Development and Deployment of Software Tools for Analyzing of Network Access at VŠB-TU Ostrava

(1)

Katedra automatizaˇcn´ı techniky a ˇr´ızen´ı

V´

yvoj a nasazen´ı SW prostˇ

redk˚

u

pro anal´

yzu pˇ

r´ıstup˚

u do s´ıtˇ

e

Vˇ

SB-TU Ostrava

Development and Deployment of Software Tools for

Analyzing of Network Access at Vˇ

SB-TU Ostrava

Vedouc´ı b.p.: Ing. Fojt´ık David, Ph.D.

Konzultant: Ing. Martin Pustka, Ph.D.

ˇ

Reˇsitel: Jakub Kalnik

(2)

(3)

(4)

(5)

Kalnik, J. Vývoj a nasazen´ı SW prostˇredk˚u pro analýzu pˇr´ıstup˚u do s´ıtˇe VˇSB-TU Os-trava: bakaláˇrská práce. Ostrava: VˇSB – Technická univerzita Ostrava, Fakulta strojn´ı, Katedra automatizaˇcn´ı techniky a ˇr´ızen´ı, 2017, 40 s. Vedouc´ı práce: Fojt´ık, D.

Tato bakaláˇrská práce se zabývá analýzou pˇr´ıstup˚u na s´ıt’ VˇSB-TU, coˇz je rozsáhlá poˇc´ıtaˇcová s´ıt’ poskytuj´ıc´ı sluˇzby tis´ıc˚um uˇzivatel˚u, stanic a mobiln´ıch zaˇr´ızen´ı. Do analýzy spadá identifikace kl´ıˇcových údaj˚u, jejich z´ıskán´ı, ukládán´ı a prezentace kon-covému uˇzivateli. V práci je popsán princip autentizace uˇzivatel˚u v této s´ıti a problema-tika z´ıskán´ı poˇzadovaných informac´ı. Dále je v práci provedena analýza rozˇsiˇritelnosti jiˇz nasazených softwarových prostˇredk˚u. Praktická ˇcást se zamˇeˇruje na konfiguraci pro-dukˇcn´ıch server˚u a vývoj nových softwarových prostˇredk˚u, které budou zajiˇst’ovat poˇzado-vané funkcionality.

Kl´ıˇcov´a slova:RADIUS, s´ıt’, pˇr´ıstup, IPv6, EDUROAM Annotation

Kalnik, J. Development and Deployment of Software Tools for Analyzing of Network Access at VˇSB-TU Ostrava: Bachelor Thesis. Ostrava: VˇSB – Technical University of Ostrava, Faculty of Mechanical Engineering, Department of Control Systems and In-strumentation, 2017, 40 p. Head: Fojt´ık, D.

This thesis deals with analysis of accesses into VˇSB-TU network which provides ser-vices to thousands of users, workstations and mobile deser-vices. Analysis includes identifi-cation, acquisition, storage and presentation of valuable data. The thesis explains how the users authenticate and how to collect the data. There is also analysis of extensibility of currently used software. The practical part mainly focuses on production servers con-figuration and development of new software which will provide requested functionalities. Keywords:RADIUS, network, access, IPv6, EDUROAM

(6)

Obsah

Seznam pouˇzit´ych zkratek 6

1 Uvod´ 8

2 Ovˇeˇrov´an´ı pˇr´ıstup˚u do s´ıtˇe 9

2.1 Architektura . . . 9 RADIUS server . . . 9 EDUROAM . . . 9 2.2 AAA model . . . 12 Autentizace . . . 12 Autorizace . . . 13 ´ Uˇctov´an´ı . . . 13 2.3 Protokol IPv6 . . . 15 Bezstavov´a konfigurace . . . 15

3 Volba programov´ych prostˇredk˚u a konfigurace server˚u 17 3.1 Konfigurace serveru Radiator . . . 18

Rychlostn´ı optimalizace . . . 19

3.2 Konfigurace serveru FreeRadius . . . 20

3.3 SQL datab´aze a obsluhuj´ıc´ı skripty . . . 21

´ Uˇctován´ı . . . 23 IPv6 adresy . . . 23 Blokace . . . 24 4 Webové rozhran´ı 26 4.1 Vyhledáván´ı . . . 26 4.2 Blokace . . . 29

5 Popis vytvoˇren´ych programov´ych prostˇredk˚u 32 5.1 Skripty pro sbˇer informac´ı a jejich agregaci . . . 32

5.2 Skripty pro monitoring . . . 33

5.3 Webov´y server . . . 34

5.4 Datab´azov´y server . . . 35

6 Z´avˇer 37

(7)

Seznam pouˇ

zit´

ych zkratek

AAA Authentication, Authorization, and Accounting

Zkratka pro autentizaci, autorizaci a ´uˇctov´an´ı

ARP Address Resolution Protocol

Protokol pro dohled´an´ı MAC adresy na z´akladˇe znalosti IPv4 adresy

API Application Programming Interface

Rozhran´ı vyuˇz´ıvan´e program´atory pro tvorbu aplikac´ı

CAS Central Authentication Service

Protokol umoˇzˇnuj´ıc´ı pˇristupovat k v´ıce sluˇzbám na základˇe jednoho pˇrihláˇsen´ı

DHCP Dynamic Host Configuration Protocol

Protokol umoˇzˇnuj´ıc´ı automatizovan´e pˇridˇelov´an´ı IPv4 adres DHCPv6 Dynamic Host Configuration Protocol version 6

Protokol umoˇzˇnuj´ıc´ı automatizovan´e pˇridˇelov´an´ı IPv6 adres

DNS Domain Name System

Systém umoˇzˇnuj´ıc´ı pˇreklad doménových jmen na IPv4/IPv6 adresy

IPv4 Internet Protocol version 4

Protokol slouˇz´ıc´ı k adresaci poˇc´ıtaˇcov´ych s´ıt´ı

IPv6 Internet Protocol version 6

Protokol slouˇz´ıc´ı k adresaci poˇc´ıtaˇcov´ych s´ıt´ı

LDAP Lightweight Directory Access Protocol

Protokol slouˇz´ıc´ı k pˇr´ıstupu a ukládán´ı dat na adresáˇrovém serveru

MAC Media Access Control

Identifik´ator s´ıt’ov´eho zaˇr´ızen´ı

NAS Network Access Server

Pˇr´ıstupov´y server

PHP PHP Hypertext Preprocessor

Programovac´ı jazyk

PL/SQL Procedural Language/Structured Query Language

Nadstavba jazyka SQL

RADIUS Remote Authentication Dial-In User Service

S´ıt’ový protokol umoˇzˇnuj´ıc´ı centralizovanou autentizaci, autorizaci a úˇctován´ı

SNMP Simple Network Management Protocol

(8)

SQL Structured Query Language

Strukturovaný dotazovac´ı jazyk pro práci s relaˇcn´ımi databázemi.

TCP Transmission Control Protocol

Protokol zajiˇst’uj´ıc´ı spolehliv´e doruˇcen´ı dat v IP s´ıt´ıch.

UDP User Datagram Protocol

Protokol pro doruˇcov´an´ı dat v IP s´ıt´ıch.

VLAN Virtual Local Area Network

Virtu´aln´ı lok´aln´ı s´ıt’.

VPN Virtual Private Network

Technologie k propojen´ı privátn´ıch s´ıt´ı pˇres s´ıtˇe veˇrejné. VˇSB Vysoká ˇskola báˇnská.

(9)

1 ´

Uvod

C´ılem bakaláˇrské práce je vyvinout a popsat informaˇcn´ı systém, který budou dennˇe pouˇz´ıvat s´ıt’ov´ı administrátoˇri na VˇSB-TU. Jejich potˇreba disponovat takovým systémem vycház´ı zejména z ˇcasové nároˇcnosti dohledáván´ı záznam˚u pˇri bˇeˇzné práci, podpoˇre uˇzivatel˚u, ale i jejich blokac´ı. ˇCas strávený nad dohledán´ım identity pˇripojeného zaˇr´ızen´ı se dnes pohybuje aˇz okolo patnácti minut a nový systém by mˇel umoˇznit tuto dobu zkrátit ideálnˇe pod jednu minutu. Dále by mˇel systém umoˇznit snadnou analýzu pˇr´ıstup˚u do s´ıtˇe, která je s aktuáln´ımi programovými prostˇredky velmi pracná.

D˚uvodem, proˇc je v˚ubec potˇreba tyto informace shromaˇzd’ovat a vyhled´avat v nich, je zpˇrehlednˇen´ı a zrychlen´ı provozn´ı podpory uˇzivatel˚u a tak´e zrychlen´ıˇreˇsen´ı bezpeˇcnostn´ıch incident˚u.

Vˇsichni uˇzivatelé resp. jejich zaˇr´ızen´ı se do univerzitn´ı s´ıtˇe pˇrihlaˇsuj´ı pomoc´ı svého jedineˇcného osobn´ıho jména a hesla. Tyto pˇrihlaˇsovac´ı údaje ovˇeˇruj´ı pˇr´ıstupová zaˇr´ızen´ı (AP, pˇrep´ınaˇce) za pomoci RADIUS serveru, proto prvn´ı kapitola bude vˇenována popisu RADIUS protokolu a to v rozsahu nutném pro pochopen´ı a realizaci c´ıl˚u této práce. Dalˇs´ı kapitoly práce budou vˇenovány samotnému vývoji a implementaci programových nástroj˚u.

(10)

2 Ovˇ

eˇ

rov´

an´ı pˇ

r´ıstup˚

u do s´ıtˇ

e

RADIUS (z anglického Remote Authentication Dial-In User Service) je s´ıt’ový protokol umoˇzˇnuj´ıc´ı centralizovanou autentizaci, autorizaci a úˇctován´ı (AAA model) (HASSELL, J. 2002). RADIUS protokol bývá nasazován ve vˇetˇs´ıch s´ıt´ıch kv˚uli moˇznosti pˇridˇelit kaˇzdému uˇzivateli jedineˇcné pˇrihlaˇsovac´ı údaje a centrálnˇe je uchovávat. Tento prin-cip je výhodnˇejˇs´ı neˇz zabezpeˇcen´ı pˇr´ıstup˚u do s´ıtˇe pomoc´ı pˇredsd´ılené fráze (z ang-lického pre-shared-key). Rizikem tohoto zabezpeˇcen´ı je, ˇze umoˇzˇnuje pˇripojen´ı do s´ıtˇe komukoli se znalost´ı hesla. Taková slabina je pak zneuˇzitelná potenciáln´ım útoˇcn´ıkem k útok˚um na vnitˇrn´ı/vnˇejˇs´ı s´ıt’ se zachován´ım vysoké m´ıry anonymity.

2.1 Architektura

Pro lepˇs´ı pochopen´ı souvislost´ı je potˇreba vˇedˇet, jak konkrétnˇe jsou RADIUS servery na s´ıti VˇSB nasazeny a co jednotlivé pojmy znamenaj´ı. Zapojen´ı RADIUS server˚u na uni-verzitn´ı s´ıti je zjednoduˇsenˇe znázornˇeno na obrázku 2.1. Je zde také oranˇzovou a ˇcervenou barvou znázornˇeno, jak bude do existuj´ıc´ı architektury implementován vyv´ıjený in-formaˇcn´ı systém.

RADIUS server

Serverem rozum´ıme poˇc´ıtaˇc poskytuj´ıc´ı sluˇzby klient˚um (model klient-server)

(Server Definition 2014). Na univerzitn´ı s´ıti jsou k tomuto úˇcelu pouˇz´ıvány programy Ra-diator aFreeradius. Radiator ovˇeˇruje uˇzivatele EDUROAM, Freeradius ovˇeˇruje uˇzivatele pˇripojuj´ıc´ı se pomoc´ı VPN klienta a uˇzivatele s doˇcasnými úˇcty (hosté univerzity v rámci konaných akc´ı).

Klient, který s RADIUS serverem komunikuje, je nazýván pˇr´ıstupový server - známý pod zkratkou NAS (z anglického Network Access Server) (HASSELL, J. 2002). Jedná se vˇetˇsinou o s´ıt’ový pˇrep´ınaˇc, Wi-Fi access-point (AP) nebo VPN koncentrátor.

EDUROAM

EDUROAM (EDUcation ROAMing) je projekt, který vznikl v roce 2002 v Nizo-zemsku (KR ˇCM Á ˇR P.,CALETKA O. 2016) (Fungován´ı roamingu 2016). Uˇzivatel˚um

(11)

(12)

ˇclenské organizace umoˇzˇnuje pˇripojen´ı k s´ıti v jiné organizaci, neˇz je jeho domovská. Nejv´ıce je rozˇs´ıˇren ve Wi-Fi s´ıt´ıch akademických instituc´ı. Pokud budu uvaˇzovat mo-delový pˇr´ıpad, kdy na VˇSB-TU pˇrijede v rámci zahraniˇcn´ı stáˇze student, napˇr´ıklad ze ˇ

Spanˇelska, bude se moci pˇripojit svými pˇrihlaˇsovac´ımi údaji bez nutnosti si vytváˇret nový doˇcasný úˇcet v s´ıti VˇSB. Téhle funkcionality je doc´ıleno pomoc´ı hierarchie auten-tizaˇcn´ıch vazeb zapojených v projektu. M´ıstn´ı RADIUS server uˇzivatele z ciz´ı organizace pozná dle tzv. realmu, který se pˇripojuje za uˇzivatelské jméno.

ˇ

Retˇezec identifikuj´ıc´ı uˇzivatele vypadá obecnˇe takto:abc0123@uco.es.abc0123. Pˇredsta-vuje pˇrihlaˇsovac´ı jméno v rámci domovské instituce a uco.es je realm identifikuj´ıc´ı konkrétn´ı instituci. Autentizace

”roamuj´ıc´ıho“ uˇzivatele prob´ıhá finálnˇe aˇz v jeho do-movské organizaci, které jsou pˇredány k ovˇeˇren´ı pˇrihlaˇsovac´ı údaje. M´ıstn´ı RADIUS server se s danou organizac´ı spojuje za pomoci národn´ıho nebo koˇrenového RADIUS serveru. Znalost tohoto principu je d˚uleˇzitá zejména proto, ˇze se mus´ı zohlednit pˇri návrhu blokac´ı uˇzivatel˚u.

(13)

2.2 AAA model

Význam pojmu AAA model byl jiˇz zm´ınˇen v úvodu kapitoly 2. Pro dosaˇzen´ı c´ıl˚u této práce je potˇreba pochopit jednotlivé aspekty AAA modelu a jeho implementaci v proto-kolu RADIUS. Nejv´ıce se je tˇreba zamˇeˇrit pˇredevˇs´ım na autentizaci (pro doc´ılen´ı blokace uˇzivatel˚u) a úˇctován´ı (sbˇer informac´ı).

Autentizace

Pˇri pˇripojen´ı zaˇr´ızen´ı do s´ıtˇe je jeho veˇskerý s´ıt’ový provoz blokován (GNU Radius Refe-rence Manual 2008). Jedinou vyj´ımku tvoˇr´ı komunikace s NAS serverem. NAS uˇzivatele pomoc´ıEAP-over-LAN vyzve k pˇredstaven´ı. Uˇzivatel odeˇsle své jméno i heslo a NAS tyto pˇrihlaˇsovac´ı údaje zapouzdˇr´ı do Access-Request paketu, který odeˇsle RADIUS ser-veru, jenˇz je ovˇeˇr´ı v˚uˇci databázi oprávnˇených uˇzivatel˚u. Pokud jsou pˇrihlaˇsovac´ı údaje v poˇrádku, odpov´ı RADIUS server paketemAccess-Accept a NAS zapoˇcne uˇzivatelskou relaci. V opaˇcném pˇr´ıpadˇe odpov´ı paketemAccess-Reject a uˇzivateli je pˇr´ıstup odepˇren. V situaci, kdy ˇzádná odpovˇed’ nepˇrijde, je poˇzadavek nˇekolikrát zopakován. NAS m˚uˇze také poˇzadavky pˇresmˇerovat na záloˇzn´ı RADIUS server.

Existuje tak´e moˇznost m´ısto dvou uveden´ych odpovˇed´ı RADIUS serveru poslat paket

Access-Challenge(Remote Authentication Dial In User Service (RADIUS) 2000). Pomoc´ı tohoto paketu se RADIUS server uˇzivatele dotáˇze na dodateˇcné informace. Pro uˇzivatele to m˚uˇze znamenat, ˇze se mu na zaˇr´ızen´ı zobraz´ı otázka, na kterou mus´ı odpovˇedˇet. RADIUS server poté odpov´ıdá opˇet pomoc´ıAccess-Accept,Access-Reject nebo Access-Challenge paketu.

(14)

RADIUS server si pˇri ovˇeˇrován´ı údaj˚u dˇelá záznamy o jejich výsledku. Samotný záznam m˚uˇze vypadat napˇr´ıklad takto:

Sun Oct 9 18:21:47 2016: Login OK:[kal0178@vsb.cz]

(CSID D7-C2-9A-E0-2F-D2 NAS C2960-KOLT92-GH/172.19.17.189)

Z tohoto záznamu lze vyˇc´ıst, jaký uˇzivatel ˇzádal o pˇr´ıstup do s´ıtˇe (kal0178@vsb.cz), kdy a odkud o nˇej ˇzádal (v tomhle pˇr´ıpadˇe pˇrep´ınaˇc C2960-KOLT92-GH) a MAC ad-resa uˇzivatelova zaˇr´ızen´ı (D7-C2-9A-E0-2F-D2). Tyto informace jsou vˇsak nedostaˇcuj´ıc´ı, protoˇze napˇr´ıklad úplnˇe chyb´ı, jaká IP adresa byla uˇzivateli pˇridˇelena nebo jak dlouho byl na s´ıti pˇripojen.

Autorizace

Po úspˇeˇsné autentizaci je moˇzno pomoc´ı pˇr´ıstupového serveru uˇzivatele autorizovat k pouˇzit´ı r˚uzných sluˇzeb. NAS se v pˇr´ıpadˇe ˇzádosti o autorizaci opˇet chová jako prostˇredn´ık a pˇri vyˇrizován´ı ˇzádosti kontaktuje server, který poskytuje ˇzádanou sluˇzbu a sdˇel´ı mu, ˇze je uˇzivatel tuto sluˇzbu oprávnˇen pouˇz´ıvat (HASSELL, J. 2002). Ten k n´ı mus´ı m´ıt samozˇrejmˇe dohodnut pˇr´ıstup. V s´ıti VˇSB-TU je pˇri tomto kroku uˇzivateli pˇriˇrazeno VLAN-ID, které urˇcuje do jaké vnitˇrn´ı s´ıtˇe bude pˇriˇrazen. Protoˇze v s´ıti VˇSB-TU jiná autorizace pomoc´ı pˇr´ıstupového serveru nen´ı implementována, tud´ıˇz ji nelze vyuˇz´ıt k c´ıli téhle práce, nebudu tuto problematiku v´ıce rozvádˇet.

´

Uˇ

ctov´

an´ı

Hned ze zaˇcátku je tˇreba podotknout, ˇze slovo úˇctován´ı vycház´ı z anglického accounting

a nikoliv billing. Slovo úˇctován´ı je tedy odvozeno od uˇzivatelského úˇctu, proto se jedná o operace k uˇzivatelskému úˇctu vztaˇzené.

´

Uˇctován´ı je pro samotnou analýzu pˇr´ıstup˚u ten nejcennˇejˇs´ı zdroj informac´ı. Po úspˇeˇsné autentizaci NAS kromˇe autorizace zapoˇcne uˇzivatelskou relaci a v pr˚ubˇehu této relace NAS na RADIUS server odes´ılá tzv. accounting pakety. Do tˇechto paket˚u se pˇrikládaj´ı atributy, coˇz jsou data ve tvaru název-hodnota. Nejpouˇz´ıvanˇejˇs´ı atributy jsou standar-tizovány v RFC 2865 (Remote Authentication Dial In User Service (RADIUS) 2000), k tˇemto základn´ım atribut˚um se vˇsak, je-li to tˇreba, m˚uˇze pˇridat libovolné mnoˇzstv´ı atribut˚u nestandartizovaných.

(15)

Typy ´uˇctovac´ıch paket˚u 1. Accounting start

Odes´ıl´a se po autentizaci uˇzivatele. 2. Accounting update

Odes´ıl´a se pr˚ubˇeˇznˇe bˇehˇem uˇzivatelsk´e relace. 3. Accounting stop

Odes´ıl´a se po ukonˇcen´ı uˇzivatelsk´e relace.

Ve vˇsech paketech se nacházej´ı stejné atributy a mˇen´ı se pouze ˇcasové hodnoty. Jedinˇe u Accounting stop paketu jeden údaj pˇribývá a to d˚uvod ukonˇcen´ı relace

(Acct-Terminate-Cause). V praxi ovˇsem naraz´ıme na problém, ˇze r˚uzná s´ıt’ová zaˇr´ızen´ı do stejného atributu vkládaj´ı odliˇsné údaje. Napˇr´ıklad VPN koncentrátor do atributu

Calling-Station-Id vkládá IP adresu, ze které se uˇzivatel pˇripojuje. Oproti tomu pˇri pˇripojen´ı uˇzivatele pomoc´ı bezdrátového bodu, kde funkci pˇr´ıstupového serveru zajiˇst’uje

Wireless Controller, je jako hodnota atributu Calling-Station-Id uvedena MAC adresa zaˇr´ızen´ı. M˚uˇze tak´e nastat pˇr´ıpad, kdy u klient˚u s IPv6 konektivitou dojde k zaˇc´atku ´

uˇctován´ı dˇr´ıve, neˇz je klientovi pomoc´ı DHCP pˇridˇelena IPv4 adresa a tu je tˇreba pozdˇeji doplnit zAccounting update paket˚u. Po konzultaci s administrátory s´ıtˇe jsme doˇsli k sadˇe atribut˚u, které se budou uchovávat, a tyto pro pˇrehlednost uvád´ım v tabulce 2.1. Nˇekteré atributy jsou zde uvedeny v´ıcekrát z d˚uvodu r˚uzné interpretace jednotlivých s´ıt’ových prvk˚u.

Tabulka 2.1: Atributy accounting paketu

atribut hodnota(pˇr´ıklad) popis

Acct-Session-Id 57fa79ba/4d:67:ca:af:8b:b5/6271137 ID relace

User-Name abc0123@vsb.cz uˇzivatelsk´y login + organizace Framed-IP-Address 158.149.50.24 pˇridˇelen´a IPv4 adresa

Calling-Station-Id 158.149.50.24 pˇridˇelená IPv4 adresa Calling-Station-Id 4d:67:ca:af:8b:b5 MAC adresa zaˇr´ızen´ı Calling-Station-Id 62.129.36.134 vzdálená IPv4/IPv6 adresa (VPN)

Called-Station-Id LAP1131-KOL-A1:eduroam jméno NAS NAS-Identifier C2960-KOLB9-IJ jméno NAS NAS-IP-Address 158.149.50.254 IPv4 adresa NAS Acct-Status-Type Start typ úˇctovac´ıho paketu

Timestamp 2016-10-13 09:15:14+02 ˇcasov´a znaˇcka

Záznamy o úˇctován´ı server ukládá do textových soubor˚u. Jestliˇze vˇsak chceme v tˇechto souborech nˇeco dohledávat, tak se dostáváme do nepˇr´ıjemné situace. Pˇri velkém poˇctu uˇzivatel˚u bývaj´ı tyto soubory velmi velké a nepˇrehledné. Hledán´ı v nich také ztˇeˇzuje

(16)

fakt, ˇze na velikých s´ıt´ıch bývá RADIUS server˚u z d˚uvod˚u redundance nˇekolik. Kdyˇz si pˇredstav´ıme situaci, kdy administrátor dohledává nˇekolik dn´ı starý záznam v textovém souboru s desetitis´ıci záznamy na nˇekolika serverech, tak je záhy jasné, ˇze tento postup nen´ı pro bˇeˇzný provoz vhodný. C´ılem tedy bude tato data z RADIUS server˚u extrahovat a ukládat do relaˇcn´ı databáze. Znázornˇen´ı, jak bude navrhovaný systém zakomponován do existuj´ıc´ı s´ıtˇe m˚uˇzeme vidˇet na obrázku 2.1.

2.3 Protokol IPv6

Aˇckoli by se mohlo zdát, ˇze jiˇz v´ıme, kde hledat vˇsechna pro nás zaj´ımavá data, tak v úˇctován´ı jeden velmi d˚uleˇzitý údaj chyb´ı a to - IPv6 adresa. IPv6 je modern´ı protokol pouˇz´ıvaný souˇcasnˇe s protokolem IPv4. IPv6 je v nˇekterých ohledech od IPv4 velmi odliˇsný, i kdyˇz oba vznikly za c´ılem umoˇznit poˇc´ıtaˇc˚um v s´ıti komunikovat. IPv6 se dnes nasazuje pˇreváˇznˇe kv˚uli zaplnˇen´ı adresn´ıho prostoru IPv4.

Ke správné funkci jakéhokoli zaˇr´ızen´ı v s´ıti je potˇreba, aby bylo seznámeno se s´ıt’ovými parametry. Mezi nejd˚uleˇzitˇejˇs´ı s´ıt’ové parametry patˇr´ı IP adresa, maska s´ıtˇe, výchoz´ı brána a adresy DNS server˚u. U protokolu IPv4 je nejbˇeˇznˇejˇs´ı zp˚usob z´ıskán´ı tˇechto parametr˚u pomoc´ı DHCP protokolu. Komunikaci s DHCP serverem zahajuje zaˇr´ızen´ı odeslán´ım paketuDHCP-Discover (DHCP 2016). Protoˇze zaˇr´ızen´ı o s´ıti zat´ım nic nev´ı, tento paket pˇrijde vˇsem zaˇr´ızen´ım, které se na s´ıti nacházej´ı. Na tuto ˇzádost zareaguje pouze DHCP server a to paketemDHCP-Offer, kde se klientovi identifikuje a nab´ıdne mu s´ıt’ové parametry s informac´ı o délce platnosti tˇechto parametr˚u. Klient na tuto odpovˇed’ reaguje paketem DHCP-Request, kde ˇzádá o pˇridˇelen´ı nab´ıdnutých parametr˚u. Tato odpovˇed’ je opˇet adresována vˇsem zaˇr´ızen´ım v s´ıti, protoˇze klient poˇrád nen´ı oprávnˇen tyto parametry uˇz´ıvat. Konverzaci zakonˇc´ı DHCP server paketem DHCP-Acknowledge, ˇc´ımˇz pˇridˇelené parametry nabývaj´ı platnosti a klient je m˚uˇze po dobu platnosti vyuˇz´ıvat. Vˇsechny pˇridˇelené parametry si DHCP server ukládá do vlastn´ıho logu.

Bezstavov´

a konfigurace

Bezstavová konfigurace je nový zp˚usob z´ıskáván´ı komunikaˇcn´ıch parametr˚u pˇri pˇripojen´ı zaˇr´ızen´ı do s´ıtˇe (SATRAPA, P. 2011). Narozd´ıl od stavové konfigurace, kdy veˇskeré komunikaˇcn´ı parametry pˇridˇeluje DHCP server nebo se zadávaj´ı manuálnˇe (a tud´ıˇz lze vˇse relativnˇe jednoduˇse dohledat), u bezstavové konfigurace pˇrecház´ı ˇcást procesu na samotné koncové zaˇr´ızen´ı. V IPv6 s´ıti s povolenou bezstavovou konfigurac´ı si ˇcást s´ıt’ových parametr˚u pˇridˇel´ı zaˇr´ızen´ı samo na základˇe ohláˇsen´ı smˇerovaˇce. Informace, které se v ohláˇsen´ı smˇerovaˇce nacházej´ı, se liˇs´ı podle konfigurace. Pˇri bezstavové konfi-guraci si vˇsak vˇzdy výslednou IPv6 adresu urˇc´ı zaˇr´ızen´ı. V souˇcasné dobˇe nen´ı technicky moˇzné koneˇcnou IPv6 adresu ˇzádným zp˚usobem ovlivnit. Proto se tato IPv6 adresa nem˚uˇze nacházet nikde v záznamech server˚u, pomoc´ı kterých by administrátoˇri mohli

(17)

toto zaˇr´ızen´ı identifikovat.

Zamezen´ı problému s identifikac´ı zaˇr´ızen´ı komunikuj´ıc´ıho pomoc´ı protokolu IPv6 by se dalo pomˇernˇe jednoduˇse dosáhnout pomoc´ı DHCPv6 serveru. Tohle ˇreˇsen´ı má ovˇsem jednu velkou nevýhodu a to chybˇej´ıc´ı podporu ze strany nˇekterých operaˇcn´ıch systém˚u, které konfiguraci pomoc´ı DHCPv6 serveru nepodporuj´ı, a tak by jim bylo zamezeno pomoc´ı IPv6 protokolu komunikovat. Kv˚uli tomuto omezen´ı budu muset vyuˇz´ıt toho, ˇze i kdyˇz nemám ˇzádnou informaci o vyuˇzitých IPv6 adresách v mé s´ıti, tak poˇrád veˇskerý provoz prob´ıhá pˇres univerzitn´ı s´ıt’ové prvky, bez kterých by komunikace uˇzivatele ne-byla moˇzná. Nab´ız´ı se napˇr´ıklad aktivn´ı dotazován´ı smˇerovaˇce na jeho tabulku soused˚u (neighbour cache), obdobu ARP tabulky, kterou pouˇz´ıvaj´ı zaˇr´ızen´ı komunikuj´ıc´ı pomoc´ı protokolu IPv4.

(18)

3 Volba programov´

ych prostˇ

redk˚

u

a konfigurace server˚

u

Jak jsem jiˇz zm´ınil v pˇredchoz´ı kapitole, tak ve výchoz´ım stavu se úˇctován´ı zaznamenává do textového souboru. Mou snahou by tedy mˇelo být co nejvýhodnˇejˇs´ı cestou tato data ukládat do databáze. Tohoto lze doc´ılit bud’ pomoc´ı syntaktické analýzy (parsován´ım) textového souboru, nebo zmˇenou konfigurace RADIUS serveru. Protoˇze RADIUS servery Radiator a FreeRadius pouˇz´ıvané na VˇSB podporuj´ı odes´ılán´ı dat na SQL servery, budu vyuˇz´ıvat tyto vlastnosti.

IPv6 adresy uˇzivatel˚u jsou z´ıskávány ze smˇerovaˇc˚u pomoc´ı SNMP protokolu, kde se poˇzadovaná data nacházej´ı v tabulce soused˚u. Pomoc´ı tohoto zp˚usobu ale nelze m´ıt vˇsechna data okamˇzitˇe a mus´ı být zvolen interval, kdy se data budou ze smˇerovaˇc˚u z´ıskávat. Tento interval mus´ı být dostateˇcnˇe krátký na to, abychom byli schopni archi-vovat vˇsechny adresy, které se na s´ıti vyskytly, a zároveˇn dostateˇcnˇe dlouhý, abychom pˇr´ıliˇs nezatˇeˇzovali smˇerovaˇce a databázi. Nevýhoda tohoto ˇreˇsen´ı je, ˇze se tabulky stahuj´ı vˇzdy celé a v databázi bude velké mnoˇzstv´ı duplicitn´ıch dat, které bude nutné pravidelnˇe agregovat.

Jeden z provozn´ıch poˇzadavk˚u na tento informaˇcn´ı systém byl, aby bˇeˇzel na Linuxovém serveru. Byla zvolena distribuce Debian, která se vyznaˇcuje velmi vysokou spolehlivost´ı a stabilitou. Jako databázový server jsem zvolil PostgreSQL. Tento databázový server jsem zvolil pˇredevˇs´ım kv˚uli datovým typ˚um. PostgreSQL obsahuje datové typy pro MAC adresu a IPv4/IPv6 adresu. Prezentaci dat administrátor˚um bude zajiˇst’ovat webový server Apache.

(19)

3.1 Konfigurace serveru Radiator

Server Radiator byl navrˇzen jako modul´arn´ı program (RadiatorR RADIUS Server 2015).

Jedna z jeho konfiguraˇcn´ıch moˇznost´ı umoˇzˇnuje pˇri zpracováván´ı poˇzadavk˚u spustit skript napsaný v jazyce Perl, kterým m˚uˇzeme upravit chován´ı celého procesu. Protoˇze popis celého konfiguraˇcn´ıho souboru nespadá do rozsahu této práce, budu popisovat jen nejd˚uleˇzitˇejˇs´ı parametry z toho d˚uvodu, aby úpravy byly na jiˇz funguj´ıc´ım serveru replikovatelné.

Pro ˇreˇsen´ı zadaných c´ıl˚u se je tˇreba zamˇeˇrit na tzv. klauzuli handler, která specifikuje, jaké operace se maj´ı provést pro urˇcité skupiny pˇripojuj´ıc´ıch se uˇzivatel˚u. Pro lepˇs´ı pˇredstavu uvád´ım ˇcást konfigurace slouˇz´ıc´ı k odbaven´ı uˇzivatel˚u VˇSB.

<Handler Realm=/^vsb\.cz$/ix > AuthBy LDAP_VSB AuthLog vsbusers AcctLogFileName /var/log/radiator/radiator-detail WtmpFileName /var/log/radiator/wtmp RejectHasReason </Handler>

V uvedené ˇcásti konfiguraˇcn´ıho souboru m˚uˇzeme vidˇet, ˇze pro uˇzivatele s realmem vsb.cz bude provedeno ovˇeˇren´ı hesla pomoc´ı LDAP (AuthBy), um´ıstˇen´ı textových sou-bor˚u pro log (AuthLog pro autentizaci,AcctLogFileName pro úˇctován´ı a WtmpFileName

pro Access-Request pakety) a ˇze v pˇr´ıpadˇe selh´an´ı autentizace se uˇzivateli odeˇsle d˚uvod nezdaru (RejectHasReason). Dle dokumentace (RadiatorR RADIUS Server 2015) lze

do konfigurace pˇridat návˇest´ıAuthBy INTERNAL, kde m˚uˇzeme ovlivnit vytváˇren´ı od-povˇedi na pˇr´ıchoz´ı úˇctovac´ı pakety. V naˇsem pˇr´ıpadˇe odpovˇed’ mˇenit nechceme, m˚uˇzeme ale vyuˇz´ıt toho, ˇze v této fázi m˚uˇzeme spustit námi napsaný skript, kterému server pˇredá vˇsechny úˇctovac´ı atributy ve formˇe asociativn´ıho pole (Satrapa, P. c2000). Poté jiˇz nen´ı problém pomoc´ı skriptu vˇsechna potˇrebná data odeslat do databázového serveru.

Pro doc´ılen´ı blokace jsem p˚uvodnˇe pouˇzil skript, kter´y se spustil pˇri pˇrijet´ı paketu

Access-Request a dotazoval se databáze na seznamy blokovaných uˇzivatel˚u a MAC adres. Radiator má bohuˇzel takovou vlastnost, ˇze skript spustil a ukonˇcil pro kaˇzdý paket zvláˇst’, coˇz významnˇe navýˇsilo ˇcas potˇrebný pro vyˇr´ızen´ı jednoho poˇzadavku. Server poˇzadavek bˇeˇznˇe vyˇr´ıd´ı v ˇcase kolem 1ms. Pˇri spouˇstˇen´ı skriptu ˇcas potˇrebný k vyˇr´ızen´ı poˇzadavku vzrostl na asi 70ms. Tento problém se projev´ı pˇri vysoké zátˇeˇzi, kdy server nakupené poˇzadavky nestihne vyˇr´ıdit vˇcas a uˇzivatelé se nejsou schopni autentizovat.

Pro implementaci blokace jsem nakonec pouˇzil klauzuliAuthBy FILE, která je primárnˇe urˇcená k autentizaci uˇzivatel˚u, jejichˇz údaje jsou uloˇzeny v textovém souboru. Výsledek

(20)

autentizace lze poté negovat pomoc´ı konfiguraˇcn´ıho parametruBlacklist. Samotná kon-figurace m˚uˇze vypadat následovnˇe:

<AuthBy FILE> Identifier check_users NoCheckPassword NoEAP NoDefault Blacklist Filename /etc/radiator/utils/blacklistUsers.txt </AuthBy>

Pro blokaci MAC adres staˇc´ı vytvoˇrit stejnou sekci s jedinou zmˇenou a to pˇridán´ım parametruAuthenticateAttribute Calling-Station-Id. Ten nám umoˇzn´ı kontrolovat m´ısto uˇzivatelských jmen MAC adresy. Výsledná konfigurace tedy m˚uˇze vypadat následovnˇe:

<Handler Realm=/^vsb\.cz$/ix > <AuthBy INTERNAL> AcctHook file:"/etc/radiator/utils/sqlradacct.pl" </AuthBy> AuthByPolicy ContinueUntilReject AuthBy check_users AuthBy check_mac AuthBy LDAP_VSB AuthLog vsbusers AcctLogFileName /var/log/radiator/radiator-detail WtmpFileName /var/log/radiator/wtmp RejectHasReason </Handler>

Aktualizaci soubor˚u zajiˇst’uje jednoduchý skript, který si data naˇcte z databáze a soubory pˇrep´ıˇse. Radiator zmˇenu souboru detekuje dle data posledn´ı úpravy, takˇze nen´ı tˇreba sluˇzbu restartovat. Skript je spouˇstˇen pomoc´ı plánovaˇce Cron.

Rychlostn´ı optimalizace

Jiˇz jsem se zm´ınil o problému, který nastal pˇri implementaci blokac´ı. Radiator skripty spouˇst´ı a ukonˇcuje zvláˇst’ pro kaˇzdý paket. Blokaci jsem mohl z vˇetˇsiny implementovat konfiguraˇcnˇe, ale u sbˇeru dat z úˇctován´ı jsem se tomuto pˇr´ıstupu snaˇzil vyhnout, abych neztratil flexibilitu, kterou mi vlastn´ı zpracován´ı dat pˇred jejich vloˇzen´ım do databáze nab´ız´ı. Aby doba bˇehu skriptu byla co nejkratˇs´ı, tak jsem vytvoˇril jednoduchý proxy server. Skript tak nemus´ı pokaˇzdé navazovat ˇsifrované TCP spojen´ı a ˇcekat na proveden´ı poˇzadovaných operac´ı databáze. Tuto starost jsem pˇrenesl na proxy server, který si s databáz´ı udrˇzuje perzistentn´ı spojen´ı a pˇredpˇripravené dotazy. ˇCinnost skriptu jsem omezil pouze na naformátován´ı potˇrebných údaj˚u a sestaven´ı UDP paketu, který je na

(21)

proxy server odes´ılán pˇres m´ıstn´ı smyˇcku. Proxy server se stará o ˇcten´ı dat z vyrovnávac´ı pamˇeti (anglicky buffer) a jejich vkládán´ı do databáze. Dalˇs´ı pˇridaná hodnota proxy serveru je ta, ˇze v pˇr´ıpadˇe výpadku databáze pˇrijatá data ukládá do mezipamˇeti (anglicky cache). Takto m˚uˇze systém fungovat bez jejich ztráty. Proxy server je kv˚uli své povaze napsán jako démon.

3.2 Konfigurace serveru FreeRadius

Server FreeRadius narozd´ıl od serveru Radiator nedisponuje takovou flexibilitou, která umoˇzˇnuje upravovat chován´ı za pomoc´ı vlastn´ıch skript˚u. Lze vˇsak doc´ılit stejného chován´ı jako v pˇredchoz´ım pˇr´ıpadˇe za pouˇzit´ı vhodné konfigurace. Pro spolupráci Free-Radius serveru s databáz´ı je tˇreba ke standartn´ı instalaci doinstalovat modul freeradius-postgresql (Guide/SQL HOWTO 2016). Po dokonˇcen´ı instalace je tˇreba v konfiguraˇcn´ım souboruradiusd.conf odkomentovat ˇrádek $_{INCLUDE sql.conf}_{, ˇc´ımˇz podporu SQL}

po-vol´ıme. V souborusql.conf se specifikuj´ı údaje nutné pro pˇripojen´ı k databázi. Nejd˚uleˇzitˇejˇs´ı ˇrádky jsou zejména tyto:

database = "postgresql" #Název databázového programu server = "sixmon.vsb.cz" #Hostname

login = "radius" #Uˇzivatelsk´e jm´eno password = "heslo" #Heslo

radius_db = "radiusdb" #N´azev datab´aze

acct_table1 = "radacct" #Název tabulky pro úˇctován´ı $INCLUDE dialup.conf #Konfiguraˇcn´ı soubor s~SQL dotazy

V konfiguraˇcn´ım souboru ./sites-enabled/default v sekci accounting odkomentován´ım ˇrádku sql urˇc´ıme, ˇze komunikace s databázovým serverem má prob´ıhat pro úˇctován´ı.

Dále je tˇreba upravit konfiguraˇcn´ı soubor dialup.conf, kde specifikujeme, jak maj´ı dotazy odes´ılané na SQL server vypadat. Pro kaˇzdou událost se zde konfiguruje primárn´ı a alternativn´ı dotaz pro pˇr´ıpad, ˇze primárn´ı selˇze. Tato vlastnost mi umoˇznila vypoˇrádat se s problémem, který jsem uvedl v kapitole 2.2, a to t´ım, ˇze pˇr´ıstupové servery do stejného atributu vkládaj´ı odliˇsné hodnoty. V naˇsem pˇr´ıpadˇe máme v atributu Calling-Station-Id MAC adresu nebo IPv4 adresu, protoˇze FreeRadius odbavuje klienty s´ıtˇe

tuonet-guest a z´aroveˇn klienty pˇripojuj´ıc´ı se pˇres VPN.

Na databázovém serveru jsem v tabulce pro úˇctován´ı urˇcil (viz. kapitola 3.3), ˇze slou-pec CallingStationId, do kterého se tato hodnota ukládá, je datového typu macaddr

(datový typ pro MAC adresu). Kdyˇz tedy FreeRadius na databázový server odeˇsle do-taz, ˇc´ımˇz se snaˇz´ı do sloupce CallingStationId vloˇzit IPv4 adresu, dotaz je odm´ıtnut a FreeRadius odeˇsle alternativn´ı dotaz, kde je hodnota atributu vkládána jiˇz správnˇe do sloupce externalip.

(22)

K doc´ılen´ı blokace uˇzivatel˚u je tˇreba vytvoˇrit nový konfiguraˇcn´ı soubor, kde specifi-kujeme údaje pro pˇripojen´ı k databázovému serveru. Proto staˇc´ı zkop´ırovat jiˇz funkˇcn´ı soubor sql.conf, uloˇzit ho pod jiným názvem (zvolil jsem názevsql-blacklist.conf) a pouze upravit hodnoty jednotlivých konfiguraˇcn´ıch parametr˚u. Tento soubor se zahrne do hlavn´ıho konfiguraˇcn´ıho souboruradiusd.conf pomoc´ıˇrádku$_{INCLUDE sql-blacklist.conf}_.

Pro samotnou blokaci se v souborusites-enabled/default do sekce post-auth pˇridaj´ı tyto ˇr´adky:

#Blokace uˇzivatelsk´eho jm´ena

if ( "%{tolower:%{User-Name}}" == "%{sql-blacklist: SELECT userName FROM blacklist WHERE username=lower(’%{User-Name}’)}") {

reject

update reply {

Reply-Message = "Your account has been blocked." }

}

#Blokace MAC adresy

if ( "%{tolower:%{User-Name}}" == "%{sql-blacklist: SELECT mac FROM blacklist WHERE

mac=lower(’%{Calling-Station-Id}’)}") {

reject

update reply {

Reply-Message = "Your account has been blocked." }

}

3.3 SQL datab´

aze a obsluhuj´ıc´ı skripty

Databáze byla navrˇzena s ohledem na nárazovou zátˇeˇz, která je zp˚usobena denn´ım reˇzimem student˚u a zp˚usobem zjiˇst’ován´ı jejich IPv6 adres. Nejvˇetˇs´ı ˇspiˇcky se oˇcekávaj´ı v rann´ıch hodinách, kdy studenti pˇricház´ı do ˇskoly a jejich zaˇr´ızen´ı se pˇripojuj´ı do s´ıtˇe. Pˇri mˇeˇren´ı, které jsem provádˇel, bylo bˇeˇzné, ˇze ve ˇspiˇckách databáze zpracovávala aˇz 1130 dotaz˚u za sekundu. Toto mˇeˇren´ı jsem provádˇel pomoc´ı programu PgBadger

a mˇeˇren´ı bylo uskuteˇcnitelné d´ıky tomu, ˇze v dobˇe psan´ı bakaláˇrské práce jiˇz systém bˇeˇzel v pilotn´ım reˇzimu.

(23)

Dle poˇzadavk˚u datab´aze mus´ı zajiˇst’ovat:

1. kontrolu, zda pˇripojuj´ıc´ı se uˇzivatel nen´ı blokován 2. vkládán´ı dat z´ıskaných z úˇctován´ı

3. vkládán´ı dat z´ıskaných z tabulek soused˚u 4. vyhledáván´ı dat administrátorem

Kv˚uli rozd´ılnosti z´ıskávaných dat jsou vytvoˇreny 3 databáze, které jsou pouˇz´ıvány nezávisle na sobˇe. Pˇri návrhu databáze bylo tˇreba zajistit, aby v tabulkách nebylo velké mnoˇzstv´ı dat. Pokud bychom nechali vˇsechna data v jedné tabulce, tak bychom ˇcasem za-znamenali obrovskou ztrátu výkonu na databázovém serveru. Trván´ı jednotlivých operac´ı by se rostouc´ım poˇctem dat postupnˇe prodluˇzovalo z milisekund aˇz na des´ıtky sekund. Jako ˇreˇsen´ı tohoto problému jsem zvolil tzv. partitioning tabulek, coˇz znamená, ˇze se tabulka rozdˇel´ı na v´ıce menˇs´ıch tabulek podle urˇcitého pravidla. V naˇsem pˇr´ıpadˇe je pro kaˇzdý den vytvoˇrena nová tabulka. Podm´ınka pro existenci záznamu v téhle tabulce je, ˇze se datum poˇr´ızen´ı záznamu mus´ı shodovat s datem, pro které je tabulka urˇcena. Toto rozdˇelen´ı je výhodné zejména kv˚uli tomu, ˇze pˇri vyhledáván´ı dat administrátorem, kdy je na server odeslán pˇr´ıkazSELECT, nebudou prohledávány vˇsechny tabulky, ale jen ty, kde se záznamy opravdu mohou nacházet. Protoˇze se záznamy neuchovávaj´ı navˇzdy, ale po urˇcité dobˇe se maˇzou, tak je moˇzné mazat rovnou celé tabulky. V opaˇcném pˇr´ıpadˇe by se musel kontrolovat záznam po záznamu, coˇz by mˇelo za následek dalˇs´ı ztrátu výkonu. Konkrétn´ı proveden´ı jednotlivých databáz´ı je popsáno v podkapitolách 3.3, 3.3 a 3.3.

(24)

´

Uˇ

ctov´

an´ı

Databáze urˇcená pro úˇctován´ı obsahuje jednu tabulku urˇcenou pro neukonˇcené úˇctován´ı (denn´ı tabulka) a druhou pro archivaci. Nad denn´ı tabulkou se nejˇcastˇeji provádˇej´ı pˇr´ıkazy INSERT pro vkládán´ı z´ıskaných dat a pˇr´ıkazy SELECT, kdy se pomoc´ı

Accounting-Update paket˚u kontroluje, zda pˇri zaˇcátku úˇctován´ı v atributech nechybˇela pˇriˇrazená IPv4 adresa. Protoˇze pˇri kontrole známe identifikátor sezen´ı (AcctSessionId), m˚uˇzeme záznam hledat podle tohoto identifikátoru, který je jako jediný v denn´ı tabulce indexován. Kv˚uli zajiˇstˇen´ı co nejmenˇs´ıho poˇctu ˇrádk˚u v denn´ı tabulce se jiˇz ukonˇcené relace v noci pˇresouvaj´ı do historické tabulky. Protoˇze ne vˇsechny relace jsou v dobˇe agregace ukonˇcené, mus´ı se denn´ı tabulka kontrolovat ˇrádek po ˇrádku. Kontroluje se zejména to, zda ˇrádek obsahuje nenulové hodnoty pro sloupce AcctStartTime a Acct-StopTime. Takový záznam skript vloˇz´ı do historické tabulky a z denn´ı ho smaˇze. Agre-gaci zajiˇst’uje skript napsaný v programovac´ım jazyce Perl. Protoˇze je po celou dobu vyuˇz´ıváno pˇredpˇripravených dotaz˚u, je pro agregaci nˇekolika tis´ıc záznám˚u pouˇz´ıváno jen dvou dotaz˚u, coˇz zajist´ı vˇetˇs´ı rychlost agregace.

Tabulka 3.1: Tabulka pro data z ´uˇctov´an´ı

název datový typ index index - arch´ıv popis radacctid bigserial ano ano id v rámci tabulky

AcctSessionId text ano ano id relace

UserName text ne ano login uˇzivatele

FramedIPAddress inet ne ano IPv4 adresa

CallingStationId macaddr ne ano MAC adresa zaˇr´ızen´ı AcctStartTime timestamp with timezone ne ano zaˇc´atek relace

AcctStopTime timestamp with timezone ne ano konec relace

externalip inet ne ano extern´ı IPv4/IPv6 adresa (VPN pˇripojen´ı) ipv6pref cidr ne ne prefix IPv6 adresy pˇridˇelen´e VPN koncetr´atorem

ipv6id text ne ne suffix IPv6 adresy pˇridˇelené VPN koncetrátorem framedipv6 inet ne ano IPv6 adresa pˇridˇelená VPN koncetrátorem calledstationid text ne ne identifikátor pˇr´ıstupového serveru

nasidentifier text ne ne identifik´ator pˇr´ıstupov´eho serveru

IPv6 adresy

V souˇctu se v tabulkách soused˚u bˇeˇznˇe nacház´ı nˇekolik tis´ıc pár˚u MAC a IPv6 adres. Protoˇze z´ıskáván´ı informac´ı o IPv6 adresách vyskytuj´ıc´ıch se na s´ıti prob´ıhá v pra-videlných intervalech stahován´ım celých tabulek soused˚u, bude tento proces hlavn´ım d˚uvodem ˇspiˇcek na databázovém serveru. Tabulka, do které tato data pˇricházej´ı, proto mus´ı být co nejv´ıce efektivn´ı. Z tohoto d˚uvodu byla vytvoˇrena tabulka urˇcená pouze ke sbˇeru dat. Protoˇze jsme se chtˇeli vyhnout tomu, aby se v tabulce u jednotlivých pár˚u aktualizoval ˇcas, kdy byly v s´ıti spatˇreny, tak se nad touto tabulkou pˇri sbˇeru informac´ı spouˇst´ı pouze pˇr´ıkaz INSERT. Indexace nad tabulkou neprob´ıhá, coˇz pˇr´ıkaz INSERT

(25)

Jako dalˇs´ı optimalizaˇcn´ı metodu jsem zvolil uˇzit´ı tzv. pˇredpˇripravených dotaz˚u (z an-glického prepared statements), které zajist´ı lepˇs´ı spolupráci mezi skriptem vkládaj´ıc´ım data a databáz´ı. Pˇri pouˇzit´ı pˇredpˇripraveného dotazu se na databázový server dotaz poˇsle pouze jednou a poté se odes´ılaj´ı pouze data, která si server do dotazu dosazuje. Server tak nemus´ı neustále dokolaparsovat a pˇripravovat jeden a ten samý dotaz (ˇZ ÁK, K. 2004).

Tabulka 3.2: Neagregovaná tabulka pár˚u MAC a IPv6 adres název datový typ index popis

sweep time time ne ˇcas sbˇeru informac´ı

ipv6 inet ne IPv6 adresa

mac macaddr ne MAC adresa

date date ne datum sbˇeru informac´ı

Protoˇze by vyhledáván´ı nad tabulkou bylo neefektivn´ı, tak se veˇcer, kdy je minimáln´ı provoz, tabulka agreguje. M˚uˇzeme ji proto nazvat jako denn´ı. Agregaci zajiˇst’uje agregaˇcn´ı skript napsaný v jazyce Perl. Agregaˇcn´ı skript nalezne ˇcas, kdy byl pár MAC-IPv6 vidˇen poprvé a naposled. Tento ˇrádek vloˇz´ı do tabulky slouˇz´ıc´ı k archivaci záznam˚u. Tato tabulka je indexována a rozdˇelena (partitioning podle data) pro zajiˇstˇen´ı rych-losti vyhledáván´ı. Agregaˇcn´ı skript tˇesnˇe pˇred ukonˇcen´ım smaˇze denn´ı tabulku pomoc´ı pˇr´ıkazu TRUNCATE a z archivu smaˇze staré tabulky. Jelikoˇz pˇri bezpeˇcnostn´ıch inci-dentech dotazy na dohledán´ı uˇzivatele pˇricház´ı vˇetˇsinou aˇz po nˇekolika dnech, tak nee-fektivnost vyhledáván´ı nad denn´ı tabulkou nepˇredstavuje problém. Také se domn´ıvám, ˇze by toto ˇreˇsen´ı nemˇelo m´ıt v budoucnu výkonnostn´ı problémy, kdyˇz vezmu v potaz pravdˇepodobnost, ˇze IPv6 provoz bude nar˚ustat a ne klesat.

Tabulka 3.3: Agregovaná tabulka pro páry MAC-IPv6 název datový typ index popis

id bigserial ano id v r´amci tabulky

ipv6 inet ano IPv6 adresa

mac macaddr ano MAC adresa

first seen time ne prvn´ı výskyt páru IPv6/MAC last seen time ne posledn´ı výskyt páru IPv6/MAC

date date ne datum poˇr´ızen´ı z´aznamu

Blokace

Logika blokace byla jiˇz pˇribliˇznˇe popsána v kapitole 3.1. Pˇri prvn´ı implementaci funkci-onality pro blokován´ı uˇzivatel˚u na s´ıti byla vytvoˇrena jednoduchá tabulka se sloupci pro

(26)

MAC adresu a pro login uˇzivatele. Pro lepˇs´ı orientaci v datech byly pˇridány jeˇstˇe dalˇs´ı sloupce, které se na funkci nepod´ılej´ı, ale administrátor˚um poskytuj´ı dodateˇcné infor-mace, jako je ˇcas blokace, kdo j´ı provedl a d˚uvod blokace. Po proveden´ı prvn´ıch blokac´ı jsem byl nucen jejich logiku dodateˇcnˇe upravit z d˚uvodu, ˇze nˇekteˇr´ı uˇzivatelé blokace obcházeli t´ım, ˇze pˇresvˇedˇcili spoluˇzáky, aby jim dali své pˇrihlaˇsovac´ı údaje. Webové roz-hran´ı proto pˇri blokaci loginu uˇzivatele projde databázi pro úˇctován´ı a nalezne vˇsechny MAC adresy, pod kterými se kdy uˇzivatel pˇripojil. Tyto MAC adresy jsou poté blo-kovány také a jsou od ostatn´ıch odliˇseny pomoc´ı sloupce owner. D´ıky tomu m˚uˇzou být pˇri odblokaci snadno nalezeny a z tabulky smazány. Vedlejˇs´ı efekt tohoto pˇr´ıstupu je, ˇze m˚uˇzou být zablokována i zaˇr´ızen´ı, která blokovaný uˇzivatel nevlastn´ı. Systém na tento pˇr´ıpad administrátora upozorn´ı a je na nˇem, zda takové zaˇr´ızen´ı do blokace zahrne.

Tabulka 3.4: Tabulka pro blokace n´azev datov´y typ index popis

id bigint ano id v r´amci tabulky

username text ne login uˇzivatele

realm text ne realm uˇzivatele

mac macaddr ne MAC adresa zaˇr´ızen´ı uˇzivatele blockedby text ne osoba, kter´a uˇzivatele zablokovala

blocked text ne osoba, kter´a uˇzivatele odblokovala

reason text ne d˚uvod blokace

(27)

4 Webov´

e rozhran´ı

Webové rozhran´ı slouˇz´ı jako jednoduchá cesta, jak se samotným systémem pracovat. Obsluha se tedy nebude muset pˇripojovat pˇr´ımo k databázi a ˇzádaná data z´ıskávat po-moc´ı ruˇcnˇe psaných SQL dotaz˚u. Výsledky vyhledáván´ı jsou nav´ıc obohacené o reverzn´ı DNS pˇreklady IPv4 adres a výrobce s´ıt’ových karet. Obsluha m˚uˇze vyhledávat úˇctovac´ı logy a blokované uˇzivatele. Mezi kategoriemi vyhledáván´ı se pˇrep´ıná pomoc´ı postrann´ıho menu. Webové rozhran´ı nav´ıc umoˇzˇnuje kromˇe autentizace i autorizaci uˇzivatele, který v rozhran´ı bude pracovat.

4.1 Vyhled´

av´

an´ı

Vyhledáván´ı v logu úˇctován´ı vyuˇzij´ı pˇredevˇs´ım ˇclenové bezpeˇcnostn´ıho týmu pˇri do-hledáván´ı identity zaˇr´ızen´ı, které figurovalo v bezpeˇcnostn´ım incidentu. V praxi se vˇsak v logu hledá i kv˚uli provozn´ı podpoˇre uˇzivatel˚u. ˇCasto se totiˇz stává, ˇze uˇzivatel, který se kv˚uli problému obrát´ı na helpdeskové pracoviˇstˇe, neoznám´ı, ˇze byl jeho problém vyˇreˇsen a operátor helpdesku nev´ı, jestli m˚uˇze poˇzadavek uzavˇr´ıt. Dále se dá pomoc´ı tohoto logu velmi rychle vylouˇcit problém s autentizac´ı na s´ıti a lze se zamˇeˇrit na hledán´ı problém˚u jiných.

K vyhledáván´ı v logu slouˇz´ı jednoduchý formuláˇr, kde lze zadat v´ıce vyhledávac´ıch kritéri´ı. Nalezeny budou záznamy, které obsahuj´ı právˇe vˇsechna zadaná kritéria. Pro proveden´ı vyhledáván´ı mus´ı být vyplnˇeno alespoˇn jedno kritérium a vymezená ˇcasová oblast, ve které se má záznam pˇribliˇznˇe nacházet. Kdyby nebyla zadaná ˇcasová ob-last, nemohlo by se vyuˇz´ıt partitioningu tabulek v SQL databázi a t´ım by docházelo k nadmˇerné zátˇeˇzi. Tato podm´ınka je také d˚uleˇzitá kv˚uli tomu, ˇze prohl´ıˇzeˇce kolabuj´ı, kdyˇz dojde k výpisu velkého mnoˇzstv´ı záznam˚u (ˇrádovˇe tis´ıc˚u). Pro snadnˇejˇs´ı zadáván´ı správného formátu data do formuláˇre byly do rozhran´ı implementovány projekty Mo-mentum aPikaday, d´ıky nimˇz si obsluha datum navol´ı pomoc´ı kalendáˇre (viz obr. 4.1). Na obrázku 4.2 m˚uˇzeme vidˇet jak zahájit hledán´ı jednotlivých záznam˚u, aktuálnˇe tedy dle uˇzivatelského jména. Výsledek tohoto vyhledáván´ı m˚uˇzeme vidˇet na obrázku 4.3.

(28)

Obrázek 4.1: Formuláˇr pro vyhledáván´ı v logu úˇctován´ı

(29)

Obrázek 4.3: Výsledky vyhledáván´ı v logu úˇctován´ı Z výsledku m˚uˇzeme vyˇc´ıst následuj´ıc´ı informace:

1. UserName

Jméno pˇrihláˇseného uˇzivatele. Jméno je uloˇzeno pˇresnˇe tak, jak ho uˇzivatel zadal, vˇcetnˇe velikosti p´ısmen.

2. NAS

M´ısto, kde se uˇzivatel pˇrihlásil. Z ˇretˇezce v prvn´ım ˇrádku napˇr´ıklad vyˇcteme, ˇze se uˇzivatel pˇrihlásil do s´ıtˇe Eduroam na fakultˇe elektrotechniky a informatiky (FEI), v m´ıstnosti B425 a ˇslo o bezdrátové pˇripojen´ı pˇres Wi-Fi access-point LAP2602. 3. AcctStartTime a AcctStopTime

Zaˇc´atek a konec uˇzivatelsk´e relace. 4. FramedIPAddress

Pˇridˇelen´a IPv4 adresa a jej´ı reverzn´ı DNS z´aznam. 5. mac

MAC adresa s´ıt’ové karty pˇripojeného zaˇr´ızen´ı a jméno výrobce s´ıt’ové karty. Zde se pravdˇepodobnˇe jedná o mobiln´ı telefon.

6. TerminateCause

D˚uvod ukonˇcen´ı relace. Nejˇcastˇejˇs´ı d˚uvody jsou následuj´ıc´ı: Idle-Timeout- Ztráta signálu.

User-Request- Manu´aln´ı odhl´aˇsen´ı uˇzivatele.

Admin-Reset - Nestandartn´ı chov´an´ı pˇripojen´eho zaˇr´ızen´ı (relace ukonˇcena ak-tivn´ım prvkem).

Reauthentication-Failure- Zaˇr´ızen´ı nereagovalo na ˇzádost o reautentizaci, nebo uˇzivatel nemá v zaˇr´ızen´ı uloˇzené pˇrihlaˇsovac´ı údaje a pˇri reautentizaci je zadal ˇspatnˇe.

Na nalezené údaje lze také klepnout a t´ım zahájit nové hledán´ı. Ve výsledc´ıch se m˚uˇze objevit záznam z VPN pˇripojen´ı (viz. obr.4.4). V tˇechto výsledc´ıch pˇribudou následuj´ıc´ı informace:

1. externalIP

(30)

2. framedIPv6

IPv6 adresa pˇridˇelená VPN koncetrátorem. Tuto adresu lze pˇridˇelit d´ıky tomu, ˇze se uˇzivatel pˇripojuje pˇres VPN klienta. VPN klient IPv6 adresu nastav´ı tzv. sta-ticky. Nedocház´ı proto k náhodnému výbˇeru adresy na stranˇe uˇzivatelova zaˇr´ızen´ı.

Obrázek 4.4: Výsledky vyhledáván´ı v logu úˇctován´ı - VPN pˇripojen´ı

4.2 Blokace

Blokaci uˇzivatele lze provést pomoc´ı tlaˇc´ıtka z výsledk˚u vyhledáván´ı (viz. obr.4.2) nebo pˇres menu klepnut´ım na odkaz Block user/mac (viz. obr.4.5). V pˇr´ıpadˇe, ˇze je blokace provedena z výsledk˚u vyhledáván´ı, je formuláˇr pˇredvyplnˇen. Ve formuláˇri (viz. obr.4.6) pro blokaci se vyplˇnuje blokovaný uˇzivatel nebo MAC adresa a d˚uvod blokace.

V praxi se do d˚uvodu blokace bˇeˇznˇe vkládá ˇc´ıslo ticketu z vnitˇrn´ıho ticketovac´ıho systému. V pˇr´ıpadˇe, ˇze je blokován uˇzivatel, systém nalezne MAC adresy zaˇr´ızen´ı, z kterých se uˇzivatel pˇrihlásil. Tyto adresy uvede v informaˇcn´ı tabulce (viz. obr.4.7) a upozorn´ı na zaˇr´ızen´ı, z kterých se pˇrihlaˇsovalo v´ıce uˇzivatel˚u. Pokud administrátor na takovéto upozornˇen´ı naraz´ı, provede kontrolu (napˇr´ıklad dle poˇctu pˇrihláˇsen´ı), zda se opravdu jedná o zaˇr´ızen´ı blokovaného uˇzivatele a nedoˇslo tak k blokaci nˇekoho jiného.

Obr´azek 4.5: Menu uˇzivatelsk´eho prostˇred´ı

Na obrázku 4.6 m˚uˇzeme vidˇet také seznam blokovaných uˇzivatel˚u. K blokaci se au-tomaticky pˇridává informace o tom, kdy byla blokace provedena, a osobn´ı ˇc´ıslo admi-nistrátora, který blokaci provedl. Z tohoto seznamu lze blokace zruˇsit pomoc´ı tlaˇc´ıtka

unblock. Také lze pomoc´ı tlaˇc´ıtka devices odblokovat jednotlivá zaˇr´ızen´ı. To se pouˇzije, pokud se i pˇres kontrolu pˇri blokaci zablokovalo zaˇr´ızen´ı jiného uˇzivatele.

(31)

Obr´azek 4.6: Formul´aˇr pro blokaci uˇzivatele

(32)

(33)

5 Popis vytvoˇ

ren´

ych programov´

ych

prostˇ

redk˚

u

V této kapitole jsou popsány jednotlivé souˇcásti informaˇcn´ıho systému a vazby mezi nimi. Kapitola je ˇclenˇena na podkapitoly dle hlavn´ıho úˇcelu jednotlivých ˇcást´ı systému.

5.1 Skripty pro sbˇ

er informac´ı a jejich agregaci

ipv6monitor.pl

Pˇripojuje se pomoc´ı SNMPv2c protokolu na routery definované v poli ip list. Pˇres tzv. bulk-request stahuje páry IPv6 adresa - MAC adresa a ty vkládá do databáze (ta-bulkaipv6 daily). Skript ignorujelink-local adresy - tj. adresy patˇr´ıc´ı do s´ıtˇe FE80::/10. Skript je um´ıstˇen na databázovém serveru a je pravidelnˇe kaˇzdých 5 minut spouˇstˇen pomoc´ı plánovaˇce úloh Cron.

sqlradacct.pl

Je spouˇstˇen RADIUS serverem RADIATOR pˇri kaˇzdém pˇrijet´ı úˇctovac´ıho paketu. Skript si od RADIUS serveru pˇrevezme vybrané atributy pˇrijatého úˇctovac´ıho paketu a ty pˇres m´ıstn´ı smyˇcku pomoc´ı UDP protokolu odeˇsle na proxy server acctProxy.pl, odkud jsou atributy vloˇzeny do databáze.

ipv6agregator.pl

Slouˇz´ı pro agregaci dat z tabulkyipv6 daily. Nalezne prvn´ı a posledn´ı výskyt páru IPv6 adresa - MAC adresa a ten vloˇz´ı do tabulky ipv6 master. Po úspˇeˇsné agregaci smaˇze neagregovanou tabulku a agregovanou tabulku starˇs´ı neˇz tˇri mˇes´ıce.

Skript je um´ıstˇen na databázovém serveru a je pravidelnˇe spouˇstˇen o p˚ulnoci pomoc´ı plánovaˇce úloh Cron.

(34)

acctAgregator.pl

Slouˇz´ı pro agregaci dat z tabulkyradacct. Nalezne vˇsechny ukonˇcené relace a ty pˇresune do tabulky accounting. Odhaluje relace, které nebyly korektnˇe ukonˇceny (na RADIUS server nepˇriˇsel paket Accounting-Stop). Nakonec smaˇze agregovanou tabulku, která je starˇs´ı neˇz tˇri mˇes´ıce.

Skript je um´ıstˇen na databázovém serveru a je pravidelnˇe spouˇstˇen o p˚ulnoci pomoc´ı plánovaˇce úloh Cron.

acctProxy.pl

acctProxy.pl je jednoduchý proxy server. Naslouchá na volitelném UDP portu, kde mu skript sqlradacct.pl zas´ılá data, která maj´ı být vloˇzena do databáze.

Proxy server zahazuje data, která nebyla poslána pˇres m´ıstn´ı smyˇcku nebo neúplná data. Server si udrˇzuje trvalé ˇsifrované spojen´ı na databázový server. SQL dotazy jsou kv˚uli vyˇsˇs´ımu výkonu pˇredpˇripravené.

V pˇr´ıpadˇe ztráty spojen´ı na databázový server se spojen´ı pokouˇs´ı obnovit a pˇrijatá data si ukládá v mezipamˇeti. Pˇri obnovˇe spojen´ı data z mezipamˇeti vkládá v pomˇeru 1:10 s novˇe pˇrijatými daty. Pokud by dat v mezipamˇeti bylo mnoho a jejich vloˇzen´ı by trvalo dlouho, mohlo by doj´ıt k pˇreteˇcen´ı vyrovnávac´ı pamˇeti.

Server bˇeˇz´ı jako démon na pozad´ı a je spouˇstˇen automaticky pˇri startu operaˇcn´ıho systému. Je moˇzné ho ovládat pomoc´ı init skriptu accounting.

blacklistGenerator.pl

Skript z´ıská seznam blokovaných uˇzivatel˚u z databáze a vytvoˇr´ı soubor naformátovaný pro pouˇzit´ı se serverem Radiator. V pˇr´ıpadˇe, ˇze je databázový server nedostupný, po-nechá p˚uvodn´ı soubor nedotˇcen.

Skript je um´ıstˇen na RADIUS serveru a je kaˇzdou minutu spouˇstˇen pomoc´ı pl´anovaˇce ´

uloh Cron.

5.2 Skripty pro monitoring

Skripty pro monitoring byly navrˇzeny jako moduly pro informaˇcn´ı systém Nagios. Ten umoˇzˇnuje automatizovanou kontrolu jednotlivých sluˇzeb a v pˇr´ıpadˇe problému upozorn´ı

(35)

systémové administrátory. Moduly signalizuj´ı stav sluˇzby pomoc´ı návratových kód˚u. Významy jednotlivých kód˚u jsou následuj´ıc´ı:

• Kód 0 - v poˇrádku • Kód 1 - upozornˇen´ı • Kód 2 - kritická chyba

Proto budu v popisu modul˚u uvádˇet, které kontroly provád´ı a jaký návratový kód vrát´ı, pokud modul odhal´ı problém.

check acccounting

Je modul urˇcen´y ke kontrole proxy serveruacctProxy.pl. Modul je spouˇstˇen na RADIUS serveru. Kontroluje zda:

1. Bˇeˇz´ı d´emon (k´od 2).

2. Se lze pˇripojit k databázovému serveru (kód 1).

3. Zda se testovac´ı data odeslána modulem na proxy server uloˇz´ı do databáze (kód 2). check postgresql

Je modul urˇcený ke kontrole databázového serveru, kde je také spouˇstˇen. Modul kont-roluje zda:

1. Se lze pˇripojit k databázovému serveru (kód 2). 2. Se v denn´ıch tabulkách nacház´ı nová data (kód 1). 3. Se provedla agregace (kód 1).

5.3 Webov´

y server

Tabulka 5.1: Seznam PHP skript˚u

n´azev popis

block.php Stránka slouˇz´ıc´ı k blokován´ı uˇzivatel˚u. credentials.php Obsahuje funkce pro pˇripojen´ı se k databázi.

devices.php Stránka pro zobrazen´ı blokovaných zaˇr´ızen´ı uˇzivatele. functions.php Funkce, které volaj´ı jednotlivé stránky.

index.php Stránka slouˇz´ıc´ı k vyhledáván´ı log˚u.

unblock.php Zajiˇst’uje odblokován´ı uˇzivatel˚u a hledán´ı v historii blokac´ı. vendor.php Zjiˇst’uje výrobce s´ıt’ové karty podle MAC adresy pˇres extern´ı API.

(36)

Tabulka 5.2: Seznam javascript skript˚u

n´azev popis

showHide.js Minimalizuje/maximalizuje jednotlivé tabulky s výsledky vyhledáván´ı. vendor.js Zobraz´ı výrobce s´ıt’ové karty pˇri najet´ı myˇsi nad MAC adresu.

Tabulka 5.3: Pouˇzit´e knihovny tˇret´ıch stran

n´azev popis

CAS Umoˇzˇnuje pˇrihláˇsen´ı uˇzivatele pˇres ˇskoln´ı systém jednotného pˇrihlaˇsován´ı. pikaday.js Pouˇzito pro implementaci kalendáˇre.

moment.js Pouˇzito pro implementaci kalend´aˇre.

5.4 Datab´

azov´

y server

Seznam datab´az´ı

Tabulka 5.4: Seznam datab´az´ı

n´azev tabulky obsah

radiusdb radacct, accounting Data z úˇctován´ı. ipv6db ipv6 daily, ipv6 master Data z tabulek soused˚u. blacklist blacklist, blacklistarchive Seznam blokovaných uˇzivatel˚u.

´ Uˇcty

Tabulka 5.5: Tabulka úˇct˚u pro pˇr´ıstup k databázovému serveru ´

uˇcet opr´avnˇen´ı

radius Pˇr´ıkazy INSERT, UPDATE nad tabulkami v datab´azi radiusdb. blacklist Vˇsechny pˇr´ıkazy nad tabulkami v datab´azi blacklist.

Pˇr´ıkaz SELECT nad vˇsemi tabulkami v datab´azi radiusdb. ipv6usr Pˇr´ıkaz INSERT nad tabulkou ipv6 daily.

web Pˇr´ıkaz SELECT nad vˇsemi tabulkami ve vˇsech datab´az´ıch. agregator Vˇsechny pˇr´ıkazy nad vˇsemi tabulkami

(37)

Partitioning tabulek

O partitioning tabulek se staraj´ı procedury napsané v PL/SQL. Tyto funkce jsou spouˇstˇeny pomoc´ı spouˇstˇeˇc˚u (z anglickéhotrigger). Kromˇe procedur urˇcených k partitioningu tabu-lek uvád´ım i proceduru slouˇz´ıc´ı k uloˇzen´ı IPv6 adresy pˇridˇelené VPN koncentrátorem, která ze serveru FreeRadius pˇricház´ı rozdˇelená do dvou sloupc˚u (jako prefix a suffix IPv6 adresy). Adresa pak m˚uˇze být uloˇzena jako datový typ inet (datový typ urˇcený pro IPv4/IPv6 adresy).

Tabulka 5.6: Seznam procedur a spouˇstˇeˇc˚u procedura spouˇstˇeˇc ´uˇcel

ipv6 partition function ipv6 trigger Partitioning tabulky ipv6 master. acc partition function acc trigger Partitioning tabulky accounting.

(38)

6 Z´

avˇ

er

C´ılem práce bylo vyvinout informaˇcn´ı systém, který umoˇzn´ı analýzu pˇr´ıstup˚u do s´ıtˇe VˇSB-TU a blokaci vybraných uˇzivatel˚u. Bylo tˇreba identifikovat zdroje poˇzadovaných in-formac´ı, jejich z´ıskán´ı a ukládán´ı. Tento systém pak byl implementován do produkˇcn´ıho prostˇred´ı univerzity.

V úvodn´ı kapitole jsem popsal nejd˚uleˇzitˇejˇs´ı aspekty ohlednˇe RADIUS protokolu, které jsou kl´ıˇcové pro vývoj a implementaci poˇzadovaných funkcionalit. Dále jsem pˇribliˇznˇe popsal vazby mezi jednotlivými s´ıt’ovými prvky, které se na autentizaci uˇzivatel˚u pod´ıl´ı a struˇcnˇe popsal jejich princip. Nakonec jsem, v návaznosti na identifikaci jednotlivých zaˇr´ızen´ı, popsal zásadn´ı rozd´ıl mezi protokolem IPv4 a protokolem IPv6.

Po teoretickém úvodu jsem v následuj´ıc´ı kapitole zanalyzoval rozˇsiˇritelnost nasazených softwarových prostˇredk˚u umoˇzˇnuj´ıc´ı autentizaci uˇzivatel˚u. Po zhodnocen´ı jejich moˇznost´ı jsem programy pˇrekonfiguroval, abych upravil jejich chován´ı. Kv˚uli funkˇcnosti této kon-figurace jsem pro program RADIATOR vyvinul programový modul, který z nˇej pˇrepos´ılá poˇzadované informace.

Ke správné funkci modul˚u bylo tˇreba také navrhnout databázi s ohledem na co nejvyˇsˇs´ı rychlost zpracován´ı dotaz˚u. K zajiˇstˇen´ı této vlastnosti jsem vytvoˇril agregaˇcn´ı skripty pro oddˇelen´ı aktuáln´ıch a historických dat. Pro zajiˇstˇen´ı vˇetˇs´ı rychlosti vyhledáván´ı his-torických dat byla pouˇzita technika zvaná partitioning. Pro rychlejˇs´ı vkládán´ı dat do databáze jsem se snaˇzil co nejv´ıce vyuˇz´ıvat pˇredpˇripravených dotaz˚u. Uvedené optima-lizaˇcn´ı metody jsem v kapitole také teoreticky popsal.

Kv˚uli absenci informac´ı o IPv6 adresách jsem naprogramoval skripty, které pravidelnˇe stahuj´ı tabulky soused˚u ze smˇerovaˇc˚u. Nakonec jsem popsal princip blokac´ı jednotlivých uˇzivatel˚u. Implementace tˇechto nástroj˚u také zahrnovala úplnou konfiguraci novˇe nain-stalovaného SQL serveru a webového serveru.

V pˇredposledn´ı kapitole jsem popsal mnou vyvinuté webové rozhran´ı, které pˇrehlednˇe zobrazuje uloˇzené údaje a umoˇzˇnuje velice snadným zp˚usobem uˇzivatele zablokovat. Webové rozhran´ı také umoˇzˇnuje autentizaci a autorizaci povˇeˇrených pracovn´ık˚u.

(39)

V posledn´ı kapitole jsem zdokumentoval vˇsechny pouˇzité programové prostˇredky vˇcetnˇe vazeb mezi nimi. Do popisu jsem zahrnul vysvˇetlen´ı úˇcelu jednotlivých skript˚u a da-tabázových procedur. Dále je zde seznam uˇzivatel˚u, kteˇr´ı sm´ı do databáze pˇristupovat, a jejich oprávnˇen´ı. V kapitole jsou také popsány skripty urˇcené pro monitoring jednot-livých sluˇzeb.

Systém bych chtˇel nadále rozvinout t´ım, ˇze bych rozˇs´ıˇril funkˇcnost webového rozhran´ı o automatické odes´ılán´ı e-mail˚u zablokovaným uˇzivatel˚um. Administrátoˇri by je tak ne-museli pˇri kaˇzdém incidentu psát sami, ˇc´ımˇz by jejich práce byla jeˇstˇe v´ıce zefektivnˇena. Dále bych chtˇel zobecnit zdrojový kód, aby mohl být systém hladce nasazen i v jiných s´ıt´ıch.

Vˇsechny uvedené nástroje jiˇz byly otestovány a implementovány do stávaj´ıc´ı s´ıtˇe. Nástroje jsou úspˇeˇsnˇe a rutinnˇe pouˇz´ıvány v provozu pˇri ˇreˇsen´ı bezpeˇcnostn´ıch problém˚u i pˇri technické podpoˇre uˇzivatel˚u.

(40)

7 Literatura

DHCP 2016. Netacad.com [online]. [cit. 2016-11-27]. Dostupn´e z:

https://static-course-assets.s3.amazonaws.com/RSE503/en/index.html#10.0.1.1. Fungov´an´ı roamingu 2016. Eduoram.cz [online]. 2012 [cit. 2016-11-27].

Dostupn´e z: https://www.eduroam.cz/cs/uzivatel/fungovani roamingu.

GNU Radius Reference Manual 2008 [online]. Free Software Foundation, 2008 [cit. 2016-11-27]. Dostupn´e z: https://www.gnu.org/software/radius/manual/radius.pdf

Guide/SQL HOWTO 2016. The FreeRADIUS Server Project and Contributors [online]. 2016 [cit. 2017-01-11].

Dostupn´e z: https://wiki.freeradius.org/guide/SQL-HOWTO

HASSELL, J. 2002.RADIUS. 1005 Gravenstein Highway North, Sebastopol, CA 95472: O’Reilly Media, 2002. ISBN 0-596-00322-6.

KR ˇCM Á ˇR P.,CALETKA O. 2016. Roamingová s´ıt’ eduroam: pˇripojen´ı po celém svˇetˇe [online]. 2016 [cit. 2016-11-27]. Dostupné z:

https://www.root.cz/clanky/roamingova-sit-eduroam-pripojeni-po-celem-svete/

RadiatorR RADIUS Server 2015 [online]. Open System Consultants Pty., 2015 [cit.

2016-12-30].

Dostupn´e z: https://www.open.com.au/radiator/ref.pdf

Remote Authentication Dial In User Service (RADIUS) 2000. The Internet Enginee-ring Task Force [online]. 2000 [cit. 2016-11-27].

Dostupn´e z: https://tools.ietf.org/html/rfc2865.

SATRAPA, P. c2000. Perl pro zelen´aˇce: [nauˇcte se programovat v Perlu]. 1. Praha: Neokortex. Bestseller for all. ISBN 80-863-3002-8.

SATRAPA, P. 2011.IPv6: internetov´y protokol verze 6. 3., aktualiz. a dopl. vyd. Praha: CZ.NIC, c2011. CZ.NIC. ISBN 9788090424845.

(41)

Server Definition 2014. TechTerms [online]. 2014 [cit. 2016-11-27]. Dostupn´e z: http://techterms.com/definition/server

ˇ

Z ÁK, K. 2004. PostgreSQL: pˇripravené dotazy a oddˇelen´ı dat od dotaz˚u. Root.cz [online]. 2004 [cit. 2016-12-30]. Dostupné z: https://www.root.cz/clanky/postgresql-pripravene-dotazy-a-oddeleni-dat-od-dotazu/