ÚČETNICTVÍ ORGANIZAČNÍCH KANCELÁŘÍ KOMPLEXNÍ SYSTÉM PRO VEDENÍ ÚČETNICTVÍ www.okuok.cz INFORMACE Přímé spojení na počítač v síti Zpracoval: Ing. Pavel Říha Datum vydání: 21. října 2007 Obsah 1 SÍŤOVÝ PŘENOS... 2 2 SMĚROVÁNÍ IP ADRES A PORTŮ... 3 3 PARANOIA NEBO PRAKTIČNOST... 5 4 NAHRAZENÍ IP ADRESY... 7 SEZNAM POUŽITÉ LITERATURY... 8
1 Síťový přenos Nejprve si musíme uvědomit, jak probíhá síťová komunikace. Většina firem je dnes připojena k internetu. Ve své počítačové síti mají několik počítačů, z nichž jeden má většinou funkci firemního serveru. Je na něm uložena síťová účetní aplikace (např. UOK) nebo sdílené dokumenty. Komunikace probíhá tak, že všechny počítače jsou připojeny do routeru, který určuje IP adresu každého počítače. Router může být buď nějaká krabička, v dnešní době je zařízení sloučeno například s ADSL modemem nebo s Access Pointem. Případně to může být počítač, který ovšem musí být stále zapnut (například firemní server). V tomto případě však počítač musí mít dvě síťové karty. Ale jak data poznají, že mají jít na určité místo v síti a jsou určeny pro určitou aplikaci? V této chvíli je nutné si říct o RM ISO/OSI modelu. Jedná se o model, který určuje 7 vrstev síťové komunikace. Na každé vrstvě se zajišťuje určitá činnost. V první vrstvě (fyzická vrstva) se zajišťuje fyzicky komunikace. Na fyzické vrstvě je jediná možnost: přijmi bit nebo odešli bit. Hardware zajišťující tuto činnost je HUB nebo SWITCH. V druhé vrstvě (linková vrstva) se zajišťuje směrování v místní síti. Můžeme si představit, že v této vrstvě se data posílají libovolně po firemní síti. Adresování probíhá za pomoci IP adres. Každý počítač nebo i router musí mít v síti jedinečnou IP adresu. V případě, že počítače budou mít stejnou IP adresu, bude docházet ke kolizním situacím. Proto je nutné zajistit, aby v síti byly IP adresy jedinečné. IP adresy interní sítě se dají jednoduše identifikovat. Jsou ve tvaru 10.x.x.x, 172.16.x.x-172.31.x.x nebo 192.168.x.x, kde x je libovolné osmi bitové číslo. Ve třetí vrstvě (síťová vrstva) se zajišťuje směrování kdekoliv ve světě. Děje se tak za pomocí směrovačů (routerů). Ty přijmou data z místní sítě a v případě, že mají být data zaslána mimo místní síť, tak je odešlou a současně hledají pro ně nejvýhodnější cestu. Čtvrtá vrstva (transportní vrstva) směruje data pro jednotlivé procesy. Adresování dat je za pomocí portů. Porty mohou být až šestnácti bitové číslo (čili 65535). Porty s nižšími čísly (cca do 1000) jsou přesně stanoveny normou. Například 80 je pro http přenos, 21 je pro přenos příkazů pro FTP, 22 je pro SSH přenos atd. Další 3 vrstvy v tomto textu již zmiňovat nebudu. Vše důležité, co se týče adresování, jsem již napsal.
2 Směrování IP adres a portů Jak jsem napsal v předcházející kapitole, v místní síti je nutné přidělit počítačům IP adresy. Existují v zásadě dvě možnosti. První možností je přidělit IP adresu počítači ručně - čili zadat ji do operačního systému. Druhou možností je přidělení IP adresy routerem (přesněji řečeno DHPC serverem). Adresa může být přidělena buď metodou kdo dřív přijde, ten dřív mele, nebo dle nějakého pravidla. První metoda spočívá na principu, že DHPC server má udělené rozmezí, nebo první IP adresu, kterou může přidělit a tyto adresy přiděluje počítačům v takovém pořadí, ve kterém si o IP adresu požádají. Aby IP adresa nebyla blokována navždy, má určitou dobu expirace (nejčastěji 24 hodin). Pokud v této době počítač znovu nepožádá o přidělení IP adresy, IP adresa je uvolněna a může ji získat jiný počítač. Tato metoda je trochu těžkopádná, protože se může stát, že v po víkendu budou mít počítače ve vaší síti úplně jiné IP adresy, než měli před víkendem. Druhá metoda spočívá na principu přidělení IP adresy dle určitého pravidla, nejčastěji dle fyzické adresy počítače (síťové karty) tzn. MAC adresy. Určité MAC adrese je přidělena určitá IP adresa a ta se nemění. Tuto metodu je vhodné použít pro důležité počítače ve vaší síti, ke kterým potřebujete často přistupovat z okolních počítačů. V případě, že váš router nepodporuje metodu přidělení IP adresy dle pravidla, je lepší přidělit počítači IP adresu ručně. Pomocí tzn. NATu (Network Address Translation) je přenášen síťový přenos přes router, tzn. mezi internetem a místí sítí. Současně NAT určuje i pro který port jsou daná data adresována. NAT dokáže však i porty nasměrovat na určitý počítač. Dejme si jednoduchý příklad s web serverem. Pokud máte web server umístěný ve vaší místní síti, pak na něj z místní sítě přistupujete zadáním jeho interní IP adresy (např. 192.168.1.50). V případě, že žádný port nebude přesměrován, tak se na něj z internetu nedostanete. Při zadání vaší veřejné IP adresy (např. 82.20.14.205) nebude odpověď prohlížeče žádná, v horším případě se dostanete do webové konfigurace vašeho routeru. Pokud se chcete dostat na webový server, který je umístěn v místní síti, musíte přesměrovat port 80 na tento server pomocí port forwardingu. Každý router je v tomto případě jiný. Každý má jiné nastavení a každý má jiné možnosti. U těch dobrých je možné nastavit WAN port (port z internetu), IP adresu počítače
ve vnitřní síti a LAN (port na počítači v místní síti). U těch horších nastavíte jenom port a IP adresu. V předcházejícím případě by tedy směrování portů vypadalo takto: port 80 -> IP 192.168.1.50 -> port 80. Při zadání IP adresy 82.20.14.205 kdekoliv na internetu by se mělo objevit prostředí výchozí webové stránky z vašeho webového serveru. Ale pozor. Některé routery mají v sobě zabudovaný i firewall a přesměrování portů (většinou těch pro web, telnet, FTP) se musí povolit. Pokud vám i přesto přesměrování nefunguje, zkuste se zeptat svého poskytovatele internetu, zda porty neblokuje právě on.
3 Paranoia nebo praktičnost Ve vztahu k přesměrování portů se můžeme setkat i s pojmem paranoia. Ano, je to až nadměrný strach z toho, že vaše přesměrované (otevřené) porty neustále někdo sleduje. Stává se to především u přesměrovaného portu 21 (port pro FTP), kde můžete v administraci FTP serveru vidět, kdo všechno se k vám snaží připojit. Proto si dotyčný místo tradičního portu nasměruje nějaký netradiční port (většinou s číslem 10000 a výše). Já tomu naopak říkám praktičnost, neboť v toto chvíli vám ve firemní síti může běžet více web serverů, FTP serverů atd. A v případě, že daná aplikace umožňuje přistupovat přes jiný port a není nutné, aby běžela na klasickému portu, proč to neudělat dřív, než budete do sítě připojovat něco, kde to možné nebude. Uveďme si příklad z předchozí kapitoly. Opět chceme přístup na web server, ale tentokráte na něm běží interní web firmy. Přesměrujeme porty tedy takto: port 50080 -> IP 192.168.1.50 -> port 80. Nyní nám ale přístup na web serveru při zadání IP adresy 82.20.14.205 nepůjde. Web server není na klasickém portu, proto do adresy musíme zadat i port. Port se uvádí za dvojtečku za adresu. Čili v tomto případě by to vypadalo takto: 82.20.14.205:50080. Nyní již budeme přistupovat na námi určený web server. Upozorňuji, že toto není forma zabezpečení. Dalo by se to přirovnat, jako kdyby v bance přesunuli hotovost ze sejfu do místnosti pro úklid. Zloděj sice bude mít více práce, ale pokud bude trpělivý, tak peníze určitě najde. Klasickou možností je přesměrování pasivního FTP. FTP v tomto případě nemusí být spojeno přes klasické porty 20 a 21, nýbrž přes námi zadané porty. Je možné pomocí programu (například zftp suite) nastavit pasivní připojení (je nutné zadat vnější IP adresu a port pro přenos dat, který je používán místo klasického portu 20). Pak by přesměrování vypadalo například takto: port 50021 -> IP 192.168.1.50 -> port 21 a port 50020 -> IP 192.168.1.50 -> port 50020. Server FTP naslouchá (přijímá příkazy) na klasickém portu 21 a v místní síti se chová jako aktivní FTP. Z internetu je pomocí NATu přesměrován na něho port 50021 a 50020 na pasivní přenos souborů. Adresu na FTP pak můžeme zadat buď do nějakého FTP klienta (například Total Commanderu), kde hostitele zapíšeme ve formátu 82.20.14.205:50021 a zaškrtnutí možnosti použít pasivní režim přenosu. V případě použití internetového prohlížeče (Internet Explorer je nutný pro nahrávání souborů, ostatní jsou vhodné jen pro čtení) je pak nutný tento zápis: ftp://82.20.14.205:50021 nebo v případě přímého použití hesla ftp://username:password@82.20.14.205:50020.
Na závěr této kapitoly malé upozornění. Portů je opravdu jenom 65535. Nesnažte se přesměrovat porty s vyšším číslem. Opravdu to nefunguje. A zbytečně byste strávili čas nad hledáním chyby.
4 Nahrazení IP adresy Jak známo IP adresa může být až 12 číslic dlouhá. V budoucnu nám ještě šest číslic přibude. A ve chvíli, kdy máte někomu nadiktovat adresu vašeho FTP, začíná být problém. Začnete hledat nejdříve svou IP adresu, neboť běžně toto číslo nepoužíváte. Ale tento problém vám může vyřešit DNS. DNS je Domain Name System čili systém doménových jmen. Jak jsem uvedl výše, tak směrování dat probíhá pomocí IP adresy a portu. A systém DNS dokáže přiřadit IP adrese jméno ve tvaru domény. Čili nemusíte do svého prohlížeče vyťukat 123.456.789.012 ale stačí, když vyťukáte www.hledanyweb.cz. Jednoduše systém DNS ukazuje překlad domén na IP adresy a naopak. Je to jedna z nejdůležitějších komponent internetu a bohužel v poslední době i nejvíce problémových. A jak tento systém může pomoci vám? Jednoduše. Je k tomu potřebná nutnost vlastnit svou doménu, kterou je možno směrovat pomocí DNS (placená doména, u free služeb toto nehledejte). Uveďme si příklad. Vlastníte doménu mojefirma.cz, na které provozujete svoje internetové stránky. Pokud máte doménu dobře nastavenou, pak pokud zadáte karel.mojefirma.cz, olinka.mojefirma.cz nebo třeba jen obyčejné www.mojefirma.cz pak se ocitnete na webu své firmy (směrování z *.mojefirma.cz na mojefirma.cz). Pokud tuto adresu zadáte do FTP klienta, pak se zřejmě dostanete na FTP přístup k vašemu webu. Ale existuje zde možnost, že uděláte výjimku a například server.mojefirma.cz nasměrujete v DNS záznamu na váš firemní server. Takže pak místo 82.20.14.205 zadáváte pouze server.mojefirma.cz. A to se vztahuje na všechny možné aplikace, které na vašem firemním serveru běží (FTP, SSH...). Čili například místo ftp://82.20.14.205:50021 zadáváte ftp://server.mojefirma.cz:50021. Takže teď již stačí si zapamatovat maximálně 5 číslic portu (pokud využíváte nestandardní čísla). Na ty žádné ulehčení již neexistuje.
Seznam použité literatury 1. ONDRÁK V. Počítačové sítě přednášky pro 2. ročník M. [prezentace]. 2. Wikipedie, otevřená encyklopedi. [online]. URL: <http://www.wikipedia.cz>. [cit 2007-10-21].