱动的供应商应用提供能力与NAC互操作性,从而将现有应用投资价值扩展至范围更广的解决方案Cisco安全代理CSA内存自有姿态插件文件,使其能够向NAC寄送证书求解

CSA提供以下四种效益补充NAC框架解决方案

• Cisco信托代理保护

• NAC状态认知

• 可信服务质量

• 高效大规模部署思科信托代理

Cisco信托代理保护

CSA基于行为主机防入侵产品中心注重保护宿主资产和该资产所蕴藏的知识产权,按其配置安全策略

CSA4.5.1和5.0版本预设规则侧重于两个重要功能:允许Cisco信托代理按原意运作并保护Cisco信托代理不受外部干扰可能由用户错误(如卸载思科信托代理)或意图(如蠕虫图取证书)引起干扰显示于图3-4CSA有规则允许Cisco信托代理与网络通信,开放通知消息用户桌面并打开默认浏览器并传递URL进行修复CSA还有一条规则 禁止修改Cisco信托代理文件 和姿态插件文件夹

图3-4

CSA管理中心:Cisco信托代理规则模块

NAC国家认知

Cisco信托代理和CSA可安装到主机上,在这种情况下CSA还起姿态代理作用。作为集成的一部分,CSA还能看到系统姿态令牌从ACS传递Cisco信托代理这使CSA能够根据接收控制评估动态修改它的具体主机安全策略

整合主机安全功能和端口访问控制使IT操作能力执行锁住不达标主机的政策,以便只允许特定应用程序运行,并只联系网络上的具体资源IT操作可执行只允许修复过程运行并只允许默认 web浏览器去内部网络资源狭小列表的政策

可信服务质量

端点提供政策执行代理允许企业智能转换网络信任边界到宿主信任边界取决于接收控制结果类型解决方案被称为Cisco信任服务质量

Cisco信任QOS有两种价值CSA可识别并安全已知应用,因此可适当标注这些应用的流量并标出适当的差分服务代码点值(根据企业IT策略)。这可能很重要,因为流向广域网不需要检查,从而减轻边缘设备的资源负担此外,由于该政策动态化,相关公司内部的QOS政策可极快地适应新需求

Cisco信任QOS的另一重要理由是,基于CSA识别已知应用,你发现并标识通信量,你现在可以发现并标识所有应用流量不兼容切换策略显示于图3-5Cisco安全代理管理控制中心允许管理员配置差分服务执法

图3-5

CSA管理中心:可信QOS

管理员标记某些流量为Scavenger类(差分服务Scavenger8CS1),如果超出一定速率则有选择地下调更有意思的是,有问题流量可选择通过上游安全设备路由,使用其他路由和交换功能,如基于策略路由选择、虚拟路由和转发或思科优化边缘路由这可能大大降低安全装置的使用量,因为它们仅检查并强制执行可疑交通量与所有交通量之比

更多可信Qos参考Cisco安全代理管理中心文档https://www.cisco.com/univercd/cc/td/doc/product/vpn/ciscosec/csa/csa50/trqos.pdf.

unblingCisco信托代理部署

CSA最终的好处是使用CSAMC自动导入并安装Cisco信托代理将静默安装等安装选项与请求证书和所需证书连接到加SA构建装箱过程中可以实现这一点。允许运算符使用捆绑并更新Cisco信托代理程序实例显示如何选择CSAMC中的捆绑选项图3-6.

图3-6

CSA管理中心:Cisco信托代理Bunble

Cisco信托代理与CSA安装可大大节省运行时间,并减少用户圈中断

摘要

Cisco信托代理是NAC姿态代理器,这是NAC框架基本组件,提供以下两个主要功能:

• 代理程序,与NAC驱动主机应用程序通信并收集证书

• 通过EAPOUDP或EAPOL(802.1X)与NADs通信

Cisco信托代理通过姿态插件与各种NAC驱动主机应用通信NAC第三方供应商必须建立自己的姿态插件向决策点传送证书每一个商家都用独有商号识别,包括识别应用类型(例如杀毒)和属性(例如版本)。ACS必须理解NAC供应商证书可能需要将伙伴属性定义文件导入ACSADF词典

Cisco信托代理器还起到向用户传递关键通信工具的作用,即以弹出式消息通知方式通知用户网络浏览器和URL重定向引导用户修复

由NAC启动的应用程序和姿态代理器与网络存取装置和政策验证服务器并发,使网络得以智能评价并强制实施网络任何地方的安全守法政策

资源类

网络录入控制EBC演示文稿Russell Rice,STG营销主管Cisco系统公司

网络录用技术常问问题https://wwwin.cisco.com/stg/nac/nac_technical_faq.shtml#anchor4.

评议问题

可找到附录A审查题的答案

1. Cisco信托代理包括802.1x求偶机

   1. 各种访问接口

   2. 单线接口

   3. 有线和无线接口

   4. 所有图层2和图层3接口

2. ACS和Cisco信托代理之间如何搭建受保护EAP通道

   1. 都只使用共享密码

   2. 选择使用共享密码或证书

   3. Cisco信托代理向ACS提交证书

   4. ACS向Cisco信托代理提交证书

3. 评估身份和姿势证书时,802.1x使用哪类EAP

   1. EAP-Fast

   2. 受保护EAP

   3. EAP-TLS

   4. EAP-GTC

4. Cisco信托代理直接通信哪些NAC组件

   1. NAD系统

   2. ACS系统

   3. NAC启动应用姿势插件

   4. 装饰代理

5. NAC控件文件类型C:Program文件Common

   1. .dll

   2. .log

   3. .exe

   4. .inf

6. 哪个常用文件名分配到两个姿态代理插件

   1. ttap.inf

   2. CiscoHostP.inf

   3. CiscoHostP.dll

   4. tatapi.dll

   5. stapp.dll

7. 何为伪声明

   1. 使用CSANAC的好处是它能保护Cisco信托代理不被修改

   2. CSA监听器允许安装Cisco信托代理证书和所需证书以及CSA静默安装

   3. CSA可用DSCP值发现并标记应用流量

   4. CSA是一个姿态代理器,不要求使用Cisco信托代理

版权2007Pearson教育所有权利保留