Giải pháp bảo mật Cisco NAC (Network Admission Control)

Discussion in 'CCNP Security' started by thanhdc, Oct 23, 2014.

  1. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    124
    Likes Received:
    3
    Trophy Points:
    18
    I. Giới thiệu chung:

    -Cisco® NAC là sản phẩm và công nghệ dễ dàng triển khai Network Admission Control (NAC) cho phép người quản trị mạng
    chứng thực người dùng, đánh giá người dùng từ xa và các máy trước khi được phép tham gia vào mạng.

    -Thiết bị này dùng để định danh các thiết bị mạng như laptops, desktops, và các thiết bị khác của công ty phù hợp
    với chính sách bảo mật của công ty, ngoài ra còn sửa chữa các lỗ hỏng bảo mật trước khi được phép truy cập mạng công ty.​

    II. Các tính năng của NAC:
    -Cisco NAC Appliance là giải pháp đăng ký mạng đầu cuối mà cho phép người quản trị mạng xác thực,
    đánh giá người dùng và các máy của người dùng trước khi tham gia vào mạng. ​

    2.1 Các điểm nổi bậc của thiết bị bảo mật mạng này:

    -Nhận diện người dùng, thiết bị người dùng và các vai trò của họ trong mạng.
    Bước đầu tiên trong việc xác thực người dùng trước khi các đoạn code nguy hiểm có thể gây nguy hại hệ thống.

    -Định giá các máy là tương thích với chính sách bảo mật.
    Chính sách bảo mật có thể bằng nhiều cách như loại người dùng, loại thiết bị hoặc hệ điều hành.

    -Tuân thủ các chính sách bảo mật bằng cách blocking, tách biệt và sửa chữa các máy không tương thích với chính sách.
    Các máy không tương thích sẽ được đưa trực tiếp vào vùng cách ly, nơi mà sự điều chỉnh được thiết lập theo hướng của người quản trị.​

    2.2 Cisco NAC Appliance có thể dùng đánh giá
    và sắp xếp các dịch vụ tới tất cả các thiết bị, như là:


    -Loại thiết bị: Cisco NAC Appliance có thể bắt buộc các chính sách bảo mật tới tất cả các thiết bị mạng
    bao gồm các máy dùng Windows, Mac, hoặc Linux; laptops, desktops, PDA, và các thiết bị khác như là máy in, IP phones.

    -Cisco NAC Appliance có thể áp dụng các chính sách bảo mật tới các hệ thống, nhân viên, các nhà thầu và khách hàng của công ty.

    -Phương thức truy cập thiết bị Cisco NAC Appliance áp dụng tới việc kiểm soát thiết bị kết nối hệ thống mạng
    qua LAN, WLAN, WAN, or VPN.

    -Cisco NAC Appliance được định danh duy nhất trong các chính sách bảo mật bắt buộc cho tất cả việc thực thi
    mà không đòi hỏi các sản phẩm riêng lẽ hoặc thành phần thêm vào.​

    III. Lợi ích khách hàng:

    -Độ an toàn mạng như là xác định các điều kiện truy cập
    -Thực hiện ngăn chặn viruses, worms, spyware và các ứng dụng nguy hại khác.
    -Giảm thiểu các lỗ hỏng bảo mật trên máy người dùng.
    -Tiết kiệm chi phí bằng cách tự động xử lý việc sửa chữa và cập nhật các bản vá lỗi ở máy người dùng.

     
    Last edited: Oct 24, 2014
  2. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    124
    Likes Received:
    3
    Trophy Points:
    18
    Cách làm việc của Network Admission Control.

    Việc triển khai ứng dụng NAC được tích hợp từ nhiều giao thức hiện nay thường sử dụng
    và các sản phẩm của Cisco với một vài sản phẩm và các tính năng như:

    • Cisco Trust Agent (CTA) and plug-ins
    • Cisco IOS Network Access Device (NAD)
    • Extensible Authentication Protocol (EAP)
    • Cisco Secure Access Control Server (ACS)/Remote Authentication Dial-In User Service (RADIUS)
    • Posture validation/remediation server

    CTA giao tiếp với các phần mềm khác trên máy client qua Application Program Interface (API)
    và trả lời về tình trạng của mình từ các yêu cầu của NAD.

    CTA là yêu cầu cần thiết để giao tiếp trong quá trình triển khai NAC (CTA giao tiếp với NAC sử dụng EAP qua giao thức UDP).
    Một phần mềm bao gồm một Posture Plug-In (PP) tạo nên giao diện cho CTA.

    PP là một tác nhân được thực hiện trên một phần mềm từ các nhà sản xuất khác
    có tác dụng thực hiện các chỉnh sách và trạng thái của phần mềm đó.


    Hiện tại việc triển khai NAC thì NAD là phần mềm Layer 3 Cisco IOS trong các thiết bị
    dùng để truy vấn các máy client tìm kiếm và kiểm soát tình hình sử dụng EAP qua giao thức UDP (EAPover UDP - EOU).
    Phương pháp này khác với các thành phần của giải pháp NAC được thể hiện ở hình dưới đây:

    [​IMG]

    NAC với các thành phần làm việc với nhau:

    1. Client gửi một gói tin tới một NAC-enabled router.


    2. NAD bắt đầu được thực hiện để phê chuẩn quá trình đó với việc sử dụng EOU.


    3. Client gửi một thông điệp với khả năng xác thực đảm bảo được sử phê chuẩn của NAD sử dụng EOU tới NAD.


    4. NAD gửi thông điệp tới Cisco ACS sử dụng giao thức xác thực RADIUS.


    5. Cisco Secure ACS yêu cầu có sự phê chuẩn được sử dụng qua giao thức
    Host Credential Authorization Protocol
    (HCAP) trong một HTTPS tunnel.

    6. Thông điệp từ máy chủ được gửi đi để trả lời cho yêu cầu là: pass, fail, quarantine.


    7. Để cho phép hay cấm truy cập vào mạng, Cisco Secure ACS gửi một thông điệp đồng ý với ACLs/URL.


    8. NAD chuyển thông điệp đó cho client.


    9. Client sẽ được phép truy cập hay bị cấm truy cập.

     
    Last edited: Oct 24, 2014
  3. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    124
    Likes Received:
    3
    Trophy Points:
    18
    Cisco NAC: Mô hình Layer 2 – In Band – Real IP Gateway:

    [​IMG]

    - CAS (Clean Access Server) làm nhiệm vụ giao tiếp với các client và kiểm soát truy nhập

    - CAM (Clean Access Manager) làm nhiệm vụ thiết lập các policy quản lý truy nhập.

    - Mô hình thực hiện giải pháp NAC được chia làm 2 vùng mạng là vùng mạng Untrusted và vùng mạng Trusted.

    + Vùng mạng Untrusted bao gồm các PCs chưa được hệ thống NAC xác thực và theo mặc định thì tất cả những PCs
    tại vùng mạng này không có quyền truy cập sang vùng mạng Trusted.


    + Vùng mạng Trusted bao gồm máy chủ Domain Controller và các máy chủ phục vụ cho việc sửa chữa lỗi cho các PCs
    khi các PCs đó chưa đạt đủ điều kiện để truy cập vào hệ thống.

    - Cổng E1 của CAS nằm trong vùng Untrusted, còn E0 nằm trong vùng Trusted.


    - Theo mặc định khi chưa đăng nhập thành công vào hệ thống NAC tất cả các PCs trong vùng mạng Untrusted
    không thể truy cập đến được các tài nguyên trong vùng mạng Trusted
    trừ các traffic về DNS và DHCP.

    - Clean Access Server (CAS) đóng vai trò là
    DHCP Server cung cấp địa chỉ IP cho các PCs trong vùng mạng Untrusted.

    - Các traffic được gửi đi từ các PCs trong vùng mạng Untrusted sang vùng mạng Trusted đều đi thông qua CAS.
    Các PC trong vùng mạng Untrusted này được xác thực bằng tài khoản domain, và được đưa vào các Role cụ thể,
    tại đây các PC phải thi hành các chính sách về Antivirus, các Service, chương trình chạy trong hệ thống vv…
    để được truy cập vào hệ thống.


    - Đối với các user khách không có user domain, hệ thống sẽ map vào 1 user role riêng là Guest
    và cũng tiến hành kiểm tra các chính sách Antivirus, Update,…
    và sau khi xác thực thành công, các user này sẽ được cấu hình hạn chế
    chỉ có thể truy nhập vào 1 số tài nguyên của mạng, không được nhiều quyền truy nhập như các user domain


    Các bước triển khai:
    - Cài đặt CAS và CAM
    - Cấu hình cơ bản trên CAS và CAM
    - Cấu hình các máy chủ Active Directory
    - Cấu hình các chính sách về bảo mật trên CAM
    - Cấu hình xác thực người dụng thông qua chức năng Windows Single Sign On (SSO)
    và dùng LDAP Map người dùng đến một Role cụ thể trong hệ thống.
     
    Last edited: Oct 24, 2014

Share This Page