Rozvoj podnikové sítě, přechod z několika oddělených NT domén na doménu centrální

Bankovní institut vysoká škola Praha Katedra Informačních technologií a elektronického obchodování

Rozvoj podnikové sítě, přechod z několika oddělených NT domén na doménu centrální Bakalářská práce

Autor:

Jan Pitálek, DiS. INFORMAČNÍ TECHNOLOGIE, Správce IS

Vedoucí práce:

Praha

Ing. Antonín Vogeltanz

červenec, 2009

Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury.

V Českých Budějovicích dne 30. června 2009

Jan Pitálek, DiS.

Poděkování Vřelé díky za pomoc a vstřícný přístup Ing. Antonínu Vogeltanzovi.

Anotace Práce pojednává o propojování konkrétních podnikových fyzicky i logicky oddělených počítačových sítí, založených na Windows 2003 doméně, tvorbě VPN tunelů, rozebírá pravidla pro navržení adresního plánu a popisuje vlastní konfiguraci Windows 2003 domény nutnou pro připojení poboček. Jako vědecká metoda byla zvolena metoda porovnání a to sítě s několika fyzicky i logicky oddělenými částmi a sítě centralizované. Annotation This thesis deals with the problem of connection of concrete corporate either physically and logically separated computer networks, based on Windows 2003 domain, VPN tunnels creation. The thesis also analyses rules for suggesting the address plan and describes Windows 2003 domain configuration, which is neccessary for connecting with branches. I used comparing as a scientific method. I compared networks which are divided into physically and logically different parts with centralised networks.

Obsah Úvod ...................................................................................................................................... 7 1

Popis výchozího stavu podnikové sítě ........................................................................... 8

2

Moţnosti vzdálené správy uţivatelských PC a serverů v prostředí oddělených domén 9 2.1

Topologie sítě.......................................................................................................... 9

2.2

Vzdálený přístup ................................................................................................... 10

2.2.1

Ředitelství ...................................................................................................... 10

2.2.2

Oblastní středisko 1 a 3 ................................................................................. 10

2.2.3

Oblastní středisko 2 a 4 ................................................................................. 10

2.2.4

Oblastní středisko 5 ....................................................................................... 10

2.3

Bezpečnostní aspekty ............................................................................................ 11

3

Potřeby organizace (důvody a očekávání) ................................................................... 12

4

Modernizace stávající podnikové sítě – přechod na centralizovanou síť s jednou

NT doménou a praktický postup přechodu ......................................................................... 13 4.1.1 4.2

Druhy topologií ............................................................................................. 13

IP adresy v podnikové síti ..................................................................................... 17

4.2.1

Adresace IP .................................................................................................... 17

4.2.2

Třídy adres ..................................................................................................... 17

4.2.3

Podsíťové adresy ........................................................................................... 19

4.3

VPN ...................................................................................................................... 23

4.4

Windows 2003 doména ........................................................................................ 24

4.5

Zásady skupiny (Group policy) ............................................................................ 25

4.6

Navrhované cílové řešení ...................................................................................... 26

4.6.1

Zvolená topologie .......................................................................................... 26

4.6.2

Adresní plán................................................................................................... 27

4.6.3

Propojení poboček s centrálou....................................................................... 29

4.7

Centrální doména .................................................................................................. 32 5

4.7.1

Rozmístění doménových serverů .................................................................. 32

4.7.2

Konfigurace domény a příprava na připojení oblastních středisek ............... 32

4.7.3

Konverze doménové struktury....................................................................... 36

4.7.4

Instalace Active directory na oblastních serverech ....................................... 37

4.7.5

Instalace DNS serverů ................................................................................... 38

4.7.6

Nastavení sítě uţivatelských stanic ............................................................... 39

4.8 5

Bezpečnost - shrnutí.............................................................................................. 47

Porovnání výchozího a navrhovaného cílového stavu sítě .......................................... 48

Závěr .................................................................................................................................... 49 6

Seznam pouţité literatury ............................................................................................ 50

7

Seznam obrázků........................................................................................................... 52

6

Úvod

Současný trend zvyšování přenosových rychlostí internetového připojení a poklesu jeho ceny umoţňuje s nízkými náklady propojit počítačové sítě vzdálené desítky kilometrů. Touto problematikou se ve svém zaměstnání jiţ nějakou dobu zabývám. Literatura, která je dostupná v tištěné podobě, nebo na Internetu zpracovává jednotlivé části problematiky. Celkový pohled na věc však v naší firmě chybí. Proto jsem se ve své práci na tuto problematiku zaměřil a uvádím její moţné praktické řešení v podmínkách naší firmy. Cílem této práce je rozbor a popis modernizace podnikové sítě, porovnání decentralizované a centralizované sítě, spolu s návrhem jejího praktického řešení. Abych případnému útočníkovi neposkytl výhodu znalosti konfigurace sítě, pozměnil jsem konkrétní hodnoty a názvy, nebo jsem je na obrázcích znečitelnil. Ze stejného důvodu v práci pojednávám o bezpečnostních prvcích a opatřeních sítě pouze okrajově.

Volba metodologie Práce se zabývá propojením několika původně fyzicky oddělených sítí do sítě jedné, tedy přechodem mezi dvěma konfiguracemi, resp. stavy. Pro porovnání těchto dvou stavů a zároveň posouzení dopadů centralizace sítě jsem pouţil metodu porovnání.

7

1

Popis výchozího stavu podnikové sítě

Podniková síť se skládá z ředitelství a pěti oblastních středisek, z nichţ kaţdé sídlí v jiném městě. Správa informačních systémů / Informačních a komunikačních technologií (dále jen IS/IKT) sídlí na ředitelství, kde jsou umístěny hlavní servery pro informační systém (dále jen IS) a NT doména. Samostatné NT domény jsou na třech oblastních střediscích a dvě oblastní střediska nemají doménu vůbec. Na oblastních střediscích jsou umístěny oblastní servery pro informační systém (IS). V síti ředitelství jsou vyuţívány adresy IP verze 4, třídy C [2] tzn.: 192.168.100.0. Na třech oblastních střediscích se pouţívá ten samý IP segment. Na dvou jiný, také třídy C, a to 192.168.0.0 a 192. 168.200.0. Doménový server na ředitelství je Intel Xeon 2,8GHz, s operačním systémem Windows Server 2003.

Doménové

servery

na

oblastech

jsou

jiţ

dosluhující

Intel Pentium III s kmitočtem procesoru do 1GHz a operačním systémem Windows Server 2000. Na kaţdé oblasti je SQL server pro IS, který sbírá data z pobočky, kde je umístěn a přenáší je na hlavní server umístěný na ředitelství. Konfigurace těchto serverů je Intel Core2 Duo E8200 2,66 GHz, 1GB RAM os. Microsoft Server 2003 R2, se dvěma 256 GB pevnými disky spojenými do RAID 1 (MIRROR). Na oblastních střediscích bez domény mají uţivatelé přístupová práva do počítače Power User, výjimečně i administrátor. Takto nastavená oprávnění umoţňují uţivatelům instalovat software. Díky tomu jsou počítače častěji napadeny viry, nebo zahlceny různými free programy, jako jsou například přídavné lišty do Internet Exploreru. Toto nastavení oprávnění prováděli bývalí zaměstnanci IS/IKT, protoţe měli velmi omezené moţnosti vzdáleného přístupu na tyto lokality. Uţivatelé se pak snaţili problémy řešit sami, nebo telefonickou konzultací s nimi. Na ředitelství má kaţdý uţivatel síťový sdílený disk, na který si můţe zálohovat dokumenty. Na oblastech takováto moţnost není.

8

2

Možnosti

vzdálené

správy

uživatelských

PC

a

serverů

v prostředí oddělených domén 2.1 Topologie sítě

Obr. 1: Topologie sítě - Výchozí stav

9

2.2 Vzdálený přístup 2.2.1 Ředitelství: Na ředitelství je připojení do internetu realizováno pomocí Kerio WinRoute Firewall 6 (dále jen Kerio). Kerio umoţňuje přístup do sítě z Internetu pomocí lehkého VPN klienta (Kerio VPN Client). Vzdálený počítač se po připojení stane plnohodnotnou součástí sítě. Pomocí zásady skupiny je na stanicích zapnuta vzdálená plocha a na počítačích pracoviště s nepřetrţitým provozem je navíc nainstalován program pro vzdálenou správu VNC (dále jen VNC), který na rozdíl od vzdálené plochy zobrazuje to samé, co vidí uţivatel a díky tomu můţe problém se správcem IS/IKT snáze konzultovat. Na ředitelství je dále umístěn antivirový server, který sbírá data o stavu antivirů na stanicích a umoţňuje vzdálenou konfiguraci a instalaci nových verzí. 2.2.2 Oblastní středisko 1 a 3: Tato oblastní střediska nemají doménu. Je na nich umístěn oblastní SQL server. Na oblastním středisku 1 je šest a na o. s. 2 je devět uţivatelských stanic. Vzdálenou správou je přístupný pouze oblastní server a počítač na pracovišti s nepřetrţitým provozem. Tento vzdálený přístup je realizovaný pomocí promapovaných portů na tyto dva PC. Na nich je nainstalován program VNC. Pro zásahy na ostatních PC je nutná přítomnost správce IS/IKT. Připojení do internetu zajišťuje ADSL Router. 2.2.3 Oblastní středisko 2 a 4: Zde je situace podobná jako na ředitelství doménové servery jsou však dosluhující Intel Pentium III s operačním systémem Windows Server 2000 a jejich případné propojení s doménou ředitelství by znemoţnilo plné vyuţití moţností Windows 2003 domény [3]. Na servery a PC na pracovišti s nepřetrţitým provozem je moţný přístup programem VNC přes promapované porty. Přístup na ostatní stanice je také moţný pomocí vzdálené plochy, ne však přímo, ale ze serveru, na kterém je VNC. Připojení do internetu zajišťuje ADSL Router. 2.2.4 Oblastní středisko 5: Na tomto oblastním středisku je situace nejkomplikovanější. Z historických důvodů jsou zde dvě domény. Jedna na Windows server 2000 a druhá na Linuxu. Mezi doménami není důvěryhodnost, coţ způsobuje problémy nejen se vzdáleným přístupem. Připojení do internetu zajišťuje Linuxový Firewall, na kterém jsou promapované porty na doménový 10

server a na oblastní SQL server informačního systému. Vzdálený přístup je moţný jen na PC zařazené ve W2k doméně.

2.3 Bezpečnostní aspekty VNC (Virtual Network Computing) je grafický program, určený pro vzdálené připojení ke grafickému uţivatelskému rozhraní pomocí počítačové sítě. VNC pracuje jako klient-server, kde server vytváří grafickou plochu v operační paměti počítače a komunikuje přes síť s klientem, který plochu zobrazuje uţivateli. Pro komunikaci se pouţívá protokol RFB (remote framebuffer), jehoţ cílem je minimalizovat objem přenášených dat mezi klientem a serverem a umoţnit tak komunikaci i přes pomalejší datové linky, jako je Internet. Při přístupu přes promapované porty není komunikace mezi klientem a serverem zabezpečena. Samotná autentizace je poměrně bezpečná, protoţe se pro ověření hesla pouţívá systém challenge-response (náhodná výzva a kontrolovaná odpověď), takţe heslo neputuje po síti v nezašifrované podobě, čímţ je omezen útok „Replay attack“. Po autentizaci uţ však síťový provoz mezi klientem a serverem zašifrován není, a tak můţe být veškerá komunikace odposlouchávána a rekonstruován nejen obsah obrazovky, ale zachyceny i všechny pohyby myši a stisky kláves. Zde je nebezpečí útoku „Man in the middle“, proto se doporučuje připojovat k VNC serveru prostřednictvím šifrovaného VPN tunelu. [16] Útok typu „Replay attack“: Útočník odposlechne autentizaci uţivatele a jejím opětovným vysláním se sám přihlásí. [14] Útok typu „Man in the middle“: Útočník se stane prostředníkem v komunikaci. Můţe tak odchytávat nebo měnit nešifrovaný provoz mezi VNC klientem a serverem. Tímto způsobem získá nejen pohled na obrazovku serveru, ale zjistí i všechny pohyby myší a stisknuté klávesy. Můţe tak snadno získat hesla, kterými se administrátor přihlašuje do Windows, nebo jiných aplikací. [15]

11

3

Potřeby organizace (důvody a očekávání) Zefektivnění práce zaměstnanců oddělení IS/IKT umoţněním vzdáleného přístupu na kterýkoli počítač v síti. Zvýšení bezpečnosti, zrušení promapovaných portů pro vzdálený přístup. Zpřístupnění serverů na ředitelství, v rámci firmy, po lokálních IP adresách. Předávání dokumentů - Z důvodu zavádění norem ISO je třeba umoţnit uţivatelům přistupovat na podnikové úloţiště dokumentů bez ohledu na to, na které pobočce jsou. Umoţnit uţivatelům zálohovat dokumenty na síťový disk umístěný na serveru v dané pobočce. Sjednocení uţivatelských oprávnění, přidělení všem uţivatelům práva „user“. Uţivatelé pak nebudou moci instalovat software, dávat výjimky do firewallu jejich počítače a dělat ţádné zásadní změny v konfiguraci systému. Moţnost aplikovat zásady skupiny (group policy) na všechny počítače i uţivatele najednou, nebo na kteroukoli skupinu počítačů a nebo uţivatelů zvlášť. Centrální dohled nad antiviry. Hromadná konfigurace klientských firewallů. Přístup zvenčí i pro uţivatele (moţnost pracovat z domova). Moţnost na kterémkoli PC omezit přístup k internetu pouze na vybrané internetové servery.

12

4

Modernizace stávající podnikové sítě – přechod na centralizovanou síť s jednou NT doménou a praktický postup přechodu

4.1.1 Druhy topologií 4.1.1.1 Hvězda Jednou z nejstarších topologií je hvězda, která vyuţívá k příjmu a vysílání zpráv stejného přístupu jako telefonní systém. Stejně, jako telefonní ústředna propojuje jednoho telefonního účastníka s druhým, musí veškerá komunikace procházet přes centrální počítač leţící ve středu hvězdy. Výhodou hvězdy je moţnost snadného přidání další stanice. Stačí jen propojení s centrálním počítačem. Další výhodou hvězdy je, ţe správce sítě můţe přiřadit některým stanicím vyšší prioritu. Dále tato topologie umoţňuje centrální diagnostiku všech funkcí sítě, protoţe veškerý provoz prochází přes centrální počítač. Zásadní nevýhodou hvězdicové topologie je, ţe v případě nefunkčnosti centrálního počítače není funkční celá síť. [6]

Obr. 2: Topologie hvězda

13

4.1.1.2 Propojené hvězdy Alternativou k hvězdicově topologii je topologie s propojenými hvězdami. Tato topologie se skládá z několika vzájemně propojených hvězd. Výpadek kterékoli hvězdy nemá za následek výpadek celé sítě, i kdyţ stanice připojené k hvězdě s poruchou nebudou moci pracovat v síti. [6]

Obr. 3: Topologie propojené hvězdy

14

4.1.1.3 Sběrnice Sběrnicová topologie je nejméně náročná na kabeláţ. Je snadné přidávat nové stanice ale obtíţné udrţet bezpečnost. Sběrnice připomíná datovou trasu, která propojuje několik stanic v síti. V takovýchto sítích si stanice obvykle prověřují, zda je na datové trase přicházející zpráva dříve, neţ odešlou svou vlastní zprávu. Protoţe sběrnici sdílejí všechny stanice, procházejí zprávy kolem všech připojených stanic. Kaţdá stanice zjišťuje, zda se její adresa kryje s její vlastní adresou. Stanice zkopíruje její adresovanou zprávu do paměti na desce síťového rozhraní a pak tuto informaci zpracovává. Na rozdíl od hvězdy je na sběrnici třeba minimum kabelů. Nevýhodou je, ţe mezi odbočkami musí být určitá minimální vzdálenost, která zabrání vzájemnému rušení signálů. Rovněţ není jednoduché udělat diagnostiku sítě. A především tato topologie nemá rysy síťové bezpečnosti, které jsou vlastní hvězdicové topologii. Protoţe všechny zprávy se posílají po společné datové trase, můţe být bezpečnost narušena neoprávněným uţivatelem sítě. [6]

Obr. 4: Topologie sběrnice

4.1.1.4 Kruh Kruhová topologie kombinuje výhody hvězdy a sběrnice. Pracovní stanice přebírá dohlíţecí roli nad všemi síťovými funkcemi. Porucha jedné stanice nezpůsobí výpadek celé sítě. Kruhová topologie se skládá z několika uzlů (stanic) propojených vzájemně do tvaru kruhu. Zprávy se šíří jedním směrem od uzlu k uzlu. Některé kruhové sítě jsou schopny posílat zprávy oboustranně, nicméně v jednom okamţiku jsou schopné posílat zprávy jen jedním směrem. Kruhová topologie umoţňuje ověřit, ţe zpráva byla přijata. V případě, ţe uzel přijme zprávu, která mu byla adresována, zkopíruje si ji, a pak ji pošle zpět odesílateli 15

s příznakem, který indikuje její přijetí. Jedním z nejdůleţitějších témat v kruhové topologii je zajištění stejného přístupu pro všechny stanice. V síti token ring odesílá vysílací stanice tzv. token (také se mu říká pešek, nebo pověření). Token obsahuje adresu odesílatele a adresu uzlu, kterou je zpráva určena. Kdyţ přijímací stanice zkopíruje svoji zprávu, vrací token přijímací stanici. Pro potřeby správce je jedna stanice navrţena jako dohlíţecí uzel, který diagnostikuje síť. Výhodou kruhu je, ţe kdyţ vypadne dohlíţecí uzel, zůstává síť provozuschopná, protoţe je moţné jeho úlohu přenést na jinou stanici. Pomocí obchozích programů můţe síť vzdorovat poruše několika stanic tím, ţe je obejde. Další kruhové sítě mohou být spojeny pomocí přemostění (bridge), které přepíná data z jednoho kruhu do druhého. Nevýhodou je, ţe pokud je několik stanic vzájemně propojeno do kruhu, je velmi obtíţné přidávat nové stanice. Celá síť musí být vypnuta, dokud není přidán nový uzel a připojena kabeláţ. [6]

Obr. 5: Topologie kruh

16

4.2 IP adresy v podnikové síti 4.2.1 Adresace IP Síťové adresy IP verze 4 jsou 32-bitové (v délce čtyř oktetů) a typicky jsou zapisovány jako čtveřice přirozených desítkových čísel (kaţdé vyjadřující hodnotu oktetu) oddělených tečkou (např. binární IP adresa 10000000 00001010 00000010 00011110 se v dekadické notaci píše 128.10.2.30). Adresa má dvě části: adresa sítě – první část adresy přidělená správcem IP adres (regionálně/kontinentálně American Registry for Internet Numbers, ARIN, Réseau IP Européenne, RIPE a Asia Pacific Network Information Center, APNlC, resp. poskytovatele přístupu k Internetu), adresa uzlu v síti – poslední část adresy, přidělena správcem sítě Adresy mohou být individuální, skupinové nebo všeobecné. Kaţdé rozhraní v (globální) síti musí mít jedinečnou IP adresu (pro soukromé sítě, nepřipojující se k Internetu přímo tato podmínka neplatí). Ve výjimečných případech nemusí mít přidělenu adresu ţádnou (moţnost výhradně pro sériové porty směrovače) nebo můţe mít přidělenu více jak jedinou IP adresu (primární a sekundární adresy). [5] 4.2.2

Třídy adres

Adresy mohou být tvořeny podle jednoho z následujících pěti formátů (tříd): třída A – pouţívá se první oktet adresy pro identifikaci sítě a zbývající tři oktety pro identifikaci rozhraní. Loopback, tj. softwarová zpětnovazební adresa pro lokální meziprocesovou komunikaci v rámci jednoho počítače (bez vysílání do sítě, proto by se v síti neměla nikdy objevit), obvykle 127.0.0.1. Získání adresy třídy A je dnes prakticky nemoţné; třída B – pouţívá první dva oktety adresy pro identifikaci sítě a zbývající dva oktety pro identifikaci rozhraní. Adresy třídy B jsou jiţ téměř rozděleny mezi abonenty Internetu, podniky a poskytovatele přístupu k Internetu; třída C – pouţívá první tři oktety adresy pro identifikaci sítě a zbývající oktet pro identifikaci rozhraní. Adresy třídy C poskytují minimální prostor pro adresování stanic v síti (jen 254), ale jsou dnes prakticky jedinými dostupnými adresami pro přímé připojení k internetu; 17

třída D – zatímco třídy A-C adres slouţily k adresaci jednotlivých uzlů a sítí, třída D slouţí pro adresaci skupinovou (RFC 1112); skupinová adresace se pouţívá pro řadu moderních aplikaci, mezi speciální skupinové adresy path: 224.0.0.1

skupina všech stanic propojených v lokální podsíti,

224.0.0.2

skupina všech směrovačů připojených k lokální podsíti,

224.0.0.4

všechny směrovače protokolu DVMRP,

224.0.0.5

skupina všech směrovačů podporujících směrovací protokol OSPF,

224.0.0.6

skupina všech jmenovaných směrovačů podporujících protokol OSPF,

224.0.0.9

pouţito pro RIP 2(Routing Information Protocol),

224.0.1.1

pouţito pro NTP (Network Time Protocol);

třída E – třída nejmenšího rozsahu adres slouţí jen pro experimentální účely.

Tabulka 1: Klasifikace adres IP

Třída A Třída B Třída C Třída D Třída E

Struktura adresy (S=síť, U=uzel)

První bity adresy dvojkově

S.U.U.U S.S.U.U S.S.S.U skupinová experimentální

0… …. 10.. …. 110. …. 1110 …. 1111 ….

Platné hodnoty prvního oktetu desítkově 1-126 (127) 128-191 192-223 224-239 240-255

Počet Počet stanic adres adresovatelných síti v třídě v rámci sítě 126 2 14 221

2(24) - 2 2(16) - 2 254

Všechny platné adresy v rámci jedné sítě (třídy A-C) neoznačují stanice, protoţe v adresním prostoru IP adres jsou některé adresy vyhrazeny pro speciální účely. Jsou to adresy určené např. pro všeobecné vysílání, ladění komunikačních programů apod. Tyto „adresy“ jsou rezervovány pro svůj určený význam (přitom binární 0 znamená „tento počítač / tato síť", 1 znamená „všechny“). Například 0.0.0.0 znamená „tento“ počítač na „této“ síti (počítač ještě nezná svoji adresu, ale musí komunikovat např. při zavádění systému přes síť ze serveru, tato adresa tedy můţe slouţit jako zdrojová, nikoli však jako cílová);

18

Pro adresy soukromých sítí jsou podle RFC 1918 vyčleněna následující síťová čísla: třída A - 10.0.0.0, třída B - 172.16.0.0 aţ 172.31.0.0, třída C - 192.168.0.0 aţ 192.168.255.0. Původně tato síťová čísla byla určena pro sítě, které se neměly připojovat k Internetu, ale z důvodu nedostatku adres se dnes pouţívají pro podnikové sítě, které pouţívají vlastní mechanismus adresace skrytý za systémem „ochranné zdi" (firewall). [5] 4.2.3 Podsíťové adresy Vzhledem k neefektivnímu rozdělení adres, především nedostatku adres stanic pro adresy třídy C a naopak nevyčerpatelnému přebytku adres uzlů v třídě A, se přistoupilo k mechanismu tzv. podsíťování (subnetting). Část adresy původně určená stanici v rámci sítě se rozdělí na dvě části: adresu podsítě (v rámci pevně dané adresy sítě) a adresu stanice. Dodrţuje se pravidlo, ţe pro podsíťové adresy se vyuţívá souvislého toku bitů zleva od (nedotknutelné) adresy sítě (RFC 950 a 1812), viz Obr. 6. Jakmile se pouţívá podsíťování, je třeba přesně rozlišovat mezi adresou sítě, adresou její podsítě a adresou stanice v rámci dané podsítě. Třídu, adresu sítě i stanici, pak s podsíťováním totiţ není tak jednoduché rozlišit. Proto nestačí pouhá IP adresa, ale musí být doplněna ještě tzv. podsíťovou maskou (subnet mask). Maska má stejný formát jako adresa, 32 bitů vyjádřených čtyřmi desítkově vyjádřenými oktety. Na pozicích bitů označujících adresu sítě a adresu podsítě je hodnota bitů masky l, na pozicích bitů slouţících pro adresu stanice má maska hodnotu 0. Implicitní masky (bez jakéhokoli podsíťování) mají následující hodnoty: třída A – implicitní maska 255.0.0.0, třída B – implicitní maska 255.255.0.0, třída C – implicitní maska 255.255.255.0, Při podsíťování nelze ale pouţívat zcela libovolný počet bitů pro adresaci podsítí: musí existovat moţnost adresovat alespoň nějaké stanice v podsíti (proto se nepouţívá ani poslední bit ani předposlední bit části adresy stanice pro podsíťování) a naopak musí být jednoznačné, zda se jedná o adresu sítě či její podsítě (nepouţívá se první, tedy jediný bit pro podsíťování, bez ohledu na třídu adres). Jinými slovy, např. pro konkrétní adresu třídy B (např. 150.67.0.0), která má k dispozici dva oktety v části adresy stanice lze pouţít 19

minimálně 2, maximálně však 14 bitů pro adresaci podsítí (viz Tabulka 2). Adresa podsítě by neměla mít všechny bity nulové (kolize s adresou sítě), ani všechny bity jedničkové (kolize s adresou všeobecně), aby se vyloučila nejednoznačnost. Z důvodu nedostatku adres je však moţné se setkat s tzv. nulovou podsítí (subnet zero), která pouţívá první nesprávnou variantu adresace. Je vsak třeba si uvědomit, ţe ne všechna zařízení v intersíti (především směrovače) musí být nutně nakonfigurována tak, aby této adrese (adresám IP stanic připojeným k této podsíti) správně rozuměla.

Obr. 6: Příklad přidělování podsíťových adres v třídě A

Podle toho pro jednotlivé třídy adres lze sítě dělit jen do určitého počtu podsítí: třída A – pro adresy podsítí lze pouţít bity 10 – 30 adresy (prvních 8 bitů je rezervovaných pro adresu sítě), proto masky mohou vypadat v rozsahu (255.192.0.0 – 255.255.255.252) a celkem lze adresovat maximálně 221 – 2 podsítí v rámci jediné sítě; třída B – pro adresy podsítí lze pouţít bity 18 – 30 adresy (prvních 16 bitů je rezervovaných

pro

adresu

sítě),

proto

masky

mohou

vypadat

(255.255.192.0 – 255.255.255.252) a celkem lze adresovat maximálně 2

13

v

rozsahu

– 2 podsítí v

rámci jediné sítě; třída C – pro adresy podsítí lze pouţít bity 26 – 30 adresy (prvních 8 bitů je rezervovaných pro

adresu

sítě),

proto

masky

mohou

vypadat

v

rozsahu

(255.255.255.192 – 255.255.255.252) a celkem lze adresovat maximálně 25 – 2 podsítí v rámci jediné sítě; Kombinaci konkrétní IP adresy stanice a příslušné podsíťové masky lze zjistit, v jaké podsíti (případně síti, pokud se jedná o implicitní masku) stanice leţí. Pouţívá se logický součin obou dvojkově vyjádřených čísel (logický součin dává výsledek 1, pouze pokud oba 20

operandy jsou 1). Tabulka 2 uvádí počet podsítí adresy třídy B při vyuţití různého počtu bitů adresy.

Tabulka 2: Využití bitů pro podsíťování v adrese třídy B

Počet bitů pro podsíťování

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Počet podsítí

0 2 6 14 30 62 126 254 510 1022 2046 4096 8190 16382 -

Počet bitů pro adresu stanice

16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0

Maximální počet adresovatelných stanic

65534 16382 8190 4094 2046 1022 510 254 126 62 30 14 6 2 -

Maska

255.255.0.0 nepovoleno 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 nepovoleno nepovoleno

Příklady: IP adresa 193.12.99.18 (třída C adresy) s podsíťovou maskou 255.255.255.0 znamená, ţe se nepouţívá ţádná adresace podsítí a stanice. Je připojena k síti 193.12.99.0. Všeobecná adresa pro síť je pak 193.12.99.255 (vysílání všem uzlům v síti, v části adresy stanice jsou všechny bity nastaveny na hodnotu 1).

193.12.99.18 255.255.255.0

= =

11000001.00001100.01100011.00010010 11111111.11111111.11111111.00000000

IP adresa maska

193.12.99.0

=

11000001.00001100.01100011.00000000

sit'

21

IP adresa 151.88.19.103 (třída B adresy) s podsíťovou maskou 255.255.255.0 znamená, ţe se pouţívá k adresaci podsítí celý třetí oktet adresy (8 bitů) a stanice je připojena k podsíti 151.88.19.0, která patří do sítě 151.88.0.0. Všeobecná adresa pro síť je sice 151.88.255.255 (poslední dva oktety třídy B adresy jsou nastaveny na l), ale všeobecná adresa jen pro naši podsíť je 15 1.88.19.255 (pouze bity v části adresy stanice v rámci podsítě jsou nastaveny na 1). 151.88.19.103 255.555.255.0

= =

10010111.01011000.00010011.01100111 11111111.11111111.11111111.00000000

IP adresa maska

151.88.19.0

=

10010111.01011000.00010011.00000000

sit'

IP adresa 151.88.19.103 (třída B adresy) s podsíťovou maskou 255.255.255.224 znamená, ţe se pouţívá k adresaci podsítí nejen celý třetí oktet adresy (8 bitů), ale ještě první tři bity posledního oktetu (je k dispozici celkem 11 bitů pro adresaci podsítí), a proto je stanice připojena k podsíti 151.88.19.96, která patří do sítě 151.88.0.0. Všeobecná adresa pro síť je stejná, jako v předchozím příkladu a všeobecná adresa pro naši podsíť je tentokrát 151.88.19.127 (pouze bity v části adresy stanice v rámci podsítě - 5 bitů - jsou nastaveny na 1). 151.88.19.103 255.255.255.224

= =

10010111.01011000.00010011.01100111 11111111.11111111.11111111.11100000

IP adresa maska

151.R8.19.96

=

10010111.01011000.00010011.01100000

sit'

Dělení sítí do podsítí umožňuje: propojovat segmenty sítí směrovači - kaţdý segment má svoji vlastní adresu podsítě, vyuţít omezený adresový prostor - výhodným zvolením poctu bitu pro podsíťování lze adresovat segmenty sítě i stanice připojené k segmentům. Znalost sítí a podsítí je především důleţitá pro směrování v intersíti, neboť směrovače nepotřebují znát jednotlivé adresy stanic, ale rozhodují se na základě první části adresy (sítě nebo podsítě). [5]

22

4.3 VPN VPN je zkratkou Virtual Private Network (Virtuální Privátní Síť). Je to počítačová síť vyuţívající komponenty existujících sítí privátních (podnikové sítě) a veřejných sítí (Internet). Existuje tedy pouze virtuálně. [9] VPN se pouţívá k propojení jak dvou podnikových sítí, tak k připojení vzdáleného klienta do podnikové sítě. Příkladem uţití je firma, která má několik poboček s privátními sítěmi připojenými k internetu. Chce tyto pobočky propojit a dále potřebuje zaměstnancům umoţnit přístup do podnikové sítě pomocí počítače leţícího mimo privátní síť a připojeného pouze k internetu. „Nespornou výhodou VPN je šifrování datového přenosu, díky němuţ nemůţe nikdo neoprávněně odposlechnout data během jejich přenosu po veřejném Internetu. Jednotlivé stanice nebo sítě připojované na VPN server jsou navíc ověřeny bezpečnou metodou (sdílený klíč, tzv. pre-shared key, nebo klientský certifikát), coţ zabraňuje přístupu neoprávněných osob“. [9] Základní příklady použití VPN: připojení uţivatelů na pobočkách k aplikaci běţící centrálně (např. terminálové sluţby) vzájemné propojení všech poboček (moţnost přístupu k počítačům, tiskárnám a dalším zařízením na jednotlivých pobočkách pomocí vnitřních IP adres) pohodlné připojení do vnitrofiremní sítě z domova, z "terénu" (např. z mobilního připojení) nebo na sluţební cestě pomocí internetové přípojky v hotelovém pokoji management VPN, díky níţ se můţe provádět vzdálená správa (např. konfigurace serverů, asistence uţivatelům ve vnitřní síti) [9] Produktů, které umoţňují tvorbu VPN je celá řada. Jsou jak freeware, čili zdarma (např. Open VPN), tak komerční (např. Kerio VPN). Kerio VPN je proprietální řešení. Je součástí celého firewallového softwaru s názvem Kerio WinRoute Firewall. Kerio umoţňuje jak bezpečné propojení privátních sítí šifrovaným tunelem, tak připojení vzdálených uţivatelů do privátní sítě. Velkou výhodou Keria je jeho integrace s firewallem a překladem adres na kterékoli straně. Konfigurace Keria je velice uţivatelsky přívětivá.[10] Konfigurace Open VPN je o poznání sloţitější. Mnoho firem však nabízí řešení na bázi Open VPN a to jak pomocí specializovaného hardware (např. firma 23

NEXTUP), tak instalací a konfiguraci Open VPN. Dále je moţné pouţít hardware, či software vyuţívající protokoly na spojové vrstvě modelu ISO/OSI, jako jsou IPoverIP, GRE, IPSec, PPTP, L2TP. [12]

4.4 Windows 2003 doména Doménu lze definovat jako logické seskupení prostředků v síti. Prostředky rozumíme počítače, uţivatelské účty, skupiny uţivatelů apod. Rozdílů mezi doménou a pracovní skupinou je několik: V doméně existuje částečně hierarchické uspořádání počítačů. Na vrcholu struktury je řadič domény, který udrţuje doménovou databázi. Nejedná se tedy o síť peer to peer (rovný s rovným). Uţivatel má jeden (doménový) účet, který můţe pouţít pro přihlášení k libovolnému počítači v doméně, pokud k tomu má dostatečná oprávnění. Účet uţivatele je uloţen v doménové databázi. Doménovou databázi udrţuje řadič domény. Pokud je řadičů domény více, vyměňují si repliku doménové databáze (pro případ výpadku jednoho z nich, nebo pokud je v síti více podsítí propojených pomalou linkou). Přístup k prostředkům v jiných počítačích v doméně můţe být řízen doménovým účtem uţivatele. Místní účty v daných počítačích nejsou nutné. Pokud uţivatel mění heslo, týká se to jeho doménového účtu. S novým heslem je tedy schopen se ihned přihlásit na kterýkoli počítač v doméně. Počítače v doméně lze zabezpečit pomocí zabezpečení zásad skupiny definovaných pouze jednou pro celou doménu. Doménové prostředí je cesta k efektivní správě sítě, většímu zabezpečení prostředí a v konečném důsledku ke sníţení celkových nákladů na výpočetní techniku. [8]

24

Obr. 7: Active directory - Konzole Uživatelé a počítače1

4.5 Zásady skupiny (Group policy) Nástroj zásady skupiny je jedním z nástrojů technologie IntelliMirror, tedy technologie představené s příchodem systému Windows 2000. Nahrazuje nástroj Systémové zásady pouţívaný v systému Windows NT 4.0. V porovnání s ním má vylepšenou filozofii přístupu, lepší funkčnost a přehlednější konfiguraci. Cílem tohoto nástroje je umoţnit správcům

efektivně

spravovat

prostředí

uţivatelských

stanic

i

serverů.

Jeho

prostřednictvím je moţné dělat hromadná nastavení prostředí Windows, provádět vzdálené instalace nebo připojovat síťové disky. Nezbytnou podmínkou pro aplikaci zásad skupiny je plnohodnotné členství v doméně. Nedají se tedy vyuţít u operačních systémů Windows 98 a starších, ani u Windows XP a Vista ve verzi Home. [8]

1

Jeden z obrázků se znečitelněnými údaji.

25

4.6 Navrhované cílové řešení 4.6.1 Zvolená topologie V případě popisované podnikové sítě jsou konkrétní vedení nahrazena VPN tunely. Kaţdý VPN tunel zabírá jednu uţivatelskou licenci na obou serverech, které propojuje. Proto jejich počet není neomezený. Všechny technologie, ke kterým potřebují přistupovat uţivatelé z více neţ jednoho oblastního střediska, jsou umístěny na ředitelství, proto se jako nejvýhodnější jeví topologie hvězda.

26

Obr. 8: Topologie sítě – Navrhovaný cílový stav

4.6.2 Adresní plán IP adresy v síti musí být unikátní [1]. Zároveň kaţdý router musí mít na všech rozhraních unikátní IP síť. U adres třídy C ji určuje třetí oktet, viz odstavec 4.2.2. Aby tedy bylo moţné oblastní střediska propojit, musí být na kaţdém unikátní IP síť. Při tvorbě adresního plánu dále musíme vzít v úvahu potřebu zachování původního IP rozsahu třídy C pouţívaného na ředitelství. Případná přeadresace by byla sice moţná, ale měla by za 27

následek neţádoucí odstávku technologií. Změna IP adresy DNS serveru a DC serveru je popsána v knize Michala Osifa, Windows Server 2003 poradce experta [4]. Jedná se o sloţitou operaci, která by mohla mít negativní vliv na pozdější stabilitu sítě. Všechny pouţité IP sítě musí být z rozsahů vyčleněných pro soukromé sítě, viz odstavec 4.2.2. V opačném případě by docházelo ke kolizím s adresami v Internetu.

IP adresy ředitelství a oblastních středisek: Na ředitelství zůstane zachována původní IP síť. Následuje volný prostor pro případné demilitarizované zóny. První oblastní středisko začíná číslem 130.

Tabulka 3: Adresní plán sítě

Oblast

IP síť

Ředitelství

192.168.100.0

Oblastní středisko 1

192.168.130.0

Oblastní středisko 2

192.168.140.0

Oblastní středisko 3

192.168.150.0

Oblastní středisko 4

192.168.160.0

Oblastní středisko 5

192.168.170.0

IP adresy Pro VPN: Pro VPN oblastí pouţijeme adresy třídy B, ovšem s maskou 255.255.255.0. Třetí oktet tedy bude určovat podsíť a bude shodný s třetím oktetem sítě oblastního střediska, ke kterému patří. Rozdělení IP adres tak bude přehledné a zároveň nebude moci dojít k záměně.

28

Tabulka 4: Adresní plán VPN sítí

Oblast

IP síť

Ředitelství

172.27.100.0

Oblastní středisko 1

172.27.130.0

Oblastní středisko 2

172.27.140.0

Oblastní středisko 3

172.27.150.0

Oblastní středisko 4

172.27.160.0

Oblastní středisko 5

172.27.170.0

4.6.3 Propojení poboček s centrálou Pro zabezpečení přístupu k internetu na jednotlivých pobočkách pouţijeme Kerio WinRoute Firewall 6, stejně tak jako je tomu na ředitelství. Jde o komplexní nástroj pro připojení lokální sítě do Internetu a její ochranu proti průniku zvenčí. Je určen pro platformy Windows (od verze 2000). Součástí Keria je proprietární implementace VPN (Kerio VPN). Tato VPN je navrţena tak, aby ji bylo moţné provozovat společně s firewallem a překladem adres (i vícenásobným) na kterékoliv straně, bez nutnosti zvláštní konfigurace. To je velice důleţité, protoţe oblastní střediska jsou připojena do Internetu pomocí ADSL. Kerio je tedy „schováno“ za překladem adres na ADSL routeru. [10] Vlastní konfigurace je pak velice jednoduchá. Ke kaţdému oblastnímu středisku musíme vytvořit VPN připojení typu server to server, tzv. VPN tunel. V dialogovém okně pro zaloţení VPN tunelu zvolíme, jestli tunel bude pasivní, tedy bude pasivně čekat na příchozí spojení, nebo bude aktivní, tedy bude se aktivně snaţit navázat spojení s druhým serverem definovaným buď IP adresou, nebo DNS jménem. Kaţdý VPN tunel musí mít alespoň jeden aktivní konec. Výhodnější je mít aktivní oba konce, protoţe pokud by došlo ke změně IP adresy cíle, tak se spojení naváţe z druhé strany.

29

Obr. 9: Nový VPN tunel2

Další věc, kterou musíme zadat, je otisk SSL certifikátu. Ten zjistíme na jednom konci tunelu v řádce „Otisk SSL certifikátu lokálního konce tunelu“ a zapíšeme jej na druhém konci tunelu do řádky „Otisk SSL certifikátu vzdáleného konce tunelu“. Při vytváření spojení pak podle něj Kerio ověří autenticitu SSL certifikátu na druhém konci tunelu. Vyloučí se tak útok typu „man in the middle“, viz kapitola 2.3. Nově vytvořený tunel se zapíše do seznamu rozhraní. Zde je pak vidět jeho stav, např. „Připojeno“, „Odpojeno“, „Probíhá připojování“, atd. [10]

2

Další z obrázků se znečitelněnými údaji.

30

Obr. 10: Přehled rozhraní a VPN tunelů3

Aby mohla VPN fungovat, je třeba v pravidlech firewallu povolit komunikaci na portu 4090 pro protokol TCP i UDP. Pokud jsou oba konce aktivní, je třeba povolit komunikaci jak z firewallu do internetu, tak z internetu na firewall. Pasivnímu konci tunelu by stačila pouze komunikace z Internetu na firewall.

Obr. 11: Komunikační pravidla pro Kerio VPN4

3

Další z obrázků se znečitelněnými údaji.

31

4.7 Centrální doména 4.7.1 Rozmístění doménových serverů Propojením oblastních středisek s ředitelstvím se zvýší jejich závislost na serverech ředitelství. Pro sníţení této závislosti umístíme, na jednotlivé pobočky podřízené DC servery. Vyuţijeme k tomu serverů pro IS a přidáme jim funkci doménového řadiče, na kterém nebude umístěn globální katalog, ale bude pouţívat funkci universal group membership caching (UGMC) pro danou síť. Uţivatelé se tak budou moci přihlásit do domény i v případě výpadku VPN tunelu. DC se při prvním přihlášení uţivatele dotáţe globálního katalogu na ověření účtu a uloţí vrácené hodnoty do cache, kde je uchovává a obnovuje. Při dalším přihlášení se pouţijí informace z této cache. [13] 4.7.2 Konfigurace domény a příprava na připojení oblastních středisek Pro doménovou strukturu zvolíme model s jedním lesem (domain forest), jedním stromem (domain tree) a jednou doménou, kterou rozdělíme na jednotlivé sítě (site) tak, aby kopírovaly topologii VPN tunelů. [4] Takto nastavená síť se bude chovat následujícím způsobem: Při kliknutí ikonu „Místa v síti“ uvidíme jednu doménu. V této doméně budou všechny počítače v síti. Bude moţné procházet sdílené sloţky PC bez ohledu na to, na které pobočce jsou tyto počítače umístěny. Bude moţné přímo přistupovat k vzdálené ploše na kterémkoli počítači v síti. Definice sítí (site) a replikační topologie Active directory Definice sítí je velice důleţitá, protoţe doménová struktura předpokládá, ţe jednotlivé sítě jsou propojeny pomalou linkou a jsou podle toho nastaveny intervaly replikací. Také proto, ţe uţivatelé v dané síti se přihlašují ke svému nejbliţšímu doménovému řadiči, tedy tomu, který je v jejich síti. Díky tomu dojde k bezproblémové autentizaci uţivatele, i kdyţ není hlavní DC server dostupný.

4

Další z obrázků se znečitelněnými údaji.

32

Konfiguraci site je lepší provádět před instalací oblastních DC serverů, kaţdý server se tak bez problémů zařadí do příslušné „site”. Vlastní konfigurace se provádí v konzoli „Active directory Sites and Services” („Sítě a Služby Active directory”). [4]

Obr. 12: Active directory Sites and Services (Sítě a Služby Active directory)

Postupujeme tak, ţe nejprve přejmenujeme výchozí název „site“ na jméno charakterizující pobočku, ke které se vztahuje. Dále otevřeme „Inter-Site Transports“ a přejmenujeme link propojující „site“ (DEFAULTIPSITELINK) na „Reditelstvi-OS1“ tak, aby bylo jasné, které dvě „site“ propojuje. Nyní je třeba definovat příslušnou podsíť pro kaţdou „site“. Pravým tlačítkem klepneme na „Subnets“ a v menu „Nová poloţka“ zvolíme „Podsíť“. Vyplníme IP adresu, masku a v dolní části okna zvolíme „site“, ke které patří a stiskneme „OK“. [4]

33

Obr. 13: Konfigurace podsítí

Dále klikneme pravým tlačítkem myši na poloţku „IP“ a ve vlastnostech zrušíme zaškrtnutí poloţky „Přemostit všechna síťová připojení“ viz Obr. 14. Tímto způsobem zabráníme systému, aby vytvářel libovolná spojení. Vytvoříme-li „site linky“ v duchu topologie sítě, tedy ředitelství vţdy s jednou pobočkou, nebude docházet k neţádoucí komunikaci mezi dvěma oblastmi přes prostředníka (ředitelství). [4]

34

Obr. 14: Konfigurace IP site linků

Novou „site“ vytvoříme kliknutím pravým tlačítkem myši na sloţku „Sites“ a zvolíme „Nová síť“. Otevře se okno „Nový objekt - síť“. V horní části okna vyplníme název sítě (např.: OS 1). V dolní části okna zvolíme „site link“, který bude tuto pobočku propojovat s ředitelstvím. Po potvrzení okna tlačítkem „OK“ se objeví hláška, kde nás systém nabádá k těmto krokům: Ověřte, ţe „site“ je propojena s ostatními „site“ odpovídajícím „site link“. Přidejte všechny podsítě patřící vytvořené „site“. Nainstalujte v „site“ doménový řadič, či do ní přesuňte doménový řadič z jiného „site“. Zvolte v „site“ licenční server. Pro kaţdou novou „site“ je třeba nakonfigurovat podsíť, viz Obr. 13.

35

První „site link“ byl vytvořen automaticky při instalaci a my jsme jej pouze přejmenovali. Další „site linky“ vytvoříme kliknutím pravým tlačítkem myši na „IP“ viz Obr. 14 a zvolíme „Nové spojení sítí“. Zde pak zadáme název „site linku“ a do pravého okna přesuneme „site“, které chceme propojit. V našem případě tedy ředitelství a některou z poboček. [4]

Obr. 15: Nový site link

4.7.3 Konverze doménové struktury Na doménovém řadiči ředitelství je pouţíván operační systém Windows Server 2003. Na oblastních střediscích je nasazena novější verze Microsoft Server 2003 R2. Servery s verzí R2 se však nedají připojit do domény se strukturou vytvořenou starší verzí serveru (doménové schéma verze 30). Musíme tedy zkonvertovat doménovou strukturu na vyšší verzi (31). Pozor, tato změna je nevratná, proto preventivně zazálohujeme hlavní doménový server. Ke konverzi doménové struktury slouţí příkaz „adprep“. Musíme však pouţít verzi z Windows Server 2003 R2. Na druhém instalačním disku Windows Server v adresáři i386 nalezneme soubor adprep.exe. Spustíme jej s parametrem „/forestPrep“. Objeví se upozornění, ţe před spuštěním nástroje je nutné, aby všechny doménové řadiče 36

měly minimálně Windows server 2000 SP1 s aktualizací QFE 265089. Po potvrzení stiskem klávesy C se spustí inovace schématu. [4]

Obr. 16: Upgrade schématu domény pomocí příkazu „adprep“

4.7.4 Instalace Active directory na oblastních serverech Instalaci Active directory provedeme pomocí příkazu „dcpromo“. Objeví se nám informační okno, klikneme na „Další“. Následuje okno s dotazem na typ doménového řadiče. Můţeme si vybrat z varianty doménového řadiče pro novou doménu, nebo přidání dalšího doménového řadiče do jiţ existující domény. My pouţijeme druhou volbu. Protoţe připojení k existující doméně vyţaduje administrátorská práva k doméně, vyzve nás systém k přihlášení. Následuje okno vyţadující zadání cesty pro uloţení databáze protokolů a v dalším okně k uloţení sloţky „SYSVOL“. Doporučuji přednastavené cesty neměnit. 37

Následuje okno s rekapitulací nastavení a po jeho potvrzení se začne doménový server konfigurovat. V dalším okně, viz Obr. 17, nás systém informuje o úspěšné instalaci doménového řadiče a jeho zařazení do „site OS 1“. Pro úspěšné dokončení je nutný restart serveru. [4]

Obr. 17: Informace o úspěšném dokončení instalace doménového řadiče

4.7.5 Instalace DNS serverů V ovládacích panelech serveru otevřeme funkci „Přidat nebo odebrat programy“ zvolíme „Přidat nebo odebrat součásti systému“ a ve sloţce „Síťové služby“ zatrhneme „Domain Name Systém“. Vlastní instalace je pak velice jednoduchá, stačí vše potvrdit „Další“, protoţe všechnu potřebnou konfiguraci si jiţ provede Active directory sama. Aby mohl DNS server korektně odbavovat dotazy klientů, respektive uţivatelských počítačů, musí být sám sobě DNS klientem. To znamená, ţe v konfiguraci síťového adaptéru musí mít nastaven jako primární DNS sám sebe. [8]

38

Obr. 18: Instalace Domain Name Systém

4.7.6 Nastavení sítě uživatelských stanic Na uţivatelských stanicích provedeme konfiguraci sítových adaptérů pomocí jiţ existujících DHCP serverů, které jsou nainstalovány na kaţdém DC serveru. Jako primární DNS nastavíme doménový řadič na dané pobočce a jako sekundární dáme doménový řadič ředitelství. Díky tomu budou všechny poţadavky na DNS a Doménové sluţby směřovány na oblastní DC server a aţ v případě jeho nedostupnosti na hlavní DC na ředitelství. Výchozí brána bude Kerio na dané pobočce. Na ředitelství je vyplněn pouze primární DNS server, kterým je hlavní server domény a výchozí brána je Kerio ředitelství.

39

Obr. 19: Nastavení síťového adaptéru uživatelské stanice

4.7.6.1 Nastavení Firewallu uživatelských stanic Konfiguraci klientských firewallů provedeme pomocí zásad skupiny hromadně, vţdy pro celou pobočku. V konfiguraci firewallů nastavíme výjimku pro funkci sdílení souborů a tiskáren s omezením na všechny PC v rámci pobočky a PC zaměstnanců odd. IS/IKT. Dále pro přístup na vzdálenou plochu, ten však umoţníme pouze z PC zaměstnanců odd. IS/IKT.

40

Obr. 20: Zásady skupiny – seznam aplikovaných zásad

Zásady skupiny se ovládají v jedné z konfiguračních konzolí Active directory „Uživatelé a počítače“ viz Obr. 7. Novou zásadu skupiny vytvoříme následujícím způsobem. Klikneme pravým tlačítkem myši na organizační jednotku (OU) na kterou chceme zásadu aplikovat. Zvolíme „Vlastnosti“. Přepneme se do záloţky „Zásady skupiny“ (viz Obr. 20). Klikneme na tlačítko „Nová“. Otevře se nám editor objektů zásad skupiny (viz Obr. 21). Rozklikneme poloţku „Konfigurace počítače“ -> „Šablony pro správu“ -> „Síť“ -> „Brána firewall systému Windows“ -> „Profil domény“. Profil domény slouţí pro dobu, kdy je počítač připojen do počítačové sítě s naší doménou. Standardní profil se aktivuje při připojení do jakékoli jiné sítě. Toto je důleţité zejména u notebooků. Dá se tak nastavit vyšší míra zabezpečení pro neznámé sítě. Možnosti nastavení firewallu (výběr): Funkce „Chránit všechna síťová připojení“ vynutí, zapnutí firewallu na všech síťových adaptérech a ani uţivatel, ani ţádný software jej nemůţe vypnout.

41

Funkce „Nepovolit výjimky“ přepíše všechna pravidla, nebo nastavení, která výjimky portům, nebo programům nastavila. Funkce „Nastavit výjimky programů“ umoţňuje udělit výjimku zvolenému programu. Funkce „Povolit výjimku místních programů“ ovládá moţnost nastavení výjimek přímo na počítači. Funkce „Povolit výjimky pro vzdálenou správu“ umoţní přístup na počítač například pomocí konzole pro správu, nebo technologie Windows Management instrumentation. Funkce „Povolit výjimky pro sdílení souborů a tiskáren“ umoţní přístup k tiskárnám a sloţkám, které daná stanice nabízí ke sdílení. Funkce „Povolit výjimky protokolu ICMP“. Funkce „Povolit výjimky pro vzdálenou plochu“. Funkce „Zakázat upozorňování“ zabrání v zobrazení výzvy, pokud některý z programů poţádá o zařazení do výjimek. Funkce „Povolit protokolování“ umoţňuje bráně firewall systému Windows, aby protokolovala všechny nevyţádané příchozí zprávy. Funkce „Nastavit výjimky portů“ umoţňuje udělit výjimku zvolenému portu. Funkce „Povolit výjimku místních portů“ ovládá moţnost nastavení výjimek přímo na počítači. Funkce je moţné povolit, zakázat, nebo nechat nenastaveny. Pokud jsou povoleny, plní funkci dle svého názvu. Pokud jsou zakázány, dělají pravý opak. Pokud nejsou nakonfigurovány, zůstává tato funkce tak, jak je nakonfigurována lokálním správcem na kaţdém počítači. [11]

42

Obr. 21: Zásady skupiny – konfigurace firewallu

4.7.6.2 Zapnutí vzdálené plochy Vzdálenou plochu zapneme hromadně na všech počítačích pomocí zásad skupiny. Novou zásadu vytvoříme podobně jako v kapitole 4.7.6.1. V konzoli „Uživatelé a počítače“ Klikneme pravým tlačítkem myši na organizační jednotku (OU), na kterou chceme zásadu aplikovat. Zvolíme „Vlastnosti“. Přepneme se do záloţky „Zásady skupiny“ (viz Obr. 20). Klikneme na tlačítko „Nová“. Otevře se nám editor objektů zásad skupiny (viz Obr. 22). Rozklikneme poloţku „Konfigurace počítače“ -> „Šablony pro správu“ -> „Součásti systému Windows“ -> „Terminálová služba“. Zde aktivujeme volbu „Povolit uživatelům vzdálené připojení pomocí terminálové služby.“

43

Obr. 22: Zásady skupiny – zapnutí vzdálené plochy

4.7.6.3 Tvorba uživatelských účtů Nového uţivatele vytvoříme opět v konzoli „Uživatelé a počítače“. Vybereme organizační jednotku, do které chceme uţivatele zařadit. Například „Uzivatele / OU 1“. Klikneme na „OU 1“ pravým tlačítkem myši. Zvolíme „Nová položka“ -> „Uživatel“. Otevře se okno pro zadání nového uţivatele. Zde vyplníme potřebné údaje a stiskneme „Další“. Viz Obr. 23. Pozor: uţivatelské jméno se doporučuje zadávat bez diakritiky. V následujícím okně zadáme heslo uţivatele. Standardně je zaškrtnuta volba „Při dalším přihlášení musí uživatel změnit heslo“, uţivatel se tedy poprvé přihlásí na heslo zadané správcem a pak jej systém donutí zadat si heslo vlastní, viz Obr. 24. Správce tedy hesla uţivatelů nezná, můţe je však kdykoli změnit.

44

Obr. 23: Active directory - Nový uživatel

Obr. 24: Active directory - Nový uživatel

45

4.7.6.4 Zálohování dat uživatelů Jedním z cílů rozvoje sítě je umoţnění uţivatelům zálohovat dokumenty na sdílený disk na serveru v jejich pobočce. Nejprve si na serveru kaţdé pobočky vytvoříme adresář, např. „users“. Ve vlastnostech zapneme sdílení a v poloţce „Sdílet jako“ přidáme za název „$“. Tím zajistíme, ţe adresář nebude při procházení sdílených sloţek serveru vidět. V konzoli Active directory „Uživatelé a počítače“ klikneme pravým tlačítkem myši na uţivatelský účet, a zvolíme „Vlastnosti“. Potom v záloţce „Profil“ zvolíme písmeno síťového

disku

a

vyplníme

cestu

ke sdílené

sloţce,

např.

„\\DCReditslstvi\users$\%username%“. Systém pak automaticky dosadí za proměnnou „%username%“ přihlašovací jméno uţivatele.

Obr. 25: Active directory – síťový disk uživatele

46

Vlastní zálohování pak provedeme pomocí jednoduchého dávkového souboru, který uloţíme na disku uţivatelské stanice a uţivateli vytvoříme na ploše zástupce pro jeho spuštění. Obsah dávkového souboru: ntbackup backup "%userprofile%\dokumenty\" /v:yes /r:no /rs:no /hc:off /m normal /l:f /f "z:\dokumenty.bkf" ntbackup backup "%userprofile%\plocha\" /v:yes /r:no /rs:no /hc:off /m normal /l:f /f "z:\plocha.bkf" V dávkovém souboru je záměrně zálohován i adresář s plochou, protoţe velká část uţivatelů ukládá cenné dokumenty právě na plochu.

4.8 Bezpečnost - shrnutí Při konfiguraci sítě jsme se drželi těchto zásad: Na firewallech jsme zrušili všechny promapované porty a vzdálený přístup do sítě jsme realizovali pomocí VPN. Firewally jsou konfigurovány podle zásady „co není povoleno, je zakázáno“. Uţivatelé mají vţdy oprávnění „User“ a nemohou tak instalovat software, ani dělat ţádná zásadní nastavení operačního systému počítače. Firewally stanic jsou nastaveny tak, aby prostředky těchto stanic nemohli pouţívat uţivatelé z jiné organizační jednotky a nemohlo tak dojít k neţádoucímu vytíţení VPN tunelů.

47

5

Porovnání výchozího a navrhovaného cílového stavu sítě

Rozdíl mezi výchozím a cílovým stavem je nejlépe patrný z následujících informací. Protoţe v době těsně před dokončením mé bakalářské práce je jiţ realizace tohoto projektu téměř hotova (probíhá zkušební provoz), mohu pouţít pro srovnání reálné příklady: Zatímco ve výchozím stavu sítě bylo nutné kvůli kaţdé instalaci jezdit k uţivateli, v cílovém stavu je moţné všechny instalace provádět na dálku. Dříve znamenalo nasazení nové verze ekonomického softwaru tři dny práce a cestu na všechna oblastní střediska (tzn. ujetí cca 250 km). V současné době je to otázka jednoho dopoledne a několika telefonátů. Zaměstnanci oddělení IS/IKT mají nyní přehled o stavu antivirových programů na všech stanicích v síti a mohou provádět vzdálené instalace nových verzí a jejich konfiguraci. Při instalaci nové verze antiviru, nebo změně přihlašovacích údajů pro aktualizaci, jiţ není nutné objíţdět všechny pobočky a provádět změny na kaţdé stanici zvlášť. Organizace tak ušetří týden práce jednoho zaměstnance odd. správy IS/IKT. Rovněţ je moţné provádět vzdálené instalace, a to jednak hromadné, pomocí zásad skupiny, a jednak individuální, pomocí vzdáleného přístupu. Uţivatel, který poţadoval instalaci nějakého méně důleţitého softwaru, jako například 602XML Filler musel čekat týden aţ čtrnáct dní, neţ zaměstnanec odd. správy IS/IKT přijel program nainstalovat. Nyní je moţné takovéto zásahy dělat centrálně a okamţitě. Po připojení počítačů do domény jsou všem uţivatelům vytvořeny doménové přihlašovací účty a přístupy na podnikové sdílené sloţky. Uţivatelé tak mají přístup k aktuálním firemním předpisům. Tento přístup k aktuálním předpisům je mimo jiné podmínkou pro zavedení normy ISO 9001.

48

Závěr Na základě této bakalářské práce byl systém téměř zaveden a probíhá ověření funkčnosti ve zkušebním provozu. Oponování této práce nezávislým oponentem přinese cenné poznatky pro další vylepšení, případně odstranění nedostatků sítě. Při zkušebním provozu jsme zatím zjistili, ţe funkce universal group membership caching, která zabezpečuje ověření doménových účtů na oblastním DC serveru, neumoţňuje uţivatelům přihlásit se na počítač, kde se dosud nikdy nepřihlásil přesto, ţe se uţivatel na jiné stanici přihlašuje běţně. Záznam uloţený do cache je tedy vázaný na konkrétní počítač. Tento drobný problém by bylo moţné vyřešit přidáním funkce globálního katalogu pro daný server, to však zvýší počet replikací a riziko moţných chyb. Ostatní očekávané vlastnosti centralizované sítě se jeví jako funkční. Následným krokem, po dokončení této práce, bude zpracování uţivatelské dokumentace pro uţivatele navrhovaného systému, coţ bude předmětem další mé práce po úspěšné oponentuře.

49

6

Seznam použité literatury 1. DOSTÁLEK, Libor; KABELOVÁ, Alena. Velký průvodce protokoly TCP/IP a systémem DNS. 3. Vyd. Praha: Computer Press, 2002. 542 s. ISBN 80-7226-675-6. 2. HUNT, Craig. Konfigurace a správa sítí TCP/IP. 1. Vyd. Praha: Computer Press, 1997. 456 s. ISBN 80-7226-024-3. 3. OSIF, Michal. Windows Server 2003 1. Vyd. Praha: GRADA Publishing, a.s., 2003 624 s. ISBN 80-247-0395-5 4. OSIF, Michal. Windows Server 2003 poradce experta 1. Vyd. Praha: GRADA Publishing, a.s., 2003 612 s. ISBN 80-247-0396-3 5. PUŢMANOVÁ, Rita; ŠMRHA, Pavel. Propojování sítí s TCP/IP. 1. Vyd. České Budějovice: Kopp, 1999. 203 s. ISBN 80-7232-080-7 6. SCHATT, Stan. Počítačové sítě LAN od A až do Z 1. Vyd. Praha: GRADA, 1994. 384 s. ISBN 80-85623-76-5 7. STANEK, R. William. Microsoft Windows Server 2008 Kapesní rádce administrátora 1. Vyd. Brno: Computer Press a.s., 2008. 704 s. ISBN 978-80-251-1936-5 8. ŠETKA, Petr. Mistrovství v Microsoft Windows Server 2003 1. Vyd. Praha: Computer Press a.s., 2007. 680 s. ISBN 978-80-251-1871-9 9. Bussiness communication: VPN - konfigurace a správa [online]. [cit. 2009-04-04]. Dostupný z WWW: < http://www.bcom.cz/vpn.html> 10. Kerio: Kerio WinRoute Firewall Příručka administrátora [online]. [cit. 2009-04-02]. Dostupný z WWW: < http://www.kerio.cz/manual/kwf/cz/index.html>. 11. Microsoft: Nápověda k produktu Konzole MMC (Microsoft Management Console), 2006. 12. PRŮCHA, Ondřej. Vše co jste chtěli vědět o VPN, ale báli jste se zeptat [online]. 2005, [cit. 2009-04-05]. Dostupný z WWW: < http://home.zcu.cz/~ondrous>. 13. Samuraj, [online]. [cit. 2009-05-02]. Dostupný z WWW: < http://www.samurajcz.com/clanek/active-directory-komponenty-domain-tree-forest-site> 14. TICHÝ, Jan. Bezpečnost [online]. [cit. 2009-05-02]. Dostupný z WWW: < http://www.jantichy.cz/vyuka/4iz228/php/bezpecnost>. 15. Wikipedie: Man in the middle [online]. [cit. 2009-05-02]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/Man_in_the_middle>. 50

16. Wikipedie: Virtual Network Computing [online]. [cit. 2009-05-02]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/Virtual_Network_Computing>.

51

7

Seznam obrázků

Obr. 1: Topologie sítě - Výchozí stav ................................................................................... 9 Obr. 2: Topologie hvězda .................................................................................................... 13 Obr. 3: Topologie propojené hvězdy ................................................................................... 14 Obr. 4: Topologie sběrnice .................................................................................................. 15 Obr. 5: Topologie kruh ........................................................................................................ 16 Obr. 6: Příklad přidělování podsíťových adres v třídě A .................................................... 20 Obr. 7: Active directory - Konzole Uţivatelé a počítače .................................................... 25 Obr. 8: Topologie sítě – Navrhovaný cílový stav................................................................ 27 Obr. 9: Nový VPN tunel ...................................................................................................... 30 Obr. 10: Přehled rozhraní a VPN tunelů.............................................................................. 31 Obr. 11: Komunikační pravidla pro Kerio VPN.................................................................. 31 Obr. 12: Active directory Sites and Services (Sítě a Sluţby Active directory) ................... 33 Obr. 13: Konfigurace podsítí ............................................................................................... 34 Obr. 14: Konfigurace IP site linků ...................................................................................... 35 Obr. 15: Nový site link ........................................................................................................ 36 Obr. 16: Upgrade schématu domény pomocí příkazu „adprep“ .......................................... 37 Obr. 17: Informace o úspěšném dokončení instalace doménového řadiče.......................... 38 Obr. 18: Instalace Domain Name Systém ........................................................................... 39 Obr. 19: Nastavení síťového adaptéru uţivatelské stanice .................................................. 40 Obr. 20: Zásady skupiny – seznam aplikovaných zásad ..................................................... 41 Obr. 21: Zásady skupiny – konfigurace firewallu ............................................................... 43 Obr. 22: Zásady skupiny – zapnutí vzdálené plochy ........................................................... 44 Obr. 23: Active directory - Nový uţivatel ........................................................................... 45 Obr. 24: Active directory - Nový uţivatel ........................................................................... 45 Obr. 25: Active directory – síťový disk uţivatele ............................................................... 46

52