Программа Cisco: что это? Для чего нужна программа Cisco Leap Module, Cisco Peap Module? Cisco eap fast module: что это за программа, и нужна ли она.

Cisco предупреждает пользователей своих UC-продуктов (от англ. Unified Communications) о том, что не стоит ждать поддержки Windows 7 до выхода продуктов версии 8.0, которая появится в первом квартале 2010 года. Дюжина других продуктов получит поддержку Windows 7 лишь с появлением версии 8.5 в третьем квартале 2010 года, при этом будет поддерживаться исключительно 32-битная версия Windows 7.

Лишь три UC-продукта из 50, имеющихся в арсенале Cisco , получат поддержку 64-битных версий Windows 7, да и то с помощью 32-битного эмулятора. К этим трем продуктам относятся Cisco UC Integration for Microsoft Office Communicator, Cisco IP Communicator и Cisco Unified Personal Communicator. Продукты Communicator являются клиентскими мультимедийными приложениями, используемыми с серверными продуктами Cisco Unified Communications.

Один из пользователей Cisco, пожелавший сохранить анонимность, огорчен такой задержкой. Он рассказал, что Cisco стала поставщиком Windows, когда разработала настольные UC-приложения, как Unified Attendant Console, однако, Cisco не обещает обеспечить работу этой утилиты в 64-битной Windows 7. Он считает, что отсутствие в планах компании поддержки 64-битных версий Windows отталкивает компании, желающие обновиться свой парк до Windows 7, от использования UC-продуктов Cisco.

Другой пользователь оставил комментарий в блоге, в котором говорится, что при желании возможно запустить UC-продукты Cisco уже сегодня. Еще один анонимный пользователь написал : "Я понимаю, что многие UC-продукты, скорее всего, будут работать в 32-битной версии Windows 7. Больше меня волнует вопрос о том, как они будут работать в 64-битной версии Windows 7. 64-битные ОС стали доступны с появлением Windows XP, хотя 64-битные процессоры стали доступны для широких масс пользователей только в последние годы. Однако, большинство настольных компьютеров и ноутбуков, купленных за последние 2-3, оснащались 64-битными процессорами. В настоящее время Cisco разрабатывает приложения и для настольных компьютеров, поэтому компания несет ответственность за поддержку настольных ОС, использующихся в корпоративной среде!"

Microsoft отправила Windows 7 в печать еще 22 июля. И начиная с того момента, разработчики приложений для Windows имеют доступ к последней версии программного кода ОС. Странно, что с того момента Cisco не позаботилась об обеспечении поддержки своих продуктов в новой ОС.

Согласно информации из Windows 7 Compatibility Center , четыре настольных приложения Cisco были сертифицированы для Windows 7, а именно: клиент Cisco VPN v5, модуль Cisco EAP-FAST, модуль Cisco LEAP, модуль Cisco PEAP. Эти модули созданы для осуществления передачи учетных данных для проверки подлинности и используются совместно с VPN.

Блоггер Джеймс Хири (Jamey Heary) утверждает, что Cisco является первым крупным VPN-вендором, обеспечившим поддержку Windows 7. Поддержка VPN для Windows 7 охватывает клиентские приложения для IPSEC и SSLVPN. На самом деле, клиент Cisco Anyconnect 2.4 SSLVPN поддерживает и 32-битную, и 64-битную версии Windows 7. А по информации Microsoft, клиент Cisco VPN 5.0.6 поддерживает лишь 32-битную версию Windows 7.

В последнее время активные интернет пользователи все чаще сталкиваются с появлением на своих ПК неизвестных программ: умышленно такой софт никто не устанавливал, однако программы как-то оказались на рабочем компьютере. Ярким примером подобного софта является программа Cisco EAP-FAST Module, Cisco LEAP Module или Cisco PEAP Module. При этом большинству пользователей непонятно, что это за программа? и нужна ли она – вдруг удаление приведет к неработоспособности других приложений?

Что такое cisco eap fast module?

Если ранее вы подключались к сетевому домену или , то появление программы cisco eap fast module среди рабочего софта неудивительно: данная программа является службой аутентификации при помощи безопасного туннелирования (eap-fast) - разновидностью eap от компании Cisco.

Данная служба позволяет проходить аутентификацию через глобальную сеть по стандарту IEEE 802.1X. Также eap-fast предоставляет защиту от различных сетевых атак.

Что это за программа и нужна ли она?

Если ранее вы никогда не пользовались продуктами компании Cisco и не подключались к сетевому домену, то можете смело ее удалять. Изначально данная программа предназначалась для беспроводной инфраструктуры Cisco.

Обычно Cisco eap-fast актуален для пользователей или организаций, которые не могут обеспечить требования безопасности относительно парольных политик, не хотят использовать цифровые сертификаты в своей работе или не поддерживают различные виды баз данных. В таких случаях eap-fast защитит от различных сетевых атак, включая такие, как «человек посередине», подделка аутентификационных данных, атаки типа AirSnort, подделка пакетов данных (на основании ответов жертвы) и перебор по словарям.

Если организация использует (как например WPA или WPA2, которые включают стандарт 802.1x для целей аутентификации), а также не способна обеспечить требования парольных политик и не хочет использовать сертификаты, то она спокойно может реализовать у себя eap-fast для усиления безопасности в целом.

Что это за программа и можно ли ее удалить?

Иногда при переустановке драйверов для адаптера беспроводной сети включается и установка Cisco eap-fast, дальше которой процесс «не идет» – установщик «зависает», и беспроводная сеть остается недоступной. Возможные причины такого «поведения» кроются в неправильном определении самой сетевой карты или названии модели.

Для профилактики и устранения подобных проблем желательно делать периодическую проверку системы на вирусы с помощью таких антивирусов, как например Dr.web CureIt .

Ведь при переустановке системы вы могли получить уже инфицированные драйвера и инсталляторы. При этом стандартные антивирусы, такие как Kaspersky, могут попросту пропустить зараженные файлы, добавив их в исключения – и, соответственно, предоставить им практически полный доступ к системе.

Если установка драйверов проводилась с помощью инсталлятора, то необходимо сначала удалить данную программу через Панель управления в пункте «Программы и компоненты» (для Windows 7 и выше) или «Установка/удаление программ» (для Windows XP) и заново .

Если ничего не помогло, стоит воспользоваться программой Everest (она же AIDA) для определения верного идентификатора устройства, по которому можно найти правильные драйвера. Также это можно сделать через стандартный Диспетчер устройств, зайдя в свойства устройства и выбрав пункт Сведения, однако программой Everest это будет сделать проще и удобнее.

Порядок удаления программы

Для полного удаления Cisco eap-fast module воспользуйтесь мастером установки/удаления программ из Панели управления. Пошаговое руководство для удаления следующее:

• - откройте стартовое меню и зайдите в Панель управления;
• - выберите пункт Установка/удаление программ для ОС Windows XP или Программы и компоненты для версий Windows Vista, 7 и 10;
• - найдите программу Cisco eap-fast module и нажмите на нее. Для Windows XP нажмите вкладку Изменить/удалить или просто нажмите кнопку Удалить;
• - следуйте инструкциям по удалению до успешного завершения процесса.

Cisco ISE - это инструмент для создания системы управления доступом к корпоративной сети. То есть мы контролируем, кто подключается, откуда и как. Можем определить клиентское устройство, насколько оно соответствует нашим политикам безопасности, и прочее. Cisco ISE - мощный механизм, который позволяет четко контролировать, кто находится в сети и какими ресурсами он пользуется. Мы решили рассказать о наших наиболее интересных проектах на основе Cisco ISE и заодно вспомнить парочку необычных решений из своей практики.

Что такое Cisco ISE

Cisco Identity Services Engine (ISE) представляет собой решение для контроля доступа к корпоративной сети с учетом контекста доступа. Решение объединяет сервисы аутентификации, авторизации и учета событий (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Cisco ISE автоматически выявляет и классифицирует оконечные устройства, обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей, так и устройств, а также обеспечивает соответствие оконечных устройств корпоративной политике ИБ путем оценки их состояния защищенности перед предоставлением доступа к корпоративной ИТ-инфраструктуре. Платформа поддерживает гибкие механизмы контроля доступа, включая группы безопасности (SG), метки групп безопасности (SGT) и списки контроля доступа групп безопасности (SGACL). Об этом поговорим ниже.

Немного нашей статистики

90% наших внедрений содержат в себе защиту беспроводного доступа. Заказчики у нас очень разные. Кто-то скупает новое топовое оборудование Cisco, а кто-то использует то, что есть, потому что бюджет ограничен. Но для безопасного проводного доступа самые простые модели не подходят, нужны определенные коммутаторы. А они есть не у всех. Контроллеры беспроводного доступа, если он построен на базе решений Cisco, как правило требует только обновления для поддержки Cisco ISE.

Для беспроводного доступа обычно используется один контроллер и куча точек. А раз мы беремся за беспроводной доступ, то большинство заказчиков - около 80% - хотят реализовать и гостевой доступ, потому что удобно использовать одну и ту же инфраструктуру и для пользовательского доступа, и для гостевого.

Хотя индустрия движется в сторону виртуализации, половина наших заказчиков выбирает аппаратные решения, чтобы не зависеть от среды виртуализации и выделения ресурсов. Устройства уже сбалансированы, в них есть нужное количество оперативной памяти и процессоров. Клиентам можно не беспокоиться о выделении виртуальных ресурсов, многие до сих пор предпочитают занять место в стойке, но при этом быть спокойными, что решение оптимизировано именно под эту аппаратную реализацию.

Наш типовой проект

Что собой представляет наш типовой проект? С высокой вероятностью это защита беспроводного доступа и гостевой доступ. Все мы любим приносить на работу свои собственные устройства и выходить с них в интернет. Но даже сегодня не во всех гаджетах есть GSM-модули. Чтобы не снижать безопасность из-за подключения к корпоративной сети личных устройств, выделяется инфраструктура BYOD, которая позволяет в автоматическом или полуавтоматическом режиме зарегистрировать личное устройство. Система будет понимать, что это ваш гаджет, а не корпоративный, и будет предоставлять вам только доступ в интернет.

Как сделано у нас? Если вы принесете свой телефон и подключитесь по Wi-Fi, вас выпустят только в интернет. Если вы подключите по Wi-Fi рабочий ноутбук, его будут пускать еще и в офисную сеть и ко всем ресурсам. Это и есть технология BYOD.

Зачастую для защиты от принесенных устройств мы также реализуем технологию EAP-chaining, которая позволяет аутентифицировать не только пользователей, но и рабочие станции. То есть мы можем определить, подключается ли к сети доменный ноутбук или чей-то личный, и в зависимости от этого применять какие-то политики.

То есть кроме «аутентифицированный/не аутентифицированный» появляются критерии «доменный/не доменный». На основе пересечения четырех критериев можно задавать разные политики. Например, доменная машина, но не доменный пользователь: значит, администратор пришел что-то локально настроить. Скорее всего, ему будут нужны особенные права в сети. Если же это доменная машина и доменный пользователь, значит, даем стандартный доступ в соответствии с привилегиями. А если доменный пользователь, но не доменная машина, это человек принес свой личный ноутбук и его надо ограничить в правах доступа.

Также мы обязательно рекомендуем всем использовать профилирование для IP-телефонов и принтеров. Профилирование - это определение по косвенным признакам, что же за устройство подключилось к сети. Почему это важно? Возьмем принтер. Обычно он стоит в коридоре, то есть поблизости есть розетка, на которую зачастую не смотрит камера наблюдения. Этим часто пользуются пентестеры и злоумышленники: подключают к розетке небольшое устройство с несколькими портами, кладут за принтером, и девайс может месяц гулять по сети, собирать данные, получать доступы. Тем более что принтеры не всегда ограничивают в правах, в лучшем случае закинут в другой VLAN. Зачастую это приводит к возникновению угрозы безопасности. Если же настроить профилирование, то, как только это устройство войдет в сеть, мы об этом узнаем, придем, вынем из розетки и разберемся, кто же его здесь оставил.

Наконец, мы регулярно используем posturing - проверяем пользователей на соответствие требованиям информационной безопасности. Обычно мы применяем это к удаленным пользователям. Например, кто-то подключился по VPN из дома или командировки. Часто ему нужен критичный доступ. Но нам очень сложно понять, хорошо ли у него с информационной безопасностью на личном или мобильном устройстве. И posturing позволяет нам проверить, например, актуальный ли у пользователя антивирус, запущен ли он, есть ли у него обновления. Так можно если не исключить, то хотя бы снизить риски.

Хитрая задача

А сейчас расскажем о любопытном проекте. Один из наших клиентов еще много лет назад купил Cisco ISE. Политика информационной безопасности в компании очень жесткая: зарегламентировано всё, что можно, не допускается подключение к сети чужих устройств, то есть никакого вам BYOD. Если пользователь отключил свой компьютер из одной розетки и подключил в соседнюю, это уже инцидент информационной безопасности. Антивирус с максимальным уровнем эвристики, локальный файрвол запрещает любые входящие соединения.

Заказчик очень хотел получать информацию о том, какие корпоративные устройства подключаются к сети, какая там версия ОС, и прочее. На основе этого он формировал политику безопасности. Нашей системе для определения устройств требовались разные косвенные данные. Самым хорошим вариантом являются DHCP-пробы: для этого нам нужно получать копию DHCP-трафика, либо копию DNS-трафика. Но заказчик категорически отказался передавать нам трафик из своей сети. А других эффективных проб в его инфраструктуре не было. Стали думать, как же нам определить рабочие станции, на которых стоит файрвол. Просканировать снаружи мы не можем.

В конце концов решили использовать протокол LLDP, аналог протокола Cisco CDP, по которому сетевые устройства обмениваются информацией о себе. Например, коммутатор отсылает другому коммутатору сообщение: «я коммутатор, у меня 24 порта, есть вот такие VLAN, вот такие настройки».

Нашли подходящий агент, поставили его на рабочую станцию, и он отсылал нашим коммутаторам данные о подключенных компьютерах, их ОС и составе оборудования. При этом нам очень повезло, что ISE позволил создавать кастомные политики профилирования на основе получаемых данных.

С тем же заказчиком вышел и не самый приятный случай. В компании была конференц-станция Polycom, которая обычно ставится в переговорках. Cisco заявила о поддержке оборудования Polycom несколько лет назад, и поэтому станция должна была профилироваться из коробки, необходимые встроенные политики содержались в Cisco ISE. ISE ее видел и поддерживал, но у заказчика станция профилировалась неправильно: определялась как IP-телефон без указания конкретной модели. А заказчик хотел определять, в каком конференц-зале какая модель стоит.

Начали выяснять. Первичное профилирование устройства выполняется на основе MAC-адреса. Как вы знаете, первые шесть цифр MAC уникальны для каждой компании и зарезервированы в блоке. В ходе профилирования этой конференц-станции мы включили режим отладки и увидели в журнале очень простое событие: ISE брал MAC и говорил, что это Polycom, а не Cisco, поэтому никаких опрашиваний по CDP и LLDP я делать не буду.

Мы написали вендору. От другого экземпляра этой конференц-станции они взяли МАС-адрес, который лишь считанными цифрами отличался от нашего - профилировалось корректно. Оказалось, что нам просто не повезло с адресом этой конкретной станции, и в результате Cisco чуть ли не под нее выпустила патч, после которого у клиента тоже стало профилироваться корректно.

SGT

И напоследок хочется рассказать об одном из самых интересных проектов последнего времени. Но сначала нужно напомнить о технологии под названием SGT (Security Group Tag).

Технология Security Group Tag

Классический способ сетевого экранирования строится на основе исходных и целевых IP-адресов узлов и их портов. Но этой информации слишком мало, и при этом она жестко привязана к VLAN. Cisco придумала очень простую хорошую идею: давайте мы на своем оборудовании присвоим всем отправителям и получателям метки SGT, а на фильтрующих устройствах применим политику, согласно которой по протоколам А, Б и В можно обмениваться данными между метками 11 и 10 и между 11 и 20, а между 10 и 20 - нельзя. То есть получается матрица разрешенных и запрещенных путей обмена данными. Причем в этой матрице мы можем использовать простые списки доступа. У нас не будет никаких IP-адресов, будут только порты. Это позволяет делать более атомарные, гранулированные политики.

Архитектура SGT состоит из четырех компонентов.

1. Метки . В первую очередь нам нужно присвоить SGT-метки. Это можно сделать четырьмя способами.
   • На основе IP-адресов . Мы говорим, что такая-то сеть является внутренней, а дальше на основе конкретных IP-адресов можем конкретизировать: например, сеть 10.31.10.0/24 - серверный сегмент, к нему одни правила применять. Внутри этого серверного сегмента у нас есть сервер, который отвечает за PCI DSS - к нему применяем более строгие правила. При этом не нужно выносить сервер из сегмента.

     Почему это полезно? Когда мы хотим где-то внедрить сетевой экран, сделать более строгие правила, нам нужно разместить сервер в инфраструктуре заказчика, которая часто развивается не вполне управляемо. О том, что серверу не стоит общаться с соседним сервером, что лучше выделить его в отдельный сегмент, никто не подумал. И когда мы внедряем межсетевой экран, больше всего времени уходит на перенос серверов по нашим рекомендациям из одних сегментов в другие. А в случае с SGT это не требуется.

   • На основе VLAN . Можно задать, что VLAN1 - это метка 1, VLAN10 - метка 10, и так далее.
   • На основе портов коммутатора . То же самое можно сделать и применительно к портам: к примеру, все данные, приходящие с порта 24 коммутатора, помечать меткой 10.
   • И последний, самый интересный способ - динамическое присвоение меток с помощью ISE . То есть Cisco ISE может не только присваивать ACL, отправлять на редирект и прочее, но и назначать SGT-метку. В результате мы можем динамически определять: этот пользователь пришел из этого сегмента, в такое время, у него такая доменная учетная запись, такой IP-адрес. И уже на основе этих данных мы присваиваем метку.
2. Обмен метками . Назначенные метки нам нужно передать туда, где они будут применяться. Для этого используется протокол SXP.
3. SGT-политика . Это матрица, о которой мы говорили выше, в ней прописано, какие взаимодействия можно использовать, а какие нельзя.
4. Принудительное применение SGT . Этим занимаются коммутаторы.

Сейчас у одного из заказчиков мы настроили сопоставление IP и SGT, что позволило выделить 13 сегментов. Они во многом пересекаются, но благодаря гранулярности, при которой всегда выбирается самое нижнее вхождение вплоть до конкретного хоста, мы смогли все это сегментировать. ISE используется как единое хранилище для меток, политик и данных о соответствии IP и SGT. Сначала мы определили метки: 12 - разработка, 13 - это production, 11 - тестирование. Далее определили, что между 12 и 13 можно взаимодействовать только по протоколу HTTPS, между 12 и 11 не должно быть взаимодействия, и так далее. В результате получился перечень сетей и хостов с соответствующими им метками. И вся система реализована на четырех Nexus 7000 в ЦОД заказчика.

Какие выгоды получил заказчик?
Теперь ему доступны атомарные политики. Бывает, что в одной из сетей администраторы по ошибке развертывают сервер из другой сети. Например, в сети разработки затерялся хост из production. В результате потом приходится переносить сервер, менять IP, проверять, не нарушились ли связи с соседними серверами. Но теперь можно просто микросегментировать «чужеродный» сервер: объявить его частью production и применять к нему другие правила, в отличие от участников остальной сети. И при этом хост будет защищен.

Кроме того, теперь заказчик может централизованно и отказоустойчиво хранить политики и управлять ими.

Но было бы по-настоящему круто применять ISE для динамического присвоения меток пользователям. Мы сможем делать это не только на основе IP-адреса, но и в зависимости от времени, от местоположения пользователя, от его доменной и учетной записи. Сможем прописать, что если этот пользователь сидит в головном офисе, то он имеет одни привилегии и права, а если он приехал в филиал, то он уже командированный и у него ограниченные права.

Еще хотелось бы смотреть логи на самом ISE. Сейчас при использовании четырех Nexus и ISE в качестве централизованного хранилища приходится для просмотра логов обращаться к самому коммутатору, вбивая в консоли запросы и фильтруя ответы. Если же воспользоваться Dynamic Mapping, то ISE начнет собирать логи, и мы сможем централизованно посмотреть, почему же какой-то пользователь не попал в определенную структуру.

Но пока что эти возможности не реализованы, потому что заказчик решил защитить только ЦОД. Соответственно, пользователи приходят снаружи, и они не подключены к ISE.

История развития Cisco ISE

Удостоверяющий центр
Это важное нововведение появилось в версии 1.3 в октябре 2013 года. К примеру, у одного из наших клиентов были принтеры, которые работали только с сертификатами, то есть умели аутентифицироваться не по паролю, а только по сертификату в сети. Клиент был расстроен, что не мог подключить устройства из-за отсутствия УЦ, а ради пяти принтеров развёртывать его не хотелось. Тогда мы при помощи встроенного API смогли выпустить сертификаты и подключить принтеры штатным способом.

Поддержка Cisco ASA Change of Authorization (CoA)
С момента появления поддержки CoA на Cisco ASA мы можем контролировать не только пользователей, которые приходят в офис и подключаются к сети, но и удаленных пользователей. Конечно, мы могли это делать и раньше, но для этого нужно было отдельное устройство IPN node для применения политик авторизации, которое проксировало трафик. То есть помимо того, что у нас есть сетевой экран, который терминирует VPN, приходилось использовать ещё одно устройство только для применения правил в Cisco ISE. Это было дорого и неудобно.

В версии 9.2.1 в декабре 2014 вендор, наконец, добавил в Cisco ASA поддержку change of authorization, в результате стала поддерживаться вся функциональность Cisco ISE. Несколько наших клиентов радостно вздохнули и смогли использовать высвободившиеся IPN node с большей пользой, чем просто терминировать трафик VPN.

TACACS+
Все мы очень долго ждали внедрения этого протокола. TACACS+ позволяет аутентифицировать администраторов и журналировать их действия. Эти возможности очень часто востребованы в проектах PCI DSS по контролю за администраторами. Раньше для этого был отдельный продукт Cisco ACS, который потихоньку умирал, пока Cisco ISE не забрал себе наконец его функционал.

AnyConnect Posture
Появление этой функциональности в AnyConnect стало одной из прорывных фич Cisco ISE. В чем особенность видно на следующей картинке. Как выглядит процесс posturing’а: пользователь аутентифицируется (по логину, паролю, сертификату либо MAC), а ему в ответ от Cisco ISE прилетает политика с правилами доступа.

Если нужно проверить пользователя на соответствие, ему присылается redirect - специальная ссылка, которая весь или часть трафика пользователя перенаправляет на определенный адрес. У клиента в этот момент для posturing’а установлен специальный агент, который время от времени выходит в интернет и ждет. Если его перенаправят на сервер ISE, то он заберет оттуда политику, с её помощью проверит рабочую станцию на соответствие и сделает какие-то выводы.

Раньше агент ходил и проверял URL раз в пять минут. Это было долго, неудобно и при этом захламляло пустым трафиком сеть. Наконец этот механизм включили в AnyConnect. Он на уровне сети понимает, что с ней что-нибудь произошло. Допустим, мы подключились или переподключились к сети, или подключились к Wi-Fi, или построили VPN - обо всех этих событиях AnyConnect узнает и сработает как триггер для агента. Благодаря этому время ожидания начала posturing’а изменилось с 4-5 минут до 15 секунд.

Исчезновение фичи

Был интересный случай с функциональностью, которая сначала исчезла в одной из версий, а спустя некоторое время её вернули.

В Cisco ISE есть учетные записи для гостевого доступа: сеть, в которой пароли могут выдавать даже секретари. И есть очень удобная функция, когда администратор системы может наделать пачку гостевых учетных записей, запечатать в конверты и отдать ответственному. Действовать эти учетные записи будут строго определенное время. Например, у нас в компании это неделя с момента первого входа. Пользователю дают конверт, он его распечатывает, заходит, счетчик начинает тикать. Удобно и практично.

Изначально эта функциональность была с момента появления Cisco ISE, но в версии 1.4 исчезла. И через несколько лет, в версии 2.1 её вернули. Из-за отсутствия гостевого доступа мы даже больше двух лет в нашей компании не обновляли версию Cisco ISE, потому что не готовы были ради этого перестраивать свои бизнес-процессы.

Забавный баг

На прощание вспомнилась забавная история. Помните, мы рассказывали про клиента с очень строгой политикой безопасности? Он находится на Дальнем Востоке, и однажды там поменялся часовой пояс - вместо GMT+10 стал GMT+11. А поскольку у заказчика было настроено просто “Asia/Sakhalin”, он обратился к нам, чтобы мы реализовали точное отображение времени.
Мы написали в Cisco, там ответили, что в ближайшее время не будут обновлять часовые пояса, потому что слишком долго. Предложили использовать стандартную зону GMT+11. Мы ее настроили, и выяснилось, что в Cisco недостаточно тестировали свой продукт: пояс стал GMT-11. То есть у клиента время уехало на 12 часов. Что самое забавное, в GMT+11 находится Камчатка и Сахалин, а в GMT-11 - два американских острова. То есть в Cisco просто не предполагали, что у них кто-нибудь будет покупать продукт из этих часовых поясов, и не провели тесты. Они еще довольно долго исправляли этот баг, извинялись.

Станислав Калабин, эксперт отдела инженерной поддержки и сервиса ИБ, «Инфосистемы Джет»

Компания, которая производит такое сетевое оборудование, как коммуникаторы, маршрутизаторы, экраны, модемы, роутеры, серверы и многое другое. Также является основным производителем и лидером в компьютерных и сетевых технологиях.

Cisco

Это американская компания, которая разрабатывает и продает сетевое оборудование. Главный девиз компании: предоставить возможность закупить всё сетевое оборудование только в Cisco Systems.

Кроме изготовления оборудования, компания является крупнейшим в мире предприятием в области высоких технологий. Вы ещё спрашиваете: "Cisco - что это?" Компания в начале своей деятельности производила только маршрутизаторы. Теперь это крупнейший лидер по разработке технологий для сети Интернет. Создала многопрофильную систему сертификации специалистов по сетям. Профессиональные сертификаты Cisco очень ценны, на уровне эксперта (CCIE) очень уважаемы в компьютерном мире.

Само название Cisco пошло от города Сан-Франциско в штате Калифорния. Логотипом является копия моста "Золотые ворота". В России, на Украине и в Казахстане фирма существует с 1995 года. В 2007 году сильно возросший объём продаж в области информационной безопасности составил около 80 миллионов долларов. А с 2009 года в России существует центр исследования и разработок.

Именно эта фирма является передовой в построении разветвлённых и очень надёжных сетей в помещениях. Серия Aironet использует безопасность, высокоточную управляемость, защищённость при построении сети Wi-Fi. Эта серия имеет пять точек доступа, в результате это помогает в решении многих задач. Такая сеть поддерживает три стандарта: a, b, g, а также 802.11n, чтобы максимально могла увеличиться

Изменять права, добавлять и удалять пользователей при сети из двух-трёх точек доступа можно вручную. А вот если больше, то надо пользоваться таким прибором, как контроллер. Этот интеллектуальный механизм не только контролирует работу сети, но и с помощью анализа работы точек доступа распределяет поровну нагрузку на точки доступа в сети. Существует две модели контроллеров: 2100 и 4400.

Программа Академии Cisco

В условиях прогрессирующей технологии экономики знания в области сетей и Интернета даёт сетевая программа Академии Cisco.

Вы, конечно, хотите узнать: Cisco - что это? Она включает в себя материалы из Интернета, практические занятия, оценку знаний студентов. Эта программа была основана в 1997 году в 64 учебных заведениях. А распространилась на 150 стран. Специалисты программы подготавливают будущих преподавателей в Центрах подготовки (САТС). Потом преподаватели обучают региональных преподавателей, а они - местных, и местные преподают полученные знания студентам. Студенты по окончании обучения получают сертификаты «Сетевой специалист» (CCNA) и «Сетевой профессионал» (CCNP). На данное время, кроме этих сертификатов, курсанты могут проходить ещё и курсы по разным направлениям. Со временем программа постоянно адаптируется к высоким стандартам.

Cisco Unified Computing System (UCS)

В настоящее время бизнес требует быстрого реагирования, поэтому всё чаще обращают внимание на систему исчислений Cisco Unified Computing System (UCS). Итак, Cisco - что это?

Первая в мире платформа, где можно создавать центры проработки данных. Она предоставляет интеллектуальную инфраструктуру, которую можно программировать, упрощает и делает быстрее приложения и сервисы соответствующего класса в необходимых облачных технологиях. Эта система унифицирует управление на основе модели, выделяет соответствующие ресурсы, и для того, чтобы приложения ускорялись и проще развёртывались, поддерживает миграцию. А всё это тем самым повышает уровень надёжности и безопасности. Что делает в итоге эта платформа:

• объединяет в одну систему разные сетевые ресурсы и серверы Cisco;
• увеличивает степень доступности и производительности приложений;
• минимизирует сервисы для оперативной работы;
• оптимально распределяет возможности центра обработки данных, чтобы снизить стоимость владения.

Рекордная производительность приложений достигается с помощью Cisco Unified Computing System.

Cisco Eap

Всем хочется знать: Cisco Eap - что это? Скажем, что протокол расширенной аутентификации. Беспроводные пакеты информации переводятся в пакеты, которые передаются по проводам и направляются на сервер аутентификации и обратно. Если надо, такая система используется при пассивной роли точки доступа. Существуют методы EAP:

• LEAP;
• EAP (PEAP)-MS-(CHAP) версии 2;
• PEAP Generic Token (GTC);
• EAP через обезопасенный туннель (FAST);
• EAP-тунель беспечности (TLS);
• EAP-Tunneled TLS (TTLS).

EAP работает под управлением IOS. Он особо чувствует словесные атаки, не новые виды атак. Надо всего-навсего разработать стойкий пароль и периодически его менять. Теперь рассмотрим Cisco Eap Fast - что это?

EAP-FAST - программа, разработанная Cisco Systems. Такой метод EAP, как Leap, нормально зарекомендовал себя среди IP-телефонов и поддерживается FreeRADIUS. Спросите: Cisco Leap Module - программа для авторизации Wi-Fi пользователей. Уязвима при вычислениях списков MD5 свёртков паролей.

Cisco Peap Module

Нас интересует: Cisco Peap Module - что это? Очень простая, на первый взгляд, программка для своевременной очистки Windows от разного устаревшего и ненужного реестра. Такая очистка повышает быстродействие системы. Поддерживается разными ОС, как Windows Vista/7/8/Server 2012.

В наше время достаточно много пользователей на форумах задают такой вопрос: «Cisco EAP-FAST module что это?». Дело в том, что люди обнаруживают эту программу на своем компьютере и понимают, что не устанавливали ее.

Разумеется, программа занимает какую-то часть памяти и отнимает какую-то часть ресурсов операционной системы . Поэтому пользователи задумываются над тем, чтобы немного разгрузить свою ОС путем удаления этой самой программы . Но, скажем сразу, далеко не во всех случаях можно выполнять данную процедуру. Но обо всем по порядку.

Стоит сразу сказать, что всю описанную ниже информацию необходимо читать подряд и целиком. Если какие-то моменты все-таки будут непонятны (хотя мы постарались объяснить все максимально доступно), перечитайте отрывок текста еще раз. А также вы можете оставлять свои комментарии под статьей, мы с удовольствием на них ответим.

Как расшифровывается Cisco EAP-FAST module

EAP-FAST расшифровывается как Flexible Authentication via Secure Tunneling. Если перевести это на русский, получится следующее: гибкая аутентификация через защищенный туннель. Эту фразу можно перевести более по-человечески, тогда получится аутентификация при помощи безопасного туннелирования. Дальше мы будем более подробно говорить о том, что это означает и что с этим делать.

А пока скажем, что есть еще две программы, подобные Cisco EAP-FAST module. В них вместо слова «LEAP» стоят слова «LEAP» и «PEAP». То есть программы называются Cisco LEAP module и Cisco PEAP module. Вы легко можете обнаружить все эти три программы на своем компьютере. И ситуация со всеми троими будет практически одинаковой – вы ничего не устанавливали, а она откуда-то появились на компьютере .

Рис. 1. 3 программы, связанные с Cisco

А это еще что такое?

LEAP расшифровывается как Lightweight Extensible Authentication Protocol, то есть облегченный расширяемый протокол аутентификации. А PEAP – это Protected Extensible Authentication Protocol, что переводится как защищенный расширяемый протокол той же аутентификации. Если сказать коротко, то это протоколы аутентификации, которые используются в оборудовании компании Cisco.

Протоколы аутентификации Cisco

Все три программы, о которых шла речь выше, позволяют выполнять аутентификацию в глобальной сети. Второй его важной функцией является защита от сетевых атак. Собственно, это все, что делают Cisco EAP-FAST, LEAP и PEAP module. Отличаются у них только способы той самой аутентификации.

А теперь обо всем поподробнее.

Разберем все понятия по очереди.

Об аутентификации

Аутентификация – это процесс, который подразумевает проверку пользователя при помощи цифровой подписи или же контрольной суммы посылаемого файла. Здесь все просто – пользователь проверяется не только путем ввода логина и пароля, а и путем подписи или файла. Если подпись, которую отослал пользователь при попытке воспользоваться сетью, совпадает с той, которая ему отсылалась, значит, проверка прошла успешно.

Если еще проще, то многие из нас проходит аутентификацию, когда входит в свой кошелек Вебмани . Чтобы войти в WebMoney Keeper Standard, необходимо ввести логин, пароль, число с картинки и данные компьютера.

Собственно, ввод одного лишь логина и пароля, которые не меняются, – это авторизация. А вот дополнительный ввод числа данных с компьютера – это уже нечто большее, то есть аутентификация .

Если поставить галочку на пункте «запомнить меня на этом компьютере» , то при каждом входе система будет считывать данные с компьютера. Если с него уже осуществлялся вход, сейчас он произойдет автоматически. Это и есть аутентификация.

Рис. 2. Вход в Вебмани

Аутентификация может происходить также с помощью биометрических данных, к примеру, отпечатка пальца или сетчатки глаза. То есть аутентификация – это та же авторизация, только с помощью того, что знает только тот пользователь, который должен войти.

Рис. 3. Аутентификация с помощью сетчатки глаза

В случае с сетями Cisco аутентификация нужна для того, чтобы никакие случайные люди не могли ими воспользоваться.

О туннелировании

Вообще, туннелирование – это процесс, который подразумевает прокладку туннелей. Но, раз уж мы говорим о компьютерных сетях, то в этом случае у этого термина будет другое значение. Туннелирование – это процесс, который подразумевает объединение (в науке, в частности в математике, этот процесс называется инкапсуляцией) различных протоколов. В результате это приводит к тому, что информация передается между некоторыми двумя точками.

Если сказать проще, то, допустим, у нас есть некоторый набор протоколов. Уточним, что протоколы – это наборы правил и действий. В случае с компьютерными сетями они помогают передавать информацию от одной точки к другой. Так вот, из этого набора протоколов выбираются те функции, которые помогают наилучшим образом (максимально быстро и без потери данных) передать эту самую информацию. Этот процесс, кстати, и называется инкапсуляцией.

Рис. 4. Пример туннелирования в компьютерных сетях

Затронем безопасное туннелирование

А вот безопасное туннелирование подразумевает, что обмен данными, необходимыми для входа, происходит по защищенным каналам. Мы не будем вдаваться в подробности и разъяснять, как все это происходит.

А теперь объединяем эти понятия.

Как мы говорили выше, EAP-FAST – это аутентификация при помощи безопасного туннелирования. Если собрать все сказанное выше воедино, получается, что мы имеем дело с тем, что протоколы объединяются для передачи информации, которая касается аутентификации.

К примеру, если аутентификация происходит при помощи электронного ключа, то этот самый ключ передается по защищенным каналам.

Рис. 5. Пример аутентификации при помощи смарт-карты с электронным ключом.

Кстати, LEAP означает, что аутентификация тоже происходит с помощью передачи данных по защищенным каналам. Но в этом случае мы, как говорилось выше, имеем дело с облегченным протоколом, поэтому каналы здесь менее защищенные. А вот в случае с PEAP данные передаются по более защищенным каналам, чем обычно. Собственно, вот и все. Видите, как просто?

А теперь вернемся к программе

Собственно, программа Cisco EAP-FAST module и нужна для того, чтобы обеспечивать защищенную аутентификацию. Она, в большинстве случаев, используется для того, чтобы обеспечивать работу Wi-Fi сетей. Это уникальная и собственная разработка компании Cisco.

То же самое относится к двум другим программам, о которых мы говорили выше. Они могут устанавливаться автоматически или же специалистами компании Cisco. В любом случае, даже если вы один раз в жизни подключались к роутеру от этой компании, не удивляйтесь, что на вашем компьютере появилась рассматриваемая программа.

Можно ли удалять Cisco EAP-FAST module?

Мы вернулись к тому, с чего начинали. Удалять Cisco EAP-FAST module, конечно же, можно, но только в том случае, когда вы уже не пользуетесь оборудованием этой фирмы. Если вы все еще используете какую-либо технику Cisco, в частности, роутер , то удалять программу нельзя ни в коем случае. Это чревато тем, что оборудование просто перестанет работать. А установить программу может быть достаточно проблематично. Кстати у нас на сайте есть занятный материал, рекомендуемый вам для прочтения: MTU в роутере - что это? Увеличиваем скорость Интернета.

Кстати, многие пользователи жалуются на всевозможные проблемы, связанные с Cisco EAP-FAST module. В частности, у некоторых эта программа не удаляется или зависает.

Рис. 6. Установка Cisco EAP-FAST module (удаление выглядит практически так же)

Решаем проблемы, связанные с Cisco EAP-FAST module

Что касается удаления, то производить этот процесс можно только следующим образом:

1. Сначала нужно зайти в «Панель управления» , через меню «Пуск» .
2. Затем следует найти там пункт «Удаление программы» (в Windows 10 он называется «Программы и компоненты» ).

Рис. 7. «Удаление программы» в «Панели управления»

1. Дальше найдите там Cisco EAP-FAST module и нажмите на эту строку два раза. Появится окно удаления программы.

Если программа зависает при удалении, нужно сделать вот что:

1. Обновить драйвер сетевой карты. Для этого легче всего воспользоваться программой DriverPack Solution . Она автоматически определит, какие драйвера не являются актуальными или же являются «побитыми» и предложит их обновить.
2. Проверить компьютер на вирусы. Если у вас слабый антивирус и ресурсы компьютера не позволят установить что-то более весомое, воспользуйтесь специальными утилитами для удаления вирусов .
3. Воспользуйтесь службой поддержки Cisco в своей стране. На официальном сайте можно найти все необходимые контакты.

Теперь вы знаете, что такое Cisco EAP-FAST module и можете определить, стоит ли удалять эту программу на вашем компьютере.

Ниже можно видеть пример настройки оборудования с таким методом аутентификации.