Zápis ze schůzky - prosinec 2004 ================================ prezentace: http://kmlinux.fjfi.cvut.cz/~vokac/activities/2004/comp_ip/ http://kmlinux.fjfi.cvut.cz/~vokac/activities/2004/comp_mail/ http://kmlinux.fjfi.cvut.cz/~vokac/activities/2004/comp_schuzka.html http://kmlinux.fjfi.cvut.cz/~vokac/activities/2004/comp_zapis.html IP adresy rozdělení: Troja, Břehovka beze změny Trojanka 6 - změna podsítě na /24 7 - změna podsítě na /24 (unixy na KFE?) 8 - přesun serverů na 9 přesun KIPL na 10 (horní část) KJ zůstává 9 - dolní polovina pro serverový segment horní polovina pro Tereza 10 - dolní polovina pro KMAT horní polovina pro KIPL 19 - rezervní (pro Míru ;-) 22 - beze změny - dolní polovina Děčín 25 - beze změny - Troja privátní síť - pro nepřidělené porty, NAT na kmlinux (možná lepší na nějakém více "jednoúčelovém" stroji) - 172.16.0.0/16 problém: když někdo bude dělat bordel, tak to bude na ten NATovací stroj - zajistit logy !!! povolené porty a služby - zatím skoro vše (blokovat SMTP, smb, ...? - mimo fjfi.cvut.cz) autentizovaná síť - pokud se uživatel autentizuje pomocí radiusu, bude zařazen do speciální VLAN a dostane také veřejné IP - závisí na implementaci www.eduroam.cz, požadavek na IP buď něco z 147.32.7.0 nebo 147.32.19.0 rozdělení IPv6 adres bude zatím +- kopírovat IP podsítě (jednodušší změny vzhledem k autokonfiguraci IPv6) úkoly: * změna v konfiguraci CISCO - routování přerozdělených segmentů (M. Minárik) * překonfigurovat počítače na správné IP (ti jichž se to týká), změna záznamů v DNS (P. Vokáč) * překonfigurovat IP nameserveru - bude včas oznámeno s dostatečně dlouhým obdobím fungovaní na obou IP, změna jména na ns.fjfi.cvut.cz (dát vědět do Děčína !!!) - P. Vokáč * zažádat o sekundář pro IPv6 na ns.cvut.cz (P. Vokáč) * rozšířit info o zrušení caching DNS na kmlinux (P. Vokáč) * zkonfigurovat NAT stroj (P. Vokáč?) + logy spojení (kdo?) * výhledově: implementace radiusu dle www.eduroam.cz (kdo?) požadavky - síťové prvky podporující radius (wifi, switche) VLAN rozdělení: <komentář by="P.Vokac"> rozdělení dle kateder má smysl, ale co třeba rozdělení dle úrovně zabezpečení - jde mi třeba o učebny - patří na síť katedry nebo na privátní (pokud na síť katedry, tak by to možná chtělo nadefinovat na portech swišťů omezení na danou MAC) </komentář> 1 - default VLAN - privátní síť 172.16.0.0/16 2 - serverový segment 3 - autentizovaná síť 4 - testovací 6 - KFE windows 7 - KFE unix 8 - KM 9 - Tereza 10 - KIPL 11 - KMAT Úkoly: * Nejprve je nutné změnit IP strojů, aby byly ve správné podsíti (viz. výše) a pak až si můžeme začít hrát s konfigurací konkrétní VLAN. * otestovat VLAN pod zátěží, otestovat routování na CISCO udělat testovací VLAN pro 147.32.19.0 a s tím si trošku hrát (M. Minárik, P. Vokáč) * dokumentace: - automaticky ze SNMP informací - (M. Minárik + zápočty) - agent na každé podsíti (VLAN) pro definování vztahu IP->MAC, zjišťování živých počítačů, možnost více klientských agentů, zabezpečená komunikace, ... (M. Minárik + zápočty) * definovat přístupová práva ke switchům (kdo má hesla, kontakt, dokumentace) Mailové gateway * toto řešení bylo v posledních letech zavedeno na většině fakult ČVUT (FEL, FSV, FSI) * maily pro @fjfi.cvut.cz pro zaměstnance, doktorandy * oficiání studentská adresa @student.fjfi.cvut.cz, která bude používana při komunikaci se studenty => dál nikde neinzerovat @km1.fjfi.cvut.cz (update dokumentů na www), pro současné nastavit automaticky forward dle údajů z Exchange <komentář by="P.Vokáč"> možná by všichni mohli mít emailovou adresu ve tvaru @fjfi.cvut.cz s tím, že studenti by měli jen krátkou (tj. odpovídající username - tedy ve tvaru příjmení první písmeno se jména a případně pořadové číslo) a doktorandi a zaměstnanci navíc dlouhou ve tvaru jméno.příjmení@fjfi.cvut.cz inspirace z řešení na FSV ČVUT </komentář> * @fjfi.cvut.cz, @student.fjfi.cvut.cz, @km1.fjfi.cvut.cz, @troja.fjfi.cvut.cz směřovat MXkama na mailovou gateway * možnost směřovat i další @*.fjfi.cvut.cz a doručovat na konkrétní stroje (např. pro unixy na KFE) pokud o to bude zájem (výhoda globálního antiviru, značkování spamu, případně dalších vlastností) * odchozí poště pro @km1.fjfi.cvut.cz, @troja.fjfi.cvut.cz změnit na SMTP serveru (mailové gateway) odesilatele na @fjfi.cvut.cz resp. @student.fjfi.cvut.cz * relayovat pouze definované maily (@fjfi.cvut.cz, @student, @km1, @troja) z rozsahu IP adres pro FJFI * přepis From: pro relayované maily na oficiální adresy @fjfi.cvut.cz (vždy pokud existuje příslušné mapování) * SMTP AUTH relay všeho, přepis "známých hlaviček", ověřování proti NDS (výhledově lze definovat i více ověřovacích zdrojů, kdy alespoň jeden, který projde znamená úspěšné ověření, nebo také možnost ověřování proti usermapu...) * IPv6 support * mail gateway - požadavky, vlastnosti - dva stroje (nový cca 30kKč? - M. Dráb by mohl mít info o remote managovatelných potvorách, backup MX odněkud vyrecyklovat) - na Strahově pro cca 3000 mailových accountu slouží jako gateway s podobnými vlastnostmi P4 2.4GHz s loadem v průměru 0.2 (zhuba řečeno by to zvládal i 5x pomalejší stroj) - tj. pokud by se někde sehnaly dva > 1GHz stroje, tak by to také zatím stačilo - totožné konfigurace mailserveru - ten rychlejší bude mít ještě webmail rozhraní - umístění do různých lokalit (doručování "lokálních" mailů bez globální konektivity) - velikost mailů omezena na 10MB (vhodné všude stejně) - limit počtu příjemců (nekonečno resp. >= počtu FJFI adres) - antivir - KAV - značkovač spamu - spamassassin (se všemi možnými pravidly) přidávat pouze hlaviček (volitelně změna subjectu) - definovat záznamy do DNS o nespamovosti našich mailů - SPF pro oficiálni adresy (zda definovat pro všechny MXka nebylo dohodnuto) - výhledově možno uvažovat i o graylistingu (nutno případně dohodnout) - mailserver - pravděpodobně postfix (nebo sendmail) - seznam adres a příslušných forwardů (vzít současné z Exchange) - rejectovat maily pro neznámé uživatele s "temp fail" (kdyby došlo k dočasné chybě v seznamu forwardovacích adres)? - uživatelské vlastnosti: . možnost měnit po autentizaci proti usermap.cvut.cz problém jednoznačného spojení mezi usermap a fjfi account, kde nepůjde automaticky spojit, bude uživatel odkázán na správce . nutně: možnost měnit cílovou adresu (pro studenty pořád defaultně @km1, časem by bylo asi lepší vybudovat speciální imap server (opět vzorem řešení na ostatních fakultách) . možnost zahazovat/doručovat info o viru (default: zahazovat) . možnost zahazovat spamy s > x bodů . trošku odjinud - možnost, aby lidé měli své stránky na adrese např. http://user.fjfi.cvut.cz/~vokac přičemž data mohou být na libovolném web serveru na FJFI (reverzní proxy v apache - výhledově projednat) Úkoly: * většina na P. Vokáč, ale dobrovolnosti se meze nekladou... klidně i co se týče konzultací ohleně fungování, použitých technologií, hw konfigurace, ... * zrušit MX záznamy pro stroje nesloužící jako mailservery (všichni řeknou, co používájí a P. Vokáč provede zásahy v DNS) * vytvořit TXT záznamy ve formátu SPF, viz. odkazy na slajdech (všichni si řeknou, co by rádi jinak bude ke zbylým MXkám přidáno "v=spf1 ptr ?all") * konzultace ohledně dat v AD - spojení FJFI accountů s usermapem (P. Vokáč, Schlösinger) * před nasazením: převzít forwardy z Exchange (P. Vokáč, Schlösinger) převzít forwardy pro ou=student v NDS (P. Vokáč) Ostatní (info+úkoly) * správa novell požadavky posílat na minarik@km1.fjfi.cvut.cz * NDS úkoly (M. Minárik) - osobní údaje & anonymní přístup - nahradit autentizovaným - nastavit složitost hesla - certifikáty * informace o přiřazených IP (IP+DNS jmené+MAC+kontakt+...) - rozumný přístup a editování (web) - (taky pěkné na zápočet, ne Míro?) možnost dohledat problematický stroj (koho "seřvat") a případně remote zakázat přímo na switchi * Trojanka - přístup do serverovny na KM (má M. Minárik, P. Vokáč - až na vchodové dveře do budovy, pak ještě asi pár lidí na katedře - Beneš, Čulík, Čvančar) * IDS, testování zabezpečení - výhledově zjistit možnost a vhodnost projektu http://ozu.sh.cvut.cz (kdo?)