Source for file EndDevice.php

Documentation is available at EndDevice.php

  1. <?php
  2. /**
  3.  * EndDevice.php
  4.  *
  5.  * PHP version 5
  6.  *
  7.  * LICENSE: This program is free software; you can redistribute it and/or
  8.  * modify it under the terms of the GNU General Public License as published
  9.  * by the Free Software Foundation.
  10.  *
  11.  * @package            FreeNAC
  12.  * @author            Seiler Thomas (contributer)
  13.  * @author            Hector Ortiz (FreeNAC Core Team)
  14.  * @copyright            2007 FreeNAC
  15.  * @license            http://www.gnu.org/copyleft/gpl.html   GNU Public License Version 2
  16.  * @version            SVN: $Id$
  17.  * @link            http://www.freenac.net
  18.  */
  19.  
  20. /**
  21. * Health status(es) (Note: The Oxford English Dict defines the plural of status as statuses, but the Latin plural is status
  22. * Pick the one you like the most :) )
  23. */
  24. define('UNKNOWN',0);
  25. define('OK',1);
  26. define('TRANSITION',4);
  27. define('QUARANTINE',5);
  28. define('INFECTED',6);
  29.  
  30. /**
  31.  * This class represents a row in the systems table in the database.
  32.  * In the current version, the host is identified by its mac address.
  33.  * This class extends the {@link Common} class.
  34.  */
  35. class EndDevice extends Common 
  36. {
  37.    protected $mac;
  38.    protected $db_row = array();
  39.  
  40.    /** The constructor takes the mac address of the system and creates
  41.    * and instance representing that particular system.
  42.    * Access is read-only.
  43.    * @param object $object    A copy of the Request
  44.    * @throws            Deny if we received an invalid MAC address or if vlan assigned to this device is 0
  45.    */
  46.    public function __construct($object
  47.    {
  48.       #If we don't receive an object, DENY
  49.       if (!$object)
  50.          DENY('No object received in constructor');
  51.       parent::__construct();
  52.       if (($object instanceof VMPSRequest|| ($object instanceof SyslogRequest))
  53.       {
  54.          # Normalise mac address format by removing spaces, dashes, dots
  55.          # and collons, and by converting to lower case.
  56.          $mac=$object->mac;
  57.          $mac strtolower(preg_replace('/-|\.|\s|\:/'''$mac));
  58.          
  59.          # Sanity check - Is this a valid MAC address ??? 
  60.          if (!preg_match("/^[0-9a-f]{12}$/",$mac)) 
  61.             DENY("Invalid MAC address $mac");
  62.          if ($mac === '000000000000'
  63.             DENY("Invalid MAC address $mac");
  64.       
  65.          # Rewrite mac address according to Cisco convention, XXXX.XXXX.XXXX  
  66.          $this->mac="$mac[0]$mac[1]$mac[2]$mac[3].$mac[4]$mac[5]$mac[6]$mac[7].$mac[8]$mac[9]$mac[10]$mac[11]";          
  67.       
  68.          # Query systems table 
  69.          $sql_query=<<<EOF
  70. SELECT s.id AS sid, s.health, s.office, s.mac AS mac, 
  71.        s.name AS hostname, s.description, s.status, 
  72.        s.r_ip AS ip, s.expiry, s.email_on_connect,
  73.        u.id AS uid, u.username,
  74.        v.id AS vid, v.default_name AS vlan_name
  75. FROM systems s
  76.    LEFT JOIN users u ON s.uid=u.id 
  77.    LEFT JOIN vlan v ON s.vlan=v.id 
  78. WHERE s.mac='{$this->mac}' LIMIT 1;
  79. EOF;
  80.       
  81.          $this->logger->debug($sql_query,3);
  82.  
  83.          #System found in database, fill up the properties
  84.          if ($temp=mysql_fetch_one($sql_query))
  85.          {
  86.             $this->db_row=$temp;
  87.             $this->db_row['in_db']=true;
  88.             if (!$this->db_row['health'])
  89.                $this->db_row['health']=UNKNOWN;
  90.             if (($object instanceof VMPSRequest&& ($this->vid == 0))
  91.                $this->logger->logit("Note: Device {$this->mac}({$this->hostname}) has vlan zero. It will be blocked");
  92.             #   DENY('VLAN ID assigned to this EndDevice equals zero');
  93.             
  94.          }
  95.          else 
  96.          {
  97.             #Unknown system
  98.         $this->db_row['status']=0;
  99.         $this->db_row['mac']=$this->mac;
  100.         $this->db_row['in_db']=false;
  101.             $this->db_row['health']=UNKNOWN;
  102.      }
  103.          
  104.          # Save the result of vmpsd_external
  105.          if ( $object instanceof SyslogRequest )
  106.          {
  107.             $this->db_row['vmpsd_external_result'$object->vtp;    
  108.          }
  109.  
  110.          # This bit will be used for hub detection, if enabled
  111.          if ($this->conf->detect_hubs && ($object instanceof VMPSRequest))
  112.          {
  113.             $query = "SELECT id FROM vlan WHERE default_name='{$object->lastvlan}'";
  114.             $this->logger->debug($query,3)
  115.             $this->db_row['newvlan_id']=v_sql_1_select($query);
  116.             if ($this->db_row['newvlan_id'])
  117.                $this->db_row['newvlan_id'0;
  118.          }
  119.  
  120.          #Initial values for these vars. They'll be modified at some point in the future in this class
  121.          $this->db_row['port_id']=0;
  122.          $this->db_row['office_id']=1;
  123.      $this->db_row['lastvlan_id']=1;
  124.  
  125.          #Passing of information between objects
  126.          $this->setPortID($object->switch_port->getPortID());
  127.          $this->setOfficeID($object->switch_port->getOfficeID());
  128.          $this->setVlanID($object->switch_port->getLastVlanID());
  129.          $this->setAlertSubject($object->switch_port->getAlertSubject());
  130.          $this->setAlertMessage($object->switch_port->getAlertMessage());
  131.          $this->setNotifyInfo($object->switch_port->getNotifyInfo());
  132.          
  133.  
  134.       }
  135.       else
  136.       {
  137.          #Object is an unknown instance
  138.          DENY('Unknown instance of object passed to the constructor');
  139.       } 
  140.    }
  141.  
  142.    # Policy Checks ------------------------------------------------------------ 
  144.    /** 
  145.    * Check that the system is not yet expired
  146.    * Expiry date like 0000-00-00 00:00:00 is treated as never expire
  147.    * @return boolean     Tell if the system is expired
  148.    */
  149.    public function isExpired() 
  150.    {
  151.       # Check if expiry checks are enabled 
  152.       if ($this->conf->check_for_expired
  153.       {
  154.          # get systems expiry date
  155.          $expiry = $this->expiry;
  156.             
  157.          if ($expiry)
  158.          {
  159.             # 0000-00-00 00:00:00 means no expiry 
  160.             if(strcmp(trim($expiry),"0000-00-00 00:00:00")==0) 
  161.             {
  162.                return false;
  163.             }
  164.   
  165.             # Get the time difference between the current time and the expiry date        
  166.             $timestamp=date('Y-m-d H:i:s');
  167.             $time=time_diff($timestamp,$expiry);
  168.             if ((! $time) || ($time<0)) 
  169.             {
  170.                return true;
  171.             }
  172.          }
  173.       } 
  174.       else 
  175.       {
  176.          # Default is not to expire, do on debug1 to flood logs less
  177.          #$this->logger->logit("check_for_expired option is not enabled");
  178.          $this->logger->debug("check_for_expired option is not enabled");
  179.          return false;
  180.       }
  181.    }
  182.  
  183.    /** Is this EndDevice a Virtual Machine ?
  184.    * It is, if the vendor string associated to the first 3 bytes of the mac
  185.    * contains "vmware", "parallels" or "microsoft"
  186.    * @return boolean    Tell whether this EndDevice is a Virtual Machine
  187.    */
  188.    public function isVM()
  189.    {
  190.       # Check if VM checks are enabled 
  191.       if ($this->conf->vm_lan_like_host
  192.       {
  193.          if (stristr($this->getVendor(),"vmware")) 
  194.             return true;    # The original
  195.          if (stristr($this->getVendor(),"parallels")) 
  196.             return true;    # Mac VMWare-alike
  197.      if (stristr($this->getVendor(),"microsoft")) 
  198.             return true;    # VirtualPC
  199.       }
  200.       else
  201.       {
  202.          $this->logger->logit("vm_lan_like_host option is not enabled");
  203.          return false
  204.       }
  205.    }
  206.  
  207.    /** 
  208.    * Is this device 'killed'? 
  209.    * @return boolean    Tell if the EndDevice is killed
  210.    */
  211.    public function isKilled()
  212.    {
  213.       if ($this->status==7)
  214.          return true;
  215.       else
  216.          return false;
  217.    }
  218.  
  219.    /**
  220.    *  Is this device 'active'? 
  221.    * @return boolean    Tell if the EndDevice is active
  222.    */
  223.    public function isActive() 
  224.    {
  225.       if ($this->status==1)
  226.          return true;
  227.       else
  228.          return false;
  229.    }
  230.     
  231.    /** 
  232.    * Is this device 'unknown'? 
  233.    * @return boolean    Tell if the EndDevice is unknown
  234.    */
  235.    public function isUnknown() 
  236.    {
  237.       if ($this->status==0)
  238.          return true;
  239.       else
  240.          return false;
  241.    }
  242.  
  243.    /**
  244.    * Is this device 'unmanaged'?
  245.    * @return boolean    Tell if the EndDevice is unmanaged
  246.    */
  247.    public function isUnmanaged()
  248.    {
  249.       if ($this->status==3)
  250.          return true;
  251.       else
  252.          return false;
  253.    }
  254.     
  255.     
  256.    # Information about system -------------------------------------------------
  257.     
  258.    /**
  259.    * Return the vendor name associated to first 3 bytes of the mac address 
  260.    * @return mixed    Vendor for this MAC address
  261.    */
  262.    public function getVendor() 
  263.    {
  264.       /**
  265.       * @todo Implement a vendor Cache in an arry to save an sql statement per request ;-)
  266.       */
  267.       $mac=preg_replace('/\./','',$this->mac);
  268.       $prefix="$mac[0]$mac[1]$mac[2]$mac[3]$mac[4]$mac[5]";
  269.       $query="SELECT vendor FROM ethernet WHERE mac LIKE '%$prefix%';";
  270.       $this->logger->debug($query,3);
  271.       $vendor=v_sql_1_select($query);
  272.       if $vendor )
  273.          return '';
  274.       $vendor=rtrim($vendor,',');
  275.       return trim($vendor);
  276.    }
  277.     
  278.    /**
  279.    * Return the Name of the systems' default VLAN 
  280.    * @return mixed     Default VLAN assigned to this device
  281.    */
  282.    public function getVlanName()
  283.    {
  284.       return $this->vlan_name;    
  285.    }
  286.  
  287.    /**
  288.    * Return the vlan id assigned to this EndDevice
  289.    * @return mixed    vid
  290.    */
  291.    public function getVlanID() 
  292.    {
  293.       return $this->vid;
  294.    }
  295.  
  296.    /**
  297.    * Universal Accessor Method
  298.    * We are redirecting all unresolved method calls to this handler, 
  299.    * so that we can emulate arbitraty accessor methods.
  300.    * With this trick, the user can add new fields to the system tables
  301.    * and will be able to access them in the policy as
  302.    * $system->getDBFieldName() without haveing to change this class
  303.    * @throws        If the db field does not exist, Log Error and Deny as default action
  304.    * @return mixed    Property
  305.    */
  306.    public function __call($methodName, $parameters) {
  307.       # If methodname starts with get 
  308.       if (substr($methodName,0,3) == "get") {
  309.          $dbfieldname = substr($methodName,3);
  310.      foreach(array_keys($this->db_rowas $key{
  311.         if (strtolower($key) == strtolower($dbfieldname)) {
  312.                if (is_numeric($this->db_row[$key]))
  313.                {
  314.                   if (stristr($this->db_row[$key],'.'))
  315.                      return $this->db_row[$key];
  316.                   else if $this->db_row[$key)
  317.                      return (int)$this->db_row[$key];
  318.                   else
  319.                      return false;
  320.                }
  321.                else
  322.                {
  323.                   return $this->db_row[$key];
  324.                }
  325.         }
  326.      }
  327.       }
  328.       $this->logger->debug("Field $methodName doesn't exist",2);
  329.    }
  330.     
  331.    /**
  332.    * Get the value of one property if it exists
  333.    * @param mixed $key          Property to lookup
  334.    * @return mixed              The value of the wanted property, or false if such a property doesn't exist
  335.    */
  336.    public function __get($key)                                                  //Get the value of one var
  337.    {
  338.       if (array_key_exists($key,$this->db_row))
  339.       {
  340.          if (is_numeric($this->db_row[$key]))
  341.          {
  342.             if (stristr($this->db_row[$key],'.'))
  343.                return $this->db_row[$key];
  344.             else if $this->db_row[$key)
  345.                return (int)$this->db_row[$key];
  346.             else 
  347.                return false;
  348.          }
  349.          else
  350.          {
  351.             return $this->db_row[$key];
  352.          }
  353.       }
  354.    }
  355.  
  356.    /**
  357.    * Set the value of one property if it exists
  358.    * @param mixed $key          Property to lookup
  359.    * @param mixed $value        Value to set the desired property to
  360.    * @throws             Deny if there was an attempt to set an unknown property
  361.    */
  362.    protected function __set($key,$value)                                                  //Set the value of one var
  363.    {
  364.       if (array_key_exists($key,$this->db_row))
  365.          $this->db_row[$key]=$value;
  366.       else
  367.          $this->logger->debug('Attempting to set an unknown property',2);
  368.    }
  369.  
  370.  
  371.    /**
  372.    * Return all properties assigned to this system. This method is here only for debugging purposes, please delete it after
  373.    * @return array     All properties present
  374.    */
  375.    public function getAllProps()
  376.    {
  377.       return $this->db_row;
  378.    }
  379.  
  380.    /**
  381.    * This method indicates if a system is in the db. This flag was set in the constructor.
  382.    * @return boolean    Value of the 'in_db' property
  383.    */
  384.    public function inDB()
  385.    {
  386.       return $this->in_db;
  387.    }
  388.  
  389.    /**
  390.    * Catch DB inserts.
  391.    * Check if the function is called from a postconnect method in an object which is a child of Policy.
  392.    * This function should be called from inside the update method. To prevent inserting of code in other methods, new code
  393.    * should be added.
  394.    * This is a basic checking, in the future this code may be enhanced.
  395.    * @return boolean        True if function was called from a valid method, false otherwise
  396.    */
  397.    function check_calling_method()
  398.    {
  399.       $backtrace = debug_backtrace();
  400.       array_shift($backtrace);    //Remove call to check_calling_method from the backtrace;
  401.       $ok=0;
  402.       #Are we calling from a child of EndDevice which uses CallWrapper?
  403.       if ( isset($backtrace[1]['class']) && isset($backtrace[3]['class']) 
  404.       && ( (strcasecmp(get_parent_class($this),'EndDevice')) == 0 ) && (strcasecmp($backtrace[3]['class'],'Callwrapper') ==0 ))
  405.       {
  406.          #If so, do the necessary corrections to our backtrace
  407.          $temp=array_shift($backtrace);
  408.          $backtrace[0]=$temp;
  409.       }
  410.       #$this->logger->logit(print_r($backtrace,true));
  411.       #$this->logger->logit(get_parent_class($this));
  412.       {
  413.          #Check if we are using callwrapper
  414.          if ( (strcasecmp($backtrace[2]['class'],'Callwrapper')==0) && (strcasecmp($backtrace[2]['function'],'__call')==0))
  415.          {
  416.             #Check if the class is a child of Policy and if calling method is postconnect
  417.             #if ( ( $backtrace[4]['class'] instanceof Policy ) && (strcasecmp($backtrace[4]['function'],'postconnect')!=0) )
  418.             if (strcasecmp($backtrace[4]['function'],'postconnect')!=0)
  419.             {
  420.                $this->logger->logit("{$backtrace[0]['function']} method must only be called from a postconnect, since it changes the database. Pre-connnect can run secondary servers (which have read-only tables), and must not change the DB. This method was called from {$backtrace[4]['function']}. Aborting insert operation",LOG_WARNING);
  421.                return false;
  422.             }
  423.             else
  424.             {
  425.                $ok++;
  426.             }
  427.          }
  428.          #Not using callwrapper
  429.          else if (strcasecmp($backtrace[0]['class'],'EndDevice')==0)
  430.          {
  431.             #Are we calling from a child of EndDevice?
  432.             if ( (strcasecmp($backtrace[1]['function'],'postconnect')) != 0 )
  433.             {
  434.                #If so, do the necessary corrections to our backtrace
  435.                $temp=array_shift($backtrace);
  436.                $backtrace[0]=$temp;
  437.             }
  438.             #Check if the class is a child of Policy and if calling method is postconnect
  439.             #if ( (strcasecmp($backtrace[1]['class'],'Policy')==0 ) && (strcasecmp($backtrace[1]['function'],'postconnect')!=0))
  440.             if (strcasecmp($backtrace[1]['function'],'postconnect')!=0)
  441.             {
  442.                $this->logger->logit("{$backtrace[0]['function']} method must only be called from a postconnect, since it changes the database. Pre-connnect can run secondary servers (which have read-only tables), and must not change the DB. This method was called from {$backtrace[4]['function']}. Aborting insert operation",LOG_WARNING);
  443.                return false;
  444.             }
  445.             else
  446.             {
  447.                $ok++;
  448.             }
  449.          }
  450.          else
  451.          {
  452.             $this->logger->logit("{$backtrace[0]['function']} method can only be called from a postconnect method, condition not met, aborting insert operation",LOG_WARNING);
  453.             return false;
  454.          }
  455.       }
  456.       if ($ok)
  457.          return true;
  458.       else 
  459.          return false;
  460.    }
  461.  
  462.    /**
  463.    * Update EndDevice information in the DB
  464.    * @return mixed    MAC address and hostname of the updated system, or false if no update was performed
  465.    */
  466.    public function update()
  467.    {
  468.       #Chech if the system is in the DB, and then perform the update
  469.       if ($this->check_calling_method(&& $this->inDB())
  470.       {
  471.          #Send an email alert on connect?
  472.          if ( ! empty($this->db_row['email_on_connect']) )
  473.          {
  474.             $this->logger->mailit("{$this->mac}($this->hostname) is connecting to the network",$this->alert_message.$this->alert_subject,$this->db_row['email_on_connect']);
  475.             #log2db('info',"{$this->mac}($this->hostname) is connecting to the network");
  476.          }
  477.  
  478.          #Check if it's not expired
  479.          if ($this->isExpired(&& $this->conf->disable_expired_devices)
  480.          {
  481.