OpenSource ürünlere tabiri caizse “dadanmış” durumdayız. Artan kur fiyatları bizi bu hale getirdi desek eksik söylemiş olmayız. Packetfence benim ilk nac ürünüm. Merakım ve öğrenme hevesim ile birlikte çok keyif almamı sağladığını söyleyebilirim. Konuyu çokta uzatmadan anlatıma başlıyorum. Şimdiden hatalarımız olursa affola:)
Packetfence, OpenSource Network erişim Kontrol (NAC) sistemidir. Bu ürün ile network yapılarının güvenliğini olması gereken ilk yerden, erişim katmanından sağlamış olacağız.
NAC, Network güvenliği için kullanılır, uç nokta network erişimini kontrol eder, belirlediğiniz kural ve rollere göre uç cihazı register eder ve sizin kurallarınızla eşleşmeyen cihazı izole eder. Böylece layer2 de tam güvenlik sağlanmış olur.
NAC Sistemlerini Oluşturan Temel Bileşenler
Kimlik Doğrulama: Kullanıcıların kimliklerini doğrulamak için kullanıcı adı, parola, sertifika, akıllı kart veya diğer kimlik doğrulama yöntemlerini kullanır.
Cihaz Denetimi: Bağlanan cihazların güvenlik durumunu değerlendirir ve uygun güvenlik policy uygulanıp uygulanamayacağını belirler. Cihazların güvenli olmadığı durumlarda ağa erişimi kısıtlanabilir veya izin verilebilir.
Etki Alanı Kontrolü: NAC sistemi, ağda bulunan cihazların belirli bir etki alanına (domain) ait olup olmadığını denetleyebilir. Bu, yetkisiz cihazların ağa erişimini engellemeye yardımcı olur.
Politika Uygulama: NAC sistemi, ağa bağlanan kullanıcılara ve cihazlara uygulanacak güvenlik politikalarını belirler. Örneğin, belirli bir kullanıcıya sınırlı erişim izni verebilir veya belirli bir cihazın sadece belirli ağ kaynaklarına erişmesine izin verebilir.
FacketFence’in Bazı Özellikleri
Rol Tabanlı Erişim Kontrolü;
Authentication Source ve Connection profile belirleyerek roller oluşturabilir oluşturduğunuz profili bir vlan rolüne atanabilir.
Dinamik Network Yapısı;
Tüm network yapınızı dinamik hale getirebilir bağlanılan uç noktada switch portunun cihazınız rolüne göre vlan sahiplenmesi sağlanabilir.
Captive Portal
Ağa bağlanan erişim elde etmesi gerek cihazları izole bir vlan üzerinden Captive Portal’a yönlendirilmesi sağlanabilir.
Anormal Ağ Faaliyetlerinin Tespiti
Anormal ağ hareketleri izlenebilir. Sorunlu cihazlar gözlemlenirse izole edilebilir.
Vs vs..
Genel bilgilendirmeyi tamamladık:) Nac sistemlerinin daha birçok özelliği olsa da çok uzatarak sıkmak istemiyorum. Detaylı öğrenme kısmının ihtiyaca göre kullanım ve araştırmayla daha iyi oturduğu düşüncesindeyim. Şimdi ürünün kurulumuna geçelim.
Minimum Sistem Gereksinimleri
- Intel veya AMD CPU 3 GHz, 4 CPU çekirdeği
- 16 GB RAM
- 200 GB disk alanı (RAID-1 önerilir)
- 1 ağ kartı (2 önerilir)
Bu bilgileri minimum olarak verilmiştir. Gerekli ihtiyaçlara göre artırılmasında fayda vardır.
Kurulum
Kurulum bölümü Packetfence in ZEN (Zero Effort NAC) 12.2 sürümü ile yapılmıştır. Farklı kurulum yöntemleri de bulunmaktadır. Ben kendi ilerlediğim yöntemi anlatıyor olacağım.
PacketFence OVF dosyasını buradan indirebilirsiniz: Packetfence 12.2 OVF Download
Bu kısımda OVF dosyasını Vspare veye Vcenter üzerine deploy etmeniz gerekiyor. Bu adımları geçiyorum.
Deploy tamamlandıktan sonra ki Vcenter üzerinde Packetfence interface konfigürasyonu ve packetfence sunucusu üzerinde ip adresinin verilmesini görsellerle anlatacağım.
Vcenter Üzerinde Packetfence Sunucusu Interface Konfigürasyonu
2 adet interface eklemesi yapıyoruz. Inteface biri management olarak kullanılacaktır. Bu interface switchler ile aynı networkte olması önerilir. Switchler Radius isteğini bu interface üzerinden yapacak.
Diğer interface ise vlanların oluşturalacağı interface olacaktır. Bu interface in birden fazla Vlan ID geçirebilir(Trunk) şekilde konfigre edildiğinden emin olmalısınız. Interface konfigürasyonunu paylaşıyorum.
*Management interface mac adresini aklımızda tutucağız bir sonra ki adımda bu mac adresine sahip interface ip adresi vereceğiz.
Şimdi daha önce deploy ettiğimiz packetfence sunucusuna gidip ip konfigrasyonunu yapacağız.
PacketFence Sunucusu Password Bilgileri
Management (Console/SSH)
Login: root
Password: p@ck3tf3nc3
ifconfig komutu ile sunucu üzerindeki interface leri görebiliriz.
Vcenter management olarak ayarladığımız eth0 a ip adresi veriyoruz.
ifconfig eth0 x.x.x.105 netmask 255.255.255.0
sudo route add default gw x.x.x.1 eth0
SSH Config.
PacketFence Başlangıç Konfigürasyonu
Başlagıçta management ip sinden ulaşım sağlıyoruz. X.X.X.105:1443 adresinden ulaşabilirsiniz.
Sonrasında ip verdiğimiz arayüzü seçerek type olarak management seçip save ediyoruz.
Eth1 arayüzünü “Up” moda getirip type olarak ”Other” seçip save ediyoruz.
Sonrasında New Vlan butonunu seçerek vlan eklemelerini yapıyoruz. Konfigürasyon tamamlandığınızda alttaki gibi görünecektir. Next Step seçip sonraki adıma geçiyoruz.
Timezone ve password gibi bilgileri girip devam ediyoruz.
Step 3 de Next Step diyerek ilerliyoruz.
Step 4 de bilgiler not ederek ilerlenir.
Kurulum adımları bitti. Start ederek giriş yapıyoruz.
PacketFence Dashboard ekranı bizi karşıladı. Sizin adımlarınızında sorunsuz ilerlediğini umut ediyorum.
Bundan sonraki bölümde domain makinasını 802.1x desteği ile Active Directory user ve computer doğrulaması yaparak packetfence ‘e register olmasını sağlayacağız.
İlgili anlatımı görmek için: 802.1x ve Active Directory Entegrasyon