首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

笔记:理解与部署网络准入控制NAC


http://www.gipsky.com/
笔记:理解与部署网络准入控制NAC

为什么要使用网络准入控制

不具备访问资格的终端尝试连接,连接被允许,感染范围扩大;其它终端收到威胁

功能 隔离纠正 感染范围收受到控制;终端安然无恙

NAC解决方案

终端系统 CTA

网络接入设备

AAA服务器

供应商服务器

组件:

支持NAC的应用

支持NAC的应用收集主机上的状态凭证信息

CTA收集最小限度的状态信息

基于厂商与应用类型注册到CTA

从AAA与厂商服务器接受通告与动作

指示状态变化

CTA

插件接口去注册查询不同厂商的状态信息

状态请求基于厂商与应用类型

作为它自己及基本主机信息的状态提供者

CTA版本,os类型与os版本

使用EAPoUDP与路由器通信

显示报告信息给用户

响应状态查询信息

注意:CTA不防护它自己,支持NAC的应用或主机

建议标准主机安全措施去保护主机环境,包括CSA

路由器

策略执行点

检测状态提供设备

触发状态处理流程(基于intercept-acl)

中继状态凭证到acs

定期完整的重评估(重证实定时器)

定期L3状态查询

通告主机上的状态变化

保证主机为先前证实的相同主机

执行访问权限

动态acl

可选url重定向(对于非响应设备的反馈很重要)

应用到适当的接口

处理响应设备

支持基于ip或mac地址的exception list

在acs上使用网络访问限制(NAR)支持exception list

AAA服务器

策略决定点

从端点获得凭证

证实凭证

发送访问规则到路由器,反馈到端点

厂商服务器

支持NAC的应用能够传递AAA服务器不能本地验证的凭证

AAA服务器能够代理指定的状态凭证到厂商服务器验证

HCAP协议接口 在线验证

厂商服务器验证凭证并通知AAA服务器验证结果

管理与报告

CiscoWorks SIMS

搜集和拦截ios系统日志和acs事件

实时监控

NAC报告

可哟凭证

凭证形成NAC的策略基础

凭证封包与数据类型

EAP

扩展EAP

EAP-TLV

status query

EAPoUDP

新凭证

新凭证不依赖于Cisco

凭证用作状态检查

凭证用于状态检查

规则评价形成策略令牌

最终评价令牌

授予权限

intercept ACL

interface(or Defailt)ACL

NAC流程

实施

setup acs

setup av solution

install clients on hosts

configure cisco ios NAD for NAC

verify operation



acs

安装证书Because CTA communicates with the ACS server via PEAP,you must have a server certificate for NAC to work

配置logging

可下载ACL

radius group属性 : url redirect,status rquery timeout,revalidation timeout

clientless user : network access restrictions

外部用户数据库

NAC数据库策略:本地,外部
<< 思科安全代理关联机制简介 渐成热门的网络端点安全技术 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号