用开源NAC阻止非法网络访问

用开源NAC阻止非法网络访问

在传统方法中，为了防止外来设备接入企业网可以采用在交换机上设置 IP-MAC绑定的方法使外来设备无法接入网络，下面将介绍2款开源的NAC工具，他们具有更加人性化的管理。

1.       PacketFence简介

PacketFence是一个开源的网络访问控制软件，它使用NESSUS来对网络节点计算机进行漏洞扫描，从而发现设备中存在安全风险，一旦确定节点计算机中存在的安全风险，此终端就会被禁止访问目标网络。PacketFence还使用SNORT传感器来检测来自网络的攻击活动，并给出相应的警告。PacketFence支持对许多厂商的可网管交换机进行VLAN设置，通过划分不同VLAN来阻止不安全的终端接入网络，这些被支持的交换机包括H3C、Cisco、DELL等厂商生产的可网管交换机。PacketFence通过FreeRADIUS模块提供对802.1X无线的支持，能为我们提供一种和有线网络同样的安全控制方式。在管理上我们可以通过WEB和命令行界面来管理它。这些管理功能完全可以满足目前大部分中小企业的网络访问控制的需求。PacketFence可以在RHEL和CentOS Linux、Debian系统中运行，我们可以下载它的二进制文件包来安装，也可以下载它的一体化VMWare虚拟机文件来直接使用，我们可到http://www.packetfence.org/download/zen.html网站下载他的Live CD（最新版本5.6.0）文件,放到U盘便可作为启动系统而直接使用。

硬件配置：普通服务器，需要2块高性能千兆网卡（一块网卡用于链控制台，另一块网卡用于收集信息接在交换机的SPAN口），对于交换机的要求为可网管交换机。访问WEB界面：https://ip:1443/

 

2. PacketFence部署

PacketFence的部署和IDS系统一样，都可以采用旁路方式接入网络，即通过SPAN端口的旁路访问方式，还有种接法就是串接在防火墙之后，这样容易造成单点故障，故笔者建议采用旁路方式连接入网。

此图清晰的显示了非法接入点的详细信息

举例：操作系统分布信息

举例：Packetence的日志

 

3. FreeNAC

FreeNAC也是一款开源免费的NAC软件，它同样提供了对交换机划分VLAN的功能，并以MAC地址来为计算机终端指定 动态VLAN，以此提供对局域网中各种资源的访问控制。FreeNAC能够对局域网中的服务器、工作站、打印机和IP电 话的进行访问控制。FreeNAC能够自动发现网络中存活的各种终端，并提供了对802.1x及思 科的VMPS端口安全模块 的支持，同时还提供系统补丁包分发等功能。不过，FreeNAC虽然提供了对非网管交换机 的支持，但使用非网管交换机会让其NAC功能大打折扣，因此，如果想发挥它所有的NAC功能，最好使用可网络交换机，而且，为了能使用思科的VMPS功能，最好使用思科的支持 VMPS的可网管交换机。

本文出自《Unix/Linux网络日志分析与流量监控》一书，该书评价 http://item.jd.com/11582561.html