PacketFence 2.0.0 - Un puissant contrôleur d'accès au réseau

Posté par (page perso) . Modéré par Xavier Teyssier.
23
16
déc.
2010
Sécurité
Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 2.0.0 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes. PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :
  • L'enregistrement des composantes réseau grâce à un puissant portail captif ;
  • Le blocage automatique, si souhaité, des appareils indésirables tels les Apple iPod, Sony PlayStation, bornes sans fil et plus encore ;
  • L'enrayement de la propagation de vers et virus informatiques ;
  • Le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
  • La vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.).

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, ExtremeNetworks, Juniper Networks, Nortel, Hewlett-Packard, Meru Networks, Foundry, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.

Avec plus d'une année de développement, PacketFence 2.0 possède de nombreuses améliorations telles l'unification de la configuration pour le sans fil, le 802.1X sur le réseau filaire ainsi que l'authentification par adresse MAC. L'autorisation des appareils téléphoniques en RADIUS est maintenant possible de même que l'interception de serveur mandataire ou l'accès à certains sites lors du processus d'enregistrement ou lorsqu'un appareil est en quarantaine. De plus, il est maintenant possible d'importer massivement des nœuds et un nouveau statut en attente peut maintenant être défini sur ces derniers permettant de concevoir de tout nouveaux processus d'enregistrement dans PacketFence.

Par ailleurs, le support de nouveaux commutateurs filaires (Juniper EX Series et SMC TigerStack 6128) ainsi que de nouveaux contrôleurs sans fil (HP ProCurve MSM710 et Meru Networks MC3000) a été ajouté. Finalement, plusieurs autres améliorations et correctifs ont été ajoutés, de même qu'un rehaussement massif de la documentation permettant un déploiement fluide de PacketFence.
  • # Tout ceci existe deja...

    Posté par . Évalué à -9.

    Tout ceci, et plus, est deja dans Emacs depuis des annees, c'est une duplication d'effort inutile !

    Sur ce, je -->[]
  • # D'acc'o NAC

    Posté par . Évalué à 2.

    Je découvre avec la dépêche cette solution et ça a l'air pas mal du tout tant en termes de contour qu'en possibilités d'intégration IPS/IDS.

    Certains d'entre vous auraient ils des retours d'expérience sur le sujet ?

    Après une rapide recherche, j'ai trouvé :
    ° Une revue http://www.linux.com/archive/feature/147796
    ° Un article synthétique avec quelques commentaires intéressants http://www.linuxjournal.com/article/9551

    PS: pour des volontaires à l'expatriation, Inverse propose des postes LL http://www.inverse.ca/francais/a_propos/carrieres.html#c99
    • [^] # Re: D'acc'o NAC

      Posté par . Évalué à 6.

      Certains d'entre vous auraient ils des retours d'expérience sur le sujet ?

      Je l'ai eu en test rapidement (3 semaines) dans mon labo. Les résultats étaient mitigés, donc il n'est pas passé en prod.
      Le plus gros défaut que je lui trouve est sa gourmandise. Un gros serveur rack (xeon quad core avec 4Gb de ram et DD SCSI) a du mal à gérer une vingtaine d'utilisateurs actifs. Si les règles de routage sont complexes entre les vlans ça devient vite une guerre pour chopper de la bande passante.

      La simulation que je faisais était pour un usage en hôtellerie, 20 machines employés dont 5 qui peuvent accéder à internet et environ 100 chambres avec accès wifi ou filaire au choix.

      Le tout correspondant à environ vingt personnes sur internet max à un instant T.

      Le serveur possédait trois cartes réseaux pour la séparation de vlan.

      Le premier défaut trouver est que le serveur ne semblait pas capable de gérer les private Vlan/Isolated vlan. Donc pour isoler efficacement les utilisateurs les uns des autres il fallait passer par une création de vlan par utilisateur. C'est pas très grave, les switch gèrent ça très bien, mais c'est pénible.

      Le second défaut est lié au comportement même de PacketFence : il est complexe à configurer si on veut le faire sortir des clous. Par exemple pour soucis d’économies de bande passante et pour ne pas avoir de problèmes je ne voulais pas que les scan snort et nessus partent sur les vlans clients. Il faut taper très fort sur Packet Fence pour qu'il arrête de tout scanner. J'imagine que c'est lié à l'architecture même du biniou.

      Les cartes réseau en mode promiscuous ca tape aussi. Tout le traffic de la société est passé à la moulinette systématiquement. C'est surement çà qui fout le serveur à genoux malgré sa puissance.

      Le portail captif est un peu limité. Pas moyen de faire des règles en cascade de type si auth AD alors VLan 1, si auth LDAP alors VLan2 si auth BD alors VLan 3 etc. Et par défaut les clients sur le même switch se voient si ils sont sur le même vlan (cf premier défaut)

      Ceci étant ca marche bien et c'est assez facile à gérer une fois qu'on a compris le truc. Mais c'est clairement un produit destiné aux PME. avec les admins réseau d'une part et tous les autres utilisateurs d'autres part.

      J'ai eu aussi de gros problèmes lors d'une mise à jour CentOS, mais là il s'agit peut-être d'un problème d'interface clavier/chaise. Je ne suis pas vraiment à l'aise avec CentOS.

      Pour finir on est resté sur une solution classique avec un firewall Netasq et un serveur dédié pour snort/nessus/dansguardian. Et on s'est farci les private vlan à la main.

      Le plus gros défaut reste quand même la gourmandise du produit. Il faut un gros serveur dédié pour le faire tourner, et la customisation est lourde, ce qui annule complètement les avantages du produit. Pour le même pris on peut avoir une appliance de bonne facture ou bricoler son propre système avec des serveurs plus légers et des produits comme pfsense.

      A noter qu'il existe un produit un peu moins gourmand dans le même genre mais qui ne fait pas le pilotage des switchs : untangle.
      • [^] # Re: D'acc'o NAC

        Posté par (page perso) . Évalué à 7.

        Si un seul serveur avait de la difficulté à gérer un petit réseau, c'est que sa configuration n'était pas optimale. Un seul serveur PacketFence peut gérer des milliers d'ordinateurs en même temps. Inverse a fait plusieurs déploiements où un seul serveur actif gère près de 10 000 ordinateurs actifs.

        Quant au portail captif, c'est normal qu'il soit de base dans la solution livrée, de base car c'est l'une des parties qui doit être le plus personnalisé dans tout déploiement. Le chainage des méthodes d'authentification est aussi tout à fait possible dans la personnalisation de la solution. De plus, tout le traffic de la socitété n'a bien entendu pas besoin de passer par PacketFence. PacketFence fonctionne parfaitement en monde "out of band".

        Un NAC n'est PAS une solution triviale à deployer (car elle touche au coeur du réseau) et elle ne s'adresse pas aux très petites sociétés (sous 100-150 ordinateurs, ca veut rarement l'effort).

        La version 2.0 apporte beaucoup d'améliorations, surtout au processus de déploiement et la version "ZEN" pour 2.0 devrait être disponible aujourd'hui.
        • [^] # Re: D'acc'o NAC

          Posté par . Évalué à 6.

          Si un seul serveur avait de la difficulté à gérer un petit réseau, c'est que sa configuration n'était pas optimale. Un seul serveur PacketFence peut gérer des milliers d'ordinateurs en même temps. Inverse a fait plusieurs déploiements où un seul serveur actif gère près de 10 000 ordinateurs actifs.

          Configuration pas optimale d'accord. Une fois de plus je n'ai passé que trois semaines dessus (et pas à temps plein) donc je comprend que ma config n'était pas au top. Mais au niveau hardware on avait quand même un xeon quad... Et j'ai testé plusieurs installations avec des performances similaires.

          Le chainage des méthodes d'authentification est aussi tout à fait possible dans la personnalisation de la solution.

          Oui il est possible et j'ai pu le faire. Par contre je n'ai pas trouvé de façon simple de lier un set de règles avec une authentification. Par exmple la séparation des vlans ou l'absence de probes pour les personnes qui se connecte via l'authent par base de données.

          Un NAC n'est PAS une solution triviale à deployer (car elle touche au coeur du réseau) et elle ne s'adresse pas aux très petites sociétés (sous 100-150 ordinateurs, ca veut rarement l'effort).

          Malheureusement, quand on bosse avec des hopitaux, des hotels ou autres le NAC est légalement obligatoire. Et il n'y a pas tant de postes que çà.

          Ceci étant je vais refaire un test sur la version 2, en insistant un peu plus.
  • # authentification par adresse MAC

    Posté par . Évalué à 2.

    Je suis pas très calé niveau réseau, mais l'adresse mac, c'est bien le truc super pas compliqué à changer ?

    Un rapide coup d'oeil à la manpage ifconfig semble indiquer que quelque chose genre

    ifconfig ethX hw ether

    change l'adresse mac.

    Alors on peut considérer ça comme de l'authentification ?
    • [^] # Re: authentification par adresse MAC

      Posté par (page perso) . Évalué à 2.

      Vous pouvez utiliser cela ou du 802.1X avec PEAP, certificats, etc.

      C'est vous qui décidez après tout - PacketFence supporte parfaitement tous ces mécanismes.

      Par exemple, l'authentifcation par adresse MAC peut être très pratique pour réseau sans fil pour invités. Ces derniers, après authentification sur le portail captif (avec code utilisateur / mot de passe pour invité, valide par exemple pour 4 heures), pourront avoir accès à un VLAN avec accès restreints (Internet seulement, avec limitation de la bande passante).

      Ca l'évite de devoir configurer une connexion WPA/WPA2 et fournir une multitude de paramètres de configuration à un utilisateur qui ne veut, après tout, avoir un accès Internet pour un laps de temps.
    • [^] # Re: authentification par adresse MAC

      Posté par . Évalué à 1.

      Ce n'est effectivement pas tip top, et c'est pour cela qu'a été crée 802.1x. Mais c'est nettement plus compliqué à utiliser :-)
      D'où l'existence de ce genre de solution je suppose.
  • # ça déchire.

    Posté par . Évalué à 1.

    Un message inutile pour dire :

    ça déchire !

    J'ai testé pour le boulot et c'est vraiment bien. Le support 802.1X, c'est super
  • # Version ZEG 2.0 maintenant disponible

    Posté par (page perso) . Évalué à 5.

    Bonjour,

    Nous venons tout juste de rendre disponible la version 2.0 de PacketFence sous forme de "ZEN" - donc une image virtuelle (VMWare) préinstallée / préconfigurée.

    Vous pouvez récupérer le tout du lien suivant :

    http://www.packetfence.org/download/vmware_appliance_zen.htm(...)

    La documentation sur la ZEN peut être téléchargée à partir du lien suivant :

    http://www.packetfence.org/documentation/guides.html
    • [^] # Re: Version ZEG 2.0 maintenant disponible

      Posté par . Évalué à 1.

      Juste une question: où PacketFence doit-il être installé de préférence? En tant que passerelle réseau (comme pare-feu entre Internet et le réseau local) ou c'est une application de surveillance du réseau qui peut être installée sur n'importe quelle machine connectée au réseau qu'elle surveille?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.