Symantec Sygate Enterprise Protection网络环境下,ROS不能用了!
相关Symantec Sygate Enterprise Protection的资料我作为附件放后面了对于一些管理较大型网络的朋友来说,这个软件也许应该先预习一下...
背景是这样的:
前段时间,公司网络大面积病毒肆虐,不论是局域网还是公司的远程网络,都是病毒。
于是,集团公司的总工程师决定购买我上面提到的这个软件。
本来这个软件是sygate开发的,可能是今年吧,sygate被赛门铁克收购,改了改,变成Symantec的,最新版本是5.1,以下我简称SEP5.1。
SEP5.1里面包含一个组建,叫SAP,中文意思是“网络准入系统”。大致的作用就是在一台客户机连接到企业的资源服务器之前,先强制检查客户机的完整性,符合准入规则以后放行,否则将客户机IP地址重定向到一个安全修复区域,去访问一个专门用来修复客户机完整性的服务器。直到符合完整性检查为止。
现在说说我负责的这个分公司的情况:
我们分公司是通过光纤远程连接到总公司的,外网只有一个真实IP。在安装SPA以前,分公司可以通过我做的ROS共享连接到总公司网络。
自打安装了SPA之后,这种情况不行了。
唯一成功的一次是,两台机器同时连接总公司的数据库服务器,15分钟以后,两台机器全部被强制断开。
总公司的管理员去荷兰出差了,目前分公司就像瘫痪了一样。
真不知道该怎么办了.... 我现在怀疑策略服务器发现了我的ROS的存在,从而强制断开了。
ROS怎样设置一下,才能避免被发现呢? 这个问题比较复杂了,你先把ROS甩开看看 要从整体,系统地分析~~ .......ros直接做路由(不是nat)或者桥试试 原帖由 naboo 于 2006-11-21 14:46 发表
要从整体,系统地分析~~
同意! 总公司可以用vpn吗。vpn连接上再直接路由呢。 关键是准入规则这块,没有具体文档吗
把ROS的防火墙规则贴上来看看。
不行的话 ,你就先用ISA2004,这个应该没问题。
“没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是,对于一个非Windows 系统可以免除此NAC过程。第二种方式是,可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符,可以容许整个一类系统免受检查,例如IP电话使用它们组织唯一标识符。”
你注意一下这个。
[ 本帖最后由 webjump 于 2006-11-21 20:51 编辑 ] RE:专卖兄 甩开ROS之后一切正常。
RE:seignior 兄
“ros直接做路由(不是nat)或者桥试试”
由于只被分配了一个真实IP,所以,不采用NAT似乎没有什么更好的办法。
RE:BOW兄
"总公司可以用vpn吗。vpn连接上再直接路由呢。"
你的意思是:用ROS作为VPN客户端去连接总公司的VPN服务器,ROS的后面再带动我的局域网去访问总公司的资源?可惜的是,我这里不具备这样的接入。但是从你的说法,我似乎得到了一些提示,后面我会说。
------------------
从专卖兄的问题我们至少可以得到一个信息,真实IP的接入是被准入的。地址伪装后便会被阻止访问。
非NAT的方式,也就是完全路由方式。以我目前的知识,我只知道,路由器两侧的子网必须都是真实IP。但我目前只被分配了一个IP地址!也许还有其他的办法,只是我不知道而已。
BOW的说法启发了我...
我们能否配置这样一台ROS,可以在逻辑上让ROS后面的局域网客户机无限趋近或者叫仿真唯一的IP,抑或可以叫做无缝连接呢?
换个说法,我们能否应用层上欺骗上层设备,让他们无法发现ROS主机的存在
.......你没理解我的意思,或者应该说你没理解“路由”是个什么东西。
根据你的描述和补充,基本上相信做路由或者VPN、IPIP应该是没问题的了。
今天太累了,或者我建议你画个相对清晰的图出来,标注各关键ip(假设好了)和网段,我想明天你会收到不只一个答案。 能否让ROS配置为:
路由模式『非NAT』,并且,局域网内部还能够使用虚假地址? 原帖由 webjump 于 2006-11-21 20:53 发表
我说的是ROS的防火墙规则,怀疑是防火墙的问题。
不设置任何防火墙试试看。
不是,是因为spa无法验证客户机完整性(spa只能看到ros而无法看到分公司真正的客户机,这本来就是nat的特性,所以在本案例里只能放弃NAT了)。 原帖由 seignior 于 2006-11-21 20:58 发表
不是,是因为spa无法验证客户机完整性(spa只能看到ros而无法看到分公司真正的客户机,这本来就是nat的特性,所以在本案例里只能放弃NAT了)。
是的
我也觉得SEP服务器只能看到ROS,而无法发现居于ROS后面的真正的分公司客户机。
但:NAT方式我也成功的同时接入了两台局域网主机,只可惜,这两台主机只运行了15分钟就同时被阻断。
注意:是同时。我当时是两个人一起试验的。 “没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是,对于一个非Windows 系统可以免除此NAC过程。第二种方式是,可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符,可以容许整个一类系统免受检查,例如IP电话使用它们组织唯一标识符。” 原帖由 seignior 于 2006-11-21 20:53 发表
.......你没理解我的意思,或者应该说你没理解“路由”是个什么东西。
根据你的描述和补充,基本上相信做路由或者VPN、IPIP应该是没问题的了。
今天太累了,或者我建议你画个相对清晰的图出来,标注各关键i ...
RE:seignior
首先感谢你对本案例的几处一针见血的观点,受益匪浅!
针对本例,我补充如下:
1、假如放弃NAT而采用router方式接入的话,恐怕对于本案有些不现实,因为我有权支配的公有IP只有一个。所以,局域网内部的机器还是要用私有地址。但是,由于才疏学浅,不是很清楚在纯router模式下,我能否继续使用私有地址呢?
2、IPSEC VPN方式。当然我觉得这应该是一个很好的解决办法了。但是,总公司那边并没有VPN的接入服务器!现在和以后都不会有。
3、IPIP方式我不知道用在本案中会有什么优势?因为所有的前提是:我所能支配和使用的公有IP只有一个。IPIP方式似乎已经跨越了这个前提。
//----------
下面是我的一些试验结果,希望可以补充对问题的描述
//----------
1、单机直连:所有的完整性检查都是合格的,所有企业资源访问均正常。
2、加入ROS,ROS用S.NAT的伪装方式接入,且未添加任何防火墙规则,两台客户机实测,可以正常使用15分钟左右,之后两客户机“同时!!!”被阻断对数据库服务器的访问。此种情形下,甩开ROS马上恢复单机接入模式,又是正常的!
对比1和2
他们具备如下共性:作为单个客户机的完整性检查应该都是合格的。
所不同的就是加入ROS之后情形发生了变化。比如,IPID可能会被检测到不同。还有时间戳。前面的情形2中之所以出现了15分钟的正常使用,我猜想那是不是作为SPA验证服务器的一次伦询间隔呢?
所以,我最怀疑的就是当初他们在定制控制策略的时候,是不是对接入方式做了限制?也就是拒绝二级代理。这就像一些地方的ISP利用尖兵一类的东西防止共享ADSL一样。不过这仅仅是一种猜测,毕竟我对SPA还只是停留在“白皮书”的位置。
还有,假设服务端策略做了MAC-IP绑定的话,那么我在使用了ROS之后,相应的MAC也会发生变化,我能否获得这样一个方法:在不更改ROS的外网MAC的前提下,利用ROS对外部宣称一个合法的MAC呢?
不过,也有可能在ROS上变换一种思路来配置,问题就会得到解决。但我自己的能力已经很有限了,天生并不聪慧,只能考大伙的力量了,呵呵
描述的不是很清楚,大家对付看吧,我会及时向大家报告最新的试验结果。同时也希望大家多提一些思路,我想这对于拓展ROS的应用是有好处的!
[ 本帖最后由 jack_i5 于 2006-11-22 01:39 编辑 ]