WEB开发网
开发学院网络安全安全技术 PacketFence:开源NAC奉献网络安全大餐 阅读

PacketFence:开源NAC奉献网络安全大餐

 2008-11-01 13:29:09 来源:WEB开发网   
核心提示: 此后,要同意网络策略,PacketFence:开源NAC奉献网络安全大餐(6),并且同意进行监视以遵循策略,如果在首次注册时,但是,一旦掌握此程序,工作站看似干净并遵守策略,并自动地准许成为正常VLAN的部分

此后,要同意网络策略,并且同意进行监视以遵循策略。如果在首次注册时,工作站看似干净并遵守策略,并自动地准许成为正常VLAN的部分。否则,工作站将被放置到隔离区,直至解决违反策略的问题。用户不必要做什么操作,就可以将工作站分配给一个正常的或隔离的VLAN中。一旦策略设置完成,并且在PacketFence中进行了定义,那么在工作站违反了策略时,它会被转移到隔离VLAN中;或者在工作站解决了问题后,它就会被转移到正常的VLAN中。不过,如果用户愿意,仍可以将某个工作站放到一个特定的VLAN中。

笔者利用Limewire对点到点的通信进行了隔离,编辑了配置文件/usr/local/pf/conf/violations.conf,并指定p2p通信等为违反策略的通信。要知道,此配置文件包含了一些用户可以启用和禁用的违反策略问题。当然,用户还可以从Web管理控制台配置违反规则选项,如在注册期间和在检测到违反策略时指定可以采取的行动期间,启用违反策略的检测。但是为了检测一种p2p之类的特定通信,用户必须编辑配置文件。在笔者启用了p2p违反策略后,工作站就被转到了隔离VLAN中,切断了它对互联网的访问。在用户首次运行PacketFence期间,必须对它进行配置,在违反策略的程序被关闭后,使其可以自动地将违反策略的设备和用户返回给另一个更为宽容的VLAN。

PacketFence还可以执行其它许多操作。例如,用户可以配置无线访问点(AP),使用注册VLAN和隔离VLAN的概念。要让一个无线AP与PacketFence协同工作,用户必须在AP的配置上指明VLAN。PacketFence还可以检测基于硬件的VoIP电话,以及有可能从软VoIP电话之后进行连接的工作站。还有另外一些情况,如VoIP电话和工作站共享单独一个交换机端口。更新的交换机准许VoIP和工作站可以共享一个端口,因为PacketFence依赖于在每个端口上的设备检测。通过在交换机的级别上进行调整,PacketFence就可以正确地检测VoIP电话设备和工作站。

如果一台工作站违反了已经建立的规则,或者在其系统上检测到了恶意软件,那么PacketFence将把此工作站从网络中隔离开,并将其转到一个已经定义好的网页中,这个网页会指导用户采取必要的措施清除漏洞、病毒、违反策略的做法等,对用户实施救援。如果工作站不能访问某个URL,那是因为没有浏览器或其它原因,结束这种违反策略的唯一方法是直接将共报告给管理员。如果打开了浏览器,用户会被直接指引到一个冲突页面或救治页面,实施必要的修正措施。这种页面要求用户下载并安装反病毒代理,给系统打补丁或清除某些不符合网络策略的程序。

PacketFence使用Nessus作为其漏洞扫描程序,而这种扫描可以根据时间计划或根据某个特别的基础来完成。例如,在一台工作站初次被注册时或新的威胁出现时,就会自动地对其进行扫描。因为Nessus可以自行更新,所以用户可以自动地配置PacketFence,在Nessus收到最新的威胁更新后,使其执行漏洞扫描。

结束语

PacketFence ZEN并不适用于初入此道的系统管理员。甚至对于一些有经验的IT专业人士来说,要设置PacketFence ZEN使其正常运行也有难度。这个ZEN版本的目的是使部署更为容易,不过,虽然它减少了许多复杂的任务,但在设置时仍颇为复杂。这个版本并不能使管理人员轻松安装,所以希望其开发人员能够解决前面提到的这些问题。

关于PacketFence的安装和使用技巧的相关文档算不上丰富,所以要让任何人掌握这个程序都需要花费点儿时间。但是,一旦掌握此程序,它必将为用户奉上脍炙人口的安全大餐。

上一页  1 2 3 4 5 6 

Tags:PacketFence 开源 NAC

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接