Otwarta kontrola

A A A rozmiar czcionki W wielu instytucjach instalowane jest oprogramowanie przeznaczone do kontroli dostępu do sieci. Są to przeważnie rozbudowane pakiety komercyjne, ale jest także dostępne za darmo stosunkowo proste narzędzie.


NAC jest stosunkowo starym pomysłem, który dopiero niedawno został wypromowany przez komercyjne realizacje. Większość z nich wymaga odpowiedniej infrastruktury (zarządzalnych przełączników, serwerów dostępu czy instalacji odpowiedniego programu na komputerze kliencie). W małych firmach nie zawsze opłaca się inwestować w bardzo kosztowne urządzenia i oprogramowanie. Oprócz pakietów komercyjnych są bezpłatne, rozwijane w modelu open source. PacketFence, bo o nim mowa, realizuje kontrolę dostępu do sieci, blokując nieautoryzowane próby połączenia za pomocą modyfikacji DHCP oraz ARP. Jednocześnie jest jednym z łatwiejszych do wdrożenia rozwiązań realizowanych w modelu open source.

Bariera ochronna

Najłatwiejszym do wdrożenia pakietem NAC realizowanym w modelu open source jest właśnie PacketFence (www.packetfence.org ). Rozwiązanie to zastosowano na wielu uniwersytetach, a dzięki wykorzystaniu jedynie modyfikacji stref serwera DHCP oraz manipulacji tablicami ARP będzie pracowało w niemal każdym środowisku.

Program obsługuje uwierzytelnienie za pomocą serwera Apache (można wykorzystać wiele jego schematów), współpracuje z portalem naprawy (remediation portal), potrafi wyświetlić informacje o zasadach dostępu do sieci przed rejestracją użytkownika oraz pasywnie wykrywa systemy operacyjne komputerów, analizując zapytania do serwera DHCP. Dzięki analizom zapytań potrafi automatycznie rejestrować urządzenia niepodlegające uwierzytelnieniu (takie jak telefony IP), a także blokować niepożądane systemy operacyjne (na przykład niewspierane już Windows 9x) i routery z włączoną opcją NAT. Integracja z programem Nessus umożliwia rejestrację stacji roboczych - po uprzednim sprawdzeniu konfiguracji oraz stanu aktualności za pomocą tego narzędzia. PacketFence nie wymaga instalacji żadnego oprogramowania na stacji roboczej, nie zależy od systemu operacyjnego klienta i nie ma wymagań odnośnie elementów aktywnych sieci, będzie działać z każdym przełącznikiem.

Program ma konstrukcję modułową, wykorzystującą niezmienione oprogramowanie: stos LAMP (Linux, Apache, MySQL, PHP), programy Snort oraz Nessus, a moduły programu są napisane w językach Perl i PHP. Instalacja w środowisku RedHat Enterprise Linux, Fedora i Ubuntu 6.06LTS nie jest trudna (przykładowy opis do Ubuntu jest na stronie: articles.techrepublic.com.com/2415-1035_11-179743.html ).

Uwierzytelnienie użytkowników w programie odbywa się za pomocą dowolnego narzędzia dostępnego do Apache'a. W najprostszym wypadku polega na zapisaniu loginu i hasła w pliku (/usr/local/pf/conf/user.conf ), który jest standardowym plikiem haseł do Apache. Do pracy z takim plikiem przewidziano standardowe narzędzie htpasswd, dobrze udokumentowane w pomocy do serwera Apache. Możliwe są także inne metody uwierzytelnienia (RADIUS, LDAP).

Program wykrywa niezarejestrowane maszyny i blokuje im dostęp do sieci. Rejestracja odbywa się za pomocą przeglądarki. Można także edytować informacje o wykrytych komputerach. Wykrywane są nie tylko maszyny korzystające z DHCP, PacketFence potrafi wykryć i zablokować także komputery korzystające ze statycznie ustawionego adresu IP. Jest to ciekawy program, może poważnie zwiększyć bezpieczeństwo sieci, ale jest dość trudny w konfiguracji. Warto go dokładnie przetestować, zanim podejmie się jakąkolwiek decyzję o wdrożeniu.

Wirtualnie, czyli prosto

Tego typu rozwiązanie jest łatwe do zastosowania w firmie, ma nawet wersję PacketFence ZEN, dystrybuowaną jako aplikacja maszyny wirtualnej VMWare. Nie wszystkie opcje dostępne w PacketFence są tutaj skonfigurowane, ale maszyna wirtualna z powodzeniem wystarczy do testów. Kompletna instalacja sprawdzi się dobrze w wielu firmach, gdyż nawet tak proste realizacje NAC poprawiają bezpieczeństwo. Maszyna wirtualna PacketFence ZEN jest zbudowana za pomocą systemu operacyjnego Linux Fedora Core 6, pracuje w wersji 1.6.2. Chociaż zainstalowano pakiet Snort, nie jest on ustawiony na detekcję. Nie uruchomiono także kontroli aktualności i poprawnej konfiguracji maszyn. Wirtualna maszyna PacketFence ZEN jest doskonałym sposobem poznania działania NAC i uruchomienia najprostszej instalacji przy jak najmniejszym nakładzie pracy.

Budujemy ochronę

Aby skorzystać z tej maszyny wirtualnej, należy rozpakować jej pliki z archiwum tar.gz. W systemach Windows może do tego posłużyć na przykład program 7zip (7zip.org ).
Po uruchomieniu za pomocą VMWare Player lub VMWare Server należy się zalogować do systemu operacyjnego jako root z hasłem p@ck3tf3nc3, a następnie uruchomić konfigurator za pomocą polecenia:


cd /usr/local/pf && ./auto_ip.pl


Automatycznie skonfiguruje to PacketFence do pracy w twojej sieci lokalnej.
Przy konfiguracji trzeba będzie podać kilka informacji, na podstawie których zostanie wygenerowany certyfikat połączenia SSL używanego przez konsolę administracyjną. Przykładowe pytania i odpowiedzi zawiera rysunek obok.

Aplikację uruchamia się poleceniem:

/etc/init.d/packetfence start

Można też użyć polecenia halt i ponownie uruchomić maszynę wirtualną po zamknięciu sytemu (potwierdzonego komunikatem System halted). Po restarcie PacketFEnce będzie uruchamiany automatycznie. Proces potrwa kilkadziesiąt sekund i od tego momentu PacketFence zacznie wykrywać komputery dostępne w sieci.

Jeśli w twojej sieci jest już serwer DHCP, serwer PacketFence dostał już za jego pomocą adres IP. Możesz go poznać, wpisując:

ifconfig

Aby się zalogować do interfejsu administracyjnego PacketFence, uruchom przeglądarkę internetową i wpisz: https://poznany_adres_IP:1443 . Domyślna nazwa użytkownika to admin, a hasło - admin. Warto je zmienić.

Konsola administracyjna wygląda dość prosto, ale mnogość opcji konfiguracji może na początku być trudna do ogarnięcia. Domyślnie otwiera się ona na karcie Dashboard, przedstawiającej ogólne informacje o stanie serwera.

Przed uzyskaniem dostępu do sieci użytkownik musi się zalogować na stronie twojego serwera PacketFence (w naszym przykładzie jest to adres https://192.168.99.106), podając login i hasło. Domyślnie utworzono jednego użytkownika myuser z hasłem average, a w konsoli administracyjnej znajdziesz opcję dodawania użytkowników (to znacznie wygodniejsze niż korzystanie z narzędzia htpasswd).

Po zaakceptowaniu informacji o zasadach dostępu do sieci (ich tekst ustala administrator w opcjach konfiguracji), komputer zostanie odblokowany.

Co to jest NAC Zadaniem NAC (Network Access Control) jest zapewnienie kontroli nad urządzeniami podłączanymi do komputerowej sieci lokalnej. Rozwiązania to można podzielić pod kątem mechanizmów zabezpieczenia na dwie grupy - separujące nieautoryzowane maszyny za pomocą przydzielania innych adresów IP (zmiany stref DHCP) i odpowiedniej modyfikacji ARP oraz wymuszające zmianę ustawień przełączników sieciowych (i innych elementach aktywnych). Pierwsze z rozwiązań jest najprostsze do wykonania, nie wymaga specjalnego sprzętu i oprogramowania (działa z każdym koncentratorem i przełącznikiem sieci lokalnej) i funkcjonuje w wypadku urządzeń korzystających z adresów przydzielanych za pomocą DHCP. Do tej grupy można zaliczyć również instalowane w stacjach roboczych narzędzia, które wprowadzają obostrzenia dostępu poprzez zmianę ustawień zapory sieciowej na komputerze w razie jego niezgodności z polisami zabezpieczeń (self-enforcement). Niestety, możliwość modyfikacji adresu IP przez użytkownika oraz manipulacje tablicami ARP czy zaporą obniżają skuteczność tego NAC. Najbezpieczniejsze są rozwiązania, w których rolę separacji stacji roboczych przejmuje na siebie przełącznik sieciowy (na podstawie informacji z programu NAC), przydzielając maszynę do odpowiedniej podsieci VLAN. . Wtedy, niezależnie od działań użytkownika, system dokona przełączenia do właściwej podsieci. W podsieci kwarantanny można przygotować dostęp do Internetu albo inne usługi przeznaczone dla gości, a podsieć firmowa będzie od niej odseparowana. Większość komercyjnych rozwiązań wykorzystuje właśnie tę metodę ograniczania dostępu. Omawiany program PacketFence modyfikuje DHCP oraz ARP, zatem należy do pierwszej grupy rozwiązań.