KözHáló Önkormányzati Biztonsági Központ Felhasználói leírás 1.0 verzió Budapest, 2009. devember 28. A dokumentumot késztette a
Copyright Jelen dokumentumhoz fűződő valamennyi jog a tulajdonát képezi. A dokumentum szigorúan bizalmas, bármely részének a szándékától eltérő felhasználása, másolása, változatlan vagy módosított formában történő közlése tilos, kivéve, ha a ahhoz kifejezett hozzájárulását adja. 2009, Minden jog fenntartva. 2
Tartalomjegyzék Tartalomjegyzék... 3 1.1 ÖBK jogosultság kezelő rendszer... 4 1.1.1 AVSR felhasználói útmutató... 4 1.1.1.1 Belépés a hálózatba... 4 1.1.1.2 Kitiltás jelszó probléma miatt... 8 1.1.1.3 Kitiltás PC fenyegetettség miatt... 8 1.1.1.4 Kitiltás illegális tevékenység miatt... 9 1.1.1.5 Jelszó változtatás... 9 1.1.1.6 Kilépés a hálózatból (logout)... 10 1.1.1.7 Belépés több végponton... 10 1.1.1.8 Proxy használat a végponti hálózaton... 11 1.1.2 AVSR végponti adminisztrátori útmutató... 11 1.1.2.1 Portál belépés... 14 1.1.2.2 Felhasználók felvétele... 15 1.1.2.3 Felhasználók módosítása... 16 1.1.2.4 Munkaállomások felvétele... 17 1.1.2.5 Publikus szerverek felvétele... 18 1.1.2.6 Belső szerverek, nyomtatók, egyéb hálózati eszközök felvétele... 19 1.1.2.7 További hub, switch, WiFi access-point megadásának lehetősége... 20 1.1.2.8 Hibakereséshez útmutató... 21 1.2 Önkiszolgáló web portál... 23 1.2.1 Elérhetőség... 23 1.2.2 Önkiszolgáló portál funkciói... 23 1.2.2.1 Monitoring információk... 23 1.2.2.2 Forgalmi és elérhetőség grafikonok... 23 1.2.2.3 Lockolt eszközök, felhasználók megtekintése... 23 1.2.2.4 Intézmény adatok... 24 1.2.3 Változtatások... 24 1.2.3.1 Végponti tűzfal konfigurálása... 24 1.2.3.2 Felhasználó módosítása... 32 1.2.3.3 Felhasználó Hozzáadása... 33 1.2.3.4 Eszköz adatok... 34 1.2.3.5 Router adatok... 35 1.2.3.6 Switch adatok... 36 3
1.1 ÖBK jogosultság kezelő rendszer 1.1.1 AVSR felhasználói útmutató Az AVSR (AccessVisor) beléptető rendszer feladata, hogy a Közháló ÖBK alhálózatába kapcsolt önkormányzati végpontok esetében a felhasználók azonosítása után a jogosultsági szintnek megfelelő hozzáférést biztosítson a hálózat használatához. A Közhálót csak az AVSR alá felvett felhasználók használhatják, és csak a hozzájuk rendelt jogosultsági szint alapján. Az AVSR felhasználói adatbázisa független az önkormányzatok helyi hálózatán már megszokott Windows bejelentkezéshez tartozó adatbázistól. Az AVSR alá új felhasználót csak az önkormányzati rendszergazda vehet fel. 1.1.1.1 Belépés a hálózatba A számítógép bekapcsolása után a megszokott módon kell a Windows alá bejelentkezni. Windows bejelentkezés után alaphelyzetben a hálózatba kapcsolt számítógép azonosítási állapotban van. Az azonosítási állapot során eléri a vele egy Ethernet VLAN-on található többi számítógépet, ezen túl nincs korlátozva a számítógép indulásához szükséges háttér kommunikációban (pl. DNS szerverek elérése, Windows login szerver elérése). Minden egyéb kommunikáció tiltott, vagyis nem látja az Önkormányzat többi szegmensén található számítógépeket, és nem kezdeményezhet forgalmat sem a ÖBK hálózata, sem az Internet felé. Az AVSR azonosítás tetszőleges böngésző indítása, és valamilyen WEB oldal elérése után indul. A böngésző az alábbi üzenet megjelenítése után automatikusan az AVSR beléptető felületére lép tovább. 4
Első használat során az AVSR tanúsítvány felvétele szükséges. Az AVSR tanúsítvány biztosítja azt, hogy a megadott név és jelszó titkosítva haladjon át a hálózaton. Internet Explorer esetében az alábbi figyelmeztetés jelenik meg. A View Certificate gomb kiválasztása szükséges, majd a következő lapon az Install Certificate gombra kell kattintani. A Wizard indulása után Next, Next, Finish gombok. 5
Egy utolsó figyelmeztető ablak, Yes -t kell választani. A sikeres betöltést külön üzenet jelzi. Visszatérve a kezdeti ablakokhoz: Ok, majd Yes megnyomása szükséges: FireFox böngésző esetében a tanúsítvány betöltéséhez a Tanúsítvány tartós elfogadása opció kiválasztása, majd OK gomb szükséges: 6
A tanúsítvány mentése után megjelenik az AVSR bejelentkezési ablak. Itt a megfelelő felhasználó név, és a hozzá tartozó jelszó megadása szükséges: Sikeres jelszó megadás után pár másodperces PC ellenőrzés (fenyegetettség vizsgálat) következik, és ha nem talál problémát az AVSR, akkor az alábbi üzenet jelenik meg: Az üzenet megjelenésével egyidőben az AVSR a végponti switch és router eszközökben engedélyezi a számítógép számára a hálózati elérést, amivel várhatóan legfeljebb 20 másodperc alatt készül el. Ezután a böngésző automatikusan az eredetileg kért oldalra lép tovább, és egyéb alkalmazások is hozzáférhetnek a hálózathoz. 7
Bizonyos esetekben előfordul, hogy a 20 másodperc eltelte után a böngészőnél Timeout (Időtúllépés) hiba jelenik meg. Ekkor a Refresh (Frissítés) megnyomása után az eredetileg várt oldal kell hogy feljöjjön. Az újbóli azonosítás tipikusan 16 óra után szükséges, ami a gyakorlatban várhatóan azt jelenti, hogy minden reggel a munka megkezdésekor kell a hálózatba belépni. A 16 óra lejárta után a tiltott állapot onnan látszik, hogy a nem WEB-es alkalmazások nem képesek az Internettel kommunikálni, a WEB böngészők az AVSR bejelentkező oldalra kerülnek átirányításra, valamint az esetleg nyitva hagyott oldalakon a képek helyet STOP felirat jelenhet meg: Ekkor tetszőleges linkre kattintva az AVSR bejelentkező oldal jelenik meg, ahol újbóli bejelentkezés szükséges, és utána a munka tovább folytatható. 1.1.1.2 Kitiltás jelszó probléma miatt Ha egy felhasználó egymás után 5 esetben hibásan adja meg jelszavát, akkor a felhasználó azonosítója letiltásra kerül. A letiltásról a felhasználó figyelmeztetést kap az AVSR bejelentkező oldalon. Felhasználó letiltás esetén a problémás azonosítóval30 percig nem lehet bejelentkezni. Utána a tiltás automatikusan feloldásra kerül. Ha a felhasználó 30 percen belül be szeretne jelentkezni, kérje a helyi rendszergazda segítségét. A tiltást a helyi rendszergazda a Portál felületen bármikor feloldhatja. Ha a rendszergazda saját magát zárja ki, akkor ki kell várnia a 30 percet, vagy az Ügyfélszolgálaton keresztül engedélyeztetheti belépési azonosítóját. 1.1.1.3 Kitiltás PC fenyegetettség miatt Rendszeres időközönként az AVSR a jelszó ellenőrzés után fenyegetettség vizsgálatot is végez a bejelentkező felhasználó munkaállomásán. A fenyegetettség vizsgálat a munkaállomásra történő belépés nélkül, hálózaton keresztül történik. A munkaállomás működését a vizsgálat nem befolyásolja. 8
A vizsgálat során olyan, a teljes hálózat integritását fenyegető biztonsági veszélyeket vizsgál, mint pl. fut-e káros backdoor vagy féreg program, vagy hogy hiányzik-e kritikus operációs rendszer frissítés. A vizsgálat 10-20 másodpercig tart. Ha kisebb súlyú fenyegetettséget észlel, akkor megjeleníti a talált problémát, javaslatot tesz az elhárítására, de attól még beengedi a felhasználót a hálózatra. Kritikus fenyegetettség esetén nem is engedi be a felhasználót. Ez esetben a kiírt javaslat szerint kell eljárni, majd a probléma elhárítása után a bejelentkezést újra meg kell próbálni. Ha a fenyegetettség vizsgálat ekkor már nem talál problémát, a munkaállomást beengedi a hálózatra. A fenyegetettség vizsgálat következtében történő tiltás feloldásához nem kell a helyi rendszergazda segítsége. A fenyegetettség vizsgálat mivel a munkaállomás belső állapotáról nem kap információt értelemszerűen nem képes minden vírus, féreg, spyware, vagy backdoor fertőzést kimutatni. Éppen ezért a vizsgálat nem helyettesíti az egyes munkaállomásokra telepített víruskereső programokat, sem a rendszeres frissítések (automatikus Windows Update, böngésző frissítés, stb.) használatát. 1.1.1.4 Kitiltás illegális tevékenység miatt Az egyes munkaállomások Internet felé folytatott forgalmát a biztonsági szabályzatoknak megfelelően folyamatosan figyeljük és ellenőrizzük. A biztonsági elvárásokat sértő forgalom esetén (pl. vírusos levél küldése, P2P forgalom, ) a felhasználó munkaállomását azonnal kitiltjuk a hálózatról. Web böngészőt indítva az AVSR bejelentkező ablak helyett a tiltás ténye, oka, és az elhárítási javaslat jelenik meg. Erre a munkaállomásra a továbbiakban nem lehet belépni. Az újbóli engedélyezéshez az alábbiakat kell tenni: A jezett problémát el kell hárítani (vírus leírtása, P2P alkalmazás törlése, stb.) A végponti rendszergazda a Portál felületen kell hogy újra engedélyezze a munkaállomást Ezután jelenik csak meg a munkaállomáson futó WEB böngészőben az AVSR login ablak, ahol felhasználónak újra be kell jelentkeznie. A biztonsági rendszer a jogi szabályozásoknak megfelelően naplózza és nyilvántartja az egyes munkaállomásokról kezdeményezett kapcsolatokat (vagyis hogy melyik munkaállomás milyen Internetes szerverrel és mikor vett fel kapcsolatot). A napló állományokat védett helyen tároljuk, és csak probléma esetén (rendőrségi megkeresés, egyéb incidens) vizsgáljuk meg részletesebben. A biztonsági rendszer által vizsgált forgalom tartalmát viszont amennyiben az on-line vizsgálat során abban nem talált biztonsági jellegű problémát a rendszer sem eredeti, sem kivonatolt formában nem tárolja. A ÖBK hálózata felé irányuló titkosított forgalmat, egyéb titkosított VPN forgalmat, valamint biztonságos web szerverek (https szerverek) felé irányuló forgalmat érelemszerűen nem tudunk sem egyedi kapcsolatok sem tartalom alapján vizsgálni. 1.1.1.5 Jelszó változtatás A felhasználó jelszavát bármikor saját maga is megváltoztathatja. A jelszó váltás a Portál oldalon keresztül történhet. A Portál az alábbi URL alatt érhető el: http://portal.local.netvisor.hu 9
A belépéshez a végponti azonosítóval bővített felhasználó azonosítót kell használni. Például ha a végpont azonosítója K5001 és a felhasználó AVSR login neve kissp, akkor a portál login név K5001_kissp lesz. A belépés után a megváltoztatott jelszó azonnal érvényre jut. A legközelebbi (tipikusan másnap reggeli) AVSR belépéskor már az új jelszót kell használni. Amennyiben elfelejtette volna jelszavát, a helyi rendszergazda a Portál segítségével új jelszót adhat bármelyik felhasználónak. 1.1.1.6 Kilépés a hálózatból (logout) A munkaállomás leállítása, vagy a Windows-ból történő kilépés nem jelenti automatikusan az AVSRből történő kijelentkezést. A munkaállomás AVSR-ben történő engedélyezett állapota az elfogadott időn belül (tipikusan azon a munkanapon) reboot után is megmarad. Ha az AVSR-ből is ki szeretné léptetni munkaállomását, azt külön meg kell tennie a Windows kijelentkezés előtt. Célszerű az AVSR-ből kilépni az alábbi esetekben: Ha a munkaállomást másik felhasználó is használhatja, akinek az AVSR jogosultsága eltérő. Például az egyik felhasználó Fokozott jogosultságú (használhatja ÖBK adatbázisokat), míg a másik felhasználó csak Normál jogosultságú (nem használhatja adatbázisokat). Ha biztos akar lenni abban, hogy távollétében más nem használja az Ön azonosítója alatt az Internetet Az aktuális munkaállomást az AVSR-ből tetszőleges felhasználó kiléptetheti, mert a munkaállomáson indított böngészőtől az AVSR a kilépéshez jelszót nem kér. Ehhez az alábbi oldalt kell a böngészővel megnyitni: http://avsr.local.netvisor.hu/ Ha még érvényes az előző bejelentkezés, úgy láthatóvá válik a kilépés link. Egy bizonyos felhasználó összes belépését a Portál felületről lehet törölni: http://portal.local.netvisor.hu/ A rendszergazda tetszőleges felhasználót kiléptethet, a felhasználók viszont csak saját magukat. Az innen kezdeményezett kilépés minden a felhasználó által használt munkaállomásra vonatkozik, vagyis ha a vendég terminálok Guest nevű felhasználóját lépteti ki a rendszergazda, akkor az összes vendég terminal egyszerre fog azonosítási állapotba visszakerülni. 1.1.1.7 Belépés több végponton Amennyiben egy felhasználó több Önkormányzatnál is szeretne a hálózatba belépni (pl. körjegyzők), mindegyik Önkormányzat helyi rendszergazdájától kérnie kell egy-egy felhasználó azonosítót. Ezek független AVSR felhasználóként szerepelnek az adatbázisban, és jelszavuk is eltérők lehetnek (bár célszerű mindenhol ugyanazt a jelszót használni). Az alábbi példa egy lehetséges kialakítást mutat, feltételezve, hogy az alábbi végpontok egyikében sem szerepelt még eddig kissp azonosító alatt felhasználó: Önkormányzat azonosítója Felhasználó teljes azonosítója (Portál belépéshez) Felhasználó helyi azonosítója (AVSR belépéshez) Felettes adminisztrátor K5000 K5000_kissp kissp K5000_admin K5001 K5001_kissp kissp K5001_admin K5002 K5002_kissp kissp K5002_admin 10
A fenti táblázatból is látszik, hogy az AVSR belépés során a végpontra jellemző azonosítót nem kell megadni, mivel azt az AVSR automatikusan hozzárakja a megadott névhez. 1.1.1.8 Proxy használat a végponti hálózaton Ha az Önkormányzati hálózaton web proxy szervert üzemel (tipikusan MS ISA, Squid), az AVSR nem lesz képes az azonosítási fázisban a felhasználó böngészőjének a forgalmát az AVSR login oldalra irányítani. A web proxy-n keresztül ugyanis a böngésző forgalma nem lesz korlátozva, viszont a többi alkalmazás számára nem érhető el a hálózat az AVSR belépés előtt. Proxy használata esetében a felhasználónak az alábbi oldalt kell a böngészővel megnyitnia: http://avsr.local.netvisor.hu/ A továbbiakban az AVSR belépés a megszokott módon végezhető. A felhasználó felelőssége, hogy rendszeresen (tipikusan minden reggel mukakezdéskor) a fenti AVSR login oldalon keresztül ellenőrizze jogosultságát, és belépjen a rendszerbe, ha szükséges. 1.1.2 AVSR végponti adminisztrátori útmutató Az AVSR az ÖBK alhálózaton belül az alábbi feladatokat látja el: Felhasználók és számítógépek nyilvántartása, azonosítása Közháló végponton a switch portok megfelelő VLAN-ba tartozásának kezelése Közháló végponti tűzfalon az egyes végponti eszközök (tipikusan munkaállomások) Internet felé történő kilépésének engedélyezése Fenyegetettség teszt (egyszerűsített port scan) végzése, figyelmeztetés, esetleg tiltás Tiltott forgalom (például vírus) esetén figyelmeztetés, letiltás Az AVSR megfelelő működéséhez a végponti rendszergazdának el kell látnia az AVSR-t a helyes működéshez szükséges információkkal. Ezek legalább az alábbiak: Az Önkormányzatnál dolgozó munkatársak felvétele A végponton üzemeltetett publikus (web, mail, stb.) szerverek megjelölése A végponton üzemeltetett belső szerverek (file, nyomtató szerver) és felhasználóktól független eszközök (hálózati nyomtatók, menedzselhető UPS-ek, IP telefonok, WEB kamerák) megjelölése Amennyiben a Közháló switch-re további L2 Ethernet eszköz csatlakozik (saját switch, hub, vagy access point), annak megjelölése A fenti információk birtokában az AVSR pontosan meg fogja tudni állapítani az egyes hálózati eszközök funkcióját, és be tudja állítani a Közháló switch-et és routert a megfelelően biztonságos működéshez. Az ÖBK alhálózaton belül (a hagyományos Közháló Publikus/Privát/Védett szegmenst felváltandó) az alábbi jogosultsági szintek lettek meghatározva. Normál jogosultsági szint. Az alhálón belül egyedi, de RFC-1918 privát címeket használó szegmens. Tipikusan önkormányzati dolgozók munkaállomásai valamint a belső Windows 11
szerverek részére lett kialakítva. Tiltott forgalom (pl. vírus érzékelése) esetén a munkaállomások karantén VLAN-ba kerülnek. Az itt található munkaállomások a magasabb biztonsági szintű (Fokozott) szegmens felé kapcsolatot nem kezdeményezhetnek. A központi szerverek IPSec kapcsolaton keresztüli elérésére nem jogosult szegmens. Fokozott jogosultsági szint. Paraméterekben az előzővel megegyező szint, de jogosult a központi szerverek elérésére is. Publikus jogosultsági szint. Ez a szint publikus (Interneten is regisztrált) IP címeket biztosít. Tipikusan ide érdemes elhelyezni azokat a szervereket, melyek az Internet felé valamilyen szolgáltatást biztosítanak (WEB szerver, FTP szerver, levelező szerver). A szinten hozzáférés-azonosítás nem szükséges. Tiltott forgalom (pl. vírus érzékelése) esetén karantén VLAN-ba a szerverek nem kerülnek át, de a központi tűzfalon az IP szintű tiltás (shun) aktiválva lesz. Az itt található szerverek a magasabb biztonsági szintű szegmensek felé kapcsolatot nem kezdeményezhetnek. Az Internet és a "Vendég" szint felől alap esetben semmilyen kapcsolat nem engedélyezett, de a Portálon keresztül a megfelelő szolgáltatásokhoz tartozó portok megnyithatóak. A központi szerverek felé mutató IPSec kapcsolatot nem használhatja. Vendég jogosultsági szint. Az alhálón belül egyedi, de RFC-1918 privát címeket használó szegmens. Tipikusan vendégek részére fenntartott Internet terminálokat célszerű ide helyezni. Tiltott (pl. vírus érzékelése) esetén a munkaállomások karantén VLAN-ba kerülnek. Az itt található munkaállomások egyik másik szegmens felé sem kezdeményezhetnek kapcsolatot (kivétel az Internet felől is megnyitott publikus szerver szolgáltatások). A központi ÖBK szerverek felé mutató IPSec kapcsolatot nem használhatja. Karantén jogosultsági szint. Tiltott forgalom (pl. vírus) érzékelése esetén kerül erre a VLANra a problémás munkaállomás. Az előzőeknél annyival szigorúbb szegmens, hogy semmilyen kommunikáció nincs engedélyezve a többi szinttel (pl. Windows domain esetében a munkaállomás a Domain Controller felé sem fog tudni kommunikálni). A szintről csak a rendszergazda szedheti ki munkaállomást a Portál felületen. Szabad jogosultsági szint. A szabad szint tulajdonképpen egy vagy több olyan szabadon felhasználható VLAN-t biztosít, melyre a végponti router nem csatlakozik. Itt a helyi rendszergazda szabadon oszthat ki IP címeket, de saját magának kell biztosítania a külvilág eléréséhez szükséges tűzfalat. Mivel erről a szintről a kifelé történő kommunikáció a Közháló eszközeinek felhasználásával nem biztosított, a rendszer semmilyen biztonsági mutatót nem vár itt el. Akkor célszerű egy vagy több ilyen szintet kérni, ha a végponti switch bizonyos portjait a rendszergazda független switch-ként, egyéb célra szeretné használni. Az egyes szintek paramétereit az alábbi táblázat foglalja össze. Jogosultsági szint Régi közháló szegmens AVSR belépés Normál Privát Van Fokozott Védett Van DHCP címkiosztás Van (saját szerver is lehet) Van (saját szerver is lehet) Publikus Publikus Nincs Nincs Vendég - Van Van (saját szerver is lehet) Internet elérés Azonosítás után Azonosítás után Mindig engedélyezett ÖBK szolgáltatások elérése Nincs Azonosítás után Nincs Tiltott forgalom esetén letiltás Van (kivéve szerverek) Van (kivéve szerverek) Nincs Azonosítás után Nincs Van Karantén - Van Van Nincs Nincs (ide kerül a letiltott PC) Bekerülés lehetősége Switch port, fix szerver, felhasználó belépés Switch port, fix szerver, felhasználó belépés Switch port, fix szerver Switch port, fix PC, felhasználó belépés Illegális fogalom Szabad 1 Lokális 1 - - - - - Switch port Szabad 2 Lokális 2 - - - - - Switch port Szabad 3 Lokális 3 - - - - - Switch port 12
Az egyes eszközök (munkaállomások) életciklusát tekintve az alábbi állapotok jöhetnek szóba: Azonosítás előtti állapot. A munkaállomás már a megfelelő VLAN-ban van (ami első belépéskor a Normál, később tipikusan a legutóbb használt VLAN), de a forgalma még nem engedélyezett az Internet felé. A WEB forgalma az AVSR Login oldalra kerül továbbításra. Üzemi állapot. Az előző állapotból sikeres felhasználó azonosítás után kerül ide a munkaállomás. A PC a megfelelő VLAN-ban van, és forgalma sincsen korlátozva. Elérheti a többi szegmenst, az Internetet, és fokozott szint esetén a ÖBK szolgáltatásokat is. A fix VLAN-hoz rendelt eszközök (szerverek és nyomtatók) mindig Üzemi állapotban vannak. Karantén állapot. Tipikusan vírusforgalom esetén kerül a PC ebbe az állapotba. Ilyenkor az elszigetelt Karantén VLAN-ba kerül át a PC. A központi karantén szervert elérheti, de sem az Internetet, sem a helyi számítógépeket nem látja. Helyi rendszergazda állíthatja csak vissza a PC-t azonosítás előtti állapotba a Portál felületen. Az egyes munkaállomások jogosultsági szintje (VLAN-ba tartozása) az alábbiak szerint kerül meghatározásra. Az első érvényes szabálysor fogja a munkaállomás VLAN szintjét meghatározni. Ha a csatlakoztatott switch port fix VLAN-ba van rendelve (tipikusan amikor a munkaállomás egy külső switch-en keresztül csatlakozik a Közháló szekrényhez), ez a beállítás érvényesül. Ha az eszközhöz van megadva fix VLAN (tipikusan szerverek, nyomtatók), akkor ezt a VLAN-t fogja használni. Ha tiltott forgalom miatt ki van zárva a munkaállomás, akkor Karantén VLAN-ban van. Ha van éppen belépett AVSR felhasználó (még érvényes a legutolsó belépése), akkor a felhasználó jogosultsági szintje határozza meg a munkaállomás szintjét. Ha nincs belépve felhasználó, de régebben már lépett be valaki, akkor a legutolsó jogosultsági szinten (VLAN-ban) marad a munkaállomás. Eszköz első használatakor automatikusan az alapértelmezett (Normál) jogosultsági szintet állítja be AVSR. Az alábbiakban a rendszergazda részéről elérhető Portál szerver funkciókat írjuk le. 13
1.1.2.1 Portál belépés Az adminisztrátori funkciók a Portál oldalon keresztül, az alábbi URL alatt érhetők el: http://portal.local.netvisor.hu A belépéshez a végponti azonosítóval bővített felhasználó azonosítót kell használni. Például ha a végpont azonosítója K5001 és az adminisztrátor AVSR login neve admin, akkor a portál login név K5001_admin lesz. A belépés után a nyitó oldal látható: A bal oldali menü alatt a Változtatások csoportra kattintva lesznek láthatók az AVSR beállítási feladatokat biztosító funkciók: 14
1.1.2.2 Felhasználók felvétele A bal oldali menüben található Felhasználó hozzáadása linkre kattintva jelenik meg az alábbi oldal. Ez egyes kitöltendő mezők: Felhasználó login neve. Maximum 8 karakter, nem tartalmazhat speciális karaktereket (az angol ABC kis betűi, és számok használata javasolt). A végponton egyedi kell hogy legyen. Az nem probléma, ha másik végponton már van ilyen nevű felhasználó. Jelszó. A két mezőnek meg kell egyeznie. Felhasználó később maga is megváltoztathatja. Felhasználó név. Felhasználó hálózati jogosultsági szintje (VLAN meghatározás, a Normál az alapértelmezett) Egyedi jogosultságok (ha a felhasználó nem helyi rendszergazda, az alapértelmezett üres jogosultság megfelelő). A felvétel után a visszaigazolás jelenik meg: 15
1.1.2.3 Felhasználók módosítása A Felhasználó módosítása linkre kattintva a végpont alá létrehozott felhasználók listája jelenik meg. A módosítandó felhasználó kiválasztása majd az OK gombra kattintás után a felhasználó részletesebb paraméterei jelennek meg, de még mindig csak olvasható (read-only) módon. 16
A Módosítás gombra történő kattintás után jön fel az alábbi módosító oldal: Az egyes mezők jelentése: Login név: nem módosítható Jelszó: üresen hagyva nem lesz megváltoztatva. Ha változtatás szükséges, akkor mindkét mezőben ugyanazt kell megadni. Felhasználó név: felhasználó neve. VLAN: felhasználó hálózati jogosultsági szintje. Felhasználó zárolása: Ha a felhasználó túl sokszor adott meg hibás jelszót, akkor az itt látható pipa törlésével a felhasználó belépése újra engedélyezhető. A pipa kijelölésével viszont a felhasználó minden további belépése letiltható. Ilyenkor javasolt kizárás okának leírása az Indoklás mezőbe. Felhasználó kiléptetése az összes munkaállomásról: A felhasználó nevében használt munkaállomások azonnal visszakerülnek azonosítás előtti állapotba. Felhasználó törlése: A felhasználó törlésre kerül az AVSR rendszerből. Felhasználói jogosultságok: A kis nyilak segítségével engedélyezhetők vagy tilthatók az egyes jogosultságok. A helyi adminisztrátorok jogosultsági hatásköre szabályozható velük. Az aktuálisan bejelentkezett adminisztrátor saját jogosultsági körét nem módosíthatja. 1.1.2.4 Munkaállomások felvétele Az AVSR rendszer folyamatos kapcsolatban áll az összes ÖBK alhálózatba bevont Közháló switch-el és router-rel. Amennyiben a végponti hálózatra új PC csatlakozik, annak adatait (Ethernet MAC címét, illetve ha van akkor IP címét) megkapja és tárolja belső adatbázisában. Az újonnan megjelent munkaállomások alapértelmezett módon Dinamikus szint hozzárendelést kapnak, vagyis a rajtuk keresztül AVSR alá bejelentkezett felhasználó jogosultsága fogja meghatározni, hogy melyik VLAN-ba kerül be a munkaállomás. 17
Rendszergazdának AVSR alá munkaállomást kézzel felvennie nem kell, és nincs is erre lehetősége. Az AVSR alatt megjelenő munkaállomások viszont módosíthatóak (lásd következő fejezet). A módosítás kitérhet az alábbiakra: A munkaállomáshoz név rendelése (csak információ, működést nem befolyásolja). Munkaállomás kijelölése fix VLAN-ba tartozó szervernek (lásd következő fejezetek). Munkaállomás törölhető AVSR adatbázisból. 1.1.2.5 Publikus szerverek felvétele Publikus (Internet felől is elérhető) levelező, WEB, FTP vagy egyéb e-önkormányzati jellegű szolgáltatásokat biztosító szervereket a Publikus jogosultsági szintre kell elhelyezni. A Portál oldalon az Eszköz adatok linkre kattintva megjelenik a végponton regisztrált hálózati eszközök listája. A megfelelő szerver az Ethernet MAC címe alapján választható ki. Windows 98 esetében a winipcfg parancs használatával, újabb Windows esetében az ipconfig /all megadásával lehet a PC Ethernet címét megállapítani. Linux esetében az ifconfig -a használata javasolt. A megfelelő eszköz kiválasztása után további információk is láthatók: 18
A Módosítás gombra kattintva jön fel a módosítást is lehetővé tévő oldal: A megadható paraméterek: Eszköz név: informális mező, a későbbi egyszerűbb Portál használat érdekében javasolt kitölteni. VLAN beállítás: az alapértelmezett Dinamikus állapotról a publikus szintre kell átállítani. A művelet befejeztével az AVSR a szerver által aktuálisan használt switch portot a Publikus VLAN alá helyezi át. Itt hívjuk fel a figyelmet, hogy a Publikus VLAN alatt DHCP szolgáltatás nincsen, így az ide sorolt PC-k IP címét rendszergazda fixen kell hogy beállítsa. Ha a későbbiekben az így megjelölt PC-t véletlenül másik switch port-ra csatlakoztatják, az AVSR azt a portot is automatikusan Publikus VLAN-ba rakja át. 1.1.2.6 Belső szerverek, nyomtatók, egyéb hálózati eszközök felvétele A publikus szerverekhez hasonlóan meg kell jelölni az összes olyan belső hálózati eszközt, amely előtt nem ül felhasználó (vagyis nem futtatható rajta böngésző, amivel az AVSR belépés megvalósítható lenne). Tipikusan ilyen eszközök: Windows, Linux alapú szerverek Hálózati nyomtatók Ethenet interfésszel rendelkező menedzselhető UPS-ek Menedzselhető hálózati eszközök (switch, wireless access point) menedzsment IP címe Hálózati WEB kamera IP Telefon Egyéb hálózati eszközök, melyeken nem futtatható böngésző (mérőműszerek, ) Egyéb, fix IP címet használó eszközök (a fix IP cím miatt nem szabad megengedni, hogy ezek az eszközök dinamikusan másik VLAN-ba kerülhessenek). Ezen eszközöket a megfelelő működésükhöz az előző fejezetben leírtakhoz hasonló módon kell valamelyik belső VLAN-hoz rendelni. A fontosabb lépések: Eszköz csatlakoztatása switch-re, és bekapcsolása (hogy MAC címe belekerüljön AVSR adatbázisába) Portál felületen az Eszköz adatok menü alatt az eszköz kiválasztása (MAC address alapján), majd név adás, és fix VLAN-ba rendelés. 19
Ezután AVSR azt a switch portot, melyre ez az eszköz csatlakozik, automatikusan a kért VLAN-ba rakja, és az eszköz IP címét (amennyiben rendelkezésre áll) engedélyezi Internet elérésre. Érdemes ellenőrizni, hogy az eszköz a VLAN-jának megfelelő IP címet használ, valamint hogy képes-e kommunikálni a hálózaton. Ha gond van az Internet eléréssel (nagy ritkán IP cím csere után fordulhat elő), akkor javasolt az eszközön egy böngészőt indítani és egy tetszőleges Internet oldalra ellátogatni (hogy AVSR érzékelje az új IP címet), vagy ha ez nem lehetséges, akkor a hálózati csatlakozót pár másodpercre ki kell húzni majd visszadugni (ekkor AVSR megpróbálja megállapítani az eszköz új IP címét). 1.1.2.7 További hub, switch, WiFi access-point megadásának lehetősége Ha a Közháló switch-re külső L2 eszköz (Ethernet switch, hub, Wireless Access Point) csatlakozik, akkor a Közháló switch megfelelő portját az AVSR elett fix VLAN-hoz kell rendelni. Ellenkező esetben (az alapértelmezett Dinamikus port használat mellett) előfordulhatna, hogy a külső switch egy munkaállomása miatt a Közháló switch port másik VLAN-ba kerül, miáltal a külső switch-re csatlakozó összes eszköz elvesztené hálózati kapcsolatát. Ne használjon fix port beállítást publikus szerverekhez, erre a célra az előző fejezetekben leírt eszközhöz rendelt fix VLAN beállítása a javasolt módszer. A switch módosítás a bal oldali Switch adatok linkre kattintva érhető el. Első lépésben a Portálon megjelenik az aktuális beállítás. 20
A Módosítás gombra kattintva érhető el az alábbi oldal: A megfelelő módosítás után a Mehet gombra kattintva az AVSR elvégzi a kért módosításokat a végponti Közháló switch-ben. 1.1.2.8 Hibakereséshez útmutató Első lépésben célszerű ellenőrizni, hogy van-e fizikai kapcsolat, és hogy kapott-e munkaállomás IP címet. Javasolt parancs: ipconfig /all -> van fizikai kapcsolat? (Media disconnected?) -> kapott DHCP-vel címet? (A 0.0.0.0 azt jelenti még keresi a címet, a 169.254.*.* azt jelenti, nem kapott címet) -> DHCP-s vagy fix címet használ PC (van-e DHCP Server sor?) -> melyik VLAN címtartományból kapott? (Összevetni kiadott útmutatóval. Ha a karanténba került PC, akkor nincs hálózati elérése) Ha nincs fizikai kapcsolat, ellenőrizni kell a hálózati kábelt. A Közháló switch-en a PC-hez tartozó port LED-je zöld kell hogy legyen. Ha nem világít, vagy sárgán világít, akkor fizikai probléma van. 21
Ha a PC fix címet használ, és az IP címe publikus cím (81.160.*.*), akkor ez így rendben van (a Publikus szegmensen nincsen DHCP szolgáltatás). Ha a PC fix IP címet használ, de nem publikus az IP cím (tipikusan 10.*.*.* vagy 192.168.*.* vagy 172.*.*.* címek lehetnek), akkor ez lehet a rendellenes működés oka. Ha a PC szerver, akkor fix VLAN-t kell hozzá rendelni a Portál felületen. Ha a PC munkaállomás, akkor érdemes dinamikus (DHCP) címet beállítani neki. Ha a PC dinamikus (DHCP) címet használ, és nem kapott címet (169.254.*.* címet mutat ipconfig), akkor az alábbi irányban érdemes a hibát keresni: -> Közháló router be van kapcsolva? -> Közháló router és switch között megvan a kapcsolat? (zölden világít a Közháló switch 24-es portja?) -> Ha nemrég volt router bekapcsolva, vagy előbb volt PC bekapcsolva mint a router, akkor érdemes megpróbálni az IP cím megújítást ( ipconfig /renew parancs). -> Egy másik munkaállomásról bejelentkezni Portál oldalra, és ott ellenőrizni, milyen VLAN-ba került a problémás munkaállomáshoz tartozó switch port. Valamint, hogy ahhoz a VLAN-hoz tartozó DHCP szolgáltatás be van-e kapcsolva (a Publikus szegmensen soha nincs DHCP szolgáltatás, a többi szegmensen lehet kérni a kikapcsolását). Ha az IP cím rendben van, érdemes ellenőrizni, hogy a router elérhető-e. A router címe az előző parancsból állapítható meg ( Default Gateway sor): Javasolt parancs: ping <router ip címe> -> Jön válasz csomag? Ha nincs válasz, akkor az alábbi problémák merülhetnek fel: -> PC fix IP címet használ (nem DHCP szervertől kapott címet), és rossz jogosultsági szintre került. Portál oldalon egy másik munkaállomásról a megfelelő jogosultság beállítható. -> PC dinamikus (DHCP alapú) címet használ, de valamiért VLAN váltás után nem kért új címet. Érdemes az ipconfig /release majd az ipconfig /renew parancsokat egymás után kiadni. 22