测试Cisco NAC解决方案

简介: 测试亮点  ·智能交换机防范安全攻击  ·老系统平滑过渡  ·现有应用良好兼容  ·适应多种应用环境  ·Single Sign-on  ·高可扩展性  根据公安部最近公布的调查数据显示,内网安全、计算机安全仍旧是企业安全的关键。
测试亮点

  ·智能交换机防范安全攻击

  ·老系统平滑过渡

  ·现有应用良好兼容

  ·适应多种应用环境

  ·Single Sign-on

  ·高可扩展性

  根据公安部最近公布的调查数据显示,内网安全、计算机安全仍旧是企业安全的关键。两年前,思科、微软等业界领先公司相继提出了端点 安全控制的技术体系架构,多种手段相互配合,自动应对多种安全威胁。但是部署端点安全控制方案会不会带来新的问题呢?

  《网络世界》评测实验室有机会对端点安全控制技术始作俑者之一的思科公司的NAC解决方案的 NAC Framework部分进行了实测。NAC系统不仅很好地实现了端点安全控制的设计初衷。同时思科NAC解决方案在细微之处周到的考虑,使得系统在兼容企业已有应用、提供全面安全控制、系统可扩展性和易维护性上都有着优异的表现。(请到www.cnw.cn下载详细测试报告)

  细节决定成败

  细节一:多种验证手段确保NAC实施

  NAC提供了NAC over 802.1x和L2-IP两种验证架构,以适应不同的企业应用环境。

  NAC over 802.1x全面的安全保障

  NAC over 802.1x可以提供一个全面的安全解决方案,一方面NAC借助802.1x可以根据计算机的健康状态决定是否允许其进入网络,同时还可以利用802.1x协议进行计算机和客户的身份识别、认证和授权。

  NAC over 802.1x的工作原理见下图。

  

  测试中,我们在模拟的环境中部署了ACS(ACS - Cisco Secure Access Control Server 思科安全访问控制服务器)、微软的活动目录(AD)控制器、CSA(CSA - Cisco Security Agent,思科安全代理)的MC(CSA MC - CSA Management Center CSA管理中心)、趋势科技的Office Scan杀毒软件策略服务器的服务器群,使用Catalyst 3750和6509交换机作为接入交换机,两台笔记本电脑模拟接入PC。PC机按照ACS的要求,启动了Office Scan杀毒软件,打齐了所有的操作系统补丁,并且在计算机上部署了登录域所需要的数字证书。经过认证,ACS让交换机将连接计算机的端口联入VLAN 100,可以进行正常的通信。此时CTA(CTA - Cisco Trust Agent ,思科信任代理)软件提示用户,计算机健康状况良好。当关闭了Office Scan杀毒软件客户端之后,重新接入网络,由于不符合ACS的安全策略,端口划入到隔离VLAN,计算机的通信受到了限制,CTA弹出对话框,告知计算机不健康。而此时计算机上的CSA软件也发挥了作用,一方面按照MC当初制定的策略限制了计算机上Outlook Express软件的启动,限制使用U盘,同时CSA会把PC上发生的安全事件通知MARS(Cisco Security Monitoring,Analysis and Response System,思科安全监控、分析和响应系统管理系统),方便系统管理员进行监控统计。

  L2-IP适应多种应用场景

  相比较NAC over 802.1x,L2-IP可以适应更多的应用场景和用户终端。比如说有些企业并不希望部署802.1x或一些计算机可能无法安装CTA软件,有些网络中仍旧存在HUB或不支持802.1x协议交换机的接入设备。还有就是部署过802.1x,并不想因NAC有改变的用户。

  L2-IP方案实施时,仍旧需要CTA软件支持(应对特殊平台的在下面专门讨论)。工作流程、系统组成与NAC over 802.1x相似,区别在于:在L2-IP CTA传递主机健康信息依赖UDP协议告知交换机。L2-IP只担当主机健康性的检查工作。对被认证计算机通信控制,主要靠ACS向交换机下发的 L3/L4层ACL。

  L2-IP对于健康性问题的计算机处理有一个独到之处,就是在限制其绝大多数通信的同时, ACS还会给交换机下发一个Web浏览重定向的ACL,只要用户打开浏览器,不论输入任何一个网址,交换机都会把通信重定向到一个专有网页,提示用户计算机存在安全隐患,需要下载相关补丁、打开防病毒软件……由于这一重定向工作由接入交换机完成,实现全网的分布式处理,系统有着非常好的可扩展性,避免出现所有的问题计算机由网络内一台设备集中处理浏览重定向请求带来的性能瓶颈。

  我们重复了类似NAC over 802.1x中的测试项目,交换机成功重定向了为通过验证计算机的网页访问行为。

  思科的工程师介绍说,部署L2-IP的时候,交换机必须启用DHCP Snooping、IP Source Guard(这些功能的测试见网站《智能升级受益更多—Catalyst 4500 SUPERVISORENGINE V-10GE》),这样可以保证使用L2-IP时,其他计算机不会通过模拟其IP地址侵入网络。

  细节二:应对多平台挑战

  部署NAC的时候必须要尽可能避免老旧系统成为安全漏洞。

  在采用L2-IP方案时,思科的ACS可以和第三方的漏洞管理软件厂商Qualys或者自己的Clean Access系统互动,对不能安装CTA的计算机进行健康检查、加以控制。

  思科针对打印机和IP电话机等无法安装CTA的联网设备进行了细心的设计。对于打印机等设备,思科的交换机支持一种MAC Authe bypass的解决方案。对于IP电话机,交换机上设置专门用于IP电话的Voice VLAN。交换机会识别连接设备是否为打印机、电话机,如果不是会自动启用NAC,检查健康性,决定计算机是否可以联网。

  细节三:单点登录

  我们测试的时候非常顺利地实现了802.1x和微软AD的单点登录,但是看似简单的操作,实际上是暗流涌动。

  思科提出了一个主机认证的解决方案,解决了802.1x与Windows域登录的矛盾(详细内容见网站测试报告)。为了避免802.1x认证过程中出现的多个VLAN切换造成的通信中断,思科提出了一些设计建议,即尽可能不要在主机ID认证和用户ID认证过程中进行VLAN域的切换,而鉴权后的访问控制可以用Per User ACL的方式来进行控制。另一个方法是通过脚本做一个ipconfig /renew的操作。

  思科的CTA软件很好地和微软的AD系统进行了集成,实现单点认证登录。我们此次测试尝试了基于EAP-MD5、EAP-OTP、EAP-TLS的802.1x认证方法。

目录
相关文章
|
18天前
|
数据挖掘 测试技术 项目管理
2025年测试用例管理看这一篇就够了 ----Codes 开源免费、全面的测试管理解决方案
Codes 是国内首款重新定义 SaaS 模式的开源项目管理平台,支持云端认证、本地部署、全部功能开放,并且对 30 人以下团队免费。它通过整合迭代、看板、度量和自动化等功能,简化测试协同工作,使敏捷测试更易于实施。并提供低成本的敏捷测试解决方案,如同步在线离线测试用例、流程化管理缺陷、低代码接口自动化测试和 CI/CD,以及基于迭代的测试管理和测试用时的成本计算等,践行敏捷测试。
2025年测试用例管理看这一篇就够了 ----Codes 开源免费、全面的测试管理解决方案
|
5月前
|
测试技术 开发工具 iOS开发
iOS自动化测试方案(三):WDA+iOS自动化测试解决方案
这篇文章是iOS自动化测试方案的第三部分,介绍了在没有MacOS系统条件下,如何使用WDA(WebDriverAgent)结合Python客户端库facebook-wda和tidevice工具,在Windows系统上实现iOS应用的自动化测试,包括环境准备、问题解决和扩展应用的详细步骤。
514 1
iOS自动化测试方案(三):WDA+iOS自动化测试解决方案
|
5月前
|
运维 测试技术 持续交付
解决方案 - 自动化单元测试
解决方案 - 自动化单元测试
56 1
|
6月前
|
测试技术 持续交付 微服务
现代软件测试中的自动化挑战与解决方案
在现代软件开发中,自动化测试已经成为提高效率和质量的重要手段。然而,面对不断增长和复杂化的软件项目,自动化测试也面临诸多挑战。本文探讨了当前软件测试中的自动化挑战,并提出了一些解决方案,以帮助开发团队更好地应对这些挑战,提升测试效率和质量。 【7月更文挑战第11天】
64 1
|
7月前
|
存储 测试技术 Python
记一次线上安全测试中误用父类属性导致数据污染的解决方案
在线上安全测试的过程中,会使用 Nmap 进行端口扫描,为了提升端口扫描的效率,扫描策略通常是检测常用端口是否处于开放状态,并在父类中使用名为 all_open_ports 的属性来记录这些开放的端口。 在后续的测试过程中,需要检查所涉及的端口是否包含在 all_open_ports 中。如果不存在,就需要进一步对这些端口进行开放检测。如果端口的检测结果是开放的,测试将继续进行并将这些端口记录到 all_open_ports 中,以便在下次遇到相同端口时无需重复检测。 然而,由于安全测试是多线程进行的,某些情况下可以将 all_open_ports 理解为共享变量,这导致当两个不同的测试环境同
|
7月前
|
敏捷开发 测试技术 持续交付
敏捷开发中的软件测试策略:挑战与解决方案
随着敏捷开发方法在软件工程领域的普及,传统的软件测试流程面临着前所未有的挑战。本文将探讨敏捷开发环境下软件测试所遇到的主要问题,并提出相应的解决策略,以期为软件测试人员和项目管理者提供实用的指导和参考。
125 0
|
8月前
|
安全 数据管理 测试技术
网络安全与信息安全:防范漏洞、加强加密与提升安全意识深入探索自动化测试框架的设计原则与实践应用化测试解决方案。文章不仅涵盖了框架选择的标准,还详细阐述了如何根据项目需求定制测试流程,以及如何利用持续集成工具实现测试的自动触发和结果反馈。最后,文中还将讨论测试数据管理、测试用例优化及团队协作等关键问题,为读者提供全面的自动化测试框架设计与实施指南。
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护国家安全、企业利益和个人隐私的重要环节。本文旨在分享关于网络安全漏洞的识别与防范、加密技术的应用以及提升安全意识的重要性。通过对这些方面的深入探讨,我们希望能为读者提供一些实用的建议和策略,以应对日益严峻的网络安全挑战。 【5月更文挑战第27天】 在软件开发周期中,自动化测试作为保障软件质量的关键步骤,其重要性日益凸显。本文旨在剖析自动化测试框架设计的核心原则,并结合具体案例探讨其在实际应用中的执行策略。通过对比分析不同测试框架的优缺点,我们提出一套高效、可扩展且易于维护的自动
|
8月前
|
存储 安全 算法
光伏逆变器在环测试解决方案
本文介绍了光伏行业的背景及其在全球清洁能源发展中的重要性,随着技术进步,光伏组件成本下降,效率提升,分布式系统普及,储能技术的应用解决了光伏发电的不稳定性。光伏变流器的入网检测至关重要,涉及并网检测、电气参数、动态响应、防电击保护和电网保护功能等方面。EasyGo提供的基于CPU+FPGA的HIL实时仿真器用于光伏变流器的半实物仿真测试,支持拓扑结构研究、工况测试、电能质量验证和控制算法验证。文中还提到了基于PXIBox 5442的储能变流器实时仿真方案及相关的测试内容,如频率扰动、高/低电压穿越、孤岛预防和电能质量测试等。
|
8月前
|
存储 应用服务中间件 网络安全
Android 网络链接稳定性测试解决方案
Android 网络链接稳定性测试解决方案
182 0
|
8月前
解决方案测试重要吗?
解决方案测试重要吗?
107 0

热门文章

最新文章