Решение Cisco по контролю доступа в сеть для беспроводных LAN
ОБЗОР РЕШЕНИЯ
Решение Cisco по контролю доступа в сеть для беспроводных LAN
В этом документе описана поддержка ресурсов контроля доступа в сеть (NAC) Cisco®, доступная в беспроводных LAN (WLAN) Cisco на базе решений архитектуры NAC (NAC Framework) и устройства NAC (NAC Appliance).
Сети требуется защищать от угроз, в числе которых вирусы, черви и шпионские программы, нарушающие деловую активность, приводящие к вынужденным простоям в работе и необходимости непрерывно вносить программные исправления. Наглядность конечных узлов и контроль над ними необходимы, чтобы гарантировать соблюдение корпоративной политики безопасности на всех проводных и беспроводных устройствах, которые пытаются получить доступ в сеть. Зараженные или уязвимые конечные узлы требуется автоматически выявлять, изолировать и провести их санацию.
РЕШЕНИЕ
Контроль доступа в сеть разработано для помощи в обеспечении достаточной защиты от угроз безопасности на всех проводных и беспроводных конечных устройствах (в частности, на ПК, лэптопах, серверах, мини-компьютерах, КПК), получающих доступ к сетевым ресурсам. NAC дает компаниям возможность проанализировать и проконтролировать все устройства, обращающиеся к сети. Следя за тем, чтобы на каждом конечном устройстве соблюдалась корпоративная политика безопасности и действовали обновленные и наиболее подходящие механизмы защиты, компании могут значительно сократить или вообще свети к нулю количество конечных устройств, выступающих традиционным источником заражения или взлома сетей.
Контроль доступа в сеть (Network Admission Control, NAC) – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems. NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Этим путем снижается ущерб, который могут причинить возникающие угрозы безопасности. Используя NAC, клиенты получают возможность предоставлять сетевой доступ только соблюдающим предписанные требования, безопасным конечным устройствам (например, компьютерам, серверам и КПК) и ограничивать доступ для устройств, не соответствующих требованиям. NAC – элемент самозащищающейся сети Cisco, стратегии, которая существенно повышает способность сети автоматически идентифицировать и предотвращать возникающие угрозы безопасности, а также адаптироваться к ним.
Cisco предлагает подходы к внедрению NAC на базе устройств (NAC Appliance) и на базе архитектуры (NAC Framework), которые отвечают функциональным и операционным запросам любой компании. При этом компаниям может быть необходима как самая простая политика безопасности, так и поддержка сложных структур безопасности, в которых инструменты обеспечения безопасности от разных разработчиков объединены с корпоративным решением по управлению настольными устройствами.
Устройство NAC (NAC Appliance) на базе линейки продуктов Cisco Clean Access обеспечивает быстрое развертывание с автономными сервисами экспертизы конечных устройств, управления политикой и принятия коррективных мер. Устройство NAC – автономная, выполненная “под ключ” версия NAC, комплексное полнофункциональное решение.
В архитектуре NAC (NAC Framework) реализован подход на базе архитектуры с интеграцией систем разных разработчиков. Здесь для решения проблемы контроля доступа в сеть применяются сетевая инфраструктура Cisco и решения сторонних разработчиков. Интеллектуальная инфраструктура сети объединена с решениями более 60 разработчиков ведущих антивирусных программ и другого программного обеспечения в области безопасности и управления.
NAC для сетей беспроводных сетей (WLAN)
Сети WLAN необходимо защищать от угроз, в частности, от вирусов, червей и шпионских программ. Решения NAC Appliance и NAC Framework защищают сети WLAN от угроз безопасности, контролируя соблюдение политики безопасности на устройствах, когда клиенты WLAN пытаются получить доступ к сети. Те клиенты WLAN, которые не отвечают предписанным требованиям, помещаются в карантин. Сервисы корректировки помогают обеспечить соблюдение политики. Оба эти решения полностью совместимы с единой беспроводной сетью Cisco (Cisco Unified Wireless Network).
Устройство NAC (Cisco Clean Access)
Устройство NAC – это решение по регистрации и контролю соблюдения политики, действующее в масштабах всей сети, созданное на базе линейки продуктов Cisco Clean Access. Оно дает администраторам сетей возможность аутентификации, авторизации, экспертизы и корректировки проводных и беспроводных пользователей и их аппаратуры до того, как им будет предоставлен доступ в сеть. NAC Appliance может применять экспертизу статуса и корректировку к любому беспроводному пользовательскому устройству стандарта 802.11, включая клиентские устройства Cisco Aironet® и Cisco Compatible.
Для поддержки WLAN устройство NAC требуется развертывать внутри полосы пропускания. При такой схеме развертывания сервер NAC Appliance действует на линии прохождения пользовательского трафика постоянно, т.е. до, во время и после аутентификации, экспертизы статуса и принятия коррективных мер. Сервер надежно контролирует аутентифицированный и не аутентифицированный пользовательский трафик, руководствуясь правилами политик на базе протоколов/портов или подсетей, применяется управление политикой полосы пропускания на базе коллективных или индивидуальных полос пропускания или используются сеансы по учету времени и инструменты контроля импульсов (heartbeat controls) (Рис. 1)
Рис. 1. Архитектура устройства NAC во внутриполосном режиме
Контроль устройства NAC за соблюдением предписанных требований может распространяться на всех беспроводных пользователей при подключении через любую точку доступа Wi-Fi. Устройство NAC поддерживает работу следующих беспроводных продуктов:
Любые точки доступа Wi-Fi стандарта 802.11, в том числе:
Точки доступа Cisco Aironet, развернутые автономно в режиме автономной работы или беспроводных доменных сервисов (Wireless Domain Services, WDS) - точки доступа Cisco Aironet серий 350, 1100, 1130AG, 1200, 1230AG, 1240AG, и 1300 .
Любое клиентское устройство Wi-Fi стандарта 802.11, включая:
Клиентские устройства Cisco Aironet.
Клиентские устройства Cisco Compatible.
Архитектура NAC
Архитектура NAC (NAC Framework) – это технологический подход на базе архитектуры, основанный на общеотраслевой инициативе, реализуемой под руководством Cisco Systems. Здесь для обеспечения соблюдения политики безопасности на всех конечных узлах используется сетевая инфраструктура и программное обеспечение сторонних разработчиков. Этим обеспечивается интеграция и более эффективное освоение инвестиций в сети Cisco, антивирусные технологии и другое программное обеспечение управления и обеспечения безопасности.
Архитектура NAC дает возможность применять привилегии доступа на сетевых устройствах Cisco, включая маршрутизаторы и коммутаторы, при попытке конечного устройства установить соединение с управляемой сетью. Принимаемое решение может быть основано на информации о конечном устройстве, в частности, о текущем состоянии его программного обеспечения, включая уровень программных обновлений для антивирусных ресурсов и операционной системы. Архитектура NAC дает возможность отказать в доступе тем устройствам, на которых не соблюдаются предписанные требования, поместить их в карантинную зону или предоставить ограниченный доступ к вычислительным ресурсам.
Архитектура NAC контролирует соблюдение политики безопасности на устройствах в сетях WLAN в точке доступа, когда клиенты WLAN пытаются получить доступ в сеть. В точках доступа WLAN политика NAC реализуется через назначение VLAN. Сервер RADIUS** распределяет клиентов WLAN, которые не отвечают предписанным требованиям, в карантинную или коррективную VLAN/мобильную группу в тточке доступа для автономных точек доступа (Рис. 2) или на контроллере беспроводных LAN для упрощенных точек доступа (Рис. 3).
Рис. 2. Точки доступа Cisco Aironet, развернутые в автономном режиме
* Точки доступа Cisco Aironet серии 1200, содержащие радио-терминалы стандарта 802.11g (AIR-MP21G-x-K9) и/или стандарта 802.11a второго поколения (AIR-RM21A-x-K9 или AIR-RM22A-x-K9
** Требуется сервер Cisco ACS 4.0 или последующие версии.
Рис. 3. Упрощенные точки доступа Cisco Aironet
Архитектура NAC поддерживает следующие беспроводные продукты:
Точки доступа Cisco Aironet, развернутые автономно в режиме автономной работы или в режиме WDS, - точки доступа Cisco Aironet серий 1100, 1130AG, 1200, 1230AG, 1240AG, и 1300, на которых работает программное обеспечение Cisco IOS® Software Release 12.3(7)JA или более поздней версии.
Упрощенные точки доступа Cisco Aironet, развернутые с контроллером беспроводных LAN Cisco (Точки доступа Cisco Aironet серий 1000, 1130AG, 1200***, 1230AG, 1240AG и 1500 и контроллеры беспроводных LAN Cisco серий 2000, 4100 и 4400, а также Cisco Catalyst 6500 Series WiSM и модуль контроллеров беспроводных LAN Cisco для маршрутизаторов с интегрированными сервисами Cisco Wireless LAN Controller Module for Integrated Services Routers), на которых работает программное обеспечение Cisco Unified Wireless Network Software Release 3.1 или более поздней версии.
Сервисный модуль для беспроводных LAN (WLSM) серии Cisco Catalyst® 6500 Wireless LAN Services Module, развернутый как устройство WDS, на котором работает Cisco IOS Software Release 1.4.1 или более поздняя версия.
Любые клиентские устройства Wi-Fi стандарта 802.11 с супликантами IEEE 802.1X, которые поддерживают NAC. (Примечание: супликант, поставляемый компанией Cisco, предназначен только для адаптера Ethernet, но не для адаптера WLAN).
Клиентское устройство Cisco Aironet с супликантом NAC стороннего разработчика, например, клиент Funk Odyssey или Meeting House AEGIS.
Клиентское устройство Wi-Fi от сторонних провайдеров супликанта NAC, например, клиент Funk Odyssey или Meeting House AEGIS.
Клиентские устройства Cisco Compatible, на которых работает 4.0 или более поздняя версия. (В версию 4.0 Cisco Compatible включен требуемый супликант NAC.)
*** Точки доступа Cisco Aironet серии 1200, содержащие радио-терминалы стандарта 802.11g (AIR-MP21G-x-K9) и/или стандарта 802.11a второго поколения (AIR-RM21A-x-K9 или AIR-RM22A-x-K9).
РЕЗЮМЕ
Вирусы и черви по-прежнему вносят сбои в деятельность компаний, приводят к вынужденным перебоям в работе и к необходимости непрерывно вносить программные исправления. NAC помогает компаниям снизить этот риск, не позволяя уязвимым хостам получать и поддерживать нормальный сетевой доступ. NAC помогает проследить за тем, чтобы на всех хостах соблюдалась политика внесения последних программных обновлений в антивирусные инструменты, программы обеспечения безопасности и операционные системы, до момента предоставления им нормального сетевого доступа. Уязвимые и не отвечающие предписанным требованиям хосты могут быть изолированы и получить ограниченный сетевой доступ до тех пор, пока на них не будут внесены программные исправления и обеспечена безопасность. Благодаря этому, они не становятся мишенью или источником червей и вирусов.
Применение NAC эффективно в любой компании, которая хочет ограничить ущерб, причиняемый вирусами, червями и шпионскими программами. NAC предназначено для компаний, которые хотят предоставлять доступ в свою рабочую среду только санкционированным безопасным устройствами, или которым требуется аудит и мониторинг доступа на всех конечных узлах в границах сетевой среды. NAC подходит для всех корпоративных структур, в особенности для тех, которые сталкиваются с трудностями при контроле соблюдения политики на настольных ПК и серверах, включая системы подрядчиков и бизнес-партнеров. Исходя из этих же соображений, NAC эффективно и в небольших компаниях. NAC можно эффективно применять практически во всех отраслях, включая финансы, здравоохранение, производство и правительственные ведомства. С целью полного охвата сети NAC распространяется на все методы доступа, применяемые хостами для соединения с сетью, включая беспроводные LAN.
