Packetfence: Difference between revisions
(25 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
== Sissejuhatus == | == Sissejuhatus == | ||
PacketFence on vaba ja avatud lähtekoodiga võrgu juurdepääsu kontrollimise programm. PacketFence sisaldab väga palju erinevaid võimalusi sealhulgas | PacketFence on vaba ja avatud lähtekoodiga võrgu juurdepääsu kontrollimise programm. PacketFence sisaldab väga palju erinevaid võimalusi sealhulgas | ||
keskset traadiga ja traadita interneti haldust, Wifi standardite tuge ja teise võrgukihi probleemsete seadmete keelamist. PacketFence-i saab kasutada, kui tõhusat võrgukaitse mehhanismi. PacketFence sobib kasutamiseks alates väikestest võrgulahendustest, kuni suurte ja hajutatud võrgulahenduste haldamiseks. | keskset traadiga ja traadita interneti haldust, Wifi standardite tuge ja teise võrgukihi probleemsete seadmete keelamist. PacketFence-i saab kasutada, kui tõhusat võrgukaitse mehhanismi. PacketFence sobib kasutamiseks alates väikestest võrgulahendustest, kuni suurte ja hajutatud võrgulahenduste haldamiseks. | ||
Selles artiklis paigaldame PacketFence-i '''Ubuntu 10.10''' operatsioonisüsteemile ja anname ülevaate PacketFence | Selles artiklis paigaldame PacketFence-i '''Ubuntu 10.10''' operatsioonisüsteemile ja anname ülevaate PacketFence-ist. Artikli lugejalt eeldatakse käsurea tundmist. | ||
== Milleks kasutatada just PacketFence-i == | == Milleks kasutatada just PacketFence-i == | ||
PacketFence pakub erinevaid võimalusi haldamaks võrguliiklust, kes ja millal saab ühenduda võrku. | PacketFence pakub erinevaid võimalusi haldamaks võrguliiklust, kes ja millal saab ühenduda võrku. | ||
[[File:Packet.jpg |thumb|upright|186x243px|PacketFence]] | |||
PacketFence-i võimalustest: | PacketFence-i võimalustest: | ||
Line 20: | Line 20: | ||
== Paigaldus == | == Paigaldus == | ||
PacketFence vajab töötamiseks mitmeid komponente: | |||
*MySQL | |||
*Apache | |||
*Snort | |||
*Nessus | |||
Kõige esimesena tuleks uuendada tarkvara nimekirju | Kõige esimesena tuleks uuendada tarkvara nimekirju | ||
Line 56: | Line 63: | ||
</pre> | </pre> | ||
Ubuntu 10.10 puhul võib esineda probleem apache2-mpm-threadpool mooduliga, juhul kui viga esineb tuleks see muuta apache2-mpm-workeri vastu. Kui ka see probleemi ei lahenda, tuleb installeerida see manuaalselt. Sellega on kõik ettevalmistused PacketFence | Ubuntu 10.10 puhul võib esineda probleem apache2-mpm-threadpool mooduliga, juhul kui viga esineb tuleks see muuta apache2-mpm-workeri vastu. Kui ka see probleemi ei lahenda, tuleb installeerida see manuaalselt. | ||
Sellega on kõik ettevalmistused PacketFence paigaldamiseks tehtud. | |||
'''PacketFence-i paigaldamine:''' | '''PacketFence-i paigaldamine:''' | ||
PacketFence-i paigaldamiseks tuleb PacketFence arvutisse laadida, paigaldise leiab aadressilt: http://www.packetfence.org/download/releases.html. | PacketFence-i paigaldamiseks tuleb PacketFence arvutisse laadida, paigaldise leiab aadressilt: http://www.packetfence.org/download/releases.html. Allalaetud fail tuleks tõsta kausta '''/usr/local/''' | ||
Järgnevalt tuleb installeerida PacketFence | Järgnevalt tuleb installeerida PacketFence | ||
Line 75: | Line 84: | ||
Seadistada tuleb järgmised parameetrid: | Seadistada tuleb järgmised parameetrid: | ||
*1. Template või custom setup-soovitan valida template, kui on tegemist esimene paigaldusega. | *1. Template või custom setup-soovitan valida template, kui on tegemist esimene paigaldusega. | ||
*2. Valida Testing mode | *2. Valida Testing mode | ||
*3. DNS Domain Name- sisesta võrgu domeeni nimi | *3. DNS Domain Name - sisesta võrgu domeeni nimi | ||
*4. Host name- | *4. Host name - paigalduskoht, kuhu PacketFence on paigaldatud. | ||
*5. DNS Servers- DNS server sinu võrgus | *5. DNS Servers - DNS server sinu võrgus | ||
*6. DHCP Server | *6. DHCP Server - DHCP server sinu võrgus | ||
*7. Management interface. - võrguliides, mida saab kasutada haldamise eesmärgil | *7. Management interface. - võrguliides, mida saab kasutada haldamise eesmärgil | ||
*8. IP Address - | *8. IP Address - arvuti IP aadress, kuhu PacketFence on paigaldatud. | ||
*9. Netmask- Võrgumask | *9. Netmask - Võrgumask | ||
*10. Gateway | *10. Gateway - Võrgu vaikelüüs | ||
*11. Trapping configuration -võrgu seade | |||
*12. Alerting configuration - e-maili aadres, kuhu soovid teateid/infot | |||
*11. Trapping configuration-võrgu seade | |||
*12. Alerting configuration | |||
*13. SMTP relay-vaikimisi jäätakse see localhostiks | *13. SMTP relay-vaikimisi jäätakse see localhostiks | ||
*14. Database configuration- | *14. Database configuration- MySQL serveri asukoht, MySQL serveri port, andmebaasi nimi, andmebaasi kasutajanimi, andmebaasi kasutaja parool | ||
Sellega on PacketFence paigaldatud, kuid tuleb veel lahendada Apache probleem. | Sellega on PacketFence paigaldatud, kuid tuleb veel lahendada Apache probleem. | ||
Vaikimisi arvab PacketFence, et Apache daemon on /usr/sbin/httpd kataloogis. Ubuntus on daemon usr/sbin/apache2 kataloogis. Probleemi lahendamiseks tuleb asendada /usr/local/pf/lib/services.pm fail.Faili leiab siit http://pastebin.com/US4g16nK, soovitatav oleks salvestada originaal fail tagavaraks ning | Vaikimisi arvab PacketFence, et Apache daemon on '''/usr/sbin/httpd''' kataloogis. Ubuntus on daemon '''usr/sbin/apache2''' kataloogis. Probleemi lahendamiseks tuleb asendada '''/usr/local/pf/lib/services.pm''' fail.Faili leiab siit http://pastebin.com/US4g16nK, soovitatav oleks salvestada originaal fail tagavaraks ning seejärel alles uue failiga asendada. | ||
Avada '''/usr/local/pf/conf/pf.conf''' fail ja lõppu lisada järgnevad read: | |||
<pre> | |||
[services] | [services] | ||
httpd=/usr/sbin/apache2 | httpd=/usr/sbin/apache2 | ||
</pre> | |||
Viimaks tuleb asendada PacketFence-i Apache konfiguratsiooni fail. | Viimaks tuleb asendada PacketFence-i Apache konfiguratsiooni fail. | ||
Asendada saab järgneva kahe käsuga: | |||
<pre> | <pre> | ||
Line 139: | Line 134: | ||
Eelnev käsk peaks väljastama analoogse tulemuse: | Eelnev käsk peaks väljastama analoogse tulemuse: | ||
<pre> | |||
00:1c:25:32:13:8b|1|2010-12-03 14:08:01||||unreg||JACK-PC||2010-12-06 15:32:27|2010-12-06 15:24:03||||1,15,3,6,44,46,47,31,33,121,249,43|0 | 00:1c:25:32:13:8b|1|2010-12-03 14:08:01||||unreg||JACK-PC||2010-12-06 15:32:27|2010-12-06 15:24:03||||1,15,3,6,44,46,47,31,33,121,249,43|0 | ||
</pre> | |||
'''Unreg''' kiri väljundis näitab seda, et seade ei ole registreeritud PacketFence-i. Registreerimaks seadet : | '''Unreg''' kiri väljundis näitab seda, et seade ei ole registreeritud PacketFence-i. Registreerimaks seadet : | ||
Line 149: | Line 144: | ||
MAC aadressina kasutatakse PacketFence väljundis kuvatud aadressi. | MAC aadressina kasutatakse PacketFence väljundis kuvatud aadressi. | ||
Kasutajate | Kasutajate registreerimiseks tuleb muuta '''pf.conf''' faili. Enne, kui hakkad kasutajaid registreerima, veendu, et oled ennem registreerinud marsruuterid, switchid ja teised seadmed. Juhul, kui oled registreerimata jätnud võib juhtuda, et võrgule ligipääsu puudub, sest marsruuterid ja switchid pole kättesaadavad. | ||
Registreerimise lõppedes ava: /usr/local/pf/conf/pf.conf fail ja kirjuta lõppu järgnevad read: | Registreerimise lõppedes ava: '''/usr/local/pf/conf/pf.conf''' fail ja kirjuta lõppu järgnevad read: | ||
<pre> | |||
[trapping] | [trapping] | ||
esting=disabled | esting=disabled | ||
Line 160: | Line 156: | ||
aup=disabled | aup=disabled | ||
auth=local | auth=local | ||
</pre> | |||
Sellega on lõppenud PacketFence paigaldus. Peale restarti peaks registreerimata kasutajatel puuduma ligipääs võrgule. | Sellega on lõppenud PacketFence paigaldus. Peale restarti peaks registreerimata kasutajatel puuduma ligipääs võrgule. | ||
'''Weebi liides''' | |||
PacketFence-i weebi liidesesse pääsemine on väga lihtne, tuleb avada browser ja sisestada https://packetfence_serveri_ip:1443. | |||
Weebi põhine liides võimaldab teha erinevaid administreerimis töid. | |||
== Kokkuvõte == | == Kokkuvõte == |
Latest revision as of 11:01, 16 May 2011
Sissejuhatus
PacketFence on vaba ja avatud lähtekoodiga võrgu juurdepääsu kontrollimise programm. PacketFence sisaldab väga palju erinevaid võimalusi sealhulgas keskset traadiga ja traadita interneti haldust, Wifi standardite tuge ja teise võrgukihi probleemsete seadmete keelamist. PacketFence-i saab kasutada, kui tõhusat võrgukaitse mehhanismi. PacketFence sobib kasutamiseks alates väikestest võrgulahendustest, kuni suurte ja hajutatud võrgulahenduste haldamiseks.
Selles artiklis paigaldame PacketFence-i Ubuntu 10.10 operatsioonisüsteemile ja anname ülevaate PacketFence-ist. Artikli lugejalt eeldatakse käsurea tundmist.
Milleks kasutatada just PacketFence-i
PacketFence pakub erinevaid võimalusi haldamaks võrguliiklust, kes ja millal saab ühenduda võrku.
PacketFence-i võimalustest:
- Blokeerida iPod-i ühendusi
- Keelata võrguühendusi
- Teostada korralisi kontrolle
- Keelata P2P ühendused
- Lubada ja keelata külalisi võrku
- Lihtsustatud VLAN haldust
Paigaldus
PacketFence vajab töötamiseks mitmeid komponente:
- MySQL
- Apache
- Snort
- Nessus
Kõige esimesena tuleks uuendada tarkvara nimekirju
apt-get update
Tuleb välja selgitada, millist võrgukaarti hakatakse pealt kuulama. Selle saab välja selgitada järgmise käsuga:
ifconfig
Snordi seadistamisel tuleb valida võrgukaart, mida kuulatakse, selle selgitasime välja eelneva käsuga. Selle installatsiooni käigus võivad ilmuda mõned hoiatused, et mõni tarkvarapakk on juba paigaldatud ja on ajakohane.
sudo apt-get install build-essential apache2 apache2.2-common apache2-utils openssl openssl-blacklist openssl-blacklist-extra php-log snort mysql- server libapache2-mod-proxy-html libapache2-mod-php5 php-pear php5-mysql php5-gd
Ennem PacketFence paigaldamise juurde asumist on vaja veel paigaldada Perl-i moodulid.
sudo apt-get install perl-suid libapache-htpasswd-perl libbit-vector-perl libcgi-session-serialize-yaml-perl libconfig-inifiles-perl libtimedate- perl libapache-dbi-perl libdbd-mysql-perl libfile-tail-perl libnetwork-ipv4addr-perl libiptables-parse-perl libiptables-chainmgr-perl liblist- moreutils-perl liblocale-gettext-perl liblog-log4perl-perl liblwp-useragent-determined-perl libnet-mac-vendor-perl libnet-mac-perl libnet-netmask- perl libnet-pcap-perl libnet-snmp-perl libsnmp-perl libnet-telnet-cisco-perl libparse-recdescent-perl libregexp-common-email-address-perl libregexp-common-time-perl libperl-critic-perl libreadonly-xs-perl libhtml-template-perl libterm-readkey-perl libtest-perl-critic-perl libtest- pod-perl libtest-pod-coverage-perl apache2-mpm-threadpool libthread-pool-simple-perl libuniversal-require-perl libuniversal-exports-perl libnet- rawip-perl libwww-perl
Ubuntu 10.10 puhul võib esineda probleem apache2-mpm-threadpool mooduliga, juhul kui viga esineb tuleks see muuta apache2-mpm-workeri vastu. Kui ka see probleemi ei lahenda, tuleb installeerida see manuaalselt.
Sellega on kõik ettevalmistused PacketFence paigaldamiseks tehtud.
PacketFence-i paigaldamine:
PacketFence-i paigaldamiseks tuleb PacketFence arvutisse laadida, paigaldise leiab aadressilt: http://www.packetfence.org/download/releases.html. Allalaetud fail tuleks tõsta kausta /usr/local/
Järgnevalt tuleb installeerida PacketFence
sudo ./installer.pl.
PacketFence-i seadistamine:
*sudo ./configurator.pl
Seadistada tuleb järgmised parameetrid:
- 1. Template või custom setup-soovitan valida template, kui on tegemist esimene paigaldusega.
- 2. Valida Testing mode
- 3. DNS Domain Name - sisesta võrgu domeeni nimi
- 4. Host name - paigalduskoht, kuhu PacketFence on paigaldatud.
- 5. DNS Servers - DNS server sinu võrgus
- 6. DHCP Server - DHCP server sinu võrgus
- 7. Management interface. - võrguliides, mida saab kasutada haldamise eesmärgil
- 8. IP Address - arvuti IP aadress, kuhu PacketFence on paigaldatud.
- 9. Netmask - Võrgumask
- 10. Gateway - Võrgu vaikelüüs
- 11. Trapping configuration -võrgu seade
- 12. Alerting configuration - e-maili aadres, kuhu soovid teateid/infot
- 13. SMTP relay-vaikimisi jäätakse see localhostiks
- 14. Database configuration- MySQL serveri asukoht, MySQL serveri port, andmebaasi nimi, andmebaasi kasutajanimi, andmebaasi kasutaja parool
Sellega on PacketFence paigaldatud, kuid tuleb veel lahendada Apache probleem.
Vaikimisi arvab PacketFence, et Apache daemon on /usr/sbin/httpd kataloogis. Ubuntus on daemon usr/sbin/apache2 kataloogis. Probleemi lahendamiseks tuleb asendada /usr/local/pf/lib/services.pm fail.Faili leiab siit http://pastebin.com/US4g16nK, soovitatav oleks salvestada originaal fail tagavaraks ning seejärel alles uue failiga asendada.
Avada /usr/local/pf/conf/pf.conf fail ja lõppu lisada järgnevad read:
[services] httpd=/usr/sbin/apache2
Viimaks tuleb asendada PacketFence-i Apache konfiguratsiooni fail.
Asendada saab järgneva kahe käsuga:
sudo mv /usr/local/pf/conf/templates/httpd.conf /usr/local/pf/conf/templates/httpd.conf.BAK
sudo mv /usr/local/pf/conf/templates/httpd.conf.apache22 /usr/local/pf/conf/templates/httpd.conf
PacketFence-i testimine
PacketFence käivitamine:
sudo /usr/local/pf/bin/pfcmd service pf start
Kõikide teenuste tööle hakkamisel, saab kontrollida, kas kõik võrgus olevad masinad on näha, seda saab kontrollida järgmise käsuga:
sudo /usr/local/pf/bin/pfcmd node view all
Eelnev käsk peaks väljastama analoogse tulemuse:
00:1c:25:32:13:8b|1|2010-12-03 14:08:01||||unreg||JACK-PC||2010-12-06 15:32:27|2010-12-06 15:24:03||||1,15,3,6,44,46,47,31,33,121,249,43|0
Unreg kiri väljundis näitab seda, et seade ei ole registreeritud PacketFence-i. Registreerimaks seadet :
sudo /usr/local/pf/bin/pfcmd node edit MAC_ADDRESS status="reg", pid=1
MAC aadressina kasutatakse PacketFence väljundis kuvatud aadressi.
Kasutajate registreerimiseks tuleb muuta pf.conf faili. Enne, kui hakkad kasutajaid registreerima, veendu, et oled ennem registreerinud marsruuterid, switchid ja teised seadmed. Juhul, kui oled registreerimata jätnud võib juhtuda, et võrgule ligipääsu puudub, sest marsruuterid ja switchid pole kättesaadavad.
Registreerimise lõppedes ava: /usr/local/pf/conf/pf.conf fail ja kirjuta lõppu järgnevad read:
[trapping] esting=disabled detection=disabled [registration] aup=disabled auth=local
Sellega on lõppenud PacketFence paigaldus. Peale restarti peaks registreerimata kasutajatel puuduma ligipääs võrgule.
Weebi liides
PacketFence-i weebi liidesesse pääsemine on väga lihtne, tuleb avada browser ja sisestada https://packetfence_serveri_ip:1443. Weebi põhine liides võimaldab teha erinevaid administreerimis töid.
Kokkuvõte
PacketFence on väga suure kasutusalaga programm, millel on väga palju võimalusi seadmaks piiranguid erinevatele seadmetele ja võrkudele. PacketFence on võitnud parima avatud lähtekoodiga programmi tiitli aastal 2009 ning selle võimekuses ei tohiks enam keegi kahelda. PacketFence sobib neile, kes soovivad teada, mis nende võrgus parajasti toimub. PacketFence võiks soovitada kõigile, et kaitsta end arvutimaailmas suurenevate ohtude eest. Kui v.a pikaldane aeg, mis kulub PacketFence tööle saamiseks on sellele raske rohkem etteheiteid teha.
Kasutatud kirjandus
- http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control
- http://www.linuxplanet.com/linuxplanet/tutorials/6942/1/
- http://www.darknet.org.uk/2011/03/packetfence-free-open-source-network-access-control-nac-system/
- http://www.packetfence.org/
Autor
Kristjan Väljako A21