Découverte d’un NAC OpenSource.
Aujourd’hui un petit article qui parlera de l’installation de PacketFence, un NAC OpenSource et gratuit permettant d’augmenter grandement la sécurité de son réseau ! Comme d’habitude, nous verrons ensemble ce qu’est un NAC, son utilité, et nous décrirons rapidement l’outil, puis nous passerons à son installation.
Sans plus attendre, allons-y !
I) NAC, NUC… kézako ?
Un NAC, pour Network Access Control, est un élément réseau regroupant diverses fonctionnalités permettant de protéger l’accès à son réseau, que ce soit filaire ou wi-fi. A la différence d’un serveur Radius unique par exemple, il permet d’aller plus loin en permettant du profiling notamment (voir plus), de sorte que :
- Si l’OS de la machine est de type X, la placer dans le VLAN X ;
- Si la base virale de la machine est dépassée, la placer dans le VLAN Y ;
- L’on peut vérifier en temps réel les différentes machines autorisées ou non sur chaque portion de réseau ;
- L’on peut créer un portail captif avec authentification par SMS, OpenLDAP, ActiveDirectory, et plus encore ;
- Si la machine n’a pas le couple MAC Adress/Certificat TLS requis, celle-ci est bloquée ou placer dans un VLAN X (assignation dynamique de VLANs, comme pour RADIUS) ;
- L’on peut l’utiliser en tant qu’IDS, voir le coupler avec un IPS en lui faisant remonter divers logs ;
- . . .
A ne pas confondre avec un NUC donc, qui n’est rien d’autre qu’un PC small-factor de chez Intel.
II) PacketFence, le NAC OpenSource
PacketFence est un des NAC OpenSource les plus utilisés. Il est très souvent mis à jour, fiable, et stable (sorti aux alentours de 2009) et regorge de fonctionnalités et ait doté d’un grand support de fabricants (Ubiquiti, Cisco, HP, et plus encore). Il permet d’être utilisé comme serveur RADIUS, comme IDS, comme Portail Captif, et beaucoup d’autres services encore…
III) Installation
Concernant l’installation, trois choix majeurs s’offrent à vous :
- Vous pouvez utiliser le template OVF fourni directement ;
- Vous pouvez installer PacketFence directement sur une Debian/RedHat ;
- Vous pouvez utiliser l’ISO Debian qui va se charger de tout vous installer ;
J’ai personnellement opté pour la troisième solution, donc allons-y !
Après avoir booté sur l’ISO, on peut démarrer l’installateur qui se charge illico d’installer les différentes dépendances, et en quelques secondes on nous demande de renseigner le nom d’hôte de notre VM :
On renseigne ce que l’on souhaite, et ensuite on renseigne notre domaine.
On renseigne ensuite le mot de passe root, et ici attention car comme vous l’aurez sûrement remarqué en tapant le hostname, le clavier par défaut est en qwerty !
Et c’est tout ! L’installation se termine tranquillement d’elle-même :
Une fois l’installation terminée, vos différentes interfaces sont en théorie en DHCP, ici j’en ai deux, une qui servira de management, et l’autre pour tout ce qui est services. Le root login est disponible par défaut en SSH (à modifier avant mise en production !), mais cela nous permet de rapidement setup une IP statique. Nous aurons donc ceci :
- Management : 192.168.0.100/24 ;
- Services : 192.168.10.50/24 ;
En nous rendant donc sur notre interface de management, sur le port 1443 nous obtenons notre interface web :
Comme on peut le voir ici, l’interface de management sera eth0, on peut éventuellement cliquer sur le wizard Détecter l’interface Management, et éventuellement d’ores et déjà configurer notre seconde interface mais je préfère réaliser cela une fois la configuration initiale terminée, histoire d’éviter d’éventuels soucis.
On clique donc sur Étape suivante !
Ici on re-renseigne le domaine ainsi que le nom d’hôte de la machine, puis le fuseau horaire, on peut éventuellement utiliser le service tracking-config qui –à première vue– permet de garder une trace des changements effectués sur la configuration, puis on peut configurer tout ce qui est SMTP pour l’envoi de mail, et enfin renseigner un mot de passe administrateur. Concernant la partie base de données, les mots de passe sont générés aléatoirement.
Une fois validé, et après avoir bien sauvegardé les passwords par défaut, on peut éventuellement renseigner un proxy ainsi qu’une clé d’API :
Et heureuse surprise pour ceux qui n’ont pas sauvegardé le password par défaut (on vous voit), on a droit à un petit résumé avec les mots de passes utilisés :
On clique ensuite sur Démarrer PacketFence, et le tour est joué !
Et tadaaaa, après s’être connecté sur notre jolie interface web, on peut commencer à s’amuser !
Et c’est ici que ça devient intéressant ! Place au RADIUS, aux VLANs, aux scans IDS et plus encore !
Sauf que nous en resterons là pour le moment… j’ai de nouveau une période assez (sur)chargée ces derniers temps, preuve en est avec mon dernier article datant d’un mois, mais sachez que plusieurs articles sur PacketFence arrivent, c’est promis ! :p
Sur ce, j’espère au minimum avoir su attisé votre curiosité pour ce soft qui s’annonce vraiment pratique, et au mieux vous avoir aidé pour son installation, même si celle-ci n’est clairement pas des plus complexes.
Une bonne journée/soirée à vous !
Merci pour cet article, je suis impatient de lire la suite. Je recherche une solution de contrôlerur wiifi pour plusieurs ap , est ce bien l application adaptée ou est elle surdimensionnée pour ce seul usage ?
Hello Laurente, cela dépend un peu ce que tu entends par “contrôleur pour APs”… que souhaites-tu faire au juste ? Pouvoir les manager à distance, dans le sens les mettre à jour, pusher de nouveaux SSIDs, etc ?
merci pour ce tutoriel. je suis aussi entrain d’insataller packetfence mais je suis bloqué au niveau de l’étape 2, parce que je n’ai aucune une information sur les renseignements demandés
Hello Camille,
Par renseignements qu’entends-tu ? Tu parles des infos concernant la base de données ? Normalement tout se fait (presque) automatiquement.
salut M Anthony,
en fait arrivé à l’étape 2 je dois mettre des informations pour la création de la base de données et c’est activé en mode configuration automatique donc ils vont m’en créer une dynamiquement avec mot de pase etc. Moi j’ai désactivé la configuration automatique pour paramétrer tout moi même mais tout ce que j’entre, le configurateur ne le valide pas, j’ai l’impression comme si je dois mettre quelque chose de créer auparavant mais je ne me retrouve pas. aidez-moi svp
Si ce n’est pas en mode automatique alors tu dois créer une base de données et lui donner l’adresse IP/FQDN, les identifiants, le port etc.
je dois alors créer la base auparavant, si oui comment ? je travaille sur debian 11
Le mieux serait d’en discuter par mail, ce serait le plus simple. Mais sinon j’ai rédigé un article sur l’installation d’un site wordpress, où j’explique en quelques commandes comment créer une base de données sous Debian justement : https://notamax.be/nginx-installation-de-wordpress/
A quand la suite de l’article et en particulier sur les rules de filtrage, enregistrent des devices connus, guest, IOT … et la gestion des différents VLANs ?
Salut Laurent,
Comme tu as pu le voir cela fait presque 4 mois que je n’ai rien publié sur mon blog, pour diverses raisons persos/pros. Je vais essayer de m’y remettre doucement !
Il n’y as pas beaucoup d’articles sur PaketFence alors que c’est un NAC qui ouvre beaucoup de possibilités de sécurité … mais reste un ensemble de solutions pas toujours faciles à mettre en place et/ou comprendre, comment le tout est agencé…. Bon courage à toi, dans tous les cas je pense que ce sera des articles consultés.
Bonjour Mairien
j’ai installé Packetfence en utilisant le template OVF sur VMWare Esxi 7.
Je ne vois aucune interface de management sur l’interface web de configuration.
je suis bloqué à la première étape .
stp j’ai besoin de ton aide
Étrange… ta VM est bien connectée à ton LAN ? Elle reçoit bien une adresse IP ? Que t’indique la console ?
bien sur ca recoit une adresse ip dans la meme plage que mon serveur esxi
Le mieux serait d’en parler par mail, mais normalement si tu te rends sur l’adresse IP en question et en HTTPS sur le port 1443, et tu devrais avoir la WebUI…
Bonjour Mairien,
J’accède au WebUI , ma préoccupation elle celle-ci:
Quand je me connecte à l’interface graphique de packetfence pour finir la configuration c’est à dire les 03 étapes indispensable, je ne vois aucune interface de management du packetfence, du coup je ne peux pas passer a l’étape 2 car je bloque à l’étape 1.
mon mail est le suivant: patrickmisinhoun@yahoo0.fr
Bonsoir Mairien, j’ai pu installer PF en bare metal. JE bloque sur la suite. comment cela fonctionne il n’y a pas assez de tuto dessus. je souhaite mettre en place une authentification avec AD sur un portail captif.
Hello Mazbak,
Je n’ai pas encore réalisé de tuto à ce sujet, peut être que ce sera l’objet d’un prochain article, même si ces derniers mois j’avoue que j’ai pas mal délaissé ce blog…
Si tu souhaites on peut en parler par mail !