CPE Small-Internet-Solution-Portal
Disclaimer
Die
CPE „Small-Internet-Solution-Portal“ ist eine Mini-ISP-Lösung. Das heißt, dass mit dieser
grundsätzlich alle Aufgaben und Leistungen eines Internet-Dienstanbieters realisiert werden
können. Im Auslieferungs-Zustand ist eine Beispiel-Konfiguration enthalten, die die
grundsätzliche Funktion zwecks Abnahme sicherstellt.
Für
den Betrieb, die Betriebssicherheit und die Einhaltung aller gesetzlichen Vereinbarungen ist
nach Übergabe der Betreiber dieser Einrichtung verantwortlich. D.h., dass die Haftung für
den
Betrieb der CPE nicht durch die Fa. abc Information getragen wird. Die Fa. abc Information
GmbH haftet gemäß den gesetzlichen Bestimmungen aus dem Produkthaftungsgesetz.
Wir
empfehlen dringend, die Default-Passwörter durch reale Passwörter zu ersetzen und nicht
benötigte Zugänge zu sperren.
Besondere Hinweise
zum Betrieb der Systemsoftware
Die
CPE basiert auf einem LINUX-Betriebssystem einer DEBIAN-Distribution. Vor allem
wurden die Software-Pakete:
Apache-Web-Server
SQUID-Proxy-Server
SAMBA-Windows-Server
Zip
(MS-Windows-ZIP kompatible Kompression von Daten)
WEBMIN
(zur Administration)
USERMIN
(Web-Mail-Schnittstelle, Passwort-Änderung für User und QUOTA-Abfrage)
mgetty
zur Modem-Einwahl mit Access-Liste
PostgreSQL
SQL-Server.
MySQL
SQL-Server
u.v.m.
installiert
Die
Pakete wurden nicht alle von der Ursprungs-Distribution eingesetzt, einige wurden
entsprechend den Anforderungen angepasst bzw. ergänzt. Aus diesem Grund empfehlen wir
nicht die Nachinstallation oder Updates dieser Pakete mit im Internet verfügbaren Versionen.
Nur von der Fa. abc Information GmbH authorisierte und freigegebene Software sollte
installiert werden. Andernfalls kann die Funktion einzelner Module oder des gesamten Systems
beeinträchtigt werden oder zu Ausfällen des Systems oder Teilen davon führen.
Die
Auswertungstools sind geistiges Eigentum der Fa. abc Information GmbH und dürfen nicht
auf anderen Systemen installiert oder an Dritte weiter gegeben werden, sofern im Quelltext kein
Hinweis auf einen anderen Urheber besteht.
VLAN-Integration
und IP-Konzept
Die
Trennung der Kundennetze erfolgt in der CPE über separate, virtuelle Ethernet-Interfaces
am zweiten physikalischen Ethernet-Interface (eth1). Damit ist es möglich, für jedes
Kundennetz eine individuelle Konfiguration der Firewall und der Netzdienste vorzunehmen. Das
virtuelle Interface lautet jeweils eth1.<VLAN-ID>.
Da
die Kundennetze aus dem Private-Address-Space des Internets stammen sollen (
Einsparung realer IP-Adressen), wurde daraufhin das folgende Netzkonzept erarbeitet:
Der
IP-Adressraum für die Endkunden (kurz: Kunden-LAN) stammt aus dem Bereich
10.0.0.0. Bezüglich der festgelegten Zielgruppe, wurde der Adressbereich in „256er-Netze“
aufgeteilt. Damit ergeben sich rechnerisch 65535 Kundennetze mit jeweils 252 IP-Adressen.
Diese
großzügige Dimensionierung wurde vorgenommen, um den Kunden die Möglichkeit zu
einzuräumen, das zugewiesene Netz selbstständig nochmals zu teilen (z.B. ein Netzsegment
WLAN, ein Netzsegment herkömmliches LAN).
Folgende
Festlegungen wurden getroffen:
Beispiel:
Ein
Kunde wird an einen Switch-Port angeschaltet, der mit dem VLAN 1048 beschaltet ist.
Dementsprechend
lautet die zugehörige IP-Adresse:
VLAN(High)
= Ganzzahl (1048 / 256) = 4
VLAN(Low)
= 1048 – 4 * 256 = 24
Kunden-LAN: 10.4.24.0
Server-Adresse: 10.4.24.1
Netmask: 255.255.255.0
Damit
ergibt sich:
Broadcast: 10.4.24.255
Per
Default wurden folgende VLANs werksseitig eingestellt:
1: 10.0.1.0
(Für Wartungsaufgaben, Default-VLAN (nicht für Kunden))
bis
Wie
aus dem bisher Ausgeführten ersichtlich, sind damit für Kundennetze nur die IP-Adressen
10.0.0.0 bis 10.16.0.0 vergebbar (VLAN-ID ist ja nur 10 bit!!!). Damit stehen die Adressen
oberhalb dieses Bereiches für spätere Anwendungen (z.B. Vernetzungsaufgaben im Backbone,
Dial- In, etc.) zur Verfügung.
Für
Wartungsaufgaben steht ein PPP-Dial-In-Interface zur Verfügung. Zur völligen
addressmäßigen Entkopplung des Kundennetzes, haben wir für diesen Zugang den
Adressbereich 192.168.1.0 gewählt.
VLAN-Konfiguration
Die
VLAN-Konfiguration findet im Verzeichnis /usr/local/cpe/etc statt. Die zu erstellenden
VLAN- Ids werden in die Steuerdatei vlan.config eingetragen. Diese ist werksseitig bereits
gemäß den Bestelldaten konfiguriert und benötigt keinerlei Änderung. Lediglich bei
einer
Erweiterung des Systems auf eine größere Anzahl virtueller Ports muss diese Datei adaptiert
werden. Aus diesem Grund läßt sich die Datei auch nur auf Systemebene und nicht über
das
GUI ändern.
WARNUNG:
Diese Datei darf nur bei abgeschalteten VLANs verändert werden oder es
muss sofort nach der Änderung ein Systemstart durchgeführt werden. Bitte bedenken Sie auch,
dass bei einer Änderung der VLAN-IDs sich alle IP-Adressen ändern und damit auch alle
anderen Systemparameter (Firewall, DNS, Berechtigungen, etc) angepasst werden müssen. Ein
solcher Eingriff sollte nur durch eine versierte Fachkraft erfolgen!
Die
VLANs werden automatisch beim Systemstart eingerichtet. Eine Änderung zur Laufzeit ist
nicht vorgesehen und wird auch aufgrund der umfangreichen Abhängigkeiten sowie den
Vorgängen im Betriebssystemkern nicht empfohlen.
Netzzugangsmöglichkeiten
des Kunden-LAN
In
der derzeitigen Konfiguration ist es möglich, dass Kunden einen direkten Zugang zum Server
erhalten. Von dort aus gelangen sie via den PROXY-Dienst (SQUID) mit den Protokollen
HTTP und FTP in das Internet. E-Mail wird automatisch über den integrierten Mailserver
verteilt. Eine direkte Angriffsmöglichkeit aus dem Internet auf das Kundennetz besteht damit
nicht.
Wünscht
der Kunde jedoch weitere Internet-Dienste (z.B. Telnet, ICQ, etc.), so besteht die
Möglichkeit, für das Netz ein Routing mit Address-Translation (NAT) zu konfigurieren. Das
erfolgt über eine Änderung der Firewall-Einstellungen über das GUI.
WARNUNG:
Diese Einstellungen sollten nur von Fachkräften vorgenommen werden, da
dieses mit Sicherheitsrisiken verbunden sein kann.
Logfile-Processing
Zur
Errechnung des Internet-Traffics und zum Nachweis des Zugangs zum Internet werden die
Logdateien von Mailserver, Proxyserver und dem Webserver durchsucht und nach
zugangsrelevanten Daten untersucht. Diese Daten werden aufbereitet, von unnötigen
Informationen getrennt und in einer SQL-Datenbank abgelegt. Dort erfolgt eine regelmäßige,
automatische Weiterverarbeitung. Das Ergebnis dieser Verarbeitung wird täglich oder
monatlich per eMail in einem komprimierten Archiv an die voreingestellte Administrator-
Adresse geschickt. Dieses Konto ist derzeit lokal angelegt. Per Admin-Dial-In können die
Daten mittels jedem beliebigen eMail- Client-Programm vom Administrator-Account abgeholt
werden. Der Vorteil bei dieser Methode besteht darin, dass die Daten nicht über das
(öffentliche) Internet gesandt werden. Wird aber der Versand per eMail gewünscht, so kann
die Ausgabe auch durch Umleiten des eMail-Alias auf jede beliebige eMail-Adresse oder eine
Empfänger-Liste im Internet gesandt werden. Hierbei kann durch eine Software-Änderung
noch optional eine Verschlüsselung der Daten erfolgen. Die Volumen-Informationen können
aber nur einen ungefähren Wert für die zum Internet übermittelten Daten bilden. Die
beispielsweise vorangegangenen DNS-Abfragen sowie die Paket-Header sind nicht
berücksichtigt. Diese Daten sind aber ein guter Anhaltspunkt zur Kostenverteilung.
Manuelle Datenanforderung
Sind
die Daten einmal nicht angekommen oder auf der Empfangsseite vernichtet worden, so
kann der Versand der Daten tageweise erneut angestoßen werden. Dazu ist in der
Administrations- Oberfläche unter Sonstiges->Eigene Befehle die jeweilige Auswertung unter
Angabe eines Beginn- und eines Enddatums erneut anzufordern. Die Ausgabe erfolgt auf den
selben eMail-Client. Bitte beachten Sie, dass es beim Versand über das Internet zu
Verzögerungen in der Übermittlung kommen kann.
Logfile-Format
Die
Auswertungen bestehen aus gezipten ASCII-Dateien, die mit einem Trennzeichen getrennt
sind. Als Trennzeichen wurde das Pipe-Zeichen „|“ gewählt. Die Datensätze sind mit einem
Zeilen-Ende- Zeichen getrennt. Die ASCII-Codierung von Zeichen > CHR(127) findet nach
dem UNIX- Standard statt.
Die
erste Zeile enthält eine Datenfeld-Beschreibung. Die Datenfelder sind in der jeweiligen
Tabellen- Beschreibung definiert.
proxy.asc
lan_name|ip_client|url|zeit|size|status|methode
http.asc
ip|url|zeit|size|datei|htuser
mail.asc
msgid|m_to|m_from|m_mailer|m_size|m_remote_id|m_relay|m_status|zeit
Tabellenbeschreibung
In
der Accounting-Datenbank „account“ befinden sich folgende Tabellen:
HTTP-Tabelle
Name:
http
Inhalt:
Zugriffsdaten auf den Webserver. Diese Daten wurden zum Internet übertragen und
hängen von der Häufigkeit des Abrufes und der Größe der Webseiten ab. Beispielsweise
haben Seiten mit vielen grafischen Inhalten einen größeren Internet-Traffic zur Folge.
Aufbau
der Tabelle:
|
Name
|
Typ
|
Beschreibung
|
|
ip
|
Inet
|
IP-Adresse des abfragenden Clients
|
|
url
|
Varchar
|
Angeforderte Server-Adresse
|
|
zeit
|
Abstime
|
Zeit des Zugriffs
|
|
size
|
int4
|
Übermittelte Daten [bytes]
|
|
datei
|
Varchar
|
Datei, auf die zugegriffen wurde
|
|
htuser
|
Varchar
|
User (falls authentifizierter Zugriff), sonst leer
|
eMail-Tabelle
Name:
mta (Mail-Transfer-Agent)
Inhalt:
Auswertung des lokalen Mail-Handling und zum Internet.
|
Name
|
Typ
|
Beschreibung
|
|
Msgid
|
Varchar
|
Nachrichten-ID
(eindeutige Bezeichnung der
Nachricht)
|
|
m_to
|
Varchar
|
Empfänger der Nachricht
|
|
m_from
|
Varchar
|
Absender der Nachricht
|
|
m_mailer
|
Varchar
|
Zustellungsart
|
|
m_size
|
int4
|
Größe der Nachricht
|
|
m_remote_id
|
Varchar
|
Nachrichten-ID auf entfernter Seite
|
|
m_relay
|
Varchar
|
Gesendet über...
|
|
m_status
|
Varchar
|
Status der Übertragung
|
|
zeit
|
Abstime
|
Zeitpunkt der Übertragung
|
PROXY-Tabelle
Name:
proxy
Inhalt:
Auswertung der PROXY-Log-Dateien. Hier wird jeder Zugriff eines Kunden-Client-
Rechners auf das Internet protokolliert.
|
Name
|
Typ
|
Beschreibung
|
|
ip_client
|
Inet
|
IP-Adresse des Client-Rechners
|
|
url
|
Varchar
|
Zieladresse,
auf die zugegriffen wurde. Kann von
der ursprünglich angewählten Website abweichen,
wenn von dieser auf eine andere Seite verwiesen
wurde.
|
|
zeit
|
abstime
|
Zeitpunkt der Transaktion
|
|
size
|
int4
|
Größe der übermittelten Datei
|
|
status
|
varchar
|
Status
|
|
methode
|
varchar
|
Zugriffsmethode
|
Definition
der Sublans
Name:
landefs
Inhalt:
Werksseitig mit Daten gefüllt, die die 24 Kundenlans beschreibt. Wird im Betrieb nicht
verändert. Dient der Zuordnung von Client-Adressen des PROXY-Servers zu den Kunden-
LANs. So kann auf einfache Weise eine Traffic-Summe pro Kunden-LAN errechnet werden.
Diese Information wird den Rohdaten zur einfacheren Nachverarbeitung zugefügt.
|
Name
|
Typ
|
Beschreibung
|
|
lan_name
|
varchar
|
Name des LAN. Werksseitig vorbelegt.
|
|
sublan
|
inet
|
IP-Adresse
und Netzmaske des Kunden-LANs.
Werksseitig auf die programmierten Kunden-LANs
eingestellt.
|
Zugriffsmöglichkeiten
auf die Rohdaten
Die
ausgewerteten Log-Dateien werden auf dem SQL-Server vorgehalten. Dort können sie auf
verschiedene Weise ausgelesen und/oder verarbeitet werden.
-
Über
jedes beliebige Programm auf dem Admin-PC, das ODBC-Aufrufe zulässt (z.B.
Microsoft ACCESS oder Microsoft EXCEL), indem der auf der Dokumentations-CD
befindliche ODBC-Treiber auf dem Admin-PC installiert wird und dieser PC zum Zugriff
auf die Datenbank im Module PostgreSQL->pg_hba.conf zum Zugriff authorisiert wird.
Danach muss eine lokale Datenquelle angelgt werden, die die Verbindung zur Accounting-
Datenbank repräsentiert.
So
lassen sich die Daten dann nach belieben weiter verarbeiten.
Anhang
Kunden-LANs
