Ngăn chặn truy cập mạng trái phép với PacketFence

PacketFence - hệ thống điều khiển truy cập mạng (NAC) mã nguồn mở - là ứng dụng được đánh giá cao hơn các ứng dụng khác bởi hệ thống đăng ký. Hệ thống đăng ký trong PacketFence khiến cho hệ thống này là một giải pháp hoàn toàn cho rất nhiều hoàn cảnh khác nhau: các tập đoàn, tiệm cà phê, cơ quan, doanh nghiệp và mạng không dây.
Nội dung trích xuất từ tài liệu:
Ngăn chặn truy cập mạng trái phép với PacketFenceNgăn chặn truy cập mạng trái phép với PacketFenceNguồn:quantrimang.comPacketFence - hệ thống điều khiển truy cập mạng (NAC) mã nguồn mở - làứng dụng được đánh giá cao hơn các ứng dụng khác bởi hệ thống đăngký. Hệ thống đăng ký trong PacketFence khiến cho hệ thống này là một giảipháp hoàn toàn cho rất nhiều hoàn cảnh khác nhau: các tập đoàn, tiệm càphê, cơ quan, doanh nghiệp và mạng không dây.Khi hệ thống đăng ký PacketFence được thiết lập đúng chỗ, thì các máy tínhtrong mạng muốn truy cập ra ngoài sẽ phải đăng ký. Nếu không đăng ký thì máytính đó sẽ bị khóa.Hệ thống đăng ký PacketFence hoạt động như thế nàoHệ thống đăng ký PacketFence tương tự như các hệ thống bản quyền khác (vídụ như Bluesocket, NoCatAuth). Thẩm định quyền người dùng dựa trên sựchứng thực HTTP thông qua SSL. Bất kỳ mô hình được HTTP chấp nhận đều cóthể quản lý chứng thực đó (ví dụ LDAP, nội bộ, RADIUS). Trong bài này chúngtôi sẽ giới thiệu mô hình đơn giản nhất- nội bộ - bởi vì mô hình này yêu cầu ítthiết lập.Bạn sẽ thực hiện quá trình thiết lập đăng ký với PacketFence trên cài đặt UbuntuServer 6.06. Trong thế giới nguồn mở khổng lồ thì một trong những lợi ích khi sửdụng phần mềm này là nó không đòi hỏi nhiều cấu hình. Thật ra, tôi đang sửdụng hệ thống được thiết lập trên một bộ xử lý AMD 2075 MHz với 512 MB RAMbộ nhớ. Cấu hình như vậy là trung bình so với các chuẩn ngày nay . Máy tínhcũng không được kiểm tra, do vậy truy nhập SSH sẽ được yêu cầu.Một vài thay đổi để bắt đầuCó một số thay đổi mà bạn cần quan tâm tới; Những sự thay đổi này sẽ khôngkhác nhiều so với cài đặt gốc. Hãy chắc chắn rằng bạn đang có các mô đun sausử dụng CPAN. Trước tiên, là người dùng gốc, nhập lệnh cpan -e để đưa bạn tớidòng lệnh CPAN. Bây giờ chạy các lệnh sau đây:install Date::Parseinstall IPTables::IPv4install Term::ReadKeyinstall IO::Socket::SSLinstall Net::Telnetinstall Net::Nessus::Clientinstall Net::Nessus::Messageinstall Net::Nessus::ScanLiteTrường hợp bạn đã cài đặt các bước như trên thì sẽ nhận được thông báo XXXis already up to date trong đó XXX là tên mô đun.Thêm dòng vào tập tin /usr/local/pf/conf/pf.conf để kích hoạt SNORT. Bây giờhãy chạy lệnh which snort. Lệnh này cho biết Snort của bạn sẽ hoạt độngnhư thế nào. Lệnh này cũng sẽ được đặt tại /usr/sbin/snort. Thêm dòng lệnhsau: snort = /usr/sbin/snort ở phía dưới đoạn [services].Cấu hình cuối cùng đó là kiểm tra tập tin php.ini. Trong quá trình cài đặt, tập tinđược đặt ở vị trí thư mục /etc/php5/apache2/. Tìm tới dòng lệnh 522 và chắcchắn tìm thấy:allow_url_fopen = OnNếu không thấy lệnh trên hoặc lệnh đó đang có giá trị Off, hãy thay đổi lại giá trịthành On.Bạn cũng cần thay đổi giờ chuẩn. Thông tin về giờ chuẩn có thể tìm thấy tạidòng 574 như sau:date.timezone =Bạn cần thêm giờ chuẩn. Ví dụ như America/Louisville.Cài đặt Bind là bước cuối cùng bạn cần thực hiện. Để làm được điều này, hãyđưa vào lệnh (người dùng gốc hoặc sử dụng sudo) apt-get install bind.Với những thay đổi trên, bạn đã sẵn sàng để đăng ký.Thiết lập chứng thựcBạn sẽ dùng quá trình chứng thực local. Có nghĩa là htpasswd sẽ được tậndụng để nắm bắt các những việc làm không đúng. Trước khi bắt đầu quá trình,hãy xem lại thư mục /usr/local/pf/conf/templates. Trong thư mục này bạn sẽthấy một tập tin có tên local.conf. Nội dung tập tin đó như sau: AuthUserFile /usr/local/pf/conf/user.conf AuthGroupFile /dev/null AuthName Local AuthType Basic require valid-userBạn cần quan tâm tới dòng AuthUserFile /usr/local/pf/conf/user.conf khi tạotập tin mật khẩu với htpasswd. Dòng lệnh này thường không được thiết lập sẵndo vậy bạn hãy thiết lập nó như ví dụ ở trên. user.conf sẽ là tập tin được tạo bởihtpasswd.Chứng thực nội bộ tức là mọi thành viên phải tạo cho mình một tên đăng nhậpvà mật khẩu. Nhưng với những công ty lớn có nhiều nhân viên thì thực hiện điềunày sẽ mất rất nhiều thời gian, do đó hãy sử dụng loại chứng thực khác áp dụngđối với các công ty lớn. Để đơn giản ta sử dụng loại chứng thực nội bộ.Đầu tiên bạn chạy lệnh htpasswd dùng kí hiệu -c để tạo tập tin. Do đó lệnh đầutiên sẽ là:htpasswd -c /usr/local/pf/conf/user.conf USERNAMETrong đó USERNAME là tên người dùng đầu tiên. Đưa ra lệnh này, bạn sẽ đượcnhắc hai lần về mật khẩu người dùng. Đây sẽ là sự kết hợp giữa tên truy cập vàmật khẩu mà người dùng sử dụng khi đăng ký PacketFence. Giờ đây bạn sẽphải tạo tất cả tên đăng nhập và mật khẩu cho mỗi người dùng. Lần tiếp theo khibạn thực hiện lệnh, sẽ không có kí hiệu c- nữa bởi tập tin đã được tạo. Vì thếlệnh còn lại như sau:htpasswd /usr/local/pf/conf/user.conf USERNAMEVậy là bạn đã cấu hình xong PacketFence.Chạy lại tập lệnh configurator.plChúng ta đã cài đặt PacketFence bằng việc chạy tập lệnh configurator.pl ởchế độ thử nghiệm. Bây giờ bạn sẽ chạy tập lệnh configuator.pl trong môitrường đăng ký. Tìm tới thư mục /usr/l ...