packetfence administration guide-pt br-3.1.0

8/16/2019 PacketFence Administration Guide-pt BR-3.1.0

1/97

PacketFence – versão 3.1.0

Guia de Administração


2/97

Copyright © 2008-2011 Inverse inc. (http://inverse.ca)

É dada permisso para copiar! distri"#ir e/o# modi$car este doc#mento so" os termos da %&'ree oc#mentation *icense! +erso 1.2 o# ,#a,#er verso posterior p#"icada pea reeotare o#ndation sem e3es Invariantes! sem 4e5tos de Capa ronta! e sem 4e5tos de Capado +erso. 'ma c6pia da icena est7 inc#da na seo intit#ado 9%&' ree oc#mentation*icense.

+erso ;.1.0 < e=em"ro 2011

http://inverse.ca/http://inverse.ca/http://inverse.ca/


3/97

Sumário

Capítulo 1 Sobre este Guia ................................................................................................................... 6

>#tras ontes de inormao ......................................................................................?

Capítulo 2 Introdução ............................................................................................................................7

Caractersticas ........................................................................................................... @

Integrao de Aede ..................................................................................................10

Componentes .......................................................................................................... 11

Capítulo 3 Requisitos de Sistema ......................................................................................................12

#posi3es .............................................................................................................. 12

Ae,#isitos mnimos de hardare ............................................................................. 1;

Ae,#isitos do sistema operaciona ........................................................................... 1B

Capítulo 4 Instalação ........................................................................................................................... 1

Instaao do istema >peraciona .......................................................................... 1

onoad de sotare ............................................................................................ 1@Instaao de otare .............................................................................................1@

Capítulo Con!"uração ......................................................................................................................1#

Drimeiro Dasso .........................................................................................................18

Interace de Edministrao "aseada na Fe" ............................................................ 18

Er,#ivo de con$g#rao go"a (p.con) ................................................................. 1G

Con$g#rao do Epache ......................................................................................... 1G

H*in#5 .................................................................................................................. 20

E#tenticao (ar,#ivo simpes! *ED/E! AEI') .................................................20

e$nio dos dispositivos da Aede (sitches.con) .................................................. 21

Etri"#io da +*E& padro ..................................................................................... 2B

Con$g#rao da apicao Inine ............................................................................ 2B

Con$g#rao CD e ervidor & (netorJs.con) ...............................................2

Ecesso K Drod#o CD ....................................................................................... 2?


4/97

Aedes Aoteadas ....................................................................................................... 2G

Con$g#rao do reeAEI' ................................................................................. ;1

Iniciando os ervios DacJetence ........................................................................... ;

Er,#ivos de *og ...................................................................................................... ;

Capítulo 6 Con!"uração por e$emplo .............................................................................................. 37#posi3es .............................................................................................................. ;@

Interaces de Aede ................................................................................................... ;8

Con$g#rao de itch ...........................................................................................;G

sitches.con ......................................................................................................... B0

p.con ................................................................................................................... B1

netorJs.con .........................................................................................................B2

etahes da apicao Inine ................................................................................... B;

Capítulo 7 Componentes %p&ionais ................................................................................................. 44

Lo,#eando atividades maiciosas com vioa3es .................................................... BB

#"misso de +arred#ra (&ess#s) .............................................................................B8

>inJmaster ............................................................................................................ 0

ispositivos de Aede #t#ante ................................................................................ 1

%erMncia de Convidado ...........................................................................................;

ecarao de aNde (o) ..................................................................................... ?

Der$ Eppe de provisionamento sem $o .................................................................. 8

*imite de traps &OD .............................................................................................. G

Capítulo # 'el(ores )r*ti&as do Sistema opera&ional ...................................................................6+

Ipta"es .................................................................................................................. ?0

Aota3es de *og ...................................................................................................... ?0

Eta isponi"iidade ............................................................................................... ?1

Capítulo , %timi-ação de desempen(o ............................................................................................6,

>timi=a3es no OyP* .......................................................................................... ?G

>timi=a3es no Captive Dorta .................................................................................@;

Capítulo 1+ )er"untas req/entes .......................................................................................................74

Capítulo 11 Introdução t0&ni&a apli&ação de 5 .....................................................................7

Introd#o .............................................................................................................. @

Oais so"re &OD traps e isoamento de +*E& ........................................................ @@


5/97

Capítulo 12 Introdução t0&ni&a apli&ação Inline ............................................................................7,

Introd#o .............................................................................................................. @G

Con$g#rao de dispositivo .....................................................................................@G

Controe de Ecesso ..................................................................................................@G

*imita3es ............................................................................................................... @G

Capítulo 13 pndi&e erramentas de dministração ............................................................... #1

pcmd .................................................................................................................... 81

pcmdQvan ............................................................................................................ 82

Fe" Edmin %'I .................................................................................................... 8B

Capítulo 14 pndi&e 8 'anual de Con!"uração do reeR9I:S 2 ........................................ #

Capítulo 1 pndi&e C Con!"uração le"ada do reeR9I:S 1.$ ................. ................... .........##

Capítulo 16 In;ormaç


6/97

Capt#o 1

1 Sobre este Guia

Hste g#ia ir7 cond#=i-o atravRs da instaao e do dia a dia de administrao da so#oDacJetence.

Es instr#3es so "aseadas na verso ;.1.0 do DacJetence

E Ntima verso deste g#ia est7 disponve em http://.pacJetence.org/doc#mentation/

Outras fontes de informação

%#ia de Con$g#rao de ispositivos de Aede - itch! controadores e con$g#rao deEccess Doints.

%#ia do esenvovedor < Dersonai=ao do Captive Dorta! +*E& personai=ao de gerMncia einstr#3es para s#portar novo hardare.

Dara #ma ista de m#danas not7veis desde a Ntima verso ver o ar,#ivo NEWS.

Dara #ma ista de atera3es reacionadas com a compati"iidade e notas so"re a at#ai=ao

ver o ar,#ivo UPGRADE.Dara mais detahes e m#danas visveis no desenvovimento ver o ar,#ivo ChangeLog.

Hsses ar,#ivos esto inc#dos no pacote e tar"as de anamento

© 2008-2011 Inverse inc. o"re este %#ia ?

http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/


7/97

Capt#o 2

2 ntrodução

DacJetence R totamente s#portado! con$7ve! grat#ito e #m sistema >pen o#rce de Controede Ecesso K Aede (&EC). Imp#sionar #m conS#nto de caractersticas impressionantes!inc#indo #m Captive Dorta para registro e re-mediao! gerenciamento centrai=ado com $o esem-$o! s#porte 802.15! isoamento de dispositivos pro"em7ticos na camada 2! integraocom o I nort e do scanner de v#nera"iidade &ess#s DacJetence pode ser #sadoeetivamente para redes seg#ras - de pe,#ena a grandes redes heterogMneas.

!aracter"sticas

❏ ora de "anda (e5ec#o de +*E&)

DacJetence R competamente #ma operao ora de "anda ,#e permite a so#o! aescaa geogr7$ca e ser mais resistente Ks ahas.

❏ Hm Landa (Epicao Inine)

DacJetence pode tam"Rm ser con$g#rado para ser em "anda! especiamente ,#ando

o #s#7rio tem sitches no gerenci7veis o# pontos de acesso. DacJetence tam"Rmtra"aha tanto com K +*E& e apicao Inine ativada para a m75ima escaa"iidade eseg#rana ,#ando permite ao hardare mais antigos ainda serem hardares a seremseg#ra #tii=ando a apicao Inine.

❏ #porte a +o= so"re ID (+oID).

4am"Rm chamado de 4eeonia ID (ID4)! +oID R totamente s#portada (mesmo emam"ientes heterogMneos) para mNtipos ornecedores de sitch (Cisco! Hdge-Core! D!*inJys! &orte &etorJs e m#ito mais).

❏

802.1T802.1T sem $o e com $o R s#portado atravRs de #m m6d#o reeAEI'.

❏ Integrao Fireess

DacJetence integra pereitamente com redes sem $o atravRs de #m m6d#oreeAEI'. Isso permite ao #s#7rio proteger s#as redes sem $o e com $o da mesma

© 2008-2011 Inverse inc. Introd#o @

http://freeradius.org/http://freeradius.org/http://freeradius.org/http://freeradius.org/http://freeradius.org/http://freeradius.org/


8/97

Capt#o 2

orma #sando o "anco de dados de #s#7rio e #sando o mesmo no Captive Dorta!proporcionando #ma e5periMncia consistente. Oist#ra de ornecedores de pontos deacesso (ED) e controadores sem $o R s#portado.

❏ AegistroDacJetence s#porta #m mecanismo de registro opciona semehante as so#3es de

Captive Dorta. Eo contr7rio do ,#e so#3es captive porta! o DacJetence em"ra #s#7riospreviamente cadastrados e a#tomaticamente dar-hes acesso sem o#tra a#tenticao.Caro! isso R con$g#r7ve. 'ma Dotica de 'tii=ao aceit7ve pode ser especi$cada deta orma ,#e os #s#7rios no podem permitir o acesso K rede sem antes aceit7-o.

❏ eteco de atividades anorma de rede.

Etividades anorma de rede (vr#s de comp#tador! orms! spyare! tr7ego negadopor poticas esta"eecidas! etc.) podem ser detectadas #sando sensores nort ocais eremotos. ERm de deteco simpes! DacJetence poss#i s#a pr6pria camada de aerta e

mecanismo de represso em cada tipo de aerta. 'm conS#nto de a3es con$g#r7veis paracada vioao est7 disponve para administradores.

❏ +arred#ra de v#nera"iidade Dr6-Etiva

&ess#s varred#ras de v#nera"iidade podem ser e5ec#tadas no momento do registro!programado o# n#ma "ase ad-hoc. DacJetence correaciona a v#nera"iidade &ess#s Ide cada varred#ra na con$g#rao de vioao! retornando p7ginas e" de conteNdoespec$co so"re o ,#a a v#nera"iidade do host pode ter.

❏ Isoamento de dispositivos pro"em7ticos

DacJetence s#porta v7rias tRcnicas de isoamento! inc#indo isoamento de +*E&com s#porte +oID (mesmo em am"ientes heterogMneos) para mNtipos ornecedores desitches.

❏ Ae-mediao atravRs de #m Captive Dorta

'ma ve= preso! todo o tr7ego da rede R $nai=ado peo sistema DacJetence. Com"ase no estado at#a do n6 (no registrado! vioao! etc) o #s#7rio R redirecionado para a'A* apropriada. &o caso de #ma vioao! o #s#7rio ser7 apresentado com Ks instr#3espara a sit#ao em partic#ar dee/dea! red#=indo a interveno do servio de aS#da.

❏ *inha de comando e gerenciamento "aseado na Fe"

Interaces "aseada na Fe" e inha de comando para todas as tareas degerenciamento.

❏ Ecesso a +isitantes

© 2008-2011 Inverse inc. Introd#o 8

http://www.snort.org/http://www.nessus.org/nessus/http://www.snort.org/http://www.nessus.org/nessus/


9/97

Capt#o 2

DacJetence s#porta #ma +*E& especia para convidado ora da cai5a. Con$g#rar s#arede para ,#e a +*E& de convidado s6 vai para a Internet! a +*E& de registro e captiveporta so os componentes #sados para e5picar aos convidados como registrar para oacesso e como #nciona o se# acesso. Isso R geramente marcado pea organi=ao ,#eoerece o acesso. +7rios meios de registro de convidado so possveis. DacJetence

tam"Rm s#porta acesso de convidado por cria3es e importa3es.

DacJetence R desenvovido por #ma com#nidade de desenvovedores ocai=adosprincipamente na EmRrica do &orte. Oais inorma3es podem ser encontradas emhttp://.pacJetence.org

© 2008-2011 Inverse inc. Introd#o G

http://www.packetfence.org/http://www.packetfence.org/


10/97

Capt#o 2

nte#ração de $ede

E apicao da +*E& R demonstrado na $g#ra do diagrama acima. E apicao Inine deve serconsiderada como #ma rede simpes onde o DacJetence at#a como #m $rea / gateay.



11/97

Capt#o 2

!om%onentes



12/97

Capt#o ;

3 $e&uisitos de Sistema

Su%osiç'es

DacJetence re#tii=a m#itos componentes em #ma inraestr#t#ra. Essim! e5ige o seg#inte:

❏ ervidor de Lanco de ados (OyP*)

❏ ervidor Fe" (Epache)

ependendo da con$g#rao! o #s#7rio pode ter de instaar componentes adicionais como:

❏ ervidor CD (IC CD)

❏ ervidor & (LI&)

❏ ervidor AEI' (reeAEI')

❏ &I (nort)

&este g#ia! partimos do princpio de ,#e todos os componentes esto em e5ec#o no mesmoservidor (e5.! Ulocalhost o# U127.0.0.1) ,#e o DacJetence ser7 instaado.

'ma "oa compreenso da,#ees componentes e %&'/*in#5 R necess7ria para instaar oDacJetence. e o #s#7rio atar ag#ns desses componentes necess7rios! por avor! cons#te adoc#mentao apropriada e prossiga com a instaao destes re,#isitos antes de contin#ar comeste g#ia.

E ta"ea! a seg#ir! ornece recomenda3es para os componentes necess7rios! S#nto comnNmeros de verso:

ervidor OyP* OyP* B.1 o# .1

ervidor Fe" Epache 2.2ervidor CD CD ;

ervidor & LI& G

ervidor AEI' reeAEI' 2

nort nort 2.8 o# 2.G

+ers3es mais recentes dos sotares mencionados acima tam"Rm podem ser #sadas.

© 2008-2011 Inverse inc. Ae,#isitos de istema 12


13/97

Capt#o ;

$e&uisitos m"nimos de (ard)are

E ta"ea! a seg#ir! ornece recomenda3es para o ervidor e esJtops:

ervidor ◾ Inte o# EO CD' ; %=◾ 20B8 OL de AEO◾ 20 %L de espao em disco (AEI 1 recomendado)◾ 1 Daca de rede

■ V 1 para ata disponi"iidade■ V 1 para deteco de intr#so

© 2008-2011 Inverse inc. Ae,#isitos de istema 1;


14/97

Capt#o ;

$e&uisitos do sistema o%eraciona*

DacJetence s#porta os seg#intes sistemas operacionais nas ar,#itet#ras i;8? o# 58?Q?B:❏ Aed at Hnterprise *in#5 .5/?.5 erver

❏ Comm#nity H&4erprise >perating ystem (Cent>) .5/?.5

Certi$,#e-se de ,#e o #s#7rio pode instaar pacotes adicionais a partir de s#a distri"#iopadro. Dor e5empo! se o #s#7rio estiver #sando o Aed at Hnterprise *in#5! o #s#7rio tem deser inscrito no Aed at &etorJ antes de contin#ar com a instaao do sotare DacJetence.

>#tras distri"#i3es! tais como! e"ian! edora e %entoo! so conhecidas para tra"ahar! maseste doc#mento no ir7 co"ri-as.

Serviços de nicia*i+ação

DacJetence c#ida do #ncionamento e operao dos seg#intes servios:

❏ ervidor Fe" (httpd)

❏ ervidor CD (dhcpd)

❏ ervidor & (named)

❏ ervidor reeAEI' (radi#sd)

❏ nort &etorJ I (snort)

❏ irea (ipta"es)

Certi$,#e-se de ,#e todos os o#tros servios so a#tomaticamente iniciados peo se# sistemaoperaciona

© 2008-2011 Inverse inc. Ae,#isitos de istema 1B


15/97

Capt#o B

, nsta*ação

Hsta seo ir7 g#i7-o atravRs da instaao do DacJetence S#ntamente com s#as dependMncias.

nsta*ação do Sistema O%eraciona*

Instaar s#a distri"#io com a instaao mnima e nenh#m pacote adiciona. Hnto:

❏ Etive o irea

❏ esative o H*in#5

Certi$,#e-se de ,#e se# sistema est7 at#ai=ado e se# "anco de dados est7 at#ai=ado:

yum u!ate

$-/ . !entOS .

Eg#mas dependMncias do DacJetence esto disponveis atravRs do reposit6rio Aepoorge(http://repoorge.org/ ) ento o #s#7rio precisa con$g#rar o W'O para #s7-o.

Hm seg#ida! instae a Ntima verso do pacote ADOorge para s#a ar,#itet#ra(http://pJgs.repoorge.org/rpmorge-reease/ ): Dor e5empo (i;8?):

"get htt#$$%gs.&eo'o&ge.o&g$&m'o&ge(&elease$&m'o&ge(&elease(0.).2(

2.el).&'.*+,-.&m&m (* &m'o&ge(&elease(0.).2(2.el).&'.*+,-.&m

esa"iitar o reposit6rio por padro. &o ar,#ivo /etc/y#m.repos.d/rpmorge.repo! atere so" a

seo rpmorge para 0:

enale! / 0

Hnto instae o reposit6rio HDH* (http://edoraproSect.org/iJi/HDH*/EP). a=er assim!simpesmente peg#e o Ntimo rpm HDH* (verso .B no momento deste anamento)! e instae-

© 2008-2011 Inverse inc. Instaao 1

http://repoforge.org/http://repoforge.org/http://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://fedoraproject.org/wiki/EPEL/FAQhttp://fedoraproject.org/wiki/EPEL/FAQhttp://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://fedoraproject.org/wiki/EPEL/FAQ


16/97

Capt#o B

o :

"get htt#$$!o"nloa!.'e!o&a&oect.o&g$u$eel$)$*+,-$eel(&elease()(

.noa&ch.&m

&m (* eel(&elease()(.noa&ch.&m

$-/ . !entOS .

Eg#mas dependMncias do DacJetence esto disponveis atravRs do reposit6rio Aepoorge(http://repoorge.org/ ) ento o #s#7rio precisa con$g#rar o W'O para #s7-o.

Hm seg#ida! instae a Ntima verso do pacote ADOorge para s#a ar,#itet#ra(http://pJgs.repoorge.org/rpmorge-reease/ ): Dor e5empo (58?Q?B):

"get htt#$$%gs.&eo'o&ge.o&g$&m'o&ge(&elease$&m'o&ge(&elease(0.).2(2.el-.&'.,-3-.&m

&m (* &m'o&ge(&elease(0.).2(2.el-.&'.,-3-.&m

esa"iitar este reposit6rio por padro. &o ar,#ivo /etc/y#m.repos.d/rpmorge.repo! atere so" aseo rpmorge para 0:

enale! / 0

Hnto instae o reposit6rio HDH* (http://edoraproSect.org/iJi/HDH*/EP). a=er assim!simpesmente peg#e o Ntimo rpm HDH* (verso ?. no momento deste anamento)! e instae-

o :

"get htt#$$!o"nloa!.'e!o&a&oect.o&g$u$eel$-$*+,-$eel(&elease(-().noa&ch.&m

&m (* eel(&elease(-().noa&ch.&m

$-/ .

's#7rios Aedat Hnterprise *in#5 necessitam de #m passo adiciona na con$g#rao. e o#s#7rio no estiver #sando o %erenciamento de Essinat#ra A& da Aedat! o #s#7rio precisa

ha"iitar o o cana opciona e5ec#tando o seg#inte como root:

&hn(channel ((a!! 4channel/&hel(5uname (m5(se&6e&(ot*onal(-

Aedat parece no ornecer #m pacote e&l(Net(elnet. DacJetence precisa dee por isso!n6s vamos instaa-o do reposit6rio &m'o&ge(et&as agora:

© 2008-2011 Inverse inc. Instaao 1?

http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://repoforge.org/http://repoforge.org/http://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://fedoraproject.org/wiki/EPEL/FAQhttp://fedoraproject.org/wiki/EPEL/FAQhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://fedoraproject.org/wiki/EPEL/FAQhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpm


17/97

Capt#o B

yum *nstall e&l(Net(elnet ((enale&eo/&m'o&ge(et&as

© 2008-2011 Inverse inc. Instaao 1@


18/97

Capt#o B

4o)n*oad de soft)are

Comeando com 1.8.! DacJetence! agora R ornecido como #m reposit6rio ADO para AH* /Cent> em ve= de #m ar,#ivo ADO Nnico.

Hste reposit6rio contRm todas as dependMncias necess7rias para instaar o DacJetence. Istoproporciona inNmeras vantagens:

❏ Instaao m#ito 7ci

❏ 4#do R empacotado como ADO (sem pro"emas CDE&)

❏ Et#ai=ao 7ci

nsta*ação de Soft)are

Dara #sar o reposit6rio! "asta criar #m ar,#ivo chamado$etc$yum.&eos.!$Pac%et8ence.&eo com o seg#inte conteNdo:

XDacJetenceYnameZDacJetence Aepository"ase#rZhtt#$$*n6e&se.ca$!o"nloa!s$Pac%et8ence$R9EL:&elease6e&$:asea&chgpgchecJZ0ena"edZ0

'ma ve= de$nido o reposit6rio! o #s#7rio pode instaar o DacJetence com todas asdependMncias necess7rias aos servios (&! servidor de "anco de dados! servidor CD!servidor AEI') #sando:

yum g&ou*nstall ((enale&eo/Pac%et8ence;&m'o&ge Pac%et'ence(comlete

>#! se preerir! para instaar somente o nNceo do DacJetence sem todos os servios e5ternos!o #s#7rio pode #sar:

yum *nstall ((enale&eo/Pac%et8ence;&m'o&ge ac%et'ence

'ma ve= instaado! e5ec#te o instaador e siga as instr#3es:

$us&$local$'$*nstalle&.l

'ma ve= competado! o DacJetence ser7 totamente instaado em se# servidor. Egora o #s#7rio

© 2008-2011 Inverse inc. Instaao 18


19/97

Capt#o B

est7 pronto para con$g#r7-o.

© 2008-2011 Inverse inc. Instaao 1G


20/97

Capt#o

!on5#uração

&esta seo! o #s#7rio aprender7 como con$g#rar o DacJetence. DacJetence #sar7 OyP*!Epache! IC CD! IC &! ipta"es e reeAEI' Como mencionado anteriormente!ass#mimos ,#e todos os componentes so e5ec#tados no mesmo servidor em ,#e oDacJetence est7 sendo instaado.

Primeiro Passo

E$m de comear corretamente a con$g#rao do DacJetence! recomendamos e5ec#tar oscript de con$g#rao ocai=ado em$us&$local$'$con'*gu&ato&.l. Hste script ir7 g#i7-oatravRs do processo de criao de #m ar,#ivo de con$g#rao de tra"aho do DacJetence ,#eseSa ade,#ado Ks s#as necessidades.

> script ir7 dar-he caminhos dierentes para a con$g#rao. ependendo do ,#e o #s#7rio,#er acanar! responda Ks perg#ntas ,#e he R apresentado. > script vai pedir mais ag#masinorma3es so"re s#a inraestr#t#ra de rede! como os servidores & e os servidores deendereos CD! etc.

4enha em mente ,#e a con$g#rao res#tante do DacJetence ser7 ocai=ado em$us&$local$'$con'$'.con' e $us&$local$'$con'$net"o&%s.con' e ee sempre podeser aS#stado man#amente depois.

nterface de 6dministração baseada na 7eb

DacJetence ornece #ma interace de administrao "aseada na e" para 7ci con$g#rao egerenciamento operaciona. E$m de acessar a interace! o #s#7rio precisa criar #ma contaadministrador e #ma de servios e".

> #s#7rio precisa criptograar a nova senha no ar,#ivo a!m*n.con' com o htass"!:

htass"! (! $us&$local$'$con'$a!m*n.con' a!m*n

Hm seg#ida! digite a nova senha d#as ve=es.

Hm seg#ida! novamente para e"service:

htass"! (! $us&$local$'$con'$a!m*n.con' "ese&6*ce

© 2008-2011 Inverse inc. Con$g#rao 20


21/97

Capt#o

Hm seg#ida! digite a nova senha d#as ve=es. 'se #ma senha orte. > #s#7rio n#nca ter7 ,#eentrar mais de #ma ve=.

'ma ve= ,#e o DacJetence R iniciado! a interace de administrao est7 disponve em: https://[hostname\ : 1BB; /

6r&uivo de con5#uração #*oba* 8%f.conf9

> ar,#ivo $us&$local$'$con'$'.con' contRm a con$g#rao gera do DacJetence. Dore5empo! este R o #gar onde inormamos ,#e o DacJetence tra"ahar7 no modo de isoamento+*E&.

4odos os par]metros padr3es e s#as descri3es so arma=enadas em$us&$local$'$con'$'.con'.!e'aults.

E $m de s#"stit#ir #m par]metro padro! de$na-o e aS#ste-o em '.con'.

$us&$local$'$con'$!ocumentat*on.con' contRm a ista competa de todos os par]metrosdisponveis.

4odos estes par]metros tam"Rm so acessveis atravRs da interace Fe" de Edministrao so" ag#ia Con$g#rao.

!a%tive Porta*

Dar]metros importantes a con$g#rar a respeito do captive porta so os seg#intes:

&e!*&ectu&l em =t&a*ng>

Dara ag#ns navegadores! R preerve redirecionar o #s#7rio para #ma 'A* espec$ca em ve=da 'A* ,#e o #s#7rio originamente pretendia visitar. Dara estes navegadores! a 'A* de$nidaem &e!*&ectU&l ser7 a Nnica na ,#a o #s#7rio ser7 redirecionado. &avegadores aetados soireo5 ; e ireo5 B.

net"o&%3!etect*on3* em =cat*6e3o&tal>

Hste ID R #sado como o servidor e" ,#e hospeda o common$net"o&%(access(!etect*on.g*' ,#e R #sado para detectar se o acesso K rede oi ativada. &o pode ser #mnome de domnio! #ma ve= ,#e R #sado em registro o# ,#arentena no ,#a o & R reSeitado.É recomendado ,#e o #s#7rio permita ,#e se#s #s#7rios cheg#em ao se# servidor DacJetencee coo,#e o ID da s#a *E& no DacJetence. Dor padro! nos aremos o e" site desteDacJetence chegar como #ma so#o mais 7ci e mais acessve.

!on5#uração do 6%ac(e

E con$g#rao do DacJetence para o Epache est7 ocai=ado em$us&$local$'$con'$htt!.con'.

Ep6s a instaao do DacJetence! #m ar,#ivo de con$g#rao padro R criado! ,#e Rade,#ado para a maioria das con$g#ra3es. * R ativado por padro para proteger o acesso.

e o #s#7rio #so# o script instaer.p! o #s#7rio deve ter certi$cados * a#to-assinados em



22/97

Capt#o

$us&$local$'$con'$ssl (erver.Jey e server.crt). Hstes certi$cados podem ser s#"stit#dos a,#a,#er momento peo se# terceiro o# certi$cado c#ringa e5istente sem pro"emas. Dor avor!note ,#e o C& (Common &ame) deve ser o mesmo ,#e o de$nido no ar,#ivo de con$g#raodo DacJetence (p.con).

S/inu

Oesmo ,#e essa caracterstica pode ser pretendida por ag#mas organi=a3es! o DacJetenceno ser7 e5ec#tado corretamente se o H*in#5 est7 de$nido para enorced. +ocM precisar7desativ7-o e5picitamente no ar,#ivo em $etc$sel*nu$con'*g.

6utenticação 8ar&uivo sim%*es: /46P64:

$64;S9

DacJetence pode a#tenticar os #s#7rios ,#e registram os dispositivos atravRs do porta captive#sando #m ar,#ivo simpes! #m servidor *ED (o# Ective irectory) o# #m servidor AEI'.

6r&uivo sim%*es

Dor padro! o DacJetence oha para $us&$local$'$con'$use&.con' para encontrar os#s#7rios a#tori=ados a registrar dispositivos. e o #s#7rio ,#iser #sar #m ar,#ivo dierente! edite$us&$local$'$con'$authent*cat*on$local.m e atere o seg#inte par]metro:

my :ass"!8*le / ?$us&$local$'$con'$use&.con'?@

> #s#7rio precisa criptograar a senha de cada #s#7rio com htpassd assim:

htass"! (! $us&$local$'$con'$use&.con' ne"use&

/46P 6ctive 4irector< 8649

Hdite $us&$local$'$con'$authent*cat*on$l!a.m e aa as atera3es necess7rias paraos seg#intes par]metros :

my :LDAPUse&ase / Bou/Peole;!c/!oma*n;!c/o&gB@

my :LDAPUse&ey / Bu*!B@

my :LDAPUse&Scoe / BoneB@

my :LDAP*n!DN / Bcn/l!ause&;!c/!oma*n;!c/o&gB@



23/97

Capt#o

my :LDAP*n!Pass"o&! / Bass"o&!B@

my :LDAPSe&6e& / B127.0.0.1B@

$64;S

Hdite $us&$local$'$con'$authent*cat*on$&a!*us.m e aa as atera3es necess7riaspara os seg#intes par]metros:

my :Ra!*usSe&6e& / ?localhost?@

my :Ra!*usSec&et / ?test*ng12+?@

Se*ecionando um =>todo de 6utenticação

Dara con$g#rar a a#tenticao de$na o =&eg*st&at*on>.auth em option$us&$local$'$con'$'.con':

auth/local;l!a;&a!*us

e mais de #m mRtodo so especi$cados! D ir7 e5i"ir #ma ista s#spensa para permitir aos#s#7rios seecionar o mRtodo de a#tenticao preerido.

> nome do mRtodo de a#tenticao e5i"ido no drop-don R controado pea vari7ve :nameno m6d#o de a#tenticao (ocai=ado em con'$authent*cat*on$). inta-se ivre paramodi$car os nomes K medida das necessidades da s#a organi=ao.

=>todo de 6utenticação Padrão

ORtodo de a#tenticao seecionado como o padro no porta captive no drop-don. EpenasNti se o #s#7rio tiver mais de #m mRtodo de a#tenticao (em registration.a#th).

4e5nição dos dis%ositivos da $ede 8s)itc(es.conf9

Hsta seo se apica apenas para a apicao da +*E&. 's#7rios paneSando a=er somente aapicao Inine pode p#ar esta seo.

DacJetence precisa sa"er ,#e sitches! access points o# controadores ,#e gerencia! se# tipo e

con $g#rao. 4odas essas inorma3es so arma=enadas em$us&$local$'$con'$s"*tches.con'. > #s#7rio pode modi$car a con$g#rao diretamenteno ar,#ivo s"*tches.con' o# o #s#7rio pode a=M-o no paine de Edministrao Fe" emCon$g#ration -\ itches.

Hstes ar,#ivos contRm #ma seo padro! inc#indo:

❏ *ista de +*E&s gerenciado peo DacJetence

© 2008-2011 Inverse inc. Con$g#rao 2;


24/97

Capt#o

❏ Dadro &OD de com#nidades de eit#ra/gravao para os sitches

❏ Oodo de tra"aho padro (veSa a nota so"re o modo de tra"aho a"ai5o)

e a seo sitch para cada sitch (gerenciado peo DacJetence)! inc#indo:

❏ itch ID

❏ itch ornecedor/tipo

❏ Dortas de sitch #pinJ (troncos e portas no gerenciadas)

❏ por sitch rede$nio de vans (se necess7rio)

=odos de traba*(o

H5istem trMs dierentes modos de tra"aho:

❏ 4estes: psetvan escreve nos ar,#ivos de og o ,#e aria normamente! mas no a=nada.

❏ Aegistro: psetvan a#tomaticamente registra todos os endereos OEC visto nas portasdo sitch. Como em modo de teste! nenh#ma aterao +*E& oi reai=ada.

❏ Drod#o: psetvan envia o &OD para escrever a m#dana de +*E& nas portas dositch.

S?=P v1: v2c e v3

DacJetence #sa &OD para com#nicar com a maioria dos sitches. Iniciando com 1.8! oDacJetence agora s#porta &OD v;. +ocM pode #sar &OD v; para com#nicao em am"as asdire3es: do sitch para o DacJetence e do DacJetence para o sitch.

De PacketFence para um switch

Hditar o ar,#ivo de con$g#rao sitch ($us&$local$'$con'$s"*tches.con') e de$nir osseg#intes par]metros:

SNPe&s*on / +

SNPUse&NameRea! / &ea!Use&

SNPAuthP&otocolRea! / D)

SNPAuthPass"o&!Rea! / auth"!&ea!

SNPP&*6P&otocolRea! / AES

SNPP&*6Pass"o&!Rea! / &*6"!&ea!

SNPUse&NameW&*te / "&*teUse&

SNPAuthP&otocolW&*te / D)

SNPAuthPass"o&!W&*te / auth"!"&*te

SNPP&*6P&otocolW&*te / AES

© 2008-2011 Inverse inc. Con$g#rao 2B


25/97

Capt#o

SNPP&*6Pass"o&!W&*te / &*6"!"&*te

De um switch para o PacketFenceHditar o ar,#ivo de con$g#rao sitch ($us&$local$'$con'$s"*tches.con') e de$nir osseg#intes par]metros:

SNPe&s*on&a / +

SNPUse&Name&a / &ea!Use&

SNPAuthP&otocol&a / D)

SNPAuthPass"o&!&a / auth"!&ea!

SNPP&*6P&otocol&a / AES

SNPP&*6Pass"o&!&a / &*6"!&ea!

Confguração do Switch

E,#i est7 #m e5empo de con$g#rao do sitch de orma a permitir &OD v; em am"as asdire3es em #m itch Cisco.

snm(se&6e& eng*neFD local AA)ED1+,1DA+2,D1,ACD1

snm(se&6e& g&ou &ea!G&ou 6+ &*6

snm(se&6e& g&ou "&*teG&ou 6+ &*6 &ea! 61!e'ault "&*te 61!e'ault

snm(se&6e& use& &ea!Use& &ea!G&ou 6+ auth m!) auth"!&ea! &*6 aes 12,

&*6"!&ea!

snm(se&6e& use& "&*teUse& "&*teG&ou 6+ auth m!) auth"!"&*te &*6 aes12, &*6"!"&*te

snm(se&6e& enale t&as o&t(secu&*ty

snm(se&6e& enale t&as o&t(secu&*ty t&a(&ate 1

snm(se&6e& host 12.1-,.0.)0 6e&s*on + &*6 &ea!Use& o&t(secu&*ty

nterface de *in(a de comando@ Ae*net e SS-

DacJeence precisa! Ks ve=es! esta"eecer #ma sesso de inha de comando interativa com #msitch. Isto pode ser eito #sando 4enet. Iniciando com 1.8! agora o #s#7rio pode #sar . E$m de a=M-o! edite o ar,#ivo de con $g#rao sitch($us&$local$'$con'$s"*tches.con') e de$nir os seg#intes par]metros:

cl*&anso&t / SS9 Hou elnetIcl*Use& / a!m*n



26/97

Capt#o

cl*P"! / a!m*n3"!

cl*EnaleP"! /

4am"Rm pode ser eito atravRs da interace de administrao Fe" em Con$g#ration -\itches.

nterface de Serviços 7eb

DacJeence! Ks ve=es! precisa esta"eecer #m di7ogo com capacidades de servios da Fe" de#m sitch. E $m de a=M-o! edite o ar,#ivo de con$g#rao sitch($us&$local$'$con'$s"*tches.con') e de$nir os seg#intes par]metros:

"s&anso&t / htt Hou httsI

"sUse& / a!m*n"sP"! / a!m*n3"!

&ota: a partir do DacJetence 1.G.1 po#cos sitches re,#erem con$g#rao de ervios Fe"! a$m de tra"ahar. 4am"Rm pode ser eito atravRs da interace de administrao Fe" emCon$g#ration -\ itches.

$adius Secret

Oecanismo de a#tenticao para ag#ns! tais como! 802.1T o# a#tenticao OEC! o servidorAEI' precisa ter o dispositivo de rede em s#a ista de cientes E partir do DacJetence ;.0!,#e agora #sa #m servidor de "anco de dados para arma=enar as inorma3es do cienteAEI'. E $m de a=M-o! edite o ar,#ivo de con$g#rao sitch($us&$local$'$con'$s"*tches.con') e de$nir os seg#intes par]metros:

&a!*usSec&et/ sec&etPassPh&ase

4am"Rm! iniciando com DacJetence ;.1! o segredo AEI' R necess7rio para o nosso s#portede E#tenticao in]mica AEI' (O#dana de a#tenticao o# descone5o) como de$nidoem AC;@?.

6tribuição da B/6? %adrão

Hsta seo se apica apenas para a apicao da +*E&. 's#7rios paneSando a=er somente aapicao Inine pode p#ar esta seo.

E tRcnica padro de atri"#io de +*E& #sados em DacJetence R #ma por sitch. > padrocorreto de +*E& para dado OEC R o no&mallan vari7ve do sitch onde o OEC est7 igadoo# a =!e'ault>no&mallan se o sitch no especi$car #m no&mallan.

Isto permite ,#e o #s#7rio aa 7ci segmentao de +*E& por constr#o.

e precisar de mais ^e5i"iidade (por I! por categoria de n6! etc) dar #ma ohada no 9e#preciso de mais ^e5ve atri"#io de +*E&9 no item Aec#rsos avanados.

© 2008-2011 Inverse inc. Con$g#rao 2?


27/97

Capt#o

!on5#uração da a%*icação n*ine

Hsta seo se apica apenas para a apicao Inine. 's#7rios paneSando a=er somente a

apicao de +*E& pode p#ar esta seo.

Introd#=ido em DacJetence ;.0! a apicao Iniine R #m mRtodo m#ito conveniente dereai=ar controe de acesso em hardare de rede mais antigo ,#e no R capa= de a=erapicao de +*E& o# ,#e no R compatve com DacJetence. Hsta tRcnica R a"ordada emdetahes na seo UIntrod#o tRcnica K apicao Inine.

'm par]metro importante da con$g#rao a ter em mente R ,#e ,#ando con$g#rando #maapicao Inine acanados peos #s#7rios deve ser a at#a prod#o do servidor &. E seoseg#inte mostra ao #s#7rio como con$g#rar apropriada Inine e R 7 ,#e o #s#7rio deve sereerir a prod#o apropriada do &.

'ma ve= ,#e somos incapa=es de prever se o #s#7rio ter7 controe so"re o se# & o# no! atRcnica de redirecionamento padro se "aseia no endereo ID em ve= de &. Isso signi$ca

,#e o se# certi$cado * ir7 gerar #m erro ,#ando apresentado ao #s#7rio (o se# domnio nocorresponde ao endereo ID do porta). Dor ca#sa disso! n6s removemos s#porte 44Do"rigat6rio a partir do porta captive Inine no modo de redirecionamento de ID. Inei=mente!tivemos de a=er isso para tornar o modo Inine o mais simpes possve. Hssa imitao pode serremovida em #ma verso #t#ra.

Dara remover essa imitao! se o #s#7rio tem controe so"re o se# &! adicione #ma entradacorrespondente hostname.!oma*n para o ID na interace de Inine do DacJetence. Hm seg#ida!de$na o par]metro *nl*ne.o&tal3&e!*&ect para !ns. esta orma! o redirecionamentoser7 "aseado em * e o #s#7rio no ter7 erros de certi$cado! se se# certi$cado C& est7correspondendo penamente com o DacJetence hostname totamente ,#ai$cado.

Hm res#mo:❏ o&tal3&e!*&ect/* < padro! nenh#m 44D! nenh#ma necessidade de modi$car o&

❏ o&tal3&e!*&ect/!ns < precisa ser at#ai=ado o se# &! o porta estar7 em 44D

!on5#uração 4-!P e Servidor 4?S8net)orks.conf9

DacJetence gera a#tomaticamente o CD e os ar,#ivos de con$g#rao do & paraAegistro e isoamento de +*E&s. Isto R eito ao e5ec#tar o script con$g#rador (veSa a eo%era de Con$g#rao).

> registo e Isoamento da inormao de redes esto acessveis atravRs da %'I em

© 2008-2011 Inverse inc. Con$g#rao 2@


28/97

Capt#o

Edministration -\ &etorJs:

❏ netorJ: s#"-rede

❏ netmasJ: O7scara de rede

❏ gateay: endereo ID DacJetence nesta rede

❏ ne5tQhop: #sado somente com redes roteadas o endereo ID do roteador na rede(Isto R #sado para criar rotas est7ticas para as redes roteadas). +eSa a eo deAedes Aoteadas )

❏ domain-name: nome &

❏ dns: DacJetence endereo ID nesta rede

❏ dhcpQstart: iniciando endereos ID do escopo CD

❏ dhcpQend: terminando endereos ID do escopo CD

❏ dhcpQdea#tQeaseQtime: tempo padro de concesso do CD

❏ dhcpQma5QeaseQtime: tempo m75imo de concesso do CD

❏ type: van-registration o# van-isoation o# inine

❏ named: DacJetence R o & para essa rede_ (Hna"ed/isa"ed) con$g#r7-o paraha"iitadas menos no tipo Inine onde deve ser desativado

❏ dhcpd: DacJetence R o servidor CD para essa rede_ (Hna"ed/isa"ed) de$ni-o para ena"ed

Eo iniciar o DacJetence gera os ar,#ivos de con$g#rao do CD atravRs da eit#ra dasinorma3es ornecidas em net"o&%s.con':

> ar,#ivo de con$g#rao do CD R gerado para 6a&$con'$!hc!.con' #sandocon'$!hc!.con' como #m modeo.

>s ar,#ivos de con$g#rao de & so gerados desta orma:

❏ 6a&$con'$name!.con' gerados a partir de con'$name!.con'❏ 6a&$name!$name!(&eg*st&at*on.ca gerados a partir de con'$name!(

&eg*st&at*on.ca

❏ 6a&$name!$name!(*solat*on.ca gerados a partir de con'$name!(*solat*on.ca

esde o DacJetence ;.0! os ar,#ivos de =ona & so preenchidas a#tomaticamente.impesmente asseg#rar ,#e as inorma3es esto nos ar,#ivos de con$g#rao gerados



29/97

Capt#o

(6a&$con'$name!$name!(&eg*st&at*on.ca e 6a&$con'$name!$name!(*solat*on.ca)

6cesso C Produção 4-!P

E $m de reai=ar todas as s#as #n3es de controe de acesso! o DacJetence precisa ser capa=de mapear endereos OEC em endereos ID.

Dara todas as redes/+*E&s na ,#a o #s#7rio deseSa o DacJetence tenha a capacidade de isoar#m n6 o# ter inorma3es so"re ID dos n6s! o #s#7rio vai precisar e5ec#tar uma das tRcnicasa"ai5o.

&ote tam"Rm ,#e esta no precisa ser eito para o registro! isoamento de +*E&s e interacesInine! desde ,#e o DacJetence at#a como o servidor de CD nestas redes.

6Dudantes P 8recomendado9

e o #s#7rio S7 estiver #sando aS#dantes ID para a s#a prod#o em CD! em s#a prod#o de+*E&s esta apro5imao R a mais simpes e a Nnica ,#e tra"aha mehor.

Edicione o endereo ID do gerente DacJetence como o Ntimo * hele&(a!!&ess nadecarao. &este ponto! o DacJetence rece"er7 #ma c6pia de todos os pedidos CD paraessa +*E& e registrar7 o ID ,#e oi distri"#do para o n6 #sando #m '!hcl*stene& daemon.

Certi$,#e-se de ,#e nenh#m servidor CD est7 e5ec#tando na interace na ,#a o #s#7rioest7 enviando os pedidos! seno o DacJetence pode tentar responder Ks soicita3es de CD!o ,#e seria #ma coisa r#im.

Obter uma cE%ia do tráfe#o 4-!P>"ter #ma c6pia de todos os tr7egos CD para #ma interace sica dedicada no servidorDacJetence e e5ec#tar '!hcl*stene& nessa interace. Hnvover7 con$g#rar o sitch parae5ec#tar ade,#adamente espehamento de porta (e5tenso de rede aJa) e adicionando emDacJetence a decarao de interace ade,#ada ao nve do sistema operaciona e em'.con'.

$etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth1:

DEFCE/eth2JNJJ/yes

JJPRJJ/none

Edicionar ao '.con': (> ID no so importantes esto 7 somente assim ,#e o DacJetence vaicomear)

=*nte&'ace eth2>

© 2008-2011 Inverse inc. Con$g#rao 2G


30/97

Capt#o

mas%/2)).2)).2)).0

tye/!hc(l*stene&gate"ay/12.1-,.1.)*/12.1-,.1.1

Aeiniciar o DacJetence e o #s#7rio deve estar "om para contin#ar.

nterface em cada B/6?

Dor,#e o tr7ego do CD R tr7ego de di#so! #ma aternativa para redes pe,#enas! compo#cas +*E&s oca! R coocar #ma interace de +*E& para cada +*E& no servidorDacJetence e ter #ma '!hcl*stene& interace de +*E& ,#e esc#te.

&o ado da rede! o #s#7rio precisa ter certe=a de ,#e a +*E& reamente acana todo ocaminho de se# ciente para s#a inraestr#t#ra CD para o servidor DacJetence.

&o ado DacJetence! primeiro o #s#7rio precisa de #m sistema operaciona de interace +*E&!como a"ai5o. Erma=enadas em $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.1010:

K Engenha&*a LANDEFCE/eth0.1010

JNJJ/yesJJPRJJ/stat*c

FPADDR/10.0.101.NEAS/2)).2)).2)).0

LAN/yes

Hnto o #s#7rio precisa especi$car em '.con' ,#e o #s#7rio est7 interessado nessa +*E&!decarando o tipo para !hc(l*stene&.

=*nte&'ace eth0.1010>mas%/2)).2)).2)).0

tye/!hc(l*stene&gate"ay/10.0.101.1

*/10.0.101.

Aepita o procedimento acima para toda a prod#o +*E&s! em seg#ida reinicie o DacJetence.

-ost de %rodução 4-!P em PacketFence

É #ma opo. Lasta modi$car con'$!hc!.con' de modo ,#e hospede a s#a prod#o CDcorretamente e certi$,#e-se ,#e #m '!hcl*stene& e5ec#ta na mesma interace na ,#a aprod#o de CD R e5ec#tada. Hntretanto! note ,#e isto NÃO R recomendado. +eSa oem"rete para o por,#e.

© 2008-2011 Inverse inc. Con$g#rao ;0

http://www.packetfence.org/bugs/view.php?id=1050http://www.packetfence.org/bugs/view.php?id=1050http://www.packetfence.org/bugs/view.php?id=1050http://www.packetfence.org/bugs/view.php?id=1050


31/97

Capt#o

$edes $oteadas

e o se# isoamento e redes de registo no so ocamente acessveis (na camada 2) so"re arede! mas roteada para o servidor DacJetence! o #s#7rio ter7 de dei5ar o servidor DacJetencesa"er disso. DacJetence pode atR mesmo ornecer CD e & nestas redes roteadas eornecer #ma con$g#rao de interace 7ci de #sar.

Dara dhcpd! certi$,#e-se ,#e os pedidos dos cientes CD esto corretamente encaminhados(ES#dantes ID nos roteadores remoto) para o servidor DacJetence. Certi$,#e-se ,#e o #s#7rioseg#i# as instr#3es no ervidor de Con$g#rao CD e & (netorJs.con) para s#a redeocamente acessve.

Hnto o #s#7rio precisa ornecer a inormao encaminhada das redes para o DacJetence. >#s#7rio pode a=M-o atravRs do %'I em Edministration -\ &etorJs (o# emcon'$net"o&%s.con').

e considerarmos a ar,#itet#ra de rede i#strado no es,#ema acima! con'$net"o&%s.con'ser7 parecido com este:

=12.1-,.2.0>netmas%/2)).2)).2)).0

gate"ay/12.1-,.2.1net3ho/!oma*n(name/&eg*st&at*on.eamle.com



32/97

Capt#o

!ns/12.1-,.2.1

!hc3sta&t/12.1-,.2.10!hc3en!/12.1-,.2.200!hc3!e'ault3lease3t*me/+00

!hc3ma3lease3t*me/-00

tye/6lan(&eg*st&at*onname!/enale!!hc!/enale!

=12.1-,.+.0>

netmas%/2)).2)).2)).0gate"ay/12.1-,.+.1net3ho/

!oma*n(name/*solat*on.eamle.com!ns/12.1-,.+.1

!hc3sta&t/12.1-,.+.10!hc3en!/12.1-,.+.200

!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/6lan(*solat*on

name!/enale!!hc!/enale!

=12.1-,.20.0>

netmas%/2)).2)).2)).0gate"ay/12.1-,.20.2)net3ho/12.1-,.2.2)

!oma*n(name/&eg*st&at*on.eamle.com!ns/12.1-,.2.1

!hc3sta&t/12.1-,.20.10!hc3en!/12.1-,.20.200

!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/6lan(&eg*st&at*on


=12.1-,.+0.0>

netmas%/2)).2)).2)).0gate"ay/12.1-,.+0.2)net3ho/12.1-,.+.2)


!hc3sta&t/12.1-,.+0.10!hc3en!/12.1-,.+0.200


name!/enale!



33/97

Capt#o

!hc!/enale!

!on5#uração do Free$64;S

Hsta seo apresenta as etapas de con$g#rao do reeAEI'. Hm ag#mas ocasi3es! #mservidor AEI' R o"rigat6ria! a $m de dar acesso K rede. Dor e5empo! o #so do FDE2-Hnterprise (Fireess 802.1T)! a#tenticao OEC e 802.1T com $os! todos re,#erem #mservidor AEI' para a#tenticar os #s#7rios e os dispositivos! e ento orar a +*E&apropriada para o e,#ipamento de rede. &6s recomendamos ortemente ,#e o #s#7rio instaeo reeAEI' mesmo se o #s#7rio no pretenda #tii=ar o rec#rso agora.

Instae os seg#intes pacotes:

❏ pacJetence-reeradi#s2

/etc/raddb/clients.con

E partir do DacJetence ;.0! este passo R desnecess7rio. Como o #s#7rio vi# anteriormenteneste g#ia! n6s agora estamos #sando o atri"#to &a!*usSec&et no ar,#ivo de con$g#rao dositch.

Dara vers3es anteriores ao DacJetence ;.0! o #s#7rio ainda vai #sar ar,#ivo simpes do cienteAEI'. #"stit#ir [...\ com vaores Nteis a o #s#7rio. > #s#7rio precisa de #ma entrada deciente por dispositivo de rede.

cl*ent use'ul3!e6*ce3nameM

*a!!& / net"o&%3!e6*ce3*3a!!&essM

sec&et / &a!*us sec&etMO

/etc/raddb/packetence.pm

Certi$,#e-se de de$nir os par]metros de con$g#rao necess7rios em cima do ar,#ivo. e$naa senha para a conta criada anteriormente so" a seo Interace de Edministrao "aseada naFe".

K 8&eeRADFUS a&a comun*caQes com o Pac%et8ence Hcon'*gu&aQes !ose&6*!o& SJAPI

WS3USER /M ?"ese&6*ce?;WS3PASS /M ?ass"o&!?;

/etc/raddb/sl.con

Certi$,#e-se de de$nir as credencias ade,#adas para acessar o "anco de dados doDacJetence.

© 2008-2011 Inverse inc. Con$g#rao ;;


34/97

Capt#o

K Fn'o !e Coneo#

se&6e& / BlocalhostB

o&t / ++0-

log*n / B'B

ass"o&! / B'B

!pção "# $utenticação no $cti%e Director& '$D(

#"stit#ir $etc$&a!!$mo!ules$mscha com a seg#inte con$g#rao:

mscha use3me / yes

&eu*&e3enc&yt*on / yes &eu*&e3st&ong / yes

"*th3nt!oma*n3hac% / yes ntlm3auth / B$us&$*n$ntlm3auth ((&euest(nt(%ey ((use&name/TTSt&*e!(Use&(NameO#(Tmscha#Use&(Name#(NoneOO ((challenge/T

mscha#Challenge#(00O 4nt(&esonse/Tmscha#N(Resonse#(00OBO

Samba / Kerberos / Winbind

Instae EOLE. > #s#7rio pode #sar as ontes o# #sar o pacote para o se# >. Dara Cent>! o#s#7rio pode #sar:

"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+(+.).-(+.el).,-3-.&m

"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+(cl*ent(

+.).-(+.el).,-3-.&m

"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+(ut*ls(+.).-(+.el).,-3-.&m

"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+("*n*n!(

+.).-(+.el).,-3-.&m

"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$l*"cl*ent0(+.).-(+.el).,-3-.&m

yum *nstall .$sama.&m ((noggchec%

Nota: Se o usuário tiver PCs Windows 7 na sua rede, o usuário precisa usar a versão !"!# ousuperior do S$%&$)

P#ando eito com a instaao do sam"a! o #s#7rio precisa modi$car $etc$%&).con'. E,#iest7 #m e5empo para o domnio >OEI&.&H4:

© 2008-2011 Inverse inc. Con$g#rao ;B


35/97

Capt#o

=logg*ng>

!e'ault / 8FLE#$6a&$log$%&)l*s.log

%!c / 8FLE#$6a&$log$%&)%!c.log

a!m*n3se&6e& / 8FLE#$6a&$log$%a!m*n!.log

=l*!e'aults>

!e'ault3&ealm / DJAFN.NE

!ns3loo%u3&ealm / 'alse

!ns3loo%u3%!c / 'alse

t*c%et3l*'et*me / 2h

'o&"a&!ale / yes

=&ealms>

DJAFN.NE /

%!c / a!se&6e&.!oma*n.net#,, a!m*n3se&6e& / a!se&6e&.!oma*n.net#7

!e'ault3!oma*n / !oma*n.net

O

=!oma*n3&ealm>

.!oma*n.net / DJAFN.NE

!oma*n.net / DJAFN.NE

=a!e'aults>

am /

!eug / 'alse

t*c%et3l*'et*me / +-000

&ene"3l*'et*me / +-000

'o&"a&!ale / t&ue

%&3con6e&t / 'alse

O

Hm seg#ida! editar /etc/sam"a/sm".con. &ovamente! a,#i est7 #m e5empo para nosso>OEI&.&H4

=gloal>"o&%g&ou / DJAFN

se&6e& st&*ng / '3se&6e&3name*nte&'aces / 12.1-,.1.2$2

secu&*ty / ADSass! ac%en! / t!sam

&ealm / DJAFN.NEenc&yt ass"o&!s / yes

© 2008-2011 Inverse inc. Con$g#rao ;


36/97

Capt#o

"*n*n! use !e'ault !oma*n / yes

cl*ent NL62 auth / yes&e'e&&e! maste& / noloa! &*nte&s / no

cus ot*ons / &a"

*!ma u*! / 10000()000*!ma g*! / 10000()000log le6el / 1 "*n*n!#) auth#+

Hmitir #m Jinit e Jist a $m de o"ter e veri$car o toJen `er"eros:

%*n*t a!m*n*st&ato&

%l*st

epois disso! o #s#7rio precisa iniciar o sam"a! e S#nta-se a m7,#ina ao domnio

se&6*ce sm sta&t

ch%con'*g ((le6el +) sm on

net a!s o*n (U a!m*n*st&ato&

inamente! inicie o in"ind! e teste a con$g#rao #sando ntmQa#th

se&6*ce "*n*n! sta&t

ch%con'*g ((le6el +) "*n*n! on

chg& &a!*us! $6a&$l*$sama$"*n*n!!3&*6*lege!$ntlm3auth 4use&name myDoma*nUse&

!pção )# $utenticação *ocal

Edicionar entradas do se# #s#7rio no $na do ar,#ivo $etc$&a!!$use&s com o seg#inteormato:

use&name Clea&tet(Pass"o&! #/ Bass"o&!B

!pção +# $utenticação diante a !pen*D$P

Pa&a se& cont&*uV!o...

© 2008-2011 Inverse inc. Con$g#rao ;?


37/97

Capt#o

Aestes

4este a s#a con$g#rao com radtest #sando o seg#inte comando e tenha certe=a de o"ter #maresposta Eccess-Eccept:

K &a!test !! Ac!12+ localhost 12 test*ng12+

Sen!*ng Access(Reuest o' *! 7 to 127.0.0.1 o&t 1,12

Use&(Name / B!!B

Use&(Pass"o&! / BAc!12+B

NAS(FP(A!!&ess / 2)).2)).2)).2))

NAS(Po&t / 12

&a!3&ec6# Access(Accet ac%et '&om host 127.0.0.1#1,12; *!/7; length/20

4e%urar

Drimeiro! veri$,#e o sysog! este R no ,#a os ogs do m6d#o DacJetence esto. Oensagenssysog so arma=enadas geramente em $6a&$log$messages.

e isso no aS#dar! e5ec#te o reeAEI' no modo de dep#rao. Dara a=M-o! inici7-o#sando o seg#inte comando:

K &a!*us! (

niciando os Serviços PacketFence

'ma ve= ,#e o DacJetence est7 totamente instaado e con$g#rado! inicie os servios #sandoo seg#inte comando:

se&6*ce ac%et'ence sta&t

> #s#7rio pode veri$car #sando o comando ch%con'*g ,#e o servio DacJetence R iniciadoa#tomaticamente no momento do "oot.

6r&uivos de /o#

E,#i esto os ar,#ivos de og mais importante do DacJetence:

❏$us&$local$'$logs$ac%et'ence.log < *og do &Nceo DacJetence

❏$us&$local$'$logs$access3log < Epache < *og de acesso Captive

© 2008-2011 Inverse inc. Con$g#rao ;@


38/97

Capt#o

❏$us&$local$'$logs$e&&o&3log < Epache < *og de erro Captive Dorta

❏$us&$local$'$logs$a!m*n3access3log < Epache < *og de Ecesso Fe" Edmin/ervios

❏$us&$local$'$logs$a!m*n3e&&o&3log < Epache < *og de erro Fe" Edmin/ervios

❏ $us&$local$'$logs$a!m*n3!eug3log < Epache < *og de ep#rao Fe"

Edministrativa

H5istem o#tros ar,#ivos de og em $us&$local$'$logs$ ,#e poderiam ser reevantesdependendo do pro"ema ,#e est7 ocorrendo. Certi$,#e-se de dar #ma ohada nees.

> ar,#ivo de con$g#rao de og R $us&$local$'$con'$log.con'. He contRm acon$g#rao para o ar,#ivo ac%et'ence.log (Log##LogPe&l) e o #s#7rio normamenteno precisa modi$c7-o.

Comeando com ;.0! o #s#7rio pode ver os ar,#ivos de ogs na Edministrao Fe" emEdministration \ *ogs.



39/97

Capt#o ?

!on5#uração %or eem%*o

E,#i est7 #m e5empo de con$g#rao de ponta a ponta do DacJetence no modo 9y"rid9(modo +*E& e modo Inine ao mesmo tempo).

Su%osiç'es

#rante todo este e5empo de con$g#rao! n6s #samos as seg#intes s#posi3es para nossainraestr#t#ra de rede::

❏ H5istem dois tipos dierentes de sitches gerenci7veis em nossa rede: Cisco Catayst2G00T* e Cisco Catayst 2G?0! e #m dispositivo no gerenci7ve.

❏ +*E& 1 R a +*E& 9reg#ar9

❏ +*E& 2 R a +*E& de registro (dispositivos no registrados sero coocados nessa+*E&)

❏ +*E& ; R a +*E& de isoamento (dispositivos isoados sero coocados nessa +*E&)

❏ +*E&s 2 e ; so medidos em toda a rede

❏ +*E& B R a +*E& de deteco OEC (+*E& va=ia)

❏ +*E& B deve ser de$nida em todos os sitches ,#e no s#portam seg#rana por porta(em nosso e5empo! o Catayst 2G00T* no s#porta seg#rana por porta com endereoOEC est7tico). &o h7 necessidade de cooc7-o na porta de tronco (tr#nJ).

❏ +*E& R a +*E& Inine (em Landa! para dispositivos no gerenci7veis)

❏ P#eremos isoar os comp#tadores #sando *imeire (sotare peer-to-peer)

❏ &6s #samos o nort como &I

❏ > tr7ego monitorado peo nort R atravessado na eth1

❏ > servidor CD no DacJetence ,#e vai c#idar da distri"#io de endereos ID em+*E&s 2! ; e

❏ > servidor de & no DacJetence ,#e vai c#idar de reso#o de domnio em+*E&s 2 e ;

❏ E con$g#rao da rede $ca assim:

+*E& I &ome +*E& #"-rede %ateay HndereoDacJetence

© 2008-2011 Inverse inc. Con$g#rao por e5empo ;G


40/97

Capt#o ?

1 &orma 1G2.1?8.1.0/2B 1G2.1?8.1.1 1G2.1?8.1.

2 Aegistro 1G2.1?8.2.0/2B 1G2.1?8.2.1 1G2.1?8.2.1

; Isoation 1G2.1?8.;.0/2B 1G2.1?8.;.1 1G2.1?8.;.1

B Oac etection

Inine 1G2.1?8..0/2B 1G2.1?8..1 1G2.1?8..1

100 +oice

nterfaces de $ede

E,#i esto os scripts &ICs de iniciai=ao em DacJetence:

❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0

DEFCE/eth0

RJADCAS/12.1-,.1.2))FPADDR/12.1-,.1.)NEAS/2)).2)).2)).0

NEWJR/12.1-,.1.0JNJJ/yes

XPE/Ethe&net

❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.2

DEFCE/eth0.2

JNJJ/yesJJPRJJ/stat*c

FPADDR/12.1-,.2.1NEAS/2)).2)).2)).0LAN/yes

❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.+

DEFCE/eth0.+

JNJJ/yesJJPRJJ/stat*cFPADDR/12.1-,.+.1

NEAS/2)).2)).2)).0LAN/yes

© 2008-2011 Inverse inc. Con$g#rao por e5empo B0


41/97

Capt#o ?

❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.)

DEFCE/eth0.)JNJJ/yes

JJPRJJ/stat*cFPADDR/12.1-,.).1

NEAS/2)).2)).2)).0LAN/yes

❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth1. Hste &IC R #sada para o espeho dotr7ego monitorado peo nort.

DEFCE/eth1

JNJJ/yesJJPRJJ/none

$ece%tor de Ara%

DacJetence #sa snmptrapd como o receptor de trap. He arma=ena o nome da com#nidade#sada peo sitch para enviar traps no ar,#ivo de con$g#rao sitch($us&$local$'$con'$s"*tches.con'):

=!e'ault>

SNPCommun*ty&a / ul*c

!on5#uração de S)itc(

Hm nosso e5empo! vamos ha"iitar inJ'p/inJon em #m 2G00*T Cisco e eg#rana porporta em #m Cisco Catayst 2G?0. Dor avor! cons#te o %#ia de Con$g#rao de ispositivosde rede para a ista competa de sitches s#portados e instr#3es de con$g#rao.

*ink;%*ink4o)n =6! ?oti5cation

go"a set#p

snm(se&6e& enale t&as snm l*n%!o"n l*n%usnm(se&6e& enale t&as mac(not*'*cat*on

snm(se&6e& host 12.1-,.1.) t&a 6e&s*on 2c ul*c snm mac(not*'*cat*on

mac(a!!&ess(tale not*'*cat*on *nte&6al 0


http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/


42/97

Capt#o ?

mac(a!!&ess(tale not*'*cat*on

mac(a!!&ess(tale ag*ng(t*me +-00

Hm cada interace

s"*tcho&t mo!e access

s"*tcho&t access 6lan snm t&a mac(not*'*cat*on a!!e!

Se#urança %or Porta

go"a set#p

snm(se&6e& enale t&as o&t(secu&*ty

snm(se&6e& enale t&as o&t(secu&*ty t&a(&ate 1snm(se&6e& host 12.1-,.1.) 6e&s*on 2c ul*c o&t(secu&*ty

Hm cada interace! o #s#7rio precisa iniciai=ar a seg#rana por porta! a#tori=ando #mendereo OEC aso com os seg#intes comandos

s"*tcho&t access 6lan

s"*tcho&t o&t(secu&*tys"*tcho&t o&t(secu&*ty ma*mum 2

s"*tcho&t o&t(secu&*ty ma*mum 1 6lan accesss"*tcho&t o&t(secu&*ty 6*olat*on &est&*ct

s"*tcho&t o&t(secu&*ty mac(a!!&ess 0200.0000.00

onde 55 representa o ndice da interace

&o se es,#ea de at#ai=ar o start#p-con$g.

s)itc(es.conf

+eSa e$nio de ispositivos de Aede para mais inorma3es so"re o conteNdo desse ar,#ivo.

E,#i esto os par]metros (e5ceto os padr3es) para o nosso e5empo

=!e'ault>

SNPCommun*tyRea! / ul*cSNPCommun*tyW&*te / &*6ateSNPommun*ty&a / ul*c

SNPe&s*on / 16lans / 1;2;+;;10

no&mallan / 1&eg*st&at*onlan / 2



43/97

Capt#o ?

*solat*onlan / +

macDetect*onlan / oFPEnale! / no

=12.1-,.1.100>tye / C*sco##Catalyst3200L

mo!e / &o!uct*onul*n% / 2

=12.1-,.1.101>

tye / C*sco##Catalyst32-0mo!e / &o!uct*onul*n% / 2)

no&mallan / 10&a!*usSec&et/useSt&onge&Sec&et

e vocM ,#er ter #m nome de com#nidade dierente para eit#ra/gravao para cada sitch!decare-o em cada seo sitch.

%f.conf

E,#i R o ar,#ivo $us&$local$'$con'$'.con' para nossa con$g#rao. Dara maisinorma3es so"re '.con' veSa a Con$g#rao go"a no ar,#ivo de seo (p.con).

=gene&al>!oma*n/you&!oma*n.o&g

KColoue seus se&6*!o&es ete&nos$Fn'&a !e DNS au*!nsse&6e&s/.2.2.2;.2.2.1

!hcse&6e&s/12.1-,.2.1;12.1-,.+.1;12.1-,.).1

=t&a*ng>&eg*st&at*on/enale!

!etect*on/enale!&ange/12.1-,.2.0$2;12.1-,.+.0$2;12.1-,.).0$2

=&eg*st&at*on>auth/l!a

=*nte&'ace eth0>

mas%/2)).2)).2)).0tye/management

gate"ay/12.1-,.1.1*/12.1-,.1.)

© 2008-2011 Inverse inc. Con$g#rao por e5empo B;


44/97

Capt#o ?

=*nte&'ace eth0.2>

mas%/2)).2)).2)).0tye/*nte&nalen'o&cement/6lan

gate"ay/12.1-,.2.1

*/12.1-,.2.1

=*nte&'ace eth0.+>

mas%/2)).2)).2)).0tye/*nte&nal

en'o&cement/6langate"ay/12.1-,.+.1*/12.1-,.+.1

=*nte&'ace eth0.)>

mas%/2)).2)).2)).0tye/*nte&nal

en'o&cement/*nl*negate"ay/12.1-,.).1*/12.1-,.).1

=*nte&'ace eth1>

mas%/2)).2)).2)).0tye/mon*to&

gate"ay/12.1-,.1.)*/12.1-,.1.1

net)orks.conf

E,#i R o ar,#ivo $us&$local$'$con'$net"o&%s.con' para nossa con$g#rao. Dara maisinorma3es so"re net"o&%s.con' veSa Con$g#rao CD e ervidor &.

=12.1-,.2.0>netmas%/2)).2)).2)).0gate"ay/12.1-,.2.1

net3ho/12.1-,.2.2)!oma*n(name/&eg*st&at*on.eamle.com

!ns/12.1-,.2.1!hc3sta&t/12.1-,.2.10

!hc3en!/12.1-,.2.200!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00

tye/6lan(&eg*st&at*onname!/enale!

© 2008-2011 Inverse inc. Con$g#rao por e5empo BB


45/97

Capt#o ?

!hc!/enale!

=12.1-,.+.0>netmas%/2)).2)).2)).0

gate"ay/12.1-,.+.1net3ho/12.1-,.+.2)


!hc3sta&t/12.1-,.+.10!hc3en!/12.1-,.+.200



=12.1-,.).0>

netmas%/2)).2)).2)).0gate"ay/12.1-,.).1net3ho/

!oma*n(name/*nl*ne.eamle.com!ns/.2.2.2;.2.2.1

!hc3sta&t/12.1-,.).10!hc3en!/12.1-,.).2)

!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/*nl*ne

name!/!*sale!!hc!/enale!

4eta*(es da a%*icação n*ine

Dara ver o#tro par]metro importante opciona ,#e pode ser aterado para a=er a apicaoInine! veSa a seo Con$g#rao da apicao Inine.

E $m de ter o modo Inine #ncionando corretamente! o #s#7rio precisa ha"iitar oencaminhamento de ip em se#s servidores. Dara a=M-o permanentemente! ohar no$etc$sysctl.con'! e de$nir a seg#inte inha:

K Cont&ola o encam*nhamento !e acotes FP

net.*6.*3'o&"a&! / 1

ave o ar,#ivo! e emita #m sysctl ( para at#ai=ar a con$g#rao do >.

© 2008-2011 Inverse inc. Con$g#rao por e5empo B


46/97

Capt#o @

!om%onentes O%cionais

H*o&ueando atividades ma*iciosas com vio*aç'es

Es vioa3es de potica permitem de o #s#7rio restrinSa o acesso de sistema do ciente "aseadoem vioa3es de determinadas poticas. Dor e5empo! se o #s#7rio no permitir o tr7ego dotipo D2D na s#a rede! e o #s#7rio estiver e5ec#tando o sotare apropriado para detect7-o eprovocar #ma vioao de #m determinado ciente! o DacJetence dar7 a esse ciente #map7gina 9"o,#eada9 ,#e pode ser personai=ado para o se# deseSo.

E $m de ser capa= de "o,#ear atividades maiciosas! o #s#7rio precisa instaar e con$g#rar oI &>A4 para conversar com o DacJetence.

Snort

,nstalação

> procedimento de instaao R "astante simpes para o &>A4. Oantemos #ma verso detra"aho no reposit6rio do DacJetence. Dara insta7-o! "asta e5ec#tar o seg#inte comando:

yum *nstall sno&t

Confguração

> DacJetence ornece #m modeo "7sico no ,#a o #s#7rio precisa editar o ar,#ivo snort.con!dependendo da verso do nort. > ar,#ivo est7 ocai=ado em $us&$local$'$con'.Aaramente R necess7rio aterar ,#a,#er coisa nesse ar,#ivo para a=er o nort tra"ahar e

aertas de armadiha. &o edite o snort.con ocai=ado em $us&$local$'$6a&$con'! todasas modi$ca3es sero destr#das em cada re-iniciai=ao do DacJetence.

Bio*aç'es

E $m de a=er o DacJetence reagir aos aertas do nort! o #s#7rio precisa e5picitamente di=ero sotare para a=er isso. Caso contr7rio! os aertas sero descartados. Isso R m#ito simpes de

© 2008-2011 Inverse inc. Componentes >pcionais B?


47/97

Capt#o @

reai=ar. &a verdade! o #s#7rio precisa criar #ma vioao e adicionar o nort aerta I naseo de gatiho de #ma vioao.

+ioa3es da potica do DacJetence so controados #sando o ar,#ivo de con$g#rao$us&$local$'$con'$6*olat*ons.con'. > ormato de vioao R a seg#inte:

=12+>!esc/Desc&*o !e 6*olao&*o&*ty/,

u&l/$content$*n!e.hYtemlate/temlateM&e!*&ect3u&l/$&o*es$tools$st*nge&.ee

enale/Xt&*gge&/Detect##22000+2;Scan##11,0,

act*ons/ema*l;log;t&a6lan/*solat*onlan"h*tel*ste!3catego&*es/

❏ =12+>: I de vioao. P#a,#er inteiro! e5ceto 1200000-1200GG! o ,#a R e5igidoe reservado para as vioa3es da administrao.

❏ !esc: escrio da inha Nnica de vioao

❏ &*o&*ty: ai5a de 1-10! com 1 a mais ata prioridade e 10 a mais "ai5a. +ioa3esde maior prioridade sero endereadas! primeiro! se #m host tem mais de #ma.

❏ u&l: E 'A* 4O* do host ser7 redirecionado ao mesmo tempo em vioao. Hste Rgeramente #ma 'A* oca na orma $content$*n!e.hYtemlate/... onde ... R onome do modeo de correo para mostrar para o #s#7rio. 'A*s competos! comohtt#$$myo&tal.com$6*olat*on12+$ tam"Rm so s#portados se assth&ough /&oy R de$nido em =t&a*ng>. &esse caso! o Dorta Captive vai a=er pro5y reversopara a 'A* especi$cada. eve ser tomado grande c#idado ao #sar esse rec#rso! pois

,#a,#er rec#rso ora do caminho especi$cado no ir7 carregar.❏ &e!*&ect3u&l: > #s#7rio R redirecionado para esta 'A* depois de reativado se#acesso K rede na p7gina de re-mediao..

❏ enale: e ena"e est7 con$g#rado para &! esta vioao R desativada e vioa3esadicionais deste tipo no sero adicionados.

❏ t&*gge&: ORtodo para a=er reerMncia aos mRtodos de deteco e5ternos! tais como!etect (&>A4)! can (&ess#s)! > (CD deteco de impress3es digitais)! 'HAE%H&4(assinat#ra do navegador)! +H&>AOEC (casse de endereo OEC)! etc. 4rigger Rormatado com o seg#inte tipo::I. neste e5empo! 20000;2 R a I do snort e 11808 R onNmero de p#gin &ess#s. > I nort &b> precisa ser ig#a ao I de vioao.

❏ act*ons: Hsta R a ista de a3es ,#e ser7 e5ec#tada em #ma adio de vioao. Esa3es podem ser:

• log: 'ma mensagem de *og para o ar,#ivo especi$cado em =ale&t*ng>.log

• ema*l: H-mai o endereo especi$cado em =ale&t*ng>.ema*la!!&! #sando=ale&t*ng>.smtse&6e&. ONtipos emaiaddr podem ser separados por vrg#a.

• t&a: Isoar o host e cooc7-o em vioao. He a"re #ma vioao e dei5a a"erta.

© 2008-2011 Inverse inc. Componentes >pcionais B@

http://myportal.com/violation1234/http://myportal.com/violation1234/


48/97

Capt#o @

e a armadiha no est7 7! #ma vioao R a"erta e ento echadaa#tomaticamente

• "*nou: Hnviar #ma mensagem em Sanea pop#p. > #s#7rio precisa con$g#rar=ale&t*ng>."*nse&6e&! =ale&t*ng>.net*osname em pf.conf ,#ando se

#tii=a esta opo• ete&nal# e5ec#te #m comando e5terno! especi$cado em

=aths>.ete&nala*

❏ 6lan# +*E& de destino no ,#a o DacJetence deve coocar o ciente ,#ando #mavioao desse tipo R a"erta. > vaor de +*E& pode ser:

• *solat*onlan: Isoamento de +*E& como especi$cado em s"*tches.con'.Hste R o vaor recomendado para a maioria dos tipos de vioao.

• &eg*st&at*onlan: Aegistro de +*E& como especi$cado em s"*tches.con'.

• no&mallan: &orma +*E& como especi$cado em s"*tches.con'. &ota: Épreerve no prender e coocar em +*E& norma. Certi$,#e-se de entender o,#e o #s#7rio est7 a=endo.

❏ h*tel*ste!3catego&*es# &6s em #ma categoria istada em"h*tel*ste!3catego&*es no sero aetados por #ma vioao deste tipo. ormato R#ma ista separada por vrg#as de nomes de categoria.

4am"Rm esto inc#dos em violation.confR a seo dea#ts. E seo dea#ts de$nir7 #mvaor padro para cada vioao na con$g#rao. e #m vaor de con$g#rao no Respeci$cado no I espec$co! o padro ser7 #sado:

=!e'aults>&*o&*ty/

ma3enale/+act*ons/ema*l;log

auto3enale/Xenale/N

g&ace/120utton3tet/Enale Net"o&%

sno&t3&ules/local.&ules;lee!*ng(attac%3&esonse.&ules;lee!*ng(elo*t.&ules;lee!*ng(2.&ules;lee!*ng(scan.&ules;lee!*ng(6*&us.&ules

6lan/*solat*onlan

"h*tel*ste!3catego&*es/

❏ ma3enale: &Nmero de ve=es ,#e #m host ser7 capa= de tentar remediar antes deesserem "o,#eados e ter ,#e chamar o hep desJ. Isso R Nti para #s#7rios ,#e apenas9cicam9 em p7ginas de vioao.

❏ auto3enale: Hspeci$ca se #m host pode se a#to corrigir #ma vioao (ativar o"oto de rede) o# se ees no podem nem devem igar para o hep desJ.

© 2008-2011 Inverse inc. Componentes >pcionais B8


49/97

Capt#o @

❏ g&ace: &Nmero de min#tos antes da vioao poder reaparecer. Isso R Nti parapermitir os hosts #m tempo (no e5empo! 2 min#tos) para a=er o donoad de erramentaspara corrigir a s#a emisso! o# desigamento de s#a apicao peer-to-peer.

❏ utton3tet: 4e5to apresentado no orm#7rio vioao aos hosts.

❏ sno&t3&ules: > ar,#ivo de regras do nort R responsa"iidade dos administradores.Dor avor! atere isso para apontar para se# ar,#ivo(s) de regras de vioao. e vocM noespeci$car #m caminho competo! o padro R $us&$local$'$con'$sno&t. e o #s#7rioprecisa inc#ir mais de #m ar,#ivo! "asta separar cada nome com #ma vrg#a.

6*olat*ons.con' R carregado na iniciai=ao.

em%*o de Bio*ação

&o nosso e5empo! ,#eremos isoar as pessoas #sando o *imeire. E,#i! ass#mimos ,#e onort est7 instaado e con$g#rado para enviar aertas para o DacJetence. Egora precisamoscon$g#rar o isoamento no DacJetence.

a"iitar vioao *imeire em $us&$local$'$con'$6*olat*ons.con' e con$g#r7-a para

e5ec#tar #m script e5terno

=2001,0,>

!esc/P2P HL*me"*&eI&*o&*ty/,

u&l/$content$*n!e.hYtemlate/2act*ons/log;t&a

enale/Xma3enale/1t&*gge&/Detect##2001,0,

© 2008-2011 Inverse inc. Componentes >pcionais BG


50/97

Capt#o @

Submissão de Barredura 8?essus9

nsta*açãoDor avor! visite http://.ness#s.org/donoad/ para "ai5ar e instaar o pacote &ess#s para ose# sistema operaciona. > #s#7rio tam"Rm vai precisar se registrar para o omeeed (o# oDroessionaeed) a $m de o"ter os p#gins.

epois de instaado o &ess#s! siga a doc#mentao do &ess#s para a con$g#rao do servidor&ess#s! e criar #m #s#7rio para o DacJetence.

!on5#uração

Dara ,#e #ma dada varred#ra do &ess#s gere #ma vioao dentro do DacJetence! o #s#7rio

tem de con$g#rar d#as se3es:❏ '.con'

Ed#ste as con$g#ra3es na seo scan como o seg#inte:

=scan>

ssl/enale!

ass/use&Pass"o&!

use&/nessusUse&name

o&t/121

host/127.0.0.1

&eg*st&at*on/enale!

nessuscl*ent3'*le/as*c(ol*cy.nessus

nessuscl*ent3ol*cy/as*c(ol*cy

❏ 6*olat*ons.con'

> #s#7rio precisa criar #ma seo nova da vioao e tem ,#e especi$car

t&*gge&/Scan##6*olat*onF!M

&a ,#a 6*olat*onF! R a I do p#gin &ess#s para veri$car. epois de ter terminado acon$g#rao! o #s#7rio precisar7 recarregar o conteNdo da vioao reacionada no "anco dedados #sando:

'cm! &eloa! 6*olat*ons

NO'$: (io)a*+es serão disparadas se o p)uin Nessus - mais a)ta .ue uma vu)nerabi)idade debaia severidade

© 2008-2011 Inverse inc. Componentes >pcionais 0

http://www.nessus.org/download/http://www.nessus.org/download/http://www.nessus.org/download/http://www.nessus.org/download/


51/97

Capt#o @

nte#ração ?essus!*ient

&ovo desde a 1.8.; R a capacidade de #sar diretamente a inha de comando do ciente doness#s e ar,#ivos .ness#s. > ormato do ar,#ivo &ess#sCient est7 doc#mentado emhttp://.ness#s.org/doc#mentation/dotQness#sQ$eQormat.pd e podem ser acimente

gerados #sando o ciente &ess#s o$cia.

> #s#7rio ter7 de savar se# ar,#ivo .ness#s no diret6rio $us&$local$'$con'$nessus$ eespeci$car se# nome de ar,#ivo #sando a de$nio de con$g#raoscan.nessuscl*ent3'*le . > #s#7rio tam"Rm tem de especi$car o nome da diretiva #sandoa de$nio scan.nessuscl*ent3ol*cy . epois disso! vocM pode e5ec#tar s#a varred#ra#sando

'cm! sche!ule no" FPM

&>4E: e o #s#7rio ornecer credenciais no ar,#ivo .ness#s! o #s#7rio precisa ha"iitar a opoUtore passords as pain te5t no se# ciente &ess#s.

Barredura em re#istro

Dara e5ec#tar #ma veri$cao do sistema antes de dar acesso a #m host na rede vocM precisaha"iitar os par]metros scan.&eg*st&at*on em '.con'.

4am"Rm R recomendado aS#star scan.!u&at*on para re^etir o tempo gasto na veri$cao.'ma "arra de progresso com esta d#rao ser7 mostrado para o #s#7rio en,#anto ee est7esperando. Dor padro! vamos de$nir esta vari7ve para ?0s.


http://www.nessus.org/documentation/dot_nessus_file_format.pdfhttp://www.nessus.org/documentation/dot_nessus_file_format.pdf


52/97

Capt#o @

Oinkmaster

>inJmaster R #m script per ,#e permite a possi"iidade de at#ai=ar as dierentes regras snortcom m#ita aciidade. É simpes de #sar e instaar. Hsta seo ir7 mostrar-he comoimpementar >inJmaster para tra"ahar com DacJetence e nort.

Dor avor! visite http://oinJmaster.so#rceorge.net/donoad.shtm a=er o donoad oinJmaster.'m e5empo de ar,#ivo de con$g#rao do oinJmaster R ornecido em$us&$local$'$a!!ons$sno&t$o*n%maste&.con'

!on5#uração

E,#i esto os passos para a=er o tra"aho de >inJmaster. +amos s#por ,#e o #s#7rio S7 "ai5o#o ar,#ivo mais recente oinJmaster:

❏ escompacte o >inJmaster recRm-transerido

❏ Copie os scripts per re,#erido em /#sr/oca/p/oinJmaster. +ocM precisa copiarcontri" e oinJmaster.p

❏ Copie o oinJmaster.con ornecido peo DacJetence (veSa a seo acima) em /#sr/oca/p/con

❏ Oodi$car a con$g#rao para atender as s#as pr6prias necessidades. Et#amente! oar,#ivo de con$g#rao est7 de$nido para "#scar o sangramento das regras.

6tua*i+ação de $e#rasE $m de o"ter at#ai=a3es peri6dicas para as regras nort para o DacJetence! n6ssimpesmente precisamos criar #ma entrada no cronta" com as inorma3es corretas. >e5empo a seg#ir demonstra #ma entrada no cronta" para "#scar as at#ai=a3es diariamente Ks2;:00 DO:

0 2; (cd /#sr/oca/p per oinJmaster/oinJmaster.p -C con/oinJmaster.con -ocon/snort/)


http://oinkmaster.sourceforge.net/download.shtmlhttp://oinkmaster.sourceforge.net/download.shtmlhttp://oinkmaster.sourceforge.net/download.shtml


53/97

Capt#o @

4is%ositivos de $ede F*utuante

E partir da verso 1.G! o DacJetence agora s#porta dispositivos de rede #̂t#ante. 'mdispositivo de rede #̂t#ante R #m dispositivo para o ,#a o DacJetence tem #mcomportamento dierente em reao a #m dispositivo reg#ar. Hsta #ncionaidade oioriginamente adicionado para apoiar Dontos de Ecesso m6ve.

$ora o Pac0et1ence s2 suporta dispositivos de rede 3utuantes em switc4es Cisco con5uradocom porta de seuran*a!

Dara #m dispositivo reg#ar! o DacJetence cooca na +an correspondente a se# stat#s (Aegistro!P#arentena o# +an Aeg#ar) e a#tori=a-o na porta (port-sec#rity).

'm dispositivo de rede ^#t#ante R #m dispositivo ,#e o DacJetence no gerencia como #mdispositivo reg#ar.

P#ando #m dispositivo de rede ^#t#ante est7 igado! o DacJetence deve dei5ar/permitir ,#etodos os endereos OEC ,#e sero conectados a esse dispositivo (o# aparecer na porta) e! senecess7rio! con$g#re a porta como m#ti-van (tr#nJ) e de$nir D+I e marcar +*E&s na porta.

P#ando #m dispositivo de rede ^#t#ante R desconectado! o DacJetence deve re-con$g#rar aporta! como antes de ter sido igado.

E,#i est7 como #nciona:

❏ dispositivos de rede ^#t#ante devem ser identi$cadas #sando o endereo OEC.

❏ inJ#p/inJon armadihas no esto ha"iitados nos sitches! somente a porta de

seg#rana de armadihas so.

P#ando o DacJetence rece"e #ma trap na porta de seg#rana para #m dispositivode rede ^#t#ante! ee m#da a con$g#rao da porta de modo ,#e:

❏ ee desa"iita a seg#rana da porta

❏ ee de$ne o D+I

❏ event#amente de$ne a porta como m#ti-van (tr#nJ) e de$ne o rot#o das +ans

❏ permite armadihas inJon

P#ando o D rece"e #ma armadiha inJon em #ma porta no ,#a #m dispositivo de rede^#t#ante oi igado! ee m#da a con$g#rao da porta de modo ,#e:

❏ ee permite a seg#rana da porta

❏ ee desa"iita armadihas inJon

© 2008-2011 Inverse inc. Componentes >pcionais ;


55/97

Capt#o @

denti5cação

Como mencionamos anteriormente! cada dispositivo de rede ^#t#ante tem ,#e ser identi$cado.7 d#as maneiras de a=M-o:

❏ editando con'$'loat*ng3net"o&%3!e6*ce.con'

❏ atravRs do %'I da Fe"! na g#ia Con$g#ration -\ oating &etorJ evice.

E,#i esto as con$g#ra3es ,#e esto disponveis:

❏ Hndereo OEC

❏ Hndereo ID (no caso de #m ID est7tico)

❏ tr#nJDort: yes/no. E porta deveria ser con$g#rada como #ma porta de m#ti-van_

❏ pvid: +an em ,#e o DacJetence deve coocar a porta

❏ tagged+an: ista separada por vrg#a de +*E&s. e a porta R #ma m#ti-van! estas

so as +ans ,#e tMm ,#e ser marcados na porta.

© 2008-2011 Inverse inc. Componentes >pcionais


56/97

Capt#o @

GerIncia de !onvidado

DacJetence s#porta a ha"iidade de gerenciar convidados! esta"eecendo datas K e5pirar eatri"#indo #ma categoria dierente! ,#e permitir7 #m acesso dierente para os rec#rsos da rede.

>s convidados podem se a#to-registrar #tii=ando #m c6digo de ativao enviado para o se#teeone m6ve o# ees podem #sar se# endereo de e-mai e rece"er o inJ de ativao paraativar se# acesso K rede.

Convidados tam"Rm podem ser criados #sando #ma interace e" separada. Hssa interacepermitir7 ,#e os administradores do DacJetence o# gerentes de convidados! criar contasindivid#ais! v7rias contas #sando o pre$5o (por e5empo: g#est1! g#est2! g#est;...) o# importardatos de #m ar,#ivo C+ para criar contas. 'ma d#rao de acesso e #ma data de chegadatam"Rm so personai=7veis.

;ti*i+ação

$uto-registro de Con%idado

E#to-registro R ha"iitado por padro. a= parte do porta captive e pode ser acessado na p7ginade registro cicando no inJ ign #p.

Pr-registro de Con%idado

Darte da interace de administrao e"! a interace de gerenciamento de convidados R ativadapor padro. É acessve atravRs de #ma interace pr6pria! ,#e pode #sar #m ar,#ivo de #s#7riosdierente para direitos de acesso.

© 2008-2011 Inverse inc. Componentes >pcionais ?


57/97

Capt#o @

htts#$$ADFN3FP#1+$guests$manage

!on5#uração

$uto-registro de Con%idado

É possve modi$car os vaores do rec#rso padro de a#to-registro de convidado editando /#sr/oca/p/con/p.con.

+aores padro esto ocai=ados em /#sr/oca/p/con/p.con.dea#ts e doc#mentao paratodos os aS#stes est7 disponve em /#sr/oca/p/con/doc#mentations.con.

=guests3sel'3&eg*st&at*on>

mo!es/sms;ema*l

catego&y/guestaccess3!u&at*on/7!

ema*l3act*6at*on3t*meout/10m

allo"3local!oma*n/enale!

Dara desativar o rec#rso de a#to-registro! modi$car a seg#inte inha em /#sr/oca/p/con/p.con.

=guests3sel'3&eg*st&at*on>

mo!es/

Note .ue o usuário precisará de um %'$ vá)ido con5urado no Pac0et1ence, pararetransmitir corretamente e6mai)s re)acionado ao m2du)o convidado! Se o usuário usar)oca)4ost como smtpserver, o usuário precisa ter certe8a de .ue um %'$ está insta)ado econ5urado no servidor!

Convidados a#to-registrados so adicionados na a"a persons da interace de administrao e"do DacJetence.

Pr-registro de Con%idado

É possve modi$car os vaores do rec#rso padro de prR-registro de convidado editando /#sr/oca/p/con/p.con.

+aores padro esto ocai=ados em /#sr/oca/p/con/p.con.dea#ts e doc#mentao paratodos os aS#stes est7 disponve em /#sr/oca/p/con/doc#mentations.con.

© 2008-2011 Inverse inc. Componentes >pcionais @


58/97

Capt#o @

=guests3&e3&eg*st&at*on>

access3!u&at*on3cho*ces/1h;+h;12h;1!;2!;+!;)!

!e'ault3access3!u&at*on/12h

catego&y/guest

Dara ativar o prR-registro de convidado para ogin atravRs do porta captive! modi$,#e aseg#inte inha em /#sr/oca/p/con/p.con.

=&eg*st&at*on>

auth/&e&eg*ste&e!3guests

Edministradores do DacJetence a#tomaticamente tem acesso K interace de gerMncia de

convidado. 4am"Rm R possve criar #s#7rios ,#e somente ter7 acesso a esta interace emseparado:

htass"! $us&$local$'$con'$guest(manage&s.con' ne"3use&nameM

> #s#7rio recRm-criado ser7 capa= de acessar a interace imediatamente.

Note .ue o usuário precisará de um %'$ vá)ido con5urado no Pac0et1ence, pararetransmitir corretamente e6mai)s re)acionado ao m2du)o convidado! Se o usuário usar)oca)4ost como smtpserver, o usuário precisa ter certe8a de .ue um

packetfence administration guide-pt br-3.1.0

Documents