用開源nac阻止非法網絡通路
本文将要介紹的nac代表網絡準入控制(network access control),在傳統方法中,為了防止外來裝置接入企業網可以采用在交換機上設定 ip-mac綁定,結合acl等方法使外來裝置無法接入網絡。目前市面上已經出現了一些上網行為管理和審計類産品,再此對比較知名的産品做一個概述性介紹,這些産品的功能也為接下來的研究工作提供了方向,具有指導性意義。
深信服ac系列上網行為管理
網康網際網路控制網關
思科nac
除此之外,還包括華為、北信源等多款商業産品,下文将介紹幾款開源的nac工具,它們具有更加人性化的管理。
1. packetfence簡介
2. packetfence部署
packetfence的部署和ids系統一樣,都可以采用旁路方式接入網絡,即通過span端口的旁路通路方式,還有種接法就是串接在防火牆之後,這樣容易造成單點故障,故筆者建議采用旁路方式連接配接入網。
此圖清晰的顯示了非法接入點的詳細資訊
舉例:作業系統分布資訊
舉例:packetence的日志
3. freenac
freenac也是一款開源免費的nac軟體,它同樣提供了對交換機劃分vlan的功能,并以mac位址來為計算機終端指定 動态vlan,以此提供對區域網路中各種資源的通路控制。freenac能夠對區域網路中的伺服器、工作站、列印機和ip電 話的進行通路控制。freenac能夠自動發現網絡中存活的各種終端,并提供了對802.1x及思 科的vmps端口安全子產品 的支援,同時還提供系統更新檔包分發等功能。不過,freenac雖然提供了對非網管交換機 的支援,但使用非網管交換機會讓其nac功能大打折扣,是以,如果想發揮它所有的nac功能,最好使用可網絡交換機,而且,為了能使用思科的vmps功能,最好使用思科的支援 vmps的可網管交換機。
4. xplico
下面要說的這款開源工具,從功能上并不如上面兩款nac的功能強大,xplico即是一個網絡協定分析工具,還是一個開源的網絡驗證分析工具(nfat),可發現異常,可以作為輔助nac工具。xplico的目标是從捕獲的網際網路應用資料中提取資訊并顯示出來,這指的是通過捕獲internet網絡流量來提取各種網絡應用中所包含的資料,并從中分析出各種不同的網絡應用.例如xplico可以實時解析通過網關的流量,也可以pcap檔案中解析出ip流量資料,并解析每個郵箱(包括pop,imap,和smtp協定),解析所有http内容,以及voip應用等。
xplico系統是由四個部分組成的:
解碼控制器(dema)
ip/網絡解碼器(xplico)
程式集來處了解碼資料(manipulators)
可視化系統,用來檢視結果
解碼器xplico是整個系統的核心元件,它的特點是高度子產品化,可擴充性和可配置性。它的主要工作過程是通過資料抓取子產品(cap_dissector)抓取網絡中的資料包,然後将資料包輸入到各個解析元件(dissectors)中,得出的解析結果通過分發元件(dispatcher)存儲到資料庫中,最後再顯示出來。其過程如下圖所示。
從上圖可以看出,xplico對協定的分析過程采取自頂向下的流程,首先xplico捕獲到網絡資料包,然後根據包中的不同字段區分出不同的協定,分成tcp、udp等協定進行分析,其中對tcp協定和udp協定再根據不同的端口号和應用層協定的特征進一步細分,使用不同的解析器對封包進行分析和處理,最後得出結論并儲存結果。
xplico的資料擷取方法
xplico底層使用libpcap來抓取資料包,它是一個著名的、專門用來捕獲網絡資料的程式設計接口。它在很多網絡安全領域得到了廣泛的應用,很多著名的網絡安全系統都是基于libpcap而開發的,如著名的網絡資料包捕獲和分析工具tcpdump,網絡入侵檢測系統snort也是使用libpcap來實作的。libpcap幾乎成了網絡資料包捕獲的标準接口。libpcap中使用了bpf過濾機制,這部分是基于核心的過濾子產品,它使libpcap具有捕獲特定資料包的功能,可以過濾掉網絡上不需要的資料包,而隻捕獲使用者感興趣的資料包"使用libpcap可以把從網絡上捕獲到的資料包存儲到一個檔案中,還可以把資料包資訊從檔案中讀出,讀出的結果與從網絡上捕獲資料包的結果是一樣的。libpcap的作用主要有以下四個方面:
1 捕獲各種網絡資料包
2 分析網絡資料包
3 存儲網絡資料包
4過濾網絡資料包