Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NSTALACION Y CONFIGURACION DE PACKETFENCE FULL Autoguardado PDF
NSTALACION Y CONFIGURACION DE PACKETFENCE FULL Autoguardado PDF
CONFIGURACIN DE
PACKETFENCE
1. Pre Requisitos
Para la instalacin de PacketFence debemos instalar las herramientas necesarias para el
funcionamiento completo de la misma.
Servidor SNM
Una de las herramientas fundamentales para la comunicacin con los equipos de red y
PacketFence es SNMP para esto instalaremos un servidor snmp en el mismo servidor en la
cual funciona la herramienta.
(10.17.1.117/24)
####
# Second, map the security name into a group name:
#
groupName
securityModel securityName
group
gplocal v1
local
group
gplocal v2c
local
group
gplocal usm
local
group
group
group
gpred v1
gpred v2c
gpred usm
red
red
red
####
# Third, create a view for us to let the group have rights
to:
# Make at least snmpwalk -v 1 localhost -c public system fast
again.
#name
incl/excl
subtree
mask(optional)
#view
systemview
included
.1.3.6.1.2.1.1
#view
systemview
included
.1.3.6.1.2.1.25.1.1
view
all
included
.1
80
####
# Finally, grant the group read-only access to the systemview
view.
#group context sec.model sec.level prefix read
write notif
#access notConfigGroup ""
any
noauth
exact
#systemview none none
access gplocal ""
any
noauth
exact all all all
access gpred ""
any
noauth
exact all all all
Servidor MYSQL
La herramienta PacketFence funciona con una base de datos Mysql para eso
debemos instalar el servicio con el comando yum.
yum install mysql-server mysql.
Switchs:
Configuracin de SNMP:
Accediendo al switch al que se conectara con PacketFencey en modo de
configuracin realizamos lo siguiente:
snmp-server
snmp-server
snmp-server
snmp-server
security
community nac RW 10
enable traps port-security
enable traps port-security trap-rate 1
host 172.16.148.30 version 2c nac
port-
interface FastEthernet0/23
switchport access vlan 80
switchport mode access
switchport port-security maximum 1 vlan access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address 0200.000X.XXX
speed 100
duplex full
Nota. X.XXX es el nmero de ifindex de la interfaz, en este caso seria 1.0023 por
la interfaz F 0/23
iptables
iptables
#Vlan 4
iptables
iptables
#Vlan 5
iptables
iptables
#Vlan 6
iptables
iptables
#Vlan 7
iptables
iptables
#Vlan 8
iptables
iptables
VLAN7=172.16.149.0/24
VLAN8=172.16.150.0/24
#FORWARD PARA PERMITIR NAVEGACIN POR INTERNET DE LAS VLANS PERMITIDAS
#Las vlans permitidas son de la Vlan 2 a la 8
#------VLAN 2-----# Forward puerto 80
iptables -t filter -A FORWARD -i eth1.2 -o eth0 -s $VLAN2 -d 0/0 -p
tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.2 -d $VLAN2 -s 0/0 -p
tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 53
iptables -t filter -A FORWARD -i eth1.2 -o eth0 -s $VLAN2 -d 0/0 -p
udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.2 -d $VLAN2 -s 0/0 -p
udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 443
iptables -t filter -A FORWARD -i eth1.2 -o eth0 -s $VLAN2 -d 0/0 -p
tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.2 -d $VLAN2 -s 0/0 -p
tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Forward a la Vlan de Sistemas
iptables -t filter -A FORWARD -i eth1.2 -o eth1.6 -s $VLAN2 -d $VLAN6
-j ACCEPT
iptables -t filter -A FORWARD -i eth1.6 -o eth1.2 -d $VLAN2 -s $VLAN6
-m state --state RELATED,ESTABLISHED -j ACCEPT
#------VLAN 3-----# Forward puerto 80
iptables -t filter -A FORWARD -i eth1.3 -o eth0 -s $VLAN3 -d 0/0 -p
tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.3 -d $VLAN3 -s 0/0 -p
tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 53
iptables -t filter -A FORWARD -i eth1.3 -o eth0 -s $VLAN3 -d 0/0 -p
udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.3 -d $VLAN3 -s 0/0 -p
udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 443
iptables -t filter -A FORWARD -i eth1.3 -o eth0 -s $VLAN3 -d 0/0 -p
tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.3 -d $VLAN3 -s 0/0 -p
tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Forward a la Vlan de Sistemas
iptables -t filter -A FORWARD -i eth1.3 -o eth1.6 -s $VLAN3 -d $VLAN6
-j ACCEPT
iptables -t filter -A FORWARD -i eth1.6 -o eth1.3 -d $VLAN3 -s $VLAN6
-m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 53
iptables -t filter -A FORWARD -i eth1.6 -o eth0 -s $VLAN6 -d 0/0
udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.6 -d $VLAN6 -s 0/0
udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 443
iptables -t filter -A FORWARD -i eth1.6 -o eth0 -s $VLAN6 -d 0/0
tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.6 -d $VLAN6 -s 0/0
tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 1863 (Messenger)
iptables -t filter -A FORWARD -i eth1.6 -o eth0 -s $VLAN6 -d 0/0
tcp --dport 1863 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1.6 -d $VLAN6 -s 0/0
tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
-p
-p
-p
-p
-p
-p
-p
-p
-p
-p
(80)
--dport 80 -j DNAT ---dport 80 -j DNAT ---dport 80 -j DNAT ---dport 80 -j DNAT ---dport 80 -j DNAT ---dport 80 -j DNAT ---dport 80 -j DNAT --
de salida a
MASQUERADE
MASQUERADE
MASQUERADE
MASQUERADE
MASQUERADE
MASQUERADE
MASQUERADE
2. INSTALACIN
Para proceder a la instalacin de la herramienta tenemos que seguir los siguientes pasos:
Importamos la key o llave para poder realizar las descargas del repositorio de DAG
el cual contiene un sin nmero de programas pero el nos interesa es la herramienta
Packetfence.
wget http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt
wg
groupinstall
Packetfence-complete
--enablerepo=PacketFence,rpmforge
Esto instalara PacketFence con todas las dependencias necesarias para que esta
funcione.
El siguiente paso es actualizar las amenazas que puede detectar la herramienta snort.
En el siguiente paso se actualiza los prefijos OUI y con este paso finalizamos con el
script de instalacin de PacketFence.
3. Configuracin de la herramienta
Enseguida nos pide la interface de red que vamos a utilizar para administracin de
la herramienta.
Por ltimo se configura las la interfaz de para la captura de dispositivos de red y las
notificaciones que enva la herramienta.
Definicin de Switchs:
Se puede hacer por interfaz web o configurar el archivo:
/usr/local/pf/conf/switches.conf
En este archivo se agregan los switchs con los que se desea trabajar. Asi:
[172.16.148.57]
type=Cisco::Catalyst_2960
mode=production
vlans=2,3,4,5,6,8,70,80
normalVlan=6
registrationVlan=80
isolationVlan=70
macDetectionVlan=6
guestVlan=80
customVlan1=2
customVlan2=3
customVlan3=4
customVlan4=5
customVlan5=8
cliPwd=tulipan
cliEnablePwd=tulipan
SNMPVersionTrap=2c
SNMPCommunityTrap=nac
SNMPVersion=2c
SNMPCommunityRead=nac
SNMPCommunityWrite=nac
uplink=10018,10019,10020,10021,10022,10024,10025,10046,1
0101,10102
DNS de Cuarentena:
; Isolation network DNS configuration
; This file is manipulated on PacketFence's startup before
being given to named
$TTL 3600
. IN SOA %%hostname%%. %%incharge%% (
2009020901 ; serial
10800
; refresh
3600
; retry
604800
; expire
86400
; default_ttl
)
IN
NS
%%hostname%%.
*.
IN
A
172.16.153.1
IN
MX
5
%%hostname%%.
1.153.16.172.in-addr.arpa.
IN
PTR
%%hostname%%
IN
*.
IN
NS
IN
MX
%%hostname%%.
A
172.16.158.1
5
%%hostname%%.
1.158.16.172.in-addr.arpa.
IN
PTR
%%hostname%%
Para el primer usuario se crea as, debido a que se necesita crear el archivo.
htpasswd -c /usr/local/pf/conf/user.conf newuser
Por lo siguiente
AddDefaultCharset UTF-8
Despues de
DirectoryIndex index.html index.cgi index.php
Registro de Sucesos
Los archivos de registros de sucesos o archivos logs de packetfence son los
siguientes:
/usr/local/pf/logs/packetfence.log Sucesos de el demonio pf
/usr/local/pf/logs/access_log Apache Registro de acceso al Portal captivo
/usr/local/pf/logs/error_log Apache Registros de error al portal captico
/usr/local/pf/logs/admin_access_log Apache Web Admin/Services Access Log
/usr/local/pf/logs/admin_error_log Apache Web Admin/Services Error Log
/usr/local/pf/logs/admin_debug_log Apache Web Admin Debug Log
ANEXO D
NESSUS Y PACKETFENCE
1. Instalando Nessus
Instalamos Nessus
rpm -ivh Nessus-4.4.1-es5.x86_64.rpm
Activacin de Nessus
Hay que registrarse en la pgina oficial de Nessus para poder usar elcdigo de
activacin de la herramienta.
http://www.nessus.org/products/nessus/nessus-plugins/obtainan-activation-code
/opt/nessus/bin/nessus-fetch
--register
EB6C-ACEC-A989-C945-
777A
chkconfig nessusd on
Archivo de Configuracin
PacketFence trae consigo un archivo de configuracin pre elaborado para el escaneo
de vulnerabilidades en la siguiente ubicacin:
/usr/local/pf/conf/nessus/remotescan.nessus
Utilizamos este archivo para configurar laspolticas de pre ingreso a la red LAN.
Configurando Nessus
Se debe agregar a la herramienta el archivo de polticas de de PacketFence a Nessus
Para esto debemos ingresar en el men de polticas en esta parte podemos observar
polticas predefinidas en nuestro caso necesitamos agregar la poltica que viene por
defecto en PacketFence.