Packetfence NAC (Network Access Control) auf Debian 9.9 installieren

Packetfence ist eine Open Source network access control (NAC) Lösung. Mit Packetfence kann die Netzwerksicherheit signifikant erhöht werden. Voraussetzung dafür ist ein gutes Verständnis von VLAN und ein wenig Erfahrung von der Arbeitsweise von 802.1x. 

Aktuell (August 2019) liegt Packetfence in der Versionsnummer 9.0.1 vor für die Betriebssysteme Debian und CentOS. Es existiert ebenfalls eine „ZEN“ (Zero Effort NAC) Lösung, also eine virtuelle Maschine (OVF und als Live-USB Stick).

Für die Anleitung gehen wir davon aus, dass das Konzept rund um Network Access Control (NAC) verstanden ist.

Dieser „quick-install“ basiert auf der Anleitung von hier: https://packetfence.org/doc/PacketFence_Installation_Guide.html

Betriebssystem installieren

Betriebssystem: Debian 9.9 netinst iso

Betriebssystem installieren mit folgender Hardware-Ausstattung:

  • Zwei Netzwerkkarten (eth0 = primäre)
    • Server-Netzwerk (Management – Netzwerk) – sollte sich idealerweise ab der Installation im Management Netzwerk befinden
    • Netzwerk (TRUNK) – disconnected
  • Sonst laut Anforderung Admin-Guide Packetfence
    • 1x Intel or AMD CPU 3 GHz
    • 8 GB of RAM
    • 100 GB of disk space (RAID-1 recommended)

Systemsprache: Deutsch

Benutzer: root und admin (jeweils ein sicheres nicht-Standard-Passwort wählen)

Gesamte HDD verwenden

Debian Archiv / Spiegelserver: DE

Keine UI notwendig – SSH Server und Systemwerkzeuge sollten installiert werden. htop empfinde ich übersichtlicher als TOP und sollte zur Auslastungsanzeige und Prozessübersicht installiert werden.

Dann macht es Sinn, VMware Tools zu installieren, sofern als virtuelle Maschine auf VMware betrieben.

apt update && apt upgrade -y
apt dist-upgrade -y
apt install htop -y
apt install open-vm-tools -y

Packetfence installieren

Apt-Quelle für Packetfence (Debian 9)

echo 'deb http://inverse.ca/downloads/PacketFence/debian stretch stretch' > /etc/apt/sources.list.d/packetfence.list
apt install dirmngr
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-key 0x810273C4
apt update && apt upgrade -y
apt install packetfence -y

Folgende Punkte bei der nachfolgenden Konfiguration in den APT Dialogen anpassen

Grundabsicherung MariaDB durchführen und dem wizard folgen. Sicheres Passwort für MariaDB Datenbank für Benutzer root setzen

mysql_secure_installation

Sicheres root Passwort setzen und im Keepass speichern! Restliche Fragen mit Enter bestätigen.

Packetfence konfigurieren

Aufrufen der Konfigurationsseite

https://<ip_packetfence>:1443/configurator

  • Step 1 – Enfocement:
    • RADIUS Enforcement aktivieren
  • Step 2 – Network
    • Netzwerkkarte mit Type „Management“ versehen
    • IP Adresse festlegen und netmask
    • Default Gateway eintragen
  • Step 3 – Database
    • Root-Passwort eintragen und Test drücken
    • pf Datenbank erstellen lassen
    • Packetfence Database Account erstellen (sicheres Passwort wählen)
  • Step 4 – Packetfence
    • Domain eintragen
    • Hostname prüfen und eintragen
    • DHCP Server eintragen
    • Alerting Mail eintragen
  • Step 5 – Administration
    • Admin user password ändern
  • Step 6 – Fingerbank
    • Falls erwünscht – API Key eintragen
  • Step 7 – Start
    • Auf Start Packetfence drücken und GEDULD MITBRINGEN!!! Das dauert nun einer Weile
    • Danach wird man auf die Management Oberfläche weitergeleitet und darf sich mit dem admin user anmelden

Quellen