Počítačová síť TUONET a její služby

Počítačová síť TUONET a její služby

Petr Grygárek katedra informatiky Fakulta elektrotechniky a informatiky VŠB-TU Ostrava

Osnova ● ● ●

Síťové technologie provozované v TUONETu. Připojení TUONETu do Internetu Možnosti přímého připojování zařízení do TUONETu – –

● ●

Význam a konfigurace parametrů pro připojení Autentizace zařízení

Přístup ke službám Internetu z TUONETu Přístup ke službám TUONETu z Internetu

Síťové technologie v TUONETu ●

Ethernet – – –

●

struktura přepínačů (huby jen výjimečně) klientské porty: 10/100 Mbps, servery 1Gbps páteřní spoje: 100Mbps, 1Gbps

WiFi (IEEE 802.11) – –

–

802.11b: 2.5 GHz, max. 11 Mbps 802.11g: 2.5 GHz, max. 54 Mbps ● zpětně kompatibliní ● většina AP reálné propustnosti max. cca 1/2 teoretických, závisí na vzdálenosti od AP a počtu aktivních klientů

Ethernet (1) Internet Smerovac (router) Prepinace (switch)

Pevne pripojena zarízení

802.1x i M ac

i M ac

iM a c

Zarizeni studentu

Ethernet (2) ●

● ●

Propojení nestíněnou kroucenou dvoulinkou (UTP5e) – přímé propojení (1:1) Konektor RJ-45 (8 pinů) Catalyst 2950 Switch:

WiFi

● ●

Access Point (AP) – vykrývá signálem jednu buňku Pro připojení v klientovi nutno nadefinovat identifikaci sítě (SSID) – –

na VŠB není vysílán tuonet-eap, tuonet-vpn – fyzicky tatáž AP

WiFi-pokrytí ● ● ● ●

počítačové učebny, studovna, veřejné prostory,... označení „WiFi hotspot“ postupné pokrývání dalších prostor aktuální stav viz http://wifi.vsb.cz

Identifikace zařízení v síti ●

MAC adresa – – –

48 bitů, např. 00:c0:ae:1c:20:7e napevno „vypálená“ v síťovém rozhraní zařízení celosvětově jednoznačná (3B kód výrobce, 3B přiděluje výrobce)

●

IP adresa – –

32 bitů, např. 158.196.149.9 zařízení přiřazena administrátorem, konfigurovaná v OS ● ●

nastavená manuálně staticky přidělena na požádání síťovou službou DHCP (Dynamic Host Configuration Protocol) – –

dynamická volba adresy (mobilní zařízení) stále stejná adresa přidělovaná podle MAC adresy (pevně připojená zařízení)

Identifikace procesu v síti - porty Proces = program právě běžící na některé stanici (připojené k síti) ●

● ●

Na stanici s jednou IP adresou současně běží více různých procesů Procesy v rámci stanice rozlišeny číslem portu Čísla portů obecně používaných služeb dohodnuta – – – –

80 – WWW 23 – Telnet 22 – Secure Shell 110 – Post Office Protocol (čtení pošty)

IP adresa ●

●

dělení na dvě části: adresa sítě a adresa uzlu v rámci sítě hranici částí určuje maska podsítě (subnet mask) – – –

●

sekvence 32 bitů počet jedniček zleva určuje počet bitů v adrese sítě zapisuje se jako čtveřice dekadických číslic :-(

Příklad: – – – –

IP adresa: 158.196.157.123 Maska podsítě: 255.255.255.0 (11111111.11111111.11111111.0) adresa sítě je 158.196.157.0 adresa uzlu je .123

IP adresa (příklad) 172.16.1.1 172.16.1.254 172.16.1.X 255.255.255.0 158.196.X.X 255.255.0.0

router

158.196.0.1 158.196.255.254

192.168.1.(1000)xxxx 255.255.255.240 192.168.1.129 192.168.1.142

IP adresy VŠB-TU ● ●

●

prefix 158.196.x.x jednotlivým segmentům sítě přiřazeny delší prefixy lišící se v dalších bitech maska podsítě na různých segmentech na VŠB různá (VLSM) – –

podle počtu stanic na segmentu rozsahy adres různých segmentů se nesmí překrývat

Přidělování starostí správců. Uživatelská zařízení získávají adresu přes DHCP nebo VPN klienta.

Parametry síťového připojení ● ● ●

IP adresa Maska podsítě (subnet mask) Výchozí brána (default gateway) – –

●

●

adresa směrovače, kam posílat pakety pro stanice mimo lokální síť zpravidla nejnižší adresa na podsíti

IP adresa serveru DNS –

pro mapování doménových jmen na IP adresy

–

158.196.149.9 (dns1.vsb.cz), 158.196.147.15 (dns2.vsb.cz)

Implicitní doména: – –

pro relativní jména DNS VSB.CZ

Parametry síťového připojení (příklad) Internet DNS Server

DHCP Server

158.196.135.1

TUONET

=

158.196.157.1

158.196.135.0 255.255.255.0

158.196.146.1

158.196.146.0 255.255.255.0

158.196.157.0 255.255.255.0

iM a c

158.196.146.2158.196.146.254 subnet mask 255.255.255.0 158.196.157.2default gw 158.196.157.1 158.196.157.254 subnet mask 255.255.255.0 default gw 158.196.157.1 iM a c

i M ac

i M ac

i M ac

iM a c

iM a c

158.196.135.2158.196.135.254 subnet mask 255.255.255.0 default gw 158.196.135.1

iM a c

i M ac

Parametry síťového připojení (konfigurace) ● ●

Autorizovaná zařízení mohou vše získat z DHCP Nenastavujte nepřidělené adresy manuálně ! – přestane fungovat legálnímu vlastníkovi – nebude delší dobu fungovat ani vám – i v případě nekoliznosti mnohé servery (služby) legálnost adres testují

Způsoby přístupu do TUONETu Pripojeni pres VPN iM a c

Pevne pripojení k prepinaci

(nutna registrace) VPN klient

Internet

i M ac

802.1x

VPN koncentrator

Firewall (filtrace)

pevná struktura TUONET Modemova pripojeni i M ac

modem

Terminal Server

tuonet-eap tuonet-vpn

Telefonní sít

WiFi dynamicky WEP EAP TLS

WiFi nesifrovano VPN (IPSec)

CZFree

Pripojeni pres VPN

Přístup přes Ethernet ● ●

●

●

Vhodný pro přenos větších objemů dat Připojení do veřejného portu přepínače (10/100Mbps) Před vpuštěním do sítě bude požadována autentizace certifikátem Operační systém musí podporovat 802.1x

Přístup přes WiFi s EAP-TLS ● ● ●

Pokud ovladač WiFi klienta podporuje EAP-TLS Autentizace certifikátem (předaným přes EAP) Použit WEP s dynamickou výměnou klíčů (128-bitových)

Přístup přes VPN (princip) ●

Šifrovaný tunel přes veřejný Internet (nebo WiFi infrastrukturu tuonet-vpn) –

●

●

●

(šifrovaný tunel IPSec, prvotní symetrická hesla předsdílená, dále dynamická dohoda)

Tunel ukončen na hraničním bodu TUONETu – VPN koncentrátoru VPN koncentrátor vpustí uživatele až po autentizaci uživatelským jménem a heslem (LDAP) Je potřebný speciální software-VPN klient – –

Po přihlášení platným jménem a heslem uživatele z LDAP lze získat z WWW stránek VŠB-TU Pro Win/Linux zdarma, pro WinCE/Palm komerční

Přístup přes VPN (vlastnosti) ●

Po autentizaci přidělení IP adresy z rozsahu VŠB-TU –

●

●

●

●

stanice se logicky („virtuálně“) stává součástí TUONETu

Přístupová práva a omezení jako pro stanice pevně připojené k TUONETu Vhodné i pro WiFi klienty nepodporující EAP-TLS a WEP s dynamickou výměnou klíčů Pokud ISP nepropouští IPSec, možno jej tunelovat v UDP (port 4500) nebo TCP (port 10000) Tunelování řeší i problém NAT

Přístup přes VPN (konfigurace) ●

●

Přístup z WiFi VŠB-TU nebo z CZFree funguje automaticky (po nastavení VPN klienta) Přístup přes VPN z Internetu musí zvlášť povolit administrátor –

●

●

●

Ing. Jiří Grygárek (CVT)

Pro přístup z WiFi VŠB-TU použijte SSID „tuonet-vpn“ bez WEP (zabezpečení řeší vyšší vrstva-IPSec) POZOR: adresa VPN koncentrátoru jiná pro přístup z Internetu, WiFi VŠB-TU a CZFree Informace viz http://homel.vsb.cz/vpn

Modemová připojení ● ● ● ● ●

Omezený počet kont (100) Terminálový server disponuje 14 modemy Autentizace TACACS (generována zvláštní hesla) Denní a měsíční časová kvóta Přidělování vždy na začátku semestru –

●

Ing. Ivan Doležal (CVT)

Viz http://www.vsb.cz/cvt/modemy

Další možnosti připojení do TUONETu ● ●

Internetové kiosky Koleje-internetová patra – –

Budova B: 2.,3.,4. patro; budova C: 2.,3.,4. patro Žádosti o připojení: Ing. Jiří Grygárek (CVT)

Autentizace uživatelů a zařízení při přístupu do TUONETu Ověření identity uživatele před vstupem do sítě Vstup dovolen jen pro autentizovaná zařízení ●

MAC adresou – –

●

Certifikátem uživatele – –

●

na konkrétním portu konkrétního přepínače Ethernetu jen pevně připojená zařízení patřící VŠB-TU na Ethernet přepínačích s veřejnými porty (802.1x) na WiFi AP s podporou 802.1x (SSID tuonet-eap)

Uživatelským jménem a heslem (LDAP,TACACS) – –

Přístup přes VPN koncentrátor Modemové připojení

Autentizace certifikátem ●

vydává certifikační autorita VŠB-TU nebo FEI – –

● ●

● ●

Ing. Ivan Doležal, CVT Pavel Stoklasa, děkanát FEI

informace viz http://www.vsb.cz/CA nutno fyzicky kontaktovat správce certifikační autority s občanským průkazem a průkazem studenta vydávané certifikáty platné do r. 2006 možnost odvolání zneužitého certifikátu –

CRL-Certificate Revocation List

Použití pro WiFi VŠB-TU (tuonet-eap) a porty Ethernet s 802.1x

Autentizace jménem a heslem ●

Jménem a heslem LDAP – – – –

V databázi všichni studenti, hesla jako v Novellu Pro VPN přes WiFi VŠB-TU (tuonet-vpn) Pro VPN z CZFree Pro VPN z Internetu (po registraci) ●

●

Ing. Jiří Grygárek (CVT)

Jménem a heslem TACACS –

Pro modemová připojení ● ●

jen registrovaní uživatelé Ing. Ivan Doležal (CVT)

Nastavení a ověření hesla ● ●

http: // uzivatel.vsb.cz Obsahuje i kontakty na příslušné fakultní správce

Připojení TUONETu do Internetu (CESNET)

CZFree ● ● ●

Síť WiFi s volným připojováním uživatelů Podmínky definuje správce konkrétního AP Možnost přístupu do Internetu placená podle lokálních podmínek –

●

VŠB-TU je uzlem CZFree –

●

●

Ostrava: http://wi.fi.cz http://www.vsb.cz/cvt/czfree

Vstup do sítě školy (a dále do Internetu) možný pro oprávněné uživatele pomocí VPN VŠB-TU není zodpovědná za provoz CZFree

Přístup ke službám Internetu z TUONETu Bezpečnostní omezení – – ●

povolen jen vybraný provoz dočasné (ephemeral) porty nepropouštěny

http://www.vsb.cz/cvt/TUONET/i_podm.htm – – – – – –

WWW, POP, IMAP klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Možnost přeposílání dalšího provozu po dohodě přes Socks5 server Ping mezi TUONETem a Internetem jen z homel.vsb.cz (a služebních sítí)

Přístup ke službám Internetu přes server Socks 1.Nejprve autentizace uživatele u Socks serveru • •

Konkrétní uživatel musí být k použití autorizován Správcem Ing. Ivan Doležal (CVT)

2.Aplikace naváže spojení se Socks serverem a požádá jej o zřízení spojení se serverem služby •

Socks server je oprávněn zřizovat spojení přes firewall

3.Socks server dále pouze přemosťuje obě spojení •

pro server služby je Socks transparentní

- Mnohé aplikace mají podporu Socks vestavěnu - Knihovna SocksCap pro aplikace bez podpory Socks (náhrada knihoven pro komunikaci v síti)

Přístup ke službám TUONETu z Internetu ●

Z veřejného Internetu (bez použití VPN) přístup do TUONET velmi omezený – – –

WWW na vybrané servery Doručení pošty na vybrané servery SSH na homel.vsb.cz ● ●

– ●

Po dohodě se správcem z dohodnuté adresy Ing. Martin Pustka (CVT)

Čtení pošty (POP3S, IMAPS) na homel.vsb.cz

Přístup k Novell Serverům – –

přes VPN IP Client od Novellu, ne vestavěný od Microsoftu

Elektronická pošta ●

Antivirový filtr –

●

Antispamový filtr –

●

označování při filtraci a možnost třídění e-mailovým klientem

Odesílání pošty – –

●

Dočasná archivace zavirovaných zpráv

jen smtp.vsb.cz (jen z TUONETu), prochází antivirem max 20 MB zpráva (ale ostatní často méně)

Čtení pošty – – –

WWW rozhraní: posta.vsb.cz (HTTPS) – i posílání POP3S, IMAPS z homel.vsb.cz POP3 a IMAP na servery vně TUONETu povolen odevšad

El. pošta není šifrovaná ani autentizovaná služba !

Studium počítačových sítí na FEI ●

Bc: –

●

Specializace (Ing.): – –

●

Počítačové sítě (3.ročník ZS) Přepínané a směrované sítě (4.ročník LS) Technologie počítačových sítí (5.ročník ZS)

Cisco Networking Academy Program – –

CCNA (semestry 1-4) CCNP (semestry 5-8) – jen VŠB-TU a ČVUT

Proč studovat počítačové sítě ?

Postavte si vlastní TUONET ;-) !