用開源nac阻止非法網路訪問
本文將要介紹的nac代表網路准入控制(network access control),在傳統方法中,為了防止外來裝置接入企業網可以採用在交換機上設定
ip-mac
繫結,結合acl等方法使外來裝置無法接入網路。目前市面上已經出現了一些上網行為管理和審計類產品
,再此對比較知名的產品做乙個概述性介紹
,這些產品的功能也為接下來的研究工作提供了方向
,具有指導性意義。
除此之外,還包括華為、北信源等多款商業產品,下文將介紹幾
款開源的
nac工具
,它們具有更加人性化的管理
。
1.packetfence簡介
packetfence
是乙個開源的網路訪問控制軟體,它使用
nessus
來對網路節點計算機進行漏洞掃瞄,從而發現裝置中存在安全風險,一旦確定節點計算機中存在的安全風險,此終端就會被禁止訪問目標網路。
packetfence
還使用snort
感測器來檢測來自網路的攻擊活動,並給出相應的警告。
packetfence
支援對許多廠商的可網管交換機進行
vlan
設定,通過劃分不同
vlan
來阻止不安全的終端接入網路,這些被支援的交換機包括
h3c、
cisco
、dell
等廠商生產的可網管交換機。
packetfence
通過freeradius
模組提供對
802.1x
無線的支援,能為我們提供一種和有線網路同樣的安全控制方式。在管理上我們可以通過
web和命令列介面來管理它。這些管理功能完全可以滿足目前大部分中小企業的網路訪問控制的需求。
packetfence
可以在rhel
和centos linux
、debian
vmware
虛擬機器檔案來直接使用,我們可到
live
cd(最新版本5
.6.0)檔案
,放到u盤便可作為啟動系統而直接使用。
硬體配置:普通伺服器,需要
2塊高效能千兆網絡卡(一塊網絡卡用於鏈控制台,另一塊網絡卡用於收集資訊接在交換機的
span
口),對於交換機的要求為可網管交換機。
訪問web
介面:https://ip:1443/
2. packetfence部署
packetfence
的部署和
ids系統一樣,都可以採用旁路方式接入網路,即通過
span
埠的旁路訪問方式,還有種接法就是串接在防火牆之後,這樣容易造成單點故障,故筆者建議採用旁路方式連接入網。
此圖清晰的顯示了非法接入點的詳細資訊
舉例:作業系統分布資訊
舉例:packetence
的日誌
也是一款開源免費的nac軟體,它同樣提供了對交換機劃分vlan的功能,並以mac位址來為計算機終端指定 動態vlan,以此提供對區域網中各種資源的訪問控制。freenac能夠對區域網中的伺服器、工作站、印表機和ip電 話的進行訪問控制。freenac能夠自動發現網路中存活的各種終端,並提供了對802.1x及思 科的vmps埠安全模組 的支援,同時還提供系統補丁包分發等功能。不過,freenac雖然提供了對非網管交換機 的支援,但使用非網管交換機會讓其nac功能大打折扣,因此,如果想發揮它所有的nac功能,最好使用可網路交換機,而且,為了能使用思科的vmps功能,最好使用思科的支援 vmps的可網管交換機。
4. xplico
下面要說的這款開源工具,從功能上並不如上面兩款nac的功能強大,xplico即是乙個網路協議分析工具
,還是乙個開源的網路取證分析工具
(nfat),可發現異常,可以作為輔助nac工具。xplico
的目標是從捕獲的網際網路應用資料中提取資訊並顯示出來
,這指的是通過捕獲
internet
網路流量來提取各種網路應用中所包含的資料
,並從中分析出各種不同的網路應用.例如
xplico
可以實時解析通過閘道器的流量
,也可以
pcap
檔案中解析出
ip流量資料
,並解析每個郵箱(包括
pop,imap,
和smtp
協議),
解析所有
http內容,
以及voip
應用等。
xplico系統是由四個部分組成的:
解碼控制器(dema)
ip/網路解碼器(xplico)
程式集來處理解碼資料(manipulators)
視覺化系統,用來檢視結果
解碼器xplico是整個系統的核心元件,它的特點是高度模組化,可擴充套件性和可配置性。它的主要工作過程是通過資料抓取模組(cap_dissector)抓取網路中的資料報,然後將資料報輸入到各個解析元件(dissectors)中,得出的解析結果通過分發元件(dispatcher)儲存到資料庫中,最後再顯示出來。其過程如下圖所示。
從上圖可以看出,xplico對協議的分析過程採取自頂向下的流程,首先xplico捕獲到網路資料報,然後根據包中的不同字段區分出不同的協議,分成tcp、udp等協議進行分析,其中對tcp協議和udp協議再根據不同的埠號和應用層協議的特徵進一步細分,使用不同的解析器對報文進行分析和處理,最後得出結論並儲存結果。
xplico的資料獲取方法
xplico底層使用libpcap來抓取資料報,它是乙個著名的、專門用來捕獲網路資料的程式設計介面。它在很多網路安全領域得到了廣泛的應用,很多著名的網路安全系統都是基於libpcap而開發的,如著名的網路資料報捕獲和分析工具tcpdump,網路入侵檢測系統snort也是使用libpcap來實現的。libpcap幾乎成了網路資料報捕獲的標準介面。libpcap中使用了bpf過濾機制,這部分是基於核心的過濾模組,它使libpcap具有捕獲特定資料報的功能,可以過濾掉網路上不需要的資料報,而只捕獲使用者感興趣的資料報"使用libpcap可以把從網路上捕獲到的資料報儲存到乙個檔案中,還可以把資料報資訊從檔案中讀出,讀出的結果與從網路上捕獲資料報的結果是一樣的。libpcap的作用主要有以下四個方面:
1 捕獲各種網路資料報
2 分析網路資料報
3 儲存網路資料報
4過濾網路資料報
該書評價
用開源NAC阻止非法網路訪問
用開源nac阻止非法網路訪問 本文將要介紹的nac代表網路准入控制 network access control 在傳統方法中,為了防止外來裝置接入企業網可以採用在交換機上設定 ip mac 繫結,結合acl等方法使外來裝置無法接入網路。目前市面上已經出現了一些上網行為管理和審計類產品 再此對比較知...
開源 非開源 呼籲開源!
開源 非開源 對於我和我的朋友來說,開源對於我們的生活至關重要。這不是工作或職業,而是 我認為這是我為cloud evangelist播客錄製的最重要的歌曲之一。這是我們談話的摘錄 去年,我在英國的年輕線州 new rewired state 的邊緣地帶,這正在進行中,它向我展示了很多孩子從未有過程...
開源 非開源 輕鬆進入開源
開源 非開源 開源使人們感到恐懼。將它們扔到最深處通常不會減輕這種恐懼。相反,我們需要幫助人們簡化使用開放源 的過程。技術教練兼作家scott nesbitt分享一些建議來幫助您做到這一點。首先,遏制使用開源肥皂盒的衝動。相反,請發掘其中的核心 向他們展示如何使用它進行工作。開源不僅適用於技術人員。...