Modele wdrożeniowe NAC. Na czym polega In-Band i Out-of-Band?

0

NAC jest architekturą, która pozwala administratorom na uwierzytelnianie, kontrolę dostępu, skanowanie, uaktualnianie i wymuszanie polityki bezpieczeństwa na stacjach końcowych przed uzyskaniem dostępu do sieci. Można ją stosować w sieciach lokalnych LAN i bezprzewodowych WLAN.

W 2003 roku Cisco wprowadziło NAC, jako koncepcję umożliwiającą wymuszanie zgodności z polityką bezpieczeństwa dostępu do sieci. Dzisiaj organizacje mogą wdrożyć NAC na dwa sposoby – albo przez NAC Framework, architekturę łączącą rozwiązania wielu producentów, albo za pomocą rozwiązań jednego producenta, które w jednym produkcie łączy funkcjonalności uwierzytelniania (authentication), badania zgodności (posture assessment), kwarantanny (quarantine) i przywracania zgodności (remediation).

Rozwiązania takie składają się z trzech podstawowych komponentów:

  • Urządzenia instalowanego w ścieżce ruchu sieciowego (in-band) lub poza ścieżką ruchu (out-of-band), które jest punktem kontroli użytkownika chcącego uzyskać dostęp do sieci. Urządzenie to pyta użytkownika o login i hasło za pomocą strony webowej, bądź wymusza instalację agenta przed zezwoleniem na dostęp do sieci.
  • Serwera zarządzającego wieloma punktami dostępu, który umożliwia administratorom tworzenie ról użytkowników, metod skanowania urządzeń i wymagań dla osiągania zgodności. Serwer ten działa również jako proxy dla serwerów uwierzytelniających, które rezydują w tle.
  • Opcjonalnego komponentu instalowanego po stronie klienta, a więc stacji roboczej (końcowej). Można go ściągnąć przez sieć z centralnego repozytorium oraz wymusić jego instalację, aby użytkownik mógł otrzymać dostęp do sieci.


In-Band czy Out-of-Band?

Klienci często zadają pytanie, który model wdrożeniowy NAC będzie najodpowiedniejszy dla ich sieci? Co ciekawe, organizacja może wdrożyć NAC w trybie mieszanym – na przykład in-band dla użytkowników bezprzewodowych i out-of-band dla użytkowników w sieci kampusowej.

Tabela 1. Porównanie modeli wdrożeniowych In-Band i Out-of-Band

In-Band Out-of-Band
Zalety
  • Niezależna od platform i wersji
    przełączników i routerów
  • Wspiera sieci przewodowe i bezprzewodowe
  • Pełna kontrola dostępu do sieci
  • Kontrola i zarządzanie pasmem
  • W ścieżce ruchowej tylko ruch poddany kwarantannie
  • Pełna kontrola dostępu w kwarantannie
  • Łatwe zarządzanie przełącznikami za pomocą SNMP
  • Przypisanie VLAN’u zależne od portu lub roli
Wady
  • Konieczność instalacji w ścieżce ruchowej
  • Brak kontroli na poziomie portów
    przełączników
  • Zależność od wersji oprogramowania i platform
    przełączników
  • Najbardziej odpowiedni dla wdrożeń w sieci kampusowej
    (wired)

In-Band w szczegółach
W modelu wdrożeniowym in-band, punkt kontroli użytkownika znajduje się zawsze w ścieżce ruchowej (inline): przed, w trakcie i po uwierzytelnieniu, przeprowadzeniu weryfikacji zawartości stacji końcowej i jej aktualizacji/wyleczeniu. Dzięki temu punkt kontroli dostępu może być użyty do bezpiecznej kontroli ruchu uwierzytelnionych i nieuwierzytelnieonych użytkowników przez wymuszanie polityk ruchowych w zależności od protokołu, numerów portów i podsieci (mechanizm podobny do ACL). Zapewnia on również kontrolę pasma per użytkownik lub per grupa użytkowników.

Wdrożenie in-band wspiera każde urządzenie dostępowe (przełączniki dowolnego producenta), pod warunkiem że adres MAC i adres IP maszyny klienta jest widoczny dla punktu kontroli dostępu. Ponieważ punkt kontroli dostępu znajduje się w ścieżce ruchowej, wdrożenie in-band jest idealne dla środowisk o następującej charakterystyce:

  • wymagana kontrola pasma per użytkownik,
  • punkty dostępowe do sieci WLAN,
  • telefony IP,
  • infrastruktura sieciowa oparta o inne urządzenia niż Cisco.

Schemat 1. Laptop próbuje uzyskać dostęp do sieci wewnętrznej

1. Laptop próbuje uzyskać dostęp do sieci po raz pierwszy. Punkt kontroli dostępu (Clean Access Server, CAS) stwierdza, że adres MAC nie jest na liście urządzeń dopuszczonych do sieci. Laptop otrzymuje rolę nieuwierzytelniony. W tej roli możliwa jest tylko komunikacja DNS (UDP port 53) i DHCP (poprzez DHCP i VLAN passthrough).
2. Laptop otrzymuje adres IP z serwera DHCP, ale nie może komunikować się z siecią. Serwer CAS działa jako filtr pakietów IP.
3. Użytkownik laptopa otwiera przeglądarkę i jest przekierowany na bezpieczną stronę webową (SSL), gdzie dokonuje uwierzytelnienia nazwą użytkownika i hasłem. Po uwierzytelnieniu zakończonym sukcesem, laptop otrzymuje rolę pracownik.
4. Jako pracownik, użytkownik jest proszony o ściągnięcie aplikacji agenta.
5. Agentpo zainstalowaniu dokonuje analizy stanu stacji i przekazuje wynik badania do serwera CAS, który podejmuje decyzję o dopuszczeniu (lub nie) użytkownika do sieci.

Schemat 2. Laptop przechodzi proces badania zgodności stacji (Posture Assessment)

6. Serwer CAS przekazuje raport o stanie stacji do serwera zarządzającego (CAM), który określa, że laptop nie jest zgodny z polityką bezpieczeństwa. Serwer CAM instruuje serwer CAS, aby przypisał laptopowi rolę kwarantanna. Na potrzeby kwarantanny wydzielana jest oddzielna mała podsieć IP, nawet /30.
7. Serwer CAM wysyła do aplikacji agenta instrukcje, które muszą być wykonane za zgodą użytkownika laptopa, aby doszło do niezbędnej aktualizacji i łatania systemu operacyjnego stacji.

Schemat 3. Serwer CAM wysyła instrukcje do agenta zainstalowanego na laptopie

8. Czas przebywania w roli kwarantanna jest ograniczony i definiowany. W tym czasie użytkownik musi przeprowadzić niezbędne kroki, aby zainstalować aktualizacje i łatki, w czym pomaga mu agent. Uaktualnienia mogą być ściągane z lokalnego lub zdalnego serwera (jak choćby http://windowsupdate.microsoft.com) lub z samego serwera CAM.
9. Po zakończeniu procesu aktualizacji, agent informuje serwer CAS, że laptop jest zgodny z polityką bezpieczeństwa.

Schemat 4. Po uzyskaniu zgodności, adres MAC laptopa jest dodawany do listy certyfikowanych urządzeń i otrzymuje dostęp do sieci

10. Serwer CAS dodaje adres MAC laptopa do listy certyfikowanych urządzeń i przypisuje laptopowi rolę pracownik, która umożliwia na dostęp do serwera WWW o adresie 10.10.10.10

Out-Of-Band w detalach
W modelu wdrożeniowym out-of-band, punkt kontroli użytkownika znajduje się w ścieżce ruchowej (in-band) tylko w procesie uwierzytelniania, badania stacji końcowej i jej aktualizacji. Po zalogowaniu użytkownika, ruch z jego stacji omija punkt kontroli i przechodzi przez sieć przełączaną normalnie. W międzyczasie serwer zarządzający (CAM) zapewnia kontrolę na poziomie portu lub roli użytkownika, poprzez przypisanie portów do odpowiednich VLAN’ów, przypisując użytkowników do odpowiednich ról i wymuszając czas trwania sesji w zależności od roli.

Model Out-of-Band jest najodpowiedniejszy w sieciach o wysokiej przepływności, a więc sieci kampusowych, zdalnych oddziałów i sieci extranetowych. Nie jest natomiast odpowiednim modelem wdrożeniowym dla sieci ze współdzielonym medium (z rzadka występujące huby) i sieci bezprzewodowych.

Jak przebiega proces Out-of-Band?
1. Laptop próbuje otrzymać dostęp do sieci. Przełącznik dostępowy wysyła adres MAC laptopa prez SNMP do Cisco Clean Access Managera (CAM).

Schemat 5. Laptop próbuje otrzymać dostęp do sieci, przełącznik wysyła jego adres MAC do serwera zarządzającego

2. Serwer CAM weryfikuje, czy urządzenie jest na liście certyfikowanych urządzeń mających dostęp do sieci (konfigurowanej przez administratora) lub urządzeń aktualnie aktywnych na liście out-of-band.
3. Jeżeli urządzenie nie występuje na żadnej z dwóch list, serwer zarządzający nakazuje przełącznikowi przypisanie portu przełącznika, na którym znajduje się urządzenie do VLAN’u uwierzytelnienia lub kwarantanny. Laptop przez ten czas ma dostęp do usług DHCP i DNS.

Schemat 6. Jeżeli laptopa nie ma na liście certyfikowanych urządzeń lub na liście aktywnych urządzeń out-of-band, przełącznik przypisuje urządzenie do VLAN’u kwarantanny

Schemat 7. Laptop przechodzi skanowanie i akcje niezbędne w procesie kwarantanny

4. Punkt kontroli użytkownika (CAS) i laptop znajdują się tym samym VLAN’ie służącym do uwierzytelnienia (VLAN 110). Następuje proces uwierzytelnienia użytkownika i na tej podstawie przypisywana jest do laptopa odpowiednia rola. Jeżeli wymuszona jest instalacja agenta, dokonywane są skanowania laptopa zgodnie z wymaganiami dla roli przypisanej po uwierzytelnieniu.
5. Agent przeprowadza użytkownika przez proces instalacji niezbędnego oprogramowania, uaktualnień, łatek i sygnatur antywirusowych. Punkt kontroli zezwala przez ten czas na dostęp do odpowiednich zasobów sieciowych.
6. Po zakończeniu tego procesu, punkt kontroli dostępu informuje serwer zarządzający, że urządzenie jest certyfikowane (zdrowe) i może uzyskać pełny dostęp do sieci.
7. Serwer zarządzający nakazuje przełącznikowi umieszczenie portu, na którym znajduje się laptop do VLAN’u dostępowego (VLAN 10). Urządzenie uzyskuje pełen dostęp do sieci.

Schemat 8. Po zakończeniu procesu niezbędnych uaktualnień, serwer CAM nakazuje przełącznikowi umieszczenie portu laptopa w zaufanym VLANie

Podsumowanie różnic
Obydwie metody, in-band i out-of band spełniają te same wymagania odnośnie uwierzytelniania, kontroli dostępu, skanowania stacji i wymuszania zgodności z politykami bezpieczeństwa. Jednak każda z tych metod ma swoje zalety i nadaje się lepiej do określonych środowisk sieciowych. Poniższa tabela przedstawia istotne różnice pomiędzy nimi.

Tabela 2. Różnice pomiędzy metodami wdrożeniowymi In-Band i Out-of-Band

In-Band Out-of-Band
Środowisko Bezprzewodowe, współdzielone medium Szybka infrastruktura sieciowa
Punkt wymuszania
zgodności NAC   
Punkt kontroli użytkownika in-band Punkt kontroli użytkownika z VLAN
uwierzytelniania/kwarantanny
Kwarantanna Bazująca na listach kontroli dostępu (ACL) Bazująca na VLAN
Wspierane przełączniki Niezależnie od producenta Zależne od producenta NAC

Autor: Gaweł Mikołajczyk, inżynier systemowy w firmie Cisco

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ