использовано вашим скриптом if–up). В случае неправильного пароля:
~#netamsctl radius auth nas login client1 password abcef nas–id TEST
0 password incorrect for client1
В обоих случаях информация о событии попадет в лог–файл и таблицу EVENTS базы SQL.
Узнать, как происходит работа RADIUS–сервера, что кому куда передается, можно запустив этот сервер с ключом–X:
/usr/local/sbin/radiusd–X
TODO
• Сделать обработку аккаунтинга, поступающего от NAS–сервера. Видимо, для этого придется сделать новый тип data–source.
• Протестировать работу сервера доступа Cisco (никто не хочет дать тестовый доступ?)
• Сделать более жестким ограничение на тип передаваемого фильтра: сделать новый target radius–filter XXX. Сделать пример скрипта, который этот XXX обрабатывает.
• Сделать аналог rlm_netams для другого RADIUS–сервера? FreeRADIUS считается наиболее распространенным.
Сбор произвольных данных через ds_raw
Начиная с версии NeTAMS 3.4.0 (build 3018) появилась возможность учета произвольных данных с использованием сервиса
service data–source 3
type raw
Команда:
rawdata unit name XXX policy YYY in AAA out BBB {as–is|incremental} [time]
Где XXX и YYY — имена юнита и политики
AAA и BBB — значения в байтах, допускается использование окончаний K, M, G.
As–is означает, что переданные значения напрямую добавятся в поток для данного юнита и присуммируются к статистике.
Incremental означает, что к статистике добавится разница между текущим и предыдущим значением rawdata. При этом первое переданное rawdata не учтется (мало ли, там гигантское число уже накопилось пока netams не работал). Если переданное значение меньше запомненного текущего, оно будет сохранено, а записана будет разница со следующим(большим) значением.
Time — время. Если опущено данные будут учтены с текущим временем.
Вопросы безопасности
Поскольку NeTAMS запускается с правами root, и отвечает за подсчет не бесплатного трафика, безопасность всей системы является очень важным фактором. Существует несколько потенциально небезопасных направлений:
• Взлом всей системы через программу
• Взлом защиты самой программы
• Действия, приводящие к неверному учету трафика
Автор программы не несет никакой ответственности за ее использование и за тот ущерб, который (явно или неявно) может быть нанесен кому–либо в результате работы этой программы или ее компонентов. Если вы несогласны с этим утверждением, деинсталлируйте программу и все ее компоненты немедленно!
При написании NeTAMS не предпринималось никаких попыток установить компоненты, позволяющие создателю или кому–либо осуществить несанкционированный доступ в систему с работающей программой. Вместе с тем, в результате неизбежных ошибок программирования, такая возможность может потенциально существовать. На данный момент ни одного случая взлома программы зарегистрировано не было.
Несанкционированный доступ к программе может быть получен путем узнавания пароля и присоединения к программе через telnet. Для защиты от этого пароли на доступ шифруются через crypt(); в статических HTML–страницах пароли заменяются звездочками (show config unsecure). Однако рекомендуется выполнить следующие действия:
• Установите права на чтение конфигурационного файла и лог–файлов только для пользователя root
• Отмените права на чтение локальных файлов HTML–статистики тем, кому не нужно
• Установите (средствами http–сервера) права на просмотр статистики «извне» только тем, кому нужно
• Отмените возможность логина в программу не с локальной машины:
• service server 0
• login localhost
• Отрежьте правилами firewall вашей системы нелокальное подключение к программе:
• ipfw add 100 allow ip from any to any via lo0
• ipfw add 110 deny tcp from any to me 20001
Неправильный учет трафика возможен при неверном расположении правил ipfw/iptables и при получении статистики netflow от неизвестного источника. Для избежания этого:
• Подумайте, как данные ходят по вашей сети
• Нарисуйте схему сети с именами интерфейсов
• Выпишите список имеющихся правил ipfw/iptables и придумайте номер (место) вашего правила, через которое будет осуществляться «заворачивание» трафика
• Если вы используете трансляцию адресов или bridging, подумайте еще раз
• Если вы используете прозрачный http–прокси, подумайте снова
• Если вы используете подсчет потока NetFlow, ОБЯЗАТЕЛЬНО укажите ip–адрес присылающего статистику роутера в описании соответствующего сервиса data–source.
Сбор статистики по протоколу SNMP
Начиная с версии NeTAMS 3.4.0 (build 3018) появилась возможность учета трафика путем опроса счетчиков SNMP удаленных устройств. Данная схема работает при наличии:
• Коммутатора или маршрутизатора, имеющего работающий SNMP–агент и поддерживающий MIB–II (фактически, любое устройство поддерживает этот MIB).
• Сервера UNIX, на котором установлены:
• NeTAMS нужной версии
• Пакет net–snmp версии 5
• Perl–модули к net–snmp
• Perl–модуль Net::Telnet
• Настроенного скрипта addon/snmp2netams.pl
