You are here: TUTWiki>Tietoturva/Tutkielmat>VajarantaM?>2005-6

Tuure Vartiainen:

Cisco Systemsin NAC (Network Admission Control)

Johdanto

Cisco Systemsin (jäljempänä Cisco) kehittämä Network Admission Control (NAC) on tekniikka, jolla tietoverkkoa pyritään paremmin suojaamaan viruksia,matoja ja crakkereita vastaan ulottamalla tietoturvapolitiikka päätelaitteisiin asti. NAC on osa Ciscon pidemmän tähtäimen suunnitelmaa itsepuolustuskykyisestä verkosta. Kilpailevat tekniikat Cisco NAC:n kanssa ovat Microsoftin Network Access Protection (NAP) ja Trusted Computing Groupin Trusted Network Connect (TNC), joista TNC on lähimpänä NAC:ta.

Tässä harjoitustyössä käyn läpi Cisco NAC:n idean ja tekniikkan, sekä vain teoriatasolla lyhyesti sen soveltamisen verkkoon.

Cisco NAC:n idea

Suuremmassa tietoverkossa muodostuu ongelmaksi, kuinka varmistua siitä, että kaikki verkossa kiinni olevat laitteet (kannettavat, pöytäkoneet ja palvelimet) niin langallisessa ja langattomassa lähiverkossa, kuin soittosarjan tai VPN-yhteyden kautta sisältävät ajantasaiset tietoturva- ja viruspäivitykset, sekä noudattavat määriteltyä tietoturvapolitiikkaa.

Cisco on kehittänyt ongelmaan erään ratkaisun, Network Admission Control, eli NAC. Cisco NAC mahdollistaa tietoturvapolitiikan pakottamisen verkossa kiinni oleville laitteille, ennen verkkoyhteyden sallimista. Tietoturvapolitiikasta poikkeaville,päivittämättömille, viruksesta saastuneille tai vaarantuneille päätelaitteille voidaan sallia karanteeni-verkkoympäristö tai pääsy verkkoon voidaan täysin kieltää. Myöskin oikeuksia verkon käyttöön voidaan joko rajoittaa tai laajentaa riippuen päätelaitetta käyttävän henkilön oikeuksista.

Päätöksen tekemiseen tarvitaan siis tietoa verkkoyhteyttä yrittävän käyttöjärjestelmän sisältä. Sitä varten täytyy käyttöjärjestelmässä olla asennettuna agenttiohjelma, joka toimittaa tiedon käyttöjärjestelmän tilasta verkolle. On kuitenkin myös mahdollista määritellä verkkopolitiikka sellaisia laitteita ja käyttöjärjestelmiä varten, joihin ei ole mahdollista asentaa agenttiohjelmaa [CNACQA].

Kaavio 1 Cisco NAC

Whiteboard

Cisco NAC:n osat

Cisco Trust Agent

Ohjelma, joka sijaitsee verkkoa käyttävässä päätelaitteessa. Trust Agent-ohjelma kerää tiedon käyttöjärjestelmän tyypistä ja versiosta, sekä siihen asennettujen päivitysten versiot ja esimerkiksi tiedon asennetuista viruspäivityksistä NAC:n kanssa yhteensopivalta virustorjuntaohjelmistolta ja mahdollisesti päätelaitteeseen asennetun Cisco Security Agent-ohjelman version ja lähettää tiedot verkon aktiivilaitteelle (Network Access Device) joka sallii tai estää päätelaitteen liikennöinnin verkossa. Ohjelmasta on olemassa versiot Windows ja Linux-käyttöjärjestelmille [CNACQA].

Cisco Security Agent

Ohjelma, jolla päätelaitteiden tietoturvaa yritetään parantaa monelta eri taholta. Ohjelmasta on olemassa versiot Windows-, Linux- ja Solaris-käyttöjärjestelmille.

Ohjelma sisältää seuraavat ominaisuudet:

  • Suojauksen verkosta tulevia tunkeutumisia vastaan.
  • Suojauksen spy- ja adware-ohjelmia vastaan.
  • Suojauksen ohjelmissa tapahtuvia muisti ylivuotoja vastaan.
  • Palomuurin (jota voidaan etänä keskitetysti hallita)
  • Suojauksen pahansuopaa mobiilikoodia vastaan.
  • Käyttöjärjestelmän eheyden tarkistus ja valvonta.
  • Ilmoittaa käyttöjärjestelmään asennetut ohjelmat keskitetylle hallinnalle.
  • Lähettää käyttöjärjestelmän logitiedostot keskitetylle hallinnalle.

Cisco Security Agent ei ole välttämätön osa NAC arkkitehtuuria ja sitä voidaan myös käyttää ja hallita itsenäisesti ilman NAC:ta. Ohjelman toiminta määritetään keskitetysti politiikkatiedoston avulla, jonka Security Agent-ohjelmat lataavat itselleen säännöllisesti [CSAFaq] [CSAIntro].

Network Access Devices

Verkon aktiivilaitteet, kuten tukiasemat,kytkitmet ja reitittimet. Välittävät päätelaitteessa sijaisevalta Cisco Trust Agentilta tulevat tiedot politiikka palvelimelle (Policy Server) ja kieltävät tai salliivat verkkoyhteyden politiikka palvelimen tekemän päätöksen perusteella [CNACQA].

Policy Server

Tekee päätöksen sallitaanko,kielletäänkö vai sallitaanko-rajoitetusti päätelaitteen pääsy verkkoon. Päätelaitteen verkon aktiivilaitteiden kautta toimittaman tiedon perusteella. Politiikka palvelin on nimeltään Cisco Secure Access Control Server (ACS). Verkon aktiivilaitteet asioivat politiikka palvelimen kanssa käyttämällä RADIUS-protokollaa. Politiikka palvelin voi myös kysyä päätöksen tekoon vaikuttavia politiikkoja NAC:n kanssa yhteensopivalta kolmannen osapuolen palvelimelta, kuten keskitetyltä virustorjunnan hallinnalta [CNACQA].

Cisco NAC:n toiminta

Kun päätelaite koittaa ensimmäisen kerran muodostaa verkkoyhteyttä käynnistyy päätelaitteessa olevan Cisco Trust Agentin ja verkon aktiivilaitteen -johon päätelaite on kiinni- välille EAP (Extensible Authentication Protocol) yhteys, jossa Cisco Trust Agent-ohjelma lähettää keräämäänsä tiedot (sekä mahdollisesti päätelaitetta käyttävän henkilön käyttäjätunnuksen ja salasanan) verkon aktiivilaitteella, joka ohjaa ne eteenpäin politiikka palvelimelle, joka tekee päätöksen yhteyden sallimisesta ja lähettää vastauksen takaisin verkon aktiivilaitteelle, joka joko sallii tai estää päätelaitteen yhteyden tai ohjaa sen muusta verkosta eristettyyn ns. karanteeni-verkkoon, jossa päätelaitteen on esimerkiksi mahdollista vain ladata uusimmat käyttöjärjestelmä ja virustorjunta päivitykset.

NAC:ssa käytettävästä EAP:sta on olemassa kaksi toteutusta:

  • EAPoUDP?, eli EAP over UDP (User Datagram Protocol)
  • EAPoL?, eli EAP over LAN (802.1x)

EAPoUDP? siis toimii nimensä mukaisesti UDP:n päällä, joka sijoittuu OSI-mallin neljännelle kerrokselle, eli kuljetuskerrokselle, IP-protokollan päälle ja vastaavasti EAPoL? toimii OSI-mallin toisella, eli siirtoyhteyskerroksella toimivan protokollan päällä, esimerkiksi Ethernetin.

EAPoUDP? oli ainoa vaihtoehto NAC:n ensimmäisessä versiossa, mutta koska se toimii OSI-mallin kuljetuskerroksen päällä, vaadittiin vähintään OSI-mallin verkkokerroksella toimiva verkon aktiivilaite,eli reititin rajoittamaan päätelaitteen liikennettä. Jolloin saastunut tai vihamielinen päätelaite kuitenkin pystyi vielä tekemään tuhojaan esimerkiksi samassa aliverkossa oleviin koneisiin. NAC:n seuraavaan versioon tullut EAPoL? korvasi vian, jolloin myös jo verkon kytkimet pystyvät estämään päätelaitteelta verkkoyhteyden [CTA20DS].

EAP yhteys voidaan myös suojata salaamalla se käyttämällä joko EAP-TLS:ää (IETF:n avoin standardi) tai PEAP:ia (Ciscon,Microsoftin ja RSA:n kehittämä) [CSACS40QA].

Saatuaan myönteisen päätöksen politiikka palvelimelta verkon aktiivilaite luo väliaikaisen pääsylistan päätelaittetta varten, joka sallii päätelaitteen liikennöinnin verkkoon. Teoriassa -ja käytännössä- toinen päätelaite, joka muuten ei pääsisi verkkoon voi väärentää itselleen toisen päätelaitteen MAC- ja IP-osoitteen, jolloin se ainakin pystyisi lähettämään paketteja kyseisellä IP-osoitteella. Vika ei tosin johdu mitenkään NAC:sta, vaan on yleinen ongelma pääsylistojen kanssa [NACDIC].

Cisco NAC:n ottaminen käyttöön

Cisco Secure Access Control Server (ACS)

Tuotteesta on olemassa sekä UNIX- ja Windows-käyttöjärjestelmiin asennettava versio, sekä itsenäinen 1U kokoinen räkki-palvelin.

Määritetään, mistä käyttäjien käyttäjätunnukset ja salasanat tarkistetaan. Esimerkiksi politiikka palvelimen omasta käyttäjätietokannasta tai Microsoftin Active Directory (LDAP) hakemistopalvelusta [CSAIGFW].

Luodaan politiikka ja pääsylistat verkolle.

Verkon aktiivilaitteet

Ciscon reittimien, kytkinten ja tukiasemien Cisco IOS (Internetwork Operating System) -käyttöjärjestelmän version täytyy tukea NAC:ta.

Luodaan IOS:iin pääsylista sille verkkoliittymälle joka on yhteydessä päätelaitteisiin, joka estää oletuksena kaiken muun liikenteen, paitsi EAPoUDP? ja EAPoL?. Asetetaan RADIUS-palvelimen (politiikka palvelimen) IP-osoite, johon pääsypyynnöt ohjataan [NACDIC].

Cisco Trust Agent

Asennetaan Cisco Trust Agent-ohjelma päätelaitteisiin. Jos normaalin EAP:in sijasta käytetään EAP-TLS:ää tai PEAP:ia (Protected EAP) täytyy päätelaitteisiin asentaa myös joko politiikapalvelimen X.509 sertifikaatti tai sen allekirjoittaneen CA:n (Certificate Authority) X.509 sertifikaatti [CTAAG].

Cisco NAC:ta vastaavat tekniikat

Päätelmät

Cisco Systemsin Network Admission Control tarjoaa uudenlaisen lähestymistavan tietoverkkojen suojaamiseen niin määrältään, kuin laadultaan kasvaneita uhkia vastaan, mutta nähtäväksi jää muodostuuko keksinnöstä ns. de facto-standardi, vai jääkö se yrityksestään olla avoin huolimatta esimerkiksi Trusted Computing Grouping Trusted Network Connect:in jalkoihin, koska sitoutuu verkon aktiivilaitteiden puolella Ciscon omiin tuotteisiin.

Lähteet

- osa linkeistä voi olla vanhoja. (Tarkastettu 2005)

-- MarkkuVajaranta? - 18 Sep 2009
Topic attachments
I Attachment Action Size Date Who Comment
CiscoNac.jpgjpg CiscoNac.jpg manage 113.8 K 18 Sep 2009 - 10:52 MarkkuVajaranta CiscoNac?
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 02 Oct 2009 - 09:09:09 - MarkkuVajaranta
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback