Masarykova univerzita Fakulta informatiky
Komplexní návrh počítačové sítě pro městský úřad Bakalářská práce
Jiří Bařinka Brno 2012
Prohlášení Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování použil nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Jiří Bařinka
Vedoucí práce: doc.RNDr. Eva Hladká, Ph.D. I
Poděkování Tímto bych rád poděkoval vedoucí mé práce doc.RNDr Evě Hladké, Ph.D., za její ochotu, odborné vedení, správné připomínky a za všechen čas, který mi věnovala. Dále bych rád poděkoval Petrovi Skřivánkovi za všechny cenné rady z praxe a směrování správným směrem. V neposlední řadě bych rád poděkoval své přítelkyni a rodině za podporu a trpělivost. Nakonec bych rád poděkoval Jiřímu Olšarovi za vstřícnost a poskytnutí informací o stávající počítačové síti městského úřadu ve Valašských Kloboukách.
II
Shrnutí Tato bakalářská práce se zabývá komplexním návrhem počítačové sítě pro městský úřad. Práce nejdřív popisuje zvolení vhodných technologií pro danou síť a vysvětluje volbu zařízení a programů. Poté se věnuje samotnému návrhu, instalaci a zabezpečení sítě včetně cenové kalkulace.
III
Klíčová slova Počítačová síť, návrh, zabezpečení, síťový tisk, IP kamery, Voice over IP, vzdálená správa, videokonference, síťové úložiště
IV
Obsah Úvod ..................................................................................................................................................1 1
Počítačové sítě – teorie ..............................................................................................................2 1.1
Internet Protokol ....................................................................................................................2
1.2
IPv4 .......................................................................................................................................2
1.2.1
Třídy............................................................................................................................2
1.2.2
Beztřídní směrování a podsítě s proměnlivou délkou masky .........................................3
1.2.3
Překlad adres (NAT) ....................................................................................................3
1.2.4
Rezervované adresy .....................................................................................................3
1.3
2
IPv6 .......................................................................................................................................4
1.3.1
Adresace ......................................................................................................................4
1.3.2
Zkrácený zápis .............................................................................................................4
1.3.3
Kompatibilita IPv4/IPv6 ..............................................................................................5
1.3.4
Dosahy a zóny adres ....................................................................................................5
1.3.5
Objevování sousedů (NDP) ..........................................................................................5
Popis použitých technologií .......................................................................................................6 2.1
Směrovač ...............................................................................................................................6
2.2
Datové úložiště (NAS) ...........................................................................................................6
2.3
Tiskový server ........................................................................................................................7
2.4
Poštovní server .......................................................................................................................7
2.5
Voice over Internet Protokol (VoIP) .......................................................................................7
2.5.1
Systémy pobočkových ústředen (PBX).........................................................................8
2.5.2
Asterisk .......................................................................................................................8
2.6
DHCP ....................................................................................................................................8
2.6.1 2.7
Napájení přes Ethernet (PoE) ..................................................................................................9
2.7.1 2.8
Simple Network Managment Protocol (SNMP) ............................................................9
IP kamery...............................................................................................................................9
2.8.1 2.9
Komunikace mezi DHCP serverem a klientem .............................................................8
Výhody IP kamer .........................................................................................................9
Videokonference .................................................................................................................. 10
2.9.1
SIP a H.323 ............................................................................................................... 10
2.9.2
Skype ........................................................................................................................ 11
2.10
Open VPN ......................................................................................................................... 11
2.11
DMZ ................................................................................................................................. 12
2.12
Bezpečnost sítí .................................................................................................................. 12
V
2.12.1
Záloha ....................................................................................................................... 12
2.12.2
Firewall ..................................................................................................................... 12
2.12.3
Antivir a Antispyware ................................................................................................ 13
2.12.4
Autentizace heslem .................................................................................................... 13
2.12.5
IPsec, HTTPS a SSL/TLS .......................................................................................... 13
2.12.6
Šifrování .................................................................................................................... 13
2.12.7
Druhy útoků na síť ..................................................................................................... 14
3
Požadavky na síť ..................................................................................................................... 15
4
Návrh sítě ................................................................................................................................ 17
5
4.1
Rozvržení sítě....................................................................................................................... 17
4.2
Přiřazení IP adres ................................................................................................................. 18
4.3
Připojení úřadu k internetu ................................................................................................... 19
4.4
Konfigurace síťových zařízení .............................................................................................. 19
4.4.1
Směrovač ................................................................................................................... 19
4.4.2
Poštovní server .......................................................................................................... 19
4.4.3
IP telefony ................................................................................................................. 20
4.4.4
Síťové tiskárny .......................................................................................................... 21
4.4.5
Wifi přístupový bod (AP) ........................................................................................... 22
4.4.6
IP kamery .................................................................................................................. 22
4.4.7
Počítače (PC) ............................................................................................................. 22
4.4.8
Videokonference ........................................................................................................ 22
4.4.9
NAS server ................................................................................................................ 23
4.5
Zabezpečení ......................................................................................................................... 23
4.6
Zapojení a oživení ................................................................................................................ 24
4.7
Kontrola a správa sítě ........................................................................................................... 25
Navržená zařízení .................................................................................................................... 26 5.1
Směrovač ............................................................................................................................. 26
5.2
Přepínače ............................................................................................................................. 26
5.3
Poštovní server ..................................................................................................................... 26
5.4
VoIP ústředna....................................................................................................................... 27
5.5
IP telefony............................................................................................................................ 27
5.6
Síťové tiskárny ..................................................................................................................... 27
5.7
Přístupový bod (AP) ............................................................................................................. 27
5.8
IP kamery............................................................................................................................. 27
5.9
Vybavení konferenční místnosti ........................................................................................... 28
5.10
NAS server ........................................................................................................................ 28
VI
5.11 6
Záložní zdroj UPS ............................................................................................................. 28
Cenová kalkulace .................................................................................................................... 29
Závěr ............................................................................................................................................... 31 Literatura ........................................................................................................................................ 32 Příloha č. 1: Seznam povolených portů na firewallu ..................................................................... 34 Příloha č. 2: Seznam zkratek a jejich význam ............................................................................... 35
VII
Úvod Počítačové sítě jsou dnes nedílnou součástí každodenního života. Ve firmách, na úřadech, v nemocnicích či školách funguje komunikace převážně díky sítím, stejně tak sdílení a zálohování důležitých dat. I v domácnostech nám počítačové sítě slouží každý den, ať už přístupem na internet (což je sama o sobě celosvětová síť), nebo nám mohou ulehčit život například zálohováním dat (fotek, hudby, filmů, dokumentů) na síťovém úložišti a následném sdílením do osobních počítačů (dále PC), televizí nebo „chytrých“ mobilních telefonů. Aby počítačová síť dobře fungovala a byla bezpečná, je důležitý pečlivý návrh, správné zapojení a nastavení služeb. A právě konkrétním návrhem počítačové sítě pro městský úřad se tato práce zabývá. V sítí úřadu figurují různé síťové technologie, od komunikace (VoIP1, přenos videa), přes sdílení dat, vzdálený přistup k datům, bezdrátové sítě až po zabezpečení objektu (IP kamery). Pro městský úřad je důležité především zabezpečení dat. Na úřadě se denně vytvoří velké množství důležitých dokumentů, proto je potřebné mít síť zabezpečenou proti různým a nesčetným útokům. Data se ovšem mohou zničit i z důvodu selhání techniky, proto je nebytné všechna data řádně zálohovat. Z důvodu neustálého vývoje je potřeba síť stále modernizovat, to ovšem nejde do nekonečna. V určitém momentě je potřeba udělat její kompletní obměnu, zvlášť ve chvíli, kdy se vyčerpaly IPv4 adresy a proto je důležité, aby bylo možné v síti jednoduše nastavit adresy IPv6 a plynule a bez problému na tento protokol přejít. Cílem této práce je vypracování funkčního modelu počítačové sítě pro konkrétní městský úřad. První kapitola obsahuje teoretická východiska a popis základních pojmů se zaměřením na internet protokol a jeho 4. a 6. verzi. Kapitola druhá obsahuje teoretický popis technologií a funkcí sítě, které jsou nezbytné k bezproblémovému chodu sítě, a jež jsou v této práci dále podrobněji analyzovány. Jsou zde popsány například směrovače, servery, telefonie prostřednictvím sítě, ústředny, přenos videa pro konference, vzdálený přístup jak pro zaměstnance, tak pro vzdálenou správu a jedna z nejdůležitějších věcí pro městský úřad a tou je samotné zabezpečení sítě. V třetí kapitole jsou vypsány konkrétní požadavky na síť (jaká zařízení budou součástí sítě a jaké služby je potřeba na síti provozovat). Jsou zde popsány jednotlivé půdorysy pater a rozmístění jednotlivých zařízení na těchto patrech. Čtvrtá kapitola je nejobsáhlejší a nejdůležitější, protože je zaměřena na samotný návrh sítě. Nejdříve je představeno budoucí rozložení sítě a rozdělení IP adres. Následně je popsáno nastavení jednotlivých zařízení v síti, včetně veškerého zabezpečení. Závěrem této kapitoly je navržený postup oživení a zprovoznění sítě. V kapitole páté je popsán postup při výběru síťových zařízení, to jsou směrovač, přepínače, tiskárny servery, vybavení konferenční místnosti a záložní zdroj. Dále jsou zde předeslány důvody výběru a vlastnosti uvedených zařízení. Poslední kapitola předkládá cenovou kalkulaci. V této kapitole je popsán postup cenové kalkulace, odhad práce a na závěr je uvedena celková částka za veškerá zařízení a potřebný materiál. 1
Voice over Internet Protocol – je technologie umožňující přenos digitalizovaného hlasu prostřednictvím sítě
1
1 Počítačové sítě – teorie První kapitola je zasvěcena teoretickému popisu internet protokolu a jeho obou verzí IPv4 i IPv6, včetně jejich vlastností a funkcí.
1.1 Internet Protokol Internet Protokol (IP) je nejdůležitější protokol v síťové vrstvě, který se stará se o dopravu dat mezi koncovými body. V internet protokolu jsou stanice/uzly identifikovány pomocí IP adres. Je to stavový nespojovaný protokol, což znamená, že koncové body jsou známé, ale trasa mezi nimi není pevně stanovená. [1] Jsou navržené dvě verze, starší IPv4 s nedostatky (některé byli postupně doimplementovány) a novější IPv6, která dnes čím dál rychleji nahrazuje rozšířenou IPv4. Hlavním důvodem je to, že „čtyřkové“ adresy už prakticky došly. Dne 3.2.2011 světová organizace pro přidělování IP adres IANA oznámila rozdělení posledních bloků adres IPv4 [14] a dne 14.9.2012 oznámil regionální registrátor pro Evropu RIPE NCC, že Evropa je v pořadí druhý kontinent bez IPv4 adres a každý poskytovatel dostal od tohoto dne max. 1024 adres. [15] Internet protokol využívá několik druhů provozů:
Jednosměrový (unicast) – využívá IPv4 i IPv6, pakety mají jediného odesílatele a příjemce Vícesměrový (multicast) – také pro oba protokoly, data se zasílají skupinám příjemců, kteří o ně projevili zájem Všeměrový (broadcast) – pouze v protokolu verze 4, pakety jsou rozeslány všem stanicím v lokální síti. Výběrový (anycast) – pouze u protokolu IPv6, označuje skupinu příjemců, data se však doručí pouze tomu nejbližšímu.
1.2 IPv4 IPv4 byla první verze internetového protokolu a byla navržena v roce 1981 (RCF 791). Vyznačuje se čtveřicí čísel oddělených tečkami (ve formátu xxx.xxx.xxx.xxx), někdy označovaný jako desítkový zápis oddělený tečkami. IPv4 je navržený v rozsahu 32bitů, každé číslo se skládá z 8 bitů, což znamená rozsah 0-255. Maximálně můžeme tedy dostat 232 různých adres (přesně 4 294 967 296). Čím více sítí se připojovalo, tím bylo jasnější, že se musí s adresami začít šetřit, proto bylo postupně navrženo několik adresních schémat.
1.2.1 Třídy Jako první byly adresy rozděleny do tříd. Třídy se lišily pomocí prvních čtyř bitů a sítě se dělili po bytech jeden, dva nebo tři a zbytek do 32 bitů vždy určoval jednotlivé hosty. Tak bylo možné rozdávat rozsahy, pro sítě o velikosti 224 (16 777 216), 216 (65 536) a 28 (256) hostů. Tabulka tříd vypadala následovně:
2
Třída A B C D E
Začátek rozsahu 0.0.0.0 128.0.0.0 192.0.0.0 224.0.0.0 240.0.0.0
Bity na začátku 0 adresy 10 110 1110 1111
Výchozí maska 255.0.0.0 255.255.0.0 255.255.255.0 ---------
Tabulka č. 1 – třídy IP adres
Adresy tříd A – C sloužily pro hosty, třída D sloužila pro vícesměrové adresy a třída E byla vyhrazena jako rezerva.
1.2.2 Beztřídní směrování a podsítě s proměnlivou délkou masky S tím, jak se internet rozrůstal, se brzy ukázalo, že systém tříd s adresami příliš plýtvá a brzy by došlo k vyčerpání všech možností (například pro firmu kde bylo potřeba 260 počítačů, se musela použít třída B a těch bylo jen 16 384). Proto bylo nutné začít prostor dělit na menší úseky, což vedlo k navržení technologie beztřídního směrování mezi doménami (CIDR). Systém CIDR zcela překonal omezení Tříd sítí. V rámci CIDR dnes známe proměnlivou délku masky podsítě (VLSM). [1] CIDR nám umožňuje dělit adresní prostor IPv4 na různě velké bloky a nejen na /8 /16 a /24. Každý blok je definován adresou a rozsahem xxx.xxx.xxx.xxx/N, kde číslo N udává počet bitů, které určují adresu sítě (může tak nabývat hodnot 0-32). Čím větší je číslo N, tím méně adres blok obsahuje.
1.2.3 Překlad adres (NAT) Překlad adres, neboli NAT (Network Address Translation), se používá pro překlad privátních adres sítě na jedinou veřejnou adresu, nebo na opak (při správném nastavení můžeme přistupovat z internetu na určitý počítač nebo server). Tento překlad probíhá pomocí směrovacích tabulek. Můžeme tak připojit více počítačů v lokální síti na internet pomocí jedné veřejné adresy. Další výhodou je zvýšení bezpečnosti, protože potenciální útočník nezná pravou IP adresu počítače uvnitř sítě „schované“ za NATem. Překlad adres však může působit problémy různým aplikacím nebo protokolům. Příkladem takových protokolů jsou VoIP nebo BitTorrent.
1.2.4 Rezervované adresy Existují adresy, které není možné v internetu použít. Jsou to rozsahy adres, které jsou rezervovány (organizací IANA) pro použití v privátních sítích, nebo mají svůj význam ve vícesměrové komunikaci (multicast). Těchto rozsahů je poměrně dost, proto uvedu jen ty nejznámější, jsou to: 0.0.0.0/8 – Místní síť 127.0.0.0/8 – Zpětná smyčka (loopback) 10.0.0.0/8 – Privátní 172.16.0.0/12 – Privátní 192.168.0.0/16 – Privátní 224.0.0.0/4 – Vícesměrové vysílání 240.0.0.0/4 – Třída E 255.255.255.255 – Všesměrové vysílání [7] 3
1.3 IPv6 IPv6 je druhou verzí internetového protokolu a byla navržena v roce 1998 (RFC 2460). Lze ji považovat za nástupce protokolu IPv4, který má vyřešit hlavní problém, nedostatečný počet IPv4 adres. Mimo zvětšení adresního prostoru, IPv6 zlepšuje například směrování, zabezpečení, nebo také zmenšuje směrovací tabulky a napravuje soustu ostatních problémů IPv4.
1.3.1 Adresace Prostor IPv6 se skládá ze 128bitů, to představuje neuvěřitelné množství adres. Adresa je tvaru osmi skupin hexadecimálních číslic (př. 2001:0db8:85a3:08d3:1319:8a2e:0370:7334), ve dvojkové soustavě je to potom osm skupin po šestnácti. Dále se adresa dělí na poloviny (každá po 64bitech), s tím že první část určuje síť a druhá část přímo hostitele. Hostitelská část se přiděluje sekvenčně, nebo se odvozuje z MAC adresy2 síťového rozhraní. Část určující síť se pak ještě dělí na globální prefix (0-64bitů), nevyužitý zbytek do 64 je identifikátor podsítě. Pro příklad adresa s prefixem /48: 2001:0db8:3c4d:0015::abcd:ef14 Kde 2001:0db8:3c4d - je globální prefix | 0015- adresa podsítě a zbytek je samotná adresa hostitele. [1] Blok adres pro velkou organizaci je s prefixem /48, což představuje 80bitů adresního prostoru a 216 možných podsítí. To je 65 536 různých podsítí, z toho má každá o 264 adres. I pro nejmenší adresní prostor tj. prefix /64 nám stále zůstává přes 3 miliardy (2 64) adres na každého člověka na Zemi.
1.3.2 Zkrácený zápis Protože IPv6 adresy už nejsou jen 4 trojce, ale je to 8 čtveřic a může se v těchto adresách vyskytovat hodně nul, bylo by nepohodlné je stále vypisovat (například adresa zpětné smyčky 0000.0000.0000.0000.0000.0000.0000.0001). Proto máme u IPv6 adres možnost zkráceného zápisu, ten ovšem musí mít určitá pravidla, aby bylo možné, zkrácenou adresu znovu jednoznačně rozšířit.
Lze vynechat úvodní nuly – 00ff můžeme zapsat jako ff, nebo 0000 jako 0
Po sobě jdoucí skupiny nul můžeme vypustit - vždy pouze jednu takovou skupinu, kvůli jednoznačnosti. Například adresu zpětné smyčky lze zapsat jako ::1. [8]
Například adresu 1234:0051:fafa:abc0:0000:0000:00000:0f15 lze po zkrácení zapsat jako 1234:51:fafa:abc0::f15 nebo jako 1234 :51:fafa:abc0:0:0:0:f15
2
MAC adresa – Media Acces Control – je jedinečné číslo (adresa), síťového zařízení
4
1.3.3 Kompatibilita IPv4/IPv6 I když na jednom počítači lze provozovat zároveň oba protokoly (IPv6,4) není adresní prostor IPv6 s IPv4 zpětně kompatibilní. Vzhledem k tomu, že stále převažuje IPv4, je potřeba, aby verze 6 uměla adresy IPv4 zakódovat. To se provede tak, že se poslední dva bloky IPv6 adresy nahradí adresou v4 (např. 0000:0000:0000:0000:0000:0000:192.168.10.250). To je možné protože IP adresa v4 se skládá z 32bitů což odpovídá dvěma blokům adresy IPv6.
1.3.4 Dosahy a zóny adres Dosah adresy IPv6 vymezuje oblast sítě, v níž je příslušná adresa jednoznačná a tato oblast bývá označována jako zóna. IPv6 adresa se pak skládá z dvojice adresa%zóna (např. ffff::acff%8). [9] Tato oblast může definovat místní linku, nějakou lokalitu nebo celosvětovou síť. Když se podíváme na nastavení nějakého systému v IPv6 zjistíme, že na jednom síťovém rozhraní má přiřazenou jak místní, tak globální adresu. Každé rozhraní musí mít alespoň jednu IP adresu v6. Dosahy IPv6 adres rozdělujeme do 3 skupin:
Místní linkové adresy (link-local) – to jsou privátní adresy vztahující se pouze k jedné síti
Unikátní lokální adresy (ULA) – tyto adresy jsou také určené pro privátní sítě, ale existuje záruka, že jsou unikátní
Globální jednosměrové adresy – jedná se o veřejné síťové adresy pro globální směrování mezi sítěmi
Oslovení všech stanic v síti (broadcast u IPv4) probíhá v IPv6 právě pomocí zón a vícesměrového vysílání (multicasting). Existuje tedy skupina odpovídající všem zařízením v místní linkové síti. To nám IPv6 síti dovoluje nahradit všesměrové vysílání vícesměrovým.
1.3.5 Objevování sousedů (NDP) Neighbor Discovery Protocol (NDP) je protokol, jenž slučuje některé důležité funkce, které v IPv4 probíhají za pomocí různých protokolů, dále však přináší i nové funkce. Protokol NDP například obsahuje funkce objevování směrovačů a přesměrování, ty jsou v IPv4 obsaženy v protokolu ICMP. Plně novou funkcí je rezoluce, kterou ARP 3 ve verzi 4 postrádá, mezi další důležité funkce NDP patří i automatická konfigurace a zjištění dalšího prvku na trase. Důležitá je také otázka zabezpečení. Protože protokol NDP pracuje na síťové vrstvě, tak je možné ho zabalit do IPsec spojení.
3
ARP – Address Resolution Protocol se používá pro získání MAC adresy sousedního stroje z jeho IP
adresy
5
2 Popis použitých technologií V této části jsou popsána všechna důležitá zařízení a použité technologie, včetně možností zabezpečení, které jsou použity v návrhu této sítě.
2.1 Směrovač Směrovač je zařízení, které propojuje dvě a více různých sítí a pracuje na třetí (síťové) vrstvě ISO/OSI modelu. Směrovač se primárně stará o přeposlání paketu správným směrem k jeho cíli, k tomu využívá směrovací tabulky a směrovací protokoly, dále rozděluje kolizní domény, filtruje a blokuje všesměrové vysílání [1]. Směrovače můžeme rozdělit na dva druhy:
Hardwarové směrovače – jsou zařízení, ve kterých běží speciální software od jejich výrobce a mají na starosti přeposílání paketů jak jsem popsal výše.
Softwarové směrovače – softwarová alternativa hardwarových směrovačů. Jde prakticky o klasické počítače, na kterých běží nějaký operační systém (např. Unix, Linux nebo Windows) a některý z řady směrovacích programů (například PF sense). V závislosti na velikosti sítě nám může stačit i starší stroj, což nám v kombinaci s Linuxovým operačním systémem a routovacím softwarem, který je zdarma nabízí poměrně levné řešení. [10]
V menších sítích (např. domácnost nebo menší kancelář) jsou dnes jako směrovače použita zařízení kombinující v sobě směrovač, přepínač nebo i bezdrátový přístupový bod a jsou použita jako výchozí brána k internetu. Ve větších sítích jsou užívány vysoce účelové počítače se speciálním hardwarem (například CISCO směrovače). Mimo samotné přeposílání paketů směrovače dnes umožňují nastavovat spoustu užitečných služeb na síti, například automatické přidělování adres (DHCP) a jejich rozsah, určovaní priority přenosů (QoS), možnosti připojení, nastavení firewallu a mnoho dalšího.
2.2 Datové úložiště (NAS) Síťových úložišť existuje více typů (například DAS 4 , SAN 5 ). V této práci je využíváno pouze NAS (Network Attached Storage – neboli „k síti připojené úložiště“), proto je tento typ dále podrobněji popisován. NAS server je malý počítač obsahující operační systém postavený na Linuxu nebo FreeBSD a pozice pro pevné disky, které mohou být sloučeny do větších datových struktur nebo mohou vytvářet RAID pole. Administrace je většinou jednoduchá přes webové rozhraní. Pro přístup k souborům je použita trojce protokolů. Pro Windows je to SMB/CIFS (neboli Samba). V Linuxu je to protokol NFS (Network File System) a pro Apple je zde AFP (Apple Filling Protocol) [2]. K datům se dá přistupovat i vzdáleně, a to pomocí FTP protokolu, nebo přes HTTP.
4 5
Direct Attached Storage - přímo připojené úložiště k serveru nebo pracovní stanici Storage Area Network - datová síť sloužící k připojení externích zařízení k serverům (např. disková pole)
6
Ukládání dat ale není jediné, co NAS servery umí. Podporují řadu dalších služeb, jako správu uživatelů, kde se dají vytvářet uživatelé a skupiny, kterým následně přidělíme práva čtení nebo zápisu, dále šifrování dat, nebo zálohování nastavených dat na připojené USB zařízení, případně zdvojení obsahu na jiný NAS. Mezi další funkce patří možnost provozu webového serveru, nebo například připojení tiskárny přes USB a spuštění tiskového serveru, případně připojit IP kameru. Datové úložiště je samozřejmě potřeba také správně zabezpečit a řádně zálohovat. Jelikož je NAS síťové úložiště, je potřeba zajistit aby k datům měli přístup pouze pověřené osoby. K tomu nám pomůže autentizace s následnou autorizací a případně šifrování dat. Záloha je potřeba proti nechtěnému smazání dat, nebo proti poruše pevného disku (k tomu využijeme RAID). Zálohovat bychom měli nejlépe mimo budovu (např. kvůli požáru budovy).
2.3 Tiskový server Obecně je tiskový server zařízení propojující tiskárnu s klientem přes počítačovou síť. [3] Má na starosti příjem tiskových úloh a případné řazení těchto úloh do front. Především nám slouží k tomu, abychom nemuseli mít tiskárnu u každého počítače, případně jsme zbytečně nepřetěžovali souborový server. Tyto služby vykonává buď přímo tomu určený server, nebo například NAS server jak jsem psal v předchozí podkapitole. Dnes bývají tiskové servery součástí multifunkčních síťových tiskáren, které umí tisknout, skenovat, kopírovat, navíc i faxovat nebo třeba naskenovaný dokument přímo odeslat e-mailem.
2.4 Poštovní server Agent MTA (Mail Transfer Agent), neboli poštovní server, je aplikace která zajišťuje přenos elektronické pošty. MTA využívá pro příjem zpráv Mail Submission Agenta nebo přímo e-mailového klienta a do uživatelovy schránky e-mail doručí Mail Delivery Agent. [4] Přenos elektronické pošty ovšem není jedinou vlastností poštovních serverů. Starají se také o úložiště zpráv a dat připojených ke zprávám. Další klíčovou funkcí je správa uživatelských účtů a údržba poštovních schránek. Funkcemi, které může mít na starosti část aplikace určená pro přenos zpráv, jsou například filtrování pošty, správa identit, zabezpečení a mnoho dalších. Mezi známější poštovní servery patří Microsoft Exchange Server (pro Windows), Sendmail a Exim (pro Linux a Unix).
2.5 Voice over Internet Protokol (VoIP) Internetová telefonie umožňuje přenos hlasu pomocí sítě v paketech protokolů UDP a TCP/IP, k tomu využívá svou sadu protokolů. K relačním protokolům patří například protokol pro inicializaci relací (SIP), Cisco protokol Skinny Client Control Protocol (SCCP) nebo Inter-Asterisk eXchange Protocol (IAX). Pakety jsou přenášeny pomocí Real-Time Transport Protocol (RTP). IP telefonie může být implementována jako softwarový telefon, pomocí IP telefonu, nebo analogovým telefonem využívající adaptér ATA. Internetová telefonie má mnoho výhod, tou největší je úspora nákladů na telefonii. Díky přenosu po sítí se šetří i na kabeláži, protože u IP telefonů nám stačí jeden kabel k přenosu dat a případně i k napájení. V případě telefonů s dvěma konektory, pak stačí pouze propojka do PC. V rámci firmy kde je IP telefonie zavedena jsou hovory mezi lokálními telefony zdarma. Další výhodou je využití pobočkové ústředny, protože pokud nastane výpadek internetového připojení, stále můžeme telefonovat v rámci firmy. Mezi ostatní výhody patří snadné
7
nastavení služeb jako přesměrování hovorů nebo zabezpečení např. při použití protokolu SRTP6 a mnoho dalších. Internetová telefonie má i své nevýhody, ale ty se většinou dají minimalizovat, jako například požadavek na kvalitu bezztrátového přenosu, což se dá odstranit nastavením kvality služeb (QoS).
2.5.1 Systémy pobočkových ústředen (PBX) IP telefony jsou pasivní zařízení, které ke každé akci vyžadují interakci ústředny (při zvednutí sluchátka se telefon zeptá ústředny, jaký tón má použít, obdobně při stisku některého z tlačítek apd.). PBX je telefonní sítí, která propojí veřejnou telefonní síť s VoIP a poskytne tak jednu nebo více telefonních linek pro příchozí a odchozí hovory. Mezi největší PBX patří Unifield Communication Manager společnosti Cisco, Response Point od Microsoftu a jako Open Source 7 server Asterisk. [1] Dále bude přiblížen jen Asterisk, protože bude použit v předeslaném návrhu.
2.5.2 Asterisk Asterisk je Open Source software vyvinutý společností Digium. Je to jedna z nejoblíbenějších serverových aplikací, technologie VoIP. Pro provoz tohoto serveru stačí i slabší počítač a také běží na všech třech platformách, Unix (např. FreeBSD), Mac OS X i na MS Windows. Pro správu je k dispozici mnoho grafických uživatelských rozhraní, např.FreePBX, nebo rozhraní přímo od společnosti Digium asterisk-gui 2.0.
2.6 DHCP Dynamic Host Configuration Protokol je název protokolu, který automaticky přiděluje IP adresy a nastavuje ostatní parametry (maska sítě, výchozí brána a DNS server) žádajícím klientům. DHCP protokol ve větších sítích, nebo tam kde se často připojují jiná zařízení, případně jen mění svoji pozici v síti, značně ulehčuje a urychluje nastavení sítě. Pro chod DHCP protokolu je potřeba DHCP server a klient. Samotná komunikace mezi serverem a klientem probíhá na UDP protokolu na portech 68(klient) a 67(server). DHCP server může přidělovat adresy dvěma způsoby: Dynamicky, kdy správce nastaví daný rozsah adres pro přidělování neregistrovaným stanicím (registrace dříve pronajatých adres umožňuje serveru při příštím připojení poskytnout stejnou adresu jako minule). Nebo staticky, kde server obsahuje seznam MAC adres a k nim přidělené IP adresy, aby při připojení zařízení ze seznamu mohl server poskytnout přednastavenou adresu.
2.6.1 Komunikace mezi DHCP serverem a klientem Po připojení zařízení do sítě klient vyšle pomocí všesměrového vysílání (bradcastu) DHCPDISCOVER paket. Na ten odpoví naslouchající DHCP server paketem DHCOFFER s nabídkou volných IP adres. Klient si vybere jednu IP adresu a požádá o ni paketem DHCPREQUEST. Server mu ji potvrdí odpovědí DHCPACK. Jakmile klient obdrží tuto odpověď, může začít IP adresu a zbylá nastavení používat. Tuto IP adresu ale server půjčuje (záleží na nastavení) na určitou dobu zapůjčení (tzv. lease time). Tato doba je částí paketu DHCPACK, před jejím uplynutím musí klient svoji IP adresu obnovit. Pokud to neudělá, nebo nedostane nové potvrzení, musí IP adresu přestat používat a server ji může přidělit někomu jinému. [5] 6 7
Secure Real-time Ttransport Protocol Open source - je počítačový program s volně dostupným zdrojovým kódem a legální dostupností
8
Pro případy více oddělených sítí směrovačem, kde se nachází jen jeden DHCP server, existuje tzv. DHCP relay agent. Ten se v takových sítí zapíná a nastavuje se na něm, aby všesměrové dotazy DHCP ze sítí bez DHCP serveru byli přeposlány DHCP serveru. Agent k dotazu přidá číslo a masku sítě kde dotaz zaslechl, aby server mohl přiřadit adresu ze správného adresního rozsahu. [6]
2.7 Napájení přes Ethernet (PoE) Power of Ethernet je technologie, která umožňuje napájet určitá zařízení pomocí síťového kabelu. Takto můžeme napájet například IP telefony nebo IP kamery. To nám značně usnadňuje instalaci nových zařízení do sítě. Za prvé je to levnější díky ušetřené kabeláži a za druhé rychlejší, protože není potřeba řešit přídavné napájení. PoE se stalo od roku 2005 standardem IEEE (802.3af). Samotné napájení probíhá pomocí dvou párů síťového kabelu. Existují dvě řešení zapojení, buď pomocí volných dvou párů, nebo pomocí signálních párů ale nikdy přes oba páry zároveň. Proto se na přepínači (podporujícím PoE) pevně nastaví jedna z metod nebo si přepínač jednu z nich zvolí sám. Takto je možné jednotlivým zařízením dodat až 13W s napětím 48V. [1]
2.7.1 Simple Network Managment Protocol (SNMP) SNMP je protokol, pomocí něhož mohou být řízena zařízení připojená pomocí PoE. Umožňuje zařízení vzdáleně vypínat nebo restartovat. Každé přijímací zařízení PoE v sobě obsahuje rezistor 25KΩ. Ten se snaží zdroj detekovat tím, že po síťovém kabelu posílá malé napětí. Pokud ho najde, pak posílá po kabelech společně ze signálem 48V. Proud tekoucí k napájenému zařízení je ze začátku omezen, ale po skončení úvodní fáze dojde na maximum. Součástí úvodní fáze může být i vyjednávání o množství proudu, které napájené zařízení potřebuje.
2.8 IP kamery IP kamera je zařízení, které je v podstatě kombinací kamery a počítače. Protože na rozdíl od webových kamer nebo analogových je to samostatný prvek v síti, který bez počítače nebo nahrávacího zařízení zvládne zachytávat a přenášet obraz do sítě. IP kamery v sobě obsahují například webový server, FTP server, programovatelnost a mnoho dalšího, takže se jen nastaví, připojí do sítě a jsou připravené vysílat obraz. Ten následně můžeme nahrávat na PC, na místní server (např. NAS), případně na nějaký vzdálený server, nebo prostě jen vysílat „ven“ a kontrolovat například z mobilu.
2.8.1 Výhody IP kamer
Ostrý obraz – Na rozdíl od analogových kamer (prokládané video) používají IP kamery systém progresivního skenování, který zachycuje jednotlivé obrazy najednou, proto při přehrání videa nedochází k rozmazání, ale obraz je i při rychlých pohybech opravdu ostrý.
PoE – napájení ethernetovým kabelem má výhodu nejen v ušetření kabeláže a větší volnosti v umístění kamery, ale především v tom že pokud máme v síti záložní zdroj (UPS), tak při výpadku elektřiny kamera stále nahrává.
9
Integrované PTZ8 vstupy a výstupy – pro ovládání pohybu kamery nebo přiblížení (PTZ) není nutné vést speciální kabel, jak tomu bylo u analogových kamer. IP kamery umožňují ovládání PTZ po jednom kabelu přenášejícím zároveň data.
Podpora zvuku – IP kamera umí zachytit zvuk přímo synchronizovat s obrazem a následně přeposlat sítí jedním kabelem. Zvuk zvládne kamera přenášet obousměrně. To znamená, že je možné například komunikovat se sledovaným centrem pomocí připojeného reproduktoru. Nebo je možné vyvolat poplach po překročení nastavené hladiny zvuku.
Inteligence – Síťové kamery mají řadu senzorů na to, aby byli schopné upozornit na stav kdy je narušen provoz kamery. Například otočení kamery, blokování výhledu nebo rozostření obrazu a další.
Zabezpečení přenosu videa – U analogových kamer se přenáší videosignál pomocí koaxiálního kabelu a není nijak zabezpečen. Proto je možné se na něj lehce napojit nebo obraz pozměnit. U IP kamer je přenos signálu šifrován proti jeho získání či změně. Případně je možné nastavit autentizaci pro určité kamery.
2.9 Videokonference Pomocí videokonference je možné při hovoru sledovat i synchronizovaný přenos videa. První videotelefon byl představen firmou AT&T na světové výstavě Expo 67. Na trh se dostal roku 1971, ale dobře se neprodával, tak o tři roky později byl prodej ukončen. [1] Dnes jsou díky internetu, počítačům a „chytrým“ telefonům videokonference více rozšířené. Existují programy a protokoly pomocí kterých si můžeme volat a vidět se zdarma přes internet. Videokonference lze rozdělit do dvou skupin podle toho, jestli probíhají pomocí určité infrastruktury (např. SIP, H.323) nebo pouze pomocí komunikačních aplikací (např. Skype, Gtalk)
2.9.1 SIP a H.323 Řešení videokonferencí pomocí těchto dvou protokolů, může být provedeno dvěma způsoby. Buďto pomocí softwarového klienta (Polycom PVX, MS NetMeeting aj.) a přídavného zařízení (PC, web kamera, headset) využívaného spíše v případě osobních videokonferencí. Nebo pomocí kompaktního zařízení (kamera většinou PTZ kombinovaná s obrazovkou nebo zařízením pro připojení monitoru/projektoru a zvukového aparátu, např. zn. Polycom, Tandberg aj.), toto řešení se využívá v konferenčních nebo zasedacích místnostech pro větší skupiny lidí. [10] U těchto videokonferencí, je základní prvek vždy klient (program nebo hardware). Ale v případě větších firem, kde máme více konferenčních bodů nebo je vyžadována komunikace například s telefonní síti, je potřeba vybudovat náležitou infrastrukturu. V té se právě tyto dva druhy liší. SIP využívá své klienty a servery. Infrastruktura H.323 obsahuje Terminály, Správce (Gatekeepers), Brány (Gateways) a MCU (Muli Control Units). [10] Možnou nevýhodou tohoto řešení videokonference je vysoká cena potřebných zařízení. Proto se využívá ve velkých firmách nebo například v telemedicíně. 8
Pan Tilt Zoom – Otáčení, naklánění a přiblížení
10
2.9.2 Skype Skype patří naopak mezi nejpoužívanější aplikace pro videohovory v domácnostech nebo menších firmách. Je to VoIP aplikace pro kterou je potřeba nainstalovat si klienta do PC nebo mobilu a mít internet. Skype má více funkcí kromě hovorů/videohovorů umí rychlé zasílání zpráv a také přenos souborů. Mimo to se dá ze skypu volat i na mobilní telefony nebo pevné linky. Skype funguje na všech možných platformách MS windows, Mac OS, Linux i na mobilních (Android, Windows Phone a Apple iOS) a pomalu se Skype dostává i do nových televizí s podporou internetu. Skype funguje ve verzi zdarma a v rozšířené placené verzi (od doby co program odkoupil Microsoft), pro hovory a zprávy do mobilní sítě nebo pevných linek je potřeba koupit si kredit nebo zaplatit měsíční paušál. Zdarma jsou hovory/videohovory z programu na program (na platformě nezáleží), stejně tak posílání správ nebo přenosy souboru a konferenční hovory. V placené verzi jsou dostupné funkce navíc. Mezi tyto funkce patří skupinové videokonference, skupinové sdílení obrazovky, zákaznická podpora formou živého chatu 9 a neomezené volání do vybrané země na pevné linky. Skype je navržen tak, aby neměl problém s překonáním NATů a různých firewallů na principu klient – server. To je dobré pro uživatele, kteří tak nemusí nic složitě nastavovat a mohou se tak jednoduše spojit s ostatními. Z pohledu bezpečnosti už to tak dobré být nemusí. Problémy to může dělat správcům sítě, kteří by mohli chtít Skype zakázat, nebo se nabízí „snadná“ cesta do privátní sítě pro útočníky. Je totiž možné šířit viry v podobě souboru příchozího od přátel v kontaktlistu. Proto je potřeba řádně obeznámit uživatele, aby si dávali pozor na to jaké soubory pomocí skypu příjmají. Samotná komunikace je celkem zabezpečená, pro hlasovou i textovou komunikaci je použitá šifra AES s 256-bity a pro přihlašování se používá šifra RSA s 1536 nebo 2048-bitovým certifikátem (Obě šifry jsou popsány níže). [13] Toto ovšem zabezpečují servery Skypu, proto záleží na nás jak moc Skypu důvěřujeme. Pokud totiž majitelé Skypu (Microsoft) budou chtít, mohou libovolné hovory odposlouchávat.
2.10 Open VPN OpenVPN patří k programům z řady open source10. Je to jeden z nejznámějších programových řešení virtuálních privátních sítí (VPN), který je hojně využívaný pro správu vzdáleného PC a pro vzdálenou plochu. V návrhu bude využit právě pro vzdálenou správu, aby správce mohl vyřešit některé problémy, aniž by musel být přítomen přímo u PC v síti. OpenVPN pracuje na modelu server/klient založeného na protokolech SSL/TSL. OpenVPN se dá použít v operačních systémech Windows, Linux, Mac OS i na mobilních platformách Android a iOS. Dokáže pracovat v režimech 1:1 (tunel) nebo N:1 ( klient/server). OpenVPN má svůj port oficiálně přidělený organizací IANA 1194 v novějších verzích programu je tento port nastaven jako implicitní. Autentizaci lze provádět pomocí více metod, například pomocí certifikátu nebo sdíleného klíče, případně jen pomocí jména a hesla. Jednou z velkých výhod programu je i to, že mu nedělají problémy firewally ani sítě s překladem síťových adres (NAT).
9 10
Chat – je krátká, rychlá komunikace prostřednictvím komunikační sítě Open source – je program s otevřeným zdrojovým kódem (tzn. legálně dostupným)
11
2.11 DMZ Demilitarizovaná Zóna (DMZ) je část sítě, do které se umísťují služby a zařízení které mají být přístupné z internetu. Tyto služby jsou samozřejmě dostupné i z v nitřní sítě, nicméně DMZ dokáže poskytnout takové nastavení, že má každá strana (internet/LAN) jiné pravomoci. Obecně do DMZ umisťujeme služby, které potřebujeme mít přístupné z vnější sítě (internetu), například jen pro prohlížení, ale aby šlo zároveň z vnitřní sítě měnit obsah těchto služeb. Nejčastěji jde o služby webové, emailové nebo FTP servery a další. DMZ je oddělená firewallem, proto je důležité jeho správné nastavení. Například pro provoz FTP serveru v DMZ je potřeba na firewallu komunikujícím s DMZ mít povolené porty 21 a 20. Městský úřad má například webové stránky, na kterých potřebuje vystavovat informace pro veřejnost, a proto je dobré server s nimi umístit do DMZ, aby byly odděleny od zbytku sítě. V mém návrhu v DMZ bude konkrétně umístěn plánovací kalendář, ke kterému budou mít radní přístup i z internetu.
2.12 Bezpečnost sítí Zabezpečení sítě je dnes velice důležité. Obzvlášť v případě městského úřadu, který v síti přenáší a uchovává důležitá a citlivá data. Na sítě připojené k internetu denně probíhá velké množství útoků. Ovšem útoky z internetu nejsou jedinou možností, jak poškodit síť nebo zcizit data. Útoky mohou přicházet i zevnitř sítě. Síťovou bezpečnost nelze zaručit pouze jedním prvkem v síti, je to soubor různých zařízení a nastavení, pracujících na různých síťových vrstvách. Pro správné zabezpečení sítě je dobré dodržovat určité bezpečnostní postupy. V následujících částech popíši jednotlivé možnosti ochrany sítě a nakonec i možné druhy útoků na síť.
2.12.1 Záloha V první řadě je potřeba zálohovat všechny části systému. A to nejen pro případy vydařených útoků na síť, ale například i lidskou chybou lze přijít o důležitá data nebo rozsáhlé nastavení systému. Záloha by měla probíhat systematicky, optimálně na více místech a nejlépe, aby se jedno ze zálohovaných míst nacházelo mimo budovu, v níž se síť realizuje. Existuje několik typů záloh (úplná záloha, přírůstková a rozdílová). Úplná záloha, zálohuje pokaždé nezávisle celý určený sektor, nevýhodou je větší spotřeba místa. Přírůstková provede poprvé úplnou zálohu a poté zálohuje už jen nově vytvořené soubory a složky, výhodou je, že šetří místo a v porovnání s rozdílovou zálohou není potřeba celý řetězec záloh pro případnou obnovu. U rozdílové zálohy se opět na začátku vytvoří úplná záloha, ale poté se zálohují už jen pozměněné soubory. Stejně jako přírůstková je méně náročná na místo než úplná záloha.
2.12.2 Firewall Firewall (tzv. „ohnivá zeď“) je zařízení nebo software, které kontroluje, řídí a zabezpečuje provoz mezi dvěma různými sítěmi. Například pokud se bude chtít někdo zvenčí (internetu) dostat na FTP server za firewallem a bude znát heslo a jméno, tak se tam dostane, ale už by se neměl dostat například na počítač uvnitř sítě s tímto serverem. Firewally by se daly rozdělit do čtyř stupňů: Paketové filtry, Aplikační brány, Stavové paketové filtry a analyzátory paketů. S tím, že firewall může obsahovat jen některé z těchto stupňů, nebo třeba všechny dohromady.
12
2.12.3 Antivir a Antispyware Kromě prvků sítě je taky potřeba zabezpečit i samotné počítače v síti. Do sítě se může útočník dostat například nasazením trojského koně, nebo viru na počítač v sítí, a to například stažením z internetu, nebo jako příloha elektronické pošty, případně na přenosném nosiči dat. Virem může útočník zničit data v počítači, spywarem zase sledovat dění v počítači a trojský kůň může útočníkovi poskytnout přístup přímo do počítače. Abychom předešli těmto druhům útoku, je potřeba mít na počítačích v síti nainstalovaný pravidelně aktualizovaný antivir a antispyware. Ten můžeme mít každý zvlášť, nebo dohromady, v rámci nějakého balíku, který obsahuje například i firewall. Takovým programem může být například Eset endpoint security.
2.12.4 Autentizace heslem Aby nebylo možné nabourat se do systému nebo do určité služby, je nutné mít bezpečné heslo. Takové heslo by mělo být minimálně osm znaků dlouhé a mělo by obsahovat malá a velká písmena, k tomu čísla a nějaký ze speciálních znaků. Nemělo by to být vaše jméno datum narození apd. Nakonec je dobré heslo pravidelně nebo jednou za čas měnit.
2.12.5 IPsec, HTTPS a SSL/TLS Tyto tři protokoly byly navrženy pro bezpečnou komunikaci na internetu. Protože na internetu může mít k posílaným datům přístup kdokoliv a může je tak uchovávat, číst nebo dokonce měnit.
IPsec (IP security) je protokol, který poskytuje šifrování dat a ověření toho, že data nebyla po cestě změněna. IPsec můžeme provozovat ve dvou režimech. První je režim tunelu, u něj se celý paket zašifruje a přidá se k němu nové záhlaví protokolu IP. Druhý režim je transportní, u něj se naopak zašifrují pouze přenášená data. Nevýhodou u transportního režimu může být to, že po cestě musí všechna zařízení protokol IPsec podporovat. [1]
SSL/TLS jsou dva protokoly využívající šifrování na základě asymetrické šifry. To znamená, že existuje veřejný a soukromí klíč. Pomocí veřejného klíče kdokoliv zašifruje data, ale rozšifrovat je může pouze majitel soukromého klíče. SSL je protokol, který si vybraly společnosti provozující kreditní karty, jako první standart pro elektronické platby. TLS je potom jeho nástupce a rozšiřuje jeho možnosti.
HTTPS je kombinací dvou protokolů a to http a zabezpečeného SSL nebo TLS. Standardním portem pro HTTPS je 443, i když se dá změnit. Tento protokol umožňuje zabezpečit připojení mezi serverem a prohlížečem, navíc brání odposlouchávání.
2.12.6 Šifrování Šifrování je proces, při kterém dochází ke změně šifrovaných dat, tak aby nedávaly smysl a nemohly být přečteny, případně změněny. Pro přečtení dat naopak potřebujeme zpět data dešifrovat. Pro šifrování máme několik druhů šifer. Šifrování může být založeno na tzv. symetrické nebo asymetrické šifře.
13
Symetrická šifra je založena na jednom sdíleném klíči, pomocí kterého data zašifrujeme i dešifrujeme což je nevýhodou, protože držitel klíče je schopný data jak zašifrovat, tak i dešifrovat a přečíst. Proto je důležité, aby si strany klíč bezpečně předali. Bezpečnost samotné šifry záleží na délce a dostatečné náhodnosti. Výhodou naopak je rychlost a možnost šifrování velkých dat. [12]
Asymetrická šifra používá dva klíče veřejný a soukromí. Veřejný se používá pro zašifrování dat a soukromí naopak pro dešifrování. Výhodou je, že není potřeba mezi sebou sdílet žádné tajemství, protože příjemce jen vystaví veřejný klíč a soukromí si udržuje. Nevýhodou je, že je asymetrická šifra pomalá, proto není vhodná pro šifrování velkých dat.
Mezi první šifru patří DES, což je šifrovací algoritmus využívající symetrické klíče o délce 56 bitů. Tento algoritmus už je překonaný a nepovažuje se za bezpečný. Existují ale jeho další varianty například 3DES. Další příklad Diffie-Hellmanův algoritmus. A příklad asi nejznámějších šifrovacích algoritmů je AES a RSA (pojmenovaný podle autorů Rivest, Shamir a Adleman). RSA je asymetrický algoritmus. AES původně známí jako Rijdael, je také symetrický používající klíč o délce 128, 196 nebo 256 bitů. [12]
2.12.7 Druhy útoků na síť Útoky na síť se rozdělují podle toho, jestli probíhají zvenčí dovnitř nebo přímo zevnitř sítě. Tyto útoky se vždy snaží směřovat na nějakou slabinu sítě. Protože celek je tak silný jako jeho nejslabší část.
Útoky zevnitř sítě byly již pojednány v části o antivirech. Jsou to programy, viry, trojské koně atd., které poskytují útočníkovy skulinu do systému nebo přímo do sítě, v případě, že se mu vir podaří nainstalovat do PC. To se mu může povést například zasláním spolu s elektronickou poštou důvěřivé osobě, nebo jsou vneseny prostřednictvím paměťových mediích. Jednou z forem takového nástroje jsou tzv. rootkity, které se ukryjí hluboko v systému v podobě ovladače a mohou se tvářit jako obyčejné programy. Proto se pak velice těžko hledají.
Autentizace při získání autentizacích údajů (hlavně hesla) uživatele se za něj může útočních lehce vydávat.
Odchycením dat při přenosu může útočník data změnit, přečíst nebo v případě že jsou zašifrované, je může například podvrhnout kvůli autentizaci.
Odepření služby (DoS, DDoS) je typ útoku, při kterém útočník nebo koordinovaná skupina útočníků (DDoS) zahltí službu požadavky a tím způsobí její výpadek. Obvyklým druhem, toho útoku je útok na DNS servery.
14
3 Požadavky na síť Každému návrhu sítě předchází určitý důvod a představa, jak by měla síť vypadat a jaké služby by měla provozovat. V tomto případě máme požadavky na síť dané zadavatelem (městem). Síť se bude nacházet v budově městského úřadu, který má dvě patra. Městský úřad, pro který tuto síť navrhuji, samozřejmě již má svoji síť. Tato síť má ale své nevýhody a některé funkcionality jí úplně chybí. Síť ve své práci po dohodě se správcem sítě nemohu kompletně popisovat, ale mohu uvést její nedostatky. Ve stávající síti schází IP telefonie, bezpečnostní kamery a multifunkční síťové tiskárny. Navíc síť z důvodů starších síťových zařízení není zcela připravena pro přechod na IPv6 což by v době, kdy došly IPv4 adresy, měla být. Zavedení VoIP technologie s vlastní ústřednou navíc ušetří některé nákladů na telefony, které momentálně zprostředkovává telefonní operátor. IP kamery pomohou zabezpečit objekt, především pak podatelnu. NAS server, který je součástí nového návrhu, pomůže zálohovat data a vytvořit strukturu společného diskového prostoru pro uživatele, navíc na něm poběží plánovací kalendář, přístupný pro členy úřadu odkudkoliv z internetu. Součástí návrhu je také vybavení konferenční místnosti bezdrátovým přístupovým bodem pro snazší připojení k síti a počítačem s projektorem, na kterém bude možné vytvářet videokonference, například s krajským úřadem apod. Místnost, určená pro serverový rack 11 se směrovačem, poštovním serverem, ústřednou, přepínačem, NAS serverem a záložním zdrojem UPS 12, se nachází ve sklepě přibližně v místech pod zasedací místností. Sklep byl vybrán ze dvou důvodů, zaprvé jsou všechny místnosti obsazené kancelářemi nebo nejsou vhodné z jiných důvodů a za druhé nám sklepní prostor pomůže zařízení ochránit v letních dnech před přehříváním. Nejoptimálnější by byla klimatizovaná bezprašná místnost se stálou teplotou 22-23°C. V přízemí se nachází sedm kanceláří a jedna zasedací místnost pro veřejné schůze, tam bude PC, IP telefon a první multifunkční síťová tiskárna. Ve čtyřech kancelářích, budou vždy dvě PC a dva IP telefony. Ve zbylých třech kancelářích bude po jednom PC a jednom IP telefonu a jak je naznačeno na obr. č. 1, ve třech kancelářích budou lokální tiskárny. U obou vchodů do budovy budou IP kamery.
11 12
Rack - je standardizovaný systém uložení různých zařízení rozčleněný na jednotky „U“ o velikosti 44,45 mm. UPS – Uninterruptible Power Supply (Source) – nepřerušitelný zdroj energie
15
V prvním patře se bude nacházet konferenční místnost s jedním počítačem, IP telefonem, projektorem, bezdrátovým přístupovým bodem WiFi 13 (dále jen AP) a webovou kamerou. Dále zde budou čtyři kanceláře, pokaždé s jedním počítačem a IP telefonem. Nakonec podatelna se zadní místností. V podatelně bude kromě počítače a IP telefonu i třetí IP kamera. V druhé části chodby se bude nacházet druhá síťová multifunkční tiskárna. V podatelně a dvou kancelářích se budou opět nacházet lokální tiskárny.
Ve druhém patře bude posledních devět kanceláří, vždy po jednom počítači a IP telefonu. Na chodbě bude poslední ze tří síťových tiskáren. V místnosti označené archiv bude malá síťová tiskárna.
13
WiFI - označuje skupinu standardů 802.11 popisujících bezdrátovou síťovou komunikaci
16
4 Návrh sítě Při návrhu počítačové sítě je potřeba postupovat systematicky. V první řadě je potřeba myslet na finanční stránku. Samozřejmě není problém navrhnout síť za statisíce, celou sestavenou například z komponentů firmy Cisco. Ovšem existuje řada alternativ, a proto je možné navrhnout stejně kvalitní síť při daleko menším rozpočtu. Ovšem přílišné šetření také není na místě. Kromě rozpočtu je důležité zadání a představa zadavatele (ta je popsána ve 2. kapitole). Pravděpodobně nejdůležitější (než cokoliv začneme navrhovat) je seznámit se s prostředím. Jako první bychom si měli od zadavatele vyžádat plány budovy, nebo alespoň její popis například od správce. Prostředí potřebujeme znát, abychom věděli, kudy můžeme vést síťovou kabeláž (jestli jsou v budově například stropnice, podhledy a různá zákoutí pro kabeláž) a kde zhruba můžeme umístit jednotlivé síťové zásuvky a ostatní síťové prvky. Dále je potřeba zjistit, jestli budova není například památkově chráněná. Podle rozměrů budovy a možností vedení kabeláže si pak uděláme hrubý odhad délky kabeláže a množství kabelových lišt.
4.1 Rozvržení sítě
Celý provoz v síti bude řídit směrovač, ten zároveň poslouží i jako gateway (brána). Přímo ke směrovači bude připojen osmi-portový přepínač (masterswitch), na který budou napojeny tři servery (NAS, VoIP ústředna a Poštovní server) a dále na něj budou napojeny další čtyři přepínače, umístěné v každém patře. Do přízemí povedou dva 16ti-portové přepínače, do prvního a druhého patra povede vždy jeden 24portový. Osmi-portový přepínač bude mít Gigabitové porty a ostatní přepínače budou mít porty 100Mb/s + dva 1Gb/s pro uplink.
17
Páteřní síť bude tedy Gigabitová a ostatní zařízení budou připojena do 100Mbitové sítě. Toto řešení ušetří dost nákladů za dražší Gigabitové přepínače a přitom poskytne dostatečně rychlou síť. Službám této sítě 100Mb/s bohatě postačí, nejnáročnější jsou pro síť videokonference a IP kamery, ale na kamerách se dá nastavit komprese videa, po které se bude provoz pohybovat pouze v řádech stovek kb/s. Videokonference v případě Skypu zabírá pro HD (720p) video kolem 2Mb/s, což provoz také nijak neomezí. Pro ušetření síťových kabelů by bylo možné zapojit přepínače sériově, to by ale byl provoz na síti nevyvážený a všechna komunikace by se sbíhala po jednom kabelu. Pro lepší vyvážení sítě bude proto výhodnější zvolit připojení každého patra zvlášť . Při návrhu nové sítě je také potřeba počítat s určitým pozdějším rozšířením sítě. V případě tohoto městského úřadu se nepočítá s nárůstem pracovních míst v této budově, spíše s výstavbou další nové budovy. Přesto v přepínačích zůstanou volné pozice pro možné rozšíření, v přízemí a 1. patře po 5 pozicích a v 2. patře zůstanou čtyři volné. Plánovanou budovu bude později možné připojit na přichystané rozhraní směrovače pomocí převodníku a optického kabelu.
4.2 Přiřazení IP adres V síti se bude nacházet 69 stále připojených zařízení vyžadujících IP adresu a několik dalších zařízení (10 Notebooků úředníků a případní hosté se svolením správce) připojovaných pomocí WiFi v konferenční místnosti. V rámci zabezpečení sítě budou mít všechna zařízení přidělené IP adresy pomocí DHCP serveru se statickým přiřazením IP adres k MAC adresám. U počítačů a IP telefonů je to pouze z důvodů zabezpečení, aby si zaměstnanci ani cizí osoby nemohly připojit vlastní zařízení do sítě a pomocí něj síť poškodit. Naopak IP kamery, tiskárny a servery potřebují statické adresy, aby k nim byl zaručen stálý bezproblémový přístup. Adresa sítě LAN bude 192.168.10.0 255.255.255.0, pro přístup do webového rozhraní směrovače se nastaví adresa 192.168.10.254, která bude zároveň sloužit pro ostatní zařízení v síti jako výchozí brána. Adresa Wifi AP opět poslouží pro přístup do webového rozhraní přístupového bodu.
IP adresa 192.168.10.1 192.168.10.2 192.168.10.3
Druh zařízení Tiskárna pří. Tiskárna 1. p Tiskárna 2. p
IP adresa 192.168.10.11 *** 192.168.10.39
Druh zařízení VoIP 1 *** VoIP 29
192.168.10.4 192.168.10.5 192.168.10.6
Tiskárna arch. Kamera 1 pří. Kamera 2 pří.
192.168.10.40 *** 192.168.10.68
PC 1 *** PC 29
192.168.10.7 192.168.10.8 192.168.10.9 192.168.10.10
Kamera 3 pod. NAS Poštovní server VoIP ústředna
192.168.10.69 192.168.10.70 *** 192.168.10.80
WiFi AP Notebook 1 *** Notebook 10
Tabulka č. 2 - IP adresy
18
4.3 Připojení úřadu k internetu Stávající síť městského úřadu je připojena k internetu pomocí optického kabelu s konektivitou 50Mb/s Download a 50Mb/s Upload. Toto připojení poskytuje místní firma Etron. V tomto místě je to jediná rozumná varianta, protože pak už zbývá pouze ADSL od některého z telefonních operátorů. ADSL je ovšem daleko pomalejší, nesymetrické a navíc předražené. Navíc firma sídlí pár metrů od městského úřadu, proto je k dispozici z její strany lepší technická podpora.
4.4 Konfigurace síťových zařízení 4.4.1 Směrovač Jako směrovač bude použitý program PF sense, který je volně dostupný, byl navržen, protože je výkonnější a má více možností nastavení než jednoúčelové „levné“ směrovače. Navíc slouží zároveň jako výkonný firewall. Na rozhraní WAN se nastaví získání adresy automaticky z DHCP serveru. Adresa LAN viz kapitola 3.2. Po připojení a oživení jednotlivých zařízení, nám PF sense umožní přiřadit k jednotlivým MAC adresám statické adresy. Následně umožníme připojení do sítě pouze takto nastaveným zařízením. Jako další bude na směrovači nastaven firewall, kde povolíme pouze porty (viz příloha č. 2) nezbytné pro komunikaci vnitřních zařízení s internetem.
Obrázek č. 5 – Administrátorské rozhraní PF sense
4.4.2 Poštovní server Poštovní server je možné realizovat několika způsoby. První je až na hardware „zdarma“ a to formou využití některé z volně dostupných aplikací pro poštovní servery, nasazených na linuxovém operačním systému (dále OS). Tady ovšem často bývá problém v dlouhé době po kterou trvá, než se server odladí k dokonalosti a navíc je toto řešení často dosti nákladné díky potřebě zkušeného správce, který zajišťuje chod a aktualizace serveru. Druhou možností je MS Exchange server, tato varianta je ovšem určená především pro velké firmy a poměrně
19
drahá kvůli licencím a taky je náročná na hardware (pokud neběží v cloudu14), a omezená jedním OS (jedním z MS serverů), což představuje další licenční poplatky. Třetí možností pro menší a střední firmy je Kerio Connect. Protože na městském úřadě je potřeba 82 emailových adres (e-mail pro každého uživatele a pro každý odbor další jeden obecný email) byl navržen právě Kerio, jednotlivými licencemi vyjde o několik desítek tisíc levněji než MS Exchange, navíc je méně náročný na hardware a podporuje více operačních systémů. To znamená, že se navíc ušetří za hardware i za OS, protože poběží na Linuxobé distribuci CentOS, které je volně ke stažení. Kerio využívá pro správu webové rozhraní které je přehledné a přívětivé. Pro přístup k e-mailovým účtům bude na počítačích nakonfigurován MS outlook pomocí protokolu IMAP (IMAP z toho důvodu aby pošta po přečtení zůstala na serveru a po stažení se z něj nesmazala), kerio má k dispozici i webové rozhraní, které bude dostupné i z internetu pro úředníky, aby v případě nemoci, nebo například služební cesty, měli stále přístup ke služební poště. Tato služba bude zpřístupněna pomocí překladu adresy z poddomény (viz kapitoly 3.4.11 a 3.5).
Obrázek č.6 – Administrátorské rozhraní Kerio Connect
Pro zabezpečení poštovního serveru bude využit antivirový program a antispamový filtr s black listem15, který je dodávaný přímo s aplikací (antivirus je za příplatek). Pro odesílání a přijímání pošty, ať už z webového rozhraní, nebo desktopového klienta (MS outlook), využívá kerio SSL šifrování. Nastavena bude také pravidelná přírůstková záloha směřovaná na NAS server a bude probíhat každý den v noci. Archivace emailů pak bude probíhat na místní disk s nastavenými pravidly pro mazání staré pošty po určité době.
4.4.3 IP telefony Telefony je potřeba před připojením do sítě nakonfigurovat. To provedeme skrze webové rozhraní telefonu pomocí připojeného PC. Telefon připojíme UTP kabelem k PC a ten nám po zmáčknutí tlačítka “Local IP/DEL” zobrazí přidělenou adresu. Tuto adresu zadáme do webového prohlížeče spolu s portem 9999 ve formátu http://xxxx.xxxx.xxxx.xxxx:9999.
14 15
Cloud computing – je sdílení/poskytování služeb, hardwaru a programů na internetu. Black list – aplikace pro blokaci spamových adres domén.
20
Po přihlášení je potřeba změnit přístupové heslo do rozhraní, nastavit získání IP adresy s DHCP serveru, síť LAN, kodek pro hovory a hlavně telefonní číslo. Po připojení nakonfigurovaných telefonů do sítě, je ústředna automaticky rozpozná a připojí. Případně je možné ve webovém rozhraní nastavit vyzváněcí tón a jiné nastavení.
Obrázek č. 7 – Administrátorské rozhraní IP telefonu
16
4.4.4 Síťové tiskárny Konfigurace tiskárny v archivu bude „jednoduchá“, stačí nastavit pomocí webového rozhraní, aby tiskárna dostala adresu přiřazenou DHCP serverem a na počítače ji následně nainstalovat. Na tiskárnách Ricoh (viz. kapitola 5.6) je potřeba víc nastavení. V první řadě se opět nainstalují ovladače na jednotlivé počítače pomocí instalačního CD, kde se zvolí instalace jako síťová tiskárna s možností prohledat síť (druhá možnost je zadat IP adresu tiskárny ručně). Získání IP adresy se nastaví automaticky z DHCP. Všechna tato nastavení provedeme skrze administrátorské rozhraní tiskárny pomocí HTTPS, ke kterému nám firma pronajímající tiskárny umožní přístup. Pro přístup uživatelů ke kopírování a skenování se na ní vytvoří pro jednotlivé osoby alespoň 5místné kódy, které se přiřadí k jejich složce na NAS serveru. Tyto kódy budou sloužit k přístupu do tiskárny, aby neoprávněné osoby nemohly tiskárnu používat. Tiskárny totiž budou umístěny volně na chodbách. Po zadání tohoto kódu na tiskárně budou moci uživatelé přistoupit ke svému disku a z něj tisknout, nebo naopak na něj ukládat naskenované dokumenty. Další funkce jednotlivých uživatelů a jejich kódů bude moci vedení kontrolovat počty jejich tisků a kopírování, to zabrání tomu, aby zaměstnanci tiskli zbytečně pro vlastní potřebu. V rámci bezpečnosti je důležitá ještě jedna věc. Tyto velké tiskárny v sobě obsahují pevný disk, na ten se zaznamenává každé skenování a kopírování (než se uživatel rozhodne, jestli data odešle nebo uloží, tak se nasunovaný dokument uloží na místní disk tiskárny, ale po akci už se nesmaže). Tento disk se nedá bez vyjmutí z tiskárny smazat. Proto je důležité, aby při ukončení smlouvy nebo prostě jen při výměně za novější model, byl disk z tiskárny vyjmut a před svědky zničen, nebo byl ponechán úřadu. Tento disk bude obsahovat veškeré důležité a neveřejné dokumenty, které by mohly být z disku vyjmuty a zneužity.
16
Manual_3170IB_V2.0_20111230_WELL. http://www.joyce.cz/files/technicka-podpora/prirucky/voip-zarizeni/ Manual_3170IB_V2.0_20111230_WELL.pdf [online]. [cit. 19.12.2012]
21
4.4.5 Wifi přístupový bod (AP) Na tomto AP bude nastavena adresa sítě 192.168.10.69 a bude zde vypnut DHCP server. Přístup bude povolen pouze předem nastaveným MAC adresám a výkon antény bude ještě snížen tak, aby pokryl pouze konferenční místnost. Nakonec bude pro přístup k Wifi nastaveno heslo šifrované pomocí WPA2(AES). Pro přístup do administrátorského rozhraní bude také nastaveno silné heslo, navíc pro připojení do rozhraní bude použit protokol HTTPS.
4.4.6 IP kamery Sledování a nastavení kamery probíhá pomocí webového rozhraní, které je realizováno pomocí zabezpečeného protokolu HTTPS. IP kamera v podatelně, jako jediná, bude zpřístupněna z internetu pomocí portu 52 (viz. kapitola 3.5 Zabezpečení), navíc je možný přenos obrazu přímo na mobilní telefony. Nahrávaný záznam z kamer se bude ukládat do složky na NAS serveru.
4.4.7 Počítače (PC) Počítače zůstanou na úřadě stávající. Na počítačích je nainstalovaný OS Windows 7, tam bude vždy vytvořen jeden administrátorský účet a podle potřeby další uživatelské účty, na kterých budou povoleny pouze aktualizace důležitých programů. Firewall je základní od Microsoftu a antivirový program bude dodávaný třetí stranou dle požadavků zadavatele (na výběr může být například firma Norton, esset a další poskytující komplexní ochrany včetně firewallů). Pro IP adresy, masky sítě a výchozí brány bude nastaveno automatické přiřazení z DHCP serveru. Díky nastavení směrovače dostanou počítače staticky přidělenou adresu vázanou na jejich MAC adresy viz tabulka č. 2. Dále bude na počítačích namapovaná složka uživatele z NAS serveru jako síťový disk, který bude dostupný pod stejným uživatelským heslem, jako je pro přihlášení uživatele do PC, což má za následek to, že po přihlášení uživatel tento diskový prostor ihned uvidí. Jako další se nastaví složka společná pro všechny uživatele. Tato složka bude uživateli dostupná také jako síťový disk po přihlášení (tato složka ovšem nebude zaheslovaná). Pro e-mailovou komunikaci bude nastavený MS outlook, ten bude propojený s poštovním serverem Kerio. Na počítačích bude v nastavení povolen vzdálený přístup pro administrátora, aby měl možnost vzdáleně přistupovat k uživateli na plochu.
4.4.8 Videokonference Pro vytváření videokonferencí bude konferenční místnost vybavená počítačem, projektorem, kamerou, a reproduktory. Na počítači bude nastavený účet s přiřazeným se společným diskovým prostorem NASu, kde jsou uloženy prezentace a šablony pro konference. Realizace samotné videokonfereence bude uskutečňována pomocí programu Skype, jelikož má jednoduché ovládání a je všeobecně známý. Také je to daleko levnější řešení něž například videokonferenční systém H.323 (viz kapitola 2.9.1). Program je v základní verzi zdarma, u této verze existují jistá omezení (například hovory/videohovory jsou možné pouze mezi dvěma účty). Z toho důvodu byl navržen placený premium účet, aby bylo možné provádět videokonference až mezi 10 účastníky. Tato verze stojí při roční platbě necelých 42 Euro. Navíc se u premium verze nezobrazují reklamy, které mohou znamenat bezpečnostní riziko. Pro skype se vytvoří účet, na kterém se následně nastaví omezení, aby bylo možné volat a přijímat hovory pouze od kontaktů v seznamu.
22
4.4.9 NAS server Na serveru budou nastaveny uživatelské složky, ty budou zpřístupněny pod uživatelskými jmény a hesly stejnými jako jsou nastavené na počítačích jako uživatelské účty (viz kapitola 3.4.9). To proto, aby se diskový prostor uživateli automaticky po přihlášení na PC zpřístupnil. Každý uživatel bude mít na serveru nastavenou skrytou složku, do které se bude automaticky při každém odhlášení uživatele z PC zálohovat jeho vlastní složka dokumenty. Tato záloha bude probíhat jako celková. Na serveru bude také nainstalovaný plánovací kalendář, který bude uživatelům zpřístupněný z poddomény „www.kalendar.valasskeklobouky.cz“, kde budou vytvořeny dva odkazy a tady si uživatel zvolí, jestli přistupuje z internetu nebo z místní sítě. V administraci poddomény je potřeba nastavit směrování ip adresy a portu (38650) na index aplikace nainstalované na NAS serveru (viz kapitola 3.5). Přihlášení bude chráněno přihlašovacím jménem a heslem. Další složka na serveru bude nastavená pro zálohu poštovního serveru. Dále bude na serveru nainstalován program Survival pro ukládání záznamu z IP kamer, kamery budou nastaveny na různé časy. Kamera v podatelně bude nahrávat kontinuálně v provozních hodinách podatelny. Večer bude nastavena tak, aby nahrávala pouze v případě, že zaznamená jakýkoliv pohyb. Kamera u vchodu na náměstí bude nahrávat pouze večer a u v chodu do zahrady bude nastavena na snímání při pohybu. Záznamy se budou uchovávat 14 dní, poté se vymaže vždy nejstarší záznam. Nakonec bude určený prostor pro zálohu poštovního serveru. Pro zálohu všech dat budou disky zapojeny v řežimu RAID 5. Administrace NASu bude šifrovaná pomocí HTTPS a ostatní komunikace se serverem bude šifrovaná šifrou AES - 256bity. Záloha NAS serveru bude probíhat na druhý identický NAS, jen pouze se dvěma 4TB disky, zapojenými v RAID 1 (zrcadlení). Tento NAS bude umístěn v zabezpečené místnosti mimo budovu úřadu. Propojení se uskuteční přes internet a záloha bude probíhat každou noc jako celková záloha.
4.5 Zabezpečení Síť bude zabezpečena následujícími způsoby. Základem bude použití bezpečných hesel, která musí obsahovat minimálně 8 znaků s velkými a malými písmeny a aspoň jedním speciálním znakem. Pak je důležitá šifrovaná komunikace, aby útočník nemohl toto heslo odposlechnout. Proti připojení neznámého zařízení do sítě bude směrovač nastaven tak, aby nebylo možné připojit zařízení, které nemá povolenou MAC adresu. Na přístupovém bodu wifi budou také nastaveny povolené MAC adresy a k tomu bude síť chráněna heslem, které bude šifrované pomocí WPA2-PSK. Wifi má navíc omezený dosah antény. Na firewallu budou uzavřeny všechny porty a budou povoleny pouze výjimky nezbytné pro chod programů uvnitř sítě. Budou povoleny porty pro přístup na internet, všechny protokoly Skypu, telefonní ústředny, poštovního serveru, IP kamer a přístupných položek NAS serveru z internetu (viz. příloha č. 2). Veškerá komunikace uvnitř sítě pokud to jednotlivá zařízení umožňují, je nastavena a chráněna šifrou AES s 256bity. Administrace všech zařízení probíhá přes protokol HTTPS, výjimku tvoří vzdálená administrace směrovače, ta bude probíhat přes program openVPN chráněno certifikátem vytvořeným s klíčem o možné délce až 2048 bitů. Přístup z internetu na plánovací kalendář, uložený na NAS serveru, a přístup ke kamerám bude probíhat následovně. Na serveru se pro kalendář přiřadí port, který se následně přiřadí za ip adresu. Na směrovači se nastaví virtuální server s adresou NASu a tímto portem, pomocí 23
NAT přesměrujeme příchozí port z internetu na danou adresu se stejným portem a ta otevře terminál pro přihlášení do dané služby. Takto to provedeme i pro kameru v podatelně, pro kterou bude také vytvořena poddoména. To zaručí, že přístupné služby z internetu oddělíme od místní sítě. Pro tento účel nemůžeme využít DMZ z toho důvodu, že do DMZ uzavíráme vždy celý server, kdežto zde je potřeba zpřístupnit pouze část serveru, jen určité služby. K tomu použijeme překlad adres a vytvoření virtuálního serveru.
Obrázek č. 8 – PF sense, nastavení virtuálních serverů
Síťové tiskárny budou přístupné pod číselným kódem, který bude mít každý zaměstnanec. Tím zabráníme, aby na tiskárnách nekopírovali cizí lidé, a zároveň bude možné kontrolovat množství kopií tak, aby zaměstnanci přehnaně netiskli pro svou osobní potřebu. Počítače, poštovní server i kamery budou zálohovány do jednotlivých složek v NAS serveru. Na tomto serveru budou 4 pevné disky zapojené v systému RAID 5, to ochrání data před ztrátou jednoho disku. Pro případ požáru nebo zničení celého NAS serveru bude probíhat každou noc záloha pře internet na NAS server, uložený v zabezpečené místnosti mimo budovu. Zde budou pouze dva disky zapojené do RAID 1 (zrcadlení), a protože u vzdáleného zálohovacího uložiště nevadí pomalejší provoz a prvořadé je zabezpečení uložených dat, proto budou data na disku ještě šifrována.
4.6 Zapojení a oživení Budova je stará a nemá žádné stropnice nebo podhledy. Proto veškeré kabely budou vedeny v kabelových lištách. Tyto lišty budou umístěny co nejvýše u stropu, aby se zabránilo poškození kabelů, pro stoupání umístíme lištu vždy do rohu. V každé místnosti bude síťová dvojzásuvka, v místnostech s více počítači budou dvě. Další zásuvky budou u tiskáren na chodbách. Při zapojování a oživování je potřeba postupovat po jednotlivých krocích. Nejdříve si všechno předchystáme, nakonfigurujeme si IP telefony, na počítačích si vytvoříme účty a zapíšeme si jednotlivá uživatelská jména a hesla. V momentě, kdy máme vše přednastaveno a nataženou kabeláž, pustíme se do postupného oživování. Začneme směrovačem, ten zapneme a nakonfigurujeme základní věci jako hesla 24
ip adresy a masky podsítě. Poté oživíme postupně NAS server, poštovní server a telefonní ústřednu. Poté připojíme do sítě telefony a podle adresního schématu na směrovači přidělíme telefonům správné adresy. Následně vyzkoušíme, zda telefony fungují. Jako další zprovozníme IP kamery, těm po zapnutí opět přidělíme IP adresy na směrovači a zároveň spustíme na NAS serveru program pro nahrávání. Postupně takto zprovozníme ještě tiskárny a nakonec počítače. Teprve až máme oživena všechna zařízení a přiřazeny IP adresy k jednotlivým MAC adresám, můžeme na směrovači zakázat připojení jiných zařízení než těch, které jsou uvedeny v tabulce směrovače. Poté začneme konfigurovat jednotlivá úložiště na NAS serveru a ty přiřazovat uživatelským účtům. Když máme takto kompletně nastavený NAS, můžeme se pustit do vypnutí nežádoucích a povolení pouze chtěných portů ve firewallu a nakonec nastavit překlad adres. Pokud jsme nikde neudělali chybu, můžeme otestovat funkčnost celé sítě a přístup do sítě zvenčí. Na počítačích budou fungovat jen povolené služby. Po celkovém nastavení směrovače je dobré si tuto konfiguraci uložit na disk, nebo případně na nějaké další médium.
4.7 Kontrola a správa sítě Správu sítě budou obstarávat místní správci IT městského úřadu. Ta by měla probíhat především zevnitř sítě. Ovšem budou mít k dispozici vzdálený přístup na směrovač prostřednictvím programu openVPN pomocí vygenerovaného certifikátu. PF sense má širokou škálu nástrojů pro monitorování sítě. Obsahuje grafy veškerého provozu a zatížení sítě. Je možné použití nástrojů jako traceroute nebo ping, pro odhalení závady v síti. Případně využít protokol SNMP který nám umožňuje sledovat a odchytávat nastavené splněné podmínky (např. výpadek části sytému). Nakonec je možné sledovat logy směrovače a firewallu.
Obrázek č. 9 – PF sense, monitorování sítě
25
5 Navržená zařízení Všechna zařízení v síti jsou vybírána s ohledem na nízkou cenu, ale zároveň aby byla spolehlivá a funkční. Jedním z hlavních kritérií pro výběr zařízení byla podpora protokolu IPv6. Jednotlivé servery, směrovač a přepínače budou uloženy v nástěnných recích, z důvodů ochrany před prachem a rozpojením kabeláže. Ve sklepních prostorech, kde je uložen směrovač, servery, přepínač a UPS jednotky bude umístěný RACK 19“ o velikosti 15U, abychom měli dostatek místa pro zařízení a ještě zůstal prostor pro cirkulaci vzduchu. Do přízemí umístíme nástěnný RACK 4U pro dva přepínače a PoE injektory ke kamerám. V prvním a druhém patře postačí 3U RACK.
5.1 Směrovač Směrovací program PF sense potřebuje pro svůj chod plnohodnotný počítač. Zároveň je ovšem minimálně náročný, proto pro něj není potřeba pořizovat vyloženě serverový stroj. Nejlevnější PC ovšem také nemůžeme pořídit z toho důvodu, že směrovač se nebude vypínat a pojede nepřetržitě. Jako PC pro PF sense byl tedy navržen Dell OptiFlex 580, který je energeticky úsporný, kvalitně zpracovaný a schopný vydržet nepřetržitý provoz aniž by se například přehříval a následně se vypínal. Tento počítač bude navíc vybaven třemi síťovými kartami. Jedna bude sloužit jako rozhraní WAN, druhá pro místní síť LAN a třetí pro budoucí rozšíření úřadu o novou budovu.
5.2 Přepínače V celé síti se bude nacházet pět přepínačů. Všechny budou bez možnosti administrace. Protože síť je jen v jedné budově a pouze pro 69 zařízení, není potřeba tady vytvářet žádné virtuální sítě (VLAN). Použitím přepínačů bez administrace se ušetří další náklady, protože jsou levnější než administrovatelné. Všechny zvolené přepínače jsou od vybrané firmy TPLink. Hlavním důvodem je to, že jsou spolehlivé a nejsou drahé. Pro vytvoření páteřní Gigabitové sítě je navržen jako „masterswitch“ přepínač TP-Link TL-SG1008, který obsahuje 8 x 10/100/1000Gbps portů, k němu bude připojen směrovač, NAS, VoIP ústředna, Poštovní server a přepínače pro jednotlivá poschodí. V prvním a druhém patře jsou navrženy přepínače TP-Link TL-SL1226, ty jsou vybaveny 24 porty s propustností 10/100Mbps + 2 porty 10/100/1000Mbps, které nám poslouží na propojení s masterswithem. V přízemí je 27 zařízení, proto je možné použít 48 portový přepínač, ale ve srovnání s ním stojí použití dvou 16portových skoro o 2000kč méně, navíc bude zatížení sítě lépe rozložené. Navržené přepínače jsou tedy TP-Link TL-SL1117, které mají 16 10/100Mbps portů + 1 Gigabitový port.
5.3 Poštovní server Poštovní server Kerio Connect je serverový operační systém, který má na rozdíl od směrovače vyšší požadavky pro svůj chod. Provádí více výpočtů a je tedy pro něj potřeba přímo serverový stroj. Z uvedených důvodů byl vybrán server od společnosti HP a to ProLiant GL120 G7. Tento server je levný, ale přitom kvalitní a s dostatečnou rezervou splňuje doporučené požadavky 26
pro Kerio. Server je vybaven 2jadrovým procesorem s taktem 3GHz, 4GB RAM, 250GB pevným SATA diskem a DVD mechanikou a je uložen v Rackové skříni (case) rozměru 1U.
5.4 VoIP ústředna Pro VoIP byl navržen poskytovatel FAYN Telecommunications, a to z několika důvodů. Umožňuje převedení stávajících telefonních čísel. VoIP nám umožňuje v místní a poskytovatelově síti volat zdarma (pouze VoIP-VoIP), ale Fayn umožňuje navíc volat zdarma do spřátelených sítí, což je dalších osm poskytovatelů VoIP. Operátor dodá již nakonfigurovanou ústřednu WELL LS200, jež umožní připojení až 200 účástníků a až 50 souběžných hovorů. Na ústředně bude nainstalovaný systém IP-PBX založený na Asterisku, který pomocí webového rozhraní umožní konfigurovat síť, vytvářet zálohy, správu uživatelů a sledování provozu. Výhodou vlastní ústředny je i to, že při výpadku internetového připojení je možné v místní síti stále volat. Tato ústředna bude propojená skrze SIP účet s naším poskytovatelem VoIP, a tím pádem bude sloužit jako jeden centrální SIP účet pro všechny telefony v síti.
5.5 IP telefony IP telefony byly vybrány značky WELL 3170IB, tyto telefony mají několik výhod. Umožňují uložit 99 čísel a mají několik vyzváněcích tónů (to využijeme v kancelářích, kde máme více telefonů). Pro zabezpečenou komunikaci využívají secure RTP. Podporuje všechny potřebné protokoly a kodeky. Navíc je v češtině.
5.6 Síťové tiskárny Síťové tiskárny budou dohromady čtyři. Tři multifunkční zařízení, která se budou nacházet na každém patře, budou značky Ricoh Afico MPC3002. Jsou to tiskárny, které se nevyplatí kupovat. Z důvodů vysoké pořizovací ceny a nezbytné údržby je výhodnější si stroj pronajmout, v ceně nájmu je zahrnuta instalace, a následný servis. Většinou i balíček určitého počtu tištěných stránek, v rámci měsíčního nájmu (závislé na domluvě). Výhodou těchto tiskáren je, že kromě skenování, kopírování a tisku umožňují řadu nastavení, včetně generování PDF a přímého odeslání do uživatelovy složky, nebo do jakéhokoliv e-mailu. V archivu se bude nacházet další síťová tiskárna, ta ovšem bude majetkem úřadu. Bude to laserová černobílá tiskárna Xerox WorkCentre s podporou IPv6.
5.7 Přístupový bod (AP) Jako přístupový bod Wifi v konferenční místnosti je navržený TP Link TL-WA801ND. Ten byl navržen díky jeho dobré ceně a možnosti nastavení všeho, co je potřeba. Tento přístupový bod umí přenášet data rychlostí až 300Mbps (802.11n). Dodává se se dvěma 4dB odpojitelnými anténami, což je vyhovující, protože není potřeba signál šířit mimo jednu místnost.
5.8 IP kamery IP kamery byly navrženy od firmy airVision. Dva modely, airCam pro použití ven ke vchodům a airCam dome do podatelny. Tyto kamery byly vybrány z několika důvodů. Jsou levné, ale přitom mají bohatou výbavu, venkovní modely se dodávají s voděodolným pevným krytem a ramenem pro upevnění na zeď, tento kryt je navíc vyhříván, aby se v zimě
27
neomezovala kvůli mlžení viditelnost kamery. Oba modely jsou napájené pouze po ethernetu (PoE) a je k nim přímo dodáván PoE injektor. Obě kamery podporují všechny potřebné protokoly včetně důležitého IPv6. Pro video kompresi je použit formát H.264 a kamery zvládají HD rozlišení 720p. Jedinou drobnou nevýhodou je absence IR (Infra Red) diod na noční přísvit, to ovšem tolik nevadí, protože použitý objektiv má dobrou světelnost (F1.5) a městský úřad stojí na poměrně dobře osvětleném náměstí.
5.9 Vybavení konferenční místnosti Pro přenos videa byla navržena webová kamera Microsoft LifeCam Studio. Tato kamera dokáže snímat video ve FullHD (1080p), má široký záběr obrazu a zvládne snímat kvalitní zvuk. Proto nemusíme pořizovat externí mikrofon. Je pro účely konference naprosto dostačující a navíc se ušetří za daleko dražší digitální kamery. Projektor je navržen značky BenQ MX660P s 80“ projekčním plátnem. Projektor bude připojen HDMI kabelem přes video přepínač k PC a na stole bude zabudovaný panel, ke kterému bude možné pomocí HDMI nebo D-SUB kabelu připojit například notebook. Reproduktory byly vybrány dřevěné 10 wattové Genius SP-HF 360A. Reproduktory od této firmy jsou levné, ale přitom kvalitně zpracované s dobrým zvukem.
5.10 NAS server K NAS serveru budou přistupovat všichni uživatelé z PC i tiskáren, k tomu na serveru poběží plánovací kalendář a aplikace pro nahrávání záznamu z IP kamer. Na server bude probíhat záloha uživatelských účtů i kamer. Z těchto důvodů je potřeba, aby měl server dostatečně silný procesor, dostatek operační paměti a prostoru pro ukládání všech dat. Proto byl jako NAS server vybrán typ QNAP TS-469, který splňuje všechny předeslané požadavky. Obsahuje 2jádrový procesor o frekvenci 2.13 GHz a 3GB operační paměti. Dále bude obsahovat 4 pevné disky značky WD o velikosti 4TB. S podporou RAID 0, 1, 5, 6.
5.11 Záložní zdroj UPS Servery, ústředna i směrovač je potřeba zajistit proti výpadku elektrické energie. Za tímto účelem použijeme UPS (v překladu nepřerušitelný zdroj energie). Tyto jednotky pomohou překonat krátkodobý výpadek elektrické energie (při požadavku na nepřetržitý provoz se používají dieselové agregáty a UPS tam slouží pouze pro překlenutí doby, než agregát naběhne). V případě dlouhodobějšího výpadku zabezpečí korektní ukončení/uložení běžících programů a následné vypnutí. Při výběru je důležité vědět, na jaký výkon zálohu potřebujeme a taky jak dlouhou dobu potřebuje počítač na uložení dat. Městský úřad potřebuje zálohovat několik zařízení o celkovém příkonu 840W, také potřebuje, aby záložní zdroj pár minut počítače udržel v chodu, proto byl zvolen UPS o výkonu zdroje 1980W. UPS je značky APC smart-UPS, značku APC jsme vybrali pro její kvalitu a stabilní výstupní napětí, která v uvedeném případě vydrží kolem 15minut. Na korektní uložení a ukončení serverů potřebujeme zhruba 5 minut. Proto na UPS jednotce nastavíme, aby po 8 minutách provozu z baterie dala zařízením impuls pro uložení a vypnutí.
28
6 Cenová kalkulace Cenová kalkulace probíhá v praxi tak, že zákazník stanoví požadavky, které od sítě očekává a případně finanční limit. Firma poté vypracuje a předloží cenovou nabídku, na které se strany případně dohodnou. V případě městského úřadu by toto probíhalo formou výběrového řízení. Po schválení cenové nabídky se uzavře mezi stranami smlouva o dílo, ve které jsou popsány částky a náležitosti, které má síť splňovat. Při vypracování cenové nabídky se musí myslet na různé nečekané situace a zdržení, proto celá kalkulace mírně nadhodnocuje. Například času na práci je dobré počítat více, pro vytvoření časové rezervy. Stejně tak při počítání nákladů na materiál také většinou nemůžete vědět, kdy se co nepodaří, proto je lepší materiál lehce naddimenzovat. V následující tabulce je znázorněn příklad výpočtu ceny pro tento návrh sítě. Ceny jsou pouze orientační, protože vycházejí z obecných cen internetových obchodů. Firmy samozřejmě mají jiné ceny díky tomu, že nakupují u svých dodavatelů, kde mají velkoobchodní ceny, a i když ke své nákupní ceně připočtou marži, stále se umí dostat na zajímavé ceny pro zákazníka.
Název zařízení Dell OptiFlex 580 Přepínač TP-LINK TL-SG1008 Přepínač TP-LINK TL-SL1117 Přepínač TP-LINK TL-SL1126 HP ProLiant DL120B7 G860 (Poštovní server) WELL LS200 (VoIP ústředna) NAS server QNAP TS-469 Pro NAS server QNAP TS-269 Pro Telefon Well 3170IB Pevný Disk WD RE WD4000FYY UBIQUITI airCam UBIQUITI airCam Dome Xerox WorkCentre 3220MFP Projektor BenQ MX660P + plátno 60" Microsoft LifeCam Studio USB Reproduktory SP-HF 360A APC Smart-UPS 220VA LCD RM 2U Stojanový rozvaděč Conteg 19" 15U Stropní rozvaděč 19" 4U Stropní rozvaděč 19" 3U
Počet Cena za kus Cena celkem 1 8 000 Kč 8 000 Kč 1 1 007 Kč 1 007 Kč 2 1 259 Kč 2 518 Kč 2 1 703 Kč 3 406 Kč 1 16 874 Kč 16 874 Kč 1 15 588 Kč 15 588 Kč 1 19 500 Kč 19 500 Kč 1 13 466 Kč 13 466 Kč 29 1 000 Kč 29 000 Kč 6 9 080 Kč 54 480 Kč 1 2 199 Kč 2 199 Kč 1 2 374 Kč 2 374 Kč 1 5 599 Kč 5 599 Kč 1 12 199 Kč 12 199 Kč 1 1 410 Kč 1 410 Kč 1 530 Kč 530 Kč 1 23 279 Kč 23 279 Kč 1 15 586 Kč 15 586 Kč 1 2 267 Kč 2 267 Kč 2 1 552 Kč 3 104 Kč Zařízení celkem:
232 386 Kč
Tabulka č. 3 – cena zařízení
29
Materiál UTP Kabel cat6 305m (lanko) PremiumCord Konektor RJ45 UTP cat6 lanko Zásuvka na zeď Cat6, 2xRJ45 na omítku, bílá Zásuvka na zeď Cat6, 1xRJ45 na omítku, bílá Elektroinstalační lišta 15x15mm, 2m Vrut + hmoždinka prům. 6mm sada 100 ks
Počet Cena za kus 2 2 520 Kč 216 8 Kč 29 125 Kč 4 128 Kč 220 13 Kč 13 89 Kč Materiál celkem: Celková cena:
Cena celkem 5 040 Kč 1 728 Kč 3 625 Kč 512 Kč 2 860 Kč 1 157 Kč 14 922 Kč 247 308 Kč
Tabulka č. 4 – cena materiálu a celková cena
V této cenové kalkulaci není zahrnuta cena za práci a za pořízené aplikace a licence. Práce by v tomto případě zabrala asi týden ve dvou lidech, cena se pak účtuje hodinově. V případě programů by se platil jen roční poplatek za Skype (necelých 42 Euro/Rok). Další Pořízená aplikace by byla Kerio connect, kde se platí licence a balíčky uživatelůpo 5. Samotný Kerio včetně 5ti uživatelů a antivirového programu stojí 9 600 Kč plus by bylo potřeba dalších 80 uživatelských licencí tj. 80*600kč, takže celý Kerio by vyšel na 57 600 Kč na rok a další roky už by stál 19 200 Kč / rok.
30
Závěr Tato práce se zabývá komplexním návrhem počítačové sítě pro městský úřad, se službami jako je IP telefonie, IP kamery, síťový tisk a sdílení diskové kapacity. Práce obsahuje kompletní topologii sítě, včetně IP adres pro všechna zařízení. Bylo vyřešeno také kompletní zabezpečení, nejen místní sítě, ale i služeb přístupných z internetu, a to včetně kompletního zálohování celé sítě. V síti je možnost vzdálené administrace a sledování provozu. Všechna zařízení v síti jsou navržena tak, aby ve chvíli až poskytovatel internetu přidělí adresu IPv6 bylo možné tento protokol začít plynule využívat. Mimo to jsou zálohovány všechny servery a počítače v síti i mimo budovu. Taktéž byla navržena konferenční místnost umožňující videokonference představenstva, s ostatními úřady za pomoci programu Skype. Tento návrh byl inspirován počítačovou sítí městského úřadu ve Valašských Kloboukách a bylo by možné jej využít k modernizaci stávající sítě případně pro připojení další budovy úřadu. Tato práce obsahuje i možnosti využitelné ve více sítích proto může sloužit i jako inspirace pro budování jiné počítačové sítě.
31
Literatura [1] SOSSINSKY, Barrie. Mistrovství – počítačové sítě: [vše, co potřebujete vědět o správě sítí]. Brno: Computer Press, 2010. 840 s. ISBN 9788025133637. [2] KEJDUŠ, Radek. Úvod do NAS serverů – Váš domácí cloud. [Online], Empresa Media, a.s, 2011 [Cit. 25. 10. 2012], PCtuning. Dostupné z:
. [3] Tiskový server [Online], aktualizace 30. 11. 2012, [Cit. 25. 10. 2012], Wikipedie. Dostupné z: . [4] Message transfer agent [Online], aktualizace 11. 10. 2012, [Cit. 25. 10. 2012], Wikipedie. Dostupné z: < http://en.wikipedia.org/wiki/Message_transfer_agent>. [5] DHCP (Dynamic Host Configuration Protocol) Basics [Online], aktualizace 27. 2. 2007, [Cit. 27. 10. 2012.], Microsoft. Dostupné z: . [6] DHCP Relay Agent [Online], aktualizace 21. 1. 2005, [Cit. 27. 10. 2012], Microsoft. Dostupné z: . [7] IANA IPv4 Address Space Registry. [Online], aktualizace 16. 11. 2012. [Cit. 30. 10. 2012], IANA. Dostupné z: . [8] HLADKÁ, Eva. Síťová vrstva. [Online], 2010, [Cit. 1. 11. 2012], Fakulta informatiky Masarykovy univerzity. Dostupné z: . [9] Dosahy adres. [Online], aktualizace 27. 6. 2009, [Cit. 1. 11. 2012], ivp6. Dostupné z: [10] HULÍNSKÝ, Ivo. Videokonferenční místnosti [Online], [Cit. 19. 12. 2012], Cesnet. Dostupné z: . [11] VYMAZAL, Michal. Linuxové DMZ. [Online], aktualizace 5. 2. 2003, [Cit.2. 11. 2012], abecedalinuxu. Dostupné z: . [12] AES. [Online], [Cit.4. 11 2012], kryptografie. Dostupné z: . [13] Does Skype use encryption? [Online], aktualizace 23. 8. 2012, [Cit. 2. 11. 2012], Skype. Dostupné z: .
32
[14] POLESNÝ David, Konec bleskovek o IPv4, adresy už jsou definitivně rozebrány. [Online], aktualizace 3. 2. 2011, [Cit. 30.10. 2012], Živě. Dostupné z: . [15] FILIP Ondřej, Evropa je bez IPv4 adres. [Online], aktualizace 14. 9. 2012, [Cit. 30.10. 2012], .blog. Dostupné z: .
33
Příloha č. 1: Seznam povolených portů na firewallu Internet
HTTP: TCP/UDP 80 – nezabezpečené pohlížení webu HTTPs: TCP/UDP 443 – pohlížení webu, přístup k e-mailu z webu
E-Mail
IMAP4: TCP/UDP 993 – příjem pošty SMTP: TCP/UDP 25 – odesílání pošty LDAP: TCP/UDP 636 – protocol LDAP
OpenVPN
TCP/UDP – 1149
IP kamery
RSTP: TCP 554 – přístup ke kameře z programu HTTPs: TCP 7443 – přístup ke streamu kamery z webu
VoIP
SIP: TCP/UDP 5060 RTP: UDP 10000 – 20000
NAS server
HTTPs: TCP 38650 – přístup k plánovacímu kalendáři
Administrace
HTTPs: TCP 444 – administrace směrovače HTTPs: TCP 8080 – administrace NAS server HTTPs: TCP 9999 – administrace Poštovního serveru
34
Příloha č. 2: Seznam zkratek a jejich význam DHCP – Dynamic Host Configuration Protocol je protokol pro automatické přidělování IP adres RAID – Redundant array of inexpensive/independent disks je způsob zapojení více disků, abychom zabránily ztrátě dat při poruše pevného disku. SIP – Session Initiation Protocol je internetový protokol pro přenos signalizace v internetové telefonii. QoS – Quality of Servise, slouží pro řízení datových toků, aby nedocházelo při zahlcení sítě ke snížení kvality služeb. MTA – Mail Transfer Agent, přijímá zprávy od jiného agenta (MTA). FTP – File Tansfet Protocol je protokol pro přenost souborů mezi počítači PBX – Private Branch Exchange je zařízení (počítač) pro překlápění všech firemních telefonů do veřejné telefonní sítě. UPS – Uninterruptible Power Suply (Source) je záložní zdroj, česky nepřerušitelný zdroj energie MAC – Media Acces Control je jedinečná adresa každého síťového zařízení IANA – Internet Assigned Numbers Authority je světová organizace přidělující IP adresy a spravuje kořenové DNS servery zóny a jiné internetové protokoly. DoS a DDoS – (Distributed) Denial of Service je druh útoku, kdy dochází k pádu služby (internetové stránky apd.) pomocí přehlcení serveru dotazy. DDoS je potom forma skupinového útoku. AP – Acces Point je přístupový bod který umožňuje přístup do sítě pomocí WiFi. WAN – Wide Area Network je síť pokrývající široké geografické území překračující hranice měst, států… (například Internet) LAN – Local Area Network je místní síť, v domě, v kanceláři nebo ve firmě. ATA – Analogue Terminal Adapter umožňuje připojit analalogový telefon do sítě VoIP
35
