思科的网络准入控制可以直接映射到TCG的NAC体系结构。然而,由于思科受制于其安装基础的收入现实,该架构包括妥协和超越TCG提供的扩展。
在客户端,TCG的网络访问请求者和可信网络连接客户端由免费的思科信任代理软件覆盖。TCG的完整性测量收集器在思科模型中显示为供应商思科提供的代理,并(可选地)作为自己的思科安全访问产品,一个主机入侵防御系统,它在2003年收购奥凯那时获得。
思科必须认真对待处理网络准入控制所需的协议。在最低层,Cisco选择了可扩展认证协议(EAP)。而EAP是IETF为身份验证而设计的,在大多数情况下使用802.1倍思科开发了自己专有的(但公开披露的)EAP方法,称为EAP- fast(通过安全隧道的灵活认证)。随着EAP- fast的就位,思科可以在EAP协议中包含802.1X身份验证以及端点安全评估信息。
由于思科希望其产品线能与超过802.1 x支持的交换机一起工作,因此思科信任代理具有eap -over 802.1 x和eap -over用户数据报协议(UDP)支持。有了这种双协议支持,当终端系统尝试使用802.1X以外的方法访问网络时,例如aVPN客户端或通过非802.1 x交换机进入的人,EAP流量通过UDP传输,而不是直接在以太网帧中传输。
然而,思科EAP的802.1X和UDP版本之间的关键区别。在802.1X的情况下,EAP包括身份验证和端点安全评估信息。当使用UDP时,思科的NAC不再进行身份验证。相反,用户必须通过一些其他机制进行身份验证,身份验证和用户凭证不再与该用户的安全策略紧密绑定。
思科网络许可控制的802.1X和UDP版本之间缺乏对称性,这意味着访问和认证的处理取决于你是否通过局域网连接,无线局域网或通过VPN隧道。
这种不平等支持的进一步症状是在免费的思科信任代理中缺乏无线支持。对于无线802.1X,网络管理人员将不得不用另一个来自Meetinghouse数据通信或Funk软件的802.1X请求程序来取代免费软件Cisco Trust Agent 802.1X瞻博网络).当前版本的思科网络准入控制的真正重点是端点安全评估——来自802.1X对话框的认证确实是一个幸运的副作用。
作为交换机的主要制造商,路由器和VPN设备,思科肩负着将网络准入控制纳入其设备的艰巨任务。TCG的政策执行要点等同于思科的体系结构中的网络接入设备。思科有文档页解释哪些设备将支持不同的客户端场景:EAP over UDP和EAP over 802.1X。
总结这些图表是困难的,容易发生纠纷;思科的竞争对手认为,升级所有交换机的要求是思科方法的一个主要缺点,而思科认为,大多数对网络准入控制感兴趣的企业客户都有合适的设备,可以立即开始使用。
一个非常明显的问题是,不同设备的策略执行能力差异很大。将完整的、细粒度的访问控制策略发送到策略执行点只可能在设备集有限的网络中,例如Cisco的高端6500交换机。思科对更粗粒度访问控制的支持,例如虚拟局域网基于隔离,甚至批量访问/不访问网络,构成了目前大多数思科产品的功能。
思科在2004年收购Perfigo时推出了思科Clean Access设备,为其网络准入控制提供了第二种方法。这个设备是Cisco为那些想要进行端点安全评估但又不想改变基础设施的公司制定的NAC战略中硬塞进来的。清洁获取的长期整合服务器在很大程度上,这一方案的代表是可伸缩的PowerPoint幻灯片,这可能是思科内部持续争论的主题。
思科相当于TCG的后端策略决策点是思科的访问控制服务器和一系列到第三方策略、认证和审计服务器的接口。访问控制服务器,版本4.0或更高,代表TCG网络访问授权机构与可信网络连接服务器的思科版本。完整性测量验证器,在思科架构中称为策略服务器决策点,使用思科定义的协议连接到访问控制服务器。
思科的架构超越了TCG的NAC计划,使用审计服务器来审计没有安装思科信任代理的设备的端点安全状态。当无代理系统试图连接到受网络允许控制保护的网络时,策略执行点(Cisco术语中的网络访问设备)可以检测到没有代理。然后,它可以将审计服务器应用到终端系统,方法是尝试从外部扫描系统,或者尝试将代理软件下载到浏览器中,以便进行审计。尽管审计服务器填补了体系结构上的漏洞,但还不清楚它将收集多少有用的数据,也不清楚它是否足以设置网络访问策略。
思科的网络准入控制体系结构是一个严肃的体系结构,它得到了整个思科产品线的良好支持。不过,也有一些缺点,比如在使用非802.1 x方法时缺乏策略集成。然而,思科在架构优雅和现有企业网络的工作方式之间取得了很好的平衡。如果说思科的架构有什么弱点的话,那就是过于关注终端安全,而对详细的访问控制和身份验证却相对忽视。
下一个:微软的努力>
了解更多关于这个主题的信息
学术用途英语?06/01/05
思科推荐混合认证替代方案03/01/04
思科解决了无线安全问题02/12/04