Vous êtes sur la page 1sur 8

Fiche technique

Serveur ddi Cisco NAC


Le serveur Cisco NAC, prcdemment appel Cisco Clean Access, est un Serveur de Contrle dAdmission Rseau (Network Admission Control) facile dployer qui permet ladministrateur rseau dauthentifier, dautoriser, dvaluer et de corriger les quipements filaires, sans fil et distants avant de donner leurs utilisateurs un accs au rseau. Il dtermine si les quipements en rseau ordinateurs portables ou fixes etc. sont conformes aux politiques de scurit de lentreprise et rpare les ventuelles vulnrabilits avant de leur permettre laccs au rseau.

Description du Produit
Le serveur Cisco NAC est une solution de bout en bout pour lenregistrement des quipements informatiques et lapplication des politiques du rseau qui permet ladministrateur rseau dauthentifier, dautoriser, dvaluer et de corriger les machines avant de donner leurs utilisateurs un accs au rseau. Ce produit volu de scurit de rseau : reconnat les utilisateurs, leurs appareils et leurs rles sur le rseau. Cette premire tape intervient au point dauthentification, avant que dventuels codes malveillants puissent endommager le rseau. value si les machines sont en conformit avec les politiques de scurit. Ces politiques peuvent varier en fonction du type dutilisateur, du type dquipement ou du systme dexploitation. applique les politiques de scurit en bloquant, en isolant et en rparant les quipements non conformes. Ceux-ci sont redirigs vers une zone de quarantaine o une remdiation peut tre effectue selon les modalits dfinies par ladministrateur. Le serveur ddi Cisco NAC peut effectuer une valuation de posture de scurit et une remdiation sur tous les quipements, quels que soient : le type dappareil. Le serveur ddi Cisco NAC peut appliquer les politiques de scurit sur tous les quipements en rseau, y compris sur les machines Windows, Mac ou Linux, les ordinateurs portables ou fixe, les ordinateurs de poche (PDA) et les quipements de lentreprise comme les imprimantes et les tlphones IP. le propritaire de lappareil. Le serveur ddi Cisco NAC peut appliquer des politiques de scurit aux systmes appartenant lentreprise, ses employs, ses fournisseurs et ses invits. la mthode daccs au rseau. Le serveur ddi Cisco NAC applique le contrle dadmission aux appareils qui se connectent par les rseaux LAN, WLAN, WAN ou VPN. La particularit du serveur ddi Cisco NAC est sa capacit appliquer les politiques dans tous les scnarios oprationnels sans avoir besoin de produit spcifique ni de modules supplmentaires

Caractristiques et avantages
Essentiellement, les rseaux protgs par le serveur ddi Cisco NAC bnficient des avantages suivants : ils restent sains car la conformit est une condition daccs. ils sont protgs de manire proactive contre les virus, les vers, les logiciels espions et les autres applications malveillantes. les vulnrabilits des quipements utilisateurs qui y accdent sont minimales grce lvaluation priodique et aux outils de remdiation. ils sont nettement moins coteux grer car les processus de rparation et de mise jour des quipements utilisateurs sont automatiss.

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 1 of 7

Fiche technique

Intgration de lauthentification avec ouverture de session unique


Le serveur ddi Cisco NAC joue le rle de proxy dauthentification pour la plupart des formes dauthentification puisquil intgre de manire native Kerberos, LDAP (Lightweight Directory Access Protocol), RADIUS, Active Directory, S/Ident et bien dautres solutions encore. Afin de minimiser la gne pour les utilisateurs finaux, le serveur ddi Cisco NAC supporte louverture de session unique pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le contrle daccs base de rles permet ladministrateur de grer de multiples profils utilisateurs avec des niveaux de permission diffrents.

Evaluation des vulnrabilits


Le serveur ddi Cisco NAC supporte lanalyse de toutes les machines et systmes d'exploitation Windows, Mac OS et Linux et des quipements de rseau autres que les PC consoles de jeu, PDA, imprimantes, tlphones IP, etc. Il effectue une analyse rseau et peut, si ncessaire, utiliser des outils danalyse personnaliss. Le serveur ddi Cisco NAC peut vrifier nimporte quelle application identifie par ses cls de registres, les services excuts ou les fichiers systmes.

Mise en quarantaine
Le serveur Cisco NAC peut placer les machines non conformes en quarantaine pour viter la propagation des infections tout en leur proposant un accs des ressources de remdiation. La quarantaine peut seffectuer sur un sous rseau de petite taille (type /30) ou sur un VLAN de quarantaine.

Mises jour automatises des politiques de scurit


Les mises jour automatiques des politiques de scurit fournies par Cisco dans le cadre du service de maintenance logicielle standard permettent dobtenir des politiques prdfinies pour les critres daccs rseau les plus courants, notamment les politiques qui vrifient les mises jour critiques du systme d'exploitation comme des signatures antivirus et antilogiciels espions des principaux produits du march. Cette fonction rduit les frais de gestion pour ladministrateur rseau qui peut laisser au serveur Cisco NAC le soin de veiller la mise jour permanente des politiques de scurit

Gestion centralise
La console de gestion Web du serveur Cisco NAC permet ladministrateur de dfinir les types danalyse exigibles pour chaque rle ainsi que les outils de remdiation ncessaires aux rparations . Une mme console de gestion peut administrer plusieurs serveurs.

Remdiation et rparation
La quarantaine donne aux appareils un accs des serveurs de remdiation qui peuvent leur fournir des correctifs et des mises jour de systme d'exploitation, des fichiers de dfinition de virus ou des solutions de scurit pour points dextrmit comme Cisco Security Agent. Ladministrateur peut permettre la remdiation automatique grce un agent en option, ou dfinir une srie dinstructions de remdiation.

Souplesse du dploiement
Le serveur ddi Cisco NAC offre le plus large ventail de modes de dploiement pour sinsrer aussi simplement que possible dans nimporte quel rseau. Il peut tre install en tant que passerelle IP virtuelle ou relle, en priphrie ou au cur du rseau, avec un accs client en couche 2 ou 3, et en ligne ou hors bande par rapport au trafic rseau.

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 2 of 7

Fiche technique

Modes de dploiement
Le serveur ddi Cisco NAC peut tre dploy de plusieurs manires pour sadapter au rseau de lutilisateur. Le Tableau 1 dcrit les diffrentes options de dploiement : Tableau 1. Options de dploiement du serveur ddi Cisco NAC Modle de dploiement
Mode Trafic passant Modle de dploiement physique Mode daccs client Options Passerelle virtuelle (mode pont) Passerelle IP relle / passerelle NAT (mode rout) Priphrie Central Couche 2 (client est adjacent au serveur Cisco Clean Access) Couche 3 (client est plusieurs sauts du serveur Cisco Clean Access) Hors bande (le serveur Cisco Clean Access est toujours en ligne avec le trafic utilisateur) Hors bande (le serveur Cisco Clean Access nest en ligne que pendant les procdures dauthentification, dvaluation de posture de scurit et de remdiation)

Modle flux de trafic

Architecture produit
Le serveur ddi Cisco NAC comprend les composantes suivantes : Le serveur Cisco Clean Access le serveur qui procde lvaluation des points dextrmit et leur attribue des privilges daccs en fonction de leur conformit la politique. Lutilisateur est bloqu au niveau de la couche de port et ne peut pas accder au rseau scuris tant quil na pas pass linspection avec succs. Le serveur Cisco Clean Access est disponible en cinq tailles selon le nombre dutilisateurs simultanment en ligne : 100, 250, 500, 1500 et 2500 utilisateurs. Une mme entreprise peut exploiter des serveurs de tailles diffrentes par exemple, le sige social aura besoin dun serveur Cisco Clean Access de 1500 utilisateurs tandis quune agence de la mme socit pourra se contenter dun serveur de 100 utilisateurs. Cisco Clean Access Manager console Web centralise pour ltablissement des rles, des contrles, des rgles et des politiques. La console Cisco Clean Access Manager est disponible en trois tailles : Cisco Clean Access Lite Manager gre jusqu trois serveurs Cisco Clean Access, Cisco Clean Access Standard Manager jusqu 20 serveurs Cisco Clean Access et Cisco Clean Access Super Manager jusqu 40 serveurs Cisco Clean Access. Cisco Clean Access Agent client lger lecture seule qui amliore les fonctions dvaluation de la posture de scurit et acclre le processus de remdiation. Les agents Cisco Clean Access sont des options fournies gratuitement. La Figure 1 prsente un diagramme logique pour le dploiement en ligne dun serveur ddi Cisco NAC. Cette configuration accepte nimporte quel point daccs sans fil 802.11 ainsi que les points daccs Cisco Aironet. Le mode en ligne est galement indiqu pour le trafic VPN.

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 3 of 7

Fiche technique

Figure 1. Architecture en ligne pour un serveur Cisco NAC

La Figure 2 prsente un diagramme logique pour le dploiement hors bande dun serveur ddi Cisco NAC. Dans ce mode, le serveur Cisco Clean Access nest en ligne que pendant les procdures dauthentification, dvaluation de posture de scurit et de remdiation Une fois que lappareil utilisateur a russi ouvrir une session, son trafic traverse directement le port de commutation.

Figure 2. Architecture hors bande pour un serveur Cisco NAC

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 4 of 7

Fiche technique

Caractristiques techniques
Cisco NAC est dsormais disponible en tant que vritable serveur ddi, ce qui signifie quil nest plus ncessaire de commander sparment les composantes logicielles et matrielles. A lappui de cette volution, Cisco prsente trois nouvelles options matrielles qui forment les bases du serveur Clean Access et de Clean Access Manager. Le Tableau 2 donne la liste des caractristiques techniques des versions matrielles du serveur ddi Cisco NAC. Tableau 2. Caractristiques matrielles du serveur ddi Cisco NAC
Produits

Serveur ddi Cisco NAC 3310 Serveur ddi Cisco NAC 3350 Serveur ddi Cisco NAC 3390

Serveur Cisco Clean Access Serveur Cisco Clean Access pour 100, 250 et 500 utilisateurs pour 1500, 2500 et 3500 Cisco Clean Access Lite utilisateurs Manager Cisco Clean Access Standard Manager Intel Xeon Dual-core 2,33 GHz 1 Go PC2-4200 (2 x 512 Mo) 1333 MHz FSB Contrleur RAID SATA intgr Intel Xeon Dual-core 3,0 GHz 2 Go PC2-5300 (2 x 1Go) 1333 MHz FSB Contrleur Smart Array E200i 2 x 72 Go RAID SFF SAS Lecteur CD/DVD-ROM

Cisco Clean Access Super Manager

Processeur Mmoire Bus mmoire Contrleur

Double Intel Xeon Dual-core 3,0 GHz 4 Go PC2-5300 (4 x 1Go) 1333 MHz FSB Contrleur Smart Array E200i 4 x 72 Go RAID SFF SAS Lecteur CD/DVD-ROM

Disque dur Supports amovibles


Connectivit rseau

80 Go NPH SATA Lecteur CD/DVD-ROM

Carte NIC (Network Interface Card) Ethernet

2 x NIC 5708 10/100/1000 Broadcom intgres 2 x NIC Intel e1000 Gigabit (PCI-X) Paire torsade non blinde de catgorie (Cat) 3, 4 ou 5 jusqu 100 m Paire torsade non blinde de Cat 5 jusqu 100 m Aucune

2 x NIC 5721 10/100/1000 Broadcom intgres 2 x NIC Intel e1000 Gigabit (PCI-X) Paire torsade non blinde de Cat 3, 4 ou 5 jusqu 100 m Paire torsade non blinde de Cat 5 jusqu 100 m Cavium CN1120-NHB-E

2 x NIC 5721 10/100/1000 Broadcom intgres 2 x NIC Intel e 1000 Gigabit (PCI-X) Paire torsade non blinde de Cat 3, 4 ou 5 jusqu 100 m Paire torsade non blinde de Cat 5 jusqu 100 m Cavium CN1120-NHB-E

Support de cble 10BASE-T Support de cble 10/100/1000BASE-TX Carte acclratrice SSL (Secure Sockets Layer) Interfaces Ports sries Ports USB 2.0 Port clavier Port vido Port souris Port SCSI externe
Unit systme

1 4 (deux lavant, deux larrire) 1 1 1 Aucun

1 4 (un lavant, un interne, deux larrire) 1 1 1 Aucun

1 4 (un lavant, un interne, deux larrire) 1 1 1 Aucun

Compacit Poids Dimensions Alimentation Ventilateurs Emissions thermiques

Montage sur rack 1 RU 15,87 kg pleine configuration 4,32 x 42,62 x 70,49 cm 650 W autocommute, PFC 6, non remplaables chaud, non redondants 742 kcal/h (2910 BTU/h) 120 VAC; 732 kcal /h (2870 BTU/h) 240 VAC

Montage sur rack 1 RU 15,87 kg pleine configuration 4,32 x 42,62 x 70,49 cm 700 W double (redondante) 9, redondants 742 kcal/h (2910 BTU/h) 120 VAC; 732 kcal /h (2870 BTU/h) 240 VAC

Montage sur rack 1 RU 15,87 kg pleine configuration 4,32 x 42,62 x 70,49 cm 700 W double (redondante) 9, redondants 742 kcal/h (2910 BTU/h) 120 VAC; 732 kcal /h (2870 BTU/h) 240 VAC

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 5 of 7

Fiche technique

Bien que, en mode en bande, le serveur ddi Cisco NAC supporte toutes les infrastructures de rseau, le mode hors bande communique avec les commutateurs laide du protocole SNMP (Simple Network Management Protocol). Pour connatre la liste la plus rcente des commutateurs supports, visitez HYPERLINK "http://www.cisco.com/en/US/products/ps6128/products_device_support_table09186a008075fff6.html" http://www.cisco.com/en/US/products/ps6128/products_device_support_table09186a008075fff6.html. Cette liste est frquemment mise jour.

Configuration systme ncessaire


Loption Cisco Clean Access Agent est compatible avec les systmes dont les caractristiques sont donnes dans le Tableau 3. Tableau 3. Configuration systme minimale pour Cisco Clean Access Agent
Fonctionnalit Configuration minimale

Systme d'exploitation support Espace disque Matriel

Windows XP Professional, Windows XP Home, Windows XP Media Center Edition, Windows XP Tablet PC, Windows 2000, Windows 98, Windows SE, Windows ME, Mac OS X (authentification seulement) 10 Mo minimum despace libre sur le disque dur Pas de configuration matrielle minimale (compatible avec diffrentes machines clientes)

Le serveur ddi Cisco NAC supporte galement louverture de session unique pour les utilisateurs sans fil et distants qui utilisent certains clients Ipsec (IP Security) VPN et WebVPN. La liste de ces clients est donne dans le Tableau 4 : Tableau 4. Composants VPN et Sans fil compatibles avec louverture de session unique
Fonctionnalit Configuration minimale

Contrleurs WLAN CISCO

Serveurs de scurit adaptatifs ddis de la gamme Cisco ASA 5500 VPN SSL Cisco (Tunnel) Client VPN Cisco IPsec Modules de services Cisco WebVPN pour les commutateurs de la gamme Cisco Catalyst 6500 et les routeurs de la gamme Cisco 7600 Concentrateurs de la gamme Cisco VPN 3000 Serveurs de scurit ddis Cisco PIX

Le serveur Cisco est prconfigur pour effectuer des contrles de politiques sur plus de 300 applications de 50 constructeurs. Cette liste est constamment actualise. Pour connatre la liste la plus rcente des applications supportes (sous Cisco NAC Appliance Supported AV/AS Product List ), visitez HYPERLINK http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html. Note : Les diffrents types de contrles ne sont pas supports pour tous les produits et certains constructeurs ne supportent pas Windows 9x. En plus des contrles prconfigurs, le client dispose dun accs intgral au moteur de rgles du serveur Cisco NAC et peut crer ses propres contrles ou ses propres rgles pour nimporte quelle application tierce.

Maintenance et assistance technique


Cisco Systems propose une large gamme de programmes de services pour que ses clients puissent russir plus vite. Le succs de ces programmes de services innovants est assur grce une combinaison unique de personnes, de processus, doutils et de partenaires qui maximisent la satisfaction de nos clients. Cisco Services vous aide protger votre investissement de rseau, optimiser son exploitation et le prparer aux nouvelles applications afin den tendre lintelligence et daccrotre le succs de votre activit. Pour plus dinformations sur Cisco Services, consultez HYPERLINK "http://www.cisco.com/en/US/products/svcs/ps3034/serv_category_home.html" Cisco Technical Support Services ou Cisco Advanced Services. Pour consulter les informations relatives la garantie, visitez http://www.cisco.com/en/US/products/prod_warranties_item09186a00805f005b.html. Pour consulter les informations relatives aux licences, visitez http://www.cisco.com/en/US/products/ps6128/prod_pre_installation_guide09186a008073136b.html.

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 6 of 7

Fiche technique

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 7 of 7

Fiche technique

Pour plus dinformations


Pour plus dinformations sur le serveur ddi Cisco NAC, http://www.cisco.com/go/nac/appliance ou contactez votre Responsable de compte local.

Printed in USA

C78-348585-04 5/07

All contents are Copyright 19922006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Page 8 of 7