PacketFence 1.8.3, un puissant contrôleur d'accès au réseau

Posté par (page perso) . Modéré par Jaimé Ragnagna.
13
11
juin
2009
Sécurité
Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.8.3 de PacketFence, sous licence GPLv2.

Créé en 2004, PacketFence est un logiciel libre de contrôle d'accès réseau ("NAC").
Contrairement aux alternatives propriétaires, PacketFence possède toutes les fonctionnalités d'un NAC telles :
  • L'enregistrement des composantes réseau ;
  • La détection d'activités illicites (avec Snort) ;
  • La détection proactive de vulnérabilités (avec Nessus) ;
  • L'isolation des composantes réseau problématiques ;
  • La capture d'empreintes DHCP ;
  • Ainsi qu'un puissant portail captif.


PacketFence peut être utilisé pour la sécurisation d'un réseau filaire ou sans fil et possède plusieurs mécanismes pour la gestion des accès réseau (usurpation ARP, DHCP/DNS, changement dynamique de VLAN et 802.1X).

Par ailleurs, la solution peut être utilisée pour la sécurisation de très grands réseaux hétérogènes grâce à sa prise en charge de nombreux modèles de commutateurs (Cisco, Nortel, HP, etc.).

Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version préconfigurée dans une image de type VMWare.
  • # kezako ?

    Posté par . Évalué à 7.

    Qu'est ce que c'est qu'un "NAC" ? (l'article wikipedia est assez vague)
    Comment est ce que cela se présente pour un utilisateur ? Un administrateur ?
    A quel niveau se situe-t-il sur une infrastructure ?
    Quelles sont les interactions avec le systême ? S'agit-il d'un module noyau ? Quel est le cas d'école pour l'utilisation d'un tel outil ?
    Que signifie "composantes réseau (problèmatiques)" ?
    Quel est le lien avec la prise en charge de divers modèles de commutateurs ? Des choses spécifiques à chacun d'entre eux sont implémentés ?

    Ca fait beaucoup de questions, je sais, la news aurait gagné à être un peu plus détaillée à mon avis. :)
    • [^] # Re: kezako ?

      Posté par (page perso) . Évalué à 10.

      Une solution comme PacketFence permet de sécuriser les branchements au réseau. Donc, au moment où on branche le fil réseau dans son ordinateur ou au moment où on se connecte sur le réseau sans fil, PacketFence vérifie si l'ordinateur s'est déjà connecté.

      Dans le cas où l'ordinateur s'est déjà connecté, PacketFence devient transparent - la personne qui utilise l'ordinateur n'a nullement conscience que la solution est présente (puisqu'elle est côté serveur et qu'elle parle aux commutateurs).

      Si la personne s'est jamais connectée, PacketFence redirigera l'utilisateur vers un portail captif (ie., une page Web) où des instructions sur l'enregistrement de son matériel réseau seront présentées. La phase d'enregistrement ne se fait qu'une seule fois en général et lors de cette phase, on peut très bien vérifier si l'antivirus est à jour, aucun services suspects ne tournent sur la machine, etc.

      Lorsque la machine de l'utilisateur est enregistrée, PacketFence entre alors en veille. La solution utilise les outils Snort et Nessus afin de détecter des anomalies sur le réseau ou sur les composantes du réseau. Lorsqu'une anomalie est détectée (présence de vers ou virus informatique, attaque sur un serveur, etc.), Snort ou Nessus envoie leurs alertes à PacketFence et ce dernier peut réagir.

      Dans sa réaction, PacketFence peut tenter de notifier l'utilisateur ayant commis cette faute (ie., à l'aide d'un "popup" Windows, etc.). Ensuite, PacketFence peut isoler la machine de l'utilisateur du réste du réseau (par exemple, pour limiter la propagation d'un vers ou d'un virus informatique).

      Lorsque la machine d'une personne est isolée, l'utilisateur est à nouveau amené sur un portail captif où des instructions pour regagner son accès réseau lui seront présentées. Il peut s'agir d'arrêter de faire du peer-2-peer, de mettre à jour son antivirus, etc.

      Bref, la solution est très personnalisable et très souple pour s'adapter à de très grands réseaux hétérogènes. Chez Inverse, nous l'avons déployée à maintes reprises - allant des petits réseaux (150 postes de travaux) aux très grands réseaux (centaines de sites distants, milliers de postes de travail).
      • [^] # Re: kezako ?

        Posté par . Évalué à 3.

        Tout cela me semble très intéressant.

        Donc, au moment où on branche le fil réseau dans son ordinateur ou au moment où on se connecte sur le réseau sans fil, PacketFence vérifie si l'ordinateur s'est déjà connecté.
        Sur quoi se base la vérification, est-ce sensible à une usurpation d'adresses MAC/IP ?

        Lorsque la machine d'une personne est isolée, l'utilisateur est à nouveau amené sur un portail captif où des instructions pour regagner son accès réseau lui seront présentées. Il peut s'agir d'arrêter de faire du peer-2-peer, de mettre à jour son antivirus, etc.
        L'isolation du poste peut-elle aller jusqu'à la désactivation de la prise du commutateur sur laquelle est branché l'ordinateur, ou le poste peut uniquement être redirigé vers le portail captif ?
        • [^] # Re: kezako ?

          Posté par (page perso) . Évalué à 4.

          C'est "gé-ni-al" :D
          Désolé je débarque, mais j'adore le principe, je ne connaissais pas.

          Une petite question en plus des siennes, comment est-ce que la presence d'un virus est détectée sur une machine, vu que la plupart du temps ce sont des produits fermés et non interopérables ? Il n'embarque pas un antivirus en doublon quand même ?
          A moins que ce ne soit que dans le cas d'anti-virus libres ?

          Merci pour cette super explication
          • [^] # Re: kezako ?

            Posté par (page perso) . Évalué à 6.

            Je vais répondre aux questions dans ce message.

            o Sur quoi se base la vérification, est-ce sensible à une usurpation d'adresses MAC/IP ?

            L'usurpation IP est sans impact. L'usurpation MAC peut avoir un impact mais certains commutateurs peuvent nous avertir dans un tel cas - ou si on a accès au 'broadcast domain' où cela se produit, cela peut être détecté. Sinon, en 802.1X, l'usurpation MAC est sans impact. Il y a toujours un équilibre à trouver.

            o L'isolation du poste peut-elle aller jusqu'à la désactivation de la prise du commutateur sur laquelle est branché l'ordinateur, ou le poste peut uniquement être redirigé vers le portail captif ?

            L'isolation peut aller jusqu'à la désactivation du port. Toutefois, cela ne sert pas à grand chose ... il est préférable de confiner l'utilisateur dans un VLAN d'isolation par exemple où le seul hôte avec lequel il peut communiquer est la machine PacketFence, par l'entremise de son portail captif.

            o Une petite question en plus des siennes, comment est-ce que la presence d'un virus est détectée sur une machine, vu que la plupart du temps ce sont des produits fermés et non interopérables ? Il n'embarque pas un antivirus en doublon quand même ?

            Un virus va bien souvent faire une activité réseau et cette dernière sera détectée par Snort si la sonde est positionnée correctement (on peut aussi avoir plusieurs sondes...). Un virus qui ne fait que du grabuge sur un poste local sans affecter le réseau est sans menace pour le réseau... donc Snort (et par le fait même, PacketFence), s'en moque un peu...
            • [^] # Re: kezako ?

              Posté par (page perso) . Évalué à 2.

              Si je comprends bien, il y a beaucoup de fonctionalité et on ne les active qu'en fonction des besoins.

              Par exemple, pourrait-on l'utiliser sur un réseau à plat ou il n'y a qu'un seul vlan et ou, malheureusement, il y a des petits switch dans les bureaux ce qui empêche une gestion fine des VLAN jusque dans les bureaux.

              En gros, il n'agirait que que les IP et des sous réseaux IP et filtrerait le web.
            • [^] # Re: kezako ?

              Posté par (page perso) . Évalué à 1.

              L'isolation peut aller jusqu'à la désactivation du port. Toutefois, cela ne sert pas à grand chose ...

              En plus de ne servir pas à grand chose, c'est également "dangereux" à mon sens. Prenons l'exemple d'une personne se connectant avec son portable (considéré "mauvais") sur une prise RJ... le système désactive le port. La personne tente une autre prise, puis une autre prise, puis une autre prise, puis une autre prise...

              Je me souviens d'une politique quasi identique dans un établissement scolaire, où pour éviter de faire les TPs, il suffisait de débrancher un pc X et de le brancher sur le port utilisé par un pc Y et inversement pour désactiver les deux ports et d'attendre la venue du service technique...

              Alexandre COLLIGNON

  • # !

    Posté par . Évalué à 0.

    \0_o

    claque!
    Merci !
  • # je dirais "actif" tout simplement

    Posté par . Évalué à 1.

    « La détection proactive de vulnérabilités (avec Nessus) » : ce mot qui nous vient de l'anglais via les DRH ou autre marketeux me surprend toujours, car ici "active" suffit largement. Je m'amuse à imaginer "propassif".
    • [^] # Re: je dirais "actif" tout simplement

      Posté par . Évalué à 6.

      Peut-être que les « DRH ou marketeux » l’utilisent mal (comme beaucoup de mots, parce que « plus c’est long, plus c’est bon ») mais c’est un mot qui a un sens.

      Proactif = pro + actif = avant + actif = qui agit avant

      Proactif s’oppose au plus général actif et, plus particulièrement, à l’adjectif réactif, dans le sens où ce qui est proactif précède le besoin, anticipe, a une action propre qui prévient la nécessité.

      Donc ça peut s’appliquer à un moyen de détection qui n’attend pas les attaques pour les prévenir…
      • [^] # Re: je dirais "actif" tout simplement

        Posté par . Évalué à 1.

        Ben le contraire de passif, c'est actif. Et actif est différent de réactif (j'ai bien compris le principe de Nessus). Un moyen de détection actif c'est un moyen qui fonctionne en permanence pour détecter.

        Je te garantis qu'une personne qui parle parfaitement le français ne dira jamais proactif, ça fait pléonasme en plus.
        • [^] # Re: je dirais "actif" tout simplement

          Posté par . Évalué à 3.

          Un moyen de détection actif c'est un moyen qui fonctionne en permanence pour détecter.

          Et qui peut être réactif (attend une attaque plutôt que prévoit les attaques).
          Et actif n’est pas que le contraire de passif, c’est aussi le contraire d’inactif.
          Donc proactif peut servir à être plus précis.

          Je te garantis qu'une personne qui parle parfaitement le français ne dira jamais proactif,

          Pfft. Il faudrait déjà qu’une telle chose qu’une langue parfaite existe pour qu’elle puisse être parlée parfaitement. Et une langue parfaite (au sens premier), c’est une langue morte.

          ça fait pléonasme en plus.

          « Pro- » et « actif » n’ont pas le même sens, comment serait-ce un pléonasme ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.