Budování a využívání menší podnikové počítačové sítě

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačního a znalostního inženýrství

Budování a využívání menší podnikové počítačové sítě (BAKALÁŘSKÁ PRÁCE)

Autor práce: Pavel Holubička Vedoucí práce: PhDr. Otakar Pinkas

Praha 2009

Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a ţe jsem uvedl všechny pouţité prameny a literaturu, ze kterých jsem čerpal.

V Praze dne 30. června 2009

……………………………………… Pavel Holubička

Poděkování Tímto bych chtěl poděkovat PhDr. Otakaru Pinkasovi za pomoc, připomínky a vedení práce. Děkuji také kamarádovi Honzovi Pospíšilovi za rady během konfigurace serveru.

Abstrakt Hlavním cílem této práce je popsat postupné budování, vyuţívání a rozšiřování konkrétní podnikové počítačové sítě v české společnosti VHL s.r.o. Stěţejním úkolem bylo nejen sepsání, ale v praxi i rozšíření sítě o server, bezdrátový segment a o propojení dvou vzdálených počítačových sítí s ohledem nejen na funkčnost, ale i na bezpečnost. K dosaţení výsledků bylo proto zapotřebí skloubit teorii s praxí. Byly zkoušeny, testovány a hodnoceny jednotlivé postupy práce. Při negativních výsledcích musel být celý proces i několikrát opakován. V bakalářské práci se objevují mnohé návody, jak postupovat při zřizování jednotlivých síťových sluţeb a zároveň jak dbát na jejich zabezpečení. První kapitola se věnuje teoretickým znalostem o sítích LAN a WLAN. Blíţe jsou popsány jednotlivé standardy, síťové prvky a jejich charakteristiky a poskytované sluţby. Druhá rozebírá vývoj od samotných počátků sítě aţ do současnosti. Detailněji je popsáno rozšiřování o bezdrátovou síť, její výstavba, zabezpečení a testování. Cílem třetí kapitoly je podat celkový pohled na problematiku rozšíření o síťový server. Popisuje volbu hardware pomocí multikriteriálního výběru a výběr, zhodnocení a instalaci operačního systému. Následně se zabývá hardwarovým i softwarovým zabezpečením serveru a propojením dvou vzdálených sítí prostřednictvím nástroje VPN. V závěru je několik slov věnováno potenciálním inovacím.

Klíčová slova síť, server, bezpečnost, sluţby

Abstract The main aim of this work is to describe the gradual building, exploitation, and dissemination of specific enterprise computer network in the Czech company VHL Ltd. The pivotal challenge was not only write down the process, but in practice also the extension of the network by server, the wireless segment, and the connection of two remote computer networks with reference not only to functionality, but also for safety. To achieve the results it was therefore necessary to combine theory with practice. Individual work procedures have been tried, tested and evaluated. In the negative results the whole process had to be repeated several times so. In the bachelor´s thesis, there are many instructions on what to do in setting up individual network services as well as ensure their security. The first chapter deals with the theoretical knowledge about LAN and WLAN networks. More closely are describe various standards, network elements and their characteristics, and provided services. The second examines the evolution from the beginnings to the present network. More detailed is describe the enlarging of the wireless network, its construction, security, and testing. The point of third chapter is to give overall view of the extension by network server. It describes the choice of hardware with using multicriterial selection, and the selection, evaluation and installation of the operating system. Subsequently, it deals with hardware and software security of the server and with connection of the remote networks through VPN instrument. In conclusion, there are attended a few words to the potential innovation.

Keywords network, server, security, services

Obsah Úvod ................................................................................................................................. 9 1

Lokální počítačové sítě .......................................................................................... 10 1.1

Sluţby, které mohou lokální sítě poskytnout .............................................................. 10

1.2

Síťový komunikační model OSI ................................................................................. 11

1.2.1

Aplikační vrstva .................................................................................................. 11

1.2.2

Prezentační vrstva ............................................................................................... 11

1.2.3

Relační vrstva ...................................................................................................... 12

1.2.4

Transportní vrstva ............................................................................................... 12

1.2.5

Síťová vrstva ....................................................................................................... 12

1.2.6

Linková vrstva ..................................................................................................... 12

1.2.7

Fyzická vrstva ..................................................................................................... 12 Standardy sítí LAN ..................................................................................................... 12

1.3 1.3.1

IEEE 802.3 Ethernet............................................................................................ 13

1.3.2

IEEE 802.11 WLAN ........................................................................................... 16 Aktivní síťové prvky ................................................................................................... 17

1.4 1.4.1

Zesilovač (repeater) ............................................................................................. 17

1.4.2

Rozbočovač (hub) ............................................................................................... 17

1.4.3

Most (bridge)....................................................................................................... 17

1.4.4

Přepínač (switch) ................................................................................................. 17

1.4.5

Směrovač (router)................................................................................................ 18

1.4.6

Brána (gateway) .................................................................................................. 18

1.4.7

Přístupové body (access point)............................................................................ 18

1.4.8

Síťové karty ......................................................................................................... 18 Síťové protokoly ......................................................................................................... 18

1.5

2

1.5.1

Aplikační vrstva .................................................................................................. 19

1.5.2

Transportní vrstva ............................................................................................... 19

1.5.3

Síťová vrstva ....................................................................................................... 19

Podniková síť společnosti ..................................................................................... 20 2.1

Původní topologie sítě ................................................................................................. 20

2.2

První inovace sítě ........................................................................................................ 21

2.3

Druhá fáze vývoje a rozšíření o bezdrátový segment ................................................. 23

Rozšíření o směrovače a následná konfigurace........................................................... 24

2.4

Bezpečnost .......................................................................................................... 24

2.4.1

Rozšíření o bezdrátovou síť ........................................................................................ 25

2.5 2.5.1

Moţnosti připojení .............................................................................................. 25

2.5.2

Zabezpečení bezdrátové sítě ............................................................................... 26

2.5.3

Realizace ............................................................................................................. 28

2.5.4

Testování bezdrátové sítě .................................................................................... 32 Současná podoba sítě .................................................................................................. 33

2.6

Poskytované síťové sluţby .................................................................................. 35

2.6.1 3

Rozšíření sítě o server............................................................................................... 36 Výběr serveru .............................................................................................................. 36

3.1 3.1.1

NAS server .......................................................................................................... 36

3.1.2

Tower server........................................................................................................ 36

3.1.3

Sestavovaný server .............................................................................................. 36

3.2

Multikriteriální výběr .................................................................................................. 37

3.3

Výběr konkrétního hardware pro server...................................................................... 39

3.4

Výběr operačního systému .......................................................................................... 40

3.4.1

Debian ................................................................................................................. 40

3.4.2

Gentoo ................................................................................................................. 40

3.4.3

Slackware ............................................................................................................ 41

3.4.4

Windows Server 2003 (Standard Edition) .......................................................... 41

3.4.5

Windows Server 2008 (Standard Edition) .......................................................... 41

3.5

Instalace a konfigurace Debianu a dalších sluţeb ....................................................... 42

3.6

Propojení sítí přes VPN............................................................................................... 45

3.7

Zabezpečení serveru .................................................................................................... 48

Závěr .............................................................................................................................. 51 Seznam použitých zkratek ........................................................................................... 52 Seznam použitých zdrojů ............................................................................................. 53 Seznam použitých obrázků .......................................................................................... 56

Úvod

Stránka |9

Úvod Téma budování a vyţívání menší podnikové sítě jsem si vybral z důvodu dlouholetého zájmu o vyuţívání počítačových sítí. Jiţ několik let spravuji síť ve společnosti VHL s.r.o.1, a proto nebudu popisovat obecné principy budování a vyuţívání sítí, ale zaměřím se na konkrétní podnikovou počítačovou síť. K vysvětlení praktické části je nutné znát alespoň základní teorii. Ta je nastíněna v první kapitole. Zaměřuje se především na bezdrátové a kabelové sítě LAN2. Obecně jsou také popsány moţnosti a výhody pouţívání sítí. Hlavní část bakalářské práce se však věnuje postupnému vývoji a změnám počítačové sítě ve firmě, včetně jejího rozšíření o bezdrátovou síť a následného testování spojení. Druhou hlavní částí je inovace o síťový server. Ta byla důleţitá pro následné propojení dvou vzdálených sítí. Detailněji je zde popsán postup výběru serveru, včetně zhodnocení jednotlivých variant. Následuje konfigurace a zabezpečení jednotlivých sluţeb a realizace propojení dvou vzdálených sítí. Tato bakalářská práce se stala podnětem pro reálnou inovaci počítačové sítě v daném čase. Proto bylo prvořadým cílem v co nejkratší době a s určitým finančním rozpočtem rozšířit počítačovou síť na centrále v Praze 2 o zmiňovaný souborový server, rozšířit síť o bezdrátový segment, a vymyslet a realizovat propojení centrály s výrobním střediskem nacházející se v Obrubech u Mladé Boleslavi. Smyslem bylo také popsat postupný vývoj celé podnikové sítě. Pro dosaţení cílů bylo třeba zmapovat trh s nabídkou hardwaru a softwaru. Pročítáním článků a recenzí bylo s ohledem na rozpočet vybráno pokud moţno nejlepší řešení. Na základě studia a pochopení odborné literatury, aplikačních dokumentací, návodů či pročítáním diskusních fór, a také z praktických zkušeností, byly zkoušeny jednotlivé kroky konfigurace a nasazovaní sluţeb. Při negativních výsledcích musel být pozměněn postup práce a znovu otestován nový způsob realizace. Vzhledem k tomu, ţe je práce svým tématem dosti rozsáhlá, musely být některé pasáţe zestručněny.

1 2

Oficiální stránky Local Area Network; označuje místní síť

1 Lokální počítačové sítě

S t r á n k a | 10

1 Lokální počítačové sítě Tato kapitola se bude věnovat teorii lokálních počítačových sítí s ohledem na praktickou část. Při pohledu na počítačové sítě je nutno na začátku rozlišit dvě základní skupiny. Sítě typu peer-to-peer (P2P) se vyznačují tím, ţe všechny počítače jsou si navzájem rovny. Kaţdý z nich můţe mít funkci pouhé pracovní stanice nebo stanice v kombinaci se serverem. Tento typ se pouţívá v malých sítích, zhruba do 10 počítačů. [2] Jako „servery“ slouţí většinou výkonnější počítače, které nabízejí své sluţby (např. sdílený prostor na disku, sdílenou tiskárnu či připojení k internetu). Výhodou je jednoduchá správa a lacinost řešení. Nevýhodou je špatný přehled o datech při větším počtu stanic, nízká ochrana dat a závislost na stanicích sdílicích své funkce. Druhou skupinou je klient-server řešení. Hlavní funkcí je soustředit vše (data, sluţby apod.) do jednoho místa v síti, do dedikovaného3 serveru. Ten řádně zabezpečit a odsud nabízet sluţby všem klientským stanicím. Na serveru musí být operační systém, který bude jednotlivé funkce zajišťovat. Výhodou tohoto řešení je vysoká bezpečnost dat, přehlednost a kvalitní konfigurovatelnost jednotlivých sluţeb. Nevýhodou jsou pořizovací náklady na potřebný hardware a software a potřebné znalosti na správu serveru.

1.1 Služby, které mohou lokální sítě poskytnout Sdílení diskového prostoru Slouţí ke sdílení prostoru jako takového (ne diskové jednotky). [1] Uţivatelům bývají obvykle nastavena práva k jednotlivým souborům a sloţkám na zápis, čtení a spouštění. Kromě dat mohou být sdíleny např. databázové aplikace nebo drahé programové vybavení. Sdílení tiskáren Vybavit kaţdý počítač tiskárnou by bylo příliš nákladné, a proto se pouţívá funkce sdílení tiskáren. Uţivatelé mají na svých pracovních stanicích přesměrované své lokální tiskové porty na tuto tiskárnu a pracují s ní, jako kdyby byla připojena přímo k jejich počítači. Konverzace mezi uživateli V dnešní době velice oblíbené VOIP4 telefonování, nebo konverzace přes různé komunikační programy (např. Skype, ICQ, Jabber atd.). Vzdálené zavádění operačního systému Kdyţ je ethernetová karta vybavena dostatečnou pamětí EPROM5, můţe se vyuţít funkce vzdáleného zavádění operačního systému. Disková jednotka ve stanici tak bude slouţit pouze pro data. [1]

3 4

vyhrazený pro speciální účely, bez přímého přístupu uţivatelů Voice over Internet Protocol


S t r á n k a | 11

Sledování a řízení provozu v síti U kvalitní a rychlé administrace by v ţádném případě neměla chybět vzdálená správa síťových zařízení. V současnosti existují různé způsoby vzdáleného přístupu, včetně jejich zabezpečení. Ochrana dat a zvýšení bezpečnosti provozu Nadefinováním uţivatelů a uţivatelských skupin lze dostatečně řídit práva pro jednotlivé úkony v síti. Zajímavým omezením je také nastavení doby přístupu jednotlivých uţivatelů. Pro správce sítě jsou důleţité tzv. prověřovací záznamy, kde získá kompletní informace o všech činnostech, které sledovaní uţivatelé na síti prováděli. Kromě softwarové bezpečnosti dat lze do jisté míry pouţívat i ochranu hardwaru. Např. pomocí přepěťových ochran, zálohovacích zařízení (UPS6 či diesel generátory) nebo některé z metod RAID7.

1.2 Síťový komunikační model OSI Protoţe počítačové sítě vyvíjelo více firem, narůstala postupně jejich nekompatibilita a význam slova síť začal postrádat smysl, jelikoţ sítě slouţí k vzájemnému propojování. Bylo zapotřebí stanovit pravidla pro přenos dat v sítích a mezi nimi. Proto Mezinárodní ústav pro normalizaci ISO8 vypracoval referenční model OSI9. OSI model vznikl v roce 1978. [1] Popisuje síťovou komunikaci, která by nám měla umoţnit spojení navzájem si nepříliš podobných sítí. Síťovou práci rozděluje na sedm vrstev. Vyšší vrstva přebírá úkol od podřízené, zpracuje ho a předa vrstvě nadřízené. Tato (vertikální) spolupráce je věcí výrobce. Model však doporučuje, jak by měla probíhat spolupráce mezi vrstvami horizontálně. To znamená, ţe dvě stejné vrstvy modelu musejí mezi různými sítěmi (nebo mezi různými síťovými prvky) spolupracovat.[2] Model slouţí především pro výrobce síťových komponent. Pro pochopení principů práce jednotlivých síťových prvků ho však představím. 1.2.1 Aplikační vrstva Je jedinou vrstvou, k níţ má uţivatel přímý přístup. Zde jsou data, která chceme předat jiné stanici, převáděna do „počítačové“ podoby pomocí aplikačních programů. Během přenosu je posílána spolu s daty tzv. hlavička aplikační vrstvy, coţ je datová struktura identifikující vysílací a cílový počítač. 1.2.2 Prezentační vrstva Zpráva, zaznamenaná v aplikační vrstvě je převedena do formy vhodné pro přenos, která je srozumitelná pro cílový počítač. Někdy se provádí i komprese a kódování. Ke zprávě se připojuje hlavička s údaji o pouţité kompresi a kódovací metodě a o formě zápisu dat.

5

Erasable Programmable Read-Only Memory; Jde o semipermanentní typ paměti typu ROM-RAM, jejíţ obsah je mazatelný ultrafialovým zářením. 6 Uninterruptible Power Supply 7 Redundant Array of Independent Disks. Specifikace viz http://cs.wikipedia.org/wiki/Raid 8 International Standards Organization 9 Open Systém Interconect


S t r á n k a | 12

1.2.3 Relační vrstva Vrstva zajišťující zabezpečení (synchronizace přenosu, ošetření násilně ukončeného přenosu, řízení komunikace apod.) vlastního spojení mezi síťovými stanicemi. Zde se také rozhoduje o způsobu relace. Můţe být realizována poloduplexně, tj. počítače se střídají ve vysílání a přijímání, nebo plně duplexně, kdy počítače zároveň vysílají a přijímají. Volby jsou opět posílány v hlavičce. 1.2.4 Transportní vrstva Tato vrstva má na starosti ochranu přenášených dat. Data jsou rozdělena na menší části – pakety10. Ve vrstvě jsou prováděny kontrolní součty, které umoţňují následnou kontrolu správnosti přenosu. V případě neúspěšného přenosu dat jsou zde prováděny záloţní kopie přenášených dat, a tak můţe být přenos opakován. 1.2.5 Síťová vrstva Účel této vrstvy je vybrat optimální cestu (směrování – routing), po níţ bude zpráva putovat k cílové stanici. K datům jsou přidávány jednotlivé meziadresy ve formě hlavičky. 1.2.6 Linková vrstva Linková neboli spojová vrstva uskutečňuje přenos po fyzickém médiu a kontroluje vlastní přenos paketů. V této vrstvě se obvykle drţí kopie paketů aţ do okamţiku, kdy je bezchybný přenos potvrzen následující mezistanicí. Kdyţ dojde k chybě během přenosu, musí tato vrstva zajistit opětovný přenos. Pakety jsou v této vrstvě přetvářeny na tzv. rámce, coţ jsou pakety vybavené navíc příslušnými adresami a posloupnostmi dat potřebnými pro synchronizaci síťových adaptérů na spolupracujících stanicích.[2] 1.2.7 Fyzická vrstva Definuje elektrické, mechanické a funkční vlastnosti zařízení. Například specifikuje vlastnosti kabelů, tvar konektoru, způsob rozeznání začátku bitu přijímací stanicí apod. Hlavní funkcí je navazování a ukončování spojení s komunikačním médiem a konverze

digitálních dat na signály pouţívané přenosovým médiem.

1.3 Standardy sítí LAN Aby spolu různě sestavené sítě mohly správně komunikovat, musely být přijaty normy – standardy, které definují základní poţadavky na technické provedení a komunikaci sítí. Normalizací se zabývá mezinárodní institut IEEE11. Kvůli tomu nesou jednotlivé normy její označení. Jelikoţ standardů existuje velké mnoţství, které by při popisu přesáhlo rozsah práce, a protoţe se v praktické části práce zabývám především bezdrátovými sítěmi a standardy sítě Ethernet12, zaměřím se pouze na normu IEEE 802.3 a IEEE 802.11.

10

Značí blok přenášených informací. Institute of Electrical and Electronics Engineers; Nezisková organizace usilující o rozvoj technologie související s elektrotechnikou. 12 Definuje technologie pouţívající se pro budování LAN. 11


S t r á n k a | 13

1.3.1 IEEE 802.3 Ethernet Se vznikem Ethernetu se setkáváme v 70. letech, kdy tamní vědci v laboratořích firmy Xerox měli za úkol zabezpečit spojení mezi počítači, a nově vzniklému řešení dali název Ethernet.[29] Klasický Ethernet pouţíval sdílené médium, kde všichni slyší všechno, a v kaţdém okamţiku můţe vysílat jen jeden. Pro přístup ke sdílenému přenosovému médiu se pouţívá metoda CSMA/CD13, neboli metoda mnohonásobného přístupu s nasloucháním nosné a detekcí kolizí. Stanice (síťová karta), která potřebuje vysílat, naslouchá co se děje na přenosovém médiu. Pokud je v klidu, začne stanice vysílat. Můţe se stát, ţe dvě stanice začnou vysílat přibliţně ve stejný okamţik. Jejich signály se pochopitelně navzájem zkomolí. Tato situace se nazývá kolize a vysílající stanice ji poznají podle toho, ţe během svého vysílání zároveň zjistí příchod cizího signálu. Stanice, která detekuje kolizi, vyšle krátký signál. Poté se všechny vysílající stanice odmlčí a později se pokusí o nové vysílání. Pokud se během šestnácti pokusů nepodaří rámec odvysílat, stanice své snaţení ukončí a ohlásí nadřízené vrstvě neúspěch. 1.3.1.1 Přenosová média Dnešní lokální počítačové sítě pouţívají především kroucené dvojlinky a optické kabely. Pro úplnost však neopomenu koaxiální kabely, které ve své době byly velmi populární. Koaxiální kabel V současnosti se koaxiální kabely objevují spíše výjimečně. Pouţívaly se jako jedny z prvních kabelů k realizaci spojení v sítí. Původní Ethernet byl propojován tzv. tlustým koaxiálním kabelem a označoval se jako 10Base5. Na kabel byly instalovány tranceivery14, které se připojovaly na AUI porty síťových karet.[7] K masovému pouţívání Ethernetu došlo se zavedením tzv. tenkého koaxiálního kabelu. Tato varianta se označuje jako 10Base2. Propojovací kabely se zakončují terminátory a mezi ně se vkládají odbočky ke stanicím BNC-T konektory. Kroucená dvoulinka Tento kabel je v současnosti nejrozšířenějším typem média. Rozvod kroucené dvojlinky v budovách se nazývá strukturovaná kabeláţ. Kaţdá zásuvka (často kombinuje konektory RJ11 a RJ-45) je propojena s centrálním rozvaděčem samostatným kabelem, který umoţňuje její vyuţití i pro jiné účely (např. telefon). Ethernet pouţívající kroucenou dvojlinku se označuje příponou T nebo TX. Kabely mohou být nestíněné - UTP15 a stíněné STP16, které se pouţívají v průmyslovém prostředí, kde bývá časté rušení. Pouţívá se stínění celého kabelu, nebo i jednotlivých párů. Provedení strukturované kabeláţe se dělí na kategorie podle svých elektrických a přenosových vlastností. Na kategorii závisí maximální moţná přenosová rychlost.

13

Carrier Sense with Multiple Access and Collision Detection Síťový prvek umoţňující překlad toku informací z jednoho typu sítě na jiný. 15 Unshielded Twisted Pair 16 Shielded Twisted Pair 14


S t r á n k a | 14

Optický kabel Je poměrně novým typem média pouţívající se pro připojení k Ethernetu. V závislosti na poţadované rychlosti a vzdálenosti se pouţívají buď jednovidová17, nebo mnohovidová18 vlákna. Oproti výše zmíněným typům je draţší, ale díky nízkému útlumu umoţňuje přenos na větší vzdálenosti. Další jejich výhodou je absolutní odolnost proti elektromagnetickému rušení. Data nejsou přenášena elektricky v kovových vodičích, ale světelnými impulsy v optických vláknech. Díky tomu je zajištěna vysoká bezpečnost přenášených dat, protoţe optické signály nejde odposlouchávat.[2] Jejich vyuţití najdeme při budování LAN sítí mezi budovami a vzdálenými lokalitami. Skleněná vlákna jsou zakončena media konvertory, které převedou optický signál na elektrický. Převodník bývá obvykle součástí přepínače jako rozšiřující modul. Pro kaţdý spoj se pouţijí dvě vlákna - pro kaţdý směr jedno. Lze pouţít také pouze jedno. Pak se vyuţívá dvou vlnových délek pro přenos informací.[7] V praxi se pokládá vţdy několik vláken navíc jako rezerva pro rozšíření nebo poruchu. Rychlost přenosu můţe být od 10 Mbps aţ po 10 gigabitové rychlosti. Optický Ethernet se označuje v příponě písmenem F či FX, poslední dobou ale přípon výrazně přibylo (SX, LX, EX a další). 1.3.1.2 Typy Ethernetu Ethernet se v zásadě nechá rozdělit na čtyři skupiny dle přenosové rychlosti. Na klasický Ethernet (10 Mbps), na Fast Ethernet (100 Mbps), na Gigabitový Ethernet a Desetigigabitový Ethernet. Značení Ethernetu pouţívá přísná pravidla. Číslice na začátku značí rychlost, BASE signalizační metodu a písmeno na konci popisuje kabel (F – optický kabel, T – kroucená dvojlinka). Číslice na konci naopak značí pouţití koaxiálních kabelů a maximální moţnou délku jednoho kabelového segmentu. Ethernet (10 Mbps) Je nejstarší a dnes jiţ skoro nepouţívanou skupinou. 





17 18

10Base5 - Původní Ethernet zaloţený na tlustém koaxiálním kabelu RG-11, jehoţ segment mohl dosahovat maximální délky 500 m. Pouţívala se sběrnicová topologie, kde se jednotlivé stanice připojovaly ke speciálním tranceiverům pomocí AUI konektorům (tvořeny konektory DB15). [26] 10Base2 – Ve své době velice rozšířený standard, pouţívající tenký koaxiální kabel RG-58. Koaxiální kabel tvoří sběrnici, ke které se připojují jednotlivé stanice pomocí členů T, nebo zásuvek EAD. Délka kabelového segmentu mohla dosahovat maximálně 185 m a mít maximálně 30 uzlů. Délka celé sítě pak maximálně 910 m. [2] Konce kabelů musely být opatřeny zakončovacími odpory, tzv. terminátory. 10Base-T - Jako přenosové médium pouţívá kroucenou dvojlinku. Vyuţívá dva páry strukturované kabeláţe ze čtyř. Základem byl rozbočovač, později přepínač, který

Single Mode Fiber; Kabelem prochází jeden paprsek bez lomů a ohybů. Multi Mode Fiber; Má horší vlastnosti, protoţe dochází k lomům světelného paprsku.




S t r á n k a | 15

vytvářel hvězdicovou topologii. Maximální moţná délka kabelu mezi počítačem a rozbočovačem byla 100 m. 10Base-F – První typ pouţívající optická vlákna. Pouţívá se pro spojení na větší vzdálenost, nebo spojení mezi objekty (10Base-FP pro připojení stanic, 10Base-FL pro propojení stanic s rozbočovači, 10Base-FB pro páteřní rozvody mezi budovami), kde nelze pouţít kroucenou dvojlinku. Tvořila obvykle tzv. páteřní síť, která propojuje jednotlivé menší celky sítě.

Fast Ethernet Dnes je stále ještě nejrozšířenější formou v domácnostech a v malých a středních podnicích. Pomalu, ale jistě ho však „vytlačuje“ jeho rychlejší nástupce – GB Ethernet.   



100Base-TX – Pouţívá kroucenou dvojlinku, nestíněnou nebo stíněnou, kategorie 5 s vyuţitím dvou párů. Maximální délka segmentu můţe dosahovat 100 m. 100Base-T2 – Pracuje obdobně jako předchozí typ. Navíc komunikuje i se staršími kategoriemi kabelů, a proto je vhodná pro starší rozvody strukturované kabeláţe. 100Base-T4 – Starší norma pouţívající všechny čtyři páry kabelu. Umí pracovat s kroucenou dvojlinkou kategorie 3, 4, 5. Opět vhodná pro starší rozvody strukturované kabeláţe. 100Base-FX – Komunikaci zajišťují optické kabely. Pro vícevidovové kabely a poloviční duplex můţe být délka segmentu aţ 412 m. Při pouţití jednovidového kabelu a duplexního reţimu aţ 10 km.

Gigabitový Ethernet Tato kategorie zaţívá v této době velký rozmach, jelikoţ zařízení podporující tuto rychlost jsou jiţ cenově dostupné. 

 



1000Base-T – Pro tento typ byla vyvinuta nová kategorie kroucené dvojlinky, kategorie 5e. Ta vychází z kategorie 5, ale pouţívá mnohem přísnější podmínky jak pro konektorování, tak na provedení všech součástí kabeláţe. Jsou vyuţívány všechny čtyři páry kabeláţe do vzdálenosti 100 metrů. 1000Base-CX – Nepříliš pouţívaný standard na bázi měděného vodiče. Je určen pro propojování skupin zařízení na krátké vzdálenosti. 1000Base-SX – Pouţívá levnější mnohavidové optické vlákno. Zdrojem krátkovlnného světla (850 nm) můţe být LED dioda nebo laser. Je určen pro páteřní propojení do vzdáleností několik set metrů. 1000Base-LX – Přenáší světlo delších vln 1130 nm skrz jednovidové optické vlákno. Zdrojem světla je laser. Výhodou je překlenutí větších vzdáleností - aţ několika desítek kilometrů.

Desetigigabitový Ethernet[2] Tato norma je pouţitelná nejen pro sítě LAN, ale i MAN19 a WAN20. Předurčuje ji k tomu dlouhá přenosová vzdálenost dosaţená pomocí jednovidového optického kabelu.

19 20

Metropolitan Area Network; Rozlehlá počítačová síť obvykle ve městě. Wide Area Network; Síť pokrývající velké geografické území.

1 Lokální počítačové sítě 

  

S t r á n k a | 16

10GBase-T - Vyuţívá 4 páry S/FTP (jednotlivé páry jsou stíněné metalickou fólií + metalický oplet kolem všech párů) kabeláţe kategorie 6A (šířka pásma je 500 MHz). Definován je do vzdálenosti 100 metrů. 10GBase-SR – Pouţívá mnohovidový kabel určený pro krátké vzdálenosti od 26 m do 82 m. 10GBase-LX4 – Při uţití mnohavidového kabelu překoná vzdálenost 300m a při jednovidovém aţ 10 km. 10GBase-LR (– ER) – Pracuje s jednovidovými kabely na vzdálenost dosahující 40 km.

1.3.2 IEEE 802.11 WLAN Je standard pro lokální bezdrátové sítě. Podobně jako u Ethernetu probíhal vývoj v jednotlivých společnostech odděleně, čímţ vznikla nekompatibilita. Bylo proto nutné zavést normu, která zajistí vzájemnou komunikaci. Hlavní výrobci bezdrátových technologií se dohodli a zaloţili alianci WECA21. Ta stanovila poţadavky na zařízení a zjistila tak vzájemnou kompatibilitu. Kaţdý výrobek splňující podmínky obdrţí certifikát WiFi, čímţ je potvrzena kompatibilita. Norma je odvozena z Ethernetu, a proto s ním má podobné znaky. Pouţívá přístupovou metodu CSMA/CD a obdobné rozloţení paketu. Stejně jako u Ethernetu existuje i u bezdrátových sítí LAN několik standardů. Zaměřím se na ty nejzajímavější. 1.3.2.1 IEEE 802.11a Vyuţívá pásmo 5 GHz a jeho maximální přenosová rychlost můţe dosahovat 54Mbps. Oproti následujícím dvěma standardům je stabilnější a výkonnější. Má větší povolený vyzařovací limit a lze ho pouţívat do maximální vzdálenosti okolo 15 km (existují tři varianty lišící se mimo jiné povoleným výkonem). 1.3.2.2 IEEE 802.11b Standard byl schválen v roce 1999 a oproti původnímu standardu navyšuje přenosovou rychlost na 11 Mbps v pásmu 2,4 GHz. 1.3.2.3 IEEE 802.11g Rozšiřuje předchozí standard a je s ním zpětně kompatibilní. Vysílá ve stejném frekvenčním pásmu, ale s vyšší maximální přenosovou rychlostí 54 Mbps. 1.3.2.4 IEEE 802.11h Je doplňujícím standardem pro IEEE 802.11a. Je navrţen s ohledem na evropské podmínky, aby bylo moţné vyuţívat síť mimo budovy. Řeší problémy s rušením od ostatních zařízení (např. radary nebo satelitní systémy). Při detekci rušení umoţňuje dynamický přechod na jiný kanál nebo omezí vysílací výkon. 1.3.2.5 IEEE 802.11n Standard by měl vzniknout koncem roku 2009 a má za cíl dosáhnout reálných rychlostí přes 100 Mbps. Maximální přenosová rychlost na fyzické vrstvě můţe teoreticky dosahovat aţ 600Mbps. Standard bude pouţívat pásmo 40MHz.[8] 21

Wireless Ethernet Compatibility Alliance; Sdruţení zabývající se kompatibilitou bezdrátového Ethernetu.


S t r á n k a | 17

1.4 Aktivní síťové prvky Tyto prvky aktivně ovlivňují dění v sítí. Vybírají trasu přenosu, kontrolují správnost paketů, rozhodují do jaké sítě má paket projít a kam ne, a mnoho dalších úkolů. 1.4.1 Zesilovač (repeater) Pouţíval se u koaxiálních sítí jako zesilovač (opakovač) signálu. Proto je i nejjednodušším aktivním prvkem. Pouţívá se tam, kde je kabel uţ tak dlouhý, ţe by na konci nebyl dostatečný signál. Podobně pracuje i převodník (transceiver), který navíc funguje jako redukce mezi jednotlivými typy kabelů. 1.4.2 Rozbočovač (hub) Pouţívá se v sítích s hvězdicovou topologií. Jejich vyuţití bychom našli především v malých domácích nebo podnikových sítích. V dnešní době však jejich místo víceméně přebraly přepínače, a to hlavně díky nízkým cenám a efektivnějšímu vyuţití (viz kapitola 1.4.4 Přepínač). Hub pracuje na 1. (fyzické) vrstvě modelu OSI. Mezi nevýhody rozbočovačů patří zbytečné zatěţování sítí tím, ţe všechny stanice v síti vidí síťová data. Chová se jako opakovač a kopíruje veškerá přicházející data na ostatní porty bez ohledu na to, kterému počítači data náleţí. Většina rozbočovačů má typické problémy, jako jsou například nadměrné kolize na jednotlivých portech. K tomu, aby byly počítače schopny kolize detekovat, je počet hubů pro jednotlivé rychlosti omezen. Kvůli tomuto omezení je vidět, ţe v praxi by ve větších sítích mohlo dojít k překročení limitu. 1.4.3 Most (bridge) Jeho hlavním úkolem je oddělení síťových segmentů. Zařízení pracuje na 2. (linkové) vrstvě modelu OSI a díky tomu je schopné propojit dvě sítě různých standardů (neovlivňují ho fyzické odlišnosti sítí). Další důleţitou funkcí je filtrace paketů. Most si přečte cílovou adresu paketu a zašle ho do určité části sítě, kam má být doručen. Tím se podstatně sniţuje zatíţení sítě. 1.4.4 Přepínač (switch) Je nástupcem síťových rozbočovačů. Propojuje jednotlivé segmenty sítě a síťový provoz inteligentně směruje. Má přehled o tom, který počítač je připojený ke kterému portu a data následně odesílá pouze na daný port. Pracuje na 2. (linkové) vrstvě modelu OSI (některé novější pracují uţ na 3. vrstvě). Switche nabízí nejen vyšší výkon, ale i vyšší bezpečnost. Médium jiţ není sdíleno, ale data putují přímo od odesílatele k příjemci. Přepínače si plní tabulku identifikující cílová rozhraní pro jednotlivé adresy, a to z fyzických adres odesílatelů uvedených v rámcích, které do switche přicházejí. Oproti rozbočovačům mají nevýhodu v moţnosti tvorby smyček v síti a ochromení tak celé skupiny uţivatelů sítě. Tento problém řeší některá zařízení mechanismem Spanning Tree protokol, který dokáţe smyčky rozpoznat a potlačit je. Postupně přestane pouţívat některé trasy a tvoří minimální kostru sítě. V dnešní době nabízejí i některé pokročilejší funkce jako například podporu virtuálních sítí VLAN, vzdálenou správu zařízení přes HTTP22 a TELNET23 či monitoring stavu přes SNMP24.

22

Hypertext Transfer Protocol


S t r á n k a | 18

1.4.5 Směrovač (router) Je inteligentní aktivní prvek pracující na 3. (síťové) vrstvě modelu OSI. Dokáţe shromaţďovat informace o připojených sítích a následně vybírá nejvhodnější cestu pro posílaný paket. Disponuje filtrací paketů, kterou doplňuje o inteligentní směrování. U sítí LAN se s ním setkáme především při připojování k síti Internetu. 1.4.6 Brána (gateway) Brána pracuje na nejvyšší, tj. na 7. (aplikační) vrstvě modelu OSI. „Slouží k připojení k připojování sítí LAN na cizí prostředí, například k sálovým počítačům IBM.“ [2, s. 25] 1.4.7 Přístupové body (access point) Slouţí jako vysílací nebo přijímací zařízení WiFi sítě. V současnosti bývají přístupové body v kombinaci s přepínači, směrovači nebo modemy. 1.4.8 Síťové karty Síťové karty jsou zařízení slouţící k připojení počítačů do počítačové sítě. Mohou mít různé podoby. Například karta, která se zasouvá do příslušné sběrnice (ISA, PCI, PCI-E) na základní desce, nebo můţe být integrovaná na základní desce či externí, která se připojuje pomocí USB konektoru, rozhraní PCMCIA nebo Express Card slotu. Kaţdá karta má přiřazenou svojí unikátní adresu zvanou MAC25, která slouţí k identifikaci počítače v síti. V paměti karet je uloţen firmware26, který provádí funkce řízení logického spoje a řízení přístupu na média ve 2. (linkové) vrstvě modelu OSI. Karty se vyrábí jak pro bezdrátové připojení, tak pro klasické kabelové připojení.

1.5 Síťové protokoly Protokoly definují komunikační pravidla, jimiţ se řídí výměna dat. Je nutné, aby pro správnou funkci pouţívaly jednotlivé stanice stejný protokol. U sítí LAN se kdysi pouţívaly protokoly NetBEUI27 a IPX/SPX28. Dnes se pouţívá sada protokolů TCP/IP29 a na tu se také zaměřím. Z funkčního hlediska lze TCP/IP rozdělit na tři vrstvy. Aplikační vrstva pracuje s konkrétními aplikacemi, transportní s protokoly TCP a UDP30 a síťová s protokolem IP. Poţadavek na spojení přichází z aplikační vrstvy. Transportní vrstva zorganizuje dopravu dat a vrstva síťová přenos. Čtvrtou vrstvou, pro kterou autoři modelu nedefinovali ţádná pravidla a standardy, je vrstva síťového rozhraní. Vše, co je standardizováno v rámci RM ISO/OSI modelu pro fyzickou a

23

Telecommunication Network; Protokol pouţívaný pro spojení klient-server. Simple Network Management Protocol; Protokol slouţící potřebám správy sítě. 25 Media Access Control; Jedinečný identifikátor síťového zařízení. 26 Programové vybavení integrováno do elektronického zařízení. 27 NetBIOS Extended User Interface 28 Internetwork Packet Exchange/Sequenced Packet Exchange 29 Transmission Control Protocol/Internet Protocol 30 User Datagram Protocol 24


S t r á n k a | 19

linkovou vrstvu, převzala tato vrstva. To znamená, ţe síťový model TCP/IP umoţňuje funkčnost sítě na libovolných technologických prostředcích.[4] 1.5.1 Aplikační vrstva Aplikační vrstvu tvoří mnoţina protokolů, která spolupracuje s jednotlivými aplikačními programy. Například protokol HTTP slouţí pro komunikaci různých prohlíţečů s webovými servery. Protokolů existuje celá řada (FTP,SMTP, POP3 apod.). 1.5.2 Transportní vrstva Tato vrstva přebírá data od vrstvy aplikační tak, ţe pouţije rozhraní aplikačního portu.[4] Jejím úkolem je rozdělení dat na segmenty a dle poţadavku kontrola správnosti doručení. Z toho vyplývá, ţe zajišťuje přenos spolehlivý (TCP) nebo nespolehlivý (UDP). 1.5.2.1 TCP protokol Přebraná data od aplikační vrstvy rozdělí na segmenty, očísluje je a seřadí podle pořadí odeslání. K datům přiřadí hlavičku, která se skládá ze zdrojového a cílového portu. Hlavička s daty pak tvoří TCP datagram. Před výměnou dat TCP zahájí relaci s transportní vrstvou protější strany. Poté začne s vysíláním a potvrzováním jednotlivých datagramů. Po odeslání provádí kontrolní součty, zda byl přenos úspěšný, nebo jestli má být proveden znovu.[31] Vše funguje i v opačném směru, s rozdílem, ţe jsou datové segmenty přebrány od síťové vrstvy a následně seřazeny protokolem TCP. Ze segmentů sloţí ve správném pořadí data, která jsou prostřednictvím aplikačního protokolu předána některému z programů. Pokud některý ze segmentů chybí, je o něj znovu vyţádáno. 1.5.2.2 UDP protokol Protokol UDP funguje na stejném principu, ale je jednodušší a méně spolehlivý. Před přenosem nevytváří s protější stranou relaci a nekontroluje přijetí datagramů protějškem. Vyuţívají ho některé programy pro rychlý a nenáročný přenos dat (např. aplikace pro přenos hlasu nebo videa). 1.5.3 Síťová vrstva Jak jiţ bylo řečeno, tato vrstva pracuje s protokolem IP. Obdrţená data od nadřazené transportní vrstvy rozdělí do IP paketů. K paketům připojí vlastní hlavičku a vytvoří datagram IP. V hlavičce IP se nachází IP adresa příjemce a odesílatele, coţ znamená, ţe protokol provádí adresování a směrování datagramů mezi počítači. Datagramy IP jsou poté předány vrstvě síťového rozhraní, která zajistí vlastní přenos.[4] Protokol IP nevytváří před zahájením výměny dat relaci, ani nijak nekontroluje předání paketů. Správné seřazení očíslovaných paketů by měla zaručit vyšší transportní vrstva, konkrétně protokol TCP.

2 P o d n i k o v á síť společnosti

S t r á n k a | 20

2 Podniková síť společnosti Následující kapitola bude věnována historii a jednotlivým krokům vývoje počítačové sítě. Důraz bude kladen na zabezpečení a rozšíření o bezdrátový segment.

2.1 Původní topologie sítě Původní počítačová síť fungovala pouze na centrále firmy v Praze 2, a to od roku 1995. Síť byla propojena, v té době nejvíce pouţívaným médiem, tenkým koaxiálním kabelem, který byl zakončován terminátory. Přenosová rychlost sítě byla pouhých 10 Mbps, takţe síť pracovala s verzí Ethernetu 10BASE2. Komunikační pravidla, jimiţ se řídila výměna dat, byla definována protokolem NetBEUI. Jeho konfigurace byla velmi jednoduchá, protoţe se zadal pouze název připojené stanice a název pracovní skupiny (případně domény). Síť obsahovala dva stolní počítače (desktopy) s procesory Intel Pentium o frekvenci 200 MHz, jeden tiskový server (printserver), tiskárnu a jeden přenosný počítač (notebook) značky LEON s procesorem Intel 80486. Počítače pouţívaly operační systém Microsoft Windows 95. Tiskový server slouţil ke sdílení jediné tiskárny všem počítačům v kterémkoli čase. Připojení k internetu, v té době ještě k vytáčenému od společnosti Volný, a.s. (kdysi Czech On Line, a.s.), dosahující maximální přenosové rychlosti 56 Kbps, zajišťoval modem instalovaný na stolním počítači, který dále své připojení sdílel s ostatními stanicemi. Později byla síť rozšířena ještě o další stejný přenosný počítač, viz následující obrázek.

BNC-T konektor

terminátor

Obrázek 2.1: Původní síť

Jak je vidět z obrázku, síť pouţívala sběrnicovou topologii (bus topology). Její největší výhodou té doby byla jednoduchost. Díky pouţití spojovacích prvků (T-konektorů) se dá říci, ţe síť pouţívá jeden kabel. Při pouţití této topologie posílá stanice svou zprávu, která je určena jiné stanici, zároveň i všem v síti zapojeným stanicím a stanice, které je určena, si ji ze zpráv pohybujících se na síti sama vybere. Při poruše stanice nebyl provoz sítě příliš ovlivněn díky


S t r á n k a | 21

způsobu zapojení kabelu. Kdyţ stanice nevysílaly, byly díky vysoké impedanci pro síťové médium jakoby neviditelné. Díky této skutečnosti patří mezi výhody také snadné připojení nové stanice. Nevýhodou je vysoké mnoţství spojů, coţ bylo jednou z příčin poruch. Při přerušení kabelu nemohl ţádný z uzlů dále komunikovat, a to znamenalo havárii celé sítě. Tyto skutečnosti nastávaly díky špatnému zacházení s kabely, například při přílišném ohybu, a šlo je obtíţně lokalizovat. Síť byla provozována reţimu peer-to-peer a umoţňovala následující sluţby:     

Vzájemné sdílení dat mezi stanicemi, sdílené internetové připojení, sdílení periferních zařízení, sdílení tiskárny, konverzaci mezi uţivateli.

2.2 První inovace sítě V roce 2000 se postupně stávala počítačová síť, se stoupajícími nároky jednotlivých aplikací i se stoupajícími nároky jednotlivých uţivatelů při komunikaci po síti, nedostačující. Tehdy byla inovace provedena jednou nejmenovanou dodavatelskou firmou. Původní koaxiální kabely byly odstraněny a zaměněny za nestíněnou kroucenou dvojlinku (UTP) kategorie 5 a 5e. Na konci kabelů byly pouţity koncovky RJ-45, které jsou aţ dodnes nejčastěji pouţívány pro zapojení ethernetových kabelů. Také topologie prodělala podstatné změny, protoţe se přešlo ze sběrnicové k hvězdicové. Výhodou je nízká náchylnost k chybě, a kdyţ porucha nastane, tak není ovlivněn celý chod sítě (pokud nedojde k poruše na rozbočovacím zařízení), ale pouze určité stanice. Chyba je většinou lehce lokalizovatelná. Pracovní stanice té doby vyuţívaly procesory Intel Pentium II (266 MHz), Celeron (330 MHz) a některé i Pentium III (600 MHz). Pouţíván byl operační systém Microsoft Windows 98. Díky novějším síťovým kartám značky Micronet a pouţití strukturované kabeláţe došlo ke změně Ethernetu na 100BASE-TX. V této době jiţ také vzniká počítačová síť ve výrobním středisku v Obrubech, která má stejnou konfiguraci jako praţská síť, s rozdílem niţšího počtu počítačů. V centru obou hvězdicových sítí stály přepínače (switche) pracující na 2. spojové vrstvě. Jelikoţ tyto počítačové sítě pracovaly jiţ na protokolu TCP/IP, bylo třeba zajistit adresaci a konfiguraci sítě. Existuje sice sluţba DHCP31 serveru, jenţ zajišťuje automatické přidělování IP adres a konfiguraci,[27] ale bohuţel tyto přepínače ji v sobě nemají integrovanou, a tak musela být kaţdá stanice včetně tiskových serverů konfigurována ručně. První stanice měla přidělenou IP adresu 10.0.0.1. Kaţdá další stanice pak o jednu hodnotu vyšší. Maska podsítě byla nastavena na 255.255.255.0. Většina sítí (i tato síť) pracuje podle normy Ethernet, která pouţívá přístupovou metodu CSMA/CD. Nevýhodou této metody je postupné zahlcování sítě pakety. A přepínač právě tuto nevýhodu řeší. Namísto posílání paketů na všechny stanice, vytvoří přepínač mezi stanicemi

31

Dynamic Host Configuration Protocol


S t r á n k a | 22

spojení oddělené od ostatních stanic. Komunikující stanice nejsou zahlcovány cizími pakety, nedochází ke zpomalování sítě a výměna dat můţe probíhat maximální moţnou rychlostí.[2] Vzdálené sítě v Praze ani v Obrubech spolu nebyly nijak propojeny a vzájemná komunikace a předávání souborů probíhalo pouze přes elektronickou poštu nebo převáţením medií. Nutno poznamenat, ţe obě sítě stále pouţívaly pro přístup na internet vytáčené připojení, které zajišťovala stále společnost Volný, a.s.

(4)

(2)

(1)

Praha

Obruby

(3)

(2)

(5)

Obrázek 2.2: První inovace sítě


S t r á n k a | 23

Vysvětlivky č. (1) (2) (3) (4) (5)

Název produktu

Funkce

Typ Ethernetu

Počet portů RJ-45

LEVEL ONE FSW-0807TX Micronet SP721 Planet FSD-803 HP LaserJet 1100(MS) HP LaserJet 4L

přepínač

10/100BASE-TX

8

tiskový server přepínač

10BASE2/10BASE-T 10/100BASE-TX

1 8

tiskárna

-

-

tiskárna

-

-

Síť byla provozována stále v reţimu peer-to-peer a disponovala v podstatě stejnými sluţbami jako síť předcházející.

2.3 Druhá fáze vývoje a rozšíření o bezdrátový segment V roce 2004 bylo na centrále v Praze 2 aktivováno připojení přes ADSL32. Poskytovatelem se stal Český Telecom, a.s. Rychlost připojení byla maximálně 512 Kbps pro stahování a 128 Kbps pro nahrávání. IP adresa sítě WAN byla veřejná a dynamická. K internetu se připojovalo pomocí USB modemu Sagem F@st 840, jenţ byl propojen s počítačem, který připojení dále sdílel. Další inovace přišla v roce 2006, kdy byl zřízen ADSL internet i ve výrobním středisku v Obrubech. V Praze, kde došlo k výměně za USB modem, i v Obrubech byl do sítě navíc instalován směrovač D-Link DSL-584T33 s integrovaným ADSL (konkrétně ADSL2/2+) modemem zajišťující připojení k internetu všem počítačům najednou bez závislosti běhu jedné (sdílející) stanice. Internetové připojení zajišťovala společnost Telefónica O2 Czech Republic, a.s. a dosahovalo maximální rychlosti 512 Kbps pro stahování a 128 Kbps pro nahrávání (během jednoho roku byla rychlost navýšena na 2 048/128 Kbps). IP adresy WANu byly stále veřejné a dynamické. Směrovač jiţ také podporoval funkci DHCP serveru, čímţ byla zjednodušena adresace v síti. Kromě změny připojení k internetu došlo také k inovaci hardwaru na pracovních stanicích a k výměně notebooků za výkonnější. Změněn byl také operační systém. Přešlo se na Microsoft Windows XP - Home edition. K větším změnám došlo na konci roku 2007 a byly rozšiřovány aţ do současnosti. Kromě zvýšení počtu pracovních stanic, notebooků a tiskáren, došlo k rozšíření o bezdrátovou lokální (WLAN) síť. V roce 2008 byl také změněn poskytovatel ADSL internetu na Volný a.s. a navýšena rychlost na 8 192/512 Kbps. Přechod byl uskutečněn kvůli lepší ceně a kvůli přidělení statických IP adres pro WAN.

32

Asymetric Digital Subscriber Line; Technologie umoţňující připojení k vysokorychlostnímu internetu pomocí stávajícího telefonního vedení. 33 Směrovač podporuje Ethernet 10/100BASE-TX a má 4 porty.


S t r á n k a | 24

2.4 Rozšíření o směrovače a následná konfigurace Původní směrovač (D-Link DSL-584T) nepodporoval ani na centrále, ani ve výrobním závodě bezdrátové připojení k místní síti. Vlivem výpadků elektrické energie došlo postupně k poškození obou směrovačů, coţ způsobilo občasné havárie sítě (problémy s připojením k internetu a nefunkčnost DHCP serveru). Proto se budu zabývat jiţ popisem nově instalovaných směrovačů (viz kapitola 2.6 Současná podoba sítě) s podporou WiFi. Konfigurace probíhá pomocí internetové aplikace a u většiny výrobků je dost podobná (s rozdílem nabízejících sluţeb). Prvním krokem je změna přihlašovacího hesla, a pokud to jde, tak i jména. Pro kvalitní nastavení není vhodné pouţívat průvodce konfigurace, ale rovnou přejít na pokročilé nastavení. Jako první nastavuji IP adresu, masku podsítě a DHCP server. Ten velice ušetří čas, protoţe obstarává přidělování IP adres jednotlivým stanicím. Protoţe není síť příliš velká, volím rozsah 30 dynamických adres k přidělení. Kromě počítačů, které mají nastaveno automatické získávání adres od DHCP serveru, mají tiskárny, tiskové servery, server a přístupové body nastavenou statickou IP adresu. Důvod je prostý. Aby měly vţdy jedinečnou adresu, pod kterou by byly snadno identifikovány. Zařízení se statickou IP adresou zaznamenám do seznamu statických adres DHCP serveru. To proto, aby tyto adresy server vyloučil z moţných přidělovaných adres a nedošlo tak ke kolizi (zjištění dvou stejných adres) IP adres u přístrojů. Dále je třeba nastavit připojení k ADSL. Návody je moţné najít na oficiálních internetových stránkách poskytovatelů. Některá zařízení mají jiţ přednastavené poskytovatele a stačí vybrat toho správného. Poté jen zadat přihlašovací údaje, které ISP34 přidělil. V zařízeních se obvykle nachází sluţba NAT35, která slouţí k překladu adres. To znamená, ţe jsou jednotlivé místní adresy počítačů překládány na veřejnou IP adresu a je třeba pro přístup k jednotlivým sluţbám na daném stroji povolit ve směrovači poţadovaný port pomocí směrování portů (portforwarding). Například u serveru (viz kapitola 3 Rozšíření sítě o server) je nastaven port TCP/22 na SSH přístup a port UDP/1194 na VPN. Další sluţbou, kterou nemůţu opomenout, je DNS36. DNS slouţí k překladu IP adres na názvy a naopak. Tato sluţba není v ani jedné síti pouţívána. 2.4.1 Bezpečnost Oba směrovače jsou zároveň přístupovými body na internet, a proto je nutné dbát na zabezpečení. Jak jiţ bylo řečeno, základem je změna hesla. Poté by mělo následovat nastavení brány firewall, která slouţí k blokování přístupu neověřených uţivatelů k síti nebo síťovým prostředkům. Obsahuje například ochranu proti DoS37 útokům nebo proti skenování portů. Dále pravidelně kontrolovat logy, kde lze zjistit pokusy o útok, a natavit přístup k internetu v určitou dobu. Ke kaţdému zařízení lze přistupovat vzdáleně přes místní drátovou či bezdrátovou síť nebo přes internet. U místní sítě stačí zadat jen rozsah IP adres, ze kterých je moţné nebo naopak nemoţné k zařízení přistupovat. S přístupem přes internet je to jiţ horší.

34

Internet Service Provider; Poskytovatel internetového připojení. Network Address Translation 36 Domain Name System 37 Denial of Service; Snaţí se přehltit síť poţadavky a tím zajistit nefunkčnost. 35


S t r á n k a | 25

Zde je nutné dbát zvýšené opatrnosti. Kromě webového přístupu, který není nijak šifrován, lze většinou povolit přístup přes FTP, ICMP, SNMP, TELNET, TFTP a SSH. FTP (File Transfer Protocol) je protokol aplikační vrstvy vyuţívající porty TCP/20 a TCP/21. Port 21 slouţí k přenášení příkazů a port 20 k vlastnímu přenosu dat. Z bezpečnostního hlediska není však tento způsob správy vhodný kvůli nešifrované komunikaci. ICMP (Internet Control Message Protocol) protokol pouţívá nástroj ping, který posílá ICMP zprávy aby určil, zda je cílový počítač dosaţitelný a jak dlouho trvá paketům přenos. Protokol však neumoţňuje zařízení (směrovač) nastavovat. SNMP (Simple Network Management Protocol) protokol umoţňuje sběr informací a jejich následné vyhodnocování. Směrovač bude stranou monitorovanou a přistupující klient stranou monitorující. Vzájemná komunikace se označuje jako SNMP operace. TELNET (Telecommunication Network) vyuţívá port TCP/23. Vzdálenou správu lze provádět pomocí terminálu s příkazovým řádkem. Hlavní nevýhodou je absence šifrování, a proto je opět nevyhovující. TFTP (Trivial File Transfer Protocol) je protokol určený pro přenos souborů. Obsahuje základní funkce protokolu FTP. Kvůli nedostatečnému zabezpečení je nebezpečné pouţívat tento protokol k výměně dat přes internet. SSH (Secure Shell) je jakousi náhradou za telnet. Poskytuje šifrování přenášených dat, coţ umoţní bezpečný přenos přes internet. V současné době směrovače vzdáleně nespravuji, ale s postupným rozvojem sítě to jiţ bude potřeba. Jako moţné řešení bych volil tunelování portu 80 (HTTP) pomocí SSH. Další způsob je přistupování přes webové rozhraní pouze z konkrétních IP adres. To má však mnohé nevýhody. Zařízení by šlo spravovat pouze z konkrétních míst, přenos by nebyl šifrován a potencionální útočníci by mohli heslo odposlechnout. Nastavení bezdrátové sítě nebudu v této kapitole zmiňovat, protoţe bude obdobné jako na přístupových bodech, coţ bude zmíněno v následující kapitole.

2.5 Rozšíření o bezdrátovou síť Rozšíření o bezdrátový segment proběhlo na konci roku 2008 ve výrobním středisku v Obrubech. Bylo třeba propojit pobočku, která je vzdálena 380 metrů pozemní cestou a 340 metrů vzdušnou čarou od výrobní haly, na které je zřízen internet. Zakopávat kabel do země nepřicházelo v úvahu, jelikoţ se pobočka nachází za třemi asfaltovými cestami, které by bylo nutné podhrabat. Proto bylo ideálním řešením bezdrátové propojení. 2.5.1 Možnosti připojení Bezdrátovou síť lze provozovat na frekvenci 2,4 GHz a na frekvenci 5 GHz (viz kapitola 1.3.2). 2,4 GHz je nelicencovaná frekvence, kterou lze pouţívat bez regulací pravidel Českého komunikačního úřadu (ČTÚ), s podmínkou dodrţení stanoveného maximálního výkonu. Nevýhodou je, ţe na této frekvenci současně pracuje mnoho dalších zařízení (např. bezdrátové telefony, mikrovlnné trouby, Bluetooth technologie apod.), coţ způsobuje rušení přenosu. [2]


S t r á n k a | 26

Pásmo 5 GHz naopak normám ČTÚ podléhá a je nutné je striktně dodrţovat. Výhodou je vyšší povolený vyzařovací výkon, a tím moţnost propojení na větší vzdálenosti. Komunikace můţe probíhat dvěma způsoby. Tzv. AD HOC, kdy vzájemně komunikuje 2-5 počítačů bez jakéhokoliv přístupového bodu. Nevýhodou jsou malé moţnosti zabezpečení (pouze WEP) a spojení na kratší vzdálenosti. Druhý způsob je infrastrukturní mód, jehoţ centrem je přístupový bod.[30] Ten pracuje jako prostředník, přes kterého proudí veškeré datové toky mezi jednotlivými klienty. Výhodou je vyšší míra zabezpečení a vyšší počet klientů. 2.5.2 Zabezpečení bezdrátové sítě Bezpečnostní rizika jsou v bezdrátových i kabelových sítích vesměs obdobná, aţ na jeden podstatný rozdíl. Bezdrátová síť nenabízí ţádné fyzické zabezpečení a můţe ji v zásadě sledovat kdokoli, protoţe nepotřebuje fyzický přístup ke komunikačním kabelům. Nejprve by mělo být změněno jméno bezdrátové sítě, tzv. SSID38. To se skládá z řetězce ASCII39 znaků dlouhého maximálně 32 znaků a slouţí jako logický identifikátor určité bezdrátové podsítě. Standardně má kaţdý výrobce nastaveno určité primární SSID, které se jednoduše nechá zjistit na internetu. Z tohoto důvodu by mělo být změněno, aby nikdo cizí nezadal lehce jeho jméno a nedostal se do sítě. Další způsob jak zvýšit bezpečnost je vypnutí vysílání SSID. V závislosti na bezdrátovém softwaru se uţivateli síť buď neukazuje, nebo je zobrazená jako nepojmenovaná síť. Klient se pak na jméno sám dotáţe.[2] Dalším vylepšení je MAC filter. Umoţňuje povolit přístup do sítě vybraným stanicím na základě vypsání fyzické adresy jejich bezdrátových síťových karet. Nutno podotknout, ţe by sice měly být adresy jedinečné, tudíţ by nikdo jiný neměl mít přístup, ale zároveň existuje funkce klonování adres, čímţ vzniká teoretická moţnost ohroţení. Kromě autentizace, která kontroluje oprávněnost přístupu klientů, je nutné zajistit kódování a šifrování přenášených dat. K dispozici je několik ochranných metod, které se postupně zdokonalují a zapracovávají do standardů WiFi. 2.5.2.1 WEP (Wired Equivalent Privacy) Je integrován do všech WiFi zařízení od protokolu 802.11b. Jeho princip spočívá v tom, ţe jsou data na vysílači určitým klíčem zašifrována a stejným klíčem jsou u přijímače rozšifrována. Tento klíč je sdílený, tzn. ţe musí být znám jak všem klientským stanicím, tak i vysílací stanici. Z toho vyplývá, ţe pracuje na symetrickém principu, kdy je pro šifrování i dešifrování pouţíván stejný klíč.[5] WEP neověřuje samotného uţivatele, ale pouze fyzickou adresu jeho síťové karty. Původní 40bitový klíč byl později rozšířen o 24bitový inicializační vektor40, který je tvořen pseudonáhodným sledem znaků, a který se na straně vysílače přidá k tajnému klíči (tím vzniká 64bitový RC4 klíč, jímţ je zpráva zašifrována). Tento inicializační vektor je posílán také přijímači, bohuţel však v nezakódovaném stavu, coţ je jedna z hlavních nevýhod WEP, protoţe můţe být snadno odposlechnut. Přijímač tento vektor přiřadí ke svému tajnému klíči a pouţije k dešifrování. Podobně pracuje 128bitový WEP, s rozdílem pouţití 104bitového klíče.[2] 38

Service Set Identifier American Standard Code for Information Interchange; Jde o kódovou tabulku jednotlivých znaků. 40 Část klíče, která je přenášena v hlavičce datového paketu. 39


S t r á n k a | 27

V současné době není WEP povaţován za bezpečný šifrovací nástroj a pouţívá se spíše na zařízeních, které nepodporují novější technologii. Kromě nevýhody posílání klíče v nezakódovaném stavu, má i další nevýhody. Pouţívá neměnící se klíč. Změna musí být provedena manuálně na obou stranách (na přijímači a vysílači). Jelikoţ je autentizace pouze jednostranná, můţe dojít k útoku Man in the middle (MITM), kdy se útočník vydává za důvěryhodnou stranu a odposlouchává komunikaci mezi účastníky. Známým je také FMS útok, který byl popsán jiţ v roce 2001 trojicí autorů Scott Fluhrer, Itsik Mantin a Adi Shamir v dokumentu Weaknesses in the Key Scheduling Algorithm of RC4. [6] Tento útok počítá s existencí inicializačních vektorů, které vedou k odhalení vlastností privátní části klíče. Moţný je téţ útok hrubou silou (brutal-force attack), který postupně zkouší všechny moţné hodnoty šifrovacího klíče. Nicméně tento útok není příliš elegantní z důvodu časové náročnosti. [9] 2.5.2.2 802.1x Velmi brzy byly zjištěny nedostatky protokolu WEP. Proto se začalo pracovat na nové normě, která měla umoţnit lepší přihlašování uţivatelů na základě šifrování a distribuce klíčů. Vznikl protokol 802.1x, který se skládá ze tří stran. Ţadatel (klasický klient bezdrátové sítě), autentizátor (zajišťuje komunikaci mezi klientem a autentizačním serverem) a autentizační server. Autentizační server bývá jiţ běţně implementován ve vysílacích zařízeních. Například velice známý RADIUS nebo vyspělejší verze DIAMETER. Nově se také objevuje protokol EAP41 blokující přístup do sítě neoprávněným uţivatelům. V praxi to vypadá následovně. Vysílač pouţívá k přístupu do sítě dva virtuální porty. Řízený umoţňuje přístup do sítě autorizovaným uţivatelům, kteří jsou ověřeni protokolem RADIUS (nebo jiným autentizačním serverem). Ten má za úkol identifikovat jednotlivé uţivatele podle seznamu povolených klientů. Druhý port je neřízený a blokuje veškerý provoz kromě EAP rámců. Tudíţ nejdříve komunikuje klient s autentizátorem přes neřízený port a po vyhodnocení RADIUS serverem a povolení či nepovolení přístupu dojde k přepnutí do řízeného - autorizovaného stavu. Výhodou 802.1x je také dynamičnost šifrovacích klíčů TKIP42, jeţ jsou známy pouze stanici, ke které se uţivatel připojuje, a které se po odhlášení maţou[2]. Bohuţel ani toto opatření nezabránilo průniku do sítě. Existují bezpečnostní díry jak prolomit heslo, a proto to také není nejideálnější řešení. 2.5.2.3 WPA (Wi-Fi Protected Access) Zabezpečení WPA vytvořila WiFi Aliance43 jako reakci na nedostatky objevené v předchozím bezpečnostním systému WEP. Z důvodu protaţení práce na normě 802.11i vznikl v roce 2002 jako dočasná náhrada WEP do doby, neţ bude standard dokončen. Data jsou zašifrována stejně jako ve WEP pomocí proudové metody RC4 s tím rozdílem, ţe se pouţívá 128bitový klíč a 48bitový inicializační vektor. Zásadní vylepšení oproti WEP

41

Extensible Authentication Protocol Temporal Key Integrity Protocol 43 Oficiální stránky 42


S t r á n k a | 28

zabezpečení spočívá v pouţití TKIP. Díky dynamičnosti šifrovacích klíčů a mnohem delšímu inicializačnímu vektoru tak odolává útokům, kterým WEP podléhá. Kromě autentizace a šifrování, WPA také vylepšuje kontrolu správnosti dat, tedy integritu. Oproti WEP pouţívající metodu cyklického kontrolního součtu CRC-32, která je sama o sobě málo bezpečná, protoţe je moţné pozměnit zprávu a kontrolní součet bez znalosti WEP klíče, pouţívá WPA bezpečnější MIC44 metodu. MIC metoda pouţívá algoritmus Michael a zahrnuje počítadlo rámců, které chrání před útoky snaţícími se zopakovat předchozí odposlouchanou komunikaci. Při detekci pokusu o prolomení TKIP dočasně zablokuje komunikaci s útočníkem.[10] Algoritmus Michael představuje co moţná nejsilnější věc, co mohli autoři WPA pouţít při zachování kompatibility se staršími síťovými kartami. 2.5.2.4 802.11i V roce 2004 došlo ke schválení standardu IEEE 802.11i neboli WPA2. Architektura obsahuje komponenty IEEE 802.1x pro autentizaci (pouţívá tedy autentizační server a protokol EAP), RSN45 pro udrţování záznamu asociací a MAC. Místo dřívější proudové šifry se jiţ pouţívá bloková šifra AES46. Na AES je zaloţený CCMP47 poskytující utajení, integritu a autentizaci. Standard 802.11i umoţňuje také tzv. Key-caching, kdy se klíče uloţí do cache48, aby při odpojení a následném připojení klientů nebylo nutné provádět 802.1x autentizaci. 2.5.3 Realizace Pro řešení bezdrátového spojení byl vybrán standard 802.11g o frekvenci 2,4 GHz. V tomto pásmu je maximální vysílací výkon omezen Českým telekomunikačním úřadem v Generální licenci č. GL-12/R/2000 na 100 mW (miliWattů), čili na 20 dBm.[11] Proto musel být brán zřetel, aby tento limit nebyl překročen. Ve výrobním středisku bylo zapotřebí zřídit přístupový bod. Bylo vybráno zařízení OvisLink WL-5460AP, které kromě funkce AP, umoţňuje také pracovat v reţimu Client, WDS, Bridge a další. Jelikoţ jeho součástí je pouze malá všesměrová anténa se ziskem 2 dBi, která je schopna pokrýt signálem pouze pár desítek metrů, bylo nutné přikoupit směrovací anténu. Nejprve byla vybrána od firmy GainMaster YAGI se ziskem 11 dBi. Zařízení je umístěné na půdě a anténa na komínu, odkud směřuje na pobočku. Anténa je spojena se zařízením 5 metrovým koaxiálním kabelem a pojištěna bleskojistkou. To proto, aby při zásahu bleskem nedošlo k poškození celé počítačové sítě, ale pouze k poškození bleskojistky. V této fázi bylo nutné upravit vysílací výkon zařízení tak, aby splňoval normy ČTÚ. Obecně se vysílací výkon počítá následovně:  

44

Výstupní výkon vysílače a antény (+) Útlum kabelů, konektorů, bleskojistek, pigtailů (-)

Message Integrity Code Robust Security Network 46 Advanced Encryption Standard 47 Counter Mode with Cipher Block Chaining Message Authentication Code Protocol 48 Vyrovnávací paměť 45


S t r á n k a | 29

Při sčítání hodnot jsem došel k výsledku:      

Výkon OvisLink WL-5460AP Útlum kabelu Belden H155 – 5m Útlum konektorů Útlum pigtail (redukce konektorů) Útlum bleskojistky OvisLink WLP-90MBF Zisk antény GainMaster YAGI Celkem

+ 18 dB - 2,5 dB - 2,5 dB - 2 dB - 0,3 dB + 11 dB 21,7 dBm

Je vidět, ţe výsledný výkon je vyšší neţ připouští norma, a proto musel být výkon přístupového bodu sníţen na 16 dB. Po testu dostupnosti signálu (proveden notebookem) na střeše pobočky bylo zjištěno, ţe signál není příliš silný a kolísá mezi 25-30% (měřeno programem WirelessMon). Uvnitř budovy se signál však jiţ ztrácel kvůli útlumu stěn. Na řadu přišla výměna antény u AP. Pořízena byla výkonnější síťová směrová anténa Pacific PW15 se ziskem 15 dBi. Kvůli tomu musel být opět poníţen výkon AP. Po opětovném testu na střeše jiţ byl signál silnější (35%), ale uvnitř budovy stále negativní. Poté bylo na pobočku zakoupeno zařízení OvisLink WMM-3000AP, instalováno a zapojeno do reţimu WDS repeater. Dalo by se říct, ţe tento reţim plní sluţbu klienta a zároveň přístupového bodu. Protoţe zařízení mělo dvě antény, byla jedna z původních zaměněna za směrovou GainMaster YAGI a namířená na přístupový bod nacházející se ve výrobní hale. Druhá anténa měla slouţit pro šíření signálu v budově. Bohuţel toto celé řešení „pohořelo“. Spojení nebylo stabilní a problém se nacházel také v tom, ţe přístupový bod nedokázal pracovat s jednou anténou pouze na „klientský“ reţim a s druhou pouze na „vysílací“ reţim, ale pouţíval vţdy obě antény na obě funkce. OvisLink WMM-3000AP byl proto zaměněn za dva OvisLinky WL-5460AP. Jeden z nich pracuje v reţimu klienta a druhý jako přístupový bod pro šíření signálu na pobočce, protoţe na pobočce doposud nejsou vytvořené kabelové rozvody pro připojení stanic. K posílení signálu je doplněn směrovou interiérovou anténou OvisLink WAI100PA se ziskem 10 dBi. Poznámka: Teoreticky by bylo možné použít pouze jedno zařízení a provozovat ho v režimu WDS repeater, ale k tomu by byla potřeba po předchozích zkušenostech všesměrová anténa, která by signálem dosáhla na přístupový bod a zároveň pokryla pobočku. Problémem by bylo zamořování okolí signálem a z toho vyplývající vyšší bezpečnostní riziko. Další možnost propojení sítí mezi výrobou a pobočkou by byl režim Bridge. Tím by se vytvořil most mezi jednotlivými zařízeními, který by fungoval obdobně jako režim AP a Client. Po zapojení a nakonfigurování sítě bylo třeba upravit výkony vysílačů, aby byl splněn limit ČTÚ. Výpočty uvádím níţe: AP ve výrobní hale  

Výkon OvisLink WL-5460AP Útlum kabelu Belden H155 – 5m

+ 10 dB - 2,5 dB

2 P o d n i k o v á síť společnosti    

Útlum konektorů Útlum pigtail Útlum bleskojistky OvisLink WLP-90MBF Zisk antény Pacific PW15 Celkem

S t r á n k a | 30 - 2,5 dB - 2 dB - 0,3 dB + 15 dB 17,7 dBm

Klient na pobočce      

Výkon OvisLink WL-5460AP Útlum kabelu Belden H155 – 5m Útlum konektorů Útlum pigtail Útlum bleskojistky OvisLink WLP-90MBF Zisk antény GainMaster YAGI Celkem

+ 16 dB - 2,5 dB - 2,5 dB - 2 dB - 0,3 dB + 11 dB 19,7 dBm

AP na pobočce      

Výkon OvisLink WL-5460AP Útlum kabelu Belden H155 – 3m Útlum konektorů Útlum pigtail Útlum bleskojistky OvisLink WLP-90MBF Zisk antény OvisLink WAI100PA Celkem

+ 13 dB - 1,5 dB - 1 dB - 2 dB - 0,3 dB + 10 dB 18,2 dBm

Poznámka: Kromě softwarové regulace výkonu existuje tzv. asymetrický útlumový člen (cirkulátor). V mém případě nebyl použit, protože je AP schopný regulovat výstupní výkon. Některé přístupové body však touto funkcí nedisponují. Potom lze výkon zregulovat právě pomocí tohoto prvku, které jsou navíc dvoucestné, takže mají jedním směrem útlum větší než směrem druhým. Teoreticky je také moţné spočítat moţnou maximální přenosovou rychlost bezdrátové sítě (v ideálním stavu). Vypočte se následovně:  

Celkový výstupní výkon AP a zisk přijímací antény (+) Útlum trasy, kabelů, konektorů, bleskojistek a pigtailů na přijímací straně (-)

AP ve výrobní hale     

Celkový výstupní výkon AP Útlum 300 m trasy Útlum kabelu Belden H155 – 5m Útlum konektorů Útlum pigtail

+ 17,7 dB - 90 dB - 2,5 dB - 2,5 dB - 2 dB

2 P o d n i k o v á síť společnosti  

S t r á n k a | 31

Útlum bleskojistky OvisLink WLP-90MBF Zisk přijímací antény Pacific PW15

- 0,3 dB + 11 dB

Celkem

- 68,6 dBm

Citlivost OvisLink WL-5460AP je při 25°C následující:[12] -70 dBm (54 Mbps) -82 dBm (24 Mbps) -87 dBm (6 Mbps) Protoţe výsledek je menší číslo neţ minimální citlivost OvisLink WL-5460AP pro 54 Mbps, je teoreticky moţné dosáhnout s tímto hardwarem spojení s rychlostí 54 Mbps. Poznámka: Bohužel jsou všechny výsledky pouze teoretické. V praxi nebyly ověřeny žádným měřicím přístrojem! V pásmu 2,4 GHz je jednou z hlavních podmínek pro kvalitní spojení přímá viditelnost. Není to však podmínka postačující. Pro kvalitní přenos musí být volná (bez překáţek) ještě tzv. Fresnelova zóna. Zjednodušeně si ji lze představit jako velký doutník mezi dvěma zařízeními. V prostoru této zóny by se neměla vyskytovat ţádná překáţka, ani by do ní neměla zasahovat.[32]

Obrázek 2.3: Fresnelova zóna

[o1]

d……..vzdálenost mezi vysílači b……..poloměr zóny Poloměr, respektive průměr, lze vypočítat, ale často postačí tato stručná přehledová tabulka. 4 Vzdálenost km 0,1 0,2 0,3 0,5 0,7 1 1,2 1,5 2 2,6 3 Průměr m 1,8 2,5 3,1 4 4,7 5,6 6,2 6,9 8 9,1 9,8 11,3 V mém případě by pro kvalitní přenos byla třeba zóna o průměru cca 3,1 metrů. Bohuţel však do zóny částečně zasahují dva stromy, coţ sniţuje kvalitu přenášeného datového toku. Naštěstí zásah není moc velký, protoţe kdyby nebylo volných alespoň 60% průměru zóny, docházelo by jiţ k výrazné degradaci kvality spoje.


S t r á n k a | 32

Ostatní přístupové body v síti, jak na centrále, tak ve výrobním středisku, pouţívají standardní všesměrovou anténu (obvykle se ziskem 2 dBi), která je součástí balení, a s kterou je signál šířen do okolních dvou aţ třech místností, kam se obvykle dochází s notebooky. Bezdrátové sítě v Praze i v Obrubech zabezpečuji tak, ţe je zakázáno vysílání SSID a přístup je povolen pouze klientům s danými MAC adresami. Obě zabezpečení odradí spíše laiky, ale pro zkušenější nebude problém je překonat. Proto je třeba volit ještě kvalitní nastavení zabezpečení komunikace. Volím protokol WPA2 s dostatečně dlouhým a silným heslem. V současné době je stále náročné prolomit ho v krátké době. Nevýhodu jsem shledal pouze po marných pokusech o připojení se k sítí některými mobilními telefony. Problém byl v dlouhém hesle, kde byly kombinovány různé znaky. Po zjednodušení hesla se jiţ úspěšně připojily. Telefony se naštěstí do sítě skoro nepřipojují, a proto bylo ponecháno silnější heslo. 2.5.4 Testování bezdrátové sítě Hovořit budu o testu provedeném na síti mezi výrobní halou a pobočkou. Věnovat se budu především rychlosti internetu a místní sítě a jejich latenci, respektive odezvě. Velmi okrajově jsem testoval i bezpečnost. Test rychlosti a odezvy probíhal na třech místech. Ze sítě LAN ve výrobním středisku, z klienta (OvisLink WL-5460AP) na pobočce a po připojení k přístupovému bodu na pobočce. Rychlost místní sítě byla jednak měřena programem Axence NetTools 3.0 a jednak přenášením souboru o velikosti 100 MB. Odezva příkazem ping na stejný počítač (ve výrobě), na který byl přenášen soubor. Odezva a rychlost internetu byla měřena na serveru http://www.speedtest.net/. Měření bylo provedeno pětkrát a poté byly hodnoty zprůměrovány. Jednotlivé výsledky jsou v následujících tabulkách. Měření z místní sítě

Odezva < 1ms

Místní síť Nahrávání 6,5 MBps

Stahování 7 MBps

Odezva 46 ms

Internet Nahrávání 110 Kbps

Stahování 1,8 Mbps

Odezva 54 ms



Odezva 54 ms



Měření z klienta (OvisLink WL-5460AP)

Odezva 2 ms

Místní síť Nahrávání 3,5 MBps

Stahování 3,6 MBps

Měření po připojení k AP na pobočce

Odezva 3 ms

Místní síť Nahrávání 3 MBps

Stahování 3,2 MBps

Z výsledků měření je patrná zhruba poloviční ztráta rychlosti mezi pobočkou a výrobou, která je způsobena vzdáleností mezi zařízeními. K dalšímu poklesu dochází na pobočce kvůli útlumu stěn. Rychlost internetového připojení není víceméně ovlivněna. Doba odezvy s prodluţující délkou spojení narůstá, ale ne nijak extrémně. Celkově mohu konstatovat, ţe s ohledem na vzdálenost je niţší rychlost komunikace přijatelná. Test bezpečnosti doposud neprošel ţádným z různých útoků (útoky hrubou silou, man MITM, DoS apod.). Kontrola byla provedena pouze pokusy o připojení stanic, které nebyly


S t r á n k a | 33

povoleny v seznamu MAC adres, a kterým bylo známo SSID a přístupové heslo. Test dopadl pozitivně.

2.6 Současná podoba sítě Jedním z cílů práce bylo v praxi rozšířit síť v Praze o server, který přemění práci v síti z reţimu peer-to-peer na reţim klient-server. To znamená, ţe se stanice sdílející svá data transformují na klienty přistupující k serveru, který se stane centrálním datovým uloţištěm. Kromě rozšíření proběhlo také propojení dvou vzdálených sítí přes internet. Postup rozšíření o síťový server a propojení sítí je však popsán v další kapitole, a proto ho nebudu nadále blíţe popisovat. Kdyţ zahrnu do současného pohledu na síť toto rozšíření, celkový stav vypadá následovně:

Obrázek 2.4: Současná podoba sítě


S t r á n k a | 34

Vysvětlivky č.

Název produktu

D-Link DSL-2641B Edimax (2) EW-7209APg (3) Micronet SP721 LEVEL ONE (4) FSW-0807TX (5) Server HP OfficeJet Pro (6) L7680 HP LaserJet (7) 1100(MS) Edimax (8) AR-7084gB OvisLink (9) WL-5460AP OvisLink (10) WL-5460AP (11) Planet FSD-803 (12) HP LaserJet 4L (1)

Funkce

Typ Ethernetu

Počet portů RJ-45

směrovač, ADSL modem, 10/100BASE-TX AP (54Mb/s)

4

přepínač, AP (54Mb/s)

10/100BASE-TX

5

tiskový server

10BASE2/10BASE-T

1

přepínač

10/100BASE-TX

8

10/100/1000BASE-T

1

10/100BASE-TX

1

tiskárna, kopírka

fax,

skener,

tiskárna směrovač, ADSL modem, AP (54Mb/s) přepínač, AP (54Mb/s), reţim AP přepínač, AP (54Mb/s) reţim klient přepínač tiskárna

-

-

10/100BASE-TX

4

10/100BASE-TX

2

10/100BASE-TX

2

10/100BASE-TX -

8 -

U obou sítí jsou aktivním prvkům přidělovány IP adresy 10.0.0.100 a výš. Sluţby DHCP serveru zajišťují směrovače (jsou i výchozími branami), které přidělují počítačům IP adresy v intervalu od 10.0.0.1 do 10.0.0.30. Maska podsítí je 255.255.255.0. IP adresa sítě WAN je pro Prahu 88.146.7.XX a pro Obruby 62.177.96.XX. Jak jiţ bylo řečeno, obě adresy jsou veřejné a statické. Pracovní stanice vyuţívají k připojení do sítě integrovaných síťových karet s podporou 10/100BASE-TX. Vybavené jsou v průměru 1GB DDR2 paměťovými moduly a procesory od společnosti AMD (některé jednojádrové a některé dvoujádrové) o frekvenci 2GHz. Přenosné počítače vyuţívají k připojení buď WiFi karty nebo ethernetové karty s podporou 10/100BASETX a novější i 1000BASE-T. Jejich hardwarová výbava lze zařadit do kategorie pro kancelářské pouţití. V současné době tedy síť pracuje s maximální moţnou rychlostí 100Mbps. V budoucnu by se však mohla navýšit. Znamenalo by to dokoupení síťových karet a výměnu aktivních prvků, které by podporovaly 1000Mbps přenosovou rychlost. Inovace sítě by stála odhadem 30 000 Kč. Při pohledu na obrázek 2.4 je vidět, ţe síť pouţívá topologii rozšířené hvězdy (extended star). Ta se skládá z jednotlivých hvězd, které se spojují dohromady. Kabelové rozvody jsou stále tvořeny z UTP kabelů kategorie 5 a 5e. Poznámka: Počítačová síť na centrále v Praze 2 je rozmístěna do 5 místností včetně chodby. Celková rozloha celého prostoru je zhruba 120 m2. Mezi místnostmi jsou použity klasické zděné příčky, takže propustnost WiFi signálu je zhruba do sousedních dvou místností.


S t r á n k a | 35

Počítačová síť v Obrubech je (co se týče rozmístění) složitější. Směrovač je umístěn ve výrobním středisku v prvním patře, odkud šíří WiFi signál do okolních místností. Odtud vede strukturovaná kabeláž do přízemí (k přepínači) a na půdní prostory (k přístupovému bodu). Na obě strany jsou vedeny zhruba 40 m dlouhé kabely. Od přepínače vedou rozvody kabelů do dalších třech místnostní k jednotlivým stanicím a tiskárnám. Na pobočce je bezdrátové připojení šířeno do třech místností, mezi kterými jsou opět klasické zděné příčky. 2.6.1          

Poskytované síťové služby Sdílené připojení k internetu, sdílení tiskáren, centralizace dat s vyuţitím práv k přístupu jednotlivým skupinám a uţivatelům, sdílení periferních zařízení, konverzace mezi uţivateli, sledování a řízení provozu, ochrana dat a síťového provozu, automatické přidělování IP adres počítačům, propojené vzdálené sítě, vzdálená administrace.

Programové vybavení doposud sdíleno není. (V budoucnosti však firma plánuje evidenci skladových zásob, která by kromě pořízení požadovaného programu, šla realizovat vytvořením intranetové webové aplikace. Databáze a webový server by se zprovoznily na serveru. Aplikace by se následně obsluhovala přes webové prohlížeče na klientských stanicích.)

3 Rozšíření sítě o server

S t r á n k a | 36

3 Rozšíření sítě o server Doposud byla počítačová síť na centrále v Praze provozována v reţimu peer-to-peer, tudíţ všechny pracovní stanice si byly rovny. Sdílení dat probíhalo poněkud „krkolomně“. Jelikoţ se na pracovních stanicích pouţívají operační systémy Windows XP - Home edition, nejde nastavit pro jednotlivé uţivatele individuální přístupová práva ke sloţkám a souborům, ale pouze obecná pro všechny uţivatele. Další nevýhodou bylo zapínání počítače, na kterém byla sdílena data a to i přes to, ţe daný zaměstnanec nebyl v práci. Nutno poznamenat, ţe se zaměstnanci na pracovních stanicích nestřídají, ale kaţdý pouţívá jen tu svoji. Proto jedním z hlavních úkolů, který bylo nutné vyřešit, bylo rozšíření sítě v Praze o síťový dedikovaný server, který bude především slouţit jako souborový server (fileserver). Variant je v dnešní době několik a na českém trhu je jiţ také mnoho firem nabízejících různé typy serverů. Nyní popíšu postup výběru serveru z hlediska hardwarového i softwarového řešení.

3.1 Výběr serveru Jelikoţ není společnost příliš velká, neklade vysoké poţadavky na server, protoţe, jak jiţ bylo řečeno, bude slouţit především ke sdílení souborů. Hlavními kritérii pro výběr byla cena, spotřeba elektřiny, mnoţství poskytujících sluţeb a velikost serveru. V úvahu připadaly tyto zařízení. 3.1.1 NAS server Hodně rozšířenými a oblíbenými se v dnešní době stávají tzv. NAS49 servery, slouţící převáţně jako síťové souborové servery. NAS je síťové zařízení, do kterého je moţno připojit většinou dva aţ čtyři pevné disky. Poté stačí pomocí webové aplikace nastavit zařízení dle uţivatelských potřeb. Většina zařízení kromě datového uloţiště podporuje funkci RAID, FTP, HTTP a funkci tiskového serveru. Za výhody povaţuji relativně nízkou cenu, poměrně velkou nabídku na českém trhu a jednoduchost instalace díky nepotřebnému operačnímu systému. Naopak mezi nevýhody malé mnoţství nabízených sluţeb. Ceny zařízení se rámcově pohybují od 3 000 Kč do 20 000 Kč bez pevných disků.[13] Konečná sestava pro firemní účely by se cenově pohybovala kolem 15 000 Kč. 3.1.2 Tower server Zajímavé řešení, které se pohybuje od 12 000 Kč do 130 000 Kč.[14] Vzhledově vypadá jako klasická pracovní stanice, pouze poţívá jiné hardwarové komponenty. Výhodou je, ţe většina sestav je testována pro nepřetrţitý provoz, a tudíţ je zvolen kvalitní hardware. I velikost skříní (case) je přijatelná a nebude zabíráno příliš prostoru. Za nevýhodu povaţuji často neměnnou konfiguraci HW, vyšší spotřebu a pro dané firemní účely i vyšší cenu. 3.1.3 Sestavovaný server Server, který bude slouţit ve firmě, nebude příliš náročný na hardware, a proto se nabízí velká moţnost výběru jednotlivých komponent. Jelikoţ bude server provozován nepřetrţitě 24 49

Network Attached Storage


S t r á n k a | 37

hodin denně, je nutné dbát na spotřebu elektřiny jednotlivých komponent. Potřeba budou také kvalitnější disky s vyšší dobou ţivotnosti, a které jsou určené pro RAID. Výhody tohoto řešení jsou niţší náklady na pořízení a moţnost výběru vlastních komponent. Nevýhodou můţe být v budoucnu nedostatečný výkon, přehřívání nebo poruchovost serveru při špatně zvoleném hardwaru. Rackové50 a barbone51 servery jsem vyřadil ze „hry“, jelikoţ se ve společnosti nevyskytuje racková stanice, do které by se daný server nainstaloval, a také kvůli vyšší ceně pohybující se od 12 000 Kč do 150 000 Kč (v případě barbone bez operační paměti, disků a procesoru).

3.2

Multikriteriální výběr

Pro snadnější rozhodnutí mezi jednotlivými typy serverů jsem pouţil multikriteriální výběr. Srovnávat budu produkty v rozmezí od 10 000 Kč do 20 000 Kč. Srovnávat totiţ servery z této cenové kategorie s produkty od 30 000 Kč a výše by bylo nemoţné nebo spíše bezvýznamné. Dále nebudu srovnávat jednotlivé výrobky, jelikoţ by jejich výčet byl příliš velký, ale porovnám tři výše uvedené kategorie, u kterých jsem vţdy hodnoty zprůměroval a vybral tak přibliţný střed. Kritéria K1 – Cena Ceny jsem bral v úvahu bez DPH a pochází z dubna 2009. Váha tohoto kritéria je nejvyšší, protoţe se snaţím dohledat server za nejniţší cenu. K2 – Spotřeba Kvůli nepřetrţitému provozu serveru budu také klást důraz na co moţná nejmenší spotřebu elektrického proudu. Proto budu hledat minimální hodnotu tohoto kritéria. K3 – Výkon Výkon serveru hraje jistě také důleţitou roli, avšak pro potřeby firmy ne tak velkou. K4 – Moţnosti rozšíření Jedná se především o rozšíření serverových sluţeb nebo rozšíření o jednotlivé komponenty (např. optická mechanika, přídavné zásuvné moduly apod.). K5 – Velikost V tomto kritériu hledám co moţná nejmenší rozměry serveru z důvodu úspory místa. Tabulka 3.1 – Stanovení kritérií pro hodnocení serverů a jejich vah Kritérium Jednotky Optimum K1 Cena Kč Min K2 Spotřeba K3 Výkon K4 Moţnosti rozšíření K5 Velikost 50 51

Váha - V(j) 40 %

W (watty) Známka z rozsahu <0-1>

Min Max

25 % 15 %

Číslo

Max

15 %

Ohodnocení velikosti

Min

5%

Rack je standardizovaný systém umožňující montáž síťových zařízení do uzamykatelného rámu. Barbone servery jsou bez procesorů, operačních pamětí a disků.


S t r á n k a | 38

Kritérium K3 nabývá vyšší známky s vyšší výkonností. Kritérium K4 se navyšuje o 1 s přibývajícími sluţbami (např. softwarové rozšíření sluţeb +1, rozšíření o přídavnou kartu +1 apod.) Velikost (K5) hodnotím stupnicí 1, 2, 3 s tím, ţe znamená 1 – malý, 2 – střední, 3 – velký. Tabulka 3.2 – Hodnoty kritérií serverů K1 K2 Model (Kč) (W) NAS server 12 000 25 Tower server 18 000 90 Sestavovaný s. 11 000 40

K3 <0-1> 0,2 1 0,6

K4 (číslo) 2 8 6

K5 (číslo) 1 2 1

Jednotlivé hodnoty uvedené v tabulce 3.2 se normalizují, tj. převedou se R(i,j) v intervalu <0, 1> s vyuţitím následujících vztahů, čímţ vznikne tabulka 3.3. pro maximalizační kritéria: R i,j = (Yi,j - Dj) / (Hj - Dj) a pro minimalizační kritéria: R i,j = (Hj - Yi,j) / (Hj - Dj) Vysvětlení symbolů ve vzorcích: Ri,j ... normalizovaná hodnota, Yi,j ... původní hodnota, Dj ... nejniţší hodnota v daném kritériu, Hi ... nejvyšší hodnota v daném kritériu, i... řádek matice hodnot, j... sloupec matice hodnot. Normalizace kritéria K1 R 1,1 = (18000 - 12000) / (18000 - 11000) = 0,857 R 1,2 = (18000 - 18000) / (18000 - 11000) = 0 R 1,3 = (18000 - 11000) / (18000 - 11000) = 1 Normalizace kritéria K2 R 2,1 = (90 - 25) / (90 - 25) = 1 R 2,2 = (90 - 90) / (90 - 25) = 0 R 2,3 = (90 - 40) / (90 - 25) = 0,769 Normalizace kritéria K3 R 3,1 = (0,2 – 0,2) / (1 – 0,2) = 0 R 3,2 = (1 – 0,2) / (1 – 0,2) = 1 R 3,3 = (0,6 – 0,2) / (1 – 0,2) = 0,5 Normalizace kritéria K4 R 5,1 = (2 – 2) / (8 – 2) = 0 R 5,2 = (8 – 2) / (8 – 2) = 1 R 5,3 = (6 – 2) / (8 – 2) = 0,666 Normalizace kritéria K5 R 4,1 = (2 - 1) / (2 - 1) = 1 R 4,2 = (2 - 2) / (2 - 1) = 0 R 4,3 = (2 - 1) / (2 - 1) = 1


S t r á n k a | 39

Tabulka 3.3 - Znormalizované hodnoty kritérií serverů K1 K2 K3 Model (Kč) (W) <0-1> NAS server 0,857 1 0 Tower server 0 0 1 Sestavovaný s. 1 0,769 0,5

K4 (číslo) 0 1 0,666

K5 (číslo) 1 0 1

Z hodnot nacházejících se v tabulce 3.3 odvodíme tabulku 3.4, kde normalizované hodnoty vynásobíme příslušnými vahami. Body v řádku sečteme a následně vyhodnotíme pořadí. Produkt, který získá vice bodů je lepší. Tabulka 3.4 – Vyhodnocení vybraných serverů K1 K2 K3 K4 Model (Kč) (W) <0-1> (číslo) NAS server 0,343 0,25 0 0 Tower server Sestavovaný s.

K5 (číslo) 0,05

Body

Pořadí

0,643

2.

0

0

0,15

0,15

0

0,3

3.

0,4

0,192

0,075

0,099

0,05

0,816

1.

Zhodnocení Po multikriteriálním výběru dopadl nejlépe server, který by se sestavil z jednotlivých komponentů. Kdyby byly váhy stanoveny jinak a nebyl dán tak velký důraz na cenu, ale třeba na výkon, moţná by byl na prvním místě tower server.

3.3

Výběr konkrétního hardware pro server

Díky multikriteriálnímu výběru i osobním preferencím jsem zvolil server, který jsem sestavoval. Dlouho jsem rozmýšlel výběr co moţná nejmenšího, nejspořivějšího a zároveň „nejvýkonnějšího“ řešení. V dnešní době je velice zajímavá a rozměrově také malá kategorie mini-ITX. A zde jsem také vybíral. Základní desku (motherboard) jsem zvolil Little Falls 2 od společnosti Intel, osazenou velmi spořivým (8W) dvoujádrovým procesorem Intel Atom 330 o frekvenci 1,6 GHz. Za nevýhodu povaţuji zastaralý 32 bitový PCI slot, který dosahuje maximální přenosové rychlosti pouze 133 MB/s (Původně jsem rozmýšlel rozšíření sestavy o hardwarový RAID řadič komunikující s disky přes Sata II rozhraní, které dosahuje maximální přenosové rychlosti až 300 MB/s. Díky sběrnici PCI by však rychlost rapidně klesla). Další nevýhodou je poněkud „ţravý“ chipset Intel 945GC. Jeho maximální udávaná spotřeba výrobcem je 22,2 W. Operační paměť jsem vybral od firmy Kingston o velikosti 1024 MB a frekvenci 667 MHz. Sestavu jsem doplnil optickou DVD mechanikou a dvěma pevnými disky, celkem o velikosti 1 TB, řady RE2-GP od společnosti Western Digital. Tato profesionální řada určená pro RAID se vyznačuje vysokou hodnotou střední doby poruchovosti o velikosti 1,2 miliónu hodin. Hlavní předností GP modelů je výrazně niţší spotřeba dosahující maximálně 6 W při čtení či zápisu.[15] Všechny komponenty jsem vsadil do počítačové skříně o velikosti 264 x 112 x 230 mm. Celková cena sestavy činila necelých 10 000 Kč včetně DPH.


S t r á n k a | 40

Naměřené hodnoty spotřeby pomocí wattmetru dosahovaly 50W při zavádění systému, 45W při maximálním vytíţení procesoru s pouţitím optické mechaniky, 37W v běţném provozu a 32W po hibernaci disků.

3.4

Výběr operačního systému

Vhodný výběr operační systému je velice důleţitý pro následnou budoucí administraci, správu a funkčnost serveru. Na začátek bylo nutné poloţit si otázku, zda investovat do komerčního či nekomerčního softwaru. Kaţdá varianta má své pro a proti. Jelikoţ jsem neměl moc velké zkušenosti s linuxovými systémy, nebylo by ideální investovat do některé komerční distribuce (např. Turbo Linux, RedHat, Caldera, Mandriva). Proto komerční operační systém připadal v úvahu pouze od společnosti Microsoft. Naopak nekomerční pouze od Linuxu. 3.4.1 Debian Debian GNU/Linux je nekomerční svobodný operační systém, který je vyvíjen velkým mnoţstvím dobrovolníků z celého světa. Mezi administrátory je velice populární k nasazování na servery. Debian je k dispozici ve třech větvích: stabilní (stable), testovací (testing) a nestabilní (unstable).[3] Stabilní nabízí verze balíčků měnící se za poměrně dlouhou dobu (rok a déle). Naopak nestabilní větev vychází velmi často a jsou v ní nejaktuálnější programy, bohuţel však na úkor spolehlivosti. Testovací větev je někde mezi a obsahuje částečně odzkoušené a Obrázek 3.1: Logo prověřené balíčky. Na server není vhodné nasazovat nestabilní větev [o2] distribuce Debian z důvodu, ţe jsou balíky neotestované a mohou např. po aktualizaci způsobit dokonce i pád celého systému. Nestává se to sice moc často, ale nebezpečí tu je. Pro neaktuálnost bude nejvhodnější větev testovací, která nabídne jiţ odzkoušené balíky nebo pak verze stabilní, která však nebude tak aktuální. Velkou výhodou je jak grafické, tak textové rozhraní určené pro zkušené. Textové proto, ţe na serveru je zbytečné pouţívat grafické rozhraní, které bude zbytečně zatěţovat hardware. 3.4.2 Gentoo Stejně jako Debian je tato distribuce vyvíjena širokou veřejností. Rozdíl je, ţe se nepracuje s bínární podobou balíčků, ale se zdrojovými kódy, které si uţivatel sám přeloţí do spustitelné podoby. Výhodou tohoto přístupu je maximální moţnost nastavení jednotlivých aplikací a součástí dle potřeb uţivatele, přehledná konfigurace systému, časté aktualizace a optimalizace pro konkrétní hardware. Nevýhodou je, ţe kvůli překládání balíků během instalace nebo aktualizace dochází k razantnímu zvyšování náročnosti na výpočetní výkon, a s tím rostoucí spotřebovaný čas na instalaci. Ten se můţe protáhnout aţ na několik hodin při pouţívání nepředkompilovaných balíků.[16]

Obrázek 8.3: Logo distribuce Gentoo


S t r á n k a | 41

3.4.3 Slackware Slackware je jedna z nejstarších linuxových distribucí. Jejím autorem a jediným vývojářem je Patrick Volkering. To nasvědčuje, ţe se jedná o vyladěný systém s jasně danými pravidly, obsahující pouze stabilní a prověřené verze programů. Klade důraz na jednoduchost, stabilitu a konfigurovatelnost. Nevýhodou je menší mnoţství rozšiřujících balíků určených přímo pro Slackware a nebezpečí výpadku samotného autora, který by znamenal váţný problém pro distribuci.

Obrázek 8.4: Logo distribuce Slackware

Nechaly by se najít i další nekomerční distribuce (např. verze Ubuntu určená pro server, která vychází z Debianu), ale jejich výčet by byl zbytečně dlouhý. Někdy je moţné na server nainstalovat i distribuci vhodnou pro desktop a poté nakonfigurovat aplikace zajišťující serverové sluţby. Problém je, ţe takové distribuce mají většinou bezpečnostní díry. S ohledem na budoucí spolehlivost nejsou tyto typy na server doporučovány. 3.4.4 Windows Server 2003 (Standard Edition) Je jedním z nejpouţívanějších variant Serveru Microsoft u menších a středních sítí LAN. Nabízí řešení pro sdílení souborů a tiskáren, bezpečné připojení k internetu, zálohování, zavádění osobních aplikací, RAID, vzdálený přístup a mnohé další sluţby, které by měl dobrý operační systém určený pro server umět. V současné době se pohybuje verze OEM52 Microsoft Small Business (Standard) od 10 700 Kč vč. DPH a obsahuje dalších 5 licencí pro klienty. Z toho plyne kromě pořizujících nákladů další nevýhoda, protoţe bude nutné zakoupit licenci i pro další klientské stanice. 5 licencí se prodává za 10 300 vč. DPH, tudíţ celkové náklady budou (včetně licencí na pracovní stanice) činit 31 300 Kč.[17] 3.4.5 Windows Server 2008 (Standard Edition) Windows Server 2008 je nejrobustnějším serverovým operačním systémem Windows v historii. „Obsahuje integrované vylepšené technologie pro web a virtualizaci, které umožňují zvýšit spolehlivost i flexibilitu serverové infrastruktury a zároveň ušetřit čas a snížit náklady.“[18] Výkonné nástroje nabízejí zvýšení kontroly nad serverem a optimalizují konfiguraci a správu. Přibyly rozšířené funkce posilující zabezpečení a ochranu operačního systému, dat i sítě a zároveň vytvářející pevnou, vysoce spolehlivou funkční základnu pro kaţdou organizaci. Také se objevila novinka instalace v reţimu Core, kdy se neinstaluje grafické rozhraní, ale pouze textové. Obdobně jako ve verzi 2003 bude zapotřebí nakoupit licence i pro klienty. Celková cena bude 34 200 Kč vč. DPH.[19] Jako další nevýhodu, kromě vynaloţených nákladů, povaţuji vyšší nároky na hardware. Sestavený server by splňoval minimální poţadavky[20], coţ není zrovna ideální. Operace a práce se serverem by nemusela být plynulá a spolehlivá. Kdyţ porovnám jednotlivé typy operačních systému, tak by pro mne bylo jednodušší nastavovat server s operačním systémem od společnosti Microsoft. Avšak problémem je, ţe na pracovních stanicích je převáţně nainstalován operační systém Windows XP Home Edition, případně Windows Vista Home Premium. Systémy byly nakupovány kvůli niţší ceně, avšak zde

52

Způsob licencování software. Licence k programu je získána se zakoupením hardware.


S t r á n k a | 42

se ukazuje jejich nevýhoda. Nejsou totiţ schopny připojit se do domény53 Windows Serveru a moţnost práce v síti mají omezenou na síť peer-to-peer. Začal jsem se tedy zaměřovat na opensourcovou kategorii. Konkrétně na systém Debian, který jsem nakonec vyhodnotil za vhodný. Jelikoţ jsem neměl s Unixovými systémy příliš mnoho zkušeností, musel jsem nastudovat několik desítek manuálů a dokumentací pro správnou instalaci a následnou konfiguraci. Tím se samozřejmě protáhl celý proces rozšíření počítačové sítě o server.

3.5 Instalace a konfigurace Debianu a dalších služeb S ohledem na budoucí stabilitu jsem pro jistotu zvolil nejnovější stabilní verzi 5.0 – Lenny vydanou 14. února 2009. Na začátku je nutné rozhodnout, zda se má během instalace pouţít grafické rozhraní, textové rozhraní a zda instalovat grafické uţivatelské rozhraní nebo pouze jádro systému (Kernel 2.6.26). Z vlastní zkušenosti nedoporučuji instalovat pomocí grafického rozhraní. Při vrácení kroku instalace většinou celý proces „spadne“ a je potřeba začít novou instalaci od začátku. Osobně jsem tedy instaloval pomocí textové varianty. Následují klasické kroky jako zvolení jazyka, země, názvu počítače, rozpoznání hardwaru, nastavení hesla pro nejvyššího uţivatele root, nastavení jména a hesla pro uţivatele a další. V poslední fázi se instaluje zavaděč systému GRUB (moţno i LILO).[21] Zastavil bych se u kroku, kde se volí programy k instalaci a u rozdělení disků. Kromě standardního systému se nechá zvolit funkce webového, tiskového, DNS, souborového a poštovního serveru, dále pak SQL databáze, notebooková varianta a desktopové (grafické) prostředí. DNS, poštovní server a samozřejmě notebookovou verzi jsem neinstaloval, protoţe tyto sluţby v budoucnu zatím neplánuji provozovat (případně se nechají doinstalovat). Co se týče rozdělení disků, přišly zde první komplikace, které bylo nutné vyřešit. Oba disky jsem rozdělil po stejných částech (oddílech) na kořenový adresář, swap, var a home. Pro zvýšení bezpečnosti jsem chtěl pouţít funkci softwarového (kdyţ nebylo moţné sestavu rozšířit o kvalitnější hardwarový RAID řadič) RAID 1 a tím zrcadlit disky. Zrcadlení lze docela jednoduše nastavit jiţ během instalace. Bylo zapotřebí kaţdému oddílu na disku nastavit pouţití pro RAID a následně pro kaţdý stejný pár oddílů nastavit pomocí utility MD funkci RAID 1. Výpis statusu diskových polí vypadá následovně:

Poznámka: Je vidět, že jsou oba disky aktivní a zrcadlí se. V opačném případě by byl výpis např. následovný: md3 : active raid1 sdb4[1] 471780736 blocks [1/2] [_U]

cat /proc/mdstat Personalities : [raid1] md3 : active raid1 sda4[0] sdb4[1] 471780736 blocks [2/2] [UU] md2 : active raid1 sda3[0] sdb3[1] 4883648 blocks [2/2] [UU] md1 : active raid1 sda2[0] sdb2[1] 4886379 blocks [2/2] [UU] md0 : active raid1 sda1[0] sdb1[1] 9767424 blocks [2/2] [UU] unused devices: <none>

53

Logická skupina počítačů sdílející společnou centrální adresářovou databázi.


S t r á n k a | 43

Po nainstalování systému bylo nutné odzkoušet funkčnost zrcadlení disků. Test probíhal ve třech fázích. Nejprve byla testována havárie jednoho z disků. Systém s mírným zbrzděním situaci ustál a dále pracoval pouze s jedním diskem. Poté jsem na disk nahrál data navíc a následně zapojil druhý disk. Tím jsem zkoušel, zda si je systém schopný sám synchronizovat data na obou discích. Test proběhl bohuţel negativně. Zřejmě by bylo zapotřebí další aplikace, která by tuto sluţbu zajišťovala. Problém jsem vyřešil zadáním příkazu mdadm --manage /dev/md(číslo) --add /dev/sd(číslo). Výpis můţe vypadat takto: mdadm --manage /dev/md0 --add /dev/sdb1 při současném pohledu na cat /proc/mdstat vidíme průběh synchronizace Personalities : [raid1] md0 : active raid1 sdb1[2] sda1[1] 9767424 blocks [2/1] [_U] [=>...................] recovery = 5.6% (546976/9767424) finish=14.3min speed=10590K/sec unused devices: <none> Po dokončení by měl být detailní pohled na md0 následující. mdadm --detail /dev/md0 /dev/md0: Version : 00.90 Creation Time : Sun Mar 22 16:44:58 2009 Raid Level : raid1 Array Size : 9767424 (9.31 GiB 10.00 GB) Used Dev Size : 9767424 (9.31 GiB 10.00 GB) Raid Devices : 2 Total Devices : 2 Preferred Minor : 0 Persistence : Superblock is persistent Update Time State Active Devices Working Devices Failed Devices Spare Devices

: : : : : :

Thu Jun clean 2 2 0 0

4 14:36:05 2009

UUID : 4addfa32:0c9ca52a:530fa5dd:243af5d1 Events : 0.5666 Number Major 0 8 1 8

Minor 1 17

RaidDevice State 0 active sync 1 active sync

/dev/sda1 /dev/sdb1


S t r á n k a | 44

Poslední test proběhl bootováním pouze s jedním diskem. Zde se podařilo úspěšně spustit systém pouze primárnímu disku, ale u sekundárního zůstávala černá obrazovka bez odezvy. Potíţ byla ve špatně nastaveném zavaděči systému - GRUB, konkrétně soubor /boot/grub/menu.lst. Zde bylo nutné nastavit bootování z raidového svazku md0 namísto disku sda1 a změnit pravidla pro root: title root kernel initrd

Debian GNU/Linux, kernel 2.6.26-2-amd64 (hd0,0) /boot/vmlinuz-2.6.26-2-amd64 root=/dev/md0 ro quiet /boot/initrd.img-2.6.26-2-amd64

místo title root kernel initrd

Debian GNU/Linux, kernel 2.6.26-2-amd64 (hd0,1) /boot/vmlinuz-2.6.26-2-amd64 root=/dev/sda1 ro quiet /boot/initrd.img-2.6.26-2-amd64

Jelikoţ má server plnit sluţbu především souborového serveru, bylo třeba zajistit komunikaci mezi Linuxem, pouţívající protokol NFS54, a Windows pouţívající protokol SMB55. Jelikoţ jsou tyto protokoly nekompatibilní, pouţil jsem aplikaci Samba, která implementuje protokol SMB, a která slouţí právě ke komunikaci a sdílení prostředků mezi stanicemi s Windows a stanicemi s Linuxem. Samozřejmě by také šlo na všech klientských stanicích zprovoznit NFS, ale tato varianta je jednodušší a logičtější. Samba je potřeba nakonfigurovat v /etc/samba/smb.conf. Konfigurace se dělí na globální část, kde je hlavní nastavení aplikace, a na část, kde se konfigurují sdílené prostředky. Protoţe na ţádné klientské stanici není pouţít unixový operační systém, není třeba klientské stanice nastavovat, protoţe ve Windows je podpora protokolu SMB jiţ integrována a nebývají s ní problémy. Příslušné sluţby se nechají jednoduše najít v místech v síti. Aby mohli jednotliví uţivatelé či skupiny přistupovat k různým prostředkům, je nutné v Debianu vytvořit dané uţivatelské účty, zařadit je do skupin a přiřadit jim práva pro čtení, zápis a spouštění. Následně k jednotlivým sdíleným prostředkům přiřadit v Sambě uţivatele, aby k nim mohl přístupovat z klientské stanice. Jelikoţ je zapotřebí spravovat server z různých lokalit v republice i mimo republiku, bylo potřeba zajistit vzdálený přístup. K tomu můţe být vyuţit daemon OpenSSH, který by měl být v Debianu jiţ nainstalovaný, případně se nachází v repozitářích balíčků. Následně bylo nutné nakonfigurovat soubor /etc/ssh/sshd_config a nastavit portforwarding portu TCP/22 na IP adresu serveru. Port 22 testuje mnoho automatických robotů, kteří se snaţí „nabourat“ do sítě, a tím vzniká bezpečnostní riziko. Tento port sice můţe být změněn za jiný, avšak kdyţ se nějaký útočník bude snaţit dostat do sítě, pouţije skener otevřených portů a tím zjistí vše potřebné. Pro přístup ke vzdálenému serveru pouţívám SSH a Telnet klienta Putty. K souborům přistupuji přes SFTP a FTP klienta WinSCP. Mezi jeho hlavní funkce patří bezpečný šifrovaný přenos souborů mezi 54 55

Network FileSystem; Protokol slouţící ke sdílení souborů mezi unixovými systémy. Server Message Block; Protokol vytvořený společně Microsoftem, IBM, Intelem a 3COM.


S t r á n k a | 45

lokálním a vzdáleným počítačem. Ke spojení je vyuţíván protokol SSH a pro práci se soubory protokol SFTP56.[22] Jelikoţ jsem jediný správce serveru, mám jako jediný povolen přístup přes SSH. Tím je i částečně sníţeno bezpečnostní riziko.

3.6 Propojení sítí přes VPN Protoţe jsem potřeboval zajistit přístup57 k serveru i z počítačů umístěných v Obrubech a obchodním zástupcům nacházejících se kdekoli v republice, bylo zapotřebí vymyslet jiný způsob přístupu neţ přes WinSCP. Řešením bylo vytvoření virtuální počítačové sítě VPN58. VPN zajistí takové propojení strojů, jako by byly přímo spojené, včetně všech výhod, které z toho plynou. Server musí mít veřejnou IP adresu, na té pak naslouchá a čeká na příchozí spojení od klientů. Klienty tvoří jednotlivé počítače, jenţ mají být součástí sítě. Princip připojení probíhá v následujících krocích:[3] 1. 2. 3. 4. 5.

Klient se připojí k určenému serveru. Obě strany vytvoří šifrovaný komunikační kanál. Proběhne autentizace klienta. (Zda má právo připojit se?) Klient obdrţí IP adresu a stane se součástí sítě. Veškerá síťová komunikace klienta jde pře VPN server.

Implementací VPN existuje celá řada, včetně komerčního i nekomerčního řešení. Já jsem zvolil systém OpenVPN. Zajišťuje plnohodnotnou implementaci VPN, nabízí velmi silné šifrování, jednoduchou konfiguraci a navíc je šířen pod licencí GNU/GPL59. Další výhodou je, ţe je oproti některým systémům VPN multiplatformní. OpenVPN se obvykle provozuje na protokolu UDP/1194, ale jiţ lze také vyuţívat protokol TCP. Systém vytvoří virtuální síťovou kartu slouţící pro „připojení“ do virtuální sítě. Vše, co je posíláno pomocí karty, je šifrováno. Autorizace obou stran můţe probíhat pomocí sdílených statických klíčů nebo dynamických TLS60 klíčů. Kromě klíčů lze šifrovat pomocí mnoha silných šifer (např. RSA61) a vyuţít autorizačních, šifrovacích a certifikačních moţností knihovny OpenSSL. Výhodou VPN je, ţe veškerá komunikace probíhá na jediném portu. Pokud byste chtěli mít přístup k síti opravdu odkudkoli, můţete OpenVPN nechat poslouchat na některém z běţně pouţívaných portů například 80 (Mnoho sítí trpí nedostatkem otevřených portů, například hotely nabízející připojení k internetu, a tak nemusíte mít jistotu, že bude zrovna port 1194 otevřený. S portem 80 by neměl být problém). Daemon OpenVPN se běţně nachází v repozitářích Debianu. Po instalaci je třeba konfigurovat soubor /etc/openvpn/vpn.conf. Jelikoţ pouţívám reţim klient-server, nebudu se zabývat vysvětlováním vytvoření jednoduchého tunelu62 pouze mezi dvěma stanicemi pouţívající statický klíč.

56

Secure File Transfer Protocol S daty na serveru nepracují neustále. Stahují či nahrávají jen poţadovaná data. 58 Virtual Private Network 59 GNU General Public License; Je licence pro svobodný software. 60 Transport Layer Security; Kryptografický protokol zajišťující zabezpečení komunikace. 61 Algoritmus vhodný pro podepisování i šifrování. 62 Šifrovaný komunikační kanál mezi VPN serverem a VPN klientem, který umoţňuje vidět vzdálenou síť. 57


S t r á n k a | 46

Nejprve bylo nutné vytvořit vlastní certifikáty. Obdrţet je lze dvěma způsoby. Nějakou komerční známou certifikační autoritou, coţ bude jednodušší, ale finančně náročnější. Druhý způsob je vytvoření vlastní certifikační autority a následné vygenerování certifikátů a klíčů. Veškeré potřebné nástroje nabídne balík OpenSSL, který se nainstaloval společně s OpenVPN, a který poskytuje veškeré šifrovací sluţby. Certifikační autority se nastavují v souboru /etc/ssl/openssl.conf. Postup vytváření certifikátů a klíčů (v terminálu): [23] #Vytvoření potřebných adresářů. mkdir /etc/ssl/vpn mkdir /etc/ssl/vpn/certs mkdir /etc/ssl/vpn/crl mkdir /etc/ssl/vpn/newcerts mkdir /etc/ssl/vpn/private #Vytvoření souborů, nutných pro správné generování a přehled certifikátů. echo 01 > /etc/ssl/vpn/serial touch /etc/ssl/vpn/index.txt #Vytvoření certifikátu autority, který je sám sebou podepsán (self-signed certifikát). #Soubor cakey.pem obsahuje privátní klíč autority, který slouţí pro podepisování dalších #certifikátů. openssl req -new -x509 -nodes -out /etc/ssl/vpn/cacert.pem keyout /etc/ssl/vpn/private/cakey.pem -days 1098 Jednotlivé příkazy znamenají:[24]  openssl – utilita openssl je hlavním pomocným programem stejnojmenného balíku, slouží pro manipulaci s certifikáty, klíči, testování apod.  req – pracuje se s certifikační žádostí  -new – vytvoří se nová žádost  -x509 – nebude se vytvářet certifikační žádost, ale rovnou sám sebou podepsaný certifikát  -nodes – soukromý klíč nebude zašifrován (slouží k rozšifrování veřejnéhozašifrovaného klíče)  -out – certifikát zapsat do uvedeného souboru  -keyout – klíč zapsat do uvedeného souboru  -days 1098 – certifikát bude platit 3 roky #Generování certifikátu pro server #Stejně jako u klienta probíhá ve dvou krocích. Nejprve je vytvořena ţádost o certifikát a #samotný klíč. Následně se ţádost podepíše certifikační autoritou a vytvoří se poţadovaný #certifikát openssl req -new -nodes -out request.pem -keyout server.key days 1098 openssl ca -in request.pem -out server.crt # Vytvoření souboru s parametry pro Diffie-Hellman protokol (můţe být i 2048 bitový) openssl dhparam -out dh1024.pem 1024


S t r á n k a | 47

# Generováni certifikátu pro klienta openssl req -new -nodes -out regest_k.pem -keyout klient.key days 1098 openssl ca -in regest_k.pem -out klient.crt Výsledný certifikát můţe vypadat následovně: Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha1WithRSAEncryption Issuer: C=CZ, ST=Czech, L=Praha, O=VHL s.r.o., OU=OpenVPN, CN=vhl.cz/[email protected] Validity Not Before: Apr 28 15:16:43 2009 GMT Not After : Mar 7 15:16:43 2019 GMT Subject: C=CZ, ST=Czech, L=Praha, O=VHL s.r.o., OU=OpenVPN, CN=vhl.cz/[email protected] Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:bf:57:e4:a3:39:2d:8b:28:8a:be:c4:b7:23:96: … bd:6c:b1:2b:c7:ae:81:f8:c3 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 72:82:11:43:5E:39:79:94:E5:47:58:3U:79:CI:18:9P:56:37:96:59 X509v3 Authority Key Identifier: keyid:12:GH:1B:34:21:54:7C:49:6X:2A:18:C6:45:1F:EO:2C:8A:6B:59:37 Signature Algorithm: sha1WithRSAEncryption 90:f2:91:0f:45:8d:1e:35:58:5f:10:1b:63:a6:c1:68:92:cc: … 2c:a3:27:41:85:e0:22:f9:3d:8c:b6:44:32:e0:01:06:ed:50 -----BEGIN CERTIFICATE----MIIDADCCAmmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADCBgTELMAkGA1UEBhMCQ1ox … EIcpUgaoPjF6iYVEMujCwg8za2YD311Gvtgx6oFWZAgsoydBheAi+T7VDqig== -----END CERTIFICATE-----

Kde:[28] Seriál Number – Jedinečné sériové číslo certifikátu. Signature Algorithm – Pouţitý algoritmus podpisu je sha1 se šifrováním RSA. CN (Common Name) – Jméno certifikační autority. Public Key – Veřejný klíč s šifrou RSA (1024 bit). Nachází se v poli Modulus aţ Exponent. Subject Key Identifier – Identifikátor klíče předmětu. Authority Key Identifier – Identifikátor klíče úřadu obsahující ID klíče.


S t r á n k a | 48

Signature Algorithm – Samotný algoritmus podpisu. BEGIN CERTIFICATE – Text certifikátu vyjádřený v Base64, coţ je datový formát zobrazující binární data pomocí tisknutelných znaků ASCII. Pokud je vše správně nastaveno, měl by se server rozběhnout a začít poslouchat a vyčkávat na připojení klientů. Ti mají na své straně také program OpenVPN, ale s jinou (klientskou) konfigurací. Po připojení klienta se vytvoří komunikační tunel, díky kterému můţe klient přistupovat k serveru, tak i jeho sluţbám. Na závěr by bylo vhodné ještě zmínit, ţe lze OpenVPN provozovat v reţimu TUN nebo TAP. TAP vytvoří síťový most (network bridge) pracující na 2. spojové vrstvě a propouštějící všechny MAC adresy na obou koncích sítí. TUN pracuje na 3. síťové vrstvě a pouţívá se k routování. To znamená, ţe se vidí pouze konce tunelů a sítě za oběma konci se musí „proroutovat“.[33] Osobně jsem volil nastavení jednodušší nastavení TAP. Na klientské stanici i na serveru vznikla nová virtuální síťová karta. Informace o virtuální kartě lze získat na serveru příkazem ifconfig. Výpis je následující: tap0 Link encap:Ethernet HWadr 00:ff:05:78:91:XX inet adr:10.0.0.100 Všesměr:10.0.1.255 Maska:255.255.255.0 inet6-adr: fe80::2ff:5ff:fe78:9164/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŢÍ MULTICAST MTU:1500 Metrika:1 RX packets:382226 errors:0 dropped:0 overruns:0 frame:0 TX packets:313063 errors:0 dropped:0 overruns:0 carrier:0 kolizí:0 délka odchozí fronty:100 RX bytes:55192889(52.6 MiB) TX bytes:150011166(143.0 MiB) Jelikoţ vyuţívám k administraci také vzdálenou plochu, která pouţívá nezabezpečený, nešifrovaný protokol VNC63, bylo třeba zajistit bezpečný komunikační kanál. Některé programy nabízejí podporu šifrování pomocí SSH, ale jejich nevýhodou je komerčnost. Existuje sice řešení, kdy je pomocí daemona OpenSSH tunel zašifrován. Osobně jsem to zkoušel, ale funkčnost nemohu stoprocentně potvrdit. Proto k tomuto přístupu raději pouţívám bezpečný tunel vytvořený programem OpenVPN a aţ poté spouštím klientský program (konkrétně TightVNC Viewer) pro přístup ke vzdálené ploše.

3.7 Zabezpečení serveru Protoţe se nyní stal server datovým centrem celé podnikové sítě, bylo zapotřebí zvolit vhodná bezpečnostní opatření. Základní pravidla jak zabezpečit manipulaci se softwarem jsou[3]: Volit kvalitní a silná hesla, nepouţívat nešifrované přenosové protokoly, kde procházejí citlivá data, udrţovat aktuální systém, nespouštět zbytečně nepotřebné sluţby, kontrolovat záznamy (logy) o pohybech na síti a samozřejmě zálohovat.

63

Virtual Network Computing


S t r á n k a | 49

Zálohování v současné době není řešeno nejelegantněji. Je nestrukturované – jednoduché a je prováděno manuálně na externí pevný disk. V budoucnu bych chtěl zálohování na externí disk zachovat, ale celý proces zautomatizovat. Co se týče hardwarové ochrany, začnu zrcadlením disků. Někdo by mohl tvrdit, ţe je zrcadlení zároveň zálohování, avšak není tomu tak. Jistě, určitým způsobem data zálohujeme, ale hlavně jde o ochranu před výpadkem jednoho z disků a zajištění okamţité moţnosti práce. Představte si, jaká by nastala pohroma, kdyby server vyhořel, oba disky se spálily a nebyla provedena ţádná záloha. Dalším nebezpečím můţe být nedbalá manipulace se serverem způsobená zaměstnancem, narušitelem sítě nebo kýmkoliv jiným. Zároveň nemohl být server umístěn v malém uzavřeném prostoru, protoţe by mohlo dojít k přehřátí a následnému poškození. Řešením bylo umístění serveru do větraného uzamykatelného boxu. Posledním rizikem poškození hardwaru jsou různé napěťové rázy, změny frekvence, přepětí a podpětí a celkové výpadky elektrického proudu. Proto bylo nutné zajistit napájení serveru i po výpadku proudu a následné bezpečné ukončení všech sluţeb a vypnutí serveru. O diesel agregátech nemá u takhle malé společnosti smysl hovořit, a proto se zaměřím na záloţní zdroj UPS. Existují tři varianty. UPS offline, online a line interactive[2]. Offline je nejjednodušší a nejlevnější verze. Vstupní proud prochází přímo na výstup bez jakékoli úpravy napětí. Při poklesu napětí přejde do reţimu napájení přes akumulátor. Většina z nich bohuţel neumí komunikovat přímo s počítačem, a tak je tato verze vhodná spíše pro počítače, u kterých jsou uţivatelé, kteří zajistí bezpečné vypnutí stroje. UPS online je naopak třídou nejvyšší a nejkvalitnější. Výstupní proud je ošetřen pomocí filtrů a vychází z akumulátoru, který je neustále dobíjen. Počítač tak není nikdy přímo napájen z elektrické sítě. Je oddělen od všech výkyvů napětí a poruch. Určitým mezičlánkem je UPS line interactive. Spotřebič je napájen přímo z elektrické sítě, ale napětí je upravováno (posilováno či potlačováno) a jsou odfiltrovány šumy. Při výběru UPS je nutné vybrat správný výkon. Ten se udává ve VA (voltampérech) a měl by být 0,7 krát větší neţ zdánlivý výkon napájecího zdroje serveru. Výkon a baterie následně ovlivňují čas, po který je zařízení schopno napájet spotřebič. V neposlední řadě by neměla chybět propojenost s počítačem a softwarové vybavení, které by podávalo informace o stavu baterií, o tom kdy UPS napájela zařízení přes akumulátor, a hlavně které by legálně ukončilo po určité době operační systém. Jelikoţ je server osazen zdrojem o výkonu 150 W, mohl jsem vybírat v niţší výkonové UPS třídě. Typ jsem zvolil line interactive, protoţe je cenově dostupný a zároveň ošetřuje výkyvy napětí. Konkrétně APC Smart UPS SC420VA. Jelikoţ se jedná o verzi smart, vznikají tím další výhody. Například vyměnitelné baterie za chodu, automatické testy, vyšší moţnosti konfigurace, měření spotřeby apod. V současné době slouţí záloţní zdroj pouze serveru a komunikace probíhá přes sériový kabel. Za komunikační software jsem v Debianu vyuţil balík apcupsd. Po nainstalování balíku je nutné ručně upravit soubor /etc/apcupsd/apcupsd.conf. Především způsob komunikace, typ UPS, BATTERYLEVEL (minimální procento zbývající kapacity akumulátoru), MINUTES (minimum zbývajících minut odhadované výdrţe akumulátoru) a TIMEOUT (maximální doba běhu na akumulátor).[34] Výdrţ akumulátoru si odhaduje sama UPS z napětí na akumulátoru a odebíraného proudu. Všechny tři volby pro vypnutí lze kombinovat nebo pouţívat jednotlivě. Já pro jistotu nastavil všechny tři a řádně otestoval.


S t r á n k a | 50

Test jsem provedl vypojením napájecího kabelu od záloţního zdroje postupně na všechny tři volby. Vypnutí proběhlo úspěšně. Dále proběhl test na odpojení a znovu zapojení napájení ještě neţ stačil daemon apcupsd spustit příkaz na vypnutí systému. Program zaregistroval znovu zapojení napájení a přešel do normálního (respektive nabíjecího reţimu). Poslední věc, která je třeba nastavit, je BIOS64 (State after power failure: ON – automaticky zapne stroj po vypnutí a zapnutí napájení) a soubor /etc/init.d/halt, kde se změní u inicializace zastavení systému parametr poweroff="-p" na poweroff="" čímţ následně spouštěný příkaz halt nevypne počítač přes ACPI65 (pak by se po naběhnutí napájení nezapnul).[25] Zjednodušeně celý proces probíhá tak, ţe při výpadku napětí se přejde do reţimu napájení z akumulátoru, po stanovené době jsou vypnuty všechny běţící sluţby a systém je vypnut. Pak se odpojí napájení i záloţní zdroj a po určené době (záleţí na nastavení WAKEUP - v sekundách určuje za jak dlouho se má UPS probudit po obnovení napájení, a RETURNCHARGE – probuzení po procentuelním nabití baterie) se napájení obnoví. Tím dojde ke spuštění serveru a uvedení do normálního chodu.

64

Program pro inicializaci a konfiguraci připojených hardwarových zařízení. Je to „firmware“ pro počítače. 65 Advanced Configuration and Power Interface; Rozhraní, pomocí kterého operační systém přistupuje k pokročilým funkcím správy napájení.

Závěr

S t r á n k a | 51

Závěr Cílem této bakalářské práce bylo popsat a zároveň v určitém čase a s určitým rozpočtem inovovat počítačovou síť ve společnosti VHL s.r.o. Tak asi jako kaţdé zavádění nové sluţby, ani toto se nevyhnulo určitým komplikacím, jeţ musely být v průběhu inovace odstraněny. Pro vyšší spolehlivost byla většina sluţeb řádně otestována, protoţe nasazení nespolehlivých sluţeb do firemního provozu znamená méně uţitku neţli přínosu. Poţadovaných výsledků bylo dosaţeno částečně praktickými zkušenostmi, a také díky studiu odborných textů a návodů. Troufám si říct, ţe dnes fungují sluţby v zásadě spolehlivě, ale aţ čas ukáţe, jestli skutečně na sto procent. Prvním nedostatkem, který pozoruji, je pomalá rychlost (2 048/128 Kbps) internetového připojení ve výrobním středisku. Problémem je velká vzdálenost (5,3 km) od DSLAM66 ústředny. V dané lokalitě se sice nachází poskytovatel bezdrátového internetového připojení, avšak jeho sluţby jsou v porovnání s připojením přes ADSL nevýhodné. Hlavní přínos bakalářské práce spatřuji v reálném rozšíření síťových sluţeb. Díky této práci vznikly nové způsoby propojení sítě, které umoţnily další moţnosti přístupů k datům. Nyní se jiţ nepracuje v reţimu peer-to-peer, v kterém byli uţivatelé v mnohých věcech omezováni, ale v reţimu klient-server. Vznikly také nové způsoby ochrany sítě. Začaly se pouţívat přepěťové ochrany, UPS a byla zvýšena bezpečnost komunikace. Kromě praktického přínosu, práce podává přehled o síťových standardech, síťových prvcích a provozních charakteristikách. Dosaţené výsledky mohou poslouţit jako příklad při navrhování a následné realizaci bezdrátové sítě. Rozšíření o server by mohly vyuţít i mnohé domácnosti, protoţe jeho výstavba není finančně náročná. Navíc práce představuje postupy, jak nainstalovat a zprovoznit jednotlivé síťové sluţby. V budoucnu uvaţuji o rozšíření počítačové sítě ve výrobním středisku. Jednalo by se o monitorovací a docházkový systém. Monitorovací systém by byl zaloţen na IP kamerách, které by byly rozmístěné v objektu i mimo něj. Nezachycovaly by plynulý obraz, ale statické obrázky v určitém časovém rozmezí. Otázkou stále zůstává, jestli by byl obraz zaznamenáván pouze v pracovní dobu na určitou pracovní stanici, nebo jestli by byla síť rozšířena o druhý dedikovaný server, který by neustále monitoroval prostory. Docházkový systém by slouţil k evidenci docházky jednotlivých zaměstnanců. Pomocí identifikačních čipů by se zaznamenávaly odchody a příchody, které by se pomocí sítě a daného softwaru přenášely do počítačů v osobním oddělení, kde by se následně vyhodnocovaly výsledky. Toto rozšíření by se mohlo stát impulsem pro budoucí rozvinutí bakalářské práce. Kdyţ by se dílo propracovalo více do detailů, mohlo by slouţit společnosti VHL s.r.o. jako firemní dokumentace počítačové sítě.

66

Brána pro datové sítě poskytovatele připojení.

Seznam použitých zkratek

S t r á n k a | 52

Seznam použitých zkratek ACPI Advanced Configuration and Power Interface ADSL Asymetric Digital Subscriber Line AES Advanced Encryption Standard ASCII American Standard Code for Information Interchange CCMP Counter Mode with Cipher Block Chaining Message Authentication Code Protocol CSMA/CD Carrier Sense with Multiple Access and Collision Detection DHCP Dynamic Host Configuration Protocol DNS Domain Name System DoS Denial of Service EAP Extensible Authentication Protocol HTTP Hypertext Transfer Protocol IEEE Institute of Electrical and Electronics Engineers IPX/SPX Internetwork Packet Exchange/Sequenced Packet Exchange ISO International Standards Organization LAN Local Area Network MAC Media Access Control MAN Metropolitan Area Network MIC Message Integrity Code NAS Network Attached Storage NAT Network Address Translation NetBEUI NetBIOS Extended User Interface OSI Open Systém Interconect RAID Redundant Array of Independent Disks RSN Robust Security Network SNMP Simple Network Management Protocol SSID Service Set Identifier STP Shielded Twisted Pair TCP/IP Transmission Control Protocol/Internet Protocol TELNET Telecommunication Network TKIP Temporal Key Integrity Protocol TLS Transport Layer Security UDP User Datagram Protocol UPS Uninterruptible Power Supply UTP Unshielded Twisted Pair VNC Virtual Network Computing VOIP Voice over Internet Protocol VPN Virtual Private Network WAN Wide Area Network WECA Wireless Ethernet Compatibility Alliance

Seznam použitých zdrojů

S t r á n k a | 53

Seznam použitých zdrojů Poznámka: [o…] značí zdroj obrázku. [1] HEJNA, Ladislav. Lokální počítačové sítě. Praha: Grada, 1994. 144 s. ISBN 80-8562399-4. [2] HORÁK, Jaroslav, KERŠLÁGER, Milan. Počítačové sítě pro začínající správce. 4. vydání. Brno: Computer Press, 2008. 328 s. ISBN 978-80-251-2073-6. [3] KRČMÁŘ, Petr. LINUX – postavte si počítačovou síť. Praha: Grada, 2008. 184 s. ISBN 978-80-247-1290-1. [4] GÁLA Libor, POUR Jan, TOMAN Prokop. Podniková informatika. Praha: Grada, 2007. 484 s. ISBN 80-247-1278-4. [5] BARKEN, Lee. Wi-Fi : jak zabezpečit bezdrátovou síť. Jiří Veselský. 1. vydání. Brno: Computer Press, 2004. 176 s. ISBN 80-251-0346-3. [6] The Unofficial 802.11 Security Web Page [online]. 2001 [cit. 2009-06-04]. Dostupný na WWW: [7] Wikipedia: Ethernet [online]. 2009

[cit.

2009-05-23].

Dostupný

na

WWW:

[8] Hráček, J.: IEEE 802.11n - Zrychlete a rozšiřte svou bezdrátovou síť [online]. 2008 [cit. 2009-06-16]. Dostupný na WWW: [9] Misantropus: Zabezpečení wifi sítí - Útoky na WEP [online]. 2008 [cit. 2009-05-04]. Dostupný na WWW: [10] Wikipedia: Wi-Fi Protected Access [online]. 2009 [cit. 2009-05-05]. Dostupný na WWW: [11] Jak na Wi-Fi [online]. 2004 [cit. 2009-05-08].

Dostupný

na

WWW:

[12] AirLiveTM: WL-5460AP v2 [online]. 2009 [cit. 2009-05-08]. Dostupný na WWW: [13] Czech Computer s.r.o.: NAS Servery [online]. 2009 [cit. 2009-04-04]. Dostupný na WWW: [14] Alza.cz a.s.: Retail servery [online]. 2009 [cit. 2009-04-04]. Dostupný na WWW: [15] Western Digital Corporation: WD RE2-GP Hard Drives [online]. 2009 [cit. 2009-04-06]. Dostupný z WWW: [16] Wikipedia: Gentoo Linux [online]. 2009 [cit. 2009-04-25]. Dostupný na WWW: [17] Alza.cz a.s.: Operační systémy [online]. 2009 [cit. 2009-04-17]. Dostupný na WWW:

Seznam použitých zdrojů

S t r á n k a | 54

[18] Microsoft s.r.o.: Windows Server 2008 [online]. 2008 [cit. 2009-04-24]. Dostupný na WWW: [19] Alza.cz a.s.: Operační systémy [online]. 2009 [cit. 2009-04-17]. Dostupný na WWW: [20] Microsoft s.r.o.: Windows Server 2008 [online]. 2008 [cit. 2009-04-24]. Dostupný na WWW: [21] Debian GNU/Linux: Instalační příručka [online]. 2008 [cit. 2009-04-29]. Dostupný na WWW: [22] WinSCP: Co je WinSCP [online]. 2008 [cit. 2009-05-17]. Dostupný na WWW: [23] Lowprize´s občastník: Open VPN část I. [online]. 2005 [cit. 2009-05-02]. Dostupný na WWW: [24] ROOT.cz: Jak na OpenSSL II. [online]. 2003 [cit. 2009-05-03]. Dostupný na WWW: [25] ABC Linuxu: Smart UPS a start serveru [online]. 2008 [cit. 2009-05-14]. Dostupný na WWW: [26] Projekt Web51: Ethernet a jeho principy [online]. 2001 [cit. 2009-06-24]. Dostupný na WWW: [27] DROMS, R.: RFC2131 [online]. 1997 [cit. 2009-06-21]. Dostupný na WWW: [28] DOLEŢAL, D.: Co je digitální certifikát [online]. 2003 [cit. 2009-06-18]. Dostupný na WWW: [29] PETERKA, J.: Proč se Ethernet jmenuje Ethernet [online]. 1999 [cit. 2009-03-20]. Dostupný na WWW: < http://www.earchiv.cz/anovinky/ai1961.php3> [30] PETERKA, J.: Architektura Wi-Fi sítí [online]. 2007 [cit. 2009-04-20]. Dostupný na WWW: < http://www.earchiv.cz/b07/b0500001.php3> [31] FOROUZAN, BEHROUZ A.: TCP/IP Protocol Suite [online]. 2003. ISBN 0-07-2460601. Dostupný na WWW: [32] Plexo: Wi-Fi sítě – vše co jste chtěli vědět [online] 2008 [cit. 2009-06-02]. Dostupný na WWW: [33] OpenVPN Technologies: Documentation [online]. 2009 [cit. 2009-04-06]. Dostupný na WWW: < http://openvpn.net/index.php/open-source/documentation/miscellaneous/76ethernet-bridging.html> [34] APC UPS Daemon: User Manual [online]. 2009 [cit. 2009-05-30]. Dostupný na WWW:

Seznam použitých zdrojů [o1] Wikipedia: Fresnel zone [online]. 2009 [2009-06-09]. [o2] Debian.cz: Debian [online]. 2009 [2009-05-23].

S t r á n k a | 55 Dostupný Dostupný

na na

WWW: WWW:

[o3] Wikipedia: Gentoo Linux [online]. 2009 [2009-05-23]. Dostupný

na

WWW:

[o4] ProductWiki: Slackware [online]. 2009 [2009-05-23]. Dostupný

na

WWW:

Seznam použitých obrázků

S t r á n k a | 56

Seznam použitých obrázků Obrázek 2.1: Původní síť .............................................................................................................20 Obrázek 2.2: První inovace sítě ...................................................................................................22 Obrázek 2.3: Fresnelova zóna ......................................................................................................31 Obrázek 2.4: Současná podoba sítě ..............................................................................................33 Obrázek 3.1: Logo distribuce Debian ..........................................................................................40 Obrázek 3.2: Logo distribuce Gentoo ..........................................................................................40 Obrázek 3.1: Logo distribuce Slackware .....................................................................................41

Budování a využívání menší podnikové počítačové sítě

Recommend Documents