- L'enregistrement des composantes réseau grâce à un puissant portail captif ;
- Le blocage automatique, si souhaité, des appareils indésirables tels les Apple iPod, Sony PlayStation, bornes sans fil et plus encore ;
- L'enrayement de la propagation de vers et virus informatiques ;
- Le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
- La vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.).
PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, ExtremeNetworks, Juniper Networks, Nortel, Hewlett-Packard, Meru Networks, Foundry, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.
Avec plus d'une année de développement, PacketFence 2.0 possède de nombreuses améliorations telles l'unification de la configuration pour le sans fil, le 802.1X sur le réseau filaire ainsi que l'authentification par adresse MAC. L'autorisation des appareils téléphoniques en RADIUS est maintenant possible de même que l'interception de serveur mandataire ou l'accès à certains sites lors du processus d'enregistrement ou lorsqu'un appareil est en quarantaine. De plus, il est maintenant possible d'importer massivement des nœuds et un nouveau statut en attente peut maintenant être défini sur ces derniers permettant de concevoir de tout nouveaux processus d'enregistrement dans PacketFence.
Par ailleurs, le support de nouveaux commutateurs filaires (Juniper EX Series et SMC TigerStack 6128) ainsi que de nouveaux contrôleurs sans fil (HP ProCurve MSM710 et Meru Networks MC3000) a été ajouté. Finalement, plusieurs autres améliorations et correctifs ont été ajoutés, de même qu'un rehaussement massif de la documentation permettant un déploiement fluide de PacketFence.
Aller plus loin
- PacketFence (333 clics)
- Inverse (183 clics)
- NAC (282 clics)
- Copies d'écrans (192 clics)
- Vidéos de démonstration (183 clics)
# Tout ceci existe deja...
Posté par pasBill pasGates . Évalué à -9.
Sur ce, je -->[]
[^] # Re: Tout ceci existe deja...
Posté par Quzqo . Évalué à 6.
[^] # Re: Tout ceci existe deja...
Posté par pasBill pasGates . Évalué à 4.
# D'acc'o NAC
Posté par Quzqo . Évalué à 2.
Certains d'entre vous auraient ils des retours d'expérience sur le sujet ?
Après une rapide recherche, j'ai trouvé :
° Une revue http://www.linux.com/archive/feature/147796
° Un article synthétique avec quelques commentaires intéressants http://www.linuxjournal.com/article/9551
PS: pour des volontaires à l'expatriation, Inverse propose des postes LL http://www.inverse.ca/francais/a_propos/carrieres.html#c99
[^] # Re: D'acc'o NAC
Posté par Jerome Herman . Évalué à 6.
Je l'ai eu en test rapidement (3 semaines) dans mon labo. Les résultats étaient mitigés, donc il n'est pas passé en prod.
Le plus gros défaut que je lui trouve est sa gourmandise. Un gros serveur rack (xeon quad core avec 4Gb de ram et DD SCSI) a du mal à gérer une vingtaine d'utilisateurs actifs. Si les règles de routage sont complexes entre les vlans ça devient vite une guerre pour chopper de la bande passante.
La simulation que je faisais était pour un usage en hôtellerie, 20 machines employés dont 5 qui peuvent accéder à internet et environ 100 chambres avec accès wifi ou filaire au choix.
Le tout correspondant à environ vingt personnes sur internet max à un instant T.
Le serveur possédait trois cartes réseaux pour la séparation de vlan.
Le premier défaut trouver est que le serveur ne semblait pas capable de gérer les private Vlan/Isolated vlan. Donc pour isoler efficacement les utilisateurs les uns des autres il fallait passer par une création de vlan par utilisateur. C'est pas très grave, les switch gèrent ça très bien, mais c'est pénible.
Le second défaut est lié au comportement même de PacketFence : il est complexe à configurer si on veut le faire sortir des clous. Par exemple pour soucis d’économies de bande passante et pour ne pas avoir de problèmes je ne voulais pas que les scan snort et nessus partent sur les vlans clients. Il faut taper très fort sur Packet Fence pour qu'il arrête de tout scanner. J'imagine que c'est lié à l'architecture même du biniou.
Les cartes réseau en mode promiscuous ca tape aussi. Tout le traffic de la société est passé à la moulinette systématiquement. C'est surement çà qui fout le serveur à genoux malgré sa puissance.
Le portail captif est un peu limité. Pas moyen de faire des règles en cascade de type si auth AD alors VLan 1, si auth LDAP alors VLan2 si auth BD alors VLan 3 etc. Et par défaut les clients sur le même switch se voient si ils sont sur le même vlan (cf premier défaut)
Ceci étant ca marche bien et c'est assez facile à gérer une fois qu'on a compris le truc. Mais c'est clairement un produit destiné aux PME. avec les admins réseau d'une part et tous les autres utilisateurs d'autres part.
J'ai eu aussi de gros problèmes lors d'une mise à jour CentOS, mais là il s'agit peut-être d'un problème d'interface clavier/chaise. Je ne suis pas vraiment à l'aise avec CentOS.
Pour finir on est resté sur une solution classique avec un firewall Netasq et un serveur dédié pour snort/nessus/dansguardian. Et on s'est farci les private vlan à la main.
Le plus gros défaut reste quand même la gourmandise du produit. Il faut un gros serveur dédié pour le faire tourner, et la customisation est lourde, ce qui annule complètement les avantages du produit. Pour le même pris on peut avoir une appliance de bonne facture ou bricoler son propre système avec des serveurs plus légers et des produits comme pfsense.
A noter qu'il existe un produit un peu moins gourmand dans le même genre mais qui ne fait pas le pilotage des switchs : untangle.
[^] # Re: D'acc'o NAC
Posté par Ludovic Marcotte (site web personnel) . Évalué à 7.
Quant au portail captif, c'est normal qu'il soit de base dans la solution livrée, de base car c'est l'une des parties qui doit être le plus personnalisé dans tout déploiement. Le chainage des méthodes d'authentification est aussi tout à fait possible dans la personnalisation de la solution. De plus, tout le traffic de la socitété n'a bien entendu pas besoin de passer par PacketFence. PacketFence fonctionne parfaitement en monde "out of band".
Un NAC n'est PAS une solution triviale à deployer (car elle touche au coeur du réseau) et elle ne s'adresse pas aux très petites sociétés (sous 100-150 ordinateurs, ca veut rarement l'effort).
La version 2.0 apporte beaucoup d'améliorations, surtout au processus de déploiement et la version "ZEN" pour 2.0 devrait être disponible aujourd'hui.
[^] # Re: D'acc'o NAC
Posté par Jerome Herman . Évalué à 6.
Configuration pas optimale d'accord. Une fois de plus je n'ai passé que trois semaines dessus (et pas à temps plein) donc je comprend que ma config n'était pas au top. Mais au niveau hardware on avait quand même un xeon quad... Et j'ai testé plusieurs installations avec des performances similaires.
Le chainage des méthodes d'authentification est aussi tout à fait possible dans la personnalisation de la solution.
Oui il est possible et j'ai pu le faire. Par contre je n'ai pas trouvé de façon simple de lier un set de règles avec une authentification. Par exmple la séparation des vlans ou l'absence de probes pour les personnes qui se connecte via l'authent par base de données.
Un NAC n'est PAS une solution triviale à deployer (car elle touche au coeur du réseau) et elle ne s'adresse pas aux très petites sociétés (sous 100-150 ordinateurs, ca veut rarement l'effort).
Malheureusement, quand on bosse avec des hopitaux, des hotels ou autres le NAC est légalement obligatoire. Et il n'y a pas tant de postes que çà.
Ceci étant je vais refaire un test sur la version 2, en insistant un peu plus.
# authentification par adresse MAC
Posté par mickabouille . Évalué à 2.
Un rapide coup d'oeil à la manpage ifconfig semble indiquer que quelque chose genre
ifconfig ethX hw ether
change l'adresse mac.
Alors on peut considérer ça comme de l'authentification ?
[^] # Re: authentification par adresse MAC
Posté par Ludovic Marcotte (site web personnel) . Évalué à 2.
C'est vous qui décidez après tout - PacketFence supporte parfaitement tous ces mécanismes.
Par exemple, l'authentifcation par adresse MAC peut être très pratique pour réseau sans fil pour invités. Ces derniers, après authentification sur le portail captif (avec code utilisateur / mot de passe pour invité, valide par exemple pour 4 heures), pourront avoir accès à un VLAN avec accès restreints (Internet seulement, avec limitation de la bande passante).
Ca l'évite de devoir configurer une connexion WPA/WPA2 et fournir une multitude de paramètres de configuration à un utilisateur qui ne veut, après tout, avoir un accès Internet pour un laps de temps.
[^] # Re: authentification par adresse MAC
Posté par mickabouille . Évalué à 6.
[^] # Re: authentification par adresse MAC
Posté par Dreammm . Évalué à 1.
D'où l'existence de ce genre de solution je suppose.
# ça déchire.
Posté par kowalsky . Évalué à 1.
ça déchire !
J'ai testé pour le boulot et c'est vraiment bien. Le support 802.1X, c'est super
# Version ZEG 2.0 maintenant disponible
Posté par Ludovic Marcotte (site web personnel) . Évalué à 5.
Nous venons tout juste de rendre disponible la version 2.0 de PacketFence sous forme de "ZEN" - donc une image virtuelle (VMWare) préinstallée / préconfigurée.
Vous pouvez récupérer le tout du lien suivant :
http://www.packetfence.org/download/vmware_appliance_zen.htm(...)
La documentation sur la ZEN peut être téléchargée à partir du lien suivant :
http://www.packetfence.org/documentation/guides.html
[^] # Re: Version ZEG 2.0 maintenant disponible
Posté par FantastIX . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.