|
如果你所在的企业经常有新的计算机终端接入现有的网络当中,如果作为网络管理员 的你希望能通过一种方式了解当前网络有哪些计算机终端存活,以及这些存活的主机目前的安全状况如何?如果 你想阻止安全状况达不到企业安全策略要求的计算机终端不能接入或访问网络?那么,你应当需要一台网络访问 控制服务器(以下简称NAC)。
但是在以往,由于你和你的企业可能只对NAC技术有一个初步的了解,却不知道企业到底需要一台什么样的NAC服务器。而且,你不知道在企业现有的网络结构中实施NAC后能不能达到预期的目的,以及能否取得最佳的成本与收益平衡。因为,在现有的网络结构中部署NAC,会牵扯到网络结构变动,以及安全策略更改等诸多的方面,一轮改造下来,不仅工作繁杂,而且会耗费大量的正常业务时间,所有的这些,肯定不是企业应用NAC时所希望年到的。
更何况,由于现在专门的硬件型NAC设备价格还相当的高,企业不一定同意先购买一台昂贵的NAC设备来先做试验。就是由于存在这么多的不确定因素,让许多中小企业如今仍然徘徊在NAC的 大门之外观望。
现在,由于开源免费的NAC软件的出现,已经完全可以让我们丢掉应用NAC的诸多顾虑:企业再要担心NAC设备的价格,免费的NAC软件加上一台普通PC的硬件,要不了多少钱;我们也不担心得到的NAC软件不适用,在硬件平台稳定的情况下,我们只需更换不同的NAC软件就可以得到想要的需求,而不需要花费任何费用;我们也不必担心自己打造的NAC服务器过时,因为不仅NAC软件可以不断更新,我们还可以更换相应的硬件来满足软件和应用的要求。鉴于NAC软件给应用NAC带来的诸多好处,那么从现在开始,就和我一起来动手打造一台满足自己需求的网络访问控制服务器吧。
一、 NAC软件的选择和硬件准备
由于是使用NAC软件来打造一台NAC服务器,那么这台服务器所具有的NAC功能就与所使用的软件密切相关,因 而一开始的首要任务就是选择一款合适的NAC软件。目前市面上真正免费开源的NAC软件还不是很多,而且,每个 NAC软 件都有它自己独自的特点和缺点,就如同专门的硬件型NAC设备一样,我们应当根据NAC软件提供的功能,以及自己的实际需求来选择一款合适的NAC软件。
1、NAC软件的选择
就如我刚才所说,目前真正意义上开源免费的NAC软件还不是很多,最好的要数PacketFence zen、FreeNAC和Safe Access Lite 这三款。为了便于大家选择,我在下面分别对这三款NAC软件做一个简短的说明。
(1) PacketFence zen PacketFence zen是一个免费和开源的网络访问控制软件,它使用NESSUS来对终端设备 进行弱点检测,以发现终端设备中存在安全风险。例如存在没有修复的漏洞、计算机病毒、间谍软件和木马等,一旦确定终端存在这些安全风险中的一种,此终端就会被禁止访问目标网络。PacketFence zen还使用SNORT传感 器来检测来自网络的攻击活动,并给出相应的警告。PacketFence zen支持对许多厂商的可网管交换机进行VLAN 设置,通过划分不同VLAN来阻止不安全的终端接入网络,这些被支持的交换机包括3COM、思科、DELL及D-LINK等厂商生产的可网管交换机。PacketFence zen通过 FreeRADIUS模块提供对802.1X无线的支持,FreeRADIUS模块能为我们的有线和无线网络接入提供一种同样的安全 控制方式。PacketFence zen同时提供了对DHCP网络设备和VOIP的支持。而且,我们可以通过WEB和命令行界面来 管理它。所有的这些功能,都让PacketFence zen完全可以满足目前大部分中小企业的网络访问控制的需求,甚至大型企业同样可以使用它来保护网络安全。PacketFence zen可以在大部分Linux系统中运行,我们可以下载它的二进制文件包来安装,也可以下载它的一体化VMWare虚拟机文件来直接使用,我们可到http://www.packetfence.org/download/releases.html网站下载这些安装文件。
(2) FreeNAC
FreeNAC也是一款开源免费的NAC软件,它同样提供了对交换机划分VLAN的功能,并以MAC地址来为计算机终端指定 动态VLAN,以此提供对局域网中各种资源的访问控制。FreeNAC能够对局域网中的服务器、工作站、打印机和IP电 话的进行访问控制。FreeNAC能够自动发现网络中存活的各种终端,并提供了对802.1x及思 科的VMPS端口安全模块 的支持,同时还提供系统补丁包分发等功能。不过,FreeNAC虽然提供了对非网管交换机 的支持,但使用非网管交换机会让其NAC功能大打折扣,因此,如 果想发挥它所有的NAC功能,最好使用可网络交 换机,而且,为了能使用思科的VMPS功能,最好使用思科的支持 VMPS的可网管交换机。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下载,它也有一个用来安装的二进制包,可以在Ubuntu、Fedora、Redhat和Gentoo系统中安装,它同样也存在一个VMWare虚拟机文件,这个文件是基于Ubuntu8.04的,并且其大小超过了1GB。
(3) Safe Access Lite
Safe Access Lite其实是Safe Access 5的免费版本,但是,它只提供被动监控功能。Safe Access Lite支持对 250台计算机终端的检测,并且支持三种终端检测方式。Safe Access Lite对网络交换机没有特别的要求,在普通的交换机环境中也可以很好地发挥其作用,这样,我们使用它打造NAC服务器就可以直接连接到网络中心交换机上的任意端口,在不需要对现有的网络做任何修改的情况下,就可以通过它来监控整个局域网中的计算机终端,体验NAC的带来的好处。Safe Access Lite只支持对运行WINDOWS操作系统的计算机终端有效,不支持其它非计算机终端(例如网络打印机或IP电话)。并且,在使用时,所有的计算机终端必需开启了打印机和文件共享功能,以及开放了139和445端口,这主要是由于Safe Access Lite的终端检测方式所决定的。Safe Access Lite也提供二种安装方式,一种是在Linux系统下安装的二进制文件,另一种为VMware虚拟机 文件。这些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下载。在下载它之前需要我们进行简单的免费注册,这样才能获得使用它的授权码,这个授权码是经过加密的,我们只需将它复制后保存到一个文本文件中即可,以便在安装Safe Access Lite时可以用此授权码来完成注册。
2、NAC服务器的硬件准备
当我们选择好需要的NAC软件后,就应当按此软件的运行需求,以及我们使用NAC服务器的应用目的来准备相应的 PC硬件 平台。我们选择的硬件不仅要能满足操作系统的需求,而且要能满足NAC处理的性能要求。对于上述这三款 NAC软 件来说,如果都是通过它们的VMware虚拟机文件来使用,那么,运行它们所需的基本硬件可以是:CPU频率 在奔 腾Ⅳ2.4GHZ及以上,内存容量在1G及以上,磁盘剩余空间最少得有20GB及以上,至于以太网网卡的选择,我们就得依照NAC服务器将要接入目标网络的方式再来做决定,对它的需求将在下面描述NAC服务器的接入方式时一起说明。对NAC服务器的其它基本硬件没有特别的要求。
至于自己打造的NAC服务器操作系统的选择,由于我国现在大多数中小企业的PC使用的都是Windows XP操作系统,而且这三款软件都有可以在此系统下使用的VMware虚拟机文件,因此,我们可以选择Windows XP操作系统来作为NAC服务器的操作系统平台。但是要注意的是,为了能满足安全性的需求,我们应当对NAC所依赖的系统进行相应 的安全加固,例如只在此系统上运行NAC软件,将其它不必要的服务和应用程序全部删除或禁用,我们不能在使用 一种新的安全防范设备的同时又带来新的安全威胁。在本文的说明NAC软件安装和配置阶段,我选择的平台也是Windows XP操作系统。
二、NAC服务器接入网络的方式
NAC 软件和运行的硬件平台准备好以后,接下来的工作就是考虑NAC服务器将以何种方式接入目标网络的问题。通常 ,NAC服务器有两种主要工作方式,它们是被动工作方式和在线工作方式,我们也就可以按这两种工作方式来决 定NAC服务器接入网络的方式。1、被动工作方式时的接入方式被动工作方式就是指NAC服务器将以旁路的方式接 入到目标网络中,如图1所示。此时,NAC服务器最少需要一块 100/1000Mbps的以太网网卡,如果在监控的同时 还必需提供对交换机的管理,那么,也可以在NAC服务器中安装另 一块以太网网卡来分别处理各自原任务。对于 大多数NAC服务器来说,不论是自己打造的还是单独购买的,如果交换机有SPAN端口,最好将网卡连接到此端口上。通过这种方式接入目标网络,是不需要改变现有的网络结构的, 但是,这种接入方式将不能保证NAC服务器能监控到整个局域网中的所有终端,也不能保证其提供完整的网络访问 控制功能。这种NAC服务器连入目标网络 的方式也是本文所举例子使用的接入方式。
图1
2、 在线工作方式时的接入方式
在线工作方式是指NAC服务器将直接连接到网络的数据链路当中,如图1.2 所示,此时的NAC服务器最少需要二块 100/1000Mbps以太网网卡。在线工作方式的NAC服务器不仅承担对整个内部局域网中所有终端进行监控的任务,还 得控制它们对连接在它后面的网络服务器的访问。
此时,如果硬件及网络条件满足NAC服务器的要求,那么它将会 提供其完整的NAC功能。但是,在线工作方式的NAC需要更高的数据处理性能和硬件稳定性,而且还存在单点失败 的问题。因此,我们必需通过提高PC硬件性能来提高NAC服务器的处理速度,通过同时运行两台相同的NAC虚拟机 来提供冗余,还可以为PC提供双CPU,双电源,以及RAID功能来保证NAC服务器的稳定性和业务的可持续性。但此时不能再 使用免费的VMware软件来运行这些NAC虚拟机了,因为免费的VMware Player软件并不提供冗余功能。另外,这种方式会对现有的网络结构做出相应的调整,如果不是有此必要,可以优先考虑使用被动接入方式,毕竟改变现有网络结构所要承担的风险和造成的业务影响要比被动接入方式大得多。这也是我们使用软件NAC来打造 网络访问控制服务器的初衷。
图2 |
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|