參加「Cisco ACS的應用」研討會之後的一些心得

一方面是基於興趣，二方面是為了再去聽Ivan的課，特地在4/6請了半天假去台北參加研討會，上課的講義可以在恆逸的網站下載。

Cisco利用自家的Access Control Server提出了很有趣的願景，其中最精彩的大概首推「self defence network」這個觀念了，透過Authentication、Authroization和Accounting的組合運用，
來提高整個網路的安全性。

想像一下這樣的網路，

• router上面的ACL平常是空的，當使用者要使用網路的時候，router才動態取得ACL來決定流量能不能通過，甚至連switch上面每個port所屬的VLAN，都是動態給定的
• 使用者從遠端可以很簡單的建立起VPN的連線，他可能連什麼是VPN都不太清楚，更不知道IPSec是啥碗糕，連IP都不用設定
• 網路會自動判斷，現在連上來的設備，使用什麼作業系統，service pack是否夠新；使用什麼防毒軟體，病毒碼是否夠新，不合格的設備一律隔離到管制區去，等一切都搞定之後，才自動讓設備回到一般的網路上面來
  

看起來很方便，尤其是最後一點，更是不少網路管理者的夢想，許多設備廠商都提供了類似的solution，而Cisco把他們的solution稱為「自我防禦型網路」。

我把這種網路戲稱為「見人說人話，見鬼說鬼話」的網路，因為如果你是人，而且是個好人，我就給你正常的網路來使用，如果你是個壞人，甚至是個鬼，我就給你一個殘缺的、功能受限的網路。

想要達到這個目標，有兩件事情必須要滿足：

1. 網路必須要有一定的智慧，這樣它才能知道現在連上來的，是「鬼」還是「人」，是「壞人」還是「好人」，這是屬於「見人」和「見鬼」的部分。
2. 這個網路架構還必須要能夠「說人話」還有「說鬼話」，它才能夠在判斷連線的對象之後，提供正確的服務給對方。
3. 這個網路還必須隨時觀察連線的對象，當連上來的設備從「壞人」變成「好人」的時候，可以自動調整它的服務方式。
   

第一部份的關鍵，也就是authentication (驗證) 的部分，雖然說驗證、授權、稽核三個A是可以分開執行的，但是如果沒有驗證的動作，後面的授權和稽核都無法據以執行！在自我防禦型網路當中，驗證並不單單 只是輸入帳號/密碼的組合而已，還必須要對使用者的作業系統、防毒軟體等進行驗證。在帳號/密碼的部分，一般LAN或者WLAN可以用802.1x來處 理，遠端撥接可以用PPP或者VPN來處理，可是作業系統、防毒軟體怎麼辦？我是一個router、switch或者無線AP，我要怎麼認識另一端的作業 系統？我怎麼知道它沒有騙我？

第二部分基本上就是authroization (授權) 的部分，管理者想要進行怎麼樣的授權？要怎麼樣規劃才能夠有「輻射感染區」跟「安全區」的機制？

第三部分則需要持續的監控，要怎麼讓網路上的設備持續監控？要怎麼讓網路上的設備根據監控的結果調整服務（授權）的方式？

這些問題，Cisco透過Access Control Server來提供解決方案，欲知詳情，請待下回分曉。