Cisco eap fast что это за программа и нужна

Содержание

Важно отметить, что, приобретая оборудование компании Cisco, необходимо предусмотреть также покупку лицензий для возможности использования отдельных функций. В связи с тем, что оборудование Cisco представляет аппаратно-программный комплекс, существенная, а иногда и полная функциональность устройств требует наличия лицензий на программное обеспечение. Надо помнить, что использование части лицензий, например, на обновление сигнатур вредоносного ПО, ограничено во времени.

Существует несколько схем лицензирования.

Лицензирование по числу пользователей. Данный тип лицензии контролирует число пользователей (или других IP-ресурсов), имеющих возможность одновременно выйти в Интернет через внешний интерфейс межсетевого экрана. Варианты лицензий — 10, 50 и неограниченное число пользователей. Схема лицензирования применяется только для модели Cisco Pix 501.

Лицензирование по платформе (применяется только для моделей Cisco Pix 515, 515Е, 525 и 535):

  • • тип лицензии — Restricted (R):
  • — ограниченное количество поддерживаемых физических и виртуальных интерфейсов;
  • — нет поддержки отказоустойчивой конфигурации (Failover Acti- ve/Standby и Failover Active/Active);
  • — нет поддержки виртуальных МЭ и инспекции протокола GTP/ GPRS;
  • • тип лицензии Failover Active/Active (FO-A/A):
  • — включает все возможности Failover-лицензии, а также поддерживает конфигурацию Failover Active/Active;
  • — требует применения двух идентичных моделей МЭ.

Лицензирование по функциям шифрования применяется для любых моделей Cisco Pix. Все модели Cisco ASA 5500 по умолчанию поставляются с лицензией VPN-DES с возможностью расширения до VPN-3DES/AES. Данный тип лицензии позволяет активировать функции шифрования, предназначенные для организации VPN и защищенного управления межсетевым экраном.

What is the full form of EAP-FAST?

  • • Тип лицензии Restricted (R) — ограниченное количество поддерживаемых физических и виртуальных интерфейсов.
  • • Тип лицензии VPN-None запрещает любые функции шифрования в МЭ.
  • • Тип лицензии VPN-DES поддерживает «слабую» криптографию — 512-битный RSA и DSA, 56-битный DES и 56-битный RC4.
  • • Тип лицензии VPN-3DES/AES поддерживает «сильную» криптографию — 4096-битный RSA, 1024-битный DSA, 56-битный DES, 168-битный 3DES, 256-битный AES и 128-битный RC4.

Лицензирование по расширенным функциям применяется только для моделей Cisco ASA 5520 и 5540, а также Cisco Pix 515, 515Е, 525 и 535 (для Pix — только для схем лицензирования Unrestricted, Failover и Failover Active/Active). Для FWSM используется только лицензирование по Security Context. Данный тип лицензии позволяет активировать расширенные функции.

  • • Тип лицензии Security Context поддерживает возможность создания виртуальных межсетевых экранов, варианты лицензий — 5, 10, 20 и 50 виртуальных МЭ.
  • • Тип лицензии GTP/GPRS Inspection поддерживает возможность контроля протокола GTP/GPRS.

Cisco Secure Access Control Server — программное или программно-аппаратное решение для администрации корпоративных сетей и поставщиков услуг, позволяющее определить правила доступа, т.е. какие пользователи имеют право доступа во внутреннюю сеть или в Интернет и какими услугами они могут воспользоваться. Cisco Secure ACS используется для идентификации совместно с другими устройствами Cisco — серверами доступа по коммутируемым линиям, маршрутизаторами и межсетевыми экранами. Это дает возможность совместить в одном месте контроль и авторизацию на серверах коммутируемого доступа и межсетевых экранах и контроль над управлением коммутаторами и маршрутизаторами.

Протокол OSPF (Open Shortest Path First) за 8 минут

При использовании ACS администраторы сети могут проконтролировать аутентификацию, авторизацию и учет пользователей.

Cisco Secure Access Control Server (ACS) предназначено для централизованного управления доступом корпоративных пользователей через все устройства и защитные решения компании Cisco Systems. При помощи ACS можно управлять доступом на маршрутизаторах и коммутаторах, средствах построения VPN и межсетевых экранах, узлах IP-телефонии и беспроводных точках и клиентах, устройствах хранения и контроля контента, а также различными типами удаленного доступа (широкополосный, DSL, dialup) и т.д.

Технические характеристики Cisco Secure Access Control Server:

  • — поддержка аутентификации LDAP и ODBC, Active Directory и NDS, RADIUS и TACACS+, CHAP и MS-CHAP, PAP и ARA и т.д.;
  • — поддержка стандарта 802. lx (режимы EAP-TLS, PEAP, Cisco LEAP, EAP-FAST и EAP-MD5);
  • — авторизация команд на устройствах;
  • — ограничение доступа по времени, числу сессий и другим контролируемым параметрам;
  • — создание профилей пользователей и групп;
  • — интеграция с решениями различных производителей токенов, одноразовых паролей и смарт-карт;
  • — высокая масштабируемость (свыше 300 тыс. пользователей, десятки тысяч устройств);
  • — возможность проверки дополнительных условий перед разрешением доступа в сеть;
  • — интеграция с Network Admission Control (NAC), включая фазу 2;
  • — интеграция с PKI и поддержка списка отозванных сертификатов (CRL);
  • — регистрация всех попыток доступа пользователей, включая неуспешные;
  • — генерация отчетов;
  • — возможность поставки в виде специального устройства с защищенной ОС;
  • — классификация и управление запросами на доступ к ресурсам с помощью профилей сетевого доступа.

Технология NeTwork Admission Control (NAC) — позволяет предотвратить доступ к корпоративным ресурсам или сети оператора связи устройств, не соответствующих политике безопасности (например, вследствие зараженности вредоносной программой, отсутствия или неактуальной версии антивируса, отсутствия патчей и Service Pack, отсутствия средств защиты или иного программного обеспечения). В случае обнаружения такого несоответствия доступ узла либо блокируется, либо перенаправляется в карантинную сеть, в которой на узел может быть установлено отсутствующее программное обеспечение.

Читайте также:
Devel studio что это за программа

Очевидно, что указанная технология имеет в основе клиент- серверную структуру, в которой необходимо наличие на клиентской части некоего доверенного агента. Схема лицензирования таких агентов на момент создания учебного пособия до конца не определена. В зависимости от ограничения функциональности приобретение лицензий в некоторых ситуациях не требуется.

Контроль соответствия политике безопасности реализуется как можно ближе к возможному источнику нарушения — на маршрутизаторе Cisco или VPN 3000 Concentrator, коммутаторе Catalyst или точке беспроводного доступа, в которые встроена поддержка NAC, не требующая дополнительного лицензирования.

Технические характеристики NAC:

Идентификационные данные как один из необходимых элементов сетевой безопасности

  • — поддержка любых типов доступа (проводной, беспроводной, коммутируемый, широкополосный и т.д.);
  • — обеспечение соответствия политике безопасности независимо от желания пользователя;
  • — поддержка ЕАР over UDP и ЕАР over 802. lx;
  • — прозрачность для пользователя;
  • — поддержка ОС Windows, Linux и Solaris;
  • — помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или URL Redirection, а также VLAN и PACL;

Рис. 6.16. Идентификационные данные как один из необходимых элементов сетевой безопасности

  • — решение парадокса «пользователь имеет право доступа в сеть, а его компьютер — нет»;
  • — мультивендерное решение: интеграция с Altiris, BigFix, IBM, McAfee, Qualys, Symantec, Trend Micro, Лаборатория Касперского (всего более 70 компаний);
  • — поддержка широкого спектра оборудования: маршрутизаторы, коммутаторы, VPN-концентраторы, точки беспроводного доступа;
  • — интеграция с системами Cisco MARS, Cisco SIMS;
  • — полная совместимость с системой Microsoft NAP.

На рис. 6.16 представлена структурированная интерпретация технологии контроля сетевого доступа.

Источник: studref.com

WiFi. «Идет установка Cisco EAP-FAST»

Решил установить SHAREit а он не принимает не отдает, проверил WiFi с помощью команды «netsh wlan show drivers» написано что не поддерживается размещенная сеть(хотя это не так раньше все работало), решил удалить драйвер WiFi через диспетчер устройств, как положено удалил, перезагрузил, начал устанавливать родной(с диска) и при установки появилось окно «Идет установка Cisco EAP-FAST» на котором все и зависло, оставил думал что установится теперь в свойствах адаптера написано «Не удалось инициализировать драйвер этого устройства. (Код 37)» ручная установка не дала результатов. Помогите решить проблему и как в ручную удалить их полностью чтоб и следа от них не осталось.

Ноутбук: Dexp Atlas H104 с Windows 10 64-bit
Пользователь
24/10/2016 в 23:09

Ну что не у кого не возникало подобной проблемы

Ноутбук: Dexp Atlas H104 с Windows 10 64-bit
Администратор
27/10/2016 в 12:28

SetOFF123, основной упор при разработке SHAREit отводится версии для Android. Версии для Windows отводится гораздо меньше внимания. Если рассмотреть ее работу в целом, то мне идея менять режим работы беспроводного адаптера на ноутбуке совсем не нравится.

Ноутбуки: Asus N61Vn, Dell Inspiron 7720 и G3 3779 с Windows 10 64-bit
Страница: 1
Тему читают: гостей: 1

Полезные руководства для новичков

Установка Windows XP с флешки

Подробное руководство по установке Windows XP с флешки или с карты памяти на любой ноутбук, нетбук или компьютер.

Как избавиться от периодических подтормаживаний в играх и других приложениях

Рекомендации как избавиться от периодических подтормаживаний в играх и прочих приложениях. Если у вас ноутбук просто зависает или вообще отключается, то переходите сразу к данному руководству: Охлаждение ноутбука.

Упрощенная установка Windows XP

Руководство по быстрой установке Windows XP на ноутбук или компьютер для новичков.

Оптимизация Windows

Рекомендации как ускорить работу Windows, уменьшить время загрузки системы и увеличить ее безопасность.

Источник: notebookclub.org

antiCisco blogs

Структура безопасности Cisco TrustSec (далее CTS) позволяет строить защищенные сети с помощью установки домена из доверенных сетевых устройств. Связь между устройствами в домене защищена с помощью шифрования, проверки целостности и механизмов защиты от повторных пакетов данных. CTS использует данные устройства и пользователей в процессе аутентификации для классификации пакетов группами безопасности (Security Groups, SG) когда они попадают в защищенный домен. Классификация пакетов осуществляется с помощью тегирования на входе в CTS-сеть. Этот тэг, называемый тэгом группы безопасности (Security Group Tag, SGT), позволяет сети применять политики контроля доступа для конечных устройств.

Архитектура CTS базируется на трех ключевых компонентах:

— Проверенная сетевая инфраструктура. После того как первое устройство (которое еще называют корневым) проходит аутентификацию на сервере аутентификации (Cisco ACS или Cisco ISE), создается CTS домен. Каждое следующее добавляемое сетевое устройство в домен проходит аутентификацию с пирами, уже находящимися в домене. Такое новое добавляемое устройство идентифицируется сервером аутентификации и ему назначается номер группы безопасности в соответствии с политиками, настроенным на сервере.

— Безопасный контроль доступа на основе групп (Security Group Access, SGA). Политики доступа внутри CTS домена не зависят от топологии сети, а базируются на так называемых ролях (о чем свидетельствует номер SG) устройства-источника и устройства-назначения. Все пакеты, проходящие между двумя устройствами в сети, тэгируются номером SG источника.

— Защищенные соединения. На устройствах с поддержкой аппаратного шифрования все пакеты на линках могут быть зашифрованы.

На рисунке ниже представлен пример CTS домена. В этом примере некоторые сетевые устройства и конечные компьютеры находятся внутри домена, а некоторые нет.

Каждый участник в процессе аутентификации CTS берет на себя одну из следующих ролей:

— Саппликант (Supplicant, проситель). Это неаутентифицированное устройство, которое подсоединяется к легитимному устройству внутри безопасного домена, и пытается в стать членом этого домена.

Читайте также:
Winmend что это за программа

— Сервер аутентификации. Это сервер, который проверяется валидность саппликанта и определяет те политики, которые будут применены к просителю.

— Аутентификатор. Это сетевое устройство, которое уже прошло процесс аутентификации на сервере и в данный момент времени является частью CTS домена и может провести аутентификацию нового пира, задействуя для этого сервер аутентификации.

Когда линк между саппликантом и аутентификатором переходит в состояние UP, обычно происходит следующий набор событий:

  1. Аутентификация. Саппликант проходит проверку подлинности на сервере аутентификации. Возможно установление взаимной аутентификации.
  2. Авторизация. Основываясь на информации от саппликанта, сервер аутентификации выдает политики авторизации – например, назначение группы безопасности или ACL.
  3. Установление ассоциаций безопасности протокола (Security Association Protocol, SAP). Если обе стороны линка поддерживают шифрование, то саппликант и аутентификатор договариваются о необходимых параметрах для установки ассоциаций безопасности (Security Associations, SA).

После того, как все три шага, описанных выше, выполнены, аутентификатор изменяет состояние своего линка с неавторизованного на авторизованное и саппликант становится частью домена CTS.

CTS использует входное тэгирование и фильтрацию пакетов на выходе из домена для соблюдения политик контроля доступа. Все пакеты, которые попадают в домен из вне маркируются с помощью SGT, который содержит в себе номер группы безопасности устройства-источника. Классификация такого пакета ведется на всем пути следования данных внутри CTS домена. Оконечное устройство защищенной сети на пути описанного пакета, применяет политику контроля доступа, основываясь на группе безопасности устройства-источника и группе безопасности конечного CST устройства. В противовес традиционным спискам доступа, которые работают для IP-адресов, политики контроля в CTS выполнены в стиле списков доступа по политикам и называются списками доступа для групп безопасности (Security Group ACL, SGACL).

Аутентификация

Аутентификация позволяет идентифицировать конечные устройства (или же пользователей) которые подключаются в сеть. В процессе аутентификации система проверяет некоторые атрибуты устройства (например логин и пароль или сертификат) и узнает к какой группе относится тот или иной девайс. CTS предоставляет три метода аутентификации:

  1. 802.1X
  2. Mac Authentication Bypass. Используется для устройств, которые не поддерживают 802.1x (например, принтеры).
  3. Web Authentication. Этот метод чаще всего используется для компьютеров тех пользователей, у которых нет поддержки 802.1Х.

Рассмотрим первый метод чуть более подробно. Устройство контроля доступа (Network Device Admission Control, NDAC) использует 802.1х-аутентификацию с протоколом EAP-FAST в качестве метода аутентификации. Т.е. администраторы могут использовать привычные методы аутентификации типа MSCHAPv2, но внутри защищенного TLS-туннеля. В процессе EAP-FAST обмена, сервер аутентификации создает и передает саппликанту уникальные параметры доступа (Protected Access Credentials, PAC), которые содержат ключ и токен для установления защищенного сеанса связи с сервером. На рисунке снизу представлен процесс обмена сообщений между аутентификатором и саппликантом

Контроль доступа в сеть на основе групп безопасности

Группа безопасности это группа пользователей, конечных сетевых устройств, которые разделяют одинаковые политики доступа в сетевую инфраструктуру. Группы определяются администратором на сервере аутентификации. CTS назначает каждой группе уникальный (в пределах домена) 16-ти битный номер.

После того, как устройство однажды было аутентифицировано, все пакеты от данного девайса помечаются с помощью SGT. Пакет переносит этот тэг через всю защищенную сеть внутри CTS заголовка. Формально, SGT – просто метка, которая определяет уровень доступа устройства-источника.

Поскольку SGT содержит в себе номер группы безопасности источника, то такой тэг часто называют SGT источника. Целевое устройство (устройство назначения пакета, destination device) также имеет свою метку, которую называют тэгом группы назначения (Destination Group Tag, DTG).

Прим. CTS пакет не содержит в себе метку DTG

SGACL политики

Используя SGACL можно контролировать сетевые права доступа пользователей, основываясь на том, какие метки назначены устройствам-источнику и целевому устройству. В домене CTS такие политики доступа реализуются с помощью матрицы разрешений. Пример такой матрицы представлен на рисунке ниже.

Каждая ячейка такой матрицы может содержать специфичный ACL, который определяет взаимодействие между устройством-источником и целевым устройством.

Как я уже замечал ранее, политики контроля в CTS осуществляются с помощью тэгирования пакета от пользователя на входе в домен и применения опр. политик к этому пакету на выходе из защищенного домена (Egress Enforcement). На входе в CTS домен, траффик от источника тэгируется SGT (который содержит в себе номер группы безопасности источника). SGT распространяется через весь домен и на точке выхода из домена, выходное устройство, используя полученный номер группы и DGT определяет, какую политику доступа из матрицы SGACL необходимо применить.

Рассмотрим по шагам весь процесс работы домена CTS при прохождении пакета между компьютером пользователя и веб-сервером.

  1. PC передает пакет к веб-серверу. И хотя указанные компьютеры не являются членами CTS домена, путь пакета пролегает через защищенную сеть.
  2. Коммутатор (или маршрутизатор, не важно) на входе в домен изменяет пришедший пакет, добавляя к нему метку SGT с номер группы безопасности (в данном примере – 3). Этот номер группы безопасности назначается сервером аутентификации для конечного компьютера.
  3. На выходе из домена, коммутатор применяет SGACL-политику для 3-ей группы источника и 4-ой целевой группы (4-ый номер группы для сервера также был назначен сервером аутентификации).
  4. Если SGACL разрешает прохождение пакета, то данные передаются, в противном случае пакет дропается.

Сетевое устройство может определить SGT для пакета одним из следующих четырех методов:

Читайте также:
Ssp программы самообучения что это

— Получение SGT в процессе получения политики. После завершения процесса CTS аутентификации, аутентификатор забирает с сервера аутентифкации политику доступа для саппликанта. Если этот саппликант является недоверенным устройством (например, конечный хост, а не коммутатор сети), то сервер аутентификации может также назначить предоставить SGT для маркировки всех пакетов от указанного устройства.

— Получение SGT из пакета. Если пакет приходит от доверенного устройства домена, то он несет в себе SGT. Этот метод определения SGT применяется всеми устройствами, которые стоят не первыми на пути следования пакета в домене.

— Просмотр SGT источника, основываясь на личности источника. При наличии Identity Port Mapping (IPM, я не знаю как это нормально перевести) Вы может вручную сконфигурировать связку линк-личность.

— Просмотр SGT источника, основываясь на IP-адреса источника. В некоторых ситуациях может потребоваться ручная настройка сопоставления SGT и IP-адреса. Также для передачи такой информации между сетевыми устройствами может использоваться протокол SXP (SGT Exchange Protocol).

Отмечу, что в процессе аутентификации сервер передает следующие аттрибуты аутентификатору:

— CTS trust. Аттрибут указывает на то, что пиру можно доверять и его пакеты необходимо помечать с помощью SGT

— Peer SGT. Если пир является недоверенным, то все пакеты от него необходимо помечать этим SGT

— Время окончания авторизации. Определяет число секунд перед окончанием политики доступа. CTS устройство обязано обновить свои политики до истечения указанного таймера.

Авторизация и назначение политик

После окончания процесса аутентификации, саппликант и аутентификатор получают политики доступа от сервера аутентификации, т.е. начинается процесс авторизации. При этом все политики относятся к ID устройства. Если аутентификация настроена через 802.1х, то каждый участник (пир) использует тот ID, который был получен от сервера аутентификации. Если же безопасность линков достигается ручной настройкой, то необходимо вручную каждому устройству присвоить его ID.

Еще одним важным компонентом в среде CTS являются данные об окружающей среде (Environment Data). Это некий набор информации (или политик), которые помогают устройству функционировать в качестве участника CTS домена. Устройство приобретает данные окружающей среды от сервера аутентификации во время первого подключения к домену, хотя что-то Вы можете настроить и руками. Например, Вы должны дать корневому (или зерновому) устройству CTS домена информацию о сервере аутентификации.

Устройство использует протокол RADIUS чтобы получить следующие данные об окружающей среде от сервера аутентификации:

— Server List. Это список серверов, которые клиент может использовать для следующих RADIUS-запросов (как для аутентификации, так и для авторизации).

— Device SG. Группа безопасности, к которой относится само сетевое устройство.

— Expiry Timeout. Интервал времени, отвечающий за частоту обновления данных окружающей среды.

Безопасность каналов передачи данных

Если стороны на двух концах линка поддерживают протокол 802.1АЕ (MacSec), то возможно установление SAP (смотри расшифровку в начале статьи). В этом случае происходит обмен EAPOL-Key сообщениями между саппликантом и аутентификатором для согласования алгоритма шифрования и обмена сессионными ключами.

Использование CTS-несовместимых устройств в CTS домене

Тэгирование пакетов с помощью SGT требует аппаратной поддержки этой функции. Вполне может случиться так, что в Вашей сети окажутся устройства, которые данную функцию не поддерживают, но при этом могут участвовать в CTS аутентификации (например, по протоколу 802.1х).

Используя протокол SXP данные устройства могут пропускать информацию о связке IP-SGT к пирам, которые являются аппаратно совместимыми с CTS (CTS-capable hardware devices).

Чаще всего, SXP работает между входным коммутатором уровня доступа и коммутатором уровня распределения. Устройство уровня доступа проводит CTS-аутентификацию внешнего устройства и определяет (во время связи с сервером аутентификации) SGT для входных пакетов. Далее устройство узнает IP-адрес клиента используя технологии IP Tracking и DHCP Snooping. После этого поднимается сеанс связи по протоколу SXP к аппаратно-совместимому CTS коммутатору. Во время этого сеанса связи передается информация IP-to-SGT.

Хочу обратить Ваше внимание на тот факт, что SXP соединения настраиваются вручную. Настройка происходит в несколько шагов:

— Если требуется проверка целостности SXP данных и их аутентификация, то необходимо на двух участниках соединения настроить одинаковый SXP пароль. Пароль может быть задан как локально на соединение с конкретным пиром, так и глобально на устройство.

— Необходимо настроить каждого пира в качестве спикера или же слушателя. Устройство-спикер распределяет информацию IP-to-SGT к слушателю.

— Опционально можно настроить IP-адреса, с которых будет устанавливаться SXP сессия.

Прим. Устройство с аппаратной поддержкой CTS не обязательно должно быть на расстоянии одного хопа от устройства, которое такую функцию не поддерживает. Однако, SXP сессия всегда настраивается только с ближайшим устройство. Если информацию SGT—to—IP необходимо передать через несколько хопов, на каждом промежуточном коммутаторе необходимо настроить SXP сессии с ближайшими соседями.

Прим. CTS устройства для поддержания SXP сессий используют TCP keepalives

Источник: www.anticisco.ru

Extensible Authentication Protocol (EAP) MDM settings for Apple devices

You can configure the various EAP protocols for Apple devices enrolled in a mobile device management (MDM) solution. MDM solutions can support the following 802.1X authentication methods for WPA Enterprise and WPA2 Enterprise networks (You can select multiple EAP methods):

  • TLS
  • TTLS (MSCHAPv2)
  • EAP-FAST
  • EAP-SIM
  • PEAP (EAP-MSCHAPv2, the most common form of PEAP)
  • PEAP (EAP-GTC, less common and created by Cisco)
  • EAP-AKA (requires no additional configuration)

The tables that follow describe the settings for each EAP method.

Источник: support.apple.com

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru