Escolar Documentos
Profissional Documentos
Cultura Documentos
Controle de Acesso A Rede Com PacketFenc PDF
Controle de Acesso A Rede Com PacketFenc PDF
GERENCIAL - FATESG
CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES
GOIÂNIA
2011
André Luiz Ramos de Souza
Diego de Souza Lopes
Orientador:
Prof. MSc. Maurício Severich
GOIÂNIA
2011
i
Aprovada em de de 2011.
Banca Examinadora
DEDICATÓRIA
AGRADECIMENTOS
Epígrafe
Resumo
Abstract
This work aims to demonstrate by means of the use of the software implementa-
tion PacketFence. It is used to control the access of new devices (notebooks, desk-
tops) to the network infrastructure of computers using wired Ethernet connections. To
make this control PacketFence uses open source technologies, including the Nessus
scanning tool. It is used to make searches about computer software vulnerability that
compromise the security of data that is stored on the device. It include FreeRadius
application that makes authentication and authorization and user access device to the
computer network, MySQL database used to store data, Snort application that detects
intrusion attempts to the network, Apache HTTPD web server to provide web pages
and Captive portal. It also will be discussed 802.1x protocol, 802.1q, Simple Network
Manager Protocol (SNMP) and Dynamic Host Configuration Protocol (DHCP). In this
document the reader will find brief description of applications and protocols mentioned
early as well the details of the installation, configuration and functionality of Packet-
Fence in wired networks.
vii
Sumário
Lista de Figuras xi
1 INTRODUÇÃO 1
1.1 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.4 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.6.1 Arquitetura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.6.2 Gerente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.6.3 Agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6.4 MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6.5 Versões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.9.1 Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.10 NESSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3 INTRODUÇÃO AO PACKETFENCE 28
3.1.11 Expiração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4 IMPLEMENTAÇÃO E CONFIGURAÇÃO 35
Sumário ix
4.3 CONFIGURAÇÕES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3.2 SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.3.3 MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.4 PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.4.1 pf.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.3.4.2 networks.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.3.4.3 switches.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.3.6 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.6.1 Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.6.2 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
5 RESULTADOS OBTIDOS 62
5.1 Tradução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6 CONSIDERAÇÕES FINAIS 72
Referências 74
Lista de Figuras
FIGURA 4 – EAPOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
FIGURA 10 – Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
FIGURA 37 – Log com trap indicando novo MAC que é colocado na VLAN
de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Lista de Siglas
AP Access Points
GB Gigabyte
HD Hard Disk
INC Incorporation
IP Internet Protocol
P2P Peer-to-Peer
TI Tecnologia da Informação
1 INTRODUÇÃO
A fim de reduzir tais falhas, que estão em contínuo crescimento e que demanda a
1 INTRODUÇÃO 2
cada dia maior controle de acesso à infraestrutura de rede sujeita a novas ameaças e
vulnerabilidades, surgiu uma ferramenta de software livre, o PacketFence.
O usuário também será verificado nesse inicio de comunicação, se ele não for
cadastrado, será necessário realizar esse cadastro para ingressar na rede e utilizar
os recursos como acesso à Internet e programas corporativos, consulta em banco de
dados, entre outros de acordo com as políticas estabelecidas.
Para reforçar; para se obter o acesso à rede principal é necessário que usuário
e dispositivos estejam de acordo com as políticas de segurança, se uma das partes
falhar o acesso será negado.
1.1 OBJETIVOS 3
1.1 OBJETIVOS
É também parte do escopo deste trabalho apresentar uma tradução, dentro dos
limites permissivos, para a língua portuguesa da documentação dos manuais do soft-
ware PacketFence.
1.2 METODOLOGIA
- O servidor trabalha juntamente com o switch para realizar o controle dos novos
dispositivos que serão conectados à rede;
1.2 METODOLOGIA 4
Existia uma disputa que gerava a falta de padronização quanto às soluções NAC,
pois cada fornecedor/empresa implementava recursos e desenvolvia suas próprias
soluções agregadas as suas próprias ferramentas, não estendendo para outros fa-
bricantes, pois não existia um padrão a ser seguido como modelo, a fim de garantir
compatibilidade entre soluções distintas.
Com o pensamento de acabar com a disputa das soluções NAC, o Internet En-
gineering Task Force (IETF) aprovou 2 padrões propostos pelo Trusted Computing
Group (TCG), a partir de então considerados como dois padrões NAC a serem im-
plementados pela indústria. Tais padrões estão definidos nas Requests For Com-
ments (RFC) de números 5792 [Sangster e Narayan 2010] e 5793 [Sahita et al. 2010].
De acordo com [INTEROP LABS 2006] NAC é definida como sendo um controle
genérico de acesso à rede que autentica e autoriza o tráfego. Tal controle de acesso
simplesmente poderia ser implementado com o uso de políticas de acesso ou defi-
nindo regras no firewall1 .
Ataques zero-day podem destruir ou devastar uma rede, pois este é um ataque
que explora uma falha desconhecida ao qual não existe um patch para a correção do
problema. Ao explorar uma falha desta magnitude, os atacantes podem entrar em uma
rede para execução de código ou obter o controle total do computador da vítima.
• Agent-based: Este tipo de NAC conta com um software que requer ser instalado
nos dispositivos dos usuários. Esta é uma abordagem simples, porém inflexível
requerendo software especial a ser instalado;
• Agentless: Este tipo de NAC não requer a instalação de agentes nos dispositi-
vos dos usuários.
• Inline: Neste tipo de NAC, todo o tráfego do cliente passa pela ferramenta NAC.
Esta abordagem pode gerar gargalos de throughput em redes maiores, além
1
Firewall é um dispositivo de rede que tem por objetivo aplicar políticas de segurança, verificando
informações da camada de enlace (camada 2 do modelo Open Systems Interconnection (OSI) e da
camada de rede (camada 3 do modelo OSI). Aplicando políticas de filtragem de pacotes Transmission
Control Protocol/Internet Protocol (TCP/IP) e portas.
2.1 O QUE É NETWORK ACCESS CONTROL ? 7
As organizações estão a cada dia querendo controlar o acesso à rede com o uso
de tecnologias que melhor atenda e proteja as redes e dados delas.
A primeira versão NAC trouxe um modelo defeituoso, pois não atendeu aos di-
ferentes grupos que compõem as infraestruturas tecnológicas em uma organização,
pois crescia a demanda por proteger os dispositivos móveis2 , por grandes quantidades
de dispositivos, levando à falta de agilidade em termos de segurança.
De acordo com [Manlio 2009], a geração NAC 1.0 falhou devido ao foco em blo-
queio de clientes e a falta de agilidade, pois as ocorrências de ameaças novas e
constantes, além das vulnerabilidades que surgiam se somavam a um problema muito
maior em termos de segurança de uma organização.
A segunda geração NAC ou NAC 2.0 surgiu devido à necessidade de uma abor-
dagem para o ambiente de novas ameaças e vulnerabilidades, já que este mudava
constantemente - surgimento de novas pragas virtuais. Desta forma, tornava-se ne-
cessário criar soluções com a capacidade de abranger as necessidades de segurança.
A infraestrutura composta por um NAP inclui computadores com NAP client, pon-
tos de aplicação NAP, servidores de políticas NAP. Componentes opcionais podem
ser utilizados, por exemplo, servidores para remediação e servidores para verificar o
estado de saúde dos computadores, ou seja, se os computadores estão em perfeito
estado de saúde, longe de vírus, falhas de segurança e vulnerabilidades.
Cisco Network Admission Control (Cisco NAC) permite aos roteadores Cisco impor
privilégios de acesso quando determinado dispositivo tenta se conectar a uma rede,
ou seja, é verificado se o dispositivo está em conformidade, antivírus, definições de
vírus e mecanismos de verificação atualizados. Os dispositivos que estiverem fora de
conformidade são negados de acessarem os recursos da rede, sendo colocados em
uma área de quarentena, ou seja, ter acesso restrito aos recursos da rede, mantendo
os outros nós (dispositivos da rede) livres de infecção.
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL 9
O principal componente do Cisco NAC é o Cisco Trusted Agent. Este reside nos
dispositivos, coletando informações referentes ao estado de segurança e enviando as
informações para os roteadores Cisco. Posteriormente, as informações são enviadas
para o Cisco Secure Access Control Server (Cisco ACS). Neste decide-se o que deve
ser feito em relação a determinado dispositivo, orientando o roteador Cisco a restringir
o acesso deste dispositivo.
para confirmar o recebimento, a partir deste momento, o cliente passa a ter endereço
IP e todas as configurações referentes à solicitação. Desta forma, finalizam-se as
etapas para a obtenção dos parâmetros de configuração, inicialmente solicitados pelo
cliente.
Quando um usuário tenta acessar qualquer página da Web com o uso de um na-
2.4 RADIUS 13
2.4 RADIUS
Os dados que são transmitidos entre o cliente (usuário) e o servidor RADIUS são
autenticados através do uso da shared secret (segredo compartilhado). Este nunca
é enviado pela rede, desta forma se faz necessário o conhecimento prévio do shared
secret tanto entre o NAS quanto no servidor RADIUS, para que seja possível haver a
autenticação entre eles.
O protocolo Institute of Electrical and Electronics Engineers (IEEE) 802.1X foi pro-
posto pelo IEEE 802 LAN/WAN, e é utilizado em redes Ethernet como um mecanismo
de controle de porta de acesso [H3C Technologies 2011].
F IGURA 4 EAPOL
Fonte: http://www.h3c.com
Esse sistema utiliza o Extensible Authentication Protocol (EAP) para trocar infor-
mações de autenticação entre o cliente e dispositivo e servidor de autenticação. Entre
o cliente e o dispositivo, os pacotes EAP são encapsulados utilizando o EAPOL (EAP
sobre LAN) para serem transferidos na rede.
Uma porta no modo não controlada está aberta em ambas as direções de entrada
e saída, isso permite a passagem de pacotes do protocolo EAPOL. Desse modo, o
cliente pode enviar e receber pacotes de autenticação.
Quando a porta está no modo aberta controlada, ela permite o tráfego de dados
somente quando ela está no estado autorizado, ou seja, após autenticação.
Estado autorizado e não autorizado é a porta controlada que pode estar em qual-
quer estado, autorizado ou não autorizado. O estado depende do resultado da auten-
ticação, com sucesso a porta fica no estado autorizado, senão, ela ficará no estado
não autorizado.
Controle de direção indica o estado da porta controlada e não autorizada que pode
ser configurada para negar o tráfego de e para o cliente ou apenas o tráfego do cliente.
Esse protocolo é comumente utilizado em redes sem fio (WiFi) mas também pode
ser utilizado para autenticar clientes em redes cabeada. Ele padroniza a troca de men-
2.5 IEEE 802.1X 18
No EAP são definidos quatro tipos de pacotes: request, response, success e fai-
lure [JANET 2011]. Ao conectar um dispositivo em uma porta com o 802.1x habilitado,
acontece o procedimento descrito na Figura 7.
De acordo com [JANET 2011], o EAP faz uso do pass-through, ou seja, permite
que o autenticador repasse as respostas, usando o protocolo RADIUS para o servidor
EAP. A partir desse momento, o servidor assume o papel de autenticador para o res-
tante da sessão EAP, e tenta fazer a autenticação do suplicante, no caso da Figura 7,
é utilizando um banco de dados centralizado para autenticação.
Além dos três tipos de autenticação citados, também pode ser usado o Transport
Layer Security (TLS) , Tunneled Transport Layer Security (TTLS) e o Protected Ex-
tensible Authentication Protocol (PEAP). O EAP-TLS é baseado no TLS e usa um
certificado de usuário para autenticar o suplicante. O EAP-TTLS também utiliza o
TLS, mas diferente do primeiro o EAP-TLS não utiliza um certificado de usuário para
fazer a autenticação. O PEAP também utiliza TLS mas difere dos demais, pois só
pode proteger outros tipos de EAP.
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 19
2.6.1 Arquitetura
2.6.2 Gerente
Pull é ação realizada pela NMS para ler dados na base de dados dos agentes
e trap é a ação realizada pelos agentes para enviar dados (eventos) dos dispositivos
gerenciados para o gerente ou NMS. Não é necessário que a NMS envie algum tipo de
solicitação para que o agente envie uma trap. Esse processo é assíncrono, ou seja,
o agente informa ao gerente automaticamente quando algo acontece no dispositivo
gerenciado.
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 20
2.6.3 Agente
2.6.4 MIB
São definidas três tipos de MIBs padrão: MIB II, MIB Experimental e MIB Privada.
• MIB II: Evolução da MIB I, descrita pela RFC 1213 [McCloghrie e Rose 1991];
Todos os agentes contêm a MIB II, pois essa MIB implementa os recursos neces-
sários para monitoramento do protocolo TCP/IP, porém o agente pode implementar os
vários tipos de MIBs.
Além dessas MIBs padrão, existem outras específicas para determinados tipos de
serviços, por exemplo, DNS Server MIB definida na RFC 1611 [Austein e Saperia 1994]
específica para servidores que executam serviços DNS.
mento. Segundo [Douglas e Kevin 2001], SMI define os objetos gerenciados e a MIB
é a junção desses objetos.
2.6.5 Versões
A versão 1 é definida pela RFC 1157 [Case et al. 1990]. É versão mais simples
do protocolo. Sua segurança é baseada em string de texto puro, ou seja, o nome da
comunidade implementada no agente. Esse método permite que qualquer software
que interprete dados SNMP consiga ter acesso às informaçãos de gerenciamento do
dispositivo.
A versão 2 é definida pela RFC 1905 [Case et al. 1996], 1906 [Case et al. 1996] e
1907 [Case et al. 1996]. Essa versão implementou melhorias de desempenho, gerên-
cia distribuída e bulk, mas continuou com o problema da segurança que foi resolvido
na versão 3.
Netflow é um protocolo que captura o fluxo de rede nos equipamentos, este de-
finido na RFC 3954 [Claise 2004]. Através dessa coleta de informações é possível
gerar gráficos para demonstrar o nível de uso de um determinado equipamento, por
exemplo, consumo de banda; distribuição dos protocolos (porta, protocolo e endereço
IP); mapeamento de aplicativos, ou seja, saber quais aplicativos estão em uso na
rede. Desta forma é possível ajustar as políticas de Quality of Service (QoS), pois,
através destes mapeamentos é possível saber qual tráfego a ser priorizado de um
2.8 IEEE 802.1Q 22
O padrão IPFIX, está definido nas seguintes RFC’s: 3917, 5101, 5102, 5103, 5153,
5470, 5472, 5473, 5474, 5610, 5655, 5815, 5982, 6183, 6235, 6313.
De acordo com [Prado 1998], para controle de pacotes em VLANs são utilizados
três modelos básicos: VLAN baseada em portas; em endereço MAC; e em protocolos,
sendo:
- VLAN baseada em porta: cada porta Ethernet do dispositivo pode ser associado
a uma VLAN, exemplo de dispositivo switch;
2.8 IEEE 802.1Q 23
- VLAN baseada em protocolo: Nesse caso a VLAN é definida por protocolos (IP,
IPX, ...) e endereços da camada 3 do modelo OSI.
Para estabelecer VLANs que atravessam o limite físico de um switch foi criado o
padrão IEEE 802.1Q.
Os sistemas de IDS são compostos de sensores que são responsáveis por monito-
rar o comportamento da rede e de sistemas. Os sensores estáticos são configurados
inicialmente de acordo com a política de segurança da empresa, essa contém as as-
sinaturas de ataques já conhecidas. Os sensores inteligentes são responsáveis por
identificar mutação de ataques existentes de acordo com as assinaturas conhecidas.
Também conseguem aprender (analisar) como uma determinada rede ou sistema se
comporta em um determinado período de tempo. Essa análise fica armazenada para
comparações futuras, pois, se for identificada alguma ação fora do comportamento
analisado, o IDS qualifica essa ação como sendo um ataque.
Como ferramenta de IDS o PacketFence utiliza o Snort, esta será descrita a se-
guir.
2.9.1 Snort
código fonte pequeno e atualizações freqüentes tanto no código fonte como as assina-
turas que, consequentemente, fazem o Snort aceito entre os administradores de redes
e utilizado em conjunto com outras aplicações como, por exemplo, o PacketFence.
Para realizar essas tarefas, o Snort tem em sua arquitetura três subsistemas: De-
codificador de pacote; Engenharia de Detecção; e Subsistema de login e alerta.
A opção de login grava os dados em arquivos de texto que pode ser utilizado por
multi-plataformas (Windows, Mac, etc.) ou envia essas informações para o syslog
2.10 NESSUS 26
(programa responsável por gerar e armazenar logs nos sistemas Linux/Unix). A opção
de login também pode ser configurada para armazenar pacotes decodificados, em
formato legível para ser humano.
De acordo com [Roesch 1999], a criação do arquivo texto de alerta pode ser feito
de três maneiras. A primeira é a criação desse arquivo com informações completas
do alerta, essas informações registradas são passadas pelo protocolo do nível de
transporte. A segunda registra um subconjunto condensado de informações, fazendo
com que o desempenho seja maior do que a primeira e a terceira é utilizada para
desconsiderar alertas, essa é utilizada quando a rede está passando por testes de
segurança.
2.10 NESSUS
3 INTRODUÇÃO AO PACKETFENCE
- Captive portal: este sendo bastante utilizado para o registro e remediação dos
dispositivos, ele possui: suporte ao padrão IEEE 802.1X, suporte a Voz over In-
ternet Protocol (VoIP), isolamento de dispositivos problemáticos na camada 2
do modelo Open Systems Interconnection (OSI), ou seja, dispositivos que pos-
suem vírus em geral, falhas de segurança e vulnerabilidades, possui integração
com o Snort;
anormais na rede;
Inline: O modo Inline (em linha) é suportado pelo PacketFence para agregar
equipamentos de rede com fio e sem-fio que não são gerenciáveis, ou seja, o
PacketFence não consegue gerenciar estes dispositivos, tal como: mudar de
VLAN; aplicar o recurso de porta de segurança (port-security ); entre outros.
Neste modo, todo o tráfego é direcionado ao PacketFence. O modo Inline pode
muito bem coexistir com o modo Out-of-Band.
PacketFence utiliza uma solução similar ao Captive portal para realizar o registro
dos dispositivos. Diferentemente de soluções comuns de Captive portal, a solução
do PacketFence recorda os usuários previamente registrados, pois este verifica se o
usuário está devidamente registrado juntamente com o dispositivo na base de dados
do PacketFence. Caso exista o registro do dispositivo, o mesmo não será interceptado
pelo Captive portal e consequentemente não será pedido para se registrar novamente.
Desta forma, o usuário consegue acesso sem outra autenticação. Contudo, os usuá-
rios não poderão ter acesso à rede sem primeiramente aceitar a Política de Uso.
3.1 O QUE É PACKETFENCE ? 31
Active Directory.
O PacketFence faz uso da técnica de VLAN definido no padrão IEEE 802.1Q. Esta
técnica é bastante utilizada para segmentação de uma rede de maneira mais eficaz,
pois, com o uso desta técnica, é possível segmentar uma rede em várias VLAN’s,
podendo segmentar um switch em VLAN’s diferentes, ou seja, várias redes distintas
em um mesmo equipamento.
3.1.11 Expiração
Um Consultor está a visitar a sua empresa, ele precisar utilizar os recursos da sua
rede de computadores para acessar a Internet e este ficará em sua empresa somente
por um período máximo de 8 horas, ou seja, uma jornada de trabalho. Ao se passar o
período de 8 horas, o cadastro do Consultor expirará e da, próxima vez que este estiver
em sua empresa, não conseguirá acessar os recursos da sua rede de computadores,
pois o status após a expiração passa a ser de não registrado. Desta forma, sua rede
se torna mais segura, sendo que o Consultor precisará de autorização, ou seja, de
registro para acessar os recursos da sua rede de computadores.
trar um usuário na infraestrutura corporativa interna, este passa por auditoria, uma vez
que cada recurso alocado gera despesas, tendo então, que justificar este registro em
uma auditoria interna.
Para registrar um convidado, existem várias possibilidades, tais como: registro ma-
nual, auto-registro, acesso ao visitante com ativação por email e ativação por telefone
celular via Short Message Service (SMS).
35
4 IMPLEMENTAÇÃO E CONFIGURAÇÃO
- Processador: Intel;
F IGURA 10 Topologia
Fonte: Autoria Própria
4.3 CONFIGURAÇÕES 37
- VLAN 2 - Registro: é a VLAN utilizada para o registro dos dispositivos que não
estão registrados na base de dados do PacketFence, através desta VLAN os
clientes somente terão acesso ao Captive Portal para a realização do registro;
- VLAN 3 - Isolação: é a VLAN utilizada para isolar dispositivos que estejam com
problemas, ou seja, vulnerabilidades, vírus, execução de software P2P. A fim de
re-mediar estes dispositivos, ou seja, corrigir estes problemas, sendo utilizado
o Captive Portal para apresentar informações aos clientes de como resolver os
problemas, em particular para cada dispositivo;
4.3 CONFIGURAÇÕES
Será configurado a interface eth0, para isso será necessário editar o arquivo ifcfg-
eth0, deixando-o, de acordo com o conteúdo a seguir:
DEVICE="eth0"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="10.0.10.1"
NETMASK="255.255.255.0"
A VLAN 2 será adicionada à interface eth0, para isso, deverá ser criado o arquivo
ifcfg-eth0.2, sendo adicionado o conteúdo a seguir:
DEVICE="eth0.2"
VLAN="yes"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="192.168.2.10"
NETMASK="255.255.255.0"
MTU="1442"
4.3 CONFIGURAÇÕES 39
A VLAN 3 será adicionada à interface eth0, para isso, deverá ser criado o arquivo
ifcfg-eth0.3 e sendo adicionado o conteúdo a seguir:
DEVICE="eth0.3"
VLAN="yes"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="192.168.3.10"
NETMASK="255.255.255.0"
MTU="1442"
A VLAN 10 também deverá ser adicionada à interface eth0, para isso, será criado
o arquivo ifcfg-eth0.10, sendo adicionado o conteúdo a seguir:
DEVICE="eth0.10"
VLAN="yes"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="192.168.1.10"
NETMASK="255.255.255.0"
MTU="1442"
4.3.2 SELinux
Security-Enhanced Linux (SELinux) é uma implementação de uma fle-
xível e refinada arquitetura Mandatory Access Control (MAC). SELinux
provê uma política de segurança sobre todos os processos e objetos
do sistema baseando suas decisões em etiquetas contendo uma vari-
edade de informações relevantes à segurança. A lógica da política de
tomada de decisões é encapsulada dentro de um simples componente
conhecido como servidor de segurança (security server ) com uma in-
terface geral de segurança [Wikipédia 2005].
O SELinux é uma característica que poderá ser requerida por algumas organiza-
ções, porém o PacketFence não será executado corretamente se o SELinux estiver
definido para enforced [Inverse 2011].
SELINUX=disabled
4.3.3 MySQL
4.3.4 PacketFence
/usr/local/pf/configurator.pl
Ao escolher uma das opções apresentadas na Figura 20, por exemplo a opção 4,
posteriormente é apresentada as opções que se referem aos modos VLAN ou Inline,
conforme demonstrado na Figura 21, ou seja, com a opção de VLAN é para ser usado
com equipamentos gerenciáveis e a opção Inline para equipamentos não gerenciáveis.
4.3 CONFIGURAÇÕES 45
A Figura 25, apresenta a pergunta referente a qual porta a ser utilizada para a
administração web do PacketFence, sendo a 1443 a padrão a ser configurada.
Na Figura 26, é perguntado qual o endereço de e-mail, para que seja enviado as
notificações de violações.
4.3 CONFIGURAÇÕES 47
Na Figura 32, é perguntado o endereço IP, porta, usuário e senha para o Nessus,
ou seja, informações para a comunicação com o Nessus, a fim de enviar tarefas para
o escaneamento dos dispositivos.
A seguir, na Figura 36, as configurações iniciais realizadas pelo script foram en-
cerradas com a finalização da execução do script, devendo configurar os arquivos
4.3 CONFIGURAÇÕES 50
4.3.4.1 pf.conf
[general]
domain=redes.local
hostname=pf
4.3 CONFIGURAÇÕES 51
dhcpservers=192.168.2.10,192.168.3.10,192.168.1.10
[trapping]
range=192.168.2.0/24,192.168.3.0/24,192.168.1.0/24
detection=enabled
[scan]
pass=admin
[database]
pass=pfdb123
[interface eth1]
type=monitor
[interface]
type= ?
- internal: Rede interna para uso com parâmetro enforcement (vlan, inline)
[interface eth0]
ip=10.0.10.1
mask=255.255.255.0
type=management
gateway=10.0.10.1
4.3 CONFIGURAÇÕES 52
[interface eth0.2]
ip=192.168.2.10
mask=255.255.255.0
type=internal
enforcement=vlan
gateway=192.168.2.1
[interface eth0.3]
ip=192.168.3.10
mask=255.255.255.0
type=internal
enforcement=vlan
gateway=192.168.3.1
[interface eth0.10]
ip=192.168.1.10
mask=255.255.255.0
type=internal
enforcement=vlan
gateway=192.168.1.1
4.3.4.2 networks.conf
[192.168.2.0]
type=vlan-registration
netmask=255.255.255.0
gateway=192.168.2.10
next_hop=
named=enabled
4.3 CONFIGURAÇÕES 53
domain-name=registration.redes.local
dns=192.168.2.10
dhcpd=enabled
dhcp_start=192.168.2.11
dhcp_end=192.168.2.254
dhcp_default_lease_time=300
dhcp_max_lease_time=300
[192.168.3.0]
type=vlan-isolation
netmask=255.255.255.0
gateway=192.168.3.10
next_hop=
named=enabled
domain-name=isolation.redes.local
dns=192.168.3.10
dhcpd=enabled
dhcp_start=192.168.3.11
dhcp_end=192.168.3.254
dhcp_default_lease_time=300
dhcp_max_lease_time=300
[192.168.1.0]
type=Normal
netmask=255.255.255.0
gateway=192.168.1.10
pf_gateway=
named=disabled
domain-name=production.redes.local
dns=8.8.8.8,8.8.4.4
dhcpd=enabled
dhcp_start=192.168.1.11
dhcp_end=192.168.1.254
dhcp_default_lease_time=300
dhcp_max_lease_time=300
4.3 CONFIGURAÇÕES 54
4.3.4.3 switches.conf
[default]
vlans = 2,3,4,10
normalVlan = 10
registrationVlan = 2
isolationVlan = 3
macDetectionVlan = 4
[10.0.10.4]
type = ThreeCom::Switch_4200G
mode=production
uplink = 25
cliTransport = Telnet
cliUser = admin
cliPwd =
Criando as VLAN’s:
A VLAN 1 não precisará ser configurada, pois esta já vem configurada por padrão
no switch, sendo que a VLAN 1 por padrão vem em modo access.
system-view
vlan 2
vlan 3
vlan 4
vlan 10
quit
Habilitando o SNMP:
O SNMP deverá ser habilitado no switch para que este envie traps ao PacketFence
ao detectar a mudança do status da porta, ou seja, linkup e linkdown.
snmp-agent
snmp-agent target-host trap address udp-domain 10.0.10.1 params
securityname public
snmp-agent trap enable standard linkup linkdown
quit
Configurando a porta do PacketFence, este deverá ficar em uma porta como trunk,
pois deve permitir que o tráfego das outras VLAN’s cheguem ao PacketFence.
As configurações que devem ser realizadas no switch para habilitar este modo:
configurar um schema radius, sendo que neste é informado o endereço IP do servidor
RADIUS e a porta; configurar a shared secret a ser utilizada para a comunicação
4.3 CONFIGURAÇÕES 57
do switch e o RADIUS; informar que os logins serão sem o prefixo do domíno, por
exemplo, usuario@redes.local; informar o domínio; ativar o schema para este domínio,
no caso o redes.local; atribuir VLAN por string, ou seja, por texto; habilitar o domínio
redes.local como sendo o domínio padrão a ser utilizado; e especificar o método de
autenticação, além de ativar a port-security, ou seja, segurança por porta.
Configuração Global:
system-view
radius scheme Redes
server-type standard
primary authentication 10.0.10.1 1812
primary accounting 10.0.10.1 1812
accounting optional
key authentication pfsecret123
user-name-format without-domain
quit
domain redes.local
radius-scheme Redes
vlan-assignment-mode string
quit
domain default enable redes.local
dot1x authentication-method eap
port-security enable
quit
system-view
interface etthernet 1/0/x
port-security port-mode mac-else-userlogin-secure-ext
4.3 CONFIGURAÇÕES 58
4.3.6 Autenticação
4.3.6.1 Local
Após a criação do arquivo user.conf, para todos os outros usuários que se deseja
cadastrar, deve-se executar o comando acima sem o parâmetro -c (create). Esse
parâmetro é utilizado para criar o arquivo, adicionando a este um novo usuário. Para
inserir novos usuários ao arquivo, o comando ficará da seguinte forma, a seguir:
[trapping]
registration=enabled
4.3.6.2 RADIUS
[registration]
auth=radius
Deve-se criar um usuário que será utilizado para registrar um dispositivo, para isso
será adicionado a seguinte linha a seguir, ao final do arquivo /etc/raddb/users:
server = "localhost"
port = 3306
login = "pf"
password = "pfdb123"
radius_db = "pf"
[10.0.10.4]
radiusSecret = pfsecret123
Com base na topologia a qual foi seguida para montar a infraestrutura do Pac-
ketFence e demais dispositivos, para o cliente na rede principal conseguir acessar a
Internet, deverá ser realizado as seguintes configurações no PacketFence:
2. Adicionar a rota padrão de saída para o roteador, este deve ser o IP do roteador
da rede da organização que tem uma conexão direta com a internet;
[trapping]
detection=enabled
4.3 CONFIGURAÇÕES 61
enabled=Y
A seguir, um exemplo:
[1100004]
desc=Browser isolation example
url=/remediation.php?template=banned_devices
trigger=USERAGENT::101,USERAGENT::102
actions=trap,email,log
enabled=N
[scan]
user=admin
pass=admin
port=1241
ssl=enabled
[scan]
registration=enabled
62
5 RESULTADOS OBTIDOS
F IGURA 37 Log com trap indicando novo MAC que é colocado na VLAN de registro
Fonte: Autoria própria
Para uma melhor visualização este processo é apresentado na Figura 38, a seguir:
O cliente deve possuir um cadastro para que este seja utilizado para o registro do
dispositivo. Digitando as informações de usuário e senha no Captive portal e estes
sendo válidos, então, o dispositivo será registrado.
5 RESULTADOS OBTIDOS 64
O PacketFence enviará a tarefa para segundo plano, para ser executada pelo Nes-
5 RESULTADOS OBTIDOS 67
sus, ou seja, a partir deste momento foi solicitado o escaneamento do dispositivo. Esta
tarefa poderá ser observada na Figura 46.
A Figura 52, demonstra o Snort em ação, após encontrar uma violação no cliente.
5.1 Tradução 70
5.1 Tradução
6 CONSIDERAÇÕES FINAIS
Esse bloqueio foi alcançado graças a integração das ferramentas Nessus e Snort,
6 CONSIDERAÇÕES FINAIS 73
O PacketFence oferece suporte às redes sem fio (Wireless), infelizmente não foi
possível testar as funcionalidades da ferramenta nesse tipo de ambiente. Outro ponto
é o controle de visitante que não foi abordado. Foi explicado que há uma configuração
específica, o que não foi realizado, para que fosse possível realizar esse tipo de con-
trole, pois esse controle é interessante para empresas ou locais onde a rotatividade
de pessoas é constante - este controle requer apenas um simples e rápido cadastro
do usuário que utilizará a rede por um curto período, por exemplo, um vendedor que
queira apenas acessar a Internet para enviar um pedido a empresa na qual trabalha,
esse usuário teria de fazer um pequeno cadastro como visitante, pois, ao tentar aces-
sar qualquer site, ele será redirecionado ao Captive Portal do PacketFence, neste é
possível realizar o cadastro, a partir desse cadastro é gerado um código que poderá
ser enviado, em forma de mensagem, para o celular do usuário e esse código terá
uma validade, o tempo necessário para o vendendor enviar o e-mail com o pedido.
Sendo sugerido para futuros trabalhos quanto à ferramenta a uma maior explora-
ção da ferramenta PacketFence e seu uso em no controle de acesso à rede sem-fio,
segurança no controle de acesso à rede, exploração dele para uma integração total
de controle à rede e integração do PacketFence no controle de acesso aos visitantes.
74
Referências
[Case et al. 1990]CASE, J. et al. Simple Network Management Protocol (SNMP). IETF,
maio 1990. RFC 1157 (Historic). (Request for Comments, 1157). Disponível em:
<http://www.ietf.org/rfc/rfc1157.txt>.
[Case et al. 1996]CASE, J. et al. Management Information Base for Version 2 of the
Simple Network Management Protocol (SNMPv2). IETF, jan. 1996. RFC 1907 (Draft
Standard). (Request for Comments, 1907). Obsoleted by RFC 3418. Disponível em:
<http://www.ietf.org/rfc/rfc1907.txt>.
[Case et al. 1996]CASE, J. et al. Protocol Operations for Version 2 of the Simple
Network Management Protocol (SNMPv2). IETF, jan. 1996. RFC 1905 (Draft Stan-
dard). (Request for Comments, 1905). Obsoleted by RFC 3416. Disponível em:
<http://www.ietf.org/rfc/rfc1905.txt>.
[Case et al. 1996]CASE, J. et al. Transport Mappings for Version 2 of the Simple
Network Management Protocol (SNMPv2). IETF, jan. 1996. RFC 1906 (Draft Stan-
dard). (Request for Comments, 1906). Obsoleted by RFC 3417. Disponível em:
<http://www.ietf.org/rfc/rfc1906.txt>.
[Droms 1997]DROMS, R. Dynamic Host Configuration Protocol. IETF, mar. 1997. RFC
2131 (Draft Standard). (Request for Comments, 2131). Updated by RFCs 3396, 4361,
5494. Disponível em: <http://www.ietf.org/rfc/rfc2131.txt>.
[Edwards 2008]EDWARDS, J. The essential guide to nac. IT Security,
Jun 2008. Disponível em: <http://www.itsecurity.com/features/
essential-guide-nac-062308/>. Acesso em: 10 Out. 2011.
[FingerBank 2011]FINGERBANK. DHCP fingerprints. Mar 2011. Disponível em:
<http://www.fingerbank.org>. Acesso em: 27 Set. 2011.
[H3C Technologies 2011]H3C TECHNOLOGIES. 20-802.1X Configuration. 2011.
Disponível em: <http://www.h3c.com/portal/Technical_Support___Documents/
Technical_Documents/Switches/H3C_S5120_Series_Switches/Configuration/
Operation_Manual/H3C_S5120-SI_CG-Release_1101-6W105/201108/723588_1285_
0.htm>. Acesso em: 30 Out. 2011.
[Harris, Jackson e Petty 1987]TELELOGIC, INC. William J. Harris, Joseph M. Jackson
e David C. Petty. Automatic dialer for telephone network access control. 1987. US
4447676, 08 Mai. 1984.
[INTEROP LABS 2006]INTEROP LABS. What is NAC. May 2006. Disponível em:
<http://www.interop.com/archive/pdfs/NAC.pdf>. Acesso em: 19 Set. 2011.
[Inverse 2011]INVERSE. PacketFence Administration Guide. Out. 2011. Disponível
em: <http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_
Administration_Guide-3.0.2.pdf>.
[INVERSE INC. 2011]INVERSE INC. Site PacketFence. Jul 2011. Disponível em:
<http://www.packetfence.org>. Acesso em: 23 Jul. 2011.
[JANET 2011]JANET. Extesible Authentication Protocol (EAP). 2011. Disponível
em: <http://www.ja.net/documents/publications/factsheets/065-eap.pdf>.
Acesso em: 28 Out. 2011.
[Leelanivas, Rekhter e Aggarwal 2003]LEELANIVAS, M.; REKHTER, Y.; AGGARWAL,
R. Graceful Restart Mechanism for Label Distribution Protocol. IETF, fev. 2003.
RFC 3478 (Proposed Standard). (Request for Comments, 3478). Disponível em:
<http://www.ietf.org/rfc/rfc3478.txt>.
[Leinen 2004]LEINEN, S. Evaluation of Candidate Protocols for IP Flow Information
Export (IPFIX). IETF, out. 2004. RFC 3955 (Informational). (Request for Comments,
3955). Disponível em: <http://www.ietf.org/rfc/rfc3955.txt>.
[Manlio 2009]MANLIO, F. NAC 2.0: A new model for a more secure future.
Dec 2009. Disponível em: <http://www.articlesbase.com/security-articles/
nac-20-a-new-model-for-a-more-secure-future-1579991.html>. Acesso em: 20
Set. 2011.
[McCloghrie e Rose 1991]MCCLOGHRIE, K.; ROSE, M. Management Information
Base for Network Management of TCP/IP-based internets:MIB-II. IETF, mar. 1991.
RFC 1213 (Standard). (Request for Comments, 1213). Updated by RFCs 2011, 2012,
2013. Disponível em: <http://www.ietf.org/rfc/rfc1213.txt>.
Referências 76
wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-
2.el6.rf.x86_64.rpm
[rpmforge]
name=RHEL $releasever - RPMforge.net - dag
baseurl=http://apt.sw.be/redhat/el6/en/$basearch/rpmforge
mirrorlist=http://apt.sw/be/redhat/el6/en/mirrors-rpmforge
enabled=0
protect=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
gpgcheck=1
wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-
5.noarch.rpm
[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
enabled=0
gpgcheck=0
Continuação:
libedit x86_64 2.11-4.20080712cvs.1.el6 base 74 K
libgomp x86_64 4.4.4-13.el6 base 108 K
libjpeg x86_64 6b-46.el6 base 134 K
libpcap x86_64 14:1.0.0-6.el6 base 126 K
libpng x86_64 2:1.2.44-1.el6 base 180 K
libthai x86_64 0.1.12-3.el6 base 183 K
libtool-ltdl x86_64 2.2.6-15.5.el6 base 44 K
libxcb x86_64 1.5-1.el6 base 100 K
lm_sensors-libs x86_64 3.1.1-10.el6 base 37 K
mailcap noarch 2.1.31-1.1.el6 base 27 K
mod_perl x86_64 2.0.4-10.el6 base 3.2 M
mod_ssl x86_64 1:2.2.15-5.el6.centos base 85 K
mysql x86_64 5.1.52-1.el6_0.1 updates 889 K
net-snmp x86_64 1:5.5-27.el6_0.1 updates 297 K
net-snmp-libs x86_64 1:5.5-27.el6_0.1 updates 1.5 M
pango x86_64 1.28.1-3.el6_0.5 updates 351 K
perl x86_64 4:5.10.1-115.el6 base 10 M
perl-Apache-Htpasswd noarch 1.8-3.el6 epel 16 K
perl-AppConfig noarch 1.66-6.el6 base 87 K
perl-Authen-Krb5-Simple x86_64 0.42-1.el6.rf rpmforge 34 K
perl-Authen-SASL noarch 2.13-2.el6 base 51 K
perl-BSD-Resource x86_64 1.29.03-3.el6 base 35 K
perl-Bit-Vector x86_64 7.1-2.el6 base 169 K
perl-CGI x86_64 3.49-115.el6 base 191 K
perl-CGI-Session noarch 4.35-5.el6 base 120 K
perl-Cache-Cache noarch 1.06-2.el6 epel 89 K
perl-Carp-Clan noarch 6.03-2.el6 base 25 K
perl-Class-Accessor noarch 0.31-6.1.el6 base 26 K
perl-Class-Accessor-Fast-Contained noarch 1.01-1.el6.rf rpmforge 9.9 K
perl-Class-Data-Inheritable noarch 0.08-3.1.el6 base 10 K
perl-Class-Gomor noarch 1.02-1.el6.rf rpmforge 23 K
perl-Compress-Raw-Zlib x86_64 2.023-115.el6 base 66 K
perl-Compress-Zlib x86_64 2.020-115.el6 base 42 K
perl-Config-IniFiles noarch 2.68-1.el6 epel 46 K
perl-Convert-ASN1 noarch 0.22-1.el6 base 43 K
A.1 Procedimentos para Instalação 81
Continuação:
perl-Crypt-DES x86_64 2.05-9.el6 epel 19 K
perl-Crypt-GeneratePassword noarch 0.03-16.el6 epel 213 K
perl-Crypt-Rijndael x86_64 1.09-2.el6 epel 31 K
perl-DBD-MySQL x86_64 4.013-3.el6 base 134 K
perl-DBD-Pg x86_64 2.15.1-3.el6 base 197 K
perl-DBI x86_64 1.609-4.el6 base 705 K
perl-Data-HexDump noarch 0.02-1.2.el6.rf rpmforge 8.8 K
perl-Data-PhrasebooK noarch 0.29-1.el6.rf rpmforge 60 K
perl-Data-PhrasebooK-Loader-YAML noarch 0.09-1.el6.rf rpmforge 24 K
perl-Date-Manip noarch 5.54-4.el6 base 177 K
perl-Devel-StacKTrace noarch 1:1.22-4.el6 base 26 K
perl-Digest-HMAC noarch 1.01-22.el6 base 22 K
perl-Digest-SHA1 x86_64 2.12-2.el6 base 49 K
perl-Email-Date-Format noarch 1.002-5.el6 base 16 K
perl-Error noarch 1:0.17015-4.el6 base 29 K
perl-Exception-Class noarch 1.29-1.1.el6 base 37 K
perl-ExtUtils-MaKeMaKer x86_64 6.55-115.el6 base 289 K
perl-ExtUtils-ParseXS x86_64 1:2.2003.0-115.el6 base 41 K
perl-File-Tail noarch 0.99.3-8.el6 epel 23 K
perl-FreezeThaw noarch 0.45-5.el6 base 19 K
perl-GSSAPI x86_64 0.26-5.el6 base 64 K
perl-HTML-Parser x86_64 3.64-2.el6 base 109 K
perl-HTML-Tagset noarch 3.20-4.el6 base 17 K
perl-IO-Compress-Base x86_64 2.020-115.el6 base 65 K
perl-IO-Compress-Zlib x86_64 2.020-115.el6 base 132 K
perl-IO-SocKet-SSL noarch 1.31-2.el6 base 69 K
perl-IO-Tty x86_64 1.08-3.el6 epel 39 K
perl-IPC-Cmd x86_64 1:0.56-115.el6 base 42 K
perl-IPC-ShareLite x86_64 0.17-1.el6.rf rpmforge 63 K
perl-IPTables-ChainMgr noarch 0.9-1 PacKetFence 17 K
perl-IPTables-Parse noarch 0.7-4.el6 epel 16 K
perl-IPTables-libiptc x86_64 0.51-2.el6.rf rpmforge 86 K
perl-JSON noarch 2.15-5.el6 base 97 K
perl-LDAP noarch 1:0.40-1.el6 base 354 K
perl-List-MoreUtils x86_64 0.22-10.el6 base 53 K
A.1 Procedimentos para Instalação 82
Continuação:
perl-Locale-MaKetext-Simple x86_64 1:0.18-115.el6 base 27 K
perl-Log-Dispatch noarch 2.27-1.el6 epel 71 K
perl-Log-Dispatch-FileRotate noarch 1.19-4.el6 epel 24 K
perl-Log-Log4perl noarch 1.30-1.el6 epel 392 K
perl-MIME-Lite noarch 3.027-2.el6 base 82 K
perl-MIME-Lite-TT noarch 0.02-1.el6.rf rpmforge 7.7 K
perl-MIME-Types noarch 1.28-2.el6 base 32 K
perl-Mail-Sender noarch 0.8.16-3.el6 epel 54 K
perl-Mail-Sendmail noarch 0.79-12.el6 epel 28 K
perl-MailTools noarch 2.04-4.el6 base 101 K
perl-Math-Base85 noarch 0.2-6.el6 epel 13 K
perl-Module-Load x86_64 1:0.16-115.el6 base 24 K
perl-Module-Load-Conditional x86_64 0.30-115.el6 base 30 K
perl-Module-Pluggable x86_64 1:3.90-115.el6 base 36 K
perl-Net-Appliance-PhrasebooK noarch 1.8-1.el6.rf rpmforge 17 K
perl-Net-Appliance-Session noarch 1.36-1.el6.rf rpmforge 121 K
perl-Net-Frame noarch 1.07-1 PacKetFence 36 K
perl-Net-Frame-Simple noarch 1.04-1 PacKetFence 14 K
perl-Net-IPv4Addr noarch 0.10-6.el6 epel 16 K
perl-Net-IPv6Addr noarch 0.2-6.el6 epel 13 K
perl-Net-Interface x86_64 1.011-1.el6.rf rpmforge 132 K
perl-Net-LibIDN x86_64 0.12-3.el6 base 35 K
perl-Net-MAC noarch 1.5-1.el6.rf rpmforge 21 K
perl-Net-MAC-Vendor noarch 1.18-1.el6.rf rpmforge 14 K
perl-Net-NetmasK noarch 1.9015-8.el6 epel 25 K
perl-Net-Pcap x86_64 0.16-2.el6 epel 80 K
perl-Net-SNMP noarch 5.2.0-4.el6 epel 100 K
perl-Net-SSLeay x86_64 1.35-9.el6 base 173 K
perl-Net-Telnet noarch 3.03-11.el6 base 56 K
perl-Net-Write noarch 1.05-1 PacKetFence 16 K
perl-Params-ChecK x86_64 1:0.26-115.el6 base 32 K
perl-Params-Validate x86_64 0.92-3.el6 base 75 K
perl-Parse-Nessus-NBE noarch 1.1-1 PacKetFence 10 K
perl-Parse-RecDescent noarch 1.965-1.el6 epel 189 K
perl-Pod-Escapes x86_64 1:1.04-115.el6 base 29 K
A.1 Procedimentos para Instalação 83
Continuação:
perl-Pod-POM noarch 0.25-2.el6 base 75 K
perl-Pod-Simple x86_64 1:3.13-115.el6 base 208 K
perl-RadiusPerl noarch 0.15-1.el6.rf rpmforge 19 K
perl-Readonly noarch 1.03-11.el6 base 22 K
perl-Readonly-XS x86_64 1.05-3.el6 base 14 K
perl-Regexp-Common noarch 2010010201-2.el6.rf rpmforge 168 K
perl-SOAP-Lite noarch 0.710.10-2.el6 base 328 K
perl-SocKet6 x86_64 0.23-3.el6 base 23 K
perl-Template-ToolKit x86_64 2.22-5.el6 base 1.3 M
perl-TermReadKey x86_64 2.30-10.el6 base 31 K
perl-Test-Harness x86_64 3.17-115.el6 base 228 K
perl-Test-Simple x86_64 0.92-115.el6 base 109 K
perl-Text-CSV noarch 1.21-1.el6.rf rpmforge 50 K
perl-Text-CSV_XS x86_64 0.85-1.el6 epel 71 K
perl-Text-Iconv x86_64 1.7-6.el6 base 22 K
perl-Thread-Conveyor noarch 0.17-1.el6.rf rpmforge 28 K
perl-Thread-Conveyor-Monitored noarch 0.12-1.el6.rf rpmforge 20 K
perl-Thread-Pool noarch 0.32-1.el6.rf rpmforge 39 K
perl-Thread-Serialize noarch 0.11-1.el6.rf rpmforge 11 K
perl-Thread-Tie noarch 0.12-1.el6.rf rpmforge 34 K
perl-Time-HiRes x86_64 4:1.9721-115.el6 base 45 K
perl-TimeDate noarch 1:1.16-11.1.el6 base 34 K
perl-Try-Tiny noarch 0.09-1.el6.rf rpmforge 18 K
perl-UNIVERSAL-require noarch 0.13-1.el6.rf rpmforge 11 K
perl-URI noarch 1.40-2.el6 base 117 K
perl-XML-DOM noarch 1.44-7.el6 base 136 K
perl-XML-Filter-BufferText noarch 1.01-8.el6 base 9.6 K
perl-XML-LibXML x86_64 1:1.70-5.el6 base 364 K
perl-XML-NamespaceSupport noarch 1.10-3.el6 base 17 K
perl-XML-Parser x86_64 2.36-7.el6 base 224 K
perl-XML-RegExp noarch 0.03-7.el6 base 9.8 K
perl-XML-SAX noarch 0.96-7.el6 base 78 K
perl-XML-SAX-Writer noarch 0.50-8.el6 base 24 K
perl-YAML noarch 0.70-4.el6 base 81 K
perl-devel x86_64 4:5.10.1-115.el6 base 419 K
A.1 Procedimentos para Instalação 84
Continuação:
perl-gettext x86_64 1.05-16.el6 epel 21 K
perl-libs x86_64 4:5.10.1-115.el6 base 576 K
perl-libwww-perl noarch 5.833-2.el6 base 387 K
perl-load noarch 0.19-1.el6.rf rpmforge 26 K
perl-suidperl x86_64 4:5.10.1-115.el6 base 46 K
perl-version x86_64 3:0.77-115.el6 base 48 K
php x86_64 5.3.2-6.el6_0.1 updates 1.1 M
php-cli x86_64 5.3.2-6.el6_0.1 updates 2.2 M
php-common x86_64 5.3.2-6.el6_0.1 updates 516 K
php-gd x86_64 5.3.2-6.el6_0.1 updates 103 K
php-ldap x86_64 5.3.2-6.el6_0.1 updates 35 K
php-pear noarch 1:1.9.0-2.el6 base 391 K
php-pear-Auth-SASL noarch 1.0.4-1.el6 epel 12 K
php-pear-Log noarch 1.12.7-1.el6 epel 58 K
php-pear-MDB2 noarch 2.5.0-0.3.b3.el6 epel 125 K
php-pear-Mail noarch 1.2.0-1.el6 epel 29 K
php-pear-Net-SMTP noarch 1.6.1-1.el6 epel 22 K
php-pear-Net-SocKet noarch 1.0.10-1.el6 epel 12 K
php-pear-db noarch 1.7.13-2.el6.rf rpmforge 101 K
pixman x86_64 0.18.4-1.el6_0.1 updates 146 K
pKgconfig x86_64 1:0.23-9.1.el6 base 70 K
postgresql-libs x86_64 8.4.7-1.el6_0.1 updates 193 K
rrdtool x86_64 1.3.8-6.el6 base 293 K
rrdtool-perl x86_64 1.3.8-6.el6 base 36 K
zlib-devel x86_64 1.2.3-25.el6 base 43 K
/opt/nessus/sbin/nessus-adduser
86