Síťová infrastruktura rozsáhlé organizace

Transkript

1 MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY Síťová infrastruktura rozsáhlé organizace DIPLOMOVÁ PRÁCE Bc. Petr Dadák Brno, podzim 2007

2 Prohlášení Prohlašuji, že tato diplomová práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Vedoucí práce: RNDr. Miroslav Křipač, Ph.D. 11

3 Poděkování Na tomto místě bych rád velice poděkoval vedoucímu této práce RNDr. Miroslavu Křipačovi, Ph.D. za podnětné rady a připomínky. Dále bych chtěl poděkovat kolegům z UIKT MZLU v Brně za podporu. m

4 Shrnutí Tato práce se zabývá problematikou počítačových sítí v rozsáhlých organizacích. Cílem práce je přinést přehled možností síťové infrastruktury užívaných v počítačových sítích velkých organizací a následně demonstrovat nasazení konkrétních řešení v počítačové síti Mendelovy zemědělské a lesnické univerzity v Brně. Kapitoly první části práce uvádí do problematiky kampusových sítí a používaných nástrojů. Následují kapitoly věnované bezdrátovým sítím, kvalitě služeb, připojení k ISP, realizaci VPN, správě adresního prostoru a řízení přístupu uživatelů k prostředkům sítě. V kapitolách druhé části jsou zmíněna konkrétní řešení. Uvedeno je využití informačního systému organizace při správě sítě, představena kampusová síťmzlu v Brně a jsou objasněny možnosti přístupu uživatelů k síti a propojení sítí v různých lokalitách. IV

5 Klíčová slova Kampusová síť, design počítačové sítě, dostupnost sítě, správa sítě v

6 Obsah 1 Úvod a cíl práce Počítačové sítě v organizacích Cíl práce 4 1 PŘEHLED 5 2 Kampusové sítě Prístupová vrstva Distribuční vrstva Jádro sítě Redundance v síti 10 3 Nástroje pro rozsáhlé sítě VLÁN Spanning Tree Protocol Agregace spojů Bezpečnost na druhé vrstvě Omezení MAC adres na portu Kontrola a sledování DHCP paketů ARP inspekce Kontrola zdrojové IP adresy Směrovací protokoly, OSPF Open Shortest Path First Failover IP adresy 19 4 Bezdrátové sítě Šíření radiového signálu a jeho kvalita Zabezpečení WiFi Správa bezdrátové sítě 25 5 QoS neboli kvalita služeb Mechanismy QoS IntServ DiffServ Kvalita služby na druhé vrstvě 32 1

7 6 Připojení k ISP Dostupnost Bezpečnost 34 7 VPN JPsec TLS/SSL PPTP L2TP 44 8 IP adresy zařízení a DNS Evidence IP adres a jmen DHCP DNS 48 9 Řízení přístupu uživatelů k prostředkům sítě RADIUS X 52 II SÍŤ MZLU V BRNĚ Představení sítě Technologický subsystém UIS Systém Jednotné Autentizace Systém správy sítě Doplňkové aplikace Kampusová síť Černá Pole Páteřní síť Přístupová vrstva Přístup uživatelů k síti z vlastních zařízení AAA servery VPM Bezdrátová síť VPNpřístup Propojení sítí v různých lokalitách Závěr 76 Přílohy 81 A Konfigurace OSPF na Core-E 82 B Seznam VLÁN univerzitní sítě 83 2

8 Kapitola 1 Úvod a cíl práce 1.1 Počítačové sítě v organizacích Každá větší organizace dnes disponuje počítačovými systémy, které napomáhají jejímu chodu, a často je nemožné si její fungování bez těchto systémů představit. K tomu, aby tyto systémy mohly být využívány, je nutné k nim umožnit jejich uživatelům přístup. Proto jsou tyto systémy vždy propojeny počítačovou sítí, která je spojuje s jejich uživateli, ať již přímo v kanceláři, na cestách nebo v pohodlí domova. Taková síť musí svým uživatelům nejen poskytovat možnost sdílení výpočetních prostředků, přístup k informačním zdrojům nejrůznějšího charakteru a využívání různých nástrojů pro spolupráci, ale také jim zajistit i neustálou dostupnost těchto prostředků a to i ze vzdáleného pracoviště. Uživatelé sítě jsou na ní různým způsobem závislí a očekávají její funkčnost se stejnou spolehlivostí jako je fungující elektřina nebo tekoucí voda. Nezáleží přitom na tom, máme-li pod pojmem uživatel na mysli přímo zaměstnance dané organizace nebo její zákazníky. Pro počítačovou síť to jsou její uživatelé a cíl této sítě je v poskytování jejích služeb v co možná nejlepší kvalitě, a tím i napomáhání chodu celé organizace pro niž je určena. Samotná síťová zařízení, jako jsou přepínače, směrovače, firewally nebo servery, tvoří bez správné konfigurace a patřičného software jen hromadu železa. Život počítačové síti vdechuje až propojení, nastavení a vyladění všech potřebných složek takovým způsobem, aby ve výsledku tvořily sehraný a fungující celek, jenž pracuje ke spokojenosti uživatelů i správců. Síťovou infrastrukturou je v této práci míněn právě takový fungující celek, který poskytuje služby od samotného připojení přes autentizaci a autorizaci, poskytnutí základní konfigurace koncovému zařízení (informace o síti, IP adresu, adresy 3

9 1. ÚVOD A CÍL PRÁCE DNS serverů apod.) a jmenných služeb až po kvalitní konektivitu k užívaným zdrojům. 1.2 Cíl práce Cílem této práce je přinést přehled možností síťové infrastruktury a navazujících služeb v prostředí velkých organizací, které mají typicky několik set či tisíc zaměstnanců nebo jiných uživatelů počítačové sítě. Takovéto počítačové sítě poskytují svým uživatelům různé druhy přístupu a služeb. V jednotlivých kapitolách první části je cílem přinést náhled na danou problematiku, zmínit některé problémy a ukázat na vybrané vlastnosti jednotlivých prvků infrastruktury, kterým je dobré věnovat pozornost, neboť se mohou výraznou měrou podílet na kvalitě a funkčnosti výsledného řešení síťové infrastruktury. Ve druhé části pak je cílem ukázat nasazení různých prvků a technik v síťové infrastruktuře Mendelovy zemědělské a lesnické univerzity v Brně, kde se autor této práce několik let zabývá správou a rozvojem univerzitní počítačové sítě. Předvedené řešení splňuje potřeby této organizace v rámci možností a prostředků, jež má tato univerzita k dispozici. Vzhledem k faktu, že mezi všeobecně používanými protokoly síťové vrstvy má zcela dominantní postavení protokol IP, bude se práce věnovat právě sítím užívajícím rodinu protokolů TCP/IP. Podobné postavení jako má IP na síťové vrstvě, má v oblasti kampusových sítí rodina standardů Ethernet a na ní postavené technologie, proto se bude část práce zabývat především těmito technologiemi. 4

10 ČÁSTI PŘEHLED

11 Kapitola 2 Kampusové sítě Klasické rozdělení sítí na LAN, MAN a WAN nebude třeba představovat. Kampusová síť 1 velikostně zapadá na pomezí mezi LAN a MAN. Kampusová síť je složená z více LAN, je spravována jednou organizací, a přitom nedosahuje takových rozměrů jako MAN. Může se jednat o síť univerzitního kampusu, nemocnice, kancelářského centra nebo centrály velké společnosti. Techniky užívané při budování a správě kampusové sítě lze převzít a využít i pro MAN nebo naopak menší síťpobočky organizace, kde se řeší podobné problémy v menším měřítku. Cílem při budování kampusové sítě je dosažení její maximální spolehlivosti. K tomu je třeba využití prostředků pro zajištění dostupnosti a zabezpečení jednotlivých částí sítě. Vedle spolehlivosti je nutnou vlastností dobrého návrhu rozšiřitelnost sítě o další součásti, neboť požadavky na počet připojených zařízení a přenosovou kapacitu sítě v čase rostou. Další důležitou vlastností sítě je náročnost její správy, která se odvíjí nejen od velikosti sítě a provozovaných aplikací, ale i od kvality návrhu celé sítě a způsobů její správy, resp. úrovně nástrojů pro správu používaných. Posledním, ale poměrně důležitým, zde uváděným prvkem jsou finanční omezení při budování a provozu sítě. S výhodou se kampusová síť člení na menší části - distribuční bloky (viz obr. 2.1), které zpravidla představují síť v rámci budovy nebo několika pater či oddělení. Za zvláštní bloky považujeme připojení serverových řešení a část sítě sloužící k propojení s vnějším světem, zpravidla síťlnternet. Jednotlivé bloky jsou lépe pojmutelné pro lidskou mysl, snadněji je lze rozšiřovat nebo změnit jejich design bez ovlivnění jiných částí sítě. Rozdělení na distribuční bloky pomáhá 1. Campus Network nebo někdy Campus Area Network. Přesnější představu lze získat z [7] a [6]. 6

12 2. K A M P U S O V É SÍTĚ Obrázek 2.1: Distribuční bloky kampusové sítě a její vrstvy

13 2. KAMPUSOVÉ SÍTĚ omezit šíření některých druhů provozu a typů problémů pouze na blok, kde se nalézá jejich zdroj, což usnadňuje izolaci problémů v síti a jejich řešení. Snahou při návrhu nebo rozšiřování kampusové sítě by měla být minimalizace aktivních prvků mezi koncovými zařízeními, která spolu nejčastěji komunikují. Představme si kampusovou síť jako strom, v němž koncová zařízení a aktivní prvky tvoří uzly a kořen tohoto stromu je umístěn v jádru sítě, tedy v nejvytíženějším místě sítě. Vzájemně redundantní zařízení slučme a zanedbejme v tuto chvíli redundantní spoje, aby se skutečně jednalo o strom. Naší snahou je, aby tento strom měl minimální hloubku. Čím menší počet zařízení, kterými musí provoz mezi komunikujícími stranami projít, tím menší zpoždění provozu a nižší pravděpodobnost chyby nebo výpadku některého ze zařízení na cestě. Toto doporučení platí zejména v přístupové vrstvě. V následujícím textu budou představeny jednotlivé vrstvy kampusové sítě. 2.1 Přístupová vrstva Přístupová vrstva 2 je místem, které připojuje všechna koncová zařízení k síti a tvoří hranici mezi sítí a cizími" zařízeními. V této vrstvě dochází k agregaci provozu od koncových zařízení, řízení přístupu k síti, značkování provozu pro QoS a případně filtrování některých druhů provozu. V této vrstvě nás vedle funkcí použitých zařízení zajímají parametry tykající se hustoty portů a ceny za jeden port. Aby bylo možné dobře řídit tuto vrstvu a využívat i pokročilejších nastavení použitých prvků je důležité, aby bylo počítáno s tím, že do přepínačů v přístupové vrstvě jsou koncová zařízení připojována přímo a vždy právě jedno zařízení do jednoho portu 3. Všechny přepínače v této vrstvě by měly být přímo připojeny k prvkům distribuční vrstvy, ne do jiných přepínačů v přístupové vrstvě. Cílem je, aby přístupová vrstva byla co nejvíce plochá 4 a nedocházelo ke zbytečnému zanořování aktivních prvků, jak ukazuje obrázek 2.2. Provoz 2. Access Layer, Network Edge 3. Bez malých rozbočovaču nebo přepínačů v kancelářích. 4. Viz obr

14 2. KAMPUSOVÉ SÍTĚ Obrázek 2.2: Nežádoucí zanoření přepínačů v přístupové vrstvě z koncových zařízení by pak musel procházet přes více než jeden přepínač přístupové vrstvy, který by se mohl při vyšší zátěži snadno stát úzkým místem. 2.2 Distribuční vrstva Distribuční vrstva agreguje spoje z přístupové vrstvy a připojuje dis tribuční blok k jádru sítě. Zamezuje tomu, aby v jádru sítě bylo příliš vysoké množství spojů. Tato vrstva je tvořena L3 přepínači 5, zastřešuje distribuční blok a odděluje jej směrováním od jádra sítě. Vedle směrování provádí sumarizaci IP rozsahů, dodržování QoS a filtrování provozu, jsou-li pro to bezpečnostní nebo výkonnostní důvody. V distribuční vrstvě se též užívají techniky pro rozkládání zátěže mezi její prvky a pro zajištění vysoké dostupnosti. 5. V podstatě jde o směrovače, protože pracují na úrovni IR Díky optimaliza cím a provádění maxima operací přímo ve specializovaných obvodech dosahují obdobných výkonů jako přepínače. 9

15 2. KAMPUSOVÉ SÍTĚ 2.3 Jádro sítě Primárním úkolem jádra sítě je transport maximálního množství paketů nejvyšší možnou rychlostí mezi distribučními bloky. Proto se v jádru sítě se užívají prvky s nejvyšším výkonem a také musí být schopny zajistit vysokou dostupnost jádra sítě. V případě sítě bez jádra musí veškeré spojení probíhat mezi distribučními prvky, které jsou spojeny každý s každým nebo některé z nich představují jakési dílčí jádro a připojují i jiné distribuční bloky a tím mohou být neúměrně zatěžovány. Přidání dalšího distribučního bloku je v takovém případě mnohem složitější než prosté připojení k jádru sítě. 2.4 Redundance v síti K zajištění dostupnosti sítě užíváme redundance aktivních prvků a spojů v důležitých částech sítě. Obvykle se jedná hlavně o jádro sítě a prvky distribuční vrstvy, kde by výpadek jednoho zařízení bez existence záložní trasy mohl způsobit odříznutí velkého množství koncových zařízení nebo rozpad celé sítě. Cílem je, aby výpadek jednoho zařízení měl minimální dopad na dostupnost sítě. Zatím co zdvojení klíčových komponent znatelně zvýší odolnost sítě, užití více než dvou komponent už nezpůsobí tak výrazný nárůst odolnosti, ale vedle zvýšených finančních nákladů přinese problémy z důvodů přílišné složitosti síťové topologie. V přístupové vrstvě ke zdvojení prvků nedochází, protože tuto možnost nepodporuje naprostá většina koncových zařízení a dojde-li k odpojení několika počítačů kvůli výpadku přepínače, je to obvykle dočasně přijatelné. Existují samozřejmě zařízení pro provoz klíčových služeb, jež musí být dostupná stále. V takových případech je vysoká dostupnost řešena například zdvojením celých zařízení a jejich připojením do nezávislých prvků přístupové vrstvy. Jiným řešením je užití modulárních přepínačů v přístupové vrstvě, které umožňují zapojení redundantních řídících jednotek a tím nabízejí vysokou dostupnost i pro připojení koncových zařízení. 10

16 Kapitola 3 Nástroje pro rozsáhlé sítě V této kapitole zmíníme několik důležitých stavebních kamenů, které se hojně využívají v kampusových sítích. Tyto prvky se v různé míře nachází v sítích menších či větších. Patří mezi ně Virtuální LAN, Spanning Tree Protocol, Směrovací protokoly nebo funkce pro zabezpečení LAN proti útokům na druhé vrstvě. 3.1 VLÁN Virtual LAN neboli 1 můžeme chápat jako logicky oddělenou síťkoncových zařízení, která tvoří společnou broadcast doménu. Zařízení spolu mohou komunikovat pomocí protokolů druhé vrstvy a výměna provozu mezi dvěma různými VLÁN je možná pouze skrze zařízení pracující na třetí vrstvě, tzn. směrovače. Užitím VLÁN lze na jedné fyzické topologii realizovat několik oddělených logických neboli virtuálních LAN a na druhé vrstvě izolovat různé typy provozu a zařízení 2. Standard 802.1Q také definuje, jakým způsobem lze předávat rámce pocházející z různých VLÁN, aby bylo možné rozpoznat, do jaké VLÁN rámec patří. Rámce se opatří značkou - Tag odpovídající číslu VLÁN odkud rámec pochází. Toto značkování je nezbytné na spojích v síti, které přenáší provoz více VLÁN a někdy jsou označovány slovem trunk. Koncová zařízení můžeme do VLÁN zařadit podle různých kritérií například umístění zařízení, příslušnost zařízení k součásti organizace, uživatel pracující se zařízením. Podle toho, kde všude v kampusové síti se VLÁN nachází, ji lze označit za lokální nebo End-To- 1. Přesný popis lze nalézt přímo ve standardu IEEE 802.IQ [10]. 2. Můžeme mít VLÁN pro ekonomický úsek, správu zařízení, volný přístup k internetu pro návštěvníky apod. 11

17 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ End. V prvním případě je lokální VLÁN pouze uvnitř jednoho distribučního bloku, zařízení v ní jsou vázána na konkrétní lokalitu a není nutné transportovat jakýkoli broadcast provoz mimo distribuční blok. Případné zahlcení lokální VLÁN postihne pouze prvky distribučního bloku. Oproti lokálním VLÁN mohou být End-To-End VLÁN roztažené po celé kampusové síti nebo přinejmenším přes více distribučních bloků. Zařízení v End-To-End VLÁN jsou zařazena podle jejich funkce nebo funkce jejich uživatelů. Děje se tak z bezpečnostních důvodů, kdy pomocí End-To-End VLÁN oddělujeme různě citlivý provoz nebo vyžadujeme stejnou IP síť dostupnou ve více částech kampusové sítě 3. Při dobrém designu sítě by nemělo dojít k situaci, kdy je na jedné VLÁN existuje více než jedna IP síť, neboťto způsobuje nepřehlednost rozvržení sítě. Při počátečním rozvržení VLÁN je vhodné se zamyslet i nad systémem jejich číslování, aby nebylo zcela náhodné, ale mělo nějaký řád. Může se jednat o odvození čísla VLÁN z IP adresy sítě, která je na ni použitá 4, nebo vymezení určitých rozsahů pro konkrétní účely Spanning Tree Protocol Ethernetová síť pro svou správnou funkci vyžaduje topologii bez smyček, tedy topologie musí být stromem. Pokud jsou v topologii smyčky, dochází k nežádoucím jevům, které mohou způsobit nefunkčnost sítě. Snadno dojde poškození MAC address table 6 v přepínačích, kdy se přepínače cyklicky učí MAC adresu jednoho koncového zařízení na více portech a dojde k neustálému přeposílání - cyklení unicast rámců. Ještě snadněji dojde k cyklení rámců posílaných jako broadcast. Smyčka v síti, resp. ve VLÁN, může vzniknout omylem, při chybném propojení zařízení v síti, nebo existuje záměrně z důvodů redundance a předpokládá se, že síť sama tuto situaci zvládne. 3. Například u WiFi díky použití End-To-End VLÁN vystačíme s roamingem zařízení na druhé vrstvě a nemusíme používat roaming na úrovni IP 4. VLÁN 160 odpovídá síti , VLÁN 161 síti VLÁN jsou určeny pro WiFi 6. Tabulka MAC adres a portů, nazývána též switch forwarding table se používá jako základní struktura určující, kam přepínač přeposílá rámce. 12

18 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ Spanning Tree Protocol 7 (STP) je protokolem pracujícím na druhé vrstvě pro odstranění smyček v síti, a tím zajištění topologie bez smyček. Protokol zablokuje některé porty přepínačů, aby vzniklá topologie - aktivní topologie - byla kostrou 8 (stromem) původní topologie (fyzické). Jak již bylo naznačeno v předchozím odstavci, lze tento protokol využít i v případě, kdy chceme zajistit dostupnost sítě pomocí redundantních spojů a zařízení v síti a použitím prostředků druhé vrstvy. Fungování Spanning Tree Protocol je založeno na tzv. BPDU neboli Bridge Protocol Data Unit rámcích. Přepínače si vyměňují BPDU rámce, aby získaly představu o fyzické topologii sítě, následně zablokovaly některé porty a vytvořily aktivní topologii. Přepínače nejdříve blokují všechny porty a přeposílají pouze BPDU rámce. Následně zvolí kořenový přepínač 9 a poté sestaví aktivní topologii tak, aby všechny přepínače měly kořenový přepínač dostupný nejlepší cestou. V případě změny fyzické topologie, tj. přidání nebo odebrání spoje nebo prvku, jsou informovány všechny přepínače, aby nechaly rapidně zestárnout položky ve své MAC address table a mohly se přizpůsobit případné nové aktivní topologii. Původní Spanning Tree Protocol reaguje na změny v topologii velice pomalu a to i při připojení koncového zařízení, které neposílá žádná BPDU a jeho port je po určitou dobu blokován, což způsobuje problémy, pokud zařízení chce komunikovat 10 dříve, než je jeho port aktivní. V případě použití Spanning Tree Protocol v prostředí s více VLÁN existuje pouze jedna logická topologie, kterou musí využívat všechny VLÁN. Pokud Spanning Tree Protocol užíváme pro zajištění redundance v síti, může dojít k tomu, že některý provoz neposíláme optimální cestou, protože nejlepší cesta není celá součástí aktivní topologie 11. Tyto právě uvedené nedostatky se snaží řešit novější protokoly Rapid Spanning Tree Protocol a Multiple Spanning Tree Protocol. 7. Standard IEEE popsaný v IEEE 802.1D [11]. 8. Spanning Tree protokol pracuje s ohodnocením hran jejich propustností a vytvářená kostra je minimální. 9. Root bridge 10. Například selže získání adresy z DHCP serveru. 11. Toto omezení plně odstraní až užití směrování a směrovacích protokolů na úrovni IP 13

19 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ Rapid Spanning Tree Protocol 12 (RSTP) je rapidně rychlejším protokolem pro řešení stejného problému jako STP a umí spolupracovat se zařízeními používajícími STP. Vedle mnohem rychlejší reakce na změny v topologii zavádí Edge porty. Tyto porty jsou určeny koncovým zařízením a okamžitě po připojení je lze využívat k posílání normálního provozu, protože nejsou zablokované jako v případě STP. Je-li na Edge portu přijat BPDU rámec, znamená to, že je zde připojen přepínač, port ztrácí status Edge portu a účastní se sestavování aktivní topologie. Multiple Spanning Tree Protocol 13 (MSTP) je rozšířením RSTP pro prostředí s více VLÁN. Použitím tohoto rozšíření lze nad jednou fyzickou topologií provozovat několik instancí RSTP a tím užívat více aktivních topologií. Kořenové přepínače jednotlivých instancí nemusí být totožné, každá VLÁN je mapována do jedné instance, a tím užívá aktivní topologii, která nejvíce odpovídá jejím potřebám. Užitím MSTP můžeme dosáhnout rozkládání zátěže na vzájemně redundantních cestách v síti tím, že vhodnou konfigurací některých instancí MSTP dosáhneme užití linek, které by v případě samotného STP nebo RSTP nebyly součástí aktivní topologie. Protokoly STP, RSTP, MSTP mohou být též terčem útoku. Proto je vhodné, aby přepínače byly vybaveny ochrannými funkcemi, které mohou sloužit i jako ochrana proti vytvoření nevhodné topologie v důsledku špatné konfigurace nebo chybného propojení zařízení. Může se jednat o funkci konfigurovanou na portech, o nichž víme, že za nimi nikdy nemá být kořenový přepínač a v případě, že dojde k detekci kořenového přepínače za tímto portem, je port zablokován. Další funkcí je filtrování BPDU na portech zapojených do koncových zařízení. Poslední zmiňovanou funkcí je detekce přicházejících BPDU na port určený pro koncové zařízení. V případě, že na takový port přijde BPDU, znamená to, že je něco v nepořádku 14 a port je zablokován. 12. Uveden jako IEEE 802.lw a nyní je zařazen přímo do 802.ID [11]. 13. Uveden jako IEEE 802.Is a nyní je již součástí 802.IQ [10] 14. Je připojen přepínač nebo se koncové zařízení snaží posílat BPDU rámce. V obou případech jde o nechtěný stav. 14

20 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ 3.3 Agregace spojů Mezi dvěma zařízeními v síti může být více než jeden fyzický spoj, ať je to z důvodů redundance těchto spojů, nebo vyžadujeme mezi těmito zařízeními větší propustnost, než jakou může poskytnout pouze jedno propojení. Aby bylo možné využívat všechny spoje současně, sdružíme je do jednoho logického spoje, protože pokud by vystupovaly v topologii sítě odděleně, došlo by k jejich zablokování některým z typů STP. Pro sdružení spojů lze užít IEEE standard Link Aggregation Control Protocol 15 nebo proprietárních řešení výrobců síťových zařízení, která vznikla ještě před tímto standardem 16. Výběr fyzického spoje, kterým je rámec určený pro transport logickým spojem odeslán, je vždy prováděn podle nějakého algoritmu. Na tomto algoritmu závisí, jak rovnoměrně bude zátěž rozložena mezi jednotlivé fyzické spoje. 3.4 Bezpečnost na druhé vrstvě Odolnost sítě proti různým typům útoků zvyšuje její spolehlivost, proto v následujícím textu zmíníme několik bezpečnostních funkcí zaměřujících se na koncová zařízení, která se na síti chovají nekorektně. Takové chování může být způsobeno napadením koncového zařízení útočníkem nebo připojením útočníkova zařízení do nechráněné zásuvky. Tyto funkce dosahují nejvyššího efektu, pokud je možné je nasadit již na zařízeních v přístupové vrstvě. Taktéž mohou výborně pomáhat při dodržování pořádku, kdy zabraňují neoprávněnému přepojování zařízení nebo nastavení parametrů pro IP, neboť zařízení po takovém zásahu nebudou smět na síti komunikovat Omezení MAC adres na portu Omezování MAC adres na portech přepínače je dostupné na řadě přepínačů renomovaných výrobců, které jsou určeny do přístupové vrstvy. Jde o funkce omezující počet MAC adres na konkrétním portu 15. Původně IEEE 802.3ad nyní přímo v Více např. na [14]. Příkladem proprietárních řešení jsou EtherChannel (Cisco) nebo Multi-Link Trunking (Nortel) 15

21 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ nebo umožňující pevné nastavení MAC adres pro konkrétní port nebo porty. Bez omezení počtu MAC adres na port může útočník provést například MAC flooding, kdy dojde k zahlcení MAC address table a přepínač se začne chovat spíš jako HUB, což vede ke zbytečnému zahlcování okolních zařízení a snížení propustnosti sítě. Omezení portu na konkrétní MAC adresy zamezí připojení zařízení s jinou MAC k takovému portu Kontrola a sledování DHCP paketů Přepínače mohou mít nastaveno z jakého portu mají přicházet pakety, které jako odpovědi posílá DHCP server, a pouze z takového portu je přeposílat. Tím lze zabránit podvržení falešného DHCP serveru, jenž by poskytnutím vhodných údajů mohl donutit klienty k nasměrování jejich provozu na sebe nebo jim například nastavit jiné adresy DNS serverů. Nastavením limitu na počet DHCP dotazů pocházejících z určité portu, lze zabránit pokusu o zahlcení DHCP serveru. Přepínače též mohou sledovat DHCP pakety skrze ně procházející a získat informace o IP adresách zařízení, která jsou do přepínače připojena. Díky tomu přepínač udržuje tabulku vazeb IP adresa, MAC adresa a port, kterou využívá při provádění ARP inspekce nebo kontrole zdrojové IP adresy ARP inspekce Přepínač provádí kontrolu obsahu ARP paketů přicházejících z nedůvěryhodných portů podle informací z tabulky vazeb IP, MAC, port, v níž jsou staticky zadané položky nebo položky získané sledováním DHCP paketů. V případě, že narazí na ARP paket, jehož obsah je vzhledem k obsahu uvedené tabulky nekorektní, jej zahodí. Tato funkce brání provedení ARP spoofing/poisoning, kdy se útočník snaží podvržením upravených ARP odpovědí provést Man-in-the-middle útok Kontrola zdrojové IP adresy Tato funkce přepínačů zabraňuje IP spoofing, tedy tomu, aby koncové zařízení odesílalo IP pakety s jinou zdrojovou IP adresou, než jakou 16

22 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ má přidělenu. Podobně jako v případě ARP inspekce se k tomuto účelu použije tabulka vazeb IP, MAC, port. IP spoofing provádí obvykle viry nebo jiné škodlivé programy snažící se o některý typ DOS útoku. Zařízení, z nějž je útok veden, generuje obrovské množství paketů, ale dojde-li k zablokování tohoto provozu již na úrovni přístupové vrstvy, má útok menší dopad, než kdyby mu zabránil směrovač v distribuční vrstvě např. pomocí Reverse Path Forwarding 17. Kontrola zdrojové IP adresy přepínačem zabrání i neoprávněné změně IP adresy koncového zařízení. 3.5 Směrovací protokoly, OSPF V rozsáhlých sítích již nevystačíme se statickým směrováním, protože silně omezuje dostupnost a škálovatelnost sítě. Například přidání nové nebo přemístění stávající sítě by vyžadovalo ruční úpravu směrovacích tabulek na většině směrovačů. Potřeba ruční úpravy směrovacích tabulek by byla způsobena i jakoukoliv změnou topologie sítě, aťuž by se jednalo o výpadek zařízení nebo spoje, nebo jejich zprovoznění. Proto dochází k nasazení směrovacích protokolů, jež se samy starají o úpravy směrovacích tabulek do optimálního stavu, pokud zařízení, která je používají, jsou správně nakonfigurována. Směrovací protokoly můžeme rozlišit na interní - Interior gateway protocol a externí - Exterior gateway protocol. Interní směrovací protokoly jsou určené pro výměnu směrovacích informací uvnitř jednoho autonomního systému 18 a oproti externím 19 jsou navržené tak, aby dosahovaly rychlé konvergence, ale nezvládnou obrovské množství směrovacích informací. Konvergencí protokolu myslíme proces, kdy směrovače reagují na nastalou změnu v topologii sítě a po jeho skočení odpovídají směrovací tabulky novému stavu. Pro snížení velikosti směrovacích tabulek a množství směrovacích zpráv lze na vhodných 20 místech sítě provádět sumarizaci adres. 17. Směrovač zahodí příchozí provoz na rozhraní, který by měl podle směrovací tabulky přicházet jiným rozhraním. Detailně v [39]. 18. Síť spravovaná jednou organizací 19. Slouží k výměně informací mezi autonomními systémy. Nejpoužívanějším je BGP 20. Toto se odvíjí od použitého protokolu a designu sítě. 17

23 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ To znamená, že více adresních prefixů 21 s delší maskou nahradíme jedním prefixem s maskou kratší, aby pokrýval původní prefixy. Například prefixy /25 a /25 nahradíme prefixem /24. V kampusových sítích sumarizaci obvykle provádíme na směrovacích v distribuční vrstvě. Interních směrovacích protokolů existuje několik, aťuž jde o standardní RIP, RIPv2, IS-IS, OSPF nebo proprietární EIGRP. Zmiňme v následující části protokol OSPF, který se díky možnostem rychlé konvergence, hierarchického designu a otevřenosti často používá Open Shortest Path First Protokol Open Shortest Path First 22 (OSPF) je tzv. link-state 23 směrovacím protokolem, který pro výpočet nejkratších cest v síti používá Dijkstrův algoritmus. Každá linka v síti je ohodnocena cenou", která je nepřímo úměrná její propustnosti. OSPF používá tuto cenu" jako svoji metriku, přičemž je-li cílová síť dostupná přes několik linek, je výsledná metrika takové cesty rovna součtu cen" všech linek, z nichž se cesta skládá. Do výsledné směrovací tabulky je nakonec umístěn záznam odpovídající cestě k cílové síti s minimální metrikou. OSPF podporuje hierarchický design dělením sítě na oblasti, což zlepšuje jeho použitelnost ve velkých sítích. Oblasti jsou číslovány a speciální postavení má oblast 0, na kterou musí být všechny ostatní oblasti připojeny. Oblast 0 odpovídá páteři celé sítě. Směrovače v určité oblasti spouští Dijkstrův algoritmus pouze pro linky ve své oblasti. Výjimkou jsou směrovače v oblasti 0, které do svých výpočtů musí zahrnout i linky z ostatních oblastí, pokud na hraničních směrovacích nedochází k jejich sumarizaci. Provádění výpočtu směrovací tabulky pomocí Dijkstrova algoritmu je náročné na HW v závislosti na množství linek a uzlů v oblasti. Pro zajištění rychlé konvergence je vhodné, aby byl výpočet prováděn co nejdříve po získání informace o změně v topologii sítě. 21. Adresa sítě a maska. 22. Standard IETF definován v RFC 2328 [37]. 23. Směrovače mají znalosti o všech linkách/sítích, nad nimiž běží směrovací protokol, a výslednou směrovací tabulku počítají na základě těchto znalostí. Je to jiný přístup než u tzv. Distance-Vektor protokolů, kdy, zjednodušeně řečeno, si směrovače vzájemně sdělují podobu svých směrovacích tabulek. 18

24 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ Na druhou stranu může časté provádění výpočtu příliš zaměstnávat směrovače. Proto rozumná implementace OSPF dovoluje nastavit různé proměnné omezující provádění výpočtu takovým způsobem, aby při změně v topologii došlo ke konvergenci co nejdříve, ale při tom, v případě příliš mnoha změn 24, bylo množství prováděných výpočtů limitováno. 3.6 Failover IP adresy Poměrně často se setkáme s požadavkem, aby určitá IP adresa, resp. služby na ní umístěné, byla dostupná stále. Jedním představitelem je IP adresa brány sítě, protože vypadne-li směrovač představující implicitní bránu, koncová zařízení by neměla kam posílat provoz určený pro jiné sítě, pokud není zajištěna vysoká dostupnost obsluhy IP adresy brány záložním směrovačem. Druhým představitelem může být zajištění vysoké dostupnosti klíčových služeb v síti, například DNS serveru. Obvykle se oba případy řeší zdvojením 25 klíčového zařízení (serveru, směrovače), kdy jedno zařízení je aktivní a druhé ve stavu standby 26, v němž je zařízení připraveno okamžitě převzít funkce (IP adresu) aktivního zařízení při jeho výpadku. Obě zařízení používají protokol určující, které z nich má být aktivní, a zajišťující informování o tom, že aktivní zařízení je v pořádku. V případě převzetí IP adresy záložním zařízením a nepoužití virtuální MAC adresy pro tuto IP může být nutné sdělit ostatním zařízením ve stejné VLÁN novou MAC adresu, kterou mají pro tuto IP používat tím, že nově aktivní zařízení pošle všem nevyžádanou ARP odpověď tzv. Gratious ARP. Pro zajištění vysoké dostupností IP adresy brány lze použít protokoly Virtual Router Redundancy Protocol 2V (VRRP) nebo Hot Standby Router Protocol 28 (HSRP), které užívají multicast paketů a lze je nastavit tak, aby došlo k aktivaci standby zařízení během desítek milisekund. Poznamenejme, že je vhodné HSRP nebo VRRP nastavit tak, aby došlo k aktivaci standby směrovače v případě, že aktivní 24. Může jít o chybnou linku, která mění svůj stav každé dvě vteřiny. 25. Může jít i o ztrojení apod. 26. Pohotovostní stav. 27. IETF standard definovaný v RFC 3768 vycházející z HSRP. 28. Cisco proprietární, zveřejněn v RFC

25 3. NÁSTROJE PRO ROZSÁHLÉ SÍTĚ směrovač ztratí spojení s páteřní sítí, tedy nejen při jeho výpadku. Zdvojujeme-li například DNS server s operačním systémem Linux, můžeme pro zajištění vysoké dostupnosti použít nástroje Heartbeat Základní součást projektu Linux High Availability. Více na [16]. 20

26 Kapitola 4 Bezdrátové sítě Vedle tradičního připojení k počítačové síti kabelem se dnes stále častěji využívá i přístup s využitím bezdrátových technologií, které umožňují mobilitu koncových zařízení na místech pokrytých signálem. V oblasti kampusových sítí se jedná především o používání technologie WiFi, tedy sítí založených na standardech IEEE a, b a g 1. Nasazení WiFi sítě může být prováděno z několika důvodů. Prvním důvodem je již zmiňovaná mobilita zařízení, která nejsou ve volném pohybu omezena kabelem připojeným do datové zásuvky, ale smí se volně pohybovat v dosahu radiového signálu. Příkladem mohou být různé sklady, tovární haly nebo nemocnice, kde je personál vybaven terminály různých druhů od WiFi telefonů až po PDA nebo specializované terminály. Druhým důvodem je navýšení počtu přípojných míst k síti organizace bez nutnosti budovat množství datových zásuvek. Příkladem je pokrytí zasedací místnosti, posluchárny nebo prostranství 2, kdy prostřednictvím jednoho přístupového bodu připojíme i desítky klientů nebo pokryjeme veliký prostor. Limitujícím faktorem v tomto případě již není počet datových zásuvek, ale kapacita přenosového média, tedy radiového kanálu, který sdílí všechna zařízení připojená k danému přístupovému bodu. Třetím důvodem je nemožnost vybudování drátových rozvodů, ať už kvůli omezení nebo zákazu stavebních úprav, z důvodů ekonomických nebo proto, že jde jen o dočasné pokrytí určité lokality. V tomto případě lze uvažovat i o síti téměř ryze bezdrátové, kdy většina přístupových bodů není připojena k pevné síti, ale pouze ke 1. Sada standardů rodiny je dostupná např. z [13] 2. Pozor na omezení a v ČR pouze uvnitř budov. 21

27 4. BEZDRÁTOVÉ SÍTĚ svým sousedům, jež jsou k pevné síti blíže. Předpokládáme-li, že většina provozu musí projít skrze drátovou síť, je propustnost WiFi sítě tohoto typu obvykle omezena propustností rádiových částí přístupových bodů, které mají připojení k pevné síti. V těchto bodech totiž dochází k agregaci provozu ze všech klientů. Míra intenzity pokrytí signálem, tedy i množství přístupových bodů, je vedle fyzikálních vlastností prostředí, kde je síť instalována, závislá i na aplikacích, jež mají WiFi síť využívat. Pro nasazení WiFi telefonů je doporučován asi dvacetiprocentní překryv oblastí pokrytých signálem sousedních přístupových bodů 3. Specifické nároky na rozmístění přístupových bodů má použití WiFi RFID tagů, s jejichž pomocí lze lokalizovat a sledovat zařízení nebo vybavení, která jsou jimi opatřena. 4.1 Síření radiového signálu a jeho kvalita WiFi sítě oproti klasickému kabelovému Ethernetu přinášejí nové druhy problémů způsobené vlastnostmi radiového signálu. IEEE b resp g umožňuje využití pouze tří vzájemně se nepřekrývajících kanálů, tedy takových, kdy provoz na jednom kanálu neovlivňuje kvalitu provozu na jiném kanálu. S tímto omezením je nutné počítat při plánování umístění přístupových bodů a případném ručním rozvržení kanálů tak, aby došlo k poskytování signálu v co možná nejlepší kvalitě. Zásadní vliv na kvalitu signálu má prostředí, v němž je WiFi síť provozována. Zejména uvnitř budov jsou problémem kovové konstrukce nebo plochy, od nichž se signál odráží, nebo které způsobují různé deformace signálu. Skládání původního a odražených signálů u přijímajícího zařízení významně snižuje kvalitu příjmu. S tímto defektem se lépe vypořádají zařízení užívající standard g, který oproti b používá lepší modulaci. V nepříznivých případech vznikají hluchá místa" nebo se signál podivně ztrácí. Zvýšení vysílacího výkonu často situaci spíše zhorší, neboť jak odražené tak i původní signál mají větší sílu a šíří se dále. V některých případech stačí posunutí klientského zařízení jen o pár centimetrů a kvalita 3. Je to dáno požadavkem na dostatečnou kvalitu signálu a rychlost připojení ve všech místech pokrytí. Více v [6] 22

28 4. BEZDRÁTOVÉ SÍTĚ a stabilita přijímaného signálu je rázem lepší. Vedle rozmístění přístupových bodů má na výslednou kvalitu pokrytí vliv i výběr použitých typů antén. Jejich vyzařovací charakteristika (směrovost) a zisk by měly odpovídat zamýšlenému použití. Přístupové body vybavené tzv. diverzními anténami mohou automaticky vybrat anténu s lepším signálem, a tím lépe zvládat provoz uvnitř budov v podmínkách prostředí s odrazy. V nepříznivých podmínkách se volí řešení s větším množstvím přístupových bodů, které mají snížený vysílací výkon. Existují i specializovaná zařízení pro správu WiFi sítě, která umí řídit a optimalizovat nastavení rádiových částí přístupových bodů, aby dosáhla optimálního způsobu pokrytí. Regulují zejména vysílací výkon a užívané kanály. Používají k tomu kromě informací o rozmístění a vlastnostech přístupových bodů také data získaná při provozu WiFi sítě a kontrolních měřeních, kdy je pokryté území procházeno s kontrolní stanicí. Při výpadku přístupového bodu je možné, aby tato zařízení automaticky provedla navýšení výkonu sousedních přístupových bodů, a tím minimalizovala prostor, který není pokrytý signálem v důsledku výpadku. 4.2 Zabezpečení WiFi Vedle problémů s kvalitou pokrytí je u WiFi sítí nutné dbát na jejich bezpečnost. Zatímco komunikace mezi přepínačem a připojeným zařízením probíhá pouze po kabelu a v případě dobře vybaveného a správně konfigurovaného aktivního prvku ji nelze jednoduše odposlouchávat nebo do ní vstupovat, u radiového přenosu je situace odlišná. Radiový signál přijímají všechny stanice v dosahu a v případě nedostatečně zabezpečené WiFi se může snadno jedna stanice vydávat za jinou nebo dokonce za přístupový bod, a tím je jí umožněno nechat skrze sebe procházet veškerý provoz od klientů a manipulovat s ním. Zabezpečení provozu lze řešit na vyšší úrovni například používáním SSL, ale problémem může být zpřístupnění WiFi sítě všem zařízením. Obvykle je pak přístup ze samotné WiFi sítě silně omezen a pro získání plnohodnotného přístupu k síti organizace je nutné připojení pomocí některého z VPN řešení nebo provedení autorizace na dalším zařízení. 23

29 4. BEZDRÁTOVÉ SÍTĚ Pro zabezpečení WiFi, pomineme-li spíše pseudo zabezpečení pomocí skrývání SSID a filtrování MAC adres připojených zařízení, byl původně k dispozici jen algoritmus WEP 4 neboli Wired Equivalent Privacy, užívaný k ochraně přenášených dat na linkové vrstvě. Cílem při zavedení tohoto algoritmu bylo dosažení srovnatelné míry bezpečnosti jako při použití drátového spoje. Tento algoritmus je založený na proudové šifře RC4 a kontrolním součtu CRC32, ale jak se později ukázalo, je WEP pro zabezpečení WiFi sítí nedostatečný, neboťjej lze poměrně snadno prolomit 5. Vedle algoritmu WEP se začal používat i mechanismus 802.IX 6 pro ověření klientů a následné nastavení WEP klíčů pro přístupový bod a klienta. Nicméně stále nedošlo k odstranění bezpečnostních slabin WiFi způsobovaných algoritmem WEP, a proto byly započaty práce na standardu IEEE i. IEEE i známý též jako WPA2 již nemá slabiny, kterými trpěl WEP. Ještě předtím, než byl tento standard hotov, uvedla WiFi Aliance specifikaci WPA 7, která obsahovala části z budoucího i a jejímž cílem bylo vyřešení nedostatků WEP do doby, než bude i hotov. WPA je méně náročné na zdroje než WPA2, neboť stále používá šifru RC4, aby bylo WPA možné používat na existujících přístupových bodech jen po upgradu firmware. Zásadním vylepšením oproti WEP je užití Temporal Key Integrity Protocol (TKIP). TKIP zajišťuje dynamickou změnu šifrovacích klíčů pro RC4 a tím účinně eliminuje slabiny, které měl WEP 8. WPA také nahrazuje kontrolu integrity pomocí CRC32 silnějším algoritmem 9. WPA2 užívá protokol CCMP 10, který je založený na šifře AES a v současné době je považován za dostatečně bezpečný. V sítích organizací je WPA i WPA2 nasazováno v Enterprise módu, kdy je využívána autentizace pomocí 802.IX, tedy organizace musí mít 802.IX autentizační server. Spíše pro osobní použití je určené 4. Viz [9] 5. Existují i jednoduše použitelné nástroje pro realizaci útoků na sítě zabezpečené jen pomocí WER 6. Více v části WiFi Protected Access 8. Vedle prodloužení délky klíče používá TKIP metody, při nichž je každý paket šifrován vlastím klíčem. 9. Algoritmus Michael 10. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol 24

30 4. BEZDRÁTOVÉ SÍTĚ nasazení WPA/WPA2 v Personal resp. pre-shared key módu, kdy je zabezpečení WiFi sítě prováděno pouze pomocí sdíleného hesla. 4.3 Správa bezdrátové sítě Přístupové body mohou být samostatné jednotky - Standalone, které operují zcela nezávisle, popřípadě je jejich nastavení centrálně řízeno, nebo se může jednat o tzv. Leightweight přístupové body, někdy též označované jako rádiové porty, s centrálním prvkem - kontrolérem. V tomto nasazení slouží přístupové body jen k zajištění základního rádiového spojení s klientem a veškerý provoz je směrován na kontrolér, bez kterého jsou samotné přístupové body nepoužitelné. Na kontrolér je pak soustředěna většina inteligence WiFi sítě. Řídí asociaci a ověření klientů, jaké sítě jsou přístupovými body vysílány apod. V případě kontroléru nedochází ke konfiguraci jednotlivých přístupových bodů samostatně, ale jako celku přes kontrolér. Při větším počtu přístupových bodů bývá nasazeno i více kontrolérů z důvodu rozkládání zátěže a redundance pro případ výpadku některého z nich. Je-li WiFi síť tvořena větším množstvím přístupových bodů, mají obvykle stejnou nebo velice podobnou konfiguraci. Minimálně se to týká SSID provozovaných sítí a nastavení ověřování. Pro usnadnění správy a lepší škálovatelnost WiFi sítě se obvykle implementuje centralizované řešení správy, ať už vlastními prostředky nebo pomocí specializovaného zařízení 11. Krokem k centralizované správě je i použití kontrolérů a dalších zařízení, která obstarávají řízení více kontrolérů zároveň. 11. Jednou z funkcí těchto zařízení může být optimalizace radiových parametrů přístupových bodů, jak bylo naznačeno v části

31 Kapitola 5 QoS neboli kvalita služeb IP protokol je dnes široce používán a nově nasazován v sítích nejrůznějšího určení, přičemž v těchto sítích dochází k přenášení provozu rozdílných charakterů. K tomu může docházet zcela přirozeným vývojem, kdy je objevena nová možnost využití existující IP sítě pro přenos dat řešení, které dříve využívalo vlastní přenosovou síť, vůbec neexistovalo anebo jde o záměr již při vytváření sítě. Příkladem může být konvergence datové a hlasové sítě, kdy je pomocí IP přenášen i telefonní hovor dvou účastníků a jeden z nich nebo oba používají klasický nebo tzv. IP telefon. Dalším a poměrně častým příkladem je využití IP sítě pro přenos regulačních a signalizačních dat prvků měřících, řídících a zabezpečovacích systémů 1. IP síťpak mohou využívat aplikace vytvářející různé druhy provozu s velice specifickými nároky na parametry přenosu 2 a v případě nesplnění těchto nároků dochází k výraznému omezení funkčnosti takové aplikace či její naprosté nepoužitelnosti. K rapidnímu zhoršení parametrů přenosu dochází v případech zahlcení některé části sítě, kdy je množství provozu určené k přenosu vetší než její kapacita. Problém obvykle způsobuje malá kapacita linky nebo nízký výkon aktivního prvku. Nabízejícím se řešením nízké kapacity je její předimenzovaní, ale tento způsob má několik zásadních negativ. Jednak je obvykle dražší, dále dochází k méně efektivnímu využívání stávajících zdrojů a funguje jen dokud není opět dosaženo této naddimenzované kapacity, což může snadno nastat například v důsledku agresivního chování TCP při snaze využívat maxima dostupné šířky pásma. 1. Sledování teploty místností a následná regulace klimatizace 2. Např. zpoždění, ztrátovost 26

32 5. QOS NEBOLI KVALITA SLUŽEB Aby bylo možné předcházet omezení funkčnosti důležitých aplikací, čelí síťová infrastruktura jejich nárokům implementací mechanismů kvality služby neboli QoS - Quality of Service. Tyto mechanismy poskytují prostředky pro klasifikaci provozu, prioritizaci provozu a jeho zpracování definovaným způsobem tak, aby síťová infrastruktura mohla splnit požadavky kladené na přenos provozu daného typu. Dobrá implementace mechanismů QoS může poskytovat alespoň částečnou ochranu legitimnímu síťovému provozu v případě zahlcení sítě způsobené např. virem nebo chybnou aplikací. Samozřejmým předpokladem pro dodržení kvality služby je zajištění dostupnosti všech částí sítě i v případě výpadku zařízení nebo linky. Z hlediska kvality služby obvykle u síťového provozu od odesílatele k příjemci sledujeme následující kvantitativní parametry, aťjiž dosažené nebo požadované. Šířka pásma odpovídá objemu dat přenášených za jednotku času. Zpoždění je doba potřebná k přenosu paketu sítí. Na této době se podílí čas nutný k přenosu paketu mezi aktivními prvky a čas potřebný pro zpracování paketu aktivními prvky, zejména lze ovlivnit dobu, kterou paket stráví čekáním v odchozí frontě na rozhraní před odesláním do datové linky. Například pro hlasový provoz je kritickou hranicí zpoždění 150 ms. Jitter je rozptyl zpoždění posílaných paketů. Pakety k cíli přicházejí s různým zpožděním, protože nemusely sítí procházet stejnou cestou a za stejných podmínek (míra zatížení některé části sítě). Ztrátovost určuje relativní množství paketů, které nedorazí od odesílatele k příjemci. Ke ztrátě paketů dochází v různých případech, například v důsledku zahlcení, chybovosti linky nebo mechanismů QoS. Základním modelem poskytované služby v IP síti je Best Effort. Jedná se o model, kdy je s veškerým provozem zacházeno stejně. Síť má nejlepší úsilí" doručit pakety k cíli, ale nezaručuje nic. Tedy síť 27

33 5. QOS NEBOLI KVALITA SLUŽEB se snaží poskytnout všem nejlepší momentálně dostupné parametry, které závisí na jejím aktuálním stavu, ale jsou bez jakýchkoliv záruk. Jsou-li nastavena nějaká pravidla pro kvalitu služby, pak s provozem, na nějž se tato pravidla nevztahují, je zacházeno právě podle modelu Best Effort. Někdy se též hovoří o tom, že tento pravidly nedefinovaný provoz spadá do třídy Best Effort. V hlavičce IP paketu je sice přítomno pole TOS pro označení druhu provozu, ale zpracování této části hlavičky nebylo na směrovacích dlouhou dobu implementováno 3 a ani dnes nemusí být na řadě míst jejich používání aktivní. 5.1 Mechanismy QoS Prvním mechanismem QoS je klasifikace provozu, kdy je zjištěno, o jaký druh provozu se jedná, následně je tento provoz označen a je tedy určeno, jak s ním má být zacházeno. Klasifikace provozu může být jen interní a použita jen vlastním prvkem, který ji provedl, nebo dojde k označení provozu změnou v hlavičce paketu či rámce a tohoto označení mohou využívat další prvky, které daný paket či rámec přepravují. Kvalitu služby lze ovlivňovat především na výstupních rozhraních aktivních prvků, klíčovou roli zde hraje řízení zahlcení resp. rozdělování klasifikovaného provozu do různých front a následná obsluha paketů v těchto frontách a jejich odesílání. Kromě klasické FIFO fronty existuje celá řada dalších typů mimo jiné prioritní, WFQ, CBWFQ a jejich kombinace. Jejich detailní popis lze nalézt např. v [5]. Se samotným řízením zahlcení souvisejí dva problémy. Dojdeli k zaplnění některé fronty, pakety do ní směřující budou zahazovány, dokud v této frontě nebude opět místo; nelze nijak ovlivnit, jaké pakety budou zahozeny. Souvisejícím problémem je tzv. globální synchronizace, způsobená chováním TCP protokolu. Dojde-li k zahazování paketů, všechny TCP toky zpomalí, úzké místo se uvolní a všechny TCP toky opět zrychlí a způsobí nové zahlcení. Tyto problémy se snaží řešit mechanismus předcházení zahlcení RED 4, který 3. Směrovače díky tomu mohly být jednodušší a v důsledku i levnější. Tato vlastnost tak přispívala k většímu rozšíření IP. 4. Random Early Detection 28

34 5. QOS NEBOLI KVALITA SLUŽEB se stoupajícím zahlcením fronty zvyšuje pravděpodobnost zahození náhodných paketů, aby k úplnému zaplnění nedošlo. Posledním zmiňovaným mechanismem je omezování nebo rozdělování šířky pásma, s jehož pomocí lze vyhradit minimální nebo omezit maximální šířku pásma pro konkrétní druh provozu. 5.2 IntServ Při implementaci kvality služby v IP sítích existují dva hlavní přístupy k řešení. Jsou to integrované služby - Integrated Services, ve zkratce IntServ, a diferencované služby - Differentiated Services, ve zkratce DiffServ. U přístupu IntServ aplikace přímo požadují od sítě zajištění určitých kvantitativních parametrů spojení. K zajištění těchto parametrů se používá rezervační protokol RSVP 5. Resource ReSerVation Protokol byl primárně navržen pro multicast, ale podporuje i unicast. Rezervace zdrojů je prováděna vždy pro datový tok v jednom směru přenosu. Iniciuje ji příjemce toku a rezervuje zdroje postupně na všech zařízeních proti směru toku směrem k odesílateli. Pro správnou funkčnost je nutná podpora RSVP protokolu na všech aktivních prvcích, kterými provoz prochází, a podpora pro RSVP musí být integrována i v aplikaci, která jej chce využívat. RSVP neříká, jakým způsobem mají být rezervace zajištěny, ale pouze specifikuje požadavky. Směrovače musí udržovat stavové informace o přidělených rezervacích jednotlivým tokům, umět rozeznávat pakety jim příslušející a také být schopny rozhodnout, zda lze novému požadavku na rezervaci vyhovět, či nikoli. Nevýhodou IntServ je jeho škálovatelnost, protože dochází k udržování stavové informace pro každý tok, pak má při velkém počtu toků příliš vysoké nároky na výkon směrovačů a odporuje filozofii, kdy po páteřních směrovacích požadujeme především, aby přeposílaly pakety maximální rychlostí a nemusely řešit jiné úkoly. Přesto v podnikových sítích nalézá model IntServ uplatnění např. při zajišťování kvality služeb pro přenos hlasu, kdy před ustavením komunikace probíhá kontrola přijetí spojení 6 právě protokolem RSVP. 5. Původně popsán v RFC2205[40] a doplňován RFC2750, RFC3936, RFC CAC - Connection Admission Control 29

35 5. QOS NEBOLI KVALITA SLUŽEB IntServ nabízí Guaranteed Services, tj. zaručené služby, a Controlled- Load Services neboli služby s řízeným zatížením. Controlled-Load Services zajišťuje pro datový tok stejnou kvalitu služeb jako nezatížená síť Best-Effort. Nezaručují se explicitně žádné vlastnosti týkající se zpoždění. Controlled-Load Services zajišťuje, že dohodnuté datové toky nezahltí síťové prvky. Pakety nesplňující dohodnuté podmínky jsou zpracovány neprivilegované na úrovni služby Best Effort. Guaranteed Services je kvantitativní služba, která poskytuje záruky šířky pásma a hranice zpoždění. Služba je popsána tzv. fluid modelem, jehož analogií je dedikovaný kanál stejné přenosové rychlosti. Vychází se při tom z faktu, že lze vypočítat maximální zpoždění datového toku v uzlu při znalosti rychlosti výstupní linky a parametrů datového toku. 5.3 DiffServ Differentiated Services 7 se oproti Integrated Services neorientují přímo na datový tok, ale spíše na třídy, resp. druhy provozu, které mají mezi sebou vzájemné relativní priority. Datové toky jsou agregovány do tříd podle stejného typu služby a v síti jsou zanesena pravidla určující, jakým způsobem se má síť chovat k jednotlivým třídám provozu. Důsledkem je, že kvalitu služby nelze řídit jemně" na úrovní datových toků, ale pouze hrubě" na úrovni tříd provozu, protože pakety v rámci jedné třídy jsou zpracovány na úrovni Best Effort. Každý IP paket vstupující do sítě je opatřen značkou určující, jak má být s paketem zacházeno, neboli značící třídu provozu, do níž je paket zařazen. Místo v hlavičce IP paketu určené pro tuto značku se nazývá DSCP (differentiated services codepoint) a je pro něj užíváno pozic TOS v IPv4, resp. Traffic Class v IPv6 8. Toto označení provede tzv. ingress směrovač, což je první směrovač sítě, skrze nějž vstupují pakety do sítě. Během přenosu paketů sítí další směrovače pouze přečtou značku každého paketu a řídí se podle ní při jeho zpracování, takže síťové prvky (s výjimkou hraničních) se nemusí starat o každý 7. Jedná se o IETF standard popsaný několika RFC (RFC 2474, RFC 2475, RFC 2597, RFC 3140 a RFC 3246). 8. Podrobněji v RFC

36 5. QOS NEBOLI KVALITA SLUŽEB datový tok zvlášť. Při tomto postupu se zátěž způsobená klasifikací provozu rozprostře na okraj sítě, kde je nižší provoz, a vnitřní části sítě, které zpracovávají řádově větší množství paketů, pak jen využívají již provedené klasifikace. Toto v konečném důsledku vede k lepší škálovatelnosti celého řešení oproti IntServ. Směrovače přidělí definované prostředky každé třídě přenosu a zajišťují určitý vztah mezi jednotlivými třídami. Například může být stanoveno, že pakety s určitou značkou mohou být poslány dále jen pokud nejsou ve frontě čekající pakety s jinou značkou. Takto fungující síť, s jednotnou politikou směrovačů pro zpracování různých tříd provozu, se nazývá DiffServ doména. Rozlehlá síť může být rozdělena na několik propojených DiffServ domén, nebo jednu doménu tvoří síť organizace a druhou síť poskytovatele připojení. V případě koexistence více DiffServ domén mohou být ustaveny různé stavy důvěry, od případu, kdy domény vzájemně důvěřují značkám ve vyměňovaných paketech, až po stav, kdy je veškerý provoz na hranici domén překlasifikován a znovu označen. Zvnějšku pozorovatelný režim zpracování paketů směrovačem na základě jejich značky se nazývá Per-Hop Behaviour 9 (PHB). Expedited Forwarding (EF) a Assured Forwarding (AF) jsou v současné době jediná dvě standardizovaná PHB a jsou pro ně vyhrazeny určité DSCP kódy, ale DiffServ domény mohou implementovat i jiná lokálně definovaná PHB. Expedited Forwarding charakterizuje nízké zpoždění, malý Jitter a minimální ztrátovost. Jde o PHB vhodné pro real-time provoz. Obvykle je provoz určený pro Expedited Forwarding upřednostňován před ostatními druhy provozu, a proto bývá na vstupu do DiffServ domény striktně omezováno jeho množství, aby jím síť nemohla být zahlcena a zbývalo dostatek přenosových kapacit i pro jiné druhy provozu. Assured Forwarding umožňuje rozdělení provozu do 4 tříd, kdy je na směrovacích definována jistá míra prioritizace mezi třídami. Nastane-li zahlcení mezi provozem jednotlivých AF tříd, je upřednostněn provoz z vyšší třídy. Uvnitř každé třídy mohou mít pakety tři různé úrovně pravděpodobnosti zahození pro případ, že dojde 9. Doslovně se jedná o chování uzlů v DiffServ doméně. 31

37 5. QOS NEBOLI KVALITA SLUŽEB k zahlcení provozu ze stejné třídy. Tuto úroveň pravděpodobnosti uvnitř třídy využije při svém rozhodování algoritmus RED. V některých případech je používaná i vzájemná kombinace přístupů Differentiated Services a Integrated Services, neboťse mohou vzájemně vhodně doplňovat, kdy většina provozu je obsluhována pomocí modelu Differentiated Services a vybrané služby, které podporují protokol RSVP, užívají RSVP rezervací pro přenos kritických dat, například hlasové služby. 5.4 Kvalita služby na druhé vrstvě Chceme-li poskytovat tzv. End-to-End 10 kvalitu služby, musí být její podpora obsažena též v prvcích access vrstvy sítě. Tato vrstva bývá realizována spíše prostředky druhé vrstvy, kdy je naprostá většina koncových zařízení připojena nejdříve k nějakému přepínači a ne přímo do směrovače. Protože i v této vrstvě sítě může docházet k zátěžovým špičkám, je důležité, aby použité přepínače poskytovaly alespoň některé mechanismy pro kvalitu služeb. Přepínače užívají podobného přístupu jako je DiffServ, a některé mohou používat i informace z IP hlaviček paketů a řadit je tak do prioritních front apod. V klasickém Ethernet rámci není žádné místo pro označení třídy provozu. Toto místo přináší až IEEE 802.IQ, kde jsou mimo tágu pro VLÁN vloženy i 3 bity pro tzv. User Priority, někdy značeno Class of Service - CoS. Tyto 3 bity nabízí až 8 různých priorit provozu a pokud přepínače neumějí užívat značku z IP paketu, mohou být schopny upřednostňovat provoz podle nich. Výhodnější však je, pokud přepínače dokáží pracovat přímo s DSCP či TOS částí IP hlavičky, nebo ještě lépe umějí i provést označení paketu, neboťpro poskytnutí Endto-End kvality služby je důležité provést klasifikaci a označení paketu co nejblíže jeho zdroji. Je-li užíváno značení na druhé i třetí vrstvě, je vhodné provádět adekvátní mapování CoS na DSCP či TOS a naopak. 10. Kvalita služby je zaručena po celé trase spojení mezi zařízeními, na nichž běží komunikující aplikace. 32

38 Kapitola 6 Připojení k ISP Připojení k Internetu je dnes zcela nezbytné pro kteroukoli organizaci. Připojení se realizuje napojením sítě organizace na síťisp, a to obvykle prostřednictvím zvláštního distribučního bloku. V tomto bloku je vyřešeno zajištění dostupnosti připojení k Internetu podle nároků a možností organizace a jsou zde instalována bezpečnostní zařízení chránící vnitřní síť organizace před hrozbami z vnějšího světa. Též zde mohou být umístěny servery pro poskytování služeb uživatelům v Internetu a VPN zařízení, jež jsou určena pro zajištění vzdáleného přístupu z poboček organizace nebo uživatelů na cestách. 6.1 Dostupnost Pro zajištění dostupnosti připojení k jednomu ISP můžeme použít stejných nástrojů, jaké jsme zmínili v druhé kapitole, aby připojení bylo odolné vůči výpadku zařízení nebo spoje. Záleží také na možnostech, které nám poskytne ISP První možností je užití nástrojů pracujících na druhé vrstvě, tedy některého ze Spanning Tree protokolů nebo agregace linek. Předpokladem samozřejmě je, že organizace je připojena technologií, která výše zmíněné nástroje podporuje. Tím dosáhneme odolnosti připojení jen vůči výpadku některého spoje, ale jde o poměrně jednoduchý způsob a vystačíme jen se statickým směrováním mezi ISP a organizací. Druhou možností je nasazení interního 1 směrovacího protokolu mezi síť organizace a ISP a užití dvou hraničních směrovačů na 1. Mohli bychom použít i externí směrovací protokol, ale v případě připojení pouze k jednomu ISP bychom zbytečně platili zvýšenou konvergencí. 33

39 6. PŘIPOJENÍ K ISP straně organizace i ISP s potřebnými spoji mezi nimi. V této konfiguraci dosáhneme odolnosti proti výpadku libovolného směrovače nebo linky, ale měli bychom se zamyslet nad dvěma problémy, jež mohou vzniknout. Provoz mezi naší sítí a ISP se teď nemusí vracet stejnou cestou jakou odešel 2, což může způsobit zahazovaní paketů, například v kombinaci s firewallem, který potřebuje sledovat provoz v obou směrech. Druhým problémem k zamyšlení je způsob jakým směrovače organizace inzerují ISP, jaké sítě jsou za nimi dostupné. Je důležité vyvarovat se stavu, kdy směrovač inzeruje všechny sítě organizace, ale přitom ztratil veškerou konektivitu se sítí organizace. Asi nejvhodnějším způsobem je redistribuce na hraničním směrovací mezi směrovacími protokoly pro ISP a vnitřní síť. Poslední možností je připojení organizace přes dva nebo více ISP Tento typ připojení se označuje slovem Multihoming 3. Pomiňme případ, kdy pro připojení přes jednotlivé ISP používáme různé IP adresní prostory, za něž schováme síť organizace, protože pak musíme řešit problém, jak zpřístupnit z Internetu servery umístěné v síti organizace. Tato varianta vyžaduje, abychom pro veřejné IP rozsahy organizace získali AS Number neboli číslo autonomního systému a účastnili se směrování v Internetu použitím směrovacího protokolu BGP na hraničních směrovacích. V předchozích možnostech za nás inzerování vlastních veřejných IP rozsahů do Internetu mohl obstarat ISP BGP 4 je externím směrovacím protokolem a jeho nejdůležitějšími rysy jsou robustnost a stabilita, protože je navržen a používán pro výměnu směrovacích informací v Internetu. 6.2 Bezpečnost Základním bezpečnostním zařízením, které umísťujeme mezi síť organizace a ISP, je firewall 5. Firewall provádí filtrování procházejícího provozu podle pravidel, která určují povolený nebo zakázaný pro- 2. Na naší straně jsou dva aktivní směrovače a pakety příslušející stejnému spojení mohou odcházet jedním směrovačem a vracet se druhým. 3. Základní informace lze získat např. v [28] 4. Border Gateway Protocol - více např. v [8] 5. Resp. některé ze zřízení mezi oběma sítěmi by mělo být vybaveno alespoň základními funkcemi dále zmíněnými. 34

40 6. PŘIPOJENÍ K ISP voz. Jeho funkčnost můžeme rozdělit na několik kategorií, podle toho, jakým způsobem kontroluje procházející provoz. Paketový filtr pracuje s jednotlivými pakety, aniž by bral ohled na jejich kontext a jeho rozhodování, zda a jak paket vyhovuje zadaným pravidlům, ovlivňují pouze informace, které může získat z kontrolovaného paketu 6. Paketový filtr je nejjednodušší formou firewallu, která dokáže pracovat na obrovských rychlostech 7. Stavový firewall vedle funkcionality paketového filtru sleduje procházející pakety i v jejich kontextu v rámci jednoho nebo více spojení. Jedná se například o kontrolu, zda je paket regulérní součástí již navázaného TCP spojení nebo slouží k navázání nového spojení, jehož parametry byly dojednány již v existujícím spojení 8. Schopnosti stavového firewallu jsou do značné míry určeny protokoly, jejichž stavovost dokáže sledovat. Proxy či aplikační brána pracuje na aplikační vrstvě a je specializována na konkrétní protokol, čímž umožňuje nastavit pravidla pro kontrolu provozu přesně podle vlastností tohoto protokolu 9. Tento způsob detailní kontroly přenášených dat je z hlediska HW nejnáročnější. Pomocí firewallu obvykle povolíme příchozí spojení z Internetu jen na veřejně přístupné služby a jakékoli jiné pokusy o navázání spojení do vnitřní sítě zakážeme. Z důvodů ochrany vnitřní sítě organizace je poměrně běžné, že jsou omezeny i možnosti navazování odchozích spojení ze sítě organizace. Může se jednat o zákaz užívaní některých protokolů nebo povolení pouze požadovaných protokolů, 6. Obsah hlaviček IP protokolu, příp. protokolů vyšších (příznaky TCP, číslo portu apod.) 7. Lze pro něj poměrně snadno implementovat podporu přímo do HW. 8. Přenos dat protokolem FTP, kdy se v řídícím spojení dojednají čísla portů pro přenos dat vlastním spojením. Nebo v případě protokolu SIP dojde k sestavení hovoru a přenos hovoru je realizován proudem RTP paketů přímo mezi zařízeními, která spolu hovoří na portech, které byly dojednány v protokolem SIP 9. HTTP proxy může zakazovat stránky podle jejich URL nebo provádět nahrazování částí přenášených stránek. 35

41 6. PŘIPOJENÍ K ISP případně je poměrně častá kontrola provozu směřujícího do sítě organizace použitím proxy Nezbytností ochrany vnitřní sítě organizace je kontrola příchozích ů na nežádoucí obsah 10. K zařízením sloužícím na ochranu sítě organizace patří i systémy pro sledování provozu a detekci průniku, které vyhodnocují procházející pakety a na základě abnormalit nebo sady signatur možných útoků posílají varování o možných bezpečnostních incidentech, případně dokáží aktivně zablokovat nebezpečný provoz. Existuje řada zařízení integrujících množství 11 funkcí pro ochranu sítě, ale právě díky rozsáhlé funkcionalitě mohou být výkonnostně nebo funkčně nedostačující pro nasazení v podmínkách velkých sítí, kde spíše volíme specializovaná a dostatečně výkonná zařízení. 10. Zcela běžná je antivirová a antispamová kontrola, případně zákaz určitých typů souborů. 11. Stavový firewall, aplikační brána, antivir, antispam a systém detekce průniku. 36

42 Kapitola 7 VPN VPN je zkratka anglického názvu Virtual Private Network neboli virtuální privátní síť. Jde o způsob, jak na síťové vrstvě spojit dvě zařízení připojená do veřejné sítě (obvykle Internet), aby spolu mohla komunikovat, jakoby byla propojena pomocí privátní datové linky. Jedná se o mnohem levnější variantu, než je pronájem nebo pořízení vyhrazeného datového spoje 1, i když tento způsob má i svá negativa, protože spoléhá na funkčnost a kvalitu veřejné sítě, skrze niž koncová zařízení komunikují 2. Vedle ceny je důležitou výhodou propojení pomocí VPN flexibilita, neboť službu lze v podstatě využít kdekoliv, kde je dostupná veřejná síť. Tato výhoda je zcela zásadní v případech, kdy předem nevíme, kde se bude jedno z propojovaných zařízení nacházet. Cílem VPN je poskytnutí zabezpečeného kanálu, jehož provoz je šifrován a při jeho ustavení došlo k vzájemnému ověření obou stran tohoto kanálu. Mezi koncovými zařízeními může být emulována linková vrstva (např. Ethernet nebo PPP), kdy mají obě zařízení vlastní IP adresy pro tuto virtuální linku a zabezpečena je veškerá komunikace procházející touto virtuální linkou. Další možností je zabezpečení všech paketů posílaných mezi koncovými body. Možnosti šifrování komunikace a ověřování koncových bodů spoje jsou závislé na konkrétní technologii použité pro tvorbu VPN a budou zmíněny dále v této kapitole. Nasazení VPN můžeme z hlediska koncových bodů rozdělit na tzv. LAN-to-LAN 3 a Client-to-LAN. V případě LAN-to-LAN jde o vzá- 1. datová linka, datový okruh, optický kabel 2. Zásadním problémem může být porucha zařízení veřejné sítě nebo její zahlcenost, není-li možné nasadit mechanismy pro dodržení kvality služeb 3. Používá se i označení Síte-to-Síte. 37

43 7. VPN jemné propojení dvou sítí. Typickým příkladem tohoto typuje zabezpečené připojení místní sítě pobočky firmy v Olomouci k síti v centrále firmy, která se nachází v Praze. Při tomto typu nasazení bude nutné, aby zařízení tvořící VPN zvládala realizovat spojení s dostatečnou přenosovou kapacitou a požadovanou úrovní bezpečnosti. Použití silného šifrování na datový tok v řádu desítek megabitů za vteřinu bude vyžadovat na obou stranách spoje značný výpočetní výkon. U tzv. Client-to-LAN nasazení jde o zabezpečené připojení samostatného počítače do korporátní sítě. V tomto případě se obvykle jedná o zpřístupnění služeb na síti organizace zaměstnancům nacházejícím se mimo její prostory, zejména pokud pracují z domova nebo působí jako obchodní cestující. Tohoto nasazení je možné využít i pro poskytnutí přístupu do sítě organizace například z bezdrátové nebo drátové sítě, která je v organizaci volně přístupná i návštěvníkům. Pro Client-to-LAN nasazení je důležité, aby pro konkrétní použitou technologii byl dostupný software sloužící jako VPN klient pro operační systémy všech zařízení, která mají VPN službu vyžívat. Na straně sítě organizace je umístěno zařízení, na které jsou navazovány VPN spoje od klientů připojujících se k její síti. Toto zařízení je označováno jako VPN koncentrátor. VPN koncentrátor může obsluhovat i LAN-to-LAN spoje, pokud to jeho výkon vzhledem k využívání VPN služeb umožňuje. Nezbytnou vlastností VPN koncentrátoru je podpora různých autentizačních a autorizačních mechanismů, která určuje jeho možnosti napojení na stávající autentizační a autorizační infrastrukturu organizace. Podstatnou vlastností tohoto zařízení je také jeho úroveň podpory pro QoS. Při větším počtu klientů je nutné provádět prioritizaci provozu a omezování šířky pásma připojených klientů, jinak existuje riziko přílišného vytížení VPN koncentrátoru nebo VPN spojem využívaných linek jedním klientem nebo skupinou klientů. VPN spojem může proudit veškerý provoz od klienta či sítě vzdáleného pracoviště směřující jak do sítě v centrále organizace tak i do Internetu. V takovém případě lze pro přístup k veřejné síti zapojit všechny bezpečnostní prvky, které organizace používá k ochraně za- 4. Může se jednat o takto přímo nazvaný produkt, nebo k tomuto účelu nakonfigurovaný server (pptp, Open VPN apod.) 38

44 7. VPN řízení přistupujících do Internetu, tedy do potenciálně nebezpečného prostředí. Může tak být například využívána transparentní webová proxy, antivirový systém nebo inspekční firewall. Nevýhodou takto nastaveného směrování provozu je zatěžování Internetového připojení organizace, neboť provoz jím prochází de facto dvakrát (VPN spojem k VPN koncentrátoru a pak od VPN koncentrátoru do Internetu). Druhou možností je posílat VPN spojem jen část provozu směřující ke službám, které jsou umístěny v síti centrály organizace, a provoz pro přístup k Internetu posílat stejně jako v případě, kdy VPN spoj nebyl aktivní. Tento režim směrování provozu bývá označován jako split tunneling. Dochází tak k menšímu zatěžování VPN spoje, připojení organizace do Internetu a zařízení, která jej zabezpečují. Nevýhodou je pak větší zranitelnost klientských zařízení. 7.1 IPsec Zkratka IPsec 5 pochází z anglického IP security a jedná se o rozšíření IP protokolu o bezpečnostní prvky, které je často v souvislosti s VPN zmiňováno a především používáno. Ve skutečnosti se jedná o celou sadu protokolů a technologií tvořící ucelený systém pro zajištění důvěrnosti a důvěryhodnosti IP dat přenášených mezi dvojicí komunikujících zařízení. IPsec je otevřeným standardem pro prostředí používající IPv4 i IPv6. Otevřenost standardu zaručuje interoperabilitu zařízení od různých výrobců. Implementace IPsec na úrovni IP protokolu umožňuje jeho flexibilitu pro bezpečný přenos protokolů vyšších vrstev. IPsec zajišťuje zabezpečení IP provozu přidáním IPsec hlaviček k původnímu IP paketu. Tyto hlavičky v podstatě definují dva stejnojmenné IPsec protokoly AH a ESP. Authentication Header (AH) je přidáván pro zajištění důvěryhodnosti a integrity dat. IP paket sebou nese mimo jiné v AH hlavičce hash ověřující totožnost odesílatele paketu a integritu konstantních částí paketu (tj. těch, které se během přenosu paketu nemění). V tomto případě nedochází k šifrování dat. Protokol Encapsulating Security Payload (ESP) obsahuje podobně jako AH mechanismy pro zajištění důvěryhodnosti a integrity, navíc 5. Nejnověji specifikován v RFC [42], též došlo ke změně zápisu z IPSec na IPsec 39

45 7. VPN je v něm implementována podpora pro šifrování paketů a tím zajištění důvěrnosti přenášených dat. ESP tak oproti AH nepřidává jen novou hlavičku, ale obaluje a transformuje i původní paket nebo jeho část. Důležitou součástí IPsec je Security Association neboli SA, protože definuje úroveň důvěry mezi komunikujícími stranami. Jde o logický jednosměrný kanál, s jehož pomocí jsou koncová zařízení domluvena na pravidlech používaných pro přenos dat. Tento kanál je jednoznačně identifikován pomocí zdrojové IP adresy kanálu, druhu protokolu, tedy zda bude použito ESP nebo AH, a Security Parameter Index (SPI). SPI je pak položkou AH i ESP hlaviček, aby bylo možné příchozí paket přiřadit konkrétnímu SA kanálu a použít jeho parametry pro zpracování paketu. Mezi parametry SA kanálu patří doba jeho trvání, používané algoritmy (druh hashovací funkce, šifrovací algoritmus), šifrovací klíče a to zda je používán tunelovací nebo transportní mód. Jelikož je SA jednosměrným kanálem, je pro obousměrnou komunikaci nutné vytvořit S A kanály dva. Sestavení SA kanálů lze provádět ručně nastavením jejich parametrů na obou komunikujících stranách. Tento způsob obvykle vyžaduje i zabezpečené přenesení klíčů mezi oběma stranami. Běžně je však požadováno, aby klíče byly pravidelně měněny. Z tohoto pohledu je ruční sestavování SA nevýhodné až zcela nepoužitelné a totéž platí i v případě správy většího počtu SA (byťs neměněnými klíči). Proto se v praxi používá automatizovaného sestavení a správy SA za pomoci softwarového nástroje využívajícího protokolu IKE (Internet Key Exchange) pro výměnu klíčů. Před vytvořením IPsec SA kanálu dojde k sestavení IKE vazby mezi komunikujícími stranami a následné výměně klíčů. Důležitým prvkem procesu sestavení IKE vazby je vzájemné ověření obou stran například pomocí sdíleného klíče nebo certifikátů. Oba IPsec protokoly AH a ESP pracují ve dvou módech. Jedná se o Transport Mode neboli transportní mód a Tunnel Mode neboli tunelovací mód. V transportním módu dochází k zabezpečení jen těla IP paketu, tím jsou zabezpečena pouze data vyšších protokolů, nikoli však hlavička původního IP paketu. Vzhledem k faktu, že původní IP hlavička je téměř beze změny, je možné tento mód používat pouze k zabezpečení provozu mezi dvěma zařízeními, kterým přísluší ad- 40

46 7. VPN resy používané v IP paketech, tedy tento mód nelze použít ke spojení se sítí nebo mezi sítěmi. V případě tunelovacího módu dochází k zabezpečení celého IP paketu a je před něj vložena nová IP hlavička. V tunelovacím módu tak mohou být přenášeny i pakety s adresami, které nepatří koncovým bodům tvořícím pomyslný tunel. Takovým tunelem lze bezpečně spojovat celé sítě. 7.2 TLS/SSL Protokol Transport Layer Security (TLS) 6 je následníkem protokolu Secure Sockets Layer (SSL). Jedná se o protokoly zajišťující bezpečnou komunikaci mezi klientem a serverem pomocí kryptografických mechanismů. Není-li uvedeno jinak, jsou v následujícím textu pod pojem TLS zahrnuty oba protokoly. TLS pracuje jako mezivrstva mezi aplikačním protokolem a transportním protokolem TCP nebo UDP Pracuje tedy jen s přenášenými aplikačními daty, aniž by zasahoval do protokolů nižších vrstev. TLS poskytuje důvěrnost přenášených dat a jejich spolehlivost. Důvěrnost je dosažena použitím symetrického šifrování a spolehlivost pomocí hašování. Při ustavení TLS spojení dochází k ověření identity serveru a volitelně i klienta pomocí certifikátů podepsaných certifikační autoritou, které druhá strana důvěřuje. Taktéž jsou ověřeny další parametry certifikátu, zejména jeho platnost a to zda subjekt certifikátu odpovídá jménu serveru, ke kterému se klient připojuje. V této fázi sestavování zabezpečeného spojení dojde pomocí asymetrické kryptografie k výměně dat, jež jsou posléze využita jako podklad pro tvorbu klíčů použitých pro symetrické šifrování vlastní komunikace mezi klientem a serverem. V oblasti VPN se lze setkat s takzvanou SSL VPN 7. Často prezentovanou výhodou tohoto přístupu je možná absence VPN klienta, respektive jako VPN klient je použit webový prohlížeč. V takovém případě se nejedná o klasickou VPN, kdy dochází k připojení klienta na síťové vrstvě, ale o jakousi formu TLS brány zpřístupňující vybrané aplikace skrze zabezpečené TLS spojení (například firemní portál nebo práce se soubory sdílenými na vnitřní síti). TLS brána 6. Nejnovější specifikace viz. RFC 4346 [41] 7. Příklady konkrétních produktů lze nalézt na [19] a [20] 41

47 7. VPN se zde chová jako proxy, na níž je zakončeno TLS spojení, a dále posílá požadavky do vnitřní sítě organizace. K rozšíření možností SSL VPN s prohlížečem jsou používány různé Java applety nebo ActiveX prvky a právě bohatost těchto rozšiřujících prvků významně ovlivňuje užitnou hodnotu implementací SSL VPN od různých výrobců. Pomocí těchto rozšiřujících prvků pak lze skrz SSL VPN protunelovat" konkrétní port, a tím i provozovat aplikace založené na TCP komunikaci. Existuje-li klientská aplikace ve formě Java appletu nebo ActiveX prvku, lze k dané službě bezpečně přistupovat z jakéhokoliv počítače vybaveného webovým prohlížečem. To však platí jen do té míry, v jaké je možné takovému počítači důvěřovat, protože lze těžko připustit takovýto druh přístupu uživatelů k citlivé službě z kdejakého počítače v internetová kavárně. Alternativou k předchozímu přístupu je použití plnohodnotného SSL VPN klienta, kdy dochází k zabalení celého síťového provozu do TLS a je umožněna plnohodnotná směrovaná komunikace se sítí organizace. Tento přístup implementuje například software Open- VPN[27]. Výhodou tohoto způsobu SSL VPN oproti IPsec může být užití UDP nebo TCP jako přenosových protokolů, u kterých je větší pravděpodobnost, že nebudou ve veřejné síti blokovány. Lze se totiž setkat se sítěmi, které poměrně striktně omezují odchozí provoz, a jediným způsobem, jak se z nich spojit pomocí VPN, je použití SSL VPN nad TCP protokolem a s cílovým portem 80 nebo 443. V případě užívání SSL VPN s plnohodnotným klientem lze doporučit preferování transportního protokolu UDP před TCP. UDP svým charakterem více odpovídá samotnému IP (nespojovaný a bezstavový), který přenáší. Je-li pro SSL VPN použit jako transportní protokol TCP, může docházet k nežádoucím jevům v důsledku balení TCP/IP do nových TCP/IP paketů PPTP Mezi další protokoly poměrně často používané pro tvorbu VPN spojů patří také protokol PPTP[43]. Point-to-point tunneling protocol byl vyvinutý konsorciem několika firem a mezi jinými se na jeho vývoji 8. Na výpadek spojení pak mohou reagovat obě TCP vrstvy. Dochází ke zdvojené režii pro udržování spojované služby. 42

48 7. VPN podílela i firma Microsoft. Ačkoliv je PPTP popsán pomocí RFC, nebyl tento protokol IETF uznán jako standard a toto RFC má pouze informativní charakter. Silnou stránkou PPTP po jeho vzniku, bylo jeho nativní začlenění do operačních systémů firmy Microsoft, jako prvního podporovaného protokolu pro VPN, čímž došlo k jeho rozšířenému používání pro tvorbu Client-to-LAN VPN. Existují také implementace pro další operační systémy a protokol je podporován výrobci síťového HW. PPTP je klient/server protokol a ke své činnosti využívá protokoly PPP 9 a GRE 10. PPP je protokol linkové vrstvy používaný pro spoje mezi dvěma uzly. Obvykle je toto spojení realizováno přes sériový spoj, ale existují i jeho varianty pracující nad Ethernetem nebo ATM. GRE je čistě tunelovacím protokolem pro přenos různých protokolů síťové vrstvy pomocí jiného protokolu síťové vrstvy a je navržen jako bezstavový. GRE je používáno například pro tunelování IPv6 paketů skrze IPv4 síť. PPTP přenáší normální PPP rámce mezi koncovými body PPTP spoje pomocí GRE, kdy jako přenášejícího protokolu je použito IPv4 a mezi koncovými body je vytvořen plnohodnotný PPP spoj, tj. spojení na linkové vrstvě. Ještě před zahájením komunikace mezi konci PPTP spoje je mezi nimi vytvořena jedna TCP relace, která je použita pro sestavení PPTP spojení (autentizace a nastavení parametrů spoje) a následně k řízení GRE tunelu. Data přenášená pomocí PPTP lze šifrovat pomocí Microsoft Point-to-Point Encryption (MPPE)[23] a pro autentizaci spojení lze použít MSCHAP-v2[24] nebo EAP/TLS[26]. Avšak i při použití nejsilnějších možností, které protokol PPTP nabízí, sebou jeho nasazení pro tvorbu VPN nese značné bezpečnostní problémy 11 o proti výše zmíněným protokolům IPsec nebo TLS/SSL, a proto jej lze spíše nedoporučit. Naopak pro hovoří snadnost jeho nasazení a přímá podpora v OS firmy Microsoft, kde však již začíná být dostupná i kombinace L2TP/IPsec. 9. Point-to-Point Protocol[44] 10. Generic Routing Encapsulation^] 11. Více v [29] 43

49 7.4 L2TP 7. VPN Posledním protokolem zmiňovaným pro tvorbu VPN bude L2TP neboli Layer 2 Tunneling Protocol. L2TP je následníkem protokolů L2F 12 a PPTP, vztahuje se na něj řada RFC a je tvořen stejnou skupinou, která stála za zrodem PPTP. Původně byl L2TP zveřejněn jako navrhovaný standard IETF v RFC2661[47], někdy je též označován jako L2TPv2 13. Novější verze protokolu L2TPv3 je popsána v RFC3931[52]. L2TP simuluje linkový spoj mezi dvěma uzly zapojenými v již existující paketové síti a obvykle se jedná právě o IP síť, i když může být použito i MPLS, Frame Relay nebo ATM. L2TP nad IP je přenášen pomocí UDP protokolu, kdy je do UDP datagramu zabalen celý L2TP paket. L2TPv3 specifikuje i fungování přímo nad IP, ale výhodou práce s UDP je lepší možnost průchodu skrze NAT 14 nebo firewall. Obvykle je skrze L2TP tunel přenášen PPP protokol, ale samozřejmě mohou být přenášeny i jiné protokoly linkové vrstvy, jako jsou Ethernet nebo Frame Relay. L2TP neposkytuje žádné kryptografické bezpečnostní mechanismy, proto dochází-li k přenášení L2TP přes veřejnou resp. nedůvěryhodnou IP síť, což je právě případ jeho použití pro tvorbu VPN, je pro zabezpečení L2TP provozu používán IPsec. Tento způsob užívání bývá označován jako L2TP/IPsec. Zabezpečení L2TP pomocí IPsec se věnuje RFC3193[53] a ačkoliv popisuje zabezpečení L2TP nad protokolem UDP, specifikace L2TPv3 toto přejímá a doplňuje pro nasazení přímo nad protokolem IP Navazování L2TP tunelu probíhá podobně jako v případě PPTP v režimu klient/server. LAC neboli L2TP Access Concentrator je klientem požadujícím vznik tunelu a LNS nebolil2tp Network Server je serverem čekajícím na iniciaci tunelu od klienta. Po sestavení tunelu je provoz mezi jeho konci obousměrný. L2TP rozlišuje mezi kontrolními a datovými pakety. Pro kontrolní pakety, které řídí tunel, je zajištěna spolehlivost jejich doručení, ale pro datové pakety tomu tak není a je-li spolehlivost doručení požadována, musí ji zajistit některý z protokolů vyšších vrstev pracující uvnitř tunelu. 12. Layer Two Forwarding protokol firmy Cisco. Více v RFC2341[46] 13. Verze 2, protože za verzi jedna je považován L2F 14. Network Addres Translation 44

50 Kapitola 8 IP adresy zařízení a DNS Aby mohla zařízení komunikovat pomocí protokolu IP musí být vybavena IP adresou a základními znalostmi o síti, do které jsou připojena. Zejména se jedná o síťovou masku a bránu pro komunikaci mimo přímo připojenou síť. Samotné IP adresy jsou však pro koncového uživatele velice nepraktické, neboťpro člověka je snadněji zapamatovatelné jmenné označení než číselné. Druhou výhodou užívání jmen namísto IP adres je vznik určité abstrakce, která umožňuje používání jednoho jména pro konkrétní zařízení nebo službu i v případě, že se IP adresa mění. Například provozovateli portálu je umožněno měnit jeho IP adresu 1, aniž by bylo nutné o tom informovat koncové uživatele, nebo u nich provádět změny v konfiguraci. Koncové zařízení tedy musí znát i IP adresu DNS serveru, který bude používat pro překlad jmen na IP adresy. Nastavení základních parametrů pro IP (IP adresa, maska, brána, DNS servery) je možné provádět staticky, tzn. nějaká osoba nebo robot musí obejít všechna zařízení a nakonfigurovat na nich výše uvedené parametry, nebo dynamicky, kdy si připojená zařízení vyžádají potřebné parametry a sama si je nastaví. Pro dynamickou konfiguraci je nejčastěji používán protokol DHCP Statickou konfiguraci lze zvládat jen při velice nízkém počtu zřízení, protože jakákoliv změna, například IP adresy DNS serveru, v tomto případě znamená ruční rekonfiguraci všech zařízení. Navíc mohou existovat zařízení, která přechází mezi různými sítěmi, a bylo by nutné jejich nastavení měnit při každém přechodu. Dynamická konfigurace řeší oba předešlé problémy, protože změna konfigurace znamená změnu jen na jednom místě a cestující zařízení se mohou dynamicky zkonfigurovat 1. Aťuž jde o přestěhování vlastních služeb do jiného IP rozsahu, nebo o přesměrování uživatelů na záložní data centrum. 45

51 8. IP ADRESY ZAŘÍZENÍ A DNS při každém připojení, aniž by bylo nutné měnit jejich konfiguraci. Na druhou stranu má dynamická konfigurace jedno riziko v podobě podvržení falešných parametrů pro IP Síťové prvky mohou být vybaveny funkcemi, které dokáží tento typ útoku eliminovat. Například kontrola DHCP paketů zmíněná v části Přidělujeme-li konkrétní VLÁN IP adresy dynamicky, můžeme zvolit dvě strategie. První možností je přidělování pevných adres, tzn. jedno zařízení dostává vždy stejnou IP adresu a vystačíme se staticky definovanými záznamy v DNS. Druhou možností je přidělování dynamických adres, kdy jsou adresy jednotlivým zařízením přidělovány postupně z nějakého rozsahu použitelného v dané VLÁN. V tomto případě však může vyvstat požadavek na to, aby bylo konkrétní zařízení dostupné vždy pod stejným jménem a je nutné využít funkcí tzv. dynamického DNS 2. Je obvyklé, že existují VLÁN 3, kde jsou přidělovány pevné adresy, i VLAN^, v nichž se používají dynamické adresy. Přidělování pevných adres zařízením má dále jednu důležitou výhodu. Pokud potřebujeme dohledat koncové zařízení z historických záznamů IP komunikace 5, je snazší jej zjistit podle IP adres komunikujících stran, protože víme, že IP stále odpovídá stejnému zařízení, jinak bychom museli dohledávat, jakému zařízení byla v době zaznamenané komunikace IP adresa přidělena. 8.1 Evidence IP adres a jmen Ve větších sítích je nutné vést evidenci použitých rozsahů IP adres v jednotlivých VLÁN a přiřazení IP adres a názvů zařízením s pevnými IP adresami. Tato evidence tvoří část dokumentace celé sítě a slouží i jako podklad pro její další rozvoj. S její pomocí lze zjistit zaplnění jednotlivých IP podsítí a včas podniknout kroky k tomu, aby nedošlo k situaci, že je třeba alokovat další IP adresu a již není kde. Informace obsažené v takovéto evidenci se nacházejí též v konfigu- 2. Více např. v [32] 3. Počítače v kancelářích 4. Připojení návštěvníků s přístupem k vybraným službám 5. Např. při zjištění zneužití sítě nás zajímá, kterých zařízení se bezprostředně týkalo. 46

52 8. IP ADRESY ZAŘÍZENÍ A DNS račních souborech služeb a zařízení, ale používat tyto soubory jako dokumentaci samotnou je velice nepraktické např. v případě vyhledávání, obzvláště je-li jich více, a obvykle ani nemohou poskytovat informace v agregované a ucelené podobě. Například konfigurační soubor pro DHCP s vazbami IP adres na MAC adresy sice jednoduše poskytne informaci, jakému zařízení je konkrétní IP adresa přidělena, ale již ne informaci o množství volných IP adres 6, o DNS jméně daného zařízení či kdo je za zřízení odpovědný. Takto prezentovanou evidenci by patrně bylo možné zvládnout i prostřednictvím tabulkového procesoru, případně textových souborů. Věčným problémem evidence, která vzniká až na základě konfigurací jednotlivých služeb nebo zařízení, je její aktuálnost, tedy míra, jakou evidence odpovídá reálnému stavu. Činnost opírající se o zastaralou evidenci (dokumentaci) nemůže vést k dobrému výsledku. Z tohoto důvodu je vhodné obrátit závislost mezi konfigurací jednotlivých služeb nebo zařízení a zmiňovanou evidencí, aby konfigurace sama nebyla zdrojem pro tvorbu evidence, ale evidence byla podkladem pro tvorbu konfigurace. Takovéto pojetí evidence však vyžaduje integraci všech služeb, které na ni budou navázány. V případě IP adres a DNS jmen půjde o služby DHCP a DNS. Pokud pojmeme evidenci tak, jak je uvedeno v předchozím odstavci, získáme, vedle vždy aktuální dokumentace, další výhodu v podobě centralizace správy prostředků navázaných na tuto evidenci. Dojde-li ke změně umístění zařízení v síti, nemusíme ručně upravovat konfigurace na více místech, ale provedeme změnu pouze na jednom, a to nastavením nové IP adresy zařízení v evidenci. Úprava konfigurace služeb DHCP a DNS je následně zajištěna automaticky. S evidencí pak může pracovat i správce bez znalostí detailů o konfiguraci použitých DHCP nebo DNS serverů, na nějž lze delegovat vybrané rutinní úlohy, na které dříve jeho znalosti nestačily. 8.2 DHCP Dynamic Host Configuration Protocol 7 je protokol používaný DHCP klienty k získání základních parametrů IP nutných pro používání 6. Pomineme-li možnost ručního počítání IP adres. 7. Základní specifikace v [48] a [49] je rozšířena řadou dalších RFC viz. [38] 47

53 8. IP ADRESY ZAŘÍZENÍ A DNS sítě. Tyto parametry poskytne klientovi DHCP server v závislosti na své konfiguraci a také mu sdělí, jak dlouho jsou pro něj tyto parametry platné. Po uplynutí doby platnosti musí klient opět požádat DHCP server o přidělení těchto údajů a ten může klientovi ponechat původní nastavení nebo přidělit nastavení jiné. Po připojení do sítě jsou pakety od DHCP klienta k serveru posílány jako broadcast a naopak od serveru ke klientovi jako unicast. 8. Použití broadcastu je logické, protože klient při připojen netuší, kde se nachází server. Vedle rolí DHCP klienta a serveru je důležitá role DHCP relay agenta přeposílajícího DHCP pakety v případě, že klient a server nejsou připojeni do stejné broadcastové domény. DHCP relay agent je umístěn na směrovací, který připojuje klienta k síti. Přijímá pakety od klientů, vkládá do nich informace o tom, z jaké sítě pocházejí 9, a přeposílá je na IP adresu DHCP serveru. V kombinaci s DHCP relay agenty je možné používat jediný DHCP server, případně více ve vysoce dostupné konfiguraci, pro přidělování IP adres a dalších parametrů v celé síti z jednoho místa, což usnadňuje správu celé sítě. DHCP klientem je dnes vybaveno snad každé síťové zařízení. DHCP servery a relay agenti jsou dostupní pro řadu operačních systémů i ve většině směrovačů, od produktů určených pro domácí použití až po nasazení ve velkých sítích. U DHCP serveru je v případě velkých sítí důležité, zda podporuje všechny požadované funkce 10 a jakým způsobem jej lze integrovat s dalšími službami a nástroji evidence sítě. 8.3 DNS Domain Name System 11 byl primárně navržen k převádění doménových jmen na IP adresy a naopak. Je však využíván i dalšími aplikacemi, kde slouží jako prostředek pro získání informací o místě obsluhy služby požadovaného typu. Příkladem je využití MX záznamů 8. Klient posílá DISCOVERY, očekává OFFER, následně vyšle REQUEST a očekává ACKNOWLEDGE 9. IP adresa rozhraní, kterým byl paket přijat 10. Např. autentizaci DHCP zpráv 11. Podrobněji např. v [33] včetně odkazů na řadu vztahujících se RFC. 48

54 8. IP ADRESY ZAŘÍZENÍ A DNS pro získání adres serverů pro příjem pošty nebo SRV záznamů užívaných např. aplikacemi IP telefonie pro lokalizaci VoIP bran. Dále je DNS používán pro uložení a poskytování informací pro Sender Policy Framework [34]. Z hlediska poskytování DNS služeb organizací je můžeme rozdělit na dva typy. DNS služby určené klientům z Internetu. Jedná se o autoritativní DNS pouze pro dotazy týkající se domén spravovaných organizací a jejích veřejných IP adres. Dotazy na jiná jména služba nezodpovídá 12. DNS služby určené klientům z vnitřní sítě. Do tohoto bodu patří poskytování DNS služeb pokrývající vnitřní jmenný prostor organizace postavený na privátních IP adresách a DNS cache pro dotazy klientů, které je nutné zodpovídat pomocí DNS serverů mimo organizaci. Nasazení DNS cache umožňuje snížení množství DNS dotazů ze sítě organizace a zrychlení odpovědí dotazy klientů, které se opakují. Snížení množství DNS dotazů zatěžuje méně linky, které organizaci připojují, i jiné DNS servery. DNS je vedle samotné konektivity koncových zařízení jednou ze stěžejních služeb v síti, na níž jsou ostatní služby obvykle více než-li méně závislé. Proto je třeba zvláště dbát na zajištění vysoké dostupnosti této síťové služby. Minimem je používání více DNS serverů, což někdy nestačí, neboť klienti při výpadku primárního DNS serveru čekají na čas vypršení spojení, než se začnou dotazovat záložních DNS serverů. Tento problém lze vyřešit např. nasazením dvou strojů, dostupných na adrese primárního DNS serveru v režimu Failover clusteru. Existuje řada implementací DNS serverů, které podporují rozdílné množství funkcí. Výčet těch nejznámějších implementací lze nalézt např. v [35]. Stránka obsahuje i informace o podpoře vybraných vlastností jednotlivými implementacemi. Při výběru DNS serveru je velice důležité, podobně jako v případě DHCP serveru, jakým způsobem zapadá do celkové síťové infrastruktury organizace. Zejména 12. Jinak by byla zneužitelná jako tzv. Open DNS server [36] 49

55 8. IP ADRESY ZAŘÍZENÍ A DNS jde o podporu požadovaných vlastností a šíři možností jejich konfigurace. Dále pak o způsob, jakým lze DNS server napojit na systém evidence IP adres a jmen. 50

56 Kapitola 9 Řízení přístupu uživatelů k prostředkům sítě Většinou pro užívání prostředků počítačové sítě organizace platí, že musíme být schopni určit konkrétní osobu, která je za toto užívání odpovědná, aby mohla být postižena v případě jejich zneužití. Lze stanovit odpovědnost uživatelů za provoz jim svěřených zařízení nebo vyžadovat ověření uživatele při přístupu k prostředkům sítě. U řady prostředků v organizaci také vyžadujeme 1, aby s nimi mohli pracovat jen oprávnění uživatelé. Základním kamenem pro řízení přístupu uživatelů k prostředkům počítačové sítě je systém správy identit. Tento systém unifikuje přihlašovací údaje uživatelů - jednotný login, dbá na dostatečnou sílu ověřovacích údajů - sílu hesla, platnost certifikátů, automaticky zakládá a ruší přístupová práva uživatelů podle jejich vztahu k organizaci a nastavených pravidel - nároků na různé typy přístupu. Podstatnou vlastností systému správy identit je jeho integrovatelnost se všemi 2 systémy v organizaci, které vyžadují ověřování uživatelů. V oblasti řízení přístupu se často setkáme se zkratkou AAA 3, jejíž český význam je autentizace - ověření totožnosti uživatele, autorizace - povolení přístupu, nastavení přístupových práv 4 a účtování - získání údajů o využívání konkrétního prostředku Příkladem může být bezdrátová síť, přístup k VPN nebo do informačních systémů organizace. 2. Souborové a poštovní servery, informační systémy, síťová zařízení apod. 3. Authentication, Authorization, Accounting 4. V oblasti sítí se může jednat například o zařazení uživatele do určité VLÁN, přiřazení specifické IP adresy, nastavení maximální šířky pásma. 5. Například množství přenesených dat nebo doba připojení. 51

57 9. ŘÍZENÍ PŘÍSTUPU UŽIVATELŮ K PROSTŘEDKŮM SÍTĚ 9.1 RADIUS RADIUS 6 je protokolem pro přenos AAA údajů mezi RADIUS serverem a klientem tzv. NAS 7 zařízením. NAS zařízením může být například přístupový bod bezdrátové sítě, přepínač nebo VPN koncentrátor. Klient 8 nejdříve získá přístup k NAS zařízení, jež jej vyzve k ověření a zprostředkuje jeho komunikaci s RADIUS serverem, který obdrží ověřovací údaje klienta a rozhodne o povolení nebo zamítnutí přístupu. V případě povolení přístupu může RADIUS server poslat rozšiřující autorizační informace týkající se kupříkladu umístění klienta do určité VLÁN. Ověření klienta RADIUS serverem může probíhat podle různých schémat, kdy RADIUS server komunikuje přímo s klientem pomocí protokolu EAP 9 a NAS zařízení pouze přeposílá data, nebo NAS zařízení samo získá přístupové údaje klienta 10 a samo komunikuje s RADIUS serverem protokoly jako PAP, CHAP. NAS zařízení také posílá RADIUS serveru účtovací informace o připojení klienta, zejména na začátku a konci připojení. Existuje řada implementací RADIUS serveru, ať již jde o volně dostupné implementace nebo komerční produkty. Pro nasazení RADIUS serveru je důležité, jakým způsobem jej lze integrovat se systémem správy identit používaným v organizaci X 802.IX 11 je IEEE standard pro tzv. port-based řízení přístupu k LAN na druhé vrstvě. S 802.IX se setkáváme především u přístupových bodů bezdrátové sítě a přepínačů. Po připojení klientského zařízení k portu přepínače nebo přístupového bodu na první 12 vrstvě je port v neautorizovaném stavu. V tomto stavu může být na druhé vrstvě blo- 6. Remote Authentication Dial In User Service, vice viz RFC 2865 [50] a RFC 2866 [51]. 7. Network Access Server 8. V tomto případě uživatelské zařízení - notebook, stanice. 9. Viz [26]. 10. Způsob získání je závislý na konkrétním NAS zařízení. Např. může postačovat MAC adresa nebo dojde k přenosu jména a hesla proprietární cestou. 11. Detailně viz. [12] 12. Propojení kabelem nebo radiovým signálem. 52

58 9. ŘÍZENÍ PŘÍSTUPU UŽIVATELŮ K PROSTŘEDKŮM SÍTĚ kován veškerý provoz vyjma autentizačních rámců protokolu EAP, nebo je zařízení zařazené v tzv. Guest VLÁN, kde disponuje omezeným přístupem k síti organizace. Jakmile přepínač nebo přístupový bod detekuje nově připojené zařízení, vyzve je k provedení autentizace a přeposílá autentizační zprávy mezi klientským zařízením a AAA serverem - obvykle RADIUS server. Pokud AAA server zařízení autorizuje k přístupu, přejde port do autorizovaného stavu, kdy je zrušeno blokování provozu na druhé vrstvě, nebo dojde k zařazení klientského zařízení do jiné VLÁN, například podle autorizačních informací RADIUS serveru nebo nastavení portu. 802.IX vyžaduje přítomnost speciálního sw na klientském zařízení, tzv. 802.IX supplicant, který je dostupný nebo přímo integrovaný v řadě operačních systémů. Výhodou 802.IX je ochrana sítě před neautorizovaným přístupem již na druhé vrstvě. Klientské zařízení se může autentizovat identitou vlastní nebo identitou uživatele, který na něm pracuje. 53

59 ČÁST II SÍŤ MZLU V BRNĚ

60 Kapitola 10 Představení sítě Služeb počítačové sítě Mendelovy zemědělské a lesnické univerzity v Brně (MZLU) využívá více než 1500 zaměstnanců a studentů. V současné době evidujeme téměř 6000 zařízení připojitelných k počítačové síti. Největší část sítě představuje kampusová síť v univerzitním kampusu v Brně-Cerných Polích. Část sítě je také umístěna v Lednici na Moravě, kde sídlí Zahradnická fakulta. Součástí sítě jsou i dvě lokality univerzitních kolejí. Mimo užívání běžných počítačů v kancelářích nebo učebnách mají uživatelé možnost připojit i vlastní přenosná zařízení 1. Mohou k tomu využít WiFi sítě nebo speciální volně přístupné datové zásuvky. Pro přístup zaměstnanců k univerzitní síti z domova nebo cest je dostupné VPN řešení. Podstatnou roli při správě univerzitní sítě hraje technologický subsystém Univerzitního Informačního Systému (UIS) a to zejména jeho součásti systém správy identit a systém pro správu univerzitní sítě, který zajišťuje zejména evidenci všech zařízení a VLÁN, konfiguraci portů v přístupové vrstvě sítě a generování konfigurací pro služby DHCP a DNS. Téměř všechny aktivní prvky v síti jsou nyní výrobky společnosti Cisco s operačním systémem IOS. Během posledních čtyř let proběhl přechod na tuto platformu. Výhodou homogenizace síťových zařízení je snazší správa a jednodušší implementace vlastních nástrojů pro správu sítě. 1. Notebook, PDA apod. 55

61 Kapitola 11 Technologický subsystém UIS Univerzitní Informační Systém 1 je webovým informačním systémem vyvíjeným na půdě MZLU v Brně. Systém slouží k podpoře hlavní činnosti univerzity - pedagogické a vědecko-výzkumné. Postupem času do něj byly implementovány i další součásti, z nichž v následujícím textu přiblížíme ty, které souvisí s provozem univerzitní sítě a zařazujeme je do tzv. Technologického subsystému UIS. Cílem tohoto subsystému je maximálně automatizovat a zjednodušit správu síťové infrastruktury Systém Jednotné Autentizace Systém Jednotné Autentizace 2 je systém správy identit, který automatizuje řadu činností souvisejících s přidělováním přístupu k prostředkům počítačové sítě. Jedná se o správu přihlašovacích jmen a hesel, kontrolu síly hesel a přidělování přístupu k jednotlivým prostředkům na základě pravidel, která v UIS definují jejich správci. Definice těchto pravidel může být poměrně 3 bohatá, neboťv UIS je řada informací o všech osobách majících nějaký vztah k univerzitě. Přidělení nebo odebrání nároku na určitý prostředek se děje zcela transparentně a bez zásahu správce, jakmile UIS zaznamená změnu informací o člověku 4. V případě ukončení nároku na prostředek umožňuje systém informovat uživatele prostřednictvím ové zprávy. 1. Množství dalších informací lze získat z [15]. 2. Podrobně je popsán v autorově bakalářské práci [3]. 3. Pro specifikaci nároku lze použít kombinaci řady podmínek. Příkladem může být zaměstnanec daného ústavu, aktivní student, student studijního programu, ubytovaný na kolejích nebo učitel předmětu v dané místnosti. 4. Zápis studenta, přenos dat z personálního systému. 56

62 11. TECHNOLOGICKÝ SUBSYSTÉM UIS Systém využívá sítě LDAP replik, do nichž generuje všechna potřebná data pro napojené systémy, jež jej využívají k autentizaci a autorizaci uživatelů. V současné době je na systém jednotné autentizace napojena řada unixových systémů, učebny se stanicemi MS Windows 5, stravovací systém, systém pro autentizaci uživatelů při připojení k tzv. VPM zásuvkám 6 a RADIUS server pro ověřování uživatelů WiFi a VPN. Díky systému jednotné autentizace mohou uživatelé používat v celé síti jedno přihlašovací jméno a heslo Systém správy sítě Ke vzniku systému správy sítě vedly tři hlavní důvody: zabránit neoprávněným přesunům zařízení bez vědomí správců sítě, pořídit elektronickou dokumentaci sítě pokud možno vždy aktuální, umožnit provádění rutinních operací technikům bez znalostí všech technologií. Obvyklým problémem bylo, že uživatelé sami přepojovali svá zařízení do jiných zásuvek v rámci místnosti nebo je stěhovali, což vedlo ke zmatkům při zjišťování, kam je zařízení připojeno a kde se nachází. Pokud byla nějaká dokumentace o připojených zařízeních, okamžitě byla přesunem zneplatněna. Dokumentaci sítě představovalo množství sešitů a papírů s poznámkami a nákresy. Rada věcí byla dokumentována málo nebo byla dokumentace zastaralá. V případě připojení zařízení bylo běžné, že jeden správce konfiguroval přepínač, jiný upravoval konfiguraci DNS serveru a další měnil konfiguraci DHCP Sladění všech činností dohromady, aby uživatel měl co nejdříve plnohodnotně připojené zařízení, nefungovalo vždy ideálně. Systém správy sítě dokumentuje celou počítačovou síť. Jsou v něm evidována propojení všech zařízení metalickým nebo optickým kabelem a konfigurace portů všech zařízení. Součástí informací o portu může být MAC adresa, IP adresa, DNS jméno, VLÁN a údaje o jeho propojení s jiným portem včetně čísla zásuvky. Systém samozřejmě při zadávání kontroluje, aby IP adresa nebyla již použita, odpovídala 5. Prostřednictvím NT domény se SAMBA serverem. 6. Jde o zásuvky primárně určené pro připojení notebooků uživatelů a přesněji bude vysvětleno v části S jednou malou výjimkou týkající se VPN přístupu. 57

63 11. TECHNOLOGICKÝ SUBSYSTÉM UIS adresnímu rozsahu v zadané VLÁN a DNS jméno mělo správnou doménu. Protože v univerzitní síti je nejvíce změn způsobeno zapojováním a přepojováním koncových zařízení do přístupové vrstvy, je tento proces co nejvíce automatizován. Na základě výše zmíněných informací o portech dojde k automatické konfiguraci všech přepínačů v přístupové vrstvě sítě a serverů DNS a DHCP Technik, po zapojení koncového zařízení do portu přepínače, zanese nové údaje nebo provedené změny do UIS, který po čase automaticky zařídí konfiguraci síťové infrastruktury, aby mohlo zařízení na síti pracovat. Pro konfiguraci přepínačů v přístupové vrstvě slouží skript, který se na přepínač přihlásí, zkontroluje jeho nastavení a případně provede změny, aby konfigurace přepínače odpovídala informacím uloženým v systému správy sítě. Tento skript může kontrolovat celou konfiguraci zařízení nebo jen vybrané porty, jejichž konfigurace se v UIS změnila. Je-li do portu přepínače podle UIS připojeno běžné 8 koncové zařízení, přiřadí skript port do VLÁN, která je zadaná u portu koncového zařízení. Dále pomocí funkce Port Security 9 nastaví na port omezení pouze na MAC adresu připojeného zařízení. Má-li být dle UIS připojen např. přístupový bod pro bezdrátovou síť, je port nakonfigurován jako 802.IQ trunk a jsou na něm povoleny jen VLÁN pro bezdrátovou síť. Pokud do portu přepínače nemá být zapojeno žádné zařízení, skript zařadí port do speciální VLÁN pro porty bez konfigurace. V případě mylného připojení zařízení do portu z této speciální VLÁN je tomuto zařízení poskytnuta IP konfigurace 10 a při pokusu o přístup na jakoukoli www stránku je mu zobrazena informace o připojení do neaktivního portu s kontaktními informacemi na síťové techniky. Funkce Port Security brání připojení zařízení s jinou MAC adresou než je evidováno v UIS, do portu přepínače. Tím dosahujeme stavu, kdy není možné zařízení jednoduše 11 přesouvat mezi porty přepínače nebo připojovat zařízení cizí. Při kombinaci Port Security 8. Počítač, síťová tiskárna 9. Funkce pro omezení a filtrování MAC adres na portu přepínače v systému IOS. 10. Zařízení získá IP adresu ze zcela odlišného IP prostoru, než se v organizaci běžně používá, aby ji bylo možné na první pohled odlišit. 11. Bylo by nutné správně změnit MAC adresu. 58

64 11. TECHNOLOGICKÝ SUBSYSTÉM UIS s DHCP Snooping 12, Dynamic ARP Inspection 13 a IP Source Guard 14 můžeme vynutit, aby všechna zařízení musela získat IP z DHCP serveru a používala právě tuto IP adresu, která je do DHCP serveru nastavena z UIS, jinak bude její IP provoz blokován. Poznamenejme, že abychom zabránili úplně možnosti přesunů nebo připojení cizích zařízení, nestačí použít filtrování MAC adres, ale je nutné nasadit silnější řešení na druhé vrstvě v podobě 802.IX. Správci mají dostupnou aplikaci pro evidenci sítí, kde nastavují IP vlastnosti 15 pro jednotlivé VLÁN a též vidí jejich obsazenost. Další důležitou sadou aplikací je evidence zařízení s vyhledáváním podle různých 16 kritérií. V těchto aplikacích se zadávají informace o zařízení a jejich portech a je možné procházet topologii sítě Doplňkové aplikace Pro využívání několika prostředků univerzitní sítě, potřebují uživatelé získávat osobní certifikát. Tuto službu jim opět zprostředkuje UIS, ve kterém dojde k vygenerování a podepsání uživatelského certifikátu s omezením doby platnosti na půl roku a uživatelé mají možnost si jej po celou dobu jeho platnosti stáhnout nebo vygenerovat nový. Půlroční lhůta se dosud jeví jako vyvážená z hlediska bezpečnosti i uživatelské přívětivosti používání ověřování 17 certifikáty. UIS dále zpřístupňuje statistiky o využívání některých 18 prostředků univerzitní sítě. Dostupné jsou informace o době i místu připojení a množství přenesených dat. Uživatelé vidí jen vlastní údaje a správci mohou získat agregované i detailní informace. Poslední zmiňovanou aplikací je tzv. ovládání skupin zařízení. Tato aplikace umožňuje zakázat nebo povolit přístup k Internetu ze zařízení v předem správci definované skupině. Obvykle se jedná o počítačové učebny, kde tuto funkci využívají někteří učitelé. UIS je inte- 12. Funkce sledování a kontroly DHCP paketů. 13. Funkce inspekce ARP paketů. 14. Funkce kontroly zdrojové adresy IP paketů. 15. Adresa sítě, maska, brána 16. Název, DNS jméno, IP adresa, MAC adresa 17. Při autentizaci certifikátem probíhá vždy i autorizace přístupu Systémem Jednotné Autentizace. 18. WiFi, připojení k VPM nebo z kolejní sítě. 59

65 11. TECHNOLOGICKÝ SUBSYSTÉM UIS grován s firewallem před univerzitní sítí tak, že může provést okamžitou změnu některých pravidel, která má za následek odepření nebo povolení přenosu paketů mezi Internetem a skupinou IP adres na vnitřní síti univerzity. 60

66 Kapitola 12 Kampusová síť Černá Pole Jak již bylo zmíněno v úvodu této části práce, největší část univerzitní sítě je kampusová síť v Černých Polích. Označení kampusová odpovídá jejímu umístění v univerzitním kampusu i popisu z druhé kapitoly této práce. Původně byla topologie sítě podobná hvězdě s centrem v budově A, kde byly vedle připojení k Internetu umístěny i centrální servery univerzity. Po stavbě nové budovy Q 1 došlo k přesunu centra sítě do této budovy, kam se přesunuly všechny servery i připojení k Internetu. Došlo také k pokládce nových optických kabelů, aby mohla vzniknout páteř kampusové sítě, která bude odolná proti výpadku linek nebo zařízení Páteřní síť Většina VLÁN v síti je lokálních, nevyskytují se na páteřní síti a provoz mezi nimi je přenášen směrováním. Do těchto VLÁN jsou zařazována běžná zařízení v kancelářích a učebnách. V síti však existuje i několik End-To-End VLÁN, které se rozkládají mezi více budovami, nebo jsou rozšířeny po celé kampusové síti. Tyto VLÁN používáme pro oddělení provozu, který nesmí v žádném případě přijít do styku s provozem na běžné vnitřní síti. Jedná se o VLÁN určené pro WiFi, VPM, správu síťových zařízení, systém řízení vytápění a připojení kiosků nebo tenkých klientů. Každá End-To-End VLÁN má vlastní instanci Rapid Per-VLAN Spanning Tree 2 protokolu, který obstarává odstranění smyček na páteřní síti pro danou VLÁN a její dostupnost při výpadku uzlu nebo spoje. Vzhledem k nízkému počtu End- 1. V roce Proprietární verze RSTP společnosti Cisco. 61

67 12. KAMPUSOVÁ SÍŤ ČERNÁ POLE To-End VLÁN považujeme toto řešení za snáze provozovatelné než udržování konfigurace MSTP. Zásadním rizikem způsobu oddělení provozu na páteřní síti pomocí End-To-End VLANje možnost, že problém v některé z těchto VLÁN způsobí zahlcení zařízení páteře. Proto do budoucna plánujeme přechod na jiný způsob oddělení provozu. Problém izolace různých typů provozu by bylo možné řešit i nastavením access listů na páteřních směrovacích, ale došlo by k problémům se směrováním a udržování access listů na několika místech se nám jeví jako příliš náročné. Proto se zatím do budoucna jeví jako perspektivní nasazení technologie VRF-lite 3, kterou by naše zařízení měla být schopna zvládnout. Stávající zapojení páteřní sítě ukazuje obrázek 12.1, v němž každý ze šesti obdélníků představuje páteřní prvek v budově. Vedle obrázku prvku je označení budovy, typ prvku 4, název a IP adresa pro jeho správu. Dále je u každého prvku uvedena informace o sítích, které jsou z něj inzerovány směrovacím protokolem a číslo OSPF oblasti v níž se tyto sítě nacházejí. Páteřní síťpředstavuje jádro a distribuční vrstvu celé kampusové sítě. Z finančních důvodů nejsou páteřní prvky budov redundantní a nelze oddělit distribuční vrstvu od jádra sítě. K této změně by mělo dojít letos nebo nejpozději příští rok. Prozatím má na klíčové prvky sítě univerzita uzavřenu servisní smlouvu s garantovanou dobou odstranění problému. Navíc pro prvky na budovách Q a E používáme tzv. In-Box Redundancy 5 a pro zbylé prvky máme k dispozici jedno záložní zařízení. Propojení mezi páteřními prvky je realizováno 802.IQ trunky na gigabitovém Ethernetu, přičemž mezi budovami Q a A je použita agregace linek, z důvodu zvýšeného provozu mezi těmito budovami. Na každém trunku jsou přenášeny End-To-End VLÁN a konkrétní VLÁN z rozsahu 30 až 36 pro směrování běžného provozu mezi sousedními prvky. Pro výměnu směrovacích informací používáme protokol OSPF, který umožňuje rychlou konvergenci, sumarizaci adresních rozsahů 3. Jde o způsob virtualizace směrovače pomocí více virtuálních směrovacích tabulek a k nim přiřazených rozhraní a směrovacích procesů. 4. Jedná se číselné označení prvků řady Cisco Catalyst. 5. Modulární prvky řady C65xx lze vybavit více řídícími jednotkami - Supervisor Engine a v případě selhání aktivní jednotky, přebírá řízení prvku jednotka záložní. 62

68 H O ph ^< 2 w >U T C3550 Core T VLAN /30 >H VLAN /30 OSPF Area 2 O VLAN 301 en /25 >0) P-H (N Q C6509 Vrtišpunt ^ OSPF Area 1 GÍ3/10 GiO/8 V L A N /30 Gi 1/31.37 Gi 0/10.38 A C3550 Core A OSPF Area 5 > o V L A N /30 GiO/6.57 OH B Gi 0/25.58 >?H default information originate VLAN VLAN VLAN VLAN VLAN / / /27 I / /26/ O) -M PLH (N T i N?H VLAN /30 VLAN /30 VLAN 75 VLAN 801 \ VLAN / / /25 8 CO

69 12. KAMPUSOVÁ SÍŤ ČERNÁ POLE a díky jeho otevřenosti je v budoucnu možné zapojit do směrování například stroj s OS Linux. VLÁN 30 až 36 představují OSPF oblast 0 a ostatní lokální VLÁN jsou zařazeny do oblastí podle budov, což dovoluje provádět sumarizaci adresního prostoru na páteřních prvcích a zpřehlednit tím směrovací tabulky všech prvků. Protože v budově Q je připojení k Internetu a řada dalších síti, je odtud do směrovacího protokolu inzerována síť /0, což zajistí nastavení implicitní směrovací cesty ostatních směrovačů směrem na budovu Q. Směrovací informace protokolu OSPF jsou vyměňovány pouze přes VLÁN 30 až 36 a není dovolen jejich příjem nebo vysílání do VLÁN, kde se nacházejí koncová zařízení, aby nemohlo dojít k útoku na směrovací protokol. Použitím směrovacího protokolu dochází kromě směrování nejvýhodnější cestou, též k rozkládání zátěže na více ekvivalentních cest, je-li přes ně cílová síť dostupná. Všechny prvky páteřní sítě v sobě mají podporu pro kvalitu služeb. Vzhledem k tomu, že páteřní síť má dostatečné rezervy v kapacitě a neprovozujeme žádnou hlasovou aplikaci, nebylo zatím třeba v tomto směru provádět příliš nastavení. Používáme mechanismus RED na páteřních spojích a testujeme mapování nadlimitního 6 provozu koncových zařízení do třídy scavenger. Do budoucna je plánována implentace DiffServ přístupu do celé kampusové sítě Přístupová vrstva Jak již bylo uvedeno v předchozí kapitole správa přístupové vrstvy sítě je prováděna prostřednictvím UIS. Při přidání přepínače do přístupové vrstvy jej technik nejdříve nastaví, aby byl přístupný prostřednictvím VLÁN pro správu sítě. Poté dojde k dokonfigurování zařízení skriptem, který zajistí základní 7 nastavení přepínače a zanese o něm informace do UIS a dále je již přepínač řízen přímo z UIS. Na většině budov se daří připojovat přepínače z přístupové vrstvy přímo k páteřním prvkům. Problémem jsou některá místa na budo- 6. Většina koncových zařízení vytváří odchozí provoz do výše 10 procent kapacity linky. V případě že je tento limit překročen jde většinou o krátkodobou záležitost, nebo nějakou formu DOS útoku po napadení virem. 7. Syslog server, NTP server, vlastnosti pro Rapid Per-VLAN Spanning Tree Protocol apod. 64

70 12. KAMPUSOVÁ SÍŤ ČERNÁ POLE vách AaC, kde z některých síťových rozvaděčů nevedou potřebné spoje přímo k páteřnímu prvku, ale do jiného rozvaděče, kde často není dostatek linek pro přímé propojení všech přepínačů. Na nápravě tohoto stavu se postupně pracuje dle finančních možností univerzity. I pro lokání VLÁN v přístupové vrstvě je užíván Rapid Per-VLAN STP kvůli zabránění vzniku smyček v přístupové vrstvě. Kořenovým přepínačem pro lokální VLÁN je vždy páteřní prvek v budově. Na portech přepínačů s koncovými zařízeními jsou aktivovány funkce Edge port, filtrování a detekce BPDU rámců. V terminologii zařízení Cisco jde o port-fast, bpdugimrd a bpdufilter. 65

71 Kapitola 13 Přístup uživatelů k síti z vlastních zařízení Vedle počítačů v učebnách a kancelářích mohou uživatelé využívat prostředků univerzitní sítě skrze vlastní zařízení, která si přinesou, nebo mobilní zařízení, které mají k dispozici na svém pracovišti. Jedná se především o notebooky zaměstnanců a studentů. Specifikem univerzitních sítí je zprostředkování přístupu pro velké množství studentů. Počítače instalované v počítačových učebnách často nejsou schopny pokrýt poptávku studentů. Proto je výhodné umožnit studentům přístup i z vlastních zařízení. V současné době mohou uživatelé použít k připojení bezdrátové sítě nebo množství tzv. VPM zásuvek. Dále je zaměstnancům dostupné VPN řešení, pro přístup k prostředkům, jež nejsou z Internetu dosažitelné, pro případ, že je uživatel doma nebo na cestách. Všechny zmíněné možnosti budou představeny v této kapitole AAA servery Základním stavebním kamenem pro ověřování uživatelů bezdrátové sítě, VPM i VPN je dvojice AAA serverů Alephl a Aleph2. Na obou strojích je instalována LDAP replika 1 Sytému Jednotné Autentizace, který byl zmíněn dříve v části Dále je instalován program Free- RADIUS 2, což je open source implementace RADIUS serveru s bohatou funkčností, a je nakonfigurován, aby používal informace uložené v LDAP replice. RADIUS server je užíván při autentizaci a autorizaci uživatelů bezdrátové sítě a VPN. Na zmíněných strojích je také instalována www autentizační braná pro VPM. 1. Jedná se o OpenLDAP server. 2. Více viz. [30] 66

72 13. PŘÍSTUP UŽIVATELŮ K SÍTI Z VLASTNÍCH ZAŘÍZENÍ Pro zabezpečení obou strojů je využíváno bezpečnostní rozšíření Linuxového jádra SELinux 3. Na těchto strojích je provozován i primární univerzitní DNS server, jehož konfigurace je řízena UIS. Jelikož služby těchto strojů jsou pro fungování navázaných řešení kritické, je provedena konfigurace obou strojů v režimu vysoké dostupnosti užitím sw HeartBeat 4. HeartBeat zajistí, že IP adresy, které poskytují kritické služby, jsou obsluhovány jedním z těchto dvou strojů a postará se o start potřebných služeb VPM VPM je zkratkou pro tzv. Veřejné Přístupové Místo, kterým v univerzitní síti označujeme volně přístupnou datovou zásuvku, kam může uživatel připojit své zařízení a po ověření získá přístup k Internetu a veřejně dostupným službám univerzitní sítě. KPM je zkratkou pro tzv. Kolejní přístupové Místo a označuje tutéž technologii používanou pro ověřování uživatelů připojených ke kolejní síti. Řešení je postavené na upravené verzi programu NoCatAuth 5 a skládá se z autentizační www brány na serverech Aleph a části umisťované na zařízení, které zastřešuje síť VPM. V každé lokalitě 6 je pro VPM vyčleněna samostatná VLÁN oddělená od zbytku sítě firewallem s OS Linux. Po připojení koncového zařízení do VPM zásuvky dostane zařízení konfiguraci IP a má dostupnou pouze autentizační www bránu a UIS. Pokud se uživatel pokusí přistoupit na jinou www stránku, je požadavek 7 zachycen částí na firewallu a uživatel je přesměrován na rozhraní autentizační www brány, která je dostupná prostřednictvím protokolu HTTPS. Součástí přesměrovávacího požadavku je vygenerovaný token a informace o koncovém zařízení a lokalitě. Uživatel se na autentizační www bráně prokáže jménem a heslem a má-li povolen přístup z dané lokality brána digitálně podepíše token a další předané informace. Tato podepsaná data 3. Toto rozšíření implementuje tzv. Mandatory Access Control do jádra OS Linux. 4. Již byl zmíněn v části 3.6. Více v [16]. 5. Open Source software používaný pro řízení přístupu k WiFi hot-spotům napsaný v jazyce Perl. Lze jej získat z 6. Kampus Černá Pole, Lednice a dvoje univerzitní koleje v Brně. 7. HTTP požadavek na cílový port

73 13. PŘÍSTUP UŽIVATELŮ K SÍTI Z VLASTNÍCH ZAŘÍZENÍ poté uživatelův prohlížeč pošle části na firewallu, která provede jejich kontrolu a povolí přístup mimo VPM VLÁN na omezenou dobu. Zároveň se uživateli aktivuje v prohlížeči okno, které udržuje aktivní přístupové povolení komunikací s bránou i firewallovou částí. Po zrušení povolení přístupu zaznamená část na firewallu účtovací informace o délce připojení a množství přenesených dat. Přenos dat prostřednictvím protokolu HTTPS, nutnost obnovování povolení přístupu a použití nástrojů ARP inspekce proti ARP spoofingu zamezuje převzetí přístupu možným útočníkem. V době rozhodování o způsobu realizace VPM bylo alternativou použití 802.IX. Jeho nevýhodou však je nutnost připojovat právě jedno zařízení na jeden port přepínače s 802.IX funkcionalitou, což v některých nasazeních, kde používáme starší přepínače k navýšení počtu VPM, není možné. Druhým důvodem pro nepoužití 802.IX pro VPM byla v našem případě obava o dostupnost supplicantů pro všechny verze používaných OS Bezdrátová síť Univerzitní bezdrátová síťje dostupná v kampusu Černá Pole a v Lednici na Moravě, kde pokrývá i tamní koleje. Všechny přístupové body podporují standard b a velká většina z nich i g. Pro realizaci bezdrátové sítě používáme cca 70 přístupových bodů Cisco Aironet řady 12xx a několik kusů řady 350. Služby bezdrátové sítě jsou poskytovány prostřednictvím tří SSID faro-free, faro a eduroam. Každé SSID je mapováno do vlastní End- To-End VLÁN 8 a navíc existuje speciální VLÁN pro správu přístupových bodů, resp. v Lednické části sítě je k tomuto účelu používána tamní VLÁN pro správu sítě. Díky použití End-To-End VLÁN je možné provádět roaming zařízení mezi přístupovými body na úrovni druhé vrstvy. Na všech přístupových bodech je inzerováno SSID faro-free. Ačkoliv oba standardy neumožňují vysílání více SSID z jednoho přístupového bodu, používáme na novějších bodech tech- 8. VLÁN v Lednici a Černých Polích nejsou propojeny. 68

74 13. PŘÍSTUP UŽIVATELŮ K SÍTI Z VLASTNÍCH ZAŘÍZENÍ nologii MBSSID, která tento nedostatek obchází 9 a dovoluje přístupovým bodům inzerovat všechna poskytovaná SSID. SSID faro-free představuje nezabezpečenou bezdrátovou síť, ze které je dostupný pouze Univerzitní Informační Systém. Tato síť je využívána hlavně pro prvotní získání uživatelského certifikátu pro přístup do faro a eduroam, kdy klient vystačí pouze s bezdrátovým přístupem a nemusí získávat certifikát prostřednictvím pevné sítě. Připojením k zabezpečeným SSID faro nebo eduroam získávají klienti přístup k Internetu a veřejně dostupným službám univerzitní sítě. Pro ověření klientů se používá mechanismus 802.IX a metoda EAP/TLS proti RADIUS serverům Aleph. Použití EAP/TLS umožňuje certifikáty ověřit totožnost klienta i RADIUS serveru a tím také totožnost přístupového bodu, kam se klient připojuje. Při prvotním nasazení bezdrátové sítě bylo zvažováno i řešení totožné s VPM, ale protože v bezdrátovém prostředí nelze zamezit provedení Man-inthe-middle útoku bylo nakonec zvoleno 802.IX a EAP/TLS. Použití tohoto způsobu ověřování se nakonec ukázalo velice užitečné při zapojení univerzity do projektu eduroam 10, který vyžaduje používání 802.1X a EAP/TLS nebo PEAP Díky již existující infrastruktuře RADIUS serverů a přístupových bodů bylo připojení naší univerzity k národní eduroam federaci rychlé a bezproblémové. K zabezpečení SSID faro je využíván pouze WEP Tato síťje udržována z historických důvodů a uživatelům je doporučováno používat SSID eduroam, neboť toto SSID umožňuje používání WPA a jeho nastavením mají uživatelé možnost připojení na půdě ostatních institucí zapojených do projektu eduroam. Pro nasazení WPA postačovalo na naše přístupové body nahrát novější verzi systému IOS. Pro naše účely považujeme zabezpečení pomocí WPA dostatečné ale při nákupu nových přístupových bodů již vyžadujeme podporu i pro WPA2. Pro správu bezdrátové sítě používáme od jejího nasazení sadu skriptů vlastní výroby, které obstarávají hromadné provádění změn 9. Přístupový bod inzeruje jednotlivá SSID použitím separátních MAC adres, což se klientům může jevit jako více přístupových bodů na stejném kanále, ale provoz je bezproblémový. 10. Projekt eduroam umožňuje prostřednictvím hierarchické sítě RADIUS serverů globální roaming uživatelů, kteří pocházejí z institucí zapojených do sítí národního výzkumu. U nás jde o organizace ve sdružení CESNET z. s. p. o. a více lze nalézt na [31]. 69

75 13. PŘÍSTUP UŽIVATELŮ K SÍTI Z VLASTNÍCH ZAŘÍZENÍ v konfiguraci, upgrade systému IOS a vytváření konfigurace pro nový přístupový bod. Po instalaci bezdrátové sítě do budovy Q, kde dochází k vysoké hustotě pokrytí, jsme však měli problémy s kvalitou signálu bezdrátové sítě v této budově, protože se jedná o moderní stavbu plnou kovových prvků. Ačkoliv se v některých místech signál šířil velice intenzivně, jeho kvalita byla téměř nepoužitelná. Nakonec jsme se rozhodli instalovat zařízení Cisco WLSE 11 a převést přístupové body v této budově do WDS 12 režimu. Řízení radiových parametrů přístupových bodů prováděné automaticky WLSE zařízením přineslo zlepšení použitelnosti bezdrátové sítě v celé budově. Toto zařízení sleduje interference rádiových signálů, detekuje neoprávněné přístupové body nebo ad-hoc sítě a samo optimalizuje nastavení přístupových bodů. Disponuje též funkcemi pro automatizaci a zjednodušení běžných 13 úkonů s přístupovými body, ale pro většinu z nich stále používáme původní skripty, neboť práci s nimi lze provádět i z příkazové řádky. Propojení přístupových bodů v Lednici s RADIUS servery Aleph a zařízeními pro správu v Brně je realizováno pomocí VPN mezi VLÁN pro správu sítě v Lednici a VLÁN pro správu bezdrátové sítě v Brně. Pro realizaci této VPN je použit sw Open VPN mezi Lednickým firewallem a strojem pro správu sítě umístěným v Brně VPN přístup Pro vzdálený přístup k prostředkům univerzitní sítě, které nejsou veřejně dostupné mají zaměstnanci k dispozici VPN řešení postavené na Cisco VPN koncentrátoru 14. Přístup prostřednictvím VPN není v současné době povolen všem studentům, neboť jimi používané prostředky jsou volně dostupné z internetu a mají k dispozici též autentizovanou proxy pro přístup ke zdrojům, které vyžadují IP adresu patřící univerzitě. 11. Wireless LAN Solution Engine 12. Wireless Domain Services 13. Hromadné úpravy konfigurace, upgrade IOS, vyhledávání připojených uživatelů apod. 14. Jde o HW zařízení pro zakončování VPN sítí. Konkrétně Cisco VPN 3015 Concentrator vybavený jedním SEP modulem pro HW akceleraci šifrování. 70

76 13. PŘÍSTUP UŽIVATELŮ K SÍTI Z VLASTNÍCH ZAŘÍZENÍ Nasazení VPN koncentrátoru bylo zvoleno z důvodu jednoduché dostupnosti několika VPN technologií a existence hotového VPN klienta pro řadu 15 operačních systémů. Pro připojení k VPN mají uživatelé speciální vygenerované heslo, které má platnost půl roku. Toto heslo používáme, aby si jej uživatel mohl uložit do svého zařízení a používání VPN pro něj bylo co nejpohodlnější. Ověřování klientů probíhá proti RADIUS serverům Aleph. K dispozici je připojení protokolem PPTP a IPsec. PPTP nedoporučujeme, ale je uživatelům k dispozici pro případ, že nechtějí nebo nemohou instalovat Cisco VPN klienta a jejich zařízení protokol PPTP umí. Preferovaný způsob pro připojení k VPN koncentrátoru je s použitím Cisco VPN klienta a protokolu IPsec. Pro navázání spojení potřebuje klient certifikáty 16, které jsou totožné s certifikáty pro bezdrátovou síť. Tyto certifikáty se použijí při sestavení IKE vazby mezi klientem a VPN koncentrátorem a posléze je uživatel vyzván k ověření heslem, které provede RADIUS server. RADIUS server také rozhodne o umístění uživatele do jedné ze dvou tříd přístupu, které mají vliv na omezení šířky pásma 17 a přiřazení IP adresy klienta, jež určuje rozsah 18 přístupu do vnitřní sítě univerzity. Při sestavování IPsec spojení je prováděna detekce překladu adres mezi klientem a VPN koncentrátorem a spojení je možné tunelovat prostřednictvím protokolu TCP nebo UDP, což je výhoda proti PPTP, které má s procházením přes překlad adres problémy. 15. Jedná se o operační systémy rodiny MS Windows, Linux, MAC OS X a Solaris. 16. Osobní certifikát a veřejný klíč CA. 17. Uživatelé jsou omezeni na IMbit/s nebo 2Mbit/s. 18. Více privilegovaní uživatelé mají přístup do celé vnitřní sítě a méně privilegovaní mají přístup jen k běžně používaným prostředkům. 71

77 Kapitola 14 Propojení sítí v různých lokalitách V 10. kapitole bylo zmíněno, že se počítačová síť univerzity nachází v několika lokalitách. Jedná se o kampus Černá Pole, Lednice a koleje TAK 1 a JAK 2 Propojení těchto lokalit a připojení kampusové sítě Černá Pole k Internetu bude představeno v této kapitole. Pro připojení kampusové sítě Černá Pole jsou použity dva nezávislé optické kabely, které jsou na straně univerzity zapojeny do páteřního prvku na budově Q a na druhé straně do přístupového prvku sítě CESNET v Brně 3. CESNET má v Brně pouze jeden přístupový prvek, proto je přípojka realizována jako EtherChannel spoj mezi zmíněnými prvky. Připojení Internetu je páteřním prvkem budovy Q zakončeno ve vyhrazené VLÁN, jež je přivedena k univerzitnímu firewallu. Na obrázku 14.1 je uvedeno zapojení univerzitního firewallu mezi několika sítěmi. Tento firewall označujeme názvem Zool a ve skutečnosti se jedná o dva stroje s OS Linux. Průhledný stroj na obrázku má symbolizovat záložní řešení pro případ výpadku primárního stroje. V současné době je přepnutí na záložní stroj prováděno ručně, ale zajištění automatického přepnutí pomocí sw HeartBeat je plánováno na počátek roku Univerzitní firewall odděluje síť Internet, vnitřní síť univerzity v kampusu Černá Pole, síť se servery pro SAP a UIS a síť označenou jako DMZ. Provoz mezi Internetem a DMZ není nijak omezen, protože síťdmz je určena pro zařízení, která mají být volně dostupná z Internetu. Je do ní připojeno veřejné rozhraní VPN 1. Koleje Josefa Taufera na ulici Jana Babáka v Brně. 2. Koleje Jana Ámose Komenského na ulici Kohoutova v Brně. 3. Tento směrovač nás připojuje i do Brněnské Akademické Počítačové Síti -BAPS 72

78 14. PROPOJENÍ SÍTÍ V RŮZNÝCH LOKALITÁCH koncentrátoru 4, VoIP 5 brána pro přenos telefonních hovorů a firewall Vool, který zastřešuje bezdrátové sítě, síť VPM a kolejní sítě. Vzhledem k tomu, že pro přístup z DMZ sítě do vnitřní sítě univerzity jsou používána stejná pravidla a provoz mezi DMZ a Internetem není filtrován, plánujeme DMZ síť připojit tak, aby provoz mezi Internetem a DMZ nemusel procházet skrz univerzitní firewall, neboť tím dochází ke zvyšování jeho zatížení. Univerzitní firewall užívá stavového firewallu netfilter/iptables 6 v linuxovém jádře. Ačkoliv použití serveru s OS Linux patrně nedosahuje takových výkonů jako specializované HW firewally, jeho nasazení bylo vybráno především z důvodu jeho snadné integrovatelnosti do našeho prostředí a dobrých zkušeností s používáním firewallu postavených na OS Linux. V současné době je výkon tohoto řešení plně dostačující naším potřebám. Firewall je integrován s UIS a je na něj navázáno několik nástrojů. Například se jedná o blokování IP adres zařízení, ze kterých jsou detekovány pokusy o útok na univerzitní síť. Z vnitřní sítě univerzity je povolen veškerý odchozí provoz. Příchozí provoz je povolen pokud jde o odpověď na provoz z vnitřní sítě nebo směřuje na veřejně přístupné služby ve vnitřní síti. Toto nastavení odráží spíše akademické svobody než požadavky na bezpečnost, které by patrně v komerční organizaci byly mnohem přísnější, zejména co se týče povoleného odchozího provozu. Stroj Vool z obrázku 14.1 je také firewall postavený na OS Linux a provádí překlad adres kolejních sítí, bezdrátové sítě a sítě pro VPM. Též na něm běží firewallová část 7 nástroje pro řízení přístupu z VPM a kolejní sítě JAK. Na tomto stroji stroji je sledováno využívání sítě jednotlivými uživateli a provádí se zde záznamy o spojeních navazovaných ze sítí, které zastřešuje, aby bylo možné dohledat konkrétní uživatele v případě, že dojde ke stížnosti na zneužívání 8 sítě. Připojení uživatelů z kolejí JAK je proveden vlastním optickým kabelem do této lokality, který slouží jako 802.IQ trunk mezi páteřními prvky budovy Q a kolejí JAK. Z kolejí je vyvedena VLÁN 4. Tj. rozhraní kam se připojují VPN klienti. 5. VoIP brána je do DMZ sítě připojena, protože univerzitní firewall neumí svým stavovým firewallem sledovat protokoly, které brána používá - SIP a H Více v [17] 7. Blíže bylo zmíněno v části Zejména od protipirátských organizací nebo od organizace CESNET 73

79 14. PROPOJENÍ SÍTÍ V RŮZNÝCH LOKALITÁCH studentské sítě ke stroji Vool a několik VLÁN, kam jsou připojeni zaměstnanci a zařízení stravovacího systému na JAK, přímo do vnitřní sítě univerzity. Na koleje TAK nebylo možné získat přímé připojení na druhé vrstvě 9, proto je připojení tamní sítě k síti univerzity provedeno několika VPN spoji. Na straně kolejí TAK je umístěný firewall s OS Linux, který je připojen do B APS. Na tomto stroji běží firewall ová část VPM řešení pro studentskou kolejní síť, jež je logicky připojena ke stroji Vool GRE tunelem, kterým prochází veškerý provoz z a do studentské části kolejní sítě. GRE tunel byl zvolen, protože není nutné šifrovat studentský provoz a tudíž je mnohem méně náročný na HW proti jakémukoliv VPN řešení. Dále je zprovozněno VPN spojení mezi firewallem TAK a strojem Zool, které připojuje do kampusové sítě Černá Pole síť zaměstnanců na TAK a síť stravovacího systému na TAK. Tato VPN je realizována nástrojem Open VPN a prochází jí veškerý provoz z a do zmíněných sítí, aby mohl být kontrolován zařízeními v kampusu Černá Pole. Počítačová síťv Lednici na Moravě je připojena k tamní lince CESNETu prostřednictvím firewall s OS Linux, kde jsou zakončeny dvě VPN postavené opět na Open VPN. Konkrétně jde o VPN připojující Lednickou síť ke kampusové síti Černá Pole přes stroj Zool a VPN pro spojení ze servisního stroje v Brně do VLÁN, která je vyhrazena pro správu sítě v Lednici. Open- VPN je v naší síti dominantní technologie pro vytváření LAN-to-LAN VPN, neboť jsme jej používali už v době, kdy implementace IPsec v jádře Linuxu nebyla ještě snadno použitelná, a i nyní jej lze snadněji využít v případě použití více virtuálních směrovacích tabulek stroji s OS Linux. 9. Dedikovaná VLÁN v BAPS nebo vlastní optický kabel. 74

80 14. PROPOJENÍ SÍTÍ V RŮZNÝCH LOKALITÁCH Síť MZLU Obrázek 14.1: Propojení sítí v Černých Polích 75

81 Kapitola 15 Zaver Každá větší organizace dnes potřebuje ke svému životu počítačovou síť. Tato práce přináší ve své první části přehled nejrůznějších oblastí, se kterými se setkáváme při návrhu a provozu počítačových sítí v rozsáhlých organizacích. Zmiňuje též řadu nástrojů a postupů, které lze v těchto oblastech využít. Řadu ze zmíněných nástrojů a postupů, které autor této práce aplikoval v síti Mendelovy zemědělské a lesnické univerzity představuje druhá část textu práce. Počítačovou síťv této organizaci používá přes 1500 zaměstnanců a více než 12 tisíc studentů. V druhé části práce jsou kromě ukázek nasazení konkrétních řešení uváděny i důvody pro jejich použití a plány na další rozvoj počítačové sítě této organizace. 76

82 Literatura [1] ŠORM, M., DADÁK, P., NETREFOVÁ H. Central account management carried out by LDAP generating. In IT Innovation in a Changing World. Proceedings of the 10th International Conference of European University Information Systems. Ljubljana s ISBN [2] ŠORM, M., DADÁK, P., NETREFOVÁ H. Central network management in the university environment alias Ballad on one university network administrator In EUNIS Leadership and Strategy in a Cyber- Infrastructure World. Proceedings of the 11th International Conference of European University Information Systems Manchester: University of Manchester, 2005, s [3] DADÁK, P. Centralizovaná správa účtů v heterogenním prostředí Bakalářská Práce, Masarykova Univerzita, Fakulta Informatiky, 2005 [4] WOOD, R. Next-Generation Network Services Indianapolis USA, Cisco Press 2006, ISBN [5] FLANNAGAN, M., FROOM, R., TUREK, K. Cisco Catalyst QoS: Quality of Service in Campus Networks Indianapolis USA, Cisco Press 2003, ISBN [6] TEARE D., PAQUET, C. Campus Network Design Fundamentals Indianapolis USA Cisco Press 2005, ISBN [7] OPPENHEIMER, P Top-Down Network Design Indianapolis USA Cisco Press 2004, ISBN [8] BEIJNUMI. BGP O'Reilly 2002, ISBN [9] Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications Červen 2003 [10] Virtual Bridged Local Area Networks Prosinec

83 15.0 LITERATURA [11] Media Access Control (MAC) Bridges Červen 2004 [12] Port-Based Network Access Control Prosinec 2004 [13] Prosinec 2007 [14] Prosinec 2007 [15] Prosinec 2007 [16] Prosinec 2007 [17] Prosinec 2007 [18] Květen 2007 [19] Květen 2007 [20] Květen 2007 [21] Květen 2007 [22] Květen 2007 [23] Květen 2007 [24] Květen 2007 [25] Květen 2007 [26] Prosinec 2007 [27] Květen

84 15.0 LITERATURA [28] A Look at Multihoming and BGP multihoming.html, Prosinec 2007 [29] SCHNEIER, B., MUDGE Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) Květen 2007 [30] Prosinec 2007 [31] Prosinec 2007 [32] Prosinec 2007 [33] Prosinec 2007 [34] Prosinec 2007 [35] Prosinec 2007 [36] Prosinec 2007 [37] MOY, J. OSPF Version 2 RFC Prosinec 2007 [38] Prosinec 2007 [39] BAKER, E,SAVOLA, P. Ingress Filteringfor Multihomed Networks RFC Březen 2004 [40] BRADEN, R., ZHANG, L., BERSON, S., HERZOG, S., JA- MIN, S. Resource ReSerVation Protocol (RSVP) RFC Září 1997 [41] DIERKS, T., RESCORLA, E. The Transport Layer Security (TLS) Protocol RFC Duben 2006 [42] KENT, S., SEO, K. Security Architecture for the Internet Protocol RFC Prosinec

85 15.0 LITERATURA [43] HAMEZ, K., FALL, G., VERTHEIN, W., TAARUD, J., LITTLE, W., ZORN, G. Point-to-Point Tunneling Protocol (PPTP) RFC Červenec 1999 [44] SIMPSON, W. The Point-to-Point Protocol (PPP) RFC Červenec 1994 [45] FARINACCI, D., HANKS, S., MEYER, D., TRAINA, R Generic Routing Encapsulation (GRE) RFC Březen 2000 [46] VALENCIA, A., LiTTLEWOOD, M., KOLÁR, T. Cisco Layer Two Forwarding (Protocol) "L2F" RFC Květen 1998 [47] TOWNSLEY, W., VALENCIA, A., RUBENS, A., PALL, G., ZORN, G., PALTER, B. Layer Two Tunneling Protocol "L2TP" RFC Srpen 1999 [48] R. DROMS Dynamic Host Configuration Protocol RFC Březen 1997 [49] S. ALEXANDER, R. DROMS DHCP Options and BOOTP Vendor Extensions RFC Březen 1997 [50] RIGNEY, C., WILLENS, S., RUBENS, A., SIMPSON, W Remote Authentication Dial In User Service (RADIUS) RFC Červen 2000 [51] RIGNEY, C. RADIUS Accounting RFC Červen 2000 [52] LAU, J., TOWNSLEY, M., GOYRET, I. Layer Two Tunneling Protocol - Version 3 (L2TPv3) RFC Duben 2005 [53] PATEL, B., ABOBA, B., DIXON, W, ZORN, G., BOOTH, S. Securing L2TP using IPsec RFC Listopad

86 Přílohy