姿势代理概述
思科信任代理架构
姿势插件功能
供应商应用实例:思科安全代理
对于网络准入控制(NAC) - 启用主机能够把自己的姿态凭证传达给姿势服务器,姿势剂必须存在于主机上。
思科信任代理是姿态代理。它通过各种支持nacl的主机应用程序的姿态插件与它们通信。NAC第三方供应商必须构建自己的姿态插件,以便将其凭据传递给策略决策点。每个供应商都由一个唯一的供应商ID标识,该ID标识供应商的应用程序类型(例如,防病毒软件)和属性(例如,版本)。
思科信任代理汇总所有启用NAC的应用程序插件主机状态凭据并将其传送至网络。
本章研究了主机在NAC中的作用,并描述了Cisco信任代理和启用了nacl的应用程序如何互操作。
本章主要介绍以下内容:
在NAC姿势剂的两个主要功能
对于状态验证过程
身份和姿势验证的过程
姿势插件和供应商名称空间格式
姿态插件.dll和.inf文件的内容
将Cisco Trust Agent的支持的主机操作系统
使用思科安全代理(CSA)与NAC框架实施的四大好处
姿态代理概述
如图图3 - 1,在一个NAC框架解决方案中存在三个不同的角色:
连接到网络主机
充当策略执行点的网络接入设备(NADS)(PEP)
策略服务器充当策略决策点(PDP)
网络准入控制逻辑角色
的姿势是描述凭证和定义用户计算机的状态和健康属性和计算机上的应用程序的集合,这本书将作为术语主办。
对于NAC,需要一个姿态代理并驻留在主机上,或者学科,并将设备操作系统和应用程序级信息等信息以证书。
该NAD转发了反对NAC框架解决方案的策略决策点(PDP)的验证主机证书。策略作出决定和网络执法指令由思科安全访问控制服务器(ACS)发送到由NAD执行。
姿势剂还执行多种功能,例如通过发送到描述他主机的姿势条件的用户自定义的可配置的消息通知,告知该用户。以下是不符合要求的主机的通知例如:“您的计算机缺乏必要的更新,因此未授权访问网络为了恢复正常的网络访问,请在以下位置更新您的计算机。”除了消息通知,通知字符串,如一个URL条目,也可以由管理员来配置时自动发送一个不符合要求的主机到修复服务器。
其他操作存在,并为供应商应用程序而异。
思科可信代理架构
以下部分描述了思科可信代理的这些部件:
姿势代理插件文件,它定义主机姿势凭证属性
思科信任代理日志文件和类型的事件捕获,这是有用的故障诊断与NAC主机问题
这些部分还确定由思科信任代理所支持的操作系统。
首先,我们将介绍姿态代理的体系结构,首先介绍强制组件Cisco信任代理,如下面所示图3 - 2。
思科可信代理架构
思科可信代理驻留在主机上,并在后台作为服务运行。服务存在,并为思科可信代理的版本有所不同。这些服务应该自动启动并运行;它们包括以下内容:
思科可信代理(思科之前可信代理版本2.0)
思科信任代理事件日志服务(思科之前,信托代理版本2.0)
思科姿势服务器守护程序(思科信任代理版本2.0)
思科系统公司思科可信代理姿势状态守护进程(思科信任代理版本2.0)
思科可信代理EOU守护进程(思科信任代理版本2.0)
思科可信代理记录器守护程序(思科信任代理版本2.0)
如果包括802.1X,以下附加服务应该是运行:
思科信任代理802.1X有线客户端(思科信任代理2.0版)
思科可信代理802.1X有线客户端日志(思科信任代理版本2.0)
思科信任代理提供以下两个主要功能:
思科信任代理可以收集关于通过内部的姿态插件和充当经纪人主机操作系统通过收集来自第三方主机应用程序姿势插件凭证信息。
思科可信代理进行通信,以对NAD与以下协议之一上游:可扩展认证协议通过用户数据报协议(EAP通过UDP,EAPoUDP,或EOU)和EAP通过LAN(EAPOL),也被称为802.1X。
注意:对于802.1X实施,思科信任代理不沟通,直接给NAD。所有EAP交易发生思科信任代理的请求者和对NAD,反之亦然。
思科可信代理是免费提供,并可以通过任何注册用户都在下载http://cisco.com/cgi-bin/tablebuild.pl/cta。它也可以捆绑了CSA以及一些第三方厂商的NAC应用程序。
思科可信代理还具有以下附加功能:
对于主机操作系统状态评估
客户通知和默认浏览器集成
Cisco信任代理脚本接口(CTASI)
思科可信代理包括两个自己的姿势插件:一个报告姿势剂本身和一个状态报告有关,它的运行在主机上的一些基本信息。每个姿势插件的返回凭证作为验证过程的一部分。
Cisco Trust Agent还可以在验证过程结束时启动web浏览器。这是通过在相应的ACS配置的通知字符串中放置一个URL来实现的。通过在ACS上的网络访问配置文件设置中填充姿态验证部分的PA消息部分,Cisco Trust Agent或其他具有此功能的应用程序也可以显示弹出消息。
当需要有关主机的任意信息来进行完整的姿态评估时,可以使用CTASI。用户脚本可以编写一个格式化的文件,CTASI可以将该文件读入Cisco Trust Agent的内部数据库。然后将此数据库作为姿态决策过程的附加凭证发送。
思科可信代理主要有两个版本:一个具有802.1X客户端和一个无方。
与核心强制性功能开始,思科信任代理可以使用EOU与任一版本的姿势完全评估工作。默认情况下,思科信任代理使用UDP端口号21862为EOU通信。该端口可以通过编辑ctad.ini配置文件,该文件在本节后面说明被改变。请注意,无论UDP端口被使用,任何主机个人防火墙必须进行修改,以允许传入流量,这个UDP端口。否则,思科可信代理将无法NAC的要求传达给NAD,导致主机无法进行身份验证,从而接收受限制的网络访问。
思科信任代理还可以同时收集身份和姿势凭据使用嵌入式,仅有线802.1X的恳求。
注意:思科可信代理包括802.1X客户端仅用于有线接口。对于有线和无线载体,第三方请求者供应商可以被接合(如Meetinghouse数据数据通信,http://www.mtghouse.com)。
使用nacl - l2 - ip (EoU)方法,NAD通过DHCP或地址解析协议(ARP)检测新主机,并在其中查询主机,如果安装了Cisco Trust Agent,则响应此查询。此时,NAD向Cisco安全ACS发出信号,表示它有一个新的主机要被允许进入网络。
ACS和思科信任代理建立使用受保护的EAP(PEAP)的安全隧道。PEAP需要使用数字证书。PEAP隧道中被建立会话的过程中通过ACS提供的证书的方式固定。因为思科可信代理安装有根或中间根证书,它信任ACS,并且因此建立的安全隧道。
注意:有关PEAP过程的更多信息,请参见第2章中的“NAC-L3-IP和NAC-L2-IP状态验证和执行过程”部分,“理解NAC框架”。
注意:当安装思科可信代理,它必须具有在ACS服务器的证书或在机构的链中的证书,或者是根或中间根证书。有关与思科信任代理安装和使用数字证书的详细信息,请参阅思科信任代理管理员指南位于http://www.cisco.com。
在您想要评估用户和/或设备的身份和姿态凭据的情况下,你应该使用802.1X。
802.1X技术既可以与嵌入式仅限有线的请求者一起使用,也可以与第三方请求者一起使用。在此场景中,必须使用可扩展身份验证协议-通过安全隧道的灵活身份验证(EAP-FAST)方法作为外部身份验证方法(在撰写本文时)。在一个身份验证请求中处理多种身份验证类型的能力(例如,用户和机器身份验证以及姿态验证)被调用证书链。EAP-FAST是目前唯一EAP隧道方法,它允许证书链。EAP-FAST类似于PEAP,因为它也是一个隧道协议,支持多种认证方法。和以往不同的是,EAP-FAST并不需要数字证书就像PEAP;它的设计运行在几乎所有的主机设备和首选的一些客户不愿意使用数字证书谁。
可用于身份认证的内部EAP类型包括以下几种:
EAP-Microsoft质询握手身份验证协议(MSCHAP)V2:用于基于用户名和密码凭据的Microsoft Active Directory。
EAP传输层安全(TLS):与机器和/或用户证书一起使用。
EAP通用令牌卡(GTC):使用轻量目录访问协议(LDAP)或一次性密码等的Rivest,Shamir和Adelman(RSA)SecurID令牌对身份信息和包括相关的姿势信息为与ACSs中交换的类型长度值(TLV)。
欲了解更多关于EAP-FAST,请参阅http://www.ietf.org/internet-drafts/draft-cam-winget-eap-fast-06.txt。
此外,用户通知是由思科信任代理通知弹出窗口的方式表达,如图图3 - 3,以及打开主机的默认浏览器到一个URL。
隔离条件的用户通知示例
所有这些信息在接入控制策略中表示,在ACS配置。
综上所述,思科可信代理执行以下两个强制性功能:
EAPoUDP或EAPoL与NAD的通信(802.1X)
与主机上的NAC功能的应用程序通信
姿态代理插件文件
Cisco Trust Agent包含两种状态评估功能:收集自己的状态信息和从主机收集状态细节,例如通过内部状态插件收集操作系统信息。
以下是来自思科信任代理的状态插件,或ctapp.inf,文件的.inf文件的例子:
[主要]PluginName = ctapp.dll VendorID = 9 VendorIDName =思科AppList =巴勒斯坦权力机构(pa) AppType = 1 AppTypeName = CtaEoU AttributeList = attr1, attr2, attr3, attr4, attr5, attr6, attr7, attr8 attr1 = 1,通知,AppPostureResult attr2 = 2,通知,SysPostureResult attr3 = 3,字符串,浏览器名称attr4 = 4,版本,AppVersion attr5 = 5,字符串,OSName attr6 = 6,版本,OSVersion attr7 = 11, Unsigned32, CTAState attr8 = 7,通知,UserNotify
下面是思科信任代理的主机状态插件,或CiscoHostPP.inf,文件的例子:
[main] PluginName= ciscohostp .dll VendorID=9 VendorIDName=Cisco Systems AppList=CiscoHost [CiscoHost] AppType=2 AppTypeName=Host Posture AttributeList=attr6,attr7,attr8, attr6=6,string,ServicePack attr7=7,string,HotFixes attr8=8,string,SystemName
您可以看到这些Cisco信任代理插件为评估而收集的属性或凭据。其他的NAC姿势插件在组织方式上类似。但是,具体的属性因应用程序的不同而不同。