Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Sieć pod kontrolą Linuksa

Na nic zdadzą się nawet najbardziej wyrafinowane zabezpieczenia, jeśli gość na sali konferencyjnej będzie mógł wpiąć swój laptop w wolne gniazdo i uzyskać pełny dostęp do sieci komputerowej urzędu. Problem ten rozwiązuje wdrożenie systemu NAC.

Ekran podsumowania panelu openNAC.

NAC to akronim od angielskich słów Network Access Control. Mamy tutaj do czynienia z usługą sieciową, której zadaniem jest kontrolowanie tego, kto może otrzymać dostęp do sieci, do jakich jej zasobów oraz na jakich zasadach. Zadaniem NAC jest uwierzytelnianie i autoryzacja żądań połączeń do sieci organizacji oraz wymuszanie zasad dostępu do zasobów tej sieci na podstawie kondycji klienta. Połączenia do sieci kontrolowane przez NAC mogą być realizowane na wiele sposobów: kablowo przez gniazdko sieci Ethernet, bezprzewodowo w sieci Wi-Fi, zdalnie za pomocą protokołów VPN lub dostępu telefonicznego. Z perspektywy organizacji ważne jest, aby wdrożyć spójne mechanizmy uwierzytelnienia w sieci niezależnie od medium dostępowego i typu klienta uzyskującego dostęp do takiej sieci.

Serwer NAC na bazie oprogramowania Open Source jest doskonałym przykładem tego, jak różne rozwiązania oparte na Linuksie płynnie integrują się w heterogenicznym środowisku z systemami Windows Server, komercyjnymi narzędziami do obsługi sieci oraz dostępnym na rynku sprzętem sieciowym różnych producentów. Wśród rozwiązań rozwijanych na zasadach open source mamy zasadniczo do czynienia z dwoma dostępnymi rozwiązaniami: PacketFence oraz openNAC. Popularny niegdyś Free­NAC nie jest już rozwijany.

PacketFence

To dobrze znane wśród administratorów kompletne rozwiązanie klasy NAC, które z powodzeniem może być wdrażane zarówno w małych sieciach, jak i w dużych, rozproszonych sieciach korporacyjnych. Oprogramowanie oferuje: pełne wsparcie dla protokołu 802.1X z izolacją urządzeń w warstwie 2, scentralizowane funkcje zarządzania dostępem w sieciach przewodowych i bezprzewodowych, w tym captive-portal dla rejestracji i blokowania niepożądanych urządzeń w sieci, oraz wszystkie narzędzia dla zarządzania strategią BYOD w organizacji.

Architektura PacketFence opiera się na dwóch podstawowych serwerach usług: ISC DHCP do dynamicznego przyznawania adresów IP oraz FreeRADIUS w zakresie uwierzytelniania, autoryzacji i ewidencjonowania aktywności klientów uzyskujących dostęp do sieci. Oprogramowanie dostępne jest w formie pakietu dla popularnych dystrybucji Linuksa (Debian, RHEL) oraz jako prekonfigurowane rozwiązanie ZEN (Zero Effort NAC) do szybkiego wdrażania w sieci organizacji. Co ważne, PacketFence w prosty sposób może być uruchamiany w klastrze active-passive, co jest podejściem wysoce zalecanym z uwagi na krytyczne znaczenie usługi NAS dla funkcjonowania sieci komputerowej w organizacji. Zarządzanie serwerem odbywa się z wiersza poleceń lub wygodnego panelu webowego. W zakresie przyznawania uprawnień do zarządzania PacketFence może być integrowany z usługami LDAP i Active Directory. Pozwala również na przyznawanie różnego poziomu uprawnień do zarządzania usługą.

openNAC

Drugim wartym uwagi projektem open source w opisywanej kategorii jest openNAC. Oprogramowanie dostarcza podobnego zestawu funkcjonalności co PacketFence, bazuje na otwartych narzędziach FreeRADIUS, iTop, Icinga oraz kilku autorskich modułach. Definiowanie zasad dostępu odbywa się tutaj na podstawie reguł, a sam produkt doskonale wspiera popularne środowiska klientów (Windows, Mac, Linux) oraz sprzęt sieciowy najważniejszych dostawców (Cisco, Extreme Networks, Alcatel).

Architekturę openNAC tworzy kilka modułów, z których najważniejszy onNAC służy do wymuszania polityk dostępu w trakcie uwierzytelniania i autoryzacji klientów oraz audytowania i raportowania aktywności sieciowej.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej