- Aker Security Solutions
Transcrição
- Aker Security Solutions
*Aker Security Solutions *Captive Portal by PacketFence Versão: 20/07/2016 Página 1 ÍNDICE 2 ÍNDICE DE FIGURAS ................................................................................................................................ 4 1 INTRODUÇÃO ................................................................................................................................... 9 COMO ESTÁ DISPOSTO ESTE MANUAL ......................................................................................................... 9 TERMINOLOGIAS E CONCEITOS .................................................................................................................. 9 2 A3S 12 REQUISITOS PARA O A3S ....................................................................................................................... 12 INSTALAÇÃO ........................................................................................................................................ 13 GERENCIAMENTO DO A3S ..................................................................................................................... 19 PRIMEIRO ACESSO À INTERFACE DE GERENCIAMENTO WEB DO A3S................................................................ 19 PAINEL ............................................................................................................................................... 21 USUÁRIOS........................................................................................................................................... 22 AKER SSO .......................................................................................................................................... 23 CAPTIVE PORTAL .................................................................................................................................. 25 ADMINISTRAÇÃO .................................................................................................................................. 26 AJUDA ............................................................................................................................................... 29 OPÇÕES DE IDIOMA DA INTERFACE DE GERENCIAMENTO WEB ...................................................................... 31 LISTA DE COMANDOS DISPONÍVEIS PARA A INTERFACE DE TEXTO DO A3S ......................................................... 31 3 AKER SINGLE SIGN-ON .................................................................................................................... 37 CONFIGURANDO O AKER SINGLE SIGN-ON ................................................................................................ 38 Cadastro de Firewall no Aker Single Sign-On ........................................................................................ 39 Cadastro de Escopo ............................................................................................................................... 41 Habilitando o Aker Single Sign-On no Aker Firewall.............................................................................. 47 HABILITANDO O AKER SINGLE SIGN-ON VIA AKER CONTROL CENTER .............................................................. 48 CONFIGURANDO O AKER SINGLE SIGN-ON VIA INTERFACE DE TEXTO – COMANDO “FWACCESS” .......................... 50 REGRAS DE FILTRAGEM NECESSÁRIAS PARA O AKER SINGLE SIGN-ON ............................................................. 51 AKER SINGLE SIGN-ON TROUBLESHOOTING ............................................................................................... 51 4 CAPTIVE PORTAL ............................................................................................................................ 54 PRIMEIROS PASSOS CAPTIVE PORTAL ....................................................................................................... 55 CONFIGURANDO O AKER FIREWALL PARA INTEGRAÇÃO COM O CAPTIVE PORTAL............................................... 58 Habilitando o Captive Portal no Aker Firewall via Aker Control Center ................................................ 59 Habilitando o Captive Portal no Aker Firewall via Interface de Texto .................................................. 62 *Aker Security Solutions *Captive Portal by PacketFence Página 2 CONFIGURANDO O CAPTIVE PORTAL ........................................................................................................ 63 Roles ...................................................................................................................................................... 64 CADASTRO DE ROLE .............................................................................................................................. 68 Sources .................................................................................................................................................. 70 Internal .................................................................................................................................................. 70 External.................................................................................................................................................. 76 CONFIGURANDO O AUTO REGISTRO DE USUÁRIOS ....................................................................................... 79 Exclusive ................................................................................................................................................ 85 Local....................................................................................................................................................... 85 Portal Profiles ........................................................................................................................................ 86 Cadastrando o Aker Firewall no Captive Portal ..................................................................................... 92 Auto registro de usuários ...................................................................................................................... 95 5 GERENCIANDO O CAPTIVE PORTAL ............................................................................................... 102 Menu Status ........................................................................................................................................ 102 Menu Reports ...................................................................................................................................... 103 Menu Nodes ........................................................................................................................................ 104 Search .................................................................................................................................................. 104 Menu Users ......................................................................................................................................... 105 Menu Configuration ............................................................................................................................ 107 CAPTIVE PORTAL TROUBLESHOOTING ..................................................................................................... 108 *Aker Security Solutions *Captive Portal by PacketFence Página 3 Figura 1 - Tela de Boas Vindas ................................................................................................. 13 Figura 2 - Definindo senha de administrador .......................................................................... 14 Figura 3 - Opções de particionamento de disco ...................................................................... 14 Figura 4 - Formatando.............................................................................................................. 15 Figura 5 - Instalação de pacotes .............................................................................................. 15 Figura 6 - Execução de scripts de pós-instalação ..................................................................... 16 Figura 7 - Configuração do Domínio ........................................................................................ 16 Figura 8 - tela de configuração de acesso exclusivo ao A3S .................................................... 17 Figura 9 - Tela de configuração de acesso exclusivo ao A3S ................................................... 18 Figura 10 - Confirmar a operação ............................................................................................ 18 Figura 11 - Tela de login ........................................................................................................... 18 Figura 12 - Tela de login do A3S ............................................................................................... 19 Figura 13 - Alteração de senha SSH ......................................................................................... 20 Figura 14 - Alteração de senha Webgui ................................................................................... 20 Figura 15- Perfil - Alteração de senha Webgui ........................................................................ 20 Figura 16 - Menus do A3S ........................................................................................................ 21 Figura 17 - Painel ...................................................................................................................... 22 Figura 18 - Lista de usuários..................................................................................................... 23 Figura 19 - Gerenciamento de perfil de acesso. ...................................................................... 23 Figura 20 - Aker SSO ................................................................................................................. 24 Figura 21 - Lista de Escopos ..................................................................................................... 24 Figura 22 - Lista de Firewalls .................................................................................................... 25 Figura 23 - Captive Portal ......................................................................................................... 26 Figura 24 - Janela de Administração do Captive Portal ........................................................... 26 Figura 25 - Menu Administração.............................................................................................. 27 Figura 26 - Tipo de Autenticação ............................................................................................. 27 Figura 27 - Autenticação do tipo LDAP .................................................................................... 28 Figura 28 - Aba Servidores NTP ................................................................................................ 28 Figura 29 - Configurações de rede ........................................................................................... 29 Figura 30 - Menu Ajuda ............................................................................................................ 30 Figura 31 - Sobre ...................................................................................................................... 31 *Aker Security Solutions *Captive Portal by PacketFence Página 4 Figura 32 - Opções de idioma .................................................................................................. 31 Figura 33 - Comando para restauração ................................................................................... 33 Figura 34 - Configuração de envio de e-mail Captive Portal ................................................... 34 Figura 35 - Configuração do Domínio do A3S .......................................................................... 34 Figura 36 - Configuração de acesso exclusivo.......................................................................... 35 Figura 37 - Esquema de implementação ................................................................................. 39 Figura 38 - Event Viewer > Firewall.......................................................................................... 39 Figura 39 - Cadastro de Firewall .............................................................................................. 40 Figura 40 - Configuração da senha no Aker Firewall ............................................................... 40 Figura 41 - Escopos .................................................................................................................. 41 Figura 42 - Aba Configuração - SSO ......................................................................................... 42 Figura 43 - Timeout no Aker Control Center............................................................................ 42 Figura 44 - Modelo de configuração de faixas de IP ................................................................ 43 Figura 45 - Aba Servidores AD - SSO ........................................................................................ 44 Figura 46 - Janela de cadastro de AD ....................................................................................... 44 Figura 47 – Visualizando a base DN ......................................................................................... 45 Figura 48 - Visualizando o Bind DN .......................................................................................... 45 Figura 49 -Aba Firewalls - Escopo SSO ..................................................................................... 46 Figura 50 - Configuração no Aker Firewall - Autenticação ...................................................... 48 Figura 51 - Aba Aker Single Sign-On ......................................................................................... 48 Figura 52 - Entidade representando o servidor A3S ................................................................ 49 Figura 53 - Esquema de implementação do Captive Portal..................................................... 57 Figura 54 - Regras gerais .......................................................................................................... 58 Figura 55 - Filtro web ............................................................................................................... 60 Figura 56 - Filtro Web Aba Geral.............................................................................................. 60 Figura 57 - Aba Autenticação Captive Portal ........................................................................... 61 Figura 58 - A3S > Captive Portal ............................................................................................... 63 Figura 59 - Tela de Login da Interface de Gerenciamento do Captive Portal .......................... 63 Figura 60 - Página Inicial .......................................................................................................... 64 Figura 61 - AD cadastrado em Sources .................................................................................... 66 Figura 62 - Role com o DN dos grupos ..................................................................................... 66 Figura 63 - Roles atribuídos a fonte de Autenticação - AD testes.aker ................................... 67 Figura 64 - Criação de Rule ...................................................................................................... 68 *Aker Security Solutions *Captive Portal by PacketFence Página 5 Figura 65 - Atribuição de Roles no cadastro de Firewall dentro do Captive Portal ................. 68 Figura 66 - Autenticação Aker Firewall .................................................................................... 68 Figura 67 - Roles ....................................................................................................................... 69 Figura 68 - Roles ....................................................................................................................... 69 Figura 69 - Quantidade de dispositivos por usuários .............................................................. 70 Figura 70 - Fontes de autenticação Internas ........................................................................... 70 Figura 71 - Configuração Captive e Aker Firewall .................................................................... 71 Figura 72 - Cadastro de AD ...................................................................................................... 72 Figura 73 - Identificando base DN............................................................................................ 73 Figura 74 - Identificando Bind DN ............................................................................................ 74 Figura 75 – Regra para o AD..................................................................................................... 74 Figura 76 - Validação de conexão ............................................................................................ 75 Figura 77 - Autenticação estabelecida com sucesso ............................................................... 75 Figura 78 - Fontes de autenticação Externas ........................................................................... 76 Figura 79 - Configurando fonte de autenticação do tipo mídia social .................................... 78 Figura 80 - Regra para autenticação por mídias externas ....................................................... 79 Figura 81 - Tela de Registro de Convidado .............................................................................. 80 Figura 82 - Configuração padrão de envio de e-mail Captive Portal ....................................... 81 Figura 83 - Source Email e Sponsor atribuídas ao Portal Profile ............................................. 81 Figura 84 - Registro por e-mail................................................................................................. 82 Figura 85 - Registro através de um patrocinador .................................................................... 83 Figura 86 - Criação de usuários locais no Captive Portal ......................................................... 83 Figura 87 -Janela de criação de usuários local ......................................................................... 84 Figura 88 – Fontes de autenticação exclusivas ........................................................................ 85 Figura 89 – Registro de usuários locais .................................................................................... 86 Figura 90 - Portal Profiles aba settings .................................................................................... 87 Figura 91 - Portal Profiles aba Captive Portal .......................................................................... 88 Figura 92 - Portal Profiles aba Files .......................................................................................... 89 Figura 93 - Access duration ...................................................................................................... 92 Figura 94 - Cadastro de Firewall no A3S .................................................................................. 93 Figura 95 - Cadastrando o Aker Firewall no Captive Portal ..................................................... 94 Figura 96 - Tela de Login do Captive Portal ............................................................................. 96 Figura 97 - Tela de registro ...................................................................................................... 97 *Aker Security Solutions *Captive Portal by PacketFence Página 6 Figura 98 - Acesso à Rede Solicitado........................................................................................ 97 Figura 99 - Registro por meio de Mídias sociais ...................................................................... 98 Figura 100 - Página de login Facebook .................................................................................... 99 Figura 101 - Página do login Google ...................................................................................... 100 Figura 102 - Ativação de rede ................................................................................................ 100 Figura 103 - Menus do Captive Portal.................................................................................... 102 Figura 104 - Aba Dashboard ................................................................................................... 102 Figura 105 - Aba Services ....................................................................................................... 103 Figura 106 - Menu Reports .................................................................................................... 103 Figura 107 - Menu Nodes _Search ......................................................................................... 104 Figura 108 - Filtragem ............................................................................................................ 104 Figura 109 - Menu Nodes_Create .......................................................................................... 105 Figura 110 - Menu Users ........................................................................................................ 106 Figura 111 – Exclusão de usuário ........................................................................................... 107 Figura 112 - monitoramento de logs do Captive Portal ........................................................ 110 *Aker Security Solutions *Captive Portal by PacketFence Página 7 *Aker Security Solutions *Captive Portal by PacketFence Página 8 Seja bem-vindo ao manual do A3S Como está disposto este manual Este manual é organizado em vários capítulos e cada capítulo mostra um aspecto de configuração do produto e todas as informações relevantes ao aspecto tratado. Este guia foi criado com o objetivo de auxiliar engenheiros, gerentes dos produtos e especialistas de rede a instalar, configurar e entender as funcionalidades do A3S. Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos aspectos específicos de configuração do A3S. Juntamente com esta introdução teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém, bastante plausíveis. Buscamos, com isso, tornar o entendimento das diversas variáveis de configuração o mais simples possível. Recomendamos que este manual seja lido na ordem apresentada pelo menos, uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessário, é possível utilizá-lo como fonte de referência. Para facilitar o seu uso como referência, os capítulos estão divididos em tópicos, com acesso imediato pelo índice principal. Desta forma, acha-se facilmente a informação desejada. No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve ser totalmente entendida antes que se prossiga com a leitura do capítulo. Terminologias e conceitos Oauth – Protocolo de segurança utilizado para fazer a comunicação com as mídias sociais suportadas pelo Captive Portal. Field - Campo que armazena as informações do usuário como: Nome, Sobrenome, Email, Endereço e etc. Tag - Campo que armazena permissões de acesso administrativo a outros sistemas ou flags para um objetivo específico. Provider - Mecanismo de autenticação e autorização de acesso. Normalmente adiciona entradas às interfaces administrativas e do usuário. *Aker Security Solutions *Captive Portal by PacketFence Página 9 Provider ID - Identificação fornecida durante uma autenticação com o A3S, que combinada com o Provider, identifica uma conta de usuário associada. Endpoint - A URL que expõe a API do A3S. Portal Profile – Portal de acesso atribuído às redes do Captive Portal. API Key - ID em forma numérica ou string usada na comunicação do Captive Portal com as fontes de autenticação externas do tipo redes sociais. API Secret - Segredo, token, senha utilizada na encriptação dos dados enviados. A API secret é armazenada com a API key e ambas são utilizadas na comunicação do Captive Portal com as fontes de autenticação externas do tipo redes sociais. Source - Sources são as fontes de autenticação que serão utilizadas para autenticar os usuários das redes gerenciadas pelo Captive Portal. Role - Roles representam as regras aplicadas aos dispositivos das redes gerenciadas pelo Captive Portal, e definem o número limite de dispositivos que cada usuário poderá autenticar na rede. Node – Nodes são os dispositivos conectados ao Captive Portal. Base DN – Ponto inicial da hierarquia do Active Directory que será usado na procura e solicitação de autenticação com o AD. Exemplo: CN=Users,DC=seudominio,DC=com,DC=br Bind DN - É o usuário (usuário com privilégios para efetuar procura por outros usuários ou em outros servidores) que será utilizado na procura e solicitação de autenticação com o AD(s). Exemplo:CN=Administrador,CN=Users,DC=meudominio,DC=com,DC=br MAC Address– Media Access Control, é o endereço físico associado à interface de comunicação dos dispositivos conectados ao A3S. Exemplo: 00:19:B9:FB:E2:58 Username Attribute – Atributo de pesquisa utilizado para identificar usuários no AD. O atributo comumente utilizado é o “sAMAcountName”. WMI - Instrumento de gerenciamento do Windows (Windows Management Instrumentation) é a implementação da Microsoft, como uma iniciativa da indústria que visa estabelecer padrões para acessar e compartilhar informações de gerenciamento por meio de uma rede empresarial. O WMI pode ser usado pelas ferramentas de gerenciamento do computador para ajudar a gerenciar seus computadores. *Aker Security Solutions *Captive Portal by PacketFence Página 10 *Aker Security Solutions *Captive Portal by PacketFence Página 11 Este capítulo aborda o procedimento de instalação e os requisitos do sistema do A3S. O A3S é uma central de autenticação unificada baseada no sistema operacional “Cent OS 6” que, por meio de uma Interface Web simples e intuitiva, permite o gerenciamento do Aker Single Sign-On e Captive Portal (by Packetfence), em conjunto com o Aker Firewall. Essas duas ferramentas são fundamentais para o cumprimento do Marco Civil da Internet. A seguir, mais detalhes sobre os requisitos e a instalação do produto. O A3S pode ser instalado a partir de diversos tipos de mídias, desde que a BIOS da máquina permita. Requisitos para o A3S Para que o A3S funcione de maneira satisfatória recomenda-se que os requisitos abaixo sejam atendidos: Requisitos mínimos - Processador Intel ou AMD CPU 3Ghz (4 cores), 4 GB de RAM, 100 GB Recomendado - Processador Intel I7 (4 cores) ou superior, 8GB de RAM, 100 GB Homologado na plataforma VMware VSphere Versão 5.5 e 6.0. *Aker Security Solutions *Captive Portal by PacketFence Página 12 Instalação A seguir, o passo a passo do procedimento instalação do A3S. O instalador do A3S está disponível para download em: A3S installer Ao iniciar a instalação do A3S será exibida a tela de boas-vindas. Selecione a opção “Instalar”: Figura 1 - Tela de Boas Vindas Em seguida, será exibida a tela de definição de senha de acesso para a conta de administrador do A3S (ROOT). Defina a senha e pressione a tecla Enter. Esta senha será solicitada para gerenciar o A3S pela interface de texto. *Aker Security Solutions *Captive Portal by PacketFence Página 13 Figura 2 - Definindo senha de administrador Em seguida, selecione o tipo de particionamento e em qual disco que a instalação será efetuada, e pressione a tecla Enter. Figura 3 - Opções de particionamento de disco Aguarde até que o processo de instalação seja concluído e a tela de login seja exibida. *Aker Security Solutions *Captive Portal by PacketFence Página 14 *Aker Security Solutions *Captive Portal by PacketFence Figura 4 - Formatando Figura 5 - Instalação de pacotes Página 15 Figura 6 - Execução de scripts de pós-instalação Após a execução dos scripts, a tela de configuração de Hostname e Domínio do A3S será exibida. Preencha os campos corretamente e prossiga para o próximo passo. Esta configuração também pode ser aplicada por meio da linha de comando (comando: a3s-configHostname-domain). Para mais informações sobre os comandos disponíveis no A3S, clique aqui. Figura 7 - Configuração do Domínio Caso o administrador opte por não configurar o Hostname e Domínio da máquina, serão utilizados os padrões: akersinglesignon.aker.com.br *Aker Security Solutions *Captive Portal by PacketFence Página 16 Em seguida, a tela de configuração de rede será exibida. Insira o endereço IP, máscara, gateway e endereços DNS, e selecione OK. Nesta janela os campos de endereço IP e máscara são mandatórios. a3s Em seguida, a tela de configuração de acesso exclusivo ao A3S será exibida. Selecione “Sim” para selecionar as redes que poderão acessar a interface de gerenciamento do A3S, ou selecione “Não” para prosseguir para o próximo passo. É recomendado que pelo menos uma rede seja definida nesta configuração. Figura 8 - tela de configuração de acesso exclusivo ao A3S Defina as redes e respectivas máscaras, que terão permissão de acesso à interface de gerenciamento do A3S e pressione Enter. Esta configuração também pode ser aplicada por meio da linha de comando (comando: a3s-configaccess). Para mais informações sobre os comandos disponíveis para o A3S, clique aqui. *Aker Security Solutions *Captive Portal by PacketFence Página 17 Figura 9 - Tela de configuração de acesso exclusivo ao A3S Confirme a configuração selecionando “Sim”. Figura 10 - Confirmar a operação Ao confirmar a configuração, o sistema será reiniciado e a tela de login exibida. Figura 11 - Tela de login Ao concluir a instalação, a máquina será reiniciada e a tela de login será exibida. Login: root *Aker Security Solutions *Captive Portal by PacketFence Página 18 Senha: definida na instalação. Para informações sobre as configurações do Aker Single Sign-On clique aqui. Para informações sobre as configurações do Captive Portal clique aqui. Gerenciamento do A3S Este tópico apresenta uma breve apresentação dos menus e opções da interface de gerenciamento do A3S. Primeiro Acesso à Interface de gerenciamento web do A3S Ao concluir a instalação do A3S, acesse o IP definido na instalação na “porta 1442”. A tela de login será exibida a seguir: Figura 12 - Tela de login do A3S Utilize as credencias abaixo para efetuar o primeiro acesso. *Interface web Usuário: admin *Aker Security Solutions *Captive Portal by PacketFence Página 19 Senha: 123456 *SSH Usuário: root Senha: definida na instalação Recomenda-se que estas senhas sejam alteradas no primeiro acesso, para isso, siga os passos descritos abaixo: Para alterar a senha de acesso da interface de texto, utilize o comando abaixo: Execute o comando “passwd root”, em seguida insira a nova senha. Figura 13 - Alteração de senha SSH Para efetuar a alteração de senha da interface de gerenciamento web, clique em “Perfil”, localizado no canto superior direito da tela e modifique sua senha. *Aker Security Solutions *Captive Portal by PacketFence Figura 14 - Alteração de senha Webgui Figura 15- Perfil - Alteração de senha Webgui Página 20 O A3S possui 6 (seis) menus principais que permitem ao administrador acesso rápido às informações de usuários e á aplicação e definição dos parâmetros de configurações do Aker Single Sign-On e Captive Portal. A seguir, mais informações sobre estes menus. Figura 16 - Menus do A3S Painel O menu Painel do A3S exibe as informações dos usuários autenticados por meio do Aker Single SignOn. Nesta janela são exibidos: Login, IP, data e hora, grupos, Domínio, servidor de AD, tipo de autenticação utilizada e logon ID dos usuários. *Aker Security Solutions *Captive Portal by PacketFence Página 21 Figura 17 - Painel Usuários O menu Usuários exibe informações dos usuários administradores do A3S. Por meio desta janela, é possível visualizar todos os usuários administradores, editar, excluir ou cadastrar um novo usuário. *Aker Security Solutions *Captive Portal by PacketFence Página 22 Figura 18 - Lista de usuários Também é possível gerenciar o perfil do usuário que está conectado por meio do ícone , localizado na parte superior direita da tela. Figura 19 - Gerenciamento de perfil de acesso. Aker SSO O menu Aker SSO (Aker Single Sign-On) possui dois módulos de configuração que permitem configurar os escopos que definem os parâmetros de configurações do Aker Single Sign-On, e efetuar o cadastro de Firewalls, os quais serão vinculados aos escopos para efetuar a autenticação dos usuários das redes que utilizam o serviço de diretório da Microsoft “Active Directory (AD)” de forma transparente no Aker Firewall. Para mais informações sobre o cadastro de escopos clique aqui. A seguir, mais detalhes sobre estes módulos. *Aker Security Solutions *Captive Portal by PacketFence Página 23 Figura 20 - Aker SSO Escopos Por meio desta janela, o administrador pode definir os escopos contendo as configurações de funcionamento do Aker Single Sign-On, como: Faixas de IPs que serão monitoradas por meio das consultas utilizando o Visualizador de Eventos do Windows ou Polling, cadastro de Servidores de AD, Whitelist/Blacklist, usuário WMI que será utilizado na consulta e vínculo de Firewalls. A seguir, mais detalhes sobre estas configurações. *Aker Security Solutions *Captive Portal by PacketFence Figura 21 - Lista de Escopos Página 24 Firewall Por meio desta janela, o administrador pode cadastrar Firewalls que receberão os usuários das redes que utilizam o serviço de diretório da Microsoft “Active Directory (AD)” para efetuar a autenticação transparente. Figura 22 - Lista de Firewalls Para mais informações sobre o cadastro de Firewalls no Aker Single Sign-On clique aqui. Captive Portal Por meio deste menu é possível configurar os parâmetros do Captive Portal, uma solução de controle de acesso (baseado no PacketFence) desenvolvida para gerenciar e controlar redes específicas, que proporciona altos níveis de segurança devido à integração com o Aker Firewall, além de reduzir custos de TI com a automatização do registro de usuários e auxiliar empresas no cumprimento dos requisitos do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014). O Packetfence é um projeto Open Source de um Network Access Controller. O Packetfence pode ser utilizado como um Portal de Autenticação para o Aker Firewall e o Aker Firewall também pode ser integrado com o Packet Fence, quando ele for utilizado como um NAC (Network Access Controller). Para mais informações sobre as configurações e módulos do Captive Portal clique aqui. *Aker Security Solutions *Captive Portal by PacketFence Página 25 Figura 23 - Captive Portal Figura 24 - Janela de Administração do Captive Portal Administração O menu Administração possui três módulos de configuração que permitem definir os parâmetros de configuração de autenticação no A3S, parâmetros NTP (Network Time Protocol), e parâmetros de configuração das interfaces de rede. *Aker Security Solutions *Captive Portal by PacketFence Página 26 Figura 25 - Menu Administração Autenticação Por meio desta janela, é definido o método de autenticação da interface de administração web do A3S. As opções disponíveis são: Local e LDAP. Figura 26 - Tipo de Autenticação Local: ao selecionar este método, apenas usuários cadastrados no menu Usuários do A3S poderão acessar a interface de gerenciamento web. Estes usuários são armazenados no próprio banco de dados do A3S. LDAP: ao selecionar este método, usuários autenticados por meio de um servidor LDAP terão permissão para se autenticar à interface de gerenciamento web do A3S. *Aker Security Solutions *Captive Portal by PacketFence Página 27 Para que os usuários LDAP tenham permissões de administrador, é necessário que tal permissão seja atribuída ao mesmo. Esta permissão deve ser fornecida por meio de um usuário administrador LOCAL. Figura 27 - Autenticação do tipo LDAP NTP Por meio desta janela, o administrador pode definir os servidores NTP (Network Time Protocol) do A3S. Figura 28 - Aba Servidores NTP É recomendado que o NTP do servidor A3S esteja sincronizado com NTP dos Servidores AD, os quais terão seus usuários autenticados no Aker Firewall de forma transparente por meio do Aker Single SignOn. Rede Por meio desta janela, é possível visualizar e modificar configurações de rede do A3S, como: Interfaces de Rede, Rota Padrão e Servidores DNS. *Aker Security Solutions *Captive Portal by PacketFence Página 28 Ressaltando que estas configurações são definidas na instalação do A3S. Recomenda-se que todas as alterações de rede referentes ao Captive Portal e Aker Single Sign-On sejam efetuadas por meio da interface de gerenciamento de rede do A3S. Figura 29 - Configurações de rede Ajuda O menu Ajuda fornece links de fácil acesso a imagens e pacotes do A3S, acesso ao Fórum da Aker e a versão do A3S. *Aker Security Solutions *Captive Portal by PacketFence Página 29 *Aker Security Solutions *Captive Portal by PacketFence Figura 30 - Menu Ajuda Página 30 Figura 31 - Sobre Opções de Idioma da Interface de Gerenciamento Web O A3S oferece duas opções de idioma em sua interface de gerenciamento web. As opções disponíveis são: Português e Inglês. O botão de alteração de idioma fica localizado na parte superior direita da tela. Figura 32 - Opções de idioma Lista de comandos disponíveis para a interface de texto do A3S *Aker Security Solutions *Captive Portal by PacketFence Página 31 A seguir, serão listados os comandos do A3S disponíveis para a interface de texto. Comando “a3s” Por meio deste comando é efetuado o processo de backup e restauração do A3S. Seguem os comandos disponíveis: A3S backup → Realiza o backup de todas as configurações restore: → Realiza a restauração de todas as configurações backup backup:a3s → Realiza o backup das configurações do Aker Single Sign-On backup: packetfence → Realiza o backup das configurações do Captive Portal e sua base de dados restore restore: a3s → Realiza a restauração do A3S restore:packetfence → Realiza a restauração do Packet Fence Efetuando o backup do A3S: a3s backup (nome do backup) Efetuando a restauração do A3S: →a3s restore (nome do backup salvo) *Aker Security Solutions *Captive Portal by PacketFence Página 32 Figura 33 - Comando para restauração Ao aplicar a restauração, o sistema será reiniciado. Comando “a3sc-config-email” Este comando configura o envio de e-mails do A3S relacionados ao auto registro de usuários do Captive Portal. Por padrão, os e-mails são enviados pela porta 25, contudo, alguns servidores de e-mail requerem autenticação e a utilização de uma porta específica. Esta configuração é necessária para efetuar o registro de usuários do Captive Portal de forma automatizada, pelas opções “Registro por E-mail e Registro por patrocinador”. Para monitorar os logs referentes ao envio de e-mails utilize o comando abaixo na interface de texto do A3S: tail -f /var/log/maillog Quando o sistema de alerta do Captive Portal não for configurado, a seguinte configuração padrão do sistema será utilizada: Porta de envio utilizada: 25 Remetente: root@servidor+nome-do-dominio ([email protected]) Servidor SMTP: Localhost Para alterar os parâmetros acima acesse: A3S > Menu Captive Portal > Configuration > Alerting *Aker Security Solutions *Captive Portal by PacketFence Página 33 Figura 34 - Configuração de envio de e-mail Captive Portal Exemplo de utilização do comando a3sc-config-email: a3sc-config-email <Servidor SMTP> <Porta> <Nome de usuário> <Senha> a3sc-config-email smtp.provedor.com 587 usuario@provedor 123456 Comando “a3sc-config-Hostname-domain” Este comando permite configurar o Hostname e Domínio do A3S. Esta configuração é exibida na instalação, contudo, caso o administrador opte por pular estes processo na instalação, é possível efetuar a configuração posteriormente, por meio deste comando. Definindo o Hostname e Domínio do A3S: Execute o comando “a3sc-config-Hostname-domain”, em seguida a tela abaixo será exibida. Insira o Hostname e Domínio desejados e aplique a configuração: *Aker Security Solutions *Captive Portal by PacketFence Figura 35 - Configuração do Domínio do A3S Página 34 Comando “a3s-config-access” Por meio deste comando, o administrador pode definir as redes que terão acesso exclusivo à interface de gerenciamento do A3S (interface web e texto). Definindo o acesso à interface de gerenciamento do A3S: Execute o comando “a3s-config-access”, em seguida, insira as redes que terão permissão para acessar a interface de gerenciamento do A3S. Ao concluir, aplique a configuração por meio da opção “Aceitar”. *Aker Security Solutions *Captive Portal by PacketFence Figura 36 - Configuração de acesso exclusivo Página 35 *Aker Security Solutions *Captive Portal by PacketFence Página 36 Maior flexibilidade de acesso para usuários do Aker Firewall com alto nível de segurança e gerenciamento de acesso. O Aker Single Sign-On (login único) é uma central de autenticação de múltiplos usuários, que dispensa a instalação de softwares nas estações dos usuários da rede. O Aker Single Sign-On autentica os usuários no Aker Firewall de forma transparente por meio de uma única autenticação, descartando a necessidade de utilizar credenciais de acesso ao Aker Firewall de tempos em tempos, proporcionando maior segurança aos dados de autenticação, aumentando a produtividade e reduzindo a sobrecarga de senhas. O Aker Single Sign-On autentica usuários de uma rede Microsoft com Active Directory (versões suportadas do Windows Server 2008, 2012 e 2016) de forma transparente, utilizando o protocolo WMI (Instrumentação de gerenciamento do Windows) LDAP (Lightweight Directory Access Protocol), permitindo a aplicação de: Políticas, Filtragem Web, Filtragem de Aplicativos, Regras de Filtragem nos Perfis e demais funcionalidades do Aker Firewall. Como funciona: Aker Single Sign-On funciona de duas maneiras: Efetua consultas utilizando o protocolo WMI (Instrumentação de Gerenciamento do Windows), identifica usuários por meio dos eventos de autenticação nos logs dos servidores AD (Log de evento de segurança Windows ID 4624). Ao concluir a busca, encaminha as informações para o Aker Firewall. Efetua consultas utilizando o método Polling (checagem contínua) nas estações de trabalho, identificando o usuário que está autenticado. O protocolo utilizado é o WMI (Instrumentação de Gerenciamento do Windows). O Aker SSO não oferece suporte aos ambientes virtualizados como Microsoft Terminal Service e Citrix. Para estes ambientes, recomenda-se o uso do Aker Client. *Aker Security Solutions *Captive Portal by PacketFence Página 37 Benefícios: Redução de “Password fatique ou Password overload” (fadiga ou sobrecarga de senha); Redução de tempo utilizado na reinserção de senhas; Redução do custo de TI devido à diminuição de chamados referentes a problemas com senhas ou nomes de usuários; Interface de administração simples e intuitiva; Aumento de segurança; Rapidez, eficiência e flexibilidade no gerenciamento de acesso; Configurando o Aker Single Sign-On A seguir, serão abordados todos os passos de configuração necessários para obter uma implantação bem sucedida do Aker Single Sign-On. Premissas Configurações dos servidores de ADs que serão cadastrados ao Aker Single Sign-On (informações sobre rede, NTP, LDAP, DNS, informação de grupos e usuários como: Base DN, Bind DN, senha, permissões de usuários administradores); Aker Firewall instalado e com configurações básicas (configurações relacionadas ao Aker Single Sign-On serão descritas a seguir,); Recomenda-se que os passos descritos a seguir, sejam executados, na ordem apresentada, para efetuar a configuração do Single Sign-On Server. Cadastro de Firewall no Aker Single Sign-On; Cadastro de Escopo (AD) no Aker Single Sign-On; Habilitando o Aker Single Sign-On no Aker Firewall; *Aker Security Solutions *Captive Portal by PacketFence Página 38 Modelo de implementação do Aker Single Sign-On. Figura 37 - Esquema de implementação O primeiro passo recomendado para a configuração do Aker Single Sign-On é o cadastro do Firewall. Firewall no qual os usuários dos Servidores AD se autenticarão. Na Interface de Gerenciamento Web, acesse o menu Event Viewer > Firewalls: *Aker Security Solutions *Captive Portal by PacketFence Figura 38 - Event Viewer > Firewall Página 39 Em seguida, clique no botão “Adicionar Firewall”, localizado na parte superior direita da tela. Preenchas os campos da janela de Cadastro de Firewall e clique em Salvar. Figura 39 - Cadastro de Firewall Nome: nome que representará o Firewall; IP: IP do Firewall; Senha: senha de comunicação com o Firewall. Esta senha deve ser inserida na configuração do Firewall, por meio do módulo Configuração do Firewall > Autenticação>Aba Aker Single Sign-On. *Aker Security Solutions *Captive Portal by PacketFence Figura 40 - Configuração da senha no Aker Firewall Página 40 Escopos: escopo ao qual o Firewall será atribuído (este campo é preenchido automaticamente ao inserir um Firewall nos parâmetros de configuração de um Escopo). Clonar Firewall: cria uma cópia do Firewall desejado. Ao concluir clique em Salvar. A mensagem abaixo será exibida no canto superior direito da tela. Após cadastrar o Firewall, acesse o menu exibido abaixo para criar um escopo e definir as configurações de funcionamento do Aker Single Sign-On, como: Faixa de IPs que serão monitoradas, por meio das consultas utilizando o Visualizador de Eventos do Windows ou Polling, Servidores de AD, Whitelist/Blacklist, usuários WMI e vínculo de Firewalls. A seguir, mais detalhes sobre estas configurações. Menu Event Viewer > Escopos. Figura 41 - Escopos Em seguida, clique no botão localizado na parte superior direita da tela. Os escopos possuem três abas, que serão descritas a seguir: *Aker Security Solutions *Captive Portal by PacketFence Página 41 Nesta aba é realizada a configuração dos métodos de consulta do Aker Single Sign-On: Polling e Event Viewer (tempo limite de autenticação, intervalo de consulta, conexões simultâneas), e o usuário que será utilizado nos métodos de consulta do Aker Single Sign-On (este usuário deve ter permissões wmi). A seguir, mais detalhes sobre as opções. Figura 42 - Aba Configuração - SSO Escopo: nome para o escopo em criação; Timeout de autenticação: tempo limite que os usuários ficarão autenticados pelo Aker Single SignOn. Este parâmetro deve ser o mesmo definido no Aker Firewall, na janela: Configuração do Firewall > Autenticação > Aba Aker Single Sign-On. *Aker Security Solutions *Captive Portal by PacketFence Figura 43 - Timeout no Aker Control Center. Página 42 Intervalo de Consulta: intervalo de consulta do Event Viewer e Polling. Habilitar Polling: habilita ou desabilita a consulta Polling para os servidores AD do escopo; Conexões simultâneas: define o número de conexões simultâneas que serão efetuadas nas consultas. Usuário: usuário com permissões de consulta nos ADs cadastrados no escopo (Domain Controller ou similar), que será utilizado nas consultas do Polling. Senha: senha do usuário com permissões de consulta WMI. Faixa de IPs: faixas de IPs que serão consultadas pelo Aker Single Sign-On. Os IPs segmentados devem ser inseridos como exibido no exemplo a seguir,. Figura 44 - Modelo de configuração de faixas de IP Whitelist/Blacklist: define os IPs/redes que entrarão ou não nas consultas, estando ou não dentro das faixas de IPs. No campo “Whitelist” devem-se inserir os IPs que deverão entrar nas consultas efetuadas pelo Aker Single Sign-On, estando ou não dentro das faixas de IPs. No campo “Blacklist” devem-se inserir os IPs que não deverão entrar nas consultas efetuadas pelo Aker Single Sign-On, estando ou não dentro das faixas de IPs. Após preencher os campos descritos acima, clique em . Nesta aba são cadastrados os servidores de AD que terão seus usuários autenticados no Firewall por meio das consultas efetuadas pelo Aker Single Sign-On. Esta aba exibe os ADs cadastrados para o escopo em questão, além de permitir adicionar, clonar, editar, ou deletar Servidores AD. *Aker Security Solutions *Captive Portal by PacketFence Página 43 Figura 45 - Aba Servidores AD - SSO Siga os passos abaixo para adicionar um servidor AD. Na aba Servidores AD, clique no botão e preencha os campos abaixo: Figura 46 - Janela de cadastro de AD Domínio: nome do servidor AD; Servidor: IP do servidor AD; Base DN: Base DN na qual a consulta será iniciada, ou seja, ponto inicial da hierarquia do Active Directory na qual a pesquisa efetuada pelo Aker Single Sign-On será iniciada. *Aker Security Solutions *Captive Portal by PacketFence Página 44 No LDAP, o grupo primário não é incluído como entrada no IADsUser:::Groups Collections, nem faz parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para mais informações. Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e seus módulos. Utilize os comandos abaixo para identificar a Base DN em seu Servidor de AD: Windows + R CMD dsquery user Figura 47 – Visualizando a base DN Bind DN: Bind DN é o usuário que será usado na procura e solicitação de autenticação no AD. Utilize os comandos abaixo para identificar o Bind DN em seu Servidor de AD: Comando: dsquery user –name “nome do usuário para o bind” Exemplo: dsquery user –name “administrador” *Aker Security Solutions *Captive Portal by PacketFence Figura 48 - Visualizando o Bind DN Página 45 Senha: senha de acesso do usuário (Bind DN) Timeout: tempo limite que o usuário acima ficará conectado. Atributo grupo: atributo utilizado na autenticação. Filtro: filtro utilizado na autenticação com o servidor AD. Porta: porta utilizada na autenticação com o servidor AD. A porta padrão é 389. Criptografia: criptografia utilizada na autenticação com o servidor AD. As opções disponíveis são: SSL e Starttls. Após preencher os campos descritos acima, clique em OK. Por meio desta aba é realizado o vínculo com o(s) Firewall(s) ao qual os usuários dos Servidores AD serão autenticados de forma transparente. Figura 49 -Aba Firewalls - Escopo SSO Para vincular um ou mais Firewalls ao escopo, siga os passos descritos a seguir: Na aba Firewalls, clique em e selecione o(s) Firewall(s) que será vinculado ao Escopo em criação. Ao concluir, clique em Vincular Selecionados. *Aker Security Solutions *Captive Portal by PacketFence Página 46 Conclua a criação do escopo clicando em . A mensagem abaixo será exibida no canto superior direito da tela. Estes são os passos necessários no A3S para configurar o Aker Single Sign-On. Ao concluí-los, acesse a interface remota de gerenciamento do Aker Firewall para concluir a implementação. Ao concluir as configurações no A3S, relacionadas ao Aker Single Sign-On, é necessário efetuar algumas configurações no Aker Firewall. As configurações no Aker Firewall podem ser realizadas por meio da interface remota de gerenciamento do Aker Firewall, a Aker Control Center, ou via interface de texto por meio do comando “fwaccess”. Premissas para efetuar as configurações no Aker Firewall: Ter efetuado as configurações do Aker Single Sign-On no A3S (tópico anterior); Criar as entidades que representaram as redes que terão seus usuários autenticados no Aker Firewall, IP do A3S; Ter cadastrado os autenticadores do tipo LDAP, que serão utilizados para autenticar os usuários dos servidores ADs cadastrados no Aker Single Sign-On; Ter criado os Perfis de Acesso para atribuí-los aos usuários autenticados pelo Aker Single Sign-On; Ter cadastrado de usuários/grupos que serão autenticados pelos servidores ADs, cadastrados no Aker Single Sign-On. Para informações sobre as configurações acima acesse a última versão do manual do Aker Firewall 6.8.1 em: http://www.aker.com.br/produtos/aker-firewall-utm/manuais/ *Aker Security Solutions *Captive Portal by PacketFence Página 47 Habilitando o Aker Single Sign-On via Aker Control Center Com as premissas descritas acima atendidas, acesse o Aker Firewall via Aker Control Center e siga os passos descritos a seguir: No Aker Control Center acesse: Configuração do Firewall > Autenticação > Aba Aker Single Sign-On *Aker Security Solutions *Captive Portal by PacketFence Figura 50 - Configuração no Aker Firewall - Autenticação Figura 51 - Aba Aker Single Sign-On Página 48 Preencha os campos desta janela definindo as informações do Aker Single Sign-On. A seguir, mais detalhes sobre estes campos. Habilitar autenticação Aker Single Sign-On: habilita a autenticação de usuários no Aker Firewall pelo Aker Single Sign-On. Endereço do servidor: entidade que representa o servidor Aker Single Sign-On. Figura 52 - Entidade representando o servidor A3S Senha Compartilhada: senha compartilhada entre o Aker Firewall e o servidor Aker Single Sign-On. Esta senha deve ser a mesma definida na interface de gerenciamento web do Aker Single Sign-On. Autenticadores: autenticadores LDAP que serão utilizados na autenticação transparente de usuários dos servidores AD por meio do Aker Single Sign-On. Sessões de usuários *Aker Security Solutions *Captive Portal by PacketFence Página 49 Perfil padrão: perfil padrão que será atribuído aos usuários autenticados pelo Aker Single Sign-On. Tempo limite: tempo limite para expiração de sessões dos usuários autenticados pelo Aker Single Sign-On. O tempo limite pode ser informado em segundos, minutos, horas ou dias, sendo necessário apenas informar o número e a letra da unidade desejada. Exemplo: “1s” para 1 segundo; “1m” para 1 minuto; “1h” para 1 hora; “1d” para 1 dia; Configurando o Aker Single Sign-On via Interface de texto – Comando “fwaccess” A configuração do Aker Single Sign-On pela Interface de texto é efetuada pelo comando “fwaccess”. Ao utilizar a interface de texto pela “Console” do Aker Firewall, não é necessário utilizar o prefixo “fw”. Desta forma, utilize apenas o comando “access” pela console ou “fwaccess” via SSH. A seguir, mais detalhes sobre os comandos disponíveis para esta configuração. Aker Firewall - Versão 6.8 Uso do controle de acesso: fwaccess ajuda fwaccess mostra fwaccess inclui [usuario | grupo] <pos> <autenticador> <nome> <perfil> fwaccess inclui_local [usuario | grupo] <pos> <nome> <perfil> fwaccess lista [usuarios | grupos] <authenticator> fwaccess lista_local [usuarios | grupos] fwaccess lista perfis fwaccess remove <pos> Uso do Configurador do Aker Single Sign-On: fwaccess a3s -p <senha> -t <timeout> --acl <perfil padrao> --ip <A3S ip> --auth <autenticadores> fwaccess a3s --habilita|--desabilita Os parâmetros para o controle de acesso são: pos: posição da regra na lista autenticador: agente remoto que realiza a autenticação nome: perfil: nome do usuário ou grupo que será autenticado perfil para usuário ou grupo Os parâmetros do Aker Single Sign On são: Password: Timeout: *Aker Security Solutions *Captive Portal by PacketFence Senha utilizada para o A3S conectar ao Firewall. Tempo de expiração para as sessões de usuário. Página 50 A3S IP: Entidade com o IP da máquina do A3S. Perfil Padrao: Perfil utilizado quando não usa nenhuma outra regra de acesso. Autenticadores: Autenticador usado para criar regras de acesso. Habilita: Habilita esse tipo de autenticação. Desabilita: Desabilita esse tipo de autenticação. Regras de Filtragem necessárias para o Aker Single Sign-On A seguir, serão exibidas as portas de serviços necessárias para estabelecer a comunicação entre o Servidor A3S, ADs e Redes de Usuários para a implementação e configuração do Aker Single Sign-On. Dos Servidores ADs e Servidor A3S com destino à Internet, libere a porta 123 (NTP). Entre o Servidor A3S e as redes com permissão de gerenciamento do A3S, é necessário liberar as portas 1442 e 1443 (portas utilizadas para gerenciar o A3S pela interface de gerenciamento web). Entre o servidor A3S, Servidores ADs e as redes de usuários, é necessário liberar as portas 123 (NTP – que deve estar sincronizado entre Servidores ADs e Servidor A3S), 53 (DNS), 135 (protocolo RPC utilizado pelo WMI), e as portas altas TCP de 34000 à 65000 (portas aleatórias utilizadas pelo RPC). Exemplo ↓ Aker Single Sign-on Troubleshooting Este tópico descreve possíveis soluções para alguns problemas que os administradores e usuários do Aker Single Sign-On podem encontrar. A seguir, serão exibidos alguns comandos que auxiliam na validação de configuração do sistema e monitoramento. 1 - Onde posso monitorar os logs dos usuários autenticados pelo Aker Single Sign-On? Na interface de texto do A3S, acesse os arquivos em /var/logs/messages Exemplos de monitoramentos: tail -f /var/log/messages |egrep "administrador" tail -f /var/log/messages |egrep "networkPolling" tail -f /var/log/messages |egrep "eventViewer" *Aker Security Solutions *Captive Portal by PacketFence Página 51 tail -f /var/log/messages |egrep "eventViewerGroup" tail -f /var/log/messages |egrep "from authuser" tail -f /var/log/messages |egrep "Inserindo" 2 - Meus usuários LDAP não se autenticam no pelo Aker Single Sign-On, o Firewall já está com o Single Sign-On habilitado e propriamente configurado. E o Firewall, também foi cadastrado na interface de gerenciamento web do A3S. Valide se a comunicação foi efetivada com sucesso entre o servidor A3S, ADs, e o Aker FIrewall na porta 389. Valide se a comunicação foi efetivada com sucesso entre o Aker Firewall e o Servidor A3S na porta 22. *Estas conexões são estabelecidas assim que a configuração é efetuada nas duas partes, por exemplo, no Servidor A3S e no Firewall, ao cadastrar um novo escopo de AD. Exemplos de comandos para validar a conectividade: ss -anp |grep :389 Ou netstat -n |grep 22 Caso AD, redes AD e servidores A3S (servidores NTP devem estar sincronizados entre AD e A3S) estejam passando pelo firewall, certifique-se de que, nas regras de filtragem, as portas abaixo estejam liberadas: 389 - AD 123 - NTP 53 - DNS 137/138 135 + portas altas (34000 a 65000) - WMI/ RPC/ *Aker Security Solutions *Captive Portal by PacketFence Página 52 *Aker Security Solutions *Captive Portal by PacketFence Página 53 Acesso rápido e seguro para visitantes, controle e disponibilidade de recursos, e automatização de registro de acesso. O aumento do uso de dispositivos remotos no ambiente corporativo vêm estimulando cada vez mais organizações a disponibilizarem sua rede para acesso à Internet e compartilhamento de recursos com parceiros, clientes ou outros visitantes. Fato que requer o uso de uma ferramenta (NAC – Network Access Control) para controlar os aparelhos e usuários conectados à rede. Com o objetivo de oferecer maior segurança no acesso de visitantes (redes públicas) e outros usuários, limitar a disponibilidade dos recursos da rede para usuários específicos e oferecer um sistema automatizado com múltiplas opções de autenticação, a Aker oferece a integração do Aker Firewall com o Captive Portal, possibilitando a configuração de regras de acesso, bloqueios, aplicação de políticas, e controle de banda. O Captive Portal é uma solução de controle de acesso (baseado no PacketFence) desenvolvida para gerenciar e controlar redes específicas, proporcionando altos níveis de segurança devido à integração com o Aker Firewall, além de reduzir custos de TI com a automatização do registro de usuários e auxiliar empresas no cumprimento dos requisitos do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014). O Packetfence é um projeto Open Source de um Network Access Controller. O Packetfence pode ser utilizado como um Portal de Autenticação para o Aker Firewall e o Aker Firewall também pode ser integrado com o Packet Fence, quando ele for utilizado como um NAC (Network Access Controller). Com o Captive Portal é possível controlar de forma centralizada as redes cabeadas e sem fio, proporcionando maior segurança e agilidade. Principais Benefícios: Maior controle e segurança no acesso à Internet (cabeada ou sem fio) para visitantes ou um grupo (rede) específico de usuários (configurar regras, permissões e uso de banda para grupo e usuário), aumentando a satisfação e utilização dos usuários; Habilita a limitação de acesso aos recursos da rede da empresa; Provê rápida autenticação e conectividade para colaboradores e visitantes, aumentado a produtividade e satisfação dos clientes; *Aker Security Solutions *Captive Portal by PacketFence Reduz a propagação de códigos maliciosos como vírus, worms, cavalos de Troia, Spyware e outras formas de malware; Página 54 Permite a aplicação de regras de acesso, bloqueios, aplicação de políticas, e controle de banda; Oferece múltiplas opções de autenticação; Proporciona a automatização de registros de usuários; Limitação de conexões simultâneas, definindo a quantidade de acessos/dispositivos para cada usuário, ajudando a evitar ataques como, por exemplo, DoS (Negação de Serviço); Melhor controle de banda; Tempo limite de acesso para usuários e grupos. Como funciona: Ao abrir o navegador para acessar a Internet, os usuários das redes que se autenticarem por meio do Captive Portal serão redirecionados para a página de autenticação para que realizem o login (por meio de um auto registro, integrarção com bases internas ou externas de usuários como: Local, AD, LDAP, Facebook, Google e etc.). O Captive Portal suporta vários métodos de autenticação, a seguir, alguns dos principais métodos: Active Directory Apache htpasswd file Email Facebook (OAuth 2) Github (OAuth 2) Google (OAuth 2) Kerberos LDAP LinkedIn (OAuth 2) Null RADIUS SMS Sponsored Email Windows Live (OAuth 2) Primeiros Passos Captive Portal Recomenda-se que os passos descritos a seguir, sejam seguidos na ordem apresentada. Configuração do Aker Firewall para integração com o Captive Portal Configuração do Captive Portal para integração com o Aker Firewall *Aker Security Solutions *Captive Portal by PacketFence Página 55 Premissas Aker Firewall (versão compatível com o Captive Portal > Aker Firewall 6.8.1 ou posterior) instalado e pronto para receber as configurações de integração com Captive Portal; Criar as entidades que representam máquinas/redes e serviços que estão envolvidos na configuração do Captive portal. Exemplo: rede(s) que se autenticaram utilizando o Captive Portal, redes internas, Servidores AD, Servidores DNS, serviços HTTP e HTTPS com e sem proxy. Localização no Aker Control Center: Entidades > Aba Redes/Aba Máquinas/Aba Serviços Ter cadastrado os autenticadores que serão utilizados para autenticar os usuários das redes que serão autenticadas pelo Captive Portal. Localização no Aker Control Center: Entidades > Aba Agentes externos Ter criado Perfis de acesso para atribui-los aos usuários autenticados pelo Cap- *Aker Security Solutions *Captive Portal by PacketFence tive Portal. Localização na Aker Control Center: Configuração do Firewall > Perfis Página 56 Ter cadastrado os usuários/grupos na aba autenticação do Aker Firewall. Localização no Aker Control Center: Configuração do Firewall > Autenticação Para mais informações sobre a instalação do Aker Firewall acesse a última versão do manual em: Manuais Aker Firewall Modelo de implementação do Captive Portal *Aker Security Solutions *Captive Portal by PacketFence Figura 53 - Esquema de implementação do Captive Portal Página 57 Configurando o Aker Firewall para integração com o Captive Portal O Captive Portal pode ser configurado e habilitado pelas interfaces remotas e de texto do Aker Firewall. Seguem mais detalhes sobre ambas as configurações a seguir. Com as premissas descritas acima atendidas, acesse o Aker Control Center no módulo “Configuração do Firewall > Regras de Filtragem”. Figura 54 - Regras gerais Em Regras de Filtragem, crie as seguintes regras, liberando os serviços especificados abaixo: 1. Uma regra com a origem do Servidor A3S com destino à Internet, liberando: DNS (53), porta que será utilizada para enviar e-mail (25,465 ou 587), HTTP (80) e HTTPS (443). 2. Uma regra com origem na rede que será autenticada pelo Captive Portal (no exemplo abaixo, Rede Visitantes), com destino ao servidor A3S, liberando: HTTP (80) e HTTPS (443). *Aker Security Solutions *Captive Portal by PacketFence Página 58 3. Uma regra com na origem a rede que será autenticada pelo Captive Portal (no exemplo abaixo, Rede Visitantes), com destino à Internet, liberando: DNS (53), HTTP (80) com PROXY, e HTTPS (443) com PROXY. Caso a Rede que será autenticada pelo Captive Portal for uma rede interna do Firewall, certifiquese de que existe um NAT, permitindo que os IPs desta rede tenham acesso à Internet. Ao concluir os passos descritos acima, inicie a habilitação e configuração do Captive Portal. Mais detalhes a seguir. Após efetuar as configurações descritas no tópico anterior, na Aker Control Center acesse o módulo Aplicação > Filtro Web. Na Aba Geral marque as opções: Ativar o Filtro Web; Autenticar usuários WWW; Forçar autenticação; *Aker Security Solutions *Captive Portal by PacketFence Página 59 Figura 55 - Filtro web Figura 56 - Filtro Web Aba Geral Em seguida, continuando no módulo Filtro Web, acesse a aba Autenticação Captive Portal e defina os parâmetros de configuração do Captive Portal. Mais detalhes sobre os campos desta aba a seguir,. *Aker Security Solutions *Captive Portal by PacketFence Página 60 Figura 57 - Aba Autenticação Captive Portal Habilitar Autenticação Captive Portal: habilita a autenticação do Captive Portal. Endereço do servidor: nome ou IP do Captive Portal. Senha Compartilhada: senha compartilhada entre o Aker Firewall e o Captive Portal. Rede dos clientes: entidades que representam máquinas/redes que serão gerenciadas pelo Captive Portal. Autenticadores: autenticadores LDAP que serão utilizados pelo Captive Portal. Sessões de usuários Perfil padrão: perfil padrão que será atribuído aos usuários gerenciados pelo Captive Portal. Tempo limite: tempo limite para expiração de sessões de usuários autenticados pelo Captive Portal. O tempo limite pode ser informado em segundos, minutos, horas ou dias, sendo necessário apenas informar o número e a letra da unidade desejada. Exemplo: “1s” para 1 segundo; “1m” para 1 minuto; “1h” para 1 hora; “1d” para 1 dia; Oauth2: marque esta opção para permitir o acesso temporário à Internet aos usuários do Captive Portal por meio de mídias sociais (Facebook, Google, Linkedin, etc.). Clique em “Aplicar” para finalizar. *Aker Security Solutions *Captive Portal by PacketFence Página 61 Para habilitar/configurar o Captive Portal por meio da interface de texto do Aker Firewall utilize o comando “fwhttp”. Para utilizar os comandos de configuração do Captive Portal, é necessário que a Aker Control Center esteja desconectada do Firewall. fwhttp: Comando para configurar o modulo de Filtro Web do Aker Firewall. Uso: configura [acp | auth]: Configura o Filtro Web. acp : Configura o Captive Portal: fwhttp configura acp -u <url> -p <senha> --net <maquina|rede|conjunto> --acl <perfil> -t <timeout> --auth <autenticador> --com-oauth -u : Configura o endereço de acesso ao Captive Portal -p : Configura a senha de comunicação entre o Firewall e o Captive Portal --net : Configura as entidades redes de acesso dos usuários ao Captive Portal --acl : Configura o Perfil Padrão de acesso dos usuários -t : Timeout da sessão dos usuários autenticados --auth : Configura os autenticadores utilizados para vincular usuários --com-oauth : Habilita autenticação via Oauth --sem-oauth : Desabilita autenticação via Oauth auth : Configura a autenticação www: fwhttp configura auth <--exige-auth | --nao-exige-auth> --exige-auth : Configura para a Autenticação ser obrigatória --nao-exige-auth : Configura para a Autenticação ser opcional habilita [acp | auth]: Habilita o Filtro Web e seus módulos desabilita [acp | auth]: Desabilita o Filtro Web e seus módulos mostra [acp | auth]: Mostra a configuração Filtro Web acp : Mostra a configuração apenas do Captive Portal *Aker Security Solutions *Captive Portal by PacketFence Página 62 auth : Mostra a configuração apenas da autenticação ajuda [acp | auth]: Mostra essa ajuda. acp : Mostra a ajuda especifica do Captive Portal auth : Mostra a ajuda especifica da autenticação Configurando o Captive Portal Após efetuar as configurações no Aker Firewall, acesse a Interface de gerenciamento web do A3S, clique no menu “Captive Portal”. Figura 58 - A3S > Captive Portal Em seguida, a tela de login será exibida, utilize o login e senha descritos a seguir,: Username: admin Password: 123456 Figura 59 - Tela de Login da Interface de Gerenciamento do Captive Portal Recomenda-se que o nome de usuário e senha padrão sejam alterados no primeiro acesso. *Aker Security Solutions *Captive Portal by PacketFence Página 63 Figura 60 - Página Inicial Para que o Captive Portal seja implementado com sucesso, recomenda-se que os parâmetros descritos abaixo sejam configurados na ordem apresentada: Roles Sources Portal Profiles Cadastro do Aker Firewall Roles representam parâmetros de configuração específicos que serão aplicados aos dispositivos das redes gerenciadas pelo Captive Portal, além de serem utilizados para efetuar a atribuição dos usuários (método de autenticação interno AD/LDAP/Radius) aos seus respectivos perfis de acesso no Aker Firewall. Roles são atribuídos às configurações de Sources, Firewalls cadastrados e posteriormente Portal Profiles, desta forma, é recomendado que Roles sejam criados primeiro. Mais detalhes sobre Sources, Cadastro de Firewalls e Portal Profiles nos próximos tópicos. Utilização de Role 1 Roles são utilizados para definir o número de dispositivos que os Usuários/Nodes/Fontes de autenticação do Captive Portal (Sources) poderão autenticar. *Aker Security Solutions *Captive Portal by PacketFence Página 64 Ao definir o valor “0”, não existirá um número limite de dispositivos, ou seja, ilimitado, o usuário poderá se autenticar em quantos dispositivos quiser, o que não é recomendado. Exemplo: Nome do Role: Padrão > Número máximo de Nodes por usuário > valor “2” Os Usuários/Nodes/Fontes de autenticação do Captive Portal (Sources) que receberem o Role acima poderão se autenticar apenas em 2 dispositivos. Exemplo, o usuário “José foi atribuído a Role Padrão”, e se autenticou em seu notebook e celular. Desta forma, ao tentar se autenticar em um 3º dispositivo José será bloqueado, pois o número máximo de dispositivos autenticados com o usuário José já foi atingido. Utilização de Role 2 Para as fontes de autenticação (Sources) internas do Captive Portal (AD/LDAP/RADIUS) os Roles são extremamente importantes, devido sua utilização na atribuição dos usuários autenticados, por meio de bases AD/LDAP/RADIUS, nos perfis de acesso do Aker Firewall. Os DNs dos grupos devem ser separados por pronto e vírgula (;) As regras exibidas abaixo são mandatórias para a atribuição de usuários aos seus perfis de acesso do Aker Firewall (por meio das fontes de autenticação internas AD/LDAP/RADIUS). No LDAP, o grupo primário não é incluído como entrada no IADsUser:::Groups Collections, nem faz parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários de grupos primários, aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para mais informações. Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e seus módulos. *Aker Security Solutions *Captive Portal by PacketFence Página 65 Exemplo de utilização de Roles para autenticação utilizando AD/LDAP/RADIUS. O Administrador do AD “testes. Aker”, habilitou seu AD como uma das fontes de autenticação do Captive Portal. Figura 61 - AD cadastrado em Sources Desta forma, para que os usuários do AD “testes.aker” se autentiquem pelo Captive Portal e sejam atribuídos aos seus respectivos perfis no Aker Firewall, é necessário a criação de Roles com os DN dos grupos de usuários do AD. Figura 62 - Role com o DN dos grupos Estes Roles devem ser atribuídos à fonte de autenticação (Source) que representa o AD - testes.aker *Aker Security Solutions *Captive Portal by PacketFence Página 66 Figura 63 - Roles atribuídos a fonte de Autenticação - AD testes.aker Esta atribuição é efetuada por meio da criação de regras (Rule) dentro da configuração da fonte de autenticação Source. *Aker Security Solutions *Captive Portal by PacketFence Página 67 Figura 64 - Criação de Rule Também é necessário que estes Roles sejam atribuídos ao Firewall (Local: A3S > Captive Portal > Configuration > Firewall SSO) que receberá os usuários e os atribuirá aos seus respectivos perfis de acesso. Figura 65 - Atribuição de Roles no cadastro de Firewall dentro do Captive Portal Posteriormente, certifique-se que os mesmos grupos de usuários estão cadastrados na janela de Autenticação do Aker Firewall. Localização na Aker Control Center: Módulo Configuração do Firewall > Autenticação > Aba Control de Acesso. Figura 66 - Autenticação Aker Firewall Cadastro de Role No A3S clique no menu Captive Portal e navegue até: Menu Configuration> Users> Roles *Aker Security Solutions *Captive Portal by PacketFence Página 68 Figura 67 - Roles Figura 68 - Roles Siga os passos descritos a seguir, para adicionar um novo Role: Clique em Add role Insira o nome, descrição e defina a quantidade de dispositivos que usuários atribuídos a este Role poderão autenticar no Captive Portal. *Aker Security Solutions *Captive Portal by PacketFence Página 69 Figura 69 - Quantidade de dispositivos por usuários Sources são as fontes de autenticação que serão utilizadas para autenticar os usuários das redes gerenciadas pelo Captive Portal. Cada fonte de autenticação possui seu próprio conjunto de regras, condições e ações, que serão definidas pelo administrador. As fontes de autenticação (Sources) devem ser atribuídas posteriormente aos Perfis de acesso do Captive Portal para que os usuários possam se autenticar por meio das mesmas. O Captive Portal suporta fontes de autenticação: local, internas, externas ou exclusivas. A seguir, mais detalhes sobre as fontes de autenticação suportadas pelo Captive Portal e alguns exemplos de configurações. O Captive Portal suporta as fontes de autenticação internas do tipo: AD, Chained, Htpasswd, http, Kerberos, LDAP, RADIUS. *Aker Security Solutions *Captive Portal by PacketFence Figura 70 - Fontes de autenticação Internas Página 70 Cadastro de fonte de autenticação do tipo AD Para cadastrar uma fonte de autenticação do tipo AD, navegue até o menu “Configuration > Sources> User Sources > Add Source > Internal > AD” e preencha os campos descritos a seguir: Para que a integração do Captive Portal e Aker Firewall seja efetuada com sucesso, garantindo o funcionamento satisfatório da autenticação dos usuários de fontes de autenticação internas do tipo AD/LDAP/RADIUS, é necessário que as configurações da janela de cadastro de AD/LDAP/RADIUS tenham as mesma configurações que as entidades que representam estes servidores no Aker Firewall. No LDAP, o grupo primário não é incluído como entrada no IADsUser:::Groups Collections, nem faz parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários de grupos primários aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para mais informações. Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e seus módulos. *Aker Security Solutions *Captive Portal by PacketFence Figura 71 - Configuração Captive e Aker Firewall Página 71 Figura 72 - Cadastro de AD Name: nome do servidor (este nome deve ser o mesmo nome atribuído ao servidor de AD). Description: descrição para o servidor de AD. Host: IP do servidor, porta e tipo de criptografia que será utilizada na autenticação: SSL, Start TLS ou nenhuma. Connection Timeout: período de tempo definido em segundos que o Captive Portal espera a resposta do Servidor. Base DN: Base DN é o ponto inicial da hierarquia do Active Directory na qual a busca será iniciada. Utilize os comandos abaixo para identificar a Base DN em seu Servidor de AD: Windows + R CMD dsquery user –name (nome de um usuário, recomenda-se o Administrador) *Aker Security Solutions *Captive Portal by PacketFence Página 72 Figura 73 - Identificando base DN Base DN no exemplo acima: CN=Users,DC=testes,DC=aker No exemplo acima, o usuário “Administrador” está dentro de “Users”, que está dentro do Domínio “testes.aker”. Desta forma, a pesquisa será iniciada no grupo “User”, pegando todos usuários do grupo. Scope: define o âmbito da procura. As opções disponíveis são: Base Object: limita a procura para apenas a base de objeto. One-Level: procura em um nível imediato, excluindo a base de objeto. Subtree: procura em toda a sub-árvore, incluindo todos os níveis filhos e a própria base de objeto. Children: limita a procura para apenas os níveis filhos. Username Attribute: atributo de usuário que será utilizado na autenticação com o AD. Exemplo: SamAccountName, Userprincipalname, etc. Bind DN: Bind DN é o usuário que será usado na procura e solicitação de autenticação no AD. Utilize os comandos abaixo para identificar o Bind DN em seu Servidor de AD: Comando: dsquery user –name “nome do usuário” Exemplo: dsquery user –name “Administador” *Aker Security Solutions *Captive Portal by PacketFence Página 73 Figura 74 - Identificando Bind DN Cache match: Armazena os resultados de pesquisas efetuadas nas regras da Fonte de autenticação (Sources) em questão, aumentando a velocidade de atribuição dos usuários a seus respectivos Roles, e posteriormente em seus respectivos perfis no Aker Firewall. Password: senha de acesso utilizada na autenticação. Use stripped username: usa nomes de usuários (stripped username) retornados por RADIUS para testar as regras da Fonte de autenticação (Sources) em questão. Clique em Save e prossiga para o próximo passo. Em seguida, clique em Rule (parte inferior direita da página) e crie uma regra para a atribuir os usuários do(s) AD(s) em seus respectivos perfis do Aker Firewall. Segue um modelo. *Aker Security Solutions *Captive Portal by PacketFence Figura 75 – Regra para o AD Página 74 Ao cadastrar uma regra para fontes de autenticação AD/LDAP/RADIUS, certifique-se que o DN do(s) grupo(s) de usuário(s) que se autenticaram por meio desta fonte de autenticação esteja separado por “ponto e vírgula (;)”, como exibido na imagem acima. Para mais informações sobre Roles clique aqui. Ao concluir valide se a conexão com o AD foi estabelecida com sucesso. Para validar clique em Teste. Figura 76 - Validação de conexão Em seguida, visualize a mensagem que será exibida no topo da página com o estado da autenticação. *Aker Security Solutions *Captive Portal by PacketFence Figura 77 - Autenticação estabelecida com sucesso Página 75 O Captive Portal suporta as seguintes fontes de autenticação externas: E-mail, Facebook, Github, Google, Linkedin, SMS, SponsorEmail, Twitter e WindowsLive. Figura 78 - Fontes de autenticação Externas Cadastro de fontes de autenticação externas - Mídias Sociais (Facebook, Microsoft, Linkedin, etc.) Para habilitar a autenticação por meio de mídias sociais é necessário criar um app na mídia social desejada. Ao obter a chave acesse o Captive Portal para configurar a source externa que representará a mídia social desejada. Configuration> Sources > ADD > External Source. Google: Para habilitar a autenticação pelo Google registre-se: http://code.google.com/apis/console. Certifique-se de que o campo “Redirect URI” possui a URL de seu portal (ex: https://meuPortalCaptive/oauth2/google) e adicione seguintes Domínios autorizados: *.google.com, *.google.ca, *.google.br, *.gstatic.com, *.googleapis.com, *.accounts.youtube.com Mais informações sobre como configurar um app no Google aqui. Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua nova fonte de autenticação externa. Facebook: Para habilitar a autenticação pelo Facebook registre-se em: https://developers.facebook.com/apps Certifique-se de que o campo “Redirect URI” possui a URL de seu portal (ex: https://meuPortalCaptive/oauth2/facebook) e adicione seguintes Domínios autorizados: *.facebook.com, *.fbcdn.net, *.akamaihd.net *Aker Security Solutions *Captive Portal by PacketFence Página 76 Mais informações sobre como configurar um app no Facebook aqui. Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua nova fonte de autenticação externa. Github: Para habilitar a autenticação pelo Github registre-se em: https://github.com/settings/applications. Certifique-se de que o campo “Redirect URI” possui a URL de seu portal (ex: https://meuPortalCaptive/oauth2/github). Mais informações sobre como configurar um app no Github aqui Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua nova fonte de autenticação externa. Linkedin: Para habilitar a autenticação pelo Linkedin registre-se em: https://developer.linkedin.com/. Certifique-se de que o campo “Redirect URI” possui a URL de seu portal (ex: https://meuPortalCaptive/oauth2/linkedin). Mais informações sobre como configurar um app no Linkedin aqui. Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua nova fonte de autenticação externa. Windows Live: Para habilitar a autenticação pelo Windows Live registre-se em: https://account.live.com/developers/applications Certifique-se de que o campo “Redirect URI” possui a URL de seu portal (ex: https://meuPortalCaptive/oauth2/windowslive). Mais informações sobre como configurar um app no Windows Live aqui. Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua nova fonte de autenticação externa. Cabe ressaltar que o procedimento é efetuado nas próprias mídias sociais, e pode ser alterado. Após a criação da nova fonte de autenticação, certifique-se de que as fontes que representam a mídias sociais desejadas estejam selecionadas no Portal Profile de sua rede, para que as mesmas sejam disponibilizadas para autenticação dos usuários. Para validar esta configuração acesse: Configuration > Portal Profiles > clique no portal desejado e insira a nova fonte de autenticação em Sources. *Aker Security Solutions *Captive Portal by PacketFence Página 77 Siga os passos descritos abaixo para criar uma autenticação externa para mídias sociais: No A3S acesse: Captive > Configuration > Sources Clique em “ADD” e selecione a source externa que deseja criar (Facebook no exemplo abaixo). A janela de criação será exibida. Nesta janela configure os quatro parâmetros descritos a seguir: App ID e App Secret: estas informações são fornecidas pelas mídias sociais na criação do App. Mais detalhes nas páginas acima. Portal URL: neste campo coloque o Hostname do seu Captive Portal. https://MEUCAPTIVE.COM.BR/oauth2/facebook *Aker Security Solutions *Captive Portal by PacketFence Figura 79 - Configurando fonte de autenticação do tipo mídia social Página 78 Rules: Esta opção é disponibilizada após a criação da fonte de autenticação, localizada na parte inferior esquerda da tela. Para que os usuários possam ser autenticados por meio desta fonte de autenticação é mandatório que exista uma regra com as duas ações, set_role e set_access_duration, como exibido na imagem abaixo. Figura 80 - Regra para autenticação por mídias externas Configurando o auto registro de usuários O Captive Portal permite que usuários se auto registrem e obtenham acesso à Internet. Este processo é efetuado por meio das opções Registro por e-mail ou Registro através de um patrocinador que são disponibilizadas na tela de login do Captive Portal. *Aker Security Solutions *Captive Portal by PacketFence Página 79 Figura 81 - Tela de Registro de Convidado Por padrão, os e-mails são enviados pela porta 25-TCP, contudo, alguns servidores de e-mail requerem autenticação e a utilização de uma porta especifica. Para definir os parâmetros de configuração para autenticação, utilize o comando: a3sc-config-email Utilização: a3sc-config-email <Servidor SMTP> <Porta> <Nome de usuário> <Senha> Quando o sistema de alerta do Captive Portal não é configurado, a seguinte configuração padrão do sistema será utilizada: Porta de envio utilizada: 25-TCP Remetente: root@servidor+nome-do-dominio ([email protected]) Servidor SMTP: Localhost Para alterar os parâmetros de envio de e-mail padrão acesse: A3S > Menu Captive Portal > Configuration > Alerting *Aker Security Solutions *Captive Portal by PacketFence Página 80 Figura 82 - Configuração padrão de envio de e-mail Captive Portal Ao efetuar o registro, a navegação do usuário será liberada por 10 minutos para a ativação da conta. Caso a conta não seja ativada, o usuário será bloqueado por uma hora. Para que as opções de Registro por e-mail ou Registro através de um patrocinador estejam disponíveis na tela de autenticação do Captive Portal é necessário que as Sources “Email e Sponsor” estejam atribuídas ao Portal Profile de sua rede. As Sources “Email e Sponsor” são criadas por padrão pelo Captive Portal, desta forma, é necessário que estas fontes de autenticação estejam presentes no Perfil de acesso de sua rede e as configurações descritas a seguir, sejam atendidas. *Aker Security Solutions *Captive Portal by PacketFence Figura 83 - Source Email e Sponsor atribuídas ao Portal Profile Página 81 Habilitando o Registro por E-mail Para habilitar a opção “Registro de e-mail” para os usuários do Captive Portal siga os passos descritos a seguir: Defina as configurações de envio de e-mails por meio do comando “a3sc-configemail” como descrito acima. Caso opte por não definir estes parâmetros, os e-mails serão enviados pela porta padrão do SMTP, porta 25. No menu Captive Portal, acesse: Configuration > Portal Profiles > Selecione o portal desejado. Ao abrir o Portal, certifique-se de que a Source e-mail foi selecionada como exibido na imagem a seguir: Figura 84 - Registro por e-mail. Para monitorar os logs referentes ao envio de e-mail na interface de texto do A3S, utilize o comando: tail -f /var/log/maillog Mais informações sobre os comandos do A3S clique aqui. Mais informações sobre o Auto registro clique aqui. Habilitando a opção de Registro através de um patrocinador Para habilitar a opção de “Registro através de um patrocinador” para os usuários do Captive Portal siga os passos descritos a seguir,: Defina as configurações de envio de e-mails por meio do comando “a3sc-configemail” como descrito acima. Caso opte por não definir estes parâmetros, os e-mails serão enviados pela porta padrão do SMTP, porta 25. No menu Captive Portal, acesse: Configuration > Portal Profiles > Selecione o portal desejado. Ao abrir o Portal, certifique-se de que a Source “Sponsor” foi selecionada como exibido na imagem a seguir: *Aker Security Solutions *Captive Portal by PacketFence Página 82 Figura 85 - Registro através de um patrocinador Em seguida, crie um usuário e atribua-o ao e-mail que os usuários utilizarão como patrocinador. Em seguida, atribua as permissões de patrocinador para o usuário desejado. Exemplo a seguir: No menu Captive Portal, acesse: Users > Create. Figura 86 - Criação de usuários locais no Captive Portal Defina os campos necessários para criação do usuário. *Aker Security Solutions *Captive Portal by PacketFence Página 83 Figura 87 -Janela de criação de usuários local No campo “Registration Window” defina a data de expiração para esta conta; No campo “Actions” selecione a opção “Mark as Sponsor” e demais atribuições que desejar para o usuário. Clique em “Create Users” para concluir. O E-mail definido para este (patrocinador) sponsor não deve ser o mesmo utilizado por outro usuário. *Aker Security Solutions *Captive Portal by PacketFence Página 84 Para monitorar os logs referentes ao envio de e-mails, utilize o comando abaixo na interface de texto do A3S: tail -f /var/log/maillog Mais informações sobre o Auto registro clique aqui. O Captive Portal suporta as fontes de autenticação Exclusivas do tipo: Blackhole, Kickbox e Null. Figura 88 – Fontes de autenticação exclusivas Além das opções de autenticação descritas acima, o Captive Portal permite a criação de usuários em seu banco de dados local, sendo possível registrar usuários (individual ou múltiplos), por MAC ou importação (por meio de um arquivo CSV). Registro de Usuários Locais Para o registro de usuários no banco de dados local do Captive Portal acesse: Menu Users> Create > Create Users”. Selecione o método desejado e crie o usuário. Os métodos disponíveis são: Single, Multiple, ou Import. *Aker Security Solutions *Captive Portal by PacketFence Página 85 Figura 89 – Registro de usuários locais Preencha os campos com as informações dos usuários e clique em . Portal Profiles são os perfis que podem ser atribuídos às Redes, Realm, URI, por meio dos filtros disponíveis. Desta forma, é possível criar um portal específico para grupos, departamentos, dispositivos e etc., proporcionando maior controle para sua rede. Caso não exista nenhum portal criado, todos os clientes se autenticarão usando as regras padrões do Captive Portal. Os portais possuem três (3) abas de configuração que serão descritas a seguir: *Aker Security Solutions *Captive Portal by PacketFence Página 86 Aba Settings Por meio desta aba o usuário define o nome do portal, descrição, as fontes de autenticação (Sources), e pode inserir filtros específicos para o Portal. Além de oferecer outras configurações disponíveis para personalizar o portal de acesso. Caso não existam fontes de autenticação selecionadas em seu portal, serão utilizadas as fontes definidas no perfil “Default”. Caso não existam fontes selecionadas em ambos os perfis, todas as fontes (Internas ou externas) poderão se autenticar. Figura 90 - Portal Profiles aba settings Aba Captive Portal Por meio desta aba é possível configurar o nome da logo principal apresentada na página de autenticação do Captive Portal, definir se o usuário será redirecionado para uma URL específica após autenticação ou se será redirecionado para a mesma página que ele estava tentando acessar, definir a quantidade de tentativas de login, idiomas disponíveis para o portal, e a definição dos campos mandatórios no formulário de registro do usuário e outras configurações disponíveis para personalização do portal de acesso. Para modificar a logo é necessário que a arte desejada seja colocada na pasta (por meio do programa WINSCP ou similar), ou utilizar a URL de uma imagem: *Aker Security Solutions *Captive Portal by PacketFence Página 87 /usr/local/pf/html/captive-portal/content/images Personalize sua arte e salve-a na pasta descrita acima no formato “.png”. Em seguida, simplesmente altere o nome no campo logo. O tamanho médio das imagens é 210/100 pixels, ficando à critério do usuário. Figura 91 - Portal Profiles aba Captive Portal Aba Files Por meio desta aba o administrador pode personalizar as imagens e textos que serão exibidos pelo portal em questão, como: imagens, mensagens de erro, ativação, alertas, estado de autenticação, cabeçalho, rodapé, redirecionamento, registro de dispositivo, e mais. *Aker Security Solutions *Captive Portal by PacketFence Página 88 Figura 92 - Portal Profiles aba Files Exemplo de personalização da tela de login dos usuários. Na aba Files clique em “login.html”. É recomendado que se tenha conhecimento básico de HTML para efetuar a personalização descrita a seguir,. É possível pré-visualizar a página clicando em: *Aker Security Solutions *Captive Portal by PacketFence Página 89 Ao clicar, o HTML será aberto em uma janela onde o usuário pode personalizar os textos e imagens do portal. No exemplo abaixo será modificado o texto da tela principal de registro de usuários. Clique na opção “Show line numbers” e em seguida navegue até a linha 33. Na linha 33 edite a mensagem de boas-vindas, e insira sua mensagem personalizada nas linhas 36 e 37, como destacado na imagem abaixo. *Aker Security Solutions *Captive Portal by PacketFence Página 90 Para modificar as imagens é necessário que a arte desejada seja colocada na pasta (por meio do programa WINSCP ou similar) ou endereço: /usr/local/pf/html/captive-portal/content/images www.host.com.br/minhaimagem.png Personalize sua arte e salve-a na pasta descrita acima no formato “.png”. Em seguida, simplesmente altere o nome da imagem em sua respectiva linha. Ao alterar uma string, é necessário criar uma tradução para a mesma, caso contrário, a mesma não será traduzida para outras linguagens. Linguagem padrão: Inglês. O tamanho médio recomendado das imagens é 210/100 pixels, ficando à critério do usuário. Ao concluir clique em . Por padrão, a duração de acesso dos usuários é de 12 horas. Caso queira alterar este parâmetro, acesse a interface de gerenciamento do Captive Portal e navegue até o “Menu Configuration>Access Duration”. *Aker Security Solutions *Captive Portal by PacketFence Página 91 Figura 93 - Access duration Access duration choices: lista as opções de duração de acesso para as fontes de autenticação do Captive Portal. Default access duration: exibe a duração de acesso padrão do sistema, a qual será aplicada as fontes de autenticação que não possuírem sua própria duração de acesso definidas. Duration: permite que o administrador crie uma nova opção de duração de acesso para as fontes de autenticação. O cadastro de Firewall é necessário para atribuir usuários autenticados pelo Captive Portal aos perfis de acesso específicos no Aker Firewall, permitindo a aplicação de regras de acesso. Para cadastrar um novo Firewall, siga os passos descritos a seguir: No menu Captive Portal do A3S navegue até: Menu Configuration> Networks > Firewall SSO *Aker Security Solutions *Captive Portal by PacketFence Página 92 Figura 94 - Cadastro de Firewall no A3S Clique em Add Firewall e selecione AkerFirewall. Cadastre as informações de seu Firewall e defina os papeis (Roles). *Aker Security Solutions *Captive Portal by PacketFence Página 93 Figura 95 - Cadastrando o Aker Firewall no Captive Portal Hostname or IP Address: endereço IP ou Hostname do Aker Firewall Password: senha de comunicação entre o Aker Firewall e Captive Portal. Esta senha deve ser a mesma definida na aba de autenticação do Captive Portal na Aker Control Center, como exibido a seguir. Localização na Aker Control Center: Módulo Aplicação > Filtro Web > Autenticação Captive Portal Port of the service: porta utilizada na conexão com o Firewall. Roles: selecione as Roles que serão atribuídas aos usuários que serão gerenciados por este Firewall. Estes Roles são utilizados para definir a quantidade de dispositivos que cada usuário pode autenticar utilizando o Captive Portal e na atribuição de usuários autenticados por meio de fontes internas do tipo LDAP, AD e RADIUS. *Aker Security Solutions *Captive Portal by PacketFence Página 94 Na utilização de fontes de autenticação (Sources) internas do tipo LDAP, AD e RADIUS, é mandatório que os Roles com as bases DNs dos grupos de usuários dos ADs, que serão gerenciados por este Firewall, estejam selecionadas neste campo, para que os usuários sejam atribuídos aos seus respectivos perfis de acesso no Aker Firewall. No LDAP, o grupo primário não é incluído como entrada no IADsUser:::Groups Collections, nem faz parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e a atribuição de usuários de grupos primários, aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para mais informações. Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e seus módulos. Para mais informações sobre Roles clique aqui. Ao concluir clique em . Usuários visitantes ou de redes que se autentiquem no Captive Portal podem se registrar de forma automatizada por meio de um código de verificação que é enviado para o e-mail do usuário ou para o e-mail do patrocinador. Além das opções de acesso mencionadas anteriormente é possível se autenticar utilizando as mídias sóciais (Facebook, Google, Linkedin e outras) disponibilizadas no Captive Portal. *Aker Security Solutions *Captive Portal by PacketFence Página 95 Ao abrir seu navegador o usuário será redirecionado para a página de autenticação do Captive Portal, onde, o mesmo poderá efetuar o login (por meio de uma das fontes de autenticação Interna, Externa, Exclusiva, Local, Mídias sociais: Facebook, Google e etc., ou por meio do auto registro). Ao concluir o registro, o usuário terá acesso à Internet para acessar seu e-mail e ativar o registro em seu e-mail. Caso utilize a opção de registro “Patrocinador (Sponsor)” a ativação será efetuada pelo patrocinador. Para mais informações sobre os cadastros de fontes de autenticação clique aqui. Figura 96 - Tela de Login do Captive Portal Caso o usuário pertença a uma base interna cadastrada no Captive Portal, insira o nome de usuário e senha (Leia os termos de uso e marque a checkbox “Eu li e aceito os termos”), e clique em “Usuário”. Caso não tenha um usuário na base interna clique em Registrar e preencha os campos necessários ou acesse as mídias sociais disponíveis no portal. A tela de registro será exibida, preencha os dados solicitados corretamente. *Aker Security Solutions *Captive Portal by PacketFence Página 96 Figura 97 - Tela de registro Após preencher os campos necessários clique em Registrar por E-mail para efetuar a ativação em seu próprio e-mail, ou clique em Registrar por Patrocinador uma das opções abaixo: Figura 98 - Acesso à Rede Solicitado Acesso à Rede Solicitado. *Aker Security Solutions *Captive Portal by PacketFence Página 97 Em seguida o usuário terá acesso liberado por 10 minutos para que acessar sua conta de e-mail e clicar no link de ativação. Caso o usuário não clique no link de ativação em 10 minutos (valor padrão), após o registro, o mesmo será bloqueado e não poderá se autenticar no portal por uma hora. Para limpar esta lista, acesse o Aker Firewall via SSH e remova os arquivos acp_blacklist_cache/acp_whitelist_cache em: /aker/config/firewall Ao se conectar por meio de mídias sociais a ativação será efetuada automaticamente. *Aker Security Solutions *Captive Portal by PacketFence Figura 99 - Registro por meio de Mídias sociais Página 98 Conectando com uma conta Facebook: Figura 100 - Página de login Facebook Conectando com uma conta Google: *Aker Security Solutions *Captive Portal by PacketFence Página 99 *Aker Security Solutions *Captive Portal by PacketFence Figura 101 - Página do login Google Figura 102 - Ativação de rede Página 100 *Aker Security Solutions *Captive Portal by PacketFence Página 101 Este capítulo apresenta uma breve apresentação dos menus e opções da interface gerenciamento do Captive Portal. Para mais informações sobre módulos específicos do Captive Portal clique aqui. O Captive Portal possui cinco (5) menus que serão descritos a seguir: Figura 103 - Menus do Captive Portal O menu Status exibe de forma transparente e simples informações referentes à: registro de usuários, carga do Servidor, memória disponível, solicitações por servidor, acessos, conexões, latência. Permite que o administrador filtre os dados por datas específicas ou última hora, últimas 3 horas, últimas 12 horas, último dia, última semana e últimas duas semanas. Figura 104 - Aba Dashboard E ainda, por meio da aba “Services”, é possível visualizar os serviços em execução do sistema, permitindo que o administrador inicie, reinicie ou pare os serviços. *Aker Security Solutions *Captive Portal by PacketFence Página 102 Figura 105 - Aba Services O menu Reports exibe as informações do estado dos dispositivos (Nodes), gráfico com sistema operacional, violações detectadas, tipos de conexões, SSIDs. *Aker Security Solutions *Captive Portal by PacketFence Figura 106 - Menu Reports Página 103 O menu Nodes exibe as informações de todos dispositivos (Nodes) que estão conectados no Captive Portal. Este menu possui duas janelas: Search e Create. Na Janela Search administrador pode ter acesso a todos os dispositivos conectados, o estado (registrado ou não registrado), MAC, nome do computar, proprietário, endereço IP, Role atribuído ao dispositivo. Além de efetuar filtragens nos dispositivos conectados por: MAC, Status, IP, Role, Notes, Person Name, Violation Name, User agente, Source switch IP, Computer Name, Bypass Vlan e Bypass Role. Figura 107 - Menu Nodes _Search Na Janela Create o administrador pode adicionar manualmente Nodes (dispositivos) no sistema do Captive Portal, desta forma, estes dispositivos serão automaticamente registrados obtendo acesso imediato. É possível registrar dispositivos individualmente ou vários dispositivos por meio de um arquivo CSV. *Aker Security Solutions *Captive Portal by PacketFence Figura 108 - Filtragem Página 104 Figura 109 - Menu Nodes_Create O menu User exibe as informações de todos os usuários registrados no Captive Portal. Este menu possui duas janelas: Search e Create. Na janela Search o administrador pode ter acesso a todos os usuários registrados no Captive Portal, nome de usuário, primeiro nome, sobrenome, e-mail, telefone, e a quantidades de dispositivos (Nodes) conectados por este usuário. *Aker Security Solutions *Captive Portal by PacketFence Página 105 Figura 110 - Menu Users Na Janela Create o administrador pode adicionar usuários locais no banco de dados local do Captive Portal. É possível registrar usuários individualmente, criar um grupo de usuários, ou importar vários usuários por meio de um arquivo CSV. Para remover um usuário, siga os passos descritos abaixo: Navegue até o menu User > Search Clique no Usuário desejado Clique em Delete *Aker Security Solutions *Captive Portal by PacketFence Página 106 Figura 111 – Exclusão de usuário O menu Configuration oferece ao administrador acesso às configurações avançadas do Captive Portal referentes às redes, registros, alertas, Perfis do Portal, acesso, manutenção e mais. Para mais informações sobre as opções avançadas do Captive Portal acesse: http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide5.6.1.pdf *Aker Security Solutions *Captive Portal by PacketFence Página 107 Captive Portal Troubleshooting Este tópico descreve possíveis soluções para alguns problemas que os administradores e usuários do Captive Portal podem encontrar. 1. Usuários estão acessando a Internet sem se autenticar no Captive Portal? Valide se o Captive Portal e o Filtro Web estão habilitados e propriamente configurados. Regra de Proxy HTTPS e HTTP entre a rede de usuários do Captive Portal, opções: autenticar usuários WWW e Forçar Autenticação na janela de Filtros Web habilitadas. Para mais informações clique aqui. 2. Minha Internet não está funcionando. A tela de login/registro do Captive não está sendo exibida? Na Interface de gerenciamento do Captive Portal, valide se a rede de origem ou se todas as redes estão liberadas no perfil do portal em questão. Menu Confguration> Portal Profiles> clique no portal em uso> Filtros network Caso nenhuma rede esteja especificada, todas as redes terão permissão. Caso exista uma rede, e não seja a sua rede, insira sua rede no formato 0,0,0,0/0. Exemplo: 10.3.80.0/24 Certifique-se de que a mesma rede está cadastrada, no Aker Firewall. Localização: Módulo Aplicação > Filtro Web > Aba Autenticação Captive Portal > Campo Redes dos clientes. Valide as configurações de Regras de Filtragem, Perfis e NAT no Aker Firewall. Possível solução em casos que necessitem uma rápida remediação para o problema: → Na Interface de Texto do Captive Portal execute o comando service packetfence restart Aguarde até que todos os serviços sejam reiniciados e valide se a tela de autenticação será exibida nas máquinas dos usuários. Para mais informações clique aqui. 3. Aker Firewall e Captive Portal não se comunicam? Na linha de comando do Firewall, utilize o comando netstat -tunap |grep :22 para visualizar se o Captive está conectado ao firewall. *Aker Security Solutions *Captive Portal by PacketFence Página 108 Valide se o Captive Portal e Aker Firewall conseguem se pingar. Caso não, verifique as Regras de Filtragem que permitem a comunicação entre os mesmos. 4. Onde estão os arquivos de log do Captive Portal? Todos os arquivos de logs estão em: /usr/local/pf/logs Sendo que: PacketFence-Captive Portal (packetfence.log) DHCP Listeners (pfdhcplistener*.log) Apache - Captive Portal (httpd.portal.*) Apache - Administrative UI (httpd.admin.*) Apache - Web services (httpd.webservices.*) Apache - AAA (httpd.aaa.*) RADIUS (radius.log) pfdns - PacketFence DNS service (pfdns.log) SNMP Trap Daemon (snmptrapd.log) SNORT Detect Daemon (pfdetect) Violation Logs (violation.log) Monitorando os logs do Captive Portal. Comando: Tail –f /usr/local/pf/logs/(especifique o tipo de log desejado ou coloque “*” para ver todos) *Aker Security Solutions *Captive Portal by PacketFence Página 109 Figura 112 - monitoramento de logs do Captive Portal 5. Captive Portal não iniciou! O motivo provavelmente será exibido na tela de console, contudo, também é possível obter mais informações no arquivo de log: /usr/local/pf/logs/packetfence.log Certifique-se de que o processo do Captive iniciou com o comando: /etc/init.d/packetfence status ou service packetfence status 6. Como inicio, paro ou reinicio o Captive Portal? Iniciar: /etc/init.d/packetfence start ou service packetfence start Parar: /etc/init.d/packetfence stop ou service packetfence stop Reiniciar: /etc/init.d/packetfence restart ou service packetfence restart 7. Aonde posso ver/remover usuários que foram inseridos na Whitelist/Blacklist? Na interface de texto do Aker Firewall acesse: /aker/config/firewall/ →arquivos↓ acp_blacklist_cache acp_whitelist_cache *Aker Security Solutions *Captive Portal by PacketFence Página 110 8. Como posso limpar ou visualizar a tabela de banco de dados do Captive? Para validar se um usuário está na tabela de banco de dados do Captive obtenha o MAC do usuário (na interface de gerenciamento do Captive acesse o menu Nodes, efetue uma busca por meio dos parâmetros disponíveis e pegue o MAC associado ao usuário em questão. Exemplo de busca: <Person name is usuario.aker Ao obter o MAC, na interface de texto do A3S, execute os comandos abaixo: →Para validar se o usuário está na tabela: mysql -uroot pf -p"senha do banco de dados, a mesma definida na instalação" -e "select * from activation where mac = 'mais-o-mac';" Exemplo: mysql -uroot pf -p123456 -e "select * from activation where mac = '00:00:0a:03:46:55';" →Para remover um MAC específico ou limpar a tabela: mysql -uroot pf -p"senha do banco de dados, a mesma definida na instalação" -e "delete from activation where mac = 'um MAC específico ou * para todos';" Exemplo limpar para tabela: mysql -uroot pf -p123456 -e "delete from activation where mac = '*';" Exemplo para limpar o MAC de apenas um usuário: mysql -uroot pf -p123456 -e "delete from activation where mac = '00:00:0a:03:46:55';" *Aker Security Solutions *Captive Portal by PacketFence Página 111
Documentos relacionados
Procedimento_de_Gravação_de_imagem_e
do conversor em alguma entrada USB de sua máquina (Desktop ou Notebook); Serão necessários 2 (dois cabos crossover). Conecte uma ponta de um dos cabos crossover na porta 01 (ETH0) do Aker Box e a...
Leia mais