Difference between revisions of "Registrace MAC"

From NMS
Jump to: navigation, search
(New page: =Popis řešení= Povinné registrace síťových zařízení jsou na FJFI (v Trojance) řešeny (primitivně) na úrovni přidělování různých adres DHCP serverem. Sice se toto řeš...)
 
(Popis řešení)
Line 3: Line 3:
 
Povinné registrace síťových zařízení jsou na FJFI (v Trojance) řešeny (primitivně) na úrovni přidělování různých adres DHCP serverem. Sice se toto řešení dá lehce obejít, ale primárním účelem není zabezpečit síť proti neoprávněnému používání, ale možnost dohledat zařízení v případě stížností (možnosti zabezpečení jsou uvedeny na konci).
 
Povinné registrace síťových zařízení jsou na FJFI (v Trojance) řešeny (primitivně) na úrovni přidělování různých adres DHCP serverem. Sice se toto řešení dá lehce obejít, ale primárním účelem není zabezpečit síť proti neoprávněnému používání, ale možnost dohledat zařízení v případě stížností (možnosti zabezpečení jsou uvedeny na konci).
  
Stroje, které nejsou v databázi dostávají IP adresy že speciálního rozsahu (Trojanka 172.16.11.0/24), který není routován ven. S touto adresou se uživatel dostane pouze na web stránku s [https://nms.fjfi.cvut.cz/user/register.php registračním formulářem]. Po vyplnění tohoto formuláře (zatím se nepožaduje žádné ověření zadaných údajů) je ihned povolen přístup "ven". Uživatel má sice stále privátní adresu, ale na nms.fjfi.cvut.cz je přidáno pravidlo, které pro danou IP a MAC adresu povolí NAT.
+
Stroje, které nejsou v databázi dostávají IP adresy že speciálního rozsahu (Trojanka 172.16.11.0/24), který není routován ven. S touto adresou se uživatel dostane pouze na web stránku s [https://nms.fjfi.cvut.cz/user/register.php registračním formulářem]. Po vyplnění tohoto formuláře (zatím se nepožaduje žádné ověření zadaných údajů) je ihned povolen přístup "ven". Uživatel má sice stále privátní adresu, ale na nms.fjfi.cvut.cz je přidáno pravidlo, které pro danou IP a MAC adresu povolí NAT. Toto pravidlo je automaticky smazáno, když dané zařízení není delší dobu (hodinu) dostupné pomoci ARPingu.
  
 
Konfigurace DHCP serveru se (zatím) updatuje každých 5 minut na základě informací o zaregistrovaných zařízení. Po update DHCP bude dostávat každé zaregistrované zařízení IP adresy z veřejného rozsahu (147.32.7.0/24 Trojanka).
 
Konfigurace DHCP serveru se (zatím) updatuje každých 5 minut na základě informací o zaregistrovaných zařízení. Po update DHCP bude dostávat každé zaregistrované zařízení IP adresy z veřejného rozsahu (147.32.7.0/24 Trojanka).
Line 9: Line 9:
 
Pokud uživatel zadá do registračního formuláře nesmysly, může administrátor zařízení [https://nms.fjfi.cvut.cz/user/?p=admin&sp=mac zablokovat]. Zablokované zařízení dostává IP adresy opět z přivátního rozsahu (172.16.11.32/27 Trojanka) a uživatel se dostane na webu pouze na stránku, kde je informován o zablokování svého zařízení a kontaktních informacích na správce. Třetím speciálním stavem je "smazané" zařízení a chování je obdobné jako pro blokované zařízení jen IP jsou přidělovány z jiných rozsahů (172.16.11.64/27 Trojanka)
 
Pokud uživatel zadá do registračního formuláře nesmysly, může administrátor zařízení [https://nms.fjfi.cvut.cz/user/?p=admin&sp=mac zablokovat]. Zablokované zařízení dostává IP adresy opět z přivátního rozsahu (172.16.11.32/27 Trojanka) a uživatel se dostane na webu pouze na stránku, kde je informován o zablokování svého zařízení a kontaktních informacích na správce. Třetím speciálním stavem je "smazané" zařízení a chování je obdobné jako pro blokované zařízení jen IP jsou přidělovány z jiných rozsahů (172.16.11.64/27 Trojanka)
  
Registrace se samozřejmě "netýkají" WiFi sítí (Eduroam, WiFiFJFI), protože tam je zařízení automaticky zaregistrováné při přihlášení uživatele k této síti. Z tohoto důvodu je také potřeba mít WiFi sítě na zvláštních VLANách (pro Eduroam by se to ještě dalo vyřešit bez VLAN, ale u WiFiFJFI to bez VLAN nejde).
+
Registrace se samozřejmě "netýkají" WiFi sítí (Eduroam, WiFiFJFI), protože tam je zařízení automaticky zaregistrováné při přihlášení uživatele k této síti. Z tohoto důvodu je také potřeba mít WiFi sítě na zvláštních VLANách (pro Eduroam by se to ještě dalo vyřešit bez VLAN, ale u WiFiFJFI to bez VLAN nejde). Vzhledem k samostatně routovaným VLANám pak mají tyto sítě i vlastní IP rozsahy - pro Eduroam (147.32.11.0/24 Trojanka), pro WiFiFJFI (172.16.21.0/24 Trojanka).
  
 
=Možnosti zabezpečení proti neoprávněnému přístupu=
 
=Možnosti zabezpečení proti neoprávněnému přístupu=

Revision as of 04:16, 19 November 2007

Popis řešení

Povinné registrace síťových zařízení jsou na FJFI (v Trojance) řešeny (primitivně) na úrovni přidělování různých adres DHCP serverem. Sice se toto řešení dá lehce obejít, ale primárním účelem není zabezpečit síť proti neoprávněnému používání, ale možnost dohledat zařízení v případě stížností (možnosti zabezpečení jsou uvedeny na konci).

Stroje, které nejsou v databázi dostávají IP adresy že speciálního rozsahu (Trojanka 172.16.11.0/24), který není routován ven. S touto adresou se uživatel dostane pouze na web stránku s registračním formulářem. Po vyplnění tohoto formuláře (zatím se nepožaduje žádné ověření zadaných údajů) je ihned povolen přístup "ven". Uživatel má sice stále privátní adresu, ale na nms.fjfi.cvut.cz je přidáno pravidlo, které pro danou IP a MAC adresu povolí NAT. Toto pravidlo je automaticky smazáno, když dané zařízení není delší dobu (hodinu) dostupné pomoci ARPingu.

Konfigurace DHCP serveru se (zatím) updatuje každých 5 minut na základě informací o zaregistrovaných zařízení. Po update DHCP bude dostávat každé zaregistrované zařízení IP adresy z veřejného rozsahu (147.32.7.0/24 Trojanka).

Pokud uživatel zadá do registračního formuláře nesmysly, může administrátor zařízení zablokovat. Zablokované zařízení dostává IP adresy opět z přivátního rozsahu (172.16.11.32/27 Trojanka) a uživatel se dostane na webu pouze na stránku, kde je informován o zablokování svého zařízení a kontaktních informacích na správce. Třetím speciálním stavem je "smazané" zařízení a chování je obdobné jako pro blokované zařízení jen IP jsou přidělovány z jiných rozsahů (172.16.11.64/27 Trojanka)

Registrace se samozřejmě "netýkají" WiFi sítí (Eduroam, WiFiFJFI), protože tam je zařízení automaticky zaregistrováné při přihlášení uživatele k této síti. Z tohoto důvodu je také potřeba mít WiFi sítě na zvláštních VLANách (pro Eduroam by se to ještě dalo vyřešit bez VLAN, ale u WiFiFJFI to bez VLAN nejde). Vzhledem k samostatně routovaným VLANám pak mají tyto sítě i vlastní IP rozsahy - pro Eduroam (147.32.11.0/24 Trojanka), pro WiFiFJFI (172.16.21.0/24 Trojanka).

Možnosti zabezpečení proti neoprávněnému přístupu

  • současné řešení + informace o problematických registrací z monitorovacího daemona arpmon
  • povolení routovaní na CISCO pouze adres přidělených od DHCP (nutné precizní zařazení do VLAN - netriviální, ale možné realizovat)
  • autentizace LAN klientů přes RADIUS (nemožné realizovat bez switchů s podporou RADIUS autentizace)