要启用日志记录,请访问思科信任代理配置目录中安装思科信任代理的主机上。思科信任代理日志文件默认情况下位于C:\ Documents和Settings \所有用户\应用数据\思科\ CiscoTrustAgent \。
重命名ctalogd.tmp文件ctalogd.ini。日志文件然后在日志子目录中创建尽快思科信任代理收到下EAPoUDP / EAPOL数据请求。如果不创建日志文件,要么你没有该文件重命名正确或思科信任代理没有收到EAPoUDP / EAPOL数据的请求,这可以通过个人防火墙阻挡来自NAD的要求或思科信任代理端口造成的。记录也可以被使能,并通过命令行程序clogcli.exe配置。
在写这篇文章的时候,默认的最大日志大小为4 MB,并可以通过编辑ctalogd.ini文件进行更改。当达到最大日志大小时,将创建新的日志文件。随着时间的推移,文件的数量不受限制创建。
有关日志文件或如何定制它们的信息,请参阅的了“思科信任代理事件日志记录”部分思科信任代理管理员指南位于http://www.cisco.com。
操作系统支持
在撰写本文时,思科信任代理支持Windows和Red Hat Linux(企业,高级和工作站版本3。X4。X)操作系统。预计还将为Microsoft Windows Mobile 5和Windows XP Tablet、Sun Solaris和Apple Macintosh OS X提供额外的平台支持。
正如您在前面描述的两个插件(ctapp)中所看到的。inf和CiscoHostPP.inf),思科信任代理可以在Windows NT 4.0、Windows 2000或Windows XP系统上收集以下信息:
操作系统名称(例如,Windows XP专业版)
操作系统版本(例如,2002年版)
操作系统服务包(例如,服务包2)
操作系统热修复(例如,KB123456,KB234567,等等)
机器名称(例如,主机完全限定域名[FQDN])
思科可信代理信息:
姿态代理名称(例如,Cisco信任代理)
姿势代理版本(例如,2.0.0.30)
机的姿势状态(例如,启动与登录)
对于Red Hat Linux,思科信任代理可以收集以下信息:
选择红帽软件包管理器(RPM)版本
操作系统的类型(例如,红帽企业Linux ES)
操作系统(OS)版本(包括OS内核名称,版本和硬件平台)
内核版本(与输出相同使用uname -r)
思科可信代理信息:
姿态代理名称(例如,Cisco信任代理)
姿势代理版本(例如,2.0.0.30)
机的姿势状态(例如,启动与登录)
Linux主机状态插件可以检索某些包的版本号,但这些包必须在ACS政策是预定义的。请注意,当作为一个字符串或八位要求的Linux RPM版本格式不一致。以下是版本号是如何出现的例子。思科信任代理返回使用特殊格式的软件包版本号。
第一个例子是在ACS中配置的姿态验证规则,它请求OpenSSL包的版本号。当作为字符串请求时,版本号作为数字和字母的组合返回,例如0.9.7a。
第二个例子是当被请求为4-八位数字时;返回的版本号可能是0.9.7.97。
注意 -思科信任代理Linux确实不支持主机的FQDN的检索。
Cisco Trust Agent结合态势插件和各种第三方主机应用程序,可以深入了解企业主机的安全策略遵从性。
姿势插件功能
姿态插件以可接受的格式从各种安全应用程序或主机操作系统收集数据,以便传输到姿态代理Cisco信任代理。
NAC框架方法的一个非常重要的方面是它能够智能地集成到第三方应用程序中。作为思科NAC合作伙伴计划的一部分(更多信息请访问http://www.cisco.com/en/US/partners/pr46/nac/partners.html),主机防病毒,端点安全,合规和审计,并修复和补丁管理产品的厂商使用思科可信代理提供的凭据具体到他们的验证反对全面的访问控制策略的解决方案。第三方安全和法规遵从解决方案现在可以使用网络作为一个强大的执行点的无处不在,从而实现对客户的现有资金和在该应用程序运行的投资显著扩展。
每个NAC厂商的姿态插件是由互联网编号分配机构(IANA)的方式分配供应商ID。IANA分配的列表,可以发现http://www.iana.org/assignments/enterprise-numbers。
内的标识符,供应商可以实现每个应用程序类型,随后的各种属性,该供应商想为接纳控制策略验证评估。该NAC供应商必须遵循特定的格式或命名空间,如下所示:
供应商:申请类型:属性
请参考表3-1,获取撰写本文时主机上可用的凭据列表。根据安装的姿态代理,列表可能会有所不同。
表3-1凭证属性
| 应用 | 供应商 | 申请类型 | 属性 |
|---|---|---|---|
思科信任代理 |
思科 |
姿势剂(PA) |
PA-名称 PA-Version OS-类型 OS-版本 OS-Release OS-Kernel-Version 机PostureState |
思科信任代理 |
思科 |
宿主 |
服务包 修补程序 HostFQDN |
CSA |
思科 |
基于主机的入侵防御系统(HIPS) |
CSAMCName CSAOperationalState CSAStates CSAVersion TimeSinceLast成功的调查 |
其他 |
各个 |
防病毒,个人防火墙(PFW)等 |
软件名称 软件ID 软件版本 扫描引擎,版本 DAT-版本 DAT-日期 保护启用 PFW政策版本 |
在Windows版本中,每个思科NAC厂商必须创建以下两个文件与思科信任代理互操作:
. dll-links思科Trust Agent和主机应用程序,在效果使得它的姿态剂。该.dll文件包含了其特定插件操作与应用程序的通知字符串工作的应用程序代码。
的.inf描述供应商插件中可用的各种属性。这些通常位于下列主机目录之一:
对于思科信任代理V1:C:\ Program Files文件\思科系统
对于思科信任代理v2或更高版本:C:\ Program Files文件\ Common Files文件\ PostureAgent \插件
当NAC厂商的凭证是从主机到ACS发送,ACS必须能够理解它。要做到这一点,ACS应包含合作伙伴属性定义文件是特定于NAC厂商(ADFS)。这些的ADF可以通过使用CS-的Util工具导入到ACS字典。请参阅的4.0版本思科安全ACS配置指南,位于http://www.cisco.com,思科安全技术文件。姿态插件的另一个功能是状态更改通知。当相关的安全应用程序完成修复过程(例如接收防病毒程序的更新签名文件)时,posture插件可以向Cisco信任代理发出状态更改的信号。当Cisco Trust Agent在nacl - 2-802.1 x模式下安装了一个恳求者后,Cisco Trust Agent可以向请求者发送一个EAPoL start包到NAD。这将触发NAD启动一个正常的身份验证序列。此功能目前仅在请求者以nacl -802.1 x模式操作时可用,称为异步状态查询。当NAC-L2-IP或NAC-L3-IP模式操作中,主机必须等待触发重新验证之前接收到状态查询。
供应商应用程序示例:Cisco安全代理
许多启用NAC厂商应用提供了可与NAC互操作,从而延长了现有的应用程序投资的价值为更广泛的解决方案的能力。一个例子是思科安全代理(CSA)。CSA包含自己的姿态插件文件,使其凭证发送到NAC解决方案。
CSA提供了以下四个优点来补充NAC框架解决方案:
思科信任代理保护
南京国家意识
值得信赖的服务质素
思科信任代理的高效大规模部署
思科信任代理保护
CSA是一种基于行为的主机入侵防御产品。它侧重于根据配置的安全策略保护主机资产和驻留在该资产上的知识产权。
在CSA版本4.5.1和5.0中,预先构建的规则集中于两个重要的功能:允许Cisco信任代理按预期运行,并保护Cisco信任代理不受外部干扰。这种干扰可能是由用户错误(如卸载Cisco信任代理)或故意(如试图欺骗凭证的蠕虫)引起的。如图图3-4,CSA已允许思科可信代理与网络,用户的桌面上打开的通知消息进行通信,并打开默认的浏览器,并通过一个URL进行补救规则。CSA也有一个规则,以防止修改思科信任代理文件和姿势插件文件夹。
CSA管理中心:思科可信代理规则模块
NAC的国家意识
由于思科信任代理和CSA可以在主机上安装在一起,在这种情况下,CSA也作为一个姿势剂。作为整合的一部分,CSA还可以看到令牌传递给思科信任代理从ACS(SPT)系统的姿势。这使得CSA动态地改变其特定的主机安全策略符合准入控制的评估。
集成主机安全功能和基于端口的访问控制,使IT操作以实现一个策略,锁定了不符合要求的主机,这样,只有指定的应用程序允许运行,并且只接触特定网络资源的能力。例如,IT运营可以实现一个策略,只允许整治过程中运行,并只允许默认网页浏览器去的内部网络资源的狭窄列表。
服务的质量信得过
在端点上提供策略实施代理允许企业智能地将网络的信任边界转移到主机。这个信任边界取决于允许控制的结果。这种类型的解决方案称为Cisco可信服务质量(QoS)。
思科可信的QoS是有两个原因的价值。因为CSA可以识别和保护已知的应用,它可以正确标注从与相应的差分服务代码点(DSCP)值的那些应用的流量(根据公司IT策略)。因为交通流出的到广域网将不再需要进行检查,减少对边缘设备的资源负担这可能是显著。此外,由于这一政策是动态的,该公司的问题中的QoS策略可以极其快速地适应新的需求。
另一个原因,思科可信服务质量是非常重要的是,凭借的事实,你发现和基于CSA的识别已知的应用打标业务,你现在可以发现并标记所有的应用流量是不符合你的政策。如图图3-5,思科安全代理管理控制中心允许管理员配置不同的服务强制。
CSA管理中心:可信服务质量
如这里所示,管理员标记一定的流量是一个清道夫类(区分服务清道夫(8,CS1)),并且如果它超过一定速率选择性地丢弃。甚至更有趣的是,有问题的流量可以选择性地通过上游的安全设备通过使用其他路由和交换功能,例如基于策略的路由,虚拟路由和转发(VRF),或Cisco优化边缘路由(OER)路由。这样可以大大减少对这些安全设备的利用率,因为他们只会检查和强制执行可疑流量对所有流量。
有关可信服务质量的更多信息,请参阅思科安全代理管理中心(CSA MC)文档位于http://www.cisco.com/univercd/cc/td/doc/product/vpn/ciscosec/csa/csa50/trqos.pdf。
绑定Cisco信任代理进行部署
最后一个CSA的好处是使用CSA MC到进口与CSA一起到主机上自动安装思科信任代理。这可以通过关联的安装选项来完成,如安静了请求者和所需的证书到CSA构建套件过程中安装。这使得运营商包即使已经安装了CSA在任何主机上更新思科信任代理。如何选择在CSA MC此捆绑选项的一个例子示于图3-6。
CSA管理中心:思科可信代理捆绑
将Cisco Trust Agent与CSA安装捆绑在一起可以节省大量的操作时间,还可以减少用户社区的中断。
总结
思科可信代理是NAC姿势剂是NAC框架提供了以下两个主要功能的基本组成部分:
作为一个经纪人,与支持NAC的主机应用程序和收集凭据通信
通过EAPoUDP或EAPoL与NADs通信(802.1X)