ProCurve NAC 800

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Объявлена дата End of Sale Date для ProCurve Network Access Controller 800: April 1, 2010.

ProCurve Network Access Controller 800 — контроллер доступа, который объединяет функции сервера аутентификации на основе RADIUS с возможностью проверки целостности систем, подключающихся к сети.

NAC 800 является частью решения ProCurve Network Access Control.

Содержание 1 Устройство NAC 800 1.1 Интерфейсы управления 2 Режимы работы NAC 800 2.1 Сервер управления 2.2 Сервер применения 2.3 Комбинированный сервер 2.4 Кластер применения 2.4.1 Кластер применения для MS и ES 2.4.2 Кластер применения для CS 2.5 Изменение режима работы 3 Проверка целостности компьютеров 3.1 Тесты 3.1.1 Примеры существующих тестов 3.1.2 Свойства тестов 3.1.3 Обновление тестов 3.1.4 Действия по результатам теста 3.2 Политики контроля доступа 3.2.1 Политики для компьютеров с нетестируемыми ОС 3.2.2 Частота повторного тестирования (post-connect проверки) 3.2.3 Политика для обработки неактивных компьютеров 3.2.4 Список компьютеров к которым применяется политика 3.2.5 Список активированных тестов 3.3 Группы политик 3.4 Виды тестирования 3.4.1 Настройки браузера 3.4.2 Постоянный агент 3.4.2.1 Требования для тестирования с помощью агента 3.4.3 Временный агент (ActiveX) 3.4.3.1 Требования для тестирования с помощью временного агента 3.4.3.2 Ограничения использования временного агента 3.4.4 Без агента 3.4.5 Преимущества и недостатки разных методов тестирования 3.5 Состояние целостности компьютера 3.6 Доступные сервисы 3.7 Исключения 3.8 Приоритетность применения настроек, касающихся проверки компьютера 3.9 Влияние на производительность проверки целостности компьютеров 3.10 Post-Connect тестирование 4 Способы внедрения NAC 800 4.1 Inline 4.2 DHCP 4.3 802.1X 4.3.1 NAC 800 в качестве RADIUS-сервера 4.3.2 Проверка целостности компьютера 4.4 Device Activity Capture (DAC) 5 Дополнительная информация 6 Материалы по контролю доступа в сеть на Xgu.ru

[править] Устройство NAC 800

У NAC 800 есть два порта, они по-разному используются и в зависимости от способа внедрения будут по-разному работать.

Порт 1

На порт 1 должен приходить управляющий трафик:

• HTTPS трафик;
• SSH трафик;
• трафик аутентификации на RADIUS-сервер;
• трафик проверки компьютеров.

Порт 2

Назначение порта 2 и трафик, который должен на него приходить отличаются в зависимости от метода внедрения. В каждом методе внедрения будет указано как использовать порт 2.

[править] Интерфейсы управления

[править] Режимы работы NAC 800

NAC 800 может работать в одном из трех режимов:

• Сервер управления (Management server, MS)
• Сервер применения (Enforcement server, ES)
• Комбинированный сервер (Combination server, CS)

Ни сервер управления, ни сервер применения не могут работать по отдельности. Они работают только вместе.

В этой связке сервер применения осуществляет проверку компьютеров и/или аутентификацию пользователей, а сервер управления отвечает за настройку серверов применения.

[править] Сервер управления

Через сервер управления осуществляется настройка серверов применения.

Настройка сервера для работы MS требует всего нескольких шагов:

• Перевод одного NAC 800 в режим MS;
• Перевод остальных NAC 800 в режим ES;
• Из веб-интерфейса MS добавить в конфигурацию существующие ES.

После этого все настройки, которые выполняются на MS, будут соответственно применяться на ES.

Один сервер управления должен обслуживать в сумме по всем кластерам не более 10ти серверов применения.

MS отвечает за такие глобальные настройки:

• Лицензии проверки целостности;
• Соединение с Интернет;
• Время — может использовать внутренние часы или синхронизировать время с NTP сервером. Для всех ES он работает как NTP сервер;
• Обновление программного обеспечения — скачивает новое программное обеспечение, обновляет свое и всех ES;
• Обновление тестов — при наличии необходимых лицензий, MS автоматически проверяет и скачивает обновления тестов, частоту проверки обновлений можно задавать;
• Политики контроля доступа — MS хранит список и настройки тестов, которые применяют ES.

MS хранит и применяет такие настройки ES:

• Индивидуальные настройки ES:
  • IP адрес;
  • Имя устройства;
  • Пароль root;
  • Временная зона;
• Настройки способа внедрения (метода карантина).

MS обрабатывает информацию о компьютерах в сети и позволяет:

• Отслеживать:
  • Обнаруженные компьютеры;
  • Активность компьютеров:
    • Статус контроля доступа
    • Статус тестирования
• Изменять состояние контроля доступа компьютеров;
• Генерировать отчеты.

[править] Сервер применения

Все настройки политик контроля доступа выполняются на MS, а ES отвечает за применение этих политик.

ES осуществляет:

• Аутентификацию компьютеров, если работает как RADIUS-сервер;
• Проверку целостности компьютеров;
• Контроль доступа в сеть компьютеров на основании результатов аутентификации и/или проверки.

[править] Комбинированный сервер

В режиме комбинированного сервера одно устройство контролирует и применяет политики.

В этом режиме одно физическое устройство (NAC 800) объединяет в себе два сервера — сервер управления и сервер применения. Поэтому в режиме комбинированного сервера NAC 800 имеет все возможности сервера управления и сервера применения.

Режим комбинированного сервера стоит применять если:

• Количество тестируемых компьютеров не превышает 2500;
• NAC 800 используется только в качестве RADIUS-сервера и не проверяет целостность копьютеров.

Если NAC 800 используется только в качестве RADIUS-сервера, то он может аутентифицировать более чем 2500 компьютеров (порядка 10000 портов).

CS поддерживает такие возможности и настройки:

• Лицензии проверки целостности;
• Соединение с Интернет;
• Время — может использовать внутренние часы или синхронизировать время с NTP сервером;
• Обновление программного обеспечения — скачивает новое программное обеспечение и обновляет его;
• Обновление тестов — при наличии необходимых лицензий, CS автоматически проверяет и скачивает обновления тестов, частоту проверки обновлений можно задавать;
• Политики контроля доступа — CS хранит список и настройки тестов.
• Индивидуальные настройки:
  • IP адрес;
  • Имя устройства;
  • Пароль root;
  • Временная зона;
• Настройки способа внедрения (метода карантина).

CS осуществляет:

• Аутентификацию компьютеров, если работает как RADIUS-сервер;
• Проверку целостности компьютеров;
• Контроль доступа в сеть компьютеров на основании результатов аутентификации и/или проверки.

CS обрабатывает информацию о компьютерах в сети и позволяет:

• Отслеживать:
  • Обнаруженные компьютеры;
  • Активность компьютеров:
    • Статус контроля доступа
    • Статус тестирования
• Изменять состояние контроля доступа компьютеров;
• Генерировать отчеты.

[править] Кластер применения

Кластер применения — это группа ES (или один CS), которые контролируют (тестируют, помещают в карантин и др.) одну группу компьютеров.

Что такое группа компьютеров? Это нечто условное или вполне конкретное? Домен?

[править] Кластер применения для MS и ES

MS группирует сервера применения в кластера применения. Каждый кластер применяет одинаковые политики контроля доступа используя одинаковый способ внедрения.

Разные кластера могут использоваться различные способы внедрения, но в пределах кластера, на всех серверах применения, может использоваться только один способ.

В кластере применения рекомендуется использовать от 2 до 10 серверов применения.

У кластера из нескольких ES такие преимущества над кластером CS:

• Он может тестировать большее количество компьютеров — по 3000 каждый ES (до 30000 суммарно) по сравнению с 3000 CS — балансируя нагрузку между различными ES;
• Внесение избыточности в сеть, при выходе из строя одного ES остальные будут выполнять тестирование компьютеров;
• MS позволяет управлять всеми серверами централизовано;
• Разделение лицензий между серверами и кластерами.

Следующие настройки применяются к кластеру:

• Способ внедрения;
• Метод тестирования;
• Доступные сервисы для компьютеров в карантине;
• Исключения (домены и компьютеры, которые не проверяются);
• Оповещения (email адрес администратора, которому будут отправляться сообщения);
• Вид окна для пользователей;
• Имя пользователя/пароль для тестирования без агента (имя и пароль пользователя с правами администратора для компьютеров в домене);
• NAC policy group (набор политик и тестов, которые применяются к пользователям).

[править] Кластер применения для CS

Так как NAC 800 в режиме комбинированного сервера просто объединяет в одном физическом устройстве два сервера (применения и управления), то у него тоже есть кластер применения.

Этот кластер применения один, и сам комбинированный сервер единственный сервер применения в этом кластере. Этот кластер создается автоматически, его нельзя удалить, и нельзя создать дополнительные кластеры.

Все настройки, которые выполняются с MS для кластера, также доступны для кластера CS.

[править] Изменение режима работы

При изменении режима работы NAC 800 происходит обнуление настроек, даже если режим работы меняется на тот же, который был до этого.

При обнулении настроек сохраняются:

• IP address
• Имя устройства
• Маршрут по умолчанию
• DNS сервер
• NTP сервер
• Временная зона

Обнуление из командной строки:

resetSystem.py [both | ms | es]

Файл resetSystem.py находится в /usr/local/nac/bin

[править] Проверка целостности компьютеров

Без детализации процедура проверки целостности компьютера происходит так:

• Когда NAC 800 обнаруживает новый подключенный компьютер, он тестирует его, проверяет соответствие компьютера политике безопасности компании;
• В зависимости от результатов проверки NAC 800:
  • разрешает полный доступ к сети компьютеру, если он прошел все тесты;
  • помещает в карантин или разрешает временный доступ к сети компьютерам, которые не прошли тесты;
  • разрешает компьютерам помещенным в карантин доступ к "доступным сервисам", которые помогают в устранении несоответствия политикам.

[править] Тесты

NAC 800 может тестировать компьютеры с такими операционными системами:

• Windows 2000
• Windows XP Professional
• Windows XP Home
• Windows Server 2000 or 2003
• Windows Vista Ultimate
• Windows Vista Home Premium
• Windows Vista Home Basic
• Windows Vista Business
• Windows Vista Enterprise
• Mac OS X (версии 10.3.7 или более поздней)

Как фактически проходит тест? Есть ли что-то общее у всех тестов? Может быть, они все это python-модули или ещё что-то? Они скачиваются с нака отдельно? Или все вместе? В какой момент? Подписывается ли результат проверки каким-то образом? Можно ли писать свои тесты? Если да, то чему они должны соответствовать? Каким-то требованиям, стандартам? Существуют ли независимые (третьи фирмы) производители тестов? Существуют ли свободные тесты? Репозитории тестов? С какими правами исполняются локально программы тестирования?

[править] Примеры существующих тестов

Настройки безопасности (для Windows)

Тесты предназначены для проверки настроек безопасности компьютера, например:

• Включенные сервисы;
• Сети с которыми соединен компьютер;
• Настройки безопасности для макросов;
• Локальные настройки безопасности, которые определяют какой доступ пользователям разрешен к компьютеру.

Настройки безопасности (для других ОС)

Тесты предназначены для проверки настроек безопасности компьютера под управлением Mac OS, например:

• Настройки беcпроводного клиента;
• Включенные сервисы;
• Включенный межсетевой экран и отключенное Internet sharing.

Программное обеспечение (для Windows)

Эти тесты проверяют какое программное обеспечение установлено на компьютере:

• наличие обязательного программного обеспечения, например, персонального межсетевого экрана или антивирусного ПО;
• наличие запрещенного программного обеспечения;
• сканируют компьютер на наличие вирусов или другого вредоносного ПО.

Операционная система (для Windows)

Эти тесты проверяют операционную систему компьютера на наличие необходимых исправлений и патчей (hotfixes, patches).

[править] Свойства тестов

Свойства теста — это критерии, которым должен соответствовать компьютер, для того чтобы пройти тест.

Например, тест по проверке необходимого ПО проверяет наличие определенного программного обеспечения на компьютере. Его свойства — это список программного обеспечения. Если на компьютере не установлено требуемое программное обеспечение, то он не проходит тест.

Свойства могут быть настраиваемые или ненастраиваемые.

Например, в тесте по проверке необходимого ПО свойства настраиваемые: можно выбрать какое ПО обязательно должно быть установлено на компьютерах в сети.

А в тесте Mac airport WEP enabled, например, свойства ненастраиваемые. Если на компьютере включен WEP, то он проходит тест, если WEP выключен, то нет.

[править] Обновление тестов

При обновлении тестов может добавиться:

• полностью новый тест;
• свойства в существующий тест.

NAC 800 автоматически проверяет наличие обновлений тестов и устанавливает их, при наличии:

• Лицензии на проверку целостности компьютеров;
• Работающего соединения с Интернет.

Периодичность проверки обновлений тестов можно задавать.

[править] Действия по результатам теста

Когда компьютер не проходит тест, NAC 800 может выполнить такие действия (оба или одно из них):

• Послать оповещение на указанный адрес электронной почты;
• Поместить компьютер в карантин:
  • Немедленно
  • После периода временного предоставления доступа (время настраивается).

Действия выбираются для каждого теста.

NAC 800 может, например, немедленно поместить в карантин компьютер на котором обнаружен вирус, но предоставить временный доступ в сеть компьютеру, которому надо обновить patch.

А отправлять оповещение на почту можно, например, если на компьютере установлено запрещенное ПО.

[править] Политики контроля доступа

Политики NAC указывают как NAC 800 будет проверять целостность конкретных компьютеров.

Политика включает в себя такие настройки:

• Название политики и описание;
• Политика для обработки компьютеров с ОС, которые NAC 800 не может тестировать;
• Частота повторного тестирования;
• Политика для обработки неактивных компьютеров;
• Список компьютеров к которым применяется политика;
• Список активированных тестов, включая свойства и действия для каждого теста.

[править] Политики для компьютеров с нетестируемыми ОС

По умолчанию компьютеры, которые не могут быть проверены, помещаются в карантин. Можно изменить эту политику, для того чтобы предоставлять им доступ в сеть.

Нетестируемые компьютеры разделены на несколько категорий:

• Windows 95 или ME
• Windows 98
• Windows NT
• Unix (без Linux)
• Любые другие ОС (включая Linux)

Нетестируемым компьютерам доступ предоставляется на постоянной основе. Даже при изменении политики работы с нетестируемыми компютерами, к компьютерам, которые уже подключены к сети она применена не будет, до тех пор пока:

• компьютер не обновит свой адрес (метод внедрения DHCP);
• компьютер повторно не аутентифицируется (метод внедрения 802.1X);
• компьютер не разорвет и не возобновит соединение.

[править] Частота повторного тестирования (post-connect проверки)

NAC 800 поддерживает pre-connect и post-connect проверки целостности компьютеров.

Частота повторного тестирования определяет как часто будут происходить post-connect проверки.

Метод внедрения влияет на post-connect проверки.

Для DHCP метода изменения будут применяться только после очередного запроса DHCP от клиента. Поэтому время аренды адресов должно выставляться не большим.

Для методов внедрения Inline и 802.1X изменения применяются мгновенно. Например, при использовании метода 802.1X, NAC 800 скомандует сетевому устройству, к которому подключен клиент, что надо повторно аутентифицировать клиента, аутентификация произойдет и клиент, например, попадет в другой VLAN.

Кроме повторной проверки компьютеров с помощью NAC 800, можно настроить post-connect тестирование. Эта возможность может использоваться для того, чтобы такие устройства как IDS/IPS могли выполнять свои проверки и сообщать о их результатах NAC 800. Если компьютер не проходит тестирование, устройства IDS/IPS могут отправлять запрос NAC 800 и он поместит компьютер в карантин.

[править] Политика для обработки неактивных компьютеров

Эти настройки применяются, только если был предоставлен доступ компьютерам с нетестируемыми ОС.

NAC 800 не может контролировать компьютеры с нетестируемыми ОС так же как компьютеры с тестируемыми ОС, поэтому после того как NAC 800 предоставляет такому компьютеру доступ в сеть, он только слушает его трафик. До тех пор пока компьютер продолжает генерировать трафик, NAC 800 считает, что он подключен и сохраняет правила межсетевого экрана, которые предоставляют доступ компьютеру. Если NAC 800 не обнаруживает трафик от компьютера какое-то время (настраиваемый период времени), то он убирает правила и запрещает доступ.

[править] Список компьютеров к которым применяется политика

Так как на NAC 800 может быть создано несколько политик, то в каждой из них надо прописать к каким конкретный компьютерам она применяется.

Политика можно применить:

• К домену (включая все компьютеры в домене);
• К конкретному компьютеру, который можно указать с помощью:
  • IP адреса
  • MAC-адреса
  • NetBIOS имени
  • Имени компьютера

Политика не будет применяться к указанным компьютерам до тех пор, пока Policy Group не назначена на кластер.

[править] Список активированных тестов

В каждой политике есть возможность выбрать тесты, которые политика будет применять.

Свойства тестов и действия настраиваются ко всей политике. В разных политиках к одним и тем же тестам могут относиться различные свойства и действия.

[править] Группы политик

NAC 800 объединяет политики контроля доступа в группы политик. На каждый CS или кластер ES назначается одна группа политик, которая применяет все политики в группе.

Группа политик контроля доступа состоит из таких настроек:

• Имя группы политик;
• Список кластеров, которые используют эту группу политик;
• Список политик.

Кластер, использующий группу политик, применяет конкретную политику из группы на основании:

• Списка доменов и компьютеров указанных в политике;
• Приоритета политики — если компьютер попадает под несколько политик, то NAC 800 применит политику с наивысшим приоритетом;
• Если компьютер не попал ни под какую политику, то NAC 800 применит к нему последнюю политику из списка.

[править] Виды тестирования

NAC 800 поддерживает три вида тестирования:

• Постоянный агент
• Временный агент
• Без агента

Должны ли быть компьютеры в домене для того чтобы их проверить? Какие методы позволяют проверять компьютеры не в домене? Подтверждается ли как-то подлинность информации от агента?

[править] Настройки браузера

Если в IE Internet security zone установлена в значение High, то компьютер не может быть протестирован. Следующие настройки позволят сделать компьютер тестируемым:

• Пользователь может поменять IE Internet security zone в значение Medium (Tools>>Internet options>>Security>>Custom level>>Reset to Medium);
• Пользователь может добавить IP адрес NAC 800 в Trusted sites zone и установить значение Medium для Trusted sites zone;
• Пользователь может оставить значение High, но разрешить опции которые нужны для тестирования:
  • NAC Agent тестирование использует ActiveX,
  • Тесты ActiveX используют ActiveX,
  • Все тесты используют JavaScript.

[править] Постоянный агент

На NAC 800 хранится ProCurve NAC EI агент. Агент может быть установлен на компьютер пользователя:

• Автоматически до тестирования (с помощью автоматического распространения ПО в сети);
• Автоматически при первом тестировании;
• Скачать агент по ссылке: https://<CS или ES ip адрес>:89/setup.exe;
• Файл установки может быть скопирован с NAC 800 с помощью scp (/usr/local/nac/agentInstall/setup.exe).

При автоматической установке используется ActiveX .

NAC агент это программа, которая постоянно находится на компьютере клиента. Агент слушает на TCP порту 1500 запросы на сканирование.

NAC 800 использует случайный номер порта для каждого соединения с компьютером.

Для того чтобы проверить, что путь между NAC 800 и компьютером открыт, и что на компьюере открыт порт 1500, из командной строки NAC 800 нужно выполнить команду:

nmap -sT -P0 -p1500-1500 <адрес компьютера>

Пример выполнения команды для проверки связи с компьютером 192.168.20.220:

ProCurve NAC 800(NAC800):~ # nmap -sT -P0 -p1500-1500 192.168.20.220

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-05-10 11:32 EEST
Interesting ports on 192.168.20.220:
PORT     STATE SERVICE
1500/tcp open  vlsi-lm

Nmap run completed -- 1 IP address (1 host up) scanned in 0.007 seconds

[править] Требования для тестирования с помощью агента

Агент должен быть установлен на компьютере. Для того чтобы NAC 800 автоматически скачал агент на компьютер нужно разрешить использование ActiveX на компьютере.

Если между компьютером и NAC 800 находится маршрутизатор, на нем