測試Cisco NAC解決方案

測試亮點

　　·智能交換機防範安全攻擊

　　·老系統平滑過渡

　　·現有應用良好相容

　　·适應多種應用環境

　　·Single Sign-on

　　·高可擴充性

　　根據公安部最近公布的調查資料顯示，内網安全、計算機安全仍舊是企業安全的關鍵。兩年前，思科、微軟等業界領先公司相繼提出了端點

安全控制的技術體系架構，多種手段互相配合，自動應對多種安全威脅。但是部署端點安全控制方案會不會帶來新的問題呢?

　　《網絡世界》評測實驗室有機會對端點安全控制技術始作俑者之一的思科公司的NAC解決方案的 NAC Framework部分進行了實測。NAC系統不僅很好地實作了端點安全控制的設計初衷。同時思科NAC解決方案在細微之處周到的考慮，使得系統在相容企業已有應用、提供全面安全控制、系統可擴充性和易維護性上都有着優異的表現。(請到www.cnw.cn下載下傳詳細測試報告)

　　細節決定成敗

　　細節一:多種驗證手段確定NAC實施

　　NAC提供了NAC over 802.1x和L2-IP兩種驗證架構，以适應不同的企業應用環境。

　　NAC over 802.1x全面的安全保障

　　NAC over 802.1x可以提供一個全面的安全解決方案，一方面NAC借助802.1x可以根據計算機的健康狀态決定是否允許其進入網絡，同時還可以利用802.1x協定進行計算機和客戶的身份識别、認證和授權。

　　NAC over 802.1x的工作原理見下圖。

　　

　　L2-IP适應多種應用場景

　　相比較NAC over 802.1x，L2-IP可以适應更多的應用場景和使用者終端。比如說有些企業并不希望部署802.1x或一些計算機可能無法安裝CTA軟體，有些網絡中仍舊存在HUB或不支援802.1x協定交換機的接入裝置。還有就是部署過802.1x，并不想因NAC有改變的使用者。

　　L2-IP方案實施時，仍舊需要CTA軟體支援(應對特殊平台的在下面專門讨論)。工作流程、系統組成與NAC over 802.1x相似，差別在于:在L2-IP CTA傳遞主機健康資訊依賴UDP協定告知交換機。L2-IP隻擔當主機健康性的檢查工作。對被認證計算機通信控制，主要靠ACS向交換機下發的 L3/L4層ACL。

　　L2-IP對于健康性問題的計算機處理有一個獨到之處，就是在限制其絕大多數通信的同時， ACS還會給交換機下發一個Web浏覽重定向的ACL，隻要使用者打開浏覽器，不論輸入任何一個網址，交換機都會把通信重定向到一個專有網頁，提示使用者計算機存在安全隐患，需要下載下傳相關更新檔、打開防病毒軟體……由于這一重定向工作由接入交換機完成，實作全網的分布式處理，系統有着非常好的可擴充性，避免出現所有的問題計算機由網絡内一台裝置集中處理浏覽重定向請求帶來的性能瓶頸。

　　我們重複了類似NAC over 802.1x中的測試項目，交換機成功重定向了為通過驗證計算機的網頁通路行為。

　　思科的工程師介紹說，部署L2-IP的時候，交換機必須啟用DHCP Snooping、IP Source Guard(這些功能的測試見網站《智能更新受益更多—Catalyst 4500 SUPERVISORENGINE V-10GE》)，這樣可以保證使用L2-IP時,其他計算機不會通過模拟其IP位址侵入網絡。

　　細節二:應對多平台挑戰

　　部署NAC的時候必須要盡可能避免老舊系統成為安全漏洞。

　　在采用L2-IP方案時，思科的ACS可以和第三方的漏洞管理軟體廠商Qualys或者自己的Clean Access系統互動，對不能安裝CTA的計算機進行健康檢查、加以控制。

　　思科針對列印機和IP電話機等無法安裝CTA的聯網裝置進行了細心的設計。對于列印機等裝置，思科的交換機支援一種MAC Authe bypass的解決方案。對于IP電話機，交換機上設定專門用于IP電話的Voice VLAN。交換機會識别連接配接裝置是否為列印機、電話機，如果不是會自動啟用NAC，檢查健康性，決定計算機是否可以聯網。

　　細節三:單點登入

　　我們測試的時候非常順利地實作了802.1x和微軟AD的單點登入，但是看似簡單的操作，實際上是暗流湧動。

　　思科提出了一個主機認證的解決方案，解決了802.1x與Windows域登入的沖突(詳細内容見網站測試報告)。為了避免802.1x認證過程中出現的多個VLAN切換造成的通信中斷，思科提出了一些設計建議，即盡可能不要在主機ID認證和使用者ID認證過程中進行VLAN域的切換，而鑒權後的通路控制可以用Per User ACL的方式來進行控制。另一個方法是通過腳本做一個ipconfig /renew的操作。

　　思科的CTA軟體很好地和微軟的AD系統進行了內建，實作單點認證登入。我們此次測試嘗試了基于EAP-MD5、EAP-OTP、EAP-TLS的802.1x認證方法。