Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování
Správa a řízení firemní sítě společnosti NJK Unicos s.r.o. Bakalářská práce
Autor:
Pavel Míka, DiS. Informační technologie, Správce IS
Vedoucí práce:
Praha
RNDr. Miroslav Procházka
Červenec, 2009
Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedených zdojů.
V Praze dne 15. července 2009
Pavel Míka, DiS.
Poděkování Děkuji panu RNDr. Procházkovi za vedení mé bakalářské práce. Dále děkuji firmě NJK Unicos s.r.o., zvláště pak panu ing. Josefu Jurigovi, za moţnost pracovat v zavedeném kolektivu společnosti, který byl vynikajícím zázemím pro zpracování této bakalářské práce.
Anotace Tato bakalářská práce se zabývá problematikou firemní sítě. Pozornost je proto nejprve věnována
obecnému tématu firemní sítě, její správě
a moţnostem, které poskytuje
uţivatelům. Dále je rozebírán současný stav sítě ve společnosti NJK Unicos s.r.o., který je výchozím bodem pro návrh finálního řešení. Cílem této práce je zváţení moţností modernizace a optimalizace administrace sítě. V úvahu jsem bral aspekty, díky kterým bude řešení navrhnuto tak, aby se stalo optimálním pro potřeby společnosti NJK Unicos s.r.o.
Abstrakt This bachelor thesis deals with questions of the corporate network. Firstly, the attention is paid to the common theme of a corporate network, its administration and possibilities, which are provided to users. It is analyzed the current state of the network in NJK Unicos s.r.o., which is the starting point for the proposal of the final solution. The aim of this work is to consider the option of upgrading and optimalization of a network administration. I took into account aspects, whereby will be the solution proposed to become optimal for needs of the company NJK Unicos s.r.o..
Obsah ÚVOD ................................................................................................................................... 7 I. PROBLEMATIKA SPRÁVY A ŘÍZENÍ FIREMNÍ SÍTĚ ......................................... 8 1.1 POJEM INFORMAČNÍHO SYSTÉMU .................................................................................. 8 1.2 PROBLEMATIKA ŘÍZENÍ PŘÍSTUPU K SÍTI ..................................................................... 14 1.3. BEZPEČNOST SÍTÍ ....................................................................................................... 19 1.4 INFRASTRUKTURA FIREMNÍ SÍTĚ - UNIVERZÁLNÍ ŘEŠENÍ ............................................. 26 II. ROZBOR STÁVAJÍCÍHO STAVU FIREMNÍ SÍTĚ .............................................. 29 2.1 POUŢITÉ TECHNOLOGIE .............................................................................................. 29 2.2 KABELÁŢ .................................................................................................................... 31 2.3 AKTIVNÍ PRVKY .......................................................................................................... 33 2.3.1 Hlavní switch ...................................................................................................... 34 2.3.2 Ostatní aktivní prvky .......................................................................................... 39 2.4 DŮLEŢITÁ PC V SÍTI ................................................................................................... 40 2.4.1 Hlavní server ...................................................................................................... 40 2.4.2 Linuxový router .................................................................................................. 47 2.4.3 Mail server.......................................................................................................... 56 2.4.4 Web server ......................................................................................................... 58 2.4.5 Server M-info ..................................................................................................... 58 2.5 INTERNETOVÉ PŘIPOJENÍ ............................................................................................. 59 2.6 UŢIVATELSKÉ STANICE ............................................................................................... 61 2.7 ZÁLOHOVÁNÍ .............................................................................................................. 62 2.7.1 Hardwarové zálohování ...................................................................................... 62 2.7.2 Zálohovací software ........................................................................................... 63 2.7.3. Zálohování ostatních prvků sítě ........................................................................ 64 III. OPTIMALIZACE SÍTĚ A NÁVRH KOMPLEXNÍHO A FINÁLNÍHO ŘEŠENÍ ............................................................................................................................................. 66 3.1 OPTIMALIZACE – HARDWARE, SOFTWARE .................................................................. 66 3.2 OPTIMALIZACE PŘÍSTUPU K SÍTÍ A JEJÍ ADMINISTRACE................................................ 67 3.2.1. Administrátor z řad zaměstnanců firmy ............................................................ 68 3.2.2. Externí administrátor - outsourcing ................................................................... 71
5
IV. SHRNUTÍ PŘÍNOSŮ A DOPADŮ NAVRŢENÉHO ŘEŠENÍ .............................. 74 4.1 OUTSOURCING IS/IT................................................................................................... 74 4.2. FINÁLNÍ NABÍDKA ...................................................................................................... 76 4.3 RESUMÉ ...................................................................................................................... 77 ZÁVĚR ............................................................................................................................... 79 SEZNAM POUŢITÝCH ZDROJŮ ................................................................................. 80 PŘÍLOHY .......................................................................................................................... 82
6
Úvod Mnoho společností ze segmentu středních a malých firem (SME) podceňuje problematiku počítačových firemních sítí. Náklady spojené s touto problematikou se zdají majitelům a ředitelům jako nadbytečné. V dnešní době je výpočetní technika a síťová komunikace prostoupena kaţdou částí našeho ţivota a díky citlivosti a v mnoha případech i vysoké ceně firemních dat, by měla kaţdá společnost vlastnit síť splňující veškeré standardy, včetně standardů bezpečnostních. V rámci dlouholeté spolupráce se společností NJK Unicos s.r.o. jsem získal moţnost několik let se podílet na regeneraci a upgradu jejich firemní sítě a to od úplných počátků, kdy společnost zaměstnávala dva správce sítě, přes upgrade a transformaci sítě v letech 2005 a 2006, aţ do dnešních dní, kdy vedení zvaţuje na základě vyprofilovaných potřeb společnosti a stabilního týmu zaměstnanců finální řešení z hlediska funkčnosti, zabezpečení a administrace sítě. Obsahem této práce je optimalizace sítě jako celku z hlediska technického a z hlediska významnějšího, coţ je administrace. V rámci komunikace s vedením je hlavním cílem zvaţování nákladů a efektivity pro společnost a současně volba optimální varianty, která by zajistila chod firemních dat a firemní komunikace a to s maximální mírou bezpečnosti. Práce je sloţena ze čtyř částí. Částí první neboli Problematika správy a řízení firemní sítě, je teoretický rozbor problematiky z dostupných zdrojů, jehoţ součástí jsou obecně platné informace o počítačových sítích jako takových, o přístupech k řízení firemních sítí a jejich bezpečnosti. Druhá část se zabývá rozborem stávajícího stavu firemní sítě. Popisuje ji v době, kdy bylo rozhodnuto o organizačních a technologických změnách dle potřeb společnosti NJK Unicos s.r.o. Dále obsahuje dostupnou dokumentaci a důleţité nastavení sítě. Část třetí řeší návrhy variant komplexního řešení firemní sítě, aby splňovaly poţadavky obsaţené v cíli práce. Dále se zabývá kritikou všech navrţených variant řešení dle různorodých aspektů. Čtvrtá část je argumentovanou volbou finální varianty a jejího resumé. Obsahuje kritéria, která mají přímý dopad na firemní síť, a to z hlediska funkčnosti, bezpečnosti, uţivatelského pohodlí a z hlediska ekonomického.
7
I. Problematika správy a řízení firemní sítě 1.1 Pojem informačního systému Přesná definice pojmu Informační systém neexistuje a ani ji nelze jednoduše vytvořit, neboť kaţdý uţivatel či tvůrce Informačního systému pouţívá různé terminologie a zdůrazňuje jiné aspekty. Můţeme však říci, ţe Informační systém (IS) lze chápat jako systém vzájemně propojených informací a procesů, které s těmito informacemi pracují. Pod pojmem procesy pak rozumíme funkce, které zpracovávají informace do systému vstupující a transformují je na informace ze systému vystupující. Zjednodušeně můţeme říci, ţe procesy jsou funkce zabezpečující sběr, přenos, uloţení, zpracování a distribuci informací. Pod pojmem informace pak rozumíme data, která slouţí zejména pro rozhodování a řízení v rozsáhlejším systému. Do celkové funkce IS se také promítá nezanedbatelná poloţka okolí. Okolí informačního systému tvoří veškeré objekty, které změnou svých vlastností ovlivňují samotný systém a také objekty, které naopak mění své vlastnosti v závislosti na systému. Celkově tedy můţeme říci, ţe IS je softwarové vybavení firmy, které je schopné na základě zpracovávaných informací řídit procesy podniku nebo poskytovat tyto informace řídícím pracovníkům tak, aby byli schopni vykonávat řídící funkce, mezi které patří zejména plánování, koordinace a kontrola veškerých procesů firmy. Úloha IS v současných firmách Kvalitní IS je v současnosti nutnou podmínkou úspěšnosti firem ve všech oblastech podnikání. Hlavním důvodem nutnosti vlastnit kvalitní IS je skutečnost, ţe IS je jedním z hlavních faktorů efektivnosti řízení a konkurenceschopnosti firmy. Potřeba kvalitního IS roste s významem informace a dnešní firmy jsou závislé na kvalitních a včasných informacích. Tato situace je způsobena především prudkým růstem informatizace společnosti a právě proto se v posledních letech výrazně, a to aţ několikanásobně, zvyšují objemy finančních prostředků investovaných do inovace Informačních systémů a Informační technologie (IS/IT).
8
Hlavní skutečnosti vedoucí k nutnosti vlastnit kvalitní informační systém Zrychlující se dynamika trhů a výrobních technik, jejíţ příčinou je převáţně rychlý růst technické úrovně vývoje a výroby, kdy neustále se zlepšující technologie zkracují dobu vývoje, výroby a distribuce nových výrobků. Klasickým příkladem této situace je trh s výpočetní technikou, kde výrobek je schopen obstát na trhu maximálně 12 měsíců a poté je nahrazen novým výrobkem. Bez veškerých informací o situaci na trhu, bez vysoké technologické úrovně výroby a bez rychlé inovace vlastních výrobků a sluţeb, by firma nebyla schopná se v současné době udrţet na trhu a konkurovat ostatním firmám. Úloha IS: IS velikou měrou ovlivňuje technologickou úroveň výroby a sluţeb. V dnešní době v mnoha firmách slouţí IS od návrhu výrobku, technologické přípravy výroby, přes řízení výroby, aţ po uzavření smlouvy se zákazníkem a dodání výrobku. IS umoţňuje výrazné zlepšení sluţeb zákazníkům, neboť veškeré informace o nových poţadavcích jsou evidovány, vyhodnocovány a poskytovány přímo zodpovědným osobám, čímţ se podstatně urychlí inovace výrobků. IS také umoţní lepší zpracování a vyhodnocení informací o vlastní činnosti firmy a tím efektivnější specifikaci cílů a činností firmy, které povedou ke zlepšení výroby a vyšším ziskům. Také umoţňuje rychle a efektivně vyhodnocovat informace o ostatních konkurentech a vyuţít těchto informací ke včasné reakci na jejich nové výrobky. Globalizace trhů a volný přístup k informacím jejíţ příčinou je především celosvětové propojení počítačovou sítí, tedy volný a rychlý přístup veškerých subjektů vyskytujících se v obchodním cyklu k informacím. Důsledkem volného přístupu k informacím je pro výrobce moţnost získávat stále rychleji informace o poţadavcích zákazníků, o nových technologiích výroby, o stavu konkurentů a moţnostech dodavatelů. Oproti tomu jsou zákazníci lépe a rychleji informováni o výrobcích, cenách a sluţbách poskytovaných firmami a tím rostou jejich moţnosti výběru. Tyto skutečnosti vedou k rozšíření podnikání na celosvětovou úroveň a tím i k nutnosti sledovat situaci na jiných neţ lokálních trzích. Úloha IS plyne z důsledků globalizace a přístupu k informacím. IS zajišťují koordinaci všech procesů tak, aby jejich spolupráce byla rychlá a vycházela z aktuálních údajů, například z aktuální situace a platných legislativ na daném území. Dále IS zajišťuje rychlou komunikaci zejména mezi firmou a zákazníky na celém světě.
9
Rostoucí sloţitost rozhodování, jehoţ příčinou je zejména vyšší oblast působnosti, velké mnoţství nových technologií, konkurence a potřebných dat, účast na globálním trhu nebo zavádění ISO norem do výroby, vyţaduje od IS zpracovávat informace mnohem rychleji a efektivněji, členit je a poskytovat v ucelené struktuře tak, aby byly k dispozici ve chvíli, kdy jsou nutné pro včasné a správné rozhodnutí firmy. Nutnost informací o vnitropodnikových procesech a aktivitách, jejíţ příčinou je nutnost reagovat na aktuální stav trhu a tedy nutnost mít aktuální informace o stavu a vývoji vlastních zdrojů, čímţ jsou myšleny zdroje finanční, pracovní síly, zásoby materiálu a investice. A samozřejmě také mít moţnost tyto informace okamţitě změnit podle měnících se podmínek klade na IS význam poskytovat veškeré uloţené informace v různých časových a věcných řezech, např. podle oblasti výroby, období, zákazníků a moţnost získat statistické tabulky. Vysoká migrace zaměstnanců, jejíţ příčinou je volný konkurenční trh, kde zaměstnanci mají moţnost většího výběru zaměstnání podle platových podmínek, náplně práce, poţadavků na kvalifikaci zaměstnanců a dalších parametrů, zapříčiňuje nutnost uchovávat veškeré informace získané jednotlivými zaměstnanci tak, aby s jejich odchodem nebyly tyto informace ztraceny. Tendence
přecházet
od
hierarchických
organizačních struktur
k plochým
strukturám. Příčinou je nutnost pruţného a rychlého chování firmy v současném hospodářském prostředí. Přizpůsobení těmto podmínkám je mnohem snazší pro firmy s plochou organizační strukturou, neţ pro firmy se sloţitou hierarchickou strukturou s několika úrovněmi a nutí IS koordinovat činnosti jednotlivých úseků firmy, která svou plochou strukturou je sloţitější neţ hierarchická a vyţaduje vyšší četnost a objem vyměňovaných informací. Tyto informace musí být distribuovány tak, aby v jednotlivých úsecích firmy byly tytéţ aktuální informace a aby nedocházelo k jejich duplicitě. Nutnost poskytovat nové sluţby, jejíţ důvodem je jiţ zmiňovaná vysoká konkurence trhu, kde firma neudrţí svou pozici jen nabízením nových výrobků, ale i nabízením sluţeb a výhod zákazníkům je důvod, proč IS umoţňuje propojení firemního systému a počítačové sítě, a to zejména v oblastech počítačové komunikace mezi zákazníkem a firmou, čímţ je myšlena hlavně nabídka výrobků přes webové stránky, dále propojením přes síť zkrátit doby standardních sluţeb, neboť vyřizování veškerých formalit by se vyuţitím počítačové sítě mělo podstatně urychlit a v neposlední řadě zjednodušení celkové komunikace. Pokud veškeré tyto poznatky shrneme, zjistíme,
10
ţe informace je nutným subjektem pro úspěch firmy a kvalitní IS je nezbytností pro funkci firmy. Bliţší specifikace informace jako takové
Informace je subjekt, který obsahuje pro nás důleţitá data a úlohou IS je tyto informace nám poskytovat. Z matematického hlediska lze informaci chápat jako veličinu, která číselně vyjadřuje zmenšení neurčitosti nebo z významového hlediska lze informaci chápat jako oznámení, příkaz či zákaz, kterým se u příjemce zmenšuje neznalost faktů nebo nejistota v rozhodování. Informace musíme získávat, přenášet, oprostit je od neţádoucích, zbytečných částí tak, aby daná informace byla co nejúčinnější a nejuţitečnější, zpracovat je a předat na místo určení. Veškerou tuto činnost provádí IS prostřednictvím lidí, technických prostředků a metod tak, aby se zabezpečil dostatek informací ve správném čase a na správném místě. Rozdělení informace v koncovém procesu řízení
Informace v koncovém procesu řízení rozdělujeme do tří kategorií podle následujících hledisek. Toto rozdělení nám slouţí ke zjištění, zda máme k dispozici veškeré nutné informace. Časové hledisko - podle tohoto hlediska rozdělujeme informace na tři skupiny. Informace o minulosti – tyto informace slouţí jako základní podklady pro analýzy, pro zjišťování působících faktorů a konkrétního vlivu na řídící proces, pro dokumentace. Informace o přítomnosti – těmito informacemi jsou zejména kontrolní a rozhodovací informace, které slouţí k přímému zasahování do běţících procesů. Informace o budoucnosti – jsou plány, cíle a jednotlivá kritéria jejich plnění a posuzování. Hledisko vztahu informace k řídícímu procesu - tímto vztahem je myšleno, zda informace obsahuje následující prvky: plány, cíle a poţadovaný stav systému
11
pravidla pro řízení činností systému příkazy výkoným centrálám systému konkrétní data o průběhu procesů vztahy k jiným objektům z okolí systému Hledisko původu informace - toto hledisko rozděluje informace na dvě základní skupiny. Prvotní informace – vycházejí přímo z řídících procesů a vyjadřují stav jednotlivých prvků systému - například cenu výrobku, název výrobku a podobně. Tyto informace jsou nutné přímo při průběhu procesů, ale nemají velkou strategickou hodnotu, neboť jsou rozsáhlé, ale málo pouţitelné v obecném pohledu. Druhotné informace – informují o probíhajících procesech zprostředkovaně, především spojováním nebo kombinováním prvotních informací. Tyto informace jsou velice důleţité pro strategické rozhodování a řízení.
Hlavní charakteristiky informace Základní
charakteristiky informace jsou následující dvě. První: S vyšším objemem
informace bychom se měli snadněji rozhodovat. Druhá je taková, ţe informace stárne s časem a rozhodnutí v určitém aktuálním okamţiku bývá efektivnější neţ rozhodnutí dlouhodobé. Dále platí, ţe čím více máme informací, tím rostou náklady na jejich uchování, tedy náklady na sběr, archivaci, zpracování a ochranu před neoprávněným přístupem. Následující graf vystihuje základní charakteristiky informací nutných k realizaci IS. Z grafu je zřejmé, ţe hledáme optimum, kde je dostačující mnoţství hodnotných informací, přijatelné náklady na zpracování informací a kde jsme schopni veškeré toto mnoţství pojmout. Pokud bychom toto optimum překročili, dostáváme se do situace, kdy máme vysoký objem kvalitních informací, ale veškerý tento objem nejsme schopni zpracovat.
12
Obrázek 1.1
Specifikace kvalitního IS s maximální výkonností
Následující body vystihují vlastnosti, které by kvalitní IS s maximální výkoností měl splňovat. Musí obsahovat nutné informace, které uchovává, analyzuje a s potřebnou rychlostí předává procesům. Dané informace se týkají zejména vlastní činnosti firmy jako je výroba, evidence zákazníků, zásob, zaměstnanců, finance, stav a vývoj vlastních výrobků. Musí obsahovat informace o konkurenci, světovém trhu, trendech výroby, optimalizaci výrobních procesů, o místech působnosti firmy, o strategických cílech a podobně. Musí obsahovat moduly pro zjednodušení a urychlení výroby, čímţ je míněno hlavně urychlení a zefektivnění návrhu výrobků, technologická příprava výroby a její řízení. Musí umoţňovat rychlou komunikaci pracovníků firmy, jednotlivých pracovních úseků, ale musí také zahrnovat komunikaci se světem. Musí umoţňovat z dostupných informací zpracovávat cíle a strategie firmy, koordinovat činnost různých procesů a tím přispívat k zefektivnění činnosti firmy. Musí nabízet rychlou komunikaci se zákazníkem přes počítačovou síť. Musí obsahovat další nutné moduly k vedení firmy jako jsou statistiky, mzdy, účetnictví, kompletní personalistika, sklad, oblast manaţer – marketing, výroba a další. [19]
13
1.2 Problematika řízení přístupu k síti Jaký je důvod, proč vůbec řídit přístup k síti. Mezi základní důvody patří obecně se zhoršující bezpečnostní situace. Přibývá zranitelností. Jestliţe před třemi lety se týdně zveřejňovalo kolem 40 zranitelností, dnes je to 5x více. S postupem času je i stále jednodušší provádět pokročilé útoky i pro méně vzdělané útočníky. Ještě tak před třemi, čtyřmi lety se útočilo hlavně ze zábavy a útočník musel mít celkem vysokou odbornost. Dnes se útočí hlavně pro zisk a o nutné odbornosti útočníka lze těţko hovořit v době, kdy se dá koupit za relativně levné peníze spousta profesionálních nástrojů na automatizované průniky nebo vytváření armád botů. Nechci moc strašit, ale v ceně intruder kitu bývá i technická podpora, coţ ne vţdy platí o systémech, které musíte spravovat a chránit. Dalším důvodem je rozšiřující se mnoţství zařízení, která se do sítě připojují, a to nejenom do počtu, ale i do typů. No a v neposlední řadě to je i neznalost a nezodpovědnost uţivatelů. Současně je zde mnoho dalších dobrých důvodů, například zkrácení doby mezi zveřejněním zranitelnosti a jejím vyuţitím. Jak tedy na řízení přístupu k síti. Obecně řečeno, jedná se spíše o rámec prací, neţ o nějaký konkrétní produkt, který nasadíte a je hotovo. Navíc existuje několik různých firemních přístupů, které ne, ţe by byly zcela protichůdné, ale kompatibilní zrovna moc nejsou. Standardizace v této oblasti zatím není blízko dokončení. Proto, ať se rozhodnete pro jakýkoliv způsob řešení, základní rozhodnutí se vţdy pohybuje na ose mezi dvěma póly. Otevřeností a dostupností systému a úrovní zabezpečení. Ale nemohu pominout ani cenu a časovou náročnost nasazení. Rámec prací, jak je někdy mylně předkládáno, není o zajištění přístupu do sítě zařízením, které mají poslední bezpečnostní balíčky. Klíčovou činností je získání kontroly nad tím, kdo a kam se do sítě můţe připojit, a to na základě jednoznačné identifikace klienta sítě. Ověření, zda zařízení kromě oprávnění přístupu ke zdrojům sítě má všechny další poţadované vlastnosti, nemusí být mandatorní. To zejména v případě, pokud jsou k dispozici nástroje, které prokazatelně dokáţou zamezit nekorektní komunikaci. Pod nekorektní komunikací si prosím představte třeba šíření síťových virů, pokus o prolomení zabezpečení jiných systémů či pouţívání nepovolených metod komunikace.
14
Obrázek 1.2
Rámec prací při nasazení řízení přístupu k síti musí dát jednoznačnou odpověď na otázky: Kdo a kde je připojen k naší síti? Zaměstnanci, kontraktoři, návštěvníci. A také, kdo není připojen, jako hackeři a jiní záškodníci. Dále musí dát odpověď na otázku, jaký typ zařízení je připojen: jako PC, notebook, tiskárna, bezdrátový přístupový bod, VoIP telefon nebo cokoliv jiného. To umoţní eliminovat nechtěná zařízení, jako jsou například neautorizované přepínače, routery nebo bezdrátové přístupové body instalované bez vědomí správce sítě. Důleţité je zmínit, ţe právě z hlediska auditu bezpečnosti sítě je přímo nutné mít k dispozici přesné informace o připojených zařízeních. Důleţitá je i schopnost lokalizovat povolená zařízení a dynamicky měnit i jejich přístupová práva. Lze uvést příklad, kdy notebook připojený v kanceláři k síti můţe získat plný přístup na kompletní informační systém podniku, kdeţto ten samý notebook připojený ke „stejné“ síti v zákaznickém centru má přístup pouze k části informačních zdrojů, protoţe kdokoliv ze zákazníků by mohl vidět citlivá data. Vím, zavání to paranoiou, ale to Vám auditor bezpečnosti uţ nějak vysvětlí. V rámci řízení přístupu k síti je dále moţné, pro autorizovaná zařízení, vnutit politiky chování a konfigurace. Tím myslím výše zmíněné zapnutí a správnou konfiguraci firewallu, aktualizaci antiviru a podobně. Kdyţ se ohlédnete zpět, zjistíte, ţe v rámci prací se jedná o technologie, které jiţ vyuţíváte, nebo byste je byli schopni vyuţívat. Vţdyť skoro kaţdý přepínač s moţností správy, který ještě není morálně zastaralý, podporuje technologii 802.1X - Network Login, takţe máte na čem ověřovat. Kdyţ umí ověřovat, s největší pravděpodobností bude umět na základě ověření zařazovat i do zadané virtuální sítě. Umí na základě ověření přiřadit i přístupové filtry? Dobře, nyní je na čem ověřovat. 15
Pro ověřování potřebujete RADIUS server. Máte nějaký Windows Server 2000 nebo 2003? Jeho součástí je certifikační autorita a sluţba IAS. IAS = Internet Authentication Services, sice to tak nezní, ale jedná se o běţný RADIUS server. V nově připravované verzi Windows Serveru 2008, kódově označovaném jako Longhorn, je IAS přejmenováno na NPS (Network Policy Server), ale v podstatě se stále jedná primárně o RADIUS sluţbu. Nemáte Windows Server? K dispozici je vynikající FreeRADIUS. Dále Firewall, ten je také součástí většiny operačních systémů. Antivirus naleznete také na naprosté většině počítačů. Takţe kde je vlastně problém? Problém je tyto věci pospojovat do funkčního celku. Ověřit zařízení, zjistit, zda má zařízení předpoklady pro připojení do sítě, zařízení splňující poţadavky zařadit se do příslušné virtuální sítě a aplikovat na portu přepínače pravidla, která vhodným způsobem
upraví
pravidla
pro
komunikaci
k
povoleným
zdrojům.
Zařízení,
které je úspěšně ověřeno, ale nesplňuje předpoklady pro bezpečný provoz na síti, je nutné zařadit do karanténní virtuální sítě a najít způsob, jak předpoklady splnit. No a zařízení, která nejsou úspěšně ověřena, tak nemají v síti nejspíše co dělat. Ta je pak nutné zablokovat, případně zařadit do virtuální sítě pro hosty.
Obrázek 1.3 Jak komponenty pospojovat do jednoho celku, který pak s čistým svědomím budeme moci pojmenovat „řízení přístupu k síti“? V praxi jsou obvykle pouţívány tři varianty řešení. 16
První a relativně nejsnazší řešení pouţívá takzvaný In-line box, který se postaví do cesty mezi hraniční přepínače a páteřní přepínače tak, aby odfiltroval nepovolenou komunikaci ve směru od uţivatelů k datovému centru, případně i k ostatním virtuálním sítím. Tímto boxem je zpravidla Intrusion Prevention Systém, který rozpoznává datové toky aţ do aplikační vrstvy a dokáţe odhalit komunikaci, která není v souladu se stanovenými pravidly. Toto řešení je zpětně propojené s nástrojem na automatickou správu členství ve virtuálních sítích a snadno dokáţe stanice, které jsou identifikované jako potenciálně nebezpečné, zařadit do karanténních sítí. Výhodou tohoto řešení je velmi snadná kombinace s technologií Network Login, čímţ získáte jednoznačnou identifikaci zařízení v síti, automatické zařazování do virtuálních sítí, aplikaci přístupových filtrů a podobně. Na stanicích v síti není nutné instalovat ţádný speciální software na monitoring činnosti, instalovat opravné balíčky a podobně. Aţ sama nekorektní činnost ověřených stanic způsobí okamţitou realizaci karantény. Výhodou je, ţe v karanténě se neobjeví stanice, která sice nemá všechny náleţitosti z hlediska bezpečnosti, ale nešíří nepovolenou komunikaci. Naopak, i stanice, která v uvozovkách splňuje veškeré bezpečnostní náleţitosti, ale je z ní podniknutý útok na datové centrum, je identifikovaná jako závadná, škodlivý provoz je logován a stanice je zařazena do karanténní virtuální sítě. Alternativou ke karanténní virtuální síti můţe být takzvaný Captive portál, coţ není nic jiného, neţ přesměrování http provozu pravidla porušující stanice na jiný http server, který poskytne uţivateli informace o detekované škodlivé činnosti a návod, jak se zjištěného problému zbavit. Za snadnost nasazení se obvykle platí, takţe pokud se rozhodnete jít cestou In-line řízení, připravte si v rozpočtu rezervu na příslušně výkonný in-line prevenční systém a dohledový nástroj schopný manipulace s virtuální sítěmi. Druhou variantou je Host-based řízení přístupu k síti. Optimálně v kombinaci s technologií Network Login je postupováno tak, ţe na všechny stanice mající oprávnění přístupu k síti je distribuován speciální softwarový komponent, který provádí kontrolu stanice. Této kontrole se nejčastěji říká „Health Check“ nebo „Host Assessment“. Po dokončení kontroly stanice je odeslán report na stavový server, který předá instrukce ověřovacímu serveru, zda stanice splnila veškeré náleţitosti pro přístup do sítě z hlediska „zdraví“ a politik. Výhodou Host-based řízení je dokonalý přehled nad stanicemi, stavem jejich aktualizací, firewallu, antiviru, … Nevýhodou pak snad polemika nad tím, zda z hlediska zdraví kontrolovaná stanice je opravdu zdravá, nebo zda z ní není moţné provádět útoky, odposlech komunikace nebo šíření viru, který není zachycen antivirem.
17
Také „Health Check“ agenti nejsou obvykle dostupní pro všechny operační systémy a zařízení. Třetí variantou je Out-of-band řízení přístupu k síti. Tato technologie vyuţívá obvykle, stejně jako předchozí, ověřování přístupu k síti ve dvou krocích. Při prvním připojení je stanice ověřena a je zjištěno, ţe testování zdraví stanice neproběhlo nebo vyexpirovalo. Proto je provedeno testování zdraví stanice buď přes „Captive portál“ s ActiveX nebo Java agentem nebo prostřednictvím vzdáleného skenování. Pokud stanice splňuje předpoklady, je serverem pro řízení přístupu k síti upraven záznam v ověřovací databázi a stanice je uvolněna ke komunikaci. Pokud ne, následuje přesměrování do karanténní virtuální sítě, sítě pro hosty nebo na „Captive portál“
Obrázek 1.4 Kdyţ se podíváme na činnosti realizované při řízení přístupu k síti, všechny tři varianty jsou schopny dosáhnout cíle, kterým je vynucení dodrţování politik. Cílem práce administrátora sítě by mělo být v podstatě totéţ. Rozšířit perimetr ochrany infrastruktury
18
sítě, aplikací a dat firmy z firewallu a VPN koncentrátoru na všechny přistupující subjekty. Viz Obrázek 1.4. [9]
1.3. Bezpečnost sítí Bezpečnost sítě stojí v čele správy sítě a jejího návrhu. Hlavním úkolem při zabezpečení sítí je najít rovnováhu mezi dvěma důleţitými poţadavky potřeba otevřené sítě k podpoře vyvíjejících se obchodních příleţitostí a potřeba chránit soukromé, osobní a strategické obchodní informace. Aplikace efektivní bezpečnostní politiky je nejdůleţitější krok, který můţe organizace učinit k ochraně její sítě. Poskytuje směrnice ohledně aktivit, které mají být uskutečněny a prostředcích pouţitých k zabezpečení sítě organizace. Počítačové sítě nabyly důleţitosti ve velmi krátkém časovém úseku. Jestliţe je zabezpečení sítě nedokonalé, můţe to mít za váţný následek krádeţ informací nebo dokonce právní odpovědnost za vzniklé ztráty. Navíc jsou vyvíjeny stále nové typy potenciálních ohroţení bezpečnosti sítě. Jak roste mnoţství internetového obchodování a internetových aplikací, nalezení rovnováhy mezi tím být izolován nebo otevřen je rozhodující (Obrázek 1.5). Navíc vzrůst mobilního obchodování a bezdrátových sítí poţaduje po bezpečnostních řešeních, aby byly hladce implementovány, více přehledné a více flexibilní.
Obrázek 1.5
19
Síťový administrátor musí přistupovat k bezpečnosti v síti jako k váhám. Na jedné straně
je
zcela
otevřený
systém,
na
druhé
je
kompletně
uzavřený
systém.
U otevřeného systému jsou všechny sluţby povoleny, jestliţe to není výslovně zakázáno. V tomto případě jsou bezpečnostní obrovská rizika samozřejmostí. U zavřeného systému jsou pravidla pro otevření definována ve formě politiky bezpečnosti jednotlivých skupin v organizaci. Změna v přístupu politiky uţivatelem je jednoduchá, stačí poţádat administrátora k povolení konkrétní sluţby. Extrémní variantou ve správě bezpečnosti je kompletní uzavření sítě od světa. Uzavřená síť poskytuje připojení pouze k důvěryhodným částím sítě, neumoţňuje přístup k veřejným sítím. Jelikoţ neexistuje ţádné spojení zvenku, jsou sítě chráněny proti vnějším útokům. Avšak vnitřní ohroţení stále existují. Vývoj bezpečnostní politiky Prvním krokem, který by kaţdá organizace měla udělat k zabezpečení sebe a svých dat před problémy s odpovědností je vyvinout politiku bezpečnosti. Politika je nastavena tak, ţe umoţňuje vedení firmy rozdělovat oprávnění důvěryhodně. RFC2196 určuje, ţe bezpečnostní politika je formální oznámení pravidel těch lidí, kteří mají přístup k organizačním technologiím a informačním zařízením. Ti je musí dodrţovat. Bezpečnostní politika můţe být jednoduchá i můţe být několika set stránkový dokument. Obsahuje tyto cíle: Informovat uţivatele, zaměstnance a vedoucí o ochraně technologií a informačních zařízení Specifikovat mechanizmy, jak mohou být dodrţovány Poskytuje základ, jak získat, konfigurovat, prověřovat počítačové systémy a sítě k vyhovění poţadavkům (Obrázek 1.6)
20
Obrázek 1.6 Kompletování bezpečnostní politiky můţe být komplikováno špatným vedením. Z tohoto důvodu vydala ISO a IEC dokument bezpečnostních standardů ISO/IEC 27002. Tento
dokument,
specifický
pro
informační
technologie,
uvádí
přehled
kódu
praktikovaného pro správu bezpečnosti. ISO/IEC 20007 je určený jako běţný základní a praktický průvodce pro vývoj bezpečnostních standardů organizace a efektivních praktik správy bezpečnosti. Dokument obsahuje 9 sekcí: Bezpečnostní politika Organizace bezpečnosti Klasifikace a řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Vývoj, údrţba a rozšíření informačního systému Zvládání bezpečnostních incidentů [16]
21
Zabezpečení firemních sítí
Dnes uţ kaţdý majitel počítače, který je součástí sítě, a to jak lokální, tak celosvětové, řeší bezpečnost svého spojení s okolím, mnozí moţná zatím podvědomě, jiní jiţ aktivně. Prvním náznakem, ţe není z hlediska bezpečnosti něco v pořádku, je zneuţitelnost počítače. Počínaje různými bannery a konče monitoringem aktivit. Na úrovni zabezpečení celofiremní sítě je nebezpečí mnohem vyšší. Zájem zneuţít připojení nemusí mít jen "agenti konkurence", ale i skupiny vyuţívající nedostatečné zabezpečení pro vlastní zviditelnění, zamaskování zdroje původu (umístění odkazů na dětskou pornografii apod.) nebo prosté bezdůvodné poškození. Zde uţ výběr ochrany představuje velmi široké spektrum od nejjednoduššího stupně paketové filtrace, aţ po robustní firewally aplikační úrovně, kombinující v sobě ochranu s VPN branou (propojení sítí, přístup vzdálených uţivatelů), IDS (detekce napadení a zpětná reakce) nebo antivirovým systémem. Současné bezpečnostní problémy lze stručně popsat následovně: a) firmy podcenění bezpečnostních rizik a neexistence bezpečnostní politiky podcenění fyzického zabezpečení přístupu k serverům, pracovním stanicím a síťovým prvkům (aktivním i pasivním) nejednotný přístup k ochraně pracovních stanic nezabezpečené notebooky s moţností konektivity via VPN, volný pohyb nezabezpečených notebooků, připojování notebooků a pracovních stanic k jiným neţ firemním POP3 serverům nevhodná konfigurace firewallů nebo neaktualizovaný software na nich pouţití nevhodných formátů pro e-mail nebo volný pohyb citlivých informací via e-mail b) soukromé osoby neaktualizovaný operační systém nebo starý a nepodporovaný operační systém neaktualizovaný nebo chybějící antivirový software
22
chybějící personal firewall pouţívání nezabezpečených a nevhodných sluţeb (sdílení disku, windows messaging) nevhodné nastavení e-mail a WWW klientů (povolené javascripty, automatické zobrazovaní příloh, active-x etc.) pouţívání nevhodných hesel a volný přístup k hardwaru pouţívání nevhodných formátů pro výměnu informací (Word, Excel) Jak je moţné se bránit nespoléhat na myšlenku, ţe mně/nám se to přece nemůţe stát komplexním přístupem k řešení otázek bezpečnosti včetně bezpečnosti fyzické vypracováním a aktualizováním bezpečnostní politiky včetně analýzy rizik a návazných dokumentů¨ pravidelným prověřováním funkčnosti bezpečnostních opatření udrţováním aktuální verze pouţívaného operačního systému aktualizací antivirového softwaru na poslední známe viry pouţíváním vhodného softwaru (firewall, personální firewall, antivir) instalováním, povolením a zpřístupněním jen těch sluţeb, které jsou nezbytné [13]
Bezpečnost firewallů - zabezpečení firemních sítí
Základní úrovní bezpečnosti pro podnikové sítě je překlad adres (NAT), který skrývá jednotlivé části vnitřní sítě do neviditelné skupiny schované za jednou veřejnou IP adresou. Zdroje vnitřní sítě, které je nutné ponechat viditelné pro vnější svět (pro partnery, externí zaměstnance, externí mail server, DNS), je pak vhodné umístit do demilitarizované zóny (DMZ), která je oddělena od vnitřní sítě firewallem.
23
Obrázek 1.7 Překlad adres však nebrání přístupu do vnitřní sítě pro "nezvané hosty", pouze ji skrývá. Nejjednodušším bezpečnostním nástrojem je paketová filtrace a stavová paketová filtrace. Paketová filtrace (Obrázek 1.7) je dnes implementována do většiny tzv. firewallů, ať jiţ v softwarové podobě (Winroute, Winproxy, Linux implementace, personální firewally), nebo hardwarové (CISCO routery). Bezpečnost je však zúţena na kontrolu otevřených spojení (například z rozsahu povolených IP adres) a portů (HTTP provoz, provoz IS), na nichţ komunikace probíhá. Legálnost a obsah komunikace však jiţ ověřit nelze a vše, co odpovídá jednoduchým pravidlům, je do vnitřní sítě propuštěno. Stavová paketová filtrace představuje jiţ základní systém ochrany, kdy si firewall pamatuje stav spojení, například zda-li bylo spojení otevřeno z vnitřní sítě a na základě tohoto umoţní i opačně navázané spojení. Nekontrolujeme tedy obsah, ale řídíme alespoň komunikaci. Do této kategorie s různými vylepšeními mohou patřit implementace linuxových firewallů, CISCO PIX nebo firewall CheckPoint, kde je stavová filtrace nazvána Stateful Inspection. Komunikace je však opět propuštěna přímo do vnitřní sítě. Nejvyšší úroveň zabezpečení zajišťují aplikační proxy brány s inteligentními proxy (nastavitelnými). Aplikační proxy brány přebírají veškerou komunikaci a na základě stanovených pravidel tuto komunikaci nepropouštějí, ale sami realizují. Spojení z vnějšího světa je tak vţdy ukončeno na firewallu. Aplikační proxy jde v kontrole spojení aţ na samé
24
jádro komunikace, na datovou úroveň, tj. na obsah. Můţe tedy ověřit, jaké příkazy (put, get, post apod.) jsou skryty v HTTP nebo v jiném protokolu, pro který je aplikační proxy k dispozici, a neţádoucí komunikaci zcela zamítnout. Dnes je nejvíce útoků vedeno přes protokol HTTP na portu 80. Zde je niţší úroveň firewallu naprosto nedostatečná, protoţe kaţdá větší společnost bude mít port 80 otevřen. Aplikační firewall typu Gauntlet, Sidewinder nebo Symantec dokáţe však i v HTTP protokolu odhalit neţádoucí kód a zamezit tak proniknutí například nebezpečných kódu v podobě červa (Code Red aj.). Aplikační firewally pak můţeme kategorizovat podle počtu aplikačních proxy a úrovně jejich nastavení. Firewall Gauntlet (více neţ 30 aplikačních proxy), Symantec (více neţ 16) nebo Sidewinder (více neţ 38 + uţivatelské). Naopak některé Stateful Inspection firewally poslední dobou teprve doprogramovávají aplikační proxy. Kontrola však nedosahuje hloubky skutečných aplikačních firewallů a počet proxy je velmi omezen (v řádu jednotek). Firewally nejvyšší úrovně navíc disponují běţícími servery, například caching proxy, SMTP mail, Split DNS, FTP, NTP, URL: filtrováním nebo antivirovou bránou (SMTP, HTTP). Tj. veškerá ochrana je zajišťována přímo na firewallu, kde je tento provoz terminovaný. Bezpečnost nekončí ale samotným firewallem. Důleţitou otázkou, zejména z hlediska správy, je nasazení na operační systém. Firewally, jako je CheckPoint, Gauntlet aj., jsou implementovány nezávisle na operačním systému třetích stran, coţ přináší uţivateli určitou volnost ve výběru, ale následně velké nesnáze ve správě, která je otázkou nemalých finančních částek. Bezpečnost rovněţ pokulhává, protoţe je nutné patchovat (záplatovat) nejen firewall, ale i operační systém, a často v té správné konstelaci verzí jednotlivých patchů. Hlídat vydané patche, správně je aplikovat a mít hrůzu z případného zhroucení firewallu, kdy se balík pěti patchů firewallu a deseti operačního systému bude muset opět ve správném pořadí aplikovat, je noční můrou mnoha správců. Na druhou stranu celá řada firewallů přináší integraci operačního systému (např. CISCO PIX, Sidewinder), coţ pro uţivatele znamená jednotnou bezpečnostní politiku a snadnost patchování. Nejvyšší úroveň dosud implementovanou u firewallů přináší implementace technologie
TypeEnforcement
(oddělování
procesů)
jádra
operačního
systému.
Implementace dnes běţí na SecureOS, který je nedílnou součástí firewallu Sidewinder. SecureOS je zaloţen na BSD UNIX, avšak díky přístupu výrobce ke zdrojovým kódům operačního systému byl přizpůsoben jen pro potřeby firewallu a kvůli technologii 25
TypeEnforcement nevyţadoval dosud ţádnou bezpečnostní záplatu. Rovněţ nebyl nikdy ţádným hackerem zneuţit i přesto, ţe ochraňuje exponované sítě administrativy USA, armády USA nebo samotné FBI. Vlastní správa takových firewallů pak probíhá plnohodnotně ze stanice správce, která můţe mít preferovaný operační systém. [16]
1.4 Infrastruktura firemní sítě - univerzální řešení Infrastrukturou počítačové sítě rozumíme konfiguraci technického vybavení počítačové sítě společně s některými bázovými sluţbami. Infrastruktura je tedy vlastně komoditou vyuţívanou jako všeobecně dostupná sluţba či zdroj. Od dodávky a rozvodu elektrické energie se liší jenom ve větší strukturovanosti. Prakticky to značí, ţe kaţdý, kdo pouţívá nějaký počítač uvnitř počítačové sítě (uvnitř nemocnice či jiné firmy), očekává zcela automaticky bázovou funkčnost. Tedy vhodné zařazení počítače mezi ostatní v celé síti, zprostředkování přístupu na Internet, podobně zprostředkování přístupu na vnitřní aplikace uvnitř firmy, získání správného času. Do infrastrukturních sluţeb spadá vlastně i elektronická pošta a přístup na webové stránky uvnitř i vně firmy. Připojení celé firmy (tedy celé počítačové sítě) na Internet "na divoko" není dost dobře moţné, podobně není moţno nekoordinovaným způsobem pouţívat uvnitř sítě tzv. IP adresy atd. Infrasturktura zabezpečuje naopak koordinovaný, řízený a také omezený přístup ke sluţbám, které se nacházejí uvnitř i vně firmy. Naše řešení vychází zcela z obecně dostupných komponent na bázi Linuxu a respektuje bezpečnostní doporučení podle patřičných RFC. Řešení je vhodné jak pro firmy s několika málo počítači tak i pro firmy provozující stovky či tisíce počítačů. V dalším se soustředíme jenom na výčet komponent nutných pro zabezpečený provoz. Případ od případu mohou jednotlivé sluţby být delegovány na samostatné počítače nebo můţe naopak řada či dokonce většina sluţeb rezidovat na jednom počítači. U kaţdé sluţby či komponenty diskutujeme i případné nároky na výpočetní sílu příslušného počítače. Rozvrţení IP prostoru, definice podsítí. S IP-adresami není moţno uvnitř firmy pracovat zcela libovolně. Neuváţené rozvrţení IP adresního prostoru proti zvyklostem můţe způsobit posléze mnoho problémů. IP prostor pouţívaný uvnitř firmy by měl sestávat 26
z adres, které zaručeně nebudou veřejně přístupné na Internetu. Existuje několik moţností pro volbu, tu pravou je třeba zváţit i z pohledu případného propojování vnitřní sítě firmy s jinou vnitřní sítí, například sesterské společnosti. Definice podsítí je vhodným nástrojem na omezení "viditelnosti" počítačů na síti mezi sebou a rovněţ i na potlačení zbytečného přenosu dat po síti. Prakticky by větší síť firmy měla být hned zpočátku dělena na podsítě respektující logické nebo organizační uspořádání. Větší celky (například laboratoř, sklad, obchodní úsek). Přidělování IP adres, DHCP server. Na bázi Linuxu, nároky na výpočetní sílu minimální. Konfiguruje se buď manuálně (u malých instalací) nebo pomocí úlohy na bázi VaxNt z prostředí Windows. Převod číselných forem IP adres na symbolické. Tedy DNS server. Rozlišuje se dvojí. Směrem dovnitř firmy řeší router vnitřní adresy, implementován na bázi Linuxu, nároky na výpočetní sílu jsou minimální. Směrem ven, tedy pro potřeby mimo firmu je potřeba dodrţet následující zásadu. Adresy pro vnější svět mohou vypadat například jako "firma.cz", směrem uvnitř musí být adresy jiné a rovněţ i doména by měla být tvaru "hq.firma.cz". Pouţívat stejnou doménu směrem dovnitř i směrem ven není dobrá praxe a zejména pak není dobrou praxí, aby stejný DNS slouţil pro vnitřní i vnější potřeby. DNS je zdrojem nejčastějších bezpečnostních děr a server určený pro vnějšek by měl opravdu být umístěn mimo vnitřní síť firmy a neměl by provozovat ţádnou další sluţbu, kterou by případný hackerský útok mohl zneuţít. Nejlépe je prostě vnější DNS outsourcovat. Poskytování přesného času - ntp. na bázi Linuxu, na výpočetní sílu nenáročné. WINS - na bázi Linuxu, je to analogie DNS pro potřeby Windows. Počítač můţe poskytování této sluţby zatíţit a to se stoupající měrou podle počítačů v síti. Sdílení disků a tiskáren v sítích Windows - na bázi produktu Samba, zcela kompatibilní se síťovým protokolem Windows. Podle rozsahu a intenzity vyuţívání sdílených disků nebo tiskáren můţe počítač zatíţit v nepredikovatelné míře. Proxy server pro webové stránky na bázi Squida funguje jako vyrovnávací paměť a poskytuje rovnou stránky, které jiţ některý počítač v síti poţadoval a které se nemohly mezitím změnit. Můţe počítač zatíţit velmi mnoho v závislosti na intenzitě webového provozu. Elektronická pošta. Kombinace produktů postfix a cyrus, přístup pomocí IMAP protokolu. Konfigurace buď manuální nebo pomocí aplikace na bázi VaxNt pro prostředí Windows. Vnitřní routování. Jestliţe je síť firmy rozdělena do podsítí, je vhodné komunikaci 27
jdoucí mimo rámec podsítě nasměřovat na jediný počítač v síti firmy, interní router, kde
se udrţuje routovací informace do partnerských podsítí. S výjimkou velikých sítí
na to postačí obyčejný počítač vybavený dvěma či více síťovými kartami. Firewall. Ochrana proti nepovolené komunikaci. Připojení směrem na Internet je nutno směřovat přes tento jediný počítač a na něm udrţovat pravidla na vyhodnocování přípustnosti nebo naopak nepřípustnosti komunikace podle typu (tedy port, cílová nebo zdrojová adresa apod.). Vnitřní webový server. Bázová komponenta pro budování firemního intranetu. Linux a Apache. Mezi infrastrukturní sluţby by se daly řadit ještě i další. Konfigurace a správa infrastruktury není jednorázovým a opakovaně prodejným produktem. Musí se do detailů naladit na poţadavky dané firmy. Typická konfigurace pro malou aţ střední firmu je následující. Jeden počítač jako firewall a ţádná další sluţba na něm. Vnější DNS a odpovídající správa domény navenek outsourcovány ke specializované firmě, kupříkladu do JLabs. DHCP, DNS, SMB, Email, WWW-proxy atd. na jediném počítači k tomu určeném. Vyhovuje pro síť s několika desítkami počítačů. Typická konfigurace pro větší firmu se liší zejména tím, ţe náročnější sluţby jsou delegovány na samostatné počítače. Jinak je výčet nutných sluţeb identický. [8]
28
II. Rozbor stávajícího stavu firemní sítě Počítačová síť ve firmě NJK Unicos s.r.o. se profilovala od roku 1990, kdy firma vznikla. Měnilo se místo sídla, velikost budovy, technologie i znalosti síťové problematiky. Současný stav byl zakonzervován po upgradu v letech 2005, 2006. Před touto „renovací“ byly součástí sítě všechny typy síťových OS, v různých funkcích (viz níţe). Některé servery a segmenty sítě byly poddimenzované, nebyl kladen dostatečný důraz na zálohování a stabilitu sítě. Od správce se nezachovaly ţádné informace, pokud to bylo moţné, aktuální stav jsem zjišťoval sám nebo u zaměstnanců, kteří převzali povinnosti po administrátorovi.
2.1 Pouţité technologie Normy – standardy definují základní poţadavky na technické provedení sítí. Z praktického hlediska nás při návrhu sítě nejvíce zajímají standardem definované vlastnosti : Technologie a přístupová metoda Topologie sítě Typ kabelu, jeho délka a konektor Rychlost přenosu dat Topologie sítě - hvězdicová topologie Ve hvězdicové topologii jsou počítače propojeny pomocí kabelových segmentů k centrálnímu prvku sítě. Signály se přenáší z vysílacího počítače přes aktivní prvek do všech počítačů v síti. Aktivním prvkem můţe být switch nebo hub. Výhody hvězdicové topologie jsou nízká cena, je to nejpouţívanější metoda, má jednoduchou lokalizaci poruchy, dále nízká náchylnost k chybě, porucha jednoho kabelu vyřadí z provozu jednu síťovou stanici, pouţití aktivního prvku. Nevýhoda hvězdicové topologie (Obrázek 2.1) je jediná a to vyšší spotřeba kabelů. [17]
29
Obrázek 2.1 Technologie sítě LAN - ETHERNET Principem činnosti je, ţe stanice, která chce vysílat, zkontroluje, zda jiţ nevysílá jiný počítač. Pokud vysílá, tak počká aţ bude na spojovacím kabelu klid. Kdyţ zjistí, ţe je na kabelu volno, začne vysílat. Ve stejném okamţiku můţe začít s vysíláním i jiná stanice. Proto vysílací stanice kontroluje, zda signály šířící se vedením odpovídají tomu, co sama vysílá. Pokud se signály liší, stanice se odmlčí a po náhodně stanovené době se pokusí o nové vysílání. V případě, ţe po kabelu vysílá více počítačů, můţe nastat kolize. Signál bude přenesen chybně. Kolize jsou způsobeny přenosovým zpoţděním (vzdálené stanice se domnívají, ţe je médium volné). Stanice, která první kolizi detekuje, vyšle „jam“ signál oznamující kolizi o 32 bitech. Poté je médium volné. Výhody spočívají v tom, ţe je nejrozšířenější přenosovou technologií místních počítačových sítí, je standardem pro IEEE a nabízí příznivý poměr cena versus výkon, dále moţnost hvězdicové topologie a kompatibilitu se standardem 10Base-T, 100Base-T, 1000Base-SX.
Nevýhodami
je,
ţe
se
stoupajícím
počtem
stanic
se
zvyšuje
pravděpodobnost kolizí (přerušení vysílání) a klesá výkon sítě. Rychlost přenosu dat : Gigabitový Ethernet pro 1000Mb/s Přehledem vlastností gigabitového Ethernetu je dosáhnout přenosové rychlosti 1000 Mb/s, pouţít rámce formátu Ethernet 802.3, umoţnit snadný přenos mezi rychlostmi 10, 100 a 1000 Mb/s, umoţnit přenosy při polovičním i plném duplexu, podpora hvězdicové topologie, pouţití přístupové metody CSMA/CD, podpora optických médií podle
30
specifikace ANSI Fibre Channel FC-1 a FC-0; bude-li to moţné, i podpora měděných vodičů.
Dále
vyvinout
sadu
specifikací
pro
fyzické
přenosové
vrstvy,
které umoţní vzdálenost segmentu z mnohavidového optického vlákna min. 500 m, vzdálenost segmentu z jednovidového optického vlákna min. 3000 m, dále vzdálenost segmentu z metalických kabelů min. 25 m (preferováno 100 m) a podporu médií podle standardů ISO/IEC 11801. [8] Přístupová metoda : CSMA – CD U lokálních sítí typu Ethernet/IEEE 802.3 se pouţívá pro přístup ke sdílené sběrnici metoda mnohonásobného přístupu (pro zjištění obsazenosti média) a s detekcí kolizí (Carrier Sense Multiple Acess with Collision Detection, CSMA/CD). Právě náhodnost vysílání a nejistota jeho úspěchu činí z CSMA/CD stochastickou, nedeterministickou metodu, která je velmi efektivní v sítích s menším zatíţením (přibliţně do 30% vyuţití šířky pásma), ale selhává v případě vyšší zátěţe, zejména v souvislosti se zvyšováním počtu připojených stanic, kdy můţe dojít k exponenciálnímu nárůstu kolizí a minimalizaci skutečného vyuţití sítě pro přenos uţivatelských dat. Výhodou je jednoduchost metody, rychlost, nízká cena. Nevýhodou je její nedeterministická povaha – přidělování vysílacího času je náhodné (nelze zaručit, za jak dlouho bude zpráva doručena) [11]
2.2 Kabeláţ Kabeláţ není řešena standardním schématem strukturované kabeláţe. Vyuţívá průchodek v budově zřízených při její rekonstrukci a přístavbě před deseti roky. Trubkami jsou vedeny UTP kabely od aktivních prvků k hlavnímu switchi. Na Obrázku 2.2 je rozvaděč kabelů. Vzhledem k současným potřebám nebo nejbliţšímu výhledu růstu firmy je dostačující.
31
Obrázek 2.2 Typ kabelu a způsob připojení stanic (konektor) Kabel - Kroucená dvojlinka (twisted pair cable) - je odvozena od telefonního kabelu a dnes je nejrozšířenějším vodičem v sítích LAN, el. signál je náchylný na rušení. Ochrana spočívá v „kroucení“,¨ oba vodiče, jimiţ se signál přenáší, se díky vzájemnému zkroucení pravidelně střídají, čímţ se ruší moţnosti ovlivňování jednoho vodiče druhým. Je mechanicky odolný. Dalšími výhodami jsou jednoduchá montáţ, nízká cena, hodí se pro přenosovou rychlost 10,100 a 1000Mb/s. Je pouţita nestíněná kroucená dvojlinka -
UTP, kde jednotlivé páry jsou vloţeny do vnější plastické izolace.
Je nejpouţívanějším vodičem v kabeláţi sítí LAN. Je levnější neţ stíněný kabel – STP. Rozdíl je v tom, ţe nemá kovové opletení, které zvyšuje ochranu proti vnějšímu rušení. Pouţívaný konektor RJ-45 (Obrázek 2.3) - Přehled pouţití pinů konektoru RJ45 : přímé zapojení. Základní informací je tedy to, ţe na konektoru nejsou jednotlivé páry zapojeny postupně, ale stylem 1-2, 3-6, 4-5 a 7-8. Jednotlivé technologie pak mají specifikované páry, které vyuţívají. Schéma kabeláţe je příloha číslo 1, 2, 3, 4, 5. [6]
Obrázek 2.3 32
2.3 Aktivní prvky Síť je provozována na aktivních prvcích 3Com a jiných, jsou to switche. Všechny aktivní prvky mají aţ do 24 10/100/1000MB portů a jsou s moţnosti managementu. Na monitoring sítě je vyuţíván program 3Com Supervisor. Switch obecně Switch je síťové zařízení, které pracuje na linkové vrstvě. Z čehoţ plyne, ţe data adresuje podle MAC adres v hlavičce linkového rámce. Kdyţ dostane data, tak se podívá, pro jakou MAC adresu jsou určena, a data pošle pouze na port, kde je cílový počítač (zařízení). Aby switch věděl, na který port data přijdou, má uvnitř paměť, do které si zapisuje na kterém portu je která MAC adresa. Této paměti se říká CAM tabulka (Content Addressable Memory table). CAM tabulka má omezenou kapacitu. Vnitřní struktura a reakce tabulky na určité události se liší výrobce od výrobce. Kdyţ switch spustíme, je jeho tabulka ze začátku prázdná (pokud jsme si zde nenastavili statické hodnoty). Při příchodu prvního paketu na switch se paket podívá na MAC adresu odesílatele a do CAM tabulky si uloţí záznam, ţe tato MAC adresa leţí na portu, odkud paket přišel. Switch tento paket dále rozešle na všechny porty kromě portu, odkud paket přišel. Při příchodu dalšího paketu si switch opět poznačí adresu odesílatele. Podívá se do CAM tabulky a hledá v ní cílovou MAC adresu. Najde-li ji, podívá se na kterém je portu a tam paket pošle. Nenajde-li ji, je paket poslán na všechny porty kromě portu, odkud paket přišel. Jestliţe například počítač zapojíme do jiného portu, při vyslání prvního paketu bude CAM tabulka aktualizována. Kaţdý záznam v CAM tabulce je po uplynutí nějaké doby smazán. Některé switche to mohou mít jinak. Například můj switch maţe záznam aţ po uplynutí pětiminutové neaktivity dané MAC adresy. Ke kaţdému portu můţe být přiřazeno více MAC adres (například je na daném portu připojen switch). Jestliţe switch dostane paket, který je adresován pro PC, jeţ je na stejném portu, paket jiţ nikam neposílá (k portu je například připojen hub). [5] Důvody nasazení switche: forwarding - schopnost předávat data z jednoho segmentu do druhého
33
filtrování – schopnost chovat se i dostatečně inteligentně (např. rámec je adresován příjemci ve stejném segmentu, ve kterém se nachází i jeho odesilatel, příslušný rámec se nešíří do dalších segmentů). Vlastnosti přepínačů přepojování na úrovni linkové vrstvy - switching je relativně jednodušší (oproti směrování) i dostatečně rychlé výrazné zvýšení celkové propustnosti sítě je ovlivněno zejména tím, kolik uzlů je v jednotlivých segmentech kaţdé dva komunikující uzly mají k dispozici plnou přenosovou kapacitu Ethernetu
2.3.1 Hlavní switch Jako hlavní switch je pouţit SuperStack 3 Switch 3824 (Obrázek 2.4) od firmy 3Com s managementem. Switch obsahuje 24 porty 1000BASE Ethernet, Počet portů je dostačující pro další potřeby, expanzi nebo reorganizaci společnosti. Switch poskytuje široké moţnosti nastavení přes 1000BASE Ethernet aţ 255 VLAN, podporuje 802.1q,
802.1p traffic
prioritization, obsahuje dále IEEE sluţby jako 802.1w Rapid Spanning Tree Protocol, IEEE 802.3ad link aggregation (LACP) a moţnosti šifrování SSH/SSL. Switch je spojen s routerem přes 10/100/1000 port, coţ má za následek značné zrychlení celé sítě. Switch je propojen s routerem dvěma kabely. Jeden na VLAN1 – DMZ a druhý VLAN2 – local network. Dále z dalších portů vedou kabely k hlavnímu serveru a všem odloučeným aktivním prvkům.
Obrázek 2.4
34
Hlavní switch rozděluje síť na její nejdůleţitější části z pohledu bezpečnosti a funkčnosti sítě. Jedná se o Demilitarizovanou zónu a Interní síť. Demilitarizovaná zóna (DMZ) znamená, ţe při pouţití tohoto zapojení je veškerá komunikace přenášena skrze router a samotný firewall. Není moţné, aby PC odeslalo svůj poţadavek přímo na server do Internetu (je zakázán IP-forwarding). Demilitarizovaná zóna je tedy oblast od jednoho routeru po Internet server. Přenos packetů tedy probíhá následovně. Z PC je odeslán poţadavek na Internetový server. Poţadavek jde přes router do proxy brány, kde se vyhodnotí a jménem brány odešle příslušnému serveru. Ten jej po obdrţení zpracuje a zpět odešle poţadovanou informaci. Ta dojde zpět na proxy bránu, zkontroluje se a buď se zahodí nebo se pošle na PC, odkud poţadavek vyšel. [10] DMZ (demilitarizovaná zóna) je jedna z nejbezpečnějších moţností, jak nedovolit napadnout síť zvenku, je to v podstatě způsob jak zapojit (Obrázek 2.5) Firewall, Internet server, Mail server a Web server a interní síť, DMZ bude zapojena následujícím způsobem (viz obrázek), je vytvořena jako VLAN a jsou v ní sdruţeny porty na switchi pro uplink s routeru a přes switch mail server a web server. DMZ bude obsahovat Web server (prezentace, e-obchod), Internet server a E-mail server.
Obrázek 2.5 Interní síť je síť, která leţí za firewallem, skládá se z oddělených funkčních oblastí rozdělených do síťových segmentů neboli VLAN. Implementace VLAN dovoluje maximální izolaci jednotlivých segmentů a zvyšuje bezpečnost a kontrolu nad tokem dat mezi aplikačními komponentami. Pravidla provozu mohou být konfigurována na firewallu, který povoluje pouze určitým serverům z DMZ komunikovat na specifikovaných TCP/IP portech se severy v interní síti v určité VLAN, lze také pouţít Switch s managementem.
35
VLAN Definice VLAN: "Virtuální LAN je logický segment LAN, který spojuje body koncové uzly, které mohou být připojené k různým fyzickým segmentům a mohou spolu komunikovat jako by byly na společné LAN.". Z této definice je zřejmé, ţe problematika virtuálních sítí je převáţně softwarová záleţitost - jen podpořená inteligentním hardware. [12] Další informace o VLAN - začlenění jednotlivých uzlů do konkrétních sítí musí být nezávislé na jejich fyzickém umístění, logické seskupení podle aplikace (vyuţití), oddělení, projektu, nikoliv na fyzicky omezeném prostoru, dále jednotlivé sítě by měly odpovídat pracovním skupinám, které mají společné zájmy, chování i data, ale rozdělení do jednotlivých sítí je také do určité míry ovlivněno fyzickými dispozicemi (vzdáleností a umístěním), fyzické dispozice nemusí korespondovat s „logickými“ – např. s příslušností k určité skupině, která by měla mít stejná přístupová práva. VLAN jsou například pro komunikaci mezi DMZ a datovou sítí, kdy není nutné otevřít stejný rozsah portů jako mezi DMZ a sítí infrastruktury. Pouţití VLAN technologie umoţňuje organizaci segmentovat nebo seskupovat interní servery podle funkcionálních nebo bezpečnostních poţadavků a implementovat pravidla pro firewall specifikující, který provoz z DMZ je propuštěn do určitého VLAN segmentu. Interní síť architektury Internetového datového centra se skládá z následujících VLAN: Infrastrukturní VLAN. DNS servery, které by neměly být přímo vystaveny do internetu. VLAN navíc bude růst podle potřeb zbytku infrastruktury, Datová a management VLAN. Tato VLAN obsahuje clustery serverů, management servery a servery pro bezpečnou správu sítě. Součástí VLAN jsou také zálohovací systémy celé architektury, Podniková VLAN. Tato VLAN vytváří přístupový bod do něhoţ lze připojit firemní síť. V rámci interního firewallu je moţné definovat mnoţinu serverů a TCP/IP portů demilitarizované zóny, kterým je umoţněna komunikace se servery ve firemní infrastruktuře. Podniková síť můţe být připojena do architektury Internetového datového centra přes VPN, privátní síť nebo lokálním připojením. Typologie VLAN - členství ve VLAN lze definovat různými způsoby (např. podle portů, MAC adres uzlů, síťového protokolu nebo síť. adres uzlů, skupinového IP vysílání), typologicky se VLAN rozdělují na sítě se členstvím podle portů a na tzv. policy-based. V síti společnosti NJK Unicos s.r.o. jsou pouţity VLAN podle portů (seskupování portů), tento historicky první typ virtuálních sítí definuje členství v síti pro jednotlivé porty 36
přepínače (skupiny portů). Aplikován je systém dynamického přidělování adres Dynamic Host Configuration Protocol (DHCP). Seskupování portů je stále nejpouţívanější metodou při vytváření virtuálních sítí. Je sice velmi jednoduchá a názorná, její základní omezení však spočívá v nutnosti předefinování členství při jakémkoliv přesunu uţivatelské stanice mezi jednotlivými porty přepínače (tedy přesněji řečeno takové změně portu, při které by došlo ke změně členství ve virtuální síti). [14]
Nastavení switche Hlavní switch je umístěn v prvním patře budovy. Do switche jsou zapojeny jednotlivé servery a aktivní prvky plus uplinky z routeru. První port je uplink z routeru pro VLAN 1 a druhý port je pro DMZ (internet a mail server). VLAN2 bude vyuţívá port 3-12 s tím, ţe: třetí port je uplink s routeru druhý bude pro hlavní server třetí pro Linux server čtvrtý je Minfo pátý je ze switche v učebně šestý z aktivního prvku v prodejně mobilů sedmý z prodejny počítačů osmý je pro servisní oddělení (technici) devátý pro Programátory desátý pro Mzdové oddělení jedenáctý pro místnost 2.5 dvanáctý pro místnost 2.1-2.4
Na Obrázku 2.5 a Obrázku 2.6 je ukázka konfigurace switche. Jedná se o přidělení portů jednotlivým VLAN.
37
VLAN1
Obrázek 2.5 VLAN2
Obrázek 2.6
38
Přidělení IP adres počítačům v síti IP adresní plán, který je v síti Unicos pouţit a dle kterého byly IP adresy s v roce 2005 při rekonstrukci sítě pouţity. Tabulka obsahuje kompletní adresní plán.
oblast
Zařízení
IP adresa
Internet
router
212.158.135.74/26
VLAN1
síť
192.168.100.0/24
router
192.168.100.1/24
web server
192.168.100.2/24
internet a mail server
192.168.100.3/24
síť
192.168.10.0/24
router
192.168.10.1/24
servery a důleţité PC
192.168.10.2/24
VLAN2
. . . 192.168.10.9/24 DHCP server
192.168.10.10/24 . . . 192.168.10.254
2.3.2 Ostatní aktivní prvky Všechny aktivní prvky v síti jsou od společnosti 3Com. V příloze číslo x,x,x je schéma a typ aktivních prvků před upgradem sítě. Rozmístění aktivních prvků je v příloze číslo 6.
39
2.4 Důleţitá PC v síti Fyzické
umístění
veškerých
významných
počítačů
a
také
zařízení
Českých
radiokomunikací, není řešené jako rack s příslušně velikostně upravenými servery, ale jako místnost, která se označuje jako „serverovna“ a nachází se ve druhém patře budovy. Místnost je klimatizována (obr. 2), aby nedocházelo k teplotnímu přetěţování hardwaru a je zde umístěna také časová synchronizace podle něhoţ se synchronizuje celá síť (obr. 3). Servery jsou přes přepínač spojeny na jeden monitor, klávesnici a také myši (obr. 1).
Obrázek 2.7
Obrázek 2.7
Obrázek 2.8
2.4.1 Hlavní server Server je přes 1000BASE síťovou kartu připojen na hlavní switch 3Com- Fyzicky jsou severy dva, jsou identické a zapojené do clusteru. Clustering je způsob jak spojit
40
do logické jednotky dva a více počítačů, které v případě výpadku hlavního počítače přebírají bez prodlevy nebo ztráty dat jeho funkci. Operační systém Windows Server 2003 Je víceúčelový operační systém, který můţe zastávat nejrůznější role serveru podle potřeb a to centralizovaným nebo distribuovaným způsobem. Tyto role serveru zahrnují následující: souborový a tiskový server, webový server a webový aplikační server, poštovní server, terminálový server, server pro vzdálený přístup a server virtuální privátní sítě (VPN), server adresářových sluţeb, sluţby DNS (Domain Name System), protokolu DHCP (Dynamic Host Configuration Protocol) a sluţby WINS (Windows Internet Naming Service), server multimediálních datových proudů. Pouţívanou variantou je Windows Server 2003, Enterprise Edition. Je to ideální server pro střední a velké organizace. Poskytuje funkce potřebné k zajištění provozu podnikové infrastruktury, pouţití komerčních aplikací a transakcí elektronického obchodování. Windows Server 2003, Enterprise Edition je multifunkční operační systém, který podporuje vyuţití aţ osmi procesorů a poskytuje funkce pro podniková prostředí, jako je například vytváření clusterů se čtyřmi uzly a aţ 32 GB paměti. K dispozici je také pro 64bitové počítačové platformy. Základní technologie systému Windows Server 2003 Systém Windows Server 2003 obsahuje základní technologie, které jsou zaloţeny na systému Windows 2000 Server a zajišťují efektivní serverový operační systém. Systémy řady Windows Server 2003 zajišťují vyšší dostupnost prostřednictvím dokonalejší podpory clusterů. Sluţba clusterů se stala základní sluţbou v organizacích, které zavádějí kritické obchodní a komerční aplikace či aplikace elektronického obchodování, neboť značně zlepšuje dostupnost, škálovatelnost a moţnosti správy. Instalace a nastavení clusterů v systému Windows Server 2003 je jednodušší a robustnější, zatímco rozšířené síťové funkce v tomto produktu zajišťují zvýšenou ochranu před selháním a delší dobu provozu systému. Serverové systémy Windows Server 2003 podporují clustery serverů aţ pro osm uzlů. Pokud jeden z uzlů v clusteru přestane být v důsledku selhání nebo údrţby k dispozici, začne sluţbu okamţitě poskytovat jiný uzel. Pro tento proces se pouţívá termín převzetí sluţeb po selhání. Systém Windows Server 2003 také podporuje funkci vyrovnávání zatíţení sítě (NLB), která vyrovnává příchozí přenosy internetového protokolu (IP) mezi uzly v clusteru. 41
Windows Server 2003 zajišťuje škálovatelnost prostřednictvím vysokoúrovňového škálování, zaloţeném na symetrickém víceprocesorovém zpracování (SMP) a vnějším škálování, které je zaloţeno na clusterech. Systém Windows Server 2003 umoţňuje škálovat od jednoprocesorových řešení aţ po systémy s 32 procesory. Podporuje 32bitové i 64bitové procesory. Systém Windows Server 2003 poskytuje mnoho důleţitých nových bezpečnostních funkcí a vylepšení. Tyto funkce zahrnují: Internet Information Services 6.0. Aby bylo zajištěno vyšší zabezpečení webového serveru, je Internetová informační sluţba (IIS) 6.0 nakonfigurována k zajištění nejvyššího zabezpečení ihned po instalaci. (Výchozí instalace je v uzamčeném stavu.) Je to integrované řešení webového serveru s odolností proti selhání, s frontou poţadavků, se sledováním stavu aplikací, s automatickou recyklací aplikací, s ukládáním do mezipaměti a s dalšími funkcemi. File and print services. Základem kaţdé organizace vyuţívající informační technologie je schopnost účinně spravovat soubory a tiskárny a zároveň zajišťovat jejich dostupnost a zabezpečení pro uţivatele. Active Directory. Sluţba Active Directory je adresářová sluţba pro systémy řady Windows Server 2003. Ukládá informace o objektech v síti a umoţňuje správcům a uţivatelům snadné vyhledání těchto informací. Zajišťuje logické a hierarchické uspořádání adresářových informací. Management services. Zatímco se vyuţití počítačů rozšířilo na stolní počítače, přenosné počítače a přenosná zařízení, došlo ke značnému nárůstu reálných nákladů na správu distribuované sítě osobních počítačů. Sníţení kaţdodenní údrţby prostřednictvím automatizace je klíčem ke sniţování provozních nákladů. Systém Windows Server 2003 obsahuje několik významných nových nástrojů pro automatizovanou správu včetně sluţby pro aktualizaci softwaru Microsoft (SUS) a průvodců konfigurací serveru, kteří usnadňují automatizaci zavedení. Správa zásad skupiny je jednodušší díky nové konzole správy zásad skupiny (GPMC, Group Policy Management Console), která umoţňuje více organizacím lépe vyuţívat sluţbu Active Directory a její výkonné funkce pro správu. Pomocí nástrojů příkazového řádku mohou správci provádět většinu úloh z příkazové konzoly. Storage management. Je to funkce, díky nimţ je správa a údrţba disků a svazků, zálohování a obnovení dat a připojení k sítím SAN (Storage Area Network) jednodušší a spolehlivější. Terminal Services. Terminálová sluţba systému Microsoft Windows Server 2003 je zaloţena na spolehlivém reţimu aplikačního serveru v terminálové sluţbě systému Windows 2000. Terminálová sluţba umoţňuje doručovat aplikace systému Windows nebo samotnou plochu systému Windows
42
na téměř libovolné počítačové zřízení včetně těch, na kterých nemůţe být spuštěn systém Windows. XML Web Services. Sluţba IIS 6.0 je důleţitou součástí řady produktů .NET Server 2003. Správci a vývojáři webových aplikací poţadují rychlou, spolehlivou webovou platformu, která je škálovatelná a zároveň zabezpečená. K významným vylepšením architektury sluţby IIS patří model zpracování, který značně vylepšuje spolehlivost, škálovatelnost a výkon. Sluţba IIS je standardně nainstalována v uzamčeném stavu. Zabezpečení je zvýšeno, neboť správce systému povoluje nebo zakazuje systémové funkce podle poţadavků aplikace. Podpora přímých úprav metabáze XML dále zlepšuje moţnosti správy. Networking and communications. Práce v síti a komunikace nebyly pro organizace stojící před globální konkurencí nikdy tak důleţité jako nyní. Zaměstnanci se potřebují připojit k síti z kteréhokoli místa a z jakéhokoli zařízení. Enterprise UDDI services. Systém Windows Server 2003 zahrnuje sluţby UDDI, dynamickou a flexibilní infrastrukturu pro webové sluţby XML. Toto řešení zaloţené na standardech umoţňuje společnostem provozovat vlastní vnitřní sluţbu UDDI pro pouţití v intranetu nebo extranetu. Vývojáři mohou snadno a rychle vyhledat a znovu pouţít webové sluţby dostupné v rámci organizace. Správci IT mohou vytvářet katalog a spravovat programovatelné zdroje v síti. Pomocí sluţeb UDDI mohou společnosti vytvářet a zavádět inteligentnější a spolehlivější aplikace. [15] Nastavené role serveru DNS server - má za úkol překládat názvy DNS domén a
PC na IP adresy. Během
konfigurace je nutné nastavit: zvolena konfigurace – „vytvořit zónu dopředného vyhledávání název zóny – UNICOS dynamické aktualizace jsou povoleny jen zabezpečené aktualizace, doporučuje se pro sluţbu Aktive Direktory dále „Servery pro předávání“(ty servery, na které DNS server odesílá dotazy, jeţ nemůţe zodpovědět
43
Obrázek 2.10
DHCP serveru – tato role má za úkol dynamicky přidělovat IP adresy klientům v síti. Postup nastavení: nastavení rozsahu IP adres (Obrázek 2.9) jsou vyloučeny některé IP adresy doba zápůjčky IP –12 hodin zadání IP směrovače 192.168.10.1 (Obrázek 2.10) název domény nadřazené té lokální – unicos.cz je povelen WINS server (mohou převádět NetBios na IP)
44
Obrázek 2.9 Nastavení uţivatelských stanic je provedeno s ohledem k tomu, ţe na serveru pracuje DHCP server, klientské stanice fungují bez větších problémů a poměrně samostatně. Na obrázku je vidět síťové nastavení jednoho z uţivatelů. Nastavení připojení PS k firemní síti je velmi jednoduché a v době, kdy se síť rekonstruovala, byly jednotlivé PC nastavovány v rámci moţností administrace sítě centrálně.
Obrázek 2.11 WINS server – je na serveru aktivován
45
Domény – pro správu domén je pouţit řadiče domény (Sluţby Aktive Direktory) kompatibilita operačních systémů – tyto poţadavky nesplňují Windows 95 a NT je vytvořena doména unicos.local dále doména v NetBiosu – UNICOS cesty pro adresář pro Sysvol (sdílený systémový svazek) – obsahuje serverovou kopii systémových souborů domény. Obsah se replikován na všechny ostatní řadiče v doméně Souhrn spuštěných rolí (Obrázek 2.13)
Obrázek 2.13
46
Konfigurace hardwaru hlavního serveru
komponenta název
parametry
zakladní deska
Dual Socket 603, Čipset: Intel E7320, S-ATA RAID, VGA, síť
procesor
ASUS NCLV-D Xeon 2,8GHz Box, 2 krát
2.8GHz, 1MB cache, FSB 800MHz, Socket 603 1024MB DDR400
paměti
CORSAIR 2krát
HDD
SEAGATE 4krát
300GB, 7200 ot., 8MB cache, SATA
2.4.2 Linuxový router Server s operačním systémem SUSE splňuje ve firemní síti NJK Unicos s.r.o. funkci routeru a firewallu. Níţe je rozepsán obecný význam tohoto prvku sítě, dále informace o operačním systému a některá důleţitá nastavení systému. Router - obecně Router (směrovač) můţe propojovat dva či více kabelových segmentů. Jiţ si uvědomuje (na rozdíl od repeatru a bridge) topologii celé sítě a díky tomu je pak schopen rozhodnout, kudy vede cesta do nějakého vzdáleného uzlu. Přijme-li nějaký blok dat, umí se rozhodnout, kterým směrem jej poslat dál, aby se nakonec (po případném průchodu dalšími mezilehlými uzly) dostal aţ ke svému konečnému adresátovi. K tomu ovšem router nevystačí se stejnými informacemi, jaké má k dispozici most (bridge), ale musí se do přenášených bloků dat dívat hlouběji. V praxi to znamená, ţe router pracuje na úrovni tzv. síťové vrstvy, která je bezprostředně nad vrstvou linkovou. Na této úrovni se přenášeným blokům dat říká obvykle pakety (packets). Ty jsou opatřeny jiným druhem adres, neţ jaké se pouţívají na úrovni linkové vrstvy a jsou vkládány do rámců linkové vrstvy. Hlavním úkolem routeru je tedy rozhodnout, kterým směrem posílat jednotlivé pakety tak, aby se dostaly aţ ke svým koncovým adresátům. Tomuto rozhodování (a jeho praktickému naplňování, tj. posílání paketů ve zvoleném směru) se, ne náhodou, říká směrování (routing). Router přitom vychází ze znalosti topologie sítě a na ni pak v jednotlivých případech aplikuje algoritmus volby dalšího směru přenosu. Tomuto algoritmu se říká metoda směrování. Můţe mít mnoho různých podob od neadaptivních 47
statických algoritmů, které vychází z předem dané tabulky a nijak nereagují na jakékoli změny stavu sítě, aţ po takové algoritmy, které se dynamicky přizpůsobují změnám v topologii sítě, přetíţení jednotlivých přenosových cest i jiným změnám. Existenci routeru si ostatní uzly musí plně uvědomovat. Router, který pracuje na úrovni bezprostředně vyšší vrstvy, je pro odesilatele jiţ plně viditelný. Pokud nějaký uzel potřebuje odeslat paket příjemci v jiném segmentu, opatří jej adresou tohoto příjemce a vloţí jej do rámce linkové vrstvy, který ale pošle routeru! Ten rámec "rozbalí", najde v něm paket síťové vrstvy a v něm adresu koncového příjemce. Podle ní se pak rozhodne, kudy paket poslat dál. Kdyţ tak učiní, paket znovu vloţí do rámce linkové vrstvy a pošle jej ve zvoleném směru. Příjemcem tohoto rámce pak můţe být buď konečný adresát paketu (pokud se v příslušném segmentu jiţ nachází) nebo opět další router, ve kterém se celý proces opakuje. Na rozdíl od mostů jsou tedy routerům jednotlivé pakety explicitně adresovány. Při pouţití routeru si jednotlivé segmenty z pohledu ostatních uzlů ponechávají svou vlastní identitu a router je plně viditelnou bránou mezi nimi. [22] Směrovací protokoly Nelze-li pouţít statické směrování, přichází ke slovu směrovací protokoly (routing protocols). V routeru běţí proces, který komunikuje s obdobnými procesy v sousedních routerech. Aby mohla komunikace probíhat, je i zde třeba nějaká minimální statická konfigurace, stačí ovšem, aby směrovací tabulka obsahovala cesty na všechny přímo připojené sítě. Naplnění tabulky těmito základními informaci obvykle proběhne automaticky při nakonfigurování jednotlivých síťových rozhraní. Jakmile zná router cesty na své nejbliţší sousedy, můţe jiţ začít fungovat protokol IP a i vyšší vrstvy síťových protokolů a směrovací protokoly mohou těchto sluţeb vyuţívat. Směrovací protokoly dělíme na dvě skupiny - interní protokoly (Interior Protocols) a externí protokoly (Exterior Protocols. Celý Internet (či jiná velká síť) je rozdělen do takzvaných autonomních systémů (AS). Uvnitř AS je výměna směrovacích informací zajišťována interními protokoly, globální informaci pro celou síť zajišťují externí protokoly. Routery uvnitř AS vůbec nemusí znát topologii celého Internetu. Stačí, kdyţ vědí, které routery zajišťují spojení se „zbytkem světa“. Naopak externí routery se nemusí zatěţovat podrobnou strukturou jednotlivých AS (musí ovšem znát přiřazení sítí k AS, ve kterých jsou obsaţeny) a mohou vyuţít výhodu sdruţování jednotlivých sítí do bloků.
48
Interní protokoly lze podle principu (algoritmu) činnosti rozdělit na dvě hlavní skupiny - protokoly vyuţívající algoritmus vektoru vzdáleností (Distance Vector Algorithm) a protokoly vyuţívající algoritmus stavů linek (Link State Algorithm). Do první skupiny patří například protokoly RIP (Routing Information Protocol) a Hello, do druhé protokoly OSPF (Open Shortest Path First), IS-IS (Intermediate System to Intermediate System) nebo IGRP. [16] Firewall - obecně Firewally jsou určeny k maximálnímu předcházení vnějším útokům. Firewall izoluje vnitřní síť od internetu. Prověřuje kaţdý paket, který k němu dorazí z jedné či z druhé strany - podle toho, zda přichází z internetu či naopak. Určuje, zda jim má být umoţněn průchod či mají být zastaveny. Obecně lze říci, ţe nástroj typu firewallu slouţí především pro zabezpečení vstupního bodu do sítě z internetu nebo jiné veřejné sítě. Firewall je především soubor opatření, která umoţňují například řízení přístupu uţivatele z vnější i vnitřní sítě, nastavení přístupových práv, odfiltrování nebezpečných sluţeb, soustředění bezpečnosti do jednoho komunikačního uzlu, zablokování nepřátelského mapování vnitřní sítě, audit legálních a nelegálních operací, atd. [1] Typy firewallů Aplikační filtr je součástí aplikační vrstvy. Střeţí tedy jednotlivé aplikace. Veškerá komunikace probíhá prostřednictvím proxy serverů (klient chce kontaktovat server venku namísto toho kontaktuje proxy server na firewallu, který se chová vůči klientu transparentně a přitom komunikuje se skutečným serverem dle daných pravidel určujících oprávněnost poţadavků (i na úrovni uţivatelů)). Paketový filtr je umístěn na síťové vrstvě. Chová se jako částečně propustný router. Zkoumá hlavičky procházejících paketů a podle sady pravidel se rozhoduje, zda paket propustí či nikoliv. V zásadě definuje odkud kam a kterou sluţbou je povolen přístup. Nemá sice takové moţnosti jako aplikační firewall, nepotřebujeme však pro kaţdou sluţbu proxy server. Autentizaci nelze dělat na úrovni uţivatelů. Network adress translation (NAT) je umístěn na aplikační i síťové vrstvě. Řeší transparentní proxy, IP masquarading, více serverů ve vnitřní síti (IP forwarding)
49
a např. rozdělení zátěţe (load-balancing). Pro některé sluţby musí operovat i na aplikační vrstvě (např. ftp, pokud nechceme jen pasivní ftp). Software pro firewally Pro aplikační filtry: TIS Firewall Toolkit (fwtk) - volně šiřitelné zdroje, framework pro řadu unixových systémů Checkpoint Firewall-1 - komerční implementace firewallu pro Linux, Sun Solaris, HP-UX, IBM AIX a Windows NT Pro paketové filtry: nejdostupnější je podpora packetového filtru zabudovaná do jádra Linuxu (od verze 1.1). ipfw - portováno z BSD ipfwadm v jádře Linuxu 2.0 - pracuje v userspace (stejně jako všechny následující implementace) ipchains v jádře 2.2 - zavádí pojem řetězů pravidel (mimo implicitní můţeme definovat vlastní řetězy) iptables od verze jádra 2.4 - nahrazuje ipfwadm a ipchains, modulární struktura (nebyla v ipchains), IP masquerading je odděleno od packet filtru, moţnost vytvářet pravidla nezávislá na rozhraní, kompatibilita: zahrnuje ipfwadm i ipchains - pokud je nutné, můţeme jeden z nich pouţít, ale nikoliv v kombinaci s iptables [18] Operační systém: Linux s Distribucí Suse 9.3 Professional a jeho nastavení SUSE LINUX Professional 9.3 nabízí více neţ 3.500 softwarových balíčků pro široké spektrum úloh. Jedná se například o sadu kancelářských aplikací kompatibilní s Windows, o osobní informační manaţery pracující s připomínkami, elektronickou poštou, adresami a diskusními skupinami, o software určený ke zpracování obrázků, jenţ je vhodný pro pokročilé uţivatele i nováčky a o nástroje pro rychlé připojení k počítačové síti i Internetu. Jedná se téţ o prostředky umoţňující prohlíţení webu, výměnu poštovních zpráv a elektronickou konverzaci, o utility pro konfiguraci sítě a integraci, o serverové sluţby, vývojové nástroje atd. Instalace uvedeného produktu je díky centrálnímu konfiguračnímu a administračnímu nástroji YaST snadná a rychlá. Tento program totiţ 50
většinu instalačních kroků inteligentním způsobem automatizuje. Respektuje existující diskové oddíly, navrhuje nové linuxové oddíly tak, aby nebyly ovlivněny stávající instalace Windows, zajišťuje rychlou instalaci softwaru, identifikuje a konfiguruje hardwarové součásti, nastavuje uţivatelskou správu a konfiguruje přístup k Internetu. SUSE LINUX Professional 9.3 poskytuje novou výkonnou podporu pro přenosné počítače a nabízí prostředky umoţňující komunikaci s dalšími typy mobilních zařízení. Významně usnadňuje jak spojení přes Bluetooth a WLAN, tak i synchronizaci dat s přístroji Palm, multimediálním přehrávačem iPod a mobilními telefony vybavenými rozhraním Bluetooth. Nová grafická desktopová prostředí GNOME 2.10 a KDE 3.4 poskytují maximální uţivatelský komfort a umoţňují rozšířené moţnosti vyuţití. Vlastnosti: SUSE LINUX Professional přichází s řadou zajímavých vlastností, jmenujme alespoň ty nejvýznamnější: Značně zdokonalená podpora technologií pouţívaných v přenosných počítačích Bluetooth, WLAN, Intel Centrino. Grafická desktopová prostředí GNOME 2.10 a KDE 3.4 umoţňující vyspělý způsob pouţití a poskytující maximální uţivatelský komfort. Nejnovější edice grafického linuxového klienta pro výměnu elektronické pošty a osobních informací Novell Evolution 2.0 a Kontact 3.4. K dispozici je zde integrovaná podpora pro Microsoft Exchange 2000/2003, propojitelnost a kompatibilita s Novell GroupWise, moţnost pouţití protokolu IMAP a podpora pro širokou sadu standardních protokolů elektronické pošty. Prostředek pro správu webových stránek Nvu, který slučuje správu webových souborů a snadnou WYSIWYG editaci webových stránek. Linux kernel 2.6.11 poskytující stabilitu, bezpečnost a rozsáhlejší podporu hardwaru. Široký okruh vývojových prostředí zahrnující i Mono, KDevelop a Eclipse. Snadné přepínání mezi různými síťovými připojeními pouhým kliknutím myší na Internet (např. WLAN a ISDN). Dokonalejší integrace YaST Profile Manageru se snadným přepínáním mezi profily.
51
SUSE Firewall pro snadnější konfiguraci včetně automatické aktivace firewallu po instalaci. Snadnější nastavení serverů SAMBA, DNS, DHCP a tiskového serveru CUPS. Operační systém nabízí podporu pro platformy x86 i x86-64 [20] Nastavení Z hlediska instalace je na routeru definováno jedno veřejné rozhraní pro internet, jedno rozhraní pro DMZ a další, na kterém je interní síť – IP adresy viz IP adresní plán, neveřejný rozsah IP adres (přidělovaný PC a serverům v interní síti a DMZ) se překlápí na veřejný rozsah překladem NAT, takţe interní síť je maskována za routerem, proto je komplikovaněji napadnutelná. V „řídícím středisku“ Yast je moţné zjistit komplexní informace o nastavení systému. Součástí nastavení jsou síťové karty: Nastavení pro první kartu (Obrázek 2.14): 1. IP: 212.158.135.74, maska 255.255.255.192 2. jméno počítače GW a jméno domény unicos.local 3. v nabídce směrování jsem zadal výchozí bránu 212.158.135.73 4. povolen IP Forwarding 5. nastavení – vnější zóna Nastavení pro druhou kartu: 1. IP: 192.168.100.1, maska 255.255.255.0 2. jméno počítače GW 3. výchozí bránu 212.158.135.73 4. povolen IP Forwarding 5. nastavení – DMZ Nastavení pro třetí kartu: 1. IP: 192.168.10.1, maska 255.255.255.0 2. výchozí bránu 212.158.135.73 3. povolen IP Frowarding 4. nastavení – vnitřní zóna 52
Obrázek 2.14
Dále konfigurace firewallu. Zde je moţnost ještě upravit nastavení síťového rozhraní (zóna firewallu) pro jednotlivé ethernety, dále se zónám firewallu přiřazují sluţby, které chceme povolit. Na Obrázek 2.15 je uveden příklad pro DMZ. Dále je třeba nastavit „Maškarádu -NAT“. Konečné nastavení NAT je uvedeno na Obrázku 2.16. Nastavení sluţeb pro jednotlivé zóny Firewallu 1. Vnější zóna – ţádné 2. DMZ – POP3 server, Poštovní server,HTTP server, HTTPS server 3. Vnitřní zóna – všechny
Nastavení „maškarádování“ 1. nastavení zdrojové sítě – 192.168.10.0/24 (interní síť) nebo 192.168.100.0/24 (DMZ)
53
2. nastavení poţadované IP – 192.168.10.1 (interní síť) a 192.168.100.1 (DMZ) 3. poţadovaný port – 80, 25, 110 4. přesměrování na maškarádovanou IP – ve všech případech 212.158.135.74 5. přesměrování na port – 80, 25, 110 – ty jsou stejné jako vyţadované porty
Obrázek 2.15
54
Obrázek 2.16
Ověření nastavení je samozřejmě také moţné zkontrolovat v konzoly pomocí příkazů. Konzole je zobrazena na Obrázku 2.17.
Obrázek 2.17
55
Konfigurace hardwaru komponenta
název
Parametry
zakladní deska
ASUS P5RD1-V
Socket 775, Čipset: ATI Xpress 200, S-ATA, VGA, siť.
procesor
INTEL PENTIUM 4
2.8 GHz, 1MB L2 cache, FSB 800MHz, Societ 478
paměti
CORSAIR 2krát
512MB DDR400 CL2.5
HDD
Samsung
120GB, 7200 ot., 8MB cache, SATA
síťové karty
3COM GIGABIT 3ks
10BASE-T/100BASE-TX/1000BASE-T, RJ-45
case
Leo computer
middle toner
2.4.3 Mail server Mail server pracuje na licencovaném systému Windows XP Professional a pracuje s aplikací od firmy 602Software s nejnovější verze jejich softwaru Messaging server 4.5. Je spojen přes síťovou kartu a switch s hlavním switchem.
Obrázek 2.19 602 Messaging server přijímá veškerou poštu. Je to jedna doména a jsou v ní nastaveny dva poštovní úřady unikt a unisus. Pošta se ukládá na Novell server, kde jsou data zálohována. Program rozděluje přijímané zprávy podle exportních seznamů a jednotlivých uţivatelů a přeposílá je ze serveru na určené místo do poštovních úřadů. Pokud má pošta jako místo určení třicet kilometrů vzdálenou Sušici, napojí se na sušický Messeging server a ten provede distribuci na účty a odesílá poštu jiţ sám. Program má vestavěný antivirový program BitDefender a firewall. Pro práci s poštou lze vyuţívat také webové rozhranní. Pro usnadnění administrace je k dispozici kompletní vzdálená konfigurace a správa prostřednictvím browseru a technologie DCOM. Protoţe integrovaný antivirový systém
56
není optimální je na serveru nainstalovaný antivirový program slovenské výroby NOD 32, který patří ke špičce v oboru. Tímto softwarem je proti napadení viry chráněna celá síť. Nastavení sluţeb je uvedeno na Obrázku 2.20.
Obrázek 2.20 Konfigurace hardwaru
komponenta
název
parametry
zakladní deska
ASUS P5RD1-V
Socket 775, Čipset: ATI Xpress 200, S-ATA, VGA, siť.
procesor
INTEL PENTIUM 4
2.8 GHz, 1MB L2 cache, FSB 800MHz, Societ 478
paměti
CORSAIR 2krát
512MB DDR400 CL2.5
HDD
Samsung
120GB, 7200 ot., 8MB cache, SATA
síťové karty
3COM GIGABIT 3ks
10BASE-T/100BASE-TX/1000BASE-T, RJ-45
case
OEM
middle tower
57
2.4.4 Web server Webový server je součástí DMZ. Je společně s Internet serverem přes switch spojen s hlavním switchem a patří do VLAN1. Mail server je stejné konfigurace jako Internet server, protoţe byl modernizován ve stejnou dobu. Je na něm nainstalovaný Linux s distribucí Suse 9.0 Advance, Apache 2.0, PHP a MySQL. Server byl modernizován z důvodu vzniku e-obchodu a moţnosti aktualizace produktů firmy NJK Unicos s.r.o. přes web pro koncové uţivatele. Konfigurace hardwaru
komponenta
název
parametry
zakladní deska
ASUS P5RD1-V
Socket 775, Čipset: ATI Xpress 200, S-ATA, VGA, siť.
procesor
INTEL PENTIUM 4
2.8 GHz, 1MB L2 cache, FSB 800MHz, Societ 478
paměti
CORSAIR 2krát
512MB DDR400 CL2.5
HDD
Samsung
120GB, 7200 ot., 8MB cache, SATA
síťové karty
3COM GIGABIT 3ks
10BASE-T/100BASE-TX/1000BASE-T, RJ-45
case
Leo computer
middle tower
2.4.5 Server M-info Je to firemní informační intranetový systém, který je volně dostupný pod autorizovaným přístupem. Uvádí se na něm rozhodnutí managementu, zápisy ze všech konaných schůzí a je tam také vytvořeno fórum. Pracuje se systémem Linux s distribucí Debian. Je to webová aplikace, ke které se lze z míst mimo interní síť, skrze vzdálený přístup připojit. Server je postavený na platformě PC LEO Intellect z roku 2005. Konfigurace hardwaru komponenta
název
parametry
zakladní deska
ASUS P5RD1-V
Socket 775, Čipset: ATI Xpress 200, S-ATA, VGA, siť.
procesor
INTEL PENTIUM 4
2.8 GHz, 1MB L2 cache, FSB 800MHz, Societ 478
paměti
CORSAIR 2krát
512MB DDR400 CL2.5
HDD
Samsung
120GB, 7200 ot., 8MB cache, SATA
síťové karty
3COM GIGABIT 3ks
10BASE-T/100BASE-TX/1000BASE-T, RJ-45
case
Leo computer
middle tower
58
2.5 Internetové připojení Internetovým poskytovatelem je společnost České radiokomunikace, která nabídla a zrealizovala vyhrazené (v agregaci 1:1) připojení 1 megabit, později v roce 2005 to byly 2 megabity a v dnešní době se jedná o dalším navýšení. Zařízení, které si společnost dodala, je umístěno v serverovně v racku (speciální skříň určená rozměrově specifické PC case). Internet je poskytován klientům přes Internet server, který je připojen přes hlavní switch do hlavního serveru. Popis sluţby sluţby Bluetone Zejména pro malé a střední firmy je připravena sluţbu Bluetone Angel, která v rámci jednoho balíčku nabízí moţnost připojení dvou analogových telefonních linek a rychlý přístup na Internet prostřednictvím moderní bezdrátové technologie. V rámci jediné přípojky tak zákazník dostane kvalitní hlasové sluţby a časově neomezený přístup na Internet. Bluetone Angel představuje ekonomicky nejvýhodnější telekomunikační řešení při moţnosti zachování stávajících telefonních čísel. Výhody sluţby bezdrátové připojení do sítě pomocí kvalitní technologie v plánovaném pásmu 3.5 GHz rychlé zřízení sluţby a operativní změny parametrů trvalý dohled, servis a zákaznická podpora asymetrické připojení k Internetu rychlostí aţ 1024 kb/s pevná cena za Internet, není účtována doba připojení ani objem přenesených dat zvýhodněné tarify na místní, dálkové, mobilní i mezinárodní volání volání v síti Bluetone za jednu cenu zvýhodněné ceny za připojení k internetu v závislosti na objemu volání (čím více voláte, tím niţší je cena za připojení k internetu) moţnost zřízení doplňkových sluţeb (SafePACK, MailSET, Web Hosting) zřízení dvou telefonních linek (HTS) bez paušálních poplatků za jejich provoz velmi nízké tarify na místní, dálkové i mezinárodní volání sleva 5% na volání do 3 vybraných zemí moţnost zachování stávajícího čísla nebo přidělení nového čísla 59
on-line přístup k výpisu hovorů přes Internet Technické řešení Sluţba je realizována pomocí mikrovlnného zařízení pracujícího v garantovaném pásmu 3,5 GHz, které zaručuje nerušený přenos signálu. U uţivatele sluţby je umístěna malá terminálová stanice umoţňující připojení k základnové stanici a realizaci všech sluţeb. Schéma strukturalizace je zobrazena na Obrázku 2.21.
Obrázek 2.21 Technické specifikace a vlastnosti systému zařízení malých rozměrů, snadná montáţ přenos v plánovaném kmitočtovém pásmu 3,5 GHz vysoká kvalita a spolehlivost spojení aţ 2 analogové telefonní zásuvky RJ-11 pro připojení HTS (Hlavní telefonní stanice) 2 telefonní zásuvky RJ-11 s podporou modemů se standardy V.90 a V.34 (přenos dat lze realizovat současně jen jedním portem RJ-11) 60
kvalitní digitální zpracování hlasu dle normy G.729e 1 × Ethernet 10 BASE-T, moţnost připojení aţ 5 PC zařízení odpovídá všem normám pro pouţití v ČR Zařízení se fyzicky nachází v racku v serverově. Umístění je zachyceno na Obrázku 2.22 (Alcoma) a 2.23 (rack). Mikrovlnný spoj je namířen Alcoma na access point na Střední integrovanou školu v Klatovech. Anténa je umístěna poměrně vysoko nad úrovní střechy, aby došlo k eliminaci Fresnelových zón a byla tím zajištěna vysoká kvalita spoje. [4]
Obrázek 2.22
Obrázek 2.23
2.6 Uţivatelské stanice Klientské stanice, které jsou součástí interní sítě (PC, notebooky) byly během existence firmy neustále modernizovány a upravovány pro potřeby jejich uţivatelů. V dnešní době není v síti firmy Unicos starší PC neţ s procesorem Pentium IV a AMD K6. Jako operační systémy jsou na nich vyuţívány Windows XP ve verzi Professional aţ na výjimky, coţ znamená Windows 98 Second Edition a u nejnovějších notebooků Windows Vista. Kaţdý ze zaměstnanců má povinnost se o přidělený počítač starat tak, aby nedocházelo ke zbytečným komplikacím při jeho provozu. Tzn. řádně vypínat systém, spouštět PC cca 30 minut před zahájením práce, aby měl systém moţnost otestovat funkčnost svých jednotlivých částí, případně dokončit antivirový test.
61
2.7 Zálohování Zálohování se realizuje denně pouze na ZIP mechaniky, je tedy moţné zálohovat pouze 100MB komprimovaných dat. Data jsou v Novell serveru zálohována zrcadlením disků. Díky tomuto faktu jsou veškerá data vţdy nahrána na dva disky zároveň. V případě poruchy jednoho z disků se vadný disk odpojí a server pracuje bezproblémově dál. Toto je pouze zálohování v případě hardwarové chyby. Servery jsou zálohovány záloţními zdroji UPS od firmy APC, ale jejich mnoţství je nedostatečné a nejsou na všech místech, kde by měly být.
2.7.1 Hardwarové zálohování Hlavní server je zálohován pomocí funkce síťového operačního systému Windows 2003, která se nazývá clustering, znamená, ţe běţí současně dva identické servery, při výpadku jednoho (primary server) , běţí síť na druhém (secondary), aniţ by uţivatel cokoliv zaregistroval - (výhoda – zaručení minimalizace zkolabování sítě, na které je firma závislá). Na kaţdém ze serverů je prováděn mirroring disků a je zapojen v raidu 0+1, který obsahuje S-ATA disky. Jeden ze serverů obsahuje interní páskovou mechaniku HewlettPackard Surestore DAT24i - (nevýhoda – nutnost kaţdodenní obsluhy, výhoda – spolehlivost, kapacita, přenosnost), druhý obsahuje DVD vypalovací mechaniku, na tu se budou vypalovat data v menších časových intervalech ve zkomprimované podobě (výhoda - flexibilita, nevýhoda –
malá záruka nezničitelnosti
a trvanlivosti dat
na datových médiích typu DVD). Zálohování dat - datové uloţiště Datové úloţiště
se skládá za čtyř pevných disků Seagate(viz konfigurace serveru)
o kapacitě 300GB se Serial-ATA rozhraním mají 7200ot/min a jsou opatřeny 8MB cache. Pro zapojení disků je pouţit následující způsob: RAID 0+1 kapacita 600GB, maximální rychlost, 100% redundance. Toto řešení se vyznačuje vysokou přenosovou rychlostí, aţ 100MB/s při zachování poţadavku na 100% zálohování dat, ve skutečnosti se diskové pole tváří jako jeden 600GB disk se 14400 otáčkami, při selhání jakéhokoliv disku nedojde ke ztrátě dat, server je aţ do výměny disku neustále v provozu. Obecně se doporučuje při poţadavku na minimalizaci moţnosti ztráty dat.
62
Zálohování dat – pásková mechanika HEWLETT-PACKARD SURESTORE DAT24i Je plně kompatibilní s běţnými systémy. Navíc obsahuje vše potřebné pro rychlé, snadné a spolehlivé zálohování, včetně funkce tlačítko nouzové obnovy dat (HP OBDR). Nástroj HP TapeAssure zajišťuje ověřením instalace, ţe je jednotka správně připojena a ţe funguje. Nástroj TapeAlert neustále sleduje jednotku a média, dále varuje uţivatele před všemi případnými problémy. Kapacita: 12GB přirozená, obvykle 24GB při hardwarové kompresi dat, na datové kazetě DDS-3 Média: kazety DDS-3 (24 GB), DDS-2 (8 GB) a DDS-1 (2,6 GB) a 4 GB Media Recognition System Formát zápisu: ANSI/ISO/ECMA DDS-2 a DDS-3 Konstantní přenosová rychlost: 1 MB/s (3,6 GB/h) přirozená, obvykle 2 MB/s (7,2 GB/h) při HW kompresi dat, na datové kazetě DDS-3, DS-2
2.7.2 Zálohovací software Společnost vyuţívá Veritas Backup server 10. Je to zálohovací systém rozsahu Workgroups. Jedná se o snadno rozšiřitelný, zálohovací systém s moţností správy úloţišť pro splnění nároků jakékoliv sítě nebo společnosti. Široké moţnosti správy zařízení a médií zjednodušují nastavování a správu knihoven pásků a páskových zařízení pro dosaţení nejlepšího přístupu k uloţeným informacím. SAN Shared Storage Option zvyšuje výkon zálohování a obnovování pomocí virtualizace pásků, která přesouvá data bez dopadu na provoz v síti LAN a sniţuje celkovou cenu hardware. V programu Backup Exec jsou k dispozici průvodci a intuitivní grafické rozhraní, které umoţňuje vyuţití všech funkcí uţivatelům všech úrovní. Příklady funkcí: Plná záloha a obnova všech komponentů serveru Microsoft Exchange umoţňuje obnovu jednotlivých schránek aţ na úroveň jedné konkrétní zprávy Centrální správa a správa zásad více serverů Backup Exec usnadňuje práci zajišťuje návaznost
63
Vestavěné hledávání a eliminace virů zvyšuje zabezpečení tím, ţe jsou zálohovány pouze nezavirované soubory. Disaster recovery umoţňuje obnovení dat na serverech k nejnovější záloze a zvyšuje dostupnost. Certifikace od Microsoftu, schopnost čtení a zápisu do nástrojů Microsoft a podpora pro server Microsoft SharePoint zajišťuje účinnou integraci se systémy a aplikacemi proWindows. program je v podstatě schopen zálohovat jak data, tak různá nastavení kteréhokoliv PC, nebo serveru v síti, nastavení sítě, serverů a jiných parametrů. Obrázek 2.23 ukazuje moţnosti způsobu zálohování (vestavěné komponenty).
Obrázek 2.23
2.7.3. Zálohování ostatních prvků sítě Všechny důleţité počítače v síti jsou vybaveny, stejně jako hlavní server, on-line záloţními zdroji od firmy APC. Zálohy dat a konfigurací významných PC zprostředkovává výše zmíněný program Veritas Backup server 10.
64
Zálohování klientských stanic
U klientských stanic se zálohují určené a pro provoz firmy důleţité segmenty systému a data, záleţí při tom na pozici zaměstnance, který PC vyuţívá a dále na jeho pracovním zařazení. Vše komplexně obstarává výše zmíněný zálohovací software. Zálohování důleţitých aktivních prvků Všechny důleţité části sítě, tedy kromě jiného aktivní prvky jsou zálohovány zdroji UPS, jiţ tradičně jsou záloţní zdroje od firmy APC, s níţ jsou na trhu dlouholeté zkušenosti. Jejich konfigurace je ukládána na data server a společně s ním zálohována.
65
III. Optimalizace sítě a návrh komplexního a finálního řešení Je mnoho cest, kterými se lze v této etapě vypravit. Mnoho úprav bylo provedeno v roce 2005 při rekonstrukci, kterou jsem navrhoval a částečně realizoval, a které jsou součástí analýzy aktuálního stavu sítě. Některé nedostatky nebyly odstraněny a jejich nápravu si klade za úkol tato práce. Níţe uvedené informace vyplývají z několikaleté komunikace s vedením společnosti, z konzultací s odborníky z IT prostředí a z komunikace s ekonomickým oddělením firmy, které stanovilo moţný rozpočet na provoz firemní sítě. Je pravděpodobné, ţe bylo moţné zvolit sofistikovanější řešení, ale to navrţené vyplývá z praxe a z potřeb provozu dané firemní sítě. Z nabízených moţností jsou to ty, které upřednostňuje vedení společnosti.
3.1 Optimalizace – hardware, software Optimalizace sítě z hlediska technického je nepoměrně nenáročnější část práce oproti optimalizaci správy sítě. V letech 2005 a 2006 se prováděla na firemní síti společnosti NJK Unicos s.r.o. valná většina úprav, které zaručily její nadčasovost z hlediska technického a z hlediska softwarového vybavení. V kaţdém případě navrhuji drobné změny týkající se jednotlivých segmentů sítě, případně jejich programového vybavení. Technický upgrade sítě Do všech počítačů je potřeba dokoupit gigabitové síťové karety, dále sjednocení všech aktivních prvků na gigabitové aktivní prvky od firmy3Com, kvůli naprosté kompatibilitě. Jedním z bodů, které se neuskutečnili v roce 2005 je koupě off-line záloţních zdrojů k aktivním prvkům (coţ bylo odloţeno) a on-line záloţní zdroje k serverům (APC SMART-UPS RT3000VA on-line) a hlavnímu switchi (APC SMART-UPS RT1000VA on-line). Moje doporučení je z hlediska zkušeností společnost APC. Dále rozšíření na všech významných PC v síti operační paměť, pokud to lze a nejsou osazeny všechny sloty. Na linuxovém serveru je potřeba dokoupit a pak upgradovat poslední verzi systému
66
SUSE, kde u původní skončila podpora. Ostatní software byl jiţ v minulosti upgradován nebo mu byla prodlouţena licence. Finanční rozpočet
Rozpočet je tvořen z ceníku společnosti AT Computers a.s. Ceny jsou maloobchodní a jsou bez DPH ke dni 13.4.2009.
poloţka
popis
kusy
cena/ks
aktivní prvky
3Com OfficeConnect Gigab.Switch 5port
3
1315
záloţní zdroje
APC SMART-UPS RT3000VA on-line APC SMART-UPS RT1000VA on-line
1 1
37557 15184
6
1415
13
251
operační paměti Patriot 4GB kit 2krát 2GB síťová karta
Micronet Gigabit Ethernet Adapter SP2612R
Celkem
cena je uvedena bez DPH
68439
Suse upgrade Operační software Linux s distribucí SUSE 9.3 Professional, který pracuje na linuxovém routeru, a kterému jiţ skončila podpora od společnosti Novell, jeţ ho vyvíjí, se často diskutovala. Původním záměrem bylo ugradovat na nejnovější systém SUSE Linux Enterprise Server, ale nakonec toto rozhodnutí bylo negováno. Ne snad z důvodu finanční náročnosti, ale z důvodu provozní spolehlivosti a míry bezpečnosti systému. Obecně se totiţ tvrdí, ţe verze 9.3 je nejpovedenější evolucí distribuce SUSE.
3.2 Optimalizace přístupu k sítí a její administrace Společnost NJK Unicos s.r.o., v rámci okolností spojených s rozvojem firmy, musela dojít do situace, kdy bylo důleţité optimalizovat náklady na provoz firemní sítě a stanovit jakým způsobem s firemní sítí a lidmi, kteří se o ní starají, naloţit. Při společných diskuzích s vedením společnosti, kdy byly zvaţovány různé moţnosti (administrace sítě vlastními
67
zaměstnanci, jako do této doby, správce na poloviční pracovní úvazek, aj.) se dospělo ke dvěma variantám. První variantou je vytvořit opět ve společnosti pozici správce sítě, zaměstnat odborníka s praxí a znalostmi problematiky, neboť do této doby se v rámci firmy o síť staralo několik zaměstnanců z řad programátorského oddělení nebo varianta druhá, kterou je outsourcing správy firemní sítě, tzn. vypsat výběrové řízení a zvolit společnost , která na základě přesně specifikovaných smluv bude síť administrovat. První varianta znamená na vlastní náklady optimalizovat stávající síť a do hlavního pracovního poměru přijmout nové zaměstnance – specialisty, kteří by se o problematiku firemní sítě starali. Druhá varianta by znamenala vypsat výběrové řízení pro outsourcing IT, kde odpovědnost a náklady spojené s provozem sítě by byly mnohem transparentnější.
3.2.1. Administrátor z řad zaměstnanců firmy Administrátor z řad zaměstnanců firmy je varianta poměrně komplikovaná a můţe společnosti způsobit budoucí vícenáklady. Je velmi sloţité odhadnout, zda tuto funkci v rámci firmy můţe zastávat jeden člověk nebo zda bude potřeba lidí více. V kaţdém případě
je
nutné
v případě
volby
této
varianty
zadat
personální
agentuře
i administrativnímu oddělení pokyn pro vyhledání potenciálního pracovníka, protoţe firma nemá moţnost ze svého týmu pro tuto pozici někoho vyčlenit. Ekonomické hledisko Veškeré náklady spojené z provozem popsané sítě, včetně aktualizace hardwarového a softwarového vybavení, jdou na vrub firemního rozpočtu. Jakákoliv nově zaváděná technologie nebo software jsou finančně náročné a opět jsou financovány společností. Je také potřeba mít připravenu finanční rezervu spojenou s nenadálými situacemi jako jsou napadení sítě, ztráta cenných dat, poruchy hardwaru. Dále je v tomto řešení potřeba počítat se mzdou zaměstnance (viz tabulka níţe), dále moţné více náklady s provozem, jako jsou nenadále okolnosti, poruchy coţ by mimo pracovní dobu obnášelo nadčasové hodiny, které by zaměstnanci musely být proplaceny. Zároveň kaţdý zaměstnanec má ze zákona nárok na dovolenou a po tuto dobu by byla síť naprosto bez dohledu.
68
plátce poloţka zaměstnavatel hrubá mzda sociální pojištění zdravotní pojištění zaměstnanec
sociální pojištění zdravotní pojištění
krácení/% 0 25 6,5
krácení/Kč 0
9 4,5
čistá mzda pro zaměstnance je
částka 48 000 12 000 3 120 4 320 2 160 26 400
Aspekty z hlediska uţivatelského Uţivatelé firemní sítě mají maximální servis, co se týče případných závad a poruch na síti, ale také na jejich PC a noteboocích, protoţe dostupnost správce je okamţitá. I sebemenší problém je delegovatelný na administrátora sítě. Z hlediska administrátora Administrátor spravuje poměrně velký počet PC a je relativní, zda v budoucnu nenastane nutnost zainteresovat do správy ještě jednu osobu nebo minimálně člověka, který bude mít na starosti menší opravy typu uţivatelské chyby, drobné poruchy hardwaru, apod.. V rámci sítě je poměrně velký provoz a celkový počet uţivatelů ji řadí mezi sítě větší. Mnoho věcí lze v rámci administrátorských nástrojů řešit centrálně, ale některé lze nastavit nebo opravit jen u dané stanice. To je samozřejmě časově náročné. Hledisko odborné Zaměstnanec, který dostane firemní síť na starost, musí vyplynout z výběrového řízení, jehoţ hlavním poţadavkem bude vysoká odbornost uchazeče s minimálně pětiletou praxí v oboru. Firemní síť společnosti je poměrně rozsáhlá, rozdělená do mnoha segmentů, s různými typy uţivatelů. To znamená, ţe správce musí být schopen flexibilně řešit poţadavky naprosto odlišných parametrů, od velmi odborných po banální.
69
Bezpečnostní hledisko Vnitřní zaměstnanec společnosti, jeho pracovní smlouva a vazba k zaměstnavateli, je poměrně těsná. Z toho vyplývá i relativní bezpečnost informací týkající se sítě a samotné společnosti, stejně tak její know-how. Na druhou stranu znalosti týkající se této specifické a v rámci oboru samostatné disciplíny nemusí, a v podstatě díky rozsahu ani nemohou být tak hluboké, aby pokryly všechna bezpečnostní rizika. Také ostatní, kaţdodenní povinnosti správce poměrně dost časově vytíţí. Software pro administraci sítě V rámci přístupu k sítí a ulehčení práce administrátorovi a v neposlední řadě posílení bezpečnosti sítě, je potřeba zavést nástroj pro optimalizaci správy. Na trhu je mnoho produktů od renomovaných společností, které software vyvíjí. Za všechny je uvedeno několik příkladů a volba, dle dostupných informací. Software, který bude zakoupen, zvolí budoucí správce sítě podle svého uváţení, či níţe uvedeného doporučení. IDEAL Administration 9.5 Ideal
Administration
zjednodušuje
administraci
sítí
se
systémy
Windows
NT/XP/2000/2003/Vista/2008, integrací funkcí pro správu uţivatelských účtů, serverů a domén. Umoţňuje centrální správu domén, správu TSE & Exchange (5.5, 2000, 2003, 2007) mailboxů, vzdálenou správu stanic, správu Active Directory, skupin, sdílených prostředků, sluţeb a zařízení, tiskáren, databázových objektů, monitorování serverů a tvorbu reportů, transfer objektů mezi servery Windows NT, 2000, 2003 a 2008, export dat z registrů do databází, a další. OmniPeek Enterprise 6.0 OmniPeek Enterprise poskytuje IT profesionálům výkonné a flexibilní nástroje pro simultánní analýzu datových toků (včetně VoIP) v různých síťových segmentech, včetně 10 Gigabit, Gigabitových, bezdrátových 802.11a/b/g/n a WAN segmentů. Umoţňuje nejen zobrazení síťových toků na vyšší úrovni, ale rovněţ hloubkovou analýzu
70
komunikace mezi uzly, pouţívaných protokolů a sub-protokolů a charakteristik ovlivňujících výkonnost sítě. UltraAdmin 6.0.80 UltraAdmin nabízí nástroje usnadňující centralizovanou správu domén se systémy Microsoft Windows 2008, 2003, Vista, XP a 2000. Umoţňuje práci s různými typy objektů Active Directory, podporuje rozšířené prohlíţení a ukládání logů ve formátu EVT a EVTX (technologie LogRefiner). SolarWinds Engineer's Toolset 9.2 Balík 49 uţitečných, profesionálních nástrojů pro správu sítě, od různých konfiguračních nástrojů, monitorů výkonu a vyuţití sítě, po diagnostické nástroje. Doporučením pro budoucího administrátora je SolarWinds Engineer's Toolset 9.2, který obsahuje naprosto komplexní portfolio programů a sluţeb pro tuto problematiku.
3.2.2. Externí administrátor - outsourcing V této variantě bylo vypsáno výběrové řízení, s poměrně rámcovou zadávací dokumentací, která je uvedena v příloze číslo 7, aby byl dán prostor případným zájemcům k vlastní invenci. Zadávací dokumentace je přílohou 8 této práce, stejně tak jako řešení sluţeb třech finálních uchazečů. Ekonomické hledisko V případě této varianty se náklady spojené s provozem sítě dělí mezi společnost a externího správce. Zavádění nových technologií a softwaru je realizováno správcem. Ve valné většině případů je zaváděna technologie a software, se kterým správce má zkušenost a jehoţ pořizovací a provozní náklady jsou děleny mezi všechny klienty správce. Participace na těchto vstupních nákladech je významná, protoţe tyto částky bývají vysoké. Také zvyšování odbornosti a vzdělání správce sítě je ryze spojena se správcem sítě, coţ přináší další nemalé úspory. Měsíční výdaje, které společnost NJK Unicos s.r.o. čekají, jsou specifikované na základě smluv a stanovení této částky vyplynulo z výběrového řízení na správce firemní
71
sítě. Tento způsob, kdy je stanoven měsíční paušál, který zahrnuje všechny úkony spojené s provozem sítě, její bezpečností a servisem, je maximálně transparentní.
Aspekty z hlediska uţivatelského Externí správce zaškolí odbornou pověřenu osobu ze společnosti NJK Unicos s.r.o., která bude mít bezpečnostní vstupní hesla a pokud to budou okolnosti vyţadovat, bude oprávněna dle pokynů manipulovat s nastavením, které nelze přes vzdálenou správu upravit. Pokud bude závada velmi závaţná, jsou k dispozici technici, kteří dle smlouvy okamţitě vyjíţdějí na místo. Drobné závady a poţadavky uţivatelů, řeší pověřená osoba. Z hlediska administrátora Externí administrátor má nástroje pro vzdálenou správu sítě a díky zaškolené osobě z firemních uţivatelů je schopen vše velmi rychle a operativně řešit. Pokud by došlo na poţadavky více odborné nebo vyţadující fyzickou přítomnost odborníka, vše se řídí stanovenými smluvními podmínkami a díky krátké reakční době je správce schopen vše řešit podobně rychle, jako kdyby byl přímo v sídle společnosti. Hledisko odborné Externí společnost je specialista na danou problematiku, která ve svém týmu má mnoho odborníků. Tito lidé se mohou profilovat dle daných segmentů oboru, protoţe není nutné, a jsem přesvědčen o tom, ţe ani ţádoucí, aby znali komplexně celý obor, ale naopak je důleţité, aby měli specializaci s hlubokou znalostí problematiky. Tak je zajištěno, ţe úroveň, se kterou je síť spravována, je velmi vysoká. Tyto aspekty garantují bezpečnost a provozuschopnost firemní sítě. Bezpečnostní hledisko
Je pochopitelné, ţe tyto aspekty jsou asi nejvíce diskutovanými v rámci tohoto způsobu administrace sítě. K interních datům a informacím má přístup externí partner, jehoţ vazba
72
ke společnosti je v rozsahu stanovených smluv a SLA. Zcizení firemního know-how není v dnešní době nic neobvyklého, ale dle mého názoru je většina těchto případů způsobena hackery pro zábavu nebo na objednávku konkurence a ne společnostmi poskytujícími outsourcing IT. Je to podmíněno i skutečností, ţe ve smluvní dokumentaci je obsaţeno do jaké míry společnost poskytující tyto sluţby zodpovídá za bezpečnost sítě a dat. Díky vymahatelnosti těchto nákladů se ztrátou spojených je moţné formulovat výše zmíněné okolnosti jako výhodu, protoţe zodpovědnost není na společnosti data vlastnící. Zároveň je velmi pravděpodobné, ţe zabezpečení sítě a kvalita jejího řízení je na odpovídající úrovni, díky vysoké odbornosti správce.
73
IV. Shrnutí přínosů a dopadů navrţeného řešení Finální volbou vedení společnosti NJK Unicos s.r.o. se stal dnes jiţ poměrně rozšířený outsourcing IT/IS podívejme se na tuto variantu z hlediska dopadů na vlastní společnost a dále na finální nabídku, která byla vybrána z mnoha uchazečů výběrového řízení.
4.1 Outsourcing IS/IT Pojmem "Outsourcing" se rozumí smluvní vztah s klientem, kde dochází k přenesení odpovědnosti a péče o veškeré informační technologie na specializovaného poskytovatele, který disponuje kvalifikovanými odborníky pro různé oblasti. Cílem je optimalizovat celé prostředí IT a zajistit plynulý vývoj informačního systému. Proces servisních sluţeb slouţí pouze k podpoře hlavní činnosti organizace. Předáním tohoto procesu poskytovateli outsourcingu dochází k zajištění trvalého rozvoje a zaměření společnosti na hlavní cíl. [21] Důleţitost vymezení rozsahu sluţeb Škála činností a sluţeb, které mohou být poskytovány outsourcingem, je velmi široká a vţdy velmi záleţí na konkrétním vymezení rozsahu mezi dodavatelem a zákazníkem. Od přesnosti tohoto vymezení outsourcovaných činností se totiţ často odvíjí výsledná efektivita outsourcingu jak z pohledu klienta, tak z pohledu dodavatele. Typy outsourcingu Outsourcing celé informační infrastruktury prozatím není příliš častý. Jen málokde je moţné setkat se s tím, ţe organizace nemá ţádné IT oddělení. Důvodem je zejména to, ţe outsourcing můţe na jedné straně přinést řadu výhod a zlevnění péče o podnikové IT prostředí, ale na druhou stranu znamená také určité riziko. Zákazník je do určité míry na dodavateli sluţeb závislý a v některých případech ani vysoké sankce ve smlouvách nemusí kompenzovat případné ztráty a újmy, ke kterým by mohlo dojít v případě špatného poskytování dohodnutých sluţeb. Obava z tohoto rizika tak bývá často motivací k tomu, ţe zákazník chce outsourcovat pouze část procesu či sluţeb, ale chce si přitom ponechat ve své moci alespoň klíčové oblasti IT.
74
Další oblastí je Business Process Outsourcing (BPO), při kterém dodavatel přebírá odpovědnost za celý proces nebo skupinu procesů. Tímto způsobem je moţné zajišťovat běh prakticky jakéhokoliv procesu, vţdy je klíčovým bodem přesné vymezení rozsahu sluţeb a odpovědností. Klíčový dokument – SLA SLA – Service Level Agreement, neboli dohoda o úrovni poskytovaných sluţeb, má za úkol co nejpřesněji určit rozsah a úroveň sluţeb, které dodavatel poskytuje směrem ke klientovi. Při outsourcování procesů klienta je základním dokumentem, který stanovuje povinnosti a odpovědnosti obou stran a zároveň také sankce za jejich nedodrţení. Neměl by být ale vnímán jako nástroj pro vymáhání náhrady za nefunkční sluţby, ale jako dokument, který zajišťuje soulad mezi očekáváním klienta a nabídkou dodavatele. Tato souhra obou stran je základním pilířem úspěšného outsourcingu. SLA by tedy měla obsahovat kritéria pro posouzení kvality poskytovaných sluţeb. Ty se posuzují zpravidla podle ukazatelů, jakými jsou dostupnost, doba odezvy, přípustné výpadky aj. Velmi důleţitou oblastí, kterou by SLA měla popisovat, jsou také reakce na krizové stavy, např. útok na zabezpečení. Součástí smlouvy je také prakticky vţdy klauzule týkající se udrţení obchodního tajemství, protoţe dodavatel přijde při zajišťování svých sluţeb do kontaktu s citlivými informacemi, jejichţ vyzrazení by mohlo klientovi způsobit značnou újmu. Výhody IT outsourcingu Moţnost soustředit se na obor podnikání – tím, ţe firma přenechá starost o oblasti, které přímo nesouvisí s její hlavní činností, můţe vyuţít více zdrojů a energie na aktivity generující zisk. Sníţení nákladů na vlastní specialisty. Na první pohled se můţe zdát, ţe náklady na outsourcing jsou vyšší neţ náklady na vlastní specialisty. Často se totiţ v nákladech na vlastní personální zdroje neuvaţují hlediska jako například: náklady na udrţení a rozvoj znalostí zaměstnanců (znalosti z různých oblastí IT) náklady na zajištění zastupitelnosti osob (pokud provoz vyţaduje jednoho správce, musí být k dispozici ve skutečnosti dva z důvodu zastoupení v případě potřeby) náklady na testování a výběr nových technologií před nasazením apod.
75
Odstup outsourcovaných specialistů od prostředí klienta – nezaujatost odborníků dodavatele vzhledem k prostředí klienta můţe přinést nové pohledy na řešenou oblast. To můţe znamenat přehodnocení zaţitých postupů a procesů a projevit se sníţením nákladů nebo zlepšením kvality sluţeb. Garance úrovně a kvality sluţeb – rozsah, kvalita a úroveň outsourcovaných sluţeb jsou zpravidla podchyceny smlouvou, a to včetně sankcí za jejich nedodrţení. Nevýhody IT outsourcingu Jako kaţdá činnost, i outsourcing má kromě svých pozitiv také rizika, na která je třeba pamatovat. Velkou část z nich lze však eliminovat kvalitním smluvním vztahem, který by měl být základem pro dlouhodobě úspěšnou spolupráci klienta a dodavatele. Nejednoznačně definovaný rozsah outsourcovaných činností můţe vést k výsledné nespokojenosti obou stran - klient zpravidla očekává více, neţ mu dodavatel poskytuje na základě neupřesněných předpokladů. Řešením je věnovat úsilí co nejpřesnějšímu vymezení rozsahu a úrovně sluţeb při tvorbě smlouvy mezi klientem a dodavatelem. Rizikem můţe být i kvalita dodavatele, jak po odborné stránce, tak po stránce projektového řízení. V současnosti je na trhu relativně velké mnoţství specializovaných dodavatelů outsourcingových IT sluţeb a konkurenční prostředí je nutí k tomu, aby neustále zvyšovali svou kvalitu. Přesto je třeba výběru dodavatele věnovat velkou pozornost a vhodné je také přizvat nezávislého odborníka. Všechny tyto výhody dávají tušit, ţe outsourcing není jen dočasnou módou, ale spíše trendem, bez kterého se v budoucnu nebude moci obejít ţádná firma, která si bude chtít udrţet svou konkurenceschopnost. [23]
4.2. Finální nabídka V rámci výběrového řízení se utkalo mnoho společností zabývající se poskytováním sluţeb v oboru IT. Mnoho z nich nedokázalo splnit všechna kritéria, která byla stanovena vedením společnosti NJK Unicos s.r.o. pro postup do výběru tří finálních uchazečů. Účastníci řízení byli téměř z celé České Republiky. Tři finální uchazeči splňovali všechna kritéria a o vítězi z nich rozhodla cena sluţeb. Výše jednotlivých nabídek se velmi lišila.
76
Pohybovala se o několika tisíc aţ po desítky tisíc. Zvolená nabídka byla co se týče ceny v draţší polovině, ale cena byla jedním, nikoliv jediným kritériem. Nabídky se posuzovali dle těchto předem stanovených kritérii. Pořadí je uvedeno dle váhy kritérii v sestupném pořadí Struktura sluţeb a jejich komplexnost Regionální dostupnost Cena Odbornost uchazeče – certifikace, zkušenosti v oboru Cena nadlimitních plateb a příplatků Komplexnost nabídky Reference Vítězem výběrového řízení se stala společnost Apollo servis s.r.o., která má regionálně sídlo v Plzni, v ulici Wenzigova 2. Její nabídka splnila veškerá kritéria a cena, kterou společnost nabídla byla z finálních tří nejniţší. Prezentace firmy je přílohou 9 této práce.
4.3 Resumé Volbou finálního řešení nekončí povinnosti spojené s provozem firemní sítě. Do doby předání informačního systému společnost poskytující outsourcing je potřeba učinit několik kroků (Obrázek 4.1). Vstupní analýza, která je provedena v této práci, výrazně posune celý proces dopředu. Nejnáročnější z hlediska finálního vyuţívání sluţeb outsourcingu je samotná implementace této sluţby do stávajícího systému. Velice důleţitá pro tento krok je jeho samotná příprava, aby implementace neohrozila běh společnosti NJK Unicos s.r.o., či aby neutrpěla bezpečnost firemních dat a celé sítě.
Obrázek 4.2
77
Hlavní přínosy outsourcingu pro společnost NJK Unicos s.r.o.: Výrazné sníţení nákladů na rozvoj a servis výpočetní techniky, fixní náklady na provoz IT/IS Přesný přehled o veškerých nákladech v oblasti IT a doprovodných sluţeb Další významné úspory v oblasti personálního zajištění v oblasti nákupu a servisu výpočetní techniky, včetně doprovodných sluţeb Vysoce odborná péče bez nutnosti platit drahá školení vlastním zaměstnancům Přesun rizik s provozem IT na další subjekt za pevně stanovených podmínek a sankcí Úspory kapitálu a dlouhodobé rozloţení investic v čase Maximální konsolidace stavu a fungování IT Velký tým odborníků IT bez nákladů Vysoká úroveň bezpečnosti Stálý přístup k novým technologiím Aplikace prověřených modelů [2] Činnosti vyvíjené externím správcem Správa hardwaru osobních počítačů, notebooků, tiskáren, aktivních i pasivních síťových prvků Správa systému nastavení uţivatelských práv, zálohování dat, databáze, zabezpečení sítě - evidence sdílených prostředků, nastavení ochranných protokolů a sledování pokusů o neoprávněné vniknutí Správa souborových a poštovních serverů na platformách Microsoft a Linux Administrace a dálková správa Kompletní servis hardwaru a správa softwaru Zajištění spotřebního materiálu tonerů, cartridgí, pásek, datových médií apod. Telefonická podpora hotline Zaškolení zaměstnanců a poradenská činnost
78
Závěr Firemní síť společnosti NJK Unicos s.r.o. se profiluje jiţ od jejího vzniku v roce 1990. Za dobu existence a aktivit firmy se mnohokrát změnily poţadavky a potřeby, podle kterých síť procházela postupnými
upgrady. Také s nově přicházejícími poznatky
o problematice sítí a s novými informacemi o bezpečnosti docházelo k významným strukturálním změnám a k zavádění nových technologií. Kaţdá společnost, která efektivně chce vyuţívat svůj informační systém musí zajistit, aby míra bezpečnosti a technologické vyspělosti systému byla vysoká. Důvodem je stoupající počet útoků na firemní sítě, krádeţí, či znehodnocování firemních dat, ale také míra uţivatelského pohodlí a rychlost dostupnosti informace. Protoţe hlavním cílem podnikatelského snaţení firmy je vývoj vlastního mzdového systému, nemohlo se pokračovat v dříve nastaveném schématu správy sítě. Veškeré povinnosti měli na starosti tři zaměstnanci z řad programátorů. Neustále se zvyšující počet uţivatelů sítě, hromadění několika generací síťových řešení, participace mnoha správců a odborníků, kteří se na výstavbě a správě sítě podíleli a přibývání poţadavků na bezpečnost si vynutily nutnost optimalizace započaté v roce 2005, která byla dle analýzy provedené v této práci dokončena. Konečnou fází se stala optimalizace způsobu administrace sítě, která se ukázala jako objektivní nutnost, z hlediska ekonomického i odborného. Na základě výběrového řízení byla zvolena společnost poskytující full-service outsourcing IT/IS, která má za úkol převzít odpovědnost spojenou s provozem a správou sítě. Moţnost outsourcingu se z pohledu účastníků projektu a vedení společnosti jevila jako ideální dle většiny hodnocených kritérií. Outsourcing IT/IS i jeho komplexní varianta, se stávají trendem v oboru. V České Republice je tento způsob méně rozšířený, neţ ve vyspělejších ekonomikách, ale progrese tohoto produkt je vysoká. Vyplývá to také z neustále se rozšiřujícího portfolia společností, které se tímto způsobem administrace sítě zabývají, ale také z jejich zvyšující se odborností. Výsledkem řešení obsaţených v této práci je optimalizace administrace firemní sítě společnosti NJK Unicos s.r.o., ale také její technologické a strukturální vyspělosti, která konečnému, výše zmíněnému, uţivateli přinese ekonomický, uţivatelský a bezpečnostní prospěch a zefektivní vyuţívání moţností, které informační technologie přinášejí.
79
Seznam pouţitých zdrojů [1] Apollo servis s.r.o – Bezpečnost. 2009. [online]. URL: < http://www.e-apollo.cz/ administrace_it.aspx > [citováno 2009-04-16]. [2] B2Bsystem s.r.o. - Outsourcing. 2008. [online]. URL:
[citováno 2009-02-28]. [3] ČERNOHLÁVEK Ivo, NOVOTNÝ Jiří - Komunikace a počítače (5). 1996. [online]. URL: < http://www.ics.muni.cz/zpravodaj/articles/74.html >[citováno 2009-02-28]. [4] EUROSPOJ, v.o.s. - Bluetone Angel. 2003. [online]. URL: < http://www.eurospoj.cz/index.php?ref=38113>[citováno 2008-05-01]. [5] HALLER Martin - Odposloucháváme data na přepínaném Ethernetu (3.). 2006. [online]. URL:
[citováno 2009-03-28]. [6] CHMIEL Pavel, Ing. Ph.D. - POČÍTAČOVÉ SÍTĚ. [online]. URL:
[citováno 2009-03-28]. [7] JANIGALABS - Infrastruktura - stručný popis univerzálního řešení. 2003. [online].[citováno 2009-02-13]. [8] KLAŠKA Luboš - Gigabit Ethernet Alliance. 1999. [online]. URL: [citováno 2008-12-01]. [9] KNAPOVSKÝ Miroslav - Problematika řízení přístupu k síti. 2009.[online]. URL: :[citováno 2008-03-17]. [10] KUCHAŘ Martin - Firewall - obrňte své počítače....2005. [online]. URL: [citováno 2009-06-29]. [11] LOJÍK Pavel - Počítačové sítě LAN. [online]. URL: [citováno 2009-03-02]. [12] LUHOVÝ Karel - VLAN (1) - historie a význam .2003. [online]. URL: [citováno 2009-0628]. [13] LUPA.CZ - Bezpečnost firewallů - zabezpečení firemních sítí. 2003. [online]. URL: :< http://www.lupa.cz/clanky/bezpecnost-firewallu-zabezpeceni-firemnich-siti/ >[citováno 2008-04-20].
80
[14] MICROSOFT.COM. [online]. URL: [citováno 2005-02-28]. [15] MICROSOFT.COM - Seznámení s řadou systémů Windows Server 2003. URL: < http://www.microsoft.com/cze/windowsserver2003/evaluation/overview/family.mspx>[cit ováno 2008-12-01]. [16] MIKULEC Martin - Bezpečnost v síti. 2009. [online]. URL: < http://www.owebu.cz/pc-site/vypis.php?clanek=2487 >[citováno 2008-04-25]. [17] SOUBELGICKA.CZ - Sítě.[online].< http://www.souobelgicka.cz/site/site1.htm >[citováno 2003-01-28]. [18] ŠAFRÁNEK David - Firewall - paketový filtr. [online]. URL: < http://www.ics.muni.cz/zpravodaj/articles/74.html >[citováno 2003-02-28]. [19] ŠMÍD Vladimír RNDr. JUDr. CSc. - Pojem informačního systému. [online]. URL: [citováno 2008-03-20]. [20] Oksystem s.r.o. - SUSE LINUX Professional 9.3 CZ - komplet. 2008. [online]. URL: [citováno 2009-01-04]. [21] PCCOMP.eu - Outsourcing IT. 2007. [online]. URL: [citováno 2009-03-08]. [22] PETERKA Jiří - Router. [online]. URL: [citováno 2009-06-13]. [23] VALENTA Jan - Outsourcing IT – dočasná móda nebo perspektivní budoucnost?. 2008. [online]. URL: [citováno 2009-02-17].
81
Přílohy Příloha č.1 – Schéma strukturované kabeláţe Příloha č.2 – Půdorys přízemí Příloha č.3 – Půdorys 1.patro Příloha č.4 – Půdorys 2.patro Příloha č.5 – Půdorys PC učebny Příloha č.6 – Rozmístění aktivních prvků Příloha č.7 – Zadávací dokumentace Příloha č.8 – Nabídka outsourcingu společnosti Apollo servis s.r.o. Příloha č.9 – Profil společnosti Apollo servis s.r.o.
82