Zdravotní ústav se sídlem v Brně

Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta

Návrh lokální počítačové sítě pro Zdravotní ústav se sídlem v Brně Bakalářská práce

Vedoucí práce: Ing. Martin Pokorný

Jiří Stoklásek

Brno 2008

volná strana pro zadání práce

Prohlašuji, že jsem bakalářskou práci vypracoval samostatně. Všechny použité zdroje uvádím v příloze.

V Brně 18. 12. 2008

....................................................

Tímto bych chtěl poděkovat svému vedoucímu práce Ing. Martinu Pokornému, za jeho připomínky, vyčerpávající komentáře a čas při vzniku práce. Dále pak svému nadřízenému Ing. Petru Novotnému, za jeho podporu a cenné rady. V neposlední řadě také své rodině, za podporu při mém studiu.

Abstract Stoklasek, J. Proposal of Local Area Network solution to medical facilities located in Brno. Bachelor thesis. Brno, 2008. The thesis deals with the facilities’ current Local Area Network analysis, its structure, used hardware and software description, network components description and their settings. After this description section a new solution of a Local Area Network will be proposed, combining networks of multiple facilities into one. At the end the economical contribution will be presented.

Abstrakt Stoklásek, J. Návrh lokální počítačové sítě pro Zdravotní ústav se sídlem v Brně. Bakalářská práce. Brno, 2008 Bakalářská práce se zabývá analýzou počítačové sítě ve Zdravotním ústavě v Brně, strukturou počítačové sítě, popis používaného hardwaru a softwaru, síťových zařízení a jejich nastavení. Po této analýze návrhu nového řešení, pro spojení do jednotné sítě všech Zdravotních ústavů a změn s tímto spojených. Na konci pak ekonomickým zhodnocením.

5

Obsah 1 Úvod a cíl práce 1.1 Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Cíl práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8 8 9

2 Metodika

10

3 Technologie lokálních počítačových sítí 3.1 Počítačová síť . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 Síťové modely . . . . . . . . . . . . . . . . . . . . . . . 3.1.2 Klasifikace počítačových sítí . . . . . . . . . . . . . . . 3.1.3 Topologie LAN sítí . . . . . . . . . . . . . . . . . . . . 3.1.4 Aplikační síťové služby (Aplikační protokoly) . . . . . . 3.1.5 Virtuální privátní síť (VPN - Virtual Private Network) 3.2 Adresace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 Ethernet, FastEthernet a Gigabitový Ethernet . . . . . 3.2.2 Protokol IPv4 . . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Protokol IPv6 . . . . . . . . . . . . . . . . . . . . . . . 3.3 Přenosová média počítačových sítí . . . . . . . . . . . . . . . . 3.3.1 Standardy strukturované kabeláže . . . . . . . . . . . . 3.3.2 Metalické rozvody . . . . . . . . . . . . . . . . . . . . . 3.3.3 Optické vlákno . . . . . . . . . . . . . . . . . . . . . . 3.3.4 IEEE 802 . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Bezpečnost a monitoring sítě . . . . . . . . . . . . . . . . . . . 3.4.1 Bezpečnost sítě . . . . . . . . . . . . . . . . . . . . . . 3.4.2 Monitoring sítě . . . . . . . . . . . . . . . . . . . . . . 3.5 Adresářová služba (AD – Active Directory) . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

11 11 11 11 12 12 14 15 15 15 17 17 17 18 18 19 20 20 23 24

. . . . . . . . .

26 26 26 28 31 31 33 35 36 37

4 Analýza současného stavu počítačové sítě ve ZÚ Brno. 4.1 Analýza stávající síťové infrastruktury . . . . . . . . . . 4.1.1 Celková síťová infrastrukutra . . . . . . . . . . . 4.1.2 Analýza síťové infrastruktury v lokalitě Gorkého . 4.1.3 Ostatní lokality . . . . . . . . . . . . . . . . . . . 4.1.4 Analýza služeb a systémů . . . . . . . . . . . . . 4.1.5 Vlastní služby ve ZÚ Brno . . . . . . . . . . . . . 4.2 Bezpečnost, antivirová ochrana, zálohování . . . . . . . . 4.3 Monitoring a správa sítě . . . . . . . . . . . . . . . . . . 4.4 Závěr analýzy . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . .

5 Návrh řešení – implementace 39 5.1 Změny před zapojením do nové sítě . . . . . . . . . . . . . . . . . . . 39 5.1.1 Změna stávajících služeb . . . . . . . . . . . . . . . . . . . . . 39 5.1.2 Příprava Exchange serveru – přesun pošty . . . . . . . . . . . 39 6

5.2

5.3

5.1.3 File server . . . . . . . . . . . . . . . . . . . 5.1.4 Propojení do společné sítě – ha-vel internet 5.1.5 Řadič domény ZU.LOCAL . . . . . . . . . . 5.1.6 Návrh nové serverovny . . . . . . . . . . . . Implementace . . . . . . . . . . . . . . . . . . . . . 5.2.1 Schéma sítě na Gorkého . . . . . . . . . . . 5.2.2 Instalace řadiče domény . . . . . . . . . . . 5.2.3 Instalace služby DHCP . . . . . . . . . . . . 5.2.4 Exchange server – poštovní server . . . . . . 5.2.5 Přepojení uživatelů do nové domény . . . . Bezpečnost a monitoring sítě . . . . . . . . . . . . .

6 Ekonomické zhodnocení 6.1 Počáteční investice . . . . . . . . . . . 6.1.1 Náklady pro zřízení serverovny 6.1.2 Souhrn počátečních investic . . 6.2 Měsíční náklady . . . . . . . . . . . . . 6.2.1 Celkové měsíční náklady . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

40 40 42 43 45 45 47 49 50 51 51

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

54 54 55 55 56 56

7 Závěr

58

8 Literatura

59

Přílohy

61

A Ukázka příkazů pro zálohování v dávkovém souboru

62

B Přihlašovací skript

63

C Nastavení firewallu

65

D Organizační jednotky – Import uživatelů

68

E Přihlašovací skript pro novou síť

70

F Schéma organizačních jednotek

72

7

1 1.1

Úvod a cíl práce Úvod

V důsledku reformy hygienické služby došlo od 1. 1. 2003 k transformaci subjektů hygienické služby s většinou lokální působností na dva subjekty s krajskou působností a to KHS JmK se sídlem v Brně a Zdravotní ústav se sídlem v Brně (dále jen ZÚ Brno). Informační systémy jednotlivých hygienických stanic se před transformací nacházely na různé kvalitativní úrovni. Na některých pracovištích se v době vzniku ZÚ nacházely fungující počítačové sítě a na jiných byly používány pouze samostatná PC. V důsledku transformace a dělení vznikla rovněž potřeba rozdělení těchto sítí, což mělo v mnoha případech nepříznivý vliv na jejich funkčnost. Předmětem činnosti ZÚ je vyšetřování a měření složek životního prostředí, vlastností výrobků a potravin, vyšetřování biologického a klinického materiálu a to i formou placených služeb pro širokou veřejnost. Také se zabývá monitorováním zdravotního stavu obyvatelstva, faktorů životního prostředí, životních a pracovních podmínek, k přípravě podkladů pro hodnocení a řízení zdravotních rizik a pro činnost orgánů ochrany veřejného zdraví, jako složky integrovaného záchranného systému. Zabezpečením a provádění programů ochrany a podpory zdraví, výchova k podpoře a ochraně veřejného zdraví a poskytování poradenských služeb. ZÚ Brno má osm pracovišť, čtyři brněnské a čtyři mimobrněnské. Jednotlivá pracoviště jsou rozdělena na centra a ta dále na jednotlivá oddělení. Lokality ve ZÚ Brno • Gorkého 6 • Masná 3a) a 3c) 2 budovy v jednom areálu • Stará 25 • Jugoslávská 17 • Blansko, Mlýnská 2 • Břeclav, Sovadinova 48 • Vyškov, Masarykovo nám. 16 • Znojmo, MUDr. J. Jánského 15 Centra ve ZÚ Brno • Centrum řízení a ekonomiky • Centrum ochrany zdraví • Centrum klinické mikrobiologie a GT • Centrum laboratoří Rozhodnutím ministerstva zdravotnictví k 1. 1. 2008 bylo rozhodnuto o spojení všech Zdravotních ústavů v České republice do jedné organizace pod vedením Zdravotního ústavu v Ostravě. To má za následek nutnost propojení všech Zdravotních ústavů do společné sítě a potřebu sjednocení všech primárních informačních systémů. Samotná bakalářská práce se bude týkat jen změn ve ZÚ Brno a to hlavně na pobočce Gorkého. Realizace projektu, má být dokončena během roku 2009. 8

1.2

Cíl práce

Cílem práce je analýza současného stavu počítačové sítě ve ZÚ Brno. Tato analýza bude zahrnovat analýzu síťové infrastruktury a analýzu informačních systémů. Analýza síťové infrastruktury poslouží jako východisko pro návrh nového řešení. Návrh a realizaci nutných opatření pro nasazení jednotných informačních systémů v rámci jedné společnosti. Sestávající se z propojení ZÚ Brno do jednotné VPN sítě, implementaci do společné domény založené na technologii Microsoft Windows Server 2003. Změnu poštovního systému a přechod na nový systém na platformě Microsoft Exchange Serveru 2003. Migraci stávajících informačních systémů a ekonomicky zhodnotit nutné investice.

9

2

Metodika

V první části bakalářské práce budou přiblížena některé technologie LAN sítí, s vysvětlením nejdůležitějších pojmů týkajících se samotné práce. V druhé části bude provedena analýza současného stavu ve ZÚ Brno. Analýza se bude týkat stávající síťové infrastruktury, zaměřenou hlavně na lokalitu Gorkého, používané informační systémy a vlastní služby ve ZÚ Brno. Zabezpečení koncových uzlů, sítě a používané monitorovací nástroje. Třetí část bude věnována návrhu a implementaci nového řešení, které je nutné pro centralizaci všech zdravotních ústavů včetně jejich možné implementace. V konečné fázi pak ekonomické zhodnocení nutných počátečních investic, měsíčních nákladů pro provoz a závěr.

10

3

Technologie lokálních počítačových sítí

3.1

Počítačová síť

3.1.1

Síťové modely

Referenční model ISO/OSI Jedná se o teoretický model, který vznikl za účelem sjednocení komunikace mezi různými produkty různých výrobců (např. IBM a DEC). Je založen na sedmi referenčních vrstvách. Referenční model ISO/OSI vymezuje pouze jednotlivé vrstvy a specifikace úkolů, které by tyto vrstvy měly řešit. Sada protokolů TCP/IP Zatímco referenční model ISO/OSI vymezuje sedm vrstev síťového programového vybavení, TCP/IP počítá jen se čtyřmi vrstvami. TCP/IP předpokládá jednoduchou (ale rychlou) komunikační podsíť, ke které se připojují inteligentní hostitelské počítače. TCP/IP označuje celou soustavu protokolů, které budou popsány v kapitole 3.1.4. (Peterka, 2005) Síťový Port Síťový prot je číslo z rozsahu 0 až 65535, sloužící pro komunikaci protokolů TCP a UDP k rozlišení aplikace v rámci počítače. Tabulka 1: Porty a protokoly v TCP

Port 21,20 22 23 25 53 80 110 143 443

3.1.2

Protokol FTP SSH Telnet SMTP DNS HTTP POP3 IMAP HTTPS

Klasifikace počítačových sítí

PAN (Personal Area Network) Osobní síť, dosah jen několik metrů kolem uživatele, např. pro mobilní telefon, laptop, PDA zařízení apod. (Dostálek 2002) LAN (Local Area Network) LAN sítě jsou vázané k nějakému území (areál, budova, místnost atd.). Nejčastější 11

využití ve firmách, podnicích a domácnostech. Budují se na vlastní náklady provozovatele. Ve firmách a podnicích nejčastěji slouží pro sdílení diskového prostoru, ať už na uživatelských stanicích nebo serverech. Tisk přes síťové, sdílené tiskárny a multifunkční zařízení. Dále také ke sdílenému připojení k Internetu. MAN (Metropolitan Area Network) MAN sítě jsou spojené s nějakým větším územím (ulice, města atd.). Připojení do těchto sítí je nejčastěji pomocí bezdrátových sítí (Wi-Fi). Je využívána jednotlivci, nebo organizacemi. WAN (Wide Area Network) WAN sítě představují spojení několika sítí mezi sebou, například LAN. WAN sítě přesahují území měst, států, kontinentů. Nejznámějším příkladem WAN sítě je Internet.

3.1.3

Topologie LAN sítí

Topologie LAN udávají fyzické rozmístění a propojení jednotlivých uzlů v síti. Základní typy topologií: • Sběrnicová topologie (bus) – zastaralá topologie, kdy kabel prochází okolo všech počítačů, nerozvětvuje se (Ethernet s koaxiálním kabelem). • Kruhová topologie (ring) – zastaralá topologie, spojení je uzavřeno, vznikne propojením obou konců sběrnice (FDDI). • Hvězdicová topologie (star) – všechny počítače připojeny k aktivnímu nebo pasivnímu prvku, ve středu přepínač – hub (síť citlivá na výpadek rozbočovače). • Stromová topologie (tree) – propojení více hvězdicových sítí (nejpoužívanější v LAN). • Obecný graf – obsahuje redundantní spoje (směrovače ve WAN, Internet), k těmto spojům jsou připojeny LAN. (Peterka, 2005) 3.1.4

Aplikační síťové služby (Aplikační protokoly)

HTTP (HyperText Transfer Protocol) Protokol pro komunikaci mezi WWW servery a jejich klienty (prohlížeči). Umožňuje prohlížeči vyžádat si na serveru konkrétní WWW stránku, kterou mu server následně zašle. Protokol je koncipován jako bezestavový (každý požadavek je samostatný a nemá žádnou návaznost na žádný z případných předchozích požadavků). SMTP (Simple Mail Transfer Protocol) Poštovní protokol pro vzájemnou komunikaci mezi poštovními servery, jednotlivé servery si mezi sebou předávají konkrétní zprávy. Protokol předpokládá trvalou dostupnost příjemce i odesílatele.

12

FTP (File Transfer Protocol) Protokol pro přenos souborů mezi uzlovými počítači sítě. Předpokládá existenci FTP serverů (nazývaných též FTP archivy), což jsou v zásadě běžné uzlové počítače s možností přístupu do jejich systému souborů na dálku – uživatel jiného uzlového počítače v roli FTP klienta pak může z FTP serveru stahovat (download) soubory směrem k sobě, nebo naopak soubory umisťovat na FTP server (upload). NFS (Network File System) Protokol NFS slouží potřebám plně transparentního sdílení souborů v sítích na bázi TCP/IP, a to zejména v sítích lokálních. Rozdíl mezi sdílením a přenosem souborů (který zajišťuje protokol FTP) je v tom, zda si klient uvědomuje rozdíl mezi „místnímiÿ a „vzdálenýmiÿ soubory či nikoli. V případě přenosu souborů je pro klienta zásadní rozdíl mezi „místnímiÿ soubory, které se nachází na jeho počítači a soubory „vzdálenýmiÿ, které se nachází na jiném počítači (FTP serveru). Telnet Protokol Telnet slouží pro tzv. vzdálené přihlašování, neboli k tomu, aby se uživatel jednoho počítače dostal do stejného postavení, jaké má uživatel jiného (vzdáleného) počítače a mohl si zde například spouštět různé aplikace a pracovat s nimi. Využívat tak výpočetní kapacitu vzdáleného počítače, či jeho další zdroje (aplikace, soubory, periferie). NTP (Network Time Protocol) Protokol, sloužící potřebám synchronizace časových základen uzlových počítačů sítě. Je to prostředek pro oznamování aktuálního času, na jehož základě si jednotlivé uzly nastavují čas. LDAP (Lighweight Directory Access Protocol) Protokol určený pro udržování adresářů a práci s informacemi o uživatelích (např. pro vyhledávání adres konkrétních uživatelů v příslušných adresářích, resp. databázích). Protokol LDAP je založen na doporučení X.500 (atributy – jejich typy, z nichž se vytvářejí položky záznamů), které bylo vyvinuto ve světě ISO/OSI. DHCP (Dynamic Host Configuration Protocol) Protokol umožňuje prostřednictvím DHCP serveru nastavit všem stanicím sadu parametrů nutných pro komunikaci v sítích používajících rodinu protokolů TCP/IP. Zjednodušuje a centralizuje správu počítačové sítě, umožňuje hromadnou změnu parametrů (IP adresu, masku sítě, bránu, DNS servery, WINS atd.). DNS (Domain Name Server) Jedná se o hierarchický systém doménových jmen, je realizován DNS servery a protokolem DNS. Pomocí něj si vyměňují informace. Hlavním úkolem jsou vzájemné převody doménových jmen a IP adres uzlů sítě. Slouží dnes jako distribuovaná databáze síťových informací např. pro elektronickou poštu nebo IP telefonii. SNMP (Simple Network Management Protocol) Standartizovaný protokol používaný pro monitoring sítě. SNMP slouží k získávání 13

nebo nastavování hodnot na určitém zařízení (např. aktivní síťové prvky, tiskárny, přístupové body, po instalaci softwaru i počítače a servery). V současné době existuje ve třech verzích SNMPv1 a SNMPv2 (autentizace pomocí community string – textové heslo). Verze SNMPv3 využívá autentizaci pomocí jména, hesla a šifrování. SSL (Secure Socket Layer) a TLS (Transport Layer Security) Protokol od firmy Netscape, transportní protokol, který zajišťuje šifrovanou přenosovou cestu. Používán pro protokol HTTP a FTP. Skládá se dále ze dvou částí – Record Protocol (zajišťuje šifrování a slouží pro přenos aplikačních dat) a Handshake Protocol (stará se o sestavení spojení a ověření stran). SSL je předchůdcem protokolu TLS, ten se zakládá na výměně záznamů. Tento záznam se můžeme volitelně komprimovat a připojit k němu autentizační kód. SSH (Secure Shell) Protokol SSHv1, již dnes zastaralý, v současnosti nahrazen protokolem SSHv2. Náhrada pro protokol Telnet, jedná se vlastně o šifrovanou obdobu telnetu. Protokol není prezentován jednolitou vrstvou, ale rozděluje se do tří úrovní: • Transportní – zajišťuje výměnu klíčů a autentikaci, dále o kompresi a ověřování integrity dat. • Ověřovací – stará se o autentikaci klientů a autorizační požadavky klienta (password, publickey, GSSAPI). • Spojovací – definuje koncept kanálů, požadavků kanálů a používání globálních požadavků (standardní typy kanálů – Shell, Direct-tcpip, Forwarded-tcpip). (Peterka, 2008) 3.1.5

Virtuální privátní síť (VPN - Virtual Private Network)

Virtuální privátní síť (VPN), je šifrované síťové spojení, které při své činnosti využívá mezi dvěma koncovými body bezpečný komunikační tunel. Tunel je vedený po Internetu či jiné síti WAN. Nad sítí VPN může každý vzdálený uživatel bezpečně a spolehlivě komunikovat s privátní sítí LAN. Základní typy VPN sítí • VPN pro vzdálený přístup – umožňuje bezpečné připojení jednotlivých uživatelů k centrálnímu pracovišti (uživatel – LAN síť) přes Internet, nebo jinou WAN síť. • VPN pro spojení pracovišť – tyto sítě rozšiřují stávající LAN síť ve firmě do dalších lokalit a pracovišť. Zaměstnanci mezi pobočkami pak mohou využívat stejné síťové služby jako pracovníci v jiných lokalitách. Někdy se označují jako hardwarové VPN nebo internetové VPN (LAN-to-LAN, site-to-site). • Extranetové VPN – spojení mezi obchodními partnery, dodavateli a zákazníky za účelem vedení elektronické komerce. Extranetové VPN sítě, jsou rozšířením intranetových VPN. (Smith, 2007) 14

3.2

Adresace

Prostřednictvím IP adresy má každý počítač přidělenou jednoznačnou (unicast) síťovou adresu. Pokud má fyzicky více síťových karet, pak každé rozhraní má svoji IP adresu. Některé síťové karty umožňují více IP adres na fyzicky jediném rozhraní (první adresa primární, další adresy jsou pak sekundární nebo aliasy). Využití zejména pro WWW servery (na jednom serveru běží WWW servery více firem – současně se tento přístup považuje za plýtvání, jako náhrada se používají „virtuální serveryÿ, kterým stačí jediná IP adresa). (Peterka, 2005)

3.2.1

Ethernet, FastEthernet a Gigabitový Ethernet

Protokol Ethernet byl vyvinut firmami DEC, Intel a Xerox pro přenosovou rychlost 10 Mb/s. První označení pod Ethernet II. Později IEEE standardizovalo Ethernet pod označením IEEE 802.3. Přičemž linkové rámce podvrstvy MAC se u obou protokolů liší. Oficiálně tyto protokoly nejsou nazývány Ethernet, ale CSMA/CD (podle mechanismu přístupu k přenosovému médiu). Avšak nejrychlejší protokoly od Ethernetu a od samotného mechanismu CSMA/CD upouštějí. (Dostálek 2002) MAC adresa (Media Access Control) MAC adresa je unikátní číslo, které obsahuje každý síťový adaptér. Skládá se ze 48 bitů, dle standardu by se měla zapisovat jako tři skupiny čtyř hexadecimálních čísel (např. 0123.4567.89ab), mnohem častěji se ale píše jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např. 00-19-D2-B62B-D2). Nazývá se také fyzická (hardwarová) adresa, protože se nedá běžně v operačním systému změnit (dnešní moderní karty už tuto možnost nabízejí). Slouží k jedinečné identifikaci, pro přístup do Internetu nebo Intranetu. V systému Win XP se dá zjistit po spuštění příkazu cmd -ipconfig -all z příkazové řádky. (Peterka, 2005)

3.2.2

Protokol IPv4

Adresa IPv4 je tvořena čtyřmi bajty. Zapisuje se notací, kdy se jednotlivé bajty mezi sebou oddělují tečkou. IP adresa se skládá ze dvou částí. První část identifikuje síť, do které je připojeno zařízení a druhá část identifikuje právě toto zařízení v dané síti. Každý oktet má rozpětí od 0 do 255. Každý z těchto oktetů se rozkládá do 256 podskupin, ty se rozkládají do dalších 256 podskupin s 256 adresami v každé podskupině. Kromě jednoznačných (unicast) adres, protokol IPv4 rozeznává dále: • Broadcast – všeobecný oběžník, je určen všem stanicím v síti LAN, šíří se jen v rámci LAN – směrovače jej nepředávájí do dalších sítí (pokud nejsou záměrně konfigurovány).

15

• Multicast – adresný oběžník, adresován konkrétním stanicím, lze šířit i do dalších sítí. • Loopback – programová smyčka, IP o adrese 127.0.0.1, tato adresa nikdy neopouští uzel (počítač). IP adresy se dělí do pěti tříd: • Třída A – pro extrémně velké sítě, nejvyšší bit prvního bajtu má hodnotu 0. Zbylých 7 bitů prvního bajtu tvoří adresu sítě a zbytek 24 bitů, je určen pro adresu počítače v rámci sítě. • Třída B – střední až velké sítě, nejvyšší dva bity prvního bajtu mají hodnotu 102 . Zbylých 6 bitů a následující druhý bajt je určen pro adresy sítí. • Třída C – pro malé sítě, nejvyšší tři bity prvního bajtu mají hodnotu 1102 . Zbylých pět bitů a následující dva bajty jsou určeny pro adresu sítě. • Třída D – pro multicasting, nejvyšší čtyři bity prvního bajtu mají hodnotu 11102 . Zbytek IP adresy se pak dále nedělí na adresu sítě a adresu počítače. • Třída E, tvoří zbytek adres (rezervu), masku nemá. (Dostálek, 2002) Síťová maska Síťová maska je nástroj pro zjištění adresy sítě z IP adresy. Síťová maska určuje, které bity v IP adrese tvoří adresu sítě. Síťová maska je jako IP adresa také čtyřbajtová. Bity síťové masky, které patří adrese sítě, jsou v síťové masce nastaveny na 1 a ostaní bity na 0. VLSM (Variable Length Subnet Masks) Sériové spoje propojují pouze dva uzly, proto potřebují adresový prostor v rámci podsítě pouze pro dvě adresy stanic. Lokální síť Ethernet může propojovat až stovky stanic a její požadavky na adresový prostor stanic jsou podstatně vyšší. Proto se musí vyhovět možnosti používat v rámci jedné adresy sítě několika podsíťových masek různé délky (VLSM) odpovídajících konkrétním požadavkům na adresaci podsítí a připojených stanic. Výsledné adresy stanic musí být nadále jednoznačné. VLSM umožňuje podsíťovat podsítě, tzn. vyjít z adresy podsítě a tu dále dělit podle stejných pravidel. (Peterka, 2005) Subnetting Pod metodou subnetting si můžeme představit, že rozdělíme třídní adresu sítě do malých beztřídních kousků. Maska sítě je použita pro rozdělení IP adresy na adresu sítě a také na adresu hostitele. Touto metodou dostaneme IP adresu a masku podsítě. Subnetting je vnitřní funkcí sítě, představuje zabezpečení a omezování broadcastů, protože pro komunikaci s dalšími podsítěmi potřebujeme směrovač. (Peterka, 2005) Supernetting Supernetting je pravým opakem subnettingu. Připojuje několik původně samostatných síťových IP adres v jednu výslednou. Nemohou to být jen ty síťové adresy, které se shodují v určitém počtu vyšších bitů své síťové části a vyčerpávají všechny bitové kombinace v příslušném počtu nižších bitů své síťové části. (Peterka, 2005) 16

CIDR – Classless InterDomain Routing Metoda CIDR nahrazuje původní „třídníÿ rozdělení IP adres (třídy A, B a C). Současně jsou IP adresy přidělovány po CIDR blocích, s velikostí danou příslušnou maskou – takže jemnost, s jakou jsou adresy čerpány z prostoru všech IP adres, může být velmi pružně přizpůsobována skutečným potřebám praxe, což dále snižuje tempo vyčerpávání celého adresového prostoru. (Peterka, 2005)

3.2.3

Protokol IPv6

Tento protokol je nazýván protokolem nové generace, protokol je již stár přes 13 let, je téměř všemi systémy podporován, ale není příliš používán. IPv6 přináší zvětšení IP adres ze čtyř na šestnáct bajtů a nový pohled na stavbu IP datagramu. IP datagram se skládá ze čtyřiceti bajtů dlouhého základního záhlaví. IP adresy odesílatele a příjemce zaberou 32 bajtů. Dále má IPv6 za cíle standartizovanou podporu bezpečnosti, podporu pro mobilní zařízení dočasně se nacházející mimo svou domácí síť, funkce pro zajištění úrovně služeb (QoS – Quality of Services) a hlavně jednoduchý přechod z původního IPv4. (Dostálek, 2002)

3.3

Přenosová média počítačových sítí

Strukturovaná kabeláž Strukturovanou kabeláží rozumíme komplexní řešení nízkonapěťových rozvodů v budově. Nejčastější jsou rozvody pro LAN a telefonní rozvody. V každé místnosti jsou umístěny telefonní a LAN zásuvky. Z těchto zásuvek vedou rozvody do propojovacích panelů (Patch Panel) v rozvaděči (Rack). Propojení mezi propojovacím panelem a aktivními prvky se provádí pomocí propojovacích kabelů (Patch Cord).

3.3.1

Standardy strukturované kabeláže

• TIA/EIA-568-B – standard vycházející ze standardu TIA/EIA-568-A, zavádějící kategorii rozvodů. Každá kategorie se liší hlavně maximální frekvencí přenosu. • ISO/IEC 11801 – tento standard specifikuje metalické rozvody a opitcké rozvody. Měděné rozvody s pomocí párů kroucené dvojlinky zavádí třídy A až F, v závislosti na maximální přenosové frekvenci. (Dostálek, 2002)

17

Tabulka 2: Přehled používané strukturované kabeláže

Frekvence Využití Do 100 MHz 10/100/1000BASE-T Do 250 MHz 10/100/1000BASE-T i 10GBASE-T Do 600 MHz 10/100/1000BASE-T, 10GBASE-T v budoucnu 100GBASE-T 3.3.2

TIA/EIA-568-B Kategorie 5 a 5e Kategorie 6

ISO/IEC 11801 Třída D Třída E

Kategorie 7 (hovo- Třída F rově)

Metalické rozvody

Metalické rozvody se rozdělují na dvě podkategorie, tzv. kroucenou dvoulinku a koaxiální kabely. Kroucená dvoulinka Tento kabel se skládá ze čtyř párů kroucených dvojlinek. Výrobci pak vytvoří kabely příslušné kategorie. Jako koncovka metalických rozvodů se nejčastěji používá konektor RJ-45 (RJ – Registered Jack). Tento konektor obsahuje osm vývodů pro čtyři páry. K dostání je ve dvou typech, stíněná kroucená dvoulinka (STP – Shielded Twisted Pair), která je ovšem dražší, než původní nestíněná kroucená dvoulinka (UTP – Unshielded Twisted Pair, má sníženou odolnost proti průmyslovému rušení, proti vlivu rázových magnetických polí atd.). Doporučené spojení dvou uzlů max. do 100 m, pro spojení k rozbočavačům. (Peterka, 2005)

3.3.3

Optické vlákno

Optické vlákno je tvořeno dvěmy vrstvami skla. Jedno sklo je použito pro samotné jádro vlákna a druhý typ vlákna pro jeho obal. Jádrem vlákna je veden optický paprsek, který se postupně odráží mezi těmito skly. Při jedné z těchto vlnových délek světla 850 nm, 1300 nm a 1500 nm má sklo nízký optický odpor a ten je nutný pro buzení optického signálu. Na jedné straně vlákna je vždy vysílač a na druhé straně příjímač (simplexní spoj). Téměř vždy potřebujeme duplexní spoj, proto musíme mít dvojici vláken – pro každý směr jedno. Použití pro vysokorychlostní komunikaci na větší vzdálenosti (nad 100 m a např. pro spojeni dvou rozvaděčů v rámci jedné LAN sítě). Oproti metalickým rozvodům jsou optické rozvody odolné vůči elektormagnetické interferenci a přeslechům. Mají velkou šířku pásma, nízký útlum (malý počet zesilovačů na trase) a elektrickou izolaci. Provoz je bezpečnější z hlediska přenosu, signál nelze jednoduše vyvázat. Optická vlákna máme dvojího průměru: • Mnohavidové vlákna (multi mod) – průměr vlákna 50 µm. Buzení pomocí LED, u gigabitového Ethernetu pomocí laseru. Levnější varianta oproti jednovidovým vláknům, použití v praxi do dvou km. 18

• Jednovidové vlákna (single mod) – průměr vákna 9 µm, tyto vlákna mají úzké jádro a vlivem toho se paprsek šíří vláknem rovnoběžně, nedochází zde k odrazu mezi oběma skly. Tyto vlákna se používají pro spojení na velké vzdálenosti. Buzení za pomocí laseru. (Dostálek, 2002) 3.3.4

IEEE 802

IEEE 802 jsou standardy protokolů pro LAN, MAN sítě. Standardy pokrývají vrstvu fyzickou a linkovou. Linkovou vrstvu si standardy IEEE 802 dělí na několik podvrstev. Horní patra linkových protokolů pod označením IEEE 802.1 a IEEE 802.2 jsou společné pro všechny další protokoly pod nimi. V rodině protokolů IEEE 802.2 máme např. tyto další protokoly: • IEEE 802.3 – specifikuje Ethernet, pod oficiálním názvem CSMA/CD, podle mechanismu přístupu k přenosovému médiu • IEEE 802.11 – specifikuje bezdrátové lokální sítě (WLAN) Tabulka 3: Přehled protokolů Ethernet (Dostálek, 2002)

Ethernet

Přenosová rychlost 10 Mb/s 100 Mb/s

Kabel

1000Base-T 1000BaseSX 1000BaseLX 10GBase-T 10GBase-SR

1Gb/s 1 Gb/s

10GBase-LR

10 Gb/s

10Gbase-ER

10 Gb/s

Kategorie min. 5e Pár vícevidových vláken Pár jednovidových vláken Kategorie min. 6 Pár vícevidových vláken Pár jednovidových vláken Pár jednovidových vláken

100Base-TX 100Base-FX

1 Gb/s 10 Gb/s 10 Gb/s

Kategorie 5 a výše Pár optických vláken

Max. délka segmentu 100 m

100 m 500 m 10 km 55 až 100 m 300 m 10 až 30 km 40 km

Zakončení RJ-45 Optický konektor RJ-45 Optický konektor Optický konektor RJ-45 Optický konektor Optický konektor Optický konektor

19

3.4 3.4.1

Bezpečnost a monitoring sítě Bezpečnost sítě

Na bezpečnost sítě, se lze dívat z mnoha stránek a různých úhlů pohledu. Zde si každá firma musí určit, jakým potenciálním hrozbám a útokům je její síť vystavena. Každá firma by měla mít stanovené zásady zabezpečení sítě a z těchto pravidel, by mělo být každému uživateli jasné, za co je kdo zodpovědný. Jaké procesy a zásady platí pro jednotlivé oddělení. Nejvíce se tyto zásady týkají IT oddělení a to jak mají např. konfigurovat servery, dále pak jaká pravidla nastavit na firewallech atd. Základní principy při návrhu zabezpečení • Víceúrovňová bezpečnost – uvědomnění si, že jen jediné zabezpečené místo proti útoku nestačí. Dobře navržená síť je jen taková, jejíž zabezpečení je implementováno konzistentně ve všech jejích částech. Jedná se o nejdůležitější část při tvorbě bezpečnosti sítě. • Řízení přístupu – za provoz sítě zodpovídají její administrátoři. Proto tito lidé musí určit, kdo do ní bude mít přístup. Měli bychom se řídit zásadou, vše zablokovat a povolit jen to nejnutnější pro práci uživatele. Tato zásada se nazývá politika nejmenších oprávnění. • Zabezpečení podle konkrétní role – oprávnění pro přístup uživatele zvolíme takové, které odpovídají jeho roli v organizaci. • Uvědomění uživatelů – je potřeba proškolit zaměstnance v organizaci a vysvětlit jim základy bezpečnosti. • Monitorování – je nutné i zabezpečenou síť dále monitorovat a sledovat. • Aktualizace systémů – administrátoři by měli dohlednout, aby se na všech systémech nacházely aktuální aktualizace a potažmo i záplaty. (Smith, 2007) Certifikace ISO a bezpečnost Soulad mezinárodních uznávaných norem a standardů je stále důležitější. Organizace ISO přináší řadu norem, v oblasti počítačové bezpečnosti je norma ISO 17799 mimořádně široká a vyčerpávající. Tato norma se dále dělí do několika oblastí: • Řízení kontinuity podniku – popisuje možnosti pokračování podniku po zásadním selhání nebo havárii. • Řízení přístupu k systémům – popisuje řízení a přístup k informacím v dané organizaci a detekci neoprávněných aktivit. • Vývoj a údržba systémů – popisuje procesy ochrany aktivit začlenění principů bezpečnosti do všech stránek IS, softwaru a dat organizace. • Fyzická bezpečnost a bezpečnost prostředí – brání k neoprávněnému přístupu, nebo poškození systému. • Dodržování norem – organizace si prostřednictvím auditu ověřují, jestli nenarušují zákoné a podzákonné normy. • Personální bezpečnost – popisuje možnosti snížení rizika lidské chyby, krádeže nebo zneužití systému (popisuje i výsledné ponaučení z incidentů). 20

• Organizace bezpečnosti – vymezuje způsoby řízení a udržování bezpečnosti informací ve firmě či organizaci. • Správa počítačů a provozu – popisuje metody vedoucí k minimalizaci rizik za současného zvýšení bezpečnosti, prováděné s ohledem na střežení informací a ochranu před ztrátou. • Klasifikace a řízení aktiv – popisuje udržování potřebné ochrany podnikových aktiv a zjišťuje odpovídající úroveň ochrany. (Smith, 2007) Firewall Firewall je síťové zařízení, sloužící k řízení a zabezpečení síťového provozu. Kontroluje síťový provoz, který vstupuje do některého z jeho rozhraní. Aplikujeme na něj pravidla, které daný provoz povolují nebo zamítají. Firewall filtruje příchozí i odchozí provoz. Síťový provoz mohou firewally filtrovat podle zdrojové a cílové IP adresy, podle protokolu nebo stavu spojení. Většina firewallů provádí stavovou inspekci paketů, která sleduje veškeré odchozí pakety a podle potřeby na ně reaguje. Dvojí povinnost při práci s pakety – jejich inspekce a filtrování, je z jednou z nejdůležitějších činnsotí firewallu. Pravidla činnsoti firewallů a jejich funkce • Blokování příchozího síťového provozu, podle zdroje nebo cíle, zajišťuje blokování nežádoucího příchozího provozu – zabraňuje vstupu nežádoucího provozu do vnitřní sítě. • Blokování odchozího síťového provozu, podle zdroje nebo cíle, některé firewally dokáží sledovat síťový provoz ve směru z vnitřní sítě do Internetu (zablokování nevhodných webových stránek). • Blokování síťového provozu podle obsahu, vyspělejší firewally sledují v síťovém provozu nepřípustný obsah. Do firewallu může být např. integrován antivirový program, nebo s integorvanými e-mailovými službami (monitorují a blokují nežádoucí poštu – spam). • Zpřístupnění zdrojů vnitřní sítě, možnost nakonfigurovat selektivní povolení přístupu k prostředkům vnitřní sítě (veřejný webový server). • Povolení spojení do vnitřní sítě, některé firewally obsahují funkci sítě VPN a usnadňují spojení. • Oznamování průběhu síťového provozu a činnosti firewallu, veškeré aktivity na firewallu jsou zaznamenávány serveru syslog nebo do jiného záznamového zařízení. Systémový protokol po proběhlém útoku je jeden z průkazných nástrojů. Firewall v praxi V dnešní době je na trhu spousta druhů různých firewallů, liší se hlavně ve velikosti a parametrech. Při výběru firewallu bychom měli vědět, jaké bude mít firewall povinnosti. Když nebudeme uvažovat osobní firewally, tak pro firmy můžeme použít následující typy firewallů:

21

• Integrovaný firewall, pro uživatele a organizace s širokopásmovou přípojkou, do sítě připojeny pomocí jediného zařízení (plní funkci směrovače, ethernetového přepínače, bezdrátového přístupového bodu a firewallu). • Firewall pro malé až střední firmy, pro ochranu a bezpečnost menších sítí, k použití například produkty od firmy Cisco řady PIX, nebo novější ASA (http://www.cisco.com). • Firewall podnikové úrovně, vyšší třída firewallů, pro velké organizace až s tisíci uživateli, tyto firewally mají více funkcí a možností např. více paměti a síťových rozhraní. Použití např. Cisco ASA 5500 (http://www.cisco.com). IEEE 802.1x (Port-Based Network Access Control) IEEE 802.1x je obecný bezpečnostní rámec pro všechny typy LAN, zahrnující autentizaci uživatelů, integritu zpráv (šifrováním) a distribuci klíčů. Ověřování se u WLAN realizuje na úrovni portů přístupového bodu WLAN (protokol ale není specifický pro bezdrátové sítě). 802.1x má za cíl blokovat přístup k segmentu lokální sítě pro neoprávněné uživatele. Je založený na protokolu Extensible Authentication Protocol (EAP, RFC 2284), který byl původně vyvinut pro PPP LCP (Point-to-Point Protocol Link Control Protocol). Jedná se o mechanizmus přenosu EAP paketů prostřednictvím spojové vrstvy LAN (zprávy EAP se zapouzdřují do rámců 802.1x). Proto se 802.1x označuje jako EAPOL (Extensible Authentication Protocol over LANs) 802.1x používá k šifrování dat v další komunikaci pro každou autentizovanou stanici dynamické klíče. Tyto klíče jsou známy pouze dané stanici, mají omezenou životnost a využívají se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí. (Pužmanová, 2002) EAP (Extensible Authentication Protocol) EAP je rozšiřitelný ověřovací protokol, původně byl určen pouze pro protokol PPP. EAP je alternativou k proprietárním ověřovacím systémům a umožňuje snadnou práci s hesly, tokeny i PKI certifikáty. Nezajišťuje ověřování jako takové, ale otevřený transportní mechanismus pro ověřovací systémy. Prostřednictvím standardizace EAP se zjednodušila kompatibilita systémů od různých výrobců. (Svět sítí, 2000) IPS/IDS systémy IPS/IDS systémy se nasazují na přenos kritických dat, na které by se měl dávat větší pozor. Na toto dohlížejí právě IDS/IPS systémy. Systémy IPS/IDS dělíme na „host basedÿ a „network basedÿ. Pro obě tyto kategorie je společné sledování systému, schopnost upozornit administrátora na případný útok a také záznam do logu. Host based systémy se nasazují přímo na jednotlivé stanice nebo servery. Network based (síťové) systémy jsou specializováná zařízení pro monitorování dění na síti. IDS je systém pro detekci narušení, slouží k odhalování pokusů o narušení integrity síťového provozu, utajení a dostupnosti dat v chráněné síti. Jedná se o pasivní systém, který pouze upozorňuje na útok. Některé IDS systémy dokáží za spolupráce 22

s firewallem, který dynamicky mění svoji politiku, aby zamezil komunikaci vyhodnocené jako útok, také reagovat na samotný útok. IPS je systém pro prevenci narušení, je schopný útoky zároveň detekovat a reagovat na ně. Je schopen útoku zabránit, ještě než je vůbec zahájena jakákoliv komunikace. Není totiž závislý na firewallu a nemusí čekat na jeho požadavky. (Darth, 2007) VLAN (VirtualLAN) VLAN zajišťují logické rozdělení sítě, které není závislé na fyzickém uspořádání. Pomocí jednoho kabelu vede více virtuálních sítí. Přiřazení do VLANy je nastavováno typicky na přepínači. Na přepínači, který podporuje VLAN, vždy existuje alespoň jedna VLAN. Jedná se o standardní VLAN číslo 1, tu není možno smazat či vypnout. Pokud není nastaveno jinak, tak jsou všechny porty zařazeny do VLAN 1. Trunk označuje port, který je zařazen do více VLAN. Tento port přenáší více VLAN a aby je mohl odlišit, tak je označuje. Spoji dvou trunk portů se říká trunk nebo trunk link. Důvody vzniku VLAN: • Seskupování uživatelů, podle skupin, oddělení, služeb, fyzické umístění a oddělení komunikaci mezi nimi. • Snížení broadcastů, v síti, které začaly být problémem již před několika lety. • Zmenšení kolizních domén, v době, kdy se namísto přepínačů, používaly huby. Pro zařazení komunikace do VLANy existují čtyři základní metody (podle portu, MAC adresy, protokolu, autentizace). V praxi je nejvíce využívána metoda podle portu (zařazení dle portu). Port přepínače je ručně a napevno zařazen (nakonfigurován) do určité VLANy. Veškerá komunikace, která přichází přes tento port, spadá do zadané VLANy. Pokud do portu připojíme další přepínač, tak všechny zařízení připojená k němu budou v jedné VLANě. Jedná se o nejrychlejší a nejpoužívanější řešení. (Bouška, 2007)

3.4.2

Monitoring sítě

První skupinou jsou nástroje pro sledování sítě (Packet sniffers), tyto nástroje se využívají pro sledování dat procházejících sítí. Pod slovem sledováním rozumíme zachytávání linkových rámců v sítí a jejich ukládání do paměti. U zachycených rámců pak dále prohlížíme jejich obsah. Tyto nástroje se dále používají pro vyvíjení síťových aplikací. Aplikace fungující v režimu klient-server. Pokud nedojde ke spojení, můžeme pomocí odchytávání datových rámců zjistit, jestli klient odeslal datový rámec. Když na něj server neodpověděl, pravděpodobně bude chyba na straně serveru. Druhou skupinou jsou nástroje pro sledování ostatních systémů na síti. Při zkoumání sítě se generují pakety, kterými se síť zkoumá. Díky těmto paketům můžeme odhalovat slabiny v počítačích připojených v síti. Jedná se o nástroj, kterým 23

můžeme např. zjistit stálá hesla uživatelů, nebo obecně slabá místa. (Dostálek, 2002)

3.5

Adresářová služba (AD – Active Directory)

AD je adresářová služba, která je rozšiřitelná, škálovatelná a umožňuje efektivně uspořádat síťové prostředky. Samotná služba je založena na standartních internetových protokolech a je navržena pro jednoznačné navřžení strukutry sítě. AD využívá službu DNS, která organizuje skupiny počítačů do domén, kde struktura domén služby DNS je hierarchická. Pro hledání počítačů v tomto typu domény se používají úplné názvy v doméně (FQDN – Fully Qualified Domain Name). Domény nejvyšší úrovně jsou základem hierarchie služby DNS a nazývají se proto kořenové domény. Služba DNS je nedílnou součásti AD, proto je nutné ji nakonfigurovat, ještě před instalací služby AD. Služba AD obsahuje logické a fyzické struktury součástí sítě. 1. Logické struktury AD • Organizační jednotky – podskupina domén, která často odpovídá řídící struktuře sítě. • Domény – skupina počítačů sdílejících společnou adresářovou databázi. • Stromy domén – jedna nebo více domén sdílejících souvislý obor názvů. • Lesy domén – jeden nebo více stromů domén sdílejících společné adresářové informace. 2. Fyzické struktury AD • Podsítě – síťová skupina se specifickým rozsahem adres IP a masky podsítě. • Sítě – jedna nebo více podsítí (pro konfiguraci přístupu adresářové službě a replikací). Logické struktury pomáhají při organizaci objektů adresářové služby, při správě účtů a sdílených prostředků sítě. Fyzické struktury usnadňují komunikaci v síti a fyzicky ohraničují prostředky sítí. Doména (Domain) Doména AD je skupinou počítačů sdílejících společnou adresářovou databázi, názvy domén musí být jedinečné. K jedné nadřazené doméně může mít podřízené domény. Pokud je doména součástí privátní sítě, nesmí být název domény v konfliktu s žádným jiným existujícím názvem domény v této síti. Doména není omezena na fyzickou lokaci a může se rozprostírat přes všechny pobočky. (Russel, 2005) Organizační jednotky (OU – Organizational Unit) Organizační jednotky jsou logické kontejnery, do kterých je možné umisťovat účty, sdílené prostředky a jiné organizační jednotky. Umožňují přiřadit zásady skupiny pro malý počet objektů domény, aniž by byl ovlivňován zbytek domény (můžeme stanovovat a spravovat zásady skupiny). 24

Vytvářejí pohledy na adresářové objekty domény, to umožňuje s nimi lépe pracovat – efektivnější správa prostředků. (Russel, 2005) Sítě a podsítě (Sites) Sítě jsou určeny k prezentaci fyzické struktury sítě. Sítě jsou nezávislé na logických doménových strukturách a nemají proto spolu žádný vztah. V jdedné doméně AD je možné vytvářet více sítí nebo můžeme mít jednu síť, která je k dispozici více doménám. Podsíť můžeme chápat jako skupinu síťových adres. Podsítě mají svoji specifický rozsah IP adres a masku podsítě. Počítače zařazujeme do sítí na základě jejich umístění v podsíti. Jestli spolu mohou počítatč efektivně komunikovat, mají tzv.„rychlé spojeníÿ. Nejvhodnější je, když se sítě skládají z podsítí a počítačů s rychlým spojením. Rychlé spojení připojení přináší sítím několik výhod: • Při přihlašování počítače k doméně, proces ověření nejprve vyhledá řadiče domény, které jsou ve stejné síti. (Místní řadiče se použijí jako první – ověření probíhá místně a urychlí se). • Replikace adresářových informací se replikuje častěji v rámci sítě, než mezi sítěmi – snižuje se zatížení sítě a místní řadiče domény mají k dispozici nejnovější informace. (Russel, 2005) Doménový řadič (DC – Domain Controller) Doménový řadič, je server s operačním systémem MS Windows Server 2003, nebo MS Windows 2000, který obsahuje doménovou databázi. V jedné doméně může být více doménových řadičů, přičemž jeden doménový řadič je nadřazen těm ostatním.

25

4 4.1 4.1.1

Analýza současného stavu počítačové sítě ve ZÚ Brno. Analýza stávající síťové infrastruktury Celková síťová infrastrukutra

Každá lokalita je připojena do společné sítě pomocí virtuální privátní sítě (VPN). Ta je realizována pobočkovými směrovači od poskytovatele datových služeb. Mezi každým pobočkovým serverem je dále vytvořena VPN síť od poskytovatele pobočkových serverů z důvodu eliminování přístupu poskytovatele datových služeb do jednotlivých LAN sítí. Propojení jednotlivých lokalit je realizováno prostřednictvím centrálního serveru ZU-1. Na centrálním serveru jsou nastavována veškerá filtrační pravidla. Komunikace mezi pobočkami probíhá přes ZU-1, přiřazování adres na routrech probíhá staticky a je plně v režii firmy SoLNet s.r.o. Centrální server ZU-1 je umístěn v serverovně poskytovatele. Všechny lokality jsou připojeny pomocí širokopásmové bezdrátové sítě FWA (Fixed Wireless Access) s celkovou šířkou pásma 5 Mb/s. Rozdělení šířky pásma mezi jednotlivé lokality je silně závislé na velikosti lokality, počtu uživatelských stanic zapojených do Internetu, typu a náročnosti využívajících služeb pro přenos dat přes Internet. Rozdělení celkové šířky pásma je uvedeno v následující tabulce. Tabulka 4: Rychlosti připojení lokalit ZÚ Brno

Lokalita Gorkého Masna Stará Jugoslávská Vyškov Znojmo Břeclav Blansko

Server Rychlost připojení ZU-2 2048 Kb/s ZU-3 1024 Kb/s ZU-4 512 Kb/s ZU-5 256 Kb/s ZU-6 512 Kb/s ZU-7 256 Kb/s ZU-8 256 Kb/s ZU-9 256 Kb/s

26

Obrázek 1: Schéma sítě a VPN připojení ve ZÚ Brno 27

4.1.2

Analýza síťové infrastruktury v lokalitě Gorkého

Na této lokalitě sídlí vedení ZÚ Brno, je to čtyřpatrová budova s přistavenými laboratořemi připojenými tunelem do druhého patra. Ve třetím patře sídlí odd. informatiky, jedná se o dvě kanceláře umístěné vedle sebe. V oddělení informatiky pracují tři zaměstnanci, vedoucí a dva studenti na poloviční úvazek. Celkový úvazek připadající na odd. je tedy 2.0. Do jedné z kanceláří je přiveden optickou linkou přes optický převodník přístupový okruh Internetu, zakončený pobočkovým směrovačem. Ten je dále propojen s pobočkovým serverem a ten je již přímo napojen na lokální síť. Lokální síť Lokální síť je vytvořena pomocí strukturované kabeláže kategorie 5, svedené do centrálního rozvaděče. Rozvaděč je vybaven přepínači Hewlett-Packard (dále jen HP) ProCurve Switch 6108 s šesti RJ45 porty specifikace 10/100/1000 (IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX, IEEE 802.3ab Type 1000Base-T), dvěma dual-personality porty a dvěma open mini-GBIC sloty. Přepínač podporuje VLAN (virtuální LAN – logicky nezávislá síť v rámci jednoho nebo několika zařízení), která ale nebyla dřívějšími vedoucími pravocníky odd. informatiky shledána jako nutná, pro síťový provoz. Procesorem Motorola MPC8245 PowerPC, 16 MB flash kapacitou a datovým tokem 11.9 mpps (64-byte packets). Druhým přepínačem je HP ProCurve Switch 2650, přepínač se čtyřecetiosmi RJ45 porty specifikace 10/100 (IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX). Procesorem Motorola Power PC MPC8245 266 MHz, flash kapacitou 8 MB a 32 MB SDRAM. Datový tok přepínače je 10.1 million pps. Oba přepínače jsou propojený s jednotlivými patch panely. Do tohoto rozvaděče je napojeno 1. až 4. patro hlavní budovy. Oba tyto přepínače jsou umístěny v hlavním rozvaděči. V laboratořích je umístěn rozvaděč s přepínačem HP ProCurve Switch 2626, má dvacetčtyři RJ-45 portů specifikace 10/100 (IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-T). Dva Dual Personality porty a jeden RS-232C DB-9 console port. Datový tok je 6.6 million pps. Tento rozvaděč s přepínačem je propojen optickým kabelem s přepínačem v hlavním rozvaděči a je do něj zapojeno 0. patro hlavní budovy a 0. a 1. patro laboratoří. Pobočkový server, řadič domény i aplikační server jsou zapojeny do záložních zdrojů od firmy APC, záložní zdroje jsou dále zapojeny do přepěťových ochran od firmy APC. Směrovače jsou také zapojeny do přepěťové ochrany. Internetový okruh z pobočkového směrovače je zapojen do přepěťové ochrany se vstupem a chráněným výstupem pro RJ-45, což přináší ochranu zařízení proti vyhoření přes síťový kabel. Propojení síťových zařízení Z pobočkového směrovače vede UTP kabel do síťové karty s označením WAN na pobočkovém serveru, z něj pak ze síťové karty s označením LAN do přepínače HP 6108 do portu 1. Do portu 2 a 3 jsou připojeny servery (Doménový řadič a Aplikační server). Z portu 5 do portu 48 vede UTP kabel do přepínače HP 2650. Do druhého přepínače jsou zapojeny všechny uživatelské stanice hlavní budovy. Přepínače HP 2650 28

a HP 2626 jsou spojeny optickou linkou z portu 49 do portu 25. Do tohoto přepínače jsou pak zapojeny laboratoře. Rychlost vnitřní sítě je 100 Mb/s, optická linka 1 Gb/s. IP adresace IP adresy jsou nastavovány ručně a nejsou řazeny nebo přiřazovány podle nějakého klíče, např. podle patra, oddělení, typu stanice (notebook, pc). Po každém přeinstalování uživatelského počítače nebo nákupu nového, se jednoduše nastavuje volná IP adresa. Jen u síťových tiskáren, jsou použity po sobě jdoucí IP adresy. • IP adresy: pro uživatelské stanice jsou nastavovány v rozsahu 192.168.214.21– 192.168.214.200, pro potřeby administrátorů jsou rezervovány IP adresy od 192.168.214.10 do 192.168.214.20 • Maska sítě: 255.255.255.0 • Brána: 192.168.214.1 • DNS server primární: 192.168.214.1 • DNS server náhradní: 192.168.100.1 • Síťové tiskárny: vymezen rozsah 192.168.214.30–192.168.214.35

29

Obrázek 2: Schéma sítě na pobočce Gorkého

30

4.1.3

Ostatní lokality

Struktura vnitřní sítě na všech ostatních lokalitách je podobná jako na Gorkého. Lokální sítě jsou tvořeny strukturovanou kabeláží kategorie 5. Ve všech lokalitách jsou umístěny rozvaděče s pobočkovými směrovači a pobočkovým serverem. Přepínače jsou propojeny s patch panely. Rychlost vnitřních sítí je 100 Mb/s. Všechny typy přepínačů jsou od firmy HP modelové řady Pro Curve. Tabulka 5: Základní přehled jednotlivých lokalit a typu přepínačů

Lokalita Počet PC Gorkého 40 Masna 40 Stará 6 Jugoslávská 5 Vyškov 4 Znojmo 2 Břeclav 4 Blansko 3 Vyškov 4 Celkem 108

4.1.4

Typ přepínače 2650, 2626, 6108 2650, 2626 2626 2626 2626 2626 2626 2626 2626 –

Term. přístup – – – – Masná Masná Masná Masná Masná –

Analýza služeb a systémů

Uživatelské stanice Hardwarové vybavení uživatelských stanic je velice rozmanité, některé počítače byly vyrobeny již před deseti lety. Jedná se hlavně o počítače, které jsou připojeny ke starším měřícím přístrojům. Tyto stanice využívají systémy MS Windows 95 a Windows 98/SE, které však musí být zachovány kvůli kompatibilitě s programy běžícími pod MS-DOS. Celkem má ZÚ Brno 104 počítačů v síti. Všechny ostatní stanice běží na systémech MS Windows XP Professional a pět stanic na systému MS Windows XP Home. ZÚ Brno má nakoupeno operační systémy MS Windows XP Professional a kancelářské balíky MS Office Standart a Professional v licenci v SA (Software Assurance). Všechny nově nakoupené počítače po roce 2005 byly pořízeny se softwarem ve verzi OEM (Original Equipment Manufacture). Všichni uživatelé mají možnost tisku na síťové laserové tiskárny. Na Gorkého jsou dva druhy tiskáren, prvním typem je černobílá tiskárna Samsung ML-2250 (celkem čtyři kusy), druhým typem pak barevná HP Color LaserJet 2550 (jeden kus). K oběma tiskárnám je přístup pro správu přes webový prohlížeč, po zadání IP adresy tiskárny. Outsourcering services Základem všech informačních systémů ve ZÚ jsou služby dodávané společností 31

SoLNet s.r.o. (dále jen SoLNet), která na svých pobočkových serverech provozuje všechny základní služby. Pobočkové servery jsou v její správě, nákup i provoz serverů je v její režii. Po každých uplynulých třech letech přecházejí servery do vlastnictví ZÚ Brno a firma SoLNet nakoupí a nasadí nový hardware. Softwarové řešení serveru je postaveno na otevřeném systému Debian GNU/Linux 3.0 s jádrem řady 2.4. Seznam služeb dodávaných společností Solnet • Provozování domény ZUBRNO založené na technologi SAMBA 3.0. • Transparentní připojení lokálních sítí do VPN a Internetu. Klienti uvnitř sítě mohou navazovat spojení se servery na Internetu. • Ochranu lokální sítě a brány proti útokům z Internetu pomocí firewallu. • Šifrované propojení celé místní sítě na centrální server pomocí SSL tunelů. Vlastní připojení probíhá přes produkt OpenVpn. • Řešení pošty pomocí poštovního serveru Exim, ten umožňuje libovolný počet schránek, virtuálních adres, přeposílání mailů, archivaci příchozí a odchozí pošty. • Pomocí technologie QoS (Duality of Service) zajišťují spravedlivé rozdělení pásma a zvýhodnění (potlačení) vybraných protokolů v toku dat. Současně umožňuje přehledové účtování celkových toků dat z a na pobočku či na její vybrané části. • Výběr pošty klientskými stanicemi probíhá pomocí protokolu POP3 nebo IMAP. • DNS cache pro urychlení přístupu na Internet – IP adresy přeložené z doménových jmen se uschovávají v paměti brány a zmenšuje se tím režie přístupu klientských stanic k internetovým DNS serverům. • HTTP a FTP proxy pro urychlení přístupu na Internet (Squid), stránky a soubory stažené z Internetu se ukládají do cache na disku brány a při opětovném přístupu ke stejnému prostředku se použijí, čímž se významně omezí objem dat přenesených z Internetu. V administrátorské části umožňuje http proxy také sledování a omezování přístupu na WWW z vybraných interních počítačů. Omezování je možné provádět na základě WWW adres, IP adres počítačů, uživatele i denní doby. • File server, který umožňuje využít zbylou kapacitu disků jako sdílení datové adresáře, případně umožňuje využití serveru jako přípojného bodu sdílených tiskáren. Sdílený adresář je možné vytvořit jako lokální pro pobočku nebo globální pro celou VPN, kdy je pak buď replikováný na ostatní pobočky nebo je jim zpřístupněn vzdáleně online přes VPN. • Účtování přenesených dat umožňuje online přehled provozu na lince pro jednotlivé počítače nebo podsítě. Přes WWW rozhraní je možné zobrazovat grafy průtoků a součtu jednotlivých období.

32

• Antivirová ochrana vnitřní sítě, kontrola příchozí a odchozí pošty na přítomnost virů a blokování přenosu virů prostřednictvím pošty, kontrola dat stažených z Internetu přes HTTP proxy server. • Pošta pro VPN umožňuje centrální správu několika poštovních serverů pomocí automatických replikací databáze LDAP. • Možnost využití výměny informací uvnitř firmy pomocí sdílených kontaktů, sdílených poštovních schránek k poště přes WWW rozhraní odkudkoliv z Internetu (WebMail). • Virtuální privátní síť (VPN) pro vybudování šifrovaného spojení mezi pobočkami, pomocí které jsou pobočky přístupné, jako kdyby byly umístěny na lokální síti. • WWW rozhraní pro práci s poštovní schránkou uživatele. Přístup k nové poště z vnitřní sítě i z Internetu, bez nutnosti konfigurace poštovního klienta. • Servis a správa serverů i celých sítí. Poštovní systém – MAIL Centrální poštovní server zajišťuje výběr a odesílání pošty (SMTP, POP, IMAP) pro všechny pobočky zapojené ve VPN síti. Po nastavení správce server automaticky provádí rozesílání pošty na jednotlivé pobočky a centrálně řeší antivirovou ochranu veškeré příchozí pošty. Lze nastavit i antivirovou ochranu pro odesílanou poštu. Centrální server pak zajišťuje tyto služby: • SMTP(Exim), IMAP(S), DNS cache, HTTP proxy a SMB servery, Quality of Service a WWW rozhraní. • Šifrované propojení pobočkových serverů pomocí SSL tunelů. Firemní pošta je zajišťována produktem WebIS. K poště je možné se přihlásit prakticky odkudkoliv, jedinou podmínkou je mít podporovaný internetový prohlížeč. Po zadání jména pobočky a domény do prohlížeče (např. gorkeho.zubrno) je uživatel vyzván k zadání přihlašovacích údajů. Následně se připojí ke své poště na pobočkovém serveru. Velikou výhodou je přístup k domovským adresářům (home složkám) na pobočkových serverech, dále pak přístup ke sdíleným kalendářům a úkolům. Zálohování pošty a spamový filtr je v režii firmy SoLNet.

4.1.5

Vlastní služby ve ZÚ Brno

Mimo domény spravující společností SoLNet, existuje na ZÚ doména založená na platformě MS Windows Server 2000. Tato doména se skládá ze dvou doménových řadičů umístěných na Gorkého a jednoho řadiče v lokalitě Masná. Jednotlivé doménové řadiče plní funkci ověřovacího serveru pro každého uživatele. V lokalitě Gorkého je v doméně umístěn aplikační server. Aplikační server G-3 Aplikační server běží na operačním systému Microsoft Windows 2003 Standard 33

Edition Service Pack 1. Dvoujádrový procesor Intel Core 2 CPU 6600 2.40 GHz s 2 GB RAM pamětí zaručuje dostatečný výkon pro potřeby běžících aplikací. Stáří serveru je cca osmnáct měsíců. Aplikace na serveru G-3 • Ekonomický systém – Informační systém ISO pro vedení ekonomické, obchodní a provozní agendy firmy Karat software s.r.o. Naprogramován v jazyce FoxPro 2.6a. • Spisová služba – Informační systém pro oběh firemních dokumentů, produkt firmy CNS a.s. IS běží na relačním databázovém serveru Microsoft SQL 2000 Standart Server. • Laboratorní systém MLAB – Informační systém mikrobiologických laboratoří, produkt firmy First Information systems s.r.o. IS běží na databázovém serveru Pervasive SQL v.8 • Mzdový program – Program MZDY firmy NJK Unicos Klatovy s.r.o pro vedení osobní evidence pracovníků a agendy mzdového účetnictví. • Právní systém – Informační právní systém LexData firmy C.H. BECK obsahuje právní normy, sbírky zákonů, legislativu EU, věstníky a zpravodaje. IS pracuje pod Lotus Notes, který je pro lokální stanice dodáván se systémem LexData. • SHAREPOINT 3.0 – Informační systém společnosti Microsoft pro přístup k dokumentům a informacím týkajících se organizace, nazýván též jako Intranet. Je založen na relačním databázovém serveru Microsoft SQL 2000 Standart Server. Přístup do ekonomického systému, spisové služby a mzdového programu je přes přihlašovací jméno a heslo. Všichni pracovníci, kteří pracující s těmito aplikacemi mají svoje unikátní přihlašovací jméno respektive heslo. Tyto systémy používá dohromady šest uživatelů. Pro přístup do laboratorního systému MLAB, musí být ověřeno přihlašovací jméno a heslo pro přihlášení do Windows. V laboratorním systému jsou tyto účty nastavené jako pracovní a jen pod nimi lze v programu pracovat. Program MLAB se pak už jen spustí z přednastavené ikony uložené na ploše. Proto na těchto počítačích nejsou vytvořeny jmenovité účty na zaměstnance, ale účty MLAB01 až MLAB05. Přístup k programu je možný z pěti stanic. Právní systém se také spustí z ikony z plochy, pro stahování nových norem a aktualizací je nutné mít nainstalovaný a oveřený certifikát zaslaný od výrobce programu. Právní systém jen na jedné stanici (pracovnice personalistiky). Přístup k Intranetu je možný z každé stanice po zadání adresy intranet.zubrno. Souborové složky a data Všichni uživatelé pracující se síťovými serverovými aplikacemi musejí mít přístup ke složkám daného programu nebo informačního systému na serveru. Připojování těchto složek probíhá pomocí logon skriptu po autorizovaném přihlášení do domény respektive do počítače. Pro snadnější nastavování práv pro každou sdílenou složku,

34

jsou na centrálním serveru vytvořeny skupiny uživatelů. Globálně je každý uživatel ve skupině users, uživatelé můžou být členy více skupin. Všem uživatelům sítě, se po autorizovaném přihlášení do domény připojí síťový home adresář, pomocí logon skriptu. Na serveru se nacházejí další síťové složky, ty byly vytvořeny pro rychlejší a efektivnější komunikaci mezi uživateli jednotlivých oddělení a center. Například pro sdílení dat mezi ředitelem a sekretářkou. Některé síťové složky jsou zpřístupněny i mezi pobočkami, takže odpadá zdlouhavé a na přenos náročné přeposílání dokumentů, pomocí mailové pošty.

4.2

Bezpečnost, antivirová ochrana, zálohování

Na všech pobočkových serverech je firewall s nastavenými pravidly. Pravidla jsou vytvořena pro potřeby komunikace mezi všemi lokalitami a ochranou před vnějšími útoky z Internetu. Dalším bezpečnostním prvkem je ověřování uživatelů na doménovém řadiči, přihlašujících se do domény. Pracovníci odd. informatiky mají VPN přístup do LAN sítě prostřednictvím služby OpenVpn. Úplný přístup k serverům mají jen členové skupiny administrators (zaměstnanci odd. informatiky). Pobočkové servery a směrovače jsou uloženy v zamčených rackových skříních a napojeny na UPS zařízení od firmy APC. Správa přepínačů je prováděna přes webové rozhraní, po zadání jeho IP adresy a přihlášení se pod jménem a heslem. Povolené služby na firewallu Na pobočce Gorkého jsou na firewallu povolené tyto služby: • Servery AD mezi sebou cokoliv • Přístup z těchto IP všude 192.168.214.10–192.168.214.20/24, pro potřeby administrátorů • Povolen Intranet pro všechny • Přístup ke spisové službě port 80 – jen z některých IP • Přístup na port 2000 – e-banka (jen z pobočky Gorkého) • Přístup na port 1352 – aktualiazce LexData + IP adresa stanice, která aktualiazce stahuje (192.168.214.69) • Služby mezi pobočkami na port 80 • Povolen tisk z IP 192.168.213.227/24 (server) na síťvou tiskárnu z pobočky Masná na IP 192.168.214.29/24 (stanice) Ověřování uživatelů Každý z uživatelů sítě má svoje přihlašovací jméno a vygenerované unikátní heslo. Uživatelé mají možnost změnit si svoje heslo pro přihlášení do domény a zároveň na mailový účet. Heslo však musí splňovat několik kritérií, jako je jeho délka, speciální znaky, malá a velká písmena. Každá změna hesla musí být nahlášena pracovníkům odd. informatiky, kteří provedou jeho kontrolu a formální správnost. Pomocí těchto přihlašovacích údajů se mohou uživatelé přihlásit do domény a dostat se ke své poště. Na všech stanicích s operačním systémem MS Win-

35

dows XP Professional, je nainstalován Service Pack 2, nebo vyšší, se zapnutým firewallem a službou automatických aktualizací. Antivirová ochrana Antivirová ochrana je zajišťována antivirovým programem ESET NOD32 a je nainstalována na všech stanicích a aplikačním serveru. Licence je obnovována každý rok v březnu, kdy je ZÚ přiděleno nové jméno a heslo. Aby se nemuselo měnit jméno a heslo na každé stanici zvlášť (výjma notebooků, na těch jsou zadány přihlašovací údaje), aktualizace virové databáze probíhají pomocí síťové složky, která je na každém pobočkovém serveru. Každá aktualizace se do těchto složek zrcadlí z lokality Gorkého, kde je jako jediná stahována pod přiděleným jménem a heslem. Tím je zajištěna stále aktuální virová databáze. Záloha dat uživatelů Zálohování dat, domovských adresářů a souborových sdílených složek probíhá na pobočkových serverech každý den ve 22:00. Všichni uživatelé si svoje dokumenty musí zálohovat sami do domovských adresářů (uživatelé jsou srozuměni, jak při zálohování postupovat). Většina uživatelů již má veškeré dokumenty přesunuty do těchto adresářů a pracuje s nimi z pobočkového serveru. Rychlost vnitřní sítě tomu neklade žádné překážky a uživatelé se nemusí obávat, že při hardwarové chybě na svém pevném disku příjdou o data. V případě potřeby, jsou data vypálena jednotlivým uživatelům na CD/DVD média. Záloha dat na aplikačním serveru Zálohovány jsou všechny databáze a informační systémy na aplikačním serveru. Záloha probíhá denně a to ve formě rozdílových záloh, koncem týdne pak probíhá celková záloha. Mzdový program a laboratorní systém se zálohuje celý a provádí se dvojí záloha – jednak na pobočkový server a pak také na druhý pevný disk stanice vedoucího odd. informatiky. Zálohy se vypalují na DVD média každých 14 dní a jsou uloženy na odd. informatiky v zamčené skříni. Záloha se provede po spuštění dávkových souborů.

4.3

Monitoring a správa sítě

Pro správu a monitorování sítě, jsou současně využívány tyto nástroje: • Nagios – nainstalován na všech pobočkových serverech, pomocí něj lze sledovat aktuální stavy a výpadky jednotlivých částí sítě a to i pomocí grafického znázornění. Umožňuje monitorovat síťové služby HTTP, SMTP, POP3, PING a mnoho dalších. Přistupuje se k němu pomoci webového prohlížeče, po ověření uživatelského jména a hesla. případě výpadku zasílá přes email, nebo pomocí sms informaci o problému. Lze dále rozšiřovat pomocí pluginů. • Look@Lan – pro monitorovvání uživatelských stanic v síti, jenž probíhá pomocí IP adres stanic. Zobrazuje aktivní i neaktivní uzly v síti. Snadno lze zjistit obsazené IP adresy, rozeznává operační systém, jméno počítače i přihlášeného 36

uživatele. Možnost vytváření profilů, například pro jednotlivé pobočky. Při vytváření profilu se zadá rozsah IP adres, které se mají skenovat. • RealVNC – program, který umožňuje vzdáleně se připojit k počítači v lokální síti. K připojení je nutné mít nainstalovaný program na stanicích odkud a kam se má připojit. Pro připojení k počítači musí být znána jeho IP adresa a heslo. V kombinaci s programem Look@Lan tvoří rychlý nástroj po jednodušší a rychlejší pomoc uživatelům. Neumožňuje však šifrovaný přenos dat, ani přenos souborů. • SQUID – nainstalován na všech pobočkových serverech. Zobrazuje denní statistiky navštívených WWW stránek pro každou IP adresu. Přístup opět pomocí webového prohlížeče po autorizovaném přihlášení. IP adresy se třídí podle množství stažených dat procházející přes port 80. V podrobném náhledu lze zjistit, kdy a jak dlouho na každé stránce uživatel surfoval. • Statistiky firmy GTS – služba která nabízí možnost sledování aktuální vytíženost linky (stahovaných a odesílaných dat). Statistiky jsou generovány pro každou pobočku zvlášť. Umí zobrazit denní, týdenní a měsíční statistiky.

4.4

Závěr analýzy

Klady současného stavu • Strukturovaná kabeláž v celé lokalitě je po rekonstrukci, její stav je vyhovující současným potřebám. • Všechna důležitá zařízení v rozvaděči jsou zapojena do přepěťových ochran, servery pak do záložních zdrojů UPS. • Šifrovaný přístup k poštovnímu serveru z vnitřní sítě i vnější sítě (HTTPS). Zápory současného stavu • Nevhodné je umístění hlavního rozvaděče v chodbě bez oken a bez možnosti odvětrávání. Nelze zde zaručit správnou okolní teplotu, což pro zde umístěné servery nevytváří vyhovující prostředí. Servery by měly být přemístěny do jiné části budovy, kde by měla být vybudována klimatizace. • Všichni uživatelé jsou ve skupině administrator, což je z důvodu bezpečnosti nevyhovující. Uživatelé by měli být ve skupině users s povolenými službami pro potřeby každého konkrétního uživatele. • Na některých stanicích je lokální účet administrator bez hesla, což je naprosto nevyhovující. • Uživatelské stanice a síťové tiskárny nejsou logicky pojmenovány, pro lepší orientaci by bylo dobré zvolit jednotný způsob pro názvy stanic a síťových tiskáren. • V případě poškození nebo nefunkčnosti síťových prvků v rozvaděči, je potřeba fyzicky prvek nahradit za nový. • Všechny aktualizace jsou stahovány na uživatelské stanice přostřednictvím Internetu, vhodnější by bylo využít službu Windows Server Update Services (WSUS), která umožňuje plně spravovat distribuci aktualizací vydávaných 37

• • •

•

prostřednictvím služby Microsoft Update do uživatelských stanic v síti. (Microsoft WSUS, 2008) Nepoužívání VLAN, i když to stávající přepínače umožňují, minimálně z důvodu bezpečnosti by měly být servery připojeny do VLAN. Propojení přepínačů 2626 a 2650 nevhodné z důvody délky trasy k přepínači 6108 respektive k serverům. Nešifrovaná komunikace přes VNC správu počítačů (hrozba odchycení přístupových informací). Vhodné přejít např. na program UltraVNC, ten již umožňuje šifrovanou komunikaci. Rychlost linky mezi servery je jen 100 Mb/s, už jen z důvodů zálohování, by měla být rychlost vyšší.

38

5

Návrh řešení – implementace

Po přepojení do společné sítě, zůstanou dále v užívání stávající informační systémy. V průběhu druhé poloviny roku 2009, budou nahrazeny Ekonomický systém ISO a Mzdový program za Ekonomický provozní systém (EPS) firmy Aquasoft, EPS je vyvíjen na zakázku a bude implementován ve ZÚ Ostrava a používán všemi zdravotními ústavy. Stávající informační systémy zůstanou nainstalovány na Aplikačním serveru G-3, který je na Gorkého. Nově začne být používán laboratorní informační systém LABSYSTEM, který bude nainstalován na pobočce Masná, tento systém bude mít jednotnou databázi vzorků a číselníků pro všechny Zdravotní ústavy. Jeho spuštění je plánované na druhé čtvrtletí roku 2009.

5.1 5.1.1

Změny před zapojením do nové sítě Změna stávajících služeb

Pro připojení do společné sítě ZÚ je nutné vypovězení smlouvy s firmou SoLNet. Dále je nutné zrušit VPN síť od firmy GTS, pobočkové směrovače se musejí překonfigurovat na veřejné IP adresy. Konfigurovat se bude všech osm směrovačů, pro každou pobočku jeden. Bude vytvořeny nová VPN síť, kterou zajistí externí firma hav-el internet s.r.o. (současný provozovatel služeb ve ZÚ Ostrava) po rozhodnutí vedení ZÚ. Pobočkové servery zůstanou majetkem ZÚ Brno a budou dále použity dle potřeby a uvážení členů odd. informatiky. Operační systémy Na všech počítačích připojených do sítě, musí být nainstalovaný operační systém MS Windows XP Professional. Počítače se staršími systémy, musí být vypojeny ze sítě, nebo nahrazeny novějšími a to z důvodu ověřování uživatelských účtů na nové doméně a přístupu do LAN sítě, Internetu a z důvodu bezpečnosti. Všichni zaměstnanci budou využívat poštovního klienta Outlook od firmy Microsoft. Na všech stanicíh dojde k instalaci verze MS Office 2003, nebo novější (v závisloti na vlastnictví licencí) a používání Outlooku 2003. 5.1.2

Příprava Exchange serveru – přesun pošty

Poštovní systém – MAIL Elektronická pošta bude provozována na serverech Microsoft Exchange 2003 SE. Příjem a antispamová kontrola bude prováděna na centrálním Exchange serveru umístěném ve ZÚ Ostravě a dále distribuována na Exchange server ve ZÚ Brno. Poštu bude možno standardně stahovat i do jiných klientů pošty např. pomocí POP3

39

nebo IMAP41 . Antispamová ochrana bude řešena přes software GFI Mail Essentials (www.gfi.com/mes). Exchange server na pobočce Gorkého musí být ověřen na nové doméně. Což znamená, že jeho instalace je možná až po vytvoření nové domény. Pošta bude stažena imapem z WebISu do pps složek. Po-té se vytvoří poštovní schránky v AD za pomoci skriptu. Na disku Exchange serveru bude vytvořena složka „postaÿ, dále složka s názvem lokality a v ní složky se jmény pracovníků pro přesun a uložení pps složek, např. c:\posta\gorkeho\jiri.stoklasek. Po přesunutí pps složek, bude každému uživateli nastaven profil poštovního klienta na Outlooku 2003. Exchange server bude mít osm pevných disků zapojených dvakrát do RAID 12 (systém a transakční logy exchange, 2x 160 GB disky na RAID) a jednou do RAID 53 (databáze exchange, 4x 500 GB disky). 5.1.3

File server

Pro domovské adresáře (home složky) je třeba vyčlenit server, na kterém budou uloženy. Server nebude sloužit jen pro domovské adresáře, ale i pro síťové složky, které byly uloženy na pobočkových servrech. Z důvodu bezpečnosti, bude pro tyto účely vyhrazen samostatný server. Tento server bude v rámci šetření složen z pobočkových serverů. Server poběží na operačním systému MS Windows Server 2003. Procesor Intel Pentium 4 2.8 GHz, s 2 GB DDR2-533 pamětmi. Do serveru budou dokoupeny čtyři pevné disky o kapacitě 500 GB a nový zdroj. Server bude mít disky „Cÿ a „Dÿ, které budou zapojeny do RAID 1. Disk „Cÿ zůstane systémový, disk „Dÿ bude sloužit pro domovské adresáře a síťové složky uživatelů na pobočce Gorkého. Síťové složky budou přesunuty z pobočkového serveru. Přístupová práva do síťových složek, budou mít jen oprávnění uživatelé. 5.1.4

Propojení do společné sítě – ha-vel internet

Přístup do Internetu Všechny lokality budou připojeny do Internetu přes jeden až dva centrální FirewallProxy servery Microsoft ISA 2006. Tyto servery jsou umístěny ve ZÚ Ostrava: • 10.0.1.1 – Domain Controller („Zeusÿ) • 10.0.1.3 – ISA 2006 („KRYTONÿ – Proxy, Firewall) 1

Jedná se o protokol pro čtení pošty, přístupu k veřejným a soukromým složkám na vzdálených serverech. 2 Zrcadlí se (mirroring) obsahu disků, data na discích se zaznamenávájí současně na oba disky. V případě výpadku jednoho disku se pracuje s kopií, která je ihned k dispozici. 3 Redundantní pole s distribuovanou paritou, při výpadku některého disku pak máme buď všechna data (nepotřebujeme paritu), nebo máme část dat a paritu, a chybějící data ze ztraceného disku umíme dopočítat z dat, která máme a parity.

40

Obrázek 3: Nové schéma sítě 41

Lan – VPN Rozdělení adres LAN sítě jednotlivých lokalit a pravidla přidělování jednotlivých částí adresního prostoru je v tabulce 6. Všechny lokality budou spojeny do VPN sítě jedním poskytovatelem (ha-vel access point). Připojování mobilních uživatelů a lokalit s nízkým počtem stanic se bude provádět přes jeden vstupní bod do VPN sítě. Postupně se omezí publikování vnitřních zdrojů pro vlastní zaměstnance pracující vzdáleně na minimum. Pro jakoukoliv práci v systémech na ZÚ bude nutné se připojit do VPN. Nejnutnější služby a služby pro přístup zákazníků zůstanou nadále publikovány bez nutnosti VPN připojení. Tímto se podstatně zjednoduší např. konfigurace notebooků zaměstnanců. Nebude nutné řešit jiný způsob práce pokud je uživatel v LAN síti nebo ne. Kryptování VPN kanálu bude prováděno kombinací technologie Challenge Based Authentication a MD-5 (MD5 Message-Digest Algorithm) pro vytvoření 128 bitového klíče, a následně technologií BlowFish 128 bit pro kryptování aktuálně přenášených dat. Tabulka 6: IP adresace lokalit ve ZÚ Brno

Lokalita Gorkého Stará Masná Jugoslávská Břeclav Blansko Znojmo Vyškov

Zkratka lokality BRG BRS BRM BRJ BRE BLA ZNJ VYS

Adresace 10.60.0.0/24 10.60.10.0/24 10.60.20.0/24 10.60.30.0/24 10.60.40.0/24 10.60.50.0/24 10.60.60.0/24 10.60.70.0/24

Změna rychlosti připojení do Internetu Na pobočkách Gorkého a Masná dojde ke zvýšení linek z 2 Mb/s na 4 Mb/s respektive z 1 Mb/s na 2 Mb/s. Na všech ostatních pobočkách zůstanou stejné rychlosti.

5.1.5

Řadič domény ZU.LOCAL

Pro doménový server se systémem MS Windows Server 2003 bude využit stávající pobočkový server ZU-2, do kterého budou dokoupeny paměti RAM, dva SATA disky a nový zdroj. Server je opatřen procesorem Intel Celeron 2.6 GHz s 2 GB RAM. Řadiče domény budou implementovány dva, jeden bude umístěn na pobočce Gorkého a druhý (jeho replika) na pobočce Masná. Servery budou zajišťovat tyto role: • Řadič domény (Domain Controller) – Server zajišťuje adresářovou službu domény a obsahuje ardesářové uložiště. Dále spravuje proces přihlašování a prohledávání adresáře (služba DNS a Active Directory). 42

• Server DNS – Server se spuštěnou službou DNS, překládá názvy počítačů na adresy IP a naopak (služba DNS). • Server DHCP – Server s protokolem DHCP, automaticky přiděluje IP adresy klientům v síti (služba DHCP). (Stanek, 2007) Doména Naplnění účtů uživatelů se provede naimportováním seznamu z excelovské tabulky. Zatím se využijí pouze základní atributy účtů. Účet typu uživatel: název (Jiri.Stoklasek), jméno (Jiri), příjmení (Stoklasek), zobr. Jméno (Stoklásek Jiří), login (jiri.stoklasek). Individuálně se bude nutné řešit případné shody jmen zaměstnanců. Případné další atributy je možné plnit v závislosti na využitelnosti pro určité účely. Pojmenování počítačů, notebooků, serverů a tiskáren, bude začínat znakovou zkratkou lokality (tři písmena), údajem, o jaké zařízení se jedná a dále určitým vnitřním číslováním (šest číslic – např. podle invertálního čísla PC). Servery celoorganizačního významu mohou používat nějaký slovní název (hlavniDC, Firewall, . . . ). V poli popis bude potom podrobnější popis umístění PC – č. dveří apod. Pojmenování PC pak může vypadat například takto: • • • •

BRGPC123456 (BR – Brno, G – Gorkého, PC – Počítač, např. inv. číslo) BRGNB123456 (BR – Brno, G – Gorkého, NB – Notebook, např. inv. číslo) BRGPR123456 (BR – Brno, G – Gorkého, PR – Tiskárna, např. inv. číslo) SERVERADBRG (Server, DC, apod.)

Přejmenování zařízení nebude nutné řešit ihned, ale by vhodné ho na menších lokalitách spojit s přeadresováním LAN. Skupiny Také budou začínat tří písmennou zkratkou lokality a dále z názvu musí být zřejmé využití této skupiny (např. jestli se jedná o skupinu počítačů nebo uživatelů apod.). U pojmenovávání výše zmíněných zařízení nebude používána diakritika a mezery (místo mezery podtržítko). V dalších položkách jako je popis, zobrazované jména apod. lze diakritiku bez problému používat. Účty uživatelů, počítačů a skupin budou členěny do kontejnerů podle lokalit. Každý administrátor bude mít práva na objekty ve své lokalitě. Active directory (AD) bude rozdělena do „sitesÿ podle lokalit. To má význam pro to, vůči kterému doménovému řadiči (DC) se budou jednotlivé účty ověřovat a dále pro harmonogram synchronizace AD. Na každé větší lokalitě bude přítomen DC (Gorkého a Masná), který bude zároveň sloužit jako DNS a DHCP server. V malých lokalitách, kde by DC mohl být jen jediným serverem může sloužit i jako souborový server nebo server s místem umístění instalačních souborů pro instalace aplikací přes politiky. DNS se bude synchronizovat v rámci AD. 5.1.6

Návrh nové serverovny

S úbytkem pracovníků a seskupování oddělení v rámci organizace, je možné přesunutí odd. informatiky do jiných prostor a použití jedné ze stávajících kanceláří jako 43

serverovny. Pro serverovnu by bylo vhodné použít kancelář, kde je sveden Internet z antény do převodníku. Jelikož se jedná o větší místnost, mohou být zbylé prostory využity jako sklad počítačové techniky. Celé odd. informatiky se může přestěhovat do protějších kanceláří, kde je více místa a dvě spojené kanceláře. V serverovně bude umístěna klimatizace od výrobce Sinclair, typ ASH-18AQ, do velikosti chlazení 170 m3 . Servery mezi sebou spojíme přepínačem HP ProCurve 1700-8 s gigabitovými porty.

44

5.2

Implementace

5.2.1

Schéma sítě na Gorkého

Všechny servery budou přemístěny do nově zřízené serverovny. Servery budou mezi sebou propojeny gigabitovým přepínačem HP ProCurve Switch 1700-8. Který disponuje osmi porty auto-sensing 10/100(IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX) a podporuje VLANy. IP adresy pro přepínače budou rezervovány v rozmezí 10.60.0.20–10.60.0.25. IP adresy serverů • • • •

Řadič domény – IP: 10.60.0.1/24 Exchange server – IP: 10.60.0.2/24 File server – IP: 10.60.0.3/24 Aplikační server – IP: 10.60.0.5/24

Propojení serverů a aktivního prvku do přepínače HP 1700-8 • • • • • •

Port Port Port Port Port Port

1: 2: 3: 4: 5: 6:

Internet z pobočkového směrovače Řadič domény IP: 10.60.0.1/24 Exchange server IP: 10.60.0.2/24 File server IP: 10.60.0.3/24 Aplikační server IP: 10.60.0.5/24 LAN do přepínače HP 2650

45

Obrázek 4: Nové schéma sítě na pobočce Gorkého

46

5.2.2

Instalace řadiče domény

Pro připojení do jednotné domény ZÚ vytvoříme ve ZÚ Brno další řadič domény, doménu „zu.localÿ. Postup při instalaci dalšího řadiče domény: 1. Spustíme průvodce služby Active Directory (příkaz dcpromo). 2. V nabídce vybereme Další řadič domény pro již existující doménu. 3. Na stránce Síťové pověření zadáme jméno, heslo a doménu uživatele uživatelského účtu, který chceme využívat pro tyto operace. 4. V okně Další řadič domény zadáme úplný název DNS existující domény, pro kterou bude server sloužit jako její řadič. 5. V dalším kroku Umístění databáze a protokolu zadáme umístění, do kterého chceme instalovat složky databáze a protokolu. 6. Dále na stránce Sdílený systémový svazek zadáme umístění, do kterého chceme instalovat složku Sysvol. 7. Na stránce Heslo správce režimu obnovení adresářových služeb zadáme a potvrďíme heslo pro účet správce tohoto serveru. 8. V konečném kroku na stránce Souhrn zkontorulujeme a spusťíme instalaci. Při instalaci řadiče domény, nám instalace dovolí zároveň nainstalovat i službu DNS, kterou také nainstalujeme. Na novém řadiči, bude potřeba vytvořit strom organizačních jednotek (OU), ten bude začínat OU s názvem „Zuÿ. Dále se bude dělit na jednotlivé organizace a na lokality. Pro organizaci budou tři speciální OU na úrovní lokalit – Group, PC, User. Pro objekty, které budou používány pro celou organizaci, např. servery, skupiny napříč lokalitami, účty pro spuštění služeb atd. Na tyto tři OU se nebudou aplikovat žádné skupinové zásady, vyjímečně na ty nejdůležitější v rámci bezpečnostních pravidel. OU pro lokalitu se dále člení na tři OU – Group, PC, User. Význam je zřejmý z jejich názvu. Další členění je ještě dále možné na oddělení (D – dělníci, HYGLAB – hyg. laboratoře, . . . ). Stačí vytvořit v lokalitách Gorkého a Masná, hlavně tady to přispěje k přehlednosti. Organizační jednotky nalezneme v nástroji Uživatelé a počítače služby Active Directory. Pro nastavení stanic a aplikací se budou používat skupinové politiky. Na základě příslušnosti počítačů a uživatelů do určitých skupin se tak provedou nastavení uživatelského prostředí na počítači, připojení tiskáren, namapování disků, instalace aplikací apod. Vytvoření organizačních jednotek v Active Directory Správu organizačních jednotek nalezneme v nástroji Uživatelé a počítače služby Active Directory, kde při vytváření nové organizační jednotky postupujeme následujícím způsobem: • Nástroj nalezneme pod Start – Programy – Nástroje pro správu – Uživatelé a počítače služby Active Directory.

47

• Pravým tlačítkem myši klikneme na název domény, pod kterou chceme přidat organizační jednotku, v nabídce vybereme Nový objekt a Organizační jednotka. • Zadáme název „ZuBrnoÿ a potvrdíme volbu OK. • Pod doménou se nám vytvoří organizační jednotka s názvem „ZuBrnoÿ, na tu opět klikneme pravým tlačítkem a postup opakujeme dokud nevytvoříme celou strukturu organizace. Import uživatelů Všechny uživatele bude potřeba přidat a roztřídit do OU. Jelikož uživatelů je přes sto, bylo by velice zdlouhavé a náročné provádět import ručně a po jednom uživateli. Jednodušší řešení bude zapsat uživatele do excelovské tabulky podle určitých pravidel a po-té provést import uživatelů. Zápis atributů v excelovském souboru • • • • • • • • • • • • • • • •

givenName – jméno (hodnota – Jiří) sn – příjmení (hodnota – Stoklásek) name – vytvoření celého jména bez diakritiky (hodnota – Jiri.Stoklasek) displayName – vytvoření celého příjmení a jména s diakritikou (hodnota – Stoklásek Jiří) cn – běžná jména (hodnota – Jiri.Stoklasek) ou – organizace (hodnota – ZU) ou – lokalita bez diakritiky (hodnota – Brno) ou – pobočka bez diakritiky (hodnota – Gorkeho) ou – skupina (hodnota – Users) ou – oddělení (hodnota – HTS) DN – každý DN se skládá z relativních dn oddělených čárkou, cesta k objektu (hodnota – OU=HTS,OU=Gorkého,OU=Brno,OU=ZU,DC=ZU,DC=LOCAL) objectClass – třída, ze které je odvozen objekt, uživatelé z users, třída definuje parametry (hodnota – user) password – hesla pro přihlášení do domény sAMAccountName – přihlašovací login uživatele (hodnota – Jiri.Stoklasek) userPrincipalName – (hodnota – [email protected]) homeDrive – připojení domovského adresáře (hodnota – I:)

Import se provede pomocí skriptu vytvořeném ve Visual Basicu. Nastavení Sítí a podsítí služby Active Directory K vytvoření sítí a podsítí se dostaneme přes nabídku Start – Programy – Nástroje pro správu – Sítě a služby Active Directory. Postup pro přidání sítě: • Pravým tlačítkem myši klikneme na složku Sites a z nabídky vybereme Nový objekt a dále Síť. • Zadáme jméno sítě „BRGÿ (BRG – Brno Gorkého) a vybereme Název propojení, přednastaveno je „DEFAULTIPSITELINKÿ a potvrdíme volbu OK. • Stejný postup opakujeme i pro vytvoření sítě „BRMÿ (BRM – Brno Masná). 48

V Síti BRG se budou ověřovat uživatelé z poboček Gorkého, Stará, Břeclav, Blansko a Znojmo, v síti BRM pak uživatelé z poboček Masná a Jugoslávská. Tyto pobočky musíme vložit do podsítí a přiřadit jednotlivým sítím. Postup je následující: • Nastavení podsítí se také nastavuje v nástroji Sítě a služby Active Directory • Pravým tlačítkem klikneme na Subnets z nabídky vybereme Nový objekt a Podsíť. • V okně Nový objekt – Podsíť do kolonky Adresa zádáme IP adresu podsítě (adresy sítí pro jednotlivé lokality najdeme v tabulce 6), do kolonky Maska masku sítě (255.255.255.0). • Pro zadanou podsíť přiřadíme objekt sítě, vytvořené sítě vidíme ve spodní části okna, vybereme tedy BRG a potvrdíme volbu OK. • Tento postup opakujeme, dokud nepřiřadíme všechny podsítě sítím BRG a BRM. Ve složce Subnets, pak nalezneme všechny vytvořené podsítě, respektive jejich IP adresy. Pokud klikneme pravým tlačítkem myši na jednu z podsítí a vybereme Vlastnosti, pak se nám zobrazí okno, kde můžeme vyčíst IP adresu, masku, můžeme zadat Popis (třeba název pobočky) a dodatečně můžeme změnit v kolonce Server její síť. 5.2.3

Instalace služby DHCP

Abychom mohli dynamicky přiřazovat IP adresy, musíme mít v síti nainstalovaný DHCP server. Na serveru, kde chceme mít službu DHCP musíme mít nakonfigurovanou statickou adresu IP. Nejjednodušší způsob instalace je prostřednictvím služby Průvodce konfigurací server, nebo pomocí nástroje Přidat nebo odebrat programy a dále pak v Přidat nebo odebrat součásti systému. Po nainstalování služby DHCP je potřeba vytvořit pro tento server nový obor IP adres (oborem adres rozumíme rozsah adres IP spravovaných serverem). Vytvoření nového oboru nám umožní Průvodce vytvoření nového oboru, který se spustí po nainstalování DHCP serveru. Rozsah DHCP serveru na Gorkého zvolíme v rozmezí 10.60.0.100 až 10.60.0.200. Postup při přidání nového oboru 1. V prvním kroku zadáme název a popis nového oboru. 2. V dalším okně budeme zadávat IP adresu, kterou bude obor začínat a končit. • Počáteční adresu IP: 10.60.0.100 • Koncová adresa IP: 10.60.0.200 • Maska podsítě: 255.255.255.0 3. V další nabídce ještě můžeme vyloučit určitý rozsah adres, my tuto možnost nevyužijeme, protože IP adresy zvolíme od rozsahu 10.60.0.100. Dále pak délku zapůjčení adres klientům a dokončíme instalaci. 49

Po nastavení serveru DHCP a vytvoření oboru je nutné server pro poskytování zápůjček a aktivaci oborů ověřit. Náš server DHCP je nainstalován na doménovém řadiči, takže je ověřen automaticky při přidání serveru do konzoly Správce DHCP. (Russel, 2005) Rezervace adres Rezervace IP adres se používá místo statického zadávání IP adresy. Rezervaci lze použít pro všechny hostitelské počítače, u nichž potřebujeme udržovat určité IP adresy. Tuto možnost využijeme hlavně pro rezervování stanic, které mají sdílenou tiskárnu a přes tuto stanici tisknou i ostatní uřivatelé. To by nebylo možné, kdyby po každém spuštení stanice server DHCP přidělil stanici jinou IP adresu. Postup při rezervaci IP adresy 1. V nástrojích pro správu vybereme možnost DHCP. 2. Rozklikneme obor, pod kterým chceme vytvořit novou rezervaci a pravým tlačítkem klikneme na složku Rezervace, zvolíme příkaz Nová rezervace. V okně Nová rezervace vyplníme následující pole: • • • • •

Název rezervace: např – pc.invcislo.local Adresa IP: 10.60.0.85 (IP adresa přidělená stanici) Adresa MAC: 00-19-D2-B6-2B-D2 (MAC adresa stanice) Popis: Sdileny tisk Typ rezervace (DHCP, BOOTP nebo Oba)

3. Po nastavení všech atributů, potvrdíme rezervaci tlačítkem Přidat. 5.2.4

Exchange server – poštovní server

V rámci politiky Microsoft, může ZÚ Brno použít licenci na Win Exchange Server 2003 se s 150 CAL licencemi. Jelikož je v síti 108 stanic, počet licencí je zatím dostačující. Pro nákup serveru by měli být použity veškeré dostupné finanční prostředky, které budou na server uvolněny. Server bude složen z jednotlivých komponent pracovníky odd. informatiky. Sestava serveru • Serverová skříň (case) – SC743TQ-650W 8SATA/SAS SCA s SES2, PS, 4U/pied – zdroj 650 W s redundatním chlazením, 8x 3.5” SAS/SATA disků, chlazen 4x Hot-Swap (5000 RPM) a 2x zadním vyfukovacím Hot-Swap (5000 RPM), 2x 5.25” pozici pro CD-ROM a 1x 5.25” pozici pro disketovou mechaniku • Základní deska – PDSME+ i3010, S775 – DDRII SDRAM PC2-4300 počet slotů 4 (max 8 GB), diskové řadiče 4x SATAII a řadič RAID 4x SATAII, LAN 1x 10/100/1000 Mbit/s, sloty PCI-X 2x 64-bit 100 MHz PCI-X, sloty PCI Express 1x PCI-Express x4

50

• CPU – Čtyřjádorvý procesor Intel Core 2 Quad Q6600, Socket 775, pracovní frekvence 2,4 GHz, systémová sběrnice: 1066 MHz, mezipaměť L1: 4x 32 + 32 KB a L2: 8 MB (2x 4 MB) • Pevný disk – WD Caviar 500 GB SATA, Cache 16 MB, otáčky 7200 rpm, Interní 3,5” • Paměti RAM – DIMM DDR2 2048 MB (2x 1 GB) 667 MHz 5.2.5

Přepojení uživatelů do nové domény

Všichni uživatelé budou muset být přepojeni do nové domény z té stávající. Postup při přepojení bude následující: 1. Vyjmout stanici z domény zubrno do skupiny (zubrno), přejmenovat počítač podle pravidel. 2. Připojit do nové domény zu.local a zkopírovat profil uživatele. 3. Nastavit poštovního klienta na Outlook 2003. 4. Zkontrolovat připojení domovského adresáře, případně dalších síťových složek. 5. Ve webových prohlížečích nastavit ostravský proxy server. 6. Na závěr, pokud je to třeba, přenastavit síťové tiskárny (nový port), zkontrolovat sdílení, přenastavit zástupce pro spuštění programů na spravnou cestu v síti. Připojování – mapování domovských adresářů a síťových složek Přihlašovací skript (logon script) bude vytvořen v prostředí visual basicu (.vbs). Skript musí být uložen na řadiči domény ve složce NETLOGON. Umístění složky zjistíme následujícím způsobem: • Pravým tlačítekm myši klikneme na Tento počítač a Spravovat. • Otevře se nám okno Správa počítače, rozklikneme Systémové nástroje – Sdílené složky a Sdílené položky. • V této složce uvidíme názvy sdílených položek, i naši hledanou NETLOGON. Vedle názvu položky je i cesta ke složce, která v našem případě je: C:\WINDOWS\sysvol\zu.local\scripts Uživatelům, kterým se mají připojit síťové složky, musíme zadat název přihlašovacího skriptu, do jejich profilu v AD. Spustíme si službu Sítě a služby Active Direcotry, v OU si najdeme příslušného uživatele, zobrazíme si vlastnosti účtu. V záložce Profil, zadáme do kolonky Přihlašovací skript: jméno přihlašovacího skriptu např.„skript.vbsÿ a potvrdíme OK.

5.3

Bezpečnost a monitoring sítě

WSUS Pro aktualiazci softwaru Microsoft můžeme využit služby WSUS 3.0. Která umožňuje centrálně nastavit, které aplikace se mají aktualizovat a ve kterou dobu. Dále je 51

možné aktualizace přes noc stáhnout na lokální server, takže veškeré aktualizace si už uživatelské stanice stáhnou z tohoto serveru a ne z Internetu. (Microsoft WSUS, 2008) Služba bude nainstalována na File serveru, kde nebude problém s prostorem pro stahované aktualizace. Samotná instalace a nastavení se skládá z šesti následujícíh kroků: 1. 2. 3. 4. 5. 6.

Instalace služby WSUS 3.0. Nakonfigurování síťového připojení pro WSUS 3.0. Konfigurace aktualizací a synchronizace Konfigurace automatických aktualizací Vytvoření počítačových skupin pro aktualizace Schválení aktualizací pro instalaci

Služba umožňuje přehledně a rychle spravovat (povolovat a zakazovat) stahované aktualizace do jednotlivých stanic, nebo do skupin stanic (skupiny se vytvoří podle poboček). V celkovém přehledu můžeme vidět vyžadující aktualizace nebo aktualizace s chybami a celkový počet aktualizovaných stanic. Antivirová ochrana Antivirová ochrana zůstane ve stávajícím řešení. Do budoucna by bylo vhodné, jak budou vyprchávat licence, centralizovat systém řízení antivirového softwaru v rámci všech ZÚ. Diagnostika a monitoring Pro diagnostiku poruch a problémů je možné používat software GFI Network Server Monitor (www.gfi.com), který kontroluje podle nastavení stav serverů, konektivity, dostupnosti služeb apod. V případě zjištěných problémů je možné provést nastavené akce a dále pak informovat administrátora pomocí mailu, network message nebo SMS. Skupiny user Všechny doménové účty uživatelů budou ve skupině Users. Tato skupina má nejvyšší zabezpečení, nelze měnit nastavení a části operačního systému (systémové části registru, soubory operačního systému nebo programové soubory) a nemá přístup do jiných uživatelských dat. Mohl by nastat problém při spouštění starších programů, vytvořených pro systémy starší jak Windows 2000. Zejména systémy Windows 95/98 nepodporují zabezpečení systému souborů a registrů. Pokud by tento problém nastal musíme rozšířit zabezpečovací oprávnění pro tohoto uživatele. Tato úprava se provádí v šabloně zabezpečení. (Microsoft, 2005) Zálohování Zálohování bude probíhat pomocí programu Cobian Back UP, který umožňuje manuální či automatické pravidelné zálohy. Program dokáže komprimovat soubory větší

52

než 2 GB, archivy dokáže rozdělit dle velikosti (např. pro DVD/CD) a provést kontrolu archvivovaných dat. Data můžou být šifrována pomocí Blowfish (128 bit), Rijndael (128 bit) a DES (64 bit) a chráněna heslem. V pondělí až čtvrtek bude probíhat rozdílová záloha v pátek pak záloha úplná. Zálohovat se budou všechny domovské adresáře, síťové složky, dbs a data ze serverů. Úlohy pro zálohování vytvoříme dvě, pro rozdílovou a úplnou zálohu. Postup při vytvoření nové úlohy zálohování: 1. Všeobecné nastavení: Vybereme typ zálohy (úplná – rozdílová), počet udržovaných kopií (necháme udržovat alepsoň dvě kopie). 2. Soubory: Do Zdroje zadáme adresu složek pro zálohu: \\10.60.0.3\Homes a cestu pro kopírování zálohy \\10.60.0.3\D-Zalohy\gorkeho\Homes 3. Rozvrh: Zvolíme týdenní rozpis a zaškrtneme dny po které chceme tvořit zálohu a v kolik hodin. 4. Archiv: Vybereme si metodu komprimace, ochranu heslem – nastavení hesla a nakonec typ šifrování. Po nastaveni vše potvrdíme.

53

6 6.1

Ekonomické zhodnocení Počáteční investice

Všechny směrovače budou překonfigurovány poskytovatelem služeb, firmou GTS. Přenastavení proběhne přes vzdálenou správu, v ceně je zahrnuta práce technika a u poboček Gorkého a Masná i výměna antén pro rychlejší připojení (4 Mb/s a 2 Mb/s). Nákup komponent, sestavení serverů provedou pracovníci odd. informatiky v rámci své pracovní náplně. Zboží bude dovezeno na pobočku Gorkého od prodejce zdarma. Tabulka 7: Náklady na konfiguraci směrovačů (Ceny v Kč s 19% DPH)

Pobočky Gorkého a Masná Ostatní pobočky Celkem

Cena přepojení Mn. 7 723 2 2 380 6 – –

Celkem 15 446 14 280 29 726

Tabulka 8: Náklady na dokupované komponenty do řadičů domény (Ceny v Kč s 19% DPH)

Položka WD 160 GB 1GB DDR2-533 Kingston Fortron Blue Storm II 400W Celkem

Cena (ks) Mn. 1 135 4 269 4 1 399 2 – –

Celkem 4 540 1 076 2 798 8 414

Tabulka 9: Náklady na dokupované komponenty do File serveru (Ceny v Kč s 19% DPH)

Položka WD Caviar 500GB 1GB DDR2-533 Kingston Fortron Blue Storm II 400W Celkem

Cena (ks) Mn. 1 561 2 269 2 1 399 1 – –

Celkem 3 122 538 1 399 5 059

54

Tabulka 10: Náklady na sestavu Exchange serveru (Ceny v Kč s 19% DPH)

Položka Cena (ks) Mn. Case SC743TQ-650W 9 472 1 Základní deska PDSME+ i3010 6 530 1 CPU Intel Core2Quad Q6600 391 1 Win. Server 2003R2 STND + 5cal OEM 13 890 1 WD 160GB Caviar XL 995 4 Disk WD Caviar 500GB SATA 1 561 4 Paměti DIMM DDR2 2048 MB, 667 MHz 690 2 Datový kabel SATA 50 cm 48 4 Celkem – – 6.1.1

Celkem 9 472 6 530 391 13 890 3 980 6 244 1 380 192 42 079

Náklady pro zřízení serverovny

Klimatizace bude nainstalována externí firmou, jednotlivé náklady na komponenty a práci, jsou uvedeny v tabulce. Přestěhování serverů a jejich zapojení provedou taktéž pracovníci odd. informatiky. Tabulka 11: Náklady na zřízení klimatizace (Ceny v Kč s 19% DPH)

Položka Klimatizace Sinclair ASH-18AQ Montáž + materiál Regulace pro zimní provoz Přepínač HP ProCurve Switch 1700-8 Celkem

6.1.2

Cena (ks) 19 016 6 962 3 570 1 912 –

Mn. 1 1 1 1 –

Celkem 19 016 6 962 3 570 1 912 31 460

Souhrn počátečních investic

Tabulka 12: Celkové náklady na změny (Ceny v Kč s 19% DPH)

Položka Částka Náklady na konfiguraci směrovačů 29 726 Náklady na dokupované komponenty do řadičů domény 8 414 Náklady na dokupované komponenty do File serveru 5 059 Náklady na sestavu Exchange serveru 42 079 Náklady pro zřízení serverovny 31 460 Celkem 116 738

55

6.2

Měsíční náklady

I přes zrušení služby VPN s firmou GTS, je podle uzavřených smluv stále nutné platit sjednanou částku do konce roku 2009 (smlouva se uzavírá na každé dva roky). V následující tabulce jsou částky za Internet se s službou VPN. Tabulka 13: Měsíční náklady na Internet (Ceny v Kč bez DPH)

Pobočka Gorkého Masná Stará Jugoslávská Vyškov Znojmo Břeclav Blansko Celkem bez DPH Celkem s 19% DPH

Částka 24 800 15 120 4 600 2 200 2 650 2 010 2 010 2 010 55 400 65 926

Tabulka 14: Měsíční náklady na službu VPN poskytovatele ha-vel internet (Ceny v Kč bez DPH)

Pobočka Gorkého Masná Stará Jugoslávská Vyškov Znojmo Břeclav Blansko Celkem bez DPH Celkem s 19% DPH

6.2.1

Částka 1 990 1 990 1 990 1 990 1 990 1 990 1 990 1 990 15 920 18 945

Celkové měsíční náklady

Celkové měsíční náklady na internetové připojení, od poskytovatele GTS, pro všechny pobočky jsou 65 926 kč s DPH. Měsíční náklady na službu VPN, od poskytovatele ha-vel internet, jsou 18 945 kč s DPH, celkové měsíční náklady pak 84 871 kč s DPH.

56

V roce 2010 se bude uzavírat nová smlouva na internetové připojení, v ceně již nebude započítána služba VPN od poskytovatele GTS, lze předpokládat, že měsíční náklady se sníží až na polovinu současné částky a zároveň dojde ke zvýšení rychlosti připojení u ostatních poboček.

57

7

Závěr

Cílem bakalářské práce byla analýza současného stavu síťové infrastrukuty, používaných informačních systémů a technologií. Analýza infrastruktury pak sloužila jako vodítko pro návrh nového přepojení do společné sítě. Poukázání na současné nedostatky v síti a připomínky s návrhy k jejímu zlepšení. ZÚ Brno bude přepojen pod společnou síť jako první. Práce a hlavně její praktická část, může sloužit jako částečné vodítko pro ostatní Zdravotní ústavy, při postupu přepojování do společné sítě.

58

8

Literatura

Dostálek L., Kabelová A., Velký průvodce protokoly TCP/IP a systémem DNS. Brno: Computer Press, 2002. 3. vydání 542 s. ISBN 80-7226-675-6. Smith B., Komar B., Microsoft Security Team Zabezpečení systému a sítě Microsoft Windows. Brno: Computer Press, 2007. ISBN 80-251-1260-8. Stanek, W. R. Microsoft Exchange Server 2003: Kapesní rádce administrátora. Brno: Computer Press, 2004. ISBN 80-251-0390-0. Stanek, W. R. Microsoft Windows Server 2003: Kapesní rádce administrátora. Brno: Computer Press, 2007. 2. aktualizované vydání. ISBN 80-251-0390-0. Thomas, M. Zabezpečení počítačových sítí bez předchozích znalostí. Brno: Computer Press, 2005. 344 s. ISBN: 80-251-0417-6. Russel Ch., Crawford S., Gerend J., Microsoft Windows Server 2003 Velký průvodce administrátora. Brno: Computer Press, 2005. 1374 s. ISBN: 80-251-0579-2. Peterka, J. Co je čím v počítačových sítích[online] [cit. 9. listopadu 2008]. Dostupné ze: http://www.earchiv.cz/icoje.php3. Redakce – Svět sítí Základy počítačových sítí[online] [cit. 24. listopadu 2008]. Dostupné ze: http://www.svetsiti.cz/tutorialy.asp. Microsoft Služba Windows Server Update Services (WSUS)[online] [cit. 17. listopadu 2008]. Dostupné ze: http://www.microsoft.com/cze/windowsserversystem/updateservices. Microsoft Microsoft SharePoint 3.0 [online] [cit. 17. listopadu 2008]. Dostupné ze: http://office.microsoft.com/cs-cz/sharepointserver. Computerperformance LDAP Properties for CSVDE and VBScript[online] [cit. 23. listopadu 2008]. Dostupné ze: http://www.computerperformance.co.uk/Logon/VBScript/VBScript-WindowsLDAP-properties.htm. Pužmanová, R. Bezpečnost WLAN podle IEEE [online], Datum poslední revize 23. 4. 2002, 06:34 [cit. 27. listopadu 2008] Dostupné ze: http://www.lupa.cz/clanky/bezpecnost-wlan-podle-ieee. Darth Systémy detekce a prevence narušení [online][cit. 27. listopadu 2008] Dostupné ze: https://www.soom.cz:1010/index.php?name=usertexts/showaid=341.

59

Bouška, P. VLAN - Virtual Local Area Network [online], Datum poslední revize 2. 6. 2007 15:54 [cit. 29. listopadu 2008] Dostupné ze: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/. Microsoft Výchozí nastavení zabezpečení skupin [online], Datum poslední revize 21. 1. 2005[cit. 8. prosince 2008] Dostupné ze: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/cs /library/ServerHelp/e5b458fe-e207-456c-9554-60f25f94a915. mspx?mfr=true.

60

Přílohy

A Ukázka příkazů pro zálohování v dávkovém souboru # Zaloha programu MZDY xCOPY \\192.168.214.5\MZDY\*.* \\192.168.214.1\BACKUP\MZDY\ /E /Y /H # Zaloha ekonomickeho systemu xCOPY \\192.168.214.5\ISO\*.* \\192.168.214.1\BACKUP\ISO\ /E /Y /H # Zaloha laboratorniho systemu xCOPY \\192.168.214.5\MLAB\*.* \\192.168.214.1\BACKUP\MLAB\ /E /Y /H # Zaloha spisove sluzby xCOPY \\192.168.214.5\Spis\*.* \\192.168.214.1\BACKUP\Spis\ /E /Y /H

62

B

Přihlašovací skript

home = H: nod = N: informatika = Y: instalace = T: admin = W: sekretariat = U: [Global] net time \\${server} /SET /y # Informatika [group: [email protected]] net use ${nod} \\${server} \nod /y net use ${admin} \\${server} \admin /y net use ${informatika} \\${server} \informatika /y net use ${instalace} \\${server} \instalace /y # Mlab - laboratore [group:[email protected]] net use K: /delete /y net use K: \\192.168.214.5\MLABDATA /y # LexData - legislativa [group:[email protected]] net use L: /delete /y net use L: \\192.168.214.5\LexData /y # OOA [group: net use net use

sdileny disk oddelení [email protected]] O: /delete /y O: \\${server} \OOA /y

# MZDY - mzdy [user:[email protected]] net use M: /delete /y net use M: \\192.168.214.5\mzdy /y # Sdileny disk reditel - sekretarka [user: [email protected], [email protected]] net use ${sekretariat} /delete /y 63

net use ${sekretariat} \\${server} \sekretariat /y Na začátku logon skriptu jsou síťovým složkám přiřazena písmena, pod kterými se namapují. Všem uživatelům se po jeho spuštění nastaví aktuální čas, který je na pobočkovém serveru. V další části se namapují disky uživatelům, kteří jsou členy určité skupiny. Na konci skriptu se mapují disky jen vyjmenovaným uživatelům.

64

C

Nastavení firewallu

#!/usr/bin/perl /usr/bin/ferm option iptables # pojm pravidla chain open_vpn { #####Z internetu a centraly dovnitr LAN##### interface ( %LAN2CENTRAL% ) outerface eth1 { state (ESTABLISHED, RELATED) ACCEPT; # OpenVPN "mobilni agenti": ping, vnc, terminal-services, http, sdileni saddr ( 192.168.101.1 192.168.101.2 192.168.101.3) { proto icmp accept; # diagnostika proto tcp dport ( 3389 # terminal-services 80 # http 5900 # VNC ) accept; # windows sdileni proto (tcp,udp) dport (135,137,138,139,445) accept; } } #####Z jine pobocky do LAN na teto pobocce##### interface ( %LAN2LAN% ) outerface eth1 { state (ESTABLISHED, RELATED) ACCEPT; # tisk z Masne (192.168.213.227) na sitovou tiskarnu (192.168.212.29) proto (tcp,udp) saddr 192.168.213.227 daddr 192.168.214.29 dport (135,137,138,139,445,161,9100) accept; - tisk z pc na tiskarny # servery AD mezi sebou cokoliv - TODO: omezit jen na potrebne veci proto (tcp,udp,icmp) saddr ( 192.168.214.5 192.168.211.227 192.168.212.227 192.168.213.227 ) daddr ( 192.168.214.5 65

192.168.211.227 192.168.212.227 192.168.213.227 ) accept; # z pobocek dovnitr jednotlivych LAN - sluzby mezi pobockami proto tcp { daddr 192.168.214.5 dport 80 accept; # PHP HTTP, INTRANET HTTP vsichni saddr ( - spisova sluzba z techto adres na 214.5 192.168.211.27 192.168.211.156 192.168.212.213 192.168.213.155 192.168.215.5 192.168.216.33 192.168.217.10 192.168.218.18 192.168.219.13) # spisova sluzba (MS SQL) daddr (192.168.214.5) dport 1433 accept; # analab - terminal services - terminal pristup na server saddr ( 192.168.219.6 192.168.211.6 ) daddr ( 192.168.213.227 ) dport 3389 accept; } } #####Z LAN aktualni pobocky do internetu a na centralu##### interface eth1 outerface ( %LAN2CENTRAL% ) { state (ESTABLISHED, RELATED) ACCEPT; # TODO jen vybrane sluzby a pouze na vybranou/e IP daddr ( 194.108.199.166, 192.168.100.1 ) { proto icmp accept; # dovolime kontrolni ping; # ruzne sluzby proto tcp dport (domain,http,https,imap,pop3,imaps,pop3s,ldap,ldaps) accept; proto udp dport (domain) accept; } 66

# HTTP, HTTPS proto tcp dport (http,https) accept; # z Gorkeho smi vsichni kvuli bance na port 2000 proto tcp saddr 192.168.214.0/24 dport 2000 accept; # aktualizace Lexdata proto tcp saddr 192.168.214.69 dport 1352 daddr 194.213.32.214 accept; # adresy, ktere smi vsude (pro potreby administratoru) proto ( icmp, tcp, udp ) saddr ( 192.168.214.10 192.168.214.11 192.168.214.12 192.168.214.13 192.168.214.14 192.168.214.15 192.168.214.16 192.168.214.17 192.168.214.18 192.168.214.19 192.168.214.20 ) accept; }

67

D

Organizační jednotky – Import uživatelů

’ Definice promennych ’ Option Explicit Dim objRootLDAP, objContainer, objUser Dim objExcel, objSpread, intRow Dim strSheet Dim givenName, sn, cn, name, displayName, dn, password, sAMAccountName, userPrincipalName strSheet = "C:\importAD.xls" ’ Pripojeni k Active Directory Set objRootLDAP = GetObject("LDAP://rootDSE") ’ Orevreni excelovskeho souboru Set objExcel = CreateObject("Excel.Application") Set objSpread = objExcel.Workbooks.Open(strSheet) intRow = 2 ’ Zacina od radku 2, radek 1 hlavicky ’ Vkladame data, dokud nejsme na poslednim radku, ’ odeskevame mezery. Start cyklu. Do Until objExcel.Cells(intRow,1).Value = "" givenName = Trim(objExcel.Cells(intRow, 1).Value) sn = Trim(objExcel.Cells(intRow, 2).Value) name = Trim(objExcel.Cells(intRow, 3).Value) displayName = Trim(objExcel.Cells(intRow, 4).Value) cn = Trim(objExcel.Cells(intRow, 5).Value) dn = Trim(objExcel.Cells(intRow, 10).Value) password = Trim(objExcel.Cells(intRow, 12).Value) sAMAccountName = Trim(objExcel.Cells(intRow, 13).Value) userPrincipalName = Trim(objExcel.Cells(intRow, 14).Value) ’ Nastaveni OU a vytvoreni uzivatele Set objContainer = GetObject("LDAP://" & dn) Set objUser = objContainer.Create("User", "cn=" & cn) objUser.sAMAccountName = sAMAccountName objUser.givenName = givenName objUser.displayName = displayName objUser.sn = sn objUser.userPrincipalName = userPrincipalName objUser.SetInfo 68

’ Aktivace uctu a nastaveni hesla ’ 512 = Enable, 514 = Disable. objUser.userAccountControl = 512 ’ Uzivatel si musi po prihalseni zmenit heslo objUser.pwdLastSet = 0 objUser.SetPassword password objUser.SetInfo intRow = intRow + 1 Loop objExcel.Quit WScript.Quit ’ Konec.

69

E

Přihlašovací skript pro novou síť

Const Const Const Const Const Const Const Const Const

FILE_SERVER_IP = "10.60.0.3" APLICATION_SERVER_IP = "10.60.0.5" EKONOMIKA_GROUP = "cn=BRGekonomika" INFORMATIKA_GROUP = "cn=BRGinformatika" MLAB_GROUP = "cn=BRGmlab" COZ_GROUP = "cn=BRGcoz" CRE_GROUP = "cn=BRGcre" OHR_GROUP = "cn=BRGohr" LEXDATA_GROUP = "cn=BRGlexdata"

’Pri chybe pokracuj On Error Resume Next ’Mapovani domovskeho adresare Set wshNetwork = CreateObject("WScript.Network") wshNetwork.MapNetworkDrive "I:", "\\" & FILE_SERVER_IP & "\Homes\" & wshNetwork.UserName Set ADSysInfo = CreateObject("ADSystemInfo") Set CurrentUser = GetObject("LDAP://" & ADSysInfo.UserName) If IsArray(CurrentUser.MemberOf) Then strGroups = LCase(Join(CurrentUser.MemberOf)) Else strGroups = LCase(CurrentUser.MemberOf) End If ’ J,K,L,M,Z If InStr(strGroups, EKONOMIKA_GROUP) Then wshNetwork.MapNetworkDrive "Z:", "\\" & APLICATION_SERVER_IP & "\iso" ’wshNetwork.AddWindowsPrinterConnection "\\192.168.10.60\LexmarkZ" ’wshNetWork.SetDefaultPrinter "\\192.168.10.60\LexmarkZ" ’ElseIf InStr(strGroups, MLAB_GROUP) Then ’wshNetwork.MapNetworkDrive "J:", "\\" & APLICATION_SERVER_IP & "\mlabdata\" ElseIf InStr(strGroups, COZ_GROUP) Then wshNetwork.MapNetworkDrive "K:", "\\" & FILE_SERVER_IP & "\coz\" ElseIf InStr(strGroups, LEXDATA_GROUP) Then 70

wshNetwork.MapNetworkDrive "L:", "\\" & FILE_SERVER_IP & "\LexDATA\" ElseIf InStr(strGroups, CRE_GROUP) Then wshNetwork.MapNetworkDrive "M:", "\\" & FILE_SERVER_IP & "\cre\" ElseIf InStr(strGroups, OHR_GROUP) Then wshNetwork.MapNetworkDrive "M:", "\\" & FILE_SERVER_IP & "\ohr\" End If ElseIf InStr (wshNetwork.UserName, "dana.merinska") Then wshNetwork.MapNetworkDrive "O:", "\\" & APLICATION_SERVER_IP & "\leg" wshNetwork.MapNetworkDrive "O:", "\\" & APLICATION_SERVER_IP & "\mzdy" End If

71

F

Schéma organizačních jednotek

Obrázek 5: OU v ZuBrno

72