LXF164:Отбивать атаки
|
|
|
PacketFence: Управляйте всеми устройствами в своей сети, поддерживая их безопасность
Содержание |
PacketFence: NAC для всего
Шашанк Шарма показывает, как защитить сеть и бодро отражать атаки с помощью PacketFence, мощной системы контроля сетевого доступа.
По сравнению с сетями десятилетней давности, объединявшими только рабочие станции (компьютеры и ноутбуки), современные сети напоминают научно-фантастические фильмы. Смартфоны, планшеты, роутеры, принтеры, подключаемые компьютеры и всяческие другие устройства и гаджеты, которые поддерживают подключение к сети, соперничают друг с другом за сетевое пространство. При постоянном росте сетей брандмауэры в одиночку не способны обеспечить достаточной защиты. Система контроля сетевого доступа (Network Access Control – NAC) – это программа, которая может автоматически реагировать на нарушение политики использования вашей сети.
NAC обычно поддерживает регистрацию в сети всех устройств, обнаруживает нарушение политик использования, немедля оповещает по электронной почте о каждом нарушении, изолирует нарушившие политику устройство или компьютер и при необходимости восстанавливает их, после чего они снова получают доступ к сети. PacketFence – система NAC на Perl, которая может делать все вышеперечисленное и многое другое через простой web-интерфейс.
С правильно настроенной NAC можно отслеживать активность всех сетевых устройств по MAC-адресам или полностью запрещать определенные действия, такие как сервисы P2P. Сочетание четко определенной политики и внешних утилит с PacketFence защитит сеть от шпионского и вредоносного ПО любых типов и допустит в сеть только авторизованных пользователей и рабочие станции, чтобы предотвратить любые атаки.
Зависимости и PacketFence
Поскольку в большинстве дистрибутивов программы находятся в репозиториях, мы уже давно не слышим о том, что было непременной составляющей почти любой установки в конце девяностых – об аде зависимостей.
Если вы любопытны, но еще не испытывали прелестей погони за зависимостями ради завершения установки, PacketFence определенно впечатлит вас надолго. Его нет в репозиториях большинства популярных дистрибутивов, но на сайте проекта можно найти пакеты .rpm и .deb, а также архив с исходниками. PacketFence проще всего установить в RHEL или CentOS, благодаря тому, что они позволяют подключить множество различных репозиториев, где можно будет добыть массу зависимостей и таким образом сэкономить ваши усилия. Но если у вас Ubuntu Server, Slackware или любой другой дистрибутив, приготовьтесь к тому, что зависимости придется искать вручную. Впрочем, не давайте разговорам о зависимостях себя запугать – это проще, чем кажется.
Так как в разных дистрибутивах приложения и библиотеки собираются в пакеты по-разному, мы не можем предоставить вам один универсальный список пакетов, требуемых для установки PacketFence. Кроме основного PacketFence, у вас должны быть установлены Apache, MySQL, DHCP-сервер, DNS-сервер и Snort. Они есть в репозиториях большинства дистрибутивов и, возможно, уже установлены и настроены в вашей системе.
В RHEL и CentOS можно установить и активировать репозитории Repoforge, EPEL и OpenFusion. В руководстве по администрированию [Administration Guide] в формате PDF на сайте проекта описаны инструкции по установке этих репозиториев.
Мы проверяем PacketFence в CentOS, и установка начнется с обзаведения репозиториями:
- rpm -ivh http://www.openfusion.com.au/mrepo/centos6-x86_64/RPMS.of/openfusion-release-0.5-1.of.el6.noarch.rpm
Эти команды, запущенные от имени суперпользователя-root, установят и активизируют три репозитория, и вы все их найдете в каталоге /etc/yum.repos.d/. Затем мы загрузим пакет PacketFence 3.5 rpm для CentOS с сайта и установим его командой
su -c “yum install packetfence-3.5.0-1.el6.noarch.rpm”
После установки на экране появится сообщение о том, что нужно открыть в браузере адрес http://@ip_packetfence:3000/configurator для настройки PacketFence. Не бойтесь этого странного адреса, просто наберите в адресной строке http://your-ip-address:3000/configurator, и откроется мастер настройки.
Подготовка системы
Прежде чем перейти к настройке, нужно сделать кое-что еще.
Прежде всего убедитесь, что у вас есть рабочая установка MySQL. По умолчанию у пользователя root для MySQL нет пароля, и если вы его не задавали, сделайте это сейчас, командой
mysqladmin -u root password “typepassword”
Это важно, и пароль следует запомнить, так как он понадобится при установке PacketFence. Теперь запустите сервер MySQL, если он еще не запущен, следующей командой:
service mysqld start
Одно из лучших свойств PacketFence в том, что с его помощью можно блокировать определенные типы сетевой активности, например, трафик P2P. Чтобы реализовать это, понадобится система обнаружения вторжений, и здесь нам поможет Snort. PacketFence реализует через Snort заданные политики использования сети. Обнаружив трафик P2P, Snort оповещает PacketFence, а тот формирует сообщение о нарушении для клиента.
Snort устанавливается из репозиториев командой
yum install snort
но это не вся сказка. По умолчанию в Snort не задано никаких правил, и вам придется создать собственные, описывающие, что такое вторжение, а это обычно дело долгое. Но есть альтернатива: загрузить список готовых правил с сайта Snort. Для этого сперва зарегистрируйтесь на сайте Snort. Затем выявите свою версию Snort командой snort --version. Теперь откройте http://snort.org/snort-rules/#registered и загрузите файл rules для соответствующей версии Snort. Например, если у вас установлена Snort 2.9.1.2, загрузите файл snortrules-snapshot-2912.tar.gz. Распакуйте архив командой
tar zxvf snortrules-snapshot-2912.tar.gz
Она создаст четыре каталога: rules/, so_rules/, etc/ и preproc_rules/. Файлы настройки Snort находятся в каталоге /etc/snort, а правила – в каталоге /etc/snort/rules/. Перейдите в созданный каталог rules/ и выполните команду
cp * /etc/snort/rules
чтобы скопировать правила в каталог с правилами.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Все почти готово. Создайте каталог /usr/local/lib/snort_dynamicrules, если его еще нет. Затем перейдите в каталог so_rules и скопируйте оттуда все файлы в каталог /usr/local/lib/snort_dynamicrules.
Все! Snort – одна из самых сложных программ в Linux с точки зрения настройки, но на сайте есть масса документации, включая руководства для дистрибутивов CentOS, Debian, Fedora, OpenSUSE, Ubuntu и многих других. Это популярная программа с открытым исходным кодом, и в Интернете можно найти немало обсуждений различных вариантов конфигурации и способов решения проблем, поэтому если документация, пользовательские группы и рассылки вам не помогли, обратитесь к Google.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Настройка PacketFence
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Мастер настройки по адресу http://youripaddress:3000/configurator проведет вас по шести этапам настройки, затрагивающим различные аспекты PacketFence. Первый этап настройки – выбор типа системы [Enforcement]. Здесь задается тип системы – VLAN или Inline – и выбор зависит от оборудования в сети. Для ненастраиваемых устройств, таких как простые маршутизаторы и коммутаторы, не поддерживающие тип VLAN, нужно выбрать тип Inline. В этом случае PacketFence становится интернет-шлюзом, и устройства не могут выходить в Интернет иначе чем через него.
Тип VLAN применяется для приписки устройств к различным виртуальным сетям на основе некоторых критериев. Пусть, скажем, в сети есть три виртуальных сети [VLANs]: обычная, изолированная и регистрационная. Все зарегистрированные устройства без нарушений принадлежат обычной виртуальной сети; новые принадлежат регистрационной сети, а устройство, нарушившее политику использования сети, попадает в изолированную сеть, отсекаемую от обычной сети. Таким образом предотвращается распространение вируса или вредоносного ПО, и атака захлебывается. Статус устройства не является постоянным: его можно изменить на странице настройки.
Создаем VLANs
На втором этапе, Сети [Networks], мы определяем сетевые интерфейсы и создаем виртуальные локальные сети. В окне вы видите все сетевые интерфейсы с IP-адресами, маской подсети, статусом, типом и т. д. Для создания системы Inline определите один сетевой интерфейс как Inline, а другой – как Management, щелкнув по выпадающему списку Type [Тип] и выбрав из вариантов None, Inline и Management. Также надо указать адрес DNS-сервера и шлюз по умолчанию (если вы не уверены, про шлюз можно узнать командой route -n. Закончив, нажмите кнопку Continue [Продолжить] в левом нижнем углу для перехода к следующему шагу.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Настройки базы данных PacketFence задаются на шаге 3, так и названном: Настройка базы данных [Database Configuration]. Если сервер MySQL не запущен, запустите его командой
service mysqld start
Здесь нужно указать имя базы данных PacketFence и создать учетную запись администратора для этой базы данных. Указав имя базы данных, нажмите на кнопку Создать базу данных и таблицы [Create Database and Tables]», а указав имя пользователя и пароль, нажмите на кнопку Создать пользователя [Create User].
На этапе 4 нужно указать ряд других параметров (имя хоста, серверы DHCP и др.), а на этапе 5 вас попросят создать учетную запись администратора PacketFence. По окончании первичной настройки только он сможет зайти в интерфейс администрирования.
Наконец, на этапе 6 PacketFence попробует запустить все сервисы, воспользовавшись настройками сети и другими настройками, указанными на предыдущих этапах. Если все хорошо, вы увидите поздравление с успешным завершением (‘Congratulations’); в противном случае появятся сообщения о возможных проблемах в конфигурации, и их нужно решить до дальнейшей работы с PacketFence.
До версии 3.5, отличавшейся графическим интерфейсом администрирования, для изменения настроек PacketFence приходилось возиться с файлами настройки. Все файлы настройки PacketFence находятся в каталоге /usr/local/pf/conf/, и если вы хотите лучше понять, как работает программа, не пожалейте немного времени на их изучение.
По завершении работы мастера настройки в финальном сообщении появится ссылка на интерфейс администратора PacketFence. При необходимости его можно открыть в любой момент по ссылке http://ipaddress:1443/. На самом деле, при попытке открыть адрес мастера настройки (http://ipaddress:3000/configurator), вас перенаправят в интерфейс администратора. Входите в него от имени администратора, созданного на этапе 5.
После входа в систему откроется страница «Состояние системы [Status]» с полезной информацией о сети, такой как общее количество узлов, использование жесткого диска и памяти, загрузка процессора на сервере и список последних нарушений и последних зарегистрированных устройств. На этой странице также можно сгенерировать массу различных графиков и отчетов по нарушениям, зарегистрированным и незарегистрированным узлам, использованию канала и т. д.
Параметры настройки
Как и во всех крупных проектах с обширными списками возможностей, в интерфейсе администратора PacketFence мы сталкиваемся с важнейшей проблемой: как предоставить пользователю удобный доступ к различным параметрам, не заставляя его копаться в структуре с большим уровнем вложенности?
Для этого все параметры распределены по нескольким разделам во вкладках в верхней части страницы «Администрирование [Administration]»: например, «Лицо [Person]», «Узел [Node]», «Администрирование [Administration]», «Настройка [Configuration]» и др.
PacketFence идентифицирует все сетевые устройства, поэтому всех их, будь то смартфоны, настольные компьютеры, ноутбуки и т. д., можно найти на странице «Узел > Просмотреть [Node > View]». Зайдя на эту страницу в первый раз, вы заметите, что все устройства помечены как незарегистрированные. PacketFence также покажет, какая операционная система работает на каждом устройстве (Windows, Linux, Android и т. д.). Для более подробной информации о каждом устройстве, например, времени его обнаружения, пользовательском агенте, количестве нарушений политики сети и др., нажмите на кнопку «Отобразить информацию [Show Info]» в левом верхнем углу прямо под верхней панелью.
Обратите внимание, что для каждого устройства на странице «Узел» указан только MAC-адрес устройства, а не его IP-адрес. Это может усложнить определение устройства. MAC-адрес устройства определяется командой ifconfig или ipconfig в Linux и Windows соответственно. Чтобы узнать MAC-адрес телефона с Android, зайдите в Настройки > Беспроводные сети > Настройки Wi-Fi > Расширенные настройки [Settings > Wireless and network > Wi-Fi settings > Advanced].
Найдя устройство на странице «Узел», наведите мышь на MAC-адрес, не щелкая по нему, и вы увидите три кнопки слева от MAC-адреса. Это кнопки Редактировать запись [Edit This Record], Добавить нарушение [Add Violation] и Удалить запись [Delete This Record]. Нажмите на кнопку Edit [Редактировать], и в открывшемся окне PF::Узел::Редактировать [PF::Node::Edit] введите название в поле Идентификатор [Identifier]. По умолчанию, у каждого устройства есть уникальный идентификатор; их номера начинаются с 1. Номер можно заменить названием, например, Samsung Galaxy S III, что упрощает идентификацию. Для сохранения введенных данных нажмите кнопку Редактировать узел [Edit Node] внизу.
Управление гостями
Хотя PacketFence может видеть все устройства и отслеживать их сетевую активность, эти устройства все равно нужно регистрировать. Для этого используется портал подключения устройств [Captive Portal], который, если он включен, перенаправит пользователей сети на специальную страницу регистрации, где они смогут указать свое имя и фамилию и адрес электронной почты, на который будет отправлен код активации. С помощью этого кода устройство можно аутентифицировать.
По умолчанию пользователи могут регистрироваться в PacketFence самостоятельно. Это возможно в трех режимах: Адрес электронной почты [Email], SMS и Спонсор [Sponsor], но можно полностью отключить регистрацию или ограничить ее одним или двумя режимами. Чтобы изменить настройки самостоятельной регистрации, выберите Настройка > Самостоятельная регистрация гостей [Configuration > Guests_self_registration].
Гостями можно управлять и из интерфейса администратора, выбрав пункт меню Лицо > Управление гостями [Person > Manage Guests]. При заполнении информации о госте также можно задать дату появления и период, в течение которого устройству разрешается пользоваться сетью. Затем на электронный адрес гостя будет отправлен код доступа, с которым он сможет аутентифицировать устройства. Если задать период действия, скажем, в 3 дня, то по истечении этого срока регистрация устройства будет автоматически снята, и устройство утратит доступ к сети.
Продвинутые возможности
После нашего рассказа вы могли подумать, что на этом возможности программы почти исчерпываются, но это вовсе не так. На самом деле, у PacketFence слишком много впечатляющих возможностей, чтобы описать их все подробно.
Достаточно сказать, что если вы знаете, что такое NAC, и представляете несколько конкретных ситуаций ее использования, есть вероятность, что со всем этим справится PacketFence. Кроме периода гостевого доступа и помещения устройств в различные виртуальные сети для повышения безопасности, есть и другие возможности для защиты сети. Ширится распространение смартфонов и прочих «умных» устройств, и большинство предприятий и организаций вынуждены поддерживать политику «Принесите собственные устройства [Bring Your Own Devices – BYOD]» [сотрудник приносит свои мобильные устройства на рабочее место и с их помощью работает с внутренними ресурсами компании, такими как электронная почта, файловые серверы и базы данных, а также со своими персональными приложениями и данными, – прим. пер.]. В PacketFence для этого используется возможность управления гостями [Guest Management], в которой, наряду с регистрацией по электронной почте или через SMS, также можно задать пароль дня, с помощью которого новые устройства аутентифицируются для получения доступа к сети.
Заодно с большим количеством нарушений в списке Настройка > Нарушения [Configuration > Violations], PacketFence поддерживает и еще несколько. Это Пользовательский агент [User-Agent], MAC-адрес [MAC Address] и Отпечаток DHCP [DHCP Fingerprint]. Так как каждый из этих параметров уникален для заданной операционной системы или устройства, по ним можно эффективно блокировать все эти устройства. Например, можно заблокировать доступ в сеть всем игровым консолям, вроде Sony PlayStation и пр. Аналогично можно запретить доступ к различным устройствам с помощью пользовательского агента, который представляет собой встроенный браузер по умолчанию.
Если в сети уже используется какой-то протокол аутентификации, это не обязательно проблема для PacketFence, потому что он поддерживает массу различных протоколов, таких как OpenLDAP, FreeRadius, Active Directory, Novell eDirectory и др. Преимущество такого подхода в том, что пользователи сети смогут аутентифицироваться в PacketFence по существующим логинам и паролям, и им не придется запоминать новые.
ZEN PacketFence
Если вам не очень хочется проходить через довольно сложный процесс установки PacketFence и еще более сложный процесс ее настройки, вам повезло! Zero Effort NAC, или ZEN-редакция PacketFence, представляет собой полностью установленную и настроенную версию PacketFence. Попробовать PacketFence или побродить по его лабиринтам можно и с помощью загрузочной флэшки: загрузите образ размером 500 МБ и запишите его на флэшку объемом 4 ГБ. Этот образ загрузится в среду на базе Debian. Также можно загрузить образ VMWare на базе CentOS 6.3 двух различных версий для VMWare ESX или VMWare Player.
Объем этой статьи ограничен и не вмещает описание всех отличных возможностей такого обширного проекта, как PacketFence. При правильной настройке эта удивительно надежная программа будет сообщать вам буквально о каждом байте, передаваемом по сети. |
