Rozvoj podnikové sítě, přechod z několika oddělených NT domén na doménu centrální

Transkript

1 Bankovní institut vysoká škola Praha Katedra Informačních technologií a elektronického obchodování Rozvoj podnikové sítě, přechod z několika oddělených NT domén na doménu centrální Bakalářská práce Autor: Jan Pitálek, DiS. INFORMAČNÍ TECHNOLOGIE, Správce IS Vedoucí práce: Ing. Antonín Vogeltanz Praha červenec, 2009

2 Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury. V Českých Budějovicích dne 30. června 2009 Jan Pitálek, DiS.

3 Poděkování Vřelé díky za pomoc a vstřícný přístup Ing. Antonínu Vogeltanzovi.

4 Anotace Práce pojednává o propojování konkrétních podnikových fyzicky i logicky oddělených počítačových sítí, založených na Windows 2003 doméně, tvorbě VPN tunelů, rozebírá pravidla pro navržení adresního plánu a popisuje vlastní konfiguraci Windows 2003 domény nutnou pro připojení poboček. Jako vědecká metoda byla zvolena metoda porovnání a to sítě s několika fyzicky i logicky oddělenými částmi a sítě centralizované. Annotation This thesis deals with the problem of connection of concrete corporate either physically and logically separated computer networks, based on Windows 2003 domain, VPN tunnels creation. The thesis also analyses rules for suggesting the address plan and describes Windows 2003 domain configuration, which is neccessary for connecting with branches. I used comparing as a scientific method. I compared networks which are divided into physically and logically different parts with centralised networks.

5 Obsah Úvod Popis výchozího stavu podnikové sítě Moţnosti vzdálené správy uţivatelských PC a serverů v prostředí oddělených domén Topologie sítě Vzdálený přístup Ředitelství Oblastní středisko 1 a Oblastní středisko 2 a Oblastní středisko Bezpečnostní aspekty Potřeby organizace (důvody a očekávání) Modernizace stávající podnikové sítě přechod na centralizovanou síť s jednou NT doménou a praktický postup přechodu Druhy topologií IP adresy v podnikové síti Adresace IP Třídy adres Podsíťové adresy VPN Windows 2003 doména Zásady skupiny (Group policy) Navrhované cílové řešení Zvolená topologie Adresní plán Propojení poboček s centrálou Centrální doména

6 4.7.1 Rozmístění doménových serverů Konfigurace domény a příprava na připojení oblastních středisek Konverze doménové struktury Instalace Active directory na oblastních serverech Instalace DNS serverů Nastavení sítě uţivatelských stanic Bezpečnost - shrnutí Porovnání výchozího a navrhovaného cílového stavu sítě Závěr Seznam pouţité literatury Seznam obrázků

7 Úvod Současný trend zvyšování přenosových rychlostí internetového připojení a poklesu jeho ceny umoţňuje s nízkými náklady propojit počítačové sítě vzdálené desítky kilometrů. Touto problematikou se ve svém zaměstnání jiţ nějakou dobu zabývám. Literatura, která je dostupná v tištěné podobě, nebo na Internetu zpracovává jednotlivé části problematiky. Celkový pohled na věc však v naší firmě chybí. Proto jsem se ve své práci na tuto problematiku zaměřil a uvádím její moţné praktické řešení v podmínkách naší firmy. Cílem této práce je rozbor a popis modernizace podnikové sítě, porovnání decentralizované a centralizované sítě, spolu s návrhem jejího praktického řešení. Abych případnému útočníkovi neposkytl výhodu znalosti konfigurace sítě, pozměnil jsem konkrétní hodnoty a názvy, nebo jsem je na obrázcích znečitelnil. Ze stejného důvodu v práci pojednávám o bezpečnostních prvcích a opatřeních sítě pouze okrajově. Volba metodologie Práce se zabývá propojením několika původně fyzicky oddělených sítí do sítě jedné, tedy přechodem mezi dvěma konfiguracemi, resp. stavy. Pro porovnání těchto dvou stavů a zároveň posouzení dopadů centralizace sítě jsem pouţil metodu porovnání. 7

8 1 Popis výchozího stavu podnikové sítě Podniková síť se skládá z ředitelství a pěti oblastních středisek, z nichţ kaţdé sídlí v jiném městě. Správa informačních systémů / Informačních a komunikačních technologií (dále jen IS/IKT) sídlí na ředitelství, kde jsou umístěny hlavní servery pro informační systém (dále jen IS) a NT doména. Samostatné NT domény jsou na třech oblastních střediscích a dvě oblastní střediska nemají doménu vůbec. Na oblastních střediscích jsou umístěny oblastní servery pro informační systém (IS). V síti ředitelství jsou vyuţívány adresy IP verze 4, třídy C [2] tzn.: Na třech oblastních střediscích se pouţívá ten samý IP segment. Na dvou jiný, také třídy C, a to a Doménový server na ředitelství je Intel Xeon 2,8GHz, s operačním systémem Windows Server Doménové servery na oblastech jsou jiţ dosluhující Intel Pentium III s kmitočtem procesoru do 1GHz a operačním systémem Windows Server Na kaţdé oblasti je SQL server pro IS, který sbírá data z pobočky, kde je umístěn a přenáší je na hlavní server umístěný na ředitelství. Konfigurace těchto serverů je Intel Core2 Duo E8200 2,66 GHz, 1GB RAM os. Microsoft Server 2003 R2, se dvěma 256 GB pevnými disky spojenými do RAID 1 (MIRROR). Na oblastních střediscích bez domény mají uţivatelé přístupová práva do počítače Power User, výjimečně i administrátor. Takto nastavená oprávnění umoţňují uţivatelům instalovat software. Díky tomu jsou počítače častěji napadeny viry, nebo zahlceny různými free programy, jako jsou například přídavné lišty do Internet Exploreru. Toto nastavení oprávnění prováděli bývalí zaměstnanci IS/IKT, protoţe měli velmi omezené moţnosti vzdáleného přístupu na tyto lokality. Uţivatelé se pak snaţili problémy řešit sami, nebo telefonickou konzultací s nimi. Na ředitelství má kaţdý uţivatel síťový sdílený disk, na který si můţe zálohovat dokumenty. Na oblastech takováto moţnost není. 8

9 2 Možnosti vzdálené správy uživatelských PC a serverů v prostředí oddělených domén 2.1 Topologie sítě Obr. 1: Topologie sítě - Výchozí stav 9

10 2.2 Vzdálený přístup Ředitelství: Na ředitelství je připojení do internetu realizováno pomocí Kerio WinRoute Firewall 6 (dále jen Kerio). Kerio umoţňuje přístup do sítě z Internetu pomocí lehkého VPN klienta (Kerio VPN Client). Vzdálený počítač se po připojení stane plnohodnotnou součástí sítě. Pomocí zásady skupiny je na stanicích zapnuta vzdálená plocha a na počítačích pracoviště s nepřetrţitým provozem je navíc nainstalován program pro vzdálenou správu VNC (dále jen VNC), který na rozdíl od vzdálené plochy zobrazuje to samé, co vidí uţivatel a díky tomu můţe problém se správcem IS/IKT snáze konzultovat. Na ředitelství je dále umístěn antivirový server, který sbírá data o stavu antivirů na stanicích a umoţňuje vzdálenou konfiguraci a instalaci nových verzí Oblastní středisko 1 a 3: Tato oblastní střediska nemají doménu. Je na nich umístěn oblastní SQL server. Na oblastním středisku 1 je šest a na o. s. 2 je devět uţivatelských stanic. Vzdálenou správou je přístupný pouze oblastní server a počítač na pracovišti s nepřetrţitým provozem. Tento vzdálený přístup je realizovaný pomocí promapovaných portů na tyto dva PC. Na nich je nainstalován program VNC. Pro zásahy na ostatních PC je nutná přítomnost správce IS/IKT. Připojení do internetu zajišťuje ADSL Router Oblastní středisko 2 a 4: Zde je situace podobná jako na ředitelství doménové servery jsou však dosluhující Intel Pentium III s operačním systémem Windows Server 2000 a jejich případné propojení s doménou ředitelství by znemoţnilo plné vyuţití moţností Windows 2003 domény [3]. Na servery a PC na pracovišti s nepřetrţitým provozem je moţný přístup programem VNC přes promapované porty. Přístup na ostatní stanice je také moţný pomocí vzdálené plochy, ne však přímo, ale ze serveru, na kterém je VNC. Připojení do internetu zajišťuje ADSL Router Oblastní středisko 5: Na tomto oblastním středisku je situace nejkomplikovanější. Z historických důvodů jsou zde dvě domény. Jedna na Windows server 2000 a druhá na Linuxu. Mezi doménami není důvěryhodnost, coţ způsobuje problémy nejen se vzdáleným přístupem. Připojení do internetu zajišťuje Linuxový Firewall, na kterém jsou promapované porty na doménový 10

11 server a na oblastní SQL server informačního systému. Vzdálený přístup je moţný jen na PC zařazené ve W2k doméně. 2.3 Bezpečnostní aspekty VNC (Virtual Network Computing) je grafický program, určený pro vzdálené připojení ke grafickému uţivatelskému rozhraní pomocí počítačové sítě. VNC pracuje jako klient-server, kde server vytváří grafickou plochu v operační paměti počítače a komunikuje přes síť s klientem, který plochu zobrazuje uţivateli. Pro komunikaci se pouţívá protokol RFB (remote framebuffer), jehoţ cílem je minimalizovat objem přenášených dat mezi klientem a serverem a umoţnit tak komunikaci i přes pomalejší datové linky, jako je Internet. Při přístupu přes promapované porty není komunikace mezi klientem a serverem zabezpečena. Samotná autentizace je poměrně bezpečná, protoţe se pro ověření hesla pouţívá systém challenge-response (náhodná výzva a kontrolovaná odpověď), takţe heslo neputuje po síti v nezašifrované podobě, čímţ je omezen útok Replay attack. Po autentizaci uţ však síťový provoz mezi klientem a serverem zašifrován není, a tak můţe být veškerá komunikace odposlouchávána a rekonstruován nejen obsah obrazovky, ale zachyceny i všechny pohyby myši a stisky kláves. Zde je nebezpečí útoku Man in the middle, proto se doporučuje připojovat k VNC serveru prostřednictvím šifrovaného VPN tunelu. [16] Útok typu Replay attack : Útočník odposlechne autentizaci uţivatele a jejím opětovným vysláním se sám přihlásí. [14] Útok typu Man in the middle : Útočník se stane prostředníkem v komunikaci. Můţe tak odchytávat nebo měnit nešifrovaný provoz mezi VNC klientem a serverem. Tímto způsobem získá nejen pohled na obrazovku serveru, ale zjistí i všechny pohyby myší a stisknuté klávesy. Můţe tak snadno získat hesla, kterými se administrátor přihlašuje do Windows, nebo jiných aplikací. [15] 11

12 3 Potřeby organizace (důvody a očekávání) Zefektivnění práce zaměstnanců oddělení IS/IKT umoţněním vzdáleného přístupu na kterýkoli počítač v síti. Zvýšení bezpečnosti, zrušení promapovaných portů pro vzdálený přístup. Zpřístupnění serverů na ředitelství, v rámci firmy, po lokálních IP adresách. Předávání dokumentů - Z důvodu zavádění norem ISO je třeba umoţnit uţivatelům přistupovat na podnikové úloţiště dokumentů bez ohledu na to, na které pobočce jsou. Umoţnit uţivatelům zálohovat dokumenty na síťový disk umístěný na serveru v dané pobočce. Sjednocení uţivatelských oprávnění, přidělení všem uţivatelům práva user. Uţivatelé pak nebudou moci instalovat software, dávat výjimky do firewallu jejich počítače a dělat ţádné zásadní změny v konfiguraci systému. Moţnost aplikovat zásady skupiny (group policy) na všechny počítače i uţivatele najednou, nebo na kteroukoli skupinu počítačů a nebo uţivatelů zvlášť. Centrální dohled nad antiviry. Hromadná konfigurace klientských firewallů. Přístup zvenčí i pro uţivatele (moţnost pracovat z domova). Moţnost na kterémkoli PC omezit přístup k internetu pouze na vybrané internetové servery. 12

13 4 Modernizace stávající podnikové sítě přechod na centralizovanou síť s jednou NT doménou a praktický postup přechodu Druhy topologií Hvězda Jednou z nejstarších topologií je hvězda, která vyuţívá k příjmu a vysílání zpráv stejného přístupu jako telefonní systém. Stejně, jako telefonní ústředna propojuje jednoho telefonního účastníka s druhým, musí veškerá komunikace procházet přes centrální počítač leţící ve středu hvězdy. Výhodou hvězdy je moţnost snadného přidání další stanice. Stačí jen propojení s centrálním počítačem. Další výhodou hvězdy je, ţe správce sítě můţe přiřadit některým stanicím vyšší prioritu. Dále tato topologie umoţňuje centrální diagnostiku všech funkcí sítě, protoţe veškerý provoz prochází přes centrální počítač. Zásadní nevýhodou hvězdicové topologie je, ţe v případě nefunkčnosti centrálního počítače není funkční celá síť. [6] Obr. 2: Topologie hvězda 13

14 Propojené hvězdy Alternativou k hvězdicově topologii je topologie s propojenými hvězdami. Tato topologie se skládá z několika vzájemně propojených hvězd. Výpadek kterékoli hvězdy nemá za následek výpadek celé sítě, i kdyţ stanice připojené k hvězdě s poruchou nebudou moci pracovat v síti. [6] Obr. 3: Topologie propojené hvězdy 14

15 Sběrnice Sběrnicová topologie je nejméně náročná na kabeláţ. Je snadné přidávat nové stanice ale obtíţné udrţet bezpečnost. Sběrnice připomíná datovou trasu, která propojuje několik stanic v síti. V takovýchto sítích si stanice obvykle prověřují, zda je na datové trase přicházející zpráva dříve, neţ odešlou svou vlastní zprávu. Protoţe sběrnici sdílejí všechny stanice, procházejí zprávy kolem všech připojených stanic. Kaţdá stanice zjišťuje, zda se její adresa kryje s její vlastní adresou. Stanice zkopíruje její adresovanou zprávu do paměti na desce síťového rozhraní a pak tuto informaci zpracovává. Na rozdíl od hvězdy je na sběrnici třeba minimum kabelů. Nevýhodou je, ţe mezi odbočkami musí být určitá minimální vzdálenost, která zabrání vzájemnému rušení signálů. Rovněţ není jednoduché udělat diagnostiku sítě. A především tato topologie nemá rysy síťové bezpečnosti, které jsou vlastní hvězdicové topologii. Protoţe všechny zprávy se posílají po společné datové trase, můţe být bezpečnost narušena neoprávněným uţivatelem sítě. [6] Obr. 4: Topologie sběrnice Kruh Kruhová topologie kombinuje výhody hvězdy a sběrnice. Pracovní stanice přebírá dohlíţecí roli nad všemi síťovými funkcemi. Porucha jedné stanice nezpůsobí výpadek celé sítě. Kruhová topologie se skládá z několika uzlů (stanic) propojených vzájemně do tvaru kruhu. Zprávy se šíří jedním směrem od uzlu k uzlu. Některé kruhové sítě jsou schopny posílat zprávy oboustranně, nicméně v jednom okamţiku jsou schopné posílat zprávy jen jedním směrem. Kruhová topologie umoţňuje ověřit, ţe zpráva byla přijata. V případě, ţe uzel přijme zprávu, která mu byla adresována, zkopíruje si ji, a pak ji pošle zpět odesílateli 15

16 s příznakem, který indikuje její přijetí. Jedním z nejdůleţitějších témat v kruhové topologii je zajištění stejného přístupu pro všechny stanice. V síti token ring odesílá vysílací stanice tzv. token (také se mu říká pešek, nebo pověření). Token obsahuje adresu odesílatele a adresu uzlu, kterou je zpráva určena. Kdyţ přijímací stanice zkopíruje svoji zprávu, vrací token přijímací stanici. Pro potřeby správce je jedna stanice navrţena jako dohlíţecí uzel, který diagnostikuje síť. Výhodou kruhu je, ţe kdyţ vypadne dohlíţecí uzel, zůstává síť provozuschopná, protoţe je moţné jeho úlohu přenést na jinou stanici. Pomocí obchozích programů můţe síť vzdorovat poruše několika stanic tím, ţe je obejde. Další kruhové sítě mohou být spojeny pomocí přemostění (bridge), které přepíná data z jednoho kruhu do druhého. Nevýhodou je, ţe pokud je několik stanic vzájemně propojeno do kruhu, je velmi obtíţné přidávat nové stanice. Celá síť musí být vypnuta, dokud není přidán nový uzel a připojena kabeláţ. [6] Obr. 5: Topologie kruh 16

17 4.2 IP adresy v podnikové síti Adresace IP Síťové adresy IP verze 4 jsou 32-bitové (v délce čtyř oktetů) a typicky jsou zapisovány jako čtveřice přirozených desítkových čísel (kaţdé vyjadřující hodnotu oktetu) oddělených tečkou (např. binární IP adresa se v dekadické notaci píše ). Adresa má dvě části: adresa sítě první část adresy přidělená správcem IP adres (regionálně/kontinentálně American Registry for Internet Numbers, ARIN, Réseau IP Européenne, RIPE a Asia Pacific Network Information Center, APNlC, resp. poskytovatele přístupu k Internetu), adresa uzlu v síti poslední část adresy, přidělena správcem sítě Adresy mohou být individuální, skupinové nebo všeobecné. Kaţdé rozhraní v (globální) síti musí mít jedinečnou IP adresu (pro soukromé sítě, nepřipojující se k Internetu přímo tato podmínka neplatí). Ve výjimečných případech nemusí mít přidělenu adresu ţádnou (moţnost výhradně pro sériové porty směrovače) nebo můţe mít přidělenu více jak jedinou IP adresu (primární a sekundární adresy). [5] Třídy adres Adresy mohou být tvořeny podle jednoho z následujících pěti formátů (tříd): třída A pouţívá se první oktet adresy pro identifikaci sítě a zbývající tři oktety pro identifikaci rozhraní. Loopback, tj. softwarová zpětnovazební adresa pro lokální meziprocesovou komunikaci v rámci jednoho počítače (bez vysílání do sítě, proto by se v síti neměla nikdy objevit), obvykle Získání adresy třídy A je dnes prakticky nemoţné; třída B pouţívá první dva oktety adresy pro identifikaci sítě a zbývající dva oktety pro identifikaci rozhraní. Adresy třídy B jsou jiţ téměř rozděleny mezi abonenty Internetu, podniky a poskytovatele přístupu k Internetu; třída C pouţívá první tři oktety adresy pro identifikaci sítě a zbývající oktet pro identifikaci rozhraní. Adresy třídy C poskytují minimální prostor pro adresování stanic v síti (jen 254), ale jsou dnes prakticky jedinými dostupnými adresami pro přímé připojení k internetu; 17

18 třída D zatímco třídy A-C adres slouţily k adresaci jednotlivých uzlů a sítí, třída D slouţí pro adresaci skupinovou (RFC 1112); skupinová adresace se pouţívá pro řadu moderních aplikaci, mezi speciální skupinové adresy path: skupina všech stanic propojených v lokální podsíti, skupina všech směrovačů připojených k lokální podsíti, všechny směrovače protokolu DVMRP, skupina všech směrovačů podporujících směrovací protokol OSPF, skupina všech jmenovaných směrovačů podporujících protokol OSPF, pouţito pro RIP 2(Routing Information Protocol), pouţito pro NTP (Network Time Protocol); třída E třída nejmenšího rozsahu adres slouţí jen pro experimentální účely. Struktura adresy (S=síť, U=uzel) Tabulka 1: Klasifikace adres IP První bity adresy dvojkově Platné hodnoty prvního oktetu desítkově Počet adres síti v třídě Třída A S.U.U.U (127) (24) - 2 Třída B S.S.U.U (16) - 2 Třída C S.S.S.U Třída D skupinová Třída E experimentální Počet stanic adresovatelných v rámci sítě Všechny platné adresy v rámci jedné sítě (třídy A-C) neoznačují stanice, protoţe v adresním prostoru IP adres jsou některé adresy vyhrazeny pro speciální účely. Jsou to adresy určené např. pro všeobecné vysílání, ladění komunikačních programů apod. Tyto adresy jsou rezervovány pro svůj určený význam (přitom binární 0 znamená tento počítač / tato síť", 1 znamená všechny ). Například znamená tento počítač na této síti (počítač ještě nezná svoji adresu, ale musí komunikovat např. při zavádění systému přes síť ze serveru, tato adresa tedy můţe slouţit jako zdrojová, nikoli však jako cílová); 18

19 Pro adresy soukromých sítí jsou podle RFC 1918 vyčleněna následující síťová čísla: třída A , třída B aţ , třída C aţ Původně tato síťová čísla byla určena pro sítě, které se neměly připojovat k Internetu, ale z důvodu nedostatku adres se dnes pouţívají pro podnikové sítě, které pouţívají vlastní mechanismus adresace skrytý za systémem ochranné zdi" (firewall). [5] Podsíťové adresy Vzhledem k neefektivnímu rozdělení adres, především nedostatku adres stanic pro adresy třídy C a naopak nevyčerpatelnému přebytku adres uzlů v třídě A, se přistoupilo k mechanismu tzv. podsíťování (subnetting). Část adresy původně určená stanici v rámci sítě se rozdělí na dvě části: adresu podsítě (v rámci pevně dané adresy sítě) a adresu stanice. Dodrţuje se pravidlo, ţe pro podsíťové adresy se vyuţívá souvislého toku bitů zleva od (nedotknutelné) adresy sítě (RFC 950 a 1812), viz Obr. 6. Jakmile se pouţívá podsíťování, je třeba přesně rozlišovat mezi adresou sítě, adresou její podsítě a adresou stanice v rámci dané podsítě. Třídu, adresu sítě i stanici, pak s podsíťováním totiţ není tak jednoduché rozlišit. Proto nestačí pouhá IP adresa, ale musí být doplněna ještě tzv. podsíťovou maskou (subnet mask). Maska má stejný formát jako adresa, 32 bitů vyjádřených čtyřmi desítkově vyjádřenými oktety. Na pozicích bitů označujících adresu sítě a adresu podsítě je hodnota bitů masky l, na pozicích bitů slouţících pro adresu stanice má maska hodnotu 0. Implicitní masky (bez jakéhokoli podsíťování) mají následující hodnoty: třída A implicitní maska , třída B implicitní maska , třída C implicitní maska , Při podsíťování nelze ale pouţívat zcela libovolný počet bitů pro adresaci podsítí: musí existovat moţnost adresovat alespoň nějaké stanice v podsíti (proto se nepouţívá ani poslední bit ani předposlední bit části adresy stanice pro podsíťování) a naopak musí být jednoznačné, zda se jedná o adresu sítě či její podsítě (nepouţívá se první, tedy jediný bit pro podsíťování, bez ohledu na třídu adres). Jinými slovy, např. pro konkrétní adresu třídy B (např ), která má k dispozici dva oktety v části adresy stanice lze pouţít 19

20 minimálně 2, maximálně však 14 bitů pro adresaci podsítí (viz Tabulka 2). Adresa podsítě by neměla mít všechny bity nulové (kolize s adresou sítě), ani všechny bity jedničkové (kolize s adresou všeobecně), aby se vyloučila nejednoznačnost. Z důvodu nedostatku adres je však moţné se setkat s tzv. nulovou podsítí (subnet zero), která pouţívá první nesprávnou variantu adresace. Je vsak třeba si uvědomit, ţe ne všechna zařízení v intersíti (především směrovače) musí být nutně nakonfigurována tak, aby této adrese (adresám IP stanic připojeným k této podsíti) správně rozuměla. Obr. 6: Příklad přidělování podsíťových adres v třídě A Podle toho pro jednotlivé třídy adres lze sítě dělit jen do určitého počtu podsítí: třída A pro adresy podsítí lze pouţít bity adresy (prvních 8 bitů je rezervovaných pro adresu sítě), proto masky mohou vypadat v rozsahu ( ) a celkem lze adresovat maximálně podsítí v rámci jediné sítě; třída B pro adresy podsítí lze pouţít bity adresy (prvních 16 bitů je rezervovaných pro adresu sítě), proto masky mohou vypadat v rozsahu ( ) a celkem lze adresovat maximálně podsítí v rámci jediné sítě; třída C pro adresy podsítí lze pouţít bity adresy (prvních 8 bitů je rezervovaných pro adresu sítě), proto masky mohou vypadat v rozsahu ( ) a celkem lze adresovat maximálně podsítí v rámci jediné sítě; Kombinaci konkrétní IP adresy stanice a příslušné podsíťové masky lze zjistit, v jaké podsíti (případně síti, pokud se jedná o implicitní masku) stanice leţí. Pouţívá se logický součin obou dvojkově vyjádřených čísel (logický součin dává výsledek 1, pouze pokud oba 20

21 operandy jsou 1). Tabulka 2 uvádí počet podsítí adresy třídy B při vyuţití různého počtu bitů adresy. Počet bitů pro podsíťování Tabulka 2: Využití bitů pro podsíťování v adrese třídy B Počet podsítí Počet bitů pro adresu stanice Maximální počet adresovatelných stanic Maska nepovoleno nepovoleno nepovoleno Příklady: IP adresa (třída C adresy) s podsíťovou maskou znamená, ţe se nepouţívá ţádná adresace podsítí a stanice. Je připojena k síti Všeobecná adresa pro síť je pak (vysílání všem uzlům v síti, v části adresy stanice jsou všechny bity nastaveny na hodnotu 1) = IP adresa = maska = sit' 21

22 IP adresa (třída B adresy) s podsíťovou maskou znamená, ţe se pouţívá k adresaci podsítí celý třetí oktet adresy (8 bitů) a stanice je připojena k podsíti , která patří do sítě Všeobecná adresa pro síť je sice (poslední dva oktety třídy B adresy jsou nastaveny na l), ale všeobecná adresa jen pro naši podsíť je (pouze bity v části adresy stanice v rámci podsítě jsou nastaveny na 1) = IP adresa = maska = sit' IP adresa (třída B adresy) s podsíťovou maskou znamená, ţe se pouţívá k adresaci podsítí nejen celý třetí oktet adresy (8 bitů), ale ještě první tři bity posledního oktetu (je k dispozici celkem 11 bitů pro adresaci podsítí), a proto je stanice připojena k podsíti , která patří do sítě Všeobecná adresa pro síť je stejná, jako v předchozím příkladu a všeobecná adresa pro naši podsíť je tentokrát (pouze bity v části adresy stanice v rámci podsítě - 5 bitů - jsou nastaveny na 1) = IP adresa = maska 151.R = sit' Dělení sítí do podsítí umožňuje: propojovat segmenty sítí směrovači - kaţdý segment má svoji vlastní adresu podsítě, vyuţít omezený adresový prostor - výhodným zvolením poctu bitu pro podsíťování lze adresovat segmenty sítě i stanice připojené k segmentům. Znalost sítí a podsítí je především důleţitá pro směrování v intersíti, neboť směrovače nepotřebují znát jednotlivé adresy stanic, ale rozhodují se na základě první části adresy (sítě nebo podsítě). [5] 22

23 4.3 VPN VPN je zkratkou Virtual Private Network (Virtuální Privátní Síť). Je to počítačová síť vyuţívající komponenty existujících sítí privátních (podnikové sítě) a veřejných sítí (Internet). Existuje tedy pouze virtuálně. [9] VPN se pouţívá k propojení jak dvou podnikových sítí, tak k připojení vzdáleného klienta do podnikové sítě. Příkladem uţití je firma, která má několik poboček s privátními sítěmi připojenými k internetu. Chce tyto pobočky propojit a dále potřebuje zaměstnancům umoţnit přístup do podnikové sítě pomocí počítače leţícího mimo privátní síť a připojeného pouze k internetu. Nespornou výhodou VPN je šifrování datového přenosu, díky němuţ nemůţe nikdo neoprávněně odposlechnout data během jejich přenosu po veřejném Internetu. Jednotlivé stanice nebo sítě připojované na VPN server jsou navíc ověřeny bezpečnou metodou (sdílený klíč, tzv. pre-shared key, nebo klientský certifikát), coţ zabraňuje přístupu neoprávněných osob. [9] Základní příklady použití VPN: připojení uţivatelů na pobočkách k aplikaci běţící centrálně (např. terminálové sluţby) vzájemné propojení všech poboček (moţnost přístupu k počítačům, tiskárnám a dalším zařízením na jednotlivých pobočkách pomocí vnitřních IP adres) pohodlné připojení do vnitrofiremní sítě z domova, z "terénu" (např. z mobilního připojení) nebo na sluţební cestě pomocí internetové přípojky v hotelovém pokoji management VPN, díky níţ se můţe provádět vzdálená správa (např. konfigurace serverů, asistence uţivatelům ve vnitřní síti) [9] Produktů, které umoţňují tvorbu VPN je celá řada. Jsou jak freeware, čili zdarma (např. Open VPN), tak komerční (např. Kerio VPN). Kerio VPN je proprietální řešení. Je součástí celého firewallového softwaru s názvem Kerio WinRoute Firewall. Kerio umoţňuje jak bezpečné propojení privátních sítí šifrovaným tunelem, tak připojení vzdálených uţivatelů do privátní sítě. Velkou výhodou Keria je jeho integrace s firewallem a překladem adres na kterékoli straně. Konfigurace Keria je velice uţivatelsky přívětivá.[10] Konfigurace Open VPN je o poznání sloţitější. Mnoho firem však nabízí řešení na bázi Open VPN a to jak pomocí specializovaného hardware (např. firma 23

24 NEXTUP), tak instalací a konfiguraci Open VPN. Dále je moţné pouţít hardware, či software vyuţívající protokoly na spojové vrstvě modelu ISO/OSI, jako jsou IPoverIP, GRE, IPSec, PPTP, L2TP. [12] 4.4 Windows 2003 doména Doménu lze definovat jako logické seskupení prostředků v síti. Prostředky rozumíme počítače, uţivatelské účty, skupiny uţivatelů apod. Rozdílů mezi doménou a pracovní skupinou je několik: V doméně existuje částečně hierarchické uspořádání počítačů. Na vrcholu struktury je řadič domény, který udrţuje doménovou databázi. Nejedná se tedy o síť peer to peer (rovný s rovným). Uţivatel má jeden (doménový) účet, který můţe pouţít pro přihlášení k libovolnému počítači v doméně, pokud k tomu má dostatečná oprávnění. Účet uţivatele je uloţen v doménové databázi. Doménovou databázi udrţuje řadič domény. Pokud je řadičů domény více, vyměňují si repliku doménové databáze (pro případ výpadku jednoho z nich, nebo pokud je v síti více podsítí propojených pomalou linkou). Přístup k prostředkům v jiných počítačích v doméně můţe být řízen doménovým účtem uţivatele. Místní účty v daných počítačích nejsou nutné. Pokud uţivatel mění heslo, týká se to jeho doménového účtu. S novým heslem je tedy schopen se ihned přihlásit na kterýkoli počítač v doméně. Počítače v doméně lze zabezpečit pomocí zabezpečení zásad skupiny definovaných pouze jednou pro celou doménu. Doménové prostředí je cesta k efektivní správě sítě, většímu zabezpečení prostředí a v konečném důsledku ke sníţení celkových nákladů na výpočetní techniku. [8] 24

25 Obr. 7: Active directory - Konzole Uživatelé a počítače Zásady skupiny (Group policy) Nástroj zásady skupiny je jedním z nástrojů technologie IntelliMirror, tedy technologie představené s příchodem systému Windows Nahrazuje nástroj Systémové zásady pouţívaný v systému Windows NT 4.0. V porovnání s ním má vylepšenou filozofii přístupu, lepší funkčnost a přehlednější konfiguraci. Cílem tohoto nástroje je umoţnit správcům efektivně spravovat prostředí uţivatelských stanic i serverů. Jeho prostřednictvím je moţné dělat hromadná nastavení prostředí Windows, provádět vzdálené instalace nebo připojovat síťové disky. Nezbytnou podmínkou pro aplikaci zásad skupiny je plnohodnotné členství v doméně. Nedají se tedy vyuţít u operačních systémů Windows 98 a starších, ani u Windows XP a Vista ve verzi Home. [8] 1 Jeden z obrázků se znečitelněnými údaji. 25