Popis řešení

Povinné registrace síťových zařízení jsou na FJFI (v Trojance) řešeny (primitivně) na úrovni přidělování různých adres DHCP serverem. Sice se toto řešení dá lehce obejít, ale primárním účelem není zabezpečit síť proti neoprávněnému používání, ale možnost dohledat zařízení v případě stížností (možnosti zabezpečení jsou uvedeny na konci).

Stroje, které nejsou v databázi dostávají IP adresy že speciálního rozsahu (Trojanka 172.16.11.0/24), který není routován ven. S touto adresou se uživatel dostane pouze na web stránku s registračním formulářem. Po vyplnění tohoto formuláře s ověřením identity je ihned povolen přístup "ven". Uživatel má sice stále privátní adresu, ale na nms.fjfi.cvut.cz je přidáno pravidlo, které pro danou IP a MAC adresu povolí NAT. Toto pravidlo je automaticky smazáno, když dané zařízení není delší dobu (hodinu) dostupné pomoci ARPingu.

Konfigurace DHCP/DHCPv6 serveru se (zatím) updatuje každých 5 minut na základě informací o zaregistrovaných zařízení. Po update DHCP bude dostávat každé zaregistrované zařízení IP adresy z vyhrazeného rozsahu rozsahu (např. veřejné adresy 147.32.7.0/24 v Trojance). Výhledově je v plánu dynamická konfigurace DHCP serveru, takže se změny v konfiguraci projeví okamžitě (tedy z pohledu klienta samozřejmě až po nejbližší žádosti o DHCP adresu). Standardní doba platnosti neregistrované adresy je jedna hodina.

Administrátor může zlobivá zařízení zablokovat a takové zařízení bude dostávat stejné adresy jako neregistrovaná (smazaná) zařízení. Narozdíl od neregistrovaných (smazaných) zařízení ale uživatel nemá možnost provést novou registraci a bude pouze informován o blokaci s kontakty na správce.

Registrace se samozřejmě "netýkají" WiFi sítí (Eduroam, WiFiFJFI), protože tam je zařízení automaticky zaregistrováné při přihlášení uživatele k této síti. Z tohoto důvodu je také potřeba mít WiFi sítě na zvláštních VLANách (pro Eduroam by se to ještě dalo vyřešit bez VLAN, ale u WiFiFJFI to bez VLAN nejde). Vzhledem k samostatně routovaným VLANám pak mají tyto sítě i vlastní IP rozsahy - pro Eduroam (147.32.11.0/24 Trojanka), pro WiFiFJFI (172.16.20.0/23 Trojanka).

Ještě je nutné zajistit, aby blokovaná resp. smazaná zařízení něměla přístup ani přes WiFiFJFI a Eduroam sít. Pro první z nich je vyhrazen rozsah 172.16.41.0/24, pokud klient dostane IP z tohoto rozsahu, zobrazi se místo autentizačního formuláře informační hláška s kontakty na správce. V Eduroam síti to bude fungovat podobně jako pro normální zásuvky - blokované / smazané zařízení dostane IP z privátního rozsahu 172.16.31.0/24 a opět se mu na webu zobrazí pouze informace o tom, že nemá povolen přístup do sítě FJFI.

Použité komponenty

• rozhraní pro uživatelské konfigurace
  • registrační formulář
  • úpravy registrovaných zařízení
  • pravidla pro přidělování rezervovaných IP adres
• daemon měnící konfiguraci iptables / ipset
• skript pro odmazávání starých záznamů z iptables / ipset (spouštěný pravidelně z cronu)
• DHCP DHCP server
  • přidělování různých adres pro (ne)registrovaná zařízení
  • lokální statické konfigurace DHCP a DHCPv6 v /etc/dhcp/dhcp[6]*.conf
  • konfigurace generovány skriptem z registrační databáze
• HTTP HTTP server
  • konfigurace redirectu s IP adresou klienta na stránku registrací (captive portal)
  • konfigurace virtualhosta na privátní adrese + redirect v index.php pro lokace mimo Trojanku
• VLAN pro oddělení samostatně autentizovaných WiFiFJFI zařízení

Registrace / dohledání speciálních zařízení

U počítačů, notebooků, PDA, ... by neměla registrace dělat problém, protože tyto zařízení obsahují web browser, který je k tomu potřeba (drobný problém může nastat, pokud byl počítač zařazen do domény a nebyla předtím provedena registrace). Jiné je to pro ostatní zařízení jako jsou například síťové tiskárny. Ty je potřeba registrovat předem (MAC adresa bývá většinou u síťového rozhraní uvedena) nebo je potřeba nastavit statickou IP adresu z přiděleného rozsahu.

V případě, že MAC není známa a ani nelze nakonfigurovat ručně statickou IP, potom pro dohledání zařízení může posloužit online přístup k informacím o DHCP požadavcích, v horším případě mohou posloužit logy DHCP serveru nebo by hledání mohl hledání usnadnit seznam zařízení podle typu výrobce nebo také běžící zařízení v rozsahu neregistrovaných zařízení (prozatím 172.16.11.0/24).

Pravidla pro automatické vytváření rezervovaných adres

Pokud uživatel registruje zařízení pomocí captive portálu nebo administrátor při ruční registraci zvolí jako IP adresu klíčové slovo "auto" (resp. libovolný název pravidla ze seznamu) dojde k automatickému výběru rezervované IPv4/IPv6 adresy. Aktivní pravidla s odpovídajícím jménem jsou vyfiltrována podle zadefinovaných vlastností zařízení (vlastníka, typu zařízení, umístění, ...) a seřazena sestupně podle váhy. Pravidlo s největší vahou je následně použito pro automatický výběr volných IPv4/IPv6 adres z uvedených rozsahů.

Jedním pravidlem můžeme zařízení přiřadit libovolný počet IPv4/IPv6 adres z různých VLAN. Při aplikaci konkrétního pravidla se postupně zpracují všechny zadefinované IPv4/IPv6 rozsahy a pro každou VLAN se vybere první volná adresa z uvedeného rozsahu. Pokud je již přidělený rozsah plně obsazen (resp. jsou plně obsazeny všechny rozsah na dané VLAN), zařízení nezíská žádnou rezervovanou adresu. Při vytváření pravidel není nutné uvádet z jaké VLAN je konkrétní IP rozsah a v takovém případě se vybere správná VLAN odpovídající IP rozsahu.

Filter u pravidel může obsahovat jak základní vlastnosti zařízení (vlastníka, typ, umístění, status), tak i položky nepřímo související s registovaným zařízením:

• VLAN - administrátor může jako IP adresu zařizení zvolit nejen "auto", ale i adresu z konkrétní vlany jako například "auto@fjfi-tr-def" a pomocí VLAN filtru pak můžeme přiřazovat různé adresy v závislosti na požadavku na konkrétní VLAN
• users - tento filtr může obsahovat seznam uživatelských jmen oddělených čárkou a uživatel registrující zařízení musí být v seznamu uveden, aby se na něj toto pravidlo aplikovalo (např.: "vokacpet,keroupav,schlopet")
• groups - podobně jako filtr users může obsahovat seznam skupin a uživatel registrující zařízení musí být členem jedné z uvedených skupin (např.: "km_all,kf_all")
• priv - tento filtr lze aplikovat na práva přidělená správcům přímo pro toto web rozhraní (např. "mac_ro")

Řešení stížnosti / blokací

• neplatné údaje
• IDS detekce
• stížnost od abuse@cvut.cz
• odblokování zařízení

Možnosti zabezpečení proti neoprávněnému přístupu

• současné řešení + informace o problematických registrací z monitorovacího daemona arpmon
• povolení routovaní na CISCO pouze adres přidělených od DHCP (nutné precizní zařazení do VLAN - netriviální resp. trošku pracné, ale možné realizovat)
• autentizace LAN klientů přes RADIUS (nemožné realizovat bez switchů s podporou RADIUS autentizace)