Závěrečná zpráva projektu FR CESNET 468R1/2012. Optimalizace správy síťových aplikací a zařízení AMU

Podobné dokumenty
Microsoft Day Dačice - Rok informatiky

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

Projekt informačního systému pro Eklektik PRO S EK. Řešitel: Karolína Kučerová

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Technická specifikace HW pro rok 2012

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Porovnání instalací linuxových distribucí Fedora x Debian Administrace počítačových sítí (2010/2011)

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Novell Identity Management. Jaromír Látal Datron, a.s.

Maturitní projekt do IVT Pavel Doleček

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o.

NMS. Linux na Strahově. Radim Roška & Moris Bangoura InstallFest Silicon Hill

Příloha č. 1 k Č.j.: OOP/10039/ Specifikace zařízení

LINUX - INSTALACE & KONFIGURACE

Praha, Martin Beran

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

přes webový prohlížeč pomocí Ing. Tomáš Petránek

Konsolidace zálohování a archivace dat

Administrační systém ústředen MD-110

Představení Kerio Control

Kontrolní seznam projektu a systémové požadavky Xesar 3.0

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

ADMINISTRACE UNIXU A SÍTÍ - AUS Metodický list č. 1

FlowMon Monitoring IP provozu

Bezpečnost sítí

Centrální správa PC na MU. Pavel Tuček

Jak efektivně ochránit Informix?

DOCUMENT MANAGEMENT TOOLKIT

Úvod do počítačových sítí

Přechod na virtuální infrastrukturu

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

ICT plán školy. Organizační směrnice č. 8/2014

Google Apps. Administrace

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Radim Dolák Gymnázium a Obchodní akademie Orlová

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Acronis. Lukáš Valenta

O b s a h ÚVOD. Kapitola 1 HARDWAROVÉ PRVKY SÍTÍ

Webové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009

Copyright 2001, COM PLUS CZ a.s., Praha

Zřízení technologického centra ORP Dobruška

Závěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET

Specifikace funkcionalit bezpečnostního softwaru Varonis

Poskytněte zákazníkům přístup na Internet přes vlastní internetový Hotspot...

Flow Monitoring & NBA. Pavel Minařík

Lantronix, Inc. xprintserver Office Edition: Obchodní prezentace Listopad 2012

Závěrečná zpráva. Integrace datových úložišť CESNET do zálohovacích procesů AMU v Praze.

Technická specifikace

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

Olga Rudikova 2. ročník APIN

Bc. Martin Majer, AiP Beroun s.r.o.

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Prezentace CRMplus. Téma: CRMplus jako nástroj pro kontrolu a vyhodnocení rozpracovanosti dílů na zakázkách

NOVELL AUTORIZOVANÉ ŠKOLICÍ STŘEDISKO. v rámci celosvětového programu Novell Academic Training Partners (NATP) Ing. Marek Ťapťuch

Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady

PORTFOLIO POSKYTOVANÝCH SLUŽEB V OBL ASTI KYBERNETICKÉ BEZPEČNOSTI L OG JIŘÍ RICHTER

Instalace a první spuštění Programu Job Abacus Pro

w w w. u l t i m u m t e c h n o l o g i e s. c z Infrastructure-as-a-Service na platformě OpenStack

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Virtualizační platforma ovirt

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Proces vývoje HRIS Vema (Human Resources Information System) Jaroslav Šmarda

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

RadioBase 3 Databázový subsystém pro správu dat vysílačů plošného pokrytí

Město Varnsdorf, nám. E. Beneše 470, Varnsdorf, Česká republika SPECIFIKACE

TC-502L TC-60xL. Tenký klient

Základy programování Úvodní informace. doc. RNDr. Petr Šaloun, Ph.D. VŠB-TUO, FEI (přednáška připravena z podkladů Ing. Michala Radeckého)

Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB. Návrh realizace řešení

ICT plán školy. Organizační směrnice č. 10/2016

Sísyfos Systém evidence činností

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

IBM Tivoli Storage Manager 6.2 a IBM Tivoli Storage Manager FastBack 6.1.1

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota

Karel Bittner HUMUSOFT s.r.o. HUMUSOFT s.r.o.

Výzva na podání nabídek na veřejnou zakázku malého rozsahu

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Integrace formou virtualizace

Log management ELISA. Konference LinuxDays 2018

Technická specifikace soutěžených služeb

Z internetu do nemocnice bezpečně a snadno

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, Pelhřimov ICT PLÁN ŠKOLY

PORTÁL STÁTNÍ ROSTLINOLÉKAŘSKÉ SPRÁVY VE SLUŽBÁCH

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

TECHNICKÁ SPECIFIKACE

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení

Bezpečná autentizace přístupu do firemní sítě

GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER. váš partner na cestě od dat k informacím

Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Reporting a Monitoring

Transkript:

Závěrečná zpráva projektu FR CESNET 468R1/2012 Oblast I tématický okruh D Optimalizace správy síťových aplikací a zařízení AMU Řešitel: PaedDr. Radim Chvála, CSc., vedoucí Počítačového centra AMU Spoluřešitel: Bc. Jakub Ivanov, technický pracovník Počítačového centra AMU 1. Postup při řešení, způsob řešení Předmětem projektu je doplnění sítě AMU o systém který dovolí získávat, soustřeďovat a zpracovávat z logů různých aplikací a zařízení údaje: důležité pro bezpečnostní účely provozní údaje pro průběžnou kontrolu údaje o uživatelských přístupech důležité pro přehled o využití licencí u produktů licencovaných podle přístupu Systémy, ze kterých jsme chtěli údaje shromažďovat, jsou především: edirectory používaná jako centrální autentizací a autorizační adresář souborové servery OES IDM systém webové servery síťová zařízení Cist Pro řešení těchto potřeb byl, na základě podporovaných zdrojů dat, pořízen z prostředků FR CESNET specializovaný software Novell Sentinel Log Manažer 1.2 s licencí pro logování 500 událostí za sekundu. Jako potřebný hardware byl z prostředků příspěvku AMU zakoupen server DELL R720, 128GB RAM, 8x600GB DISK RAID 60, 10GE Ethernet. Na serveru byl nainstalován virtualizační systém VMWare 5.5. Sentinel Log Manager pak byl nasazen ve formě virtuální appliance ve verzi 1.2 a postupně aktualizován na verze 1.2.1 a nyní aktuální 1.2.2 Základní princip fungování Sentinel Log Manageru spočívá v tom, že k hlavnímu engine, který data zpracovává, ukládá a umožňuje jejich prohledávání, jsou připojeny SW komponenty zvané Collectory, Connectory a Event Source. Event Source představují vlastní zdroje dat - tedy např. z určitého serveru (IP adresy) přes síťové spojení posílaná data ve formátu pro Syslog, konkrétní soubory s logy uložené na síťovém úložišti, SNMP zprávy z konkrétního zařízení apod. Tyto Event Source s připojují ke Connectorům které podporují různé způsoby předávání dat - Syslog, soubory, protokoly Novell Audit, SNMP, WMI... Connectory posílají získaná data do Collectorů kde se parsují do jednotlivých polí používaných v rámci datové - 1/8 -

struktury Log Manageru. Collectory tedy musí být specifické pro jednotlivé aplikace či zařízení. V současné instalaci využíváme Collectory pro edirectory, Novell Identity Manager, Apache HTTP Server, Novell OES, Novell SLES, Cisco WLC a univerzální Collector (umí částečně zpracovat logy Postfixu) připojené přes Connectory Syslog a Novell Audit. Schema konfigurace Konfigurace sledovaných aplikací, zařízení a událostí je následující: edirectory: Login, Logout Ldap Bind Vytvoření a smazání objektu Změna hesla Operace se schématem - 2/8 -

Souborové služby Vytvoření, modifikace, přejmenování nebo smazání souborů na vybraných svazcích (sleduje se na svazcích kde jsou sdílené dokumenty) Identity Manager Chyby při provádění pravidel SLES Provozu serveru na kterém běží vlastní Log Manager (postupně se plánuje přidání dalších serverů) Apache HTTP server -přístupy z následujících webů / webových aplikací celoškolský web a weby jednotlivých fakult intranet (manažerské přehledy, výplatní lístky, aplikace pro žádanky a objednávky, aplikace pro vnitřní administraci grantů) webový přístup do studijního systému webový přístup k zaměstnaneckému mailu webový přístup ke studentskému mailu Dspace - repozitář VŠKP webový knihovní katalog Filr - vzdálený přístup k souborům Postfix - pomocí Univerzálního collectoru sbíráme data ze studentského mailového serveru. V současnosti pracujeme na základě tohoto collectoru na tvorbě vlastního, který bude zpracovávat i ty události které univerzální neumí - především související s imap serverem Dovecot a webovým mailovým klientem Roundcube. Software takovéto úpravy umožňuje. K dispozici jsou zdrojové kódy kolektorů (v jazyce javascript) i vývojové prostředí (upravený software Eclipse). Zároveň po ověření bezproblémové funkčnosti plánujeme nasadit sběr dat pomocí tohoto collectoru i na hlavní mailový server. - 3/8 -

Poznámky k řešení: Nasazení vlastního software jako appliance bylo bezproblémové. Při instalaci agentů (jsou potřeba pro audit edirectory, souborových služeb a sbírání logů Apache) bylo potřeba v některých případech řešit problémy s kompatibilitou různých verzí nebo linuxových distribucí. To se týkalo hlavně agenta pro sběr Apache logů, který je vyvíjen pro servery SLES/OES. Pro jeho nasazení na serverech s distribucí Debian, RedHat nebo Centos (máme všechny tyto verze) bylo potřeba agenta (je v podobě shell scriptu) mírně upravit. Zároveň bylo potřeba sjednotit způsob logování na jednotlivých serverech a vzhledem k používání proxy serverů (haproxy a nginx) vyřešit správné logování zdrojové adresy při přístupu z vnější sítě. 1. Dosažené cíle řešení 1.1. Zavedení sběru a zpracování dat, která zatím nebylo možné získávat Jedním z hlavních důvodů pro volbu software Sentinel Log Manager je schopnost zpracovávat auditní záznamy o provozu Novell edirectory a manipulaci se soubory na svazcích NSS. Oboje je důležitou součástí sítě AMU ale zatím jsme měli jen omezenou možnost uvedené informace sledovat, protože dříve používané řešení na základě zastaralého Novell Auditing Serveru bylo velmi problematické. Nové řešení přineslo tyto možnosti: jsme tedy schopni sledovat a uchovávat historii přihlášení do edirectory jak přímo z uživatelských stanic na AMU, tak přes LDAP (webové aplikace). můžeme získávat přehled o manipulaci se soubory na vybraných síťových svazcích, což je důležité u svazků se sdílenými soubory můžeme sledovat provoz Identity Managementu především s ohledem na zaznamenávání chyb při zpracování změn u jednotlivých identit - 4/8 -

Příklad výstupu 1 - přehled uživatelů vytvořených za minulý týden Příklad výstupu - historie přihlášení na konkrétní stanici 1.2. Zefektivnění zpracování existujících dat, především z logů o Webech a webových aplikací Zvolené řešení umožňuje shromažďovat a uchovávat údaje z logů jednotným způsobem a dlouhodobě. Odpadá tím možná ztráta dat při rotaci logů, případně nutnost logy zálohovat a případě potřeby je znovu vyhledávat. Zároveň parsování textových logů na jednotlivé významové položky výrazně zjednodušuje vyhledávání konkrétních údajů a umožňuje vytváření celkových přehledů. Aktuálně jsou sbírány logy z většiny důležitých webů a webových aplikací AMU. Zbývající weby jsou postupně přidávány. - 5/8 -

Příklad výstupu 3 - počet přihlášení do webového rozhraní studijního systému během dne Příklad výstupu 4 - přehled zobrazených detailů záznamů v knihovním katalogu - 6/8 -

1.3. Sběr dat ze zařízení Cisco V současnosti probíhá testování sběru a zpracování dat z Cisco Wireless LAN Controlleru tak abychom byli schopni získávat data o přístupu k bezdrátovými sítím AMU ve vhodné struktuře. Plánováno je přidávání dalších zařízení jako je Cisco ASA.. 2. Zdůvodnění změn v projektu V rámci projektu došlo ke změně specifikace serveru zakoupeného z prostředků AMU. Vzhledem k rozhodnutí použít pro nasazení Sentinel Log Manageru ve formě virtual appliance na platformě VMWare která je na AMU používána i pro virtualizaci dalších serverů a s ohledem na efektivní využití licencí VMWare bylo rozhodnuto pořídit výkonnější server než bylo původně plánováno, tak aby mohl být použit i pro běh dalších virtuálních strojů. Toto řešení ale nijak neomezuje běh a používání Sentinel Log Manageru. Změny tedy nevybočily ze zadání a zaměření projektu. 3. Konkrétní výstupy, další využitelnost Hlavním konkrétním výstupem tohoto projektu je nainstalovaný software Sentinel Log Manager nakonfigurovaný tak, aby umožňoval jednotný a efektivní sběr a zpracování logů a auditních záznamů z různých aplikací a zařízení. Tento software plánujeme využívat dlouhodobě s tím, že postupně budeme přidávat další zdroje dat. Vzhledem k architektuře software a dostupnému SDK je možné dodělávat vlastní pluginy (Collectory) a přidávat tak i zdroje dat pro které nejsou pluginy dodávány od výrobce. Veškerá získaná data je možné prohledávat a zobrazovat v podobě výpisů (vhodné pro hledání konkrétních záznamů), v podobě sestav (sumarizace, trendy) nebo exportovat ve formátu CSV pro případné zpracování pomocí dalších nástrojů. 4. Přínosy projektu, vlastní hodnocení Přínosem projektu je zjednodušení a zefektivnění práce správců sítě, kteří mají jednak možnost využívat informace, které před jeho realizací nebyly k dispozici a jednak využívat data (která byla k dispozici i před realizací projektu) jednodušeji a způsoby které dříve nebyly možné. To by mělo vést k lepšímu přehledu o fungování celé sítě a tím jak k vyšší bezpečnosti a dostupnosti jejích služeb, tak i kvalifikovanějšímu rozhodování o jejím budoucím rozvoji. 5. Prezentace výsledků projektu: Výsledky jsou prezentovány formou samostatného článku na webu AMU http://www.amu.cz/cs/info-sluzby/pocitacove-centrum-amu/projekty/2014/fr-cesnet-468r1-2012 - 7/8 -

6. Tisková zpráva Prostřednicvím projektu FR CESNET byl na AMU zprovozněn systém Sentinel Log Manager pro zpracovávání auditních záznamů o provozu Novell edirectory a pro manipulaci se soubory na svazcích NSS. Dosud používaný způsob na základě Novell Auditing Serveru byl nevyhovující. Nové řešení přineslo tyto možnosti: sledovat a uchovávat historii přihlášení do edirectory jak přímo z uživatelských stanic na AMU, tak přes LDAP (webové aplikace). získávat přehled o manipulaci se soubory na vybraných síťových svazcích, což je důležité u svazků se sdílenými soubory. sledovat provoz Identity Managementu především s ohledem na zaznamenávání chyb při zpracování změn u jednotlivých identit. Údaje z logů jsou shromažďovány a uchovávány jednotným způsobem a dlouhodobě. Odpadá tím možná ztráta dat při rotaci logů, případně nutnost logy zálohovat a případě potřeby je znovu vyhledávat. Zároveň parsování textových logů na jednotlivé významové položky výrazně zjednodušuje vyhledávání konkrétních údajů a umožňuje vytváření celkových přehledů. Zpracoval: Radim Chvála, řešitel projektu, v Praze 16. 12. 2014. - 8/8 -

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář