主机完整性检测方案安装使用指南Procedureto.doc

主机完整性检测方案安装使用指南一、 简介阿尔卡特相信，网络访问控制（也被称作网络认证）和主机完整性检测的无缝整合是自动增强主机安全策略的关键因素，继而能阻止大多数病毒和蠕虫的攻击。阿尔卡特的解决方案具有两方面的特征：一方面是使用阿尔卡特领先的虚拟局域网（VLAN）技术及其局域网交换机系列产品。认证VLAN技术能使用户登录到网络并根据其证书进入相应的授权VLAN，从而有效地控制访问网络资源的人员。另一方面是使用提供主机完整性检测服务的服务器。通过网络认证业务，主机完整性执行服务器收集了有关主机的信息，包括操作系统版本和补丁包、防病毒软件版本、防病毒升级补丁和个人防火墙版本，并将其与企业安全策略进行比较。如果该主机与安全策略一致，则将在网络上得到授权并可以访问认证资源。如果该主机与安全策略不一致，则将被放置在一个隔离VLAN（也称作处罚VLAN）中。在该VLAN中，该主机将能够用所需的防病毒升级补丁、操作系统补丁等进行自我升级。一旦该主机被升级，则将激活认证程序，而该主机也将被纳入认证VLAN中。事件发生顺序使用802.1*进行用户认证（认证代理是工作组交换机）l 认证消息包括用户名和密码l 认证消息包括主机完整性状态（好或不好）认证请求到达代理认证服务器l 检查完整性状态（检查为好）l 将认证信息转发到RADIUSRADIUS认证并发送VLAN信息授权信息被发送到交换机l 用户被纳入相应VLANl 用户受到监控如果主机完整性不好，则用户将被纳入隔离VLAN/受控VLAN中二、 演示环境为了简化演示环境，我们讲制定用户策略的SMS服务器和检验用户完整性信息的Lan Enforcer集成在一台服务器中，如下图：演示步骤：1 OS6600中配置基于802.1x的认证，工作VLAN和隔离VLAN。2 安装Sygate client端软件，在Sygate Server上设定主机完整性检测规则。在Enforcer 上设定Radius代理和检测结果授权(VLAN)。客户PC从SERVER上下载主机检测规则。3 客户PC通过802.1X认证，认证信息和主机完整性信息传到Radius Server和Sygate Enforcer验证、授权。同时通过身份验证和主机完整性检测的用户将被授权进入工作VLAN，没通过主机完整性检测的用户将被授权进入隔离VLAN, 在隔离VLAN中客户端将只能下载相应的系统补丁。没通过身份认证的用户数据将被直接丢弃。三、 SMS与Lan Enforcer安装步骤1SMS要求： Windows 2000 server，SP4，IIS，打最新的安全补丁 SQL 2000，SQL Server的SP3，认证模式为”Mixed” Sygate Management Server (SMS) 4.0以上，按照提示安装安装Lan Enforcer在同一台机器上，完成后会提示你输入SMS的地址。如果没有足够的条件安装SMS和Lan Enforcer，可以使用Vmware在你的机器里创建一个虚拟机，然后加载光盘里面的已经安装好的SMS和Lan Enforcer的虚拟机镜像文件即可。打开SMS，此时会调用IE，进入SMS管理界面，可以看到一些菜单：Monitoring：不需要设置。Policies: 有一些缺省的规则(rule)，不要更改，我们需要增加一些规则：a) 点击setting-advance setting. 做任何修改前，要点击左上角的按钮使之成下图状态：做完任何修改一定要点击右上角的“Apply”来保存配置：b) 点击“advance rule”如图建立一条规则，允许ping的回应包，这使得Sygate的客户机可以往外ping网络中其它的机器： c) 点击“Host Integrity”， 已经有一条缺省的规则，我们可以根据需要增加规则，如图增加了一条检测McAfee是否运行的规则，来检测客户机是否运行了该杀毒软件，如果没有运行，可以在隔离VLAN防止一台下载服务器，在右下角设置URL让客户机自动去下载更新：Client Manager：不需要设置Server：在这里你会看到Lan Enforcer，点击Enforcer，然后点击“Authentication”，如下图设置然后保存： Administrators：不需要设置。以上就完成了SMS的安装设置，下面是客户端的安装和设置：去到sygate安装目录，可以看到Agent文件，有三种：Labtop、server和workstation，选择Labtop，然后安装在测试笔记本上，记住安装前该笔记本上最好不要装任何个人防火墙。当笔记本装好Sygate Agent(SSA)后，需要重起机器，重起后会要求你输入SMS的地址，所以安装SSA的时候，该机器需要一定可以SMS通信，这样它才可以从SMS下载安全策略。2交换机设置最好使用最新的Alcatel推荐的版本，目前为515.166R04。按照手册配置802.1X的认证，但此时的Radius服务器应该指向Lan Enforcer的地址，下面是配置例子：- show configuration snapshot! Chassis :system name OS7700mac alloc 91 0 1 00:d0:95:8e:a8:c1mac alloc 8 2 1 00:d0:95:8e:a8:c2mac alloc 8 3 1 00:d0:95:8e:a8:c3mac alloc 8 4 1 00:d0:95:8e:a8:c4mac alloc 8 5 1 00:d0:95:8e:a8:c5! Configuration:! VLAN :vlan 2 enable name VLAN 2vlan 2 authentication enablevlan 2 router ip 10.146.111.254 255.255.255.0 e2vlan 2 port default 1/13vlan 2 port default 1/14vlan 2 port default 1/15vlan 2 port default 1/16vlan 3 enable name VLAN 3vlan 3 authentication enablevlan 3 router ip 10.146.112.254 255.255.255.0 e2vlan 4 enable name VLAN 4vlan 4 authentication enablevlan 4 router ip 10.146.113.254 255.255.255.0 e2vlan 5 enable name VLAN 5vlan 5 authentication enablevlan 5 router ip 10.146.114.254 255.255.255.0 e2vlan port mobile 1/1vlan port 1/1 802.1x enablevlan port mobile 1/2vlan port 1/2 802.1x enablevlan port mobile 1/3vlan port 1/3 802.1x enablevlan port mobile 1/4vlan port 1/4 802.1x enablevlan port mobile 1/5vlan port 1/5 802.1x enablevlan port mobile 1/6vlan port 1/6 802.1x enablevlan port mobile 1/7vlan port 1/7 802.1x enablevlan port mobile 1/8vlan port 1/8 802.1x enablevlan port mobile 1/9vlan port 1/9 802.1x enablevlan port mobile 1/10vlan port 1/10 802.1x enablevlan port mobile 1/11vlan port 1/11 802.1x enablevlan port mobile 1/12vlan port 1/12 802.1x enable! VLAN SL:! IP :ip service all! IPX :! IPMS :! AAA :aaa radius-server rad1 host 10.146.111.10 key ecd1c3f1145d38e3 retransmit 3 timeout 2 auth-port 1812 acct-port 1813aaa authentication default localaaa authentication console localaaa authentication 802.1x open-unique rad1! PARTM :! AVLAN :avlan 2 auth-ip 10.146.111.253avlan 3 auth-ip 10.146.112.253avlan 4 auth-ip 10.146.113.253avlan 5 auth-ip 10.146.114.253! 802.1x :802.1x 1/1 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 30 reauthentication802.1x 1/2 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/3 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/4 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/5 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/6 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/7 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/8 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/9 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/10 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/11 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication802.1x 1/12 direction both port-control auto quiet-period 60 tx-period 30 supp-timeout 30 server-timeout 30 max-req 2 re-authperiod 3600 no reauthentication! QOS :policy network group SMS&LAN 10.146.111.10 10.146.111.11 10.146.111.12policy condition allowSMS source ip 10.146.114.0 mask 255.255.255.0 destinationnetwork group SMS&LANpolicy condition denyall source ip 10.146.114.0 mask 255.255.255.0policy action allowSMSpolicy action denyall disposition droppolicy rule allowSMS precedence 200 condition allowSMS action allowSMSpolicy rule denyall precedence 100 condition denyall action denyallqos apply! Policy manager :! Session manager