PacketFence v4.2 maintenant disponible

Posté par  (site web personnel) . Édité par Nÿco, bubar🦥 et claudex. Modéré par claudex. Licence CC By‑SA.
25
8
mai
2014
Sécurité

Inverse annonce la sortie de la version 4.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une grande liste de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo PacketFence

La version 4.2 de PacketFence apporte de nombreuses améliorations comme l'isolation de type hotspot, un nouveau portail captif s'adaptant plus facilement à des scénarios personnalisés complexes, plusieurs fonctionnalités pour les opérateurs cellulaires (WRIX, inline layer 3, page de statut pour prolonger l'accès réseau, etc.), un nouvel agent pour la configuration des appareils Android, la prise en charge de nouveaux équipements d'Enterasys, Huawei et Juniper Networks, une meilleure intégration Eduroam et plusieurs améliorations au niveau de la performance.

PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :

  • l'enregistrement des composantes réseau grâce à un puissant portail captif ;
  • le blocage automatique, si souhaité, des appareils indésirables tels les Apple iPod, Sony PlayStation, bornes sans fil et plus encore ;
  • l'enrayement de la propagation de vers et virus informatiques ;
  • le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
  • la vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.) ;
  • la gestion simple et efficace des invités se connectant sur votre réseau ;
  • des sources d'authentification variées, incluant Facebook et Google.

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de 3Com, AeroHIVE, Allied Telesis, Aruba, BelAir/Ericsson, Brocade, Cisco, Dell/Force10, Enterasys, ExtremeNetworks, Extricom, Hewlett-Packard/H3C, Huawei, Intel, Juniper Networks/Trapeze, LG-Ericsson US, Meru Networks, Motorola, Netgear, Nortel/Avaya, Ruckus, Xirrus et plus encore.

Aller plus loin

  • # Retour d'expérience

    Posté par  . Évalué à 1.

    Bonjour, y-a-t-il des retours d'expérience en utilisation réelle ?

    Concrètement, si PacketFence plante, il se passe quoi au niveau des switchs au niveau des utilisateurs actuellement connectés et des nouveaux arrivants ?

    • [^] # Re: Retour d'expérience

      Posté par  . Évalué à -1.

      j'ai testé la version précédente sur une passerelle fait maison sous Debian avec ip-route iptables et tout le toutim dans un dès collèges dont me m'occupe.
      Bien entendu, trop sûr de mon fait je n'ai pas lu la doc avant, bilan juste après l'installation par le .deb disponible sur le site, je me suis retrouvé avec un parc de 150 machines inutilisables.

      Bon ça n'a duré que le temp de faire dpkg --remove pour que tout rentre dans l'ordre et l'excuse officiel en "accord" avec mon stagiaire était une panne de switch ^

      C'est très très puissant et si on à le temps c'est une aide appréciable, mais à tester avant sur un petit réseau.

      • [^] # Re: Retour d'expérience

        Posté par  . Évalué à 4.

        C'est très très puissant et si on à le temps c'est une aide appréciable, mais à tester avant sur un petit réseau.

        Ça ne me semble pas un conseil spécifique à Packetfence.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Retour d'expérience

      Posté par  (site web personnel) . Évalué à 0.

      Salut,

      cela dépend vraiment de comment tu configures ton réseau avec packet fence.
      Je suis en train de l'installer, et je répond à ton poste car malgré toute les recherches faites sur le web, je n'ai trouvé nul part d'explication simple pour ceux qui ne sont pas familiers avec les NAC.

      Voici donc une explication basique:
      -ton poste démarre
      -le lien Ethernet sur le switch passe en status "up"
      -le switch envoie l'info à PF (Packet Fence): il fait cela via SNMP (en tout cas dans cet exemple)
      -PF demande au switch de passer ce port dans un VLAN Mac Detection
      -le switch trouve l'adresse MAC de ton poste et l'envoie à PF
      -PF regarde dans sa base, et ne trouve pas ton poste, et donc demande de passer le port dans un VLAN registration
      -le switch passe le port de ton poste dans ce VLAN
      -PF est présent dans ce VLAN, et fait serveur DNS. Il redirige tes requêtes sur portail captif, via lequel tu peux te loguer (via LDAP, AD…). Ton poste est maintenant enregistré
      -en fonction de la configuration de PF (role associé à login + poste enregistré), PF te passe dans un VLAN de production, adéquate: par exemple, un VLAN guest qui n'a qu'un accès à internet, et à aucun serveur interne, ou un VLAN admin, qui te permet d'atteindre certaines interfaces autrement inaccessibles.

      Note: Selon la configuration utilisée (802.1x ou SNMP, type de trappes SNMP supportée etc…), ce que j'ai décrit peut varier.

      Quand tu te reconnectes, ton poste est reconnu, et si sa sessions est toujours ok, il est remis dans le VLAN adéquat directement (en imaginant que tu ai changé de port sur le switch, ou bien que le port ai été éteint et rallumé)

      Pour répondre à ta question: si PF est en panne, il ne se passe rien au niveau du switch (il envoie ses infos sur le changement d'état, il ne reçoit rien de PF comme commande à effectuer).
      Donc si tu étais sur un VLAN et que PF tombe en panne, tu restes 'bloqué' sur ce VLAN.
      Ce n'est pas si gênant, car tu t'authentifie en général 1 fois (pour une durée configurable, voire 1 fois pour toute). Donc tant que ton équipement reste connecté, il garde ses accès réseau.

      Voilà grosso modo comment ça se passe.
      Il doit bien y avoir des nuances que je n'ai pas saisi, et des questions se posent d'elles mêmes: quid tu MAC spoofing dans notre cas ? Et dans le cas d'utilisation du 802.1x ?

      en tout cas j'espère que cela a éclairé un peu les novices :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.