Symantec Sygate Enterprise Protection网络环境下，ROS不能用了！

jack_i5

相关Symantec Sygate Enterprise Protection的资料我作为附件放后面了
对于一些管理较大型网络的朋友来说，这个软件也许应该先预习一下...

背景是这样的：
前段时间，公司网络大面积病毒肆虐，不论是局域网还是公司的远程网络，都是病毒。
于是，集团公司的总工程师决定购买我上面提到的这个软件。
本来这个软件是sygate开发的，可能是今年吧，sygate被赛门铁克收购，改了改，变成Symantec的，最新版本是5.1，以下我简称SEP5.1。

SEP5.1里面包含一个组建，叫SAP，中文意思是“网络准入系统”。大致的作用就是在一台客户机连接到企业的资源服务器之前，先强制检查客户机的完整性，符合准入规则以后放行，否则将客户机IP地址重定向到一个安全修复区域，去访问一个专门用来修复客户机完整性的服务器。直到符合完整性检查为止。

现在说说我负责的这个分公司的情况：
我们分公司是通过光纤远程连接到总公司的，外网只有一个真实IP。在安装SPA以前，分公司可以通过我做的ros共享连接到总公司网络。

自打安装了SPA之后，这种情况不行了。

唯一成功的一次是，两台机器同时连接总公司的数据库服务器，15分钟以后，两台机器全部被强制断开。

总公司的管理员去荷兰出差了，目前分公司就像瘫痪了一样。

真不知道该怎么办了....

jack_i5

我现在怀疑策略服务器发现了我的ROS的存在，从而强制断开了。

ROS怎样设置一下，才能避免被发现呢？

专卖精品

这个问题比较复杂了，你先把ROS甩开看看

naboo

要从整体，系统地分析～～

seignior

.......ros直接做路由(不是nat)或者桥试试

专卖精品

原帖由 naboo 于 2006-11-21 14:46 发表
要从整体，系统地分析～～

同意！

bow

总公司可以用vpn吗。vpn连接上再直接路由呢。

webjump

关键是准入规则这块，没有具体文档吗
把ROS的防火墙规则贴上来看看。

不行的话 ，你就先用ISA2004，这个应该没问题。

“没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是，对于一个非Windows 系统可以免除此NAC过程。第二种方式是，可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符，可以容许整个一类系统免受检查，例如IP电话使用它们组织唯一标识符。”

你注意一下这个。

[ 本帖最后由 webjump 于 2006-11-21 20:51 编辑 ]

jack_i5

RE:专卖兄    甩开ROS之后一切正常。

RE:seignior 兄
“ros直接做路由(不是nat)或者桥试试”
由于只被分配了一个真实IP，所以，不采用NAT似乎没有什么更好的办法。

RE:BOW兄
"总公司可以用vpn吗。vpn连接上再直接路由呢。"
你的意思是：用ROS作为VPN客户端去连接总公司的VPN服务器，ROS的后面再带动我的局域网去访问总公司的资源？可惜的是，我这里不具备这样的接入。但是从你的说法，我似乎得到了一些提示，后面我会说。

－－－－－－－－－－－－－－－－－－
从专卖兄的问题我们至少可以得到一个信息，真实IP的接入是被准入的。地址伪装后便会被阻止访问。

非NAT的方式，也就是完全路由方式。以我目前的知识，我只知道，路由器两侧的子网必须都是真实IP。但我目前只被分配了一个IP地址！也许还有其他的办法，只是我不知道而已。

BOW的说法启发了我...
我们能否配置这样一台ROS，可以在逻辑上让ROS后面的局域网客户机无限趋近或者叫仿真唯一的IP，抑或可以叫做无缝连接呢？
换个说法，我们能否应用层上欺骗上层设备，让他们无法发现ROS主机的存在

seignior

.......你没理解我的意思，或者应该说你没理解“路由”是个什么东西。

根据你的描述和补充，基本上相信做路由或者VPN、IPIP应该是没问题的了。
今天太累了，或者我建议你画个相对清晰的图出来，标注各关键ip(假设好了)和网段，我想明天你会收到不只一个答案。

jack_i5

能否让ROS配置为：
路由模式『非NAT』，并且，局域网内部还能够使用虚假地址？

seignior

原帖由 webjump 于 2006-11-21 20:53 发表

我说的是ROS的防火墙规则，怀疑是防火墙的问题。

不设置任何防火墙试试看。

不是，是因为spa无法验证客户机完整性(spa只能看到ros而无法看到分公司真正的客户机，这本来就是nat的特性，所以在本案例里只能放弃NAT了)。

jack_i5

原帖由 seignior 于 2006-11-21 20:58 发表


不是，是因为spa无法验证客户机完整性(spa只能看到ros而无法看到分公司真正的客户机，这本来就是nat的特性，所以在本案例里只能放弃NAT了)。

是的

我也觉得SEP服务器只能看到ROS，而无法发现居于ROS后面的真正的分公司客户机。

但：NAT方式我也成功的同时接入了两台局域网主机，只可惜，这两台主机只运行了15分钟就同时被阻断。

注意：是同时。我当时是两个人一起试验的。

webjump

“没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是，对于一个非Windows 系统可以免除此NAC过程。第二种方式是，可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符，可以容许整个一类系统免受检查，例如IP电话使用它们组织唯一标识符。”

jack_i5

原帖由 seignior 于 2006-11-21 20:53 发表
.......你没理解我的意思，或者应该说你没理解“路由”是个什么东西。

根据你的描述和补充，基本上相信做路由或者VPN、IPIP应该是没问题的了。
今天太累了，或者我建议你画个相对清晰的图出来，标注各关键i ...

RE：seignior

首先感谢你对本案例的几处一针见血的观点，受益匪浅！

针对本例，我补充如下：

1、假如放弃NAT而采用router方式接入的话，恐怕对于本案有些不现实，因为我有权支配的公有IP只有一个。所以，局域网内部的机器还是要用私有地址。但是，由于才疏学浅，不是很清楚在纯router模式下，我能否继续使用私有地址呢？

2、IPSEC VPN方式。当然我觉得这应该是一个很好的解决办法了。但是，总公司那边并没有VPN的接入服务器！现在和以后都不会有。

3、IPIP方式我不知道用在本案中会有什么优势？因为所有的前提是：我所能支配和使用的公有IP只有一个。IPIP方式似乎已经跨越了这个前提。

//－－－－－－－－－－

下面是我的一些试验结果，希望可以补充对问题的描述

//－－－－－－－－－－
1、单机直连：所有的完整性检查都是合格的，所有企业资源访问均正常。

2、加入ROS，ROS用S.NAT的伪装方式接入，且未添加任何防火墙规则，两台客户机实测，可以正常使用15分钟左右，之后两客户机“同时！！！”被阻断对数据库服务器的访问。此种情形下，甩开ROS马上恢复单机接入模式，又是正常的！

对比1和2
他们具备如下共性：作为单个客户机的完整性检查应该都是合格的。

所不同的就是加入ROS之后情形发生了变化。比如，IPID可能会被检测到不同。还有时间戳。前面的情形2中之所以出现了15分钟的正常使用，我猜想那是不是作为SPA验证服务器的一次伦询间隔呢？

所以，我最怀疑的就是当初他们在定制控制策略的时候，是不是对接入方式做了限制？也就是拒绝二级代理。这就像一些地方的ISP利用尖兵一类的东西防止共享ADSL一样。不过这仅仅是一种猜测，毕竟我对SPA还只是停留在“白皮书”的位置。

还有，假设服务端策略做了MAC-IP绑定的话，那么我在使用了ROS之后，相应的MAC也会发生变化，我能否获得这样一个方法：在不更改ROS的外网MAC的前提下，利用ROS对外部宣称一个合法的MAC呢？

不过，也有可能在ROS上变换一种思路来配置，问题就会得到解决。但我自己的能力已经很有限了，天生并不聪慧，只能考大伙的力量了，呵呵

描述的不是很清楚，大家对付看吧，我会及时向大家报告最新的试验结果。同时也希望大家多提一些思路，我想这对于拓展ROS的应用是有好处的！

[ 本帖最后由 jack_i5 于 2006-11-22 01:39 编辑 ]