Packetfence
Sissejuhatus
PacketFence on vaba ja avatud lähtekoodiga võrgu juurdepääsu kontrollimise programm. PacketFence sisaldab väga palju erinevaid võimalusi sealhulgas keskset traadiga ja traadita interneti haldust, Wifi standardite tuge ja teise võrgukihi probleemsete seadmete keelamist. PacketFence-i saab kasutada, kui tõhusat võrgukaitse mehhanismi. PacketFence sobib kasutamiseks alates väikestest võrgulahendustest, kuni suurte ja hajutatud võrgulahenduste haldamiseks.
Selles artiklis paigaldame PacketFence-i Ubuntu 10.10 operatsioonisüsteemile ja anname ülevaate PacketFence olemusest.
Milleks kasutatada just PacketFence-i
PacketFence pakub erinevaid võimalusi haldamaks võrguliiklust, kes ja millal saab ühenduda võrku.
PacketFence-i võimalustest:
- Blokeerida iPod-i ühendusi
- Keelata võrguühendusi
- Teostada korralisi kontrolle
- Keelata P2P ühendused
- Lubada ja keelata külalisi võrku
- Lihtsustatud VLAN haldust
Paigaldus
Kõige esimesena tuleks uuendada tarkvara nimekirju
apt-get update
Tuleb välja selgitada, millist võrgukaarti hakatakse pealt kuulama. Selle saab välja selgitada järgmise käsuga:
ifconfig
Snordi seadistamisel tuleb valida võrgukaart, mida kuulatakse, selle selgitasime välja eelneva käsuga. Selle installatsiooni käigus võivad ilmuda mõned hoiatused, et mõni tarkvarapakk on juba paigaldatud ja on ajakohane.
sudo apt-get install build-essential apache2 apache2.2-common apache2-utils openssl openssl-blacklist openssl-blacklist-extra php-log snort mysql- server libapache2-mod-proxy-html libapache2-mod-php5 php-pear php5-mysql php5-gd
Ennem PacketFence paigaldamise juurde asumist on vaja veel paigaldada Perl-i moodulid.
sudo apt-get install perl-suid libapache-htpasswd-perl libbit-vector-perl libcgi-session-serialize-yaml-perl libconfig-inifiles-perl libtimedate- perl libapache-dbi-perl libdbd-mysql-perl libfile-tail-perl libnetwork-ipv4addr-perl libiptables-parse-perl libiptables-chainmgr-perl liblist- moreutils-perl liblocale-gettext-perl liblog-log4perl-perl liblwp-useragent-determined-perl libnet-mac-vendor-perl libnet-mac-perl libnet-netmask- perl libnet-pcap-perl libnet-snmp-perl libsnmp-perl libnet-telnet-cisco-perl libparse-recdescent-perl libregexp-common-email-address-perl libregexp-common-time-perl libperl-critic-perl libreadonly-xs-perl libhtml-template-perl libterm-readkey-perl libtest-perl-critic-perl libtest- pod-perl libtest-pod-coverage-perl apache2-mpm-threadpool libthread-pool-simple-perl libuniversal-require-perl libuniversal-exports-perl libnet- rawip-perl libwww-perl
Ubuntu 10.10 puhul võib esineda probleem apache2-mpm-threadpool mooduliga, juhul kui viga esineb tuleks see muuta apache2-mpm-workeri vastu. Kui ka see probleemi ei lahenda, tuleb installeerida see manuaalselt. Sellega on kõik ettevalmistused PacketFence paigalduseks tehtud.
PacketFence-i paigaldamine:
PacketFence-i paigaldamiseks tuleb PacketFence arvutisse laadida, paigaldise leiab aadressilt: http://www.packetfence.org/download/releases.html. Laetud Fail tuleks tõsta kausta /usr/local/
Järgnevalt tuleb installeerida PacketFence
sudo ./installer.pl.
PacketFence-i seadistamine:
*sudo ./configurator.pl
Seadistada tuleb järgmised parameetrid:
- 1. Template või custom setup-soovitan valida template, kui on tegemist esimene paigaldusega.
- 2. Valida Testing mode
- 3. DNS Domain Name- sisesta võrgu domeeni nimi
- 4. Host name- Paigalduskoht, kuhu PacketFence on paigaldatud.
- 5. DNS Servers- DNS server sinu võrgus
- 6. DHCP Server. DHCP server sinu võrgus
- 7. Management interface. - võrguliides, mida saab kasutada haldamise eesmärgil
- 8. IP Address - Arvuti IP aadress, kuhu PacketFence on paigaldatud.
- 9. Netmask- Võrgumask
- 10. Gateway. - võrgu vaikelüüs
- 11. Trapping configuration-võrgu seade, et The network device for network trapping.
- 12. Alerting configuration. - e-maili aadres, kuhu soovid teateid/infot
- 13. SMTP relay-vaikimisi jäätakse see localhostiks
- 14. Database configuration- MySql serveri asukoht, MySQL serveri port, andmebaasi nimi, andmebaasi kasutajanimi, andmebaasi kasutaja parool
Sellega on PacketFence paigaldatud, kuid tuleb veel lahendada Apache probleem.
Vaikimisi arvab PacketFence, et Apache daemon on /usr/sbin/httpd kataloogis. Ubuntus on daemon usr/sbin/apache2 kataloogis. Probleemi lahendamiseks tuleb asendada /usr/local/pf/lib/services.pm fail.Faili leiab siit http://pastebin.com/US4g16nK, soovitatav oleks salvestada originaal fail tagavaraks ning seejäral alles uue failiga asendada.
Avada /usr/local/pf/conf/pf.conf fail ja lõppu lisada järgnevad read:
[services]
httpd=/usr/sbin/apache2
Viimaks tuleb asendada PacketFence-i Apache konfiguratsiooni fail.
Asenduse saab teha järgneva kahe käsuga:
sudo mv /usr/local/pf/conf/templates/httpd.conf /usr/local/pf/conf/templates/httpd.conf.BAK
sudo mv /usr/local/pf/conf/templates/httpd.conf.apache22 /usr/local/pf/conf/templates/httpd.conf
PacketFence-i testimine
PacketFence käivitamine:
sudo /usr/local/pf/bin/pfcmd service pf start
Kõikide teenuste tööle hakkamisel, saab kontrollida, kas kõik võrgus olevad masinad on näha, seda saab kontrollida järgmise käsuga:
sudo /usr/local/pf/bin/pfcmd node view all
Eelnev käsk peaks väljastama analoogse tulemuse:
00:1c:25:32:13:8b|1|2010-12-03 14:08:01||||unreg||JACK-PC||2010-12-06 15:32:27|2010-12-06 15:24:03||||1,15,3,6,44,46,47,31,33,121,249,43|0
Unreg kiri väljundis näitab seda, et seade ei ole registreeritud PacketFence-i. Registreerimaks seadet :
sudo /usr/local/pf/bin/pfcmd node edit MAC_ADDRESS status="reg", pid=1
MAC aadressina kasutatakse PacketFence väljundis kuvatud aadressi.
Kasutajate registreemiseks tuleb muuta pf.conf faili. Enne, kui hakkad kasutajaid registreerima, veendu, et oled ennem registreerinud marsruuterid, switchid ja teised seadmed. Juhul, kui oled registreerimata jätnud võib juhtuda, et võrgule ligipääsu puudub, sest marsruuterid ja switchid pole kättesaadavad.
Registreerimise lõppedes ava: /usr/local/pf/conf/pf.conf fail ja kirjuta lõppu järgnevad read:
[trapping] esting=disabled detection=disabled
[registration] aup=disabled auth=local
Sellega on lõppenud PacketFence paigaldus. Peale restarti peaks registreerimata kasutajatel puuduma ligipääs võrgule.
Kokkuvõte
PacketFence on väga suure kasutusalaga programm, millel on väga palju võimalusi seadmaks piiranguid erinevatele seadmetele ja võrkudele. PacketFence on võitnud parima avatud lähtekoodiga programmi tiitli aastal 2009 ning selle võimekuses ei tohiks enam keegi kahelda. PacketFence sobib neile, kes soovivad teada, mis nende võrgus parajasti toimub. PacketFence võiks soovitada kõigile, et kaitsta end arvutimaailmas suurenevate ohtude eest. Kui v.a pikaldane aeg, mis kulub PacketFence tööle saamiseks on sellele raske rohkem etteheiteid teha.
Kasutatud kirjandus
- http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control
- http://www.linuxplanet.com/linuxplanet/tutorials/6942/1/
- http://www.darknet.org.uk/2011/03/packetfence-free-open-source-network-access-control-nac-system/
- http://www.packetfence.org/
Autor
Kristjan Väljako A21