自己動手打造企業(yè)網(wǎng)絡(luò)訪問控制器
原創(chuàng)【51CTO.com 獨家特稿】如果你所在的企業(yè)經(jīng)常有新的計算機(jī)終端接入現(xiàn)有的網(wǎng)絡(luò)當(dāng)中,如果作為網(wǎng)絡(luò)管理員 的你希望能通過一種方式了解當(dāng)前網(wǎng)絡(luò)有哪些計算機(jī)終端存活,以及這些存活的主機(jī)目前的安全狀況如何?如果 你想阻止安全狀況達(dá)不到企業(yè)安全策略要求的計算機(jī)終端不能接入或訪問網(wǎng)絡(luò)?那么,你應(yīng)當(dāng)需要一臺網(wǎng)絡(luò)訪問 控制服務(wù)器(以下簡稱NAC)。
但是在以往,由于你和你的企業(yè)可能只對NAC技術(shù)有一個初步的了解,卻不知道企業(yè)到底需要一臺什么樣的NAC服務(wù)器。而且,你不知道在企業(yè)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)中實施NAC后能不能達(dá)到預(yù)期的目的,以及能否取得最佳的成本與收益平衡。因為,在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)中部署NAC,會牽扯到網(wǎng)絡(luò)結(jié)構(gòu)變動,以及安全策略更改等諸多的方面,一輪改造下來,不僅工作繁雜,而且會耗費大量的正常業(yè)務(wù)時間,所有的這些,肯定不是企業(yè)應(yīng)用NAC時所希望年到的。
更何況,由于現(xiàn)在專門的硬件型NAC設(shè)備價格還相當(dāng)?shù)母撸髽I(yè)不一定同意先購買一臺昂貴的NAC設(shè)備來先做試驗。就是由于存在這么多的不確定因素,讓許多中小企業(yè)如今仍然徘徊在NAC的 大門之外觀望。
現(xiàn)在,由于開源免費的NAC軟件的出現(xiàn),已經(jīng)完全可以讓我們丟掉應(yīng)用NAC的諸多顧慮:企業(yè)再要擔(dān)心NAC設(shè)備的價格,免費的NAC軟件加上一臺普通PC的硬件,要不了多少錢;我們也不擔(dān)心得到的NAC軟件不適用,在硬件平臺穩(wěn)定的情況下,我們只需更換不同的NAC軟件就可以得到想要的需求,而不需要花費任何費用;我們也不必?fù)?dān)心自己打造的NAC服務(wù)器過時,因為不僅NAC軟件可以不斷更新,我們還可以更換相應(yīng)的硬件來滿足軟件和應(yīng)用的要求。鑒于NAC軟件給應(yīng)用NAC帶來的諸多好處,那么從現(xiàn)在開始,就和我一起來動手打造一臺滿足自己需求的網(wǎng)絡(luò)訪問控制服務(wù)器吧。
一、 NAC軟件的選擇和硬件準(zhǔn)備
由于是使用NAC軟件來打造一臺NAC服務(wù)器,那么這臺服務(wù)器所具有的NAC功能就與所使用的軟件密切相關(guān),因 而一開始的首要任務(wù)就是選擇一款合適的NAC軟件。目前市面上真正免費開源的NAC軟件還不是很多,而且,每個 NAC軟 件都有它自己獨自的特點和缺點,就如同專門的硬件型NAC設(shè)備一樣,我們應(yīng)當(dāng)根據(jù)NAC軟件提供的功能,以及自己的實際需求來選擇一款合適的NAC軟件。
1、NAC軟件的選擇
就如我剛才所說,目前真正意義上開源免費的NAC軟件還不是很多,最好的要數(shù)PacketFence zen、FreeNAC和Safe Access Lite 這三款。為了便于大家選擇,我在下面分別對這三款NAC軟件做一個簡短的說明。
(1) PacketFence zen PacketFence zen是一個免費和開源的網(wǎng)絡(luò)訪問控制軟件,它使用NESSUS來對終端設(shè)備 進(jìn)行弱點檢測,以發(fā)現(xiàn)終端設(shè)備中存在安全風(fēng)險。例如存在沒有修復(fù)的漏洞、計算機(jī)病毒、間諜軟件和木馬等,一旦確定終端存在這些安全風(fēng)險中的一種,此終端就會被禁止訪問目標(biāo)網(wǎng)絡(luò)。PacketFence zen還使用SNORT傳感 器來檢測來自網(wǎng)絡(luò)的攻擊活動,并給出相應(yīng)的警告。PacketFence zen支持對許多廠商的可網(wǎng)管交換機(jī)進(jìn)行VLAN 設(shè)置,通過劃分不同VLAN來阻止不安全的終端接入網(wǎng)絡(luò),這些被支持的交換機(jī)包括3COM、思科、DELL及D-LINK等廠商生產(chǎn)的可網(wǎng)管交換機(jī)。PacketFence zen通過 FreeRADIUS模塊提供對802.1X無線的支持,F(xiàn)reeRADIUS模塊能為我們的有線和無線網(wǎng)絡(luò)接入提供一種同樣的安全 控制方式。PacketFence zen同時提供了對DHCP網(wǎng)絡(luò)設(shè)備和VOIP的支持。而且,我們可以通過WEB和命令行界面來 管理它。所有的這些功能,都讓PacketFence zen完全可以滿足目前大部分中小企業(yè)的網(wǎng)絡(luò)訪問控制的需求,甚至大型企業(yè)同樣可以使用它來保護(hù)網(wǎng)絡(luò)安全。PacketFence zen可以在大部分Linux系統(tǒng)中運行,我們可以下載它的二進(jìn)制文件包來安裝,也可以下載它的一體化VMWare虛擬機(jī)文件來直接使用,我們可到http://www.packetfence.org/download/releases.html網(wǎng)站下載這些安裝文件。
(2) FreeNAC
FreeNAC也是一款開源免費的NAC軟件,它同樣提供了對交換機(jī)劃分VLAN的功能,并以MAC地址來為計算機(jī)終端指定 動態(tài)VLAN,以此提供對局域網(wǎng)中各種資源的訪問控制。FreeNAC能夠?qū)钟蚓W(wǎng)中的服務(wù)器、工作站、打印機(jī)和IP電 話的進(jìn)行訪問控制。FreeNAC能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存活的各種終端,并提供了對802.1x及思 科的VMPS端口安全模塊 的支持,同時還提供系統(tǒng)補丁包分發(fā)等功能。不過,F(xiàn)reeNAC雖然提供了對非網(wǎng)管交換機(jī) 的支持,但使用非網(wǎng)管交換機(jī)會讓其NAC功能大打折扣,因此,如 果想發(fā)揮它所有的NAC功能,最好使用可網(wǎng)絡(luò)交 換機(jī),而且,為了能使用思科的VMPS功能,最好使用思科的支持 VMPS的可網(wǎng)管交換機(jī)。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下載,它也有一個用來安裝的二進(jìn)制包,可以在Ubuntu、Fedora、Redhat和Gentoo系統(tǒng)中安裝,它同樣也存在一個VMWare虛擬機(jī)文件,這個文件是基于Ubuntu8.04的,并且其大小超過了1GB。
(3) Safe Access Lite
Safe Access Lite其實是Safe Access 5的免費版本,但是,它只提供被動監(jiān)控功能。Safe Access Lite支持對 250臺計算機(jī)終端的檢測,并且支持三種終端檢測方式。Safe Access Lite對網(wǎng)絡(luò)交換機(jī)沒有特別的要求,在普通的交換機(jī)環(huán)境中也可以很好地發(fā)揮其作用,這樣,我們使用它打造NAC服務(wù)器就可以直接連接到網(wǎng)絡(luò)中心交換機(jī)上的任意端口,在不需要對現(xiàn)有的網(wǎng)絡(luò)做任何修改的情況下,就可以通過它來監(jiān)控整個局域網(wǎng)中的計算機(jī)終端,體驗NAC的帶來的好處。Safe Access Lite只支持對運行WINDOWS操作系統(tǒng)的計算機(jī)終端有效,不支持其它非計算機(jī)終端(例如網(wǎng)絡(luò)打印機(jī)或IP電話)。并且,在使用時,所有的計算機(jī)終端必需開啟了打印機(jī)和文件共享功能,以及開放了139和445端口,這主要是由于Safe Access Lite的終端檢測方式所決定的。Safe Access Lite也提供二種安裝方式,一種是在Linux系統(tǒng)下安裝的二進(jìn)制文件,另一種為VMware虛擬機(jī) 文件。這些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下載。在下載它之前需要我們進(jìn)行簡單的免費注冊,這樣才能獲得使用它的授權(quán)碼,這個授權(quán)碼是經(jīng)過加密的,我們只需將它復(fù)制后保存到一個文本文件中即可,以便在安裝Safe Access Lite時可以用此授權(quán)碼來完成注冊。
2、NAC服務(wù)器的硬件準(zhǔn)備
當(dāng)我們選擇好需要的NAC軟件后,就應(yīng)當(dāng)按此軟件的運行需求,以及我們使用NAC服務(wù)器的應(yīng)用目的來準(zhǔn)備相應(yīng)的 PC硬件 平臺。我們選擇的硬件不僅要能滿足操作系統(tǒng)的需求,而且要能滿足NAC處理的性能要求。對于上述這三款 NAC軟 件來說,如果都是通過它們的VMware虛擬機(jī)文件來使用,那么,運行它們所需的基本硬件可以是:CPU頻率 在奔 騰Ⅳ2.4GHZ及以上,內(nèi)存容量在1G及以上,磁盤剩余空間最少得有20GB及以上,至于以太網(wǎng)網(wǎng)卡的選擇,我們就得依照NAC服務(wù)器將要接入目標(biāo)網(wǎng)絡(luò)的方式再來做決定,對它的需求將在下面描述NAC服務(wù)器的接入方式時一起說明。對NAC服務(wù)器的其它基本硬件沒有特別的要求。
至于自己打造的NAC服務(wù)器操作系統(tǒng)的選擇,由于我國現(xiàn)在大多數(shù)中小企業(yè)的PC使用的都是Windows XP操作系統(tǒng),而且這三款軟件都有可以在此系統(tǒng)下使用的VMware虛擬機(jī)文件,因此,我們可以選擇Windows XP操作系統(tǒng)來作為NAC服務(wù)器的操作系統(tǒng)平臺。但是要注意的是,為了能滿足安全性的需求,我們應(yīng)當(dāng)對NAC所依賴的系統(tǒng)進(jìn)行相應(yīng) 的安全加固,例如只在此系統(tǒng)上運行NAC軟件,將其它不必要的服務(wù)和應(yīng)用程序全部刪除或禁用,我們不能在使用 一種新的安全防范設(shè)備的同時又帶來新的安全威脅。在本文的說明NAC軟件安裝和配置階段,我選擇的平臺也是Windows XP操作系統(tǒng)。
二、NAC服務(wù)器接入網(wǎng)絡(luò)的方式
NAC 軟件和運行的硬件平臺準(zhǔn)備好以后,接下來的工作就是考慮NAC服務(wù)器將以何種方式接入目標(biāo)網(wǎng)絡(luò)的問題。通常 ,NAC服務(wù)器有兩種主要工作方式,它們是被動工作方式和在線工作方式,我們也就可以按這兩種工作方式來決 定NAC服務(wù)器接入網(wǎng)絡(luò)的方式。1、被動工作方式時的接入方式被動工作方式就是指NAC服務(wù)器將以旁路的方式接 入到目標(biāo)網(wǎng)絡(luò)中,如圖1所示。此時,NAC服務(wù)器最少需要一塊 100/1000Mbps的以太網(wǎng)網(wǎng)卡,如果在監(jiān)控的同時 還必需提供對交換機(jī)的管理,那么,也可以在NAC服務(wù)器中安裝另 一塊以太網(wǎng)網(wǎng)卡來分別處理各自原任務(wù)。對于 大多數(shù)NAC服務(wù)器來說,不論是自己打造的還是單獨購買的,如果交換機(jī)有SPAN端口,最好將網(wǎng)卡連接到此端口上。通過這種方式接入目標(biāo)網(wǎng)絡(luò),是不需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)的, 但是,這種接入方式將不能保證NAC服務(wù)器能監(jiān)控到整個局域網(wǎng)中的所有終端,也不能保證其提供完整的網(wǎng)絡(luò)訪問 控制功能。這種NAC服務(wù)器連入目標(biāo)網(wǎng)絡(luò) 的方式也是本文所舉例子使用的接入方式。
 |
| 圖1 |
2、 在線工作方式時的接入方式
在線工作方式是指NAC服務(wù)器將直接連接到網(wǎng)絡(luò)的數(shù)據(jù)鏈路當(dāng)中,如圖1.2 所示,此時的NAC服務(wù)器最少需要二塊 100/1000Mbps以太網(wǎng)網(wǎng)卡。在線工作方式的NAC服務(wù)器不僅承擔(dān)對整個內(nèi)部局域網(wǎng)中所有終端進(jìn)行監(jiān)控的任務(wù),還 得控制它們對連接在它后面的網(wǎng)絡(luò)服務(wù)器的訪問。
此時,如果硬件及網(wǎng)絡(luò)條件滿足NAC服務(wù)器的要求,那么它將會 提供其完整的NAC功能。但是,在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性,而且還存在單點失敗 的問題。因此,我們必需通過提高PC硬件性能來提高NAC服務(wù)器的處理速度,通過同時運行兩臺相同的NAC虛擬機(jī) 來提供冗余,還可以為PC提供雙CPU,雙電源,以及RAID功能來保證NAC服務(wù)器的穩(wěn)定性和業(yè)務(wù)的可持續(xù)性。但此時不能再 使用免費的VMware軟件來運行這些NAC虛擬機(jī)了,因為免費的VMware Player軟件并不提供冗余功能。另外,這種方式會對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的調(diào)整,如果不是有此必要,可以優(yōu)先考慮使用被動接入方式,畢竟改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)所要承擔(dān)的風(fēng)險和造成的業(yè)務(wù)影響要比被動接入方式大得多。這也是我們使用軟件NAC來打造 網(wǎng)絡(luò)訪問控制服務(wù)器的初衷。
 |
| 圖2 |
#p#
二、 軟件的安裝與配置
接下來的任務(wù)就完成所選擇的NAC軟件的安裝與配置,這樣,我們自己動手技術(shù)先進(jìn)的NAC服務(wù)器才具有真正的意 義。如 果我們選擇使用虛擬機(jī)文件來運行這些NAC軟件,那么,安裝NAC軟件的過程將只是如何通過VMware虛擬機(jī)軟件 來 運行它們的事情。在本文中,我將以安裝和配置Safe Access Lite為例來說明NAC軟件的安裝和配置方法,其它 兩個文件的安裝與配置與此軟件大致相同,除了會在安裝配置Safe Access Lite軟件后會說明FreeNAC軟件在安裝 過程中的注意點外,其它的就不再此做詳細(xì)的說明。為了能運行這些NAC的VMware虛擬機(jī)文件,我們除了可使用VMware相關(guān)商業(yè)軟件來運行外,也可以到 www.VMwareware.com/products/player下載免費的VMware Player.exe 來運行這些VMware虛擬機(jī)文件,它只提供對 vmx為擴(kuò)展名的VMware虛擬機(jī)的運行,而不提供制作虛擬機(jī)等其它功 能。下載回來后,應(yīng)當(dāng)安裝到運行NAC軟件的 系統(tǒng)中,以便下面能夠正常使用。1、Safe Access Lite軟件的基 本安裝與配置完成這些工作后,就可以開始安裝Safe Access Lite。說是安裝,其實并不如安裝其它軟件那樣進(jìn)行,由于我們 使用的是一個Safe Access Lite的VMware虛擬機(jī)文件,其中已經(jīng)包括了運行它所必需的所有環(huán)境,我們現(xiàn)在要做 的,就是通過解壓縮軟件將下載回來的Safe Access Lite的VMware虛擬機(jī)文件壓縮包解壓到一個文 件夾中,例如 E:\Safelite,然后啟動VMware Player軟件,單擊其主界面中的“Open”按鈕,在打開的選擇文件 對話框中選擇 E:\Safelite文件夾下的“Safe Access Lite.vmx”虛擬機(jī)文件,確定選擇后就會啟動Safe Access Lite虛擬機(jī)。當(dāng)出現(xiàn)如圖3.1所示的Safe Access Lite虛擬機(jī)字符終端登錄界面時,在“l(fā)ogin”提示符下輸入 “root”,回車后就會出現(xiàn)提示輸入密碼的提示符,此時在“password”提示符下輸入Safe Access Lite 默認(rèn)的根密碼 “safeaccess”,按回車鍵后就可以登錄到Safe Access Lite虛擬機(jī)的字符終端。
 |
| 圖3 |
接下來,我們就要通過下列所示的命令來完成與交換機(jī)相連的以太網(wǎng)網(wǎng)卡的網(wǎng)絡(luò)設(shè)置,以便接下來可以通過 WEB圖 形化界面更加直觀地完成安裝設(shè)置和管理它。在本文中,我通過輸入以下命令來設(shè)置NAC服務(wù)器網(wǎng)卡的IP地 址為 192.168.1.10、子網(wǎng)掩碼為255.255.255.0及缺省網(wǎng)關(guān)為192.168.1.1: # network-settings.py 192.168.1.10 255.255.255.0 192.168.1.1 輸入以上命令并按回車鍵后,不一會兒就會完成網(wǎng)卡的基本設(shè)置,并 回到根用戶提示符下。現(xiàn)在,重新啟動一次 Safe Access Lite虛擬機(jī),以便我們能夠使用剛才設(shè)置的IP地址,通 過WEB方式繼續(xù)完成它的安裝設(shè)置。
2、 通過WEB方式繼續(xù)完成Safe Access Lite的安裝設(shè)置現(xiàn)在,我們還必需使用WEB方式來進(jìn)一步設(shè)置Safe Access Lite,才能完成它的整個安裝過程。在與Safe Access Lite打造的NAC服務(wù)器相連的局域網(wǎng)內(nèi)任意選擇一 臺計算機(jī),運行安裝在此主機(jī)系統(tǒng)上的WEB瀏覽器,在瀏覽器的 地址欄中輸入“https:// Safe Access Lite虛擬 機(jī)的IP地址”,在本文中,我輸入的是192.168.1.10,按回車鍵 后,就會出現(xiàn)一個SSL連接的安全警告對話框, 單擊此對話框中的“是”按鈕,就會出現(xiàn)一個讓我們接受授權(quán)聲明 的界面,在此界面中選擇“I Accept this license agreement”單項選擇按鈕,然后單擊“Next”按鈕就可以進(jìn) 入下一個WEB設(shè)置界面。接下來就會出現(xiàn)一 個如圖3.2所示的服務(wù)器管理設(shè)置界面。在此界面中的“Root password”文本框中輸入新設(shè)置 的根密碼,以替換 系統(tǒng)默認(rèn)的根密碼,然后在“Re-enter Root password”文本框中再輸入一次新設(shè)置的密碼。 在“data and time”區(qū)域中的“region”下拉框中選擇“asia”區(qū)域,再在“time zone”下拉框中選擇 “shanghai”時區(qū)。 然后在“network settings”區(qū)域中的“host name”文本框中輸入NAC服務(wù)器主機(jī)名,例如 mynac,然后在其下 的“DNS IP address ”文本框中輸入主DNS服務(wù)器的IP地址。如果我們不通過代理服務(wù)器方式 連接因特網(wǎng),那么 完成這些設(shè)置后,直接單擊此界面中的“Next”按鈕,就會出現(xiàn)如圖3.3所示的輸入授權(quán)碼的界面。
 |
| 圖4 |
 |
| 圖5 |
 |
| 圖6 |
 |
| 圖7 |
在Safe Access Lite WEB管理主界面的左邊,是進(jìn)行相應(yīng)設(shè)置的各個功能選項,當(dāng)我們選擇某個選項后,就可 以 出現(xiàn)相應(yīng)的管理設(shè)置界面。其中“Endpoint activity”選項用來查看網(wǎng)絡(luò)中當(dāng)前存活終端的狀態(tài);“NAC Policies”選項中的內(nèi)容用來設(shè)置檢測終端的NAC安全策略;“System Configuration”選項中的內(nèi)容用來設(shè)置終 端檢測模式及其它內(nèi)容;“System Monitor”選項用來顯示NAC服務(wù)器的系統(tǒng)資源使用狀況;“Reports”選項用 來查看NAC服務(wù)器產(chǎn)生的各種報告。
3、 Safe Access Lite NAC服務(wù)器的基本應(yīng)用
(1)、選擇終端檢測模式 Safe Access Lite提供三種終端測試 模式,它們分別是: ActiveX plug-in檢測模式:使用此種模式不需要被檢測的終端安裝任何客戶端,所有的 Windows系統(tǒng)客戶端都支 持這種檢測模式,但非Windows系統(tǒng)不支持。使用些種檢測方式不能在系統(tǒng)中禁用 ActiveX腳本的使用,且IE安裝 設(shè)置也必需允許ActiveX腳本的運行。如果需要與NAC服務(wù)器交互必需下載和安全 相應(yīng)的控件。 NAC Agent檢測模式:此種檢測模式被所有的Windows系統(tǒng)所支持,一些基于Linux內(nèi)核的系統(tǒng)也支 持此種檢測方式 ,但需要在系統(tǒng)中安裝相應(yīng)的客戶端。此種檢測模式可以重復(fù)進(jìn)行檢測,并且可以自動更新,如 果需要與NAC服務(wù) 器交互必需下載和安全相應(yīng)的控件。 Agentless檢測模式:此種檢測模式只支持Windows系統(tǒng), 也不需要安裝客戶端。但是終端系統(tǒng)上必需啟用了打印 機(jī)和文件共享功能,還有,如果計算機(jī)用戶不在一個 Windows系統(tǒng)域中,就必需指定此終端的位置標(biāo)識,同時,使 用此種功能,終端和服務(wù)器上都必需開放139和445 端口。設(shè)置終端檢測模式時,我們可以在Safe Access Lite的WEB配置主界面,通過單擊“System configuration ”—— “ Testing methods”,在出現(xiàn)的如圖8所示的選擇終端檢測模式的界面中,選擇需要使用的三種終端 檢測方式 中的一種或全部,默認(rèn)是三種方式全部使用,完全設(shè)置后單擊“OK”按鈕就可以完成終端檢測方式的設(shè)置。
 |
| 圖8 |
 |
| 圖9 |
 |
| 圖10 |
 |
| 圖11 |
 |
| 圖12 |
【編輯推薦】
