Tomáš Killian. Konsolidace IT infrastruktury v prostředí konkrétní firmy na platformu Linux. Bakalářská práce

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Tomáš Killian Konsolidace IT infrastruktury v prostředí konkrétní firmy na platformu Linux Bakalářská práce 2009

2

3 Prohlášení Prohlašuji, že jsem tuto bakalářskou práci na téma konsolidace IT infrastruktury v prostředí konkrétní firmy na platformu Linux zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury.

4 Poděkování Rád bych na tomto místě poděkoval všem, kteří se mnou téma práce i technické aspekty vlastního řešení konzultovali, protože bez nich by práce v této podobě nevznikla.

5 Obsah Úvod Současný stav řešené problematiky Co znamená svobodný software? Vznik platformy GNU/Linux Současné využívání Linuxu Popis problému a definice cíle Představení firmy Výchozí stav IS firmy Charakteristika využívání a správy IS Důvody klienta pro zvážení konsolidace IS Prvky IS Formulace požadavků klienta Stanovení měřitelného zadání a cíle konsolidace Definice cíle Možné problémy Použité metody Návrh a implementace řešení Analýza požadavků Vyhodnocení analýzy Instalace serveru Operační systém desktopu Kritické aplikace Nekritické aplikace Zahajovací iterace návrhu Realizace návrhu Shrnutí první iterace Požadované změny do další iterace Druhá iterace Realizace změn Instalace a nastavení serveru Instalace pracovní stanice Záloha dat a nastavení Instalace Linuxové distribuce Provedení update a instalace aplikací Přenesení dat a nastavení aplikací Ověření požadované funkcionality s uživateli Shrnutí druhé iterace Požadované změny do další iterace Třetí iterace Závěr Seznam použitých zdrojů

6 7 Přílohy Sources.list Protokol zálohy dat a nastavení Protokol instalace OS desktopu Protokol po-instalačních procedur na desktopu Protokol přenesení dat a nastavení aplikací na desktopu Protokol instalace OS serveru Protokol nastavení sdílených složek

7 Seznam tabulek Tabulka 1 - Přehled počítačů před konsolidací...15 Tabulka 2 - Přehled bezpečnostního SW na desktopech s Windows...16 Tabulka 3 - Vstupní dotazník požadované funkcionality IS...18 Tabulka 4 Vyhodnocení konsolidace IS...37 Tabulka 5 - Protokol zálohy dat a nastavení...43 Tabulka 6 - Protokol instalace OS desktopu...44 Tabulka 7 - Protokol post-instalačních procedur na desktopu...46 Tabulka 8 - Protokol přenesení dat a nastavení aplikací na desktopu...48 Tabulka 9 - Protokol instalace OS serveru...51 Tabulka 10 - Protokol nastavení sdílených složek...54 Tabulka 11 - Protokol instalace a nastavení VPN...57 Tabulka 12 - Protokol instalace a nastavení Untangle

8 Abstrakt Tato případová studie se zabývá konsolidací IT v malé firmě na GNU/Linux. Podstatnou částí je analýza vstupních podmínek zadání, návrh odpovídajícího řešení a dokumentace procesu implementace. Sledovanými kritérii jsou funkčnost, ergonomie a snadnost implementace i údržby. Závěr tvoří vyhodnocení úspěšnosti realizace. Abstract Case study of IT consolidation to a GNU/Linux platform in a Small Business company. The substantial part consists of the requirement analysis, corresponding solution design and the implementation process documentation. There are three main criteria considered: functionality, ergonomy, and simplicity of both the implementation and maintenance. In the conclusion part, results of the implementation are evaluated. 8

9 Úvod Úvod GNU/Linux 1 je svobodný 2 víceuživatelský operační systém kompatibilní se systémem Unix 3. Za svou existenci prošel spolu s celým odvětvím IT obrovským vývojem a rozšířil se do mnoha oblastí s výraznou výjimkou uživatelských desktopů 4. Práce vychází z mé šestileté zkušenosti se správou sítí, i s každodenním používáním Linuxu na desktopu, a zkoumá, do jaké míry může být kompletní konsolidace IT v malé firmě na Linux přínosná, či naopak regresivní. Případovou studii jsem realizoval u právnické kanceláře, která si nepřeje být v této souvislosti uváděna. Stanovenou hypotézou práce je dosažení požadavků klienta na konsolidaci, ale ambicí práce je rovněž poskytnout základní model, ze kterého by mohla být odvozována podobná řešení. Obsah je členěn do následujících kapitol: První kapitola, Současný stav řešené problematiky, slouží čtenáři k zběžnému seznámení s kořeny Linuxu a oblastmi, kde je v současnosti využíván. Druhá kapitola, Popis problému a definice cíle, zjišťuje současný stav IT ve firmě a požadavky na přínosy konsolidace, definuje cíle konsolidace a stanoví hypotézu Třetí kapitola, Použité metody, navrhuje metody, které budou použity k dosažení cíle. Čtvrtá kapitola, Návrh a implementace řešení, dokumentuje navrhování a proces technické implementace řešení. Pátá kapitola Závěr hodnotí, zda byl splněn cíl konsolidace IS a zda byla potvrzena stanovená hypotéza. 1 Wikipedie. Linux. Wikipedie (angl. Wikipedia) je webová encyklopedie, umožňující komukoli přidávat, revidovat a diskutovat obsah hesel. Z tohoto důvodu nemůže být považována za důvěryhodný informační zdroj. V souladu s tím není v rámci této práce použita jako referenční zdroj jakéhokoli tvrzení,uvádím ji pro doplnění odkaz v poznámkách tam, kde může být čtenáři dodatečné vysvětlení konkrétního technického hesla přínosem. 2 Více o významu tohoto pojmu v první kapitole. 3 Wikipedie. Unix. 4 Desktopem ve vztahu k operačním systémům rozumíme osobní počítač či notebook. Kromě desktopů jsou operační systémy využívány zejména na serverech, superpočítačích, ve vestavěných zařízeních a v uživatelských mini-zařízeních. 9

10 1 Současný stav řešené problematiky 1 Současný stav řešené problematiky V této kapitole seznamuji čtenáře s GNU/Linuxem. Pro porozumění současné situaci uvádím definici svobodného software, historii vzniku GNU/Linuxu a jeho současné využití. 1.1 Co znamená svobodný software? Za svobodný software [FSF:Definice:2008] (z anglického free software) pokládáme takový software, který je šířen se zachováním určitých práv a svobod pro jeho koncového uživatele. Jde o práva: Spouštět software za jakýmkoliv účelem. Studovat, jak software pracuje a přizpůsobit ho svým potřebám. Předpokladem k tomu je přístup ke zdrojovému kódu. Redistribuovat kopie dle svobodné vůle. Vylepšovat software a zveřejňovat zlepšení, aby z nich mohla mít prospěch celá komunita. Předpokladem je opět přístup ke zdrojovému kódu. Současná podoba Linuxu je zásadně ovlivněna touto filozofií a souvisejícím způsobem vývoje, který nemá jednotné vedení, ale podílejí se na něm komunity uživatelů různých součástí ekosystému Linuxu, ať už je důvodem potřeby komerční či jiné využití. Tento fenomén je přiblížen v knize Katedrála a bazar [Raymond:Bazar:1999]. 10

11 1 Současný stav řešené problematiky 1.2 Vznik platformy GNU/Linux Projekt GNU [FSF:GNU:2008] byl založen v roce 1983 Richardem M. Stallmanem s cílem vytvořit kompletní svobodný systém kompatibilní se systémem Unix. Vlastní vývoj začal o rok později a počátkem 90. let existovaly již všechny hlavní součásti včetně grafického rozhraní X Windows System 5, nicméně s výjimkou jádra Hurd 6 vyvíjeného s komplikacemi teprve od roku V té době docházelo k masivnímu rozšíření osobních počítačů. Mezi nejběžnější patřily IBM PC a kompatibilní počítače 7 se systémy typu DOS 8, následované počítači Apple Macintosh 9 s vlastním operačním systémem. Toto rozšíření spolu se značnou jednoduchostí systému DOS oproti vyspělému systému Unix otevřelo prostor vzniku svobodných i komerčních portů 10 unixových systémů na IBM PC a kompatibilní počítače. V roce 1991 naprogramoval finský student Linus Torvalds první verzi nového jádra postaveného na akademickém výukovém unixovém prototypu MINIX 11, a 17. září ji vydal na Internetu. V následujícím roce nahradil Torvalds původní programy přejaté ze systému MINIX za programy projektu GNU, a vznikl tak kompletní operační systém, který nazýváme GNU/Linux, nebo často zkráceně Linux. V roce 1992 byl také vydán 386BSD Unix 12 založený na svobodném vydání BSD 4.3 Net/2 13, neobsahujícím již žádný proprietární (nesvobodný) unixový kód od AT&T 14. Ten se stal základem svobodných systémů FreeBSD, NetBSD a OpenBSD, jejichž rozšíření ovšem kvantitativně nedosahuje rozšíření Linuxu. 5 Wikipedie. X Window System. 6 Wikipedia. GNU Hurd (angl.). 7 Wikipedie. IBM PC kompatibilní. 8 Wikipedie. Diskový Operační Systém (DOS). 9 Wikipedie. Apple Macintosh Wikipedie. Portace softwaru Wikipedie. MINIX Wikipedia. 386BSD (angl.) Wikipedie. Berkeley Software Distribution Wikipedia. AT&T (angl.). 11

12 1 Současný stav řešené problematiky 1.3 Současné využívání Linuxu Vývoj a růst využívání Linuxu lze sledovat ve více směrech: Akademická sféra, věda a výzkum, kde Linux vznikl, disponovala odborníky potřebnými pro práci se systémem ve stádiu vývoje a mohla využít dostupnosti a otevřenosti Linuxu pro své potřeby. Dobrým příkladem je evropské centrum jaderné fyziky CERN [CERN:Linux:2008], kde mj. vznikl i World Wide Web, ale třeba i česká akademická síť CESNET [Mulač:METAcentrum:2004]. Nasazení na serverech, kde Linux nabízí výhody rychlého a stabilního vývoje, otevřenosti, modulárnosti, široké podpory standardů a architektur, komerční a vývojářské podpory, i dostupnosti. Linux je zde zejména využíván jako náhrada za původní Unixy, Windows NT a Netware, či jako otevřená platforma pro nové projekty, zejména rozsáhlá datacentra typu Google, YouTube, Amazon [Highscalability:Linux:2008], Seznam [Krčmář:Seznam:2008] či Centrum [Zeman:Centrum:2004] a hostingové služby, kde Linux vede se 42% nasazením u 50 největších poskytovatelů [Netcraft:Providers:2008]. V množství předinstalovaných serverů prodaných za druhé čtvrtletí 2008 je Linux s 13,4% na třetím místě [IDC:Market:2008], ale jde pouze o neurčitý zlomek celkového počtu instalací Linuxu na serverech, které s výjimkou komerčně licencovaných distribucí nejsou nijak evidovány či měřeny. Napříč mnoha různými architekturami hardware 15, na které byl Linux díky snadné přenositelnosti jádra portován. Kromě klasických počítačů našel Linux uplatnění jako systém v Embedded zařízeních 16, kde získal v roce 2008 těsné vedení se 40% trhu a plánuje se jeho použití pro 87% nových projektů [VDC:Embedded:2007], i superpočítačích 17, kde je Linux se současným 87,8% zastoupením na Wikipedie. Přenositelnost linuxového jádra a podporované architektury (angl.) 16 Wikipedie. Embedded (vestavěný) systém Wikipedie. Supercomputer (angl.). 12

13 1 Současný stav řešené problematiky nejvýkonnějších superpočítačích dominantním systémem již od roku 2004 [Top500:OS:2008]. V současnosti je Linux nejrozšířenější a nejrozsáhlejší softwarovou platformou sestávající ze svobodného software. Většina významných IT společností Linux dodává jako součást svých řešení, či podporuje. Odhad celkové ceny vývoje distribuce Linuxu se pohybuje přes 10 mld. USD [MCPherson:Whitepaper::2008], suma investic souvisejících s Linuxem dosáhla 21 mld. USD za rok 2007 a společnost IDC odhaduje další růst až na 49 mld. USD investic v roce 2011 [Kerner:Spending:2008]. Slabou pozici zastává Linux na desktopech, kde je v celosvětových statistikách webových serverů odhadován na jedno [XiTi:OS:2008] až dvě procenta [W3Counter:Stats:2008]. Lze konstatovat, že očekávání změny v této situaci v posledních letech roste. Z technického hlediska nabízí v této době moderní prostředí s velmi dobrou podporou hardware out-of-the-box, a rozšiřující se nabídkou aplikací. Z obchodního hlediska je řešením nabízeným integrátory typu IBM, HP a Novell, i předinstalovaným výrobci typu HP, Dell, Asus a Acer. I přes současný trend levných zařízení poskytujících přístup na internet, tzv. netbooků, a rostoucí zájem některých výrobců dále snižovat cenu těchto zařízení použitím Linuxu, zůstává otázka jeho výraznějšího rozšíření na desktopech stále nejistá. 13

14 2 Popis problému a definice cíle 2 Popis problému a definice cíle V této kapitole krátce představuji firmu ve které konsolidace proběhne, hlavním tématem je ale pochopení situace, tj. proč klient požaduje konsolidaci, jaké je současný stav jeho informačního systému a jaké jsou jeho požadavky. Na základě znalostí těchto informací pomáhám klientovi se stanovením měřitelného zadání a cíle konsolidace a odhaduji základní možné problémy. Na konci kapitoly je uvedena hypotéza. 2.1 Představení firmy Klient se zabývá právním poradenstvím. Pro potřeby této práce klient nedovolil zveřejnění svého jména nebo citlivých údajů nastavení informačního systému (dále jen IS), dovoleno je pouze zveřejnění organizační struktury a informace o IS nutné ke konsolidaci a jejímu popsání, které nevedou k identifikaci klienta. Firmu tvoří tři právníci a jedna asistentka. 2.2 Výchozí stav IS firmy V této podkapitole rozebírám charakteristiku využívání a správy současného informačního systému, uvádím klientovi důvody ke konsolidaci a seznamuji čtenáře se základním uspořádáním tohoto IS Charakteristika využívání a správy IS IS je využíván pro zpracování právních dokumentů, ovou komunikaci s klienty a získávání informací z různých zdrojů z Internetu. IS je primární pracovní prostředek, zatímco primární prioritou je vlastní práce v právní oblasti. IS není od založení firmy v roce 1991 koncepčně veden. Údržba je ad-hoc zajišťována rodinnými příslušníky, případně studenty v okruhu rodinných přátel. 14

15 2 Popis problému a definice cíle Důvody klienta pro zvážení konsolidace IS Primárním impulzem pro změnu bylo selhání disku v počítači a ztráta části dokumentů, která ozřejmila potřebu zálohování a otevřela prostor ke zvážení celkové konsolidace. Dalšími důvody klienta pro konsolidaci jsou: plánovaný nákup počítačů právníků a zvažování nasazení Ubuntu Linux jako ověřené možnosti úspory pořizovacích i průběžných nákladů na softwarové licence zamezení malých problémů daných dlouhodobým provozem současného nezdokumentovaného IS zvýšení odolnosti IS proti virům a škodlivému softwaru (tzv. malware) složité sdílení dokumentů s asistentkou nevyhovující zapojení síťových tiskáren Prvky IS Desktopy používané právníky jsou obměňovány přibližně po 4 letech, asistentka hardware dědí po právnících. Základem hardware právníků jsou procesory Intel Pentium 4, operační paměti 1 GB RAM a 80 GB pevné disky. Stav počítačů a základního programového vybavení popisuje Tabulka 1. Tabulka 1 - Přehled počítačů před konsolidací Uživatel Typ počítače Přehled počítačů před konsolidací Operační systém Kancelářské aplikace ový klient právník 1 PC Win XP OEM MS Office XP Mozilla Thunderbird 2 právník 2 PC Win XP OEM OpenOffice 2 Outlook Express 6 právník 3 PC Ubuntu 7.04 OpenOffice 2 Mozilla Thunderbird Asistentka PC Ubuntu 7.04 OpenOffice 2 Mozilla Thunderbird Webový prohlížeč Mozilla Firefox 2 Internet Exporer 6 Mozilla Firefox 2 Mozilla Firefox 2 15

16 2 Popis problému a definice cíle V rámci IS jsou použity 3 tiskárny, z toho 2 lokální a 1 síťová. Síťová tiskárna Samsung SGH-B2700 je připojena k počítači asistentky a jelikož je ve firmě používána krátkou dobu, není její sdílení zatím nastaveno. Žádaný stav je zprovoznění tiskárny jako síťové, nezávislé na jakémkoliv počítači. Na počítači právníka 1 je zapojena HP LaserJet 4, na počítači právníka 2 je zapojena HP LaserJet 4L. Připojení na Internet je realizováno přes ADSL router, který zároveň slouží jako switch. Není nastaveno sdílení složek ani dokumentů. Dokumenty jsou ve velké míře předávány asistence a zpět pomocí USB flashdisku, případně posílány mailem. Mezi právníky jsou dokumenty téměř výhradně posílány mailem. Realizaci zabezpečení na počítačích s Windows popisuje Tabulka 2. Uživatel Tabulka 2 - Přehled bezpečnostního SW na desktopech s Windows Typ počítače Přehled bezpečnostního SW na desktopech s Windows Firewall Antivirus Antimalvare právník 1 PC Kerio Personal Firewall AVG Anti-Virus Ad-Aware Free právník 2 PC Comodo Firewall Pro Eset NOD32 Spybot Search&Destroy Z tabulky je zřejmá snaha o zabezpečení IS. Tomu ale neodpovídá provedení, které ponechává firewally neaktualizované a nedůsledně nastavené. Antiviry jsou aktualizované, ale jejich nevhodné nastavení zatěžuje počítače po každém zapnutí. Antimalware je jednorázový, neaktualizovaný. Zálohování není nastaveno. Aktuální dokumenty jsou zálohovány manuálním přenosem dat mezi počítačem a notebookem pomocí flashdisku, případně u. Jediná kompletní záloha s daty právníka 1 existuje na DVD a je datována k červnu Ochrana před fyzickým odcizením dat zcela chybí. 16

17 2 Popis problému a definice cíle i webové stránky jsou u poskytovatele Gmail. Změna tohoto stavu není žádána. Současné parametry jsou následující přijímaní pošty je realizováno přes POP3 protokol, odesílání přes SMTP šifrování není nastaveno ani pro přijímaní, ani pro odesílání funkcionalita Google Kalendář je využívána přes webové rozhraní 2.3 Formulace požadavků klienta Formulace požadavků klienta odráží důvody klienta pro zvážení konsolidace IS. Jako primární je zvýrazňována potřeba zálohování dat. sekundární potřebou je sdílení dat a tiskárny, terciální potom zabezpečení celého IS. Klient plánuje dodat tři nové desktopy pro právníky a nový server, asistentka desktop zdědí po právnících. Požadavky na konsolidaci formulované klientem: nízké náklady na zavedení a provoz automatické zálohy dat snadné sdílení souborů a tiskáren zvýšení zabezpečení zjednodušení a zdokumentování IS upgrade stanic 2.4 Stanovení měřitelného zadání a cíle konsolidace Z důvodu obtížně vyhodnotitelných požadavků jsem připravil dotazník s konkrétně specifikovanými body a požádal klienta o ohodnocení následujících priorit v rozsahu Vysoká, Střední a Malá, kde body označené malou prioritou nebudou dále v konsolidaci uvažovány. Výsledky tohoto dotazníku popisuje Tabulka 3. 17

18 2 Popis problému a definice cíle Tabulka 3 - Vstupní dotazník požadované funkcionality IS Vstupní dotazník požadované funkcionality IS Stav Váha Zajištění kontinuity 1 Minimalizace rizika ztráty dat není Vysoká Zajištění integrity a důvěrnosti 1 Ochrana před fyzickým odcizením dat není Vysoká 2 Ochrana před průnikem z Internetu omezená Vysoká 3 Filtrování škodlivého webového obsahu není Střední 4 Ochrana před viry a malware částečná Střední 5 Filtrování phishingu není Malá Zajištění pracovních podmínek 1 Sdílení dokumentů flashdisk Střední 2 Historie dokumentů není Střední 3 Sdílení síťových prostředků není Vysoká 4 Vzdálený přístup k u z klienta ano Vysoká 5 Vzdálený přístup k u přes web ano Vysoká 6 Filtrování spamu částečně Malá 7 Filtrování nevhodného webového obsahu není Malá Zajištění údržby 1 Zjednodušení a zdokumentování IS není Střední 2 Technické zabezpečení vzdálené podpory uživatelů není Střední 3 Vzdálená správa není Střední 4 Nízké náklady údržby ano Střední Konsolidace 1 Snadná orientace v novém prostředí Vysoká 2 Nízké náklady Střední 2.5 Definice cíle Cílem konsolidace je nalezení a implementace řešení splňujícího všechny body zadání označené klientem za vysoce a středně prioritní. 18

19 2 Popis problému a definice cíle 2.6 Možné problémy Následující body představují základní možné problémy, které se mohou v procesu konsolidace vyskytnout. Ilustrují složitost problému a tudíž nutnost dodržení odborného postupu. špatně definované nebo pochopené požadavky nevhodně stanovené priority selhání při technické realizaci chybně navržený IS IS nesplní očekávání 2.7 Hypotéza Na základě analýzy dokážu s využitím současných technologií navrhnout a realizovat konsolidaci IT infrastruktury tak, aby byla pro klienta vhodným řešením jeho potřeb. 19

20 3 Použité metody 3 Použité metody V této kapitole popisuji volby metodiky použité při návrhu, implementaci a vyhodnocení konsolidace. Výchozí použitou metodou bude systémová analýza. Jejím účelem bude hledání řešení konkrétních postupů nebo technologií potřebných ke splnění klientových požadavků. Jako metodu vývoje řešení odpovídajícího požadavkům klienta použiji iterativní návrh, realizovaný v první části pomocí prototypu. Iterativní návrh řešení spočívá ve vytváření řešení, kde jsou jednotlivé kroky prezentovány klientovi, který je schvaluje a připomínkuje. Jako prototyp k tomuto slouží virtualizované stroje, na kterých je systém navrhován i prezentován a jejichž výhodou je možnost vrácení stavu zpět a ověření postupu. Tyto prototypy budu vyvíjet za použití virtualizačního nástroje VirtualBox [Sun:VirtualBox:2009]. Takové řešení je výhodné pro dodavatele, který ho může mít předpřipravené, i pro klienta, který nemusí investovat do hardware a infrastruktury před schválením výsledného modelu. Pokud má dodavatel návrh detailně odladěný, počet schvalovacích iterací je nízký. Výsledkem iterativního návrhu pomocí prototypu je definovaný jednotný postup pro instalaci a nastavení operačního systému i aplikací na desktopech klientů. Tento postup bude implementován na provozním hardware v následných iteracích budou řešeny případné problémy s kompatibilitou a doladěna individuální nastavení. Server nebude klientem obsluhován a proto nebude vyhodnocován v iteracích, ale hodnocena bude pouze výsledná funkcionalita. Vyhodnocení konsolidace provedu dotazováním klienta na splnění jednotlivých požadovaných funkcionalit a porovnáním těchto výsledků se stanoveným cílem projektu. 20

21 4 Návrh a implementace řešení 4 Návrh a implementace řešení V této kapitole se, za použití metod definovaných v předchozí kapitole, snažím dosáhnout úspěšného návrhu řešení klientových potřeb a tento návrh realizovat. Kapitola je rozdělena na analýzu požadavků a následující iterace, ve kterých dochází k provádění změn v prvním kroce, jejich hodnocením klientem v kroce druhém a shrnutí požadavků do další iterace v kroce třetím. Fáze implementace konsolidace je ukončena iterací, ve které budou vyřešeny individuální požadavky klientů vycházející z předchozího testování implementovaného IS. 4.1 Analýza požadavků Následující body jsou výstupem analýz řešení jednotlivých požadavků. Pro urychlení celého postupu je tento realizován s klientem, který se na rozhodování podílí. Nízké náklady na zavedení a provoz Možná řešení: Klient sám nabízí použití platformy Linux jako prostředku snížení pořizovacích i provozních nákladů. Výhody: Dostatečný potenciál - Obsahuje všechny nutné součásti pro kompletní řešení zadání. Nízké náklady - Pro zadané potřeby není nutné pořizovat žádné komerčně licencované součásti. Snadná implementace - Pokud je řešení připraveno a odlaďeno, je vlastní implementace rychlá a zpravidla bez problémů. Snadná údržba - Pokud je buď kvalitně zpracovaná operační dokumentace, či pokud je k dispozici kvalifikovaný administrátor. Dobrá stabilita a bezpečnost. 21

22 4 Návrh a implementace řešení Nevýhody: Změna uživatelského prostředí - Přestože prostředí je velmi jednoduché, uživatelé mohou mít problémy s jeho osvojením. Zvolené řešení: Realizace bude provedena v iteracích tak, aby nehrozilo dodání nedostatečně odladěného řešení a ztrátě důvěry uživatelů v celou platformu. Pro maximální usnadnění přechodu uživatelů na nové prosředí bude provedeno školení na běžné operace. Další potřeby uživatelů budou řešeny pomocí telefonické podpory a vzdálené správy. Upgrade stanic Možná řešení: Tento bod je závislý na bodu Nízké náklady na zavedení a provoz. Zvolené řešení: Jako operační systém na desktopy vybrán Ubuntu Desktop Zálohování dat Současné nedostatky: Zálohování vypalováním dat na DVD je nedůsledné. Poslední záloha je datována k červnu 2007 a je neúplná. Možná řešení: Použití souborového serveru Výhody: Okamžitá dostupnost záloh, nezávislost na připojení k Internetu a externích službách, nulové náklady při využití serveru, který by už na síti byl. Nevýhody: Chybí odolnost vůči odcizení a poškození. Využití služeb externího dodavatele Výhody: Garance zabezpečení dat daná smlouvou. Nevýhody: Průběžné náklady, dostupnost záloh závislá na připojení k Internetu a na službě dodavatele, zabezpečení citlivých dat je rovněž nutné řešit šifrováním záloh. 22

23 4 Návrh a implementace řešení Zvolené řešení: Klient pro důvěrnost svých dat odmítá řešení využitím služeb externího dodavatele, preferuje využití starého PC jako souborového serveru. 23

24 4 Návrh a implementace řešení Sdílení dat Současné nedostatky: Při sdílení dat na USB flashdiscích hrozí vysoké riziko odcizení nebo ztráty dat Možná řešení: možnosti řešení kopírují bod Zálohování dat, pro duplicitu nejsou uvedeny. Zvolené řešení: Viz zálohování dat. Sdílení tiskárny Současné nedostatky: Existuje jediná sdílená tiskárna a ta dosud není nastavena. Možná řešení: Nastavení jedné nebo více tiskáren pro všechny uživatele přes server. Ponechání lokálních tiskáren a zapojení a nastavení síťové tiskárny. Zvolené řešení: Klient volí zapojení a nastavení síťové tiskárny. Dokumentace Současné nedostatky: Obtížné dohledávání nastavení IS a důvodů změn. Možná řešení: Dodání kompletní dokumentace konsolidace. Zvolené řešení: Klient požaduje dodání kompletní dokumentace konsolidace a souboru se základním nastavením. Zjednodušení prostředí Současné nedostatky: Nejednotné nastavení, aplikace i platformy znemožňují uživatelům vzájemnou pomoc. Možná řešení: Konsolidace na jednu platformu a využití jednotného nastavení základní funkcionality. Zvolené řešení: Využití jednotného nastavení základní funkcionality. 24

25 4 Návrh a implementace řešení Zabezpečení dat proti krádeži Současné nedostatky: V případě krádeže hardware nejsou data ochráněna. Možná řešení: Použití šifrování disků. Zvolené řešení: Použití šifrování na všech discích. Zabezpečení mailové komunikace Současné nedostatky: Šifrování komunikace s mail providerem není nastaveno. Možná řešení: Nastavení šifrovaného připojení na servery poskytovatel mail hostingu. Zvolené řešení: Nastavení šifrovaného připojení na servery poskytovatel mail hostingu Vyhodnocení analýzy Navržená řešení jsou navzájem technicky realizovatelná, tj. na platformě Linux je možné šifrovat disky, sdílet data a tiskárny, verzovat data a ostatní zmíněné. Klient pro důvěrnost svých dat odmítá využití služeb externího dodavatele, ačkoliv je si vědom že veškerá ová komunikace přes externího dodavatele v současnosti již probíhá, a rozhoduje se pro použití souborového serveru. Jako souborový server lze použít vyřazený desktop, ale pro cennost dat je doporučeno pořízení 2 nových disků a nastavení jejich zrcadlení (nastavení RAID1 pole). Pro zabezpečení sítě je rovněž vhodné použití dvou síťových rozhraní, jednoho pro vnější a druhého pro vnitřní síť. Vzhledem k vysoké spotřebě dodané stanice je schváleno pořízení odpovídajícího nízkonákladového barebone serveru Instalace serveru V následujících bodech je uvažováno užití serveru a navrhnuty příslušné technologie a jejich základní nastavení, odpovídající zbývajícím nevyřešeným potřebám klienta. Jako platforma je zvolen Ubuntu Server

26 4 Návrh a implementace řešení Sdílení složek Navržená technologie: použití Samba (odvozeno od názvu protokolu SMB) Navržené nastavení: Každý právník uvidí ve své složce Dokumenty podsložku Asistentka, kterou sdílí výhradně s asistentkou, a podsložku Sdílené, do které mají přístup všichni. Asistentka uvidí ve své složce Dokumenty podsložky jednotlivých právníků, a podsložku Sdílené. Tyto složky budou fyzicky umístěny na serveru, aby byly dostupné i v případě, kdy jsou desktopy daných právníků vypnuty. Zálohování a verzování dat uživatelů Navržená technologie: aplikace Back In Time Navržené nastavení: Aplikace Back In Time bude nainstalovaná na klientech. Data budou zálohovány přes SMB na server (Server v tomto případě poskytuje datový prostor zabezpečený šifrováním a RAID1 polem). Aplikace nabízí možnost udržování dokumentů v jejich dřívějších podobách (verzování dokumentů) i možnost obnovy všech sledovaných složek. Současně je dostatečně jednoduchá na ovládání uživatelem. zabezpečení vnitřní sítě Navržená technologie: Untangle 18 - Pro zabezpečení vnitřní sítě použijeme multiplatformní opensource bezpečnostní systém Untangle, který kombinuje všechny potřebné prvky zabezpečení, vyniká jednoduchou a uživatelsky přívětivou správou, dobrou uživatelskou podporou ze strany vývojářů a je intenzívně vyvíjen a aktualizován. 18 Untangle.com. The Open Source Network Gateway. 26

27 4 Návrh a implementace řešení Navržené nastavení: Untangle je dodáván jako kompletní systém včetně OS a může být instalován na samotný hardware nebo do virtuálního stroje. Vzhledem k tomu, že od serveru požadujeme i další funkcionalitu nesouvisející s bezpečností, zvolíme druhý ze standarních způsobů implementace, a to do virtuálního stroje VMware Server 19 běžícího na dodaném fyzickém serveru. Veškerý síťový provoz mezi vnitřní a vnější sítí bude směrován přes tento virtuální stroj.. Untangle je dodáván i ve formě virtuálního stroje VMware 20, tzv. virtual appliance 21, který stačí přidat do VMware Serveru a spustit. Tato forma bývá nicméně vydávána s jistým zpožděním za novou verzí obrazu instalačního CD, které má prioritu, a v době instalace nebyla k dispozici v nejnovější verzi. Untangle sice nabízí možnost upgrade běžícího systému, tato operace však vzhledem ke složitosti upgrade celého systému včetně přenosu nastavení trvá poměrně dlouho, z vlastních i komunitních zkušeností jde o několik hodin, až dnů v případě významných změn. Vzhledem k významným změnám v poslední verzi bylo zvoleno řešení použít nový obraz instalačního CD a nainstalovat ho do virtuálního stroje manuálně 22. vzdálená správa serveru Navržená technologie: VPN Navržené nastavení: Pro VPN použijeme multiplatformní opensource P2P VPN síť N2N 23, která umožňuje snadno připojovat i zařízení na vnitřních sítích,oddělených od Internetu jedním či více NAT routery 24. Využívá k tomu kombinaci veřejných 19 VMware, Inc. VMware Server UntangleWiki. Untangle Virtual Appliance on VMware Wikipedia. Virtual appliance UntangleWiki. VMWare Distribution Build Ntop.org. n2n: a Layer Two Peer-to-Peer VPN Wikipedia. Network address translation (angl.). 27