Zařízení Cisco NAC - Cisco NAC Appliance

Tento článek má několik problémů. Prosím pomozte vylepši to nebo diskutovat o těchto otázkách na internetu diskusní stránka. (Zjistěte, jak a kdy tyto zprávy ze šablony odebrat) tento článek může obsahovat nadměrné nebo nevhodné odkazy na vlastní zdroje. Prosím pomozte vylepši to odstraněním odkazů na nespolehlivé Zdroje tam, kde jsou používány nevhodně. (Duben 2012) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) tento článek příliš spoléhá na Reference na primární zdroje. Vylepšete to přidáním sekundární nebo terciární zdroje. (Duben 2012) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) Téma tohoto článku nemusí splňovat požadavky Wikipedie obecný pokyn k notabilitě. Pomozte prosím určit notabilitu citováním spolehlivé sekundární zdroje to jsou nezávislý tématu a poskytnout jeho významné pokrytí nad rámec pouhé triviální zmínky. Pokud nelze určit významnost, je pravděpodobné, že článek bude sloučeny, přesměrovánnebo smazáno. Najít zdroje: „Zařízení Cisco NAC“  – zprávy  · noviny  · knihy  · učenec  · JSTOR (Duben 2012) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Zařízení Cisco NAC, dříve Čistý přístup Cisco (CCA), byl a řízení přístupu do sítě (NAC) systém vyvinutý společností Systémy Cisco navržen tak, aby vytvářel bezpečné a čisté prostředí počítačové sítě. Původně vyvinutý společností Perfigo a prodáváno pod názvem Perfigo SmartEnforcer řízení přístupu do sítě zařízení analyzuje systémy pokoušející se o přístup k síti a brání zranitelným počítačům v připojení k síti. Systém obvykle nainstaluje aplikaci známou jako Clean Access Agent do počítačů, které budou připojeny k síti. Tato aplikace ve spojení se serverem Clean Access a Clean Access Manager se dnes stala běžnou v mnoha univerzitách a podnikových prostředích. Je schopen řídit drátové nebo bezdrátové sítě v v pásmu nebo mimo pásmo režim konfigurace a virtuální privátní sítě (VPN ) v režimu konfigurace pouze v pásmu.

Zařízení Cisco NAC Appliance již není ve výrobě a již se neprodává na počátku 2010. Podpora hlavního proudu končící v roce 2015. Rozšířená podpora končící v roce 2018.

Clean Access Agent

Agent Clean Access (zkratka: CCAA, „Cisco Clean Access Agent“) je umístěn na počítači klienta, ověřuje uživatele a vyhledává požadované opravy a software. V současné době je aplikace Clean Access Agent k dispozici pouze pro některé operační systémy Windows a Mac OS X (Windows 98, Windows Me, Windows 2000, Windows XP, Vydání Windows XP Media Center, Windows Vista, Windows 7, Windows 8 a Mac OS X );^[1] většina správců sítě umožňuje klientům s jinými operačními systémy než Windows (např Mac OS 9, Linux, a FreeBSD ) pro přístup do sítě bez jakýchkoli bezpečnostních kontrol (autentizace je stále vyžadována a je obvykle zpracovávána přes webové rozhraní).

Ověření

Po úspěšném ověření pomocí webového rozhraní bude server Clean Access nasměrovat nový Okna založené klienty ke stažení a instalaci aplikace Clean Access Agent (v tuto chvíli klientům bez systému Windows stačí ověřit se pouze přes webové rozhraní a souhlasit s jakýmikoli podmínkami služby v síti). Po instalaci bude software Agent vyžadovat, aby se uživatel znovu autentizoval. Po opětovném ověření software agenta obvykle zkontroluje klientský počítač, zda neobsahuje známé chyby zabezpečení Okna používaný operační systém i aktualizovaný antivirový software a definice. Kontroly jsou udržovány jako série „pravidel“ na straně Clean Access Manager. Nástroj Clean Access Manager (CAM) lze nakonfigurovat tak, aby kontroloval, instaloval nebo aktualizoval cokoli v systému uživatele. Jakmile aplikace Agent zkontroluje systém, bude Agent informovat uživatele o výsledku - buď zprávou o úspěchu, nebo zprávou o neúspěchu. Neúspěšné zprávy informují uživatele o tom, které kategorie systému selhaly (aktualizace systému Windows, antivirus atd.), A instruují uživatele, jak postupovat.

Jakémukoli systému, který při kontrole selže, bude odepřen obecný přístup k síti a bude pravděpodobně umístěn do role v karanténě (to, jak přesně je se selhávajícím systémem zacházeno, závisí zcela na tom, jak je nakonfigurován správce Clean Access Manager, a může se lišit od sítě k síti. příklad: selhávajícímu systému může být poté jednoduše odepřen přístup k síti) Systémy v karanténě pak obvykle dostanou 60minutové okno, kde se uživatel může pokusit vyřešit důvod karantény. V takovém případě je uživateli povoleno pouze připojení k internetu Windows Update a řada poskytovatelů antivirových programů (Symantec, McAfee, Trend Micro atd.), nebo může být uživatel přesměrován na server hosta k nápravě. Veškerý ostatní provoz je obvykle blokován. Jakmile vyprší 60minutové okno, veškerý síťový provoz je blokován. Uživatel má možnost znovu ověřit pomocí Clean Access a podle potřeby pokračovat v procesu.

Systémům předávajícím kontroly je udělen přístup k síti, jak je definováno přiřazenou rolí ve Správci čistého přístupu. Konfigurace čistého přístupu se u jednotlivých webů liší. Dostupné síťové služby se také budou lišit v závislosti na konfiguraci Clean Access a přiřazené uživatelské roli.

Systémy obvykle musí znovu ověřovat minimálně jednou týdně, bez ohledu na jejich stav; tuto možnost však může změnit správce sítě. Pokud je systém odpojen od sítě po stanovenou dobu (obvykle deset minut), bude se uživatel muset znovu připojit, když se znovu připojí k síti.

Aktualizace systému Windows

Clean Access normálně kontroluje, zda systém Windows neobsahuje požadované aktualizace kontrolou systému registr. Poškozený registr může uživateli zabránit v přístupu k síti.

Bezpečnostní problémy a obavy

Spoofing agenta uživatele

Server Clean Access (CAS) určuje operační systém klienta čtením v prohlížeči uživatelský agent řetězec po ověření. Pokud je detekován systém Windows, pak server požádá uživatele o stažení agenta Clean Access; na všech ostatních operační systémy, přihlášení je dokončeno. V boji proti pokusům o spoofování operačního systému používaného na klientovi také novější verze serveru a agenta (3.6.0 a vyšší) také zkoumají hostitele prostřednictvím Otisky prstů zásobníku TCP / IP a JavaScript k ověření operačního systému stroje:

Ve výchozím nastavení systém používá Uživatel-agent řetězec z HTTP záhlaví k určení klientského OS. Verze 3.6.0 poskytuje další možnosti detekce, které zahrnují použití informací o platformě z JavaScript nebo otisky prstů OS z TCP / IP handshake k určení klientského OS. Tato funkce má zabránit uživatelům ve změně identifikace jejich klientských operačních systémů manipulací HTTP informace. Všimněte si, že se jedná o „pasivní“ detekční techniku, která kontroluje pouze handshake TCP a není ovlivněna přítomností firewall.^[2]

Skriptování Microsoft Windows

Agent Clean Access rozsáhle využívá Windows Script Engine, verze 5.6. Ukázalo se, že odebrání nebo zakázání skriptovacího enginu v systému MS Windows obejde a rozbije dotaz na držení těla agentem Clean Access Agent, který se „neotevře“ a umožní zařízením připojit se k síti po správném ověření.^[3]

Prevence spoofingu MAC

Segregace zařízení

Zatímco MAC adresa spoofing lze dosáhnout v bezdrátovém prostředí pomocí a čichač detekovat a klon MAC adresa klienta, který již byl autorizován nebo umístěn do „čisté“ role uživatele, není snadné to udělat v kabelovém prostředí, pokud nebyl nesprávně nakonfigurován server Clean Access. Ve správné architektuře a konfiguraci by se rozdával server Clean Access Server Podsítě IP a adresy přes DHCP na svém nedůvěryhodném rozhraní pomocí 30bitové síťové adresy a 2 bitů pro hostitele, proto mohl být v daném okamžiku do každého oboru / podsítě DHCP umístěn pouze jeden hostitel. To odděluje neoprávněné uživatele od sebe navzájem a od zbytku sítě a znemožňuje kabelové čichání irelevantní a spoofing nebo klonování autorizovaných MAC adres téměř nemožné. Správná a podobná implementace v bezdrátovém prostředí by ve skutečnosti přispěla k bezpečnější instanci Clean Access.

Časovače s certifikovaným zařízením

Kromě toho lze proti spoofingu MAC dále bojovat použitím časovačů pro certifikovaná zařízení. Časovače umožňují správcům pravidelně mazat seznam certifikovaných MAC adres a vynutit opětovnou autorizaci zařízení a uživatelů na server Clean Access. Časovače umožňují správci vymazat certifikovaná zařízení na základě rolí uživatelů, času a data a věku certifikace; k dispozici je také střídaná metoda, která umožňuje vyhnout se vymazání všech zařízení najednou.

Stížnosti

Zařízení Cisco NAC je notoricky známé^{[lasičková slova ]} pro vytváření narušení internetového připojení uživatelů, považující nepřetržité připojení mezi počítačem a serverem nebo jiným počítačem za podezřelou aktivitu. To je pro jednotlivce problematické Skype nebo jakoukoli aktivitu na webové kameře, stejně jako online hry jako Svět války. U online her způsobují narušení způsobená zařízením Cisco NAC Appliance odhlášení hráče z herního serveru. Mnoho jednotlivců, kteří zažili tento poměrně tupý způsob zabezpečení, otevřeně vyjádřilo frustraci z tohoto softwaru na fórech i na Facebooku se skupinami a příspěvky.^[4]

Reference

externí odkazy

• Stránka produktu Cisco
• Seznam adresářů Clean Access Administrators - Archivy hostované uživatelem Miami University
• Odezva zabezpečení společnosti Cisco - Odpověď společnosti Cisco na nejnovější chybu zabezpečení týkající se obejití instalace agenta NAC
• Řešení CCA / Hack / Exploit Podrobnosti