圖1
2、 在線工作方式時(shí)的接入方式
在線工作方式是指NAC服務(wù)器將直接連接到網(wǎng)絡(luò)的數(shù)據(jù)鏈路當(dāng)中,如圖1.2 所示,此時(shí)的NAC服務(wù)器最少需要二塊 100/1000Mbps以太網(wǎng)網(wǎng)卡。在線工作方式的NAC服務(wù)器不僅承擔(dān)對(duì)整個(gè)內(nèi)部局域網(wǎng)中所有終端進(jìn)行監(jiān)控的任務(wù),還 得控制它們對(duì)連接在它后面的網(wǎng)絡(luò)服務(wù)器的訪問。
此時(shí),如果硬件及網(wǎng)絡(luò)條件滿足NAC服務(wù)器的要求,那么它將會(huì) 提供其完整的NAC功能。但是,在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性,而且還存在單點(diǎn)失敗 的問題。因此,我們必需通過提高PC硬件性能來提高NAC服務(wù)器的處理速度,通過同時(shí)運(yùn)行兩臺(tái)相同的NAC虛擬機(jī) 來提供冗余,還可以為PC提供雙CPU,雙電源,以及RAID功能來保證NAC服務(wù)器的穩(wěn)定性和業(yè)務(wù)的可持續(xù)性。但此時(shí)不能再 使用免費(fèi)的VMware軟件來運(yùn)行這些NAC虛擬機(jī)了,因?yàn)槊赓M(fèi)的VMware Player軟件并不提供冗余功能。另外,這種方式會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的調(diào)整,如果不是有此必要,可以優(yōu)先考慮使用被動(dòng)接入方式,畢竟改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)所要承擔(dān)的風(fēng)險(xiǎn)和造成的業(yè)務(wù)影響要比被動(dòng)接入方式大得多。這也是我們使用軟件NAC來打造 網(wǎng)絡(luò)訪問控制服務(wù)器的初衷。
圖2
二、 軟件的安裝與配置
接下來的任務(wù)就完成所選擇的NAC軟件的安裝與配置,這樣,我們自己動(dòng)手技術(shù)先進(jìn)的NAC服務(wù)器才具有真正的意 義。如 果我們選擇使用虛擬機(jī)文件來運(yùn)行這些NAC軟件,那么,安裝NAC軟件的過程將只是如何通過VMware虛擬機(jī)軟件 來 運(yùn)行它們的事情。在本文中,我將以安裝和配置Safe Access Lite為例來說明NAC軟件的安裝和配置方法,其它 兩個(gè)文件的安裝與配置與此軟件大致相同,除了會(huì)在安裝配置Safe Access Lite軟件后會(huì)說明FreeNAC軟件在安裝 過程中的注意點(diǎn)外,其它的就不再此做詳細(xì)的說明。為了能運(yùn)行這些NAC的VMware虛擬機(jī)文件,我們除了可使用VMware相關(guān)商業(yè)軟件來運(yùn)行外,也可以到 www.VMwareware.com/products/player下載免費(fèi)的VMware Player.exe 來運(yùn)行這些VMware虛擬機(jī)文件,它只提供對(duì) vmx為擴(kuò)展名的VMware虛擬機(jī)的運(yùn)行,而不提供制作虛擬機(jī)等其它功 能。下載回來后,應(yīng)當(dāng)安裝到運(yùn)行NAC軟件的 系統(tǒng)中,以便下面能夠正常使用。1、Safe Access Lite軟件的基 本安裝與配置完成這些工作后,就可以開始安裝Safe Access Lite。說是安裝,其實(shí)并不如安裝其它軟件那樣進(jìn)行,由于我們 使用的是一個(gè)Safe Access Lite的VMware虛擬機(jī)文件,其中已經(jīng)包括了運(yùn)行它所必需的所有環(huán)境,我們現(xiàn)在要做 的,就是通過解壓縮軟件將下載回來的Safe Access Lite的VMware虛擬機(jī)文件壓縮包解壓到一個(gè)文 件夾中,例如 E:Safelite,然后啟動(dòng)VMware Player軟件,單擊其主界面中的“Open”按鈕,在打開的選擇文件 對(duì)話框中選擇 E:Safelite文件夾下的“Safe Access Lite.vmx”虛擬機(jī)文件,確定選擇后就會(huì)啟動(dòng)Safe Access Lite虛擬機(jī)。當(dāng)出現(xiàn)如圖3.1所示的Safe Access Lite虛擬機(jī)字符終端登錄界面時(shí),在“login”提示符下輸入 “root”,回車后就會(huì)出現(xiàn)提示輸入密碼的提示符,此時(shí)在“password”提示符下輸入Safe Access Lite 默認(rèn)的根密碼 “safeaccess”,按回車鍵后就可以登錄到Safe Access Lite虛擬機(jī)的字符終端。
圖3
接下來,我們就要通過下列所示的命令來完成與交換機(jī)相連的以太網(wǎng)網(wǎng)卡的網(wǎng)絡(luò)設(shè)置,以便接下來可以通過 WEB圖 形化界面更加直觀地完成安裝設(shè)置和管理它。在本文中,我通過輸入以下命令來設(shè)置NAC服務(wù)器網(wǎng)卡的IP地 址為 192.168.1.10、子網(wǎng)掩碼為255.255.255.0及缺省網(wǎng)關(guān)為192.168.1.1: # network-settings.py 192.168.1.10 255.255.255.0 192.168.1.1 輸入以上命令并按回車鍵后,不一會(huì)兒就會(huì)完成網(wǎng)卡的基本設(shè)置,并 回到根用戶提示符下?,F(xiàn)在,重新啟動(dòng)一次 Safe Access Lite虛擬機(jī),以便我們能夠使用剛才設(shè)置的IP地址,通 過WEB方式繼續(xù)完成它的安裝設(shè)置。
2、 通過WEB方式繼續(xù)完成Safe Access Lite的安裝設(shè)置現(xiàn)在,我們還必需使用WEB方式來進(jìn)一步設(shè)置Safe Access Lite,才能完成它的整個(gè)安裝過程。在與Safe Access Lite打造的NAC服務(wù)器相連的局域網(wǎng)內(nèi)任意選擇一 臺(tái)計(jì)算機(jī),運(yùn)行安裝在此主機(jī)系統(tǒng)上的WEB瀏覽器,在瀏覽器的 地址欄中輸入“https:// Safe Access Lite虛擬 機(jī)的IP地址”,在本文中,我輸入的是192.168.1.10,按回車鍵 后,就會(huì)出現(xiàn)一個(gè)SSL連接的安全警告對(duì)話框, 單擊此對(duì)話框中的“是”按鈕,就會(huì)出現(xiàn)一個(gè)讓我們接受授權(quán)聲明 的界面,在此界面中選擇“I Accept this license agreement”單項(xiàng)選擇按鈕,然后單擊“Next”按鈕就可以進(jìn) 入下一個(gè)WEB設(shè)置界面。接下來就會(huì)出現(xiàn)一 個(gè)如圖3.2所示的服務(wù)器管理設(shè)置界面。在此界面中的“Root password”文本框中輸入新設(shè)置 的根密碼,以替換 系統(tǒng)默認(rèn)的根密碼,然后在“Re-enter Root password”文本框中再輸入一次新設(shè)置的密碼。 在“data and time”區(qū)域中的“region”下拉框中選擇“asia”區(qū)域,再在“time zone”下拉框中選擇 “shanghai”時(shí)區(qū)。 然后在“network settings”區(qū)域中的“host name”文本框中輸入NAC服務(wù)器主機(jī)名,例如 mynac,然后在其下 的“DNS IP address ”文本框中輸入主DNS服務(wù)器的IP地址。如果我們不通過代理服務(wù)器方式 連接因特網(wǎng),那么 完成這些設(shè)置后,直接單擊此界面中的“Next”按鈕,就會(huì)出現(xiàn)如圖3.3所示的輸入授權(quán)碼的界面。
圖4
圖5
此時(shí),將在下載Safe Access Lite虛擬機(jī)文件時(shí)得到的授權(quán)碼復(fù)制后,粘貼到此界面中的“License key”文本框 中,然后單擊此界面中的 “Next”按鈕就會(huì)進(jìn)入如圖6所示的創(chuàng)建管理員帳戶界面。
圖6
在創(chuàng)建管理員帳戶界面中的 “user name”文本框中輸入要?jiǎng)?chuàng)建的管理員帳戶名稱,在“password”文本框中 輸入密碼,在“re-enter password”文本框中重新輸入一次新建立的管理員密碼。完成這些設(shè)置后,單擊此界面 中的“Finish”按鈕,就 可以完成Safe Access Lite所有的安裝設(shè)置,然后就會(huì)進(jìn)入如圖7所示的Safe Access Lite WEB管理主界面。
圖7
在Safe Access Lite WEB管理主界面的左邊,是進(jìn)行相應(yīng)設(shè)置的各個(gè)功能選項(xiàng),當(dāng)我們選擇某個(gè)選項(xiàng)后,就可 以 出現(xiàn)相應(yīng)的管理設(shè)置界面。其中“Endpoint activity”選項(xiàng)用來查看網(wǎng)絡(luò)中當(dāng)前存活終端的狀態(tài);“NAC Policies”選項(xiàng)中的內(nèi)容用來設(shè)置檢測(cè)終端的NAC安全策略;“System Configuration”選項(xiàng)中的內(nèi)容用來設(shè)置終 端檢測(cè)模式及其它內(nèi)容;“System Monitor”選項(xiàng)用來顯示NAC服務(wù)器的系統(tǒng)資源使用狀況;“Reports”選項(xiàng)用 來查看NAC服務(wù)器產(chǎn)生的各種報(bào)告。
3、 Safe Access Lite NAC服務(wù)器的基本應(yīng)用
(1)、選擇終端檢測(cè)模式 Safe Access Lite提供三種終端測(cè)試 模式,它們分別是: ActiveX plug-in檢測(cè)模式:使用此種模式不需要被檢測(cè)的終端安裝任何客戶端,所有的 Windows系統(tǒng)客戶端都支 持這種檢測(cè)模式,但非Windows系統(tǒng)不支持。使用些種檢測(cè)方式不能在系統(tǒng)中禁用 ActiveX腳本的使用,且IE安裝 設(shè)置也必需允許ActiveX腳本的運(yùn)行。如果需要與NAC服務(wù)器交互必需下載和安全 相應(yīng)的控件。 NAC Agent檢測(cè)模式:此種檢測(cè)模式被所有的Windows系統(tǒng)所支持,一些基于Linux內(nèi)核的系統(tǒng)也支 持此種檢測(cè)方式 ,但需要在系統(tǒng)中安裝相應(yīng)的客戶端。此種檢測(cè)模式可以重復(fù)進(jìn)行檢測(cè),并且可以自動(dòng)更新,如 果需要與NAC服務(wù) 器交互必需下載和安全相應(yīng)的控件。 Agentless檢測(cè)模式:此種檢測(cè)模式只支持Windows系統(tǒng), 也不需要安裝客戶端。但是終端系統(tǒng)上必需啟用了打印 機(jī)和文件共享功能,還有,如果計(jì)算機(jī)用戶不在一個(gè) Windows系統(tǒng)域中,就必需指定此終端的位置標(biāo)識(shí),同時(shí),使 用此種功能,終端和服務(wù)器上都必需開放139和445 端口。設(shè)置終端檢測(cè)模式時(shí),我們可以在Safe Access Lite的WEB配置主界面,通過單擊“System configuration ”—— “ Testing methods”,在出現(xiàn)的如圖8所示的選擇終端檢測(cè)模式的界面中,選擇需要使用的三種終端 檢測(cè)方式 中的一種或全部,默認(rèn)是三種方式全部使用,完全設(shè)置后單擊“OK”按鈕就可以完成終端檢測(cè)方式的設(shè)置。
圖8
(2)、設(shè)置NAC 檢測(cè)策略(NAC Policies)在Safe Access Lite的WEB配置主界面,單擊“NAC Policies”選項(xiàng)就可以打開如圖9所示的設(shè)置NAC 檢測(cè)策略界 面。Safe Access Lite有三種級(jí)別的檢測(cè)策略:low security、medium security和High security。 Safe Access Lite默認(rèn)low security作為基本的安全檢測(cè)級(jí)別,此時(shí),一旦Safe Access Lite NAC服務(wù)器檢測(cè)到 終端系統(tǒng)中存在安全漏洞或沒有安裝相應(yīng)的系統(tǒng)補(bǔ)丁,那么就只允許它臨時(shí)接入七天;如果檢測(cè)到終端系統(tǒng)上存 在任何的病毒或木馬,那么就會(huì)禁止其訪問網(wǎng)絡(luò)。當(dāng)然,只有使用其商業(yè)版本才能進(jìn)行具體的阻止動(dòng)作,免費(fèi)版 只能以一個(gè)橫杠的紅色圖標(biāo)來顯示不安全終端的狀態(tài)。
圖9
(3)、配置Agentless測(cè)試模式 在Safe Access Lite的WEB管理主界面,單擊“System configuration”——“Agentless credentials”打開代 理標(biāo)識(shí)界面,在此界面中單擊“Add Windows administrator credentials”,就會(huì)進(jìn)入如圖10所示的添加管理 標(biāo)識(shí)(add administrator credentials)界面。在此界面中的“Windows domain name”文本框中輸入Windows域 名或工作組名(如workgroup),在“Administrator user ID”文本框中輸入登錄此主機(jī)的管理員帳戶,在 “Administrator password”文本框中輸入管理員密碼,在“Re-enter password”文本框中再輸入一次密碼,然后單擊“OK”按鈕完成添加。
圖10
(4)、查看終端狀態(tài)在Safe Access Lite的WEB管理主界面,單擊“Endpoint activity”就可以打開如圖11所示的終端狀態(tài)界面。在 此界面 中,會(huì)將安全的終端以綠色的向上箭頭表示,對(duì)隔離的不安全終端,會(huì)以紅色的帶有橫杠的禁止通行圖標(biāo) 表示,對(duì)于不能檢測(cè)的終端設(shè)備,將顯示為unknown設(shè)備。我們可以在此界面中單擊任何一臺(tái)顯示出來的終端設(shè)備 ,來了解它的詳細(xì)信息,如圖11、12所示。
圖11
圖12
到這里,這臺(tái)由我們自己動(dòng)手打造的Safe Access Lite NAC服務(wù)器就可以開始正常工作,唯一不足的是它不能對(duì) 安全的終端做出相應(yīng)的阻止行為,如果用戶需要,可以使用它的商業(yè)版本,也可以使用其它另外兩個(gè)開源免費(fèi)的 NAC軟件。 PacketFence zen 軟件的安裝說明在51CTO網(wǎng)站上可以查閱到,就不再在此文再做詳細(xì)說明。對(duì)于FreeNAC軟件,由于它要求使用可 網(wǎng)管交換機(jī),而我手上沒有這要的實(shí)驗(yàn)條件,所以不能親自對(duì)它進(jìn)行安裝和應(yīng)用實(shí)驗(yàn),所以也不在此做詳細(xì)說明 。如果大家對(duì)它們有興趣,而且英文比較好,可以去它們的網(wǎng)站查閱其具體的安裝說明。其實(shí),這些NAC軟件的 安裝都很簡(jiǎn)單,尤其是直接使用它們的VMware虛擬機(jī)文件時(shí),所有的安裝工作都差不多,因此,了解其中任何一種NAC軟件的安裝和配置,再加上它們的說明文檔,就算我們對(duì)Linux系統(tǒng)沒有半點(diǎn)了解,只要按照 本文所述的方 法準(zhǔn)備硬件平臺(tái)和考慮接入方式,所有的系統(tǒng)和網(wǎng)絡(luò)管理員都可以輕松地完成它們安裝和部署。從上面的安裝和 配置來看,雖然使用開源的NAC軟件來打造網(wǎng)絡(luò)訪問控制服務(wù)器能節(jié)省資金和時(shí)間,減化NAC設(shè)備 的部署,但是, 動(dòng)手打造一臺(tái)NAC服務(wù)器也并不像筆者前面介紹的動(dòng)手打造路由防火墻這么輕松,使用者必需有一 定的系統(tǒng)和網(wǎng) 絡(luò)知識(shí),以及NAC部署知識(shí)。從這點(diǎn)來說,自己動(dòng)手打造NAC服務(wù)器,適合于一些具有創(chuàng)新精神的系 統(tǒng)、網(wǎng)絡(luò)或安全管理員來進(jìn)行,這樣不僅能幫助企業(yè)得到一個(gè)高性能的NAC服務(wù)器,而且能在打造過程中學(xué)習(xí)到許 多應(yīng)用NAC的知識(shí)。