ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ZADÁNÍ BAKALÁŘSKÉ PRÁCE Název: Porovnání systémů pro pokročilou správu připojení k síti Student: Ondřej Lauer Vedoucí: Ing. Viktor Černý Studijní program: Informatika Studijní obor: Informační technologie Katedra: Katedra počítačových systémů Platnost zadání: Do konce letního semestru 2017/18 Pokyny pro vypracování Prozkoumejte oblast NAC (Network Access Control) softwaru. Zaměřte se na NAC software, který lze použít pro kabelovou i bezdrátovou komunikaci. Porovnejte dostupná open source řešení s komerčními. Diskutujte možnosti nasazení ve fakultní síti se správcem fakultní sítě a zvolte nejvhodnější alternativu nasazení Zvolenou alternativu NAC softwaru nasaďte v kontrolované části fakultní sítě a analyzujte přínosy a nedostatky zvoleného řešení. Seznam odborné literatury Dodá vedoucí práce. prof. Ing. Róbert Lórencz, CSc. prof. Ing. Pavel Tvrdík, CSc. vedoucí katedry děkan V Praze dne 1. prosince 2016 České vysoké učení technické v Praze Fakulta informačních technologií Katedra počítačových systémů Bakalářská práce Porovnání systémů pro pokročilou správu připojení k síti Ondřej Lauer Vedoucí práce: Ing. Viktor Černý 2. května 2017 Poděkování Rád bych poděkoval vedoucímu své bakalářské práce Ing. Viktorovi Černému za odborné vedení, za pomoc a rady při zpracování této práce. Dále bych rád poděkoval svému oponentovi, Ing. Martinovi Bílému, za ochotu a pomoc při vytváření testovacího prostředí a při implementaci výsledného řešení. Prohlášení Prohlašuji, že jsem předloženou práci vypracoval(a) samostatně a že jsem uvedl(a) veškeré použité informační zdroje v souladu s Metodickým pokynem o etické přípravě vysokoškolských závěrečných prací. Beru na vědomí, že se na moji práci vztahují práva a povinnosti vyplývající ze zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů. V souladu s ust. § 46 odst. 6 tohoto zákona tímto uděluji nevýhradní oprávnění (licenci) k užití této mojí práce, a to včetně všech počítačových programů, jež jsou její součástí či přílohou, a veškeré jejich dokumentace (dále souhrnně jen „Dílo“), a to všem osobám, které si přejí Dílo užít. Tyto osoby jsou oprávněny Dílo užít jakýmkoli způsobem, který nesnižuje hodnotu Díla, a za jakýmkoli účelem (včetně užití k výdělečným účelům). Toto oprávnění je časově, teri- toriálně i množstevně neomezené. Každá osoba, která využije výše uvedenou licenci, se však zavazuje udělit ke každému dílu, které vznikne (byť jen zčásti) na základě Díla, úpravou Díla, spojením Díla s jiným dílem, zařazením Díla do díla souborného či zpracováním Díla (včetně překladu), licenci alespoň ve výše uvedeném rozsahu a zároveň zpřístupnit zdrojový kód takového díla ale- spoň srovnatelným způsobem a ve srovnatelném rozsahu, jako je zpřístupněn zdrojový kód Díla. V Praze dne 2. května 2017 . České vysoké učení technické v Praze Fakulta informačních technologií c 2017 Ondřej Lauer. Všechna práva vyhrazena. Tato práce vznikla jako školní dílo na Českém vysokém učení technickém v Praze, Fakultě informačních technologií. Práce je chráněna právními před- pisy a mezinárodními úmluvami o právu autorském a právech souvisejících s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných li- cencí, je nezbytný souhlas autora. Odkaz na tuto práci Lauer, Ondřej. Porovnání systémů pro pokročilou správu připojení k síti. Ba- kalářská práce. Praha: České vysoké učení technické v Praze, Fakulta infor- mačních technologií, 2017. Abstrakt V této bakalářské práci jsem řešil problém výběru a částečné implementace vhodného open-source systému pro pokročilou správu uživatelů pro fakultní síť FIT ČVUT v Praze. Literární rešerše práce se zabývá porovnáním dostupných řešení, popisem jejich jednotlivých funkcionalit a technologií. Praktická část práce se zabývá implementací vybraného řešení v omezené testovací síti a poté případnou implementací v produkční fakultní síti. Vybrané řešení usnadňuje splňování nestandartních požadavků na přístup uživatelů k síti (přístup ná- vštěv, návstěvníků konferencí...). Přínosem této práce je nalezení řešení, které správci sítě zjednoduší postup při zajištění připojení uživatelů do sítě. Klíčová slova porovnání open-source NAC, nástroj pro správu připojení k síti, implementace, síť FIT ČVUT Abstract In this Bachelor thesis I have chosen and partially implemented an appropri- ate open-source tool for advanced user management for the CTU FIT faculty network. The theoretical part is introducing the compared tools, their functi- onalities and specific underlying technologies. The practical part is about the ix partial implementation of the selected tool in a testing environment. The se- lected tool aims to make fulfilling non-standard requirements (acces to the Internet for visits or conference visitors...) much easier. The main goal of this thesis is to make the faculty network administrators work easier. Keywords open-source NAC comparison, network connection management tool, implementation, FIT CTU network x Obsah Úvod 1 Cíl práce . 1 Struktura práce . 1 1 Analýza 3 1.1 Úvod................................. 3 1.2 Porovnávané vlastnosti . 6 1.3 Porovnávané produkty . 16 1.4 Vyhodnocení porovnání . 16 2 Nasazení 21 2.1 Hardware . 21 2.2 Síť . 21 2.3 Instalace . 22 3 Testování 31 Závěr 33 Literatura 35 A Uživatelské rozhraní PacketFence 39 B Seznam použitých zkratek 43 C Obsah přiloženého CD 45 xi Seznam obrázků 2.1 Diagram sítě . 21 2.2 Diagram sítě 2 . 29 A.1 Možnosti registrace . 39 A.2 Nastavování síťových rozrhraní . 40 A.3 Logy o stavu databáze a RADIUS požadavcích . 40 A.4 Logy o vytížení serveru a CPU wait . 41 A.5 Možnosti nastavení portálportal profilu . 41 A.6 Captive portál - možnost přihlášení nebo registrace . 42 A.7 Záznam o registrovaném zařízení k účtu . 42 xiii Seznam tabulek 1.1 Porovnání vlastností firewallů a Captive portálu . 18 1.2 Porovnání vlastností NAC software . 19 2.1 Přehled informací o síťových rozhraních . 30 xv Úvod V současnosti fakulta Informačních technologií ČVUT v Praze hostuje nemalé množství různých konferencí a setkání. Při těchto akcích vzniká potřeba připojení k síti Internet. Technické zajiš- tění připojení řídí lokální správce sítě. Smyslem mé práce je najít a popsat způsoby řešení, které technické zajiš- tění připojení zjednoduší. Téma jsem si zvolil po dohodě s protože Ing. Bílým, který se v danou chvíli uvedeným problémem zabýval. Problematika počítačových sítí je mi velmi blízká, je to oblast, které bych se chtěl věnovat i při svém dalším studiu. Práce má za úkol vytvořit porovnání současně dostupných open-source systémů, vybrat ten nejvhodnější pro prostředí FIT ČVUT a následně jej porovnat s placenou variantou systému. Práce obsahuje porovnání systémů a také konfiguraci zvoleného řešení. Cíl práce Cílem rešeršní práce je porovnání stávajících open-source nástrojů pro pokro- čilou správu připojení k síti a zvolení nejvhodnější varianty pro FIT ČVUT. Cílem praktické práce je implementace vybraného řešení – nejdříve pro menší, testovací síť, poté případná následná implementace na produkční síť. Struktura práce První kapitola se zabývá analýzou vybraných rešení, uvedením porovnávaných vlastností a jejich podrobným popisem. Druhá kapitola popisuje implementaci řešení na fakultní síti. Třetí kapitola pojednává o způsobu testování aplikace. V příloze jsou uvedené obrázky z vybraného řešení. 1 Kapitola 1 Analýza Tato kapitola pojednává o vlastním porovnávání jednotlivých řešení. 1.1 Úvod Vlastní porovnání jsem prováděl zkoumáním dokumentace jednotlivých řešení a vypisováním jejich klíčových a zajímavých vlastností. V pozdějších kapito- lách bude uvedena tabulka, která toto porovnání dokumentuje – v případě, že v dokumentaci daného řešení popisovaná vlastnost nebyla uvedena, byla považována za chybějící. V porovnávaných produktech se objevují tři druhy software : captive portál, firewall, NAC software. 1.1.1 Captive portál Captive portál je druh opatření, které nalezneme například v hotelech, kde je využíván k zamezení přístupu k nezaheslované veřejné Wi-Fi sítě. Po přihlá- šení je uživatel přesměrován na webovou stránku, která vyžaduje zadání jména a hesla, nebo rovnou zaplacení poplatku za připojení. Tato řešení nemusí být však absolutně bezpečná. V případě, že je tento systém nedostatečně imple- mentován, má případný útočník schopnost pouhým odposloucháváním síťo- vého provozu zjistit IP adresu a MAC adresu klienta, který za službu zaplatil a vydávat se za něj. 1.1.2 Firewall Firewall je zařízení (hardware nebo software), které monitoruje a kontroluje příchozí a odchozí síťový provoz na základě předdefinovaných bezpečnostních pravidel. Většinou se firewall používá na rozhraní mezi bezpečnou sítí a jejím okolím – které bezpečné být nemusí. Firewall prošel od svého vzniku velikým vývojem. Rozlišujeme tři generace: 3 1. Analýza První generace - paketový filtr Firewall první generace byl primitivní. Podle adres a portů v paketu se rozhodoval, zdali paket zahodit, nebo pus- tit dále do sítě. Takovýto firewall pracoval hlavně na prvních třech vrstvách ISO/OSI modelu. Druhá generace - stavový filtr Firewall druhé generace je velmi podobný generaci první. Rozdíl ve fungování je pouze v tom, že je schopný pracovat i na čtvrté, transportní, vrstvě ISO/OSI modelu. Toho je dosaženo zadržováním paketů, do té doby, než má firewall dostatek informací o jejich stavu. Díky tomuto principu je možné kromě původních, statických, pravidel přidat i pra- vidla, která se týkají stavu paketu – to znemaná, zdali začíná nové spojení, nebo je již částí spojení stávajícího. Tato schopnost