一、 NAC软件的选择和硬件准备
由于是使用NAC软件来打造一台NAC服务器,那么这台服务器所具有的NAC功能就与所使用的软件密切相关,因 而一 开始的首要任务就是选择一款合适的NAC软件。目前市面上真正免费开源的NAC软件还不是很多,而且,每个 NAC软 件都有它自己独自的特点和缺点,就如同专门的硬件型NAC设备一样,我们应当根据NAC软件提供的功能, 以及自 己的实际需求来选择一款合适的NAC软件。
1、NAC软件的选择
就如我刚才所说,目前真正意义上开源免费的NAC软件还不是很多,最好的要数PacketFence zen、FreeNAC和Safe Access Lite 这三款。为了便于大家选择,我在下面分别对这三款NAC软件做一个简短的说 明。(1) PacketFence zen PacketFence zen是一个免费和开源的网络访问控制软件,它使用NESSUS来对终端设备 进行弱点检测,以发现终端 设备中存在安全风险。例如存在没有修复的漏洞、计算机病毒、间谍软件和木马等, 一旦确定终端存在这些安全 风险中的一种,此终端就会被禁止访问目标网络。PacketFence zen还使用SNORT传感 器来检测来自网络的攻击活 动,并给出相应的警告。 PacketFence zen支持对许多厂商的可网管交换机进行VLAN 设置,通过划分不同VLAN来阻止不安全的终端接入网络 ,这些被支持的交换机包括3COM、思科、DELL及D-LINK等 厂商生产的可网管交换机。PacketFence zen通过 FreeRADIUS模块提供对802.1X无线的支持,FreeRADIUS模块能 为我们的有线和无线网络接入提供一种同样的安全 控制方式。PacketFence zen同时提供了对DHCP网络设备和 VOIP的支持。而且,我们可以通过WEB和命令行界面来 管理它。所有的这些功能,都让PacketFence zen完全可以 满足目前大部分中小企业的网络访问控制的需求,甚至 大型企业同样可以使用它来保护网络安全。PacketFence zen可以在大部分Linux系统中运行,我们可以下载它的二进制文件包来安装,也可以下载它的一体化VMWare虚拟 机文件来直接使用,我们可到http://www.packetfence.org/download/releases.html网站下载这些安装文件。
(2) FreeNAC
FreeNAC也是一款开源免费的NAC软件,它同样提供了对交换机划分VLAN的功能,并以MAC地址来 为计算机终端指定 动态VLAN,以此提供对局域网中各种资源的访问控制。FreeNAC能够对局域网中的服务器、工 作站、打印机和IP电 话的进行访问控制。FreeNAC能够自动发现网络中存活的各种终端,并提供了对802.1x及思 科的VMPS端口安全模块 的支持,同时还提供系统补丁包分发等功能。不过,FreeNAC虽然提供了对非网管交换机 的支持,但使用非网管交换机会让其NAC功能大打折扣,因此,如 果想发挥它所有的NAC功能,最好使用可网络交 换机,而且,为了能使用思科的VMPS功能,最好使用思科的支持 VMPS的可网管交换机。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下载,它也有一个用来安 装的二进制包,可以在Ubuntu、Fedora、Redhat和Gentoo系统中安装,它同样也存在一个VMWare虚拟机文件,这 个文件是基于Ubuntu8.04的,并 且其大小超过了1GB。
(3) Safe Access Lite
Safe Access Lite其实是Safe Access 5的免费版本,但是,它只提供被动监控功能。Safe Access Lite支持对 250台计算机终端的检测,并且支持三种终端检测方式。Safe Access Lite对网络交换 机没有特别的要求,在普通 的交换机环境中也可以很好地发挥其作用,这样,我们使用它打造NAC服务器就可以 直接连接到网络中心交换机上 的任意端口,在不需要对现有的网络做任何修改的情况下,就可以通过它来监控整 个局域网中的计算机终端,体 验NAC的带来的好处。 Safe Access Lite只支持对运行WINDOWS操作系统的计算机 终端有效,不支持其它非计算机终端(例如网络打印机 或IP电话)。并且,在使用时,所有的计算机终端必需开 启了打印机和文件共享功能,以及开放了139和445端口 ,这主要是由于Safe Access Lite的终端检测方式所决定的。Safe Access Lite也提供二种安装方式,一种是在Linux系统下安装的二进制文件,另一种为VMware虚拟机 文件。这些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下载。在下载它之前需要我们进 行简单的 免费注册,这样才能获得使用它的授权码,这个授权码是经过加密的,我们只需将它复制后保存到一个 文本文件 中即可,以便在安装Safe Access Lite时可以用此授权码来完成注册。2、NAC服务器的硬件准备当我们 选择好需要的NAC软件后,就应当按此软件的运行需求,以及我们使用NAC服务器的应用目的来准备相应的 PC硬件 平台。我们选择的硬件不仅要能满足操作系统的需求,而且要能满足NAC处理的性能要求。对于上述这三款 NAC软 件来说,如果都是通过它们的VMware虚拟机文件来使用,那么,运行它们所需的基本硬件可以是:CPU频率 在奔 腾Ⅳ2.4GHZ及以上,内存容量在1G及以上,磁盘剩余空间最少得有20GB及以上,至于以太网网卡的选择,我 们就 得依照NAC服务器将要接入目标网络的方式再来做决定,对它的需求将在下面描述NAC服务器的接入方式时一 起说 明。对NAC服务器的其它基本硬件没有特别的要求。至于自己打造的NAC服务器操作系统的选择,由于我国现在大 多数中小企业的PC使用的都是Windows XP操作系统, 而且这三款软件都有可以在此系统下使用的VMware虚拟机文 件,因此,我们可以选择Windows XP操作系统来作为 NAC服务器的操作系统平台。但是要注意的是,为了能满足 安全性的需求,我们应当对NAC所依赖的系统进行相应 的安全加固,例如只在此系统上运行NAC软件,将其它不必 要的服务和应用程序全部删除或禁用,我们不能在使用 一种新的安全防范设备的同时又带来新的安全威胁。在本 文的说明NAC软件安装和配置阶段,我选择的平台也是Windows XP操作系统。 二、NAC服务器接入网络的方式 NAC 软件和运行的硬件平台准备好以后,接下来的工作就是考虑NAC服务器将以何种方式接入目标网络的问题。通 常 ,NAC服务器有两种主要工作方式,它们是被动工作方式和在线工作方式,我们也就可以按这两种工作方式来决 定NAC服务器接入网络的方式。 1、被动工作方式时的接入方式被动工作方式就是指NAC服务器将以旁路的方式接 入到目标网络中,如图1所示。此时,NAC服务器最少需要一块 100/1000Mbps的以太网网卡,如果在监控的同时 还必需提供对交换机的管理,那么,也可以在NAC服务器中安装另 一块以太网网卡来分别处理各自原任务。对于 大多数NAC服务器来说,不论是自己打造的还是单独购买的,如果交 换机有SPAN端口,最好将网卡连接到此端口 上。通过这种方式接入目标网络,是不需要改变现有的网络结构的, 但是,这种接入方式将不能保证NAC服务器 能监控到整个局域网中的所有终端,也不能保证其提供完整的网络访问 控制功能。这种NAC服务器连入目标网络 的方式也是本文所举例子使用的接入方式。
图1
.分页: [1] [2] [3]
- 上一篇:安全使用IM即时通讯的诀窍
- 下一篇:通过远程配置实施的网络渗透