PacketFence 구축 가이드

PacketFence 구축 가이드

PacketFence는 오픈소스 네트워크 접근 제어(NAC) 솔루션으로, 캡티브 포털, 802.1X 인증, VLAN 관리 등을 통해 네트워크 보안을 강화합니다. 아래는 PacketFence를 구축하는 단계별 가이드와 Rocky Linux에서의 설치 방법을 포함하며, 구축 시 유의사항을 제공합니다.

1. 사전 준비

• 시스템 요구사항:
  • OS: CentOS 8 Stream, Debian 11/12, Rocky Linux 8/9
  • 최소 하드웨어: 4GB RAM, 2 CPU 코어, 50GB 스토리지
  • 네트워크 인터페이스: 최소 2개(관리용, 인라인/VLAN용)
• 네트워크 계획: 등록 VLAN, 격리 VLAN, 프로덕션 VLAN을 정의하세요. 각 VLAN의 IP 대역과 DHCP 설정을 준비하세요.
• 의존성: PacketFence는 MySQL/MariaDB, Redis, FreeRADIUS, Apache 등을 사용합니다. 설치 전 인터넷 연결이 필요합니다.
• 백업: 기존 네트워크 설정과 데이터를 백업하세요.

2. PacketFence 설치

• OS 설치: CentOS 8 Stream, Debian 11, 또는 Rocky Linux 8을 설치하고 최신 업데이트를 적용하세요.
• 리포지토리 추가:

  배포본	리포지토리 설치 명령어
  CentOS 8 Stream / Rocky Linux 8	yum install -y http://packetfence.org/downloads/PacketFence/RHEL8/packetfence-release-14.1.el8.noarch.rpm
  Debian 12	wget http://inverse.ca/downloads/PacketFence/debian/packetfence-release-14.bookworm.deb dpkg -i packetfence-release-14.bookworm.deb

• PacketFence 설치:
  • CentOS/Rocky Linux: dnf install --enablerepo=packetfence packetfence
  • Debian: apt update && apt install packetfence
• 설치 확인: 설치 후 /usr/local/pf/bin/pfcmd checkup를 실행하여 의존성 및 설정 문제를 확인하세요.

3. PacketFence 초기 설정

• 웹 관리자 인터페이스 접속:
  • 브라우저에서 https://[PacketFence_IP]:1443로 접속하세요.
  • 기본 사용자: admin, 비밀번호: 설치 중 생성된 비밀번호 (또는 /usr/local/pf/conf/admin.conf에서 확인).
• 네트워크 설정:
  • Configuration > Network > Interfaces에서 관리 인터페이스와 VLAN 인터페이스를 설정하세요.
  • 등록 VLAN과 격리 VLAN을 정의하세요.
• RADIUS 설정:
  • Configuration > Integration > RADIUS에서 FreeRADIUS 설정을 확인하고, 스위치와 공유할 RADIUS 비밀키를 설정하세요.

4. 캡티브 포털 및 802.1X 설정

• 캡티브 포털:
  • Configuration > Policies and Access Control > Connection Profiles에서 기본 프로파일을 설정하세요.
  • Sources에서 인증 소스(LDAP, AD, SMS 등)를 추가하세요.
  • 예: SMS 인증 소스 추가 후 저장하고, 포털 미리보기로 테스트하세요.
• 802.1X 인증:
  • Configuration > Integration > 802.1X에서 EAP 프로필(PEAP, EAP-TLS 등)을 설정하세요.
  • 스위치에서 802.1X를 활성화하고 PacketFence를 RADIUS 서버로 지정하세요 (예: Cisco Catalyst 2960의 경우 aaa authentication dot1x default group radius).

5. 스위치 및 네트워크 장비 통합

• 스위치 추가:
  • Configuration > Network Devices > Switches에서 스위치 IP와 RADIUS 비밀키를 입력하세요.
  • 역할(Role) 매핑을 통해 VLAN ID를 지정하세요.
• 스위치 설정:
  • Cisco 스위치 예시:
  • radius-server host [PacketFence_IP] key [secret] aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control
  • HP ProCurve의 경우 포트 보안 설정 시 port-security [port] clear-intrusion-flag를 실행하여 초기 문제를 방지하세요.

6. 테스트 및 배포

• 테스트:
  • 테스트 장치를 등록 VLAN에 연결하여 캡티브 포털이 표시되는지 확인하세요.
  • 802.1X 클라이언트를 설정하여 인증 테스트를 수행하세요.
  • 로그 확인: /usr/local/pf/logs/packetfence.log에서 오류를 점검하세요.
• 배포:
  • 소규모 네트워크 세그먼트에서 먼저 배포한 후 점진적으로 확장하세요.
  • 사용자 교육 및 정책 문서를 배포하세요.

구축 시 유의사항

• 네트워크 토폴로지: VLAN 설정이 기존 네트워크와 충돌하지 않도록 사전에 매핑하세요. 등록 및 격리 VLAN은 별도의 서브넷을 사용해야 합니다.
• 스위치 호환성: 모든 스위치가 802.1X 또는 RADIUS 동적 VLAN 할당을 지원하지 않을 수 있습니다. 인라인 모드를 고려하세요.
• 인라인 모드 제한: 인라인 모드는 최대 클래스 B 네트워크(65,536개 IP)만 지원하므로 대규모 네트워크에서는 VLAN 강제를 선호하세요.
• 포트 보안: HP ProCurve 스위치 사용 시 포트 보안 활성화 전 클라이언트를 분리하거나 침입 플래그를 초기화하세요.
• MAC 이동: Cisco 스위치에서 802.1X와 네트워크 인터페이스 팀링을 사용할 경우 mac-move 기능을 활성화하여 오류를 방지하세요.
• 백업 및 복구: 설정 파일(/usr/local/pf/conf)을 정기적으로 백업하고, 업그레이드 전 업그레이드 가이드를 확인하세요.
• 성능: 대규모 네트워크에서는 클러스터링을 고려하세요. 단일 서버는 수백 개 스위치와 수천 노드를 처리할 수 있지만 부하 테스트가 필요합니다.
• 사용자 경험: 엄격한 정책은 생산성을 저하시킬 수 있으므로, 초기 배포 시 셀프 수정 기능을 활성화하세요.
• 로그 및 모니터링: Syslog를 FortiSIEM 등 외부 시스템으로 전송하여 이벤트를 모니터링하세요.
• Rocky Linux 관련: Rocky Linux는 RHEL과 호환되지만 공식 지원은 제한적입니다. RHEL 리포지토리를 사용하며, 설치 전 호환성을 테스트하세요.

Rocky Linux에서의 설치

Rocky Linux는 RHEL의 이진 호환성을 제공하므로, PacketFence 설치 시 RHEL 리포지토리를 사용할 수 있습니다. 아래는 Rocky Linux 8에서의 설치 절차입니다:

• 리포지토리 추가:
• yum install -y http://packetfence.org/downloads/PacketFence/RHEL8/packetfence-release-14.1.el8.noarch.rpm
• GPG 키 추가:
• rpm --import http://inverse.ca/downloads/GPG_PUBLIC_KEY
• PacketFence 설치:
• yum install packetfence
• SELinux 비활성화: SELinux가 활성화되어 있으면 PacketFence가 제대로 작동하지 않을 수 있습니다. /etc/selinux/config에서 SELINUX=disabled로 설정하고 재부팅하세요.

추가 참고 자료

추가 정보는 PacketFence 공식 웹사이트 또는 GitHub를 참고하세요.