SLUŽEB INTERNETU FAKULTA INFORMAČNÍCH TECHNOLOGIÍ MICHAL NOWAK BRNO UNIVERSITY OF TECHNOLOGY

ˇ Í TECHNICKE´ V BRNEˇ VYSOKE´ UCEN BRNO UNIVERSITY OF TECHNOLOGY

ˇ ÍCH TECHNOLOGIÍ FAKULTA INFORMACN ˇ ÍCH SYSTEM ´ ´ U ˚ USTAV INFORMACN FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

ˇ Í SMEROVA ˇ POSKYTOVATELE ˇ PC JAKO HRANICN C ˇ SLUZEB INTERNETU

´ RSK ˇ ´ PRACE ´ BAKALA A BACHELOR’S THESIS

´ AUTOR PRACE AUTHOR

BRNO 2007

MICHAL NOWAK

ˇ Í TECHNICKE ´ V BRNE ˇ VYSOKE´ UCEN BRNO UNIVERSITY OF TECHNOLOGY

ˇ ÍCH TECHNOLOGIÍ FAKULTA INFORMACN ˇ ÍCH SYSTEM ´ ´ U ˚ USTAV INFORMACN FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

ˇ Í SMEROVA ˇ POSKYTOVATELE ˇ PC JAKO HRANICN C ˇ SLUZEB INTERNETU PC AS A BORDER ROUTER OF AN INTERNET SERVICE PROVIDER

´ RSK ˇ ´ PRACE ´ BAKALA A BACHELOR’S THESIS

´ AUTOR PRACE

MICHAL NOWAK

AUTHOR

´ VEDOUCÍ PRACE SUPERVISOR

BRNO 2007

´ Mgr. MAREK RYCHLY

Abstrakt Práce se snaˇz´ı zmapovat strukturu s´ıtˇe stˇrednˇe velkého poskytovatel pˇripojen´ı k internetu v okol´ı Rous´ınova a zjistit poˇzadavky poskytovatele na funkˇcnost smˇerovaˇce. Pr´ ace pˇredevˇs´ım diskutuje zvolenou distribuci operaˇcn´ıho systému a v´ ybˇer sluˇzeb, pˇredevˇs´ım vzhledem k v´ ykonu poˇc´ıtaˇce, na kterém se implementuje softwarov´ y smˇerovaˇc a stabilitˇe dan´ ych sluˇzeb. Pro smˇerovaˇc je implementováno pˇripojen´ı k internetu skrz protokol IPv6, pˇresto lze pˇredpokládat, ˇze naprostá vˇetˇsina provozu p˚ ujde pˇres IPv4. Souˇcást´ı práce je jednoduch´ a autentizace klient˚ u spojená s blokac´ı tˇech neznám´ ych, ˇr´ızen´ı ˇs´ıˇrky pásma a pouˇzit´ı v´ıce WAN spojen´ı.

Kl´ıˇ cov´ a slova Linux, Debian, smˇerovaˇc, router, ISP, Rous´ınovsko.net, ˇr´ızen´ı ˇs´ıˇrky pásma, transparentn´ı SMTP/POP3/IMAP proxy

Abstract This Bachelor Thesis tries to investigate structure of a network of medium size Internet Service Provider in Rous´ınov and surroundings, as well as tries to study demands of ISP that belongs to router’s functionality. Thesis discuss mainly choosen distribution of the Linux operating system and used system services with regard to computer and system services performace and stability. Anyway an absolute majority of bandwidth will belong to IPv4 traffic, Router is IPv6 capable throught Tunnel Broker. Another components of thesis are basic authentication, blocking of unknown clients, traffic shaping and basics of theory about WAN interfaces bonding.

Keywords Linux, Debian, router, ISP, Rousinovsko.net, traffic shaping, transparent SMTP/POP3/IMAP proxy

Citace Michal Nowak: PC jako hraniˇcn´ı smˇerovaˇc poskytovatele sluˇzeb Internetu, bakaláˇrská práce, Brno, FIT VUT v Brnˇe, 2007

PC jako hraniˇ cn´ı smˇ erovaˇ c poskytovatele sluˇ zeb Internetu Prohl´ aˇ sen´ı Prohlaˇsuji, ˇze jsem tuto bakaláˇrskou práci vypracoval samostatnˇe pod veden´ım pana Mgr. Marka Rychlého ....................... Michal Nowak 13. kvˇetna 2007

Podˇ ekov´ an´ı Rád bych podˇekoval panu Ing. Martinu Molákovi, zástupci ISP Rous´ınovsko.net, za pomoc pˇri v´ ybˇeru vhodn´ ych sluˇzeb pro smˇerovaˇc a za pomoc pˇri nasazován´ı do testovac´ıho provozu.

c Michal Nowak, 2007.

Tato pr´ ace vznikla jako ˇskoln´ı d´ılo na Vysokém uˇcen´ı technickém v Brnˇe, Fakultˇe informaˇcn´ıch technologi´ı. Pr´ ace je chr´ anˇena autorským z´ akonem a jej´ı uˇzit´ı bez udˇelen´ı opr´ avnˇen´ı autorem je nez´ akonné, s výjimkou z´ akonem definovaných pˇr´ıpad˚ u.

Obsah ´ 1 Uvod

5

2 Souˇ casn´ y stav s´ıtˇ e, volba hardware a distribuce operaˇ cn´ıho syst´ emu 2.1 Souˇcasn´ y stav s´ıtˇe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 V´ ybˇer datového média . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Volba souborového systému . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Realizace snahy o minimáln´ı mnoˇzstv´ı zápis˚ u na médium . . . . . . . . 2.5 Diskuze: specializovaná vs. obecná distribuce . . . . . . . . . . . . . . . 2.5.1 V´ yhody z pohledu administrátora . . . . . . . . . . . . . . . . . 2.5.2 Nev´ yhody z pohled administrátora . . . . . . . . . . . . . . . . . 2.6 Volba distribuce operaˇcn´ıho systému . . . . . . . . . . . . . . . . . . . . 2.6.1 Fáze prvn´ı: Gentoo Linux . . . . . . . . . . . . . . . . . . . . . . 2.6.2 Fáze druhá: Debian GNU/Linux . . . . . . . . . . . . . . . . . . 2.6.3 Instalace operaˇcn´ıho systému . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

6 6 7 7 8 8 9 9 9 10 10 11 11

3 V´ ybˇ er a nastaven´ı sluˇ zeb 3.1 PAT - Port Address Translation . . . . . . . . . . . . . . . . . . . . . 3.2 V´ ybˇer vhodn´ ych sluˇzeb . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 SSH server/klient . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Plánovaˇc u ´loh Cron . . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Syslog, zaznamenáván´ı chodu systému . . . . . . . . . . . . . 3.2.4 DNS cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.5 DHCP server . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.6 Transparentn´ı SMTP/POP3/IMAP proxy . . . . . . . . . . . 3.2.7 Antivirov´ y software . . . . . . . . . . . . . . . . . . . . . . . 3.2.8 Antispamov´ y software . . . . . . . . . . . . . . . . . . . . . . 3.2.9 Podpora IPv6 v operaˇcn´ım systému a pˇridˇelován´ı IPv6 adres 3.2.10 Web server pro nenadálé situace . . . . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

13 13 14 15 16 17 17 18 19 20 20 20 22

4 Autentizace klient˚ u, u ´ˇ ctov´ an´ı provozu a ˇ r´ızen´ı ˇ s´ıˇ rky p´ asma 4.1 Autentizace klient˚ u. . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Skript gen.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . . ´ ctován´ı provozu . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Uˇ 4.3.1 MRTG . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.2 Monitorován´ı systémov´ ych prostˇredk˚ u . . . . . . . . . . 4.3.3 Monitorován´ı provozu uˇzivatel˚ u s´ıtˇe . . . . . . . . . . . ˇ ızen´ı ˇs´ıˇrky pásma . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 R´

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

24 24 25 25 25 25 26 27

1

. . . . . . .

. . . . . . .

. . . . . . .

4.5

4.4.1 Volby ovlivˇ nuj´ıc´ı ˇs´ıˇrku pásma . . . . . . . . . . . . . . . . . 4.4.2 Znaˇckován´ı paket˚ u . . . . . . . . . . . . . . . . . . . . . . . 4.4.3 Dalˇs´ı metody ˇr´ızen´ı ˇs´ıˇrky pásma . . . . . . . . . . . . . . . ˇ ızen´ı ˇs´ıˇrky pásma na dle pouˇzitého aplikaˇcn´ıho protokolu . 4.4.4 R´ Vyuˇzit´ı v´ıce WAN spojen´ı – prevence v´ ypadku . . . . . . . . . . . 4.5.1 Parametry modulu bonding.ko . . . . . . . . . . . . . . . . 4.5.2 Praktické pouˇzit´ı . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

28 28 29 29 29 30 30

5 Z´ avˇ er

31

A Konfigurace dnscache

33

B Nastaven´ı sniˇ zuj´ıc´ı poˇ cet z´ apis˚ u na m´ edium B.1 Konfiguraˇcn´ı soubor /etc/fstab . . . . . . . . . . . . . . . . . . . . . . . . B.2 Skript /etc/init.d/copytoram . . . . . . . . . . . . . . . . . . . . . . . . . B.3 Skript /etc/init.d/writefromram . . . . . . . . . . . . . . . . . . . . . . .

34 34 34 35

C p3scan - kontrola email˚ u

36

D Popis skriptu gen.sh D.1 Funkce gen iptables rules . . . . . . . . . . . . . . . . . . . . . . . . . . D.2 Funkce gen tc rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D.3 Funkce gen dhcp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38 38 38 39

2

Zad´ an´ı PC jako hraniˇ cn´ı smˇ erovaˇ c poskytovatele sluˇ zeb Internetu PC as a Border Router of an Internet Service Provider Vedouc´ı: Rychl´ y Marek, Mgr., UIFS FIT VUT Oponent: Oˇcenáˇsek Pavel, Ing., UIFS FIT VUT Pˇ rihl´ aˇ sen: Nowak Michal Zad´ an´ı: 1. Seznamte se se strukturou poˇc´ıtaˇcové s´ıtˇe vybraného ISP a se SW a HW poˇzadavky na hraniˇcn´ı smˇerovaˇc pˇripojuj´ıc´ı s´ıt’ ISP do Internetu. 2. Zvolte vhodnou distribuci GNU/Linux a SW splˇ nuj´ıc´ı poˇzadované funkce. Zvaˇzte omezen´ı daná HW smˇerovaˇce a s´ıt´ı ISP a diskutujte zvolené prostˇredky. 3. Nastudujte problematiku a navrhnˇete ˇreˇsen´ı pro pˇridˇelován´ı a smˇerován´ı privátn´ıch i veˇrejn´ ych IPv4 adres a pro pˇridˇelován´ı IPv6 adres a pˇripojen´ı do IPv6 Internetu pomoc´ı IPv4. 4. Nastudujte problematiku a navrhnˇete ˇreˇsen´ı pro autentizaci klient˚ u, u ´ˇctován´ı provozu a ˇr´ızen´ı ˇs´ıˇrky pásma. 5. Seznamte se s problematikou vyuˇzit´ı v´ıce WAN rozhran´ı pro rozdˇelován´ı zátˇeˇze a prevenci v´ ypadku spojen´ı. Navrhnˇete ˇreˇsen´ı. 6. Realizujte smˇerovaˇc na PC. Implementujte ˇreˇsen´ı z bodu 3 a alespoˇ n ˇcásteˇcnˇe (napˇr. pro nemˇenné parametry) ˇreˇsen´ı z bodu 4. 7. Ovˇeˇrte ˇreˇsen´ı v testovac´ım provozu. Diskutujte v´ ysledky a navrhnˇete moˇzná vylepˇsen´ı. Kategorie: Poˇc´ıtaˇcové s´ıtˇe Operaˇ cn´ı syst´ em: GNU/Linux Literatura: • Hunt, Craig. Konfigurace a správa s´ıt´ı TCP/IP. Vyd. 1. Computer Press, Praha. 1997. • Bert Hubert. Linux Advanced Routing & Traffic Control HOWTO. [http://lartc.org/howto/] • Leonardo Balliache. Network Traffic Control Network Modeling. [http://www.opalsoft.net/qos/] Koment´ aˇ r: Práce vyˇzaduje kladn´ y vztah k operaˇcn´ımu systému GNU/Linux a základn´ı znalost poˇc´ıtaˇcov´ ych s´ıt´ı. Konzultantem práce bude zástupce stˇrednˇe velkého ISP se s´ıdlem v Rous´ınovˇe (preferuje se elektronická komunikace). Po domluvˇe bude studentovi zap˚ ujˇcen HW pro implementaci, vˇcetnˇe vysokorychlostn´ıho pˇripojen´ı v m´ıstˇe p˚ usobnosti ISP (pokud bude potˇreba). Moˇznost odmˇeny v pˇr´ıpadˇe kvalitnˇe odvedené práce s praktick´ ym uplatnˇen´ım. 3

Licence Licenˇcn´ı smlouva je uloˇzena v archivu Fakulty informaˇcn´ıch technologi´ı Vysokého uˇcen´ı technického v Brnˇe.

4

Kapitola 1

´ Uvod Smyslem této bakaláˇrské práce je vytvoˇrit smˇerovaˇc pro stˇrednˇe velkého poskytovatele pˇripojen´ı k internetu (ISP) obˇcanské sdruˇzen´ı Rous´ınovsko.net. Smˇerovaˇc souˇcasn´ y nedosahuje v´ ykonu, kter´ y si nar˚ ustaj´ıc´ı poˇcet uˇzivatel˚ u ˇzádá a neobsahuje sluˇzby, které by zajistili uˇzivatel˚ um vˇetˇs´ı bezpeˇc´ı pˇri spojen´ı s internetem. Návrh smˇerovaˇce byl konzultov´ an se zástupcem ISP a je vytváˇren na základˇe jeho pˇredstav o vylepˇsen´ı této ˇcásti s´ıt’ové infrastruktury s d˚ urazem na dostupnost, minimáln´ı potˇrebu správy a co nejˇsirˇs´ı uplatnˇen´ı svobodného a otevˇreného softwaru. V prvn´ı ˇcásti práce se zaob´ırám pˇredevˇs´ım v´ ybˇerem vhodné distribuce operaˇcn´ıho systému a hardware, naˇcrtávám strukturu s´ıtˇe. Diskutuji zvolenou distribuci a porovnáv´ am jej´ı vhodnost pro pouˇzit´ı na smˇerovaˇci vzhledem k jin´ ym obecn´ ym distribuc´ım a specializovan´ ym distribuc´ım. Jednou ze stˇeˇzejn´ıch ˇcást´ı celé práce je sekce “Realizace snahy o minimáln´ı mnoˇzstv´ı zápis˚ u na médium”, ve které se snaˇz´ım nalézt teoretická i praktick´ a v´ ychodiska pro eliminaci zápis˚ u na datové médium, které jsem pro smˇerovaˇc zvolit, a to USB flash disk tvoˇren´ y z logick´ ych obvod˚ u typu NAND. Ve druhé ˇcásti popisuji pˇredevˇs´ım zvolené sluˇzby. Popisuji vybrané implementace a porovnávám je s jejich moˇzn´ ymi náhradami. Nˇekterá zvolená v´ ychodiska m˚ uˇzou b´ yt kontroverzn´ı a vˇeˇr´ım, ˇze mnoz´ı administrátoˇri produkˇcn´ıch systém˚ u by se mnou nesouhlasili, konkrétnˇe mluv´ım o sekci “DNS cache”, kde rozeb´ırám, mimo jiné, konflikt mezi filosofi´ı djbdns a BIND jakoˇzto nejpouˇz´ıvanˇejˇs´ıch DNS a DNS cache server˚ u. Tˇret´ı ˇcást je vˇenována pˇredevˇs´ım autentizaci klient˚ u, ˇr´ızen´ı ˇs´ıˇrky pásma a u ´ˇctov´ an´ı provozu. Autentizace prob´ıhá na u ´rovni MAC adres a IP adres, pokud se snaˇz´ı do internetu pˇristoupit nˇekdo, jehoˇz dvojice MAC:IP adresa nen´ı registrována, pˇr´ıstup je mu odepˇren. ´ ctován´ı provozu je realizováno pomoc´ı MRTG a statistiky uˇzivatel˚ Uˇ u jsou dostupné na web ˇ serveru, kter´ y je spuˇstˇen na smˇerovaˇci. S´ıˇrka pásma je vˇsem klient˚ um poskytována stejn´ a. V posledn´ı kapitole se snaˇz´ım zhodnotit sv˚ uj osobn´ı pˇr´ınos pro realizaci smˇerovaˇce, zhodnotit dalˇs´ı v´ yvoj jak smˇerovaˇce tak i celé s´ıtˇe a navrhnout zlepˇsen´ı a shrnout, co mi práce na bakaláˇrské práci dala.

5

Kapitola 2

Souˇ casn´ y stav s´ıtˇ e, volba hardware a distribuce operaˇ cn´ıho syst´ emu 2.1

Souˇ casn´ y stav s´ıtˇ e

Rous´ınovsko.net je stˇrednˇe velk´ y poskytovatel internetového pˇripojen´ı v Rous´ınovˇe a pˇrilehl´ ych obc´ıch; expanze postupuje tak, jak dovoluj´ı finanˇcn´ı prostˇredky a jiné promˇenné vlivy. V souˇcasné dobˇe jsou zahrnuty tyto obce [36] • Rous´ınov, • Habrovany, • Veleˇsovice, • V´ıtkovice, • Koválovice a • Komoˇrany. Pokryta jsou pˇredevˇs´ım nejhustˇeji obydlená m´ısta a d˚ uleˇzité veˇrejné prostory, jako napˇr´ıklad námˇest´ı. S´ıt’ je zaloˇzena na technologii IEEE 802.11g [35], známé téˇz jako Wi-Fi, neboli bezdrátové pˇripojen´ı. V s´ıti jsou rozm´ıstˇeny pˇr´ıstupové body a zákazn´ık se pˇripojuje k nejbliˇzˇs´ımu z nich, na kter´ y má pˇr´ımou viditelnost. Vzdálenost mezi klientem a pˇr´ıstupov´ ym bodem je mezi 500-800 metr˚ u. Samotné spojen´ı je realizováno anténou spojenou koaxiáln´ım kabelem s PCI kartou v poˇc´ıtaˇci. Jako pˇr´ıstupové body se pouˇz´ıvaj´ı pˇredevˇs´ım: Ovislink WL5460, USRobotics USR5450, Ovislink 1120 a m´ısty i jiné typy. Pouˇzité pˇrep´ınaˇce: Edimax, Ovislink a TP-link. K zabezpeˇcen´ı se pouˇz´ıvá vˇetˇsinou WEP, ˇctyˇri pˇr´ıstupové body podporuj´ı WPA, ale jenom softwarové, hardwarové neum´ı. Celkov´ y poˇcet uˇzivatel˚ u je 300, ale toto ˇc´ıslo se mˇen´ı s pˇripojován´ım dalˇs´ıch obc´ı do s´ıtˇe a reprezentuje sp´ıˇse poˇcet pˇripojen´ ych domácnost´ı. Pˇripojen´ı do vnˇejˇs´ıho internetu je realizováno spojem na 10 GHz pˇri ˇs´ıˇrce pásma 10/10 ˇ odezvy ICMP paketu (round trip time) pˇres program ping z uˇzivatelské stanice MBit/s. Cas na smˇerovaˇc poskytovatele pˇripojen´ı je asi 20 ms z toho tˇri ˇctvrtiny tvoˇr´ı latence uvnitˇr s´ıtˇe.

6

Obrázek 2.1: Schéma s´ıtˇe Rous´ınovsko.net

2.2

Hardware

Souˇcasn´ ym smˇerovaˇcem je PC s procesorem AMD Sempron 2600+ (1,4 GHz, 64-bitov´ a ’ ’ varianta), operaˇcn´ı pamˇet 256 MB DDR RAM, s´ıt ové karty firmy RealTek. Protoˇze nen´ı u ´plnˇe jednoduché implementovat smˇerovaˇc na smˇerovaˇci jiˇz bˇeˇz´ıc´ım, dostal jsem starˇs´ı osobn´ı poˇc´ıtaˇc, kter´ y dˇr´ıve slouˇzil jako hern´ı stanice. Jeho souˇcasná konfigurace je následuj´ıc´ı • AMD Athlon XP 3200+ (2,2 GHz, 32-bitová varianta), • operaˇcn´ı pamˇet’ 768 MB RAM, • s´ıt’ové karty RealTek a nvidia. M´ısto karet RealTek RTL8139 jsem mˇel moˇznost zvolit karty 3COM, ale vybral jsem je, protoˇze ovladaˇce pro RealTek jsou v jádˇre velmi dlouhou dobu, firma sama k nim dod´ av´ a technickou dokumentaci, pˇr´ıpadnˇe plat´ı v´ yvoj otevˇren´ ych ovladaˇc˚ u a v neposledn´ı ˇradˇe tyto karty/ˇcipy vyráb´ı v milionov´ ych nákladech, a proto vˇeˇr´ım v jejich odladˇenost [45], pˇrestoˇze na jejich adresu jsou i negativn´ı kritiky, které ˇr´ıkaj´ı, ˇze i kdyˇz ˇcipová sada 8139 podporuje bus-master DMA, má tak ˇspatnˇe udˇelané rozhran´ı, ˇze vˇsechen v´ ykonnostn´ı zisk plynouc´ı z DMA je t´ımto ztracen [48].

2.2.1

V´ ybˇ er datov´ eho m´ edia

Jako datové médium jsem pouˇzil 4 GB USB 2.0 flash disk. Poˇc´ıtaˇc sice disponoval pevn´ ym diskem, ale ten jsem zavrhl, protoˇze obsahuje mechanicky se pohybuj´ıc´ı ˇcásti a ty nemaj´ı tak dlouhou ˇzivotnost jako napˇr´ıklad flash disky, compact flash karty a jiná nerotuj´ıc´ı nevolatiln´ı média. Za nev´ yhodou flash disk˚ u povaˇzuji to, ˇze m˚ uˇzou b´ yt snadno zniˇceny mechanick´ ym zásahem, napˇr´ıklad neopatrnou manipulac´ı vyrvány z USB portu, pˇr´ıpadnˇe zniˇceny elektrick´ ym proudem, kter´ y by mohl vzniknout u neznaˇckového poˇc´ıtaˇce. Relativn´ı nev´ yhodou je také maximáln´ı poˇcet zápis˚ u do jednoho bloku - tato hodnota se u bˇeˇznˇe prodávan´ ych model˚ u pohybuje ve stovkách tis´ıc˚ u pr˚ upis˚ u [47]. Vˇetˇsinˇe sluˇzeb bˇeˇz´ıc´ıch na pozad´ı by trvalo 7

des´ıtky let, neˇz by blok zniˇcila (v této chv´ıli pˇredpokládám, ˇze je pouˇzit souborov´ y systém, kter´ y nepouˇz´ıvá rozprostˇren´ y zápis a zápis prob´ıhá do stejn´ ych blok˚ u), avˇsak nˇekter´ ym, jako napˇr´ıklad syslogu, by to mohlo trvat pár dn´ı.

2.3

Volba souborov´ eho syst´ emu

Pravdˇepodobnˇe nejvhodnˇejˇs´ım souborov´ ym systémem na flash médium je JFFS2 [20], které nepouˇz´ıvá, tak jako starˇs´ı, souborové systémy na flash disky, pˇrekladovou vrstvu na flash disku k emulaci funkce pevného disku, ale umist’uje souborov´ y systém pˇr´ımo na ˇcip. Na rozd´ıl od JFFS, které podporovalo pouze NOR flash pamˇeti, JFFS2 podporuje i NAND flash disky, které maj´ı pouze sekvenˇcn´ı V/V rozhran´ı a nemohou b´ yt mapovány do pamˇeti [4]. Souborov´ y systém podporuje kompresi tˇremi algoritmy: zlib, rubin a rtime a obsahuje Garbage Collector, kter´ y nahrazuje kruhov´ y záznam v JFFS. I kdyˇz je JFFS2 dobr´ ym kandidátem na vyuˇzit´ı ve smˇerovaˇci má nˇekteré nev´ yhody, které rozhodly v jeho neprospˇech. Nev´ yhodou rodiny JFFS souborov´ ych systému je nutnost kontroly vˇsech uzl˚ u v dobˇe pˇripojen´ı souborového systému, coˇz je by byl u 4GB flash disku velk´ y ˇcasov´ y problém [21]. Jako váˇzn´ y problém pˇri nasazen´ı JFFS2 se ukázala neexistence uˇzivatelské dokumentace, která by popisovala filosofii vytváˇren´ı a provozu souborového systému v praxi. Druhou volbou byl systém ReiserFS, kter´ y mám na desktopu, ale ten se ukázal nepouˇziteln´ y. Z neznámého d˚ uvodu na nˇem zápis trval ne´ umˇernˇe dlouhou dobu. Nakonec byl vyuˇzit léty provˇeˇren´ y souborov´ y systém ext3 s vypnut´ ym noatime [19], které zaruˇc´ı, ˇze se nebudou aktualizovat pˇr´ıstupové ˇcasy k uzl˚ um typu i (inode), coˇz zajist´ı rychlejˇs´ı pˇr´ıstup k médiu a také jeho delˇs´ı ˇzivotnost.

2.4

Realizace snahy o minim´ aln´ı mnoˇ zstv´ı z´ apis˚ u na m´ edium

Protoˇze jsem se rozhodl pouˇz´ıt “klasick´ y” souborov´ y systém a ne takov´ y, kter´ y pro zápis pouˇz´ıvá cel´ y prostor média, mus´ım zajistit, aby se na flash disk zapisovalo co nejménˇe. D´ıky dobré koncepci adresáˇrové struktury v Debianu, jsou soubory, do kter´ ych se zapisuje bez pˇriˇcinˇen´ı uˇzivatele, v adresáˇri /var. Koˇrenov´ y adresáˇr je uloˇzen na svazku, kter´ y je pˇripojen pouze pro ˇcten´ı; adresáˇri /rw/var je pˇripojen jako tmpfs, tedy je alokován do pamˇeti (jeho velikost je omezena pouze velikost´ı virtuáln´ı pamˇeti), do tohoto adresáˇre je pˇri startu operaˇcn´ıho systému skriptem /etc/init.d/copytoram nakop´ırován obsah /var, ten je tak v pamˇeti a poté je pˇr´ıkazem mount --bind /rw/var /var pˇripojen pˇres “fyzicky” /var. Vˇsechny zápisy poté prob´ıhaj´ı do pamˇeti. Pˇri ukonˇcován´ı bˇehu operaˇcn´ıho systému se spust´ı skript /etc/init.d/writefromram a ten zajist´ı zpˇetné pˇrekop´ırován´ı zmˇenˇen´ ych soubor˚ u zpátky na disk a odpoj´ı nepouˇz´ıvané svazky v pamˇeti. Tyto jednoduché skripty jsou souˇcást´ı dodatku B. Tato operace se ukazuje nˇekdy jako ˇcasovˇe nároˇcná, trvá aˇz 15 minut, ale nepˇredpoklád´ a se, ˇze by restart systému byl pˇr´ıliˇs ˇcast´ y, proto m˚ uˇzeme tuto nedokonalost povaˇzovat za nepˇr´ıliˇs závaˇznou. Druhou vlastnost´ı toho systému naˇc´ıtán´ı cel´ ych adresáˇrov´ ych struktur do operaˇcn´ı pamˇeti je to, ˇze pˇri v´ ypadku elektrického napájen´ı budou tato data ztracena, a protoˇze bˇeh systému bez restartu, a tedy i bez uloˇzen´ı zmˇenˇen´ ych dat, lze poˇc´ıtat na mˇes´ıce, m˚ uˇzeme po opˇetovném nastartován´ı poˇc´ıtaˇce dostat ˇcásteˇcnˇe neaktuáln´ı systém. Pravdˇepodobnˇe t´ım nejd˚ uleˇzitˇejˇs´ım, co by se mohlo ztratit, jsou emaily nedoruˇcené uˇzivatel˚ um,

8

nastaven´ı DNS cache a záznamy, které jsou sice v adresáˇri /var/log, ale nedostaly se tam skrz syslog daemona.

2.5

Diskuze: specializovan´ a vs. obecn´ a distribuce

Na stávaj´ıc´ım smˇerovaˇci je “disketová” distribuce floppyFw verze 2.99.4 obsahuj´ıc´ı jádro 2.4.29, zkompilované gcc-3.4.3, iptables a HTB v3 k ˇr´ızen´ı ˇs´ıˇrky pásma.

2.5.1

V´ yhody z pohledu administr´ atora

Za v´ yhodou toho ˇreˇsen´ı povaˇzuji snadnost jeho pouˇzit´ı pro danou situaci, tedy vytvoˇren´ı samostatnˇe stoj´ıc´ıho smˇerovaˇce internetového provozu, minimáln´ı nároky na administrátora a sn´ıˇzen´ı nárok˚ u na systémové zdroje, protoˇze distribuce obsahuje pouze software nutn´ y k bˇehu smˇerovaˇce a nic nav´ıc. Dalˇs´ı zástupci v´ yvojového smˇeru specializovan´ ych distribuc´ı [46] jsou • na operaˇ cn´ım syst´ emu Linux – Shurdix, ClarkConnect, Coyote Linux, Voyage Linux • a na operaˇ cn´ım syst´ emu FreeBSD – m0n0wall (FreeBSD 4.11)

2.5.2

Nev´ yhody z pohled administr´ atora

V´ ykon Podstatnou nev´ yhodou pro rozr˚ ustaj´ıc´ı se s´ıt’ je samotná koncepce této mini distribuce. Minimalismus se objevuje na vˇsech vrstvách. Jádro verze 2.4 je menˇs´ı neˇz obdobné jádro verze 2.6 [23], systémové nástroje jsou kompilovány oproti oproti uClibc, coˇz jde v duchu distribuce, poskytovat nástroje s minimáln´ımi pamˇet’ov´ ymi nároky, ale za cenu ztráty v´ ykonu [38]. Naproti tomu to, ˇze sestavován´ı prob´ıhalo kompilátorem gcc-3.4.3 bylo uˇz v minulosti povaˇzováno za v´ yhodu. Koncem roku 2004 povaˇzovali v´ yvojáˇri Linuxového jádra gcc verze 2.95 lepˇs´ı co do rychlosti kompilace i produkovaného kódu neˇz gcc verze 3.2 a pˇredverze ˇrady 4.0 [1]. Lze ale nam´ıtnout, ˇze modernˇejˇs´ı specializované distribuce obsahuj´ı ˇcasto stejn´ y software jako distribuce obecné a nav´ıc nab´ızej´ı onu zm´ınˇenou minimalistiˇcnost. S t´ımto se vyrovnávaj´ı následuj´ıc´ı dva argumenty o rozˇsiˇritelnosti a bezpeˇcnosti. Rozˇ siˇ ritelnost Takovouto samostatnˇe stoj´ıc´ı (standalone) distribuci, je mnohem tˇeˇzˇs´ı rozˇs´ıˇrit o programové vybaven´ı, které nen´ı jej´ı integráln´ı souˇcást´ı, neˇz distribuci obecnou jako napˇr´ıklad Gentoo, Debian nebo CentOS. Pˇridán´ı nového programu, kter´ y tv˚ urci distribuce nepovaˇzovali za potˇrebn´ y, m˚ uˇze b´ yt sloˇzité, ˇci pˇr´ımo nemoˇzné v pˇr´ıpadˇe distribuc´ı na médiu pouze pro ˇcten´ı. Podobné problémy nastávaj´ı i u uchováván´ı konfigurace, která se mus´ı ukládat na jiném médiu. Bezpeˇ cnost Za velice odváˇzné, avˇsak z dlouhodobé perspektivy nerozumné povaˇzuji zvolen´ı distribuce, o kterou se stará jednotlivec, pˇr´ıpadnˇe malá skupina v´ yvojáˇr˚ u, ve svém volném ˇcase a 9

zadarmo. Pokud se nalezne bezpeˇcnostn´ı chyba v jádˇre nebo sluˇzbˇe, je správce systému ˇcasto odkázán na svého distributora, aˇz uveˇrejn´ı opravenou verzi. U velk´ ych komunitn´ıch distribuc´ı je reakˇcn´ı doba v ˇrádu dn˚ u; pokud administrátor systému nesleduje obdobu bezpeˇcnostn´ı hláˇsen´ı CERT ve své distribuci (DSA – Debian Security Advisories [5], GLSA – Gentoo Linux Security Advisories [15], . . . ), dozv´ı se o chybˇe i jej´ı opravˇe ve chv´ıli, kdy se pokus´ı aktualizovat systém. A podle mého názoru nen´ı d˚ uvod takovéto aktualizace nedˇelat kaˇzd´ y den. Jak by ale administrátor mˇel vyˇreˇsit ten sam´ y problém pˇri pouˇzit´ı mini distribuce, kdyˇz jej´ı správce je doˇcasnˇe nedostupn´ y, pˇr´ıpadnˇe pˇrestal jevit o své d´ılo zájem? Odpovˇed’ je nasnadˇe: bude muset pˇrej´ıt na jinou distribuci, nebo ponechat systém svému osudu a doufat, ˇze je pro u ´toˇcn´ıka nezaj´ımav´ y. Je zˇrejmé, ˇze tento pˇr´ıstup je nezodpovˇedn´ y a od˚ uvodniteln´ y snad jen v domác´ım prostˇred´ı. Naˇstˇest´ı u nˇekter´ ych v´ yˇse zm´ınˇen´ ych specializovan´ ych distribuc´ı lze z´ıskat placenou podporu.

2.6

Volba distribuce operaˇ cn´ıho syst´ emu

Z argument˚ u v´ yˇse uveden´ ych vypl´ yvá, ˇze inklinuji k pouˇzit´ı obecné distribuce a k jej´ı následné specializaci.

2.6.1

F´ aze prvn´ı: Gentoo Linux

Protoˇze na desktopu mám nainstalovan´ y Gentoo Linux, coˇz je meta distribuce zaloˇzená na kompilován´ı aplikac´ı podle dan´ ych pˇredpis˚ u [13], a jsem s jeho správou i v´ ykonem spokojen, byl pro mˇe intuitivn´ı volbou. Od poskytovatele pˇripojen´ı byl do budoucna pˇrisl´ıben´ y poˇc´ıtaˇc, kter´ y v té chv´ıli fungoval jako smˇerovaˇc. Protoˇze jsem poˇc´ıtaˇc nemˇel fyzicky, moje pracovn´ı stanice je 32-bitová a sl´ıben´ y poˇc´ıtaˇc 64-bitov´ y, a nemˇel jsem zkuˇsenosti s instalac´ı a provozem Gentoo na 64-bitové platformnˇe, zkouˇsel jsem pokusné instalace vytváˇret v emulaˇcn´ım softwaru Qemu s pˇredpoklady, ˇze • instalace ve virtuáln´ım stroji bude posléze pˇrenesena na stroj fyzick´ y, • programy nutné pro správu systému, pˇred dodán´ım PC, budu cross-kompilovat [12]na stanici a následnˇe pˇrenáˇset do virtuáln´ıho stroje, • v reálném provozu by nemuselo b´ yt moˇzné instalovat - tedy kompilovat - programy, proto by k tomu byl pouˇz´ıt jin´ y poˇc´ıtaˇc. Dva z v´ yˇse uveden´ ych pˇredpoklad˚ u se vˇsak nepodaˇrilo naplnit. Ne vˇsechny programy bylo moˇzné cross-kompilovat (napˇr´ıklad vim [40]) a do virtuáln´ıho stroje se musely pˇrenést jejich 32-bitové varianty, ˇc´ımˇz se ztrácel moˇzn´ y v´ ykonnostn´ı zisk vzhledem k 32-bitové platformˇe. Samotná kompilace ve virtuáln´ım stroji je velice pomalá. Dalˇs´ım nenaplnˇen´ ym pˇredpokladem byla existence druhého poˇc´ıtaˇce, kter´ y by poskytoval v´ ypoˇcetn´ı v´ ykon nutn´ y pˇri instalaci softwaru. Poˇc´ıtaˇc sice existuje, ale je na nˇem nainstalován operaˇcn´ı systém neunixového typu a jeho pouˇzit´ı by vˇse dále ztˇeˇzovalo. Z komplikac´ı, které se pˇri pokusu o um´ıstˇen´ı Gentoo Linuxu objevily , se zdá pouˇzit´ı této distribuce nevhodné pro pouˇzit´ı na smˇerovaˇci, pro kter´ y nen´ı dostupná kompilovac´ı farma, která by odst´ınila explicitn´ı nároky distribuce zaloˇzené na kompilován´ı ze zdrojov´ ych kód˚ u. Dalˇs´ım d˚ uvodem pro nenasazen´ı Gentoo Linuxu v prostˇred´ı, kde pravdˇepodobnˇe nebude vˇzdy pˇr´ıtomen administrátor je to, ˇze v této distribuci nen´ı dostupná v´ yvojové vˇetev, kter´ a 10

by se dala oznaˇcit za stabiln´ı. Stabiln´ı v tom smyslu, ˇze pokud se objev´ı chyba v nainstalovaném programu, tak se ta chyba oprav´ı ve verzi programu, která je nainstalována. V Gentoo to ˇcasto funguje tak, ˇze pokud chce administrátor odstranit bezpeˇcnostn´ı chybu, tak mus´ı nainstalovat nejnovˇejˇs´ı verzi programu, coˇz m˚ uˇze pˇrinést komplikace, co se t´ yˇce zmˇeny konfiguraˇcn´ıch soubor˚ u, nutnosti aktualizován´ı i jin´ ych aplikac´ı a podobnˇe. Ale tento d˚ uvod jsem si uvˇedomil aˇz dávno poté, co byl nainstalován Debina GNU/Linux.

2.6.2

F´ aze druh´ a: Debian GNU/Linux

Debian Linux je distribuce sloˇzená pˇredevˇs´ım ze svobodného a otevˇreného softwaru [6] dostupná pro ˇsiroké spektrum platforem. Vyznaˇcuje se stabilitou systému, minimáln´ımi zmˇenami v pr˚ ubˇehu ˇzivotn´ıho cyklu a ˇsirokou komunitou. Debian se vyskytuje v nˇekolika verz´ıch, v dobˇe psan´ı této práce jsou to tyto [41] • old stable – pˇredchoz´ı stabiln´ı – Debian 3.1 Sarge, • stable – souˇcasná stabiln´ı – Debian 4.0 Etch, • testing – testovac´ı/budouc´ı stabiln´ı – Debian Lenny, • unstable – nestabiln´ı – Debian Sid (nestabiln´ı verze se vˇzdy jmenuje Sid). Verze Debianu jsou pojmenovávány podle postaviˇcek z filmu Toy Story (ˇcesky: Pˇr´ıbˇeh hraˇcek) [42]. Sid (nestabiln´ı verze) je pojmenován podle emocionálnˇe labiln´ıho chlapce, kter´ y pravidelnˇe niˇcil hraˇcky. Uˇz v dobˇe vydán´ı (2005) byl Debianu Sarge povaˇzován za zastaral´ y, co se t´ yˇce softwarové v´ ybavy, a ˇcasto se nedal nainstalovat na tehdejˇs´ı hardware. Dá se ˇr´ıct, ˇze to Debianu dost uˇskodilo, co se mediáln´ıho obrazu t´ yˇce, a pˇredevˇs´ım ti, kteˇr´ı pˇreˇsli k Ubuntu, nad n´ım lámali h˚ ul. Pˇresto byla tato verze stabiln´ı, a to, podle mého názoru, je d˚ uvod, proˇc si administrátoˇri Debian vyb´ıraj´ı. Debian s kódov´ ym oznaˇcen´ım Etch, kter´ y byl plánov´ an na prosinec 2006, a vyˇsel se zpoˇzdˇen´ım 8. dubna 2007, tato stigmata pˇrekonává a v nˇem obsaˇzen´ y software je mnohdy aktuálnˇejˇs´ı neˇz ten v Gentoo Linuxu, a pˇresto je stabiln´ı a jde bez problému nainstalovat i na modern´ı hardware. Debian je dle mého názoru nejvhodnˇejˇs´ı distribuc´ı k implementaci smˇerovaˇce na operaˇcn´ım systému Linux.

2.6.3

Instalace operaˇ cn´ıho syst´ emu

O instalaci Debianu koluje zvˇest, ˇze se dá provést pomoc´ı pˇeti u ´der˚ u do klávesy Enter. V mém pˇr´ıpadˇe byla o nˇeco sloˇzitˇejˇs´ı. K instalaci jsem se snaˇzil ze zaˇcátku pouˇz´ıt tzv. netinstall ISO obraz, vedla mˇe k tomu snaha o co nejaktuálnˇejˇs´ı systém hned po instalaci, ale protoˇze m˚ uj poskytovatel pˇripojen´ı k internetu nepˇridˇeluje IP adresu neznámé MAC adrese a softwarová zmˇena této adresy se mi v pˇr´ıkazovém shellu, kter´ y je souˇcást´ı instalátoru Debianu, busyboxu, z neznámého d˚ uvodu nepodaˇrila, pouˇzil jsem k instalaci prvn´ı CD ze sady instalaˇcn´ıch disk˚ u. Tento ISO obraz obsahuje vˇse, co je tˇreba k základn´ı instalaci systému, kterou jsem zvolil. Po instalaci je systém tvoˇren jen t´ım, co je nutné pro elementárn´ı funkˇcnost, zbytek bude nainstalov´ an oddˇelenˇe. Po instalaci stále jeˇstˇe testovac´ı verze je nutné systém co nejdˇr´ıve aktualizovat; protoˇze jsem poˇrád nemˇel pˇripojen´ı k internetu, “zmˇenil” jsem pomoc´ı programu ip z bal´ıku program˚ u iproute (známého také jako iproute2) MAC adresu s´ıt’ové karty,

11

ip link set eth0 address 00:0a:e4:53:92:61 poˇzádal DHCP server o pˇridˇelen´ı IP adresy, /etc/init.d/networking restart a pomoc´ı aptitude update && aptitude -VD dist-upgrade pov´ yˇsil aplikace na opravené verze. Nˇekteré programy byly nahrazeny verzemi novˇejˇs´ımi, protoˇze kdyˇz jsem systém instaloval, Debian Etch byl jeˇstˇe testovac´ı verz´ı, takové zmˇeny jsou v n´ı pˇr´ıpustné.

12

Kapitola 3

V´ ybˇ er a nastaven´ı sluˇ zeb 3.1

PAT - Port Address Translation

Poskytovatel pˇripojen´ı k internetu Rous´ınovsko.net nemá pˇridˇeleno dostatek veˇrejn´ ych IPv4 adres, proto je k pˇripojen´ı tˇr´ı stovek klientsk´ ych poˇc´ıtaˇc˚ u nutné spustit pˇreklad adres a port˚ u (PAT) - oficiálnˇe oznaˇcovan´ y jako symetrick´ y NAT a v Linuxové komunitˇe jako “maˇskaráda” (MASQUERADE). Pˇreklad bude provádˇen technikou Full cone NAT - v textu dále naz´ yvanou jako PAT - definovanou v RFC 3489 [33]. Tento dokument definuje ˇctyˇri typy NAT a to: “Full cone NAT”, “restricted cone NAT”, “port restricted cone NAT” a “symmetric NAT”. Toto rozdˇelen´ı je ale diskutabiln´ı. Bylo definováno v dobˇe, kdy existovalo nˇekolik implementaci NAT/PAT, které se v r˚ uzn´ ych ohledech liˇsily a tato standardizace nezp˚ usobila, ˇze by se k sobˇe pˇribl´ıˇzily. Druh´ ym d˚ uvodem je, ˇze toto vymezen´ı vzniklo, aˇz pˇri pˇr´ıpravˇe protokolu STUN, kter´ y mˇel umoˇznit zjiˇstˇen´ı existence a typu NATu a firewall˚ u mezi aplikac´ı a internetem. Dá se pˇredpokládat, ˇze dodavatelé s´ıt’ového infrastruktury, kteˇr´ı nepodporuj´ı STUN, ani neparticipuj´ı na IETF toto rozdˇelen´ı NAT˚ u nedodrˇzuj´ı. PAT u ´zce souvis´ı s NAT. NAT - Network Address Translation - definuje statické nebo dynamické pˇrekládán´ı vnitˇrn´ıch adres v s´ıti na adresy vnˇejˇs´ı, které maj´ı pˇr´ıstup dále do jiné ˇcásti s´ıtˇe nebo do internetu. Pro pˇr´ıklad na vnitˇrn´ım rozhran´ı je s´ıt’ 192.168.1.0/24 a na vnˇejˇs´ım 10.10.10.0/8 ; pokud paket smˇeˇruje z vnitˇrn´ı s´ıtˇe ven, zmˇen´ı se zdrojová adresa v hlaviˇcce paketu z 192.168.1.X na 10.10.10.Y . Pokud c´ılové zaˇr´ızen´ı zachyt´ı tento paket, odpov´ı na adresu 10.10.10.Y, paket pˇrijde na smˇerovaˇc, kter´ y provedl pˇreklad, a ten podle NAT tabulky distribuuje paket dál do vnitˇrn´ı s´ıtˇe. Nikdo kromˇe smˇerovaˇce, nev´ı, kdo je ve skuteˇcnosti odesilatelem dat – je to moˇzné brát jako jistou formu zt´ıˇzen´ı práce u ´toˇcn´ıkovi, ale v ˇzádném pˇr´ıpadˇe ne jako bezpeˇcnostn´ı (security) záleˇzitost, ˇci ochranu pˇred u ´tokem [3]. NAT v naˇsem pˇr´ıpadˇe lze pouˇz´ıt pouze v pˇr´ıpadˇe, ˇze máme dostatek veˇrejn´ ych IP adres, na která je tˇreba ty neveˇrejné pˇrekládat, coˇz nemáme. PAT funguje stejnˇe jako NAT a nav´ıc pˇrekládá porty. Poˇc´ıtaˇc z lokáln´ı s´ıtˇe odes´ılá paket, se svou zdrojovou adresou a portem, kter´ y pˇrijde na smˇerovaˇc, ten pˇriˇrad´ı novˇe vzniklému spojen´ı ˇc´ıslo portu z mnoˇziny dostupn´ ych port˚ u a vloˇz´ı tento port do pole zdrojov´ a adresa hlaviˇcky paketu. Smˇerovaˇc poté odeˇsle paket na v´ ystupn´ı rozhran´ı. Smˇerovaˇc si vytvoˇr´ı záznam v pˇrekladové tabulce, kter´ y obsahuje • vnitˇrn´ı IP adresu, • vnitˇrn´ı zdrojov´ y port a 13

• vnˇejˇs´ı port. N´ asleduj´ıc´ı pakety ve spojen´ı jsou uˇz pˇriˇrazovány k tomuto záznamu. Vzdálen´ y poˇc´ıtaˇc vloˇz´ı zdrojovou adresu a port do pol´ı v hlaviˇcce pro c´ılovou adresu a c´ılov´ y port. Smˇerovaˇc v lokáln´ı s´ıti uˇz zajist´ı pˇreklad hlaviˇcky na u ´daje dále identifikuj´ıc´ı cestu ke klientovi. PAT: v´ yhody 1. Dovoluje pˇripojován´ı zaˇr´ızen´ı k internetu, i kdyˇz celosvˇetovˇe docház´ı k nedostatku voln´ ych veˇrejn´ ych IPv4 adres [43]. 2. Klienti ve vnitˇrn´ı s´ıti jsou jist´ ym zp˚ usobem “chránˇeni”, protoˇze jejich IP adresa je skryta. Existuje menˇs´ı nebezpeˇc´ı pˇr´ım´ ych u ´tok˚ u. PAT: nev´ yhody 1. Se zaˇr´ızen´ım za pˇrekladem port˚ u nen´ı moˇzné vytvoˇrit pˇr´ımé spojen´ı, které je nutné napˇr´ıklad pro FTP, SIP, H.323. Mus´ı se pouˇz´ıt tzv. connection tracking moduly v jádˇre [44]. 2. Protokol UDP lze protunelovat za PAT pomoc´ı protokolu STUN (aplikace chownat), ale to nen´ı moˇzné u nejˇcastˇeji pouˇz´ıvaného symetrického NAT/PAT. 3. PAT poruˇsuje pravidlo, na kterém je postaven internet: Kaˇzdé zaˇr´ızen´ı má moˇznost se spojit s jak´ ymkoliv jin´ ym zaˇr´ızen´ım. 4. PAT, a NAT obecnˇe, nefunguje s IPSec, protoˇze NAT modifikuje hlaviˇcku, coˇz nejde dohromady s kontrolami provádˇen´ ymi IPSecem. Jiné tunelovac´ı protokoly se pot´ ykaj´ı s podobn´ ym problémem. 5. PAT zpomaluje nástup IPv6, protoˇze z pohledu uˇzivatele internetu (tedy pˇredevˇs´ım webu) jej pˇripojen´ı skrz PAT neomezuje, a na druhou stranu internet nové generace nenab´ız´ı nic, co by v IPv4 internetu nebylo. Implementace v Netfilteru iptables -A FORWARD -i ${LAN_IFACE} -s 192.168.0.0/255.255.0.0 -j ACCEPT iptables -A FORWARD -i ${WAN_IFACE} -d 192.168.0.0/255.255.0.0 -j ACCEPT iptables -t nat -A POSTROUTING -o ${WAN_IFACE} -j MASQUERADE Smˇerován´ı klient˚ u, kteˇr´ı nejsou souˇcást´ı systému PAT, maj´ı veˇrejnou IP adresu, prob´ıh´ a nastaven´ım pravidla ve firewallu, kdy se povol´ı jej´ıch pˇresmˇerován´ı a zároveˇ n se pˇridaj´ı informace o klientech do smˇerovac´ı tabulky.

3.2

V´ ybˇ er vhodn´ ych sluˇ zeb

Z následuj´ıc´ıch kritéri´ı lze dovodit, jaké programy lze naj´ıt v základn´ı instalaci Debianu a obecnˇe v jeho repozitáˇr´ıch [7]. Programy • maj´ı dobrou historii, co se t´ yˇce bezpeˇcnostn´ıch chyb, 14

• jsou ˇsiroce pouˇz´ıvané, • jsou podporované a dále vyv´ıjené sv´ ymi autory (tzv. upstream) a • svobodné dle kritéri´ı Debianu. Proto napˇr´ıklad sendmail, kter´ y mˇel velice ˇspatnou bezpeˇcnostn´ı historii [2], nen´ı souˇcást´ı v´ ychoz´ı instalace, ale je nahrazen programem Exim, kter´ y je ale ménˇe pouˇz´ıvan´ y. Podobná kritéria, spolu se snadnou a jasnou konfigurovatelnost´ı, jsem si dal i já. Snaˇzil jsem se pouˇz´ıvat bal´ıˇcky obsaˇzené v samotné distribuci, ale v´ yjimeˇcnˇe jsem vybral i ty, které jsem si musel zkompilovat sám.

3.2.1

SSH server/klient

SSH server je sluˇzba umoˇzn ˇuj´ıc´ı vzdálené pˇripojen´ı a následné spuˇstˇen´ı zabezpeˇceného (ˇsifrovaného) shellu skrz nezabezpeˇcenou s´ıt’ (napˇr´ıklad internet nebo LAN). Tato sluˇzba nahrazuje nezabezpeˇcenou sluˇzbu rshd. K v´ ybˇeru jsou tˇri ˇreˇsen´ı implementuj´ıc´ı protokol SSH v2 • lsh, • SSH Tectia (znám´ y téˇz jako “SSH.com”), • OpenSSH. lsh je GNU GPL implementuj´ıc´ı SSH protokol v2, posledn´ı verze - 2.0.3 - vyˇsla 9. kvˇetna 2006. Je tˇeˇzké zjistit, zda ho nˇekdo pouˇz´ıvá na tak exponovaném m´ıstˇe, jako bezesporu smˇerovaˇc internetového provozu je, v popisku u Debian´ıho bal´ıˇcku s touto serverovou i klientskou aplikac´ı je zd˚ uraznˇeno, ˇze m˚ uˇze m´ıt problémy s bezpeˇcnost´ı. Aplikace server/klient SSH Tectia, produkovaná spoleˇcnost´ı SSH Communications Security, nen´ı svobodn´ ym softwarem a ani jsem o n´ı neuvaˇzoval - uvád´ım ji pouze pro u ´plnost. Jednoznaˇcnˇe nejpouˇz´ıvanˇejˇs´ı implementac´ı v1 a v2 protokolu SSH je OpenSSH od komunity kolem operaˇcn´ıho systému OpenBSD. Tato sluˇzba je dostupná pro ˇsirokou paletu operaˇcn´ıch systému od Linuxu, pˇres varianty BSD aˇz po ty komerˇcn´ı. V základn´ı konfiguraci nen´ı tˇreba nic mˇenit, pouze pokud bychom chtˇeli podporovat X protokol a napˇr´ıklad dovolovat spouˇstˇen´ı X aplikac´ı na serveru s jejich následn´ ym zobrazen´ım na stranˇe klienta, povol´ıme v konfiguraˇcn´ım souboru /etc/ssh/sshd_config následuj´ıc´ı volbu X11Forwarding yes Klientsk´ ymi aplikacemi jsou v pˇr´ıpadˇe OpenSSH programy ssh, scp a sftp a nahrazuj´ı telnet, rlogin, rcp a jiné. Pouˇzit´ı ssh k pˇripojen´ı k vzdálenému serveru je bˇeˇznˇejˇs´ı neˇz alternativou putty, známou pˇredevˇs´ım na nesvobodn´ ych operaˇcn´ıch systémech. Zmˇenou voleb ForwardX11 yes ForwardX11Trusted yes v konfiguraˇcn´ım souboru /etc/ssh/ssh_config doc´ıl´ıme v´ yˇse zm´ınˇeného spouˇstˇen´ı X aplikac´ı na klientské ploˇse.

15

3.2.2

Pl´ anovaˇ cu ´ loh Cron

Cron je daemon, kter´ y spouˇst´ı naplánované u ´lohy, které z´ıskává pomoc´ı programu crontab, v daném ˇcase, napˇr´ıklad: kaˇzdou minutu, hodinu, den, t´ yden, mˇes´ıc nebo v urˇcit´ y ˇcas. Dosahuje toho tak, ˇze se spust´ı kaˇzdou minutu, provede naplánované u ´lohy a ukonˇc´ı se [14]. Na Debianu jsou k u ´kolován´ı cronu pouˇz´ıvány následuj´ıc´ı soubory a adresáˇre • uˇzivatelské u ´lohy (soubory) – /var/spool/cron/crontabs/{user1, root} • systémové u ´lohy (adresáˇre) – periodické – /etc/cron.{daily, weekly, monthly}/ – definované/tématické – /etc/cron.d/ Dillon’s Cron Nejjednoduˇsˇs´ı z cron˚ u; snaˇz´ı se b´ yt bezpeˇcnou implementac´ı cronu, bez málo pouˇz´ıvan´ ych funkc´ı. Napˇr´ıklad nepodporuje definici promˇenn´ ych v tˇele souboru crontab. Vˇsechny u ´lohy jsou spuˇstˇeny ze shellu /bin/sh. Fcron Nejpokroˇcilejˇs´ı ze vˇsech cron˚ u, obsahuje nejv´ıce funkc´ı. Je vhodn´ y pro systémy, které nebˇeˇz´ı soustavnˇe, protoˇze serializuje nesplnˇené u ´lohy a v nejbliˇzˇs´ım moˇzném okamˇziku je spust´ı. Podporuje nastavován´ı promˇenn´ ych, kaˇzd´ y uˇzivatel m˚ uˇze m´ıt sv˚ uj vlastn´ı crontab. Pˇr´ıstup ke cronu je ˇr´ızen skrz soubory /etc/cron.allow a /etc/cron.deny. Fcron se nad´ ale vyv´ıj´ı. Anacron Anacron je vhodn´ y pro systémy, které nebˇeˇz´ı kontinuálnˇe. Závis´ı na jednom z cron˚ u, kter´ y by mˇel Anacron jednou dennˇe spustit, a ten pak provede “pˇreskoˇcené” u ´lohy (kdyˇz byl systém vypnut´ y). De facto se nejedná o cron. Vixie cron Vixie cron je implementac´ı SysV cronu. Kaˇzd´ y uˇzivatel má sv˚ uj crontab, definice promˇenn´ ych je povolena. Na rozd´ıl od ostatn´ıch cron˚ u podporuje SELinux a PAM. Je to “stˇredn´ı cesta” mezi Dcronem a Fcronem. Vybral jsem si ho, protoˇze je na Debianu v základn´ı instalaci, mám s n´ım zkuˇsenosti z desktopu a vˇetˇsina aplikac´ı, které instaluj´ı své vlastn´ı u ´lohy do crontabu, vyuˇz´ıvá jeho vlastnost´ı. Pr´ ace s cronem Plánován´ı uˇzivatelsk´ ych u ´loh provedeme pˇr´ıkazem crontab -e v shellu daného uˇzivatele. Pokud by chtˇel administrátor implantovat uˇzivateli newman u ´lohu, zadá v administrátorském shellu: contab -e -u newman , ˇc´ımˇz se mu otevˇre editor definovan´ y promˇennou EDITOR, nebo VISUAL, pokud takové promˇenné definované nejsou, pouˇzije se program /usr/bin/editor [17]. Následuj´ıc´ı syntaxi lze pouˇz´ıt jak v souboru crontab, tak i souborech v adresáˇri /etc/cron.d/, kde jsou “tématické crontaby”. Napˇr´ıklad v souboru mrtg budou pravidla pro spuˇstˇen´ı tvorby grafu pˇres program MRTG. Následuj´ı pˇr´ıklady syntaxe: 16

#Minuty 0 30 *

3.2.3

Hodiny 3 16 *

Dny 1 * *

Mˇ es´ ıce 1 1,2 1-12/2

Den v t´ ydnu Pˇ r´ ıkaz * /bin/false * /bin/true * /bin/who am i

Syslog, zaznamen´ av´ an´ı chodu syst´ emu

Syslog je program, kter´ y pˇrepos´ılá zprávy v IP s´ıti. K tomu obsad´ı port 514/UDP, ˇcte zprávy, které mu pˇricházej´ı, tˇr´ıd´ı je podle pravidel v konfiguraˇcn´ım souboru a ukládá do adresáˇre /var/log/a také odes´ılá na logovac´ı server pro pˇr´ıpad, ˇze by smˇerovaˇc byl obsazen u ´toˇcn´ıkem, kter´ y by urˇcitˇe jako jednu z prvn´ıch vˇec´ı v naˇsem systému vypnul logovac´ıho daemona. Jako syslog je ˇcasto oznaˇcován jednak server sb´ıraj´ıc´ı zprávy a pak také vlastn´ı protokol, kter´ y je k tomuto pos´ılán [18]. Nejˇcastˇeji pouˇz´ıvan´ı syslog daemoni • metalog – ˇsiroce konfigurovateln´ y logovac´ı daemon, sám provád´ı rotaci log˚ u (podobnˇe jako samostatn´ y program logrotate, kter´ y pouˇz´ıvaj´ı ostatn´ı daemoni). Jeho nev´ yhodou je, ˇze neum´ı pos´ılat záznamy aktivity na jiné stroje, ani je neum´ı pˇrij´ımat. • syslog-ng – asi nejˇcastˇeji pouˇz´ıvan´ y logovac´ı daemon, neprovád´ı rotaci záznam˚ u. Je dobˇre konfigurovateln´ y a um´ı odes´ılat záznamy na jiné stroje, ale tato vlastnost se mi nepovedla nakonfigurovat, a proto jsem pouˇzil program následuj´ıc´ı. • sysklogd – nejstarˇs´ı, pˇresto stále vyv´ıjen´ y, z dnes pouˇz´ıvan´ ych logovac´ıch daemon˚ u, neprovád´ı rotaci. Umoˇzn ˇuje odes´ılán´ı záznam˚ u na jiné stroje. Tento syslog daemon jsem si vybral.

3.2.4

DNS cache

Na smˇerovaˇci jsem povaˇzoval za nutné spustit DNS cache, která by sb´ırala dvojice rekurzivn´ı DNS poˇzadavek (doménové jméno) — IP adresa. Od klient˚ u v m´ıstn´ı s´ıti jako napˇr´ıklad od webového prohl´ıˇzeˇce nebo od emailového klienta z´ıská dotaz na doménové jméno a od vzdáleného DNS serveru z´ıská IP adresu jakoˇzto odpovˇed’. Samotná cache urychl´ı pˇr´ıˇst´ı pˇreklad doménového jména na IP adresu t´ım, ˇze se neprovede dotaz na vzdálen´ y DNS server, ale pouˇzij´ı se data z cache. Pro samotnou DNS cache nen´ı nutné pouˇz´ıt tak rozsáhl´ y program jako je bind, staˇc´ı aplikace, která dˇelá pouze onu cache nebo DNS software, kter´ y je modulárn´ı. Jako nejvhodnˇejˇs´ı ˇreˇsen´ı povaˇzuji dnscache z bal´ıku djbdns Daniela Bernsteina. Djbdns vznikl z frustrace zp˚ usobené bezpeˇcnostn´ımi problémy a nerespektován´ım standard˚ u ze strany bal´ıku bind, pˇredevˇs´ım verze 4 a 8. Djbdns je naproti tomu, stejnˇe jako vˇsechny programy profesora D. J. Bernsteina, vytváˇren s d˚ urazem na bezpeˇcnost (bˇeh v chroot u, oddˇelen´ı cache a DNS serveru, bˇeh pod nerootovsk´ ym uˇzivatelem, . . . ) a tradiˇcn´ı UNIXovou modularitu (kaˇzd´ y u ´kon, kter´ y je nutné v rámci DNS systému udˇelat, ˇreˇs´ı samostatn´ y program, kter´ y je snadno nahraditeln´ y programem jin´ ym) [10]. Nev´ yhodou jeho program˚ u je jejich licence, tedy sp´ıˇse to, ˇze licenci nemaj´ı (pouˇz´ıvá se pro nˇe oznaˇcen´ı license-free software) [8]. Pamˇet’ovou nároˇcnost lze ovlivnit promˇennou CACHESIZE, asi 5 % z cache zab´ırá tabulka s rozpt´ ylen´ ymi poloˇzkami. Pokud dojde v systému pamˇet’, zahod´ı se nejstarˇs´ı záznam a odpovˇed’ na aktuáln´ı poˇzadavek se zaznamená. V´ ychoz´ı nastaven´ı po instalaci je CACHESIZE = 1 MB [9]. 17

Pˇr´ıklad experimentáln´ıho nastaven´ı na velikost 10 MB, # velikost cache echo 10000000 > /service/dnscache/env/CACHESIZE # maxim´ aln´ ı datov´ y limit echo 10485760 > /service/dnscache/env/DATALIMIT # restart sluˇ zby ‘dnscache’ svc -t /service/dnscache které zbyteˇcnˇe neomezuje délku platnosti záznam˚ u. Postup konfigurace dnscache viz dodatek A.

3.2.5

DHCP server

Dynamic Host Configuration Protocol je protokol pouˇz´ıvan´ y s´ıt’ov´ ymi zaˇr´ızen´ımi k z´ısk´ an´ı IP adresy a obvykle i jin´ ych u ´daj˚ u pro plnohodnotnou práci v s´ıti. Protokol je typu server/klient. Server je obvykle jeden na segmentu s´ıtˇe a rozdˇeluje IP adresy ze zadaného rozsahu. Komunikace serveru a kliente vypadá takto 1. DHCP DISCOVERY — klient poˇsle na broadcastu UDP paket na adresu 255.255.255.255; t´ım poˇzádá vˇsechny dostupné DHCP servery o poskytnut´ı adresy 2. DHCP OFFER — server odpov´ı na unicastu pˇr´ımo klientovi a nab´ıdne mu IP adresu ze svého rozsahu 3. DHCP REQUEST — klient pˇrijme adresu a odpov´ı serveru na broadcastu, aby ostatn´ı DHCP servery vˇedˇely, ˇze jejich nab´ıdka nebyla klientem pˇrijata 4. DHCP ACKNOWLEDGEMENT — server na unicastu klientovi odpov´ı a dod´ a mu dalˇs´ı poˇzadované informace (v´ ychoz´ı brána, s´ıt’ová maska, DNS servery, . . . ) Implementac´ı DHCP serveru je v Debianu v´ıce, nˇekteré z nich krátce pˇredstav´ım. udhcp Je DHCP server/klient vhodn´ y pˇredevˇs´ım pro vestavˇené systémy, a pokud je kompilov´ an proti uClibc, serverov´ y i klientsk´ y binárn´ı soubor m˚ uˇze m´ıt dohromady jenom 36 kB. Tento bal´ık nen´ı vhodn´ y pro nasazen´ı v s´ıti poskytovatele pˇripojen´ı, protoˇze mu chyb´ı nˇekteré vlastnosti a pˇredevˇs´ım uˇz nen´ı nˇekolik let vyv´ıjen´ y [39]. dnsmasq Jednoduch´ y DHCP a DNS server vhodn´ y v´ yhradnˇe pro domác´ı pouˇzit´ı. ISC DHCP server/klient ISC DHCP server/klient jsem si zvolil, protoˇze, je aktivnˇe vyv´ıjen´ y a má ˇsiroké moˇznosti konfigurace. Pˇr´ıklad konfigurace DHCP serveru - pˇridˇelován´ı IP adres

18

# definice pods´ ıtˇ e subnet 192.168.0.0 netmask 255.255.0.0 { pool { # rozsah pˇ ridˇ elovan´ ych adres range 192.168.1.0 192.168.255.254; # nepˇ ridˇ el´ ı adresu nezn´ am´ emu klientovi deny unknown-clients; # definice klientsk´ eho zaˇ r´ ızen´ ı host user1 { # adresa HW rozhran´ ı (MAC adresa) hardware ethernet 00:11:22:33:44:55; # pˇ ridˇ el´ ı vˇ zdy fixn´ ı IP adresu fixed-address 192.168.1.1; } # host } # pool } # subnet Alternativa: Zeroconf Alternativou k systému DHCP je Zeroconf, coˇz je souhrnn´ y název pro sadu technik, kter´ a automaticky vytvoˇr´ı pouˇzitelnou s´ıt’ na technologii IP bez toho, aby byla nutná konfigurace zaˇr´ızen´ı ˇci specializované servery. Zeroconf m˚ uˇze usnadnit netechnick´ ym uˇzivatel˚ um nastaven´ı menˇs´ı s´ıtˇe, která m˚ uˇze obsahovat klientské poˇc´ıtaˇce, tiskárny a jiná zaˇr´ızen´ı od kter´ ych se dá ˇcekat automatické nakonfigurován´ı. Zeroconf m˚ uˇze zastoupit funkci DHCP a DNS server˚ u [49] [29]. Zeroconf automaticky ˇreˇs´ı tyto problémy: v´ ybˇer s´ıt’ov´ ych adres pro zaˇr´ızen´ı, jména ’ konkrétn´ıch zaˇr´ızen´ı, zjiˇst ován´ı dostupn´ ych sluˇzeb v s´ıti. Hlavn´ı implementace: Apple Bonjour, Avahi a implementace Zeroconf ve Windows CE 5.0 . Rozˇs´ıˇren´ı Zeroconfu je pomal´ y a nikdy jsem se s n´ım nesetkal, jedn´ım z d˚ uvod˚ u m˚ uˇze b´ yt autokonfigurace IP adresy v protokolech IPv4 a IPv6 tzv. link-local. Je pravdˇepodobné, ˇze pro tak velkou s´ıt’ jako je Rous´ınovsko.net by se ani nehodil.

3.2.6

Transparentn´ı SMTP/POP3/IMAP proxy

Na smˇerovaˇci jsem nasadil transparentn´ı SMTP/POP3/IMAP proxy p3scan. Idea je takov´ a, ˇze porty 25 (SMTP), 110 (POP3) a 143 (IMAP) jsou pˇresmˇerovány pomoc´ı iptables na port 8110, na kterém poslouchá p3scan a kontroluje obsah email˚ u na viry a spam. Pokud je pˇri pˇrij´ımán´ı emailu jeden z tˇechto neˇzádouc´ıch element˚ u nalezen, je uloˇzen do “karantény” a adresát je uvˇedomˇen v tom smyslu, ˇze zpráva pro nˇej byla závadn´ a, a pokud má pochybnosti o správnosti jej´ıho pˇresunu do karantény, a tedy nedoruˇcen´ı, m˚ uˇze kontaktovat administrátora, sdˇelit mu kód, pod jak´ ym byla uloˇzena, a ten zprávu zkontroluje ruˇcnˇe. Je-li pos´ılán spam nebo zavirovan´ y email z vnitˇrn´ı s´ıtˇe, je ze strany p3scanu zruˇseno spojen´ı se vzdálen´ ym SMTP serverem a zpráva nedoruˇcena. p3scan umoˇzn ˇuje definovat program nebo skript, kterému bude pˇri “pr˚ uchodu” emailu smˇerovaˇcem pˇredloˇzen soubor s emailem. Vytvoˇril jsem skript, kter´ y otestuje zprávu antivirov´ ym programem na pˇr´ıtomnost vir˚ u a antispamov´ ym softwarem na pˇr´ıtomnost spamu, 19

a pokud oba dva testy skonˇc´ı negativn´ım v´ ysledkem, je email zhodnocen jako pˇr´ıpustn´ ya pouze v tomto pˇr´ıpadˇe je odeslán ˇci pˇrijat. Skript je souˇcást´ı dodatku C. S programem p3scan byla malá pot´ıˇz. V repozitáˇri Debianu byla pouze stará verze, která nepodporovala protokol SMTP, proto jsem si stáhl v´ yvojovou verzi a tu zkompiloval. Pˇrestoˇze je to verze v´ yvojová, nenarazil jsem pˇri jej´ım pouˇz´ıván´ı na ˇzádné problémy.

3.2.7

Antivirov´ y software

Jako antivirov´ y software byl zvolen svobodn´ y Clam AntiVirus, kter´ y je periodicky aktualizován sluˇzbou clamav-freshclam. ClamAV jsem nastavil jako server/klient architekturu, jej´ı pouˇzit´ı je doporuˇcováno jako v´ ykonnˇejˇs´ı neˇz samostatnˇe stoj´ıc´ı ˇreˇsen´ı. Sluˇzba clamd poslouchá na portu 3310 a ˇceká na pˇr´ıchoz´ı spojen´ı. Program, kter´ y takovéto spojen´ı obvykle iniciuje, je clamdscan. Ten pˇredá serveru soubor a ˇceká na rozhodnut´ı, zda je email zavirován ˇci ne.

Obrázek 3.1: “Obarven´ y” záznam ˇcinnosti sluˇzby aktualizuj´ıc´ı virové definice

3.2.8

Antispamov´ y software

Za nejvhodnˇejˇs´ı ˇreˇsen´ı na zjiˇst’ován´ı spamu jsem zvolil SpamAssassin. Stejnˇe jako u antivirového ˇreˇsen´ı jsem dal pˇrednost architektuˇre server/klient. Server spamd naslouchá na portu 783, klientskou aplikac´ı je spamc, kter´ y je na rozd´ıl od programu spamassassin [Perl] naprogramovan´ y v jazyce C. Aby SpamAssassin s co nejvˇetˇs´ı pravdˇepodobnost´ı rozeznal spam (nevyˇzádaná poˇsta) a ham (vyˇzádaná poˇsta), je tˇreba ho doslova “nauˇcit”, co je spam a co ham. Z webového archivu jsem si stáhl nˇekolik tis´ıc email˚ u, které jsou povaˇzovány za spam, a nechal jsem je aplikac´ı sa-learn nauˇcit. To samé jsem udˇelal asi se stovkami email˚ u, které mám ve své osobn´ı schránce, a oznaˇcil je za ham.

3.2.9

Podpora IPv6 v operaˇ cn´ım syst´ emu a pˇ ridˇ elov´ an´ı IPv6 adres

Aby se klientská stanice mohla pˇripojit do IPv6 internetu, mus´ı pro tento internet nové generace obsahovat podporu. Podpora v rámci operaˇcn´ıho systému se dˇel´ı na dvˇe ˇcásti • j´ adro operaˇ cn´ıho syst´ emu – podporu pro IPv6 poskytuje jadern´ y modul ipv6.ko. Nejlepˇs´ı podpora IPv6 je v jádˇre ˇrady 2.6, v ˇradˇe 2.4 uˇz nejsou pˇridávány nové funkce, které by pokr´ yvaly nejnovˇejˇs´ı RFC dokumenty. • uˇ zivatelsk´ e aplikace – Sendmail, Exim, Qmail, BIND, VLC/VLS, Quake, SSH, Apache, Mozilla Firefox, lynx, elinks, Squid, wget, mplayer a dalˇs´ı.

20

Ve vˇsech modern´ıch distribuc´ıch je dnes IPv6 podpora implicitnˇe zapnuta jak v jádˇre, tak v uˇzivatelsk´ ych aplikac´ıch. Záleˇz´ı na dodateˇcné konfiguraci jednotliv´ ych sluˇzeb a program˚ u, zda budou pˇripojen´ı skrz internet nové generace preferovat a protokol IP verze ˇctvrté pouˇzij´ı pouze jako záloˇzn´ı moˇznost. Pokud náˇs poskytovatel pˇripojen´ı k internetu neposkytuje IPv6 konektivitu, mus´ıme si ji zaˇr´ıdit svépomoc´ı skrz tak zvaného “Tunnel Brokera”. Tunnel Broker je organizace, kter´ a z´ıskala komerˇcn´ı adresn´ı rozsah a poskytuje ho sv´ ym zákazn´ık˚ um. Obvykl´ y rozsah, kter´ y je poskytnut zákazn´ıkovi, je /64 (takzvan´ y prefix a ten nám dovol´ı pˇripojit 2(128−64) zaˇr´ızen´ı, coˇz je 4 294 967 296 dneˇsn´ıch internet˚ u. Pˇ ridˇ elov´ an´ı IPv6 adres Jsou dostupné dvˇe metody automatického pˇridˇelován´ı IPv6 adres, bezstavové ([30] a [31]) a stavové ([32]). 1. Bezstavové pˇridˇelován´ı IPv6 adres, smˇerovaˇcem, klient˚ um je ˇreˇseno skrz Router Advertisement Daemona radvd, kter´ y je definován v RFC 2461. Tento daemon oˇcek´ av´ a router solicitations (ˇzádost smˇerovaˇce) a odpov´ıdá pomoc´ı router advertisement (hl´ aˇsen´ı smˇerovaˇce), které, v závislosti na nastaven´ı v souboru /etc/radvd.conf , obsahuje prefix s´ıtˇe, MTU linky a dalˇs´ı. Tˇechto nˇekolik málo informac´ı staˇc´ı klientovi, aby svou IPv6 adresu tzv. autokonfiguroval. Z MAC adresy klienta 00:11:22:33:44:55 vytvoˇr´ıme adresu ve formátu EUI-64 tak, ˇze doprostˇred vloˇz´ıme sekvenci FFFE a znegujeme sedm´ y bit zleva. V´ ysledkem budiˇz 02:11:22:FF:FE:33:44:55. Spojen´ım prefixu z´ıskaného od Tunnel Brokera Hurricane Electric, 2001:470:1F00:3740::/64 a EUI-64 adresy, z´ıskáme veˇrejnou IPv6 adresu 2001:470:1f00:3740:211:22ff:fe33:4455/64 , se kterou m˚ uˇzeme pˇristupovat do IPv6 internetu. 2. Stavové pˇridˇelován´ı adres je ˇreˇseno pˇres DHCPv6. Aˇckoliv protokol IPv6 byl navrˇzen tak, aby pouˇzit´ı DHCP serveru nebylo nutné, pˇresto bylo pozdˇeji zahrnuto do tˇr´ı dokument˚ u IETF: RFC ˇc´ıslo 3315, 3633 a 3646. Skrz DHCPv6 mohou b´ yt ˇs´ıˇreny informace, které by se nedaly zjistit z jin´ ych zdroj˚ u – napˇr´ıklad DNS server. Pouˇz´ıvaj´ı se dvˇe implementace DHCPv6 • wide-dhcpv6 – Implementace navazuj´ıc´ı na projekty KAME a WIDE, posledn´ı verze vyˇsla 16. ˇr´ıjna 2006. Projekt se zdá b´ yt v´ıce ˇci ménˇe mrtv´ y. • dibbler – Aktivnˇe vyv´ıjen´ y projekt, kter´ y byl pˇred vydán´ım verze 0.6 otestov´ an, zda spolupracuje se sedmi r˚ uzn´ ymi, otevˇren´ ymi i uzavˇren´ ymi, platformami (z´ıskáván´ı a poskytován´ı adres zaˇr´ızen´ım, relay sluˇzby, . . . ). Je implementován na GNU/Linuxu a pˇredpokládá se jeho portace na FreeBSD. Praktick´ e spojen´ı s Tunnel Brokerem Spojen´ı s Tunnel Brokerem a pˇr´ıstup na internet z´ıskáme takto 1. naˇcteme jadern´ y modul ipv6.ko modprobe ipv6

21

2. vytvoˇr´ıme pojmenovan´ y tunel sixbone mezi veˇrejnou IPv4 adresou smˇerovaˇce (147.229.194.163) a IPv4 adresou Tunnel Brokera (64.71.128.82) ip tunnel add sixbone mode sit remote 64.71.128.82 local 147.229.194.163 ttl 255 3. aktivujeme tunel ip link set sixbone up 4. asociujeme IPv6 adresu z´ıskanou od Hurricane Electric s rozhran´ım sixbone ip addr add 2001:470:1F00:FFFF::1C71/127 dev sixbone 5. vˇsechen IPv6 provoz smˇerujeme skrz rozhran´ı sixbone ip route add ::/0 dev sixbone 6. vˇsechen provoz z adresn´ıho rozsahu 2001:470:1F00:3740::/64 poˇsleme na rozhran´ı eth1, které smˇeˇruje do vnitˇrn´ı s´ıtˇe ip route add 2001:470:1F00:3740::/64 dev eth1 7. pˇr´ıkazem ip -f inet6 addr si m˚ uˇzeme zkontrolovat nastaven´ı rozhran´ı 1: lo: mtu 16436 inet6 ::1/128 scope host valid_lft forever preferred_lft forever 3: eth0: mtu 1500 qlen 1000 inet6 fe80::20a:e4ff:fe53:9261/64 scope link valid_lft forever preferred_lft forever 4: eth1: mtu 1500 qlen 1000 inet6 fe80::219:e0ff:fe0b:6930/64 scope link valid_lft forever preferred_lft forever 7: sixbone@NONE: mtu 1480 inet6 2001:470:1f00:ffff::1c71/127 scope global valid_lft forever preferred_lft forever inet6 fe80::c0a8:1/64 scope link valid_lft forever preferred_lft forever inet6 fe80::93e5:c2a3/64 scope link valid_lft forever preferred_lft forever

3.2.10

Web server pro nenad´ al´ e situace

Pro pˇr´ıpad, ˇze by smˇerovaˇc ztratil spojen´ı s vnˇejˇs´ım internetem, je nanejv´ yˇs vhodné, aby poskytovatel pˇripojen´ı své zákazn´ıky o tomto stavu uvˇedomil. Dá se pˇredpokládat, ˇze uˇzivatelé v dobˇe v´ ypadku pouˇz´ıvaj´ı pˇredevˇs´ım sluˇzbu WWW, a pokud ne, tˇreba si do té doby vymˇen ˇovali zprávy pˇres XMPP/Jabber, pokus´ı se v pˇr´ıpadˇe problém˚ u na tuto sluˇzbu pˇripojit. Proto staˇc´ı pˇresmˇerovat vˇsechen odchoz´ı provoz smˇeˇruj´ıc´ı na port 80 na webov´ y server poskytovatele pˇripojen´ı, kde bude zpráva o nastalé chybˇe a pˇredpokládané dobˇe do vyˇreˇsen´ı. Takov´ ymto serverem m˚ uˇze b´ yt i tento smˇerovaˇc. Za WWW/HTTP server jsem zvolil Lighttpd, protoˇze je snadno konfigurovateln´ y a zab´ırá minimum systémov´ ych prostˇredk˚ u. Protoˇze tento server host´ı také u ´ˇctován´ı provozu 22

jednotliv´ ych uˇzivatel˚ u, je dostupn´ y pouze s vnitˇrn´ı s´ıtˇe. Kv˚ uli vyˇsˇs´ı bezpeˇcnosti je spuˇstˇen v chrootu a pod nerootovsk´ ym u ´ˇctem. Tento pˇr´ıkaz zajist´ı v´ yˇse zmiˇ nované pˇresmˇerován´ı provozu na portu 80 iptable -t nat -A PREROUTING -p tcp -i eth1 --destination ! 192.168.0.0/16 --dport 80 -j DNAT --to 192.168.0.1:8080 Web server m˚ uˇze b´ yt pouˇzit potenciálnˇe i pro jiné u ´ˇcely, tˇreba kdyˇz uˇzivatel pˇrekroˇc´ı datov´ y limit pˇri stahován´ı, m˚ uˇze mu b´ yt na webu zobrazeno, ˇze je odpojen od vnˇejˇs´ıho internetu. Pˇr´ıpadnˇe by provozovatel s´ıtˇe mohl pˇri prvn´ım pˇr´ıstupu webu od pˇridˇeleni IP adresy pˇresmˇerovat zákazn´ıka na stránku s aktuáln´ımi informacemi o s´ıti nebo s reklamami. Pˇredpokládám, ˇze tuto “vlastnost” by uˇzivatelé nepˇrijali s nadˇsen´ım, proto jsem se j´ı nezab´ yval jinak, neˇz v u ´vahou v tomto odstavci.

23

Kapitola 4

Autentizace klient˚ u, u ´ˇ ctov´ an´ı provozu a ˇ r´ızen´ı ˇ s´ıˇ rky p´ asma 4.1

Autentizace klient˚ u

Ovˇeˇrován´ı klient˚ u je provádˇena na dvou u ´rovn´ıch 1. pomoc´ı jaderného frameworku netfilter, bˇeˇznˇe asociovaného s programem iptables a 2. pomoc´ı nastaven´ı DHCP serveru. Pomoc´ı iptables m˚ uˇzeme “spárovat” IP adresu s MAC adresou. Pokud si nˇekdo (staticky) nastav´ı IP adresu na jinou, neˇz je registrována na smˇerovaˇci, a bude cht´ıt pˇristoupit do internetu, bude j´ım poslan´ y paket zahozen bez upozornˇen´ı. Abych toto nemusel dˇelat ruˇcnˇe vytvoˇril jsem si k tomu shellov´ y skript gen.sh. Ukázky viz dodatek D, kter´ y pomoc´ı pˇrednastaven´ ych promˇenn´ ych zajist´ı vygenerován´ı pravidel pro firewall, ˇr´ızen´ı ˇs´ıˇrky pásma a DHCP server, vzhledem k poˇctu uˇzivatel˚ u. GRP + HOST MAC

- urˇ cuj´ ı IP adresu (jsou z´ avisl´ e na poˇ ctu klient˚ u v s´ ıti) - MAC adresa klienta

iptables -A FORWARD -s 192.168.${GRP}.${HOST} -m mac --mac-source ! ${MAC} -j DROP Logika pˇr´ıkazu je takováto: “Pokud se paket snaˇz´ı j´ıt skrz smˇerovaˇc do internetu a jeho IP adresa je 192.168.1.1 a MAC adresa nen´ı 00:11:22:33:44:55, zahod’ paket bez upozornˇen´ı.” Druhou “lini´ı obrany” je pˇridˇelován´ı IP adres DHCP serverem jenom tˇem klient˚ um, kteˇr´ı jsou definováni v konfiguraˇcn´ım souboru /etc/dhcp/dhcpd.conf range 192.168.1.0 192.168.255.254; deny unknown-clients; host user1 { hardware ethernet 00:11:22:33:44:55; fixed-address 192.168.1.1; } Ostatn´ım klient˚ um nebude IP adresa prop˚ ujˇcena d´ıky volbˇe deny unknown-clients . 24

4.2

Skript gen.sh

Nastaven´ım promˇenn´ ych GARANCE1, MAXIMUM, BURST, BAND DOWN, BAND UP, WAN IFACE a LAN IFACE dodáme skriptu “pˇredstavu” o naˇs´ı s´ıti pˇredevˇs´ım co se t´ yˇce rozhran´ı smˇerem do internetu a do vnitˇrn´ı s´ıtˇe a také o tom, jakou propustnost budou m´ıt jednotliv´ı uˇzivatelé k dispozici. Poˇcet uˇzivatel˚ u obsahuje promˇenná USERS, která je naplnˇena pˇr´ıkazem wc -l mac.list | awk ’ print $1 ’. V souboru mac.list jsou uloˇzeny MAC adresy uˇzivatel˚ u s´ıtˇe, jedna na ˇrádek. Skript obsahuje tˇri funkce. Popis v dodatku D nen´ı u ´pln´ y, pro ucelené informace viz skript samotn´ y v adresáˇri /root/ibp/scripts/ na odevzdaném datovém médiu.

´ ctov´ Uˇ an´ı provozu

4.3

Aby bylo moˇzné zjistit, kolik dat uˇzivatelé stahuj´ı z internetu, a t´ım pˇr´ıpadnˇe poruˇsuj´ı pravidla s´ıtˇe, je na smˇerovaˇci zavedeno u ´ˇctován´ı provozu jednotliv´ ym uˇzivatel˚ um. Ke kaˇzdé klientské IP adrese je je pˇriˇrazeno speciáln´ı pravidlo ve firewallu netfilter iptables -I FORWARD --destination 192.168.1.1 -j ACCEPT které zajist´ı, ˇze kaˇzd´ y paket, kter´ y pˇrijde klientovi s IP adresou 192.168.1.1, bude zapoˇc´ıtán. Poté si m˚ uˇzeme pˇr´ıkazem iptables -L FORWARD -v -n -Z zjistit, kolik bajt˚ u jiˇz ke klientovi pˇriˇslo. Tento u ´daj je potˇrebn´ y pro nástroj MRTG, kter´ y si ho kaˇzd´ ych pˇet minut pˇreˇcte a podle nˇej dopln´ı u ´daje do grafu.

4.3.1

MRTG

MRTG je software pro monitorován´ı zat´ıˇzen´ı s´ıt’ov´ ych linek pomoc´ı vygenerovan´ ych graf˚ u. MRTG je napsan´ y v Perlu a také d´ıky tomu je multiplatformn´ı, funguje na Linuxu, variantách BSD, Novel Netware a jin´ ych; ˇs´ıˇren´ y je pod GNU GPL 2 [27]. P˚ uvodnˇe byl vytvoˇren k monitorován´ı smˇerovaˇc˚ u, ale ˇcasem se vyvinul k obecnému monitorován´ı systému skrz SNMP. MRTG pos´ılá zaˇr´ızen´ı pomoc´ı SNMP poˇzadavek s dvˇema identifikátory objekt˚ u (OID). Zaˇr´ızen´ı, které mus´ı podporovat SNMP, obsahuje management information base (MIB), ve kterém dohledá specifikované identifikátory (OID) a vrát´ı data. MRTG si poté zaznamen´ a data do logu (záznamu) na klientovi a spoleˇcnˇe s uˇz dˇr´ıve sesb´ıran´ ymi u ´daji vytvoˇr´ı HTML soubor a vygeneruje grafy vztahuj´ıc´ı se k danému zaˇr´ızen´ı. Protoˇze smˇerovaˇc de facto poskytuje informace sám sobˇe, je základn´ı podm´ınkou, aby na smˇerovaˇci bˇeˇzel SNMP daemon, kter´ y bude poskytovat informace a data klientovi v naˇsem pˇr´ıpadˇe MRTG.

4.3.2

Monitorov´ an´ı syst´ emov´ ych prostˇ redk˚ u

Pomoc´ı MRTG se dá nejen sledovat mnoˇzstv´ı pˇrenesen´ ych dat, ale také jakékoliv jiné u ´daje dosaˇzitelné pˇres SNMP v MIB. Následuje komentovan´ y pˇr´ıklad • WorkDir: /var/www/mrtg Nastav´ı pracovn´ı adresáˇr, do nˇej bude generovat v´ ysledky (databáze, grafy)

25

Obrázek 4.1: Vyuˇzit´ı operaˇcn´ı pamˇeti • LoadMIBs: /usr/share/snmp/mibs/UCD-SNMP-MIB.txt Naˇcten´ı MIB databáze • Target[router01.cpu]:ssCpuRawUser.0&ssCpuRawUser.0:publicrouter01+ ssCpuRawSystem.0&ssCpuRawSystem.0:publicrouter01+ ssCpuRawNice.0&ssCpuRawNice.0:publicrouter01 ˇ ezec urˇcuj´ıc´ı, která data budou z databáze vyb´ırána. Retˇ • RouterUptime[router01.cpu]: public@router01 Na smˇerovaˇci router01 zjist´ı, kolik ˇcasu uplynulo od posledn´ıho spuˇstˇen´ı. • MaxBytes[router01.cpu]: 100 Maximáln´ı hodnota na stupnici, vˇse, co je vˇetˇs´ı, je zahozeno jako chybná data. Dalˇs´ı poloˇzky v konfiguraˇcn´ım souboru jsou v´ıce ménˇe nepovinné a zlepˇsuj´ı ˇcitelnost a orientaci ve v´ ysledné stránce i grafech.

4.3.3

Monitorov´ an´ı provozu uˇ zivatel˚ u s´ıtˇ e

Vytvoˇ ren´ı nov´ eho kontrolovan´ eho uˇ zivatele Skript mkusertraffic.sh pˇridá uˇzivatele se zadanou IP adresou do seznamu kontrolovan´ ych uˇzivatel˚ u tak, ˇze vytvoˇr´ı soubor s konfigurac´ı pro MRTG, ne nepodobn´ y té v´ yˇse uvedené.

Obrázek 4.2: “Vyuˇzit´ı” ˇs´ıˇrky pásma klientem

26

Z´ısk´ an´ı u ´ daj˚ u o pˇ renesen´ ych datech Pomoc´ı skriptu getusertraffic.sh vrát´ı poˇcet pˇrenesen´ ych dat smˇerem k uˇzivateli s danou IP v Bytech. Vygenerov´ an´ı graf˚ u uˇ zivateli Skript runusertraffic.sh zjist´ı IP adresy vˇsech kontrolovan´ ych uˇzivatel˚ u a spust´ı na jejich konfiguraˇcn´ıch souborech MRTG. Po skonˇcen´ı tohoto skriptu jsou vˇsechny grafy pro uˇzivatele vygenerovány a ˇretˇezec FORWARD, ze kterého jsou brána data, vynulován. Automatizace cronem Pomoc´ı cron daemonu m˚ uˇzeme periodicky naplánovat u ´lohy, která zajist´ı automatické aktualizován´ı graf˚ u. Pravidlem */5 * * * * root if [ -x /usr/bin/mrtg ] && [ -r /etc/mrtg/cpu.cfg ]; then env LANG=C /usr/bin/mrtg /etc/mrtg/cpu.cfg >> /var/log/mrtg/mrtg.log 2>&1; fi automatizujeme sb´ırán´ı dat o vyt´ıˇzen´ı procesoru a pravidlem */5 * * * * root /etc/mrtg/runusertraffic.sh zajist´ıme generován´ı graf˚ u pro vˇsechny uˇzivatele. Publikace graf˚ u MRTG generuje HTML stránky a obrazové grafy do adresáˇre /var/www/ , coˇz je také rootovsk´ y adresáˇr pro server. Pˇr´ıstup k HTTP serveru je omezen na vnitˇrn´ı s´ıt’ z d˚ uvodu privátnosti dat.

4.4

ˇ ızen´ı ˇ R´ s´ıˇ rky p´ asma

ˇ adná s´ıt’ nemá neomezené prostˇredky, co se t´ Z´ yˇce propustnosti, chce-li uˇzivatel˚ um nab´ıdnout maximum ze své konektivity, mus´ı klient˚ um garantovat minimáln´ı propustnost, která bude vˇzdy dostupná, a maximáln´ı propustnost nastavit bl´ızko rychlosti spojen´ı do internetu. Pokud je o ˇs´ıˇrku pásma vˇetˇs´ı zájem, neˇz jsme schopni zajistit, pˇricház´ı na ˇradu omezov´ an´ı uˇzivatel˚ u. K omezován´ı potˇreb uˇzivatel˚ u nám pom˚ uˇze classfull qdisc ([qdisc = queueing discipline] volnˇe pˇreloˇzeno “ˇrad´ıc´ı discipl´ına obsahuj´ıc´ı tˇr´ıdy”) a konkrétnˇe jeho HTB v3 (Hierarchical Token Bucket) implementace v jádˇre novˇejˇs´ım neˇz 2.4.20 [16]. Pˇredevˇs´ım je d˚ uleˇzité si uvˇedomit, ˇze nem˚ uˇzeme pˇr´ımo urˇcovat, kolik dat k nám pˇrich´ az´ı - m˚ uˇzeme to ale ˇcásteˇcnˇe ovlivnit. V obvyklém pˇr´ıpadˇe, pokud nám vzdálen´ y server pos´ıl´ a data rychleji, neˇz jsme schopni pˇrij´ımat, data jsou po cestˇe k nám zahozena, nebo nedoruˇcena, a pokud server nen´ı informován o doruˇcen´ı, sn´ıˇz´ı rychlost (konkrétn´ı algoritmus ˇıˇrku pásma m˚ zmˇeny pos´ılán´ı dat je závisl´ y na implementaci TCP/IP zásobn´ıku). S´ uˇzeme ovlivˇ novat pouze smˇerem ven z naˇs´ı s´ıtˇe a tuto kontrolu je nejlepˇs´ı dˇelat a rozhran´ı smˇerem do naˇs´ı s´ıtˇe. Pokud bychom ˇs´ıˇrku pásma ˇr´ıdili na vnˇejˇs´ım rozhran´ı, kde je napˇr´ıklad 256 MBit 27

ADSL router, tak by k nˇemu mohlo pˇricházet v´ıce dat, neˇz je schopen odes´ılat, a v tom pˇr´ıpadˇe by ˇs´ıˇrku pásma ˇr´ıdil on. Stav se pokus´ıme “umˇele” navodit pomoc´ı nástroj˚ u k ˇr´ızen´ı ˇs´ıˇrky pásma [22]. Dále je nutné m´ıt na pamˇeti, ˇze ˇs´ıˇrku pásma m˚ uˇzeme ˇr´ıdit pouze u protokolu TCP, ne tak uˇz u UDP, které nemá ˇzádn´ y potvrzovac´ı mechanismus, a nem˚ uˇze proto “zrychlovat” ani “zpomalovat”. Pravidla jsou jádru pˇredávána programem tc (Traffic Control) z bal´ıku iproute. Struktura pravidel je hierarchická, má jeden pojmenovan´ y koˇrenov´ y uzel a procház´ı se rekurzivnˇe. Pˇri zadávan´ı nov´ ych pravidel ˇr´ızen´ı ˇs´ıˇrky pásma je dobré vˇsechny pˇredchoz´ı ˇrad´ıc´ı discipl´ıny vymazat a poté vloˇzit novou – typu HTB. Na tento koˇrenov´ y uzel, obvykle znaˇcen´ y 1:0, “povˇes´ıme” dalˇs´ı uzel, kter´ y bude m´ıt ˇs´ıˇrku pásma stejnou nebo o nˇeco menˇs´ı, neˇz je konektivita do internetu. Pojmenujeme ho 1:1 a povˇes´ıme na nˇeho dalˇs´ı uzly, které uˇz budou reprezentovat ˇs´ıˇrku pásma rezervovanou pro klienty. tc class add dev eth1 parent 1:0 classid 1:1 htb rate 256kbit tc class add dev eth1 parent 1:1 classid 1:11 htb rate 64kbit ceil 256kbit ˇ adek prvn´ı vytvoˇr´ı zmiˇ ˇ adek druh´ R´ novan´ y koˇrenov´ y uzel. R´ y pˇripoj´ı uzel 1:11 na uzel 1:1 a definuje pro nˇej, ˇze 1. garantovaná propustnost bude 64 kbit/s a 2. maximáln´ı propustnost bude 256 kbit/s (aniˇz by byli omezeni ostatn´ı uˇzivatelé).

4.4.1

Volby ovlivˇ nuj´ıc´ı ˇ s´ıˇ rku p´ asma

• rate – maximáln´ı propustnost, kterou má daná tˇr´ıda a jej´ı potomci garantovanou • ceil – maximáln´ı propustnost, které m˚ uˇze tˇr´ıda dosáhnout, pokud tˇr´ıda pˇredch˚ udce nˇeco uspoˇrila. Pokud nen´ı tato volba explicitnˇe zadána, pouˇzije se m´ısto n´ı implicitnˇe hodnota rate. Coˇz znamená ˇze, ˇzádné “v´ yp˚ ujˇcky” u nadˇrazené tˇr´ıdy se provádˇet nebudou. • burst – mnoˇzstv´ı, o které m˚ uˇze m˚ uˇze b´ yt hodnota ceil pˇrekroˇcena pˇri nevyuˇzit´ı propustnosti z rate. U následn´ıka by mˇela b´ yt alespoˇ n tak velká, jako nejvyˇsˇs´ı z tˇechto hodnot u potomk˚ u.

4.4.2

Znaˇ ckov´ an´ı paket˚ u

Aby bylo moˇzné pakety propouˇstˇet, ˇci zahazovat, je nutné si je poznaˇcit: iptables -t mangle -A POSTROUTING -d 192.168.1.1 -j MARK --set-mark 1 iptables -t mangle -A POSTROUTING -d 192.168.1.2 -j MARK --set-mark 2 iptables -t mangle -A POSTROUTING -d 192.168.1.3 -j MARK --set-mark 3 Pakety jsou oznaˇceny ˇc´ısly (1,3), kaˇzd´ y z nich smˇeˇruje na jinou c´ılovou stanici [34]. Následuj´ıc´ımi filtrovac´ımi pravidly jsou pˇriˇrazeny do správné “ˇskatulky” tc filter add dev eth1 parent 1:0 protocol ip handle 1 fw flowid 1:11 tc filter add dev eth1 parent 1:0 protocol ip handle 2 fw flowid 1:12 tc filter add dev eth1 parent 1:0 protocol ip handle 3 fw flowid 1:13 a m˚ uˇzou b´ yt ˇr´ızeny, co se t´ yˇce ˇs´ıˇrky pásma. 28

4.4.3

Dalˇ s´ı metody ˇ r´ızen´ı ˇ s´ıˇ rky p´ asma

Pouˇzitá implementace ˇr´ızen´ı ˇs´ıˇrky pásma nen´ı pˇrirozenˇe jedinou, která se dá pouˇz´ıt. Moˇznou alternativou jsou: • CBQ - Je stejnˇe v´ ykonné jako HTB, ale je povaˇzováno za obt´ıˇznˇeji nastavitelné. • IMQ - Dává pravdˇepodobnˇe nejsilnˇejˇs´ı moˇznosti k ˇr´ızen´ı ˇs´ıˇrky pásma, ale nikdy nebyl, a nikdy nebude, zaˇrazen do hlavn´ı vˇetve linuxového jádra, protoˇze, podle nˇekter´ ych v´ yvojáˇr˚ u jádra, nen´ı korektnˇe naprogramován, a to, co dˇelá, je teoreticky ˇspatnˇe [11]. Jeho pouˇzit´ı na produkˇcn´ım stroji je diskutabiln´ı a distribuc´ıch, ve kter´ ych k pro nˇeho nen´ı pˇr´ımá podpora, jako napˇr´ıklad v Debianu, velmi sloˇzité. • IFB - Je následn´ık IMQ, aˇz donedávna k nˇemu nebyla ˇzádná dokumentace, mˇelo by nab´ızet ˇsirˇs´ı moˇznosti neˇz HTB, ale dosud nen´ı pravdˇepodobnˇe tak stabiln´ı [25].

4.4.4

ˇ ızen´ı ˇ R´ s´ıˇ rky p´ asma na dle pouˇ zit´ eho aplikaˇ cn´ıho protokolu

Vˇsechny doposud zm´ınˇené zp˚ usoby ˇr´ızen´ı ˇs´ıˇrky pásma neanalyzovaly, jaká data pˇres smˇerovaˇc proud´ı. Pˇritom pro provozovatele m˚ uˇze b´ yt v´ yhodné omezit uˇzivatele, kteˇr´ı stahuj´ı audiovizuáln´ı materiály pˇres BitTorrent nebo DC++, a dát uˇsetˇrenou ˇs´ıˇrku pásma k dispozici uˇzivatel˚ um webu. Jedno z moˇzn´ ych ˇreˇsen´ı je l7-filter, kter´ y se skládá ze tˇr´ı ˇcást´ı: jadern´ ych modul˚ u pro inspekci procházej´ıc´ıch dat, z definic rozpoznávaj´ıc´ıch pouˇzit´ y protokol v datech a z program˚ u v uˇzivatelském prostoru, které spolupracuj´ı s netfilterem (iptables). Druhou moˇznost´ı filtrovat data na aplikaˇcn´ı u ´rovni je IPP2P, ale ta neprocház´ı aktivn´ı v´ yvojem a nemá takové moˇznosti jako sada l7-filter. Filtry na aplikaˇcn´ı u ´rovni jsem nepouˇzil protoˇze poskytovatel pˇripojen´ı takovou sluˇzbu nemá zájem vyuˇz´ıvat, filtry m˚ uˇzou b´ yt potenciálnˇe nároˇcné na v´ ykon a od smˇerovaˇce se pˇredpokládá pˇredevˇs´ım rychlé a spolehlivé doruˇcován´ı a odes´ılán´ı paket˚ u. Pokud by ovˇsem nˇekdy pouˇzity byly, pak na sp´ıˇse na dedikovaném stroji, pˇres kter´ y by procházela vˇsechen pr˚ uchoz´ı tok dat.

4.5

Vyuˇ zit´ı v´ıce WAN spojen´ı – prevence v´ ypadku

Pokud vypadne linka spojuj´ıc´ı nás s internetem, naˇse s´ıt’ ztrat´ı spojen´ı s vnˇejˇs´ım svˇetem a budeme muset poˇckat, aˇz náˇs poskytovatel pˇripojen´ı chybu odstran´ı. Tomuto stavu se m˚ uˇzeme vyhnout pouˇzit´ım záloˇzn´ı linky vedené u jiného poskytovatele. Záloˇzn´ı linku m˚ uˇzeme bud’ pouˇz´ıvat spoleˇcnˇe s linkou hlavn´ı, a t´ım zv´ yˇsit ˇs´ıˇrku pásma anebo ji pouˇz´ıvat jen pˇri v´ ypadku [24]. Pokud chceme pouˇz´ıt jednu linku jako hlavn´ı a druhou jako záloˇzn´ı, nab´ız´ı se dva zp˚ usoby ˇreˇsen´ı. Ten prvn´ı je nakonfigurovat fyzická zaˇr´ızen´ı pro spojen´ı s internetem a pak nastavit jednotliv´ ym cestám (route), asociovan´ ym s fyzick´ ym zaˇr´ızen´ım, vhodné metriky, a t´ım urˇcit, která z nich bude pouˇzita pˇrednostnˇe pˇri vyb´ırán´ı cesty protokolem RIP nebo OSPF, ale v této variantˇe by musela b´ yt podpora smˇerovac´ıho protokolu na obou stranách spoje [26]. Druhou moˇznost´ı je tzv. bonding, kdy vytvoˇr´ıme logické zaˇr´ızen´ı bond0 a na nˇej pˇripoj´ıme z´ avisl´ a fyzická zaˇr´ızen´ı - v naˇsem pˇr´ıpadˇe by to byly ethernetové s´ıt’ové karty ethX. V´ yhodou tohoto spojen´ı je rozmanitost vyuˇzit´ı tohoto spojen´ı v závislosti na pouˇzitém módu. Obecnˇe: 29

1. m˚ uˇzeme z´ıskat bud’ vyˇsˇs´ı rychlost (rychlosti zaˇr´ızen´ı se sˇc´ıtaj´ı), nebo 2. z´ıskat systém hlavn´ı linka/z´ aloˇzn´ı linka - takto vznikl´ y systém by mohl b´ yt vysoce dostupný (High Availability), protoˇze lze nastavit krátké intervaly testován´ı dostupnosti linek a pˇr´ıpadnˇe mezi nimi automaticky pˇrepnout. Bonding zaˇr´ızen´ı v Linuxu poskytuje modul bonding.ko.

4.5.1

Parametry modulu bonding.ko

• mode – Specifikuje metodu bondován´ı. V´ ychoz´ı je balance-rr (round robin). – balance-rr nebo 0 – Pˇrenos paket˚ u je v sekvenˇcn´ım poˇrad´ı od prvn´ıho závislého zaˇr´ızen´ı k posledn´ımu. Tento mód umoˇzn ˇuje rozdˇelován´ı zátˇeˇze a prevenci proti v´ ypadku spojen´ı. – active-backup nebo 1 – Jenom jedno závislé zaˇr´ızen´ı je aktivn´ı, ostatn´ı závisl´ a zaˇr´ızen´ı jsou aktivována pouze pˇri v´ ypadku aktivn´ıho. – balance-xor nebo 2 – Pˇrenos je závisl´ y na zvolené hashovac´ı funkci. Jako v´ ychoz´ı je zvolena tato: (zdroj +cil)%nzavislych . Moˇzno zmˇenit pomoc´ı nastaven´ı parametru xmit hash policy. – broadcast nebo 3 – Vys´ılá vˇse na vˇsechna závislá zaˇr´ızen´ı. Mód poskytuje ochranu pˇred v´ ypadkem spojen´ı. – 802.3ad nebo 4 – Definováno standardem IEEE 802.3ad. Vytváˇr´ı agregaˇcn´ı skupiny, které sd´ılej´ı stejnou rychlost a duplexitu linky - vyuˇz´ıvá vˇsechna závisl´ a zaˇr´ızen´ı ve skupinˇe najednou. Hashovac´ı funkce, která vyb´ırá agregaˇcn´ı skupinu, je závislá na obsahu volby xmit hash policy - ne vˇsechny existuj´ıc´ı funkce jsou 802.3ad - kompatibiln´ı. – balance-tlb nebo 5 – Odchoz´ı mnoˇzstv´ı dat je distribuováno relativnˇe k rychlosti dan´ ych zaˇr´ızen´ı. Pˇr´ıchoz´ı data pˇricházej´ı na aktuáln´ı závislé zaˇr´ızen´ı, pokud to selˇze, jiné závislé zaˇr´ızen´ı si pˇrivlastn´ı jeho MAC adresu a nahrad´ı ho. – balance-alb nebo 6 – Podobné jako balance-tlb, ale obsahuje nav´ıc vyvaˇzov´ an´ı zátˇeˇze pro IPv4 provoz. • miimon – Specifikuje frekvenci v milisekundách, která urˇcuje, jak ˇcasto je linka kontrolována na selhán´ı. Nula znamená “neprovádˇej kontrolu”, hodnota 100 je obecnˇe povaˇzována za dobrou hodnotu pro vˇetˇsinu linek. • downdelay – Udává ˇcas, za jak dlouho, v milisekundách, po zjiˇstˇen´ı chyby bude linka vypnuta.

4.5.2

Praktick´ e pouˇ zit´ı

modprobe bonding mode=balance-alb miimon=100 modprobe e100 ip addr add 192.168.44.1/24 dev bond0 ip link set dev bond0 up ifenslave bond0 eth0 ifenslave bond0 eth1

30

Kapitola 5

Z´ avˇ er Prac´ı na bakaláˇrské práci jsem si mˇel moˇznost zjistit poˇzadavky, které maj´ı poskytovatelé pˇripojen´ı na smˇerovaˇc, z´ıskal jsem náhled do struktury s´ıtˇe a dovolila mi spojit m˚ uj vlastn´ı zájem o operaˇcn´ı systém Linux se znalostmi z oboru s´ıt´ı z´ıskan´ ymi v povinn´ ych, ale pˇredevˇs´ım ve voliteln´ ych pˇredmˇetech na Fakultˇe informaˇcn´ıch technologi´ı. Za zvláˇstˇe zaj´ımavé povaˇzuji to, ˇze jsem jednak mˇel moˇznost vyzkouˇset si a sestavit konkrétn´ı smˇerovaˇc, a pˇredevˇs´ım to, ˇze smˇerovaˇc bude v reálu pouˇzit a práce na nˇem odvedená nebude samo´ uˇceln´ a. D˚ uleˇzitá je pro mˇe zpˇetná vazba, kterou jsem mˇel po dobu tvorby smˇerovaˇce od zástupce ISP Rous´ınovsko.net a také pˇredpokládaná zpˇetná vazba pˇri nasazován´ı do ostrého provozu od uˇzivatel˚ u s´ıtˇe. Z obecného hlediska lze za nejpˇr´ınosnˇejˇs´ı ˇcásti odvedené práce povaˇzovat, odstranˇen´ı pevného disku a t´ım sn´ıˇzen´ı pravdˇepodobnosti odstávky systému, implementaci transparentn´ı SMTP/POP3/IMAP proxy, která spolupracuje s antivirem a nastaven´ ym antispamov´ ym filtrem, jenˇz pravdˇepodobnˇe napom˚ uˇze poskytovateli pˇripojen´ı k odstranˇen´ı své domény ze seznamu “ˇsiˇritel˚ u spamu”, na kterou se dostal kv˚ uli ˇcasto napaden´ ym klientsk´ ym poˇc´ıtaˇc˚ um, a t´ım i k plnému vyuˇzit´ı jeho MX záznamu. Za, pˇredevˇs´ım do budoucna, uˇziteˇcnou ˇcást povaˇzuji implementaci protokolu IPv6, jako protokolu, kter´ ym se lze pˇripojit do IPv6 internetu. Dalˇs´ı d˚ uleˇzité ˇcásti z hlediska ISP jsou bezpochyby ˇr´ızen´ı ˇs´ıˇrky pásma a prevence v´ ypadku spojen´ı pouˇzit´ım v´ıce WAN spojen´ı. V pr˚ ubˇehu práce jsem se musel vypoˇrádat s problémy pˇredevˇs´ım pˇri instalaci základn´ıho systému, popsáno v kapitole 2.6.3, neexistenc´ı aktuáln´ı verze transparentn´ı proxy p3scan v Debianu, volbou vhodné distribuce Linuxu, kapitola 2.6.1 a 2.6.2 a m´ısty i s problémy drobnˇejˇs´ıho rázu. Protoˇze jsem zvolil svobodnou distribuci Linuxu s komunitn´ım v´ yvojem, povaˇzoval jsem za samozˇrejmé, ˇze sluˇzby, které bude systém zajiˇst’ovat, budou realizovány pomoc´ı softwaru, kter´ y je bud’ 1. svobodn´ y (free), 2. otevˇren´ y (open) nebo 3. bez licence, ale s dostupn´ ymi zdrojov´ ymi kódy (license-free). Smˇerovaˇc jsem mˇel moˇznost nasadit do testovac´ıho provozu jenom jednou a to v dobˇe, kdy v mˇela s´ıt’ová infrastruktura Rous´ınovsko.net problémy s kolizn´ımi rámci, kdy se klienti na smˇerovaˇci objevovali pod stejnou, témˇeˇr uˇcebnicovou, MAC adresou 00:11:22:33:44:55. V obˇe testu se podaˇrilo odzkouˇset základn´ı konektivitu do internetu a vnitˇrn´ı s´ıtˇe, NAT a u ´ˇctován´ı provozu pˇres MRTG. Pˇri dalˇs´ıch testován´ı je nutné provˇeˇrit pˇredevˇs´ım ˇr´ızen´ı 31

ˇs´ıˇrky pásma, transparentn´ı SMTP/POP3/IMAP proxy a blokován´ı uˇzivatel˚ u, kteˇr´ı nejsou ˇcleny s´ıtˇe. Do budoucna chci odladit smˇerovaˇc na stejnou u ´roveˇ n spolehlivosti jako smˇerovaˇc stávaj´ıc´ı a nastavit ho tak, aby splˇ noval poˇzadavky poskytovatele pˇripojen´ı a t´ım naplnil jeden z c´ıl˚ u bakaláˇrské práce. Dá se pˇredpokládat, ˇze do doby obhajoby by smˇerovaˇc mohl b´ yt plnˇe funkˇcn´ı. Dále lze pˇrem´ yˇslet nad celkov´ ym rozvojem s´ıtˇe jako celku. S´ıt’ Rous´ınovsko.net má plochou strukturu bez smˇerovaˇc˚ u, vˇsichni uˇzivatelé jsou v jedné LAN s´ıti. S´ıt’ je podle informac´ı od poskytovatele pˇripojen´ı zaplavena ARP dotazy. Situaci by vyˇreˇsilo pˇridán´ı smˇerovaˇc˚ u a pˇrep´ınaˇc˚ u s podporou VLAN (IEEE 802.1Q), coˇz by si ale pravdˇepodobnˇe vyˇzádalo investice do administrace a nového hardware. Správce s´ıtˇe by uv´ıtal webové administraˇcn´ı nástroje ke správˇe s´ıtˇe, ty ˇreˇs´ı paraleln´ı bakaláˇrská práce Spr´ ava hraniˇcn´ıho smˇerovaˇce poskytovatele sluˇzeb Internetu. Pouˇzité pˇrep´ınaˇce a pˇr´ıstupové body jsou ty z levnˇejˇs´ıch typ˚ u, které ˇcasto obsahuj´ı nekvalitnˇe naprogramovan´ y firmware a pˇrehˇr´ıvaj´ı se; vylepˇsen´ı s´ıtˇe by mˇelo zasáhnout i tuto oblast. Celkovˇe si dovol´ım konstatovat, ˇze navrˇzené ˇreˇsen´ı bude obecnˇe vyhovovat poskytovatel˚ um pˇripojen´ı stˇrednˇe velkého rozsahu o ˇrádovˇe stovkách klient˚ u. U vˇetˇs´ıch poskytovatel˚ u by bylo radno vymˇenit nˇekteré hardwarové, pˇredevˇs´ım s´ıt’ové karty, a softwarové, p3scan nen´ı testován na vˇetˇs´ı zat´ıˇzen´ı neˇz des´ıtky paraleln´ıch spojen´ı, komponenty.

32

Dodatek A

Konfigurace dnscache 1. Zjist´ıme, zda jsme pˇripojeni k internetu dnsq a www.aol.com 192.203.230.10. 2. Vytvoˇr´ıme uˇzivatele dnscache, pod kter´ ym bude bˇeˇzet cache a dnslog, pod kter´ ym bude bˇeˇzet (samostatná) logovac´ı sluˇzba. 3. Spust´ıme pˇr´ıkaz dnscache-conf dnscache dnslog /var/lib/dnscache 192.168.0.1 posledn´ı argument je adresa, ze které bude náˇse cache dostupná. 4. Sluˇzbˇe svscan, která kontroluje bˇeˇz´ıc´ı procesy v rámci program˚ u djbdns, sdˇel´ıme, ˇze pˇribyla nová sluˇzba ln -s /var/lib/dnscache /service && sleep 5 && svstat /service/dnscache && svstat /service/dnscache/log. 5. Vytvoˇr´ıme soubor, kter´ y urˇc´ı adresy autorizované k pˇr´ıstupu ke cachei touch /var/lib/dnscache/root/ip/192.168. 6. Do konfiguraˇcn´ıho souboru DHCP serveru nebo do souboru /etc/resolv.conf, kter´ y mus´ı b´ yt rezistentn´ı v˚ uˇci vlivu zmˇeny konfigurace z DHCP serveru nameserver 192.168.0.1. 7. Pomoc´ı pˇr´ıkazu dnsip www.fsf.org zjist´ıme, jestli cache funguje.

33

Dodatek B

Nastaven´ı sniˇ zuj´ıc´ı poˇ cet z´ apis˚ u na m´ edium B.1

Konfiguraˇ cn´ı soubor /etc/fstab

# /etc/fstab: static file system information. # # <mount point>

<pass>

# pseudo souborovy system, uzivatelsky dosazitelny proc /proc proc defaults

0

0

1

2

0

1

# zavadeci oddil na externim flash mediu pripojenem na IDE kanal /dev/hdc1 /boot ext3 defaults,noatime,ro # korenovy oddil na USB flash mediu /dev/sda1 / ext3 defaults,noatime,ro

# odkladaci prostor v RAM tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 # drzi obsah adresare s casto menenymi soubory operacni pameti tmpfs /rw/var tmpfs defaults,noatime 0 # CD mechanika 1 /dev/hda /media/cdrom0 # CD mechanika 2 /dev/hdb /media/cdrom1

B.2

0 0

udf,iso9660 user,noauto

0

0

udf,iso9660 user,noauto

0

0

Skript /etc/init.d/copytoram

Inspiraci pro tyto skripty jsem nasel zde [37]. #!/bin/sh case ‘‘$1’’ in start) 34

echo -n ’Kopiruju obsah adresaru urcenych pro zapis do RAM... ’ cp --preserve=all -P -r /var /rw echo -n ’/var’ echo ’hotovo’ echo ’pripojuji tmpfs na /var’ mount --bind /rw/var /var ;; stop) ;; esac

B.3

Skript /etc/init.d/writefromram

#!/bin/sh case ‘‘$1’’ in start) ;; stop) echo ’Ukoncuji programy drzici si soubory ve /var...’ kill ‘lsof | grep /var | awk ’{print $2}’ | uniq‘ sleep 1 kill -9 ‘lsof | grep /var | awk ’{print $2}’ | uniq‘ echo ’hotovo’ sleep 2 echo -n ’Odpojuji adresare typu tmpfs... ’ umount /var mount -o remount,rw / echo ’hotovo’ echo -n ’Kopiruji aktualizovane soubory zpatky na flash disk...’ cp -r -u --preserve=all /rw/var / mount -o remount,ro / sync echo ’hotovo’ ;; esac

35

Dodatek C

p3scan - kontrola email˚ u OUTPUT=‘‘/tmp/p3scan.test’’ THISPGM=$0 FILENAME=$1 MAILFROM=$2 MAILTO=$3 USERNAME=$4 SUBJECT=$5 MAILDATE=$6 SERVERIP=$7 SERVERPORT=$8 CLIENTIP=$9 CLIENTPORT=${10} PROTOCOL=${11} # P3Scan PROGNAME=${12} # P3Scan version VERSION=${13} # Virus info? VDINFO=${14} # hlavicka antiviroveho programu HEADER=${15} echo echo echo echo echo echo echo echo echo echo echo echo

1 $THISPGM > $OUTPUT 2 $FILENAME >> $OUTPUT 3 $MAILFROM >> $OUTPUT 4 $MAILTO >> $OUTPUT 5 $USERNAME >> $OUTPUT 6 $SUBJECT >> $OUTPUT 7 $MAILDATE >> $OUTPUT 8 $SERVERIP >> $OUTPUT 9 $SERVERPORT >> $OUTPUT 10 $CLIENTIP >> $OUTPUT 11 $CLIENTPORT >> $OUTPUT 12 $PROTOCOL >> $OUTPUT 36

echo echo echo echo

13 14 15 16

$PROGNAME $VERSION $VDINFO $HEADER

>> >> >> >>

$OUTPUT $OUTPUT $OUTPUT $OUTPUT

# volame antivirovy program /usr/bin/clamdscan ${FILENAME} CLAMSCAN=$? echo ’ClamAV respoded: ’${CLAMSCAN} >> $OUTPUT if [[ ${CLAMSCAN} == ’0’ ]]; then /usr/bin/spamc -c < ${FILENAME} >> $OUTPUT SPAMSCAN=$? echo ’spamc respoded: ’${SPAMSCAN} >> $OUTPUT fi if [[ ${CLAMSCAN} == ’0’ && ${SPAMSCAN} == ’0’ ]]; then P3SCAN=0; else P3SCAN=1; fi echo ’P3SCAN respoded: ’${P3SCAN} >> $OUTPUT exit ${P3SCAN}

37

Dodatek D

Popis skriptu gen.sh D.1

Funkce gen iptables rules

Obsahuje vytvoˇren´ı NATu, ochranu proti spoofingu a zahazován´ı paket˚ u na portu pouˇz´ıvaném pro sd´ılen´ı ve Windows. iptables iptables iptables iptables

-F -t nat -F -I INPUT 1 -i ${WAN_IFACE} -j ACCEPT -I INPUT 1 -i ${LO} -j ACCEPT

# NAT/PAT iptables -A FORWARD -i ${LAN_IFACE} -s 192.168.0.0/255.255.0.0 -j ACCEPT iptables -A FORWARD -i ${WAN_IFACE} -d 192.168.0.0/255.255.0.0 -j ACCEPT iptables -t nat -A POSTROUTING -o ${WAN_IFACE} -j MASQUERADE # povoleni preposilni paketu skrz smerovac echo 1 > /proc/sys/net/ipv4/ip_forward # zapne ochranu proti spoofingu for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f done # zahazuje vschny pakety, ktere prochazeji skrz smerovac a smeruji # do nebo z portu, ktery je pouzit pro sdileni souboru ve Windows iptables -A FORWARD --dport 445 -j DROP iptables -A FORWARD --sport 445 -j DROP

D.2

Funkce gen tc rules

Vygeneruje základn´ı strukturu pro ˇr´ızen´ı ˇs´ıˇrky pásma. # smaze qdisk tc qdisc del dev $LAN_IFACE root >/dev/null # vytvori qdisk typu HTB 38

tc qdisc add dev $LAN_IFACE root handle 1:0 htb default 1 # na qdisk ‘‘povesi’’ korenovy uzel urcujici maximalni propustnost linky tc class add dev $LAN_IFACE parent 1:0 classid 1:1 htb rate ${BAND_DOWN}Kbit burst $BURST

D.3

Funkce gen dhcp

Funkce pracuje v cyklu, kdy pro kaˇzd´ y záznam v souboru mac.list vygeneruje pravidlo pro • DHCP server do soubory /etc/dhcp3/dhcpd.conf, které zajist´ı, ˇze klient s MAC adresou $MAC dostane vˇzdy stejnou IP adresu: host user${CNT} { hardware ethernet ${MAC} fixed-address 192.168.${GRP}.${HOST} } • ˇ r´ızen´ı ˇ s´ıˇ rky p´ asma # tˇ r´ ıda s garantovanou propustnosti ${RATE} tc class add dev ${LAN_IFACE} parent 1:1 classid 1:1${CNT} htb rate ${RATE}Kbit ceil ${MAXIMUM} burst ${BURST} # prida na konec vetve SFQ qdisc s prepocitavanim kazdych 5 minut tc qdisc add dev ${LAN_IFACE} parent 1:1${CNT} handle 1${CNT}:0 sfq perturb ${PERTURB} # znackovaci pravidlo do firewallu iptables -t mangle -A POSTROUTING -o ${LAN_IFACE} -d 192.168.${GRP}.${HOST} -j MARK --set-mark ${CNT} # filtrovani paketu, pokud ma paket znacku ${CNT} (defacto # poradove cislo), tak je poslan na konecnou vetev 1:1${CNT} tc filter add dev ${LAN_IFACE} parent 1:0 protocol ip handle ${CNT} fw flowid 1:1${CNT} SFQ patˇr´ı do rodiny ˇrad´ıc´ıch discipl´ın, které jsou zaloˇzené na fair-queue algoritmu v´ıce informac´ı viz [28]. • sv´ az´ an´ı IP adresy s klientskou MAC adresou iptables -A FORWARD -s 192.168.${GRP}.${HOST} -m mac --mac-source ! ${MAC} -j DROP

39

Literatura [1] WWW stránky. Abclinuxu: Jaderné noviny 285. http://www.abclinuxu.cz/clanky/jaderne-noviny/jaderne-noviny-285. ISSN 1214-1267. [2] WWW stránky. Cert: Sendmail vulnerability notes. http://search.cert.org/query.html?col=vulnotes&qt=sendmail&charset=iso-8859-1. [3] WWW stránky. Cisco: How nat works. http://www.cisco.com/warp/public/556/nat-cisco.shtml. [4] WWW stránky. Commsdesign: An introduction to nand flash. http://www.commsdesign.com/showArticle.jhtml?articleID=183700957. [5] WWW stránky. Debian security advisories. http://www.debian.org/security/#DSAS. [6] WWW stránky. Debian: Spoleˇcenská smlouva. http://www.debian.org/social contract. [7] WWW stránky. Debian: What do you mean by free software? http://www.debian.org/intro/free. [8] WWW stránky. The djb way: djb and copyright. http://www.thedjbway.org/license free.html. [9] WWW stránky. D. j. bernstein: djbdns - how to adjust the cache size. http://cr.yp.to/djbdns/cachesize.html. [10] WWW stránky. D. j. bernstein: djbdns - security. http://cr.yp.to/djbdns/blurb/security.html. [11] WWW stránky. Frequently asked questions about imq. http://wiki.nix.hu/cgi-bin/twiki/view/IMQ/ImqFaq. [12] WWW stránky. Gentoo cross development guide. http://www.gentoo.org/proj/en/base/embedded/cross-development.xml. [13] WWW stránky. Gentoo linux: About. http://www.gentoo.org/main/en/about.xml. [14] WWW stránky. Gentoo linux cron guide. http://www.gentoo.org/doc/en/cron-guide.xml.

40

[15] WWW stránky. Gentoo linux security advisories. http://www.gentoo.org/security/en/glsa/. [16] WWW stránky. Htb linux queuing discipline manual - user guide. http://luxik.cdi.cz/ devik/qos/htb/manual/userg.htm. [17] WWW stránky. Indiana university: Unix systems support group - automating tasks with cron services. http://www.uwsg.iu.edu/usail/automation/cron.html. [18] WWW stránky. Ingate firewall: Definitions of terms. http://www.ingate.com/files/422/fwmanual-en/xa11944.html. [19] WWW stránky. Internet faq archives: The atime and noatime attribute. http://www.faqs.org/docs/securing/chap6sec73.html. [20] WWW stránky. Jffs : The journalling flash file system. http://sources.redhat.com/jffs2/jffs2-html/node3.html. [21] WWW stránky. Jffs : The journalling flash file system#mounting. http://sources.redhat.com/jffs2/jffs2-html/node3.html#SECTION00035000000000000000. [22] WWW stránky. Linux Advanced Routing & Traffic Control HOWTO. [23] WWW stránky. Linux-kernel archive: Kernel 2.6 size increase. http://www.uwsg.iu.edu/hypermail/linux/kernel/0307.2/2279.html. [24] WWW stránky. Linuxnet bonding. http://linux-net.osdl.org/index.php/Bonding. [25] WWW stránky. Linuxnet ifb. http://linux-net.osdl.org/index.php/IFB. [26] WWW stránky. man 8 route. http://www.die.net/doc/linux/man/man8/route.8.html. [27] WWW stránky. Mrtg: About. http://www.mrtg.cz/doc/mrtg.en.html. [28] WWW stránky. Network Traffic Control Network Modeling. [29] WWW stránky. O’reilly: Understanding zeroconf and multicast dns. http://www.oreillynet.com/pub/a/wireless/2002/12/20/zeroconf.html. [30] WWW stránky. Rfc 2461: Ipv6 stateless address autoconfiguration. http://www.ietf.org/rfc/rfc2461.txt. [31] WWW stránky. Rfc 2462: Ipv6 stateless address autoconfiguration. http://www.ietf.org/rfc/rfc2462.txt. [32] WWW stránky. Rfc 3315: Dynamic host configuration protocol for ipv6 (dhcpv6). http://tools.ietf.org/html/rfc3315. [33] WWW stránky. Rfc 3489: Stun - simple traversal of user datagram protocol (udp) through network address translators (nats). http://www.ietf.org/rfc/rfc3489.txt.

41

[34] WWW stránky. Root: Htb - jemn´ yu ´vod. http://www.root.cz/clanky/htb-jemny-uvod/. [35] WWW stránky. Rous´ınovsko: Faq. http://www.rousinov.com/new/faq.php. [36] WWW stránky. Rous´ınovsko: Mapa pokryt´ı. http://www.rousinov.com/new/mapa.php. [37] WWW stránky. Signal lost: Installing debian unstable on a wrap board with a ro cf disk. https://signal-lost.homeip.net/projects/wrap/. [38] WWW stránky. uclibc: A c library for embedded linux. http://www.uclibc.org/about.html. [39] WWW stránky. udhcp server/client package. http://udhcp.busybox.net/. [40] WWW stránky. Vim cross compile patch. http://linuxfromscratch.org/pipermail/patches/2006-June/003055.html. [41] WWW stránky. Wikipedia: Debian#debian releases. http://en.wikipedia.org/wiki/Debian#Debian releases. [42] WWW stránky. Wikipedia: List of toy story characters#etch. http://en.wikipedia.org/wiki/List of Toy Story characters#Etch. [43] WWW stránky. Wikipedia: Nat#benefits. http://en.wikipedia.org/wiki/Network address translation#Benefits. [44] WWW stránky. Wikipedia: Nat#drawbacks. http://en.wikipedia.org/wiki/Network address translation#Drawbacks. [45] WWW stránky. Wikipedia: Realtek#criticism. http://en.wikipedia.org/wiki/Realtek#Criticism. [46] WWW stránky. Wikipedia: Softwarové smˇerovaˇce (informativn´ı seznam). http://en.wikipedia.org/wiki/Router#.22Software.22 routers. [47] WWW stránky. Wikipedia: Usb flash drive#strengths and weaknesses. http://en.wikipedia.org/wiki/USB flash drive#Strengths and weaknesses. [48] WWW stránky. Zdrojové kódy freebsd ovladaˇce k ˇcip˚ um ˇrady 8129/8139. http://fxr.watson.org/fxr/source/pci/if rl.c. [49] WWW stránky. Zero configuration networking (zeroconf). http://www.zeroconf.org/.

42

SLUŽEB INTERNETU FAKULTA INFORMAČNÍCH TECHNOLOGIÍ MICHAL NOWAK BRNO UNIVERSITY OF TECHNOLOGY

Recommend Documents