Eset PLUGIN PRE CISCO NAC Installation Manual

Plugin pre Cisco NAC
(Network Admission Control)

Inštalačná príručka

obsah

. Cisco Network Admission

. Prínosy NAC .............................................................. 

. Ako pracuje NAC? ....................................................... 

Control NAC ...

. Požiadavky na prevádzku

pluginu ESET NAC ...................................

. Implementácia pluginu ESET NAC ............

. Klientská časť ............................................................ 

3.1.2 Inštalácia PPESET pluginu pre CTA na klientských počítačoch 4

. Serverová časť ........................................................... 

3.2.1 Postup nainštalovania adf súboru do Cisco ACS ...................5

3.2.2 Konfigurácia HTTP servera, na ktorom beží PVS (ak bola

zvolená manuálna inštalácia v inštalátore) .........................5

3.2.2.1 Konfigurácia IIS 5.1 servera pre použitie ako PVS ..................5

3.2.2.2 Konfigurácia Apache servera ..............................................6

3.2.3 Spojazdnenie komunikácie medzi PVS a ACS ......................6

. Konfigurácia validačného servera ................................

3.3.1 Konfigurácia pravidiel validovania PVS ...............................6

3.3.2 Princípy nastavenia pravidiel validovania klientov ............... 7

Copyright  ESET, spol. s r. o.

ESET, spol. s r.o.
Aupark Tower, 16. poschodie
Einsteinova 24
851 01 Bratislava
Slovenská republika
Obchodné oddelenie
obchod@eset.sk
tel.: +421 (2) 322 44 250

Technická podpora
web: www.eset.sk/podpora
kontaktný formulár: http://www.eset.sk/podpora/formular
tel.: +421 (2) 322 44 444

Všetky práva vyhradené. Žiadna časť tejto publikácie nesmie
byť reprodukovaná žiadnym prostriedkom, ani distribuovaná
akýmkoľvek spôsobom bez predchádzajúceho písomného
povolenia spoločnosti ESET, spol. s r. o.
Spoločnosť Eset, spol. s r. o. si vyhrazuje právo zmien
programových produktov popísaných v tejto publikácii bez
predchádzajúceho upozornenia.
V knihe použité názvy programových produktov, firem a pod.
môžu byť ochrannými známkami alebo registrovanými
ochrannými známkami príslušných vlastníkov.

REV.

1. Cisco Network Admission

Control NAC

Cisco NAC je technológia, ktorá v spojení s Cisco zariadeniami
(switche, routery), napomáha zvyšovaniu bezpečnosti v rámci
vnútroponikových sietí. Systém NAC zabezpečí povolenie, alebo
zamietnutie prístupu klienta ku kritickým sieťam, alebo sieťovým
zdrojom podľa zisteného bezpečnostného stavu klienta. Týmto
spôsobom možno zlepšiť bezpečnosť celej počítačovej siete.

. Prínosy NAC

Počítač pripojený do siete s neaktuálnou vírusovou databázou môže
predstavovať vážny bezpečnostný problém. Neaktualizovaný antivírus
nemusí zachytiť najnovšie vírusové infekcie na sieti, čo môže spôsobiť
infikovanie klienta. Náklady potrebné na prevenciu voči vniknutiu
vírusov do počítača a implementáciu NAC sú oveľa menšie, ako
náklady potrebné na odstránenie následkov spojených s vyčíňaním
vírusov v sieti. Cisco NAC tak pomáha zabezpečiť dobrý bezpečnostný
stav klientskej pracovnej stanice už na úrovni hardvérových sieťových
zariadení.

NAC spolupracuje s antívírusovými programami, ktoré podávajú
informácie o bezpečnostnom stave (napr. verzia inštalovanej vírusovej
databázy, ... ) klientských pracovných staníc priamo na NAC server
ešte predtým, ako je počítač pripojený do počítačovej siete.

. Ako pracuje NAC?

NAC sa skladá zo súčastí, ktoré medzi sebou komunikujú a sú to:

1. Cisco Trust Agent (CTA) a jeho pluginy

NAC pozostáva z klientského počítača (Host), ktorý je napojený na
Cisco zariadenie (Network Acces Device) s nakonfigorovaným NAC. K
NAD zariadeniu je pripojený AAA Server, na ktorom beží Cisco Secure
Access Control Server (ACS). Poslednou súčasťou je posture Validation
server s implementovaným HTTP serverom, ktorý komunikuje spätne
s ACS.

Na klientskom počítači (Host) je nainštalovaný Cisco Trust Agent
(CTA). Do tohto programu sa nainštaluje plugin od antivírusovej
spoločnosti, ktorý pomocou CTA preposiela cez NAD aktuálny stav
klientského antivíru spolu s údajmi z iných programov na AAA Server.
Na AAA Serverie beží Cisco Secure Access Control Server (ACS), ktorý
tvorí jadro NAC.

Nakonfigurovaný ACS overí prihlasovacie údaje klienta preposlané
CTA. Po overení údajov podá požiadavku na validáciu prijatých
údajov z CTA (informácie z antivírusového sw, ..) prislúchajúcemu
PVS serveru. PVS server zistí údaje o najnovšej verzii antivírusového
sw a porovná ich s prijatými údajmi z CTA. Podľa nastavených kritérií
vytvorí posture status, ktorý hovorí o zdravotnom stave klientského
PC.

CTA zasiela ACS vytvorený posture status. ACS vyhodnotí zvyšné
posture statusy vytvorené pre iné programy a nakoniec vyhodnotí
stav počítača. ACS zašle klientskému počítaču jeho zdravotný stav,
a nastaví príslušný NAD inteface do požadovanej skupiny, ktorej sa
nachádzajú PC s rovnakým zdravotným stavom.

2. Plugin pre CTA poskytovaný výrobcom antivíru

3. Cisco IOS zariadenie (NAD) s možnosťou NAC

4. Cisco Secure Access Control Server (ACS), server zbierajúci a
vyhodnocujúci všetky údaje o zdravotnom stave klientských
počítačov

5. Posture validation server, ktorý validuje údaje prichádzajúce od
klientských počítačov s nainštalovaným antivírom.

Funkcia celého systému NAC je naznačená na obrázku 1-1.

Obrázok 1-1. Principiálne znázornenie funkcie 802.1x NAC