I.4 Installation et intégration de Nessus
PacketFence utilise Nessus comme un scanner
de vulnérabilités puisqu'il signale les faiblesses potentielles
ou avérées sur des machines testées. Pour identifier les
services actifs sur les machines, leurs systèmes d'exploitation (version
et patchs correctifs), antivirus (présence et version de la base de
définition virale à jour), logiciels (présence de
logiciels non-conformes à la politique del'établissement tels que
Skype, p2p,&), analyse spécifique (analyse de certaines
clefs du registre spécifique pour les clients Microsoft
Windows). S'il trouve une machine qui n'est pas conforme à la politique
générale de sécurité, il met cette machine dans un
vlan isolationet la redirige vers un url bien déterminé pour
faire les mises à jours appropriées
I.4.1 Installation
Ø yum localinstall Nessus-4.4.0-es5.i386.rpm
Ø /opt/nessus/bin/nessus-fetch --register
25DDA-1565-0083-DF78-86B2 //activation de Nessus
Ø /opt/nessus/sbin/nessus-service -D //Installation et
configuration des plugins Ø /opt/nessus/sbin/nessus-adduser // ajout
deux 3utilisateurs
2 Ce numéro nous a été attribué sur
le site de Nessus. Après enregistrement nous l'avons reçu dans
notre boite e-mail
3 Nous allons créer un utilisateur « root » et
un utilisateur « deschanel »
I.4.2 Intégration
Pour intégrer Nessus dans PacketFence on doit ajouter les
lignes suivantes dans le fichier /usr/local/pf/conf/pf.con :
Une fois que ceci est fait, on peut lancer le navigateur et
saisir : 10.0.2.15 :8334 pour avoir l'interface graphique de configuration de
nessus. Il se présente comme suit:
I.5 Installation de FreeRADIUS
PacketFence utilise FreeRADIUS pour le mode
d'authentification basé sur l'adresse MAC. Ce mode permet de rendre plus
souple la configuration des contrôleurs d'accès (commutateurs et
point d'accès), car cette procédure de contrôle est
fondée sur l'adresse physique du client réseau. Ce mode de
contrôle des clients n'est pas le plus sécurisé, mais offre
une certaine facilité de mise en Suvre dans un environnement existant.
Dans ce cas, l'adresse MAC servira d'identifiant de référence
pour l'authentification sur le RADIUS. En cas de succès ou
d'échec de l'authentification, les attributs-valeurs permettent
d'orienter le client vers un VLAN prédéfini.
La commande suivante permet l'installation de free radius:
Ø Yum install freeradius2
Pour la bonne intégration de notre serveur
d'authentification Free Radius, on doit préciser les identifiants radius
de chaque commutateur et chaque utilisateur dans les deux fichiers suivants
· Fichier de configuration:
/etc/raddb/clients.conf
Ici sont présentés les contrôleurs
d'accès via un nom, une adresse IP et un secret partagé. D'autres
informations optionnelles peuvent être ajoutées pour éviter
les connexions simultanées d'un même utilisateur.
client Cisco2950 {
ipaddr = 10.0.10.2 // adresse IP du commutateur secret =
Secret
}
· Fichier de configuration:
/etc/raddb/users
Un utilisateur est défini par son nom et sa méthode
d'authentification. On peut aussi y mettre des directives
post-authentification, comme une attribution de VLAN.
Nom_utilisateur Cleartext-Password := « secret »
| 
