一.前言

在筆者擔任思科系統的技術經理時,便觀察到Cisco從2000年初期,開始全力投入網路安全的發展,當成公司重要的發展方向之一;以自我防禦系統為大前提,發展或是併購相關的產品、機制及公司,NAC便是其中相當重要的一環;NAC是大家耳熟能詳的一個名詞,事實上,他並不代表一種產品,而是由多種多樣的產品組合出來的一種智慧型機制,用來自動化所有的防禦修護事宜,以及正確的認證與授權,減少人為操作的時間,或是誤判,並且及時的發現並解決問題,因此,NAC的佈署及應用,牽涉的異質產品極廣,產品之間的通用性是目前NAC必須克服的一個首要課題。

提供以下圖表說明了NAC的功能演進:

 

二.思科NAC的特色

1.著重互通性:最佳微軟環境支援,利用既存之第三方軟體。
2.利用既有的網路設備:充分運用Cisco網路設備,並可與他牌共同使用。
3.支援各種存取方式:不論有線、無線、虛擬私有網路或是廣域網路。
4.創新:首創單一簽入(Single Sign On),規則組成,描繪設計以及路由器模組等。
5.NAC專屬設備(NAC appliance):無須經過繁複的軟體安裝步驟,直接plug-n-play。


三.Cisco NAC的好處

1. 認證方式整合到單一簽入(Single Sign-On)
Cisco NAC硬體設備可以代理大部分的認證,可以相容的認證機制有:Kerberos,Lightweight Directory Authentication Protocol (LDAP),RADIUS,Active Directory(AD),S/Idnet等;為了讓用戶端方便起見,Cisco NAC的硬體設備也支援VPN,無限網路的用戶端以及Windows AD網域的單一簽入,系統管理員更可以使用以角色為基準(roles-based)的存取控制機制,讓不同階級的使用者有不同的權限。

2. 脆弱性評估
Cisco NAC硬體設備有能力針對所有Windows系統,MacOS,以及Linux-based的機器做脆弱性掃瞄,也可以對非PC的網路設備,像是PDA,遊戲機,印表機還有IP電話等做同樣的掃瞄;掃瞄的方式也可以根據不同的環境及設備來客製化,務求評估的精準性;除此之外,Cisco NAC硬體設備也可以檢查那些經由registry key的設定,提供的服務,以及系統檔案所確認的應用程式。

3. 設備隔離
Cisco NAC硬體設備可以將不符合政策的機器隔離起來,避免擴大影響,另外被隔離的機器也可以在隔離區中進行整治及修復的工作;隔離的方式可以是將subnet設成/30或是放到不同的VLAN中。

4. 安全政策自動更新
Automatic Security Policy Updates是Cisco軟體保養套件中所提供的一些預設政策機制的一部份,用來規範一般網路存取的準則,這些準則包括檢查作業系統的更新使否太過老舊,使用的防毒軟體的病毒碼是否更新,或者是防間諜程式的更新等;由於一切都是自動化,將會讓系統管理員的工作更輕鬆且更即時。

5. 集中式管理
Cisco NAC硬體設備的網頁管理介面,可以讓系統管理員定義那個使用者可以執行哪種掃瞄模式,並且可以定義系統復原所需的整治套件,一台Cisco NAC硬體設備可以管理多台的伺服器。

6. 整治及維修
隔離政策讓被隔離的設備可以直接連線到系統整治伺服器上,自動升級作業系統及病毒碼的更新,並且也可以安裝CSA軟體到該機器上,以提供完整的安全機制;系統管理員也可以客製自動化一系列的整治行為。

7. 彈性化的佈署模式
Cisco NAC硬體設備提供了業界最多的佈署方式,不管客戶的網路拓樸為何,均可以應用上去,客戶可以應用的方式有:virtual或是real的IP gateway,in-band或是out-of-band等。

下圖說明了各種的佈署方式:

 

四.Cisco NAC元件的介紹


五.Cisco在NAC認證課程、教材上的現況

Cisco在網路安全上的努力不宜餘力,除了併購尖端科技(cutting edge technology)的公司外,也在相關證照(參考網址http://www.cisco.com/web/learning/le3/le11/learning_all_certification_exams_list.html ) 及訓練教材上相對提昇,就NAC而言,Cisco推出了一個NAC專家證照(Cisco NAC Specialist),只要取得642-522 (SND – Securing Cisco Network Devices)以及642-591 (CANAC – Implementing Cisco NAC Appliance)就擁有NAC的專家證照,對想鑽研NAC卻不想取的CCSP的人,有比較經濟的作法。


六.Cisco NAC官方課程目標

Cisco NAC端點設備解決方案 (Cisco NAC Endpoint Security Solutions)
Cisco NAC 硬體設備共通元件設定 (Cisco NAC Appliance Common Elements Configuration )
Cisco NAC 硬體設備的佈署及運用 (Cisco NAC Appliance Implementation)
Cisco NAC 硬體設備的檢視及管理 (Cisco NAC Appliance Monitoring and Administration)


七.結論

思科擁有業界最齊全的網路及主機安全產品,以筆者在思科所負責的產品而言,有CSA,MARS,Cisco Guard/Detector,IPS,ASA/PIX,AVS等,有些已經成功的NAC機制結合在一起了,我想不久的未來,思科系統會把所有的網路安全產品整合在一起,真正讓網路像人體一樣,有完善的自我防禦系統 (Self-Defense System)。


來源:奇科電腦資深網路技術顧問 Ben 哥  http://www.geego.com.tw

創作者介紹
創作者 台灣 富捷IT培訓 的頭像
台灣 富捷IT培訓

台灣 富捷 IT 培訓

台灣 富捷IT培訓 發表在 痞客邦 留言(0) 人氣()