eduroam.cz - monitoring infrastruktury a detekce problémů

Podobné dokumenty
JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. CESNET Day České Budějovice

eduroam.cz správa a deployment pomocí Ansible

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Bezpečnost sítí

Replikace je proces kopírování a udržování databázových objektů, které tvoří distribuovaný databázový systém. Změny aplikované na jednu část jsou

Roamingová politika. federace eduroam.cz

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Jak funguje SH Síť. Ondřej Caletka

Sledování výkonu aplikací?

P16V PŘÍLOHA Č. 5 STANDARD KONEKTIVITY ŠKOL

J M K UP 009 IP KAMERA T865. Uživatelská příručka. Stručný průvodce instalací

AleFIT MAB Keeper & Office Locator

Popis logování v aplikačním serveru

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Jak se měří Internet

Standard vnitřní konektivity (dle přílohy č. 9 Specifických pravidel pro žadatele a příjemce v rámci výzvy č. 47 IROP)

IEEE Wi FI. Wi Fi

15 let federace eduroam. Jiří Bořík CESNET konference e-infrastruktury CESNET

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4

eduroam v kostce aneb šest pohledů na mobilní wifi CESNET Day v Liberci

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 3. Zadavatel: Název veřejné zakázky: Česká republika Ministerstvo zemědělství

Alcatel-Lucent. NMS OmniVista Účtování a zprávy. Ing.Martin Lenko listopad 2012

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

WEBFILTR živě. přímo na svém počítači. Vyzkoušejte KERNUN CLEAR WEB. Připojte se přes veřejně dostupnou WiFi síť KERNUN.

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Úvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11

Citidea monitorovací a řídicí centrála pro smart řešení

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Příručka pro nasazení a správu výukového systému edu-learning

Příloha č. 1 Technická specifikace předmětu plnění

BeeSIP ANEB BEZPEČNOST SILNIČNÍHO PROVOZU V IP TELEFONII

Ochrana soukromí v DNS

Koncept centrálního monitoringu a IP správy sítě

Představení konceptu a praktické poznatky z nasazení proxy IdP v prostředí e-infrastrutury CESNET

Práce s identitami na portálu knihovny.cz. Petr Žabička Moravská zemská knihovna v Brně

Poznámky pro uživatele bezdrátové sítě LAN

Novinky a plány v Meetings a konferenčních technologiích. Jan Růžička Konference CESNET 2019

Koncept. Centrálního monitoringu a IP správy sítě

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Instalace a konfigurace

ID listu: DATA_VPN _ (poslední dvojčíslí označuje verzi listu)

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou a/g. Příručka k rychlé instalaci

Otevřený svět ICS. Radim Navrátil. aneb co svět oken a ICS? Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o.

Aktivní bezpečnost sítě

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Instalační manuál. 1. Instalace hardwaru

Kernun Clear Web. Nejúčinnější URL filtr pro české prostředí. seminář - hotel Barcelo Radek Nebeský, TNS a.s.

APS Administrator.ST

Dvoupásmový přístupový bod pro venkovní použití Návod k obsluze - EC-WA6202 (EC-WA6202M)

ID listu: DATA_VPN _ (poslední dvojčíslí označuje verzi listu) Platnost od: Označení služby

Mobilita a roaming v sítích národního výzkumu. Jan.Furman@CESNET.CZ

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

DOKUMENTACE MTJ SERVICE S.R.O.

DHCP. Martin Jiřička,

Úvod do aplikace SMS/MMS Manager

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Rychlá instalační příručka TP-LINK TL-WR741ND

Odbor informatiky a provozu informačních technologií

Sledování kvality služeb v prostředí IMS, SS7 a VoIP. Martin Rosický 23. listopad 2010

Nové technologie pro tísňové volání a operační řízení základních složek IZS

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

PB169 Operační systémy a sítě

Příloha č. 8 Technický popis řešení

uzly. Výpočetní uzel (Working node) výkonná jednotka clusteru.

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Nasazení a využití měřících bodů ve VI CESNET

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Správa probíhá v přehledné webové konzoli.

Sítě IEEE (WiFi)

Informační systém klubu Silicon Hill

NÁVOD K POUŽITÍ. IP kamerový systém.

Tomáš Kantůrek. IT Evangelist, Microsoft

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Synchronizace CRM ESO9 a MS Exchange

Technická specifikace soutěžených služeb

Windows Server 2003 Active Directory

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Návod k obsluze. Příprava. Příručka pro rychlou instalaci přístupového bodu WLAN

Michal Andrejčák, Seminář Energetika v průmyslu, Hotel Vista Dolní Morava, Možnosti monitorování a ovládání Zpracování dat z rozvoden

Helpdesk Liberecké IS

Federativní autentizace v portálu Knihovny.cz, mojeid, IdP sociálních služeb, požadované atributy u Knihovny.cz

EXTRAKT z technické normy ISO

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Jak se měří Internet

1.05 Informační systémy a technologie

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Propojení Spectu - POSlavu

IntraVUE Co je nového

Instalace a konfigurace web serveru. WA1 Martin Klíma

cena jednodenního školení: 4000Kč/osoba, druhá a další z téže firmy 3000Kč cena dvoudenního školení: 7000Kč/osoba, druhá další z téže firmy 6000Kč.

Monitoring SQL Server, Resource Governor, Tracing SQL Server

Novell Identity Management. Jaromír Látal Datron, a.s.

Použití FlexiBee v prostředí ISP. Michal David, ISP Allinace a. s.

Transkript:

eduroam.cz - monitoring infrastruktury a detekce problémů Václav Mach 7. října 2018 Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko. Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 1 / 18

Základní zapojení ins tucí Typické zapojení Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 2 / 18

Základní zapojení ins tucí Zapojení pomocí proxy Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 3 / 18

*** Received from 78.128.211.146 port 39342.... Code: Access-Request I d e n t i f i e r : 108 Attributes : User-Name = semik@cesnet.cz Called-Sta on-id = F4-F2-6D-22-71-44:eduroam NAS Port Type = Wireless IEEE 802 11 NAS Port = 2 Calling-Sta on-id = XX-XX-XX-XX-XX-XX Connect I n f o = CONNECT 54Mbps 802.11g Acct Session Id = 5BA7CE53 00000010 Framed MTU = 1400 Operator-Name = 1eduroom.cesnet.cz Chargeable User I d e n t i t y = <0> Proxy State = OSC Extended Id =1388 Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 4 / 18

Když to nefunguje... tak to někdo opraví? Přestože jde o jednoduchuše fungující službu, existuje mnoho různých věcí, které můžou zapříčinit nefunkčnost pro koncové uživatele: nefunkční spojení na národní RADIUS nemožné ověření návštěvníků různorodé bugy v RADIUS serverech špatné SSID (např Eduroam) špatné uživatelské jméno (user@seznam. cz, user@realm. cz,... ) Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 5 / 18

Proč monitorovat Monitorujeme, protože je lepší příjít na problém dřív než uživatel. nefunkčnost kazí dojem kvalitní služby řada uživatelů se nikdy s problémem neozve uživatelé mnohokrát nejsou schopni poskytnout relevantní informace některé problémy jsou specifické pro určité IdP & SP některé problémy představují bezpečnostní riziko Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 6 / 18

Dřívější a současný stav monitoringu Stroj v rámci eduroam infrastruktury, který simuluje přístupový bod (AP). Existují i HW sondy, ale jsou používány pouze v lokálním měřítku. Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 7 / 18

Dřívější stav monitoringu v provozu od roku 2006 jádrem byl nagios 2, dále přechod na nagios 3 sta cky generovaná konfigurace http://archiv.cesnet.cz/doc/techzpravy/2006/ eduroam-monitoring/ Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 8 / 18

Nový stav monitoringu v provozu od zaří 2018 (vývoj od Q1 2018) jádrem je Icinga 2 cílem byla kompletně dynamická konfigurace bez sta cky generovaných čás část konfigurace musí být generována kvůli problémům s directorem odstraněna pevná závilost na zdroji dat synchronizaci zajišťuje Icinga director, fileshipper a vlastní synchronizační skript Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 9 / 18

Nasazování konfigurace 1 kontrola dostupnos nových dat, vložení do databáze, generování konfigurace 2 synchronizace Directora z databáze 3 nasazení všech čás do celkové konfigurace Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 10 / 18

Nasazování konfigurace cronjob, každých 5 minut kontrola nových zdrojových dat (LDAP) pomocí modifytimestamp jednou denně force konfigurace ac vity log, diffy konfigurace Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 11 / 18

Testy závislé na typu realmu (IdPSP, SP, IdP) a typu serveru (infrastrukturní, monitorovaný) povinné (no fikované), nepovinné (neno fikované) rad_eap_test wrapper pro eapol_test kompletní přehled na https://github.com/cesnet/ eduroam-icinga/blob/master/doc/tests.md Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 12 / 18

Testy závislé na typu realmu (IdPSP, SP, IdP) a typu serveru (infrastrukturní, monitorovaný) povinné (no fikované), nepovinné (neno fikované) rad_eap_test wrapper pro eapol_test kompletní přehled na https://github.com/cesnet/ eduroam-icinga/blob/master/doc/tests.md Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 12 / 18

Monitoring eduroamu Monitoring eduroamu dostupnost služby ověřujeme pomocí testovacích účtů všech organizací testujeme každého s každým ma ce dostupnos Ma ce dostupnos v řádcích jsou servery organizací ve sloupcích jsou organizace políčko na řádku a a ve sloupci b: jak funguje eduroam lidem z b, pokud jsou na návštěvě v organizaci a aktuálně testujeme 240 serverů, 220 organizací a více než 45000 služeb Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 13 / 18

Ma ce dostupnos zdrojem dat je api icingy (icingacli) { echo "host_name,service_description,service_state,service_state_type,service_last_check" ; icingacli monitoring list services --service="*@*" --format='$host_name$,$service_description$,$service_state$,$service_state_type$,$service_last_check$' \ --columns=host_name,service_state,service_description,service_last_check,service_state_type \ sortcsvradius.py ; } jq -R -s -f filter.jq -c -r > data.json cronjob aktualizuje data každé 2 minuty frontend v d3.js živě na https://monitor.eduroam.cz/matrix video na https://youtu.be/r-8_ss2_xyy Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 14 / 18

etlog systém pro analýzu logů národního RADIUS serveru detekuje pravděpodobně kompromitované iden ty a rychlé přesuny uživatelů tato data čerpá monitoring vymýšlíme další metody detekce problémů Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 15 / 18

Problémy monitoringu Icinga 2 #6629 (otevřený) - příliš časté spouštění testů Icinga Director #1455 (vyřešený) - není možné obnovit některé smazané objekty #1462 (zavřený) - není možné mazat více objektů najednou #1636 (otevřený) - nesprávně fungující filtry v importních zdrojích Monitoring Plugins #6629 (otevřený) - plugin ping4 komunikuje po IPv6 Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 16 / 18

Icinga Web 2 Jako webové rozhraní používáme Icinga Web 2. problémy s u -8 rychlost odezvy webu Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 17 / 18

Dokumentace, zdrojové kódy Vše veřejně na githubu setup monitoringu - https://github.com/cesnet/eduroam-icinga dokumentace pro nás snaha o dokumentaci monitoringu jako celku tak, aby mohl znovupoužít kdokoliv podpůrné nástroje (ma ce) - https://github.com/cesnet/eduroam-monitor etlog - https://github.com/cesnet/etlog rad_eap_test - https://github.com/cesnet/rad_eap_test Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 18 / 18

Dotazy Dotazy? připomínky na vaclav.mach@cesnet.cz Václav Mach eduroam.cz - monitoring infrastruktury a detekce problémů 19 / 18

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář