Журнал LinuxFormat - перейти на главную

LXF164:От­би­вать ата­ки

Материал из Linuxformat
Версия от 16:08, 30 октября 2018; Olkol (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск


PacketFence: Управ­ляй­те все­ми уст­рой­ст­ва­ми в сво­ей се­ти, под­дер­жи­вая их безо­пас­ность

Содержание

PacketFence: NAC для все­го

Ша­шанк Шар­ма по­ка­зы­ва­ет, как за­щи­тить сеть и бод­ро от­ра­жать ата­ки с по­мо­щью PacketFence, мощ­ной сис­те­мы кон­тро­ля се­те­во­го дос­ту­па.

(thumbnail)
Наш эксперт Ша­шанк Шар­ма бо­лее че­ты­рех лет пи­шет о сво­бод­ном ПО для раз­лич­ных из­да­ний, вклю­чая Linux.com. Он со­ав­тор кни­ги «Fedora для на­чи­наю­щих».

По сравнению с се­тя­ми де­ся­ти­летней дав­но­сти, объ­е­ди­няв­ши­ми толь­ко ра­бо­чие стан­ции (ком­пь­ю­те­ры и но­ут­бу­ки), со­вре­мен­ные се­ти на­по­ми­на­ют на­уч­но-фан­та­сти­че­­ские филь­мы. Смарт­фо­ны, план­ше­ты, ро­уте­ры, прин­те­ры, под­клю­чае­мые ком­пь­ю­те­ры и вся­че­­ские дру­гие уст­рой­ст­ва и гад­же­ты, ко­то­рые под­дер­жи­ва­ют под­клю­чение к се­ти, со­пернича­ют друг с дру­гом за се­те­вое про­стран­ст­во. При по­сто­ян­ном росте се­тей бранд­мау­эры в оди­ноч­ку не спо­соб­ны обес­пе­чить доста­точ­ной за­щи­ты. Сис­те­ма кон­тро­ля се­те­во­го досту­па (Network Access Control – NAC) – это про­грам­ма, ко­то­рая мо­жет авто­ма­ти­че­­ски реа­ги­ро­вать на на­ру­шение по­ли­ти­ки ис­поль­зо­вания ва­шей се­ти.

NAC обыч­но под­дер­жи­ва­ет ре­ги­ст­ра­цию в се­ти всех уст­ройств, об­на­ру­жи­ва­ет на­ру­шение по­ли­тик ис­поль­зо­вания, немед­ля опо­ве­ща­ет по элек­трон­ной поч­те о ка­ж­дом на­ру­шении, изо­ли­ру­ет на­ру­шив­шие по­ли­ти­ку уст­рой­ст­во или ком­пь­ю­тер и при необ­хо­ди­мо­сти восста­нав­ли­ва­ет их, по­сле че­го они сно­ва по­лу­ча­ют доступ к се­ти. PacketFence – сис­те­ма NAC на Perl, ко­то­рая мо­жет де­лать все вы­ше­пе­ре­чис­лен­ное и мно­гое дру­гое че­рез про­стой web-ин­тер­фейс.

С пра­виль­но на­стро­ен­ной NAC мож­но от­сле­жи­вать ак­тив­ность всех се­те­вых уст­ройств по MAC-ад­ре­сам или пол­но­стью за­пре­щать оп­ре­де­лен­ные дей­ст­вия, та­кие как сер­ви­сы P2P. Со­че­тание чет­ко оп­ре­де­лен­ной по­ли­ти­ки и внешних ути­лит с PacketFence за­щи­тит сеть от шпи­он­ско­го и вре­до­носно­го ПО лю­бых ти­пов и до­пустит в сеть толь­ко ав­то­ри­зо­ван­ных поль­зо­ва­те­лей и ра­бо­чие стан­ции, что­бы пре­дот­вра­тить лю­бые ата­ки.

За­ви­си­мо­сти и PacketFence

По­сколь­ку в боль­шин­ст­ве ди­ст­ри­бу­ти­вов про­грам­мы на­хо­дят­ся в ре­по­зи­то­ри­ях, мы уже дав­но не слы­шим о том, что бы­ло непре­мен­ной со­став­ляю­щей поч­ти лю­бой уста­нов­ки в кон­це де­вя­но­стых – об аде за­ви­си­мо­стей.

Ес­ли вы лю­бо­пыт­ны, но еще не ис­пы­ты­ва­ли пре­лес­тей по­гони за за­ви­си­мо­стя­ми ра­ди за­вер­шения уста­нов­ки, PacketFence оп­ре­де­лен­но впе­чат­лит вас на­дол­го. Его нет в ре­по­зи­то­ри­ях боль­шин­ст­ва по­пу­ляр­ных ди­ст­ри­бу­ти­вов, но на сай­те про­ек­та мож­но най­ти па­ке­ты .rpm и .deb, а так­же ар­хив с ис­ходника­ми. PacketFence про­ще все­го уста­но­вить в RHEL или CentOS, бла­го­да­ря то­му, что они по­зво­ля­ют под­клю­чить мно­же­ст­во раз­лич­ных ре­по­зи­то­ри­ев, где мож­но бу­дет до­быть массу за­ви­си­мо­стей и та­ким об­ра­зом сэ­ко­но­мить ва­ши уси­лия. Но ес­ли у вас Ubuntu Server, Slackware или лю­бой дру­гой ди­ст­ри­бу­тив, при­го­товь­тесь к то­му, что за­ви­си­мо­сти при­дет­ся ис­кать вруч­ную. Впрочем, не да­вай­те раз­го­во­рам о за­ви­си­мо­стях се­бя за­пу­гать – это проще, чем ка­жет­ся.

Так как в раз­ных ди­ст­ри­бу­ти­вах при­ло­жения и биб­лио­те­ки со­би­ра­ют­ся в па­ке­ты по-раз­но­му, мы не мо­жем пре­доста­вить вам один универсаль­ный спи­сок па­ке­тов, требуемых для уста­нов­ки PacketFence. Кро­ме основ­но­го PacketFence, у вас долж­ны быть уста­нов­ле­ны Apache, MySQL, DHCP-сер­вер, DNS-сер­вер и Snort. Они есть в ре­по­зи­то­ри­ях боль­шин­ст­ва ди­ст­ри­бу­ти­вов и, воз­мож­но, уже уста­нов­ле­ны и на­строе­ны в ва­шей сис­те­ме.

В RHEL и CentOS мож­но уста­но­вить и ак­ти­ви­ро­вать ре­по­зи­то­рии Repoforge, EPEL и OpenFusion. В ру­ко­во­дстве по ад­минист­ри­ро­ванию [Administration Guide] в фор­ма­те PDF на сай­те про­ек­та опи­са­ны ин­ст­рук­ции по уста­нов­ке этих ре­по­зи­то­ри­ев.

Мы про­ве­ря­ем PacketFence в CentOS, и уста­нов­ка начнет­ся с об­за­ве­дения ре­по­зи­то­рия­ми:

  1. rpm -ivh http://packages.sw.be/rpmforge-release/rpmforgerelease-0.5.2-2.el6.rf.i686.rpm
  1. rpm -ivh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-7.noarch.rpm
  1. rpm -ivh http://www.openfusion.com.au/mrepo/centos6-x86_64/RPMS.of/openfusion-release-0.5-1.of.el6.noarch.rpm

Эти ко­ман­ды, за­пу­щен­ные от име­ни су­пер­поль­зо­ва­те­ля-root, уста­но­вят и ак­ти­ви­зи­ру­ют три ре­по­зи­то­рия, и вы все их най­дете в ка­та­ло­ге /etc/yum.repos.d/. За­тем мы за­гру­зим па­кет PacketFence 3.5 rpm для CentOS с сай­та и уста­но­вим его ко­ман­дой

su -c “yum install packetfence-3.5.0-1.el6.noarch.rpm”

По­сле уста­нов­ки на эк­ране поя­вит­ся со­об­щение о том, что нуж­но от­крыть в брау­зе­ре ад­рес http://@ip_packetfence:3000/configurator для на­строй­ки PacketFence. Не бой­тесь это­го стран­но­го ад­ре­са, про­сто на­бе­ри­те в ад­рес­ной стро­ке http://your-ip-address:3000/configurator, и от­кро­ет­ся мас­тер на­строй­ки.

Под­го­тов­ка сис­те­мы

Пре­ж­де чем пе­рей­ти к на­строй­ке, нуж­но сде­лать кое-что еще.

Пре­ж­де все­го убе­ди­тесь, что у вас есть ра­бо­чая уста­нов­ка MySQL. По умол­чанию у поль­зо­ва­те­ля root для MySQL нет па­ро­ля, и ес­ли вы его не за­да­ва­ли, сде­лай­те это сей­час, ко­ман­дой

mysqladmin -u root password “typepassword”

Это важ­но, и па­роль сле­ду­ет за­помнить, так как он по­на­до­бит­ся при уста­нов­ке PacketFence. Те­перь за­пусти­те сер­вер MySQL, ес­ли он еще не за­пу­щен, следующей ко­ман­дой:

service mysqld start

Од­но из луч­ших свойств PacketFence в том, что с его по­мо­щью мож­но бло­ки­ро­вать оп­ре­де­лен­ные ти­пы се­те­вой ак­тив­но­сти, на­при­мер, тра­фик P2P. Что­бы реа­ли­зо­вать это, по­на­до­бит­ся сис­те­ма об­на­ру­жения втор­жений, и здесь нам по­мо­жет Snort. PacketFence реа­ли­зу­ет че­рез Snort за­дан­ные по­ли­ти­ки ис­поль­зо­вания се­ти. Об­на­ру­жив тра­фик P2P, Snort опо­ве­ща­ет PacketFence, а тот фор­ми­ру­ет со­об­щение о на­ру­шении для кли­ен­та.

Snort уста­нав­ли­ва­ет­ся из ре­по­зи­то­ри­ев ко­ман­дой

yum install snort

но это не вся сказ­ка. По умол­чанию в Snort не за­да­но ника­ких пра­вил, и вам при­дет­ся соз­дать соб­ст­вен­ные, опи­сы­ваю­щие, что та­кое втор­жение, а это обыч­но дело долгое. Но есть аль­тер­на­ти­ва: за­гру­зить спи­сок го­то­вых пра­вил с сай­та Snort. Для это­го спер­ва за­ре­ги­ст­ри­руй­тесь на сай­те Snort. За­тем вы­яви­те свою вер­сию Snort ко­ман­дой snort --version. Те­перь от­крой­те http://snort.org/snort-rules/#registered и за­гру­зите файл rules для со­от­вет­ст­вую­щей вер­сии Snort. На­при­мер, ес­ли у вас уста­нов­ле­на Snort 2.9.1.2, за­гру­зи­те файл snortrules-snapshot-2912.tar.gz. Рас­па­куй­те ар­хив ко­ман­дой

tar zxvf snortrules-snapshot-2912.tar.gz

Она соз­даст че­ты­ре ка­та­ло­га: rules/, so_rules/, etc/ и preproc_rules/. Фай­лы на­строй­ки Snort на­хо­дят­ся в ка­та­ло­ге /etc/snort, а пра­ви­ла – в ка­та­ло­ге /etc/snort/rules/. Пе­рей­ди­те в соз­дан­ный ка­та­лог rules/ и вы­полните ко­ман­ду

cp * /etc/snort/rules

что­бы ско­пи­ро­вать пра­ви­ла в ка­та­лог с пра­ви­ла­ми.

Все поч­ти го­то­во. Соз­дай­те ка­та­лог /usr/local/lib/snort_dynamicrules, ес­ли его еще нет. За­тем пе­рей­ди­те в ка­та­лог so_rules и ско­пи­руй­те от­ту­да все фай­лы в ка­та­лог /usr/local/lib/snort_dynamicrules.

Все! Snort – од­на из са­мых слож­ных про­грамм в Linux с точ­ки зрения на­строй­ки, но на сай­те есть мас­са до­ку­мен­та­ции, вклю­чая ру­ко­во­дства для ди­ст­ри­бу­ти­вов CentOS, Debian, Fedora, OpenSUSE, Ubuntu и мно­гих дру­гих. Это по­пу­ляр­ная про­грам­ма с от­кры­тым ис­ход­ным ко­дом, и в Ин­тернете мож­но най­ти нема­ло об­су­ж­дений раз­лич­ных ва­ри­ан­тов кон­фи­гу­ра­ции и спо­со­бов ре­шения про­блем, по­это­му ес­ли до­ку­мен­та­ция, поль­зо­ва­тель­ские груп­пы и рас­сыл­ки вам не по­мог­ли, обрати­тесь к Google.


На­строй­ка PacketFence

Мас­тер на­строй­ки по ад­ре­су http://youripaddress:3000/configurator про­ве­дет вас по шес­ти эта­пам на­строй­ки, за­тра­ги­ваю­щим раз­лич­ные ас­пек­ты PacketFence. Пер­вый этап на­строй­ки – вы­бор ти­па сис­те­мы [Enforcement]. Здесь за­да­ет­ся тип сис­те­мы – VLAN или Inline – и вы­бор за­ви­сит от обо­ру­до­вания в се­ти. Для нена­страи­вае­мых уст­ройств, та­ких как про­стые мар­шу­ти­за­то­ры и ком­му­та­то­ры, не под­дер­жи­ваю­щие тип VLAN, нуж­но выбрать тип Inline. В этом слу­чае PacketFence ста­но­вит­ся ин­тернет-шлю­зом, и уст­рой­ст­ва не мо­гут вы­хо­дить в Ин­тернет ина­че чем че­рез него.

Тип VLAN применяет­ся для приписки уст­ройств к раз­лич­ным вир­ту­аль­ным се­тям на осно­ве неко­то­рых кри­те­ри­ев. Пусть, скажем, в се­ти есть три вир­ту­аль­ных се­ти [VLANs]: обыч­ная, изо­ли­ро­ван­ная и ре­ги­ст­ра­ци­он­ная. Все за­ре­ги­ст­ри­ро­ван­ные уст­рой­ст­ва без на­ру­шений при­над­ле­жат обыч­ной вир­ту­аль­ной се­ти; но­вые при­над­ле­жат ре­ги­ст­ра­ци­он­ной се­ти, а уст­рой­ст­во, на­ру­шив­шее по­ли­ти­ку ис­поль­зо­вания се­ти, по­па­да­ет в изо­ли­ро­ван­ную сеть, от­се­каемую от обыч­ной се­ти. Та­ким об­ра­зом пре­дот­вра­ща­ет­ся рас­про­странение ви­ру­са или вре­до­носно­го ПО, и ата­ка за­хле­бы­ва­ет­ся. Ста­тус уст­рой­ст­ва не яв­ля­ет­ся по­сто­ян­ным: его мож­но из­менить на странице на­строй­ки.

Соз­да­ем VLANs

На втором эта­пе, Се­ти [Networks], мы оп­ре­де­ля­ем се­те­вые ин­тер­фей­сы и соз­да­ем вир­ту­аль­ные локаль­ные се­ти. В окне вы ви­ди­те все се­те­вые ин­тер­фей­сы с IP-ад­ре­са­ми, мас­кой под­се­ти, ста­ту­сом, ти­пом и т. д. Для соз­дания сис­те­мы Inline оп­ре­де­лите один сете­вой ин­тер­фейс как Inline, а дру­гой – как Management, щелк­нув по вы­па­даю­ще­му спи­ску Type [Тип] и вы­брав из ва­ри­ан­тов None, Inline и Management. Так­же на­до ука­зать ад­рес DNS-сер­ве­ра и шлюз по умол­чанию (ес­ли вы не уве­ре­ны, про шлюз мож­но уз­нать ко­ман­дой route -n. За­кон­чив, на­жми­те кноп­ку Continue [Про­дол­жить] в ле­вом ниж­нем уг­лу для пе­ре­хо­да к сле­дую­ще­му ша­гу.

На­строй­ки ба­зы дан­ных PacketFence за­да­ют­ся на ша­ге 3, так и на­зван­ном: На­строй­ка ба­зы дан­ных [Database Configuration]. Если сер­вер MySQL не за­пу­щен, за­пусти­те его ко­ман­дой

service mysqld start

Здесь нуж­но ука­зать имя ба­зы дан­ных PacketFence и соз­дать учет­ную запись ад­минист­ра­то­ра для этой ба­зы дан­ных. Ука­зав имя ба­зы дан­ных, на­жми­те на кноп­ку Соз­дать ба­зу дан­ных и таб­ли­цы [Create Database and Tables]», а ука­зав имя поль­зо­ва­те­ля и па­роль, на­жми­те на кноп­ку Соз­дать поль­зо­ва­те­ля [Create User].

На эта­пе 4 нуж­но ука­зать ряд дру­гих па­ра­мет­ров (имя хоста, сер­ве­ры DHCP и др.), а на эта­пе 5 вас по­про­сят соз­дать учет­ную запись ад­минист­ра­то­ра PacketFence. По окон­чании пер­вич­ной на­строй­ки толь­ко он смо­жет зай­ти в ин­тер­фейс ад­минист­ри­ро­вания.

На­конец, на эта­пе 6 PacketFence по­про­бу­ет за­пустить все сер­ви­сы, восполь­зо­вав­шись на­строй­ка­ми се­ти и дру­ги­ми на­строй­ками, ука­зан­ны­ми на пре­ды­ду­щих эта­пах. Ес­ли все хо­ро­шо, вы уви­дите по­здрав­ление с успеш­ным за­вер­шением (‘Congratulations’); в про­тив­ном слу­чае поя­вят­ся со­об­щения о воз­мож­ных про­бле­мах в кон­фи­гу­ра­ции, и их нуж­но ре­шить до дальней­шей ра­бо­ты с PacketFence.

До вер­сии 3.5, от­ли­чав­шей­ся гра­фи­че­­ским ин­тер­фей­сом ад­минист­ри­ро­вания, для из­менения на­стро­ек PacketFence при­хо­ди­лось во­зить­ся с фай­ла­ми на­строй­ки. Все фай­лы на­строй­ки Packet­Fence на­хо­дят­ся в ка­та­ло­ге /usr/local/pf/conf/, и ес­ли вы хо­ти­те луч­ше по­нять, как ра­бо­та­ет про­грам­ма, не по­жа­лей­те немно­го вре­мени на их изу­чение.

По за­вер­шении ра­бо­ты мас­те­ра на­строй­ки в фи­наль­ном со­об­щении поя­вит­ся ссыл­ка на ин­тер­фейс ад­минист­ра­то­ра Packet­Fence. При необ­хо­ди­мо­сти его мож­но от­крыть в лю­бой мо­мент по ссыл­ке http://ipaddress:1443/. На са­мом де­ле, при по­пыт­ке от­крыть ад­рес мас­те­ра на­строй­ки (http://ipaddress:3000/configurator), вас пе­ре­на­пра­вят в ин­тер­фейс ад­минист­ра­то­ра. Вхо­ди­те в него от имени ад­минист­ра­то­ра, соз­дан­но­го на эта­пе 5.

По­сле вхо­да в сис­те­му от­кро­ет­ся страница «Со­стояние сис­те­мы [Status]» с по­лез­ной ин­фор­ма­ци­ей о се­ти, та­кой как об­щее ко­ли­че­­ст­во уз­лов, ис­поль­зо­вание же­ст­ко­го дис­ка и па­мя­ти, за­груз­ка про­цес­со­ра на сер­ве­ре и спи­сок по­следних на­ру­шений и по­следних за­ре­ги­ст­ри­ро­ван­ных уст­ройств. На этой странице так­же мож­но сгенери­ро­вать мас­су раз­лич­ных гра­фи­ков и от­че­тов по на­ру­шениям, за­ре­ги­ст­ри­ро­ван­ным и неза­ре­ги­ст­ри­ро­ван­ным уз­лам, ис­поль­зо­ванию ка­на­ла и т. д.

Па­ра­мет­ры на­строй­ки

Как и во всех круп­ных про­ек­тах с об­шир­ны­ми спи­ска­ми воз­мож­но­стей, в ин­тер­фей­се ад­минист­ра­то­ра PacketFence мы стал­ки­ва­ем­ся с важней­шей про­бле­мой: как пре­доста­вить поль­зо­ва­те­лю удоб­ный доступ к раз­лич­ным па­ра­мет­рам, не за­став­ляя его ко­пать­ся в струк­ту­ре с боль­шим уровнем вло­жен­но­сти?

Для это­го все па­ра­мет­ры распределены по несколь­ким раз­де­лам во вклад­ках в верхней час­ти страницы «Ад­минист­ри­ро­вание [Administration]»: на­при­мер, «Ли­цо [Person]», «Узел [Node]», «Ад­минист­ри­ро­вание [Administration]», «На­строй­ка [Configuration]» и др.

PacketFence иден­ти­фи­ци­ру­ет все се­те­вые уст­рой­ст­ва, по­это­му всех их, будь то смарт­фо­ны, на­столь­ные ком­пь­ю­те­ры, но­ут­бу­ки и т. д., мож­но най­ти на странице «Узел > Про­смот­реть [Node > View]». Зай­дя на эту страницу в пер­вый раз, вы за­ме­ти­те, что все уст­рой­ст­ва по­ме­че­ны как неза­ре­ги­ст­ри­ро­ван­ные. PacketFence так­же по­ка­жет, ка­кая опе­ра­ци­он­ная сис­те­ма ра­бо­та­ет на ка­ж­дом уст­рой­ст­ве (Windows, Linux, Android и т. д.). Для бо­лее под­роб­ной ин­фор­ма­ции о ка­ж­дом уст­рой­ст­ве, на­при­мер, вре­мени его об­на­ру­жения, поль­зо­ва­тель­ском аген­те, ко­ли­че­­ст­ве на­ру­шений по­ли­ти­ки се­ти и др., на­жми­те на кноп­ку «Ото­бра­зить ин­фор­ма­цию [Show Info]» в ле­вом верхнем уг­лу пря­мо под верхней панелью.

Об­ра­ти­те внимание, что для ка­ж­до­го уст­рой­ст­ва на странице «Узел» ука­зан толь­ко MAC-ад­рес уст­рой­ст­ва, а не его IP-ад­рес. Это мо­жет усложнить оп­ре­де­ление уст­рой­ст­ва. MAC-ад­рес уст­рой­ст­ва оп­ре­де­ля­ет­ся ко­ман­дой ifconfig или ipconfig в Linux и Windows со­от­вет­ст­вен­но. Что­бы уз­нать MAC-ад­рес те­ле­фо­на с Android, зай­ди­те в На­строй­ки > Бес­про­вод­ные се­ти > На­строй­ки Wi-Fi > Рас­ши­рен­ные на­строй­ки [Settings > Wireless and network > Wi-Fi settings > Advanced].

Най­дя уст­рой­ст­во на странице «Узел», на­ве­ди­те мышь на MAC-ад­рес, не щел­кая по нему, и вы уви­ди­те три кноп­ки сле­ва от MAC-ад­ре­са. Это кноп­ки Ре­дак­ти­ро­вать запись [Edit This Record], До­ба­вить на­ру­шение [Add Violation] и Уда­лить запись [Delete This Record]. На­жми­те на кноп­ку Edit [Ре­дак­ти­ро­вать], и в от­крыв­шем­ся окне PF::Узел::Ре­дак­ти­ро­вать [PF::Node::Edit] вве­ди­те на­звание в по­ле Иден­ти­фи­ка­тор [Identifier]. По умол­чанию, у ка­ж­до­го уст­рой­ст­ва есть уникаль­ный иден­ти­фи­ка­тор; их но­ме­ра на­чи­на­ют­ся с 1. Но­мер мож­но за­менить на­званием, на­при­мер, Samsung Galaxy S III, что уп­ро­ща­ет иден­ти­фи­ка­цию. Для со­хранения вве­ден­ных дан­ных на­жми­те кноп­ку Ре­дак­ти­ро­вать узел [Edit Node] внизу.

Управ­ление гостя­ми

Хо­тя PacketFence мо­жет ви­деть все уст­рой­ст­ва и от­сле­жи­вать их се­те­вую ак­тив­ность, эти уст­рой­ст­ва все рав­но нуж­но ре­ги­ст­ри­ро­вать. Для это­го ис­поль­зу­ет­ся пор­тал под­клю­чения уст­ройств [Captive Portal], ко­то­рый, ес­ли он вклю­чен, пе­ре­на­пра­вит поль­зо­ва­те­лей се­ти на спе­ци­аль­ную страницу ре­ги­ст­ра­ции, где они смо­гут ука­зать свое имя и фа­ми­лию и ад­рес элек­трон­ной поч­ты, на ко­то­рый бу­дет от­прав­лен код ак­ти­ва­ции. С по­мо­щью это­го ко­да уст­рой­ст­во мож­но ау­тен­ти­фи­ци­ро­вать.

По умол­чанию поль­зо­ва­те­ли мо­гут ре­ги­ст­ри­ро­вать­ся в Packet­Fence са­мо­стоя­тель­но. Это воз­мож­но в трех ре­жи­мах: Ад­рес элек­трон­ной поч­ты [Email], SMS и Спон­сор [Sponsor], но мож­но пол­но­стью от­клю­чить ре­ги­ст­ра­цию или ог­раничить ее одним или дву­мя ре­жи­ма­ми. Что­бы из­менить на­строй­ки са­мо­стоя­тель­ной ре­ги­ст­ра­ции, вы­бе­ри­те На­строй­ка > Са­мо­стоя­тель­ная ре­ги­ст­ра­ция гостей [Configuration > Guests_self_registration].

Гостя­ми мож­но управ­лять и из ин­тер­фей­са ад­минист­ра­то­ра, вы­брав пункт ме­ню Ли­цо > Управ­ление гостя­ми [Person > Manage Guests]. При за­полнении ин­фор­ма­ции о госте так­же мож­но за­дать да­ту по­яв­ления и пе­ри­од, в те­чение ко­то­ро­го уст­рой­ст­ву раз­ре­ша­ет­ся поль­зо­вать­ся се­тью. За­тем на элек­трон­ный ад­рес гостя бу­дет от­прав­лен код досту­па, с ко­то­рым он смо­жет ау­тен­ти­фи­ци­ро­вать уст­рой­ст­ва. Ес­ли за­дать пе­ри­од дей­ст­вия, ска­жем, в 3 дня, то по ис­те­чении это­го сро­ка ре­ги­ст­ра­ция уст­рой­ст­ва бу­дет ав­то­ма­ти­че­­ски сня­та, и уст­рой­ст­во у­тратит досту­п к се­ти.

Про­дви­ну­тые воз­мож­но­сти

По­сле на­ше­го рас­ска­за вы мог­ли по­ду­мать, что на этом воз­мож­но­сти про­грам­мы поч­ти ис­чер­пы­ва­ют­ся, но это во­все не так. На са­мом де­ле, у PacketFence слиш­ком мно­го впе­чат­ляю­щих воз­мож­но­стей, что­бы опи­сать их все под­роб­но.

Доста­точ­но ска­зать, что ес­ли вы знае­те, что та­кое NAC, и пред­став­ляе­те несколь­ко кон­крет­ных си­туа­ций ее ис­поль­зо­вания, есть ве­ро­ят­ность, что со всем этим спра­вит­ся PacketFence. Кро­ме пе­рио­да госте­во­го досту­па и по­ме­щения уст­ройств в раз­лич­ные вир­ту­аль­ные се­ти для по­вы­шения безо­пас­но­сти, есть и дру­гие воз­мож­но­сти для за­щи­ты се­ти. Ши­рит­ся рас­про­странение смарт­фо­нов и про­чих «ум­ных» уст­ройств, и боль­шин­ст­во пред­при­ятий и ор­ганиза­ций вы­ну­ж­де­ны под­дер­жи­вать по­ли­ти­ку «Принеси­те соб­ст­вен­ные уст­рой­ст­ва [Bring Your Own Devices – BYOD]» [со­трудник при­но­сит свои мо­биль­ные уст­рой­ст­ва на ра­бо­чее ме­сто и с их по­мо­щью ра­бо­та­ет с внут­ренними ре­сур­са­ми ком­пании, та­ки­ми как элек­трон­ная поч­та, фай­ло­вые сер­ве­ры и ба­зы дан­ных, а так­же со свои­ми пер­со­наль­ны­ми при­ло­жения­ми и дан­ны­ми, – прим. пер.]. В PacketFence для это­го ис­поль­зу­ет­ся воз­мож­ность управ­ления гостя­ми [Guest Management], в ко­то­рой, на­ря­ду с ре­ги­ст­ра­ци­ей по элек­трон­ной поч­те или че­рез SMS, так­же мож­но за­дать па­роль дня, с по­мо­щью ко­то­ро­го но­вые уст­рой­ст­ва ау­тен­ти­фи­ци­ру­ют­ся для по­лу­чения досту­па к се­ти.

За­од­но с боль­шим ко­ли­че­­ст­вом на­ру­шений в спи­ске На­строй­ка > На­ру­шения [Configuration > Violations], PacketFence под­дер­жи­ва­ет и еще несколь­ко. Это Поль­зо­ва­тель­ский агент [User-Agent], MAC-ад­рес [MAC Address] и От­пе­ча­ток DHCP [DHCP Fingerprint]. Так как ка­ж­дый из этих па­ра­мет­ров уника­лен для за­дан­ной опе­ра­ци­он­ной сис­те­мы или уст­рой­ст­ва, по ним мож­но эф­фек­тив­но бло­ки­ро­вать все эти уст­рой­ст­ва. На­при­мер, мож­но за­бло­ки­ро­вать доступ в сеть всем иг­ро­вым кон­со­лям, вро­де Sony PlayStation и пр. Ана­ло­гич­но мож­но за­пре­тить доступ к раз­лич­ным уст­рой­ст­вам с по­мо­щью поль­зо­ва­тель­ско­го аген­та, ко­то­рый пред­став­ля­ет со­бой встро­ен­ный брау­зер по умол­чанию.

Ес­ли в се­ти уже ис­поль­зу­ет­ся ка­кой-то про­то­кол ау­тен­ти­фи­ка­ции, это не обя­за­тель­но про­бле­ма для PacketFence, по­то­му что он под­дер­жи­ва­ет мас­су раз­лич­ных про­то­ко­лов, та­ких как OpenLDAP, FreeRadius, Active Directory, Novell eDirectory и др. Пре­иму­ще­ст­во та­ко­го под­хо­да в том, что поль­зо­ва­те­ли се­ти смо­гут ау­тен­ти­фи­ци­ро­вать­ся в PacketFence по су­ще­ст­вую­щим ло­ги­нам и па­ро­лям, и им не при­дет­ся за­по­ми­нать но­вые.

ZEN PacketFence

Ес­ли вам не очень хо­чет­ся про­хо­дить че­рез до­воль­но слож­ный про­цесс уста­нов­ки PacketFence и еще бо­лее слож­ный про­цесс ее на­строй­ки, вам по­вез­ло! Zero Effort NAC, или ZEN-ре­дак­ция PacketFence, пред­став­ля­ет со­бой пол­но­стью уста­нов­лен­ную и на­стро­ен­ную вер­сию PacketFence. По­про­бо­вать PacketFence или по­бро­дить по его ла­би­рин­там мож­но и с по­мо­щью за­гру­зоч­ной флэш­ки: за­гру­зи­те об­раз раз­ме­ром 500 МБ и за­пи­ши­те его на флэш­ку объ­е­мом 4 ГБ. Этот об­раз за­гру­зит­ся в сре­ду на ба­зе Debian. Так­же мож­но за­гру­зить об­раз VMWare на ба­зе CentOS 6.3 двух раз­лич­ных вер­сий для VMWare ESX или VMWare Player.

Объ­ем этой ста­тьи ог­раничен и не вме­щает опи­сание всех от­лич­ных воз­мож­но­стей та­ко­го об­шир­но­го про­ек­та, как PacketFence. При пр­авильной на­строй­ке эта удивительно на­деж­ная про­грам­ма бу­дет со­об­щать вам буквально о ка­ж­дом бай­те, пе­ре­да­вае­мом по се­ти. |

Персональные инструменты
купить
подписаться
Яндекс.Метрика