Представлен (https://packetfence.org/news/2016/article/packetfence-v61-re...) релиз PacketFence 6.1 (http://www.packetfence.org), свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы распространяется под лицензией GPLv2. Установочные пакеты подготовлены (http://www.packetfence.org/download/releases.html) для RHEL и CentOS.PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и программной начинки компьютеров в сети. Имеются средства для интеграции с оборудованием популярных производителей, таких как Cisco, Nortel, Hewlett-Packard, 3Com, D-Link, Intel и Dell.
Основные новшества:- Добавлена поддержка оборудования на базе CoovaChilli (https://coova.github.io/);
- Добавлен раздел для визуализации статистики сервисов на всех узлах кластера;- Для оборудования Meraki реализована поддержка RADIUS CoA (Change of Authorization (http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa...));
- Добавлена возможность привязки обработчиков, исполняемых при завершении работы модуля portal;
- Возможность определения профилей для автоматической регистрации устройств;
- Функции аудита логов RADIUS-сервера вынесены в отдельный модуль, в котором также реализована поддержка сохранения выполняемых поисковых запросов;- В модуле portal добавлена поддержка RADIUS CRAM (Challenge Response authentication);
- Добавлен модуль для перенаправления запросов на внутренние и внешние web-страницы;
- Возможность лимитирования числа логинов для аккаунта;
- Интерфейс администратора теперь доступен на каждом узле кластера, без необходимости создания master-узла;
- Увеличена производительность операций поиска.
URL: https://packetfence.org/news/2016/article/packetfence-v61-re...
Новость: http://www.opennet.ru/opennews/art.shtml?num=44645
На схеме что-то непонятное. В сабже функциональность впн сервера? Мобильник и ноут подключаются к публичной точке доступа, из них сразу какие-то вланы лезут, которые эта ТД якобы будет заворачивать на сервер аунтификации через интернет. При этом сабж установлен только на сервере в локалке....
описания на картинках читайте.
вот например к ноутбуку пометка, что хост сначала должен с помощью велана зарегистрироваться на портале, и после этого к нему применят доступ ограничениий сети.
;)
Но между ноутом и (публичной) точкой доступа никаких пакетов с заголовком вланов нет. Вернее могут быть но, надо чтобы и ноут и особенно ТД были на то настроены. По идее, вланы есть до ТД включительно, (если та настроена и поддерживает), которая роутит на клиента и обрезает заголовки пакетов.
ЗЫ. может я туnой, не знаю, но как бы система должна давать удобный защищенный доступ из любых мест и не только к веб, а это без клиентского софта невозможно.
4.1. OS Installation
Install your distribution with minimal installation and no additional packages. Then:
Disable Firewall
Disable SELinux
Disable AppArmor
Disable resolvconf
...
ProfitНу конечно я доверю безопасность сети людям не осилившим SELinux.
Тоже подобное напрягает. Поставь энтерпрайз дистр, сделай из него убунту (ничего против не имею) - профит.
Безопасность это такая условная вещь.
Все зависит от уровня вхождения в тему и желания кого либо проникнуть в сеть предприятия.
Обычно безопасная вещь безопасна при низком уровне вхождения в тему и большом желании злоумышленика и наоборот. Другие варианты как бы от лукавого, хоть и имеются ценители с повышенным чсв.
Есть кто-нибудь с опытом эксплуатации сабжа?
Особенно в сравнении с цисками.
Это же суть админка, при чем тут циски?
Так он у циски небось тоже только вебгуй видел.
> Представлен релиз PacketFence 6.1, свободной системы для управления доступом к сети (NAC)Т.е. первое же предложение — это полная ложь?