11年前、私はLinuxマシンにPacketfenceをインストールすることに成功しました。当時Packetfenceの起動と実行はまさに悪夢だったので、今でも鮮明に覚えています。この作業に成功した時は、本当に何かを成し遂げたような気分でした。当時は(もう覚悟していますか?)Ubuntu Server 6.04にインストールしていました。その後、PacketfenceはUbuntuのサポートを終了し、現在はCentOSとDebianの2つのディストリビューションのみに特化しています。この強力なネットワークアクセス制御システムのインストールがいかに簡単になったか、この機会にぜひお見せしたいと思います。CentOS 7でのデモも行いますが、CentOS 7の使用も強くお勧めします。
「どのように?」に入る前に、「なぜ?」を検討してみましょう。
Packetfenceとは何でしょうか?簡単に言えば、ネットワークアクセス制御(NAC)ソリューションです。つまり、ネットワークへの接続を許可するデバイスを制御したい場合は、NACの導入を検討する必要があります。Packetfenceは、NACをオープンソース化したもので、以下のような機能を備えています。
- 登録と修復のためのキャプティブポータル
- 有線および無線の集中管理
- 802.1Xサポート
- 問題のあるデバイスのレイヤー2分離
- Snort IDSおよびNessus脆弱性スキャナとの統合
PacketFenceは、小規模から大規模まで、異機種混在ネットワークを効果的に保護するために使用できます。何よりも素晴らしいのは、かつては導入と運用に多大な課題があったものが、今では非常にシンプルになったことです。
さて、その方法について説明しましょう。
必要なリポジトリを追加する
Packetfenceをインストールするには、まず必要なリポジトリを追加する必要があります。そのためには、suコマンドを実行し、rootユーザーのパスワードを入力します。rootアカウントで認証が完了したら、次のコマンドでリポジトリを追加します。
rpm -Uvh https://packetfence.org/downloads/PacketFence/RHEL7/x86_64/RPMS/packetfence-release-1.2-5.1.noarch.rpm
コマンドが完了すると、インストールの準備が整います。
インストール
さあ、インストールしましょう。インストールの前に、以下のコマンドでCentOS 7プラットフォームをアップグレードしておきましょう。
yum upgrade
サーバーがアップグレードされ、カーネルがアップグレードされた場合は必ず再起動してから、次のコマンドで Packetfence をインストールします。
yum install --enablerepo=packetfence packetfence
インストールには約5分ほどかかります(プロセッサの速度によって多少前後します)。インストールが完了すると、「完了!」というメッセージが表示され、次のステップに進むことができます。
コンフィギュレーター
ブラウザを起動してPacketfence Configuratorを起動しましょう。同じネットワーク上のブラウザでhttps://SERVER_IP:1443/configuratorにアクセスしてください。すると、Configuratorの最初のページが表示されます(図A)。
図A
Packetfenceに接続できない場合は、コマンドsudo iptables -Fでiptablesをフラッシュする必要があるかもしれません。これで接続できるようになるはずです。それでも問題が解決しない場合は、コマンドsetenforce 0でSELinuxを一時的に無効にする必要があるかもしれません。この無効化はコマンドsetenforce 1で元に戻すことができます。
後は、Configurator を使いながら、ネットワークのニーズに最適な設定を Packetfence で実行していくだけです。Configurator は各ステップで分かりやすく指示してくれます。ステップ 3 (図 B ) で、pf データベースを作成するために MySQL の root ユーザーのパスワードを確認してください。
図B
ステップ 7 で行き詰まった場合 ([Start Packetfence] ボタンが機能しない)、ターミナル ウィンドウに戻って次のコマンドを発行します。
cp /usr/local/pf/conf/pf-release /usr/local/pf/conf/currently-at
これにより問題が解決し、Packetfence のメイン ウィンドウが表示されます。
このプロセスを完了すると、誰が何にネットワークにアクセスできるかを完全に制御できるように Packetfence の構成を開始できます。
はるかに簡単なインストール
Packetfenceは残念ながらUbuntuのサポートを終了しましたが、CentOS 7サーバーをお持ちの場合、またはすぐに起動できる場合は、この強力なNACシステムをすぐに起動して使用できます。インストールが簡素化されたため、ネットワーク上のデバイスの接続/使用状況を低コストで管理したい管理者にとって、Packetfenceは選択肢の一つとなります。
