如果你所在的企業(yè)經(jīng)常有新的計(jì)算機(jī)終端接入現(xiàn)有的網(wǎng)絡(luò)當(dāng)中,如果作為網(wǎng)絡(luò)管理員 的你希望能通過(guò)一種方式了解當(dāng)前網(wǎng)絡(luò)有哪些計(jì)算機(jī)終端存活,以及這些存活的主機(jī)目前的安全狀況如何?如果 你想阻止安全狀況達(dá)不到企業(yè)安全策略要求的計(jì)算機(jī)終端不能接入或訪問(wèn)網(wǎng)絡(luò)?那么,你應(yīng)當(dāng)需要一臺(tái)網(wǎng)絡(luò)訪問(wèn) 控制服務(wù)器(以下簡(jiǎn)稱NAC)。
但是在以往,由于你和你的企業(yè)可能只對(duì)NAC技術(shù)有一個(gè)初步的了解,卻不知道企業(yè)到底需要一臺(tái)什么樣的NAC服務(wù)器。而且,你不知道在企業(yè)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)中實(shí)施NAC后能不能達(dá)到預(yù)期的目的,以及能否取得最佳的成本與收益平衡。因?yàn)椋诂F(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)中部署NAC,會(huì)牽扯到網(wǎng)絡(luò)結(jié)構(gòu)變動(dòng),以及安全策略更改等諸多的方面,一輪改造下來(lái),不僅工作繁雜,而且會(huì)耗費(fèi)大量的正常業(yè)務(wù)時(shí)間,所有的這些,肯定不是企業(yè)應(yīng)用NAC時(shí)所希望年到的。
更何況,由于現(xiàn)在專門的硬件型NAC設(shè)備價(jià)格還相當(dāng)?shù)母撸髽I(yè)不一定同意先購(gòu)買一臺(tái)昂貴的NAC設(shè)備來(lái)先做試驗(yàn)。就是由于存在這么多的不確定因素,讓許多中小企業(yè)如今仍然徘徊在NAC的 大門之外觀望。
現(xiàn)在,由于開源免費(fèi)的NAC軟件的出現(xiàn),已經(jīng)完全可以讓我們丟掉應(yīng)用NAC的諸多顧慮:企業(yè)再要擔(dān)心NAC設(shè)備的價(jià)格,免費(fèi)的NAC軟件加上一臺(tái)普通PC的硬件,要不了多少錢;我們也不擔(dān)心得到的NAC軟件不適用,在硬件平臺(tái)穩(wěn)定的情況下,我們只需更換不同的NAC軟件就可以得到想要的需求,而不需要花費(fèi)任何費(fèi)用;我們也不必?fù)?dān)心自己打造的NAC服務(wù)器過(guò)時(shí),因?yàn)椴粌HNAC軟件可以不斷更新,我們還可以更換相應(yīng)的硬件來(lái)滿足軟件和應(yīng)用的要求。鑒于NAC軟件給應(yīng)用NAC帶來(lái)的諸多好處,那么從現(xiàn)在開始,就和我一起來(lái)動(dòng)手打造一臺(tái)滿足自己需求的網(wǎng)絡(luò)訪問(wèn)控制服務(wù)器吧。
一、 NAC軟件的選擇和硬件準(zhǔn)備
由于是使用NAC軟件來(lái)打造一臺(tái)NAC服務(wù)器,那么這臺(tái)服務(wù)器所具有的NAC功能就與所使用的軟件密切相關(guān),因 而一開始的首要任務(wù)就是選擇一款合適的NAC軟件。目前市面上真正免費(fèi)開源的NAC軟件還不是很多,而且,每個(gè) NAC軟 件都有它自己獨(dú)自的特點(diǎn)和缺點(diǎn),就如同專門的硬件型NAC設(shè)備一樣,我們應(yīng)當(dāng)根據(jù)NAC軟件提供的功能,以及自己的實(shí)際需求來(lái)選擇一款合適的NAC軟件。
1、NAC軟件的選擇
就如我剛才所說(shuō),目前真正意義上開源免費(fèi)的NAC軟件還不是很多,最好的要數(shù)PacketFence zen、FreeNAC和Safe Access Lite 這三款。為了便于大家選擇,我在下面分別對(duì)這三款NAC軟件做一個(gè)簡(jiǎn)短的說(shuō)明。
(1) PacketFence zen PacketFence zen是一個(gè)免費(fèi)和開源的網(wǎng)絡(luò)訪問(wèn)控制軟件,它使用NESSUS來(lái)對(duì)終端設(shè)備 進(jìn)行弱點(diǎn)檢測(cè),以發(fā)現(xiàn)終端設(shè)備中存在安全風(fēng)險(xiǎn)。例如存在沒(méi)有修復(fù)的漏洞、計(jì)算機(jī)病毒、間諜軟件和木馬等,一旦確定終端存在這些安全風(fēng)險(xiǎn)中的一種,此終端就會(huì)被禁止訪問(wèn)目標(biāo)網(wǎng)絡(luò)。PacketFence zen還使用SNORT傳感 器來(lái)檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊活動(dòng),并給出相應(yīng)的警告。PacketFence zen支持對(duì)許多廠商的可網(wǎng)管交換機(jī)進(jìn)行VLAN 設(shè)置,通過(guò)劃分不同VLAN來(lái)阻止不安全的終端接入網(wǎng)絡(luò),這些被支持的交換機(jī)包括3COM、思科、DELL及D-LINK等廠商生產(chǎn)的可網(wǎng)管交換機(jī)。PacketFence zen通過(guò) FreeRADIUS模塊提供對(duì)802.1X無(wú)線的支持,F(xiàn)reeRADIUS模塊能為我們的有線和無(wú)線網(wǎng)絡(luò)接入提供一種同樣的安全 控制方式。PacketFence zen同時(shí)提供了對(duì)DHCP網(wǎng)絡(luò)設(shè)備和VOIP的支持。而且,我們可以通過(guò)WEB和命令行界面來(lái) 管理它。所有的這些功能,都讓PacketFence zen完全可以滿足目前大部分中小企業(yè)的網(wǎng)絡(luò)訪問(wèn)控制的需求,甚至大型企業(yè)同樣可以使用它來(lái)保護(hù)網(wǎng)絡(luò)安全。PacketFence zen可以在大部分Linux系統(tǒng)中運(yùn)行,我們可以下載它的二進(jìn)制文件包來(lái)安裝,也可以下載它的一體化VMWare虛擬機(jī)文件來(lái)直接使用,我們可到http://www.packetfence.org/download/releases.html網(wǎng)站下載這些安裝文件。
(2) FreeNAC
FreeNAC也是一款開源免費(fèi)的NAC軟件,它同樣提供了對(duì)交換機(jī)劃分VLAN的功能,并以MAC地址來(lái)為計(jì)算機(jī)終端指定 動(dòng)態(tài)VLAN,以此提供對(duì)局域網(wǎng)中各種資源的訪問(wèn)控制。FreeNAC能夠?qū)钟蚓W(wǎng)中的服務(wù)器、工作站、打印機(jī)和IP電 話的進(jìn)行訪問(wèn)控制。FreeNAC能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中存活的各種終端,并提供了對(duì)802.1x及思 科的VMPS端口安全模塊 的支持,同時(shí)還提供系統(tǒng)補(bǔ)丁包分發(fā)等功能。不過(guò),F(xiàn)reeNAC雖然提供了對(duì)非網(wǎng)管交換機(jī) 的支持,但使用非網(wǎng)管交換機(jī)會(huì)讓其NAC功能大打折扣,因此,如 果想發(fā)揮它所有的NAC功能,最好使用可網(wǎng)絡(luò)交 換機(jī),而且,為了能使用思科的VMPS功能,最好使用思科的支持 VMPS的可網(wǎng)管交換機(jī)。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下載,它也有一個(gè)用來(lái)安裝的二進(jìn)制包,可以在Ubuntu、Fedora、Redhat和Gentoo系統(tǒng)中安裝,它同樣也存在一個(gè)VMWare虛擬機(jī)文件,這個(gè)文件是基于Ubuntu8.04的,并且其大小超過(guò)了1GB。
(3) Safe Access Lite
Safe Access Lite其實(shí)是Safe Access 5的免費(fèi)版本,但是,它只提供被動(dòng)監(jiān)控功能。Safe Access Lite支持對(duì) 250臺(tái)計(jì)算機(jī)終端的檢測(cè),并且支持三種終端檢測(cè)方式。Safe Access Lite對(duì)網(wǎng)絡(luò)交換機(jī)沒(méi)有特別的要求,在普通的交換機(jī)環(huán)境中也可以很好地發(fā)揮其作用,這樣,我們使用它打造NAC服務(wù)器就可以直接連接到網(wǎng)絡(luò)中心交換機(jī)上的任意端口,在不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)做任何修改的情況下,就可以通過(guò)它來(lái)監(jiān)控整個(gè)局域網(wǎng)中的計(jì)算機(jī)終端,體驗(yàn)NAC的帶來(lái)的好處。Safe Access Lite只支持對(duì)運(yùn)行WINDOWS操作系統(tǒng)的計(jì)算機(jī)終端有效,不支持其它非計(jì)算機(jī)終端(例如網(wǎng)絡(luò)打印機(jī)或IP電話)。并且,在使用時(shí),所有的計(jì)算機(jī)終端必需開啟了打印機(jī)和文件共享功能,以及開放了139和445端口,這主要是由于Safe Access Lite的終端檢測(cè)方式所決定的。Safe Access Lite也提供二種安裝方式,一種是在Linux系統(tǒng)下安裝的二進(jìn)制文件,另一種為VMware虛擬機(jī) 文件。這些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下載。在下載它之前需要我們進(jìn)行簡(jiǎn)單的免費(fèi)注冊(cè),這樣才能獲得使用它的授權(quán)碼,這個(gè)授權(quán)碼是經(jīng)過(guò)加密的,我們只需將它復(fù)制后保存到一個(gè)文本文件中即可,以便在安裝Safe Access Lite時(shí)可以用此授權(quán)碼來(lái)完成注冊(cè)。
2、NAC服務(wù)器的硬件準(zhǔn)備
當(dāng)我們選擇好需要的NAC軟件后,就應(yīng)當(dāng)按此軟件的運(yùn)行需求,以及我們使用NAC服務(wù)器的應(yīng)用目的來(lái)準(zhǔn)備相應(yīng)的 PC硬件 平臺(tái)。我們選擇的硬件不僅要能滿足操作系統(tǒng)的需求,而且要能滿足NAC處理的性能要求。對(duì)于上述這三款 NAC軟 件來(lái)說(shuō),如果都是通過(guò)它們的VMware虛擬機(jī)文件來(lái)使用,那么,運(yùn)行它們所需的基本硬件可以是:CPU頻率 在奔 騰Ⅳ2.4GHZ及以上,內(nèi)存容量在1G及以上,磁盤剩余空間最少得有20GB及以上,至于以太網(wǎng)網(wǎng)卡的選擇,我們就得依照NAC服務(wù)器將要接入目標(biāo)網(wǎng)絡(luò)的方式再來(lái)做決定,對(duì)它的需求將在下面描述NAC服務(wù)器的接入方式時(shí)一起說(shuō)明。對(duì)NAC服務(wù)器的其它基本硬件沒(méi)有特別的要求。
至于自己打造的NAC服務(wù)器操作系統(tǒng)的選擇,由于我國(guó)現(xiàn)在大多數(shù)中小企業(yè)的PC使用的都是Windows XP操作系統(tǒng),而且這三款軟件都有可以在此系統(tǒng)下使用的VMware虛擬機(jī)文件,因此,我們可以選擇Windows XP操作系統(tǒng)來(lái)作為NAC服務(wù)器的操作系統(tǒng)平臺(tái)。但是要注意的是,為了能滿足安全性的需求,我們應(yīng)當(dāng)對(duì)NAC所依賴的系統(tǒng)進(jìn)行相應(yīng) 的安全加固,例如只在此系統(tǒng)上運(yùn)行NAC軟件,將其它不必要的服務(wù)和應(yīng)用程序全部刪除或禁用,我們不能在使用 一種新的安全防范設(shè)備的同時(shí)又帶來(lái)新的安全威脅。在本文的說(shuō)明NAC軟件安裝和配置階段,我選擇的平臺(tái)也是Windows XP操作系統(tǒng)。
二、NAC服務(wù)器接入網(wǎng)絡(luò)的方式
NAC 軟件和運(yùn)行的硬件平臺(tái)準(zhǔn)備好以后,接下來(lái)的工作就是考慮NAC服務(wù)器將以何種方式接入目標(biāo)網(wǎng)絡(luò)的問(wèn)題。通常 ,NAC服務(wù)器有兩種主要工作方式,它們是被動(dòng)工作方式和在線工作方式,我們也就可以按這兩種工作方式來(lái)決 定NAC服務(wù)器接入網(wǎng)絡(luò)的方式。1、被動(dòng)工作方式時(shí)的接入方式被動(dòng)工作方式就是指NAC服務(wù)器將以旁路的方式接 入到目標(biāo)網(wǎng)絡(luò)中,如圖1所示。此時(shí),NAC服務(wù)器最少需要一塊 100/1000Mbps的以太網(wǎng)網(wǎng)卡,如果在監(jiān)控的同時(shí) 還必需提供對(duì)交換機(jī)的管理,那么,也可以在NAC服務(wù)器中安裝另 一塊以太網(wǎng)網(wǎng)卡來(lái)分別處理各自原任務(wù)。對(duì)于 大多數(shù)NAC服務(wù)器來(lái)說(shuō),不論是自己打造的還是單獨(dú)購(gòu)買的,如果交換機(jī)有SPAN端口,最好將網(wǎng)卡連接到此端口上。通過(guò)這種方式接入目標(biāo)網(wǎng)絡(luò),是不需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)的, 但是,這種接入方式將不能保證NAC服務(wù)器能監(jiān)控到整個(gè)局域網(wǎng)中的所有終端,也不能保證其提供完整的網(wǎng)絡(luò)訪問(wèn) 控制功能。這種NAC服務(wù)器連入目標(biāo)網(wǎng)絡(luò) 的方式也是本文所舉例子使用的接入方式。
 |
| 圖1 |
2、 在線工作方式時(shí)的接入方式
在線工作方式是指NAC服務(wù)器將直接連接到網(wǎng)絡(luò)的數(shù)據(jù)鏈路當(dāng)中,如圖1.2 所示,此時(shí)的NAC服務(wù)器最少需要二塊 100/1000Mbps以太網(wǎng)網(wǎng)卡。在線工作方式的NAC服務(wù)器不僅承擔(dān)對(duì)整個(gè)內(nèi)部局域網(wǎng)中所有終端進(jìn)行監(jiān)控的任務(wù),還 得控制它們對(duì)連接在它后面的網(wǎng)絡(luò)服務(wù)器的訪問(wèn)。
此時(shí),如果硬件及網(wǎng)絡(luò)條件滿足NAC服務(wù)器的要求,那么它將會(huì) 提供其完整的NAC功能。但是,在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性,而且還存在單點(diǎn)失敗 的問(wèn)題。因此,我們必需通過(guò)提高PC硬件性能來(lái)提高NAC服務(wù)器的處理速度,通過(guò)同時(shí)運(yùn)行兩臺(tái)相同的NAC虛擬機(jī) 來(lái)提供冗余,還可以為PC提供雙CPU,雙電源,以及RAID功能來(lái)保證NAC服務(wù)器的穩(wěn)定性和業(yè)務(wù)的可持續(xù)性。但此時(shí)不能再 使用免費(fèi)的VMware軟件來(lái)運(yùn)行這些NAC虛擬機(jī)了,因?yàn)槊赓M(fèi)的VMware Player軟件并不提供冗余功能。另外,這種方式會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的調(diào)整,如果不是有此必要,可以優(yōu)先考慮使用被動(dòng)接入方式,畢竟改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)所要承擔(dān)的風(fēng)險(xiǎn)和造成的業(yè)務(wù)影響要比被動(dòng)接入方式大得多。這也是我們使用軟件NAC來(lái)打造 網(wǎng)絡(luò)訪問(wèn)控制服務(wù)器的初衷。
 |
| 圖2 |
| 共2頁(yè): 1 [2] 下一頁(yè) | ||||
|
