找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 19744|回复: 48

[其它] Symantec Sygate Enterprise Protection网络环境下,ROS不能用了!

[复制链接]
发表于 2006-11-21 14:14:11 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
相关Symantec Sygate Enterprise Protection的资料我作为附件放后面了
对于一些管理较大型网络的朋友来说,这个软件也许应该先预习一下...

背景是这样的:
前段时间,公司网络大面积病毒肆虐,不论是局域网还是公司的远程网络,都是病毒。
于是,集团公司的总工程师决定购买我上面提到的这个软件。
本来这个软件是sygate开发的,可能是今年吧,sygate被赛门铁克收购,改了改,变成Symantec的,最新版本是5.1,以下我简称SEP5.1。

SEP5.1里面包含一个组建,叫SAP,中文意思是“网络准入系统”。大致的作用就是在一台客户机连接到企业的资源服务器之前,先强制检查客户机的完整性,符合准入规则以后放行,否则将客户机IP地址重定向到一个安全修复区域,去访问一个专门用来修复客户机完整性的服务器。直到符合完整性检查为止。

现在说说我负责的这个分公司的情况:
我们分公司是通过光纤远程连接到总公司的,外网只有一个真实IP。在安装SPA以前,分公司可以通过我做的ros共享连接到总公司网络。

自打安装了SPA之后,这种情况不行了。

唯一成功的一次是,两台机器同时连接总公司的数据库服务器,15分钟以后,两台机器全部被强制断开。

总公司的管理员去荷兰出差了,目前分公司就像瘫痪了一样。

真不知道该怎么办了....

Symantec SEP5[1].1技术白皮书.rar

563.06 KB, 下载次数: 54

routeros
 楼主| 发表于 2006-11-21 14:16:20 | 显示全部楼层
我现在怀疑策略服务器发现了我的ROS的存在,从而强制断开了。

ROS怎样设置一下,才能避免被发现呢?
routeros
回复

使用道具 举报

发表于 2006-11-21 14:25:39 | 显示全部楼层
这个问题比较复杂了,你先把ROS甩开看看
routeros
回复

使用道具 举报

发表于 2006-11-21 14:46:10 | 显示全部楼层
要从整体,系统地分析~~
routeros
回复

使用道具 举报

发表于 2006-11-21 14:47:29 | 显示全部楼层
.......ros直接做路由(不是nat)或者桥试试
routeros
回复

使用道具 举报

发表于 2006-11-21 14:50:18 | 显示全部楼层
原帖由 naboo 于 2006-11-21 14:46 发表
要从整体,系统地分析~~


同意!
routeros
回复

使用道具 举报

发表于 2006-11-21 15:08:00 | 显示全部楼层
总公司可以用vpn吗。vpn连接上再直接路由呢。
routeros
回复

使用道具 举报

发表于 2006-11-21 20:19:57 | 显示全部楼层
关键是准入规则这块,没有具体文档吗
把ROS的防火墙规则贴上来看看。

不行的话 ,你就先用ISA2004,这个应该没问题。

没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是,对于一个非Windows 系统可以免除此NAC过程。第二种方式是,可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符,可以容许整个一类系统免受检查,例如IP电话使用它们组织唯一标识符。”

你注意一下这个。

[ 本帖最后由 webjump 于 2006-11-21 20:51 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2006-11-21 20:45:54 | 显示全部楼层
RE:专卖兄    甩开ROS之后一切正常。

RE:seignior
“ros直接做路由(不是nat)或者桥试试”

由于只被分配了一个真实IP,所以,不采用NAT似乎没有什么更好的办法。

RE:BOW兄
"总公司可以用vpn吗。vpn连接上再直接路由呢。"
你的意思是:用ROS作为VPN客户端去连接总公司的VPN服务器,ROS的后面再带动我的局域网去访问总公司的资源?可惜的是,我这里不具备这样的接入。但是从你的说法,我似乎得到了一些提示,后面我会说。

------------------
从专卖兄的问题我们至少可以得到一个信息,真实IP的接入是被准入的。地址伪装后便会被阻止访问。

非NAT的方式,也就是完全路由方式。以我目前的知识,我只知道,路由器两侧的子网必须都是真实IP。但我目前只被分配了一个IP地址!也许还有其他的办法,只是我不知道而已。

BOW的说法启发了我...
我们能否配置这样一台ROS,可以在逻辑上让ROS后面的局域网客户机无限趋近或者叫仿真唯一的IP,抑或可以叫做无缝连接呢?
换个说法,我们能否应用层上欺骗上层设备,让他们无法发现ROS主机的存在

routeros
回复

使用道具 举报

发表于 2006-11-21 20:53:03 | 显示全部楼层
.......你没理解我的意思,或者应该说你没理解“路由”是个什么东西。

根据你的描述和补充,基本上相信做路由或者VPN、IPIP应该是没问题的了。
今天太累了,或者我建议你画个相对清晰的图出来,标注各关键ip(假设好了)和网段,我想明天你会收到不只一个答案。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-11-21 20:57:38 | 显示全部楼层
能否让ROS配置为:
路由模式『非NAT』,并且,局域网内部还能够使用虚假地址?
routeros
回复

使用道具 举报

发表于 2006-11-21 20:58:54 | 显示全部楼层
原帖由 webjump 于 2006-11-21 20:53 发表

我说的是ROS的防火墙规则,怀疑是防火墙的问题。

不设置任何防火墙试试看。


不是,是因为spa无法验证客户机完整性(spa只能看到ros而无法看到分公司真正的客户机,这本来就是nat的特性,所以在本案例里只能放弃NAT了)。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-11-21 21:03:33 | 显示全部楼层
原帖由 seignior 于 2006-11-21 20:58 发表


不是,是因为spa无法验证客户机完整性(spa只能看到ros而无法看到分公司真正的客户机,这本来就是nat的特性,所以在本案例里只能放弃NAT了)。



是的

我也觉得SEP服务器只能看到ROS,而无法发现居于ROS后面的真正的分公司客户机。

但:NAT方式我也成功的同时接入了两台局域网主机,只可惜,这两台主机只运行了15分钟就同时被阻断。

注意:是同时。我当时是两个人一起试验的。
routeros
回复

使用道具 举报

发表于 2006-11-21 21:06:00 | 显示全部楼层
“没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是,对于一个非Windows 系统可以免除此NAC过程。第二种方式是,可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符,可以容许整个一类系统免受检查,例如IP电话使用它们组织唯一标识符。”
routeros
回复

使用道具 举报

 楼主| 发表于 2006-11-22 01:33:46 | 显示全部楼层
原帖由 seignior 于 2006-11-21 20:53 发表
.......你没理解我的意思,或者应该说你没理解“路由”是个什么东西。

根据你的描述和补充,基本上相信做路由或者VPN、IPIP应该是没问题的了。
今天太累了,或者我建议你画个相对清晰的图出来,标注各关键i ...


RE:seignior

首先感谢你对本案例的几处一针见血的观点,受益匪浅!

针对本例,我补充如下:

1、假如放弃NAT而采用router方式接入的话,恐怕对于本案有些不现实,因为我有权支配的公有IP只有一个。所以,局域网内部的机器还是要用私有地址。但是,由于才疏学浅,不是很清楚在纯router模式下,我能否继续使用私有地址呢?

2、IPSEC VPN方式。当然我觉得这应该是一个很好的解决办法了。但是,总公司那边并没有VPN的接入服务器!现在和以后都不会有。

3、IPIP方式我不知道用在本案中会有什么优势?因为所有的前提是:我所能支配和使用的公有IP只有一个。IPIP方式似乎已经跨越了这个前提。

//----------

下面是我的一些试验结果,希望可以补充对问题的描述

//----------
1、单机直连:所有的完整性检查都是合格的,所有企业资源访问均正常。

2、加入ROS,ROS用S.NAT的伪装方式接入,且未添加任何防火墙规则,两台客户机实测,可以正常使用15分钟左右,之后两客户机“同时!!!”被阻断对数据库服务器的访问。此种情形下,甩开ROS马上恢复单机接入模式,又是正常的!

对比1和2
他们具备如下共性:作为单个客户机的完整性检查应该都是合格的。

所不同的就是加入ROS之后情形发生了变化。比如,IPID可能会被检测到不同。还有时间戳。前面的情形2中之所以出现了15分钟的正常使用,我猜想那是不是作为SPA验证服务器的一次伦询间隔呢?

所以,我最怀疑的就是当初他们在定制控制策略的时候,是不是对接入方式做了限制?也就是拒绝二级代理。这就像一些地方的ISP利用尖兵一类的东西防止共享ADSL一样。不过这仅仅是一种猜测,毕竟我对SPA还只是停留在“白皮书”的位置。

还有,假设服务端策略做了MAC-IP绑定的话,那么我在使用了ROS之后,相应的MAC也会发生变化,我能否获得这样一个方法:在不更改ROS的外网MAC的前提下,利用ROS对外部宣称一个合法的MAC呢?

不过,也有可能在ROS上变换一种思路来配置,问题就会得到解决。但我自己的能力已经很有限了,天生并不聪慧,只能考大伙的力量了,呵呵

描述的不是很清楚,大家对付看吧,我会及时向大家报告最新的试验结果。同时也希望大家多提一些思路,我想这对于拓展ROS的应用是有好处的!

[ 本帖最后由 jack_i5 于 2006-11-22 01:39 编辑 ]
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-22 18:12 , Processed in 0.066348 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表