用開源NAC阻止非法網絡訪問

時間  2019-11-06
標籤 開源 nac 阻止 非法 網絡 訪問 欄目 系統網絡 简体版
原文   原文鏈接

用開源NAC阻止非法網絡訪問 html

在傳統方法中,爲了防止外來設備接入企業網能夠採用在交換機上設置 IP-MAC綁定的方法使外來設備沒法接入網絡。目前市面上已經出現了一些上網行爲管理和審計類產品,再此對比較知名的產品作一個概述性介紹,這些產品的功能也爲接下來的研究工做提供了方向,具備指導性意義。 數據庫

  • 深信服AC系列上網行爲管理 編程

  • 網康互聯網控制網關(Netentsec Internet Control Gateway,NS-ICG) 安全

  • 冰峯網絡網極星行爲管理產品 服務器

本文將介紹幾款開源的NAC工具,他們具備更加人性化的管理
 網絡

1.       PacketFence簡介 模塊化

PacketFence是一個開源的網絡訪問控制軟件,它使用NESSUS來對網絡節點計算機進行漏洞掃描,從而發現設備中存在安全風險,一旦肯定節點計算機中存在的安全風險,此終端就會被禁止訪問目標網絡。PacketFence還使用SNORT傳感器來檢測來自網絡的攻擊活動,並給出相應的警告。PacketFence支持對許多廠商的可網管交換機進行VLAN設置,經過劃分不一樣VLAN來阻止不安全的終端接入網絡,這些被支持的交換機包括H3CCiscoDELL等廠商生產的可網管交換機。PacketFence經過FreeRADIUS模塊提供對802.1X無線的支持,能爲咱們提供一種和有線網絡一樣的安全控制方式。在管理上咱們能夠經過WEB和命令行界面來管理它。這些管理功能徹底能夠知足目前大部分中小企業的網絡訪問控制的需求。PacketFence能夠在RHELCentOS LinuxDebian系統中運行,咱們能夠下載它的二進制文件包來安裝,也能夠下載它的一體化VMWare虛擬機文件來直接使用,咱們可到http://www.packetfence.org/download/zen.html網站下載他的Live CD(最新版本5.6.0文件,放到U盤即可做爲啓動系統而直接使用。 工具

硬件配置:普通服務器,須要2塊高性能千兆網卡(一塊網卡用於鏈控制檯,另外一塊網卡用於收集信息接在交換機的SPAN口),對於交換機的要求爲可網管交換機。訪問WEB界面:https://ip:1443/ 性能

 

2. PacketFence部署 網站

PacketFence的部署和IDS系統同樣,均可以採用旁路方式接入網絡,即經過SPAN端口的旁路訪問方式,還有種接法就是串接在防火牆以後,這樣容易形成單點故障,故筆者建議採用旁路方式鏈接入網。

wKiom1aiO-ihNYoyAAKctNFDeuU074.jpg

此圖清晰的顯示了非法接入點的詳細信息

wKiom1aiPB7BaIK9AAN204mFPvc946.jpg

wKiom1aiPFGQZQafAAHqta4YHoE563.jpg

 

舉例:操做系統分佈信息

wKiom1aiPITD7YktAAKst4wErdk724.jpg

舉例:Packetence的日誌

wKiom1aiPLjRA3NIAAZKG0XI4xY556.jpg

 

3. FreeNAC


FreeNAC也是一款開源免費的NAC軟件,它一樣提供了對交換機劃分VLAN的功能,並以MAC地址來爲計算機終端指定 動態VLAN,以此提供對局域網中各類資源的訪問控制。FreeNAC可以對局域網中的服務器、工做站、打印機和IP電 話的進行訪問控制。FreeNAC可以自動發現網絡中存活的各類終端,並提供了對802.1x及思 科的VMPS端口安全模塊 的支持,同時還提供系統補丁包分發等功能。不過,FreeNAC雖然提供了對非網管交換機 的支持,但使用非網管交換機會讓其NAC功能大打折扣,所以,若是想發揮它全部的NAC功能,最好使用可網絡交換機,並且,爲了能使用思科的VMPS功能,最好使用思科的支持 VMPS的可網管交換機。

 

4. Xplico

 

     下面要說的這款開源工具,從功能上並不如上面兩款NAC的功能強大,Xplico便是一個網絡協議分析工具,仍是一個開源的網絡取證分析工具(NFAT),可發現異常,能夠做爲輔助NAC工具。Xplico的目標是從捕獲的互聯網應用數據中提取信息並顯示出來,這指的是經過捕獲Internet網絡流量來提取各類網絡應用中所包含的數據,並從中分析出各類不一樣的網絡應用.例如Xplico能夠實時解析經過網關的流量,也能夠pcap文件中解析出IP流量數據,並解析每一個郵箱(包括POP,IMAP,SMTP協議),解析全部HTTP內容,以及VOIP應用等。

XPlico系統是由四個部分組成的:


 解碼控制器(Dema)
 IP/網絡解碼器(Xplico)
 程序集來處理解碼數據(ManiPulators)
 可視化系統,用來查看結果


 解碼器Xplico是整個系統的核心組件,它的特色是高度模塊化,可擴展性和可配置性。它的主要工做過程是經過數據抓取模塊(cap_dissector)抓取網絡中的數據包,而後將數據包輸入到各個解析組件(Dissectors)中,得出的解析結果經過分發組件(Dispatcher)存儲到數據庫中,最後再顯示出來。其過程以下圖所示。

wKioL1am-3qQ0pjdAAEsepI0Euw968.jpg

從上圖能夠看出,Xplico對協議的分析過程採起自頂向下的流程,首先Xplico捕獲到網絡數據包,而後根據包中的不一樣字段區分出不一樣的協議,分紅TCP、UDP等協議進行分析,其中對TCP協議和UDP協議再根據不一樣的端口號和應用層協議的特徵進一步細分,使用不一樣的解析器對報文進行分析和處理,最後得出結論並保存結果。

 


Xplico的數據獲取方法


Xplico底層使用Libpcap來抓取數據包,它是一個著名的、專門用來捕獲網絡數據的編程接口。它在不少網絡安全領域獲得了普遍的應用,不少著名的網絡安全系統都是基於LibPcap而開發的,如著名的網絡數據包捕獲和分析工具Tcpdump,網絡入侵檢測系統snort也是使用Libpcap來實現的。Libpcap幾乎成了網絡數據包捕獲的標準接口。Libpcap中使用了BPF過濾機制,這部分是基於內核的過濾模塊,它使Libpcap具備捕獲特定數據包的功能,能夠過濾掉網絡上不須要的數據包,而只捕獲用戶感興趣的數據包"使用Libpcap能夠把從網絡上捕獲到的數據包存儲到一個文件中,還能夠把數據包信息從文件中讀出,讀出的結果與從網絡上捕獲數據包的結果是同樣的。Libpcap的做用主要有如下四個方面:
1 捕獲各類網絡數據包
2 分析網絡數據包
3 存儲網絡數據包
4過濾網絡數據包

wKiom1am--HD3mjgAAMQn0kZ8Oc382.jpg

在Deft集成了Xplico下載,其詳細部署方參見《Unix/Linux網絡日誌分析與流量監控》一書。

 該書評價 http://item.jd.com/11582561.html 

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程