Česky

Popis produktu NETMan

jan.kubes, aktualizováno: 31.07.2014

Kontrola přístupu k síti pomocí aplikace NETMan je založena na principu NAC serveů (dále NAC z angl. „Network Access Control“), kdy aplikace omezuje přístup koncových ICT zařízení k počítačové síti jen pro povolené (registrované) koncové ICT zařízení.

Aplikace je určena zejména administrátorům a pracovníkům uživatelské ICT podpory.

Základní informace

Základem celého systému je dedikovaný NAC server. Ten obsahuje vlastní databázi, webserver i interpretery použitých skriptovacích jazyků stejně tak jako širokou paletu software využívaného ke komunikaci se síťovými prvky, monitorování sítě a zajištění dalších funkcí aplikace.

Server používá variantu oblíbeného operačního systému Red Hat Enterprise Linux (RHEL). NAC 1.0 je nadstavbou standardně nasazovaného řešení FreeNAC.

Přístup do aplikace

Do aplikace se přistupuje přes jednotné rozhraní intranetu Microsoft Office Sharepoint Server (dále jen MOSS). Přímý přístup, např. zadáním URL aplikace do prohlížeče možný není, neboť přihlášení do aplikace probíhá integrovaně (tj. bez ručního zadávání uživatelského jména a hesla), přičemž přihlašovací údaje se zabezpečeně předávají právě z prostředí MOSS.

Práva a role

S aplikací mohou pracovat jen Ti uživatelé, kteří mají patřičná přístupová práva. Ta jsou řízena pomocí členství ve skupinách v adresářové službě a mohou je přidělit odpovídající administrátoři.

Aplikace rozlišuje tyto základní čtyři role:

  • Čtenář – vidí vybrané sekce, nemůže provádět žádné změny
  • Helpdesk – vidí vybrané sekce, může restartovat porty, nemůže provádět úpravy
  • Editor – vidí vše, může provádět úpravy vyjma hlavní konfigurace a číselníků
  • Administrátor – plná práva

Tyto role mj. ovlivňují, které položky menu jsou danému uživateli přístupné a jaké akce může uživatel provést.

Požadavky na webový prohlížeč

Preferovaným prohlížečem pro práci s aplikací NAC je Microsoft Internet Explorer verze 7 nebo vyšší. Rozhraní bylo zároveň otestováno na ostatních majoritních grafických prohlížečích:

  • Google Chrome
  • Mozilla Firefox

Aplikace by však měla bez obtíží fungovat v libovolném moderním grafickém prohlížeči s podporou cookies, CSS a skriptování v Javascriptu. Přístup přes textové prohlížeče podporován není.

Podmínkou správné funkce aplikace je povolit soubory cookies pro NAC server. Prohlížeče disponující pokročilými funkcemi zabezpeční mohou navíc vyžadovat přidání serveru mezi důveryhodné.

Úvodní stránka 

Jestliže integrované přihlášení úspěšně proběhne a právě přihlášený uživatel MOSS má v aplikaci NAC práva, zobrazí se hlavní stránka aplikace (Obrázek 1).

1.jpg

 Obrázek 1: Úvodní stránka NAC

Úvodní stránka slouží jako rozcestník. Požadovanou stránku zvolte v rolovacím menu (pozn.: položky, které v menu uvidíte, jsou závislé na Vaší roli).

Položky menu se v průběhu práce s aplikací nemění a není tedy nutné se vždy vracet na úvodní stránku. Pokud byste tak i přesto chtěli učinit, můžete to udělat tak, že kliknete na název aplikace.

Zobrazení aplikace v novém okně

Při práci s NAC budete často pracovat s rozsáhlými tabulkami. Je proto výhodné mít k dispozici co největší pracovní okno. Pro vytvoření klonu aplikace v novém okně můžete použít ikonu, kterou naleznete vpravo od názvu aplikace na libovolné stránce. Tutu akci je možné provést i opakovaně.

Pokud dojde k vypršení session u aplikace otevřené v novém okně, musíte se opět přihlásit přes MOSS a aplikaci do nového okna znovu otevřít. Obnovením stránky k opětovnému automatickému přihlášení nedojde. Je to způsobeno tím, že pro přihlašovací proces je nezbytná součinnost s MOSS a ten není dostupný, jestliže jste aplikaci otevřeli do samostatného okna.

Přihlášení jako jiný uživatel

7.jpg

   Obrázek 2: Přihlášení pod jiným uživatel

Skutečnost, že jste přihlášen(a) jako jiný uživatel můžete zkontrolovat ve stavovém řádku aplikace, který se zobrazuje vždy na konci výstupu.

Aplikace nepodporuje více instancí spuštěných pod různými uživateli a nedoporučujeme ji proto tímto způsobem používat, neboť může docházet k nečekanému chování způsobenému přepisem session cookie. Chování se může v různých prohlížečích lišit.

Odhlášení

Z aplikace se lze odhlásit pomocí položky menu „Odhlásit se“. Na počítačích, které jsou používány jen jedním uživatelem a kde nehrozí nebezpečí zneužití není odhlášení touto cestou nezbytné a je možné jednoduše zavřít okno prohlížeče.

Uživatelské rozhraní

NAC používá intuitivní uživatelské rozhraní vycházející ze zavedených zvyklostí v oblasti ovládání webových aplikací. K základní navigaci slouží hlavní menu, jednotlivé stránky pak často obsahují dodatečné navigační prvky usnadňující každodenní práci.

Seznamy

9.jpg

 Obrázek 3: Seznam konfigurace portů 

Velká část aplikace má formu tabulek s jednotným designem a stylem ovládání. V následujícím textu použijeme k ilustraci ovládání tabulku portů. Popisované principy však platí platné pro všechny seznamy.

Na obrázku (Obrázek 3) vidíme konfiguraci portů, která se zobrazuje ve formě seznamu. Povšimněme si některých důležitých prvků:

  • Filtrování – formulář umístěný nad vlastním seznamem
  • Záhlaví – umožňuje řazení
  • Sloupec akcí – vždy umístěný vlevo
  • Tlačítko pro přidání nového záznamu – umístěné pod seznamem

Kromě výše uvedeného na stránce nalezneme vedle vlastních tabulkových dat také informaci o počtu zobrazených záznamů a stavový řádek, společný všem výstupům aplikace. 

V seznamech lze dále provádět:

  • Filtrování
  • Řazení seznamů
  • Manipulaci se záznamy
  • Detail pro tisk
  • Restart portu
  • Editace záznamů
  • Odstranění záznamů
  • Změnu počtu zobrazených záznamů na stránce

 

 

   

Správa zařízení

Ke správě koncových zařízení slouží položky z prvního hlavního menu:

  • Neznámá zařízení
  • Nedávno spatřená
  • Podrobný seznam
  • Zaregistrovat nové zařízení

První tři volby vedou na seznamy, které se ovládají způsobem, jenž byl popsán v předcházející kapitole. Seznamy se liší přednastaveným filtrem a tím, jak podrobné informace o zařízeních zobrazují. Všem seznamům je společné, že obsahují základní informace, které jsou klíčové z hlediska správy:

  • Fyzická (MAC) a logická (IP) adresa zařízení
  • Časy, kdy bylo zařízení naposledy spatřeno
  • Switch/port, na kterém bylo zařízení naposledy spatřeno
  • Stav – možné hodnoty jsou
    • active – zařízení má povolený přístup k síti
    • killed – zařízení má zakázaný přístup k síti
    • unknown – přístup je určen aktuální bezpečnostní politikou
    • unmanaged – zařízení, která se nespravují prostřednictvím aplikace
  • Název

 

Neznámá zařízení

Sekce „Neznámá zařízení“ zobrazuje všechna koncová zařízení, která mají status "unknown" (Obrázek 4). Jedná se o ta zařízení, která se nově objevila a NAC server se s nimi ještě nesetkal. Tato stránka tedy slouží zejména ke kontrole, zdali se v síti objevují nová a případně neautorizovaná zařízení.
 
15.jpg
  
 Obrázek 4: Neznámá zařízení
 
 
To, jak NAC server s neznámými zařízeními nakládá, je záležitostí nastavené bezpečnostní politiky. Systém může fungovat v zásadě dvojím způsobem a to buďto jako monitor (tj. zařízení jsou implicitně povolena) nebo jako autorita rozhodující o právu k přístupu (zařízení jsou implicitně zakázána).
 
Dále můžeme spravovat následující zařízení:
  • Neznámá zařízení
  • Nedávno spatřená zařízení
  • Podrobný seznam zařízení
  • Zaregistrovat nové zařízení
  • Editovat zařízení
  • Časový plán zařízení

Reporty

Menu reporty slouží k zobrazení vybraných údajů v přehledné formě. Menu obsahuje následující položky:

  • Vybrané statistiky
  • Hledání možných hubů
  • Switch-port diagram: jeden switch
  • Switch-port diagram: všechny switche

Vybrané statistiky

Tato stránka umožňuje graficky znázornit některé parametry ve formě sloupcového nebo koláčového grafu (Obrázek 5). Pod vlastním grafem nalezneme přehlednou tabulku s četnostmi.
 
21.jpg
  
Obrázek 5: Reporty - vybrané statistiky
 
 
Dále můžeme reportovat následující:
  • Hledání možných hubů
  • Switch port diagramy

Konfigurace

Menu konfigurace slouží k editaci switchů a portů a také k nastavení aplikace NAC včetně editace číselníků. Dostupné akce jsou závislé na roli uživatele. Menu obsahuje následující položky:

  • Switch-port
  • Switche
  • Hlavní konfigurace
  • Virtuální sítě (VLANs)
  • VLAN – výjimky
  • Uživatelé
  • Budovy
  • Umístění
  • Skenování podsítí
  • Zařízení třídy 1
  • Zařízení třídy 2

Switch-port

Switch-port konfigurace slouží k přidávání, úpravám a odstraňování portů jednotlivých switchů. Tato sekce je realizována formou standardní tabulky (Obrázek 6), jak byla popsána v kapitole Uživatelské rozhraní a je editovatelná uživateli v roli administrátor a editor.
 
24.jpg
 
  
Obrázek 6: Switch - port konfigurace
 
 
Dále můžeme konfigurovat:
  • Switche
  • Hlavní konfiguraci
  • Virtuální sítě (VLANs)
  • VLAN – výjimky
  • Uživatelé
  • Budovy a umístění
  • Skenování podsítí
  • Zařízení 1. a 2. třídy

Monitoring

Menu monitoring slouží ke sledování důležitých log souborů a celkového stavu serveru. Menu obsahuje následující položky:

  • Log serveru
  • Log GUI
  • Syslog nessage log
  • Syslog debug log
  • Status serveru

 

Máte-li zájem o bližší informace, rádi Vám je poskytneme elektronickou formou nebo v rámci osobního setkání viz. záložka s kontaktními údaji.