Packetfence

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

PacketFence on vaba ja avatud lähtekoodiga võrgu juurdepääsu kontrollimise tööriist. PacketFence sisaldab väga palju erinevaid võimalusi sealhulgas keskset traadiga ja traadita interneti haldust, wifi standardite tuge ja teise võrgukihi probleemsete seadmete keelamist. PacketFence-i saab kasutada kui tõhusat võrgukaitse mehhanismi. PacketFence-i sobib kasutamiseks alates väikestest võrgulahendustest kuni suurte ja hajutatud võrgulahenduste haldamiseks.

Milleks kasutatada just packetfence-i

PacketFence pakub erinevaid võimalusi haldamaks võrguliiklust, kes ja millal saab ühenduda võrguga, seada neile erinevaid piiranguid.

PacketFence-i võimalustest:

  • Blokeerida iPod-i ühendusi
  • Keelata võrguühendusi
  • Teostada korralisi kontrolle
  • Keelata P2P ühendused
  • Lubada ja keelata külalisi võrku
  • Lihtsutatud VLAN haldust

Paigaldus

PacketFence sõltub väga paljudest programmidest ja vajab ka kõiki Perli mooduleid.

Kõige esimesena tuleks uuendada tarvara nimekirju, et need oleks kõige värskemad.

apt-get update

Installi käigus küsitakse mysql parooli, tuleb konfigureerida snort ning valida võrgukaart, mida kuulatakse (wifi või kaabel), seade tuleks esmalt selgitada välja ifconfig käsuga. Selle installatsiooni käigus võivad ilmuda mõned hoiatused, et mõni tarkvarapakk on juba paigaldatud ja on ajakohane.

sudo apt-get install build-essential apache2 apache2.2-common apache2-utils openssl openssl-blacklist openssl-blacklist-extra php-log snort mysql-server libapache2-mod-proxy-html libapache2-mod-php5 php-pear php5-mysql php5-gd

Nüüd on vaja paigaldada kõik Perl-i moodulid. Seda saab teha järgneva käsuga:(soovituslik kopeerida)

sudo apt-get install perl-suid libapache-htpasswd-perl libbit-vector-perl libcgi-session-serialize-yaml-perl libconfig-inifiles-perl libtimedate-


perl libapache-dbi-perl libdbd-mysql-perl libfile-tail-perl libnetwork-ipv4addr-perl libiptables-parse-perl libiptables-chainmgr-perl liblist-moreutils-perl liblocale-gettext-perl liblog-log4perl-perl liblwp-useragent-determined-perl libnet-mac-vendor-perl libnet-mac-perl libnet-netmask-perl libnet-pcap-perl libnet-snmp-perl libsnmp-perl libnet-telnet-cisco-perl libparse-recdescent-perl libregexp-common-email-address-perl libregexp-common-time-perl libperl-critic-perl libreadonly-xs-perl libhtml-template-perl libterm-readkey-perl libtest-perl-critic-perl libtest-pod-perl libtest-pod-coverage-perl apache2-mpm-threadpool libthread-pool-simple-perl libuniversal-require-perl libuniversal-exports-perl libnet-rawip-perl libwww-perl

juhul, kui esineb viga mõne mooduli paigaldamisel tuleb muuta käsku või paigaldada manuaalselt. Ubuntu 10.10 puhul võib esineda probleem apache2-mpm-threadpool pakiga, ning tuleks muuta see apache2-mpm-workeri vastu. Juhul, kui mõne mooduli paigaldamine ebaõnnestus,tuleb see paigaldada manuaalselt. Sellega on kõik ettevalmistused PacketFence paigalduseks tehtud.

PacketFence-i paigaldamine:

PacketFence-i paigaldamiseks tuleb PacketFence arvutisse laadida, paigaldise leiab siit. Fail tuleks tõsta kausta /usr/local/ seejärel lahti pakkida.

see järel tuleb

sudo ./installer.pl.

tuleb sisestada nõutud parameetrid

seejärel tuleb seadistada packetfence:

*sudo ./configurator.pl

tuleb seadistada järgnevad parameetrid:

1. Template või custom setup-soovitan valida template, kui see on esimene paigaldus. 2. Valida Testing mode 3. DNS Domain Name- sisesta võrgu domeeni nimi 4. Host name- paigalduskoht, kuhu PacketFence on paigaldatud. 5. DNS Servers- DNS server sinu võrgus 6. DHCP Server. DHCP server sinu võrgus 7. Management interface. - võrguliides, mida saab kasutada haldamise eesmärgil 8. IP Address - arvuti IP aadress, kuhu PacketFence on paigaldatud. 9. Netmask- Võrgumask 10. Gateway. - võrgu vaikelüüs 11. Trapping configuration-võrgu seade, et The network device for network trapping. 12. Alerting configuration. - e-maili aadres, kuhu soovid teateid/infot 13. SMTP relay-vaikimisi jäätakse see localhostiks 14. Database configuration- MySql serveri asukoht, MySQL serveri port, andmebaasi nimi, andmebaasi kasutajanimi, andmebaasi kasutaja parool

Sellega on PacketFence paigaldatud, kuid tuleb veel lahendada Apache probleem.

Vaikimisi arvab PacketFence, et Apache daemon on /usr/sbin/httpd kataloogis. Ubuntus om daemon usr/sbin/apache2 kataloogis. Probleemi lahendamiseks tuleb asendada /usr/local/pf/lib/services.pm fail.Faili leiab siit http://pastebin.com/US4g16nK, soovitatav oleks salvestada ka originaal fail tagavaraks ning seejäral alles uus fail asendada.

Avada /usr/local/pf/conf/pf.conf fail ja lõppu lisada järgnevad read:

[services]

httpd=/usr/sbin/apache2

Viimane muudatus, mis tuleb teha, on asendada PacketFence-i Apache konfiguratsiooni fail, mis on mõeldud Apache2 jaoks.

Seda saab teha järgnevate kahe käsuga:

sudo mv /usr/local/pf/conf/templates/httpd.conf /usr/local/pf/conf/templates/httpd.conf.BAK
sudo mv /usr/local/pf/conf/templates/httpd.conf.apache22 /usr/local/pf/conf/templates/httpd.conf

PacketFence-i testimine

PacketFence käivitamine:

sudo /usr/local/pf/bin/pfcmd service pf start

Selle tulemusel peaksid mitmed teenused tööle hakkama. Kui kõik teenused on tööle hakanud, saab kontrollida, kas kõik võrgus olevad masinad on näha, seda saab kontrollida järgmise käsuga:

sudo /usr/local/pf/bin/pfcmd node view all

Eelnev käsk peaks väljastama analoogse tulemuse:

00:1c:25:32:13:8b|1|2010-12-03 14:08:01||||unreg||JACK-PC||2010-12-06 15:32:27|2010-12-06 15:24:03||||1,15,3,6,44,46,47,31,33,121,249,43|0

Unreg kiri väljundis näitab seda, et seade ei ole registreeritud PacketFence-i. Registreerimaks seadet :

sudo /usr/local/pf/bin/pfcmd node edit MAC_ADDRESS status="reg", pid=1

MAC aadressina kasutatakse PacketFence väljundis kuvatud aadressi.

PacketFence saad lubada ainult registreerituid kasutajaid enda võrku. Selleks tuleb muuta pf.conf faili. Enne, kui hakkad kasutajaid registreerima, veendu, et oled ennem registreerinud marsruuterid, switchid ja teised seadmed. Juhul, kui oled registreerimata jätnud võib juhtuda, et enam võrgule ligipääsu pole, sest marsruuterid ja switchid pole registreeritud võib juhtuda, et seadmed pole kättesaadavad.

Registreerimise lõppedes ava: /usr/local/pf/conf/pf.conf fail ja kirjuta lõppu järgnevad read:

[trapping] esting=disabled detection=disabled

[registration] aup=disabled auth=local

Sellega on lõppenud PacketFence paigaldus. Peale restarti peaks registreerimata kasutajatel puuduma ligipääs võrgule.

Kokkuvõte

PacketFence on väga suure kasutusalaga programm, millel on väga palju võimalusi seadmaks piiranguid erinevatele seadmetele ja võrkudele. PacketFence on võitnud parima avatud lähtekoodiga programmi tiitli aastal 2009 ning selle võimekuses ei tohiks enam keegi kahelda. PacketFence sobib neile, kes soovivad teada, mis nende võrgus parajasti toimub. PacketFence võiks soovitada kõigile, et kaitsta end arvutimaailmas suurenevate ohtude eest. Kui v.a pikaldane aeg, mis kulub PacketFence tööle saamiseks on sellele raske rohkem etteheiteid teha.

Kasutatud kirjandus

Autor

Kristjan Väljako A21