Řešení počítačové sítě na škole Jiří Petr 10. 7. 2011 Materiál vznikl s podporou OP Vzdělávání pro konkurenceschopnost CZ.1.07/1.3.00/19.0016 Inovace studia k výkonu specializovaných činností koordinace v oblasti ICT
1. Stávající stav 1.1. Základní struktura školní počítačové sítě z hlediska uživatelů a bezpečnosti dat Naše školní počítačová síť zahrnuje celkem 70 osobních počítačů. Všechny počítače ve škole jsou připojeny k počítačové síti včetně počítačů určených k zajištění provozu školy vedení školy, kamerový systém, mzdová a ekonomická agenda. Z tohoto důvodu je nutno řešit bezpečnost jednotlivých počítačů jak proti vnějším tak i proti vnitřním hrozbám a zamezit poškození a zneužití informací. Z hlediska profilu uživatelů a bezpečnosti dat lze počítače rozdělit na několik skupin: žákovské počítače učitelské počítače provozní počítače servery zálohovací jednotky 1.1.1. Žákovské počítače Žákovské počítače jsou umístěny ve dvou učebnách. Modrá učebna obsahuje celkem 19 žákovských počítačů a 1 učitelský počítač připojený k dataprojektoru a k interaktivní tabuli. Počítače jsou připojeny k 24portovému switchi. Červená učebna obsahuje 20 žákovských počítačů. Počítače jsou připojeny k 24 portovému switchi. Antivirová ochrana je zajištěna programem Eset NOD 32 Antivirus. Toto řešení se osvědčilo zatím jako nejlepší varianta. V minulosti používané programy Avast a AVG nestačily tempu doby, ochránily počítače proti virům, ale nebyly schopny dostatečně filtrovat adware a docházelo proto k neustálým snahám o zavirování klientských stanic až na kritickou hranici 10 vteřin! Klient AVG také velmi zpomaloval chod počítače. Ochrana proti neoprávněnému průniku žáků do jednotlivých počítačů je zajištěna omezením přístupových práv na úrovni uživatele. Administrátor přistupuje přes účet SUP, který je chráněný heslem. Žáci přistupují přes účet ZAKxx, kde xx je v intervalu 1 40 podle jednotlivých stanic. Tyto názvy účtů se dále používají i jako klientské účty v celé síti z důvodu možnosti sledování provozu činnosti jednotlivých stanic ať již v reálném čase nebo v historii proxy serveru. Heslem je chráněn i administrátorský účet v nouzovém stavu a vstup do BIOSu (na které občas zapomenou i správci, ale ne žáci:-)). Žáci mají ve volném čase do učeben neomezený přístup, a proto i přes všechna bezpečnostní opatření dochází občas k průniku do některých stanic a instalaci herního software. Domnívám se, že je to způsobeno zejména tím, že sami výrobci tohoto software nerespektují a záměrně obchází bezpečnostní opatření počítačů, aby tak dosáhli co největšího rozšíření svých produktů. Konečná obrana proti všem těmto útokům spočívá ve vytvoření originálního záložního pevného disku, ze kterého se klonuje jeho obsah na poškozené stanice, a v případě potřeby se obnovují z tohoto disku všechny žákovské stanice. Žáci mají přístup pouze k výukovým programům a internetu, jehož přístup je filtrován a monitorován pomocí proxy serveru. 1.1.2. Učitelské počítače Tyto počítače jsou umístěny ve dvou sborovnách a kabinetech učitelů. Učitelé mají přístup k výukovým programům, k internetu a k programům pro evidenci žáků, tvorbu a tisk vysvědčení a ke školnímu poštovnímu serveru. Ochrana proti neoprávněnému průniku do jednotlivých počítačů je opět zajištěna omezením přístupových práv na úrovni uživatele. Administrátor přistupuje přes účet SUP, který je chráněný heslem. Učitelé přistupují přes konkrétní účty chráněné heslem. Antivirová ochrana je opět zajištěna programem Eset NOD 32 Antivirus.
1.1.3. Provozní počítače Do této oblasti patří počítač ředitele školy, zástupce ředitele školy, ekonoma, mzdové účetní a počítač pro kamerový systém. Z hlediska bezpečnosti dat jde o počítače obsahující nejdůležitější informace a jejich ztráta, poškození nebo zneužití by vedly k mnoha problémům ohrožení chodu školy, znedůvěryhodnění školy na veřejnosti, nebezpečí soudní žaloby v případě úniku informací o žácích. Ochrana proti neoprávněnému průniku do jednotlivých počítačů je opět zajištěna omezením přístupových práv na úrovni uživatele. Administrátor přistupuje přes heslem chráněný účet SUP, uživatelé přistupují přes konkrétní heslem chráněné účty. Antivirová ochrana je opět zajištěna programem Eset NOD 32 Antivirus. 1.1.4. Servery Škola používá dva datové a programové servery označené SERVER a SERVER1. Hardwarově jsou to běžné počítače, avšak maximálně výkonově posílené na úrovni procesorů, RAM pamětí, pevných disků a síťových karet oproti standardním počítačům v době jejich pořízení. Na serverech nejsou zřízena disková pole. SERVER je vybaven operačním systémem Windows NT Server 2000 a SERVER1 je vybaven ekvivalentem ve verzi 2003. Filozofie použití dvou serverů byla zvolena z několika důvodů: z datového hlediska slouží servery navzájem jeden druhému jako zálohovací prostor v okamžiku pořízení obnovy jednoho ze serverů obsahují oba servery identické programové vybaveni. Další nové programové vybavení se instaluje pouze na novější ze dvou serverů. V případě výpadku staršího ze serverů mohou uživatelé pokračovat nerušeně v činnosti. V případě výpadku novějšího serveru je sice provoz uživatelů omezen, ale není znemožněn. Antivirová ochrana je opět zajištěna programem Eset NOD 32 Antivirus. Ochrana proti průniku ke školním datům je zajištěna systémem přístupových práv. 1.1.5. Zálohovací zařízení Zálohování se provádí podle důležitosti dat duplicitně na oba servery, CD a DVD disky. V síti je k dispozici zálohovací zařízení zn. Synology. Toto zařízení obsahuje možnost vytvoření diskového pole RAID1 a bylo osazeno dvěma disky výrobcem označenými jako nejvhodnější pro servery a disková pole. Zařízení se však neosvědčilo, v průběhu 3 roků provozu bylo opakovaně reklamováno pro různé poruchy vadné disky, vadné řadiče na základní desce. Nyní zařízení pracuje jen jako dočasné úložiště dat. 1.2. Struktura počítačové sítě a komunikace s okolím 1.2.1. Ethernetová část Páteř počítačové sítě je realizována komponentami s rychlostí 1 Gbps. Tvoří ji 8portový switch, k němuž jsou připojeny: router zn.zyxell vstupní brána a firewall do Internetu switch pro modrou učebnu, 1 port 1Gbps pro připojení k páteři, 24 portů pro žákovské stanice a učitele switch pro červenou učebnu, 1 port 1Gbps pro připojení k páteři, 24 portů pro žákovské stanice switch pro učitelské počítače, provozní počítače a servery, 1 port 1Gbps pro připojení k páteři, 24 portů pro počítače a servery
1.2.2. Wi-Fi část Naše škola provozuje 11 interaktivních tabulí, z nichž 8 je připojeno k notebooku. Tyto notebooky přistupují do sítě přes Wi-Fi připojení. S ohledem na členitost budovy je školní Wi-Fi síť řešena tak, že uprostřed každého podlaží je jeden Wi-Fi vysílač s dostatečným výkonem a jeho signál pokrývá celé podlaží. Tyto přístupové body pracují se skrytým SSID jménem a filtrují povolené MAC adresy školních notebooků. Původně bylo nastaveno i kódování signálu pomocí WEP šifrování. Na provoz internetu nemělo kódování vliv, avšak při přenosu datových souborů docházelo ke značnému zpomalení, a proto bylo od kódování signálu upuštěno. Mezi data přenášená touto cestou patří data výukových programů, které jsou volné dostupné i v učebnách a obrazové galerie ze života školy. Nejde tedy o data, která vyžadují speciální ochranu, a není nebezpečí jejich zneužití. 1.2.3. Připojení školy k Internetu Škola je připojena k internetu optickým kabelem, který patří do metropolitní sítě města. Optický kabel je na straně školy připojen do opticko metalického převodníku z něhož signál vstupuje do vstupní brány školního routeru a firewallu ZyXell. Na druhé straně je optický kabel připojen do metropolitního routeru a dále je prostřednictvím krajské optické sítě směrován do brány univerzitní sítě CesNet. Přístupová rychlost pro naši školu je 8 Mbps. 1.2.4. Schéma školní počítačové sítě připojení k Internetu Router a firewall ZyXell Páteřní switch 1 Gbps 24 100Mbps 24 100 Mbps 24 100 Mbps Modrá učebna 20 počítačů Červená učebna 20 počítačů Sborovny, kabinety, servery Switch 100 Mbps WiFi přístupové body Provozní počítače 8 Notebooky pro interaktivní tabule
2. Navrhovaná opatření pro zlepšení školní počítačové sítě Zlepšení počítačové sítě je závislé na finančních prostředcích, které budou v dalších letech k dispozici. V rámci dlouhodobé koncepce uvažujeme do budoucna s těmito opatřeními: výměna morálně i fyzicky opotřebovaného serveru s operačním systémem Windows NT Server 2000 za nový stroj s operačním systémem Windows NT 2008 vyhledání a náhrada nového typu zálohovacího zařízení zvýšení bezpečnosti všech provozních počítačů vybudováním školní podsítě a skrytím za další firewall.