CZ.1.07/1.3.40/

Transkript

1 Windows server Publikace vznikla v rámci projektu OPVK Vyškolený pedagog záruka kvalitní výuky na Střední odborné škole veterinární, mechanizační a zahradnické a Jazykové škole s právem státní jazykové zkoušky v Českých Budějovicích, reg. č. CZ.1.07/1.3.40/ Ing. Roman Blábolil České Budějovice, 2013

2 Jazyková korektura: Neprošlo jazykovou korekturou Sazba: Ing. Roman Blábolil Ing. Roman Blábolil

3 - 3 - Obsah 1 Úvod Základy síťové infrastruktury Typy sítí z hlediska rozsahu Topologie sítě... 8 Sběrnicová topologie Prstencová topologie (kruh) Hvězdicová topologie (strom) Stromová topologie (smíšená) Dělení sítí podle jejich architektury Sítě Ethernet Kabely Další síťové komponenty Bezdrátové technologie Bluetooth Bezdrátové sítě - Wi-Fi Typy Wi-Fi sítí Přenosová pásma Módy bezdrátového připojení Zabezpečení přenosu Anténa Bezdrátové sítě - WiMax Protokol TCP/IP (Transmission Control Protocol/ Internet Protocol) a OSI model OSI model TCP/IP model IP adresa (Internet Protocol) Funkce NAT Připojení na Internet... 45

4 Druhy připojení k Internetu Protokoly a adresy DNS adresa počítače URL adresa zdroje Intranet a Extranet Technologií ukládání dat Správa disků a svazků Basic disky vs. dynamické disky Volba souborového systému Disková pole (RAID) Instalace Windows Server Role a funkce Windows serveru Souborový server Řadič domény (Domain Controller) Aplikační server Webový server Metody používané ke správě prostředí Windows Server Active directory Uživatelský účet Group Policy Zabezpečení v Active Directory Instalace a konfigurace DNS Správa souborového systému - Správce prostředků souborového serveru Vzdálený přístup - VPN Základy zabezpečení IT Zabezpečení Windows Server Autentizace a autorizace UAC Oprávnění k souborům a složkám Zamykání účtu, zásady hesla

5 Šifrování Zabezpečení souborů a složek Zabezpečení sítě Firewall Monitorování výkonu serveru Virtualizace serverů Seznam použité literatury

6 - 6-1 ÚVOD Tato publikace vznikla v rámci projektu OPVK Vyškolený pedagog záruka kvalitní výuky. Cílem publikace je zpracovat základní poznatky z absolvovaného kurzu Server základní principy a nastavení sítě. Publikace se bude zabývat: Síťovou infrastrukturou - (síťová architektura, místní síť LAN, vzdálená síť WAN, bezdrátová síť, připojení k internetu, vzdálený přístup) Komponenty pro připojení k síti - (model OSI, adaptéry, rozbočovače, přepínače, směrování) TCP/IP - (adresy IPv4, nastavení IPv4, převod jmen) Úložiště v systému Windows Server - (technologie úložišť, správa disků a svazků, implementace RAID) Instalace a konfigurace systému Windows Server - (instalace Windows Server, správa služeb, správa periférií a zařízení) Role systému Windows Server - (nasazení podle rolí, nasazení serverů pro vybrané role) Implementace Active Directory Domain Services - (AD DS, správa uživatelů, skupin a počítačů, organizační jednotky, implementace zásad skupin) Zabezpečení IT Zabezpečení systému Windows Server - (zabezpečení systému Windows Server, zabezpečení souborů a složek, šifrování) Zabezpečení sítě - (zabezpečení sítě, firewall, Network Access Protection) Bezpečnostní software Monitorování výkonu serveru Údržba systému Windows Server - (řešení problémů při startu systému Windows Server, dostupnost serveru a obnovení dat, aplikování aktualizací na Windows Server, řešení problémů systému Windows Server) Virtualizace (virtualizační technologie, implementace role Hyper-V)

7 - 7-2 ZÁKLADY SÍŤOVÉ INFRASTRUKTURY Počítačová síť není nic jiného než propojení několika počítačů mezi sebou. Takovéto propojení počítačů umožňuje pohodlnou komunikaci a výměnu dat mezi počítači. Jsou-li do sítě připojeny navíc další technické prostředky, jako například tiskárny, modemy a podobně, mohou tyto prostředky sdílet uživatelé všech počítačů připojených do počítačové sítě. Kromě samotného připojení (technického zabezpečení) je zapotřebí i patřičné programové vybavení, které tvoří síťový operační systém. V dnešní době jsou nejpoužívanější síťové systémy postaveny na operačních systémech Microsoft Windows (NT, XP, 2000, 2003, 2008, 7, 8), Novell Netware a Unix (Linux). Nezapomeňte, že pokud chcete počítače propojit, je třeba dovybavit propojované počítače síťovými kartami. Propojení těchto dílů zajistíte nejčastěji elektricky vodivým kabelem (nejpoužívanější je kroucená dvoulinka, twisted pair), někde bývá použito propojení pomocí optického kabelu, propojení radiové nebo dokonce satelitní. 2.1 TYPY SÍTÍ Z HLEDISKA ROZSAHU LAN (Local Area Network) malá lokální počítačová síť. Vznikne propojením počítačů v rámci pracoviště nebo podniku. Počítačů zapojených do jedné sítě může být i několik desítek. MAN (Metropolitan Area Network) označuje sítě středně velké. Stejně jako u LAN, není jejich rozloha dána nějakými přesnými rozměry. V sítí MAN je většinou propojeno několik přilehlých budov, ve kterých se nacházejí sítě LAN. WAN (Wide Area Network) rozsáhlá počítačová síť, která už může překračovat hranice podniku, města nebo státu. Vybudování rozsáhlé sítě je velmi finančně náročné, ale i technicky a programově. Proto instalaci a zprovoznění sítě raději přenechejte odborníkům.

8 - 8 - PAN (Persional Area Network) osobní počítačová síť, kterou člověk používá pro propojení osobních elektronických zařízení (mobilní telefon, PDA, Notebook, náhlavní soupravy apod.). Spojení se provádí zpravidla pomocí technologie Bluetooth nebo IrDA (infračervený port Infrared Data Association) Počítačové sítě používají různé protokoly to jsou normy, které určují, jak se data přenáší mezi jednotlivými částmi sítě. Nejpoužívanější jsou protokoly TCP/IP a IPX/SPX. V sítích s protokolem TCP/IP má každý počítač své jedinečné označení IP adresu. Ta má čtyři číselné části (ve verzi IP4), každá část může nabývat hodnot od 0 do 255. Některé adresy jsou vyhrazeny pro speciální použití, například pro počítače lokálních sítí. Obr TOPOLOGIE SÍTĚ Topologií sítě rozumíme způsob zapojení počítačů do počítačové sítě. Rozeznáváme tři základní druhy: Sběrnicová topologie Výhody: Malá spotřeba kabelu. Média nejsou drahá a snadno se s nimi pracuje. Je jednoduchá a spolehlivá. Snadno se rozšiřuje.

9 - 9 - Nevýhody: Síť se může při velkém provozu zpomalit. Problémy se obtížně izolují. Porušení kabelu může ovlivnit mnoho uživatelů. Prstencová topologie Výhody: Nevýhody: Rovnocenný přístup pro všechny počítače. Vyvážený výkon i při velkém počtu uživatelů. Selhání jednoho počítače může mít dopad na zbytek sítě. Problémy se obtížně izolují. Rekonfigurace sítě přeruší její provoz. Hvězdicová topologie Výhody: Snadná modifikace a přidávání nových počítačů. Centrální monitorování a správa. Selhání jednoho počítače neovlivní zbytek sítě. Nevýhody: Pokud selže centrální prvek (HUB), selže celá síť. Stromová (smíšená) topologie Výhody: Snadná modifikace a přidávání nových počítačů. Centrální monitorování a správa. Selhání jednoho aktivního prvku neovlivní zbytek sítě. Snižuje se potřebné množství kabelů, zvyšuje se obtížnost odposlouchávání síťové komunikace Nevýhody: Pokud selže centrální prvek (HUB, SWITCH), selže část sítě.

10 SBĚRNICOVÁ TOPOLOGIE Tato topologie je známa jako nejjednodušší a nejčastější způsob zapojení počítačů do sítě. Skládá se z jediného kabelu nazývaného hlavní kabel (páteř), který v jedné řadě propojuje všechny počítače v síti. Obr. 2 Komunikace ve sběrnicové topologii Počítače v síti se sběrnicovou topologií komunikují tak, že adresují data konkrétnímu počítači a posílají tato data po kabelu ve formě elektrických signálů. Data v síti ve formě elektrických signálů jsou posílána všem počítačům v síti, nicméně informaci přijme pouze ten počítač, jehož adresa odpovídá adrese zakódované v počátečním signálu. V daný okamžik může zprávy odesílat vždy pouze jeden počítač. Protože ve sběrnicové síti může v daném okamžiku data posílat vždy pouze jeden počítač, závisí výkon sítě na počtu počítačů připojených ke sběrnici. Čím více počítačů je ke sběrnici připojených, tím více počítačů bude čekat, aby mohly poslat data po sběrnici, a tím bude síť pomalejší. Protože data, neboli elektrický signál, jsou posílána po celé síti, cestují z jednoho konce kabelu na druhý. Kdyby mohl signál pokračovat bez přerušení, neustále by se vracel tam a zpět podél kabelu a zabránil by tak ostatním počítačům v odesílání jejich signálů. Proto je potřeba signál, co měl možnost dosáhnout cílové adresy, zastavit. Aby se zastavilo vracení signálu, umístí se na oba konce kabelu terminátor, který pohlcuje volné signály. Pohlcování

11 vyčistí kabel tak, aby mohly data posílat i další počítače. Všechny konce kabelu v síti musí být do něčeho zapojeny. Konec kabelu může být například zapojen do počítače nebo do konektoru prodlužovacího kabelu. Jakýkoliv volný konec kabelu musí být zakončen tak, aby se předcházelo vracení signálu. Přerušení komunikace v síti V případě, že je kabel fyzicky rozříznut na dvě části nebo se jeden konec odpojí, dojde k přerušení kabelu. V každém případě nebude mít jeden nebo více konců terminátor a signál se bude vracet. Následkem toho se přeruší činnost v síti. PRSTENCOVÁ TOPOLOGIE (KRUH) Prstencová topologie propojuje počítače pomocí kabelu v jediném okruhu. Neexistují žádné zakončené konce. Signál postupuje po smyčce v jednom směru a prochází všemi počítači. Narozdíl od pasivní sběrnicové topologie funguje každý počítač jako opakovač, tzn. že zesiluje signál a posílá ho do dalšího počítače. Protože signál prochází všemi počítači, může mít selhání jednoho počítače dopad na celou síť. Obr. 3

12 Komunikace v prstencové topologii Jeden způsob přenosu dat po kruhu se nazývá předávání známky. Známka (token) se posílá z jednoho počítače na druhý, dokud se nedostane do počítače, který má data k odeslání. Vysílající počítač známku pozmění, přiřadí datům elektronickou adresu a pošle ji dál po okruhu. Data procházejí všemi počítači, dokud nenaleznou počítač s adresou, která odpovídá jim přiřazené adrese. Přijímací počítač vrátí vysílacímu počítači zprávu, že data byla přijata. Po ověření vytvoří vysílací počítač novou známku a uvolní ji do sítě. Přerušení komunikace v síti V případě, že je kabel fyzicky rozříznut, dojde k přerušení kabelu. Následkem toho se přeruší činnost v síti. HVĚZDICOVÁ TOPOLOGIE (STROM) Ve hvězdicové topologii jsou počítače propojeny pomocí kabelových segmentů k centrálnímu prvku sítě, nazývanému rozbočovač (HUB, SWITCH). Signály se přenáší z vysílacího počítače přes rozbočovače do všech počítačů v síti. Tato topologie pochází z počátků používání výpočetní techniky, kdy bývaly počítače připojeny k centrálnímu počítači mainframe. Mezi každými dvěma stanicemi musí existovat jen jedna cesta! Tento způsob zapojení je dnes nejpoužívanější. Hvězdicová topologie nabízí centralizované zdroje a správu. Protože jsou však všechny počítače připojeny k centrálnímu bodu, vyžaduje tato topologie při instalaci velké sítě velké množství kabelů. Kromě toho, selže-li centrální bod, přestane fungovat celá síť.

13 Obr. 4 Pokud ve hvězdicové síti selže jeden počítač nebo kabel, který ho připojuje k rozbočovači, pouze tento nefunkční počítač nebude moci posílat nebo přijímat data ze sítě. Zbývající část sítě bude i nadále fungovat normálně. STROMOVÁ TOPOLOGIE (SMÍŠENÁ) Ostatní topologie jsou pouze kombinací předchozích typů, například stromová topologie při níž je spojeno více hvězdicových sítí v jednu. Obr. 5

14 V Internetu se používá topologie smíšená. To má za následek, že při poruše jednoho počítače prochází signál na určené místo jinou cestou. 2.3 DĚLENÍ SÍTÍ PODLE JEJICH ARCHITEKTURY Sítě mohou mít architekturu, buď peer-to-peer, nebo server/klient. Sítě peer-to-peer Tato architektura je obvyklá u menších sítí, tak do deseti počítačů. Je vhodná také pro domácí použití. Větší sítě nemohou na této architektuře pracovat, nebo je to alespoň velice nevhodné řešení. Architektura server/klient Tato architektura je nákladnější. Je určena pro větší sítě, kde zajišťuje spolehlivý a rychlý provoz. Základem architektury je jeden, nebo více speciálních počítačů - serverů a ostatní počítače se k nim připojují. Servery poskytují prostředky ostatním. Služby poskytované serverem Sdílení tiskáren (print server) Sdílení dat (file server) Sdílení internetového připojení (proxy server) elektronická pošta (mail server) archivace dat

15 SÍTĚ ETHERNET Sítě Ethernet vznikly v laboratořích firmy Xerox v roce Je to nejpoužívanější technologie pro domácí i podnikové sítě. Verze Ethernetových sítí Ethernet - v původní variantě byl určen pro přenosovou rychlost rychlost 10 Mbit/s. Je definován pro koaxiální kabel, kroucenou dvojlinku a optické vlákno. Fast Ethernet - rychlejší verze s přenosovou rychlostí 100 Mbit/s definovaná standardem IEEE 802.3u. V současnosti jej lze považovat za základní verzi Ethernetu. Je k dispozici pro kroucenou dvojlinku a optická vlákna. Gigabitový Ethernet - zvýšil přenosovou rychlost na 1 Gbit/s. Původně byl definován pouze pro optická vlákna (IEEE 802.3z), později byla doplněna i varianta pro kroucenou dvojlinku (IEEE 802.3ab). Desetigigabitový Ethernet - představuje zatím poslední standardizovanou verzi. Jeho definice byla jako IEEE 802.3ae přijata v roce Přenosová rychlost činí 10 Gbit/s, jako médium zatím slouží hlavně optická vlákna. V současnosti (2008) byla vyvinuta jeho specifikace pro kroucenou dvojlinku s označení IEEE 802.3an. Začíná se zavádět.

16 Specifikace Ethernetu Označení Rychlost v Mb/s Typ kabelu Topologie Maximální délka v m Typ Ethernetu 10Base5 10 koaxiální RG-8 sběrnicová 500 Ethernet 10BaseT 10 TP kategorie 3 hvězdicová 100 Ethernet 100BaseTX 100 TP kategorie 5 hvězdicová 100 Fast Ethernet 1000BaseLX /125 jednovidové optické vlákno hvězdicová Gigabit Ethernet 1000BaseLH /125 jednovidové optické vlákno hvězdicová Gigabit Ethernet 1000BaseT 1000 TP kategorie 5e nebo 6 hvězdicová 100 Gigabit Ethernet 10GBaseT SFTP 6A nebo TP 6A hvězdicová Gigabit Ethernet 2.5 KABELY Koaxiální kabel Používá se pouze u nejpomalejšího typu. Nejdříve se používal tlustý kabel RG-8, který měl sice větši dosah, ale špatně se s ním manipulovalo. Později přibyl k možnosti tlustého kabelu i kabel tenčí s označením RG-58, který měl menší dosah. Oba typy kabelů RG-8 i RG-58 mají impedanci 50 ohmů. Kabel tvoří měděný vodič, který je obalen izolační vrstvou, na izolační vrstvě je měděný plášť a to celé je ještě obalené vnější pláštěm, většinou z umělé hmoty.

17 Obr. 6 Kroucená dvojlinka U těchto kabelů je na výběr ze dvou základních druhů a to stíněný, nebo nestíněný. Délka mezi počítačem a rozbočovačem/přepínačem by neměla překročit 100 metrů, záleží na okolním rušení a kvalitě kabelu. Stíněný kabel se označuje jako STP - Shielded Twisted Pairs, stíněná kroucená dvojlinka. Kabel obsahuje čtyři páry kroucené dvojlinky. Nestíněný kabel se označuje UTP - Unshielded Twisted Pairs, nestíněná kroucená dvojlinka. Tento typ má jednotlivé vodiče obalené pouze izolační vrstvou a všechny čtyři páry jsou ještě zabaleny vnější izolací kabelu. Žádnou stínící vrstvu neobsahují. Pro obyčejné podmínky stačí nestíněný kabel, ale pokud je spoj na delší vzdálenost, nebo jde po cestě kabel kolem zdroje elektromagnetického vlnění (například motory), bylo by lepší použít kabel stíněný. Rozvod kroucené dvojlinky v budovách se nazývá strukturovaná kabeláž. Každá zásuvka je propojena s centrálním rozvaděčem samostatným kabelem, který umožňuje její využití i pro jiné účely (telefon a podobně). Délka jednoho spoje je maximálně 100 metrů, ve strukturované kabeláži se používá limit 90 metrů a 10 m se ponechává pro propojení mezi zásuvkou a počítačem. Ethernet používající kroucenou dvojlinku se označuje příponou T nebo TX.

18 Obr. 7 Zapojení konektoru RJ 45 Strukturovaná kabeláž používá čtyřpárové kroucené "twistované" kabely. Obr Bílá / Zelená 2 - Zelená 3 - Bílá / Oranžová 4 - Modrá 5 - Bílá / Modrá 6 - Oranžová 7 - Bílá / Hnědá 8 - Hnědá Hnědá zelená modr á oranžov á Obr. 9

19 Zapojení standardních, nepřekřížených kabelů Obr. 10 Zapojení překřížených kabelů Obr. 11 Optický kabel Optický kabel je nejmodernějším prostředkem propojení stanic. Tyto kabely se používají při budování kabelových tras na velké vzdálenosti, disponují velkými přenosovými rychlostmi.pro přenos dat používají modulovaný světelný paprsek. Optický kabel je tvořen tenkým skleněným vláknem obklopeným ochranným pláštěm.

20 Vlákno se skládá ze dvou částí: z jádra a odrazné vrstvy, tyto dvě části se liší svými optickými vlastnostmi. Světelné impulsy jsou emitovány do jádra a odrazná vrstva, která působí jako zrcadlo, odráží světlo zpět do jádra. Používají se dva druhy optických kabelů - vícevidové (multi mode) - jednovidové (single mode) Počet vidů je určen tloušťkou vlákna a vlnovou délkou přenášeného světla. Ve vícevidovém vlákně se může světelný paprsek pohybovat po několika různých trasách. Má větší průměr, obvykle používá vlákno o tloušťce 62,5 nebo 50 µm. Pro buzení vícevidových vláken se používá méně výkonné světlo emitující diody (LED, které pracují s vlnovými délkami 850 a 1300 nm). Na opačném konci vlákna je snímán fotodiodou a převeden na digitální signál. V jednovidovém vlákně je k dispozici pouze jediná trasa pro paprsek. Jednovidová vlákna mají průměr 8,3 nebo 10 µm. Pro emitování (buzení) světelného paprsku v jednovidovém vlákně se používají výkonné světlo emitující lasery, které pracují na vlnových délkách 1310 a 1550 nm. Na opačném konci vlákna je snímán fotodiodou a převeden na digitální signál. Na dlouhých optických trasách (např. propojení dvou vzdálených sítí LAN) je nutné slábnoucí světelný signál zesilovat.

21 Je zcela odolný rušení elektromagnetickým polem, schopen vysokých přenosových rychlostí a znemožňuje odposlech signálu. Nevýhodou je vysoká cena a náročný způsob konektorování. Obr DALŠÍ SÍŤOVÉ KOMPONENTY Síťová karta Síťová karta v počítači je podmínkou pro připojení počítače k síti ethernet. Karet pro Ethernet je k dispozici velké množství za velice dobré ceny (i méně než sto korun). Nejlepší a nejlevnější je koupit kartu jen s konektorem RJ-45, která pro Fast Ethernet plně dostačuje. Rozbočovač (hub) Pro spojení více počítačů se používá rozbočovač (hub) a přepínač (switch). Hub spojuje více počítačů dohromady a funguje také jako opakovač, to znamená že i zesiluje signál, který do něj přijde. Jeho nevýhodou je, že posílá jednotlivé pakety do všech počítačů (portů na hubu) najednou, stejně jako u sběrnicové topologie Ethernetu. Nevýhoda je v tom, že najednou může posílat data jen jeden počítač, jinak dochází ke kolizím. Přepínač (switch) Switch plní stejnou funkci jako hub, ale lépe. Jeho vylepšení spočívá v tom, že neposílá data všem počítačům najednou, ale inteligentně rozhoduje, která data komu patří. To znamená, že může spolu komunikovat více počítačů najednou zapojených do jednoho switche. Další výhodou je, že lze data posílat oběma směry zároveň tzv. Full-duplex.

22 Opakovač (repeater) Zesiluje signál na takovou úroveň, aby vlivem útlumu v pasivní části kabeláže nedocházelo ke ztrátě dat a aby bylo možné budování rozsáhlejších sítí, než jaké jsou specifikovány jednotlivými topologiemi. Směrovač (router) Propojuje dvě či více sítí s různými protokoly a topologiemi. Využívá se u rozsáhlejších sítí a tam, kde se vyžadována vysoká spolehlivost sítě (schopnost nalezení alternativní cesty v případě, že je některý z aktivních prvků mimo provoz). Obr. 13

23 Obr. 14 Brána (gateway) Zajišťuje komunikaci mezi zcela rozdílnými sítěmi, resp. zařízeními, která používají různé komunikační protokoly. Most (bridge) Propojuje jednotlivé segmenty sítě nebo více sítí např. s různými přenosovými protokoly. 3 BEZDRÁTOVÉ TECHNOLOGIE Pro bezdrátový přenos dat se dají využít nejrůznější bezdrátové technologie. Každá z nich má jiné využítí. V dnešní době se nejčastěji používají technologie Bluetooth, Wi-Fi a WiMax. Do bezdrátových technologií můžeme také zahrnout globální satelitní navigační systém, který využívá rádiový signál vysílaný z družic, nebo GSM sítě mobilních telefonů.

24 BLUETOOTH Bluetooth je bezdrátová komunikační technologie, která umožňuje pohodlné, bezdrátové připojení mezi počítačem a kompatibilními zařízeními Bluetooth, jako jsou mobilní telefony, počítače, tiskárny, PDA, náhlavní souprava, klávesnice, myš a další. Prostřednictvím jediného přijímače Bluetooth se k počítači může připojit až dalších šest bezdrátových zařízení. Technologie Bluetooth je definovaná standardem IEEE Spadá do kategorie osobních počítačových sítí, tzv. PAN (Persional Area Network). Bluetooth pracuje v pásmu 2,4 GHz (stejném jako u Wi-Fi). Je definováno několik výkonových úrovní (2,5mW, 10mW, 100mW) s nimiž je umožněna komunikace do vzdálenosti cca m. Udávané hodnoty ovšem platí jen ve volném prostoru. Pokud jsou mezi komunikujícími zařízeními překážky (typicky například zdi), dosah rychle klesá. Rychlost přenosu dat dosahuje u verze 2.0 až 2,1Mbps. 3.2 BEZDRÁTOVÉ SÍTĚ - WI-FI Wi-Fi - Wireless Fidelity je další z technologií pro tvorbu počítačových sítí. Tato technologie je bezdrátová a byla vytvořena pro vnitřní použití, použití do budov, například letištní hala, kde by se čekající mohli připojit do sítě. Postupem doby se používala čím dál tím více pro použití venkovní, pro které je poměrně nevhodná, ale výrobci se přizpůsobili poptávce a začali vyrábět zařízení pro venkovní použití. Úspěch Wi-Fi přineslo využívání bezlicenčního

25 pásma, což má bohužel negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra. Síť může být typu ad-hoc nebo infrastrukturální. V ad-hoc režimu se k sobě připojují jednotlivé bezdrátové síťové karty, proto musí na sebe vidět všechny počítače, které chtějí spolu komunikovat. Obr. 15 Infrastrukturální režim je podobný hvězdicové topologii u drátových sítí, místo hubu se používá AP - Access Point ke kterému se připojují všechny stanice, proto je nutnost jen vidět na AP a můžeme komunikovat se všemi, co jsou k němu připojeny. Přenos dat lze uskutečňovat na různě velké vzdálenosti, jsou funkční spoje na 10 km, ale vzdálenost je omezena maximálním povoleným vyzařovacím výkonem 100 mw. A P Obr. 16

26 TYPY WI-FI SÍTÍ a - Využívá frekvenční pásmo kolem 5 Ghz, které je u nás licencované, proto se za používání musí platit b - Jeden z nejrozšířenějších standardů u nás, který už je poměrně starý. Pracuje kolem frekvence 2,4 GHz a jeho maximální přenosová rychlost je 11 Mb/s, pro přenos dat je to rychlost pouze teoretická, protože režie sítě si vezme poměrně velkou část g - Tento standard je o něco novější a dnes ho najdete ve všech noteboocích, ale jediným větším rozdílem proti "béčku" je větší přenosová rychlost a to 54 Mb/s. Ohledně zabezpečení se toho moc nezlepšilo. Pokud stavíme bezdrátovou síť je lepší si vybrat jednoho výrobce a od toho nakoupit všechen hardware. Vyhneme se tím možným problémům. Většina výrobců má své řešení pro rychlejší přenos nebo roaming mezi AP a proto mezi sebou fungují jen stejné značky. Zařízení využívající Wi-Fi Zařízení pro Wi-Fi sítě (AP, PCI karty ) Mobilní telefony PDA, MDA Handsfree Klávesnice a myši Reprosoustavy Bezdrátové zařízení pro zabezpečení objektů Síťové tiskárny Síťové HDD Notebooky

27 PŘENOSOVÁ PÁSMA Wi-Fi sítě dnes využívají nejčastěji pásma 2,4 GHz a 5 GHz. Různé standardy se mezi sebou liší hlavně maximální rychlostí přenosu a vzdáleností dosahu signálu. Se vzrůstající vzdáleností klesá přenosová rychlost. Dnes je běžné použití bezdrátových sítí i na vzdálenost několika kilometrů. Standard Rok vydání Frekvence Max. propustnost Typ. propustnost Dosah (vevnitř) Dosah (venku) IEEE a GHz 54 Mbit/s 23 Mbit/s ~35 m ~120 m IEEE b ,4 GHz 11 Mbit/s 4,3 Mbit/s ~38 m ~140 m IEEE g ,4 GHz 54 Mbit/s 19 Mbit/s ~38 m ~140 m IEEE n ,4 nebo 5 GHz 270 Mbit/s 74 Mbit/s ~70 m ~250 m Kanály pro přenos dat Každý Wi-Fi standard využívá určité kanály pro přenos dat. V určitých zemích jsou ale pouze některé z nich povolené. U nás o tom rozhoduje Český telekomunikační úřad (ČTŮ). Např. u pásma 2,4 GHz jsou v České republice povolené pouze kanály 1-13, u pásma 5 GHz Každý kanál má svojí přesnou frekvenci. U 2,4 GHz jsou frekvence od 2,417 do 2,484 GHz, u 5 GHz jsou od 5,15 do 5,35 GHz nebo od 5,725 do 5,825 GHz.

28 Příklad frekvencí kanálů u standardu b,g, tedy 2,4 GHz.: Kanál Frekvence [GHz] Kanál Frekvence [GHz] 1 2, , , , , , , , , , , , ,447 Každé pásmo má předepsaný počet kanálů, na kterých lze WIFI zařízení provozovat. V oblasti 2400 až 2483,5MHz (prakticky MHz) jsou kanály od sebe vzdálené pouze 5 MHz. Vzhledem k tomu, že jeden kanál má "pracovní šířku" ideálně 20 až 24 MHz, je evidentní, že kanály se vzájemně překrývají. To znamená, že v praxi lze použít pouze tři nepřekrývající se kanály: č MHz (od 2400 MHz do 2424 MHz ) č MHz (od 2425 MHz do 2449 MHz ) č MHz (od 2450 MHz do 2474 MHz ) Pokud se zároveň použijí v jednom místě jiné kombinace kanálů, frekvence se překrývají a dochází k vzájemnému rušení, tzv. interferenci. Proto mohou zařízení interferovat s mikrovlnnými troubami, bezdrátovými telefony, s Bluetooth nebo s dalšími zařízeními používajícími stejné pásmo.

29 V praxi to znamená, že při interferenci je kvalita obou signálů nižší, což se projevuje výrazně zvýšenými latencemi a packetloos MÓDY BEZDRÁTOVÉHO PŘIPOJENÍ Každá Wi-Fi síť má určitý mód, podle kterého mezi sebou různé zařízení komunikují. - Access Point (AP) - Client - Bridge - Repeator - Router Access Point (AP) - Ad-Hoc - Infrastructure Access point (AP) (česky přístupový bod) v bezdrátové Wi-Fi síti je zařízení, ke kterému se klienti připojují. Klienti spolu nekomunikují přímo, ale prostřednictvím přístupového bodu, takže nemusí být ve přímém spojení. Klienti se mohou k přístupovému bodu připojovat v režimu Infrastructure nebo Ad-Hoc Client - Infrastructure

30 Klientské počítače se připojují na server neboli Access Point (AP) a veškerou komunikaci provádí skrze něj. Hlavním rysem tohoto typu je to, že se všichni klienti nenapojují jeden na druhého ale přímo na AP, jež zajišťuje veškerou společnou komunikaci. Client - Ad-Hoc Tento mód funguje jako obyčejná LAN síť. Každý počítač komunikuje s jiným na stejné úrovni - jako by si byli sobě rovni. Podstatnou výhodou tohoto typu je jeho rychlá instalace a velmi nízká cena. Umožňuje sdílení souborů a internetu, tisk přes síť a ostatní věci, které jsou běžné u klasických LAN sítí. Nevýhodou na druhou stranu je fakt, že všechna připojená zařízení musí mít v dosahu ty, s kterými chce komunikovat - každý musí vidět každého. Bridge (most) Síťový most spojuje dva segmenty téže sítě. Přístupové body fungují jako mosty mezi kabelovými a bezdrátovými segmenty sítě. Dalším druhem mostu je bezdrátový most, který se používá ve dvojicích pro spojení segmentů kabelové sítě. Repeater (opakovač) Obr. 17 Funguje jako aktivní síťový prvek, který přijímá zkreslený, zašuměný nebo jinak poškozený signál a opravený, zesílený a správně časovaný ho vysílá dále. Tak je možné snadno zvýšit dosah připojení bez ztráty kvality a obsahu signálu.

31 Obr. 18 Router (směrovač) Procesem zvaným routování přeposílá datagramy směrem k jejich cíli. Jinak řečeno, router spojuje dvě sítě a přenáší mezi nimi data. Většinou v sobě zahrnuje funkci NAT (překlad adres). Tato funkce umožňuje připojit větší množství počítačů z lokální sítě do internetu bez nutnosti využití veřejné IP adresy. Obr ZABEZPEČENÍ PŘENOSU Zabezpečení přenosu dat je velice důležitá část konfigurace Wi-Fi sítě. Hlavní problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, což si mnoho uživatelů neuvědomuje. Nezvaný host se může snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Navíc většina nejčastěji používaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít.

32 Různé typy zabezpečení se vyvíjely postupně a proto starší zařízení poskytují jen omezené nebo žádné možnosti zabezpečení bezdrátové sítě. Základní typy zabezpečení Šifrování zabezpečení přenášených dat před odposlechnutím - WEP - WPA - WPA2 Autorizace řízení přístupu oprávněných uživatelů - Kontrola MAC adres x Kontrola MAC adres MAC adresa je jedinečný identifikátor síťového zařízení, která je přiřazována bezprostředně po výrobě zařízení. Zapisuje se jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např ab nebo 05:13:68:72:91:ab). MAC adresa přidělená výrobcem je vždy celosvětově jedinečná. Z hlediska přidělování je rozdělena na dvě poloviny. O první polovinu musí výrobce požádat centrálního správce adresního prostoru a je u všech karet daného výrobce stejná (či alespoň velké skupiny karet,

33 velcí výrobci mají k dispozici několik hodnot pro první polovinu). Výrobce pak každé vyrobené kartě či zařízení přiřazuje jedinečnou hodnotu druhé poloviny adresy. Jednoznačnost velmi usnadňuje správu lokálních sítí novou kartu lze zapojit a spolehnout se na to, že bude jednoznačně identifikována. Přístupový bod bezdrátové sítě má k dispozici seznam MAC adres klientů, kterým je dovoleno se připojit. Tato autentizace lze bohužel celkem snadno obejít. Útočník se může vydávat za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné MAC adresy (tzv. klonování MAC adresy). Tuto adresu získá odposloucháváním komunikace na síti. Zabezpečení x Přístupový bod vyžaduje autentizaci pomocí protokolu IEEE 802.1x. Pro ověření je používán na straně klienta program, který se nazývá prosebník (suplikant), kterému přístupový bod zprostředkuje komunikaci s třetí stranou, která ověření provede (například RADIUS server). Za pomoci 802.1x lze odstranit nedostatky zabezpečení pomocí WEP klíčů. Autentizace řízení přístupu do sítě Open-system autentizace AP přijme klienta na základě údajů, které mu klient poskytne, aniž by je ověřoval. Klient vyšle SSID AP Shared-key autentizace Při použití je nutné použít také šifrování. Autentizace spočívá v klíči, který zná každé zařízení. Zařízení se při autentizaci tímto klíčem prokáže.

34 Zabezpečení - WEP Šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Díky nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč relativně snadno získat. Pro získání klíčů existují specializované programy. Proto se dnes WEP šifrování nedoporučuje. Zabezpečení - WEP2 K vytvoření druhé verze WEPu vedla snaha odstranit slabá místa verze původní došlo k rozšíření inicializačních vektorů a zesílení 128 bitového šifrování. Tím se dekódování stalo obtížnější, slabá místa šifrovací metody RC4 však zůstala - útočníkovi jen zabere více času klíč najít. WEP2 byl použit zpravidla na zařízeních, která hardwarově nestačila na novější šifrování WPA. Zabezpečení - WPA Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný program, který nazýváme prosebník (suplikant). Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUS server (ověřování přihlašovacím jménem a heslem). Zabezpečení - WPA2 Novější WPA2 přináší kvalitnější šifrování (šifra AES), která však vyžaduje větší výpočetní výkon a proto WPA2 podporují jen novější zařízení.

35 Zablokování vysílání SSID SSID (Service Set Identifier) je jedinečný identifikátor každé bezdrátové počítačové sítě. Přístupový bod (AP) vysílá pravidelně každých několik sekund svůj identifikátor v takzvaném majákovém rámci (beacon frame) a klienti si tak mohou snadno vybrat, ke které bezdrátové síti se připojí. Parametr SSID se skládá z řetězce ASCII znaků dlouhého maximálně 32 znaků. Tento parametr představuje klíč, kterým dochází ke spojení jednotlivých adaptérů v rámci bezdrátové sítě. Všechna bezdrátová zařízení pokoušející se o vzájemnou komunikaci mezi sebou musí předávat ten samý SSID. Pokud klíč klientského adaptéru se neshoduje s klíčem přístupového bodu (AP), je mu odmítnut přístup, proto se musí nastavit klíč shodně na přístupovém bodu (AP) a na klientském adaptéru. Nastavením různých klíčů můžeme zajistit fungování několika bezdrátových sítí v jedné lokalitě a v rámci stejného frekvenčního rozsahu. SSID na bezdrátových klientech může být nastaven buď manuálně, vstupem SSID do klientského síťového nastavení, nebo automaticky. Pro větší bezpečnost se vypíná vysílání SSID. Zablokování vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu dostupných bezdrátových sítí, protože nepřijímají broadcasty se SSID. Bohužel při připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze ho tak snadno zachytit ANTÉNA Anténa je velmi důleřitá technická část pro bezproblénový provoz Wi-fi sítí. Důležité parametry u antény jsou: ziskovost, polarizace a vyzařovací úhel. Čím vyšší ziskovost anténa má, tím vzdálenější signál je schopna zachytit. Ziskovost se udává v dbi.

36 Rozdělení antén Směrové - tyto antény vysílají a přijímají signál teoreticky jen z jednoho bodu. Všesměrové - horizontální vyzařovací úhel všesměrových antén je 360, takže jsou schopny přijímat signál ze všech stran. Sektorové - používá se pro pokrytí signálem určitého sektoru. 3.3 BEZDRÁTOVÉ SÍTĚ - WIMAX Zkratka WiMAX pochází z Worldwide Interoperability of Microwave Access (celosvětově kompatibilní mikrovlnný přístup), což je bezdrátová metropolitní síťová technologie založená na standardech normy IEEE Klíčové vlastnosti - Dosah až 50 kilometrů (přímá viditelnost) - Frekvence 2 až 11 GHz - Datová průchodnost sektoru až 70 Mb/s Výhody sítě WiMax - Větší možnost volby při výběru širokopásmového přístupu. - Dosah i mimo přímou viditelnost rozšiřuje pokrytí, takže se k vysokorychlostnímu bezdrátovému Internetu dostane více uživatelů. - Zavedení konkurenčního třetího širokopásmového přístupu, vedle stávajících DSL a kabelového, může vést k větší konkurenci a snížení cen. - Kvalita služeb QoS je standardní vlastností , což z ní činí technologii telekomunikační kategorie, která je schopna přenášet data i hlas.

37 PROTOKOL TCP/IP (TRANSMISSION CONTROL PROTOCOL/ INTERNET PROTOCOL) A OSI MODEL Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační protokoly, budou si rozumět, i když každý bude mít jinou hardwarovou platformu a jiný operační systém. 4.1 OSI MODEL Model ISO/OSI je referenční komunikační model označený zkratkou slovního spojení "International Standards Organization / Open Systen Interconnection" (Mezinárodní organizace pro normalizaci / propojení otevřených systémů). Jedná se o doporučený model, který rozděluje vzájemnou komunikaci mezi počítači do sedmi souvisejících vrstev. Úkolem každé vrstvy je poskytovat služby následující vyšší vrstvě a nezatěžovat vyšší vrstvu detaily o tom jak je služba ve skutečnosti realizována. Než se data přesunou z jedné vrstvy do druhé, rozdělí se do paketů. V každé vrstvě se pak k paketu přidávají další doplňkové informace (formátování, adresa), které jsou nezbytné pro úspěšný přenos po síti. 7. Aplikační vrstva 6. Prezentační vrstva 5. Relační vrstva 4. Transportní vrstva 3. Síťová vrstva 2. Linková vrstva 1. Fyzická vrstva Obr. 20

38 Fyzická vrstva Definuje prostředky pro komunikaci s přenosovým médiem a s technickými prostředky rozhraní. Dále definuje fyzické, elektrické, mechanické a funkční parametry týkající se fyzického propojení jednotlivých zařízení. Je hardwarová. 2. Linková vrstva Zajišťuje integritu toku dat z jednoho uzlu sítě na druhý. V rámci této činnosti je prováděna synchronizace bloků dat a řízení jejich toku. Je hardwarová. 3. Síťová vrstva Definuje protokoly pro směrování dat, jejichž prostřednictvím je zajištěn přenos informací do požadovaného cílového uzlu. V lokální síti vůbec nemusí být pokud se nepoužívá směrování. Je hardwarová, ale když směrování řeší PC s dvěma síťovými kartami je softwarová. 4. Transportní vrstva Definuje protokoly pro strukturované zprávy a zabezpečuje bezchybnost přenosu (provádí některé chybové kontroly). Řeší například rozdělení souboru na pakety a potvrzování. Je softwarová. 5. Relační vrstva Koordinuje komunikace a udržuje relaci tak dlouho, dokud je potřebná. Dále zajišťuje zabezpečovací, přihlašovací a správní funkce. Je softwarová. 6. Prezentační vrstva Specifikuje způsob, jakým jsou data formátována, prezentována, transformována a kódována. Řeší například háčky a čárky, CRC, kompresi a dekompresi, šifrování dat. Je softwarová.

39 Aplikační vrstva Je to v modelu vrstva nejvyšší. Definuje způsob, jakým komunikují se sítí aplikace, například databázové systémy, elektronická pošta nebo programy pro emulaci terminálů. Používá služby nižších vrstev a díky tomu je izolována od problémů síťových technických prostředků. Je softwarová. 4.2 TCP/IP MODEL Srovnání TCP/IP modelu s OSI modelem TCP/IP OSI Aplikační vrstva Aplikační vrstva Prezentační vrstva Relační vrstva Transportní vrstva Síťová vrstva Fyzická vrstva Transportní vrstva Síťová Vrstva Linková vrstva Fyzická vrstva Fyzická - jak již název napovídá, sem patří různé typy signálových vodičů, například elektrické kabely, optická vlákna nebo elektromagnetické vlny a s nimi spojené zařízení (např. modemy).

40 Síťová - má své síťové pakety a umožňuje komunikaci i mimo lokální sítě. Zastupuje ji IP protokol. Transportní - považuje spoj mezi počítači za uzavřený a věnuje se přenosu dat. Zastupuje jí protokol UDP/TCP Aplikační - říká, jak by jednotlivá data měla vypadat, například příkaz GET nebo POST u http, pokud chce webový prohlížeč zobrazovat weby, musí se držet aplikačního protokolu. Základní služby aplikační vrstvy protokolu TCP/IP Telnet interaktivní přístup ke vzdáleným počítačům FTP přenos souborů v síti Internet NFS sdílení vzdálených souborů SMTP přenos elektronické pošty SNMP správa aktivních prvků sítě (počítačů, mostů ) HTTP přenos informací systému World Wide Web DNS adresování počítače pomocí doménové adresy DHCP dynamické přidělování IP adres IRC jednoduchý chat po internetu POP3 protokol pro získání pošty z poštovního serveru a další 4.3 IP ADRESA (INTERNET PROTOCOL) IP adresa umožňuje jednoznačné určení zařízení, které komunikuje přes internet. IP adresa ve verzi 4 se skládá ze čtyř osmibitových čísel - tj Celá adresa je dlouhá 32 bitů.

41 Každá informace (webová stránka, ), která se má přes internet přenést, je rozdělena do malých kousků - tzv. paketů a poslána z jedné IP adresy na druhou. Paket obsahuje hlavičku, ve které je uvedeno, které počítače mezi sebou komunikují a vlastní data. Určitá část adres je ovšem rezervována pro vnitřní potřeby protokolu a nemohou být přiděleny. Dále pak praktické důvody vedou k tomu, že adresy je nutno přidělovat hierarchicky, takže celý adresní prostor není možné využít beze zbytku. To vede k tomu, že v současnosti je již znatelný nedostatek IP adres, který řeší různými způsoby: - dynamickým přidělováním (tzn. např. každý uživatel dial-up připojení dostane dočasnou IP adresu ve chvíli, kdy se připojí, ale jakmile se odpojí, je jeho IP adresa přidělena někomu jinému; při příštím připojení pak může tentýž uživatel dostat úplně jinou adresu) - překladem adres (Network address translation) a podobně. Volba IP adresy Z předchozí části vyplívá, že každý počítač (rozhranní) v Internetu má svoji IP adresu. Ale vám v domácí síti stačí, aby jen jeden počítač (zařízení) zprostředkovával přístup na Internet, je to také lepší v tom, že nemusíte od providera požadovat další IP adresy. Protože je to vaše vnitřní sít, můžete si zvolit jakékoli IP adresy a fungovalo by to bez problémů, ale prakticky se to nedělá. Podle standardu si zvolíte nějakou IP adresu z rozsahu určeného pro takovéto účely. Tyto speciální adresy nejsou použity v Internetu a správně nastavený směrovač by pakety s takovými adresami měl zahazovat. Většinou se používá rozsah IP adresa se musí zvolit s ohledem na síťovou masku. Zjednodušeně se dá říct, že podle umístění nulových bajtů v masce poznáte, ve kterých bajtech se IP adresa může měnit. IP adresa se síťovou maskou má možnost být v síti s dalšími 254

42 počítači. Kdyby byla maska podsítě , mohli bychom u IP adres počítačů v sítí využívat posledních dvou bajtů pro jejich odlišení. IP adresa má dvě části, a podle poměru těchto části rozlišujeme tři hlavní třídy IP adres. První část IP adresy je adresa sítě, neboli net-id (adresa sítě) a adresa počítače host ID. IP adresa se většinou zadává v desítkové soustavě. Třída A Obr. 21 V ČR tuto adresu nikdo nemá. Vlastní ji hlavně nadnárodní společnosti a vládní organizace v USA. Obsahuje teoretickou možnost adresovat 126 sítí a počítačů v každé z těchto sítí. Po převedení zpět do desítkové soustavy zjistíme, že rozsah je: až Třída B Obr. 22 U nás jej mají některé opravdu velké a významné organizace. Teoretická možnost je adresovat sítí a tisíc počítačů pro jednu síť. Rozsah třídy B je: až

43 Třída C Obr. 23 Zcela nejpoužívanější forma IP adres, umožňuje adresovat sítí, ale pouze 254 počítačů pro jednu síť. Rozsah je: až Speciální IP adresy Rozsah od do patří do třídy D. Tato třída je využívána pro multicasting (hromadné vysílání videa nebo audia). Rozsah od do patří do třídy E, a jsou určeny pro další použití a pro experimentální účely. Broadcast adresa, je určena všem v určité dané síti. Slouží k hromadnému rozesílání paketů. Síťové adresy, host ID této adresy obsahuje samé nuly. Slouží k směrování paketů mezi sítěmi. IP adrese , které odpovídá jméno "localhost". Je určena k testovacím účelům. Je to tzv. loopback adresa. Umožňuje posílat pakety sám sobě. Slouží k tomu abychom zjistili, zdali fungují aplikace, bez toho abychom jakkoliv museli mít funkční připojení k síti.

44 IP adresy rezervované pro vnitřní sítě: Třída A : až Třída B : až Třída C : až V Internetu má každý počítač (rozhranní) svoji jedinečnou IP adresu, kvůli omezenému počtu adres se začal používat NAT (Network Adress Translation - překlad síťových adres). To znamená, že doma můžeme mít jeden počítač, který by měl veřejnou (public) IP adresu od poskytovatele, nebo i neveřejnou, záleží na poskytovateli. Tento počítač by prováděl překlad adres, proto můžeme se všemi počítači v domácí síti přistupovat na Internet, ale zvenku by se zdálo, že požadavky vycházejí pouze z toho jednoho hraničního počítače. Má to výhodu v tom, že celé síti stačí jen jedna adresa, at už veřejná nebo neveřejná FUNKCE NAT Když budeme u počítače ve vnitřní síti chtít jít na nějakou webovou stránku, prohlížeč odešle požadavek "chci webovou stránku xyz" se zdrojovou IP adresou vnitřního počítače. Tento požadavek musí projít vaší bránou do Internetu a v tu chvíli brána nechá požadavek "chci webovou stránku xyz", ale změní zdrojovou IP adresu na svoji, ostatní nechá být a ještě si poznamená, že odeslala váš požadavek. Po přijetí odpovědi na požadavek brána zkontroluje, komu vlastně původně požadavek patřil a odešle ho do vnitřní sítě na náš počítač, resp. změní cílovou adresu a odešle do vnitřní sítě. IPv6 Nedostatek veřejných IP adres by měla vyřešit nová verze protokolu označovaná jakoipv6. V IPv6 adresa má délku 128 bitů, což znamená, že počet možných adres je To je astronomicky velké číslo. Adresa IPv6 se zapisuje jako osm skupin po čtyřech hexadecimálních číslicích, například: 2001:0718:1c01:0016:0214:22ff:fec9:0ca5

45 Úvodní nuly v každé skupině lze ze zápisu vynechat. Výše uvedenou adresu tedy lze psát ve tvaru Výhody IPv6 2001:718:1c01:16:214:22ff:fec9:ca5-128 bitové adresy - podpora bezpečnosti - podpora pro mobilní zařízení - funkce pro zajištění úrovně služeb (QoS - Quality of Service) - fragmentace paketů - rozdělování - jednoduchý přechod z IPv4 (musí podporovat systém, provider) 5 PŘIPOJENÍ NA INTERNET Nejstarším způsobem jak začít využívat služby Internetu je pomocí modemu, které umožňuje přenášet data po telefonní lince. Kromě tohoto speciálního zařízení potřebujete tzv. poskytovatele připojení (providera), který vám zajistí přístup do Internetu. Tento poskytovatel vykonává funkci jakési ústředny, pomocí které se náš počítač na Internet připojuje. Modem Modem je zařízení umožňující vzájemné datové propojení dvou počítačů pomocí telefonní linky, přesněji potřebujeme dva modemy, každý na jednom konci telefonní linky. Modemy jsou tedy spojeny dvěma vodiči. Slovo modem je složeninou ze slov MODulátor a DEModulátor. Je to zařízení, které převádí digitální data (bity) produkovaná počítačem na data analogová a posílá je po telefonní lince jinému modemu, který zpětně převede data z analogové podoby do podoby digitální. Vlastní data jsou zakódovaná pomocí změn tzv. nosného signálu. Metoda, kterou se na nosný signál kódují přenášená data se nazývá modulace. Modulace je tedy v podstatě

46 nabalení přenášených informací na nosný signál. Používá se modulace frekvenční nebo amplitudová, nebo jejich kombinace. 5.1 DRUHY PŘIPOJENÍ K INTERNETU K Internetu se můžete připojit několika základními způsoby. Připojení pomocí telefonní linky - připojíte se takzvaným komutovaným připojením (lze využít jak běžnou telefonní linku tak linku ISDN, ADSL). Připojení pomocí pevné linky, kde přenos může být realizován různými způsoby. Připojení pomocí bezdrátových technologií Vždy vám připojení poskytne provider (poskytovatel). Obr. 24 Pro propojení uživatele s poskytovatelem připojení se používají buď vodiče elektrické, nejčastěji pronajaté od některé firmy (O2, Aliatel a jiní) nebo optické - ty zajistí kvalitnější přenos a vyšší přenosovou kapacitu. Alternativou jsou radiové přenosy signálu nebo pomocí

47 laseru. Pronajaté linky mají obvykle nižší pořizovací náklady, ale platíte měsíčně za pronájem určitou paušální částku. Naopak radiové přenosy vyžadují vyšší vstupní investice, ale zařízení je pak většinou majetkem uživatele neplatíte za pronájem. Pokud byste chtěli porovnávat náklady těchto způsobů připojení, narazíte na problémy. Jsou různé přenosové rychlosti, různé časy připojení jsou tarifovány různou cenou, překročíte-li určitý objem přenesených dat, zvýší se cena a podobně. Cena se pohybuje v rozmezí 150,- až 1200,- Kč za měsíc při rychlostech okolo 1 až 20 Mb/s. Přehled typů připojení k internetu Typ připojení Modem ISDN Kabelový (televizní) Pevná linka DSL Wi-Fi Satelit WiMax Orientační rychlost připojení 56 Kb/s 64 Kb/s 10 Mb/s 100 Mb/s 16 Mb/s 16 Mb/s 8 Mb/s 50 Mb/s

48 PROTOKOLY A ADRESY K jednotlivým službám na Internetu se používají různé protokoly (většinou z tzv. rodiny protokolů TCP/IP Transmision Control Protocol/Internet Protocol) a adresy. Nejpoužívanější aplikační protokoly jsou: HTTP (Hyper Text Transfer Protocol) přenos stránek systému World Wide Web. Tento protokol umí pracovat s tzv. hypertextovými daty, což jsou data, která obsahují text, obrázky, video, zvuk a podobně. SMTP (Simple Mail Tranfer Protocol) protokol pro přenos elektronické pošty. POP3 (Post Office Protocol) -protokol k přijímání elektronické pošty poštovním klientem. FTP (File Transfer Protocol) protokol pro přenos souborů. Telnet (Telecommunication network) protokol pro přístup ke vzdáleným počítačům. Tyto protokoly používají ke komunikaci tzv. systémové porty, jakési brány do počítače. Je jich teoreticky Každá služba používá jiný port (web - 80, odchozí pošta - 25 atd.) Program, který odděluje počítač od internetu a povoluje definované služby a porty se nazývá FIREWALL.

49 DNS ADRESA POČÍTAČE Každý počítač v síti musí mít jednoznačnou adresu. K identifikaci počítačů na síti Internet se používá tak zvaná IP-adresa, která je tvořena číslem. Tyto číselné IP-adresy jsou pro uživatele těžko zapamatovatelné, proto se používá místo IP-adresy tzv. doménové jméno. Doménové jméno můžete používat ve všech příkazech, kde je možné použít IP-adresu. Výjimku tvoří IPadresa, která identifikuje samotný name server (jmenný server). Vazba mezi jménem počítače a IP-adresou je definována v DNS (Domain Name System) databázi, která je celosvětově distribuovaná. To znamená, že například doménové jméno soscb.cz bude známé jak V České republice tak třeba i v Mexiku. Před navázáním spojení musí počítač přeložit jméno na IP-adresu: 1. Přelož na IP-adresu 2. IP-adresa je Name server 3. navázání spojení Obr. 25 Pokud potřebujete zjistit z doménového jména IP-adresu, můžete použít příkaz ping napsáním do příkazového řádku. Například pokud chcete zjistit jakou IP-adresu má stránka napište do příkazového řádku: ping Tento příkaz zobrazí odezvu výše uvedené stránky a z výpisu vyčteme, že IP-adresa je a dále čas odezvy v milisekundách a ztrátovost paketů.

50 Obr. 26 Pokud by jste chtěli zjistit, přes jaké servery putují vaše data, můžete použít příkaz tracert napsáním do příkazového řádku: tracert Tento příkaz zobrazí trasu, přes jaké servery se signál dostane od vás až na požadovanou adresu. Obr. 27 Pokud chcete zjistit kontakt na vlastníka určité domény, můžete využít například centrální databázi domén na adrese kde zadáte název domény a zobrazí se vám výpis k této doméně.

51 Obr. 28 Pokud potřebujete nalézt vlastníka podle IP-adresy musíte vznést dotaz na tzv. Whois server. Protože operační systém tento příkaz nepodporuje (je pouze součástí operačních systému na platformě Unix Linux) použijte například adresu nebo kde můžete zadat konkrétní IP-adresu a zobrazí se vám výpis k této adrese. Celý Internet je rozdělen do tzv. domén několika úrovní. Jednotlivé úrovně se od sebe oddělují tečkou. Jméno se zkoumá zprava doleva. Nejvyšší doménové jméno je tzv. root doména, která se vyjadřuje tečkou zcela vpravo. Tato tečka se zpravidla vypouští a v označení se neuvádí. Doména 1. úrovně zpravidla identifikuje stát nebo generickou doménu, které se převážně používají v USA (edu, net, org apod.) Příklad adresy: cz soscb soscb.cz - doména 1. úrovně označuje stát (Česká republika) - doména 2. úrovně označuje firmu (Střední odborná škola veterinární, mechanizační a zahradnická a Jazyková škola s právem SJZ)

52 Některé domény 1. úrovně: Austrálie au Belgie be Bulharsko bg Kanada ca Čína cn Česká republika cz Německo de Francie fr Polsko pl Rusko ru Slovenská republika sk Španělsko es Taiwan tw Japonsko jp USA us Holandsko nl USA vzdělávací edu USA komerční com USA vládní gov USA vojenské mil USA jiné org 5.4 URL ADRESA ZDROJE URL (Uniform Resource Locator) adresa označuje v počítači přesné místo, kde se nachází požadovaný zdroj. Tento typ adres zejména využívá služba WWW. Adresa obsahuje protokol, DNS adresu počítače a popřípadě cestu v adresářové struktuře. Příklad URL adresy: ftp://pub.vse.cz/pub/netscape/navigator/3.01/windows/n16e301.exe ftp pub.vse.cz pub/netscape /windows n16e301.exe - název protokolu - DNS adresa počítače - adresářová cesta - název požadovaného souboru

53 http www soscb.cz - název protokolu - název služby - DNS adresa počítače 5.5 INTRANET A EXTRANET Intranet si lze představit jako uzavřený firemní systém, do kterého má přístup pouze definovaná osoba. Informace v tomto systému nejsou přístupné veřejnosti. Extranet je vnější internet přístupný pro kohokoliv. Intranet je: Soubor služeb hostovaných na lokální síti Privátní struktura Ale přístup ke službám jako na Internetu Extranet je: Podobné služby jako Intranet Provozovány na síti mimo Intranet Služby vyžadují zvláštní bezpečnostní režim Pro řízení, přístup a směrování provozu u intranetu a internetu se používají tzv. proxy servery.

54 Proxy servery: Filtrují přístup klientů ke zdrojům Poskytují lokální cache informací Reverzní proxy servery: Přesměrovávají příchozí provoz Umožňují load balancing lokálních zdrojů Intranet může být rozložen libovolně geograficky. V jednom místě může být centrála a na jiném místě pobočka. Obr. 29 Komunikace mezi pobočkou a centrálou se uskutečňuje pomocí VPN tunelu, který je zabezpečen šifrováním. Obr. 30

55 TECHNOLOGIÍ UKLÁDÁNÍ DAT Pro ukládání velkého množství dat se používá pevný disk. Pevný disk je často nazýván také hard disk (zkratka HDD). Skládá se z několika tuhých kotoučků z kovových slitin, které jsou umístěny na společné ose. Nad povrchem každého kotoučku se pohybují elektromagnetické hlavičky ty umí data zapsat a číst. Disky se otáčejí, rotace dosahují 7200 otáček za minutu i více, hlavičky jsou od jejich povrchu vzdáleny pouhých několik tisícin milimetru! Při těchto parametrech je zřejmé, proč je pevný disk choulostivé zařízení každý otřes zapnutého počítače nebo jen zrnko prachu v mechanice disku může způsobit poškození. Ve stavu bez napájení jsou hlavičky zaparkovány mimo citlivou oblast disku a umožňují tak bezproblémový transport PC. První počítač s pevným diskem byl vyroben v roce 1956 firmou IBM s označením RAMAC. Disk měl velikost 24", 78 otáček za minutu a kapacitu 4,2 MB. Jeho cena se pohybovala okolo $. Pro zápis a čtení dat se používá elektromagnetický záznam, obdoba záznamu magnetofonu. Jelikož data jsou zaznamenána na magnetické vrstvě, lze je působením magnetického pole poškodit. Magnetické pole Země tolik neškodí, zato elektromagnetická pole zařízení, napájených z rozvodné sítě (televizní a rozhlasový přijímač) nebo zařízení obsahující trvalé magnety (reproduktory) jsou pro uložená data značnou hrozbou. Obr. 31 Kapacity dnes prodávaných disků (konec roku 2008) začínají na 160 GB a končí (zatím) na 4 TB. V běžném počítači můžete mít až 4 pevné disky je nutné je však správně připojit a nakonfigurovat. Potřebujete-li používat více disků, je možné je připojit pomocí řadiče SCSI. Vzhledem k zapouzdření a umístění disku uvnitř skříně PC je omezen vliv okolních magnetických polí na uložená data.

56 V současné době se vyrábějí tyto varianty: Ultra ATA 100 Ultra ATA 133 Serial ATA SCSI 4200 otáček - pro přenosné počítače - snížená spotřeba 5400 otáček - stolní počítače levnější a pomalejší varianta 7200 otáček - stolní počítače (standard) otáček - pro výkonné pracovní stanice a servery 2 MB paměti cache 8 MB paměti cache 16 MB paměti cache - u přenosných počítačů Disky ATA EIDE - staré disky (do kapacity 1GB) - přenosová rychlost: 16MB/s ULTRA ATA/33 - přenosová rychlost 33MB/s ULTRA ATA/66 - nástupce ATA/33 - přenosová rychlost 66MB/s - nutno použít speciální propojovací kabel, jinak pouze ATA/33

57 ULTRA ATA/100 - nástupce ATA/66 - přenosová rychlost 100MB/s - nutno použít speciální propojovací kabel (stejně jako u ATA/66) ULTRA ATA/133 - nástupce ATA/100 - přenosová rychlost 133MB/s SATA I - nástupce ATA přenosová rychlost 150 MB/s SATA II - nástupce SATA I - přenosová rychlost 300 MB/s SATA III - nástupce SATA II Geometrie pevných disků - přenosová rychlost 600 MB/s Všechny jednotlivé disky, ze kterých se celý pevný disk skládá, jsou podobně jako u pružného disku rozděleny do soustředných kružnic nazývaných stopy (tracks) a každá z těchto stop je rozdělena do sektorů (sectors). Množina všech stop na všech discích se stejným číslem se u pevných disků označuje jako válec (cylinder).

58 Geometrie disku udává hodnoty následujících parametrů: Hlavy disku (heads) Počet čtecích (zapisovacích) hlav pevného disku. Tento počet je shodný s počtem aktivních ploch, na které se provádí záznam. Většinou každý jednotlivý disk má dvě aktivní plochy a k nim příslušné čtecí (zapisovací) hlavy. Stopy disku (tracks) Počet stop na každé aktivní ploše disku. Stopy disku bývají číslovány od nuly, přičemž číslo nula má vnější stopa disku. Cylindry disku (cylindry) Počet cylindrů pevného disku. Tento počet je shodný s počtem stop. Číslování cylindrů je shodné s číslováním stop. Sektory (sectors) Počet sektorů, na které je rozdělena každá stopa. U většiny pevných disků je podobně jako u pružných disků počet sektorů na všech stopách stejný. Tento způsob do jisté míry plýtvá médiem, protože vnější stopy jsou delší a tudíž by se na ně mohlo umístit více sektorů. Existují však i pevné disky, u nichž se používá tzv. zonální zápis označovaný jako ZBR (Zone Bit Recording). Jedná se metodu zápisu na pevný disk, která dovoluje umístit na vnější stopy pevného disku větší počet sektorů než na stopy vnitřní. ZBR tedy lépe využívá záznamové médium, ale způsobuje podstatně složitější přístup k datům. Sektory bývají číslovány od jedničky.

59 Obr. 32 Zápis (čtení) na pevný disk probíhá podobně jako u pružného disku na magnetickou vrstvu ve třech krocích: - vystavení zapisovacích (čtecích) hlav na příslušný cylindr pomocí krokového motorku (dříve) nebo elektromagnetu (dnes) - pootočení disků na patřičný sektor - zápis (načtení) dat Data jsou na pevný disk ukládána tak, že nejdříve je zaplněn celý 1. cylindr, potom 2. cylindr a tak dále až po poslední cylindr. Tento způsob dovoluje, aby se čtecí (zapisovací) hlavy podílely na čtení (zápisu) paralelně. Ukládání dat po jednotlivých discích by bylo podstatně pomalejší, protože v daném okamžiku by vždy mohla pracovat právě jedna hlava. Protože rychlost otáčení pevného disku je poměrně vysoká, může se stát, že poté, co je přečten (zapsán) jeden sektor a data jsou předána dále, dojde k pootočení disků, takže čtecí (zapisovací) hlavy se nenacházejí nad následujícím sektorem, ale až nad některým z dalších sektorů. Nyní by tedy bylo nutné čekat další otáčku, než čtecí (zapisovací) hlavy budou nad

60 požadovaným sektorem, a pak by se situace znovu opakovala. Protože tento způsob by velmi zpomaloval práci pevného disku, zavádí se tzv. faktor prokládání pevného disku. Jedná se o techniku, při které nejsou data zapisována (a posléze čtena) do za sebou následujících sektorů, ale jsou během jedné otáčky disku zapisována vždy do každého n-tého sektoru (faktor prokládání 1:n). Číslo n je voleno tak, aby po přečtení a zpracování dat z jednoho sektoru byla čtecí (zapisovací) hlava nad dalším požadovaným sektorem. Faktory prokládání Prokládání 1:1 Prokládání 1:3 Obr. 33 Při vypnutí počítače (a tím i pevného disku) se pevný disk přestává otáčet. Tím přestává existovat tenká vrstva, na které se pohybují čtecí (zapisovací) hlavy a vzniká riziko jejich pádu na disky. Tento pád by totiž mohl jednotlivé disky poškodit. Proto v okamžiku, kdy má pevný disk ukončit svou činnost, je nezbytné, aby čtecí (zapisovací) hlavy byly přemístěny do zóny, která je speciálně uzpůsobena k jejich přistání. U starších pevných disků bylo nutné vždy před vypnutím počítače provést pomocí nějakého programu tzv. zaparkování diskových hlav, tj. jejich přemístění na patřičné místo. Nové pevné disky již využívají tzv. autopark, který je založen na tom, že po vypnutí pevného disku se pevný disk ještě chvíli setrvačností otáčí a tím vyrobí dostatek energie nutné pro přemístění hlav do parkovací zóny. Pro tuto parkovací zónu bývá většinou vyčleněna nejvnitřnější stopa disku, protože je na ní nejnižší rychlost.

61 Některé moderní disky a jejich řadiče používají tzv. technologii HotSwap a NCQ. HotSwap je technologie, která umožňuje připojit nebo odpojit pevný disk za chodu počítače. Používá se u diskových polí typu RAID. NCQ (Native Command Queueing) je technologie pro disky s rozhraním SATA, která umožňuje zvýšit výkon pevného disku. Pevný disk optimalizuje pořadí vykonávání požadavků pro čtení a zápis. Tím redukuje nadbytečný pohyb hlaviček disku. Tuto funkci musí podporovat jak disk, tak řadič disku. Zároveň musí být v operačním systému nainstalován příslušný ovladač s řadičem NCQ. Princip zápisu a čtení Pevné disky využívají k zápisu a čtení princip magnetizace materiálu. Pracují na principu binární soustavy se dvěma stavy 0 a 1. Zápis při zápisu prochází proud cívkou, která vytváří magnetické pole. Toto magnetické pole je vedeno přes jádro cívky k magnetickému povrchu disku. Tento povrch má feromagnetickou vrstvu, která se skládá z oxidu železa, manganu a baria. Částečky tohoto materiálu se chovají jako trvalé magnety. Obr. 34 Čtení je založeno na principu elektromagnetické indukce. V cívce se indukuje napětí při přechodu z 0 na 1 a z 1 na 0 (opačná magnetická polarita zmagnetovaných částeček).

62 zapsané informace na povrchu disku - indukované el. napětí na cívce - Obr. 35 Pro ukládání dat lze využít několik způsobů (techlogií). Přímo připojená zařízení pro ukládání dat (úložiště) (Direct Attached Storage - DAS) Typy (technologie) DAS: EIDE SATA SCSI SAS SSD Výhody: Snadná konfigurace Nízká cena Nevýhody: Nedostupné pro jiná zařízení Nízká rychlost Síťová zařízení pro ukládání dat (Network Attached Storage) NAS je úložiště připojené k vyhrazenému zařízení s přístupem přes síť.

63 Výhody: Relativně nižší cena Snadná konfigurace Nevýhody: Pomalý přistup Ne zcela enterprise řešení Dedikovaná datová síť (Storage Area Network) SAN nabízí vysokou dostupnost a maximální flexibilitu (za nejvyšší cenu) Výhody: Nejrychlejší přístup Snadno rozšiřitelné Centralizované ukládání Vysoká míra redundance Nevýhody: Vyšší cena Vyžaduje pokročilé znalosti Obr. 36

64 SPRÁVA DISKŮ A SVAZKŮ BASIC DISKY VS. DYNAMICKÉ DISKY Basic disk: Disk inicializovaný pro základní ukládání dat Výchozí typ úložiště v systémech Windows Dynamický disk: Může být měněn bez restartu Windows Nabízí více možností pro konfiguraci svazků Požadavky na diskové oddíly zahrnují: Systémový oddíl pro hardwarově závislé soubory vyžadované pro start serveru Spouštěcí oddíl pro soubory operačního systému VOLBA SOUBOROVÉHO SYSTÉMU FAT poskytuje pouze základní možnosti uložení dat NTFS poskytuje rozšířené vlastnosti. NTFS je důrazně doporučen pro veškeré serverové disky/svazky/oddíly. FAT poskytuje: Základní souborový systém Limitovanou velikost oddílů Varianta FAT32 umožňuje využití větších disků NTFS poskytuje: Metadata Bezpečnost (ACL a šifrování) Auditování

65 DISKOVÁ POLE (RAID) Disková pole (RAID) se používají v souvislosti se zabezpečením dat. Princip RAID pole (Redudant Array of Inexpensive Disks) spočívá v použití více pevných disků v různém zapojení. Takové pole může vykazovat vysokou odolnost proti ztrátě dat, vyšší výkonnost nebo větší kapacitu úložného prostoru. Existuje mnoho typů RAID polí, přičemž nejpoužívanější jsou tří základní typy: RAID 0 velká kapacita a velká přenosová rychlost RAID 1 odolnost proti ztrátě dat RAID 5 vysoká výkonnost a vysoká odolnost proti ztrátě dat RAID 0 (stripping - prokládání) v tomto poli se data ukládají na dva disky. Část dat se ukládá na jeden disk a část dat na disk druhý. Tím se zvyšuje rychlost ukládání dat. U tohoto typu pole se bezpečnost ukládaných dat snižuje, protože při poruše jednoho disku přijdete o všechna uložená data. Využití může najít pouze u ukládání velkých souborů (video, animace apod.). Obr. 37 RAID 1 (mirroring - zrcadlení) v tomto poli se data ukládají na dva disky. Stejná data se ukládají na první i druhý disk. U tohoto typu pole se bezpečnost ukládaných dat zvyšuje,

66 protože při poruše jednoho disku jsou stejná data ještě na disku druhém. Velikost pole je určena velikostí nejmenšího disku v tomto poli. Obr. 38 RAID 5 (stripping prokládání + parita) v tomto poli se data ukládají nejméně na tři disky. Část dat se ukládá na jeden disk, část dat na disk druhý a část dat na disk třetí. Zároveň se na jednotlivé disky ukládají paritní informace (kontrolní součty) o datech uložených na ostatních discích. Z těchto paritních dat lze při poruše disku dopočítat ztracená uložená data. Pole je odolné proti poruše jednoho disku a zároveň se zvyšuje rychlost ukládání dat. Obdobou může být RAID 6, kdy je zapojen čtvrtý disk. Ukládají se dvě sady kontrolních součtů a diskové pole je odolné proti výpadku dvou disků. Pole může také podporovat zapojení rezervního disku, který při případné havárii jedno z disků okamžitě tento disk nahradí a tím obnoví funkčnost celého pole. Obr. 39

67 INSTALACE WINDOWS SERVER Volba edice Windows Server 2008 Edice Specifikace Windows Server 2008 R2 Foundation 1 physical processor 15-user limit Up to 8 GB of RAM Windows Server 2008 R2 Standard 4 physical processors Up to 32 GB of RAM 1 virtual machine and host Windows Web Server 2008 R2 4 physical processors Up to 32 GB of RAM Web (IIS) and DNS roles only Windows Server 2008 R2 Enterprise 8 physical processors Up to 2 TB of RAM 4 virtual machines and host Hot add memory* Failover clustering Windows Server 2008 R2 Datacenter and Windows Server 2008 R2 for Itanium-Based Systems 64 physical processors Up to 2 TB of RAM Unlimited virtual image use rights Hot add/replace memory Hot add/replace processors Failover clustering Server Core Server Core je minimální instalace poskytující jednoduché prostředí serveru s omezenou funkcionalitou. Instalace Server Core má: Minimální požadavky na údržbu Minimální požadavky na správu Sníženou náročnost na místo na disku Snižuje bezpečnostní rizika

68 Volba metody instalace Metoda instalace je primárně určena volbou média, ze kterého je serverový OS instalován. Metody instalace: Lokální médium Sdílený síťová složka Automatická instalace Volba typu instalace Typ instalace je zvolen v závislosti na aktuálním stavu serveru, na který má být nová instalace provedena. Typy instalace: Nová instalce Upgrade Migrace Postup při instalaci Windows serveru: 1. Kontrola minimálních HW požadavků pro server 2. Záloha existujících dat 3. Spuštění setup.exe 4. Volba regionálních a jazykových nastavení 5. Volba edice pro instalaci 6. Souhlas s licenčním ujednáním 7. Volby typu instalace 8. Volba umístění instalace

69 Instalace souborů 10. Nastavení hesla pro účet Administrator Konfigurace po instalaci 1. Aktivace Windows 2. Nastavení časové zóny 3. Konfigurace sítě, názvu serveru a domény 4. Konfigurace automatických aktualizací 5. Přidání serverových rolí a funkcí 6. Povolení vzdáleného přístupu 7. Konfigurace Windows Firewallu 8 ROLE A FUNKCE WINDOWS SERVERU Role serveru ve Windows Server 2008/2012 popisuje některou z primárních funkcí serveru. Role serveru: Active Directory Certificate Services Active Directory Domain Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services Aplikační server Server DHCP

70 Server DNS Fax Server Souborové služby Role Hyper-V Network Policy and Access Services Tiskové služby Vzdálený přístup Webový server (IIS) Služba pro nasazení systému Windows Služba Windows Server Update Services Služby rolí Služby rolí umožňují řídit jaká konkrétní funkcionalita role je instalovaná a povolená. Obr. 40

71 Funkce serveru Funkce serveru poskytují vedlejší nebo podpůrné funkce k serverům. Obr SOUBOROVÝ SERVER Poskytuje úložiště pro soubory uživatelů Sdílí složky, které obsahují soubory uživatelů Zajišťuje odpovídající úroveň zabezpečení přístupu k souborům uživatelů prostřednictvím zabezpečení Zajišťuje mechanismy pro zálohu a obnovu dat

72 ŘADIČ DOMÉNY (DOMAIN CONTROLLER) Udržuje kopii AD DS Odpovídá na dotazy na databázi Active Directory Autentizuje uživatele v síti Je lokalizovatelný DNS dotazem 8.3 APLIKAČNÍ SERVER Aplikační server je počítač, který je vyhrazen pro běh síťových aplikací. Aplikace běžící na aplikačních serverech náleží typicky do dvou kategorií: Klasické aplikace (spustitelné soubory) Webové aplikace 8.4 WEBOVÝ SERVER Webový server je server připojený do internetu (nebo intranetu) poskytující uživatelům webové aplikace a obsah: Statický obsah Webové aplikace Streamovaný obsah

73 METODY POUŽÍVANÉ KE SPRÁVĚ PROSTŘEDÍ WINDOWS SERVER 2008 Správce serveru (Server Manager) Nástroje příkazové řádky (Command-line tools) RSAT Windows PowerShell Server manager Obr. 42

74 PowerShell Windows PowerShell je pokročilý příkazový řádek a skriptovací jazyk. Je navržený speciálně pro správu systému Windows server. Funkce Windows PowerShell: Zřetězení příkazů Podpora skriptování Jednořádkové cmdlety Aliasy Proměnné Přístup ke všem příkazům cmd.exe Vzdálené spouštění skriptů 9 ACTIVE DIRECTORY Active Directory je databáze operačního systému Microsoft Windows, která implementuje adresářové služby LDAP pro použití v prostředí systému Microsoft Windows. Active Directory zahrnuje: služby pro autorizaci služby pro autentizaci správu uživatelů správu účtů např. PC Group polici definici struktury sítě a další

75 Active directory vyžaduje instalaci služby DNS, bez které nemůže fungovat. Data uložená v Active directory jsou uložená jako tzv. objekty, které mají stromovou strukturu. Tato struktura je tvořena pomocí tzv. Frestu (lesa), stromů, domén a organizačních jednotek. Struktura Active directory: Lesy domén (Forest) jeden nebo více stromů domén, které mají společné adresářové informace Stromy domén (Tree) jedna nebo více domén, které sdílejí obor názvů Domény (Domain) počítače, které sdílejí společnou adresářovou databázi Organizační jednotky (OU) jednotky, které určují řídící strukturu organizace Les domén (Forest) Kořenová doména Obr. 43

76 Doménový strom (Tree) soscblan.cz Sosvazlan.cz trida.soscblan.cz Obr. 44 Instalace role Active Directory 1. Zapnout Server manager Obr Zvolit Add Roles 3. Vybrat Active Directory Domain Services Automaticky se doinstaluje NET Framework 3.5.1

77 Obr Zvolte Install 5. Po instalaci je potřeba použít ke konfiguraci nástroj DCPROMO Obr. 47

78 Vytvořte novou doménu a nový strom domén Obr Zadejte jméno domény (Nepoužívají se doménová jména z internetu) Obr. 49

79 Zvolte funkcionalitu stromu dle používaných serverů v síti Obr Zvolte DNS server Obr. 51

80 Zvolte umístění databáze Obr Nastavte heslo dle platných konvencí Obr. 53

81 Po vytvoření AD restartujte počítač Obr UŽIVATELSKÝ ÚČET Umožňuje autentifikaci uživatele s definovanými vlastnostmi Má identifikátor zabezpečení - SID Lze mu přiřadit oprávnění ke zdrojům Lze sdružovat do skupin Uživatelský účet může být uložen ve službě Active Directory. Tím umožňuje přihlášení do domény. Takovému účtu mohou být přiřazena oprávnění kdekoliv v doméně. Účty ve službě Active Directory jsou spravovány pomocí modulu snap-in služby Active Directory.

82 Obr. 55 Další možností uložení uživatelského účtu je v místní databázi SAM v lokálním počítači. Účet zde zajišťuje přihlášení k místnímu počítači. V rámci tohoto účtu mohou být přiřazena oprávnění k místním zdrojům. Lokální uživatelské účty jsou spravovány pomocí místního modulu Místní uživatelé a skupiny. 1. Spusťte modul mmc 2. Vyberte snap-in modul Místní uživatelé a skupiny Obr. 56

83 Obr. 57 Vlastnosti účtů Heslo je platné Účet je zablokován Přihlašovací hodiny Přihlásit se k Uživatel musí změnit heslo při příštím přihlášení Uživatel nemůže měnit heslo Uložit heslo pomocí šifrování Vyžadování Smart Card Účet je důvěryhodný pro delegování Doba platnosti účtu

84 Správa uživatelských účtů - Přejmenování uživatelského účtu - Resetování hesla uživatele Obr. 58 Obr Odemknutí uživatelského účtu Obr. 60

85 Zakázání nebo povolení uživatelského účtu - Přesunutí uživatelského účtu - Odstranění uživatelského účtu Vlastnosti uživatelského účtu v Active Directory 1. V modulu Uživatelé a počítače služby Active Directory (Active Directory Users and Computers) zvolte Zobrazit (View) a Pokročilé funkce (Advanced Features) 2. Zvolte Vlastnosti (Properties) Obr. 61 Změna vlastností více uživatelů 1. Vyberte více uživatelů (CTRL + výběr) 2. Klikněte pravým tlačítkem myši na některého vybraného uživatele 3. Zvolte Vlastnosti

86 Obr. 62 Lze měnit následující vlastnosti - Obecné popis, kancelář, telefon, fax, www stránky, - Účet přihlašovací hodiny, omezení počítačů, možnosti účtu, platnost účtu - Adresa ulice, P.O. Box, město, stát, PSČ - Profil cesta k profilu, přihlašovací skript, domovská složka - Organizace název pozice, oddělení, firmy, manažer

87 GROUP POLICY Group Policy (skupinové politiky) je nástroj pro hromadnou správu oprávnění a nastavení. Používí se k centrální správě počítačů s pomocí Active Directory. Group Policy dokáže měnit parametry nastavení počítače nebo uživatele. Skupinové politiky se používají pro: zabezpečení hromadné instalace aplikací nastavení firemních pravidel Jednotlivá nastavení lze sdružovat. V takém případě hovoříme o tzv. GPO Group Polici Objekt. Politiky se dělí na politiky pro nastavení počítače a politiky pro nastavení uživatele. Linkují se na organizační jednotky (OU) v Active Directory. Politiky dělíme na: lokální doménové Lokální politiky ovlivňují lokální počítač a přihlášené uživatele. Lokální politiky jsou uloženy v adresáři - %systemroot%\system32\grouppolicy, který je skrytý. Doménové politiky lze použít u počítačů a uživatelů, kteří jsou členy nějaké domény. Existují dvě základní doménové politiky, které jsou vytvořeny již při instalaci Active Directory:

88 Default Domain Policy ovlivňuje všechny objekty v doméně Default Domain Controller Policy - ovlivňuje všechny DC v doméně Group Polici Objekt má tři části: Software settings - nastavení softwaru Windows settings - nastavení systému Windows Administrative templates - šablony pro správu V rámci GPO lze použít šablony, které v sobě zahrnují již přednastavené vlastnosti GPO. Používá se starší formát ADM a nový formát ADMX. Výhodou ADMX je, že je jazykově neutrální, politiky se neukládají do SYSVOL a díky standardu XML je rozšiřitelný. Postup zpracování politik 1 Lokální politiky "Local Group Policy" Politiky na úrovni sítí "Site Level GPOs" Politiky na úrovni domény "Domain level GPOs" Politiky na úrovní organizačních jednotek "Organizational Unit GPOs" Politiky na úrovní podskupin organizačních jednotek "Any chil Organizational Unit GPOs" Obr. 63

89 Nastavení a vytváření politik se nejčastěji provádí pomocí nástroje Group Polici Management Editor. Obr. 64 Politiky aplikované na počítač se standardně uplatňují při startu počítače, politiky aplikované na uživatele probíhají při přihlášení uživatele. Aplikaci politik také můžete vynutit ručně pomocí příkazu: gpupdate /force

90 Aplikace politik musíte spojit s nějakým kontejnerem (prolinkovat). Mohou to být: Active Directory kontejnery site Domény Organizační jednotky Obr. 65

91 ZABEZPEČENÍ V ACTIVE DIRECTORY Jako základní zabezpečení lze použít zásady hesel a zásady uzamčení účtu. Zásady hesel Vynucení použití historie hesel Maximální stáří hesla Minimální stáří hesla Minimální délka hesla Heslo musí splňovat požadavky na složitost Možnost uložit heslo pomocí reverzibilního šifrování Zásady uzamčení účtu Tyto zásady pomáhají zmírnit hrozbu útoku na jednotlivé uživatelské účty hrubou silou. Doba uzamčení účtu Prahová hodnota uzamčení účtu Resetovat počítadlo neúspěšných pokusů Uživatelský účet, který je uzamčen, může odemknout správce Lze zadat čas, po kterém se účet automaticky odemkne Detailní konfigurace zásad hesel a zamykání účtů umožňuje definovat více zásad hesla a zamykání v jedné doméně.

92 Délka hesla: 15 Max. stáří: neexpiruje Zamykání: ne Administrativ a Délka hesla: 15 Max. stáří: 45 Zamykání: 5 ve 60 min Reset: 1 den Délka hesla: 15 Max. stáří: 60 Zamykání: 5 ve 30 min Reset: 30 min. Servisní účty Učitel é Obr. 66 Způsob konfigurace hesla a účtu 1. Zapněte modul Group Polici Management Obr. 67

93 Zvolte Default Domain Polici a pomocí pravého tlačítka myši vyvolejte Edit Obr Zvolte větev: Computer Configuration Policies Windows Settings Security Settings Account Policies Password Polici 4. V pravé části okna vyberte např. Minimum password lenght (Minimální počet znaků) 5. Změňte údaj na 5 znaků a stiskněte OK. Obr. 69

94 INSTALACE A KONFIGURACE DNS DNS (Domain Name System) je systém doménových jmen, který slouží pro vzájemný převod doménového jména na IP adresu a zpět. DNS server může mít jednu ze tří rolí: Primární server - každá doména musí mít alespoň jeden primární server. Sekundární server (je automatickou kopií primárního). Každá doména musí mít alespoň jeden sekundární server. Cache server - slouží jako vyrovnávací pro snížení zátěže celého systému. Root servery Root servery - kořenové jmenné servery představují zásadní část technické infrastruktury internetu, na které závisí spolehlivost, správnost a bezpečnost operací na internetu. Ve světě je celkem 13 kořenových jmenných serverů. Postup překladu a hledání dané www stránky ( Obr. 70

95 Instalace DNS DNS server je jedna z rolí Windows server 2008 R2. 1. Zapněte modul Server Manager Obr Zvolte roli DNS server 3. Zvolte Install Obr. 72

96 Konfiguraci DNS serveru lze provádět v modulu DNS Obr. 73 Obr. 74

97 Typy záznamů v DNS A (address record) obsahuje IPv4 adresu přiřazenou danému jménu CNAME (canonical name record) je alias - jiné jméno pro jméno již zavedené. Typicky se používá pro servery známých služeb, jako je například WWW MX (mail exchange record) oznamuje adresu pro příjem elektronické pošty pro danou doménu NS (name server record) ohlašuje jméno autoritativního DNS serveru pro danou doménu PTR (pointer record) je speciální typ záznamu pro reverzní zóny. Obsahuje na pravé straně jméno počítače přidělené IP adrese na straně levé SOA (start of authority record) je zahajující záznam zónového souboru. Pro správnou funkci překladu DNS je potřeba správně nakonfigurovat IP klienta. To lze provést pomocí konfiguračního okna síťové karty pro protokol IPv4 nebo pomocí příkazu netsh. Konfigurační okno síťové karty Obr. 75

98 Nastavení DNS pomocí příkazu netsh netsh interface ipv4 set dns Local Area Connection static netsh interface ipv4 add dns Local Area Connection static Nastavení IP pomocí příkazu netsh netsh interface ip set address "Local Area Connection" static Nastavení pomocí DHCP netsh interface ip set address "Local Area Connection" dhcp

99 SPRÁVA SOUBOROVÉHO SYSTÉMU - SPRÁVCE PROSTŘEDKŮ SOUBOROVÉHO SERVERU Správce prostředků souborového systému (File Server Resource Manager FSRM) je sada nástrojů v operačním systému Windows Server Umožňuje následující funkce: Nastavení omezení úložného prostoru na svazcích Nastavení omezení úložného prostoru ve složkách Zabránění uživatelům v ukládání specifických typů souborů na server Efektivní řízení a sledování existujících prostředků úložiště Plánování budoucích změn infrastruktury úložiště Implementace budoucích změn infrastruktury úložiště Obr. 76

100 Rozdíl mezi kvótami FSRM a diskovými kvótami NTFS Funkce kvóty Diskové kvóty NTFS Kvóty FSRM Sledování kvóty Kvóta uživatele na celém oddíle Kvóta podle složek nebo celého oddílu Výpočet obsazení disku Logická velikost souboru Skutečně obsazené místo na disku Upozorňování Pouze záznamy v protokolu událostí Pomocí u, vlastní reporty, spuštění příkazu, protokol událostí 14 VZDÁLENÝ PŘÍSTUP - VPN VPN - Virtual Private Network - je prostředek k zabezpečenému propojení počítačů prostřednictvím veřejné počítačové sítě. Při spojení je ověřována totožnost obou stran pomocí digitálních certifikátů a zároveň je veškerá komunikace šifrována. Toto spojení se považuje jako bezpečné a používá ho řada firem pro firemní komunikaci a přenos dat. VPN server VPN server Obr. 77

101 Metody VPN Autentifikace PAP Používá hesla ve formě prostého textu CHAP Používá šifrování odpovědi - šifra MD5 MSCHAPv2 - Používá šifrování dotazu i odpovědi EAP Umožňuje libovolné ověření vzdáleného přístupu Podporované protokoly prop VPN tunely PPTP L2TP/IPsec SSTP IKEv2 Nutné předpoklady pro instalaci VPN serveru 2 síťové adaptéry Dostatečný počet IPv4 adres pro klienty - (staticky nebo z DHCP) Poskytovatel ověření - (NPS/Radius server nebo VPN server) DHCP relay agent Členství ve skupině lokálních Administrátorů 15 ZÁKLADY ZABEZPEČENÍ IT Pro zabezpečení IT je nejlépe použít tzv. víceúrovňovou ochranu. Tato ochrana přistupuje k zabezpečení ve vrstvách a tím snižuje šanci případných útočníků a zvyšuje možnost prozrazení útočníka.

102 Obr. 78 Zásady, postupy, povědomí Zabezpečení na úrovni Zásady, postupy a povědomí zahrnuje formální bezpečnostní zásady organizace, které pomáhají předcházet bezpečnostním incidentům, brání jejich vzniku a v případě, že již nastanou, pomáhají bezpečnostní incidenty řešit Nejčastější porušení zabezpečení Uživatelé pravidla neznají Uživatelé pravidla považují za zbytečná a nerespektují je Sociální inženýrství (nepřímá manipulace uživatelem) Zabezpečení na fyzické úrovni Zabezpečení na fyzické úrovni pomáhá předcházet neautorizovanému fyzickému přístupu k IT infrastruktuře zejména z důvodu ochrany proti fyzickému poškození, odcizení HW a ohrožení dat.

103 Fyzický přístup k systémům umožňuje: Fyzické poškození Instalaci nežádoucího SW Změnu dat Krádež Zabezpečení na úrovni interní sítě Zabezpečení na úrovni interní sítě zahrnuje ochranu infrastruktury přímo spravovanou a řízenou organizací, včetně WAN a koncových zařízení. Porušení zabezpečení na této úrovni zahrnují: Neautorizovanou síťovou komunikaci Neautorizované síťové hosty Neautorizované odchytávání paketů Nezměněné výchozí nastavení síťových zařízení (default hesla apod.) Zabezpečení na úrovni hostitele Úroveň hostitele tvoří jednotlivá zařízení infrastruktury, jako jsou počítače, switche a routery. Porušení zabezpečení na této úrovni mohou být: Zneužití chyby operačního systému Zneužití výchozího nastavení operačního systému Zneužití dosažená činností virů

104 Zabezpečení na úrovni aplikací Zabezpečení na úrovni aplikací se týká specializovaného SW běžícího na hostitelích Porušení zabezpečení na této úrovni mohou být: Zneužití chyby aplikace Zneužití výchozího nastavení aplikace Zavedení viru uživatelem Zabezpečení na úrovni dat Zabezpečení na úrovni dat zahrnuje ochranu informací uložených v konkrétním počítači. Porušení zabezpečení na této úrovni mohou být: Neautorizovaný přístup k datovým souborům Neautorizovaný přístup k AD DS Úprava souborů aplikací Rizika fyzické bezpečnosti Hlavní rizika fyzické bezpečnosti jsou: Ztráta nebo krádež serverů a úložišť dat Nespravované počítače připojené do sítě Připojení zařízení pro ukládání dat, které mohou obsahovat škodlivý software

105 Windows Server poskytuje několik nástrojů a funkcí, které mohou fyzické bezpečnosti napomoci Windows Server nabízí: Šifrování EFS (Encrypting File System ) Technologii BitLocker Technologii Read-Only Domain Controllers Skupinové politiky Technologii NAP (Network Access Protection) Řízení přístupu Bezpečnost v prostředí internetu Po připojení k internetu je každý počítač vystaven velikému množství potencionálních bezpečnostních rizik. Bezpečnostní rizika závisí na používaných aplikacích: Procházení webů Instant messaging Sociální sítě Stahování souborů Aktualizace počítačů Windows 7 a Windows Server 2008 R2 poskytují několik bezpečnostních funkcí, které napomáhají zvýšení bezpečnosti připojení k internetu. User Account Control Windows Firewall Windows Defender

106 ZABEZPEČENÍ WINDOWS SERVER Zabezpečení Windows serveru se provádí pomocí autentizace a autorizace, pomocí bezpečnostní funkce UAC, šifrováním a nastavením oprávnění k souborům a složkám AUTENTIZACE A AUTORIZACE Autentizace je ověření identity uživatele nebo zařízení. Autentizace je určení, zda uživatel nebo zařízení má oprávnění přístupu k danému zdroji. Obr UAC UAC je bezpečnostní funkce, která zjednodušuje schopnost uživatelů pracovat jako standardní uživatel a provádět všechny potřebné každodenní úkoly. Pokud úkol vyžaduje administrátorská oprávnění, UAC vyzve uživatele k zadání administrátorského přístupu.

107 Obr OPRÁVNĚNÍ K SOUBORŮM A SLOŽKÁM NTFS oprávnění k souborům a složkám: Definují lokální přístupová práva k souborům a složkám Aplikují se vždy Oprávnění sdílené složky: Definuje oprávnění síťového přístupu k obsahu složky Aplikují se pouze při přístupu k souborům a složkám přes síť