Cisco NAC Appliance

Cisco NAC Appliance , tidigare Cisco Clean Access (CCA), var ett nätverkskontrollsystem (NAC) utvecklat av Cisco Systems , designat för att skapa en säker och ren datornätverksmiljö. Ursprungligen utvecklad av Perfigo och marknadsförs under namnet Perfigo SmartEnforcer, denna enhet för kontroll av nätverkstillträde analyserar system som försöker komma åt nätverket och förhindrar sårbara datorer från att ansluta sig till nätverket. Systemet installerar vanligtvis ett program som kallas Clean Access Agent på datorer som kommer att anslutas till nätverket. Denna applikation, i kombination med både en Clean Access-server och en Clean Access Manager, har blivit vanlig på många universitet och företagsmiljöer idag. Den kan hantera trådbundna eller trådlösa nätverk i ett in-band eller out-of-band konfigurationsläge och virtuella privata nätverk ( VPN ) i ett in-band-konfigurationsläge.

Cisco NAC Appliance är inte längre i produktion och säljs inte längre i början av 2010-talet. Normalt stöd upphör 2015. Förlängt stöd upphör 2018.

Clean Access Agent

Clean Access Agent (förkortning: CCAA, "Cisco Clean Access Agent") finns på klientens dator, autentiserar användaren och söker efter nödvändiga patchar och programvara. För närvarande är programmet Clean Access Agent endast tillgängligt för vissa Windows- och Mac OS X-operativsystem ( Windows 98 , Windows Me , Windows 2000 , Windows XP , Windows XP Media Center Edition , Windows Vista , Windows 7 , Windows 8 och Mac OS X ) ; de flesta nätverksadministratörer tillåter klienter med icke-Windows operativsystem (som Mac OS 9 , Linux och FreeBSD ) att komma åt nätverket utan några säkerhetskontroller (autentisering krävs fortfarande och hanteras vanligtvis via ett webbgränssnitt).

Autentisering

Efter framgångsrik autentisering via ett webbgränssnitt kommer Clean Access Server att anvisa nya Windows -baserade klienter att ladda ner och installera Clean Access Agent-applikationen (för närvarande behöver icke-Windows-baserade klienter endast autentisera via webbgränssnittet och godkänna eventuella nätverksvillkor tjänst). När agenten har installerats kommer användaren att kräva att användaren autentiseras på nytt. När agentprogramvaran har autentiserats på nytt kommer den vanligtvis att kontrollera klientdatorn för kända sårbarheter i det Windows -operativsystem som används, såväl som för uppdaterade antivirusprogram och definitioner. Kontrollerna upprätthålls som en serie "regler" på Clean Access Manager-sidan. Clean Access Manager (CAM) kan konfigureras för att kontrollera, installera eller uppdatera vad som helst på användarens system. När agentapplikationen kontrollerar systemet kommer agenten att informera användaren om resultatet – antingen med ett framgångsmeddelande eller ett misslyckat meddelande. Misslyckade meddelanden informerar användaren om vilken eller vilka kategorier systemet misslyckades (Windows-uppdateringar, antivirus, etc.), och instruerar användaren om hur man ska gå vidare.

Alla system som misslyckas med kontrollerna kommer att nekas allmän åtkomst till nätverket och kommer förmodligen att placeras i en karantän roll (hur exakt ett misslyckat system hanteras beror helt på hur Clean Access Manager är konfigurerad och kan variera från nätverk till nätverk. exempel: ett misslyckat system kan helt enkelt nekas all nätverksåtkomst efteråt). System i karantän ges sedan vanligtvis ett 60-minutersfönster där användaren kan försöka lösa orsaken till karantänen. I ett sådant fall tillåts användaren endast anslutning till Windows Update -webbplatsen och ett antal antivirusleverantörer ( Symantec , McAfee , Trend Micro , etc.), eller så kan användaren omdirigeras till en gästserver för åtgärdande. All annan trafik är vanligtvis blockerad. När 60-minutersfönstret löper ut blockeras all nätverkstrafik. Användaren har möjlighet att autentisera på nytt med Clean Access igen och fortsätta processen vid behov.

System som klarar kontrollerna ges åtkomst till nätverket enligt definitionen av den tilldelade rollen i Clean Access Manager. Clean Access-konfigurationer varierar från plats till plats. De tillgängliga nätverkstjänsterna kommer också att variera beroende på Clean Access-konfigurationen och den tilldelade användarrollen.

System behöver vanligtvis autentisera om minst en gång i veckan, oavsett status; men detta alternativ kan ändras av nätverksadministratören. Dessutom, om ett system kopplas bort från nätverket under en viss tid (vanligtvis tio minuter), måste användaren autentisera sig på nytt när de återansluter till nätverket.

Windows-uppdateringar

Clean Access kontrollerar normalt ett Windows-system efter nödvändiga uppdateringar genom att kontrollera systemets register . Ett skadat register kan hindra en användare från att kunna komma åt nätverket.

Säkerhetsfrågor och bekymmer

Användaragentspoofing

Clean Access Server (CAS) bestämmer klientens operativsystem genom att läsa webbläsarens användaragentsträng efter autentisering. Om ett Windows-system upptäcks kommer servern att be användaren att ladda ner Clean Access Agent; på alla andra operativsystem är inloggningen klar. För att bekämpa försök att förfalska operativsystemet som används på klienten, undersöker nyare versioner av servern och agenten (3.6.0 och uppåt) även värden via TCP/IP-stackfingeravtryck och JavaScript för att verifiera maskinens operativsystem:

Som standard använder systemet User-Agent- strängen från HTTP- huvudet för att fastställa klientens OS. Release 3.6.0 tillhandahåller ytterligare detekteringsalternativ för att inkludera användning av plattformsinformationen från JavaScript eller OS-fingeravtryck från TCP/IP- handskakningen för att fastställa klientens OS. Denna funktion är avsedd att förhindra användare från att ändra identifiering av sina klientoperativsystem genom att manipulera HTTP- information. Observera att detta är en "passiv" detekteringsteknik som endast inspekterar TCP-handskakningen och inte påverkas av närvaron av en brandvägg .

Microsoft Windows-skript

Clean Access Agent använder i stor utsträckning Windows Script Engine , version 5.6. Det visades att borttagning eller inaktivering av skriptmotorn i MS Windows kommer att kringgå och bryta ställningsförfrågningar av Clean Access Agent, som kommer att "misslyckas öppna" och tillåta enheter att ansluta till ett nätverk efter korrekt autentisering.

Förebyggande av MAC-spoofing

Enhetssegregering

Även om MAC-adressförfalskning kan åstadkommas i en trådlös miljö med hjälp av en sniffer för att upptäcka och klona MAC-adressen för en klient som redan har auktoriserats eller placerats i en "ren" användarroll, är det inte lätt att göra det i en trådbunden miljö, såvida inte Clean Access-servern har felkonfigurerats. I en korrekt arkitektur och konfiguration skulle Clean Access Server dela ut IP-subnät och adresser via DHCP på sitt opålitliga gränssnitt med hjälp av en 30-bitars nätverksadress och 2 bitar för värdar, därför kunde endast en värd placeras i varje DHCP-scope/subnät när som helst. Detta separerar obehöriga användare från varandra och från resten av nätverket, och gör trådad sniffning irrelevant och spoofing eller kloning av auktoriserade MAC-adresser nästan omöjligt. Korrekt och liknande implementering i en trådlös miljö skulle faktiskt bidra till en säkrare instans av Clean Access.

Timers för certifierade enheter

Dessutom skulle MAC-spoofing kunna bekämpas ytterligare med användning av timers för certifierade enheter. Timers tillåter administratörer att rensa listan över certifierade MAC-adresser regelbundet och tvinga fram en ny auktorisering av enheter och användare till Clean Access Server. Timers tillåter en administratör att rensa certifierade enheter baserat på användarroller, tid och datum och certifieringsålder; en förskjuten metod är också tillgänglig som gör att man kan undvika att rensa alla enheter på en gång.

Klagomål

Cisco NAC Appliance är beryktad för aktivitet . att skapa störningar i användares internetanslutningar, och betraktar en kontinuerlig anslutning mellan en dator och en server eller en annan dator som misstänkt Detta är problematiskt för individer som använder Skype eller någon webbkameraaktivitet samt onlinespel som World of Warcraft . Med onlinespel gör de störningar som skapas av Cisco NAC Appliance att spelaren loggas ut från spelservern. Många individer som har upplevt detta ganska trubbiga sätt av säkerhet har öppet uttryckt frustration över denna programvara i forum såväl som på Facebook med grupper och inlägg.

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Cisco_NAC_Appliance&oldid=1085262820 "