Kontrola w wersji open source

PacketFence nie wymaga instalacji żadnego oprogramowania na stacji roboczej, nie zależy od systemu operacyjnego klienta i nie ma wymagań związanych z aktywnymi elementami sieci, a więc może współpracować praktycznie z każdym przełącznikiem. Program ma konstrukcję modułową i nie wymaga modyfikacji oprogramowania stosu LAMP (Linux, Apache, MySQL, PHP) lub programów Snort i Nessus. Jego moduły zostały napisane w językach Perl i PHP.

Należy podkreślić, że instalacja pakietu w środowiskach RedHat Enterprise Linux, Fedora i Ubuntu 6.06LTS nie jest trudna (przykładowy opis konfiguracji dla systemu Ubuntu można znaleźć pod adresemhttp://articles.techrepublic.com.com/2415-1035_11-179743.html ) . Tego typu rozwiązanie jest łatwe do wdrożenia w firmie i ma nawet wersję nazwaną PacketFence ZEN, dystrybuowaną jako aplikacja maszyny wirtualnej VMware. Nie zawiera ona skonfigurowanych wszystkich opcji, jakie daje PacketFence, ale z powodzeniem wystarczy do przetestowania działania tego systemu.

FreeNAC wspomagany przez sprzęt

Gdy zabezpieczenia oferowane przez PacketFence nie wystarczają, trzeba sięgnąć po silniejsze narzędzia. Wymagają one odpowiedniej infrastruktury sieciowej (przełącznik, serwer uwierzytelnienia), ale oferują lepsze bezpieczeństwo. W takich systemach do wymuszania ograniczeń dostępu z reguły wykorzystywany jest przełącznik sieciowy. W ten właśnie sposób działa program FreeNAC (http://freenac.net/ ), który obsługuje zabezpieczenie zarówno za pomocą 802.1x, jak i Cisco VMPS port security. Podobnie jak wiele rozwiązań komercyjnych, oprogramowanie obsługuje także automatyczne wykrywanie urządzeń oraz umożliwia odpytywanie aplikacji firm trzecich o aktualny stan zabezpieczeń. Ponieważ FreeNAC nie wykorzystuje agenta zainstalowanego na końcowym urządzeniu, jedynym sposobem sprawdzenia jego stanu może być skanowanie lub odpytanie serwera zabezpieczeń.

FreeNAC może zostać wdrożony w dwóch trybach wykorzystujących - VMPS albo 802.1x. W pierwszym wypadku autoryzacja dostępu odbywa się jednoetapowo - przełącznik po wykryciu nowego komputera wykonuje zapytanie VMPS do serwera FreeNAC, który na podstawie adresu MAC podejmuje decyzję o dostępie lub jego braku. Przełącznik na podstawie odpowiedzi FreeNAC wprowadza obostrzenia albo daje zgodę na dostęp do odpowiedniego segmentu VLAN. Autoryzacja za pomocą 802.1x, która jest standardem IEEE, opiera się na zarządzaniu dostępem na poziomie portu przełącznika. Proces uwierzytelnienia odbywa się dwuetapowo - najpierw odbywa się zalogowanie do dostawcy uwierzytelnienia (na przykład domena Active Directory w przypadku użytkowników lub certyfikat urządzenia), a potem na podstawie udanego uwierzytelnienia, system wyraża zgodę na pełnoprawną pracę komputera w sieci.

Program może zostać zintegrowany z domeną Active Directory, a także odpytać takie narzędzia jak McAfee ePolicy Orchestrator, aby sprawdzić stan aktualności programu antywirusowego. Możliwa jest także integracja rozwiązania z serwerem WSUS oraz MS SMS, chociaż niektóre moduły wymagają osobnej, płatnej licencji (nie są objęte darmową wersją Community). Najważniejsza funkcjonalność jest dostępna za darmo, wraz z kompletnym kodem źródłowym, na warunkach licencji GNU GPL. Typowe scenariusze użycia tego programu obejmują kontrolę dostępu do sieci dla maszyn firmowych, wykrywanie urządzeń, zarządzanie wirtualnymi podsieciami, zarządzanie dostępem do sieci dla gości czy nawet uproszczenie konfiguracji VMPS w przełącznikach sieciowych. Możliwa jest też inwentaryzacja połączeń sieciowych.

Dla firm lub korporacji zainteresowanych wdrożeniem statycznego systemu NAC za względnie niewielkie pieniądze, FreeNAC wraz z pakietem komercyjnego wsparcia technicznego może być ciekawą alternatywą w porównaniu do produktów komercyjnych.

Dynamiczna ochrona

Obecnie ani PacketFence, ani FreeNAC nie obsługują dynamicznego NAC - rozwiązania reagującego na zgłoszenia systemu IPS/IDS dotyczące systemów, które już są autoryzowane i pracują w sieci (to potrafi na przykład McAfee NAC zintegrowany z urządzeniem Intrushield). Systemy działające dynamicznie umożliwiają zablokowanie komputerów, które uzyskały autoryzowany dostęp do sieci, ale dopiero w trakcie pracy stają się zagrożeniem dla systemu, bo na przykład zaczynają rozsiewać wirusy w sieci lokalnej.


TOP 200