MASARYKOVA UNIVERZITA Pedagogická fakulta
Zabezpečení a návrh menší počítačové sítě
Bartoš Lukáš SP-TE
Co si asi vybavíme pod pojmem počítačová síť? Je to soustava vzájemně propojených počítačů. Hlavní výhoda takovéto sítě je schopnost zprostředkovat sdílení periferních zařízení (tiskáren, modemů, plotrů, atd.), dat a strojového času. A také zprostředkování komunikace mezi uživateli sítě. Podle rozlehlosti dělíme sítě na: • LAN (lokální počítačové sítě (Local Area Network)), • MAN (metropolitní sítě (Metropolitan Area Network)), • WAN (rozlehlé datové sítě (Wide Area Network))
V našem případě se budeme věnovat lokální počítačové síti, čili LAN. Lan síť si můžeme představit v rámci jako síť v rámci školy nebo v domácnosti. Pro příkladnost a zajímavost tématu je dobré vysvětlovat žákům síť na konkrétním vzoru, např.“Tuto síť si můžete postavit také doma, kde používáte více počítačů“. To žáky přinutí více se soustředit a také je to motivuje k domácí přípravě.
Pro návrh menší počítačové sítě a k její funkčnosti jsou nutné základní prvky, tzn. jsou to jednotlivé komponenty sítě, kdy jedna bez druhé nemůže fungovat. •
Počítače se síťovým adaptérem
•
Přenosová média
•
Síťový operační systém.
•
Sada pravidel, která definuje způsob komunikace v síti
•
Síťové prvky
Prvním úkolem je zvolit a rozvrhnout aktivní prvky sítě, jednotlivé stanice (počítače) a zvolit vhodné přenosové médium. Vše zakreslíme do jednoduchého schématu.
Schéme jednoduché domácí poč. sítě 1
A nyní si rozebereme jednotlivé prvky sítě : Počítač se síťovým adaptérem V počítači, který je zapojen do sítě, je nutné mít připojenu síťovou kartu, což je rozhraní mezi počítačem a přenosovým médiem. Síťová karta se běžně zapojuje do slotu PCI ( ve starších PC do slotu ISA), ale v dnešní době je již integrována na základní desce. Síťové karty mohou obsahovat několik konektorů – především jsou to BNC a RJ 45 konektory. Můžeme se také rozhodnout, že budeme využívat bezdrátové sítě WIFI, je ale nutné pořídit WIFI klienta do našeho PC, buď do USB slotu nebo PCI (PCI expres).
Přenosové médium Pod pojmem přenosové médium je možné si představit cesty mezi jednotlivými prvky sítě, jsou to buď kabely nebo bezdrátový signál. Kabeláže pro rozvod v budovách jsou koaxiální kabel a kroucený čtyř-pár. Koaxiální kabel je dříve používané přenosové médium s nižší rychlostí přenosu dat, má odpor 50 ohm a konektory pro připojení k ostatním zařízením jsou BNC. Délka koaxiálního kabelu pro přenos je omezená, jelikož data poslaná jsou větší délkou kabelu ztracena a proto se každých cca. 80-100 metrů používali tzv. REPEATERy neboli opakovače pro zesílení signálu. Síť budovaná pomocí koaxu byla především typu sběrnicé sítě a to tak, že na konci vedení se umístil terminátor pro odražení signálu a zpětného poslání na linku. V dnešních dobách se již nepoužívá tato technologie a přešlo se ke klasickému kroucenému čtyřpáru -Twisted pair, v dnešní době nejpoužívanější kategorie CAT5 a CAT6. Přenosová rychlost se se zvětšila na 10-100 Mb/s a ztráty spojené s délkou kabelu vymizely. Stejně tak je u UTP ( tento název se používá také pro TwPair kabel) lepší odrazivost rušivých vlivů, z důvodu kvalitního odstínění a kroucení párů v kabelu. Pro připojení k ostatním zařízením využívá UTP konektory RJ-45 (8 žilové). Optické vlákno můžeme naleznout většinou při rozvodech sítí mezi jednotlivými většími směrovači ( tzn. Mezi jednotlivými budovami atd. ). Samotné vlákno není nákladné, ale prvky pro realizaci sítě stále drží ceny vysoko. Jako bezdrátové přenosové médiu je dnes nejvíce využíváno WIFI signálu. Vychází ze standartu IEE 802.11 a původně měla zajišťovat připojení klientů v LAN sítích. Avšak nyní je možno se připojit pomocí wifi signálu k internetu z všemožných hůře signálu a kabelům přístupných míst.
My jsme nyní v situaci, kdy musíme zvolit nejlepší variantu pro přenosové médium. Použítí kabelu je náročnější na provedení, je spolehlivější a můžeme tak rozvést malou LAN síť také přes různé překážky (zdi, patra atd.). Wifi je jednodušší, nemusíme vrtat zdi, pokládat kabely do kabelových chráničů, ukončovat kabely konektory atd.
Prvky sítě Slouží pro jednotlivé spojení a odlišení sítí. Zajišťují orientaci příchozí a odchozí informace ze sítě. Prvky sítě dělíme : Aktivní Pasivní Aktivní prvky tvoří srdce každé počítačové sítě. Podle jejich funkce je dělíme v zásadě do tří skupin:
Rozbočovače (Huby) používají v sítích, které nejsou příliš rozsáhlé nebo tam, kde je třeba rozšířit stávající možný počet připojených stanic. Každý rozbočovač lze srovnat se segmentem koaxiální sítě, tzn. že hub je sdílen všemi stanicemi sítě. V jednom okamžiku je přenos signálu zprostředkován pouze pro jeden počítač vysílající a jeden přijímající. Ostatní stanice čekají na uvolnění přenosového kanálu. Rozbočovač tedy tvoří kolizní doménu, stejně jako segment koaxiální kabeláže. Teoretická průměrná průchodnost informací přes rozbočovač je tedy dána rychlostí přenosu dělenému počtem připojených stanic, např. u 24portového rozbočovače 10Mbps je 10Mbps/24, tzn. cca. 0,4Mbps. Vzhledem k uvedeným principům je tedy zřejmé, že uplatnění rozbočovačů je v takových sítích, kde nedochází příliš často k velkému zatížení sítě, které by přinášelo zvýšení počtu kolizí až zahlcení sítě. Tomuto určení odpovídá a jejich ceny, která je typicky třetinová oproti přepínačům. Rozbočovače používají protokoly Ethernet a Fast Ethernet.
Přepínače (Switche) Používají se v sítích, ve kterých dochází k relativně vyššímu zatížení sítě s větším počtem stanic. Využívají se zejména přepínače nesymetrické, které disponují např. 24mi porty
100Mbps a jedním nebo dvěma porty 1000 Mbps. Do pomalejších portů se zapojují stanice nebo rozbočovače, do rychlejších portů servery nebo páteřní vedení. V praxi totiž naprostá většina komunikace prochází po trase stanice-server nebo server-stanice, takže rychlost sítě je tedy dána rychlostí kanálu vedoucího na server. Princip přepínače je v tom, že vnitřní logika přepínače kontroluje adresy odesílatele a příjemce obsažení v přenášené informaci a na základě těchto adres provádí přepínání daného paketu pouze na port přepínače, kde se stanice nebo server s danou cílovou adresou nachází. Tím dochází k odlehčení zatížení ostatních portů přepínače, které jsou volné pro současnou komunikaci jiných dvou účastníků sítě. Přepínač tedy tvoří broadcastovou doménu. Přepínače jsou typicky určeny do topologií jedné lokální sítě. Přepínače používají protokoly Ethernet, Fast Ethernet a Gigabit Ethernet. V poslední době nacházejí stále vyšší uplatnění přepínače na třetí vrstvě síťového modelu OSI, které v sobě slučují funkci přepínačů a směrovačů (viz. níže). Toto řešení využívá podstatně rychlejšího hardwarového řešení přepínače k směrování paketů a proto vytlačuje standardní směrovače hlavně v lokálních sítích.
Směrovače (Routery) Pracují podobně jako přepínače na základě vnitřní logiky přepínání paketů. Toto přepínání se však děje ne na úrovni jedné sítě a fyzických hardwarových síťových adres jako v případě přepínačů, ale na úrovni směrování paketů mezi jednotlivými sítěmi. Směrovač je prvek pro spojení jednotlivých sítí mezi sebou s definovanými vlastnostmi předávání. Směrovač tedy tvoří rozhraní mezi broadcastovými doménami. V současné době je největší využití směrovačů v celosvětové síti Internet, která je vlastně tvořena jednotlivými sítěmi spojenými směrovači. Vzhledem k tomu, že se většinou přenášejí informace z jedné rozsáhlé sítě do jiné, jsou využívány rychlé protokoly jako ATM, Gigabit Ethernet a Fast Ethernet. V dnešní době lze zakoupit zařízení sloužící jako brána do internetu s integrovaným switchem a hardwarovým firewallem pro běžné domácí použití. Pro náš příklad domácí sítě lze použít běžný router se switchem a USB konektorem.
Síťový operační systém Pro plnohodnotné využití počítačové sítě je nutné mít v PC instalován síťový operační systém. Bez toho softwaru se i sebelépe zapojená síť nedá prohlašovat za počítačovou, ale pouze spojení peer to peer ( uzel do uzle ). V tomto spojení jsou si všechny počítače rovny, jsou na stejné úrovni. Pro funkční užitečnost se v počítačových sítích využívá počítače s názvem server. Většinou výkonnější stroj se síťovým softwarem typu LINUX, WINDOWS PROFESIONAL či UNIX lze využívat jako : • webový server – především v síti Internet poskytuje WWW stránky • souborový server – slouží např. v podnikové síti jako centrální úložiště dat (dokumentů) • databázový server – slouží jako úložiště strukturovaných dat (databází) • tiskový server – zpřístupňuje ostatním uživatelům sítě služby tiskárny • faxový server • proxy server nebo brána GATE – zprostředkovává ostatním uživatelům sítě přístup do sítě jiné (např. Internet) • aplikační server – počítač specializovaný na provoz nějaké aplikace • herní server – nabízí hraní her s více hráči
Sada pravidel pro komunikaci Normu pro komunikaci po přenosovém médiu tvoří referenční model ISO OSI, který tvoří tzv. vrstvový model. ISO OSI se skládá ze 7 vrstev 1. Fyzická vrstva 2. Spojová vrstva 3. Síťová vrstva 4. Transportní vrstva 5. Relační vrstva 6. Prezentační vrstva 7. Aplikační vrstva Každá ze sedmi vrstev vykonává určité funkce potřebné pro komunikaci. Pro svou činnost využívá služeb své sousední nižší vrstvy. Své služby pak dále poskytuje sousední vyšší vrstvě. Podle referenčního modelu není dovoleno vynechávat vrstvy, ale některá vrstva nemusí být aktivní. Takové vrstvě se říká nulová, nebo transparentní.
Obecné zabezpečení sítě Typ zabezpečení sítě vyplívá z velikosti sítě, jejich důležitosti dat a také možnosti útoků. V klasické domácí počítačové síti postačuje instalace softwarového firewall a antivirového programu. Firewall hlídá procesy, které se v počítači spouštějí. U každého procesu máte možnost trvale nebo pouze jednou povolit či zakázat. Máme tedy kontrolu na tím, kam se počítač připojuje. Základní firewall máme součásti systému, ale instalací jiného samostatného, máme menší pravděpodobnost nákazy virem. Jako ochranu společností s větší počítačovou sítí je doporučený hardwarový firewall. Hardwarový firewall je speciální hardware, který zajišťuje zabezpečené spojení mezi externí (Internet) a interní sítí (LAN). Zařízení tohoto typu poskytují vysoký stupeň zabezpečení počítače nebo celé počítačové sítě připojené do internetu. Mnohé z těchto zařízení obsahují také 4portový aktivní prvek (switch), který umožní bez jakýchkoliv dalších nákladů propojit až 4 počítače do malé počítačové sítě. Další důležitou věcí je zabezpečení VPN sítě. Uživatelé připojující se z „dálky“, tzn. nejsou fyzicky na místě počítače, ale připojují se z jiného počítače na počítač v určité síti, přistupují k souborům sítě se speciálními pravidly. Virtuální privátní síť (VPN) umožňuje bezpečnější provádění těchto činností.
Příklad stavby počítačové síti v domácnosti Nejdříve dáme dohromady potřebné informace pro stavbu sítě: počty počítačů, přenosové médium, finance atd. Začneme tím, že si zakreslíme jednoduché schéma bytu a vykreslíme na něj, kde se nacházejí jednotlivé počítače a prvky sítě.
Nyní můžeme zakreslit, jakým způsobem bude nejvýhodnější spojení sítě. Stolní počítače v pokoji 1 a obývací pokoji propojíme strukturovanou kabeláží CAT5 a pohyblivé notebooky v pokoji 3 a 2 pomocí WIFI sítě. K tomuto zapojení nám bude postačovat Router se 4portovým switchem a WIFI. Pro případné sdílení tiskárny je dobré, aby byl router vybaven USB rozhraním.
Hardwarové nastavení sítě Nejdříve naměříme délky všech kabelů a provrtáme zdi nekratší cestou od aktivního prvku ke stanicím. Položíme kabely do kabelových chráničů. Umístíme router a modem poskytovatele do RACKu (systém umožňující přehlednou montáž a propojování různých elektrických a elektronických zařízení) v předsíni. Zakončíme kabelové vedení konektory RJ45 a provedeme kontrolu testerem. Zapojíme do síťových karet a zařízení podle obrázku, do zástrčky WAN kabel z modemu poskytovatele (nebo přímo kabel, určený pro připojení). LAN1-LANx pro připojení jednotlivých počítačů v síti.
Tester RJ konektorů
Konektor RJ45 a popis pinů
Pohled na router ze strany konektorů
Nyní máme veškerou hardwarovou činnost hotovu a můžeme přejít k nastavování sítě.
Programové nastavení sítě Nainstalujeme aktuální ovladače síťových a WIFI karet. Přejdeme k prvnímu počítači, na kterém internet doposud funguje. Podíváme se na to, jak je nastavený, a to samé, či jen malinko dolišně, nastavíme na druhém počítači. Otevřeme ovládací panely - START > Ovládací panely > Síťová připojení. Vlastnosti buď „Připojení k místní síti“ (pokud je to počítač připojen kabelem) nebo WIFI (pokud je připojen bezrátově).
Klikneme na řádek „Protokol sítě Internet (TCP/IP)“ a „Vlastnosti“.
Pro automatické přidělování IP adres nastavíme viz.obr.
Stejné nastavení automatického přidělování musíme zadat také v nastavení routeru. Nový router má defaultně nastavenu ip adresu 192.168.1.1, pokud tedy chceme vstoupit do jeho setupu, zadáme tuto adresu do webového prohlížeče.
Příklad nastavení automatického přidělování ip adres u routeru TP-LINK
V LAN nastavíme DHCP Server=enable a necháme přidělování adres od 192.168.1.100 po 192.168.1.199. Otevřeme položku wireless a zaškrtneme Enable Wireless Router Radio, budeme se moci připojovat a nastavovat router také přes Wi-Fi. Zaškrtnuté Enable SSID Broadcast znamená, že bude váš router vidět a bude se k němu moct kdokoliv připojit. Zapneme Enable Wireless Security, následně: • • • •
Security Type: WPA-PSK/WPA2-PSK ……. Typ zabezpečení Security Option: Automatic Encryption: Automatic PSK Passphrase: zde se nastavuje heslo pro připojení k Wi-Fi; doporučuji toto nepodceňovat, složit z různě velkých písmen a čísel.
Nyní jsou všechny kabelově spojené počítače již připojeny k síti. Počítače s wifi adaptérem je nutné prvotně přihlásit k routeru a zadat přihlašovací heslo (při dalším startu se již přihlásí automaticky, pokud je síť k dispozici). Zaktualizujeme seznam sítí, vybereme naši síť a zadáme heslo (zadané v setupu routeru).
Seznam dostupných sítí
Zabezpečení WIFI Bezdrátová síť je na tom stejně jak počítač či router (nebo jiné síťové zařízení). Po zakoupení a instalaci není bezpečně nainstalována a je nutné ji dodatečně zabezpečit. Stejně jako například u routerů drátových, i ty bezdrátové jsou nainstalovány se "standardními" neboli defaultními hesly co dodává výrobce. •
První krok zabezpečení je změna SSID a nastavení nového přístupového jména a hesla a často i změna "defaultního" kanálu.
•
Neméně důležité je aktivování WEP ochrany - použití 128bitového zabezpečení je doporučeno tam, kde máte karty podporující plných 128bitů. Každopádně postačí alespoň 40bitů. Bez ohledu na to, že WEP je "prolomitelný" je tato ochrana velmi důležitá. Aktivací WEP totiž zajistíte nemožnost volného anonymního přístupu "náhodným návštěvníkům" vaší sítě.
•
WiFi routery často umožňují i filtraci podle MAC adres (adresa síťové karty "zadrátovaná" do hardware), takže v bezpečných sítích je dobré nastavit seznam povolených MAC adres - pokud "útočník" nebude mít tu správnou adresu, má smůlu.
•
Kvalitnější (a dražší) WiFi routery umožňují další stupeň ochrany - zákaz broadcastu SSID. Jediná možnost jak obejít tento stupeň ochrany potom bude odposlouchávání provozu ne bezdrátové sítí.
Pokud budeme provozovat jakoukoliv bezdrátovou síť, nenamlouvejte si, že jí nikdo nemůže zneužít. Vaše síť je bezdrátová a stačí jeden šikula s notebookem v dosahu vaší sítě a snadno ji využije. Ohledně bezpečnosti se v poslední době hodně pokročilo, místo čekání na 802.11i se aplikuje WPA od WiFi Aliance, které je ve spolupráci s 802.1x už docela silné jak co do autentizace, tak co do šifrování. Typy šifrování přístupových hesel:
WEP Šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Díky nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč relativně snadno získat. Pro získání klíčů existují specializované programy.
WPA Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný program (WPA suplikant). Z tohoto důvodu je možné i starší zařízení WPA vybavit. Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key – obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUS (Remote Authentication Dial In User Service – ověřování přihlašovacím jménem a heslem proti RADIUS serveru).
WPA2 Novější WPA2 přináší kvalitnější šifrování (šifra AES), která má však vyšší hardwarové nároky. Některé starší modely Wifi klientů toto šifrování nepodporují.
Literatura: COMPUTER PRESS,A.S, Časopis Computer, Praha, 2008 http://www.microsoft.com http://pctuning.tyden.cz http://vseohw.cz ZANDL PATRICK, Bezdrátové sítě WiFi, 2008, Computer Press