Vyšší odborná škola informačních služeb. v Praze. Adam Pařízek. Softwarové nástroje pro směrování v sítích TCP/IP.

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Adam Pařízek Softwarové nástroje pro směrování v sítích TCP/IP Bakalářská práce 2011

2 Prohlášení Prohlašuji, že jsem bakalářskou práci na téma "Náhrada nestabilního hardwarového routeru za softwarový router v konkrétní firmě" zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury. V Praze dne 13. prosince 2011 Adam Pařízek

3 Poděkování Na tomto místě bych rád poděkoval vedoucímu své bakalářské práce Ing. Bc. Davidu Klimánkovi PhD. za jeho ochotu, věnovaný čas a cenné rady při psaní mé bakalářské práce.

4 Slovník pojmů Slovník pojmů MAC adresa HDLC protokol Datagram Ethernet MAC adresa (z anglického Media Access Control ) je jedinečný identifikátor síťového zařízení, který přiděluje výrobce. Mac adresa je vždy celosvětově unikátní. HDLC je komunikační protokol spojové vrstvy, nadstavba protokolu SDLC, která detekuje chyby a řídí tok dat. Datagram je označení pro základní jednotku, která je přepravována v počítačové síti s přepojováním paketů, kde není zajištěno jejich doručení, zachování pořadí ani eliminace duplicity. Datagram obsahuje hlavičku, která nese služební informace (cíl, odesílatel a případně další řídící informace) a tělo, které obsahuje vlastní přenášená data. Díky tomu není přeprava datagramů v takové síti závislá na předchozím stavu sítě nebo vlastním pohybu datagramu, což vede k zjednodušení řízení sítě i vlastního doručování dat. Ethernet je v informatice souhrnný název pro v současné době nejrozšířenější

5 Slovník pojmů technologie pro budování počítačových sítí typu LAN. Byte Byte je jednotka množství dat v informatice, zpravidla označuje osm bitů, tzn. osmiciferné binární číslo. Toto množství může reprezentovat například celé číslo od 0 do 255. Pro Byte se často také používá označení Oktet. UTP Metrika Kroucená dvoulinka nebo také kroucený pár je druh kabelu, který je používán v telekomunikacích a počítačových sítích. Kroucená dvojlinka je tvořena páry vodičů, které jsou po své délce pravidelným způsobem zkrouceny a následně jsou do sebe zakrouceny i samy výsledné páry Metrika sítě se používá pro nalezení optimální trasy z jedné sítě do druhé. Virus Jako virus se v oblasti počítačové bezpečnosti označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů. Spyware Spyware je program, který využívá internetu k odesílání dat z počítače bez vědomí jeho uživatele. Někteří autoři spyware se hájí, že jejich program odesílá pouze data typu přehled navštívených stránek či nainstalovaných programů za účelem zjištění potřeb nebo zájmů uživatele a tyto informace využít

6 Slovník pojmů pro cílenou reklamu. Existují ale i spyware odesílající hesla a čísla kreditních karet nebo spyware fungující jako zadní vrátka PING Program ping (anglicky Packet InterNet Groper) umožňuje prověřit funkčnost spojení mezi dvěma síťovými rozhraními (počítače, síťová zařízení) v počítačové síti, která používá rodinu protokolů TCP/IP. Ping při své činnosti periodicky odesílá IP datagramy a očekává odezvu protistrany. Při úspěšném obdržení odpovědi vypíše délku zpoždění (latence) a na závěr statistický souhrn. ISP Internet service provider (ISP), česky poskytovatel internetového připojení, je firma nebo organizace zprostředkující přístup do Internetu, tj. poskytující telekomunikační služby Paket Rámec (packet) v překladu znamená balíček a jedná se o formátovaný blok dat, který se přenáší v počítačové síti. O paketech se mluví v souvislosti se síťovou vrstvou. Paket obsahuje IP adresu, další atributy a data. Zabalí se do rámce a následně putuje sítí. (frame) je to, co skutečně putuje v síti. Rámce vznikají až na fyzického vrstvě síťového rozhranní.. Rámců existuje více typů, nejpoužívanější je Ethernet II, který umí přepravovat TCP/IP i IPX/SPX.

7 Slovník pojmů NIC Síťová karta (Network Interface Controller) slouží ke vzájemné komunikaci počítačů v počítačové síti. Ve stolních počítačích je karta obvykle integrovaná na základní desku, případně přidána samostatně a zasunuta obvykle do portu PCI. V noteboocích je karta integrovaná na základní desku.

8 Obsah Obsah 1 Úvod Cíl a Metodika Síťové modely OSI a TCP/IP OSI model (Open Systems Interconnection Basic Reference Model) TCP/IP (Transmission Control Protocol/ Internet Protocol) Aplikační vrstva Transportní vrstva TCP/UDP Síťová vrstva (Network) Vrstva síťového rozhraní (Network Interface Layer) Možnosti řešení nedostatku IP adres IP adresa Síť (Network) Podsíť (Subnet) Adresování (Subneting) NAT (Network Address Translation) IPv Směrování (routing) Statické routování Dynamické směrování (routování) Distance-vector routing protocol... 21

9 Obsah Link-state routing protocol Autonomní systémy - EGP (pc-site.owebu.cz) HW router Konektory RJ RJ Wifi Možnosti Routeru - přizpůsobení sítě Filtrace WWW stránek IM (Instant messaging) blocking P2P (Peer-to-Peer) blocking Blokování obsahu (content blocking) VPN (Virtual Private Network) QOS (Quality of Service) Rozdíly SW/HW routeru HW router SW router SW routery - operační systémy Windows Linux Použítý hardware Rešerše SW routerů Testování vybraných SW routerů Sledované parametry a metody testování Zdroj, pořizovací náklady Vybavení Routeru... 37

10 Obsah Konfigurace - Údržba Metody testování Traffic Simulation (simulace datového toku) Testované Linux routery IPCop Smoothwall ClearOS Testováné Windows routerů Windows Server 2003 (DHCP,DNS server) WOOWEB-PRO V Kerio Control Test rychlosti jednotlivých routerů Porovnání parametrů a výběr optimální varianty Párové srovnání možných variant na úrovni konkrétních parametrů Závěrečné hodnocení - pořádí SW routerů Implementace vybraného routeru a Testování Aktuální stav Nedostatky aktuálního řešení Klientská web aplikace VPN Administrace komunikace Instalace/konfigurace ClearOS Zhodnocení výsledků nového řešení Závěr Tabulky, obrázky Zdroje... 66

11 Úvod 1 Úvod Již v 60. letech 20. století se začaly objevovat první myšlenky o vzájemném propojení a komunikaci mezi jednotlivými počítači. Od počátku, kdy vznikaly pouze malé lokální sítě zahrnující pouze pár počítačů, se situace postupně vyvíjela až do dnešní podoby. Postupně se objevovaly lepší a propracovanější technologie, kterých však bylo více a nebylo možné je propojit mezi sebou. Aby bylo jejich propojení umožněno musel se vývoj zaměřit na standartizovaný síťový model, v dnešní době je využíván především model TCP/IP. Od malých lokálních sítí jsme se dostali do doby Internetu a tedy do doby, kdy většína počítačů je, ať už přímo či v rámci podsítí, připojena do Internetu a počítače tak mohou komunikovat napříč celým světem. Aktuálně je do Internetu připojena těměř každá firma, většina domácností a v poslední době i velké a stále narůstající množství mobilních telefonů. V počátcích sítí, se jistě počítalo s nárůstem uživatelů, ale pravděpodobně ne až tak velikým. Z tohoto důvodu se začaly objevovat také nedostatky použitých síťových technologií, konkrétně TCP/IP. Pro připojení do internetu a komunikaci s jinými počítači totiž potřebuje každý počítač nebo síť svůj jednoznačný identifikátor, který se v sítích TCP/IP nazývá IP (Internet Protocol) adresa. Aktuálně nejpoužívanější je model IPv4, který ale už pomalu na množství uživatelů nestačí, tzn. nenabízí dostatečné množství unikátních idetifikátorů IP adres pro všechny uživatele, a z tohoto důvodu je nutné hledat jiná řešení. Nejpravděpodobnějším řešením je model IPv6, který nabízí mnohonásobně větší rozsah možných adres a proto by podobný problém, jako u IPv4, již neměl nastat. Rozvoji IPv6 brání stálé prodlužování životnosti IPv4, kde se zatím daří zpomalovat spotřeba volných veřejných IP adres a potřeba IPv6 se nezdá být tolik akutní. Je to ovšem pouze dočasné a přechod na IPv6 lze předpokládat velmi brzo. Jedním z nejúčinějších způsobů šetření IP adres je tzv. sdílení jedné IP adresy pro celou síť počítačů nebo podsítí. V zásadě lze připojit několik velkých počítačových sítí pouze přes jednu veřejnou IP adresu. K tomu se využívá technologie NAT Network Address Translation, která překládá vnitřní (lokální) adresy na jedinou veřejnou a přes tu komunikuje s dalšími zařízeními v internetu. Tímto způsobem se mimo jiné bude zabývat i má bakalářská práce, kde se zaměřím právě na technologii propojení lokálních sítí do internetu a možné způsoby jakým toto propojení lze realizovat. 1

12 Cíl a Metodika 2 Cíl a Metodika Cílem mé bakalářské práce je ověřit možnost zvýšení spolehlivosti provozu sítě v naší společnosti nahrazením hardwarového řešení routerů za softwarový produkt realizující routování. Důvodem tohoto řešení je neuspokojivý aktuální stav. Síť je nyní připojena k internetu přes hardwarový router Airlive RS-1200, který svým vybavením plně vyhovuje naším požadavkům, ale jeho kapacita již není dostatečná vzhledem k rozšiřování sítě a nutnému zvýšení její spolehlivosti. Síť slouží pro naše zaměstnance pouze jako pomocná, umožňuje zaměstancům přístup na internet bez přísných restrikcní narozdíl od naší primární firemní sítě. Dále slouží toto připojení pro nájemce, kteří mají pronajaté kanceláře v prostorách naší společnosti a také pro klienty v zasedacích místnostech, kde je připojení šířeno bezdrátově pomocí Wifi. Jak jsem již zmínil, tato síť není pro naší společnost primární a na připravované řešení tedy nechceme vynakládat přílišné náklady. Finální řešení by tak mělo využívat již dostupný hardware a cena za případnou licenci musí být přijatelná, nejlépe nulová. Přijatelná znamená výrazně nižší než pořizovací cena jiných možných řešení. Takovým řešením je například router CISCO RV016 VPN od společnosti Cisco, který se cenově pohybuje kolem ,-.Kč. V teoretické části zpracuji informace o sítích a použitých technologiích. Dále provedu rešerši dostupných softwarových řešení. Pro následné detailní porovnání a testování vyberu šest konkrétní softwarových routerů. Výběr by neměl trvat příliš dlouho, proto si určím tři základní kritéria, která budu u každého routeru sledovat a na základě kterých následně omezím výběr pouze na šest možných variant. V praktické části zvolím z šesti vybraných routerů optimální řešení pomocí metody Párového srovnání. Následně provedu a zdokumentuji nasazení zvoleného produktu ve firemní síti. V závěru práce kvantifikuji přínos nového řešení oproti původnímu stavu. 2

13 Síťové modely OSI a TCP/IP 3 Síťové modely OSI a TCP/IP V úvodu své práce bych rád popsal síťové modely OSI a TCP/IP. V počátcích budování sítí byla zásadním problémem nekompatibilia jednotlivých lokálních sítí. Z tohoto důvodu byl v roce 1979 vytvořen, mezinárodní nevládní organizací ISO, referenční model pro propojení lokálních sítí nazývaný OSI. Dalším síťovým modelem, který z původního modelu OSI vychází je model TCP/IP, který byl původně vytvořen pro účely ministerstva obrany USA. Nejprve tedy podrobněji představím oba síťové modely a jejich jednotlivé vrstvy. Vzhledem k faktu, že světovým standardem je model TCP/IP, zaměřím se na model OSI pouze okrajově. Z pohledu mého tématu mne bude zajímat především Síťová vrstva, která má v obou modelech prakticky totožnou roli, a mimo jiné, je to vrstva která zajišťuje adresování a směrování (routing) dat od zdroje k cíli. Veškeré detaily této vrstvy si rozebereme v dalších kapitolách určených právě směrování a adresování. [1] Tabulka 1: Porovnání ISO/OSI a TCP/IP ISO/OSI Aplikační vrstva Prezentační vrstva Relační vrstva TCP/IP Transportní vrstva TCP UDP Transportní vrstva Síťová vrstva ICMP,IGMP,ARP,RARP, Síťová (IP) vrstva Linková vrstva Fyzická vrstva FTP,DNS,HTTP,DHCP,BOOTP,SMPT, SNMP Ovladač síťového adaptéru Síťový adaptér - Ethernet Aplikační vrstva Vrstva síťového / linkového rozhranní 3.1 OSI model (Open Systems Interconnection Basic Reference Model). Model OSI je především teoretický popis síťové komunikace a protokolů použitých pro komunikaci mezi počítači. Tento model je považován za základ pro síťové technologie, i přesto však nebyl nikdy plně realizován. Jak jsem již zmínil, jde především o teoretický model, cílem bylo standardizovat komunikaci tak, aby hardware i software různých výrobců mohl vzájemně komunikovat. [22] 3

14 Síťové modely OSI a TCP/IP 3.2 TCP/IP (Transmission Control Protocol/ Internet Protocol) V praxi je více využívaný model TCP/IP. Tento model vychází právě z OSI modelu, je ale přízpůsoben tak, aby byl více flexibilní. TCP/IP používá narozdíl od OSI pouze čtyřvrstvý model.[1],[7],[12],[22] 1) Aplikační vrstva, 2) Transportní vrstva, 3) Síťová vrstva, 4) Síťová rozhraní (Přístupová) Aplikační vrstva Jako nejvyšší je Aplikační vrstva, zde se odesílaná data zabalí a je jim přiřazena aplikační hlavička. Příkladem nejčastěji používaných protokolů jsou: HTTP určen pro výměnu hypertextových dokumentů ve formátu HTML. Telnet jeden z nejstarších aplikačních protokolů. Zabezpečuje standardní metodu spojení vzdálených terminálových procesů přes síť prostřednictvím obousměrného přenosu. FTP (File Transfer Protocol) umožňuje vzdálenou správu souborů na jiném pc pomocí síťového připojení. Soubory lze mazat, přejmenovávat, přesouvat atd. DNS (Domain Name Services) slouží pro přístup k síťovým zdrojům v prostředí TCP/IP. Využívá systém odkazů pomocí přiřazených logických jmen. Pro přístup k vybraným službám tak používáme logické (doménové) jméno namísto IP adresy. DHCP (Dynamic Host Configuration Protocol) zabezpečuje správu konfiguračních parametrů. Dynamicky přiřazuje (alokuje) dostupné IP adresy jednotlivým klientům. 1) Permanentní alokace IP adresa je klientovi přiřazena při první inicializaci a je nadále permanentně vyhrazena právě tomuto klientovi. 2) Dynamická alokace IP adresa je klientovi přidělena pouze na předem stanovenou dobu. 3) Statická alokace IP adresa je manuálně přidělene správcem DHCP serveru.[3] 4

15 Síťové modely OSI a TCP/IP BOOTP (Bootstrap) Přímý předchůdce protokolu DHCP a nástupce protokolu RARP. Oproti předešlému protokolu je BOOTP při správné konfiguraci schopen zasílat pakety i do jiných sítí a lze ho tedy používat i centrálně. Dalším rozdílem je také fakt, že protokol BOOTP přiřazuje kromě IP adresy i další informace jako masku, výchozí bránu a adresy DNS. SMPT (Simple Mail Transfer Protocol) umožňuje přenos elektronické pošty v TCP/IP, při přenostu zpráv se nezabývá jejich formátem či vlastní implementací elektronické pošty. SNMP (Simple Network Management Protocol) SNMP protokol je zjednodušeně protokol, který získává různé informace ze sítě a následně je například sumarizuje a zobrazuje do grafů. V praxi se může jednat například o vytížení procesoru nebo datový tok na portu přepínače. Tento protokol podporuje velká řada zařízení, například aktivní síťové prvky tiskárny, přístupové body nebo pomocí softwaru mohou podporu získat také servery a osobní počítače. Další používané protokoly: POP3, TFTP, IMAP, SSH,[1] Transportní vrstva TCP/UDP Transportní vrstva poskytuje mechanismus pro koncový přenos dat mezi dvěma stanicemi. Pro přenos souborů na této vrstvě je možné využít dva protokoly, TCP nebo UDP. TCP (Transmission Control Protocol) Poskytuje spolehlivý přenos dat. TCP příjímá informace od vyšší vrstvy jako souvislý tok bitů, který musí rozdělit do trasportních segmentů délky odpovídající velikosti datagramu IP, a ty předá síťové vrstvě.[13],[7] Transportní protokol TCP podporuje následující vlastnosti: - spolehlivá transportní služba doručí data neporušená, přesně tak, jak byla data odeslána. - efektivní využití přenosových kanálů vysílání s využitím vyrovnávacích pamětí. Odesílatel začne odesílat až ve chvíli, kdy se nashromáždí dostatek dat nebo po vypršení časového limitu. Tím zamezí zahlcení příjemce i sítě. 5

16 Síťové modely OSI a TCP/IP - plně duplexní (obousměrný) přenos potvrzení o správném příjmu TCP segmentu je součástí datového TCP segmentu vysílaného opačným směrem. - rozlišení mezi více potencionálními adresáty (procesy na daném počítači pomocí portů. - TCP používají například aplikační protokoly FTP nebo TELNET. UDP (User Datagram Protocol) Poskytuje nespolehlivou transportní službu pro ty aplikace, které nepožadují zabezpečení přenosu v takovém rozsahu, jako poskytuje TCP (ověření doručení v pořadí, zajištění opakovaného přenosu), nebo pro transakčně orientované aplikace, pro které může být navazování takového spojení příliš zdlouhavé. UDP používají například aplikační protokoly SNMP, DNS, BOOTP.[4] Síťová vrstva (Network) Síťová vrstva zajišťuje přenos jednotlivých paketů od odesílatele až ke svému skutečnému příjemci. Tato vrstva je realizovaná pomocí IP protokolu, proto jí lze nazývat také IP vrstva. IP protokol je využíván mimo jiné pro přenos dat mezi počítači v různých sítích LAN. Data jsou postupně směrována pomocí směrovačů (routerů) až k cílovému zařízení. IP protokol je tvořen několika dílčími protokoly, kromě již zmíněného IP protokolu dále také ICMP, IGMP, ARP, RARP, BOOTP.[5],[7] ICMP (Internet Control Message Protocol) Slouží pro přenos chybových a řídících zpráv mezi uzly a směrovači sítě TCP/IP. Tento protokol využívá například příkaz ping nebo traceroute. K hlavním funkcím protokolu ICMP patří: testování dostupnosti a stavu cílového uzlu sítě (Echo Request/Reply), řízení zahlcení a toku paketů (Source quench), aktualizace směrovacích tabulek uzlů od IP směšovačů (Redirect), odesílání masky podsítě (Address mask request/reply). IGMP (Internet Group Management Protocol) IGMP, neboli Vícesměrové vysílání, je protokol, který umožňuje pomocí jedné společné IP adresy rozesílat data do více hostelských stanic. Zprávy zasílané přes IGMP může přijímat každý uživatel, jehož zařízení je propojeno ze sítí odesílatele takovými směrovači, kterě právě tento protokol podporují. Hostitel, který odesílá data protokolu 6

17 Síťové modely OSI a TCP/IP IP na adresu IP skupiny, nemusí do této skupiny patřit. Adresy vícesměrového vysílání jsou rezervovány a přidělovány v rozsahu adres třídy D. ARP (Address Resolution Protocol) ARP protokol zabezpečuje přiřazení IP adres k MAC adresám síťových zařízení. Protokol v první řadě získá MAC adresu připojeného zařízení, dále pak udržuje tabulky přiřazených IP a MAC adres. RARP (Reverse Address Resolution Protocol) Tento protokol se využívá v případě, kdy koncové zařízení zná pouze svou MAC adresu, ale nezná IP adresu. IP adresu, která je zařízení přidělena, zná pouze RARP server. RARP je jedním z předchůdců DHCP. Zařízení, které se snaží zjistit svou IP adresu odešle vícesměrovou zprávu ve stejném formátu jako u předchozího protokolu ARP s tím rozdílem, že zpráva obsahuje jeho vlastní MAC adresu a IP adresu Vrstva síťového rozhraní (Network Interface Layer) Vrstva síťového rozhraní je nejnižší vrstvou, má nastarosti přímé ovládání technologie použité pro přenos dat. V případě jednodušších systémů se obvykle jedná o jednoduchý ovladač, například při připojení k místním sítím ethernetovým kabelem. Stejně tak se ale může jednat i o poměrně složitý podsystém, který využívá vlastní linkový přenosový protokol, např. HDLC. [1] 7

18 Možnosti řešení nedostatku IP adres 4 Možnosti řešení nedostatku IP adres Tato část mé práce má za úkol upřesnit základní pojmy z oblasti adresování a tvorby podsítí. Je zde vysvětleno co vlastně znamená pojem IP adresa, jaké jsou její vlastnosti a jaký je aktuální vývoj v této problematice. Z pohledu tématu celé práce má tato část zásadní úlohu, protože přímo souvisí s funkcí směrovače (routeru), který je nadřazeným prvkem podsítě a má nastarosti přidělování IP adres. 4.1 IP adresa IP adresu lze definovat jako identifikační číslo každého síťového rozhraní, které využívá protokol IP (Internet Protocol). Je to 32 bitové binární číslo, které se zapisuje v desítkovém formátu s tečkami ( ). Každé desítkové číslo reprezentuje jeden oktet 8 bitů. Adresa se přiřazuje vždy síťovému rozhraní, proto počítače a směrovače s několika rozhraními mají í několik IP adres. Počítač s přiřazenou IP adresou se nazývá hostitel IP. Množina hostitelů IP, kteří nejsou vzájemně odděleni směrovači, se nachází v jedné stejné skupině. Takováto skupina se může nazývat síť, podsíť nebo prefix.[7],[12] Třídní/beztřídní logika IP adresy lez popsat podle tzv. třídní logiky. V dokumentu RFC 791 jsou popsány hlavní třídy A,B,C. Příslušnost k jedné z tříd lze jednoduše určit podle hodnoty několika prvních bitů IP Tabulka 2: Třídy adres Třída Adres Velikost síťové a hostitelské části Interval hodnot prvního oktetu Výchozí maska každé sítě v dané třídě Počáteční bity IP adresy A 8/ B 16/ C 28/ D E adresy nebo podle hodnoty prvního oktetu, podrobněji je to znázorněno v tabulce č. 2. [9] 8

19 Možnosti řešení nedostatku IP adres CIDR (Classless Inter-Domain Routing) notace Tzv. Beztřídní logika znamená, že pravidla pro třídy A, B a C ignorujeme a v každé adrese nás zajímají pouze dvě části Prefix a Hostitel. Prefix určuje kolik počátečních bitů je síťových, zbylé bity náleží podsítím a jednotlivým hostitelům. Narozdíl od striktního třídního dělení lze takto prakticky libovolně rozdělit 32bit adresu na část odpovídající adrese sítě a část odpovídající podsítím či hostům. To znamená, že všichni hostitelé se stejným prefixem, patří vlastně do stejné podsítě. Příkladem takového zápisu je /24, kde prefix je a dělka prefixu 24 bitů Síť (Network) Obrázek 1: základní LAN - dvě podsítě Na obrázku číslo jedna můžeme vidět standardní LAN síť. Takto může vypadat například firemní síť. Tato konkrétní je připojena do Internetu přes jeden router, který rozděluje síť na dvě podsítě. Z routeru je připojení vedeno Ethernetovým kabelem do Switche (přepínače), který rozděluje přípojení již pro konkrétní síťová rozhraní jako 9

20 Možnosti řešení nedostatku IP adres jsou počítače, tiskárny, či wifi routery. Wifi router šíří síť dále bezdrátově, například pro notebooky s wifi anténou. Základními typy sítě jsou: Tabulka 3: Přehled typů sítí, [8],[12],[23] PAN Personal Area Network Nejmenší síť, propojuje obvykle mobilní telefony nebo počítače pomocí drátových technologií jako USB,Fireware LAN Local Area Network Lokální síť, například firemní, propojuje síťová zařízení pouze na omezeném prostoru. Nejčastěji se používá technologie Ethernet nebo Wifi. MAN Metropolitan Area Network Spojuje jednotlivé LAN sítě, je ale omezená pouze na menší území, např. město. Obvykle se pro propojení jednotlivých sítí využívá bezdrátové spojení nebo optická vlákna. WAN Wide Area Network Pokrývá rozsáhlé území napříč městy, zeměmi i kontinenty. WAN je vlastně mnoho síťí LAN propojených dohromady, aby byla umožněna komunikace mezi nimi. Nejznámější WAN sítí je Internet Pro lepší představu jsem vytvořil obrázek číslo 2, který názorně ale velmi zjednodušeně zobrazuje, co jednotlivé druhy sítí zahrnují a jak jsou vzájemně provázány. 10

21 Možnosti řešení nedostatku IP adres Obrázek 2.: Typy sítí Podsíť (Subnet) Podsíť slouží k logickému rozdělení síťě do menších hierarchických částí. Důvodů pro toto dělení je hned několik, v první řadě je ale fyzické oddělení jednotlivých sítí a tím nezbytná izolace a ochrana dat, která mají být dostupná pouze pro lokální uživatele. Klasickým příkladem je situace u nás ve firmě. Od ISP (Internet Service Provider) nám byla přidělena 1 veřejná IP adresa, tedy adresa, kterou pro připojení k internetu využívají všechny počítače ve firmě. Přístup do sítě ISP je nám umožněn pomocí optického kabelu vedeného přímo do administrativní budovy, kde sídlí naše společnost. Zde je pomocí UTP kabelu vedena k jednotlivým klientům, tedy i k nám, obvykle do technických mistností (server room). Zde je kabel zapojen do routeru, který už je v naší správě. Router, využívající protokolu DHCP, přiděluje jednotlivým síťovým rozhraním 11

22 Možnosti řešení nedostatku IP adres (počítačům atd.) lokální IP adresy a umožňuje jim připojení do sítě Internet. Mezi routerem a jednotlivými počítači je ještě nezbytný přepínač (switch), který přípojení rozdělí dle počtu připojených počítačů. Toto vysvětlení je určeno spíše pro představu, jak může komplexní síťová struktura vypadat, rád bych se teď konkrétněji zaměřil na zmíněné přidělování IP adres. Množství adres, které lze jednotlivým síťovým rozhraním přidělit je omezené a tak logicky ani počet připojených rozhraní není nekonečný. Toto omezení se týká jak poskyovatele (ISP), který má k dispozici pouze omezený rozsah IP adres které přiděluje zákazníkům, tak i přímo naší lokální sítě. Pro lepší představu v následující části uvedu, jakým způsobem se pracuje s rozsahem IP adres, jak lze určit množství dostupných adres a jaké problémy se aktuálně v této oblasti řeší.[9]. 12

23 Možnosti řešení nedostatku IP adres 4.2 Adresování (Subneting) Maska podsítě (Subnet mask) Maska nám pomáhá určit, jak je síť rozdělena na podsítě. Poznáme z ní, jaká část IP adresy je síťová a jaká hostitelská. Dále také můžeme určit, o jakou třídu adres půjde, zda A, B nebo C. Standartním příkladem masky je , podle masky je jasné, že se jedná o síť typu C, pokud bychom chtěli tuto masku zobrazit binárně, vypadala by takto: Na následujícím příkladu jasně vidíme že první tři oktety jsou síťové a hostům je tak k dispozici pouze poslední oktet, tedy 8 bitů. Pokud bych chtěl vypočítat kolik IP adres lze při použití takovéto masky přidělit klientům, stačí použít jednoduchý výpočet 2^n 2, kde n je počet nul v posledním oktetu, tedy v oktetu nebo jeho části, která je přidělena hostům. Dále musím od počtu hostů odečíst první a posední host adresu, které jsou rezervovány pro adresu sítě a adresu broadcastu. Výsledkem tedy je = 254 IP adres, které mohou být přiděleny hostům. Jsme tedy schopni již napsat příklad adres jaké přidělíme podsíti, broadcastu a hostům: Subnet : , Host: , Broadcast: , Maska: V tabulce 4 jsou uvedeny možné hodnoty nesíťového oktetu. Vlevo od nuly musí být vždy pouze nuly. To ale není vše co je nutné nebo možné vypočítat, zajímá nás také počet podsítí, které můžeme vytvořit. V konkrétním případě lze vytvořit pouze jednu podsíť, protože se jedná o síť typu C ve které je celý poslední oktet využit hosty. Tabulka 4: bin/dec binárně dekadicky Jíné by to bylo například pro následující masku resp

24 Možnosti řešení nedostatku IP adres Pro výpočet počtu podsítí použiji podobný vzorec, s tím rozdílem, že není nutné odečítat žádné host IP. Proměnná n bude v tomto případě počet jedniček v oktetu, který již náleží hostům a podsítím. Výsledný počet možných podsítí je tedy : 2 4 = 16 Počet IP adres v každé podsíti: = 14 Stejný postup se používá také v případě sítí typu A a B. Rozdílem je pouze posun do třetího resp. druhého oktetu, což znamená mnohonásobně více volných IP adres pro hosty. Pro určení toho, jestli patří dvě adresy do stejné podsítě, stačí jejich IP adresy převést do binárního tvaru. Pokud bude rozsah částí, kde se vyskytují jedničky stejný, znamená to že patří do jedné podsítě.[9]. 4.3 NAT (Network Address Translation) NAT umožňuje počítačům ve vnitřní sítí přístup na internet. Průběh tohoto překladu je následovný: Klientský počítač, který má pouze vnitřní IP adresu a jako bránu používá router s funkcí NAT, vyšle požadavek na zmíněnou bránu. Router jeho vysílání (pakety) zachytí, změní jejich vnitřní IP adresu na svou vnější a odešle dále do Internetu.[24],[25] K odeslání používá port TCP dle typu odesílaného paketu. Do své tabulky si router zapíše vnitřní adresu klienta a port který zvolil k odeslání. Pří přijetí odpovědi si pak tyto informace router zpětně vyhledá a pakety pošle zpět na klienta, kterému náleží. Další funkcí NAT je také pasivní ochrana před útokem z vnější sítě. Jelikož je klientský počítač vlastně "schovaný" za NAT (routerem), nezná útočník přímou adresu klientského pc a nemůže se k němu tak lehce dostat. V žádném případě ale nelze NAT považovat za dostatečnou ochranu a využívat ho jako jediný firewall. Jelikož NAT není primárně určen a vytvořen jako firewall, je třeba k němu využívat i specializovaný ochranný software. 14

25 Možnosti řešení nedostatku IP adres Jak jsem zmínil v předchozím odstavci, funkce NATu není primárně chránit ale překládat adresy, v následujícím odstavci je vysvětleno, proč je vlastně tato funkce tak potřebná. Hlavní důvodem zavedením a využíváním NATu, je nedostatek veřejných IP adres. Stejně jako je omezený počet možných IP adres v různých podsítích, tak to funguje ve větším měřítku i na globální úrovni. Internet je vlastně WAN síť tvořená obrovským množstvím LAN či MAN sítí. Tyto jednotlivé sítě pochopitelně mají své vnitřní rozsahy IP adres, kde jejich nedostatek obvykle nehrozí. Každá z těchto sítí, je však také většinou připojena do Internetu. Díky funkci NAT, lze například síť o 30ti počítačích připojit přes jednu veřejnou IP do Internetu, a tím tedy ušetřit 29 veřejných IP adres. Bohužel, ač se tato opatření využívají prakticky všude, veřejných IP adres je stále méně. Následující část popisuje, jak přidělování IP adres funguje ve světovém měřítku, kdo má přidělování na starosti a jaký je aktuální stav. Centrálním správcem světového adresního prostoru je společnosti IANA ( IANA má na starosti rozdělování velkých adresních bloků, reprezentovaných tzv. 8bitovým prefixem. To znamená, že může přidělit například takovouto IP adresu /8. Adresy s tímto prefixem jsou přidělovány regionálním registrátorům (správcům), kteří dále přidělují menší bloky lokálním poskytovatelům Internetu a ti již přímo koncovým zákazníkům. Regionálních registrátorů je aktuálně 5, evropu má na starosti společnost RIPE NCC ( Rok 2007 "Adresní prostor IPv4 je konečný a zhruba dvě třetiny z něj jsou již přiděleny. Dalších téměř 15 procent je určeno pro speciální účely (jako jsou například skupinové adresy), takže pro adresování dalších institucí připojujících se k Internetu zbývá pětina. Jak dlouho vydrží? Podle aktuálních odhadů asi pět let." [10] Takto situaci popisoval Pavel Satrapa (Vedoucí katedry infomačních technologií na Technické univerzitě v Liberci) ve svém článku na serveru v roce