Difference between revisions of "SITE 2006 zapocty"

From NMS
Jump to: navigation, search
Line 132: Line 132:
 
*proxy pro IMAP server, která bude cachovat autentizovaná spojení pro uživatele
 
*proxy pro IMAP server, která bude cachovat autentizovaná spojení pro uživatele
 
*možnost využít python-twisted - viz. např. tento jednoduchý příklad [http://mail.python.org/pipermail/python-list/2005-June/284991.html IMAP Proxy]
 
*možnost využít python-twisted - viz. např. tento jednoduchý příklad [http://mail.python.org/pipermail/python-list/2005-June/284991.html IMAP Proxy]
 +
*podpora zabezpečeného spojeni přes SSL (a to jak od klienta k proxy, tak i od proxy k serveru)
 
*volitelně - routování IMAP spojení k různým IMAP serverům na základě údajů uložených v LDAP
 
*volitelně - routování IMAP spojení k různým IMAP serverům na základě údajů uložených v LDAP

Revision as of 15:06, 1 June 2006

Obecné pokyny pro vypracování

  • nebude-li uvedeno/dohodnuto jinak, výsledná prace bude vložena do těchto wiki stránek
    • každý uživatel se přihlasí svým jménem/heslem (je potřeba vybrat vhodný autentizační zdroj - GAS pro většinu znamená autentizaci proti NDS)
    • stránku vložte pod odkaz z titulku úkolu, který zpracováváte
  • přihlašujte se přes zabezpečené spojení HTTPS!
  • manuál pro editování wiki
  • pokud jste úplně ztraceni, zkuste http://www.wikipedia.org/ nebo http://www.google.com/ :)

Identifikace zdrojů spamu na FJFI

  • aplikace, která bude kontrolovat výskyt strojů na blacklistech z IP rozsahu FJFI
  • spouštěna pravidelně z cronu (tj. není potřeba psát přímo daemona)
  • bude uchovávat historii incidentů v DB
  • informace o změnách (přírůstcích?) proti poslední kontrole pošle mailem
  • zobrazení aktuálního stavu + historie na webu

Knihovna pro DNSBL v Pythonu

  • rozumně použitelné API
  • možnost konfigurace různých blacklistů
  • převzetí (rozparsování) konfigurace ze spamassassinu, tohoto seznamu, případně i dalších
  • cachování výsledků, možnost nastavit velikost cache a expirace
  • thread-safe (bude se to týkat práce s cache a možná také DNS dotazů v závislosti na použitém DNS modulu)
  • sychroní a asynchroní volání
  • optimalizace pro maximální výkon
  • funkce (třída?) pro kontrolu proti seznamu blacklistů
  • výsledkem bude volání kontrolní funkce bude
    1. boolean hodnota
    2. skóre podle konfiguračních souborů pro spamassassin
    3. seznam blacklistů na nichž je adresa uvedena (přicemž budu moci zjistit další informace o konkrétním blacklistu - viz. info v konfiguračních souborech)
  • možno využít adns nebo libovolnou jinou knihovnu

Zajištění důvěryhodnosti mailu - SPF

  • základní popis
    1. co to vlastně je
    2. k čemu je to dobré
    3. k čemu to naopak neslouží
    4. jednoduchý popis konfigurace DNS záznamů
    5. požadavky na správce a uživatele
  • RFC 4405, RFC 4406, RFC 4407 RFC 4408
  • rozdíly mezi spfv1 a spfv2.0
  • vztah mezi spf a sender-id
  • výhody/nevýhody proti jiným řešením (třeba DomainKeys resp. DKIM)
  • implementace
    1. knihovny pro různé jazyky (python, perl, C, ...) - vyzkoušet
    2. moduly pro mailservery (postfix, sendmail, exchange, ...) - odkazy

Zajištění důvěryhodnosti mailu - DKIM

  • základní popis
    1. co to vlastně je
    2. k čemu je to dobré
    3. k čemu to naopak neslouží
    4. jednoduchý popis konfigurace
    5. požadavky na správce a uživatele
  • rozdíly mezi původním návrhem DomainKeys a DKIM
  • výhody/nevýhody proti jiným řešením (třeba SPF)
  • vztah k existujícím RFC (omezení délky záznamů v DNS, X- hlavičky mailů, ...)
  • implementace
    1. knihovny pro různé jazyky (python, perl, C, ...) - vyzkoušet
    2. moduly pro mailservery (postfix, sendmail, exchange, ...) - odkazy
  • oficiální stránky

Nové trendy v oblasti wireless sítí - WiMAX

  • základní popis WiMAX
  • vlastnosti, srovnání se současnými standardy WiFI (802.11a/b/g) - výhody/nevýhody
  • možnosti zabezpečení komunikace
  • použitelnost na FJFI
  • zařízení? klienti? (existují vůbec? cena?)
  • bezlicenční pásmo?

Výsledky: WiMAX V.Jary

Zeroconf - automatická konfigurace sítí a služeb

  • co to je a k čemu je to dobré
    1. alokace IP bez DHCP (IPv4 Link-Local Addressing)
    2. překlad jméno<->adresa bez DNS serveru (Multicast DNS)
    3. hledání dostupných služeb (DNS Service Discovery)
    4. ...
  • principy fungování, stav implementace pro různé OS
  • vztah k existujícím RFC (např. vzhledem k záznamům v DNS pro DNS-SD)
  • rozchození ukázkové konfigurace (např. avahi v linuxu)
  • jiné systémy propagace/informace o službách v síti jako historický SAP (Service advertising protocol na IPX), WINS (Windows Internet Naming Service) pro MS Windows, otevřený standard SLP (Service Location Protocol) pro NetWare a unix, aj.? Srovnání v čem si všechny uvedené systémy konkurují, doplňují se.
  • najít statistiky, v jakém množství jsou výše uvedené systémy zastoupené v internetu, LAN apod.

SCTP

  • popis vlastností tohoto síťového protokolu
  • vztah k TCP/UDP (vlastnosti, výhody, nevýhody, ...)
  • implementace jednoduché aplikace pro prezentaci (některých) jedinečných vlastností tohoto protokolu

Multicast

  • o co jde a k čemu je to dobré (kde a jak se to dá použít, příklady aplikací)
  • základní popis standardních služeb a protokolů (jako třeba <bash>ping 224.0.0.1</bash>
  • implementace jednoduchého multicastového serveru a klienta
  • používá se například při hledání, kde běží určitá služba. Takže zkuste třeba klienta protokolu SLP

Monitorování SMTP provozu

  • daemon monitorující navazování spojení na port 25
  • možnost definovat IP rozsahy, které se nemají monitorovat
  • pokud nějaký stroj ze sledovaného rozsahu začne navazovat hromady spojení, zaslat mail správci, případně uložit záznam do databáze
  • možnost definovat stroje, které se nemají monitorovat (typicky oficiální mailservery)

Monitorování výskytu stanic v síti

  • deamon monitorující stroje, které se nacházejí v lokální síti
  • odchytává ARP request/response
  • údaje ukládá do souboru (databáze)/uchovává v paměti
  • poslouchá na všech/definovaných rozhraních
  • volitelně rozhraní pro vyčítání nasbíraných informací (TCP/IP server)

Analýza dat SMTP komunikace

  • maily lze rozumně odmítat jen při SMTP spojení s remote serverem
    1. vygenerování chybové zprávy pro uživatele je přenecháno na odesílajícím serveru
    2. negenerují se mail-delivery failure zprávy na falešné adresy
  • úkolem je analyzovat data z komunikace
220 mailgw1.fjfi.cvut.cz ESMTP CTU FNSPE 1st MX NO UCE NO SPAM 
EHLO cizi.mail.server
250 mailgw1.fjfi.cvut.cz
MAIL FROM: <nejaka.adresa@nejaky.cizi.server>
250 Ok
RCPT TO: <nejaka.lokalni.adresa@fjfi.cvut.cz>
  • v databázi jsou předzpracovány informace přibližně odpovídající Postfix SMTP Access Policy Delegation, dál jsou tam body přiřazené spamassassinem
  • úkolem by bylo vygenerovat pár histogramů podle dat z databáze (podrobnosti na mailu vokac@kmlinux.fjfi.cvut.cz)
  • pokusit se na základě bodů od spamassasinu navrhnout pravidla pro odmítání mailů po RCPT TO (jen podle informací uvedených v Postfix SMTP Access Policy Delegation)
  • mrknout se na ppolicy a navrhnout případně další možné kontroly

Generování grafu sítě

  • motivace - ze switchů lze přes SNMP vyčíst informaci, přes který port se komunikuje s konkrétní MAC adresou, tímto způsobem by se mělo dát automaticky vygenerovat zapojení všech zařízení do sítě
  • mám seznam uzlů
  • z každého uzlu vede více hran
  • v každém uzlu vím, kterou hranou se vydat do jiného uzlu (ale nevím, přes kolik dalších uzlů projdu)
  • graf je acyklický (pokud nebudeme brát do úvahy Spanning Tree Protocol, který fyzické kruhy logicky rozděluje, ale zřejmě pro každou VLAN mohou být jiné cesty )
  • úkolem je vygenerovat a nakreslit graf (graphviz) na základě uvedených pravidel

IMAP Proxy

  • motivace - zrychlení práce s maily pres webmail
  • proxy pro IMAP server, která bude cachovat autentizovaná spojení pro uživatele
  • možnost využít python-twisted - viz. např. tento jednoduchý příklad IMAP Proxy
  • podpora zabezpečeného spojeni přes SSL (a to jak od klienta k proxy, tak i od proxy k serveru)
  • volitelně - routování IMAP spojení k různým IMAP serverům na základě údajů uložených v LDAP