Bankovní institut vysoká škola
Informační technologie pro poskytování telekomunikačních služeb Bakalářská práce
Autor:
Bc. Zdeněk Píbr, DiS. Informační technologie, Správce IS
Vedoucí práce:
Praha
Ing. Jan Háněl
Červen, 2010
Prohlášení:
Prohlašuji, že jsem bakalářskou resp. diplomovou práci zpracoval samostatně a s použitím uvedené literatury.
V Praze dne 15.6.2010
Zdeněk Píbr
Poděkování: Na tomto místě bych rád poděkoval především vedoucímu této práce, panu Ing. Janu Hánělovi za jeho odborné vedení, konzultace, rady a podnětné připomínky pro zlepšení a také trpělivost.
Anotace práce: Bakalářská práce je rozdělena na část teoretickou a praktickou. Teoretická část se soustředila na vymezení vývoje oblasti telekomunikačních a informačních systémů v čase a vysvětlení obsahu těchto pojmů. Jsou zde vyspecifikována a podrobně popsána nejpoužívanější zařízení a metody v oblasti telekomunikací a IT, která se v současnosti objevují na trhu. V praktické části práce je na základě těchto informací sestaven hrubý rámec pro postup návrhu telekomunikačního systému v praxi. Tento postup je popsán a jsou zde vysvětleny principy funkce telekomunikačního systému a nastíněna možná řešení vyskytnuvších se problémů.
Annotation of work: This work is divided into theoretical and practical. Theoretical is focused on defining the development of telecommunication and information in time and explained the content of these concepts. Most commonly equipment and methods used in telecommunication and IT, which is currenty emerging on the market are specified and described in detail here. In the practical part a rough framework for process design of the telecommunication system in practise is compiled based on the information. This procedure is described and the principles of the telecommunication systems functions are explained and outlined possible solutions to problems that occured.
OBSAH: Úvod ................................................................................................. 6 1. 2.
Cíl práce ............................................................................................................. 8 Vývoj a popis telekomunikací a informačních technologií ........................... 9 2.1. Historický vývoj .................................................................................................... 9 2.1.1. Vývoj telefonie ............................................................................................ 10 2.1.2. Vývoj telegrafie ........................................................................................... 14 2.1.3. Vývoj informačních technologií .................................................................. 17 2.1.3.1. Vývoj počítačů............................................................................................. 17 2.1.3.2. Vývoj počítačových sítí ............................................................................... 19 2.1.3.3. Vývoj síťových prvků .................................................................................. 21 2.2. Popis používaných technologií ............................................................................ 22 2.2.1. Server ........................................................................................................... 22 2.2.1.1. SBC (Session Border Controller) ................................................................ 38 2.2.1.2. Router .......................................................................................................... 39 2.2.2. Switch .......................................................................................................... 40 2.2.3. Firewall ........................................................................................................ 43 2.2.4. VoIP ............................................................................................................. 47
3.
Skutečný telekomunikační systém ................................................................. 48 3.1. Přípravná fáze projektu........................................................................................ 49 3.1.1. Zjišťovací fáze ............................................................................................. 49 3.1.2. Preinstalační fáze ......................................................................................... 50 3.2. Návrh sytému....................................................................................................... 51 3.2.1. Návrh obecného blokového schématu systému ........................................... 52 3.2.2. Přístup k síti ................................................................................................. 54 3.2.3. Druhy přístupu k síti .................................................................................... 55 3.2.4. Přístup k pobočkám (VPN) ......................................................................... 57 3.2.5. Návrh zákaznické lokality ........................................................................... 58 3.2.6. Instalace a předání ....................................................................................... 61
4. Závěr ................................................................................................................. 62 Seznam použité literatury ...................................................................................... 63 Seznam použitých obrázků .................................................................................... 65 Seznam použitých zkratek ..................................................................................... 67 Seznam Příloh ......................................................................................................... 70
5
ÚVOD Problematiku využití informačních technologií v telekomunikacích jsem si vybral z důvodů osobních i obecně zřejmých. K této oblasti mám velmi blízko nejen díky studiím a zájmům, ale i profesnímu působení v tomto oboru. Důvody obecné lze nalézt především v současné situaci, kdy dochází k digitalizaci a virtualizaci reálného analogového světa. Tento trend působí nejen napříč trhem IT. Umožňuje sice stále kvalitnější zpracování a přenos dat, využitím stále modernějších a kvalitnějších technologií, které jsou však také mnohem složitější, dražší, náročnější na správu a tedy i poruchovější, než ty staré. Ale na druhou stranu poskytuje těchto informací tolik, že je problematické s nimi účinně pracovat a postupně se z nich zpátky začínají stávat data. Spolu se zvyšováním výkonnosti dochází i ke zmenšováním rozměrů veškerých technologií na co nejnižší možnou úroveň, při které v té dané době jsou ještě schopny fungovat. Tento trend, který je příjemný především pro koncové uživatele techniky, může být mnohdy velkým problémem při správě takových zařízení. Tato již mnohdy nemohou být opravena klasickým způsobem nebo se to jednoduše nevyplatí, například díky nákladům na náhradní díly (součástky) a jediné řešení je výměna celého prvku. Největší změny se udály na poli telekomunikací především na přelomu tisíciletí, kdy u nás všichni zprostředkovatelé datové konektivity a poskytovatelé telekomunikačních služeb začali na plno využívat moderní infrastruktury, vybudované většinou v 90. letech 20. století. V tuto chvíli začala být snímaná i přenášená data digitalizována, čímž se otevřel nový svět pro výměnu informací mezi uživateli těchto služeb. Jedním z důvodů, proč zrovna obor telekomunikací je největším hráčem na trhu informačních systémů jsou velké investice do těchto technologií a potřeba využívání stále nových. Tímto se samozřejmě také, ať už přímo nebo nepřímo podílejí na rozvoji a vývoji ICT. V poslední dvou letech je trend spíše opačný. Jelikož se do IT vždy investovaly nemalé prostředky a investoři ne vždy rozuměli této problematice, byly tyto technologie jednou z prvních oblastí, na kterých se začalo, v období po celosvětové finanční krizi šetřit ve velkém. V současnosti je stav takový, že v oblasti podnikového vedení je snaha o snižování nákladů na informační technologie, při zvýšeném nebo minimálně stejném výkonu, jako před provedením tohoto upgrade. Důraz tedy bude kladen například na spotřebu jednotlivých zařízení. Samozřejmě bude vyvíjen další tlak na snižování cen technologií, což sebou přinese odliv výroby dále na východ. 6
I na českém trhu se velké změny udály v době nedávno minulé, především v uplynulých dvou letech, která byla ve znamení akvizic, fúzí a změn vlastníků. Velké společnosti ukázaly, že jejich strategie nespočívá pouze ve zkvalitňování poskytovaných služeb a souboji ve svém segmentu, ale i v redukci konkurence menších firem, což předvedly právě výše zmíněnými kroky. Hlavním znakem posledních let, který však úzce souvisí s předchozím, je sjednocování firemních postupů a integrace aktivit veškerých dceřiných společností pomocí informačních technologií tak, aby došlo ke zjednodušení a úsporám nákladů.
7
1. CÍL PRÁCE Tato bakalářská práce má tedy za úkol blíže popsat a upřesnit současnou situaci na telekomunikačním trhu a dále také specifikovat a objasnit funkci nejpoužívanějších technologií, jenž se vyskytují v moderních instalacích informačních technologií na poli telekomunikací. Pro získání určitého přehledu o změnách ve využívání informačních technologií v tomto segmentu budou v další části práce určeny a popsány rozdíly současného stavu a fází historického vývoje na trhu s telekomunikacemi a bude nastíněn vývoj tohoto oboru lidské činnosti. Pro představu o skutečném stavu a využití těchto technologií v praxi, v této práci nebude chybět ani praktický příklad návrhu telekomunikačního systému spolu s jeho podrobným popisem.
8
2. VÝVOJ A POPIS TELEKOMUNIKACÍ A INFORMAČNÍCH TECHNOLOGIÍ Telekomunikace se v obecném smyslu slova zabývá předáváním informací na dálku a někdy také bývá označována jako sdělovací technika a může tím být chápán jak druh dopravy, tak i technologie sloužící k dorozumívání. Probíhá buď mezi dvěma samostatnými subjekty nebo se může jednat o komunikaci jednoho odesílatele s několika příjemci. Zde se jedná o specifický druh elektronické komunikace a v tomto konkrétním případě to bude přenos dat pomocí sítě internet. Přístup do této sítě je zprostředkován zpravidla pomocí pevných sítí, což jsou především optické a metalické linky (lze sem začlenit i bezdrátové radiové spoje) a dále z mobilních sítí, kam patří základnové stanice a jejich mobilní klienti. Obor telekomunikací využívá informačních technologií ke svému chodu a tyto pojmy spolu tedy úzce souvisejí. V České republice se zabývá legislativní stránkou problematiky telekomunikací institut, zvaný Český telekomunikační úřad (ČTÚ), který se stará o vývoj telekomunikací v rámci regionu České republiky a jeho usměrnění v závislosti na parametrech prostředí (osídlení apod.) a udržitelného rozvoje. Je limitován především zákonnými normami evropského společenství (ekologické, hygienické a další).
2.1.
Historický vývoj
Stejně jako každý obor lidské činnosti byly v čase i telekomunikace a informační technologie podrobeny určitému vývoji. V tomto případě byl však vývoj velmi radikální a má stále zrychlující se tendenci.
9
2.1.1.
Vývoj telefonie
Počátky vývoje telefonie, neboli přenos hlasu na dálku (z řeckého tele = vzdálený a fon = hlas) by se daly datovat do konce 10. století (konkrétně rok 968), kdy však tento první známý přístroj, zvaný trubkový telefon, vynalezen Číňanem Kung-Foo-Whingem, samozřejmě nemohl ještě pracovat na elektrickém, nýbrž na mechanickém principu. Jak již z názvu vyplývá, jednalo se o spojení dvou konců, odkud bylo typicky za potřebí provádět hovory, trubkou, která nesla hlas na určitou vzdálenost. Tato ovšem nemohla být nekonečně dlouhá, především kvůli zkreslením, která byla přímo úměrné její délce. Díky tomu se dosáhlo značného rozšíření tohoto vynálezu především v lodní dopravě. Prvními „opravdovými“ telefonními přístroji s „téměř neomezeným“ dosahem komunikace byly vynálezy na elektrickém principu snímání a přenosu hlasu. Jako vynálezcem telefonu byl ještě donedávna označován Američan Alexander Graham Bell, který svůj výrobek sestrojil v roce 1876, avšak na počátku 21. století bylo prvenství přiřčeno Italovi Antoniu Meuccimu, který prokazatelně vlastnil telefonní přístroj již od roku 1849. Princip tohoto prvního telefonu byl v rozkmitání membrány s permanentním magnetem v cívce, jenž toto kmitání, dle elektromagnetického zákona převedla na elektrický proud ve vodičích cívky (v části zvané mikrofon), který přes „telefonní dráty“ prošel k zařízení na druhé straně, kde proběhl opačný jev, tedy převod na zvuk.
Obr.1: Bellův telefon - Centennial Model (zdroj: www.converter.cz/fyzici/bell-telefon.png)
10
Důležitým pojmem v této oblasti jsou ústředny a pobočkové ústředny, které prošly také radikálním vývojem. Na konci druhé poloviny 19. století byla v USA zprovozněna první, manuálně přepínaná telefonní ústředna, která se po necelých dvou desetiletích dočkala úpravy na automatizovanou (princip pulzního přepínání). Od této chvíle prošly telefonní ústředny vývojem od synchronních (systémy s krokovými voliči), přes asynchronní (systémy, které nejprve číslo ukládají do registru a po jeho analýze zahájí výstavbu spojení), až po současné plně digitální IP ústředny, pracující na principu posílání paketů pomocí softwarového propojování kanálů.
Obr.2: Telefonní ústředna (zdroj: http://www.cetoraz.info/apps/gallery2/d/38020-2/img_1792.jpg)
Obr.3 a 4: Synchronní ústředna a otočný krokový volič (zdroj: http://maturita-ztd4.kvalitne.cz/SdT/05.doc)
11
S digitálními telefonními ústřednami úzce souvisí pojem ISDN (Integrated Services Digital Network), respektive v současnosti EURO-ISDN, což je systém sloučení určitého počtu přenosových kanálů do jednoho. V současnosti jsou telefonní sítě, včetně telefonních ústředen již plně digitalizovány, takže poslední analogovou částí tedy zůstává účastnická přípojka, kde se provádí analogově digitální převod a naopak pomocí modemu (ze slov modulátor a demodulátor). Pomocí ISDN je tedy, díky využití většího počtu kanálů možné přenášet zároveň hlas, text i obraz. ISDN nabízí dva typy přípojek, a sice BRI (Basic Rate Interface), která nabízí možnost připojení až 8 koncových zařízení a označuje se 2 B+D a PRI (Primary Rate Interface), jenž je určen pro připojení pobočkových ústředen a je označován 30 B+D (v USA a Japonsku pouze 23 B+D). Každý z kanálů B má přenosovou rychlost až 64 kbps a je určen pro přenos aktivní části zprávy a kanál D je určen pro signalizaci a má rychlost 16 kbps v PRI, resp. 64 kbps v BRI.
Obr.5: Možnosti přístupu přes ISDN (zdroj: http://www.bernkopf.cz/skola/predmety/cisco/materialy/ prezentace/4_04_isdn_ddr.ppt#268,7,ISDN Access Options)
Další revolucí v oblasti telefonie byly úspěšné pokusy o bezdrátový mobilní přenos hlasu. Jedny z prvních snah o mobilní komunikaci byly uskutečněny v první polovině 20. století a byly určeny pro ozbrojené a záchranné složky. Nevýhoda těchto prvních zařízení byla nejen ve vysoké pořizovací ceně, ale také ve velkých rozměrech, vysoké hmotnosti (především díky bateriím, z důvodu mobility) a v neposlední řadě v krátkém dosahu komunikace se základnovými stanicemi. Mobilní komunikace, téměř tak, jak je známá dnes se začala rozvíjet v 70. letech 20. století a její růst rychle předčil růst pevných 12
telefonních sítí především proto, že náklady mobilních sítí souvisí s objemem hovorů, zatímco náklady sítí pevných především s počtem účastníků. Mobilní telefony využívají převážně sítě GSM, která je dnes na frekvencích 800, 1800 a 1900 MHz a jsou typické tím, že fungují v celulárním systému, kdy každou buňku obsluhuje jedna základnová stanice a při přechodu mezi nimi si účastníka v určitém okamžiku „předávají“. Srdcem každého mobilního telefonu je SIM karta, která nese unikátní kód a pomocí níž se uživatel v síti identifikuje u operátora.
Obr.6 a graf 1: Mobilní telefon a počet uživatelů mobilních telefonů na 100 obyvatel mezi lety 1997 a 2007 (zdroj: http://cs.wikipedia.org/wiki/Mobiln%C3%AD_telefon)
Snad posledním velkým posunem v oblasti telefonie by se dal nazvat Voice over Internet Protocol (zkratkou VoIP). Tato technologie využívá protokolů UDP/TCP/IP pro přenos hlasu, převedeného do digitální podoby prostřednictvím datového spojení. Zde ovšem nastává problém s nízkou kvalitou některých připojení a tedy s horším přenosem hlasu. Z toho vyplývá, že je zapotřebí definovat určité parametry pro šířku přenosového pásma nebo také kvalitu služeb, označované QoS. V současnosti lze kombinovat tuto službu s využíváním mobilních telefonů pomocí technologie zvané UMA (Unlicenced Mobile Access), která umožňuje těmto zařízením funkci nejen přes síť GSM, ale i například i pomocí protokolu třídy 802.11, tedy pomocí WiFi.
13
2.1.2.
Vývoj telegrafie
Od počátku existence lidstva byl dosah komunikace přímo závislý na vzdálenosti, na kterou byl slyšitelný lidský hlas. S tím se samozřejmě člověk nemohl spokojit, ať už z důvodů potřeby komunikace se svým okolím při vzdálení se od sídla nebo při obraně obydlí a podobně. Proto začalo docházet k rozvoji komunikace na delší vzdálenosti, neboli telekomunikace (z řeckého tele = vzdálený). Ať už se jednalo o signalizaci optickou, která vyplývala z předpokladu, že člověk dohlédne dále, než slyší nebo sluch je v hlučném prostředí zkreslen (např. praporová signalizace) nebo akustickou (např. využívání přírodních zesilovačů hlasu – zvuku), vždy bylo značným omezení okolní prostředí (viditelnost, hluk apod.). První velký zlom v dálkové komunikaci nastal po vynalezení galvanického článku, kdy lidé začali využívat k dorozumívání elektrických impulzů. Tyto byly odesílány pomocí speciálních zařízení, zvaných telegraf, jenž byl vynalezen na začátku 19. století. Bylo však nutné mezi těmito koncovými body (telegrafy) natáhnout vodič, po kterém by elektrické impulzy mohly mezi vzdálenými místy putovat, což z dnešního pohledu komunikaci značně komplikovalo. Jelikož v té době nebylo z důvodu nerozvinutých technologií možné vysílat a přijímat informace ve formě lidského hlasu, jako je tomu dnes, bylo zapotřebí vymyslet určitý kód, který bude možno přenést pomocí současných systémů a bude srozumitelný pro všechny.
Obr.7: Baudotův telegraf (zdroj: www.converter.cz/fyzici/baudot_telegraf.jpg)
14
Po technologickém zvládnutí simultánního vysílání více signálů, neboli na vysílací straně multiplexování a na straně přijímací demultiplexu signálu byl vynalezen dálnopis nebo také telex, který nejenže byl mnohem rychlejší, než dosavadní komunikační zařízení, ale zároveň i dokázal vysílat a přijímat zprávy ve formě znaku a ne jen kódu. Bylo to v polovině 19. století a jedním z hlavních představitelů zde byl Francouz Émile Baudot, jenž vytvořil základní 5-ti místný kód pro dálnopis a po němž byla pojmenována základní jednotka modulační rychlosti (1 baud). Hlavní éra dálnopisu byla ve světě v období 20. a 30. let 20. století, i když v některých zemích, včetně České republiky, bylo možné spatřit funkční ještě na přelomu tisíciletí. Dálnopisy položily základní kamen pro vznik prvních počítačových terminálů především proto, že kód, používaný v dálnopisném přenosu byl prapůvodcem současných kódů pro sériový přenos.
Obr.8: Dálnopis Hellschreiber (zdroj: http://cs.wikipedia.org/wiki/Soubor:Fernschreiber_T100_Siemens.jpg)
Za moderního nástupce dálnopisu se označuje telefaxový přístroj nebo také zkráceně fax, jak je znám dnes. Historie tohoto přístroje však sahá až do konce první poloviny 19. století, kdy skotský vynálezce Alexander Bain předvedl objev, zvaný záznamový telegraf. Tento přístroj fungoval na principu přenášení informace pomocí kovové jehly na elektricky vodivou podložku na straně vysílací a elektrochemické reakce barvy na straně přijímače. To se tedy událo ještě dlouho před tím, než Alexander Graham Bell vynalezl a patentoval svůj vynález, telefon (1876), a než se tyto přístroje začaly běžně využívat. Od té doby docházelo k různým vylepšením tohoto systému od pantelegrafu, přes bezdrátový fotoradiogram, až po první, téměř v dnešní podobě známý fax, který šel připojit na klasickou telefonní linku, po které dokázal komunikovat. Tento, mnohem menší 15
a jednodušší přístroj, než všechny doposud známé a používané poprvé představila společnost Rank Xerox v roce 1961 pod názvem Magnafax Telecopier. Faxy si získaly největší oblibu od konce 70. let 20. století, kdy došlo, především v Japonsku, k jejich zjednodušení, zlepšení výbavy, ale i zvýšení přenosové rychlosti, z důvodu započetí využívání komprese přenášených dat. Díky využívání stále dokonalejších forem modulací a kódování se přenosová rychlost stále zvyšuje až k dnešním desítkám kbps. Dnešní faxy využívají skenování obrazu, rozloženého na pixely, které se v binární podobě odesílají na jiný telefax, kde se většinou vytisknou pomocí tepelného tisku na teplocitlivý papír. I když jsou telefaxové přístroje stále velmi populární, tak v současnosti se z důvodu šetření nákladů stále více využívá služby faxu přes internet, či odesílání emailů s naskenovanou přílohou.
Obr.9: Fax Canon B820 (zdroj: www.top-can.cz/stroje/gfx/b820.gif)
Specifickým přístrojem a způsobem pro mobilní získávání informací je pager, což je malé přenosné zařízení s displejem, jenž je schopno pouze přijímat data. Existují dvě varianty, a sice numerický pager, který je schopen přijímat a zobrazovat pouze čísla a textový pager, jenž umí přijímat textové zprávy. Tyto je možno posílat jak jednotlivě, tak i hromadně. V České republice existují dvě pagingové sítě, z nichž jedna je analogová (RDS) a druhá digitální (ERMES). Tento způsob komunikace je dodnes využíván a rozšířen především v USA, v České republice již ustoupil mobilním telefonům, jež mohou konkurovat například SMS zprávami.
16
Obr.10: Pager Respond P2000 (zdroj: www.respond.nl/pager.jpg)
2.1.3.
Vývoj informačních technologií
Jak už bylo řečeno výše, informační technologie a telekomunikace k sobě mají v současnosti velmi blízko, avšak nebylo tomu vždy tak. Informační technologie jsou obecně tedy veškeré technologie, sloužící člověku pro získávání informací. Z tohoto pohledu je to tedy velmi široký pojem a je třeba ho určitým způsobem omezit. V tomto konkrétním případě nemá příliš smysl se zabývat například vývojem televizní a rozhlasové techniky, nýbrž především historii počítačů, počítačových sítí a prvků tyto dva světy propojujících.
2.1.3.1.
Vývoj počítačů
Prvním „opravdovým“ a světově uznávaným počítačem byl tzv. Analytical Engine, který na konci první poloviny 19. století navrhl, avšak nikdy nesestrojil Charles Babbage. Tento stroj uměl základní aritmetické operace, jenž počítal automaticky, již podle moderních principů, mohlo se zasahovat do běhu programu a dokonce počítal s možností větvení podprogramů. K většímu rozvoji a vývoji počítačové techniky došlo až v období druhé světové války, a to nejen ve spojeneckých zemích, ale i v nacistickém Německu. Toto období bývá nazýváno tzv. nultou generací počítačů a nejznámější stroj z této doby je tzv. Harvard Mark I, který byl sestrojen týmem Howarda H. Aikena. Vážil 5 tun, byl dlouhý 16 metrů, obsahoval skoro 800 tisíc součástek a stejně tolik metrů drátových spojů a údajně pomáhal s výpočty při vývoji první jaderné zbraně. Pouhý jeden rok po uvedení tohoto počítače do provozu byl vyvinut a sestrojen další, dokonalejší stroj, tentokrát již 17
označován jako počítač 1. generace, zvaný ENIAC. Byl sestrojen za pomoci známého matematika John von Neumanna, vážil 30 tun, zabíral plochu 300 m2 a jeho spotřeba se pohybovala okolo 140 kW. Po neshodách v týmu Neumann odešel a vytvořil tzv. MANIAC, který se podílel na vývoji vodíkové pumy. Prvním sériově vyráběným počítačem se však stal UNIVAC firmy Remington, jenž byl sestrojen konstruktéry ENIACu, Eckertem a Mauchlym v polovině 20. století. U druhé generace počítačů se již začínají objevovat programovací jazyky, z nichž ten úplně první se nazýval Short code. Za zmínku stojí i další, jako Fortran, Algol, či Basic. V roce 1955 byl uveden na trh firmou Bell Laboratories první počítač osazený tranzistory (Tradic), což byl druhý znak počítačů této generace. Třetí generace počítačů se vyznačovala vynálezem integrovaných obvodů a magnetické bublinkové paměti, což podstatně zmenšilo rozměry, zahřívání a zvýšilo výkonnost stroje. Dokonce se začalo hovořit o prvních osobních počítačích se zobrazovací jednotkou vytvořenou z LED diod, za čímž stála také firma IBM. V neposlední řadě byl vyřčen tzv. Moorův teorém, kdy hlavní myšlenka byla, že výkonnost a kapacita integrovaných obvodů se každých 12-18 měsíců zdvojnásobí a začalo se používat výrazu PC (zkratky z anglického Personal Computer = osobní počítač). Začátkem 70. let 20.století se začala datovat zatím poslední, 4. generace počítačů, nyní již využívajících mikroprocesorů (CPU) k řízení chodu celého systému. Tato trvá dodnes i přes to, že vývoj pokročil o mnoho dále, přičemž jednou ze společností, která je toho hlavním důvodem bývá označována Microsoft Billa Gatese. Tato uvedla první operační systém MS-DOS, který velmi zjednodušoval práci s počítačem, protože už nebylo nutné si ho sám nakonfigurovat. Tento systém ovšem není přímo z dílny Microsoft, poprvé ho představilo IBM, ale z dnešního pohledu je již původ zapomenut. V průběhu vývoje těchto technologií se částečně dedikovala větev výkonných strojů (ne superpočítačů), které byly mnohem dražší než standardní běžně používané osobní počítače a používaly se ke specifickým oblastem lidské činnosti. Tyto počítače jsou nyní nazývány servery a jsou používány ke zpracování velkého objemu dat, především v podnikových systémech.
18
Obr.11: Osobní počítač (zdroj: http://encit.wz.cz/)
2.1.3.2.
Vývoj počítačových sítí
Informační systémy se tedy začaly telekomunikacím více blížit až s rozvojem počítačových sítí. Za první pokusy o položení základu počítačových sítí by se dalo považovat sestrojení modemu v druhé polovině 60. let. Tento byl sice určen pro terminálovou komunikaci se sálovými počítači a vykazoval maximální rychlost 110 bps, ale jeho následnými úpravami, především využitím mikroprocesoru v roce 1981 se vývojem dostal až do dnešní podoby a téměř univerzálnímu použití při propojování téměř jakýchkoliv prvků, či systémů.
Obr.12: Modem (zdroj: http://www.obrazky.cz)
19
První velké snahy o vytvoření počítačové sítě začaly nabírat reálných podob v 60. letech 20. století, kdy vláda USA projevila zájem o propojení nejvýznamnějších vládních, armádních a vědecko-výzkumných počítačů sítí, která by byla decentralizovaná a byla tedy odolná proti výpadkům kteréhokoliv uzlu a zároveň dovolovala komunikovat každému bodu v síti s každým. Takovouto síť sestavili v roce 1968 ve výzkumném ústavu ve Velké Británii a krátce na to sestavila podobnou síť, zvanou ARPANET i americká armádní. Hlavním využitím této sítě byla elektronická pošta a vědecké konference, přičemž raketově rostl zájem o ní. Kolem roku 1983 dosáhl počet uživatelů 1 000, za další 4 roky 10 000, v roce 1989 100 000 a 1 000 000 o další tři roky později. Z tohoto trendu je zřejmé, že bylo nutné začít řešit identifikaci v síti, což se podařilo v roce 1984 zavedením tzv. doménového systému DNS, který je funkční dodnes. Dalším krokem, tentokrát v roce 1985, bylo vytvoření páteřní sítě, neboli program NSFNET, jehož principem bylo propojení 5 superpočítačových center v USA a začala komercializace sítě. Od roku 1987 se již pro označování této supersítě používá pojem Internet. Na začátku 90. let se začínají připojovat i vládní instituce, jako například Bílý dům a samozřejmě také první komerční firmy. V roce 2006 dosáhl počet uživatelů po celém světě více než 1 miliardu a tento počet stále narůstá..
Graf 2: Vývoj počtu uživatelů Internetu na 100 obyvatel v letech 1997-2007 (zdroj: http://cs.wikipedia.org/wiki/Soubor:Internet_users_per_100_inhabitants_1997-2007_ITU.png)
20
2.1.3.3.
Vývoj síťových prvků
K rozvoji Internetu samozřejmě patří i rozvoj síťových technologií, sloužících k přenosu uživatelských dat po fyzických linkách (optické, metalické, bezdrátové, ...). Mezi základní a nejdůležitější zařízení patří modemy, routery a switche, které se de facto starají o chod „sítě sítí“. Z dalších technologií pro podporu komunikace lze vyjmenovat firewally, mediagatewaye (převod analogového a digitálního signálu) nebo také bezdrátové access-pointy a další. Myšlenka vytvoření brány (jak se tehdy router nazýval) vznikla ve skupině International Network Working Group, jenž se zabývala vývojem sítí. Vůbec první zařízení, jenž v podstatě fungovalo stejně jako dnešní router (tzv. packet switch), byl Interface Message Processor (IMP). Byla to zařízení, propojující jednotlivé části ARPANETu (počítačové sítě, které jako první začala využívat systému přepínání paketů). Od předchozích obdobných zařízení se lišila tím, že spojovala různé druhy sítí (například sériové linky a LAN) a také se žádným způsobem nepodílela na utváření spojení, ani na zajišťování spolehlivosti doručování zpráv. Tyto úlohy byly zcela ponechány na koncových bodech (již dříve použito v sítích CYCLADES). Xerox routery byly uvedeny do provozu někdy na začátku roku 1974. První opravdový IP router byl vyvinut vývojářkou Virginia Strazisar z firmy BBN v období mezi rokem 1975 až 1976. Koncem roku 1976 sloužily tři PDP-11 (série 16-bit minipočítačů) propojené routery v experimentálním modelu internetu. První multiprotokolové routery byly nezávisle vytvořeny skupinou vývojářů na MIT (Massachusetts Institute of Technology) a Stanfordu v roce 1981; Stanfordský router byl vyvinut Williamem Yeagerem a MIT router Noelem Chiappem. Faktem je, že v současné době již většina počítačových sítí používá protokol IP. Multiprotokolové routery jsou už většinou zastaralé. Byly důležité v počátečních fázích vývoje počítačových sítí, kde byly hodně využívány jinými protokoly než byly TCP/IP. Routery, které zvládnou IPv4 i IPv6 jsou pravděpodobně multiprotokolové, ale v mnohem užším smyslu, než routery, které zpracovávaly AppleTalk, DECnet, Xerox a IP protokoly. V původní éře routování (od poloviny 70-tých až do 80-tých let) sloužily jako routery víceúčelové minipočítače. Přestože víceúčelové počítače mohou provádět směrování (routing), moderní high-speed routry jsou vysoce
21
specializované počítače, většinou se speciálním hardware, který urychluje hlavní routovací funkce, jako je odesílání paketů a specializované funkce jako šifrování IPsec.1
Obr.13: WiFi router Linksys (zdroj: http://cs.wikipedia.org/wiki/Soubor:Router.jpg)
2.2.
Popis používaných technologií
Z důvodu používání rozmanitých druhů zařízení, budou v této kapitole blíže popsány pouze ty nejpoužívanější, a sice především z hlediska jejich principálního chování a funkce.
2.2.1.
Server
V informatice se počítač nebo počítačový program, který poskytuje uživateli (klientovi) nějaké služby nebo tyto služby určitým způsobem realizuje, nazývá server, na rozdíl od unixových systémů (Linux, Unix, ) nebo Windows, kde bývá označován jako démon, resp. služba. Tento počítač však z pravidla bývá řádově výkonější, než běžně používané osobní počítače (především v oblasti kapacit pamětí a výkonu procesoru). Služby server poskytuje klientům, což označujeme jako model klient-server (odlišné modely jsou peer-to-peer nebo friend-to-friend). Služby mohou být nabízeny v rámci jednoho počítače (lokálně) nebo více počítačům pomocí počítačové sítě (síťové služby). 1
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010
[cit. 2010-05-09]. Dostupný z WWW:
.
22
Lokální službou může být například obsluha připojené tiskárny, správa automatických aktualizací a podobně. Služby, které server poskytuje v lokální síti (LAN) může být například sdílení disků, tiskáren nebo schopnost ověřit uživatele podle jména a hesla (autentizace). Ve větších sítích, jako je Internet, servery uchovávají a nabízejí webové stránky a poskytují další služby (DNS, e-mail atd.). Poskytování služby zajišťuje speciální program. V unixových systémech je označován jako démon (anglicky daemon), v Microsoft Windows pak jako služba (anglicky service), který s klientem komunikuje pomocí definovaného protokolu (SMB pro sdílení disků a tiskáren ve Windows, HTTP pro webový server a podobně). Mnoho firem (Dell, Hewlett-Packard, IBM, …) nabízí speciální počítače, které označuje jako servery určené pro domácnosti, malé, střední, větší firmy a podobně. Jedná se však o klasické počítače (většinou IBM PC kompatibilní), avšak často s doplňujícími možnostmi, ve vyšší kvalitě, delší zárukou, prodejními službami nebo rychlejším servisem v případě poruchy. Takový počítač může mít možnost osazení rychlejšími procesory, větším množstvím paměti, jejich hardware může být pečlivěji vyroben a testován, mohou obsahovat záložní (redundantní) komponenty (dva zdroje, diskové pole RAID, …), speciální monitorovací software a podobně. Hlavní rozdíl mezi osobním počítačem a serverem je ve vybavení programy (software). Současné operační systémy jsou obvykle univerzální a mohou sloužit jako osobní počítač i jako server. Rozdíl je pak v jejich nastavení, kdy u osobních počítačů je preferována interaktivita (počítač rychle reaguje na požadavky uživatele) a u serverů se klade důraz na škálovatelnost (schopnost dosažení co nejvyššího výkonu). Z obchodního hlediska jsou některé komerční produkty odlišovány (Windows Vista a Windows Server 2008, produkty firmy Microsoft). Cílem je dosáhnout vyšší ceny u produktů, které jsou určeny pro firemní prostředí a naopak nižší ceny u produktů, které jsou určeny pro běžného uživatel (srovnej např. Windows Vista Starter, Home Basic, Bussines, Ultimate). Z hlediska softwarového vybavení jsou u serverové edice navíc některé programy, které zajišťují poskytování síťových služeb. Stejně tak u produktů určených pro domácí prostředí chybí komponenty nutné pro použití ve větších (firemních) sítích. Open source software jako je Linux, FreeBSD, Solaris a další, umožňují uživateli volně měnit nastavování operačního systému nebo přidávat doplňující aplikace (a všechny údaje jsou volně k dispozici). I přes to jsou například některé distribuce Linuxu rozlišeny
23
pro desktop a na server. Serverové mohou mít například delší dobu podpory, desktopové se orientují na vyšší pohodlí uživatele.2 Servery bývají umístěny buď volně v místnosti nebo v tzv. racku (instalační skříň pro síťové prvky a informační technologie) ve speciální místnosti, která je označována jako serverovna a je určena především pro umisťování informačních technologií. Pokud jde o profesionální řešení větších rozměrů, a především o specializované servery vysokých výkonů, umisťují se tyto na datový sál, který bývá opatřen klimatizací, zabezpečovacím, hasicím zařízením a dalšími prvky aktivní i pasivní bezpečnosti. Tyto jsou umístěny přímo ve firmách, ale jsou i společnosti, které se specializují na pronájem takových prostor nebo i serverů a v závislosti na využívané službě, pak tyto prostory jsou: housingové centrum – umisťování vlastních technologií do pronajatého prostoru. hostingové centrum – umisťování vlastních systémů a aplikací do pronajatých technologií. Toto řešení je využíváno především společnostmi, které potřebují zajistit vysoký standard zajišťovaných služeb a bezpečnosti pro svá data a vlastní datové centrum je pro ně příliš nákladné. Dalšími variantami je poskytování jen části výkonové kapacity a lze je rozdělit na: webhosting – instalace a správa vlastních aplikací na HW a systému poskytovatele pronájem virtuálního serveru – na fyzický server je instalován speciální OS, pomocí kterého lze rozdělit výkonovou kapacitu pro několik zákazníků tak, že budou mít přesně takový výkon, který potřebují a že se navzájem nemohou ovlivňovat. Z hlediska využití, buď různým počtem klientů lze servery dělit na: dedikovaný – využívá ho pouze jeden klient nebo je využíván pouze pro jednu specifickou činnost nededikovaný – používá se sdílení kapacity pro více uživatelů, případně je využíván více odlišnými způsoby (např. jako server, ale i jako osobní počítač)
2
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-07-09]. Dostupný z WWW: .
24
Další možné dělení je serverů je z hlediska jejich použití na: webový server – především v síti Internet poskytuje WWW stránky souborový server – slouží např. v podnikové síti jako centrální úložiště dat (dokumentů) databázový server – slouží jako úložiště strukturovaných dat (databází) tiskový server – zpřístupňuje počítačové tiskárny faxový server proxy server – zprostředkovává přístup do jiné sítě (např. Internet) aplikační server – počítač specializovaný na provoz nějaké aplikace herní server – nabízí hraní her s více hráči (multiplayer) oficiální server - přímo podporován firmou, která hru vydala neoficiální server - nepodporován firmou, která hru vydala, většinou soukromý a další3
Obr.14: Rack se servery (zdroj: http://cs.wikipedia.org/wiki/Server)
3
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-09]. Dostupný z WWW: .
25
TACACS (Terminal Access Controller Access-Control System, česky systém řízení přístupu k řadiči terminálového přístupu) je vzdálený autentizační protokol používaný ke komunikaci s autentizačním serverem. TACACS umožňuje vzdálenému přístupovému serveru komunikovat s autentizačním serverem, aby se rozhodlo, zda má uživatel přístup k síti. TACACS umožňuje klientu přijmout uživatelské jméno a heslo a poslat požadavek na TACACS autentizační server, v případě Unixu zvaný TACACS démon nebo jen TACACSD. Tento server rozhodne zda přijmout nebo zamítnout pořadavek a pošle zpět odpověď. Takto je rozhodovací proces otevřený a algoritmy a informace k němu použité jsou zcela na tom, kdo provozuje TACACS démona. Novější verze TACACS od roku 1990 byly nazývány XTACACS nebo extended (rozšířený) TACACS. Obě verze již byly většinou nahrazeny novějšími protokoly TACACS+, RADIUS nebo DIAMETER. TACACS+ je zcela nový protokol, který není zpětně kompatibilní s protokoly TACACS nebo XTACACS.4 TACACS+ (Terminal Access Controller Access-Control System, česky kontrolor terminálového přístupu k systému řízení přístupu) je AAA protokol poskytující řízení přístupu k routerům, serverům pro přístup k síti a dalším síťovým zařízením, přes jeden nebo více centralizovaných serverů. TACACS+ poskytuje AAA služby odděleně. TACACS+ je založen na protokolu TACACS, nicméně jde o zcela nový protokol neporovnatelný s žádnou předchozí verzí TACACS a spojuje je jen jméno. Není tedy zpětně kompatibilní s protokoly TACACS nebo XTACACS. TACACS+ a RADIUS většinou nahradily své předchůdce protokoly v nově tvořených nebo aktualizovaných sítích, ačkoli TACACS a XTACACS stále běží na mnoha starších systémech. Zatímco RADIUS spojuje autentizaci a autorizaci v uživatelském profilu, TACACS+ tyto dvě operace odděluje. Dalším rozdílem je že zatímco TACACS+ používá spolehlivý Transmission Control Protocol (TCP) na portu 49, RADIUS používá nespolehlivý User Datagram Protocol (UDP). Rozšíření TACACS+ protokolu poskytují více typů autentikačních požadavků a více typů kódů v odpovědích než bylo v původní specifikaci.
4
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-16]. Dostupný z WWW: .
26
TACACS+ nabízí více protokolů jako jsou IP a AppleTalk. Běžně pracuje se zcela šifrovaným tělem paketu pro bezpečnější komunikaci. Jde o Cisco vylepšení původního TACACS protokolu.5
Obr.15: Příklad komunikace s TACACS+ a RADIUS (zdroj: http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml)
RADIUS (Remote Authentication Dial In User Service, česky Uživatelská vytáčená služba pro vzdálenou autentizaci) je AAA protokol (authentication, authorization and accounting, česky autentizace, autorizace a správa účtů) používaný pro přístup k síti nebo pro IP mobilitu. Může pracovat jak lokálně tak i v roamingu. Při připojení k poskytovateli Internetu pomocí vytáčeného připojení, DSL, nebo Wi-Fi je u některých poskytovatelů vyžadováno přihlašovací uživatelské jméno a heslo. Tato informace je poslána do takzvaného Network Access Server (NAS) zařízení přes Point-toPoint Protocol (PPP). Poté je předána RADIUS serveru přes RADIUS protokol. RADIUS server ověří pravost informace použitím autentizačních schémat jako PAP, CHAP nebo EAP. Pokud je uživatelské jméno a heslo přijato, server autorizuje přístup k poskytovateli internetu a vybere IP adresu (popřípadě rozsah adres) a další parametry spojení, což mohou být např. L2TP přihlašovací údaje, doba, po kterou může být uživatel připojen, rychlost
5
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-19]. Dostupný z WWW: .
27
připojení, kterou může uživatel používat, nebo jiná omezení. RADIUS protokol neposílá hesla mezi NAS a RADIUS serverem v čistém textu (ani při použití s PAP protokolem), používá se MD5 hašování. RADIUS server bude také upozorněn na spuštění nebo ukončení sezení, takže uživatel může platit přesně podle těchto RADIUS informací nebo mohou být tyto použity pro statistické účely. Tyto údaje mohou sloužit (při použití SIP přihlašovacích údajů z koncového VoIP zařízení) k účtování hovorů. RADIUS byl původně vyvinut společností Livingston Enterprises pro jejich PortMaster série Network Access Servers a později (1997) zveřejněny jako RFC 2058 a RFC 2059 (současné verze jsou RFC 2865 a RFC 2866). Nyní existuje několik komerčních a opensource RADIUS serverů. Vlastnosti se liší, ale většina umožňuje dohledávat uživatele v textových souborech, LDAP serverech, různých databázích a podobně. Účtovací informace se mohou zapisovat do textových souborů, různých databází, přeposílat na externí servery a podobně. SNMP je často používáno pro vzdálené monitorování. RADIUS proxy servery jsou používány pro centrální správu a mohou přepisovat RADIUS pakety za běhu (z bezpečnostních důvodů, nebo pro překlady mezi dialekty jednotlivých výrobců). RADIUS je jako autentizační protokol běžně používán v IEEE 802.1x bezpečnostním standardu (často používán v bezdrátových sítích). I když nebyl RADIUS původně vytvořen pro autentizační metody v bezdrátových sítích, vylepšuje WEP zabezpečení ve spojení s ostatními bezpečnostními metodami jako EAP-PEAP. RADIUS je rozšiřitelný a většina výrobců zařízení a software používají vlastní RADIUS dialekty.6 DIAMETER je AAA protokol (authentication, authorization and accounting, česky autentizace, autorizace a účtovací) používaný pro přístup k síti nebo pro IP mobilitu. Hlavní koncept tvoří základní protokol, který může být rozšířen pro poskytování AAA služeb novým přístupovým technologiím. Může pracovat jak lokálně tak i v roamingu. Protokol DIAMETER je rozšířeným následníkem protokolu RADIUS (o čemž svědčí okolnost, že diametr čili průměr je dvojnásobkem rádiusu neboli poloměru). Diameter není přímo zpětně kompatibilní, ale poskytuje rozšířenou cestu pro RADIUS. Hlavní rozdíly protokolu DIAMETER oproti protokolu RADIUS jsou:
6
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-22]. Dostupný z WWW: .
28
používá spolehlivý transportní protokol (TCP nebo SCTP, nepoužívá nespolehlivý UDP) může použít zabezpečení na transportní vrstvě (IPsec nebo TLS) podporuje přenos RADIUS má větší adresní prostor pro dvojice hodnot atributů (anglicky Attribute Value Pairs, AVPs) a širší identifikátory (32 bitové místo 8 bitových) jde o klient-server protokol, s výjimkou podpory některých zpráv inicializovaných serverem lze použít stavový i bezstavový model má dynamické objevování uzlů (používá DNS, SRV a NAPTR) má schopnost vyjednávání podporuje dohody na aplikační vrstvě, definuje metody odolávající chybám a stavové stroje (RFC 3539) oznamuje chyby má lepší podporu roamingu je snadněji rozšiřitelný; lze definovat nové příkazy a atributy je zarovnán na 32bitové hranice má základní podporu uživatelských sezení a účtování Základní protokol Diameteru (anglicky Diameter Base Protocol) je definován v RFC 3588. Určuje minimální požadavky AAA protokolu. Aplikace Diameteru (anglicky Diameter Applications) mohou rozšířit základní protokol přidáním nových příkazů nebo atributů. Aplikace zde není program, nýbrž protokol založený na Diameteru. Zabezpečení protokolu Diameter je poskytováno protokolem IPSEC nebo TLS.7 DNS (Domain Name System) zjednodušeně převádí IP adresy na URL (Uniform Resource Locator) a naopak. Řady jedinečných názvů domén mohou být sloučeny do kategorie pro vytvoření adresy URL (například www.whitehous.gov, www.cocacola.com nebo www.harvard.edu). Adresy URL jsou však jen zjednodušením pro lidské bytosti – nejsou skutečnými adresami IP. Počítače se při připojení k jiným počítačům v síti Internet na 32 bitové adresy IP, které fungují podobně jako telefonní čísla. Aby mohla být adresa URL 7
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-24]. Dostupný z WWW: .
29
použita k připojení k webovému serveru musí být převedena na adresu IP. Napíše-li se ve webovém prohlížeči adresa URL www.cocacola.com, je na nejbližší server odeslán požadavek , který vyhledá adresu URL a převede ji na IP adresu (v tomto případě na 209.98.82.71). Tato konverzace musí být provedena, protože směrovače a přepínače nevědí, co je název domény. Ve skutečnosti musí být pro komunikaci se serverem DNS při vytvoření požadavku použita také IP adresa. Každá adresa v síti internet je adresa IP. Bez serveru DNS by se v síti internet nemohly používat adresy URL.8 DNS je tedy hierarchický systém doménových jmen, který je realizován servery DNS a protokolem stejného jména, kterým si vyměňují informace. Později ale přibral další funkce (např. pro elektronickou poštu či IP telefonii) a slouží dnes de facto jako distribuovaná databáze síťových informací.
Obr.16: Schéma DNS prostoru a jeho členění na jednotlivé zóny (zdroj: http://upload.wikimedia.org/wikipedia/commons/thumb/b/b1/Domain_name_space.svg/2000pxDomain_name_space.svg.png)
Protokol používá porty TCP/53 i UDP/53, je definován v RFC1035. Servery DNS jsou organizovány hierarchicky, stejně jako jsou hierarchicky tvořeny názvy domén. Jména domén umožňují lepší orientaci lidem, adresy pro stroje jsou však vyjádřeny pomocí adres 32 bitových (IPv4) A záznam nebo 128bitových (IPv6) - AAAA záznam. Systém DNS
8
BIGELOV, J., Stephen. Mistrovství v počítačových sítích. Brno, Computer Press, 2004. ISBN 80-251-01789.
30
umožňuje efektivně udržovat decentralizované databáze doménových jmen a jejich překlad na IP adresy. Stejně tak zajišťuje zpětný překlad IP adresy na doménové jméno - PTR záznam. Protože je používání názvů pro člověka daleko příjemnější než používání číselných adres, vznikla už v dobách ARPAnetu potřeba takový převod realizovat. Původně byl na všechny počítače distribuován jediný soubor (v Unixu /etc/hosts). Tato koncepce přestala velmi rychle vyhovovat potřebám a především nárokům na rychlou aktualizaci. Přesto se tento soubor dodnes používá, v závislosti na konfiguraci systému je možné jej použít buď prioritně před dotazem na DNS nebo v případě, že DNS neodpovídá. Je možné jej také použít k uložení vlastních přezdívek pro často navštěvované servery, případně také pro blokování reklam a podobně. V roce 1983 vyvinul Paul Mockapetris DNS protokol, který je popsán v RFC 882 a RFC 883. V roce 1987 byl protokol DNS aktualizován v RFC 1034 a RFC 1035, která nahradila původní doporučení. Prostor doménových jmen tvoří strom. Každý uzel tohoto stromu obsahuje informace o části jména (doméně), které je mu přiděleno a odkazy na své podřízené domény. Kořenem stromu je tzv. kořenová doména, která se zapisuje jako samotná tečka. Pod ní se v hierarchii nacházejí tzv. domény nejvyšší úrovně (Top-Level Domain, TLD). Ty jsou buď tematické (com pro komerci, edu pro vzdělávací instituce atd.) nebo státní (cz pro Českou republiku, sk pro Slovensko, jo pro Jordánsko atd.). Strom lze administrativně rozdělit do zón, které spravují jednotliví správci (organizace nebo i soukromé osoby), přičemž taková zóna obsahuje autoritativní informace o spravovaných doménách. Tyto informace jsou poskytovány autoritativním DNS serverem. Výhoda tohoto uspořádání spočívá v možnosti zónu rozdělit a správu její části svěřit někomu dalšímu. Nově vzniklá zóna se tak stane autoritativní pro přidělený jmenný prostor. Právě možnost delegování pravomocí a distribuovaná správa tvoří klíčové vlastnosti DNS a jsou velmi podstatné pro jeho úspěch. Ve vyšších patrech doménové hierarchie platí, že zóna typicky obsahuje jednu doménu. Koncové zóny přidělené organizacím připojeným k Internetu pak někdy obsahují několik domén – například doména kdesi.cz a její poddomény vyroba.kdesi.cz, marketing.kdesi.cz
a
obchod.kdesi.cz
mohou
být
obsaženy
v
jedné
zóně
a obhospodařovány stejným serverem. Celé jméno se skládá z několika částí oddělených tečkami. Na jeho konci se nacházejí domény nejobecnější, směrem doleva se postupně konkretizuje.
31
část nejvíce vpravo je doména nejvyšší úrovně, např. wikipedia.org má TLD org. jednotlivé části (subdomény) mohou mít až 63 znaků a skládat se mohou až do celkové délky doménového jména 255 znaků. Doména může mít až 127 úrovní. Bohužel některé implementace jsou omezeny více. DNS server může hrát vůči doméně (přesněji zóně, ale ve většině případů jsou tyto pojmy zaměnitelné) jednu ze tří rolí: Primární server je ten, na němž data vznikají. Pokud je třeba provést v doméně změnu, musí se editovat data na jejím primárním serveru. Každá doména má právě jeden primární server. Sekundární server je automatickou kopií primárního. Průběžně si aktualizuje data a slouží jednak jako záloha pro případ výpadku primárního serveru, jednak pro rozkládání zátěže u frekventovaných domén. Každá doména musí mít alespoň jeden sekundární server. Pomocný (caching only) server slouží jako vyrovnávací paměť pro snížení zátěže celého systému. Uchovává si odpovědi a poskytuje je při opakování dotazů, dokud nevyprší jejich životnost. Odpověď pocházející přímo od primárního či sekundárního serveru je autoritativní, čili je brána za správnou. Z hlediska věrohodnosti odpovědí není mezi primárním a sekundárním serverem rozdíl, oba jsou autoritativní. Naproti tomu odpověď poskytnutá z vyrovnávací paměti není autoritativní. Klient může požádat o autoritativní odpověď, v běžných případech ale stačí jakákoli. Kořenové jmenné servery (root name servers) představují zásadní část technické infrastruktury Internetu, na které závisí spolehlivost, správnost a bezpečnost operací na internetu. Tyto servery poskytují kořenový zónový soubor (root zone file) ostatním DNS serverům. Jsou součástí DNS, celosvětově distribuované databáze, která slouží k překladu unikátních doménových jmen na ostatní identifikátory. Kořenový zónový soubor popisuje, kde se nacházejí autoritativní servery pro domény nejvyšší úrovně. Tento kořenový zónový soubor je relativně velmi malý a často se nemění – operátoři root serverů ho pouze zpřístupňují, samotný soubor je vytvářen a měněn organizací IANA.
32
Pojem root server je všeobecně používán pro 13 kořenových jmenných serverů. Root servery se nacházejí ve 34 zemích světa, na více než 80 místech. Root servery jsou spravovány organizacemi, které vybírá IANA. Následující tabulka zobrazuje těchto 13 root serverů: Název root serveru
Operátor
A
VeriSign Global Registry Services
B
University of Southern California - Information Sciences Institute
C
Cogent Communications
D
University of Maryland
E
NASA Ames Research Center
F
Internet Systems Consortium, Inc.
G
U.S. DOD Network Information Center
H
U.S. Army Research Lab
I
Autonomica/NORDUnet
J
VeriSign Global Registry Services
K
RIPE NCC
L
ICANN
M
WIDE Proje
Název
Pomocný
Rekurzivní
Autoritativní
BIND
Ano
Ano
Ano
PowerDNS
Ano
Ano (pomocí pdns_recursor)
Ano
djbdns
Ano
Ano
Ano
MyDNS
Ano
Ne
Ano
NSD
Ne
Ne
Ano
Tab.1: Porovnání nejpoužívanějšího software (implementací DNS serverů) z hlediska podpory výše uvedených typů serverů (zdroj: http://cs.wikipedia.org/wiki/DNS)
33
Každý koncový počítač má ve své konfiguraci síťových parametrů obsaženu i adresu lokálního DNS serveru, na nějž se má obracet s dotazy. V operačních systémech odvozených od Unixu je obsažena v souboru /etc/resolv.conf, v MS Windows ji najdete ve vlastnostech protokolu TCP/IP (případně můžete z příkazového řádku v XP zadat textový příkaz ipconfig /all). Adresu lokálního serveru počítač typicky obdrží prostřednictvím DHCP. Pokud počítač hledá určitou informaci v DNS (např. IP adresu k danému jménu), obrátí se s dotazem na tento lokální server. Každý DNS server má ve své konfiguraci uvedeny IP adresy kořenových serverů (autoritativních serverů pro kořenovou doménu). Obrátí se tedy s dotazem na některý z nich. Kořenové servery mají autoritativní informace o kořenové doméně. Konkrétně znají všechny existující domény nejvyšší úrovně a jejich autoritativní servery. Dotaz je tedy následně směrován na některý z autoritativních serverů domény nejvyšší úrovně, v níž se nachází cílové jméno. Ten je opět schopen poskytnout informace o své doméně a posunout řešení o jedno patro dolů v doménovém stromě. Tímto způsobem řešení postupuje po jednotlivých patrech doménové hierarchie směrem k cíli, až se dostane k serveru autoritativnímu pro hledané jméno, který pošle definitivní odpověď. Získávání informací z takového systému probíhá rekurzí. Resolver (program zajišťující překlad) postupuje od kořene postupně stromem směrem dolů dokud nenalezne autoritativní záznam o hledané doméně. Jednotlivé DNS servery jej postupně odkazují na autoritativní DNS pro jednotlivé části jména. Příklad: Jak by postupovalo hledání IP adresy ke jménu www.wikipedia.org: Uživatel zadal do svého WWW klienta doménové jméno www.wikipedia.org. Resolver v počítači se obrátil na lokální DNS server s dotazem na IP adresu pro www.wikipedia.org. Lokální DNS server tuto informaci nezná. Má však k dispozici adresy kořenových serverů. Na jeden z nich se obrátí (řekněme na 193.0.14.129) a dotaz mu přepošle. Kořenový server také nezná odpověď. Ví však, že existuje doména nejvyšší úrovně org, a jaké jsou její autoritativní servery, jejichž adresy tazateli poskytne.
34
Lokální server jeden z nich vybere (řekněme, že zvolí tld1.ultradns.net s IP adresou 204.74.112.1) a pošle mu dotaz na IP adresu ke jménu www.wikipedia.org. Oslovený server informaci opět nezná, ale poskytne IP adresy autoritativních serverů
pro
doménu
wikipedia.org.
Jsou
to
ns0.wikimedia.org
(207.142.131.207), ns1.wikimedia.org (211.115.107.190) a ns2.wikimedia.org (145.97.39.158). Lokální server opět jeden z nich vybere a pošle mu dotaz na IP adresu ke jménu www.wikipedia.org. Jelikož toto jméno se již nachází v doméně wikipedia.org, dostane od jejího serveru nepochybně autoritativní odpověď, že hledaná IP adresa zní 145.97.39.155 Lokální DNS server tuto odpověď předá uživatelskému počítači, který se na ni ptal.
Obr.17: Postup vyhledání www.wikipedia.org v DNS (zdroj: http://cs.wikipedia.org/wiki/Soubor:Dns-wikipedia.gif)
Výše popsaný postup popisuje kompletní řešení daného dotazu. Může se ale stát, že některý z oslovených serverů má hledanou informaci ve své vyrovnávací paměti, protože odpovídající dotaz nedávno řešil. V takovém případě poskytne neautoritativní odpověď z vyrovnávací paměti a další dotazování odpadá. Ve vyrovnávací paměti mohou být i mezivýsledky - například lokální DNS server v ní skoro jistě bude mít informaci o autoritativních serverech pro doménu org, protože v ní pravděpodobně hledá každou chvíli. V takovém případě by vypadly kroky 2 a 3 a lokální server by se s dotazem rovnou obrátil na některý z autoritativních serverů domény org.
35
Obr.18: Řešení dotazu na DNS blokově (zdroj: http://upload.wikimedia.org/wikipedia/commons/thumb/0/09/DNS_in_the_real_world.svg/2000pxDNS_in_the_real_world.svg.png)
Oslovené servery v popsaném příkladu vykazují dva odlišné druhy chování. Při rekurzivním řešení dotazu se server chopí vyřízení dotazu, najde odpověď a pošle ji tazateli. Rekurzivní přístup server zatěžuje (musí sledovat postup řešení, ukládat si mezivýsledky apod.), ale projde jím odpověď a tu si může uložit do vyrovnávací paměti. Typicky se tak chovají lokální servery, aby si plnily vyrovnávací paměti a mohly dalším tazatelům poskytovat odpovědi rovnou. Při nerekurzivním řešení dotazu server dotaz neřeší, pouze poskytne tazateli adresy dalších serverů, jichž se má ptát dál. Takto se chovají servery ve vyšších patrech doménové hierarchie (kořenové a autoritativní servery TLD), které by rekurzivní chování kapacitně nezvládaly. V příkladu výše se rekurzivně choval lokální server, zatímco autoritativní servery pro kořenovou doménu a doménu org se chovaly nerekurzivně (což odpovídá realitě). Nejběžnějším úkolem DNS je poskytnout informace (nejčastěji IP adresu) pro zadané doménové jméno. Dovede ale i opak – sdělit jméno, pod kterým je daná IP adresa zaregistrována. Při vkládání dat pro zpětné dotazy bylo ale třeba vyřešit problém s opačným uspořádáním IP adresy a doménového jména. Zatímco IP adresa má na začátku obecné informace (adresu sítě), které se směrem doprava zpřesňují až k adrese počítače, doménové jméno má pořadí přesně opačné. Instituce připojená k Internetu typicky má přidělen začátek svých IP adres a konec svých doménových jmen. Tento nesoulad řeší DNS tak, že při reverzních dotazech obrací pořadí bajtů v adrese. K obrácené adrese pak připojí doménu in-addr.arpa a výsledné „jméno“ pak vyhledává standardním postupem. Hledá-li například jméno k IP adrese 145.97.39.155, vytvoří dotaz na 155.39.97.145.in-addr.arpa. Obrácení IP adresy umožňuje delegovat správu reverzních domén odpovídajících sítím a podsítím správcům dotyčných sítí a podsítí. V příkladu použitou síť 145.97.0.0/16 spravuje nizozemský SURFnet a ten má také ve správě jí 36
odpovídající doménu 97.145.in-addr.arpa. Kdykoli zavede do sítě nový počítač, může zároveň upravit data v reverzní doméně, aby odpovídala skutečné situaci. Je dobré mít na paměti, že na data z reverzních domén nelze zcela spoléhat. Do reverzní domény se v principu dají zapsat téměř libovolná jména. Nikdo například nemůže zabránit SURFnetu, aby o počítači 145.97.1.1 prohlásil v reverzní zóně, že se jedná třeba o www.seznam.cz. Pokud na tom záleží, je záhodno si poskytnutou informaci ověřit normálním dotazem (zde nalézt IP adresu k www.seznam.cz a porovnat ji s 145.97.1.1). Jestliže odpovědí na něj bude původní IP adresa, jsou data důvěryhodná – správce klasické i reverzní domény tvrdí totéž. Pokud se liší, znamená to, že data v reverzní doméně jsou nekorektní. Běžní uživatelé internetu se setkají jen s „oficiálním“ stromem domén. Je ovšem možné založit libovolné množství takových stromů, které mohou obsahovat i stejná jména. Příkladem budiž například neoficiální strom czf fungující uvnitř některých privátních sítí v ČR. Téměř každý DNS server funguje zároveň jako DNS cache. Při opakovaných dotazech pak nedochází k rekurzivnímu prohledávání stromu, ale odpověď je získána lokálně. V DNS záznamech je totiž uložena i informace jak dlouho lze záznam používat (TTL) a lze také zjistit, zda byl záznam změněn. Po vypršení platnosti je záznam z DNS cache odstraněn. Problém s uložením záznamů v cache nastává v případě změny záznamu. Pokud administrátor nastaví TTL na 6 hodin, a poté provede změnu záznamu, nastane situace, že někteří uživatelé sítě dostanou informaci již novou a někteří ještě starou. Tato situace bude trvat právě oněch 6 hodin, v závislosti na nastavení ostatních serverů a také v závislosti na době která uplynula od jejich posledního dotazu. Je proto nutné zvolit správný poměr mezi rychlostí šíření změn a ušetřeným výkonem a přenosovým pásmem DNS serveru. Pokud se změny provádí často, je vhodné zvolit kratší TTL v řádu jednotek hodin, pokud se změny téměř neprovádějí, může být TTL ve dnech.9
9
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-27]. Dostupný z WWW: .
37
2.2.1.1.
SBC (Session Border Controller)
SBC je zařízení, které se využívá v některých VoIP sítích k řízení signalizace a obvykle také při sestavování, přenosu a ukončování hlasových a dalších real-time služeb, jako je například video. Obvykle se umisťuje do oblasti styku 2 sítí (ať už se jedná o 2 poskytovatele nebo přístupovou a páteřní síť) a nabízí především tyto funkce: zabezpečení – chrání síťová a další zařízení proti útoku zamítnutím služby (spojení) konektivita – umožňuje komunikovat různým částem sítě bez nutnosti využití NAT Quality of Service – QoS politika sítě a prioritizace datových toků je obvykle implementována pomocí SBC regulace – často je zapotřebí poskytovat podporu pro regulační požadavky, jako tísňová volání a zákonné odposlechy statistiky – neboť všechny relace, procházející sítí, putují i přes SBC a je to tedy přirozeně i bod, na kterém dochází ke sběru informací a také tvorbě statistik provozu i dalších
Obr.19: SIP SBC, realizovaný pomocí NAT (zdroj: http://www.cisco.com/en/US/docs/ios/12_4t/ip_addr/configuration/guide/htnatsbc.html)
38
2.2.1.2.
Router
Router (směrovač) je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli. Routování probíhá na třetí vrstvě referenčního modelu ISO/OSI (síťová vrstva). Netechnicky řečeno, router spojuje dvě sítě a přenáší mezi nimi data. Router se podstatně liší od switche, který spojuje počítače v místní síti. Routování je většinou spojováno s protokolem IP, ačkoliv se stále používají i jiné, méně populární protokoly. Obecně jako router může sloužit jakýkoliv počítač s podporou síťování a pro routování v menších sítích se často dodnes používají běžné osobní počítače, do vysokorychlostních sítí jsou však jako routery používány vysoce účelové počítače obvykle se speciálním hardwarem, optimalizovaným jak pro běžné přeposílání (forwarding) datagramů, tak pro specializované funkce jako šifrování u IPsec tunelů. Jiné změny také zlepšují spolehlivost. Například používání stejnosměrného napájení (které se může v datových centrech odebírat z baterií) místo napájení přímo ze sítě, používání flash pamětí místo pevných disků. Velké moderní routery se tak podobají spíše telefonním ústřednám, jejichž technologie k routerům (vzhledem ke stále častějšímu nasazování protokolu IP i ke spojování hovorů) konverguje a které routery případně nahradí, zatímco malé routery, kombinované například s kabelovými nebo DSL modemy, eventuálně WiFi přístupovými body, se stávají běžným vybavením domácností. Router se používá ke spojení alespoň dvou sítí. Speciálním případem je „jednoruký“ router, který používá jednu zásuvku (port) a routuje pakety mezi virtuálními sítěmi VLAN provozovanými na této zásuvce. V mobilních ad-hoc sítích si každý počítač routuje a forwarduje sám, zatímco v metalických a optických sítích je obvykle jen jeden router pro celou broadcastovou doménu.10 Existují dva základní směrovací protokoly: statické a dynamické. „Statický směrovač“ se někdy nazývá také „ruční směrovač“, protože všechny směrovače musí být nakonfigurovány ručně správcem sítě. Směrovací tabulky jsou pevně dané, takže statický směrovač vždy používá stejnou trasu (i když se změní aktivita sítě). To znamená, že není zárukou, že statický směrovač používá nejkratší trasy. Naproti tomu
„Dynamické
směrovače“ musí být nejprve nakonfigurovány, avšak přizpůsobí se automaticky měnícím se podmínkám sítě – za použití nižších nákladů nebo méně zatížených tras podle potřeby. 10
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-09]. Dostupný z WWW: .
39
Směrovače udržují své vlastní směrovací tabulky, které se obvykle skládají ze směrovacích adres (ačkoli mohou být uchovány i hostitelské adresy, pokud je síť potřebuje). Pro stanovení cílové adresy pro příchozí data obsahuje směrovací tabulka všechny známé síťové adresy, logické instrukce pro připojení k jiným sítím, znalost možných cest k směrovači a dokonce náklady na posílání dat prostřednictvím dané cesty. Směrovač tedy použije svou směrovací tabulku k výběru nejlepší trasy pro přenos dat na základě nákladů a dostupnosti cest. 11 Jedna z nejdůležitějších funkcí routerů se nazývá NAT (network address translation, překlad adres) a slouží k zakódování zdrojové adresy uživatele (bývá většinou neveřejná) z vnitřní sítě tak, aby se cílovému prvku vně sítě zobrazila adresa jiná. Většinou to bývá tak, že zdrojová adresa globální se tváří jako veřejná adresa celé sítě. Názorné vysvětlení toho, jak NAT funguje je nastíněno na následujících obrázcích.
Obr.20: Funkce NAT (zdroj: http://manuals.kerio.com/wrl/cz/131.htm)
2.2.2.
Switch
Switch (česky přepínač) je aktivní síťový prvek, propojující jednotlivé segmenty sítě. Switch obsahuje větší či menší množství portů (až několik stovek), na něž se připojují síťová zařízení nebo části sítě. Pojem switch se používá pro různá zařízení v celé řadě síťových technologií. Nejčastěji switch potkáte jako aktivní prvek v síti Ethernet realizované kroucenou dvojlinkou. Zde 11
BIGELOV, J., Stephen. Mistrovství v počítačových sítích. Brno, Computer Press, 2004. ISBN 80-2510178-9.
40
nahradil dříve používané huby (rozbočovače), které signál jednoduše kopírovaly do všech ostatních rozhraní. Pracuje zde na 2. vrstvě OSI modelu. Vedle vyššího výkonu (stanice připojené k různým rozhraním switche navzájem nesoutěží o médium) znamená přínos i pro bezpečnost sítě, protože médium již není sdíleno a data se vysílají jen do rozhraní, jímž je připojen jejich adresát. Způsoby přeposílání rámců: store and forward – Koncepčně pracují způsobem „store and forward“ – paket z jednoho rozhraní přijmou, uloží si do vyrovnávací paměti, prozkoumají jeho hlavičky (zkontroluji FCS) a následně odvysílají do příslušného rozhraní. cut through – Současné switche ale tento proces často optimalizují, takže k analýze hlaviček dochází jakmile dorazí začátek paketu. Ani s vysíláním do cílového rozhraní se nečeká, až dorazí celý paket, ale zahajuje se co nejrychleji, aby zpoždění paketu ve switchi bylo minimální. fragment free – Switch začne přeposílat rámec až po přijetí 64bytů, kdy se ujistí, že na daném segmentu nevznikla kolize - má význam v případě, kdy je do switche připojen Hub. adaptive switching – automatické přepínání mezi metodami cut through a store and forward. Kdo je kde se switche učí automaticky z procházejícího provozu, konkrétně z adres odesílatelů uvedených v rámcích, které do switche přicházejí. Používá se algoritmus Backward Learning Algorithm. Z těchto údajů si switch automaticky plní tabulku identifikující cílová rozhraní pro jednotlivé adresy. Pokud switch dostane k doručení rámec směřující na jemu dosud neznámou adresu, chová se jako hub a rozešle rámec do všech ostatních rozhraní. Lze očekávat, že oslovená stanice pravděpodobně odpoví a switch se tak vzápětí dozví, kde se nachází. Ethernetové switche mají problém se smyčkami v síti, vytvářenými za účelem redundance. Pokud síť obsahuje smyčku (mezi dvěma uzly existuje více než jedna cesta), mohou pakety od stejného odesilatele přicházet chaoticky z různých rozhraní a dokonce tentýž paket může do switche dorazit několikrát. Switch není v takovém prostředí schopen rozpoznat, kde se kdo nachází. Tento problém řeší switche mechanismem zvaným Spanning Tree protokol, kterým se dohodnou na nepoužívání některých tras tak, aby ze sítě zmizely smyčky. Vytvoří se minimální kostra sítě dosahující do všech jejích míst. Když dojde ke změně v topologii (např. rozpojení některé linky), bude aktivována některá z dosud 41
odstavených tras tak, aby nový strom nadále pokud možno pokrýval celou síť. Tyto změny se ovšem nedějí okamžitě, je zde jisté zpoždění. Switche často nabízejí i některé pokročilejší funkce, jako například: management - možnost upravovat nastavení switche pomocí telnetu nebo webového rozhraní (HTTP) VLAN - podpora virtuálních sítí SNMP - vzdálená správa zařízení, hlášení určitých stavů a situací apod. 12 Jak již bylo napsáno výše, existují i přepínače, které dokáží analyzovat IP protokol a chovat se tak stejně jako směrovače. Bývají nazývány Layer 3 switche nebo také zkráceně L3 switche. Je to v podstatě pouze marketingový pojem, označující, že tato zařízení jsou schopna pracovat na 3. vrstvě OSI modelu a ne, jak byla známa dříve, pouze jako rychlý prvek, přeposílající pakety z jedné sítě do druhé na principu spojové vrstvy. Původní L3 switche (někdy také označovány L2/3 switche) nepodporovaly mnoho směrovacích protokolů a a dalších nadstandardních funkcí a tudíž mohly být jednoduché a relativně rychlé. To se ovšem časem změnilo a v současnosti již mezi nimi a směrovači není kromě označení téměř žádný rozdíl. Nestandardním, ale někdy také používaným označením některých switchů bývá L4 switch, který umí pracovat na transportní vrstvě modelu OSI a umožňuje směrování paketů podle těchto pravidel a možností, například tedy na základě čísel jednotlivých portů. Tak, jako routery jsou nepostradatelným prvkem v sítích IP, jsou i přepínače velmi důležité a svou funkcí jim podobné, ale tentokrát v sítích ATM. Tato síť je ovšem spolehlivá a spojovaná a proto může přepínač hledat cestu k cílovému bodu jen při úspěšném navázání spojení a následně si plnit předávací tabulku. Pokud již má switch cestu zaznamenánu, přenosy potom probíhají již velmi rychle na základě příslušnosti buněk k již dříve navázanému spojení pomocí jednoznačných identifikátorů VPI (Virtual Path Identifier) a VCI (Virtual Circuit Identifier).
12
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-06-09]. Dostupný z WWW: .
42
2.2.3.
Firewall
Základní funkcí Firewallu je řízení a zabezpečování (definování pravidel komunikace) jak provozu na síti, tak především mezi sítěmi. Toto zařízení tak kontroluje nejen informace o zdrojové a cílové IP adrese a portech, ale i o stavu připojení, o okolních sítích a také používaných protokolech. Brány firewall existují v různých podobách a velikostech a v některých případech je bránou firewall soustava několika různých počítačů. Pro účely této kapitoly představuje bránu firewall počítač nebo počítače stojící mezi důvěryhodnými sítěmi (jako jsou interní sítě) a nedůvěryhodnými sítěmi (jako je internet), přičemž kontroluje všechna data, která se mezi nimi pohybují. Aby byly brány firewall účinné, musí mít následující atributy: bránou firewall prochází veškerá komunikace brána firewall povoluje pouze data, která jsou ověřená brána firewall je odolná vůči napadení Účinnost brány firewall je značně omezena, je-li k dispozici alternativní cesta směrování – neověřená data mohou být jednoduše odeslána mimo bránu firewall (je to jako střežit hlavní vchod a zadní dveře nechat otevřené). Pokud se navíc na bránu firewall nelze spolehnout při rozlišování ověřených a neověřených dat, případně je-li konfigurována tak, aby povolovala nebezpečnou nebo nepotřebnou komunikaci, její užitečnost se také snižuje. Protože brána firewall zamezuje napadení a není zaveden žádný prostředek, který by proti němu ochránil samotnou bránu firewall, musí být schopna odolat také útokům přímo proti ní. Bránou firewall muže být směrovač, osobní počítač, hostitel, případě soustava hostitelů nastavených k ochraně soukromé sítě před protokoly a službami, které mohou být zneužity hostitely mimo důvěryhodnou síť. Systém brány firewall je obvykle umístěn v obvodu sítě, přímo mezi sítí a všemi vnějšími připojeními. Jsou-li ovšem nutné další prostředky zabezpečení, měli by se v uvnitř sítě nacházet přídavné systémy brány firewall, aby se zajistila účelnější ochrana malé soustavy hostitelů.13 Firewally se během svého vývoje řadily zhruba do následujících kategorií: Paketové filtry Aplikační brány 13
BIGELOV, J., Stephen. Mistrovství v počítačových sítích. Brno, Computer Press, 2004. ISBN 80-2510178-9.
43
Stavové paketové filtry Stavové paketové filtry s kontrolou známých protokolů a popř. kombinované s IDS Paketové filtry jsou nejjednodušší a nejstarší forma firewallování, která spočívá v tom, že pravidla přesně uvádějí, z jaké adresy a portu na jakou adresu a port může být doručen procházející paket, tj. kontrola se provádí na třetí a čtvrté vrstvě modelu síťové komunikace OSI. Výhodou tohoto řešení je vysoká rychlost zpracování, proto se ještě i dnes používají na místech, kde není potřebná přesnost nebo důkladnější analýza procházejících dat, ale spíš jde o vysokorychlostní přenosy velkých množství dat. Nevýhodou je nízká úroveň kontroly procházejících spojení, která zejména u složitějších protokolů (např. FTP, video/audio streaming, RPC apod.) nejen nedostačuje ke kontrole vlastního spojení, ale pro umožnění takového spojení vyžaduje otevřít i porty a směry spojení, které mohou být využity jinými protokoly, než bezpečnostní správce zamýšlel povolit. Mezi typické představitele paketových filtrů patří např. tzv. ACL (Access Control Lists) ve starších verzích operačního systému IOS na routerech spol. Cisco Systems, popř. JunOS spol. Juniper Networks, starší varianty firewallu v linuxovém jádře (ipchains). Jen o málo později, než jednoduché paketové filtry, byly postaveny firewally, které na rozdíl od paketových filtrů zcela oddělily sítě, mezi které byly postaveny. Říká se jim většinou Aplikační brány, někdy také Proxy firewally. Veškerá komunikace přes aplikační bránu probíhá formou dvou spojení – klient (iniciátor spojení) se připojí na aplikační bránu (proxy), ta příchozí spojení zpracuje a na základě požadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační brána dostane od serveru, pak zase v původním spojení předá klientovi. Kontrola se provádí na sedmé (aplikační) vrstvě síťového modelu OSI (proto se těmto firewallům říká aplikační brány). Jedním vedlejším efektem použití aplikační brány je, že server nevidí zdrojovou adresu klienta, který je původcem požadavku, ale jako zdroj požadavku je uvedena vnější adresa aplikační brány. Aplikační brány díky tomu automaticky působí jako nástroje pro překlad adres (NAT), nicméně tuto funkcionalitu má i většina paketových filtrů. Výhodou tohoto řešení je poměrně vysoké zabezpečení známých protokolů. Nevýhodou je zejména vysoká náročnost na použitý HW – aplikační brány jsou schopny zpracovat mnohonásobně nižší množství spojení a rychlosti, než paketové filtry a mají mnohem vyšší latenci. Každý protokol vyžaduje napsání specializované proxy, nebo využití tzv. generické proxy, která ale není o nic bezpečnější, než využití paketového filtru. Většina aplikačních bran proto 44
uměla kontrolovat jen několik málo protokolů (obyčejně kolem deseti). Původní aplikační brány navíc vyžadovaly, aby klient uměl s aplikační branou komunikovat a neuměly dost dobře chránit svůj vlastní operační systém; tyto nedostatky se postupně odstraňovaly, ale po nástupu stavových paketových filtrů se vývoj většiny aplikačních bran postupně zastavil a ty přeživší se dnes používají už jen ve velmi specializovaných nasazeních. Typickými představiteli aplikačních bran byly např. The Firewall Toolkit (fwtk) a z něj vycházející Gauntlet spol. TIS později zakoupený společností NAI. Stavové paketové filtry provádějí kontrolu stejně jako jednoduché paketové filtry, navíc si však ukládají informace o povolených spojeních, které pak mohou využít při rozhodování, zda procházející pakety patří do již povoleného spojení a mohou být propuštěny, nebo zda musí znovu projít rozhodovacím procesem. To má dvě výhody – jednak se tak urychluje zpracování paketů již povolených spojení, jednak lze v pravidlech pro firewall uvádět jen směr navázání spojení a firewall bude samostatně schopen povolit i odpovědní pakety a u známých protokolů i další spojení, která daný protokol používá. Například pro FTP tedy stačí nastavit pravidlo, ve kterém povolíte klientu připojení na server pomocí FTP a protože se jedná o známý protokol, firewall sám povolí navázání řídícího spojení z klienta na port 21 serveru, odpovědi z portu 21 serveru na klientem použitý zdrojový port a po příkazu, který vyžaduje přenos dat, povolí navázání datového spojení z portu 20 serveru na klienta na port, který si klient se serverem dohodli v rámci řídícího spojení a pochopitelně i odpovědní pakety z klienta zpět na port 20 serveru. Zásadním vylepšením je i možnost vytváření tzv. virtuálního stavu spojení pro bezstavové protokoly, jako např. UDP a ICMP. K největším výhodám stavových paketových filtrů patří jejich vysoká rychlost, poměrně slušná úroveň zabezpečení a ve srovnání s výše zmíněnými aplikačními branami a jednoduchými paketovými filtry řádově mnohonásobně snazší konfigurace – a díky zjednodušení konfigurace i nižší pravděpodobnost chybného nastavení pravidel obsluhou. Nevýhodou je obecně nižší bezpečnost, než poskytují aplikační brány. Typickými představiteli této kategorie firewallů jsou např. FireWall-1 spol. Check Point do verze 4.0, starší verze Cisco PIX, Cisco IOS Firewall, starší verze firewallů Netscreen spol. Juniper a z volně dostupných produktů iptables v linuxovém jádře a ipfw v *BSD. Moderní stavové paketové filtry kromě informací o stavu spojení a schopnosti dynamicky otevírat porty pro různá řídící a datová spojení složitějších známých protokolů implementují něco, co se v marketingové terminologii různých společností nazývá nejčastěji Deep Inspection nebo Application Intelligence. Znamená to, že firewally jsou schopny kontrolovat procházející spojení až na úroveň korektnosti procházejících dat 45
známých protokolů i aplikací. Mohou tak například zakázat průchod http spojení, v němž objeví indikátory, že se nejedná o požadavek na WWW server, ale tunelování jiného protokolu, což často využívají klienti P2P sítí (ICQ, gnutella, napster, apod.), nebo když data v hlavičce e-mailu nesplňují požadavky RFC apod. Nejnověji se do firewallů integrují tzv. in-line IDS (Intrusion Detection Systems – systémy pro detekci útoků). Tyto systémy pracují podobně jako antiviry a pomocí databáze signatur a heuristické analýzy jsou schopny odhalit vzorce útoků i ve zdánlivě nesouvisejících pokusech o spojení, např. skenování adresního rozsahu, rozsahu portů, známé signatury útoků uvnitř povolených spojení apod. Výhodou těchto systémů je vysoká úroveň bezpečnosti kontroly procházejících protokolů při zachování relativně snadné konfigurace, poměrně vysoká rychlost kontroly ve srovnání s aplikačními branami, nicméně je znát významné zpomalení (zhruba o třetinu až polovinu) proti stavovým paketovým filtrům. Nevýhodou je zejména to, že z hlediska bezpečnosti designu je základním pravidlem bezpečnosti udržovat bezpečnostní systémy co nejjednodušší a nejmenší. Tyto typy firewallů integrují obrovské množství funkcionality a zvyšují tak pravděpodobnost, že v některé části jejich kódu bude zneužitelná chyba, která povede ke kompromitování celého systému. Typickými představiteli této kategorie jsou Check Point FireWall-1 (od verze 4.1, nyní NGX), produkty řady Netscreen, ISG a SSG společnosti Juniper. Podobná funkcionalita je k dispozici ve formě experimentálních modulů také pro iptables v linuxovém jádře. Nastavení pravidel pro komunikaci přes firewall se běžně označuje termínem „bezpečnostní politika firewallu“, zkráceně „bezpečnostní politika“. Bezpečnostní politika zahrnuje nejen samotná pravidla komunikace mezi sítěmi, ale u většiny dnešních produktů také různá globální nastavení, překlady adres (NAT), instrukce pro vytváření šifrovaných spojení mezi šifrovacími branami (VPN – Virtual Private Networks), vyhledávání možných útoků a protokolových anomálií (IDS – Intrusion Detection Systems), autentizaci a někdy i autorizaci uživatelů a správu šířky přenosového pásma (bandwidth management).14
14
Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-29]. Dostupný z WWW: .
46
2.2.4.
VoIP
Tato technologie využívá z důvodu úspornosti v objemu přenášených dat přenosu zakódovaného telefonního hovoru do UDP datagramů zapouzdřené na 5. vrstvě OSI modelu v RTP (Real Time Protocol), jenž nese obvykle 20 – 30 ms fragmenty. Kódování a dekódování probíhá pomocí různých algoritmů, zvaných kodek, jenž jsou ve VoIP telefonii označovány v řadách G.711, G.722, G.723, G.726, G.729 a dalších. Tyto se liší v používaném kompresním poměru a tedy i v objemu přenášených dat a potřebné šířce pásma. Při navazování spojení si jednotlivé strany dohodnou, jaký kodek se bude při hovoru používat (podle vybavenosti jednotlivých zařízení). Kromě telefonního hovoru dochází pomocí těchto protokolů i k přenosu dalších paketů, jako jsou například ICMP nebo TCP, jenž se starají o signalizaci, ověřování dostupnosti protějšku apod. Nejčastější implementací VoIP v současnosti je pomocí protokolu SIP, který vytlačil původní H.323, především díky své otevřenosti a možnosti bezproblémového průchodu NAT překlady. Některé společnosti, jako například Cisco, vytváří své vlastní protokoly, které však nejsou tolik rozšířeny (např. Skinny). Velmi důležitou otázkou u služby VoIP je kvalita přeneseného hlasu, která je velmi závislá na parametrech přenosového média, které bývají souhrnně jako QoS (Quality of Services. Mezi tyto vlastnosti patří především dovolené zpoždění při přepravě paketů, variaci zpoždění (jitter), ztrátovost, minimální šířku přenosového pásma a samozřejmě ještě další, ale již méně významné. Z předchozího tedy vyplývá, že některé varianty připojení k Internetu jsou nevyhovující (například mobilní připojení GPRS nebo také dialup), jiné musejí být garantovány tak, aby často se objevující latence či výpadky paketů (packet losses) nemohly ovlivnit kvalitu přeneseného hlasu. UDP totiž neobsahuje mechanizmy, které by dokázaly zabezpečit potvrzení o doručení a kontrolu správnosti pořadí doručených paketů. Proto se na přijímací straně také využívá tzv. bufferu, který doručená data ukládá do paměti a teprve pak přeposílá do cílové stanice. Toto má ovšem za následek další navyšování nežádoucího zpoždění. Jedním z velkých problémů této technologie je přenos faxových zpráv, který se více či méně daří řešit pomocí protokolu T.38 a kodeku G.711 (velikost 64 kbps pro data, ale 90 kbps celkově) nebo také obejití tohoto způsobu pomocí posílání zpráv elektronickou poštou. Další nevýhodou, z pohledu uživatele klasického analogového telefonního aparátu (ne u přenosných telefonů DECT), může být problém s výpadky elektřiny. To však u moderních instalací bývá řešeno pomocí UPS (Uninterruptable Power Source), což je 47
varianta záložního napájení, většinou jen pro nejdůležitější technologie. V neposlední řadě je u této technologie problém s nouzovými hovory. Protokol IP totiž neumožňuje přesné geografické zaměření uživatele a tudíž jakýkoliv nouzový hovor nemůže být jednoduše přesměrován na operační středisko záchranného systému v jeho nejbližším okolí, z čehož vyplývá, že jediná identifikace je pomocí sdělení své adresu. Řešení tak může být například získání negeografického čísla, které v ČR začíná prefixem 910 nebo v registraci telefonní linky na určitou adresu a uzlový telefonní obvod. VoIP umožňuje využívání rozličných druhů komunikačních rozhraní napříč celým telekomunikačním segmentem a uživatele tak neváže k nákupu drahých telefonních přístrojů, ale dovoluje jim použití SW aplikací jako jsou například Skype, X-Lite nebo IPphone.
3. SKUTEČNÝ TELEKOMUNIKAČNÍ SYSTÉM Základem správné funkce každého systému, a tím i telekomunikačního, je jeho kvalitně zpracovaný návrh. Tento by se měl opírat o nejnovější poznatky v dané oblasti a samozřejmě také o nejmodernější používané technologie tak, aby systém, již při jeho zavedení nebyl zastaralý. V neposlední řadě je však třeba zvážit i ekonomickou situaci nejen vlastní firmy, ale i na trhu a samozřejmě také potřeby potenciálních zákazníků. V první řadě, z pohledu poskytovatele služeb, je důležitá specifikace zákazníka. Ta obsahuje analýzu zákazníka a jeho potřeb a určení postupů a metod, kterými budou tyto potřeby uspokojeny. Následuje předání těchto informací oddělení, které je transformuje do technických specifikací a předá k realizaci, resp. servisnímu oddělení, k určení reálnosti a nákladů na tyto činnosti. Zde jsou důležité tři etapy, a sice osobní průzkum lokality, který odhalí možná rizika při instalaci a předá tyto zpět k případnému přehodnocení technické specifikace a přesnému určení ekonomické rozvahy na realizaci, dále samotná instalace zařízení a služeb a nakonec předání služby nebo celého systému, spolu s kontrolou funkčnosti. Nyní je důležitá spolupráce obchodního a servisního oddělení, jejichž hlavním úkolem je poskytovat zákazníkovi takové služby, které ho uspokojí a nebude mít snahu odejít nebo tato snaha bude co nejvíce utlumena. 48
3.1.
Přípravná fáze projektu
Přípravná fáze projektu by měla pokrýt veškerá možná variantní řešení nejen celého systému, ale i všech možných požadavků zákazníků tak, aby se možné postupy co nejvíce zjednodušily a vznikl jeden nebo více modelů, které budou do jisté míry univerzální a tudíž možné použít hromadně.
3.1.1.
Zjišťovací fáze
V této fázi je důležité vyspecifikovat, jaké služby by vůbec měly být poskytovány, jakým způsobem a samozřejmě také jakým zákazníkům. Tyto velmi důležité informace budou získány průzkumem trhu, který bude například zadán externí specializované společnosti, zabývající se touto problematikou. V tomto případě bude uvažován typický SMB zákazník, který má zájem o služby vše v jednom, neboli hlasové volání z pevných linek, z mobilních telefonů, datovou konektivitu mezi pobočkami i do internetu a také faxové služby. Někteří operátoři již tyto služby poskytují a tato práce bude vycházet z poznatků, které byly v praxi doposud získány. Požadavky těchto zákazníků jsou především: renomé poskytovatele služeb vysoká spolehlivost služby kvalita používaných technologií úspory co nejméně starostí (totální outsourcing) záruční a pozáruční servis Z těchto požadavků vyplývá, že systém by měl být vytvořen na základě použití technologií renomovaného výrobce (v tomto případě značky Cisco, Audiocodes a dalších) a služby poskytované kvalitním operátorem. Prvky systému budou u zákazníka v pronájmu s tím, že cena za ně bude splácena po dobu záruky. Připojení lokalit zákazníka bude realizováno pronájmem linek od společností, tyto vlastnících (například Telefónica O2) s požadavkem vysoké dostupnosti (pod SLA, které požaduje zákazník), neboť dostupnost jiných není. 49
3.1.2.
Preinstalační fáze
V této fázi je třeba vyspecifikovat umístění hardware pro centrální prvky systému, polohu dohledového centra a správních prvků systému, výběr poskytovatele(ů) konektivity a samozřejmě specifikaci a ocenění standardně nabízených řešení pro realizaci zákaznické lokality. Umístění centrálních prvků systému by mělo být takové, aby nemohlo dojít k narušení bezpečnosti těchto zařízení, ale stejně tak i celého systému, ať již nepovoleným přístupem narušitele, či problémem na straně dodavatele služeb, či zásahem vyšší moci (výpadek elektřiny, živelná pohroma, ...). Umístění technologie ve vlastních nebo pronajatých prostorách je již závislé na konkrétním případě a především na investicích, s tím spojených. Poloha dohledového centra (hotline) by se měla volit také v závislosti na umístění technologií, popsaných výše, především z důvodu možné lokální, ne pouze vzdálené správy. Pokud toto není možné, existují služby nazvané například Remote hands („vzdálené ruce“), pomocí kterých je často zvládnutelná většina lokálních operací. Velmi důležitým parametrem pro umístění hotline je přístup k internetovému spojení, případně i telefonnímu a samozřejmě také možnost zálohování sítě el. energie. Správními prvky systému je myšlena technologie, vybavení, ale i lidský faktor, který se bude na spravování systému podílet. Zde je opět velmi důležité rozhodnutí, zda se bude správa odehrávat ve vlastní režii nebo se využije outsourcingu. Je třeba uvážit velmi důležité faktory, které by se dal označit „know-how“ a „únik informací“. Při správě a případném testování systému a systémových prvků nutně dochází k určitému úniku informací a samozřejmě také k získávání jistého povědomí o funkci a vlastnostech systému jako celku, nazývaného take „know-how“. Tyto informace jsou při outsourcingu nutnou daní za případné snížení ceny správy, či sdílení odpovědnosti, což je diskutabilní, za funkčnost systému. Málokterý operátor má v dnešní době tak rozsáhlé vlastní zasíťování, aby byl schopen pokrýt požadované území vlastními silami, proto je potřeba uvažovat o koupi části sítě od někoho jiného (obvykle „last mile“, neboli poslední úsek k zákazníkovi) a/nebo pronájmu určitého úseku síťové trasy (optická vlákna,
50
WiFi a pod.). V realitě bývá nejčastější způsob pro nabytí určitého úseku sítě kombinací uvedených postupů. Specifikace a ocenění standardně nabízených zákaznických řešení je důležitá z pohledu zjednodušení instalace a následné správy systému. Mělo by se jednat o co největší možné zúžení produktového portfolia a nabízených služeb, tím pádem i ke konfiguračnímu zjednodušení. Nabízeny budou tedy například varianty Basic, Enterprise a Corporate, z nichž každá bude obsahovat přístupový prvek různé výkonnosti (routery různých řad Cisco tak, aby byly schopny dosáhnout požadovaných parametrů), zařízení pro připojení určitého počtu koncových prvků (switch o různém počtu portů) a samozřejmě také koncová zařízení typu IP (VoIP telefony a podobně). Jako nadstandard budou nabízeny produkty, jenž umožňují převod vstupního signálu z analogového na digitální a naopak (media gatewaye mezi klasickými telefony, či faxy a switchem anebo pobočkovou ústřednou a přístupovým routerem), či další nestandardní řešení. Systém bude, jak bylo napsáno, určitým způsobem standardizován, tudíž zákaznické požadavky budou upravovat výslednou konfiguraci jen částečně tak, aby nedošlo k přílišným obtížím ve správě systému a stejně tak bude také kladen důraz na instalaci vyzkoušených prvků systému, jak je popsáno výše. Finální vliv zákazníka bude tedy spíše objemový, tedy „kolik čeho“ potřebuje, především ve vztahu k prvkům uživatelským (telefony, ...).
3.2.
Návrh sytému
Návrh systému bude probíhat ve dvou základních fázích, z nichž jedna bude obecný návrh systémové struktury a další fáze budou již podrobnější popisy jednotlivých částí tohoto blokového schématu.
51
3.2.1.
Návrh obecného blokového schématu systému
Systém bude navržen ve tří-úrovňové architektuře, přičemž každá vrstva bude plnit specifické funkce a navzájem budou tvořit kompaktní systém. Na následujícím obrázku je blokově navrženo schéma architektury navrhovaného systému a popsány jednotlivé bloky, z nichž se systém skládá. 1. vrstva je pojmenována jako přístupová a jak již název napovídá, zprostředkovává přístup do systému. Jedná se víceméně o fyzický přístup, neboli propojení s prvky na pomezí s druhou vrstvou, nazývanými SBC. Na této vrstvě dochází také ke zprostředkování
komunikace
mezi
digitálními
pobočkovými
ústřednami
a fyzickými a softwareovými komunikátory s hraničními routery, ale zároveň i k převodu signálu z analogových zařízení na signál digitální a zpětně samozřejmě opačně. Rozhraní hraničního routeru a SBC je na pomezí vrstvy kontrolní a přístupové a je označeno jako blok SBC. 2. vrstva se nachází hned nad spodní přístupovou a je nazvána kontrolní. Zde dochází především ke kontrole uživatelských přístupů a k jejich ověřování s uživatelskou databází, která se nachází také v této vrstvě, a sestavování, různým modifikacím a rozpojováním hovorů a vzájemné konverzi IMS a PSTN signalizací. Jako doplňkové služby by se daly označit ty, které se nacházejí na pomezí jednotlivých vrstev, a sice ať už již zmiňované SBC, tak poskytování služeb media serveru, jako jsou IVR, hlásky a DTMF tóny. 3. vrstva se nachází v horní části této architektury a řídí a zpracovává data, přicházející z vrstev nižších. Patří sem služby, umístěné na pomezí této a kontrolní vrstvy, což jsou DNS služby, které zajišťují překlad a správu doménových jmen a adres. Propojení uživatelského rozhraní (webové nadstavby) s ostatními částmi systému a především databází zajišťuje tzv. aplikační server, o jehož funkčnost distribuci provozu se stará distribuční server. O webové uživatelské rozhraní se zde stará webový server, který spolupracuje především s aplikačním serverem a umožňuje nastavování a změny v systému. O úvodní přihlašování do systému přes webového klienta pomocí HTTP(S) se stará front end server, jemuž s autentikací, autorizací a doplněním dalších údajů pomáhá blok, zvaný system repository and directory. 4. vrstva, jenž je spíše takovou dislokovanou částí, starající se o celý systém, je blok s názvem multi-service network operation system, který spravuje veškeré body celé 52
platformy a zpracovává chybová a statusová data, protokoly SNMP, FTP a další a pomáhá při konfiguraci změn napříč celým systémem.
53
Obr.21: Základní architektura systému (zdroj: http://www.europen.cz/Proceedings/32/O2%20VoIP.pdf)
3.2.2.
Přístup k síti
V této kapitole bude naznačen způsob přenosu dat v síti. Zde není příliš důležité, zda se bude zákazník připojovat pomocí optické sítě nebo WiFi operátora, nýbrž jde především o přístup ze sítě poskytovatele služeb k síti operátora, který zprostředkovává připojení do Internetu, případně NIX. Jak je schematicky naznačeno na následujícím obrázku, zákazník využíváním IP telefonů a např. elektronické pošty generuje přes přepínač (switch) datový provoz, jenž se na routeru pomocí nakonfigurovaných politik rozdělí na garantovaný hlasový (může mít i proměnnou velikost podle aktuální zátěže) a negarantovaný datový stream a dále se zde, případně ještě na firewallu přeloží provoz z adres a portů lokálních na adresy a porty globální tak, aby nedošlo ke kolizím v síti a byla ztížena identifikace a tím i útok do vnitřní sítě z vnějšku. DSLAM (Digital Subscriber Line Access Multiplexer), neboli přístupový koncentrátor, plní funkci „propojovače“ poskytovatele internetových služeb s telefonním operátorem, který má DSLAM připojen k telefonní ústředně. Přenos mezi jednotlivými DSLAMy se uskutečňuje na bázi koncentrace hovorových kanálů.
54
Obr.22: Přístup do Internetu a využití kabelové trasy (zdroj: vlastní)
3.2.3.
Druhy přístupu k síti
Tento oddíl se bude starat již o konkrétní typ připojení zákaznické lokality. Bude zde nastíněn pouze vzorek výčtu těch nejvyužívanějších a popsány jejich základní parametry . LLU (Local Loop Unboundling) LLU je způsob připojení zákazníka, kdy si operátor pronajme linku z centrály vlastníka vedení a tuto následně „přepronajme“ zákazníkovi tak, že veškeré náklady s linkou spojené nyní neplatí koncový uživatel, nýbrž alternativní operátor. Na následujícím obrázku je vidět způsob a popis využití takovéto linky.
55
Obr.23: Princip LLU (zdroj: vlastní)
Zobrazení ADSL (Asymetric Digital Subscriber Line), nejčastěji používaného DSL připojení a schéma přenosu dat je znázorněna i se stručným popisem na následujícím obrázku.
Obr.24: ADSL (zdroj: vlastní)
56
FWA (Fixed Wireless Access) Dalším způsobem využití konektivity jiného operátora, často již alternativního je pomocí radiového spojení mezi základnovou stanicí onoho operátora a cílovým zákazníkem. Zde je velká výhoda mobility, neboli rychlé výstavby takového spojení, ale na druhou stranu velký problém s kvalitou a rychlostí přenosu. Jakákoliv změna v přenosovém prostředí totiž může v obecném pohledu měnit kvalitu přenesené komunikace, ale na poli bezdrátového přenosu to platí dvojnásob.
Obr.25: FWA (zdroj: vlastní)
3.2.4.
Přístup k pobočkám (VPN)
Přístup do firemní sítě v rámci VPN může být zprostředkován například pomocí zabezpečených „tunelů“, což jsou vyhrazené virtuální linky, po kterých se přenáší šifrovaná zpráva bez ohledu na fyzickou vzdálenost koncových zařízení. Tito uživatelé tak musí znát přihlašovací jméno a heslo a vlastnit certifikát, pomocí čehož dojde k navázání spojení.
57
Obr.26: IPSec VPN (zdroj: vlastní)
3.2.5.
Návrh zákaznické lokality
Pro návrh zapojení jednotlivých prvků zákaznické lokality je třeba dobře znát tamní stav a případné problematické záležitosti. Proto předtím, než dojde ke zhodnocení, je třeba získat od zákazníka co možná nejvíce „použitelných informací“ anebo provést osobní průzkum lokality. Toto lze vyřešit standardizovaným dotazníkem (příklad takového dotazníku je k nalezení v příloze), který vyplní buď technik na místě nebo operátor se zákazníkem, avšak veškeré problémy být podchyceny stejně nemohou. Na to by se mělo pamatovat při konkrétním návrhu řešení a nechat určitý prostor na změny na místě instalace. Na následujícím obrázku je výsledek průzkumu zákaznické lokality zformován do schematické podoby stávajícího síťového řešení.
58
Obr.27: Příklad výsledku průzkumu zákaznické lokality (zdroj: vlastní)
Po ujasnění potřeb zákazníka, především počtu aktivních uživatelů a jejich vybavenosti potřebnými technologiemi (např. počet telefonů, počítačů a faxů, tím i požadavku na přenosové pásmo, které by v tomto konkrétním případě mělo mít celkově cca 1,5 Mbps pro přenos hlasových i datových služeb) může dojít k naplánování počtu aktivních síťových zařízení a k návrhu řešení dané lokality již s požadovanými prvky. Výpočet šířky přenosového pásma: 7 x IP telefon (G.729) = 7 x cca 20 kbps = 140 kbps 1 x telefon (G.729)
= 1 x cca 20 kbps =
20 kbps
1 x fax (T.38)
= 1 x cca 140 kbps = 140 kbps
8 x PC
= 8 x cca 100 kbps = 800 kbps celkem = 1100 kbps
Z výpočtu vyplývá, že předpoklad byl správný a garance symetrických 2 Mbps (download/upload) bude tedy pro tento případ dostatečná. V této lokalitě je vhodný přístup přes FWA operátora, který byl využíván již dříve a nabízí požadovanou garanci šířky přenosového pásma 2 Mbps. Tímto nebude nutné měnit technologie spojené s přístupem a dojde ke snížení nákladů spojených s klasickou instalací, kde je potřeba zajišťovat přístup do Internetu.
59
Obr.28: Příklad návrhu zákaznické lokality (zdroj: vlastní)
Na předcházejícím obrázku je vidět návrh konkrétní zákaznické lokality a její připojení do sítě operátora. Přes tuto síť bude tudíž směrován veškerý provoz, jak hlasový, tak i datový. Toto řešení má tu výhodu, že v zákaznické lokalitě není zapotřebí instalovat vlastní firewall a o určitou bezpečnost síťového provozu se tak stará operátor na jeho zodpovědnost. Nevýhodou je však určitá nemožnost využití datového toku na plno z důvodu zabezpečení sítě operátora a tedy ztížení, či nemožnosti využití některých přenosových, či jiných protokolů. Nic to ovšem nevypovídá o počtu připojení zákazníka a využití záložních linek apod. U vyšších řad routerů je možné kombinovat několik WAN rozhraní a směrovat tedy provoz přes několik alternativních sítí společně a rozdělit tak zátěž, resp. zvětšit šířku přenášeného pásma nebo záložně, tedy při výpadku spojení využít jinou trasu. Toto řešení má velkou výhodu v zabezpečení provozu zákaznické lokality, ovšem finanční náročnost je mnohdy násobně vyšší. Dalším řešením může být využití rozdělení datového a hlasového toku na dva rozdílné streamy, z nichž každý bude posílán jinou cestou, tedy přes jiného operátora. Hlasový tok bude tedy směrován téci přes poskytovatele hlasových služeb, vlastnícího virtuální telefonní ústřednu a až teprve následně dále a datový tok přes alternativního poskytovatele připojení, který již zprostředkuje přímý propoj do Internetu. Zde je ovšem nutné vlastnit firewall přímo v zákaznické lokalitě a hlídat si provoz sám. Výhoda je ovšem větší volnost při používání jakýchkoliv protokolů, případně může být i finanční, pokud má zákazník nastaveny nějaké výhodné datové tarify.
60
Obr.29: Příklad rozdělení zákaznického provozu na data a hlas (zdroj: vlastní)
3.2.6.
Instalace a předání
Výstupem návrhu řešení by měl být požadavek instalace, kde by měly být specifikovány veškeré parametry zákaznické lokality, připojení a samozřejmě také požadavky na konfiguraci. Technik pak buď pouze instaluje již nakonfigurovaná zařízení nebo konfiguraci musí zajistit. Konfigurace by měla obsahovat základní bezpečností normy kryptování, natování a podobně a měla by být napsána srozumitelně, z důvodu možných dalších úprav. Návrh konfiguračního souboru tak, jak by mohl být uveden do provozu, pouze se změněnými daty bude uveden v příloze. Po realizaci instalace je potřeba zákazníkovi předvést funkčnost celého systému a tuto si pro pozdější nesrovnalosti nechat potvrdit. Další nezbytnou záležitostí je potvrzení předávacího protokolu na veškeré prvky systému, které byly technikem dodány a samozřejmě také zdokumentování stavu po instalaci například pořízením fotografií klíčových prvků a vytvořením schématu skutečného provedení zákaznické lokality. Někdy je vhodné popsat problémy, jenž se při instalaci vyskytly tak, aby při následném servisu zařízení nebo systému jako celku a objevení stejných nebo podobných závad, bylo řešení jednodušší. Po těchto krocích by mělo ještě následovat zpracování dokumentace zákaznické lokality tak, aby v ní nechyběly žádné dokumenty a důležité poznatky, které byly nabyty jak během průzkumu a návrhu systému, tak i během fyzické instalace tohoto systému. Dokumentace by měla být přístupná všem, kteří se podíleli na realizaci a i těm, kteří se budou starat o správu, ale zároveň by měla být na tak bezpečném místě, aby nemohlo dojít k jejímu zneužití. 61
4. ZÁVĚR Tato práce popisuje vývoj informačních a telekomunikačních technologií od jejich vzniku a ranného stádia vývoje až po současnost a ukazuje, jak velký skok tento udělal především v posledním století. Tento trend stále pokračuje nebo se dokonce i nepatrně zrychluje, avšak původní teoretické poznatky o principu fungování telekomunikací zůstávají. I přes překotný posun v oblasti vývoje tohoto oboru jsou technologie stále závislé na lidské činnosti a nejsou samospasitelné. Jejich složitost narůstá spolu se zvyšováním výkonnostních parametrů a tudíž i náročnost na jejich obsluhu, správu a údržbu je mnohem vyšší, než dříve. I když cena za srovnatelně výkonné produkty je již po několika letech několikanásobně nižší, požadavky na zpracování současného množství dat a složitosti výsledných informací jsou tak velké, že srovnání musí probíhat spíše na výkonnostních parametrech potřebných v daném čase. Zde tedy dochází pouze ke kosmetickým změnám cen za jednotlivé produkty, nikoliv dramatickým. Jak bylo naznačeno, telekomunikační systémy jsou stavěny na čím dál důmyslnějších systémech tak, aby nejen odolaly neustále rafinovanějším metodám, používaným v oblasti počítačové kriminality, ale také proto, aby urychlily putování dat systémem sítí. Návrh telekomunikačního sytému je tedy ve skutečnosti velmi náročná věc a není to otázka několika dní či týdnů, spíše měsíců až let, pokud má být projekt kvalitní a má splňovat veškeré zákonné normy a nejmodernější bezpečnostní standardy ve své oblasti. V průběhu projektování telekomunikačního systému by se mělo myslet na to, že vývoj telekomunikací a informatiky jde neustále „mílovými kroky“ kupředu. Pokud se totiž přejde k využívání levnějších technologií a principů, které již v době začátku plánování nejsou „trendy“, potom při realizaci systému jako takového budou již morálně zastaralé natolik, že nastane problém s jejich provozem. V praktické části bylo ukázáno, jakými fázemi by návrh telekomunikačního systému měl probíhat, nicméně tento postup rozhodně není závazný. Je to vyzkoušený poznatek z praxe při zavádění takového systému pro jednoho z operátorů. Přenosový systém byl ponechán z důvodu snížení nákladů a použité technologie byly vybrány pro jejich spolehlivost a důležitá byla i kompatibilita jednotlivých prvků systému. Dokonce ani zmiňované technologie již za nějakou dobu nebudou využívány, ale alespoň použité základní principy a metody, jako například princip přenosu dat by měly přetrvat i do budoucna. Práce by tedy měla sloužit především jako pomůcka při budování telekomunikačního systému. 62
SEZNAM POUŽITÉ LITERATURY BIGELOV, J., Stephen. Mistrovství v počítačových sítích. Brno, Computer Press, 2004. ISBN 80-251-0178-9. MCQUERRY, Steve; HUCABY, David. Konfigurace směrovačů Cisco. Brno, Computer Press, 2004. ISBN 80-722-6951-8. SPORTACK, A., Mark. Směrování v sítích IP. Brno, Computer Press, 2004. ISBN 80-2510127-4. Teare, Diane. Návrh a realizace sítí Cisco. Brno, Computer Press, 2003. ISBN 80-2510022-7. Wallace, Kevin. VoIP. Brno, Computer Press, 2007. ISBN 978-80-251-1458-2. Cisco [online]. © 1992-2010 Cisco Systems, Inc. All rights reserved. 2010 [2010-08-06]. Dostupný z WWW: . ČSÚ [online]. © Český statistický úřad. 2010 [2010-01-06]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-24]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-27]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
http://creativecommons.org/licenses/by-sa/3.0/. z WWW: . 63
pod 2010
licencí [cit.
2010-05-29].
CC-BY-SA, Dostupný
Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-22]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-09]. Dostupný z WWW: . Wikipedie [online]. Uvolněno pod licencí CC-BY-SA, http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-07-09]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-06-09]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-16]. Dostupný z WWW: . Wikipedie
[online].
Uvolněno
pod
licencí
CC-BY-SA,
http://creativecommons.org/licenses/by-sa/3.0/. 2010 [cit. 2010-05-16]. Dostupný z WWW: .
64
SEZNAM POUŽITÝCH OBRÁZKŮ Obr.1: Bellův telefon - Centennial Model (zdroj: www.converter.cz/fyzici/bell-telefon.png) Obr.2:
Telefonní
ústředna
(zdroj:
http://www.cetoraz.info/apps/gallery2/d/38020-
2/img_1792.jpg) Obr.3: Synchronní ústředna (zdroj: http://maturita-ztd4.kvalitne.cz/SdT/05.doc) Obr.4: Otočný krokový volič (zdroj: http://maturita-ztd4.kvalitne.cz/SdT/05.doc) Obr.5: Možnosti přístupu přes ISDN (zdroj: http://www.bernkopf.cz/skola/predmety/cisco/materialy/ prezentace/4_04_isdn_ ddr.ppt#268,7,ISDN Access Options) Obr.6: Mobilní telefon (zdroj: http://cs.wikipedia.org/wiki/Mobiln%C3%AD_telefon) Obr.7: Baudotův telegraf (zdroj: www.converter.cz/fyzici/baudot_telegraf.jpg) Obr.8: Dálnopis Hellschreiber (zdroj: http://cs.wikipedia.org/wiki/Soubor:Fernschreiber_T100_Siemens.jpg) Obr.9: Fax Canon B820 (zdroj: www.top-can.cz/stroje/gfx/b820.gif) Obr.10: Pager Respond P2000 (zdroj: www.respond.nl/pager.jpg) Obr.11: Osobní počítač (zdroj: http://encit.wz.cz/) Obr.12: Modem (zdroj: http://www.obrazky.cz) Obr.13: WiFi router Linksys (zdroj: http://cs.wikipedia.org/wiki/Soubor:Router.jpg) Obr.14: Rack se servery (zdroj: http://cs.wikipedia.org/wiki/Server) Obr.15: Příklad komunikace s TACACS+ a RADIUS (zdroj: http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml) Obr.16: Schéma DNS prostoru a jeho členění na jednotlivé zóny (zdroj: http://upload.wikimedia.org/wikipedia/commons/thumb/b/b1/Domain_name_space.svg/20 00px-Domain_name_space.svg.png) Obr.17: Postup vyhledání www.wikipedia.org v DNS (zdroj: http://cs.wikipedia.org/wiki/Soubor:Dns-wikipedia.gif) Obr.18: Řešení dotazu na DNS blokově (zdroj: http://upload.wikimedia.org/wikipedia/commons/thumb/0/09/DNS_in_the_real_world.svg/ 2000px-DNS_in_the_real_world.svg.png) Obr.19: SIP SBC, realizovaný pomocí NAT (zdroj: http://www.cisco.com/en/US/docs/ios/12_4t/ip_addr/configuration/guide/htnatsbc.html) Obr.20: Funkce NAT (zdroj: http://manuals.kerio.com/wrl/cz/131.htm) 65
Obr.21: Základní architektura systému (zdroj: http://www.europen.cz/Proceedings/32/O2%20VoIP.pdf) Obr.22: Přístup do Internetu a využití kabelové trasy (zdroj: vlastní) Obr.23: Princip LLU (zdroj: vlastní) Obr.24: ADSL (zdroj: vlastní) Obr.25: FWA (zdroj: vlastní) Obr.26: IPSec VPN (zdroj: vlastní) Obr.27: Příklad výsledku průzkumu zákaznické lokality (zdroj: vlastní) Obr.28: Příklad návrhu zákaznické lokality (zdroj: vlastní) Obr.29: Příklad rozdělení zákaznického provozu na data a hlas (zdroj: vlastní)
66
SEZNAM POUŽITÝCH ZKRATEK AAA
Authentication, authorisation, accounting protocol
ACL
Access control list
ADSL
Asymetric digital subscriber line
ARPANET
Advanced research project s agency network
ATM
Asynchronous transfer mode
BRI
Basic rate interface
BTS
Base transceiver station
CPU
Central processig unit
ČTÚ
Český telekomunikační úřad
DECT
Digital enhanced cordless telecommunications
DHCP
Dynamic host configuration protocol
DNS
Domain name system
DSL
Digital subscriber line
DSLAM
Digital subscriber line access multiplexer
DTMF
Dual-tone multi-frequency signaling
EAP-PEAP
Protected extensible authentication protocol
ENIAC
Electronic numerical integrator and computer
ERMES
European radio messaging system
FCS
Frame check sequence
FTP
File transfer protocol
FW
Firewall
FWA
Fixed wireless access
GPRS
General packet radio service
GSM
Global system for mobile communication
HTTP(s)
Hypertext transfer protocol (secure)
HW
Hardware
ICMP
Internet control message protocol
IDS
Intrusion detection system
IEEE
Institute of electrical and electronics engineering
IMP
Interface message protocol
IMS
Information management services 67
IP
Internet protocol
IPsec
Internet protocol security
IPv4(6)
Internet protocol version 4 (6)
ISDN
Integrated services digital network
IT
Information technology
IVR
Interactive voice response
kbps
kilobits per second (datový tok)
kHz
kilohertz (frekvence)
Kodek
Kodér dekodér
LAN
Local area network
LDAP
Lightweight directory access protocol
LED
Light emitting diode
LLU
Local loop unboundling
MD5
Message digest algorithm 5
MGW
Media gateway
MIT
Massachusetts Institute of Technology
MPLS
Multiprotocol label switching
NAPTR
Name authority pointer
NAS
Network access server
NAT
Network address translation
NIX
Zájmové sdružení poskytovatelů internetu
NSFNET
National science foundation
OS
Operation system
OSI
Open systems interconnection
P2P
Peer to peer
PAP
Password authentication protocol
PC
Personal computer
PCM
Pulzně kódová modulace
PPP
Point-to-point protocol
PRI
Primary rate interface
PSTN
Public switched telephone network
PTR
Pointer
QoS
Quality of services
RADIUS
Remote authentication dial in user service 68
RAID
Redundant array of independent disks
RDS
Radio data system
RFC
Request for comments
RPC
Remote procedure call
RTP
Real-time protocol
SBC
Session boarder controller
SHDSL
Single-pair high-speed digital subscriber line
SIM
Subscriber identity module
SIP
Session initiation protocol
SLA
Service level agreement
SMB
Small and medium business
SMS
Short message service
SNMP
Simple network manage protocol
STP
Spannig tree protocol
SW
Software
TACACS
Terminal access controler access-control system
TCP
Transmittion control protocol
TLD
Top-level domain
TTL
Time to live
UDP
User datagram protocol
UMA
Unlicenced mobile access
UNIVAC
Universal automatic computer
URL
Uniform resource locator
USA
United States of America
VCI
Virtual circuit identificator
VLAN
Virtual LAN
VoIP
Voice over IP
VPI
Virtual path identificator
VPN
Virtual private network
VPS
Virtual private server
WAN
Wide area network
WiFi
Wireless network
WLAN
Wireless LAN
WWW
World wide web 69
SEZNAM PŘÍLOH Příloha č.1: Vývoj technologií v čase (časová osa) Příloha č.2: Vzor dokumentu požadavku na průzkum zákaznické lokality Příloha č.3: Vzor dokumentu specifikace konfiguračních parametrů Příloha č.4: Vzor dokumentu nákladů na zákaznickou lokalitu Příloha č.5: Vzor dokumentu akceptačního protokolu Příloha č.6: Vzor dokumentu předávacího protokolu Příloha č.7: Vzor konfigurace routeru Příloha č.8: Vzor konfigurace MGW Příloha č.9: Vzor dokumentu vyhodnocení instalace
70