FreeRadius 结合漏洞扫描/软件状态检查
FreeRadius in combination with a vulnerability scan / software status check
我有:
我正在 运行 设置一个完全符合我需要的 freeradius 服务器。现在一切正常。
我需要的:
我需要 radius 在身份验证之前将设备放在单独的 vlan 中,并 运行 对该 vlan 中的设备进行漏洞扫描(nessus / openvas 等)以检查软件状态(防病毒等。 )
如果设备通过测试,则应正常进行身份验证。
如果失败,则应将其放入第三个(如果算上 unauth-vid 则为第四个)vlan。
谁能告诉我这在 freeradius 中是否可行?
提前感谢您的回答
是的。但这是一个非常广泛的问题,取决于所使用的网络设备。我将向您概述我将如何设计这样一个系统。
一般来说,如果您可以为您的 NAC 和完全访问 VLAN 使用相同的 DHCP server/IP 范围,您的时间会更轻松。这意味着您不必向客户端中的更高网络层发出状态发生变化的信号,您可以在后台交换 VLAN 以更改它们可以访问的内容。
您将建立一个数据库,其中包含每个客户的条目。这不必预先填充,它可以在第一次身份验证尝试期间填充。每个客户端条目的一部分将是一个状态字段,详细说明他们上次完成 NAC 的时间。
您还需要一个记帐数据库,以存储有关每个客户端连接到网络的位置的信息。
如果客户端之前从未完成过 NAC 检查,您可以将客户端分配给 NAC VLAN,并向您的 NAC 进程发出信号以开始询问它。
FreeRADIUS 可以同时充当 RADIUS 和 DHCPv4 服务器,因此您可能会从 DHCPv4 端向 NAC 进程发出信号,因为这样您就会知道客户端收到的 IP。
可以通过多种方式绑定 RADIUS 和 DHCPv4 端。最明显的是MAC,另一种常见的方式是NAS/Port ID 使用会计table.
一旦 NAC 检查完成,您将让 NAC 进程以详细文件格式写出收据,并让详细文件侦听器读回(在 sites-available/ 中有这方面的示例)在 'decoupled-accounting' 虚拟服务器文件中)。当读回这些条目时,您将更改数据库中的状态,并使用记帐数据库中的信息将 CoA 数据包发送到交换机以识别客户端。这将翻转 VLAN 并允许它们使用标准的网络资源集。
我知道这是非常高级的,正确记录它可能会超过 Whosebug 的字符数限制。如果您需要更多帮助,我建议您研究我上面描述的内容,然后开始在 FreeRADIUS 用户的邮件列表 https://freeradius.org/support/.
上询问与 RADIUS 相关的问题
我有:
我正在 运行 设置一个完全符合我需要的 freeradius 服务器。现在一切正常。
我需要的:
我需要 radius 在身份验证之前将设备放在单独的 vlan 中,并 运行 对该 vlan 中的设备进行漏洞扫描(nessus / openvas 等)以检查软件状态(防病毒等。 ) 如果设备通过测试,则应正常进行身份验证。 如果失败,则应将其放入第三个(如果算上 unauth-vid 则为第四个)vlan。
谁能告诉我这在 freeradius 中是否可行?
提前感谢您的回答
是的。但这是一个非常广泛的问题,取决于所使用的网络设备。我将向您概述我将如何设计这样一个系统。
一般来说,如果您可以为您的 NAC 和完全访问 VLAN 使用相同的 DHCP server/IP 范围,您的时间会更轻松。这意味着您不必向客户端中的更高网络层发出状态发生变化的信号,您可以在后台交换 VLAN 以更改它们可以访问的内容。
您将建立一个数据库,其中包含每个客户的条目。这不必预先填充,它可以在第一次身份验证尝试期间填充。每个客户端条目的一部分将是一个状态字段,详细说明他们上次完成 NAC 的时间。
您还需要一个记帐数据库,以存储有关每个客户端连接到网络的位置的信息。
如果客户端之前从未完成过 NAC 检查,您可以将客户端分配给 NAC VLAN,并向您的 NAC 进程发出信号以开始询问它。
FreeRADIUS 可以同时充当 RADIUS 和 DHCPv4 服务器,因此您可能会从 DHCPv4 端向 NAC 进程发出信号,因为这样您就会知道客户端收到的 IP。
可以通过多种方式绑定 RADIUS 和 DHCPv4 端。最明显的是MAC,另一种常见的方式是NAS/Port ID 使用会计table.
一旦 NAC 检查完成,您将让 NAC 进程以详细文件格式写出收据,并让详细文件侦听器读回(在 sites-available/ 中有这方面的示例)在 'decoupled-accounting' 虚拟服务器文件中)。当读回这些条目时,您将更改数据库中的状态,并使用记帐数据库中的信息将 CoA 数据包发送到交换机以识别客户端。这将翻转 VLAN 并允许它们使用标准的网络资源集。
我知道这是非常高级的,正确记录它可能会超过 Whosebug 的字符数限制。如果您需要更多帮助,我建议您研究我上面描述的内容,然后开始在 FreeRADIUS 用户的邮件列表 https://freeradius.org/support/.
上询问与 RADIUS 相关的问题