Configuration PacketFence :

Se connecter

Entrez les informations d'identification administrateur de connexion que vous avez créé à l'étape 21 Vous serez accueilli avec le tableau de bord d'administration, qui affiche un certain nombre de mesures concernant votre système NAC:

$C:\Users\yassine\Desktop\packetfence configuration\1 dashboard.PNG$

Figure 17: Le tableau de bord d'administration

Vous devriez voir un certain nombre d'options dans la barre de navigation en haut de l'écran, Le reste de ce guide sera souvent suppose que vous êtes déjà dans la section de configuration, alors cliquez là maintenant si vous ne l'avez pas déjà, il vous sera présenté avec une longue liste de choses différentes que vous pouvez configurer.

$C:\Users\yassine\Desktop\packetfence configuration\3 NavBar.PNG$

Figure 18: Options dans la barre de navigation

Si les paramètres sous l'écran général ne sont pas corrects pour votre environnement, changez‐les maintenant!

$C:\Users\yassine\Pictures\packetfence config img\10.png$

Figure 19: Écran de réglage général dans Configuration

NB : dans les serveurs DHCP, comprennent toutes les adresses relais IP sur des réseaux auxquels PacketFence est directement connecté à moins que vous vouliez beaucoup de fausses détections DHCP voyous.

Configuration> Utilisateurs> Rôles

Rôles est l'endroit où vous configurez les rôles d'utilisateur. Ceci est l'endroit où vous pouvez commencer à faire en sorte que les différents «types» d'utilisateurs ont des privilèges différents (tels que le nombre d'appareils qu'ils peuvent s'inscrire).

Vous ferez usage de ceux‐ci avec les règles sous Utilisateurs> Sources plus tard.

Pour ajouter les différents rôles que vous souhaitez, cliquez sur le bouton Ajouter un rôle, puis entrez les informations que vous souhaitez. Créer un rôle pour chaque rôle d'utilisateur fonctionnel "distinct" vous pouvez imaginer (en supposant que vous allez travailler avec les groupes de sécurité dans Active Directory ‐ supposons en outre que vous allez faire un mappage 1:1 à des rôles fonctionnels que vous définissez ici). Notez que vous ne pouvez pas renommer un rôle dans PacketFence une fois qu'il est créé (Supprimer et recommencer si vous avez besoin). Ce concept de "rôle fonctionnel" est discuté plus loin sous la rubrique de l'intégration d'Active Directory.

$C:\Users\yassine\Desktop\packetfence configuration\5 Role.PNG$

Figure 20: Ajout de rôles. Réglage de nœuds maximum au 0 signifie " illimité"

Vous avez probablement déjà un répertoire des utilisateurs valides, pour la plupart des écoles, il est probable que dans Active Directory de Microsoft (vous pouvez aussi utiliser LDAP générique ou un certain nombre d'autres fournisseurs ‐ y compris Google avec auth, mais nous allons couvrir AD ici, en partie à cause des limitations avec LDAP et EAP, et parce que généralement lorsque vous avez un répertoire sur place des utilisateurs, (c'est mieux qu'un hors site!). Si vous n'êtes pas en utilisant AD, vous aurez besoin de travailler sur la façon d'obtenir le même genre de choses configuré pour votre Environnement PacketFence utilisateur, Si vous ne l'avez pas déjà fait, créez un nouvel utilisateur pour PacketFence dans active Directory ‐ il sera apparemment (selon la documentation de PacketFence) besoin d'autorisations d'administrateur de domaine pour être en mesure de lire les données dont il a besoin; J'aime créer " les utilisateurs de logiciels" dédiés avec des mots de passe forts pour ce genre de chose plutôt que de réutiliser un compte d'admin de domaine générique (ou mon propre). Je vous suggère d'essayer de voir si en effet il a réellement besoin des droits d'administrateur de domaine ou non (un peu Google de lumière suggère que vous pouvez modifier les autorisations d'accès aux données LDAP si vous voulez, ce qui pourrait être une solution). Les rôles fonctionnels Je voudrais également recommander fortement la création un groupe de sécurité dédié pour chacun des «rôles» et en ajoutant les utilisateurs concernés à elle. Cela vous permettra de supprimer l'accès au réseau des utilisateurs capricieux si vous devez simplement en les retirant du groupe concerné (ie " Staff WiFi " "Generic Student WiFi " Student BYOD " WiFi " Grade1WiFi " dans votre authentification 802.1x) et ainsi de suite. Pensez en termes de rôles fonctionnels plutôt que les qualités de l'année (à savoir « les gens qui sont autorisés sur le réseau avec 1 appareil" " les gens qui sont autorisés sur le réseau avec des dispositifs infinis», etc.). dans certains cas, la qualité peut bien être le même (soit 5 e année permet des droits spécifiques) ‐ mais ne pas réutiliser un groupe de sécurité de qualité, que vous devrez peut ‐ être tirer quelqu'un hors du réseau, mais cela ne veut pas dire qu'ils ne sont plus dans la classe X en d' autres termes, avoir! Tant Grade5 et les groupes de sécurité Grade5WiFi et ainsi de suite. Vous pouvez également envisager un rôle fonctionnel "interdit" qui remplace le groupe (s) autorisé, mais c'est un exercice pour le lecteur! Ces rôles fonctionnels devraient presque certainement chacun leur propre VLAN et sous ‐ réseau de sorte que vous pouvez continuer à contrôler l'accès à des choses par le biais / ACLs de commutation en fonction routeur ou rulesets de pare‐feu. Configuration> utilisateurs> Sources> Ajouter Source> interne> AD

$C:\Users\yassine\Desktop\packetfence configuration\6 NewSource.PNG$

Figure 21: Ajouter un nouvel utilisateur Source d'Active Directory

$C:\Users\yassine\Desktop\packetfence configuration\7 securitygroups.PNG$

Figure 22: Voici quelques‐unes de mes WiFi spécifiques groupes AD

Il est probablement plus facile si tous vos utilisateurs sont sous une seule unité d'organisation. Si elles ne sont pas, vous pouvez avoir à créer un couple de sources (ou essayer de créer votre Source plus haut " l'arbre" (ex : DC=school, DC=edu plutôt que OU=Utilisateurs, DC=school, DC=edu) en particulier si pour les étudiants et la personnelle instance sont sous différentes OU). Vous pouvez également créer des sources pour vos secondaires (et peut ‐ être ultérieurement) les contrôleurs de domaine si vous ne voulez pas un point de défaillance unique ‐ ou utilisez round robin DNS (voir ci ‐ dessous).

Cependant, si vous faites de multiples sources, vous trouverez le maintien de règles plus difficile, comme vous devrez garder chaque source que vous définissez à jour. Idéalement, une tolérance de panne unique (round DNS robin est un bon pari) source qui peut interroger votre ensemble d'utilisateurs potentiels. Indépendamment de leur (personnel, les étudiants, les ordinateurs, les utilisateurs de logiciels, etc.) OU est votre meilleur pari Remplissez les différentes options dans l'écran de dialogue Nouvelle Source.

Nom: Donnez‐lui un nom mémorable. J'utilise généralement des choses comme DC Name ‐ OU Name

Description: Self évidente

Hôte: L'adresse IP ou le nom de domaine complet de votre contrôleur de domaine (ou un nom DNS round robin).

Laissez le port 389, sauf si vous avez changé, et le laisser comme Aucun, sauf si vous avez installé SSL fonctionnalité / TLS pour les recherches AD / LDAP

Délai de connexion: Combien de temps attendre avant d’expirer. Laissez tel quel.

Base DN: Ceci est l'unité d'organisation que vous souhaitez rechercher dans AD

Champ d’application: définit ce qu'il faut rechercher par rapport à l'unité d’organisation.

Subtree est probablement correcte pour la plupart des cas. Voir t son article MSDN pour Un regard en profondeur sur la plupart des options.

Nom d'utilisateur Attribut: Quel peu de AD vous voulez être le "username". Le plus souvent "sAMAccountName", qui est le nom de connexion utilisateur normal pour votre domaine. Vous pouvez également utiliser quelque chose comme "mail" d'utiliser leur adresse e‐mail à la place.

Bind DN est votre utilisateur PacketFence AD en nom unique (DN) Format match Cache vous permet de mettre en cache des recherches; laisser décochée pour le moment; il peut y avoir des raisons de le mettre en marche dans les systèmes de production (en particulier si votre serveur PacketFence devient occupé)

Mot de passe est le mot de passe pour votre utilisateur PacketFence AD. Entrez et le tester.

Use Stripped username: laisser vide.

Une fois que vous avez tout rempli, cliquez sur Tester, vous devriez obtenir un vert «succès» bar .si non pas, vérifier ce qui pourrait être erroné et le corriger (assurez‐vous que DNS est corrects, assurez‐vous que le mot de passe pour l'utilisateur est correcte, IP de votre contrôleur de domaine est correct, etc).

$C:\Users\yassine\Desktop\packetfence configuration\9 successfulLDAPBind.PNG$

Figure 23: Le succès!

Si cela fonctionne, cliquez sur Enregistrer. Répétez pour toute autre UO vous pourriez avoir besoin (et éventuellement pour d'autres contrôleurs de domaine). Astuce: Si vous trouvez écrit le DNS LDAP style délicat / douloureux, il y a un moyen de les faire sortir de la MA dans un copier / coller‐ mesure format. Dans Utilisateurs et ordinateurs Active Directory, trouver l'objet que vous voulez que le DN, cliquez droit sur elle, clic gauche sur Propriétés, clique à gauche sur l'onglet Éditeur d'attribut, faites défiler vers le bas pour distinguishedName, sélectionnez le, cliquez sur Afficher, sélectionner, copier et collez le DN dans partout où vous en avez besoin. NB: Je trouve cette astuce ne semblait fonctionner sur mon contrôleur de domaine principal.

$C:\Users\yassine\Desktop\packetfence configuration\8 ADDNhack.PNG$

Figure 24: La haine taper DNS Copier et coller à partir AD.

Une autre option pourrait être de créer une entrée de style DNS "round‐robin" pour un "générique"

FQDN comme adserver.yourdomain.com aussi longtemps que les numéros de port sont les mêmes qui renvoie une partie ou toutes les adresses IP de votre infrastructure AD. Il est généralement une bonne idée tout à fait d'aller vers l'idée d'un "service" générique FQDN qui renvoie tous les serveurs valides, identiquement utilisables de ce type Un exemple je me suis souvent mis en place est NTP je crée deux (ou plus) ntp.domain.com enregistrements à chacun de mes serveurs NTP. Je également créer Lettered pointeurs Un record spécifiques aux serveurs individuels (a.ntp, b.ntp ....) dans le cas où je veux faire référence spécifiquement un ou plusieurs d'entre eux. Beaucoup de ces idées que j'obtenus de mes confrères à Rhodes. RFC2219 est également liée (notez que MSDNS ne supporte pas vraiment l'approche CNAME à cela, ce qui est dommage).

$C:\Users\yassine\Desktop\packetfence configuration\10 adserverdns.PNG$

Figure 25: pointeur direct vers un serveur spécifique

Tout d' abord, créez votre pointeur direct vers un serveur spécifique. Cela permettra également de créer l’adserver " subdomain". Répéter pour les autres serveurs d'annuaire actifs. NE PAS REMPLIR LE FQDN ENTIER dans la première case.

Ensuite, accédez au sous‐domaine adserver dans votre arborescence DNS AD, ajouter un nouvel hôte (enregistrement), en laissant le nom d'hôte en blanc, cela signifie que vous créez un record pour le "nom de domaine parent" dans ce cas, adserver.domain.tld:

$C:\Users\yassine\Desktop\packetfence configuration\11 blankhost.PNG$

Figure 26: Ajouter l'hôte

Laissez l'ébauche de nom d'hôte. Entrez l'adresse IP Cliquez sur Ajouter hôte. Répéter pour chaque tournoi IP ronde.

Une fois mis en place, vous finirez avec quelque chose comme ceci:

$C:\Users\yassine\Desktop\packetfence configuration\12 ad-server-sub-domain-round-robin.PNG$

Figure 27: Round Robin DNS pour les serveurs Active Directory sur adserver.domain.tld

Règle :

Ceci est la «colle magique» qui relie l'AD/LDAP informations et ce que vous voulez qu'il se passe. Donc, vous devez définir quelques règles ...

Ouvrez votre source (s) existante et ajouter un ou plusieurs règle (s) pour le/les en cliquant sur le bouton Ajouter une règle en bas à droite.

$C:\Users\yassine\Desktop\packetfence configuration\13 add_rule.PNG$

Figure 28: Ajout de règles à la source (s)

Règles prennent la forme de Si la condition X ...., alors Y .... . Lorsque les conditions X et Y actions peuvent être multiples choses. Actions doit au minimum (pour les règles d'authentification) définir soit une durée d'accès (en heures) ou une date d'expiration (une date certaine de temps à l'avenir), et un rôle. Définition d'une durée d'accès est logique, vous ne voulez pas vraiment infiniment longue accès, vous pouvez par exemple souhaitez définir les inscriptions d'étudiants à expiration à la fin de l'année scolaire, et ceux du personnel en 4 ou 5 ans (ou, en tant que politique, ont tous enregistrer une fois par an, ou un semestre, ou tout ce qui fait sens pour vous et votre école). Utilement, le système affichera les messages d'erreur lorsque vous obtenez ce mal et refusez de vous permettre de sauvegarder. Voici deux exemples d'erreurs que vous pouvez voir, facilement fixés en suivant les instructions qu'ils font allusion à:

$C:\Users\yassine\Desktop\packetfence configuration\14 roleseterror.PNG$

Figure 29: Vous devez définir un rôle ou un autre type d'accès.

$C:\Users\yassine\Desktop\packetfence configuration\15 timeerror.PNG$

Figure 30: L'accès doit être limité dans le temps.

Pour créer la règle, il est généralement souhaitable de définir d' abord quelques conditions, si vous ne le faites pas, il est un «fourre‐tout» (de sorte que vous pouvez créer un fourre‐tout règle qui va à la fin de la liste des règles qui fait quelque chose comme l'accès subvention invité ou définit un rôle "interdit" spécifiquement. RAPPELEZ-VOUS si vous mettez un fourre‐tout d'abord, vous allez arrêter votre traitement de la règle morte à la première étape! Vous pouvez évidemment créer de nombreuses règles‐ils sont évalués dans l'ordre, de haut en bas, de sorte que vous pourriez avoir à examiner attentivement l'ordre (un peu comme avec les pare‐feu) de nouvelles règles sont ajoutées au bas, la liste ne semble "fix" de son ordre une fois sauvé, sinon il va joyeusement ajouter des règles et les commander par ordre alphabétique Si vous obtenez ennuyé que votre liste est d'entrer dans le mauvais ordre que vous ajoutez des règles, enregistrer , réorganiser , enregistrer et essayer d'ajouter de nouvelles règles, sauvant après chaque addition. En règle générale, vous allez vouloir évaluer "membre de" règles de type. Rappelez‐vous, vous aurez besoin d'utiliser le LDAP complet distinguishedName, pas seulement le nom du groupe.

Voici mon test LDAP Source:

$C:\Users\yassine\Desktop\packetfence configuration\16 LDAPSource.PNG$

Figure 31: Notez les quatre règles et leur ordre.

Voici chacune des règles, à son tour:

$C:\Users\yassine\Desktop\packetfence configuration\17 RuleStaffWiFi.PNG$

Figure 32: WiFi personnel ‐ noter la pleine LDAP DN

Non seulement le nom du groupe dans l'état memberOf Sur la base de cela, il applique alors l'utilisateur Rôle de Staff Wifi et définit l'expiration de c’authentification au 1 janvier 2020.

$C:\Users\yassine\Desktop\packetfence configuration\18 SStudent.PNG$

Figure 33: Générique principal étudiant

Encore une fois, définit le rôle et la date d' expiration sur la base du groupe de membres. Logins d'étudiants viennent à échéance à la fin de l'année civile.

Comme je suis la mise en place pour 2016, ceci est la fin de 2016.

$C:\Users\yassine\Desktop\packetfence configuration\19 BYOD.PNG$

Figure 34: Des règles très similaires pour les étudiants supérieurs BYOD.

$C:\Users\yassine\Desktop\packetfence configuration\20 guest.PNG$

Figure 35: Voici un invité "Catch All"

Ce n'est pas une configuration très sécurisé car il n'y a pas de conditions et il va correspondre à quelque chose. Il est ici pour illustrer a) l'importance de l' ordre des règles et b) que, en laissant les conditions en blanc, vous créez un " fourre ‐ tout" règle. Par ailleurs, si vous ne disposez pas d'un fourre ‐ tout règle et il n'y a pas de règles d'appariement, l'authentification échouera.

LDAP‐complètement optionnelle :

Vous pouvez utiliser LDAP pour définir des autorisations (autoriser) (vs AD à authentifier, parce que vous ne pouvez pas LDAP de l'utilisateur pour l'authentification EAP apparemment). Il n'y a rien dans PacketFence qui exclut toute aide de deux‐IE vous pouvez Authentifier contre AD puis Autorisez contre LDAP, vous pouvez bien sûr à la fois authentifier et autoriser à la fois contre, une fois que vous avez mis en place des règles dans chaque. L'authentification des contrôles de source, les règles de contrôle d'autorisation.

Créer une source LDAP, en utilisant des paramètres similaires à l'AD un au‐dessus, définir le port à tout ce dont vous avez besoin dans votre environnement. Vous pouvez trouver l'entrée de wiki Free Radius LDAP d'utilisation si vous êtes bloqué. Http://wiki.freeradius.org/modules/Rlm_ldap

Encore une fois, round robin DNS va probablement vous faire gagner du temps dans le long terme.

$C:\Users\yassine\Desktop\packetfence configuration\22 LDAP-packetfence.PNG$

Figure 36: LDAP configuration

Notez le nom d'hôte round robin plutôt que d'une adresse IP.

Assurez‐vous d'utiliser le bon port pour LDAP par rapport à AD. Vous voyez que je suis en utilisant le GC LDAP port cela ne peut être exigée.

Conclusion :

Au terme de notre étude qui portait sur l'étude de la sécurisation d'un réseau par la mise en œuvre d'un NAC, il en ressort que, l'idée du NAC ressemble à une combinaison d'outils de protection déjà connus: authentification renforcée, application de politiques de sécurité par utilisateurs, application et ressource réseau, vérification des mises à jour de sécurité et gestion d'un annuaire.

Les solutions de contrôle d'accès réseau permettent aux employés et aux non employés, ainsi qu'aux équipements gérés et non gérés, de partager un accès à la même infrastructure de réseau. Ces systèmes de sécurité par le contrôle des accès au réseau représentent une solution de sécurisation complète des ressources et applications par le contrôle de l'accès de tous les utilisateurs.

Pour mener à point notre projet, nous avons fait des rappels sur les notions de réseaux ainsi que celles de sécurité informatique en passant par une étude détaillée des contrôleurs d'accès réseau et une mise en œuvre d'une solution de sécurité (PacketFence).

Nous pouvons donc retenir qu'avec une solution de contrôle d'accès réseau, l'entreprise peut contrôler les connexions distantes d'une part, imposer des règles de sécurité selon les différents réseaux et les rôles des utilisateurs d'autre part, ou bien encore mettre à jour ses postes de travail et les nettoyer en cas d'infection.

Enfin, une solution NAC gère les profils par le biais d'un annuaire, le parefeu se reliant directement aux annuaires.

WEBOGRAPHIE:

Le site official de projet packetfence.

www.packetfence.org

Mémoire Online - Network access control avec packetfence - Deschanel Tchana

www.memoireonline.com

BlogSpot de School sysadmin

http://schoolsysadmin.blogspot.co.za/2015/11/packetfence-network-access-control.html

Configuration PacketFence :

Configuration PacketFence :

Se connecter

results matching ""

No results matching ""