上周,哈佛大学(Harvard University)的两名IT员工发布了一个免费的虚拟设备,该设备支持他们的开源网络访问控制平台——这只是众多免费的NAC工具中的一个,这些工具正迅速涌现出来,以满足安全需求。
上周,哈佛大学(Harvard University)的两名IT员工发布了一个免费的虚拟设备,该设备支持他们的开源网络访问控制平台——这只是众多免费的NAC工具中的一个,这些工具正迅速涌现出来,以满足安全需求。
这个虚拟设备被称为PacketFence Zero Effort NAC (ZEN),它由一个在Linux或Windows上运行的操作系统映像组成,在设备登录到网络时执行策略检查。
PacketFence ZEN是大约12个免费NAC包中的最新创新,它们中的大多数都是在大学里创建的,目的是响应那些引领商业供应商的Sasser和Blaster蠕虫思科,微软和可信计算集团工业联盟——为盈利而开发NAC。
|
事实证明,NAC非常受欢迎,Infonetics预测,到2008年,商业供应商将从NAC的销售中获得39亿美元的收益,但Forrester Research的分析师罗布•惠特利(Rob Whiteley)说,开源的替代品可能不会从中获利。“开源NAC将成为大供应商喜欢的催化剂惠普或IBM他说:“他们会把自己的产品包装起来,然后支持它,”收费,但这将需要一些时间,并离开开源创新者。
戴夫•拉波特(Dave LaPorte)和凯文•阿莫林(Kevin Amorin)没有问题,这两位哈佛大学的IT工作者在业余时间一起开发PacketFence。拉波特说:“我们这样做只是因为它很有趣,我们在工作中使用它,它对很多人都很有用。”
他们的软件通过开源Apache Web服务器支持的任何方法对用户进行身份验证。它可以执行漏洞扫描,并可以将发现不足的机器转移到修复站点。它可以使用DHCP更改和操作地址解析协议缓存将设备与网络隔离。
商业供应商主要依赖于对隔离设备的802.1x端口身份验证,根据各种NAC架构的分析,这可能更安全。但是一些开源项目也包含802.1x。
蒙特利尔安装和商业支持PacketFence的集成商Inverse公司的首席系统架构师卢多维奇•马克特(Ludovic Marcotte)表示,尽管PacketFence可能并不红火,但它正在取得进展。他表示:“我们的多数客户是大型大学、校董会或大公司,我们通常拥有2000至10万名用户。”
其中之一是马萨诸塞州威廉斯敦的威廉姆斯学院(Williams College)。,which is phasing out its homegrown access-control platform based on Cisco’s VLAN Membership Policy Server (VMPS) that maps media access control MAC) addresses to virtual LANs, says Mark Berman, the school’s director of networks and systems. “VMPS is not long for this world. Cisco is phasing it out,” Berman says.
此外,PacketFence还支持IP地址的DHCP分发,这在Williams实现VoIP时是必需的,他说。VMPS替代方案依赖于静态IP地址。
价格和独立性也在使用PacketFence的决策中发挥作用。伯曼说:“我们的成本只是我们付给思科的很小一部分,我认为我们得到的至少和思科一样好。”“PacketFence给我们带来的好处之一是,它解开了我们与思科之间的结。只要它支持SNMP,我们就可以在边缘运行任何我们想要的交换机。”
FreeNAC
瑞士国有电信公司Meawhhile希望其开源软件NAC也能具有商业吸引力。FreeNAC项目负责人、瑞士电信(Swisscom)高级安全顾问博兰(Sean Boran)说,该公司最近开始销售一款名为FreeNAC的商业版软件,有五个客户。
FreeNAC的商业版本包括一些通过开源版本无法获得的特性,而瑞士电信收取包括安装和支持在内的订阅费。Boran说,这项服务的目标客户是拥有陈旧的异构基础设施的企业,包括不支持802.1x端口认证的交换机,许多商业NAC供应商都要求使用这种端口认证来执行策略。
他说,与威廉姆斯学院(Williams College)基于vmp的NAC一样,FreeNAC最初使用思科vmp来执行政策,但现在已经扩展到802.1x。这意味着FreeNAC可以支持拥有多种设备的网络,并可以帮助它们向商用NAC平台过渡,随着时间的推移,它们可以升级基础设施。
博兰表示:“如果你是一家严格管理的思科(Cisco)商店,拥有Windows(桌面电脑)系统,我认为没有必要做我们现在正在做的事情,但我们将利用今天的基础设施为你服务。”
更多的免费软件
匹兹堡卡内基梅隆大学(Carnegie Mellon University)的网络架构师拉塞尔·扬特(Russell Yount)说,与所有开源社区相比,开源NAC社区有两个关键的优势:它能迅速发现漏洞,并随着需求的增加而扩展功能。扬特说,卡内基梅隆大学有自己的NAC软件NetReg,专门为该校设计,但它足够灵活,可以在伍斯特理工学院(Worcester Polytechnic Institute)、杜克大学(Duke University)、阿拉巴马大学(University of Alabama)和伍兹霍尔海洋研究所(Woods Hole Oceanographic Institute)等机构使用。
灵活性很重要,因为为特定环境进行定制限制了可用性。比如,Rings是在堪萨斯大学(University of Kansas)编写的用于在校园里使用的NAC软件,它是为该校自行开发的DHCP服务器定制的,所以它的DHCP实施在校园外并不广泛适用,Rings的首席开发和设计师达斯汀·布朗(Dustin Brown)说。
Rings将用户名绑定到MAC地址,以便将机器注册到网络,网络还会向客户端机器发送一个Java代理,以检查是否有杀毒软件并安装它。它还配置机器来访问本地更新服务器,并确保它们的IP地址位于适当的范围内,并且拥有最关键的Windows更新。
他说,Rings使用DHCP来隔离机器,而堪萨斯大学(University of Kansas)使用自己版本的DHCP,这一事实限制了Rings的使用。
“我认为这是其他集团面临的最大的障碍,他们不想为了得到NAC而重做他们的整个DHCP基础设施。他们更愿意使用他们已经拥有的东西,”布朗说。
但这并不妨碍其他人使用戒指。例如,伊利诺斯州帕洛斯高地的三一基督教学院。,had to delay deploying Rings while it made needed changes, says Kevin Jacobs, coordinator of computer services at the school.
学校试图将Rings的DHCP后端与微软的Active Directory结合起来,作为NAC政策平台的一部分,但事实证明这很困难。雅各布斯表示:“我们花了大量时间研究这个问题,并决定无法及时为(2005年秋季)入学的学生提供帮助。”最终,这需要对Rings使用的DHCP进行代码修改,这一过程得到了堪萨斯大学Brown的帮助。“达斯汀帮助我们完成了很多配置,”他说。
威廉姆斯学院的伯曼说,这种合作是开源NAC项目的典型做法,并得到了各个小组之间相互作用的证实。例如,FreeNAC的Boran希望与PacketFence共享信息。“我们非常愿意与任何感兴趣的人合作,”阿莫林说。
拉波特说:“我们在平台上做事情的方式没有太多重叠,所以我们可能都能学到很多东西。”
不过,Forrester的wh说,开源NAC在企业中站稳脚跟可能还需要一段时间。当企业稳定并易于与所有网络集成时,它们就会转向开源平台,即使这样也需要协同努力。同样的道理也适用于NAC。
怀特利表示:“这需要某种冠军才能实现向企业的飞跃。”