Mendelova zemědělská a lesnická univerzita Provozně ekonomická fakulta
Návrh počítačové sítě se zabezpečeným provozem pro menší obchodní firmu Bakalářská práce
Vedoucí práce: Ing. Ludmila Kunderová
Libor Stránský
Brno 2006
Rád bych poděkoval vedoucí bakalářské práce Ing. Ludmile Kunderové za její cenné rady, připomínky a nápady. Dále děkuji všem ostatním, kteří mi při tvorbě bakalářské práce pomáhali. 1
Prohlašuji, že jsem tuto bakalářskou práci vyřešil samostatně s použitím literatury, kterou uvádím v seznamu. V Brně dne 26. 6. 2006 ............................ 2
Abstract Stránský L.Proposal of computer network with secure work for small bussiness company. Bachelor thesis. Brno, 2006. Proposal and implementation of computer network in a smaller bussiness company. Selection of technologies, hardware and software for implementation of optimal solution and evaluation of costs for acquisition and maintance of this network. Selection and instalation of secure items for work of safety network.
Abstrakt Stránský L.Návrh počítačové sítě se zabezpečeným provozem pro menší obchodní podnik. Bakalářská práce. Brno, 2006. Návrh a implementace počítačové sítě v menším obchodním podniku. Výběr technologií, hardwaru a softwaru pro implementaci nejvýhodnějšího řešení a vyhodnocení nákladů na pořízení a udržování této sítě. Výběr a instalace bezpečnostních prvků pro provoz zabezpečené sítě.
3
Obsah 1 Úvod, cíl práce 1.1 Úvod . . . . 1.2 Cíl práce . . 1.3 Metodika .
a metodika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 5 5 6
2 Teoretická východiska 2.1 Technologie WAN . . . . . . . . . . . . . . . 2.1.1 Pevné připojení . . . . . . . . . . . . 2.1.2 Bezdrátové připojení - WLAN . . . 2.2 Technologie LAN . . . . . . . . . . . . . . . 2.2.1 Fast Ethernet . . . . . . . . . . . . . 2.2.2 Gigabit Ethernet . . . . . . . . . . . 2.3 Základní síťová infrastruktura . . . . . . . . 2.3.1 Ethernetový adaptér . . . . . . . . . 2.3.2 Strukturovaná kabeláž . . . . . . . . 2.3.3 Switch . . . . . . . . . . . . . . . . . 2.4 Technologie pro zabezpečení počítačové sítě 2.4.1 Router . . . . . . . . . . . . . . . . . 2.4.2 Firewall . . . . . . . . . . . . . . . . 2.4.3 IDS . . . . . . . . . . . . . . . . . . 2.4.4 Zabezpečení pracovních stanic . . . 2.4.5 Patch management . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
7 7 7 11 12 12 13 14 14 14 15 15 16 17 19 19 20
3 Vlastní řešení 3.1 Charakteristika podniku . . . . . . . . . 3.1.1 Obchodní činnost podniku . . . . 3.1.2 Původní síťové řešení . . . . . . . 3.1.3 Požadavky na nové řešení . . . . 3.2 Návrh řešení a implementace . . . . . . 3.2.1 Výběr technologií a zapojení sítě 3.2.2 Zabezpečení firemní sítě . . . . . 3.2.3 Náklady na realizaci . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
21 21 21 21 22 22 22 28 32
. . . . . . . .
. . . . . . . .
4 Zhodnocení a závěr 33 4.1 Výhody a nevýhody navrhovaného řešení . . . . . . . . . 33 4.2 Závěr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 A Přílohy 35 A.1 graf. návrh implementace . . . . . . . . . . . . . . . . . . 35 A.2 Ceníky poskytovatelů připojení k internetu . . . . . . . . 36 A.3 Ceník hardwarových komponent . . . . . . . . . . . . . . 37 4 B Literatura 38
1 Úvod, cíl práce a metodika 1.1
Úvod
Komunikace jako taková umožnila člověku efektivněji využívat svých schopností při styku s jinými lidmi, ne jinak tomu je při komunikaci ve světě počítačů. Díky jejich vzájemnému propojení se s výhodou využívají schopnosti jiných počítačů nebo lidí sedících za nimi k rychlejšímu, výkonějšímu dosažení svých cílů. Sítě nám umožnují sdílet vědomosti, schopnosti, technologie a hardware, které sami neznáme, neumíme nebo jej nevlastníme. Toto řešení nám umožnuje radikálně snížit náklady, které lze pomocí sítí sdílet s ostatními. V současnosti podnik, který nevyužívá síťové technologie pro svou podnikatelskou činnost, se značně znevýhodňuje na trhu mezi konkurenty a jeho náklady na dosažení stejných výsledků jako podniky používající sítě musí být mnohem vyšší. Náklady na komunikaci v síti a využívaní síťových zařízení jsou po fázi realizace téměř nulové. S výhodou je toto řešení implementováno téměř na každý podnik vlastnící více jak jeden počítač. Instalace sítě do podniku je závislá na vstupních parametrech, jako je velikost (množství do sítě zapojených komponent), rychlost, propustnost, v neposlední řadě i bezpečnost komunikace na síti. Jednoduchou síť pro dva počítače si dokáže uživatel vytvořit sám, aniž by k tomu potřeboval mít velké znalosti této problematiky. Návrh rozsáhlejší sítě s více parametry a s důrazem na bezpečnost už je potřeba svěřit odborníkovi.
1.2
Cíl práce
Cílem této práce je návrh sítě s výběrem technologií pro její provoz a návrh zabezpečení provozu na této síti. Řešení by v konečné fázi mělo být implementováno na malý podnik působící v oblasti prodeje spotřební elektroniky. Stálost růstu tržeb tohoto podniku v posledních letech umožnila zvětšit prodejní plochu, skladovací prostory a sortiment nabízených výrobků. Investice podniku do nové síťové struktury, vzhledem k tržbám nemusí být malá, požadavek podniku je, že investice bude realizována jen pokud nákladnější řešení přinese i výraznější usnadnění komunikace s minimálními udržovacími náklady a další možnost rozšíření nebo vylepšení sítě bude méně nákladnější. Nové řešení musí poskytovat dostatečné zabezpečení dat v síti tak, aby podnik mohl přenést všechnu svou administrativu do digitální podoby, která jednoznačně zvýší produktivtu práce. Vedení potřebuje vidět kompletní návrh zahrnující výběr hardwarových řešení, strukturu a rozvod kabeláže, vlastní propojení pracovních stanic a jiných zařízení připojených do sítě, řešení zabezpečení komunikace, finální komunikaci sítě jako celku s okolím a výběr technologie připojení k internetu. Technické a technologické možnosti řešení jsou dnes obrovské. Nepřeberné množství produktů na trhu umožňuje pro každý jednotlivý podnik individuální řešení „šité mu na míru”. Budoucnost některých těchto řešení však není příliš reálná, vzhledem k jejich náročnosti na implementaci, ceně nebo jejich rychlému morálnímu zastarávání. Proto je potřeba dobře zvážit, pro kterou technologii se rozhodneme.
5
1.3
Metodika
Pro splnění kritérií podniku nejprve začneme popisem dostupných technologií pro připojení k internetu. Tímto se bude zabývat první část kapitoly „Teoretická východiska”. Cílem nebude popsat všechna dostupná řešení, ale jen ta, která jsou v podniku realizovatelná za přiměřenou cenu a splňují požadavky podniku. Výběr aktivních a pasivních síťových prvků bude následovat v další části kapitoly „Teoretická východiska”. Pro zabezpečení provozu bude potřeba nejprve shrnout možná nebezpečí, hrozby a prostředky jak se proti nim chránit. Po popisu technologických východisek se budu zabývat vlastním řešením návrhu struktury sítě a popisu jeho instalace v podniku. Budu postupovat systematicky od jednotlivých koncových stanic, přes návrh síťové infrastruktury až po výběr technologie připojení a jejího poskytovatele. Finanční hodnocení vybraného řešení bude významným prvkem při rozhodování podniku o investici, proto bude součástní práce i menší finanční ananalýza, která bude následovat po výběru všech síťových komponent. V závěru se pokusím shodnotit přínos nového řešení i jeho přenositelnost na jiné podobné projekty.
6
2 Teoretická východiska Požadavkům podniku mohou vyhovovat různé kombinace harwaru a softwaru, topologie a služby připojení poskytovatelů internetu. Proto je potřeba podrobně prostudovat každou možnou evetualitu a vyloučit nepřípustné kombinace, příliš nákladná řešení a řešení v dané lokalitě neuskutečnitelná.
2.1
Technologie WAN
Pestrá nabídka připojení k síti WAN, tedy k internetu, nám dává možnost výběru. Protože celá páteřní síť internetu a sítě na ni napojené běží na optických vláknech1 , je připojení koncových uživatelů do sítě v podstatě jediným rozdílným znakem. Lze zde implementovat většinu níže uvedených technologií, které vykazují diametrálně rozdílné vlastnosti. Připojení internetu ke koncovému uživateli je často označováno jako problém poslední míle.
2.1.1
Pevné připojení
Klasické připojení pomocí telefonní linky, známo především z nabídek Českého Telecomu, je stále používáno. Zde uvádím některé typy tohoto připojení. Pevné připojení můžeme v zásadě rozdělit na: • komutované, které se navazuje na dobu určitou, např. pro stáhnutí pošty. Patří sem dial-up připojení a ISDN. • permanentní, které se připojuje automaticky a je k dispozici uživateli po celou dobu jeho činnosti na počítači. Do této kategorie patří všechna DSL připojení a připojení nabízené kabelovými televizemi. Dial-up Vytáčené spojení přes analogovou linku patří k nejstarším typům spojení. Jelikož je však počítačová komunikace digitální a přenos je zajišťován pomocí analogové (telefonní) linky, je potřeba modulační/demodulační zařízení (souhrně označováno jako MODEM) a samozřejmě pevná telefonní linka (přípojka). Dial-up s výhodou používají uživatelé, kteří spojení využívají jen pro krátkodobější činnost, jako je stahování pošty nebo prohlížení stránek. Pro hraní on-line her nebo pro prohlížení náročnějších stránek (např. s flashovými aplikacemi) je nedostačující, nehledě na to, že při dlouhodobějším připojení (několik hodin) značně narůstá cena za připojení (i 60 Kč za hod). Existují dnes poskytovatelé (internetové servery), kteří své připojení nabízeji zdarma jako jsou Tiscali, iDnes nebo Linuxzone (samozřejmě se ale nevyhneme platbě Českému Telecomu za připojení). Cena připojení již dnes neodpovídá přenosovým kapacitám. Od tohoto řešení se již odpouští, doporučuje se využívat jej jen jako záložní připojení, nebo tam kde jiné alternativní připojení není k dispozici.
1 optika
vystřídala již ne většině těchto spojů koaxiální kabel
7
ISDN Integrated Services Digital Network česky digitální síť integrovaných služeb je další možností jak se připojit k internetu. Jedná se o přenos po telefonní lince (síti), která je již plně digitální, jediná část která je analogová je od ústředny ke konečnému uživateli. Tato technologie vznikla již na počátku devadesátých let, ale její větší rozšíření je doménou až let nedávno minulých. Dnes je však připojení pomocí této technologie opouštěno, nicméně na trhu je stále ještě k dostání. Na některých místech je to stále jediná možnost rychlejšího připojení. Technologie využívá přenos v celém digitálním kanálu, mající přenosovou rychlost 64 Kbps. Ne větší ani menší. Jedním z cílů jejího zavedení bylo zpřístupnit možnost využití hlasové(telefonní) služby a datové služby současně. Nezáleží tedy na tom využíváme-li linku k telefonování či ke stahování dat z internetu. Na jednom kanálu lze využívat pouze jednu službu. Celkem jsou v přípojce ISDN obsaženy dva druhy kanálů, tzv. B-kanály (B - bearer - nosič) o přenosové rychlosti 64 Kbps D-kanál, který je narozdíl od B-kanálů vždy pouze jeden a slouží pro signalizaci mezi uživatelem a ústřednou. Jeho přenosová rychlost je od 16 Kb/s (u BRI) až 64 Kb/s (u PRI). Přípojky jsou pak nabízeny ve dvou standardních verzích: • BRI (basic rate interface) - je tvořen dvěma B-kanály a jedním D-kanálem. Celková přenosová rychlost je tedy 2 × 64 + 16 = 144Kb/s. • PRI (primary rate interface) - tvoří 30 B-kanálu a jeden D-kanál. Celková přenosová rychlost je 30 × 64 + 64 = 1984Kb/s. Pokud chceme využít ISDN připojení, musíme vzít v potaz, že k ISDN modemu nelze přímo připojit klasický analogový telefon či fax. Pokud nechceme využít na trhu dostupných ISDN telefonů a přejeme si raději zůstat u klasických analogových, ať už z důvodů cenových nebo jiných, musíme použít tzv. terminálový adaptér (TA). Často toto zařízení bývá integrováno do ISDN zařízení, pokud ne, lze si jej doobjednat. Některé typy těchto zařízení dokaží připojit i více analogových telefonů. Některé TA zařízení potřebují vlastní napájení, což je v případě výpadku elektrické sítě nevýhoda. Existují totiž zařízení, které lze v nouzovém režimu napájet z ústředny.(Novotný Vít, 2002) Jedinou výhodou ISDN je plně digitalizovaná přenosová cesta včetně cesty ke koncovému uživateli, označována jako tzv. poslední míle. ISDN technologie se již dnes využívá stále méně, je nahrazována jinými jako ADSL nebo připojením přes kabelovou televizi. Její přenosové kapacity již nevyhovují požadavkům pro rychlý internet. Navíc její dlouhý vývoj a pozdní zavedení na trh ji do této pozice uvedl již ve svých začátcích, zkratku ISDN si mnozí proto vykládají jako I Sure Don’t Need it. DSL Technologie DSL, neboli Digital Subscriber line (ve volném překladu - digitální uživatelská přípojka), se dnes označuje jako nejvýhodnější technologie pro připojení koncových uživatelů k internetu. Nechává daleko za sebou ISDN stejně jako Dial-up. V poměru cena/výkon je bezprostředně nejlepší. Pro její připojení nepotřebujeme instalovat speciální techniku a ani cena za zařízení umožňující připojení pomocí DSL není příliš vysoká. Pro přenos využívá bežnou telefonní linku, tedy komunikace probíhá analogově. DSL technologie 8
využívají volné frekvence v analogové síti, neboť analogová telefonie využívá necelé 4 MHz (přesněji jen 3400 Hz). Digitální data z počítače jsou pomocí modemu (modulace) převedena do analogové podoby (tato část se označuje v analogovém signálu jako nadhovorová) a pomocí tzv. splitteru jsou začleněna do analogového signálu. S používáním internetu lze využívat i analogovou telefonii, přičemž obě komunikace mohou probíhat nezávisle na sobě a tedy i současně. Místní smyčka, jak je nazýváno spojení mezi uživatelem a ústřednou, však nemůže být neomezeně dlouhá, se vzrůstající vzdáleností klesá přímo úměrně i rychlost komunikace, maximální vzdálenost mezi ústřednou a účastnickou přípojkou se udává 8 km. Na tuto vzálenost je poskytovatel schopen zaručit stálou přenosovou rychlost. Ještě než se signál dostane k ústředně, prochází přes propojovací pole, které rozděluje kanály na ty, které mohou využívat technologii DSL a na ty, které ji nevyužívají (toto je odvislé od strategie poskytovatele, které přípojky budou mít možnost technologii využívat a které nabídky nevyužijí). Signál z přípojek nevyužívajícíh DSL putuje do telefonní ústředny (jedná se o telefonní hovory), signál s DSL přípojek pak končí ve splitteru. Rozdělený signál putuje jednak do ústředny (telefonní hovory) a jednak do tzv. DSLAMu, což je DSL Access Multiplexor. Jedná se o modem na straně ústředny, zde jsou však označovány jako porty a platí, že každá uživatelská přípojka (každý její modem) má svůj vlastní port na straně ústředny. Konstrukčně jsou porty (modemy) využívány tak, že se zahrnují do modulů. Takováto ústředna pak obsluhuje řádově tisíce uživatelským přípojek včetně těch s DSL. Funkcí DSLAMu je i to, že slučuje (multipexuje) výstupy jednotlivých uživatelů tak aby byli co nejlépe připojitelné na vhodnou datovou síť. Výstupy z DSLAMů na jednotlivých ústřednách jsou přes tyto sítě sváděny do tzv. agregačních bodů (v celé ČR by měly být čtyři), ve kterých dochází k definitivní agregaci (slučování) datových toků. (Žák Petr, 2002) IDSL Technologie IDSL (ISDN Digital Subscriber Line) je nejstarším členem z rodiny DSL technologií a je to patrné i z přenosové rychlosti, která činí 144 kb/s a není možné ji zvýšit. K oddělení směrů přenosu se používá metoda potlačení ozvěny. Použití je v podstatě omezeno jen na přenos ISDN BRA. Stejně jako u ISDN, je i v tomto případě využito přenosu v základním pásmu. Snad jedinou její výhodou je skutečnost, že se nejedná o vytáčenou službu. Tato technologie není v současnosti příliš rozšířena a s největší pravděpodobností se jí ani nestane, protože jiné technologie z rodiny DSL nabízejí podstatně lepší vlastnosti. HDSL HDSL (High-bit rate Digital Subscriber Line) je technologie jejíž nasazení v praktickém provozu již funguje delší dobu. Využívá se pro realizaci propojení telefonních ústředen po metalickém vedení. Rozdělení přenosového pásma je symetrické pro oba směry přenosu a nabízená přenosová rychlost je stejná pro upstream i downstream. Konkrétně je nabízena s uživatelskými přenosovými rychlostmi 1,544 Mb/s a 2,048 Mb/s. Přenos je realizován po dvou nebo třech symetrických párech, přičemž všechny páry jsou využívány souběžně pro oba směry přenosu. Pro oddělení směrů přenosu je využita metoda potlačení ozvěn. Systémy HDSL pracují v základním pásmu a přenášený signál je podroben kódování 2B1Q, tzn. že bitový tok je rozdělen do dvojic bitů a každá dvojice je následně vyjádřena jednou ze čtyř úrovní signálu.
9
ADSL Asynchronous Digital Subscriber Line (ADSL) je nejpoužívanější technologie DSL, je v nabídkách všech poskytovatelů DSL připojení. Pracuje s frekvencí v tzv nadhlasovém pásmu. Asynchronní je proto, že rychlost od uživatele k ústředně(do internetu) tzv. upstream je několikanásobně nižší než rychlost v opačném směru tzv. downstream, vyjádřeno v číslech je to 800 Mb/s pro upstream a 8,448 Mb/s pro downstream. V praxi jsou ovšem tyto rychlosti nižší. Běžně dostupné rychlosti pro ADSL jsou 512/1282 , 1024/25, 2048/512 a 4096/1024. Nyní lze využívat i vyšší rychlosti. Výše uvedené však patří k nejpoužívanějším a jsou i nejdostupnější. VDSL Nejnovější z technologií DSL (zkratka označuje Very hight bit-rate digital Subscriber Line). Tato varianta umožnuje symetrický i asymetrický způsob provozu. Při asymetrické variantě se rychlost dosažitelná v downstreamu pohybuje v rozmezí 13 - 52 Mb/s a v upstreamu 1,5 - 2,3 Mb/s. Pro návrh symetrické varianty je uvažováno s rychlostí 34 Mb/s. Pro vytvoření nezávislých informačních kanálů se používá frekvenčního multiplexu FDM, při němž jsou obě přenosová pásma frekvenčně oddělena. Přenos dat je tak jako u ADSL realizován po jednom páru vodičů, ovšem dosažitelné rychlosti jsou mnohem více limitovány délkou daného spoje. Pro dosažení maximální rychlosti je nezbytné, aby délka přípojného vedení nepřesáhla 300 m a maximální délka pro použitelnost VDSL je asi 1500 metrů. Poněvadž je pro přenos použito kmitočtů až do 30 MHz je nutné brát v úvahu i množství nově se objevujících problémů na vedeních, která nebyla konstruována pro přenos takto vysokých kmitočtů. Kabelový internet Další možností připojení k internetu je přes kabelovou televizi. Tuto možnost má však jen omezené množství lidí, ke kterým je rozvod kabelové televize připojen. To bývá jen v některých městských částích většinou na sídlištích. Přenos probíhá po koaxiálních kabelech kabelové televize. Protože se jedná o síť sdílenou s ostatními zákazníky kabelové televize, je rychlost komunikace od množství připojených uživatelů odvislá. Průměrná rychlost se většinou pohybuje do 10 Mb/s a díky koncentraci více uživatelských přípojek v dané lokalitě je nižší. Dalo by se říci, že se jedná o alternativu k DSL, cenou i rychlostí jsou si oba způsoby podobné, dostupnost kabelové televize je v porovnání s ADSL výrazně nižší.
2 první
číslo je downlink a druhé udává uplink
10
Optické vlákno Na optických vláknech běží celá páteřní síť internetu i větší sítě na ni napojené. Ke koncovému uživateli však zatím nevedou vzhledem k trochu větší náročnosti instalace a především ceně. Oběvují se již ale první vlaštovky, které tuto možnost uživatelům nabízejí jako řešení problému poslední míle, který jediný je překážkou několikanásobně vyšší rychlosti internetu. Optická vlákna, instalovaná ke koncovému uživateli již bývají hlavně z plastu, ten vykazuje mnohem lepší fyzikální vlastnosti, především je méně náchylný na zlomení při ohybu, nebo natahování než vlákno ze skla (přesněji z křemíku). Výběr tohoto řešení je potřeba dobře uvážit vzhledem k návratnosti investice do instalace připojení, které se nemusí vyplatit vem zákazníkům.
2.1.2
Bezdrátové připojení - WLAN
WI-FI Wireless Fidelity, častěji nazávaná jenom WI-FI, patří mezi nejrozšířenější bezdrátové sítě. Stejně jako technologie pevného připojení k internetu nabízí řešení problému poslední míle. Pracuje na protokolu 802.11, který vytvořila a standardizovala IEEE v roce 1997. Standard je volně dostupný a lze si jej stáhnout na http://www.ieee.org. Komunikace probíhá v bezlicencovaném pásmu 2,4 MHz, konkrétní rozsah se liší v závislosti od standardu a země kde je používán, nejčastěji je to v rozmezí od 2,4 - 2,4835 MHz (toto platí i v ČR). Základním kamenem komunikace jsou tzv. AP(Access Point) neboli přístupové body. Někdy je můžeme najít i pod ozačením HotSpot, k nim se pak uživatel připojuje. AP pokrývají jen určitou oblast. Lze je překrývat a to buď částečně a tím využít roaming tedy plynulý přechod z připojení jednoho AP na jiný v jeho sousedství, nebo úplně, to umožňuje AP sdílet zátěž. Signál nesoucí informace je většinou rádiový využívající výše zmíněná pásma, nebo se může jednat o infračervený přenos. Pro zajištění přihlašování se využívá 32-znakový řetězec, kterým se uživatel přihlašuje ke konkrétnímu AP, pokud se řetězec neshoduje s řetězcem AP, je uživatel odmítnut. Postupem času se vytvořili standardy lišící se rychlostí připojení a pásmem, v kterém komunikace probíhá. Označení je odvislé od doby zveřejnění standardu. Není ale závislé na době uveřejnění technologií pracujících na těchto standardech na trh, protože jejich implementace může být náročnější než u standardů novějších, jako v případě 802.11a a 802.11b. Mezi nejpoužívanější patří: 802.11a Používání tohoto standardu je v Evropě zakázáno, využívají ho především USA. Pracuje v pásmu 5 MHz, proto se někdy označuje jako WI-FI 5. Přenosová rychlost je až 54 Mb/s. 802.11b Nejvyužívanější standard, dosahuje mnohem nižších rychlosti připojení (ne více jak 11 Mb/s). Jeho jednodušší implementace umožnila jeho rošíření mnohem dříve než u ostatních standardů. Pracuje v pásmu 2,4 MHz. 802.11g Doposud nejrychlejší u nás dostupný standard, rychlost připojení je oproti 802.11b vyšší (až 20 Mb/s), s tímto standardem je ovšem zpětně kompatibilní.
11
WiMAX V letech 2000 až 2003 se zrodil standard IEEE 802.16, dnes známý pod označením WiMAX (Worldwide Interoperability for Microwave Access). Jeho cílem je levnější a jednoduše rozšiřitelný širokopásmový přístup k internetu. Jedná se o první standardizovanou technologii určenou pro venkovní sítě, která doplnila již fungující a rozšířené Wi-Fi (standard pro sítě vnitřní s krátkým dosahem). Architektura této sítě je koncipována pro komunikaci na větší vzdálenosti. Uvádí se, že WiMAX má dosah až 50 km s přenosovou rychlostí až 70 Mb/s. To je ovšem dáno prostředím ve kterém je síť provozována (v centru města je dosah několikanásobně nižší, jde stále ale o stovky metrů). Další z výhod oproti WI-FI je existence spojení bez nutnosti přímé viditelnosti dvou komunikujících bodů(NLOS - Non Line of Sight), zabudovaná podpora pro řízení kvality služeb (QoS - Quallity of Service), lepší bezpečnost a kvalitnější využití kmitočtového spektra. Tohle vše posunuje WiMAX vstříc náročnějším uživatelům. Poskytovatelé jim tak jsou schopni nabídnout garantované připojení vhodné i pro provoz náročných aplikací citlivých na zpoždění, jako je např. hlas či video, a to bez nutnosti budovat pevnou infrastrukturu. WiMAX se díky tomu stává konkurentem DSL, kabelových přípojek či optických sítí. Ani běžný, domácí nebo jakýkoliv malý uživatel, ovšem nezůstává stranou. Při plném využití služeb jednoho poskytovatele se počítá asi s 500 uživateli v okruhu zhruba 15-ti kilometrů. Nevýhodou této poměrně nové technologie je její pořizovací cena, která se za instalaci platí. Tato částka převyšuje hranici 250 tisíc korun. Lze ji platit na splátky nebo využít leasingu. Časem toto připojení jistě zlevní, než se však tak stane, budou jej využívat jen náročnější nebo bohatší podniky.
2.2
Technologie LAN
Propustnost dat v lokální síti je jedno z hlavních kritérií výběru přenosové technologie. Na trhu lze nalést různé síťové komponenty, které dokáží přenášet od 10 Mb/s až po 10 Gb/s. V laboratorních podmínkách se dosahuje rychlostí ještě vyšších. Takto velké rychlosti přenosu dat ale potřebují i stejně rychlé médium, z kterého data čtou nebo na něj data zapisují. Ty však zatím svou rychlostí velkým přenosovým kapacitám těchto rychlých sítí neodpovídají, proto se zaměřím na technologie dnes nejpoužívanější. Patří sem přenosové technologie s propustností 100 Mb/s a 1Gb/s. Tyto v poměru cena/výkon určitě dominují.
2.2.1
Fast Ethernet
Nejrozšířenější přenosová technologie v současnosti, která již několik let plně vyhovuje požadavkům trhu. Přenosová rychlost je až 100 Mb/s. Dělíme je na:
100Base-TX Používá jako přenosové médium kroucený dvoudrát (stíněný nebo nestíněný) s impedancí 100 ohm (min. Cat 5) délka kabelu mezi uzlem a aktivním prvkem může být max. 100 m.
12
100Base-FX Používá jako přenosové médium multimodový optický kabel. Délka kabelu mezi uzly může být v případě plně duplexního provozu max. 2 km, v příp. polovičního duplexu je vzdálenost ovlivněna zapojením sítě. Existuje i modifikace používající singlemodový optický kabel. Především cena instalace se u takto již relativně nízkých přenosových rychlostí začíná silně nevyplácet.
2.2.2
Gigabit Ethernet
Nenákladná implementace a univerzálnost připojení (ve směru typu, struktuře komunikace) je rovněž příčinou jeho obliby v posledních letech. Komunikace může probíhat na metalických kabelech, přesněji na kabelech UTP (Unshield Twisted Pair), nebo ji lze vést opticky, a to jak po jednovidových tak i mnohovidových kabelech. 1000Base-T (standard 802.3ab) Standard je určen pro metalické vedení čtyřpárového UTP(100 Ohmů) kategorie 5 (CAT 5) a vyšší. Maximální délka segmentu je 100 metrů. Toto řešení je tedy určeno především pro rozvod v budovách. 1000Base-X (standard 802.3z) Standard 1000 Base-X je založen na fyzické vrstvě specifikace Fibre Channel. Fibre Channel má pětivrstvou architekturu. Návrháři gigabitového Ethernetu použili dvě nejnižší vrstvy této architektury pro specifikaci fyzické vrstvy 1000Base-X, a to vrstvu FC-0 (Interface a media) a vrstvu FC-1 (Enc/Dec). Ve specifikaci 1000Base-X jsou tak specifikovány tři přenosová média: 1000Base-SX 850 nm laser pro mnohavidová vlákna 1000Base-LX 1300 nm laser pro jednovidová a mnohavidová vlákna 1000Base-CX pro stíněné kabely ”twinax” STP (Shielded Twisted Pair), 150 ohmů Oproti metalickým kabelům mohou optické kabely přenášet informaci na mnohem větší vzdálenost. U mnohavidových na 250 až 500 m a u jednovidových až na 5 km. S výhodou se jich proto také používá hlavně pro rozvod mezi budovami.
13
2.3
Základní síťová infrastruktura
Správný výběr síťových komponent je důležitý nejen pro spolehlivý provoz na síti, ale má i značný vliv na budoucí upgrade sítě. Hlavní faktory, které nelze při budování sítě přehlížet jsou především latence abandwidth. Latence neboli zpoždění, udává čas od odeslání správy po jeho přijetí příjemcem a bandwidth neboli šířka pásma, představuje kapacitu přenosu sítě. Udává se v Kb/s nebo v Hz. Dalšími faktory jsou jitter čili rozpyl, jeho hodnota znázorňuje kolísání rychlosti přenosu paketů na síti, availability čili dostupnost služby na síti (udává se v %) a v neposlední řadě také vytíženost sítě, ta má vliv na výběr technologií. Hodnoty výše zmíněných faktorů lze vyčíst z informací výrobce nebo si provést vlastní měření. Pro druhou variantu většinou potřebujeme náročné a především nákladné zařízení, proto je lépe spoléhat na již zveřejněné informace.
2.3.1
Ethernetový adaptér
Patří mezi poslední komponenty sítě, které ovlivňují její rychlost. Musí být rovněž schopen pracovat s Fast Ethernetem nebo Gigabit Ethernetem. Síťová karta patří k nejméně nákladným prvkem sítě, často bývá integrovaná do základní desky počítače.
2.3.2
Strukturovaná kabeláž
Struktura a materiál je závislá na zvolené topologii. Dnes už se jedná o výběr mezi metalickými a optickými kabely. Je lze využít pro většinu síťí, které se v dnešní době budují. Koaxiální kabel postupně strácí na významu, tedy pokud se jedná o připojení koncového uživatele, nebo v rámci LAN sítě.Stále jej ale najdeme na páteřních sítích. Zde je však postupně vytlačován optickými vlákny, které jej díky stále klesající ceně začínají nahrazovat. Unshield twisted-pair Nestíněná kroucená dvojlinka se stala standardem pro tzv. ”strukturovanou kabeláž” již na počátku devadesátých let, kdy byla uznána jako oficiální standard v USA (ANSI/EIA/TIA 568-1991). Tento standard specifikuje přenosové kapacity pro tři základní typy UTP kabelů (od těchto typů (kategorií) se odvozují kategorie pro hardware komunikující pomocí těchto kabelů). Základem byly kategorie 3, 4 a 5, nižší (tedy kat. 1 a 2) jsou používány pro přenos hlasu a dat nízkými rychlostmi. kategorie 3 specifikována pro kabely do 16 MHz s přenosovou rychlostí až 10 Mb/s. kategorie 4 specifikována pro kabely do 20 MHz s přenosovou rychlostí až 16 Mb/s. kategorie 5 specifikována pro kabely do 100 MHz s přenosovou rychlostí až 100 Mb/s
14
V následujících letech prošly standardy dalším vývojem a zvětšilo se jejich přenosové spektrum. Přenosová rychlost se již neuvádí, neboť nelze zaručit danou rychlost pro kabely instalované v růzých podmínkách. Každopádně je úměrná frekvenci vyšší. V květnu 2001 byl znovu definovát standard kategorie 5 (Enhanced Category 5 = Cat 5e), v následujícím roce byl představen standard pro kategorii 6 a 7. kategorie 5e specifikována pro kabely do 100 MHz. kategorie 6 specifikována pro kabely do 250 MHz kategorie 7 specifikována pro kabely do 600 MHz
2.3.3
Switch
Aktivní síťový prvek, který přepíná datagramy podle místa určení na síti. Rozdíl od dříve používaného hubu je ten, že dokáže z datagramu poznat komu je určen a pošle jej jen na konkrétní adresu. Hub toto nedokáže a rozesílá datagram na všechny adresy (adresa pak přijme pouze ty datagramy, které jsou jí určeny, ostatní zahodí). Přepínání datagramů zvyšuje propustnost sítě a tím zrychluje komunikaci (linky tím nejsou tolik vytižovány). Switch ale nedokáže přeposílat datagramy mimo vlastní síť, toto zůstává výsadou routerů. Switch pracuje na druhé (linkové) vrstvě modelu ISO/OSI. Nové technologie umnožňují, aby switch pracovat i na vrstvě třetí (síťové). Dělíme je na L2 switche a L3 switche. Druhé jmenované se principem své činnosti spíše podobají routerům.
2.4
Technologie pro zabezpečení počítačové sítě
Dnes se již bez zabezpčení lokální sítě, která je připojená do internetu neobejdeme. Hrozba průniku do systému, krádeže či pozměňování dat, porušení ochranného tajemství a spousty jiných nebezpečí je obrovská. Faktor bezpečnosti se s postupující dobou stále více zohledňuje při návrhu a implementaci lokální sítě. Jediný, byť sebevíce dokonalejší bezpečnostní prvek, jako je firewall již sám nedokáže zajistit bezpečný provoz v síti. Je proto potřeba už v návrhu sítě počítat s komplexnější ochranou, dnes označována jakohloubková ochrana. Mezi základní součásti patří především: • Router • Firewall • IDS (Intrusion Detection System) systém detekce průniku • Zabezpečení koncových stanic • Zamezení ohrožení bezpečnosti díky chybě lidského faktoru • Patch management Protože zabezpečení sítě je určitá finanční zátěž pro podnik, je potřeba si dopředu rozmyslet k čemu bude síť používána, jak a na jaké úrovni zabezpečena, jak bude kontrolována, opravována, jakým způsobem bude zajišťována aktualizace bezpečnostních mechanizmů a především jaké budou finanční požadavky na vybudování, provoz a případný upgrade sítě. 15
Výhody zabezpečení lokální počítačové sítě jsou zjevné, ztráta dat může mít pro podnik nedozírné následky. Pokud by firma nabízela např. webhostingové služby určitě by kvalitně zabezpečená síť zvyšovala prestiž podniku. Naopak nedokonale zabezpečená síť může díky průnikům do systému nejen přijít o data, ale navíc podnik zjistí, že investice do zabezpečení sítě jsou bez efektu a tento výdaj byl zbytečný.
2.4.1
Router
Router neboli směrovač je zařízení, které dokáže přeposílat datagramy z vnitřní sítě do sítě jiné, nejčastěji do sítě internet. Router pracuje na třetí vrstvě modelu ISO/OSI. Pokud je v síti více segmentů, které nejsou k routeru přímo připojeny, musí se informace o směrování v tomto novém segmentu přidat do směrovací tabulky. Toto směrování lze provádět jak staticky tak dynamicky, o statické se stará povětšinou administrátor, kdežto dynamické může mít na starosti některý z protokolů jako je RIP (Routing Information Protokol) verze 1 nebo 2, OSPF (Open Shortest Path First) nebo IGRP (Interior Gateway Routing Protokol). Dynamické směrování je však ve velkých sítích náročné na výkon sítě a musí být dobře zabezpečené, aby nedošlo např. k podvržení směrovacích tabulek jiného routeru útočníkem. Proto bývá součástní některých dynamických směrovacích protokolů i autorizace směrování (routing autorization (Dostálek, 2004). Ve vnitřní síti má pak každý prvek přidělenou vlastní adresu. Ta bývá rovněž buď staticky nebo dynamicky přidělovaná. Dynamické přidělování adres má v rámci lokální sítě na starosti DHCP (Dynamic Host Configuration Protocol). Tento bývá často součástí routeru. Nachází-li se směrovač na hranici sítě, tedy je branou do internetu. musí docházet k překladu vnitřních síťových adres na adresy, které mohou počítač reprezentovat navenek v síti internet, o toto se stará funkce NAT (Network Address Translation), vnitřní struktura adres tak zůstane skryta. Nejběžnější formou bývá tzv. „Maškaráda” (Masqurade) čili maskování vnitřních adres za jedinou s jiným(větším) rozsahem, která počítač reprezentuje v internetu. Pro úsporu adres lze využít ještě mechanizmu PAT (Port Address Translating), ten umožňuje mapovat více interních adres do jediné externí na základě sledování čísel portů požadovaných služeb. Při výběru routeru lze zohledňovat ještě jiné jeho parametry. Na trhu často toto zařízení bývá v kombinaci se switchem a počet LAN přípojek je jedno z kritérií. Implementace firewallu do sestavy je rovněž častá (nejčastěji jako jistá forma paketového filtru jako SPI), některé dokáží zamezit DoS útokům. Tím odlehčuje zatížení klasického firewallu, který se už o filtrování paketů nemusí starat. Další plus bývá zabudovaná podpora VPN protokolů jako PPTP, IPsec apod. . Zkušení administrátoři pak využijí určitě i logové záznamy, které routery vytvářejí. Pro zodolnění routeru je důležité mít vždy aktuální verzi záplat a updatů pro konkrétní typ, většinou je lze stáhnout ze webových stránek výrobce.
16
2.4.2
Firewall
Vznikl z potřeby omezit komunikaci na směrovačích, především se jednalo o zamezení přístupu na některé IP adresy nebo porty. Mezi základní principy firewallů patř: • Paketový filtr • Stavový firewall • Proxy firewall Paketový filtr Též označován jako filtrovací brána. Paketový filtr pracuje na vrstvě síťové, ta mu umožňovala pružnější a rychlejší komunikaci, rovněž se lépe přizpůsobuje na nové protokoly. Paketový filtr kontroluje pakety tak, že z hlaviček každého získává informace o zdroji (odesílateli paketu) a porovnává je se svým seznamem. Ten obsahuje informace, které má filtr z hlavičky paketu získat a na základě instrukcí z tohoto seznamu jim pak průchod povolí nebo zamítne. Tabulky či seznamy pravidel jsou buď statické (vytvářeny manuálně např. administrátorem) nebo dynamické (vytváří filtr sám při začátku každého spojení a na konci jej smaže). Většina routerů má nastaveno pravidlo implicitního povolení, což není pro provoz sítě ideální nastavení (Pužmanová, 1998). Nevýhodou paketového filtru je, že mimo hlavičku paketu nijak nekontrolují obsah přenášených dat. Nezabezpečený paketový filtr lze rovněž lehce obejít, nejzámější způsob je tzv. spoofing neboli falšování, jedná se o posílání paketů se změněnou IP adresou odesílatele, nebo sem patří tzv. zdrojové směrování kdy do hlavičky paketu je přidávána informace o „lepší” cestě zpět o odesílateli. Takto lze nasměrovat zpětný provoz na libovolné místo v síti. Paketový filtr lze bez rizika využívat jen při kombinaci s ostatními bezpečnostími prvky (Northcutt, 2005). Stavový firewall Nejprve je potřeba vysvětlit pojem stav. Jedná se o aktuální podobu navázané relace s tím, že se tato může měnit na základě potřeb komunikujících stran, způsobu komunikace atd. , např. využíváním jiného protokolu pro komunikaci. Pak se již jedná o jiný stav, se kterým se podle pravidel firewallu jinak nakládá. Princip stavových firewallů lze obecně rozdělit na dvě základní skupiny a to na stavové filtrování a stavovou inspekci. První uvedená dokáže filtrovat tok paketů na základě informací ze 4. vrstvy a nižší. Navíc ještě kontrolují i vrstvu aplikační, ale pro zrychlení kominikace jen první paket. Pokud daný paket splňuje požadavky pro průchod, informace o něm se zanesou do stavové tabulky a další pakety této relace již neprocházejí tak podrobnou kontrolou a zvyšuje tím i propustnost sítě a tedy i rychlost spojení relace. Informace o konkrétním stavu zůstává v tabulce až do ukončení spojení. Dobrým nástrojem, který umožňuje stavové filtrování na unixových strojích je netfilter a iptables. O něco chytřejší jestavová inspekce, která nad funkce stavového filtrování dokáže rozpoznávat i příznaky spojení a na základě toho je dokáže kontrolovat (mezi příznaky patří 17
např. NEW, LISTENING, ESTABLISHED, atd.). Díky kontrolám ve vrstvě sedmé (modelu ISO/OSI) dokáže navíc zpracovávat i nestandardní komunikaci, kterou má např. protokol FTP (Northcutt, 2005). Proxy firewall Proxy funguje jako prostředník při komunikaci. V pravěku firewallů se jednalo o počítač, který byl připojen zároveň do dvou sítí. Všechny datové toky mezi sítěmi byly realizovány právě přes tento počítač. Data jsou v proxy analyzována a odeslána na příslušnou adresu tak, že u příjemce bude jako odesílatel uveden právě zmíněný proxy. Proxy je nutno vytvořit zvlášt pro každý protokol, ruzný pro HTTP, FTP nebo SMTP (Horák, 2003). Proxy firewallů existuje několik druhů (podle principu fungování), mezi nejrozšířenější patří: Reverzní proxy Zprostředkovávají spojení pocházející mimo vnitřní síť a s bezpečným serverem, který reverzní proxy pro tyto uživatele představuje. Tento požadovaný server se pak nachází uvnitř zabezpečené sítě. Proxy na úrovni aplikací Aplikační proxy funguje až do vrstvy aplikační, jedná se o aplikaci typu klient/server. Musí se ale pro každou službu sestavovat zvlášť. Klasicky je např. povolení HTTP všem z vnitřní sítě. Dobře nastavený aplikační proxy může zaručovat i určitou míru autentizace. Proxy na úrovni okruhů Toto proxy poskytuje větší míru kontroly toku v síti, než ostatní typy. Na základě pravidel validuje jednotlivá spojení, přičemž může kontrolovat nejen IP adresu, čísla portů, použitý nebo vyžadovaný protokol ale i uživatelovo ID či heslo. Díky kontrole většího množství informací je různé falšování a podvrhování údajů (např. IP adres) mnohem složitější. Implementace firewallů Firewally jsou dnes „hybridy” aplikačních proxy, stavových a paketových filtrů, díky marketingovým strategiím jsou však nazývány podle převažující vlastnosti. Naopak nedostatky druhé zůstávají zákazníkovy skryty (nedostatečná adaptabilita na nové protokolu u proxy a neexistující kontrola aplikační vrstvy u paketového filtru). Základní řešení jsou dostupná ve verzi softwarové a hardwarové, tyto se liší především formou instalace, nastavením a následnou správou, nesmíme samozřejmě opomíjet i faktor ceny. SW firewall Představuje cenově dostupné řešení (až desetkrát levnější jako HW firewally). Některé společnosti jej pro osobní použití nabízejí zdarma. Instaluje se na koncové stanice, rozlišujeme proto verze pro osobní PC a pro servery. Za nízkou cenu však platíme složitějším nastavením politiky a pravidel firewallu a sledování aktivit na síti bývá obtížnější. HW firewall Poměrně snadná integrace do počítačové sítě a lepší možnost kontroly toku dat je úměrná ceně produktu přesahující 10 000 Kč3 . Firewall 3 Cena
je odvozena od výrobků odpovídající parametry svým SW ekvivalentům
18
bývá často doplněn routerem a několikaportovým switchem. U některých, na trhu dostupných modelů, bývá často právě firewall nedostatečně vybaven.
2.4.3
IDS
Systémy detekce síťového narušení jsou navrženy tak, aby ověřovaly síťové přenosy a identifikovaly možné hrozby detekcí skenování, sondování a detekcí útoků. Detekce narušení nám mimo jiné pomůže zjistit, že systémy budou na evetuální hrozby vhodně reagovat. Senzor IDS analyzuje přenosy a snaží se v nich vyhledat různé signatury, které by mohly indikovat pokus o skenování nebo sondování a provádí průzkumnou činnost nebo zachycuje pokusy o zneužití známých zranitelností (Northcutt, 2005). Signatury které mohou způsobit ohrožení bezpečnosti jsou dostupné u společností vytvářející tyto systémy někdy už po 24 hodinách po zjištění průniku k dispozici na svých webových stránkách. U některých jsou tyto signatury zpoplatněny. IDS nemá ve většině případů jen konkrétní úlohu, ale hlídá více míst a kontroluje více variant ohrožení. Mezi nejznámější programy na trhu patří například Snort, Shadow, Cisco Secure, Enterasys Dragon, ISS RealSecurenebo NFR. IDS často bývá součástní většího balíku služeb, které mj. zahrnují antivir, firewall, antispam apod. , tuto variantu často využívají menší podniky především kvůli jejich ceně.
2.4.4
Zabezpečení pracovních stanic
Hrozba útoku z vnitřní strany sítě je právě na koncových pracovních stanicích největší. Pro jejich zabezpečení je třeba vykonat celou řadu činností. Nedílnou součástí pak jsou i aplikace jako antivir nebo firewall. Zpustit nebezpečný kód na své pracovní stanici může i její uživatel aniž by o něm nějak věděl. Proto se musí zamezit rozšíření tohoto kódu na ostatní stanice. Hlavním řešením je nastavení práv konkrétním uživatelům a to co nejrestriktivněji(zejména práva k úložištím dat). K zajištění bezpečnosti pomáhájí hesla nejen k vlastnímu počítači, ale i pro přístup k datovým úložištím. Tato nesmějí být lehce zjistitelná a odvoditelná a uživatelé musí být poučeni o jejich důležitosti a zacházení s nimi. Antivirový software je důležitým prvkem v boji proti škodlivému kódu. Jeho součástní dnes není jenom antivirová ochrana, ale i ochrana proti trojským koním nebo červům, v některým bývá navíc antispamová a antispywarová ochrana. V jejich databázi se nachází velké množství signatur, různých škodlivých kódů a proto mají vysoké procento úspěšnosti. Dnes tyto programy dokáží spolupracovat s bránami, které zpracovávají provoz např. SMTP, HTTP nebo FTP. Aplikačních firewallů pro koncové stanice je rovněž mnoho, některé jsou pro soukromé použití dokonce nabízeny zdarma. Hostitelsky orientované firewally monitorují narozdíl od těch, které jsou umístěny na hranicích segmentů a regulují průchod síťového provozu z jedné sítě do druhé, jak vstup do systému tak i výstup z něj. Používají se především na pracovních stanicích nebo noteboocích, které nemohou být vždy zapojeny do sítě s hraničními firewally. Mezi nejznámější programy patří Norton Personal Firewall, Bitdefender Firewall, Sygate Personal Firewall, nebo Kerio Winroute Firewall.
19
2.4.5
Patch management
Zajištění pravidelných updatů a záplat všech bezpečnostních programů, firmwaru síťových komponent a operačního systému udrží síť v bezpečí po mnohem delší dobu aniž by se musel kupovat nový software. Výhodou některých komplexnějších produktů je i to, že mají vysoce vyvinutý patch management, který jim umožňuje hromadně aktualizovat a tím tak nezatěžovat ve značné míře uživatele a zrychlit časovou prodlevu u pravidelně se updatujících programů, které ale nejsou nijak synchronizované. Pokud podnik požaduje takovou možnost centrálního updatu prováděného automaticky a periodicky, musí si sám stanovit plán updatování síťových komponent tak, aby byla vždy nová verze k dispozici a aby to výrazně neovlivnilo chod sítě nebo rychlost pracovních stanic. Říká se, že i nově vybudovaná síť je po svém kompletním sprovoznění prakticky zastaralá a existují pro ni nové aktualizace.
20
3 Vlastní řešení 3.1
Charakteristika podniku
Základní charakteristika podniku nutná pro podrobnější analýzu a návrh nového řešení je nezbytnou součástí práce. Z jejích výsledků budem vycházet a nové řešení budeme pro ni optimalizovat. Podnik se rozhodl po 10-ti letech své existence se přestěhovat do nových prostor, neboť staré již nevyhovovaly předevší velikostí skladovacích prostor. Podnik se přestěhuje blíže k centru města, kde bude blíže svým zákazníkům, ale zároveň se zvýší i nájem. V součastnosti má 7 zaměstnanců, kteří jsou rozmístěni mezi prodejnu, sklad a kanceláře. Podnik plánuje přijmout na nové pracoviště 3 nové zaměstance na nově vytvořené pozice. Tím by se měla zvýšit efektivnost práce a vylepšit služby pro zákazníky. Jako hlavní novinkou pro zákazníky bude rozšíření sortimentu, od kterého si podnik slibuje zvýšení zisků.
3.1.1
Obchodní činnost podniku
Sortiment firmy je tvořem tzv. Bílým zbožím představující především kuchyňské spotřebiče jako ledničky, myčky, sporáky, digestoře apod. . Strategie firmy se ubírá k novým technologiím a plánuje zavést prodej spotřební elektroniky jako televize, Hi-Fi systémy, DVD a mp3 přehrávače apod. , jelikož předpokládá pravidelné zisky plynoucí z prodeje těchto produktů vzhledem k současnému trendu v zemi.
3.1.2
Původní síťové řešení
Lokální síť firmy byla vytvořena pro sdílení připojení k internetu, byla vytvořena v roce 1999. V síti byly připojeny 3 osobní počítače. Síť byla připojena k internetu pomocí vytáčeného připojení prostřednictvím jednoho počítače, pokud chtěly být připojeny i ostatní musel tento zůstat zapnutý. Rychlost přenosu pak výrazně poklesla pod už tak nízkou rychlost dial-up připojení. Propojení komponent zprostředkovával 4-portový hub. Tato síť vznikala postupnou potřebou využívání služeb internetu více zaměstnanci. Neprofesionální zapojení a vedení kabeláže mohlo mít v budoucnu za následek větší poruchovost sítě (ztrátu paketů, delší prodlevy v komunikaci apod.). Pracovní stanice byly sestavy s procesorem Intel Pentium III s frekvencí 800 MHz, byly vybaveny síťovým adaptérem s přenosovou rychlostí 10/100 Mb/s. Zbývající 2 stroje k síti nebyly připojeny vůbec. Převládající operační systém byl v podniku Windows 98, 2 novější stroje měli jako operační systém Microsoft Windows 2000. Shrnutí technologií původního řešení (jedná se o nejčastější sestavy): Pracovní stanice Procesor 800 MHz, operační pamět 128 MB, eth. adaptér pro FE(jen u 3 PC). kabeláž Kroucená dvojlinka, katogorie 5, konektory RJ-45 hub 4-portový rozbočovač 10/100 MB/s.
21
3.1.3
Požadavky na nové řešení
Podnik se po dosavadních zkušenostech rozhodl investovat do nové síťové infrastruktury. Všechny dosavadní údaje o zaměstnancích, zákaznících, objednávkách a reklamacích budou vedeny elektronicky. Celková digitalizace dat podniku povede k vyšší pracovní výkonnosti, zrychlí správu podnikových operací a v celkovém důsledku sníží náklady na administraci. Dnešní síťové technologie mají mnohem lepší vlastnosti než původní řešení a navíc náklady na jejich vytvoření nejsou velké. Proto se provede kompletní výměna již nevyhovujících síťových komponent, nový rozvod kabeláže a instalace a nastavení bezpečnostích síťových prvků. Způsob připojení k internetu je potřeba nahradit novějšími technologiemi pro zajištění dostatečně kvalitní a rychlé komunikace. Firma klade důraz především na jeho kvalitu. Paušál poskytovatele by se vzhledem ke způsobu a náročnosti komunikace neměl zvyšovat a připojení by zároveň mělo vydržet pro užívání minimálně po následující polovinu dekády. Podnik chce zahájit provoz internetového obchodu, proto kvalitní připojení bude základem. Toto platí i pro ostatní síťové komponenty. Podnik neplánuje další výdaje na zabezpečení síťové komunikace v tomto období, proto bude nutné volit takové řešení, které bude vyhovovat současnému trendu. Nezbytné také budou výdaje na údržbu sítě a především na zajištění pravidelné instalace bezpečnostních záplat a aktualizace pravidel pro komunikaci na síti, s kterými podnik již počítá.
3.2
Návrh řešení a implementace
Pro výběr technologií je zapotřebí vycházet z požadavků firmy nebo se jim přibližovat především v cenové oblasti. Nelze se již ohlížet na technologie, které jsou na ústupu a jejich další vývoj či podpora zanikají. Stejně tak by se určitě neměly využít technologie, které jsou relativně nové a v praxi ještě neosvědčené, i když bychom se neohlíželi na jejich vysokou pořizovací cenu. Instalace a nastavení celé sítě by svou náročností nemělo být neůměrně vysoké a zapojení síťových prvků a celková struktura musí být logická, intuitivní a snadno přístupná, aby v případě malé poruchy byly zaměstnanci schopni tuto část vyměnit nebo i sami opravit (při mechanické závadě síťové komponenty apod.) a tudíž by nebylo potřeba nechat si opravy dělat specializovanou firmou. Tím by se mohli částečně ušetřit náklady na provoz sítě.
3.2.1
Výběr technologií a zapojení sítě
Pro výběr všech komponent je nejdůležitější zvolit přenosovou technologii, která bude zajišťovat chod lokální sítě. Od ní se odvíjejí ostatní požadavky, je proto důležité zvážit všechna pro a proti komponent, které vyhovují požadavkům pro nově budovanou síť. Základní prvky potřebné pro vybudování sítě jsou: • Pracovní stanice s ethernetovým adaptérem • Strukturovaná kabeláž • Switch
22
V úvahu připadají dva způsoby a to využít již léta osvědčený Fast Ethernet (FE) nebo Gigabit Ethernet (GE). Původní řešení podniku předpokládalo komunikaci typu FE a díky tomu byly vybaveny osobní počítače připojené k síti 100Mb/s síťovým adaptérem, ostatní počítače jsou ale bez něj. Základní otázkou je na co podnik bude síť používat. Podle charakteru podniku a jeho dlouhodobému zájmu se dá předpokládat, že pro ukládání záznamů o fungování podniku, zboží, objednávkách a reklamacích nebo informace o zaměstnancích, pro stahování pošty nebo správy internetového obchodu nebudou činností, kterou by nedokázal FE zvládnout. Využití GE je sice příslibem do budoucna, bohužel cena řešení využívající GE několikanásobně přesáhne FE implementaci. V úvahu musíme vzít i hledisko morálního zastarávání, které je u FE mnohem rychlejší, na druhou stranu je potřeba si uvědomit do jaké kategorie podnik spadá (nejedná se vůbec o velkou společnost, která lpí na nejnovějších technologiích, navíc návratnost investic do GE bude pro takto malý podnik téměř nulová). Podnik by si lepší technologie sice finančně dovolit mohl, ale bude pro něj lepší zaměřit se na poměr cena/výkon a hlavně v porovnání se svými požadavky. V konečném důsledku bude pro podnik lepší investovat nyní menší obnos do síťové infrastruktury a někdy v polovině následující dekády, bude-li stávající řešení nevyhovovat, reinvestovat ušetřené finance do nové sítě. Pracovní stanice Využití původních pracovních stanic nebo stanic zakoupených firmou dodatečně je jednou z podmínek firmy. Předpokládá se, že stanice budou stroje s procesory Pentium III či novějšími a pevnými disky, které rychostí svého čtení a zápisu nebudou zpomalovat nově vybudovanou síť (toto se dnes prakticky stává jen u vysokorychlostních sítí). Takto vybavený počítač by již neměl mít problémy s komunikací v síti a svými parametry ji může plně využívat. Podnik bude dále dokupovat ještě dvě další pracovní stanice. Vlastní pořízení již není součástí této práce a tuto koupi nechám na individuláních potřebách podniku. Ethernetový adaptér Ikdyž se jedná o nejlevnější součást lokální sítě, nelze jeho koupi podceňovat. Na trhu nalezneme nepřeberné množství tohoto zboží, pro naše potřeby bude tedy vyhovovat 100Mb/s síťový adaptér. K počítači bude připojen přes PCI rozhraní sběrnice (na trhu lze koupit i s USB rozhraním, ale nepředpokládám, že všechny PCI sloty budou v každé pracovní stanici zaplněny a navíc je řešení s USB mnohem dražší). Díky nízké ceně ethernetového adaptéru lze uvažovat i jeho nákup s parametry umožňující provoz GE a tím tak zahájit pozvolný přechod na vyšší přenosové rychlosti, který by byl díky postupným investicím mnohem nenásilnější a teoreticky i levnější. Zvážíme-li ale skutečnost, že morálně zastarají i osobní počítače bude mnohem lepší koupit za pár let celou novou počítačovou sestavu, která bude jistě obsahovat tento GE adaptér, toto řešení pak vyjde určitě mnohem levněji. Na trhu se pohybují v cenové relaci od 100,- do asi 500,- Kč, pro potřeby firmy bude plně vyhovovat karta: OvisLink LFE8139ATX 10/100Mbps RJ-45 PCI WoL MS Certified vlastnosti karty: 23
1. Sběrnice: PCI 2. Podporované specifikace LAN: IEEE 802.3 10BASE-T, IEEE 802.3u 100BASETX 3. Podporované rychlosti: 10/100 Mbit/s 4. Konektory: 1x RJ-45 5. Podporované OS: Windows Me, Windows 2000, Windows XP 6. Podpora Full Duplex režimu Síťovou kartou bude třeba vybavit čtyři počítače. Ostatní tři již kartu odpovídajícího typu mají. Operační systém Zakoupení operačního systému Windows, vzhledem k tomu, že podnik nebude zaměstnávat speciální osobu, která by se starala o provoz sítě, systému apod. vychází v konečném důsledku mnohem levněji, než některých Open source systémů, u kterých je o něco složitější instalace a počáteční konfigurace ikdyž jejich pořizovací cena je jen zlomkem ceny produktů Microsoftu. Znalost operačního systému Microsoft Windows u zaměstnanců firmy odbourá zaškolování pro použití nového operačního systému (myšleno jiný než Windows). Cena zaškolení by se projevila nakonec i v tržbách podniku (díky jistému zhoršení služeb v době zaškolování). Na výběr jsou dvě poslední verze systému této firmy: 1. Microsoft Windows XP Professional 2. Microsoft Windows XP Home Řešení s XP Home je vhodnější spíše pro standalone stanice, pokud chceme mít stroje připojené k síti, kde bude více jak 5 pracovních stanic, je lepší využít XP Professional, bude-li v síti více jak 10 stanic bude již nezbytné připojit je k serveru, s čímž se počítá až při dalším rozšíření sítě v budoucnu. Kabely a rozvody Pro vytvoření kabelážové struktury je potřeba si správně rozhodnout o umístění různých komponent v síti, tak aby dané řešení bylo co nejefektivnější. Před fyzickým rozmístěním komponent a jeho instalací je nejprve zvolit cestu po které povedou kabely, jež je budou propojovat tak, aby jejich metráž byla co nejmenší, instalace co nejednodušší a nebylo potřeba překonávat velké překážky. Pravidla umístění a instalace kabeláže Při rozmístění jsem vycházel z plánku nového objektu podniku (viz příloha A.1, v plánku je již zakomponovaná nová síť). Jelikož na pracovišti je již kancelářské vybavení, možnost instalace kabelových rozvodů pod omítku zdiva s koncovými zásuvkami v omítce by bylo nákladné a zdrželo by to zahájení provozu v podniku. Nejjednodušší variantou je vedení kabeláže v lištách přichycených ke stěnám kanceláří. Možnost vést kabely jinak (např. stropními podhledy) na pracovišti není. Investice do lišt je proto nevyhnutelná. Protože je potřeba vést kabeláž přes chodbu mezi kancelářemi, musí se lišty umístit v horní části stěny tak, aby vedly ještě nad zárubami dveří. 24
Vést kabely po podlaze je nebezpečné neboť může dojít k jejich mechanickému poškození při jejich překračování hlavně v propojovací chodbě. Výška, ve které budou rozvody instalovány bude 2,1 metru, kabely tak projdou bez ohybu nad dveřmi v chodbě, pro propojení kanceláře s chodbou se budou muset vysekat otvory pro vedení kabeláže. Minimální ohyb drátu kroucené dvojlinky pak zaručí bezchybnou komunikaci. Zvolená topologie typu hvězda má sice na instalaci kabeláže malý vliv, ale je neméně důležitá pro chod celé sítě, proto je potřeba se o ní zmínit (ikdyž se v dnešní době ani jiná nepoužívá). Pro ukončení kabeláže v lištách použijeme speciální zásuvky na omítku pro konektory RJ-45, těmi budeme zakončovat vývody kabeláže z lišt na zdech. Lze se samozřejmě obejít i bez těchto zásuvek a nechat každý kabel zakončený konektorem. Tato omezenější varianta nám však znemožňuje nějak výrazně měnit rozmístění počítačů v místnosti aniž bychom nově nenatahovaly kabely nebo je jijak prodlužovaly. Protože mají zásuvky vždy 2 vstupy pro konektory budeme instalovat kabel z lišt jen do jedné, druhá zůstane neobsazena a bude se moci využít pro další rozšíření sítě, jedině v místnosti se switchem budou zásuvky vyvedeny po dvou kabelech v každé, kvůli úspoře místa. Pro propojení ze zásuvek nastříháme kabely přesně podle potřeb a opatříme je konektory. Tato volba nám přináší větší volnost. Výběr typu kabeláže Pro Fast Ethernet lze zvolit kabely schopné přenášet data rychlostí 100 Mb/s. Tomuto odpovídají kabely UTP cat 5(e), 6 i 7, nejlépe z nich vychází cat 5e. Jedná se o nejdostupnější typ kabelu na trhu a svou cenou nijak nepřevyšuje starší standart cat 5. Novější kabely typu 6 a 7 jsou již pro FE zbytečně nákladné a lze je použít nejlépe pro Gigabit Ethernet a vyšší. Navíc po kabelech cat 5e lze rovněž vést GE (přenosová rychlost však dosahuje jen něco okolo 2,5 Gb/s) a tedy při budoucím upgradu sítě, lze tuto (asi nejnáročnější) část provést až po výměně všech komponent. Instalace Pokud by si podnik řešil instalaci pomocí vlastních prostředků a nezadával ji specializované firmě, mohl by na tomto místě ušetřit. Vystavuje se ale riziku při neodborném zacházení s kabeláží. Proto je důležité dodržovat následující pravidla: 1. nikdy nelámat kabel např. v rohu (ohyb musí mít rádius min. 6 x průměr) 2. neohýbat kabel o více než 90 stupňů 3. zatahování kabelů silou větší než cca 10 kg způsobí jejich poškození roztažením twistování (náchylnost k chybovosti!) 4. nedělat smyčky 5. při stahování kabelů páskami do svazku, příliš nestahovat pásky 6. kabel nevypínat, ale raději ponechat volný 7. při konektorování kategorie 5 nemít odizolovanou delší část než 13 mm. Pro rozvod v podniku nebude potřeba více jak 186 metrů UTP kabelu typu cat 5e. Jedná se o 124 metrů pro horizontální rozvody, 42 pro vertikální rozvody a 20 metrů je pak rezerva, ta bude sloužit pro vedení kabelů zdivem mezi 25
místnostmi s jejichž rozměry jsem do horizontálních rozvodů nezapočítával. Protože tyto stěny jsou mezi kanceláří a chodbou, nebudou mít více jak 15 cm i s omítkou, jedná se tedy o zanedbatelnou délku. Nevýhodnější je koupit dva boxy UTP kabelů, každý po 100 metrech. Při výběru vedení kabelů jsem hledal způsob jak co nejvíce zkrátit délku jednoho segmentu tak, aby byla co nejmenší. Navrhovaný rozvod naleznete v příloze A.1. Nejdelší segment v návrhu bude mít délku 17 metrů a tedy zdaleka nepřekračuje maximální délku segmentu pro UTP kabely cat 5e, pro kterou je garantovaná neklesající přenosová rychlost. Tato délka je 100 m. Vzhledem k tomu, že rozvod bude v budově, je jedno, jestli se bude jednat o lanko nebo o drát (ceny obou jsou dnes již přibližně stejné a instalace není rozdílná). Konce kabelů budou mít speciální konektory typu RJ-45 pro tento typ kabeláže (jiný typ by mohl mít menší např. horší stínění a navíc existují rozdíly v konentorech pro lanko a drát). Pro bezpečnou manipulaci je lépe konektory vybavit ochranou gumovou krytkou. Pro správné připojení se musí použít speciální krimpovací kleště. Vhledem k tomu, že bude potřeba nejen provést instalaci kabeláže a aktivních síťových prvků, budou se muset nastavit síťové komponenty tak, aby jejich činnost neumožňovala snadný průnik do sítě. Doporučoval bych, aby podnik najal specializovanou firmu nebo odborníka na tuto práci. Switch Pokud dokončíme rozvody kabeláže, můžeme jejich konce zapojit na jedné straně do připravených síťových adaptérů pracovních stanic a na druhé straně do switche, který jim umožní sdílet svá data po síti. V síti bude zapojeno 7 pracovních stanic, jedna síťová tiskárna a pro připojení k internetu bude potřeba ještě připojit router. Celkem tedy potřebujeme 9 LAN portů na switchi. Na trhu jsou dosupná zařízení však vždy s počtem portů, který je násobkem osmi, jiný počet bývá méně obvyklý. V úvahu připadá tedy nejvíce jeden 16-ti portový switch, zapojení více switchů s menším počtem portů je nevýhodné ať cenově nebo jenom proto, že více switchů vyžadují složitější instalaci a větší počet kabelů. Pracoviště podniku na druhou stranu zatím nepočítá s vybudováním více pracovních míst, a proto tento typ switche bude optimální volbou. Požadovaným vlastnostem budoucí sítě pro Fast Ethernet plně vyhovuje tento produkt: 3COM Office Connect Dual Speed Switch 1. Rychlosti - 10/100 Mb/s 2. Porty - 16 x 10/100 BASE-TX, RJ-45 3. Full Duplex 4. autodetekce rychlosti Renomovaný výrobce a oblíbenost tohoto produktu na trhu je určitou zárukou kvality produktu, navíc za cenu, kterou se nijak neodlišuje od ostatních switchů podobného typu a s podobnými vlastnostmi. Switch je potřeba naistalovat v místech kde nebude vystaven přímému slunci, a pokud možno ne v blízkosti topného tělesa. Zařízeji je třeba zajistit i proti pohybu, nejlépe jeho přichycením ke zdi nebo k podlaze či stolu a to co nejblíže k zásuvkám. 26
Připojení k internetu Volba poskytovatele a typu připojení je závislé na místních poměrech. Podniku by vyhovovalo připojení s downlinkem okolo 2 Mb/s, který se rozdělí celkem bez problémů mezi 7 pracovních stanic. Tomu vyhovují poskytovatelé kabelového internetu a ADSL. První druh však nejčastěji bývá jen při velkých sídlištích měst. ADSL již nabízí více poskytovatelů na mnohem širším území. Pro podnik internetové připojení typu ISDN nebo dokonce vytáčené připojení již díky nízkému datovému toku nebude vyhovovat. Uvažovat o nich jde jen jako o záložním připojení. Nejlépe by jako záložní spojení vyhovovalo bezdrátové připojení WI-FI, které lze využít i souběžně s pevným připojením, například pro připojení přenosných zařízení jako jsou notebooky nebo PDA. Podnik nepatří mezi ty, které potřebují mít přístup k internetu 24 hodin denně, 7 dní v týdnu a proto by dokázal případný výpadek sítě ustát bez jakých koliv ztrát na tržbách. Záložní připojení bude tedy zbytečné zřizovat. Pokud by se jednalo o výpadek dlouhodobějšího rázu, lze již dnes vybavit nové připojení od jiného poskytovatele během ne-li hodin tak několika dní. S využitím bezdrátového připojení WI-FI se v součastnosti nepočítá, její zavedení a začlenění do sítě však nebude problém. Vysoké pořizovací náklady na technologii WiMAX ji pro tento podnik staví mimo hru. Nejvýhodnější a nejvhodnější varianty připojení(ADSL a kabelový internet) jsou si velice podobné, jako příklad uvádím nabídku dvou podobných služeb různých poskytovatele ADSL(zde GTS Novera, tarif: Novera DSL Fun) a kabelového připojení(zde UPC CHELLO, tarif: Chello light) poskytovatel: Přenosová rychlost: Přenosový limit: Měsíční poplatek: Instalační poplatek Modem:
ADSL Kabelová televize 2048/256 kbit/s 2560/256 kbit/s 10 GB/měs. 20 GB/měs. 595 Kč 779,- Kč 150,- Kč (bez instalace) 1,- Kč 600 až 3500 Kč(dle modelu) 0,- Kč(pronájem)
Nabídky ostatních poskytovatelů jsou téměř shodné s uvedeným příkladem, liší se pouze v detailech. Protože v okolí podniku existuje poskytovatel ADSL tak i kabelové televize. Pro podnik jsem vybral nabídku společnosti GTS Novera (program Novera DSL Fun 2048/256 kbps). Důvodem, proč bych doporučil tento program je, že společnost GTS Novera poskytuje velmi dobré podmínky a doprovodné služby. Jako příklad je 50MB webového prostoru 5 emailových adres, pevná IP adresa, určitou výhodou je i to, že společnost poskytuje hlasové služby a tak je velikým konkurentem Českému Telecomu a navíc nabízí své služby v kombinaci a tudíž za nižší celkové ceny. Měsíční paušál tohoto tarifu je 595,- Kč bez DPH (tarif je bez telefoních služeb). Menší nevýhodou se může zdát FUP (Fair User Policy), díky které po překročení 10 GB pro downlink se sníží přenosová rychlost na 128/128 kb/s. Nemyslím si, že podnik bude stahovat takto velké objemy dat. Pokud by tomu tak bylo lze si další 2 GB dokoupit za 60,- Kč. Podmínkou tohoto tarifu je smlouva na 18 měsíců. Pokud by podniku nevyhovoval může jej změnit za rychlejší nebo i za tarif od jiného poskytovatele, který bude výhodnější. Jednotliví poskytovatelé pravidelně upravují své nabídky, takže jako výhodný vybraný tarif nemusí dlouho zůstat a podnik jej může 27
vyměnit, pokud ovšem pořizovací náklady za nové připojení nebudou vysoké a pokud nebudou podmínky pro zrušení stávajícího zahrnovat vysokou penalizaci. Tento segment trhu je ve svých cenách i nabízených službách velice dynamický a lze velice těžko vybrat nejlepší řešení. Důležitá bude nabídka poskytovatelů v místě sídla firmy, může se taky stát, že nám většinou zůstane jenom jedna volba. Mnou navrhované řešení se v lokalitě vyskytuje a bylo by možné jej ihned začít instalovat.
3.2.2
Zabezpečení firemní sítě
Pro zabezpečení sítě budeme vycházet ze skutečnosti, že podnik nebude potřebovat nejlepší zabezpečovací prostředky, u kterých je sice vysoká míra zabezpečení, ale stějně i jejich cena je vysoká. Předpokládáme, že hrozba útoku na tuto síť nebude extrémě veliká. Pro podnik této velikosti je zbytečné investovat do těchto prostředků. Nejpřijatelněji se jeví tato kombinace technologií pro zabezpečení sítě: • ADSL modem • firewall-router pro kabelový internet a ADSL • softwarový IDS, integrovaný do jiných komponent • zabezpečení pracovních stanic antivirovým programem, softwarovým firewallem a restriktivní politikou pro provoz sítě ADSL modem Pro koupi modemu lze využít zvýhodněné nabídky společnosti GTS Novera, která nabízí modemy firmy Zyxel. Pro podnik jsem vybral z této nabídky modem Zyxel P-660H. Operační systém ZyNOS s certifikací ICSA zajišťuje této sérii modemů prvotřídní výkon firewallu a robustní zabezpečení. Na základě funkcí Stateful Packet Inspection, DoS (Denial of Service) a DDoS vytváří prvotní bariéru proti hackerům, narušitelům sítě a dalším hrozbám. Modem tak slouží jako první nárazová zóna při útoku z internetu. Modem bude připojen k routeru přes ethernetové rozhraní. Výběr a nastavení firewall-routeru Pro podnik bude nejlépe investovat do kvalitního routeru, který dokáže filtrovat pakety přicházející ze sítě a bude zárověn pracovat jako DHCP server, který bude dynamicky přidělovat IP adresy všem aktivním síťovým prvkům. Výhodou bude, když zároveň bude mít integrovaný menší switch, jako případná záloha pro rozšíření sítě. Důležité bude i možnost nastavení routeru a možnost kontrolovat logové záznamy.
28
Dané parametry nejlépe splňuje tento router: Router Linksys BEFSX41 Charakteristika produktu: • Širokopásmový Cable/DSL Firewall router s 4portovým Switchem/VPN endpoint • Ochrana PC před Ping of Death, SYN Flood, Land Attack, IP Spoofing a jinými DoS (Denial of Service) útoky • Podpora až 2 IPSec Tunelů současně, NAT • Blokování Java, ActiveX, Cookies • Snadná konfigurace přes web browser • Podpora IPSec a PPTP Pass-Through • Podpora Traffic a Event logging • Možnost konfigurace routeru jako DHCP server • Standard: IEEE802.3, IEEE802.3u • Porty : WAN - 1x10/100Mbps RJ45 port • LAN - 4x 10/100Mbps RJ45 port Spojení firewallu s routerem je pro podnik ideální řešení jak z pohledu dostatečného zabezpečení sítě tak jako menší finanční výdaj (v porovnání s koupí firewallu a routeru jako samostatných produktů). Nastavení firewall-routeru Konfigurace je přístupná přes libovolný webový prohlížeč na defaultní adrese stroje(http://192.168.1.1), pro přístup je ještě třeba zadat defaultní heslo (přednastaveno je heslo „admin”). Jako první změnu bych provedl přenastavení hesla na bezpečnější. Druhou volbou bude povolení služby DHCP (Dynamic Host Configuration Protokol), ta zjednodušší nastavení sítě (díky automatickému přidělování adres) a umožní flexibilní změnu počtu počítačů v síti (omezenou jen počtem LAN přípojek switche) bez nutnosti většího zásahu do nastavení sítě. Službou DHCP lze provozovat společně se službou NAT (dynamické routování). Pokud je DHCP vypnutý, nebude fungovat ani převod síťových adres čili NAT. Samozřejmě lze nastavit síť i staticky. Nevidím však žádný důvod proč to tak udělat. DHCP dokáže přidělit automaticky až 253 adres. Nastavit lze i maximální velikost přenášených paketů (MTU), doporučuji však nechat dělat toto rozhodnutí sám router. Nastavení zabezpečení umožňuje výběr pravidel pro filtrování firewallu, blokovat lze Java aplety, ActiveX prvky, Cookies a připojení k proxy serverům ve WAN síti. Blokovat lze i anonymní internetový požadavek (znemožňuje poslat ping na prvky sítě a ukrývá i čísla používaných portů. Doporučoval bych blokovat všechny výše zmíněně prvky, z praxe ale znám případy kdy je potřeba mít některé povolené (např. cookies při komunikaci s bankovním domem, nebo
29
dokonce i potřeby povolení ActiveX prvků). Podporu VPN, IPsec nebo PPTP Pass-Through podnik zatím neplánuje využívat. Router dokáže při zjištění útoku (např. DoS) poslat email s logovým záznamem administrátorovy. Přeposílání těchto logů a stejně tak i jejich vytváření se nejprve musí povolit. Výhody tohoto routeru jsou nyní zřejmé, podniku bych nedoporučoval se spoléhat jenom na firewall v modemu a na softwarový firewall na pracovních stanicích. Volba a umístění IDS IDS lze obecně rozdělit na: host-based (uživatelsky orientovaný), umístěny na pracovních stanicích network-based (orientované na síť), umístěny nejčastěji hned za firewallem (nebo jsou jeho součástí). Systémy IDS lze zakoupit za nemalý obnos a stejně tak i zdarma stáhnout (ale většinou jen pro unix/linux stroje nebo pro nekomerční účely), pro sítě menšího rozsahu je výhodnější zvolit bezpečnostní prvek, který již v sobě IDS integrovaný má a vyhnout se tak platbě za produkt dvakrát. Bude se tedy jednat o host-based IDS. Nesmíme ale zapomenout že prvky IDS jsou implemetovány již ve firewall-routeru (jedná se o network-based IDS), využívá však většinou jen některých funkcí IDS. Jako host-based IDS využijeme softwarovou verzi firewallu, která většinou prvky IDS obsahuje. Z pravidla tento program nenabízí možnosti většího nastavení IDS, jedinou možností pak zůstává pravidelná aktualizace programu, stahovaní updatů a signatur škodlivých kódů. Zabezpečení pracovních stanic Mezi hlavní zabezpečení pracovních stanic patří: • firewall • antivir • antispam • antispyware Pro zabezpečení lze rovněž zvolit kombinované řešení, tedy antivirový program a firewall a většinou i ostatní bezpečnostní programy(antispam, antispyware) v jednom. Finančně je toto řešení nejpřijatelnější a navíc integrované řešení umožní provádět aktualizace jednorázově pro všechny prvky a tím nebudou tolik zatěžovat síť. Na nové síti nedoporučuji používat firewall, který je součástí nového operačního systému Windows. Jednou z jeho mnoha nevýhod je, že nekotroluje žádnou odchozí komunikaci, proto doporučuji vybrat jiný. Z velkého množství mohou vyhovovat následující produkty Symantec Firewall, Bitdefender Firewall, nebo Kerio Winroute Firewall Mezi antivirovými programy bych vybral jeden z následujících produktů Nod 32 antivirus, Bitdefender antivirus nebo Norton antivirus 2006. 30
Na výběr je samozřejmě i spousta jiných, uvedl jsem jen ty, které považuji za kvalitní a ověřené velkým počtem zákazníků. Rozhodl jsem se využít služeb kobinovaných řešení, jejichž služby jsou více vzájemně propojeny a každá dokáže plně využívat svůj potenciál tak, že nijak neovlivňuje službu jinou. Dále musí nové řešení být prodáváno s více licencemi (multilicence), které zjednodušší instalace, a rovněž od produktu očekávám možnost hromadného prodloužení licencí. McAfee internet security suite firmy McAfee obsahuje sice antivirus i firewall, ale jeho cena(přes 2000 Kč za licenci na rok) je zbytečně vysoká. Produkt Kerio Winroute Firewall je dodávám i s licencí na McAfee antivirus vychází na zhruba 1300 Kč při koupi licence na 10 pracovních stanic. Levněji vychází pořízení AVG 7.1 plus Firewall, protože společnost neuvádí obsahuje-li toto řešení antispam nebo antispyware předpokládám že jej produkt neobsahuje a beru to jako mínus a tento produkt bych si nekoupil. Nejlevněji vyšla koupě produktu společnosti Softwin - BitDefender Professional Plus, který obsahuje všechny požadováné služby, jeho cena při koupi deseti licencí je pak 642 Kč bez DPH. Další výhodou je i výrazně nižší cena při prodlužování licence (zruba polovina s ceny pořizovací), u ostatních produktů se cena upgradu přibližuje ceně nové licence. Jeho antivirový program navíc má podle testu časopisu Virus Bulentin (www.virusbtn.com) 100% detekci in the wild virů. Lidský faktor Ohrožení způsobené nedostanečnou informovaností nebo naopak neoprávněným přístupem zaměstanců může přinést podniku velké škody. Uplatnění restriktivní politiky na všechna práva k systému bude základ. Doporučované řešení je vše zakázat a povolit jen to, bez čeho se uživatel neobejde. Důležitým bodem je i zvolení netriálního hesla pro přístup do systému (společně s právy administrátora). Bude zamezeno jakéhokoliv nastavování účtů uživatelů neoprávněnými osobami (tedy i uživateli samotnými). Stejně jako možnost instalovat nový software, to zůstane výsadou osoby zodpovídající za adminstraci, tato osoba nebude regulérním správcem sítě, bude ale jedna z jeho povinností spravovat síť. Nepočítám, že tato osoba bude její správou výrazně vytížena tak, aby zanedbávala své primární povinnosti v podniku. Důležitým počinem bude i zaškolení zaměstnanců z hlediska bezpečnosti. Bude se především projednávat správná volba hesla, nutnost jeho obměny v čase a vůbec zacházení s hesly. Dalším z hlavních bodů bude zdůraznění povinnosti pravidelné aktualizace softwaru na pracovních stanicích, protože v podniku nebude zaměstnána žádná osoba, která by se o síť starala.
31
3.2.3
Náklady na realizaci
Pro podnik bylo důležité zvolit rychlost sítě, od které se odvíjejí ceny všech komponent. Po posouzení možných variant vyšlo najevo, že síť pracující na Fast Ethernetu vyjde mnohem levněji, než síť používající gigabitové technologie. Pro srovnání budu uvádět ceny přibližně si odpovídajících komponent pro FE a GE. Požadavky podniku nakonec ukázaly, že je zbytečné investovat do dražších komponent, když jejich výhod nevyužijí. Cena použitých produktů: Název Cena za kus12 Množství Cena celkem Ethernetový adaptér Kabeláž Konentory Kryt konektorů Lišty Zásuvky Switch Router Operační systém SW ochrana pro PC Instalace internetu ADSL modem
171,-(310,-) 4 684,- Kč 498,2 × 100 m 996,- Kč 438,50ks 438,- Kč 2,94 50 ks 147,- Kč 18,24 ks (1ks = 2m) 432,- Kč 79,15 ks 1 185,- Kč 1 958,82,-(6 009,24,-) 1 ks 1 959,- Kč 1 941,18 1 ks 1 942,- Kč 3 386,9 ks 30 474,- Kč 642,9 ks 5 778,- Kč 150,-(samoinstalační balíček) 150,- Kč 1 495,1 ks 1 495,- Kč
Celkem
44 680,- Kč
Pro montáž sítě bych doporučil podniku najmout odborníka nebo specializovanou firmu, jejich ceny jsou na trhu značně rozdílné, proto bych tuto volbu nechal na podniku samotném. Již cena komponent je mnohem vyšší než u předchozího řešení, rozvod kabeláže musí být kvalitně položen a nastavení aktivních síťových prvků je třeba provést hned při instalaci tak, aby hned po prvním spuštění nedošlo k napadení sítě. Nedoporučuji provádět montáž sítě vlastní silou. Všechny síťové komponenty lze objednat přes internet a v každém větším městě si lze objednávku vyzvednout osobně Odpadne tedy z celkové ceny částka, kterou by účtovali v kamenných obchodech za poštovné a balné. Cena je uváděna bez DPH, neboť podnik si o výši DPH může snížit základ daně.
1 První cena udává cenu použité komponenty, v závorce je cena přibližně podného řešení pro gigabitový internet, pokud nelze použít FE komponenty 2 Obě ceny jsou uváděny bez DPH
32
4 Zhodnocení a závěr 4.1
Výhody a nevýhody navrhovaného řešení
Navrhované řešení vzniklo na základě analýzy požadavků podniku, jeho původního řešení a dostupných technologií. Výběr aktivních i pasivních síťových prvků byl prováděn na základě porovnání ceny, kvality a oblíbenosti produktu na trhu, jeho dostupnosti a samozřejmě na doporučení uživatelů, kteří s ním již mají zkušenosti. Vybrané komponenty jsou zhruba ve stejné cenové kategorii. Zároveň nebyly vybírány hight-end výrobky, ale jen ty, které splňovali určité požadavky na kvalitu. Žádná z komponent by neměla výrazně omezovat činnost sítě, takže celá síť by měla být vyvážená. Pro podnik bude nová síť velkým přínosem. Urychlý veškerou činnost a zjednoduší komunikaci, umožní centrálně zpracovávat data, lépe využívat služeb tiskárny a připojení k internetu budou moci ke své práci využívat všichni zaměstnanci. Omezená propustnost sítě daná maximální přenosovou rychlostí Fast Ethernetu nebude pro podnik žádnou hrozbou. Myslím si, že pro přenos potřebných dat na síti bude ještě dlouho vyhovovat podmínkám podniku. Díky síťovému propojení všech pracovišť budou moci zaměstnanci lépe a rychleji plnit požadavky zákazníků a stejně tak i dodavatelů. Navíc budou moci využívat nových služeb, které podnik díky nové síti a jejího připojení do internetu může lépe spravovat. Investice ale může být zbytečná pokud se zaměstnanci s novou sítí nenaučí pracovat a plně využívat její výhod. Důležité proto bude proškolení zaměstnanců, určení pravidel pro komunikaci a bezpečný provoz a kontrola jejich činnosti z pohledu využívání sítě a dodržování stanovených pravidel. Na nové síti se výměnou aktivních prvků (ethernetových adaptérů a switche) může docílit vytvoření gigabitové verze sítě, tato volba je dostupná i nyní, ale pro činnost podnikové sítě lze gigabitový ethernet přirovnat k termínu „kanón na vrabce”. Zatím podnik neprovádí činnost, která by dokázala Gigabit Ethernet plně využít. Nicméně se s upgradem sítě v budoucnu počítá, nelze ale díky rychlosti vývoje nových technologií říci za jak dlouho to bude.Výhodou při upgradu bude to, že rozvody kabeláže zůstatou, protože UTP cat 5e je standardizovaný i pro Gigabit Ethernet. Problém s kabeláží by nastal až při 10GE, tady dokáže cat 5e přenášet jenom 2,5 GB/s dat namísto celých deseti, takže jako poslední komponenta v síti by měla být vyměněna kabeláž. Postupný upgrade tak pomůže rozložit náklady do více období. V budoucnu se ještě plánuje využít služeb souborového serveru pro centrální správu všech dat. Při vytváření návrhu sítě jsem sronával nabízené technologie, které by v podniku mohly být instalovány. Nejlépe vycházely ne nejnovější technologie, ale ty osvědčené jako v případě Fast Ethernetu jehož gigabitová verze sice zase tak nová není, ale ceny aktivních prvků se ještě dnes diametrálně liší. Podnik by si sice gigabit dovolit mohl, ale dosti dlouho by byla jeho rychlost nevyužita, a tedy investice by byla zbytečná. Důležitou částí bude internetové připojení. Jeho rychlost bude po určitou dobu dostačující, ale myslím si, že typ připojení nebo lépe jeho rychlost se bude měnit jako první. Pokud by se jednalo pouze o navýšení rychlosti, v ceně se to 33
významně neprojeví a navíc jsou poskytovatelé na tento požadavek od zákazníků připraveni. Výměna by netrvala příliš dlouho a navíc bývá většinou zadarmo. Celková cena nového řešení není tak závratně vysoká, hlavní část v ní tvoří licence pro operační systémy. Ucelení celého systému je podmínkou podniku, navíc nové operační systémy budou mít lepší síťové vlastnosti než ty původní. Jejich výměnu tak určitě doporučuji.
4.2
Závěr
Vybudování nové sítě bude pro podnik jistě nesporným přínosem. Návratnost investice při správném používání sítě zaměstnanci bude vysoká. Podnik se títmo tahem posune výrazně dopředu. Ulehčí si tím především administrativní činnost. O systém se bude potřeba starat, aby byl pravidelně aktualizovaný a tím zabezpečen proti novým typům útoků. Hrozba útoku z internetu je vysoká a nikdy nemůžeme zaručit 100% zabezpečení sítě, můžeme se mu však co nejvíce přiblížit. Myslím si, že podniku nové řešení přinese jistě více kladných vlastností a bude pro něj pár následujích let plně vyhovující. Nepočítám, že mu síť v této skladbě vydrží déle jak několik let, neboť morální zastarání je u těchto technologií ohromně rychlé a požadavky podniku se postupem času rychle zvýší.
34
A Přílohy A.1
graf. návrh implementace
35
A.2
Ceníky poskytovatelů připojení k internetu
Zde jsou uvedeni jen vybraní poskytovatelé internetu. Ceny připojení by měli hlavně vyjadřovat poměr cena/výkon, u poskytovatelů je ale cena ovlivněna rovněž dobou platnosti podepsané smlouvy, kombinací služeb (např. s voláním) nebo jejími doplňkovými službami a hlavně instalací připojení. Vytáčené připojení K paušálu za dial up a ISDN se ještě připočítávají provolané minuty. Rozdílná je jejich cena v závislosti na čase připojení(např. po 10-ti minutách klesne cena o 20 %). Všechny ceny jsou bez DPH. Částka za minutu internetového spojení: Český Telecom GTS Novera
Dial up Internet Basic Internet ISDN Novera dial up ADSL Český telecom: Internet Expres ideal GTS Novera: Novera DSL Fun Volný ADSL: Volný ADSL 2048 Kabelový internet Chello: Chello light Karneval: Karneval turbo
0,90,- Kč 0,81,- Kč
56 kbit/s 128 kbit/s 56 až 155 kb/s
189,- Kč 285,195,- až 395,- Kč
2048/256 kb/s
599,- Kč
2048/256 kb/s
595,- Kč
2048/256 kb/s
589,- Kč
2560/256 kb/s
779,- Kč
3000/3000 kb/s
772,- Kč
36
A.3
Ceník hardwarových komponent
Switch Aktivní síťové prvky byly vybírány pro dvě technologie, a to Gigabit Ethernet (první tři modely) a Fast Ehternet(druhé tři modely). Ceny jsou rovněž uváděny bez DPH. Netgear Ethernet GS716T
cena: 7 681,- Kč
OvisLink Ether GSH16T
cena: 7 389,- Kč
D-Link DGS-1016D
cena: 6 010,- Kč
Edimax ES-3116P
cena: 906,- Kč
OvisLink Live FSH16T+
cena: 1 010,- Kč
D-Link DES-1016D
cena: 1 330,- Kč
Vybrané routery Níže uvedené typy routerů jsou určené pro připojení do sítě WAN pomocí ADSL nebo prostřednictvím kabelového připojení. SMC Barricade 7004VBR V2
926,- Kč
Router Linksys BEFSX41
cena: 1 915,- Kč
OvisLink IP-1000R
cena: 867,- Kč
Vybrané ethernetové adaptéry Zde rovněž platí, že první tři jsou pro Gibabit ethernet a další tři pro Fast Ethernet. Micronet (LR05)
cena: 351,- Kč
NETGEAR GA311S
cena: 397,- Kč
BLevelOne 10/100/1000Mbps
cena: 349,- Kč
OvisLink LFE8139ATX
cena: 171,- Kč
D-Link DFE-530TX
cena: 204,- Kč
Belkin Ethernet Desktop PCI Card
cena: 210,- Kč
37
B Literatura Dostálek Libor, Velký průvodce protokoly TCP/IP. Bezpečnost. 2. vyd. Praha: Computer Press 2004, ISBN 80-7226-849-X Horák Jaroslav, Malá počítačová síť doma a ve firmě, Grada Publishing 2003, ISBN 80-247-0582-6 Horák Jaroslav Bezpečnost malých počítačových sítí, Grada Publishing 2003, ISBN 80-247-0663-6 Kállay Fedor, Peniak Peter Počítačové sítě LAN/MAN/WAN, 2. aktualizované vydání, Grada Publishing 2003, ISBN 80-247-0545-1 Northcutt Stephen, Zeltser Lenny, Winters Scott, Frederick Karen Kent, Ritchey Ronald W., Bezpečnost počítačových sítí, Computer Press 2005, ISBN 80-251-0697-7 Novotný Vít, Účastnická koncová zařízení, FEKT VUT Brno, 2002 Pužmanová Rita, Moderní komunikační sítě od A do Z. 1.vyd. Praha: Computer Press, 1998, ISBN 80-7226-098-7 Žák Petr Přehled technologií xDSL, 4 články na internetových stránkách http://www.svetsiti.cz, publikováno 22. - 31. 7. 2002
38