一对哈佛大学IT人员上周发布了支持他们的开源网络接入控制平台免费虚拟设备 - 只是许多免费的NAC工具雨后春笋般冒出来解决安全,饥饿的客户之一。
一对哈佛大学IT人员上周发布了支持他们的开源网络接入控制平台免费虚拟设备 - 只是许多免费的NAC工具雨后春笋般冒出来解决安全,饥饿的客户之一。
所谓的PacketFence的零努力NAC(ZEN),虚拟设备包括一个操作系统映像在Linux或Windows上运行和设备的执行策略检查,因为他们登录到网络。
PacketFence的ZEN是十几个免费的NAC产品中的最新创新,其中大部分在大学中的反应相同的震荡波和冲击波蠕虫病毒,导致商业供应商创造的 - 如思科,微软和可信计算组织行业协会 - 开发NAC以盈利为目的。
|
事实证明,NAC非常受欢迎,Infonetics预计,到2008年,商业供应商将在NAC上获得39亿美元的销售额,但Forrester Research的分析师罗布·怀特利(Rob Whiteley)表示,开源替代品可能不会分享这一收益。“开源NAC将成为大供应商喜欢的催化剂惠普或IBM将围绕他们自己的产品,然后支持它,”他说,但这需要一些时间,并把开源创新者排除在外。
这对戴夫·拉波特(Dave LaPorte)和凯文·阿莫林(Kevin Amorin)来说没有问题,他们是哈佛大学的IT工作者,在业余时间一起开发了PacketFence。拉波特说:“我们这样做只是因为它很有趣,我们在工作中使用它,它对很多人都很有用。”
他们的软件通过开源Apache Web服务器支持的任何方法对用户进行身份验证。它可以执行漏洞扫描,并将发现漏洞的机器转移到补救站点。它可以使用DHCP变化以及操纵地址解析协议缓存将设备与网络隔离。
商业供应商主要依靠对隔离设备的802.1x端口认证,根据各种NAC架构的分析,这可以说是更安全的。但是一些开源项目也支持802.1x。
虽然它可能不是蓬勃发展,PacketFence的正在取得进展朱利新阅读,在逆首席系统设计师,蒙特利尔积分用于安装和支持PacketFence的商业说。“我们的大多数客户都是大的大学或学校董事会或大公司,我们通常有2000高达10万用户,”他说。
One of these is Williams College in Williamstown, Mass., which is phasing out its homegrown access-control platform based on Cisco’s VLAN Membership Policy Server (VMPS) that maps media access control MAC) addresses to virtual LANs, says Mark Berman, the school’s director of networks and systems. “VMPS is not long for this world. Cisco is phasing it out,” Berman says.
此外,PacketFence支持IP地址的DHCP分配,这将是Williams实现VoIP的需要,他说。VMPS替代方案依赖于静态IP地址。
价格和独立性也是决定是否使用PacketFence的因素之一。伯曼说:“对我们来说,这只是我们支付给思科的成本的一小部分,我认为我们得到的至少一样好。”“PacketFence给我们带来的好处之一是,它解开了我们与思科之间的结。只要支持SNMP,我们就可以在边缘运行任何我们想要的交换机。”
FreeNAC
Meawhhile,瑞士电信公司,瑞士的国有电信,希望其开源的NAC软件也有商业吸引力。该公司最近开始销售该软件的商业版本,叫做FreeNAC,并有五个客户肖恩勃然,一个瑞士电信公司的高级安全顾问谁是FreeNAC项目领导说。
FreeNAC的商业版本包含了一些开源版本没有的功能,瑞士电信收取了包括安装和支持在内的订阅费用。Boran表示,该服务针对的是拥有老化、异构基础设施的企业,包括不支持802.1x端口认证的交换机,而许多商业NAC供应商需要802.1x端口认证来执行策略。
他说,就像威廉姆斯学院(Williams College)基于vmp的NAC一样,FreeNAC开始使用思科的VMPS来执行政策,但现在已经扩展到包括802.1x。这意味着FreeNAC可以支持拥有多种设备的网络,并可以帮助它们随着时间的推移升级基础设施,过渡到商业NAC平台。
Boran表示:“如果你是一家拥有Windows(台式机)系统、管理严密的思科公司,我不认为我们现在所做的事情有什么必要,但我们今天会利用现有的基础设施为你服务。”
更多的免费软件
罗素·扬特,在匹兹堡卡内基·梅隆大学的网络架构师表示,开源NAC社区拥有所有开源社区的两个关键优势:它很快发现错误并扩展功能随着需求为他们出现。卡耐基梅隆呼吁NetReg了自己的NAC软件设计专门在学校使用,但它是在伍斯特理工学院,杜克大学,阿拉巴马大学和他人之间伍兹霍尔海洋研究所使用不够灵活,扬特说。
灵活性非常重要,因为针对特定环境进行定制会限制其实用性。例如,由堪萨斯大学(University of Kansas)编写、供校园使用的NAC软件Rings,是为其自主开发的DHCP服务器量身定制的,因此它的DHCP执行并不广泛适用于校园以外的地方,Rings的首席开发者和设计师达斯汀·布朗(Dustin Brown)说。
“环”将用户名和MAC地址绑定在一起,以便将机器注册到网络上,网络还会向客户端机器发送Java代理,检查杀毒软件,如果没有杀毒软件就安装它。它还配置机器来访问本地更新服务器,并确保它们的IP地址在适当的范围内,并且它们拥有最关键的Windows更新。
他说,Rings使用DHCP来隔离机器,而堪萨斯大学使用自己版本的DHCP是使用ring的一个限制因素。
“我认为这是最大的绊脚石,其他团体有,他们不希望重做他们的整个基础设施的DHCP只是为了让NAC。他们宁愿用自己拥有的,”布朗说。
这并不阻止他人使用戒指,虽然。举例来说,三一基督教学院Palos的高地,伊利诺伊州,不得不推迟部署戒指,同时它需要做出改变凯文·雅各布斯,在学校的计算机服务协调员说。
学校试图将Rings的DHCP后端与微软的Active Directory作为NAC政策平台的一部分,但事实证明这很困难。雅各布斯表示:“我们在这方面花了很多时间,但我们决定,(2005年秋季)我们无法及时为到校的学生提供服务。”最终,这需要对Rings使用的DHCP进行代码修改,这个过程得到了堪萨斯大学布朗的帮助。“达斯汀帮助我们完成了很多配置,”他说。
这种合作是典型的开源NAC的努力表示威廉姆斯学院的伯曼,并通过团体之间的互动被证实。例如,FreeNAC的勃然希望与PacketFence的共享信息。“我们超过愿与任何人的兴趣,”阿莫林说。
拉波特说:“我们在各自的平台上做事情的方式没有太多的重叠,所以我们可能都能学到很多东西。”
Forrester的怀特利说,不过,这可能需要一段时间开源NAC扎根在企业面前。企业改用开源的平台时,它们是稳定的,并与所有网络轻松集成,而且即便如此,它需要共同努力。同样将保持为真与NAC。
Whiteley说:“这将需要某种类型的冠军来实现向企业的飞跃。”