科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道巧用PacketFence阻止非法网络访问(3)

巧用PacketFence阻止非法网络访问(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近来,笔者花费了大量的时间安装开源网络访问控制(NAC)系统PacketFence。PacketFence有一个特性比起其它所有方面都更加可行:注册。

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 攻击防范 工具 网络入侵

  • 评论
  • 分享微博
  • 分享邮件
 注册一台机器

  你要做的第一件事是收集网络上任何设备的MAC地址(除计算机之外的支持网络的设备,如路由器、网络打印机、交换机等)。你可能需要手动注册这些设备。为此,你需要像下面这样使用/usr/local/pf/bin/pfcmd这个命令:

/usr/local/pf/bin/pfcmd node edit 00:e0:4d:0d:94:a2 status="reg",pid=NAME

  要确保对每一个设备使用一个独一无二的名字。如此一来这个设备就会被注册并且可以访问。

  现在任何一台试图访问外部网络的计算机会在注册屏幕上发现自己,如图1:

巧用PacketFence阻止非法网络访问(图一)

  你可以通过PacketFence的Web管理工具来配置Acceptable Use Policy(可接受的使用策略)。

  用户们将必须从下拉列表中选择认证类型。在我们例子中,用户会将选择“本地(Local)”。在用户们这样做时(并且选择register(注册)),就会看到类似于下图的一个登录屏幕:

巧用PacketFence阻止非法网络访问(图二)

  不过,请记住:管理员最好不要作为注册用户。

  一旦用户输入了一个非法的用户名/口令组合,用户将被要求允许系统扫描漏洞。在警告屏幕中,用户们必须按下“Scan(扫描)”按钮来允许系统扫描。一旦扫描成功,用户将会收到一个注册成功(Registration Successful)屏幕,类似于下图。

巧用PacketFence阻止非法网络访问(图三)

  即使注册成功,用户还要按下“Complete Registration(完成注册)”按钮来启用网络访问。

  一旦用户按下了“Complete Registration(完成注册)”按钮,就会看到一个屏幕告诉用户网络访问已经启用。而看到这个屏幕,也就意味着用户是“良民”,可以进入网络。

  进一步的配置

  使用基于Web的管理工具来使PacketFence的配置更上一层是很聪明的选择。为了访问此功能,可以将你的浏览器指向https://IP_OF_PacketFence_SERVER:1443,然后你将使用在安装期间创建的管理员口令。从这里,你可以精细地调整PacketFence的安装。

  结束语

  最后,我们要说开源的PacketFence做到了许多需要花费大量金钱才能使用的应用程序功能。在这其中,许多商业化的解决方案并不如PacketFence那样容易配置。虽然PacketFence在配置和安装方面也有一些不如人意的地方,但是笔者认为,如果你正在寻找网络安全的另外一层,那么它确实值得你一试。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章