Expert sieciowy Sieć w szkole, szkoła w sieci
www.fen.pl
Sieć w szkole, szkoła w sieci
Łącza, hasła, filtry i monitoring, czyli planujemy budowę szkolnej sieci Spis treści: 2 Łącza, hasła, filtry i monitoring, czyli planujemy budowę szkolnej sieci 8 Przełączniki i routery 15 Bezpieczna i wydajna sieć bezprzewodowa
Stworzenie przemyślanej, dobrze działającej i bezpiecznej sieci w szkole to nie zadanie dla opiekuna szkolnej pracowni komputerowej. Żeby się udało, niezbędne jest zaangażowanie i dobra wola dyrektora. Opiekun może tylko pomóc.
T
rudno wyobrazić sobie współczesną szkołę bez dostępu do sieci internet. Większość z nas codziennie korzysta z sieciowych usług – szukając informacji, płacąc rachunki czy komunikując się ze znajomymi na portalach sieciowych, pocztą elektroniczną czy usługami takimi jak skype. Jako nauczyciele dysponujemy w pracy systemami, które nas wspomagają – choćby dziennikiem elektronicznym. Coraz częściej systemy te działają w modelu chmury (serwer nie pracuje w szkole, lecz mamy do niego dostęp przez internet). Zdarza się nam również korzystać z systemów nauczania zdalnego czy elektronicznych podręczników a tendencja ta się rozwija. W tym kontekście dostęp do szybkiej i bezpiecznej sieci w szkole, zarówno dla uczniów, jak i nauczycieli, powinien być jednym z priorytetów rozwoju szkolnej infrastruktury technicznej.
PLANOWANIE
Uzyskanie wydajnej – a jednocześnie bezpiecznej – sieci wymaga jej odpowiedniego zaplanowania. Przemyślenia, jakie cele chcemy osiągnąć i co dla nas oznacza bezpieczeństwo. Zastanówmy się więc nad tymi aspektami.
Planowane cele a wydajność szkolnej sieci
Na początek warto się zastanowić, do czego szkolna sieć ma być używana – zarówno dzisiaj, jak i w najbliższej przyszłości. Jakie są główne cele jej istnienia – z jakich usług korzystamy i będziemy korzystać? Jeśli większość systemów, takich jak: dziennik elektroniczny, obsługa sekretariatu, magazyn z dokumentami administracji szkoły, nauczycieli i uczniów jest zainstalowana na serwerze szkolnym, to w dostępie
2
do tych usług kluczowa będzie sieć lokalna. Nie będą one także obciążać łącza internetowego. W przypadku gdy wykorzystujemy w szkole dziennik pracujący w modelu chmury lub wdrożyliśmy usługi (takie jak Office 365 czy Google Apps), to kluczowy będzie dostęp do internetu. Oczywiście im szybsze łącze, tym lepiej. Nie zawsze jednak mamy możliwość finansową czy techniczną kupienia usługi o lepszych parametrach. W takim wypadku odpowiednio opracowana polityka szkoły, dotycząca podziału przepustowości łącza, i przyznanie priorytetów w dostępie poszczególnym grupom użytkowników będą miały ogromne znaczenie. Do tego jednak potrzebujemy zarówno dobrego, przemyślanego planu, jak i urządzeń (np. routera i przełączników sieciowych), które pozwolą go wdrożyć. Dzięki dobremu projektowi i wdrożeniu, dysponując nawet słabszym połączeniem do internetu, możemy osiągnąć lepsze efekty niż w przypadku szybkiego łącza i źle zorganizowanej sieci lokalnej. Przygotowując plan warto rozważyć, jakim wyposażeniem dysponujemy w szkole i jak się ta sytuacja zmienia. Nawet jeśli większość stanowią komputery stacjonarne, najprawdopodobniej kolejne zakupy będą dotyczyły urządzeń mobilnych – pracowni notebooków czy tabletów. Analizując sytuację zapewne zauważymy również, że wielu nauczycieli i uczniów dysponuje prywatnymi urządzeniami przenośnymi. W zależności od etapu szkolnego są to smartfony lub tablety, które przynoszą ze sobą do szkoły uczniowie. Dobrym pomysłem jest umożliwienie tym urządzeniom dostępu do szkolnej sieci. Determinuje to kierunek rozwoju sieci lokalnej w kierunku sieci bezprzewodowej. W niektórych przypadkach nie będziemy chcieli udostępnić szkol-
nej sieci dla urządzeń prywatnych lub udostępnimy ją tylko nauczycielom. Powód może być prozaiczny – brak możliwości technicznych: zbyt słabe połączenie z internetem lub brak możliwości wprowadzenia skutecznych mechanizmów zabezpieczeń.
Wskazówka W niektórych regulaminach szkolnych nadal można spotkać zapisy zabraniające używania telefonów komórkowych na terenie szkoły przewidujące różnorodne sankcje za złamanie zakazu. Na pytanie o to, dlaczego wprowadzono takie zapisy, najczęściej padają dwie odpowiedzi. Po pierwsze, zakaz ma zapobiec sytuacji nagrywania przez uczniów filmów i ich publikacji w internecie. Po drugie, dzwoniące telefony uniemożliwiają prowadzenie zajęć. Jeśli chodzi o pierwszą z nich – zazwyczaj zadajemy pytanie pomocnicze: czy regulamin zabrania posługiwania się także długopisami lub zegarkami? Bo przecież dzisiaj można kupić takie urządzenia z wbudowaną kamerą i mikrofonem już za kilkadziesiąt złotych. Zakaz dotyczący używania komórek w tej kwestii jest więc co najmniej nieskuteczny. Ba, może wręcz zachęcić do tego, by spróbować go obejść. Rozwiązaniem jest tutaj raczej rozmowa z uczniami i omówienie konsekwencji takich publikacji, niż wprowadzanie martwego prawa. Znalezienie panaceum na drugi problem może być znacznie prostsze. Zamiast zakazu, w regulaminie można określić sposoby zgłaszania się uczniów do odpowiedzi. Poza przyjętymi ogólnie (podniesienie ręki) możemy dopisać dzwoniący telefon. Bardzo szybko dzwonki zostaną wyciszone. Zakaz może dotyczyć używania telefonu na lekcji bez pozwolenia nauczyciela, ale nie ogólnie – terenu szkoły.
Mimo to, aby korzystanie z pracowni mobilnych – sprzętu należącego do szkoły – miało sens, należy zapewnić pokrycie siecią Wi-Fi praktycznie całej szkoły. W wersji minimum – wszystkich pracowni, pokoju nauczycielskiego oraz pomieszczeń biurowych i sal gimnastycznych. To zaś wymaga doprowadzenia w odpowiednie miejsca sieci przewodowej i podłączenia do niej urządzeń dostępowych.
Wskazówka Istnieją urządzenia dostępowe (AP – Access Point), które mogą współpracować korzystając tylko z sieci bezprzewodowej. Oznacza to, że łączą się między sobą przez sieć Wi–Fi, a następnie sygnał ten udostępniają użytkownikom. Jednak połączenie punktów dostępowych siecią przewodową może być lepszym rozwiązaniem. Jeśli nastąpi awaria, istnieje większa szansa, że administrator zdalnie będzie mógł sprawdzić jej przyczynę a nawet dokonać naprawy. W przypadku gdy urządzenia łączą się siecią bezprzewodową, może nie być takiej możliwości. Dodatkowym atutem połączenia przewodowego urządzeń dostępowych jest zwiększenie wydajności sieci. AP nie zużywają zasobów do łączenia się między sobą – w pełni mogą je wykorzystać do obsługi klientów. Ma to olbrzymie znaczenie, gdy do sieci podłączonych jest kilkadziesiąt urządzeń.
Jednak jeśli mówimy o pracowniach liczących 15–30 komputerów czy tabletów, popularny sprzęt (Access Point) przeznaczony do użytku domowego, okaże się niewystarczający. W domu podłączamy nie więcej niż kilka, wyjątkowo kilkanaście urządzeń jednocześnie. W przypadku szkoły będzie ich kilkadziesiąt. Sprzęt przeznaczony na rynek konsumencki nie poradzi sobie z taką liczbą. Nawet przy szybkim łączu internetowym będziemy odczuwali, że sieć działa wolno, a w skrajnych przypadkach w ogóle przestanie działać. Ewidentnie potrzebne okażą się rozwiązania profesjonalne. A ich dobór będzie zależał od aktualnego wyposażenia szkoły i planów rozwoju infrastruktury w przyszłości.
3
Sieć w szkole, szkoła w sieci
Technikalia – łącz i rządź Niektóre szkoły korzystają z więcej niş jednej usługi dostępowej – na przykład w kaşdej pracowni komputerowej zainstalowano oddzielną neostradę. W takich wypadkach warto rozwaşyć konsolidację tych połączeń. Moşe w tym pomóc zastosowanie tzw. routera modularnego. Dzięki niemu połączymy niezaleşne usługi dostępowe i będziemy mogli nimi centralnie zarządzać – obnişając tym samym koszty (m.in. czas potrzebny na aktualizację filtrów).
Warto wiÄ™c okreĹ›lić cele, ktĂłrych realizacjÄ™ ma zapewnić szkolna sieć, a nastÄ™pnie opracować odpowiednie priorytety w dostÄ™pie dla niej dla poszczegĂłlnych grup uĹźytkownikĂłw i urzÄ…dzeĹ„. Grupy uĹźytkownikĂłw to na przykĹ‚ad: t QSBDPXOJDZ BENJOJTUSBDKJ EZSFLUPS TFLSFUBS[ t OBVD[ZDJFMF t VD[OJPXJF t HPĘŻDJF OQ SPE[JDF X‍ڀ‏D[BTJF [FCSBʤ UrzÄ…dzenia to: t LPNQVUFSZ BENJOJTUSBDKJ t LPNQVUFSZ OBVD[ZDJFMTLJF X‍ڀ‏QPLPKV OBVD[ZDJFMTLJN na biurkach w salach lekcyjnych, w bibliotece), t QSBDPXOJF TUBDKPOBSOF J‍ڀ‏NPCJMOF t QSZXBUOF VS[ʇE[FOJB OBVD[ZDJFMJ t QSZXBUOF VS[ʇE[FOJB VD[OJĂ˜X Cele to choćby zapewnienie dostÄ™pu do dziennika dla nauczycieli na kaĹźdej lekcji, moĹźliwoĹ›ci korzystania z dokumentĂłw przechowywanych w sieci, korzystania z usĹ‚ug podczas zajęć dydaktycznych – do pokazĂłw dla nauczycieli, do pracy wĹ‚asnej uczniĂłw: ćwiczeĹ„ na zajÄ™ciach z wykorzystaniem komputerĂłw.
Podział dostępu do łącza
Technikalia – podział sieci a wybór urządzeń W podziale sieci pomogą odpowiednio dobrany router, przełączniki i profesjonalna sieć bezprzewodowa, a wszystko to wyposaşone w mechanizm tworzenia wirtualnych sieci lokalnych VLAN w standardzie 802.1q. Dobra wiadomość jest taka, şe w szkołach często znajduje się juş infrastruktura, która ma odpowiednie moşliwości, ale które nie są w pełni wykorzystane. Aspekt ten moşna wziąć pod uwagę podczas planowania rozbudowy sieci.
4
Jeşeli pod uwagę weźmiemy priorytet w dostępie do sieci tylko pod kątem uşytkowników, to moşemy wyciągnąć wniosek, şe pierwszeństwo powinni mieć nauczyciele i pracownicy administracji. Jednak czy da się poprowadzić lekcje z uczniami bez dostępu do internetu? Czasem tak, a czasem nie. Z naciskiem na nie, jeśli mamy wdroşoną usługę pozwalającą np. uczniom przechowywać dokumenty w chmurze. Nie wystarczy więc określić, kto ma pierwszeństwo. Lepszym rozwiązaniem jest podzielić dostępne pasmo dla poszczególnych grup. Takie podejście uwzględni równieş cele, jakim ma słuşyć szkolna sieć i internet. Moşemy np. przyjąć, şe do 20 proc. przepustowości łącza przeznaczamy dla szkolnej administracji, w tym na dostęp do dziennika elektronicznego online, 60 proc. na cele edukacyjne, czyli wykorzystanie przez uczniów podczas lekcji na szkolnych urządzeniach, a maksymalnie 20 proc. na dowolny uşytek na urządzeniach prywatnych. Odpowiednie podzielenie dostępnego łącza zapewni sprawną pracę wszystkim,
którym dostęp do sieci jest niezbędny. Zapobiegnie sytuacji, gdy jedna osoba obciąşa łącze pobierając oprogramowanie czy inne duşe pliki uniemoşliwiając pozostałym pracę. Odpowiedni podział łącza odseparuje takşe poszczególne grupy. Nawet jeśli pasmo przydzielone pracowni mobilnej zostanie wysycone na skutek pracy uczniów (np. podczas publikacji prac w internecie), to wysycenie będzie dotyczyło tylko pasma przydzielonego tej grupie. Dla niej sieć będzie działała wolniej, ale pozostałe grupy nie odczują problemu.
BEZPIECZEĹƒSTWO W planowaniu szkolnej sieci, oprĂłcz wydajnoĹ›ci, bardzo waĹźnym problemem jest bezpieczeĹ„stwo. OczywiĹ›cie – to temat bardzo szeroki i wielowÄ…tkowy. Tym razem nie bÄ™dziemy siÄ™ skupiać na BHP czy profilaktyce antywirusowej. Chodzi raczej o bezpieczny dostÄ™p do sieci – zarĂłwno z punktu widzenia ucznia i jego rodzicĂłw, nauczyciela, a takĹźe szkoĹ‚y jako instytucji. Ta problematyka takĹźe skĹ‚ada siÄ™ z wielu wÄ…tkĂłw. Obejmuje bowiem bezpieczeĹ„stwo danych wraĹźliwych (w rozumieniu Generalnego Inspektora Ochrony Danych Osobowych), ochronÄ™ przed dostÄ™pem do materiaĹ‚Ăłw niepoşądanych (dla mĹ‚odszych uczniĂłw częściej przypadkowym, dla starszych – celowym), dziaĹ‚ania szkodliwe (np. publikacje nagraĹ„ oĹ›mieszajÄ…cych uczniĂłw i nauczycieli) itp.
Wskazówka Pamiętajmy, şe wprowadzenie automatycznych mechanizmów zabezpieczeń w szkolnej sieci jest niezbędne, ale nie wystarczające. Konieczna jest praca z młodzieşą i uświadamianie zagroşeń związanych z korzystaniem z internetu, sposobów ich unikania oraz uczenie odpowiedzialnego poruszania się w sieci. To jednak temat na oddzielny artykuł. W tym wskazujemy tylko powiązania między uczeniem odpowiedzialności, a wykorzystywanymi mechanizmami bezpieczeństwa, które moşna wdroşyć w szkolnej sieci.
Indywidualne hasła dla kaşdego
Wiele problemów związanych z bezpieczeństwem da się rozwiązać wprowadzając ujednolicony i zindywidualizowany dostęp do sieci. Ujednolicony, czyli to samo hasło powinno słuşyć do logowania się do szkolnej sieci i umoşliwiać do-
stęp do usług na szkolnych serwerach, na przykład do dokumentów tam przechowywanych. Uprości to całą procedurę i jednocześnie ułatwi życie. Wystarczy pamiętać tylko jedno hasło. Zindywidualizowany, bo każdy użytkownik loguje się do sieci z użyciem własnej nazwy i indywidualnego hasła, za które odpowiada. Trudnego do złamania, lecz łatwego do zapamiętania – a więc ustalonego przez samego użytkownika. Pamiętajmy, że najsłabszym ogniwem wszelkich zabezpieczeń jesteśmy my – ludzie. Zbyt restrykcyjna polityka haseł (wymuszone długie, zawierające wiele znaków specjalnych) może spowodować, że będą zapisywane w różnych miejscach, co zwiększa prawdopodobieństwo ich zgubienia lub podejrzenia przez osoby nieupoważnione. Zbyt trudne hasła powodują także, że użytkownicy wpisują je bardzo wolno, co ułatwia podpatrzenie ich przez osoby postronne. Zbyt trywialne hasła natomiast bardzo łatwo złamać. Warto w tej kwestii uświadomić użytkowników. Można także wprowadzić zasadę, że gdy nauczyciel loguje się do systemu zawierającego dane wrażliwe, nie pozwala przebywać w pobliżu uczniom. Odpowiedź na pytanie, na jakim etapie edukacyjnym wprowadzać hasła, jest prosta: im wcześniej, tym lepiej. Różne odmiany haseł w postaci pinów, puków itp. zabezpieczeń spotykamy w codziennym życiu od dawna. Im wcześniej nasi uczniowie przyzwyczają się do dbania o ich bezpieczeństwo, tym lepiej. Oczywiście na wczesnym etapie hasła powinny być proste. Im uczniowie starsi, tym polityka może być bardziej restrykcyjna.
Wskazówka Często zgłaszanym problem podczas różnych szkoleń czy warsztatów jest zapominanie haseł przez uczniów i konieczność ich ciągłej zmiany przez uprawnioną osobę. Rozwiązaniem może być w tym przypadku wprowadzenie uciążliwej procedury odzyskania hasła. Na przykład uczeń, by zostało mu przyporządkowane nowe hasło, musi pobrać z sekretariatu specjalny formularz. Następnie wypełnić w nim rubryki zawierające imię, nazwisko, datę urodzenia, adres zamieszkania, imiona rodziców oraz odpowiedzieć na pytanie dlaczego nie pamięta hasła – nie krócej niż w stu słowach. Do tego uczeń musi uzyskać
podpis rodziców na formularzu i złożyć go w sekretariacie. Zapomnienie hasła powinno być traktowane podczas lekcji, gdzie jest ono niezbędne (informatyka), jako nieprzygotowanie. Im mniej wygodna procedura, tym pamięć naszych uczniów lepsza a przypadki jej zaników rzadsze.
Monitoring sieci
Nie jesteśmy anonimowi w internecie. Nigdy. Zawsze można nas zidentyfikować. Jak szybko się to uda, to kwestia uprawnień odpowiednich władz, czasem umów międzynarodowych – nie problemów technicznych. Dobrze, żeby szkoła także mogła zidentyfikować to, co dzieje się w jej sieci. I pokazała to uczniom. Będzie to możliwe pod warunkiem wprowadzenia indywidualnych haseł oraz monitoringu sieci. Wówczas wszystko, co użytkownicy robią, będzie odnotowane w tzw. logach. Skąd (z jakiego urządzenia), kiedy, gdzie, z pomocą jakiego protokołu się łączyli. Zabezpiecza to nas – nauczycieli i szkołę na wypadek wybryków naszych podopiecznych. Jeśli ktoś ze szkolnej sieci opublikuje obraźliwy tekst czy film podczas wyborów do sejmu i obrazi tym jednego z kandydatów, wówczas odpowiednie władze dotrą do szkoły bardo szybko. Jeśli mamy szkolny system monitoringu sieci – będziemy w stanie wskazać winnego. Jeśli nie – za wybryk odpowie dyrektor szkoły. Innym przykładem może być publikacja przez uczniów ośmieszającego kolegę filmu na YouTube. Do takich sytuacji nie dojdzie, lub będą to przypadki sporadyczne, jeśli zademonstrujemy naszym uczniom, że szkolna sieć monitoruje ich poczynania. Można nawet przesłać im logi (zapis ich aktywności w szkolnej sieci) – żeby zobaczyli, jak szczegółowe informacje są zbierane na ten temat. Największe wrażenie robi na nich fakt, że nauczyciel nikogo nie musi złapać za rękę na przeglądaniu zabronionych treści. Wystarczy, że zajrzy w logi lub poprosi o to administratora sieci. Często dopiero taka demonstracja uświadamia uczniom brak anonimowości w sieci i związane z tym konsekwencje. Zdecydowanie lepiej wówczas pilnują swoich haseł. Jednocześnie „włącza im się” autocenzura powstrzymująca przed działaniami, których by nie zaryzykowali, gdyby byli świadomi, że są obserwowani.
Technikalia – monitoring i indywidualny dostęp W zależności od tego, z jakiego serwera korzysta szkoła, może on być wyposażony w mechanizmy pozwalające tworzyć konta użytkowników i nimi zarządzać. Przykładem takiego systemu jest Windows Server, w którym połączenie kont użytkowników zawartych w AD (Active Directory) z usługami autoryzacji użytkowników może posłużyć jako centralna baza wszystkich uczniów i pracowników szkoły. Z niej urządzenia sieciowe będą pobierały informacje, gdy użytkownik będzie chciał z sieci skorzystać i które będą przydzielały użytkownikom określone uprawnienia (np. wirtualną sieć lokalną w zależności od tego, do jakiej grupy użytkownik będzie należał), a także będą mogły służyć do późniejszego zbierania informacji, takich jak: kto (nazwa użytkownika i hasło), w jakim czasie (czas rozpoczęcia i zakończenia połączenia) i z jakiego urządzenia (adres IP, MAC) korzystał z zasobów. Na podstawie danych z tzw. accountingu, bo tak nazywamy gromadzenie powyższych informacji, administrator dysponując odpowiednim urządzeniem na styku sieci szkolnej z siecią internet będzie mógł przeanalizować ruch i zachowanie poszczególnych użytkowników.
5 5
Sieć w szkole, szkoła w sieci
Wskazówka Monitoring sieci pozwala również wykryć przypadki, gdy uczniowie udostępniają sobie nawzajem hasła, gdy ktoś z nich zapomni swojego – by uniknąć konsekwencji nieprzygotowania do lekcji. Sama świadomość, że sytuacja taka może zostać wykryta, zmniejsza chęć udzielenia źle pojętej pomocy. Zmniejsza ją także świadomość, że udostępniający bierze pełną odpowiedzialność za czyny swojego kolegi lub koleżanki. Jest to więc także lekcja odpowiedzialności.
Automatyczne filtry treści oraz białe i czarne listy
Uwaga! Jeśli w szkole do sieci podłączony jest serwer przechowujący wrażliwe dane, to dostęp do niego powinien być ograniczony tylko do osób, które muszą mieć z nim fizyczny kontakt. Pamiętajmy, że dostęp do fizycznego komputera umożliwia o wiele łatwiejsze złamanie jego zabezpieczeń – np. zmianę hasła dostępu. Jeśli stosunkowo łatwo dostać się fizycznie do serwera, to dane na nim przechowywane powinny zostać także zaszyfrowane, co dodatkowo je zabezpieczy.
6
Wprowadzenie monitoringu i uświadomienie młodzieży jego istnienia świetnie się sprawdza w gimnazjum czy w szkole ponadgimnazjalnej. Wystarczy w regulaminie szkoły wprowadzić zapisy dotyczące tego, czego nie wolno robić w sieci. Należy też określić, że uczeń, który przypadkowo wszedł na strony zakazane (np. pornograficzne) powinien zgłosić ten fakt nauczycielowi. Inaczej będzie to traktowane jak działanie celowe. Jednak nie zawsze jest to wystarczające. Szczególnie, gdy mamy do czynienia z młodszymi dziećmi. Powinniśmy zabezpieczyć wówczas naszych uczniów na wypadek przypadkowego wejścia na tego typu strony. Możliwości jest kilka. Jedną z nich są filtry treści instalowane na szkolnych komputerach. Rozwiązanie to jednak ma swoje wady. Swego czasu jeden z programów blokował skutecznie wejście na stronę Episkopatu Polski. Zaliczał ją bowiem do treści pornograficznych (sic!). Wszystko dlatego, że zbyt często występowało tam słowo stosunki w kontekście stosunków państwo – kościół. Podobnie może dziać się z wieloma serwisami, np. medycznymi. Drugą wadą takiego rozwiązania jest fakt, że instalowane jest na każdym komputerze, co powoduje, że trudniej nim zarządzać, dbać o aktualizację i potencjalnie łatwiej jest je obejść sprytnemu uczniowi. Zdecydowanie lepiej wdrażać rozwiązania obejmujące całą sieć, niż poszczególne komputery czy tablety. Łatwiej nimi zarządzać, dbać o aktualizację i rozwiązywać pojawiające się problemy. Innym rozwiązaniem może być wykorzystanie mechanizmów wbudowanych w system operacyjny komputera lub tabletu (tzw. funkcji bezpieczeństwa rodzinnego). Jednak każdy system operacyjny ma nieco inne rozwiązania i przy zróżnicowanej
infrastrukturze może stanowić problem. Nie zawsze można nimi również zarządzać centralnie, więc wraca problem konfigurowania każdego urządzenia osobno. Dlatego lepsze rozwiązanie może stanowić zabezpieczenie wprowadzone na styku sieci lokalnej i dostępu do internetu – np. na routerze lub dedykowanej zaporze. Przykład mogą stanowić tzw. białe lub czarne listy stron (White / Black Lists). Biała lista to lista adresów internetowych dozwolonych dla uczniów, czarna – to adresy zabronione. Takie listy i ich aktualizacje można znaleźć w internecie. Wdrożenie ich na poziomie styku sieci lokalnej i internetu spowoduje, że obejmą swym zasięgiem wszystkie (lub wybrane przez administratora) a podłączone do szkolnej sieci urządzenia. Listy tworzone są pod różnym kontem – pornografia, żarty, niebezpieczne treści. Możemy wybrać te, które są dla nas istotne. Oczywiście to rozwiązanie również nie jest idealne. Codziennie pojawiają się nowe serwisy, więc siłą rzeczy listy nigdy nie są w stu procentach aktualne. Ma ono jednak zalety. Przede wszystkim zarządzamy nim centralnie – więc znacznie łatwiej. Musimy tylko pamiętać o aktualizacjach. Wraz z monitoringiem sieci odpowiednio skonfigurowane i aktualizowane listy mogą stanowić całkiem dobre rozwiązanie. Wystarczające do zabezpieczenia najmłodszych uczniów, a uzupełniające monitoring i autocenzurę w przypadku starszych. Zaawansowane rozwiązania sprzętowo-programowe pozwalają przyporządkować poziom zabezpieczenia określonym grupom użytkowników i urządzeń. Oznacza to, że bardziej możemy chronić młodszych uczniów lub pozwalać na więcej, gdy użytkownik pracuje na urządzeniu należącym do szkoły a bardziej restrykcyjne ograniczenia stosować w przypadku telefonów czy tabletów prywatnych. Możemy także nie wprowadzać ograniczeń np. dla nauczycieli.
Wskazówka Niektóre rozwiązania sprzętowe dedykowane dla edukacji są dostarczane wraz z oprogramowaniem służącym do zarządzania pracownią. Dotyczy to zarówno komputerów przenośnych, jak również tabletów. Wówczas zdarza się, że funkcje ochrony są wbudowane w oprogramowanie. Na przykład nauczyciel może określić z jakich stron lub programów uczniowie podczas lekcji mogą korzystać. Jednak rozwiązania te dotyczą wybranej, konkretnej platformy. Nie rozwiązują więc problemu dla całej szkoły.
Zabezpieczenie danych wrażliwych
Ochrona danych osobowych to temat bardzo szeroki. Skupimy się zatem na tym, co dotyczy technicznej strony działania naszej sieci związanej z bezpieczeństwem. Dane wrażliwe muszą być chronione hasłem dostępu. Wszystkie zasady opisane wcześniej mają tutaj zastosowanie. Hasła osób mających dostęp do danych wrażliwych muszą być szczególnie chronione. Dlatego zasada nielogowania się do systemów, gdy osoby postronne mogą podpatrzyć hasło, powinna dotyczyć wszystkich, którzy taki dostęp mają. Odnosi się to nie tylko do systemów dedykowanych do ich przechowywania, takich jak dziennik, ale choćby folderów, w których szkolny psycholog trzyma dokumenty Worda z opiniami o uczniach. Jeśli to możliwe, dostęp do takich danych powinien być monitorowany – kto, kiedy i w jaki sposób z nich korzystał. To jednak funkcjonalność przyporządkowana serwerom, na których dane się znajdują – nie sieci jako takiej. Drugim ważnym aspektem bezpieczeństwa w kontekście danych wrażliwych jest rozdzielenie sieci administracyjnej od sieci edukacyjnej. Dzięki temu trudniej będzie np. przechwycić hasło, a dostęp do szkolnego serwera lub komputerów przechowujących dokumenty rady pedagogicznej nie będzie w ogóle możliwy z sieci edukacyjnej. Powinniśmy wziąć to pod uwagę na etapie planowania sieci i wyboru odpowiednich urządzeń, które na taki podział pozwolą.
WDROŻENIE I UTRZYMANIE Dzisiaj nawet w małej szkole funkcjonuje kilkadziesiąt komputerów (i/lub tabletów). W dużych zespołach niekiedy liczba ta przekracza 200. Nie uwzględniając urządzeń prywatnych. Zaprojektowanie sieci, która będzie w stanie obsłużyć taką liczbę urządzeń i zapewnić adekwatny poziom bezpieczeństwa nie jest banalne. Podobnie jak późniejsze utrzymanie jej działania i zarządzanie. Minęły już czasy, gdy szkolną siecią „dorywczo” i „z doskoku” miał zarządzać nauczyciel informatyki. Po prostu nie jest w stanie, bo jego podstawowym zadaniem jest uczyć. Przy tej liczbie urządzeń trudno oczekiwać, by znalazł na wszystko czas – skonfigurował serwer i naprawił komputer, gdy zdarzy się awaria, zarządzał siecią, zakładał konta, zmieniał zapomniane hasła czy wyjmował zacięty w drukarce papier. Czy nauczyciel biologii zajmuje się pielęgnacją kwiatków na szkolnym korytarzu? Dlaczego więc
nauczyciel informatyki ma zajmować się komputerem w sekretariacie lub pokoju nauczycielskim? Nadszedł czas, by w placówkach oświatowych zatrudniać osobę delegowaną tylko do zarządzania siecią. I tylko nią. Do rozwiązania problemów użytkowników, takich jak wymiana tonera w drukarce, wystarczy odpowiednie przygotowanie osób korzystających z tych urządzeń. W końcu to takie samo zadanie, jak wymiana filtru w ekspresie przelewowym po zaparzeniu kawy. W razie konieczności, do drobnych napraw, reinstalacji systemu czy kontaktów z serwisem komputerowym można zatrudnić studenta informatyki lub technika-informatyka. Na pewno sobie poradzi. To etat podobny do etatu konserwatora, który istniał i nadal istnieje w wielu placówkach. Do zarządzania rozbudowaną siecią komputerową potrzebny jest specjalista, który przy odpowiednio zaplanowanej sieci może pracować zdalnie. Gdy zostanie zatrudniony np. przez gminę – spokojnie obsłuży jednocześnie kilka szkół. W tym kierunku powinno iść myślenie nie tylko dyrektora, ale także władz zwierzchnich. Zapewni to sprawne i bezpieczne funkcjonowanie sieci w szkole i szkoły w sieci. Przy docelowo najniższych kosztach. Nawet jeśli dzisiaj takie rozwiązanie wydaje się niemożliwe, dobrze jest szkolną sieć planować w taki sposób, by w przyszłości można było ją oddać pod opiekę bardziej scentralizowaną, np. na poziomie gminy. Przy tworzeniu projektu warto zatrudnić profesjonalną firmę, która będzie w stanie doradzić szkole optymalne rozwiązania. Nigdy jednak nie powinniśmy oddać w jej ręce projektu całkowicie. Wspólnie z nią powinniśmy omówić cele, jakim ma sprostać szkolna sieć i dobrać najlepsze rozwiązania techniczne. W kolejnych numerach podpowiemy, jak opracować plany i jak wybrać odpowiednie urządzenia.
Wskazówka
Technikalia – rozróżnienie urządzeń Trudnością może być rozróżnienie przez system urządzeń szkolnych i prywatnych. Nie jest to jednak problem, którego nie można rozwiązać. Traktując sieć bezprzewodową jako warstwę dostępową użytkownika do szkolnej sieci, można się pokusić o stworzenie kilku SSID – wirtualnych sieci bezprzewodowych korzystających z różnych mechanizmów zabezpieczeń – 802.1x lub WPA-ENT współpracujących z serwerem autoryzacji (np. usługa radius na Windows Server lub Freeradius na Linuxie). Można w tym wypadku wykorzystać certyfikaty w celu uwierzytelniania urządzeń szkolnych oraz z mechanizmów zabezpieczeń typu personal ze współdzielonym kluczem lub autoryzacją użytkownika tylko poprzez stronę wyświetlaną na kontrolerze sieci bezprzewodowej dla urządzeń prywatnych. W ten sposób urządzenia szkolne można wyizolować do innej podsieci wirtualnej dając im większe uprawnienia. Alternatywnie można zabronić dostępu do danej sieci bezprzewodowej korzystając z listy adresów MAC urządzeń, pozwalając dołączać się do sieci szkolnej tylko urządzeniom, które przez administratora na taką listę zostały wprowadzone.
Planując sieć należy brać pod uwagę rozwój technologii, która bardzo szybko się zmienia. Projektując sieć i wybierając rozwiązania nie powinniśmy skupiać się tylko na tym, co dzisiaj w szkole jest potrzebne, lecz myśleć perspektywicznie. Projekt powinien uwzględniać rozwój – dołączanie kolejnych urządzeń i grup użytkowników. Nie musimy wszystkiego kupować od razu, lecz powinniśmy przewidywać, co może być potrzebne. Twórzmy sieć tak, by najmniejszym kosztem – finansowym i organizacyjnym – móc w prosty sposób rozszerzyć jej funkcjonalność.
7 7
Sieć w szkole, szkoła w sieci sieci, cz. 1
Przełączniki i routery W pierwszej części Sieć w szkole, szkoła w sieci omówiliśmy ogólnie, jak planować sieć, co wtedy brać pod uwagę oraz jak zapewnić bezpieczeństwo naszym uczniom i szkole podczas korzystania z sieci – zarówno lokalnej, jak i z internetu. W drugim odcinku przedstawiamy charakterystykę elementów sieci – routerów oraz przełączników. Opisujemy, w jakie mechanizmy powinny być wyposaşone te urządzenia, by zapewnić moşliwość budowy bezpiecznej i wydajnej sieci przewodowej. Stanowi ona bowiem bazę do tego, by zbudować w szkole dostęp bezprzewodowy WiFi, na którym skupimy się w trzeciej części cyklu.
Zrozumieć sieć UTM (ang. Unified Threat Management) – wielofunkcyjne zapory sieciowe zintegrowane w postaci jednego urzÄ…dzenia. WiÄ™kszość urzÄ…dzeĹ„ klasy UTM oferuje nastÄ™pujÄ…ce funkcje: t ĂśMUS BOUZTQBNPXZ t TJFDJPXZ ĂśMUS BOUZXJSVTPXZ t XZLSZXBOJF XÂ’BNBÇŠ t ĂśMUSPXBOJF USFÇ´DJ t SPVUFS t /"5 J̓JOOF TUBOEBSEPXF VTÂ’VHJ TJFDJPXF PowyĹźsze usĹ‚ugi sÄ… oferowane wraz z subskrypcjÄ… na aktualizacje baz danych obejmujÄ…cych filtry treĹ›ci, antywirus oraz system detekcji wĹ‚amaĹ„. UrzÄ…dzenia klasy UTM upraszczajÄ… zarzÄ…dzanie bezpieczeĹ„stwem sieci oraz obniĹźajÄ… koszty w stosunku do stosowania oddzielnych urzÄ…dzeĹ„ lub rozwiÄ…zaĹ„ realizujÄ…cych funkcje wbudowane w te urzÄ…dzenia. LAN (ang. Local Area Network) – lokalna sieć komputerowa, np. na obszarze szkoĹ‚y, firmy czy innej instytucji. WAN (ang. Wide Area Network) – rozlegĹ‚a sieć komputerowa, najczęściej rozumiana jako sieć wykraczajÄ…ca poza obszar pojedynczego miasta lub kompleksu miejskiego. Port oznaczony jako WAN na urzÄ…dzeniach sieciowych oznacza miejsce poĹ‚Ä…czenia z sieciÄ… zewnÄ™trznÄ…, najczęściej z sieciÄ… dostawcy poĹ‚Ä…czenia z internetem. NAT (ang. Network Address Translation) – usĹ‚uga polegajÄ…ca na tĹ‚umaczeniu adresĂłw IP uĹźywanych w prywatnej sieci lokalnej (LAN) na adresy obsĹ‚ugiwane w sieci zewnÄ™trznej (WAN, internet). W wiÄ™kszoĹ›ci przypadkĂłw system NAT ma na celu umoĹźliwienie dostÄ™pu wielu urzÄ…dzeniom podĹ‚Ä…czonym do sieci lokalnej (prywatnej) do internetu przy wykorzystaniu pojedynczego publicznego adresu IP. VLAN (ang. Virtual Local Area Network) – wirtualna sieć lokalna, sieć komputerowa wydzielona logicznie w ramach innej, wiÄ™kszej sieci fizycznej. Na przykĹ‚ad w ramach jednej sieci lokalnej (LAN) moĹźemy wyodrÄ™bnić sieci VLAN oddzielne dla uczniĂłw, nauczycieli i administracji w taki sposĂłb, by urzÄ…dzenia podĹ‚Ä…czone do dwĂłch róş nych sieci wirtualnych nie miaĹ‚y do siebie bezpoĹ›redniego dostÄ™pu.
8
QoS (ang. Quality of Service) – jakość usług. Urządzenia posiadające moşliwość implementacji QoS pozwalają na m.in. podział pasma dostępu do sieci internet na grupy w taki sposób, by np. uczniowie korzystający z internetu nie spowodowali braku moşliwości dostępu do usług (np. dziennika elektronicznego) pracownikom administracji lub nauczycielom. IPS (ang. Intrusion Prevention System) – systemy wykrywania i zapobiegania włamaniom. Urządzenia sieciowe z wbudowanym IPS zwiększają bezpieczeństwo sieci komputerowych przez wykrywanie i blokowanie ataków w czasie rzeczywistym. ICMP (ang. Internet Control Message Protocol) – internetowy protokół komunikatów kontrolnych. Pełni przede wszystkim funkcję kontroli transmisji w sieci. Jest wykorzystywany w programach ping oraz traceroute. Pozwala sprawdzić m.in. czy istnieje (odpowiada) urządzenie sieciowe o danym adresie IP. SYSLOG – standard pozwalający na przekazywanie i gromadzenie informacji z róşnych źródeł. Jeşeli urządzenie sieciowe obsługuje ten standard, wówczas moşe przekazywać informacje na temat pracy sieci i jej uşytkowników celem gromadzenia i późniejszego audytu, np. na komputer obsługujący bazę zgodną z tym standardem. Dzięki temu moşliwy jest monitoring sieci. PoE (ang. Power over Ethernet) – technologia przesyłu energii elektrycznej za pomocą okablowania sieci komputerowej do urządzeń peryferyjnych będących jej elementami. Mogą to być np. adaptery sieci bezprzewodowej i punkty dostępowe, kamery monitoringu IP czy telefony internetowe. DoS (ang. Denial of Service, odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemoşliwienia działania. Podczas ataku (np. na serwer WWW) atakowana usługa przestaje odpowiadać na şądania uşytkowników poniewaş wszystkie jej zasoby są uşywane do obsługi atakujących.
Funkcjonalność szkolnej sieci
Bezpieczna i wydajna sieć przewodowa w nowoczesnej szkole powinna umożliwiać: t podział użytkowników na grupy, t przypisanie poszczególnym grupom użytkowników różnych uprawnień dotyczących dostępu do zasobów oraz ograniczenia przepływności w dostępie do sieci internet, t udzielanie dostępu do sieci przewodowej tylko dla urządzeń szkolnych, blokowanie dostępu dla urządzeń prywatnych, t zabezpieczenie użytkowników przed niebezpiecznymi treściami w internecie, t zabezpieczenie sieci szkolnej przed atakami z zewnątrz, t audyt aktywności użytkownika i logowanie ruchu. Na rysunku 1 przedstawiono jak powinna wyglądać przykładowa przewodowa sieć w nowoczesnej szkole. W typowej szkole najczęściej będziemy mogli wyróżnić przynajmniej takie grupy użytkowników, jak pokazano na rysunku 2 (administracja/serwery, nauczyciele, uczniowie, pracownia, goście), a później, w zależności od preferencji, nadać im różne uprawnienia – zarówno do dostępu wewnątrz, jak i na zewnątrz szkolnej sieci.
X Rysunek 1. Przykładowy podział szkolnej sieci na sieci VLAN (odseparowane podsieci wirtualne)
Realizacja funkcjonalności urządzeń
Realizacja powyższych założeń będzie możliwa tylko w wypadku wykorzystania w szkolnej sieci odpowiednich urządzeń i zaimplementowanych w nich mechanizmów. Wśród niezbędnych elementów sieci przewodowej realizującej takie funkcje znajdą się: t router z wbudowanym firewallem lub urządzenie klasy UTM (Unified Treat Management), t zarządzane przełączniki sieciowe. Opcjonalny element stanowić może serwer uwierzytelniania i monitoringu (tzw. Accounting – gromadzenie danych), czyli system, który pozwoli jednoznacznie zidentyfikować użytkownika, nadać mu odpowiednie uprawnienia oraz później przeprowadzić audyt tego, co użytkownik robił.
X Rysunek 2. Przykładowe wyróżnione grupy użytkowników i urządzeń w szkolnej sieci z opisanymi uprawnieniami przy każdym z połączeń (czy jest dostęp do internetu, pełny, ograniczony co do przepustowości i/lub filtrowania, czy tylko z urządzeń szkolnych, czy także z prywatnych)
Routery lub urządzenia UTM
Router z firewallem lub rozwiązanie zintegrowane klasy UTM w naszej sieci powinien spełniać następujące funkcje:
9
Sieć w szkole, szkoła w sieci, sieci cz. 1
1. Zapewniać dostęp do internetu, czyli łączyć interfejs dostarczony przez operatora usług ze szkolną siecią. W szczególności zapewniać translacje adresów (NAT – Network Aadress Translation) z klas adresów prywatnych umieszczonych wewnątrz szkoły, czyli sieci lokalnej (LAN – Local Area Network) na adresy publiczne czyli do sieci internet (WAN – Wide Area Network). Samą funkcję translacji zapewni praktycznie każdy router dostępny na rynku. Planując szkolną sieć należy jednak upewnić się, że wybrany model podoła wydajnościowo w szkole, gdzie jednocześnie z internetu może korzystać nawet kilkuset użytkowników. Wydajność routerów mierzy się w przepustowości wbudowanego w router Firewalla (systemu zabezpieczającego przed atakami z zewnątrz). Często określa ona również wydajność translacji NAT danego routera. Stosowaną miarą jest najczęściej przepustowość określana w Mb/s (megabity na sekundę) lub liczba możliwych jednocześnie sesji (czyli realizowanych połączeń). 2. Pozwalać na podłączenie szkolnej sieci do internetu więcej niż jednym łączem WAN. Router powinien mieć wbudowany więcej niż jeden interfejs WAN lub być modularny, czyli mieć możliwość doinstalowania odpowiedniego modułu, który zapewni łączność przed drugie (lub kolejne) łącze. Zastosowanie w szkole dwóch łączy pozwoli na zapewnienie większej przepływności w dostępie do sieci. Często dwa łącza o gorszych parametrach są tańsze niż jedno łącze odpowiadające parametrami dwóm połączonym interfejsom. W wielu wypadkach nie ma także możliwości technicznych pozwalających uzyskać lepsze parametry połączenia i zestawienie kilku połączeń jest jedynym rozwiązaniem. Wykorzystanie dwóch łączy pozwoli też na zapewnienie szkole połączenia z siecią internet nawet w przypadku awarii u jednego z operatorów. Funkcje umożliwiającą połączenie dwóch łączy w celu ich równoczesnego wykorzystania do komunikacji z internetem nazywa się równoważeniem obciążenia (Load Balancing). 3. Umożliwiać podzielenie sieci lokalnej LAN na segmenty. Patrząc na problem separacji użytkowników z perspektywy człowieka, łatwo jest nam wyróżnić poszczególne grupy na pod-
10
stawie pełnionych przez nie funkcji. W szkole mogą to być pracownicy administracji, nauczyciele, uczniowie, a być może – jeżeli szkoła działa zgodnie z duchem tendencji polegającej na przynoszeniu własnych urządzeń (BYOD – Bring Your Own Device) – również goście. Z perspektywy sieci podziału dokonać jest trudniej, ale nie jest on niemożliwy. Urządzenia sieciowe nie mogą same z siebie wywnioskować, który użytkownik jest nauczycielem, a który uczniem, mogą jednak przeprowadzić taką klasyfikację na podstawie cech charakterystycznych dla sieci – np. na podstawie adresów IP przyporządkowanych poszczególnym urządzeniom lub użytkownikom. Funkcją umożliwiającą wydzielenie segmentów sieci z naszej sieci lokalnej są wirtualne sieci lokalne (VLAN – Virtual Lacal Area Network). Sieci VLAN pozwalają stworzyć odrębne wirtualne segmenty sieci w ramach jednej, fizycznej sieci lokalnej. Ich zastosowanie możliwe jest już na przełącznikach zarządzanych, jednak dopiero zastosowanie routera – jako pośrednika w komunikacji pomiędzy segmentami – pozwala je w pełni wykorzystać. Router z obsługą funkcji VLAN 802.1q (najbardziej rozpowszechniony standard) daje nam możliwość stworzenia odrębnych sieci z odrębnymi pulami adresów dla poszczególnych grup użytkowników. Możemy w ten sposób wyodrębnić podsieć dla administracji i serwerów, dla uczniów, a także dla gości. Dzięki oddzielnej adresacji urządzenia sieciowe są w stanie rozpoznawać po IP grupy użytkowników i dawać im dostęp do określonych zasobów lub ograniczać dostępne dla nich pasmo – czyli zapewnić odpowiednią jakość obsługi (QoS – Quality of Service). Dostęp do określonych zasobów można ograniczać stosując pomiędzy poszczególnymi sieciami VLAN tzw. ACL (Access Control List), czyli listy definiujące, który ruch ma zostać dopuszczony, a który zablokowany. W wypadku komunikacji między sieciami VLAN uczestniczy w niej zawsze router lub UTM. Dlatego ograniczenia dla użytkowników możemy wprowadzić nawet przy komunikacji pomiędzy poszczególnymi segmentami sieci lokalnej, a nie tylko przy połączeniach z siecią internet. Router odpowiedni dla szkoły powinien z pewnością posiadać możliwość obsługi przynajmniej kilku/kilku-
nastu sieci VLAN 802.1q, ponieważ nigdy nie wiadomo, jakie grupy użytkowników będziemy chcieli wydzielić w przyszłości. Na przykład jako oddzielne grupy mogą zostać wydzielone nowe pracownie stacjonarne lub mobilne – składające się z notebooków lub tabletów. 4. Umożliwiać sterowanie pasmem tak, aby każda z grup użytkowników mogła otrzymać dedykowaną dla siebie przepływność. W przypadku aplikacji wykorzystujących zasoby w internecie najbardziej newralgicznym punktem jest z reguły dostępna przepływność na łączu WAN routera. Nie mając urządzeń z mechanizmami QoS (Quality of Service) narażamy się na niebezpieczeństwo wysycenia łącza nadmiernie przez uczniów lub gości, przez co dostęp z sieci administracyjnej – np. do dziennika elektronicznego – będzie niemożliwy. Wdrażając w sieci najpierw segmentacje a potem podział pasma dla poszczególnych użytkowników możemy dowolnie podzielić nasze łącze internetowe między pracowników administracji, nauczycieli, uczniów oraz gości. Na rysunku 3 pokazano, jak mógłby wyglądać podział takiego łącza pomiędzy poszczególnymi grupami użytkowników. 5. Zabezpieczać użytkowników, czyli filtrować strony internetowe. Filtrowanie powinno być możliwe pod kątem tego, czy umieszczone na nich odnośniki i pliki nie są szkodliwe (funkcja filtrowania reputacji stron WWW), a także pod kątem treści. Dobry router z systemem firewall lub UTM powinien być wyposażony w dynamiczne filtry, które będą się automatycznie aktualizowały, a jedynym zadaniem administratora będzie wybór poziomu zaufania stron oraz określenie kategorii treści, które mają być odfiltrowane (np. pornografia). Urządzenie powinno pozwalać również tworzyć wyjątki, aby w razie błędnego sklasyfikowania strony można było ją jednak wyświetlić. Bardziej zaawansowane rozwiązania klasy UTM filtrują nie tylko strony, ale również konkretne aplikacje. Dzięki temu w swojej szkole możemy zdecydować czy określona grupa użytkowników ma mieć dostęp np. do komunikatorów internetowych (co jest raczej niepożądane w trakcie prowadzenia zajęć) lub aplikacji pozwalających ściągać z internetu pliki. Kolejnym mechanizmem zabezpieczającym nas przed de
X Rysunek 3. Przykładowe reguły podziału łącza
facto nami samymi (czyli użytkownikami sieci lokalnej), jest – często wbudowany w systemy klasy UTM – system IPS (Intrusion Prevention System). Jego działanie polega na weryfikacji czy ruch pochodzący z naszej stacji roboczej lub ze stacji, z którymi się komunikujemy, nie jest szkodliwy. Może to dotyczyć np. luk zabezpieczeń w systemach operacyjnych, które mogą sprawić, że komputer stanie się tzw. zombie. Komputer taki generuje niepożądany ruch w sieci i jej urządzeniach. Systemy IPS odpowiadają za zablokowanie takiego ruchu, żeby niepotrzebnie nie obciążał naszej sieci. 6. Zabezpieczać sieć lokalną przed zewnętrznymi atakami. Rozwiązanie przeznaczone do wykorzystania na brzegu szkolnej sieci nie powinno wyłącznie filtrować ruchu użytkowników i internetowych treści, ale również zabezpieczać naszą sieć przed atakami z zewnątrz. Do najczęściej występujących ataków przeprowadzanych na urządzenia brzegowe należą ataki typu DoS (Denial of Service) – np. TCP Flood, których głównym celem jest obciążanie urządzeń sieciowych, jak routery i serwery WWW, do tego stopnia, że przestają realizować swoje funkcje lub zaczynają działać mniej wydajnie. Dobre routery lub urządzenia klasy UTM potrafią rozpoznawać takie ataki i ignorować je, by niepotrzebnie nie obciążać swoich zasobów. Innym przykładem zabezpieczającym naszą sieć przed atakami z zewnątrz są specjalne listopad 2012
11 11
Sieć w szkole, szkoła w sieci, sieci cz. 1
tryby pracy systemu Firewall routera, które zapewniają, şe urządzenie nie jest widoczne od strony sieci internet dla atakującego. Najprostszym mechanizmem zapobiegawczym w tym wypadku jest nieodpowiadanie na wiadomości ICMP – Internet Control Message Protocol, czyli popularne pingi. Atakujący często wykorzystują mechanizm wysyłania wiadomości ICMP przy wyborze „ofiary�, poniewaş gdy urządzenie w sieci internet odpowiada na polecenie ping to najpewniej znaczy to, iş stoi za nim jakaś sieć, której moşemy zaszkodzić. Jeşeli jednak takiego urządzenia z zewnątrz nie widać, to nie ma powodu, by przeprowadzać atak. 7. Monitorować sieć. Jeşeli planujemy w swojej sieci prowadzić audyt aktywności, to wybrane rozwiązanie powinno mieć moşliwość gromadzenia lub wysyłania informacji o tym, z jakimi adresami zewnętrznymi komunikowali się uşytkownicy. Mechanizm, który na to pozwala działa stosunkowo prosto. Niektóre routery lub urządzenia klasy UTM mają moşliwość wysyłania na tzw. serwery SYSLOG informacji o tym, co przechodziło przez Firewall urządzenia. SYSLOG to otwarty protokół pozwalający na przesyłanie i gromadzenie logów, czyli dzienników aktywności sieciowych, wykorzystywanych przez wiele urządzeń i wielu producentów. Wśród tych informacji znajdziemy źródłowe i docelowe adresy IP, a takşe źródłowe i docelowe numery portów dla protokołów transportowych, czyli TCP oraz UDP. Dzięki nim moşemy określić, które urządzenia się komunikowały. Jeśli do tego gromadzimy informacje o tym, kto pracował na danym komputerze – łatwo wskaşemy kto, co i kiedy robił w sieci. Gromadzenie informacji na temat pracy uşytkowników na poszczególnych komputerach moşna zrobić zarówno ręcznie, przypisując np. ucznia do danego komputera podczas zajęć, jak i automatycznie – korzystając np. z Windows Active Directory (lub innego katalogu uşytkowników) i tworząc odrębne konto dla kaşdego z nich.
Zarządzane przełączniki sieciowe
Kupując wyposaşenie sieciowe powinniśmy zwrócić uwagę na funkcjonalność przełączników sieciowych (switch), które będą funkcjonowały w szkolnej sieci. Powinny to być przełączniki za-
12
rządzane, a wbudowane w nie mechanizmy powinny umoşliwiać: 1. Podział sieci na segmenty, czyli wsparcie sieci VLAN zgodnie z protokołem 802.1q. Podział na sieci VLAN na samym routerze nic nam nie da, musimy jeszcze określić, które urządzenia do których sieci VLAN będą naleşały. Jeśli rozwaşamy sieć przewodową – mechanizm ten jest stosunkowo prosty. W ramach konfiguracji zarządzanych przełączników sieciowych, po zdefiniowaniu sieci VLAN, określa się dwa podstawowe parametry: Tryb, w jakim ma pracować port. Uşywane są dwa główne tryby: Access oraz Trunk. Porty w trybie Trunk wykorzystuje się do łączenia urządzeń sieciowych ze sobą, np. dwóch przełączników lub przełącznika z routerem. W ramach portów w trybie Trunk pomiędzy routerem a przełącznikiem przenoszony moşe być ruch pochodzący z wielu sieci VLAN. Do portów pracujących w trybie Access podłączane są urządzenia klienckie, takie jak komputery, serwery czy np. kamery IP monitoringu wideo, a ruch odbywa się w ramach pojedynczej sieci wirtualnej, do której port został przydzielony. Przynaleşność portu do określonej sieci VLAN. O ile port w trybie Trunk moşe przenosić ruch z wielu sieci wirtualnych (pod warunkiem, şe port został do nich przyporządkowany), o tyle dla portów w trybie Access naleşy określić konkretną sieć VLAN, do której urządzenie klienckie będzie podłączone. Jeśli więc podłączymy dany komputer do portu w trybie Access z określoną siecią VLAN, jego ruch zawsze będzie transmitowany tylko w tej sieci, chyba şe administrator pozwoli na komunikację między róşnymi sieciami VLAN. Wtedy jednak będziemy mieli do czynienia z transmisją przez router, na którym moşemy zastosować reguły limitujące pasmo (np. gdy chodzi o ruch do sieci internet) lub blokujące dostęp do określonych usług. Wirtualne sieci – zarówno na przełącznikach jak i na routerze – działają na takiej samej zasadzie. Do kaşdej porcji informacji (czyli ramki Ethernet) dodawany jest specjalny nagłówek informujący urządzenia sieciowe o tym, do której sieci VLAN dana informacja naleşy. To definiuje jednoznacznie, między którymi portami
przełącznika lub routera informacja może być przesłana. Dzięki temu oddzielony zostaje ruch w poszczególnych sieciach VLAN, czyli nie ma bezpośredniej możliwości wysłania informacji np. między siecią przypisaną dla szkolnej administracji a siecią dla uczniów. Ruch między sieciami VLAN może zachodzić jedynie za pośrednictwem rutera. Na ruterze zaś możemy określić, czy ruch taki jest dozwolony, czy zabroniony dla danego użytkownika i/lub sieci. 2. Identyfikację urządzeń sieciowych. Kolejnymi funkcjami, jakie powinny realizować dobre przełączniki zarządzane jest klasyfikacja urządzeń i dopuszczenie do danego portu przełącznika tylko tych o określonym, rozpoznanym adresie sprzętowym MAC (każde urządzenie sieciowe ma przyporządkowany przez producenta domyślny niepowtarzalny adres Media Access Control). Funkcja, która pozwala na takie zachowanie w sieci przewodowej nazywa się najczęściej Port Security i występuje w dwóch trybach: zamka dynamicznego oraz zamka klasycznego. Funkcja, jako podstawowy parametr identyfikujący urządzenie, wykorzystuje adres MAC. Ponieważ adres MAC jest unikatowy dla każdego urządzenia, pozwala je jednoznacznie zidentyfikować. Wraz z funkcją Port Security na przełącznikach zarządzanych mamy możliwość określenia, które urządzenie ma prawo korzystać z danego portu fizycznego przełącznika, a tym samym, do której sieci VLAN może zostać dołączone. Tryb zamka dynamicznego pozwala określić liczbę urządzeń z różnymi adresami MAC, których przełącznik ma prawo „nauczyć się“ na danym porcie. Po jej przekroczeniu przełącznik nie będzie mógł przekazywać ruchu z kolejnych, wcześniej nierozpoznanych urządzeń do niego podłączonych (zamek dynamiczny sprawdzi się w miejscach, gdzie do jednego portu przełącznika podłączamy wiele urządzeń). Tryb zamka klasycznego pozwala zamknąć administracyjnie port – tak, aby przełącznik komunikował się tylko z urządzeniami, które już na tym porcie zna. Stosując funkcję Port Security po podłączeniu do sieci wszystkich szkolnych urządzeń można zamknąć zamek klasyczny. Od tej pory, nawet gdy ktoś podłączy urządzenie prywatne, nie będzie mógł go wykorzystać do komunikacji ze szkolną siecią.
3. Ograniczanie dostępu do usług oraz QoS. Dobry przełącznik zarządzany powinien – oprócz wspomnianych wyżej funkcji – pozwalać tworzyć listy kontroli dostępu ACL oraz zarządzać pasmem bezpośrednio na przełączniku. Dzięki temu nawet w sieci bez routera będziemy mogli wprowadzić ograniczenia usług lub pasma nawet per urządzenie na poziomie portów przełącznika. 4. Power of Ethernet (PoE), czyli zasilanie z sieci komputerowej. Jest to opcjonalna funkcja, która coraz częściej znajduje zastosowanie w sieciach Ethernet. Przełączniki w nią wyposażone pozwalają zasilać urządzenia (np. punkty dostępowe sieci bezprzewodowej, kamery, telefony IP) bezpośrednio z przewodu Ethernet. Zastosowanie PoE znacznie upraszcza proces wdrożenia nowych urządzeń, ponieważ nie trzeba do nich doprowadzać osobnych kabli z zasilaniem 230V, co często wymaga stworzenia odrębnego projektu sieci i podnosi koszty wdrożenia.
Wybór optymalnego rozwiązania
Każda szkoła jest inna, zarówno pod względem liczby uczniów, jak i dostępnych pracowni oraz komputerów. Jednak niezależnie od tego, z jaką siecią mamy do czynienia, można określić wspólne cechy, którymi powinny się charakteryzować wykorzystane w niej urządzenia. Dobry router/UTM dla szkoły powinien być modularny lub mieć przynajmniej dwa łącza WAN oraz wbudowaną funkcję Firewall zapewniającą ochronę przed atakami zewnętrznymi. Jeżeli jednocześnie ma pełnić funkcję zabezpieczania użytkowników przed szkodliwymi treściami z internetu, to przydadzą się funkcje dynamicznego filtrowania reputacji stron WWW oraz zawartych na tych stronach treści, a także wbudowany system IPS. Dobry router powinien wspierać sieci VLAN w standardzie 802.1q, aby naszą sieć można było podzielić na segmenty, a także mechanizmy QoS, aby umożliwić podział dostępnego pasma pomiędzy poszczególne grupy użytkowników. Jeżeli zależy nam na tym, aby prowadzić audyt aktywności użytkowników, zwróćmy uwagę na funkcję logowania ruchu bezpośrednio na urządzeniu lub możliwość jego zapisu na zewnętrznym serwerze zgodnym ze standardem SYSLOG. listopad 2012
13 13
Sieć w szkole, szkoła w sieci sieci, cz. 1
Dobry przełącznik powinien dawać moşliwość wykorzystania wszystkich funkcji routera, czyli równieş posiadać obsługę sieci wirtualnych (VLAN) w standardzie 802.1q. Przydatna zapewne będzie równieş funkcja Port Security, aby zabezpieczyć naszą sieć przed podłączaniem zewnętrznych, nieuprawnionych urządzeń – np. prywatnych notebooków.
Przykładami rozwiązań które świetnie sprawdzą się w szkolnych sieciach przewodowych są produkty Cyberoam CR50iNG.
Do ich cech charakterystycznych naleşy zaliczyć: – CR50iNG to najwydajniejsze w swojej klasie rozwiązanie klasy UTM, czyli połączenie routera i zapory sieciowej nowej generacji oferujące przepływność do 3250 Mbps. – 8 portów GE działających z prędkością 10/100/1000 Mbps – Obsługa wielu interfejsów WAN, w tym modemów USB 3G/4G – Obsługa sieci VLAN zgodnie z IEEE 802.1q – Obsługa Quality of Service. – Wbudowany wielostrefowy Firewall oraz złoşony system filtrowania ruchu: Anty-wirus Filtr anty-spamowy Granularna kontrola aplikacji Filtrowanie reputacji i zawartości stron WWW Intrusion Prevention System – Wbudowany Captive Portal, czyli moşliwość autoryzacji uşytkowników na stronie WWW routera zanim uzyskają dostęp do internetu. – Wewnętrzna baza uşytkowników lub integracja bazy uşytkowników z RADIUS lub AD – Zarządzanie przez wbudowany interfejs WWW. Szczegółowe dane pod adresem: www.cyberoam.com/downloads/datasheet/CyberoamCR50iNG.pdf www.cyberoam.pl
14
Bezpieczna i wydajna sieć bezprzewodowa W trzeciej części cyklu omawiamy, jak stworzyć przemyślaną sieć bezprzewodową bazując na istniejącej w szkole sieci przewodowej.
Słowniczek WLAN (ang. Wireless Lokal Area Network) – bezprzewodowa sieć lokalna często określana mianem sieci Wi-Fi. Termin Wi-Fi znajduje zastosowanie również w określeniu instytucji (Wi-Fi Alliance) odpowiadającej za testowanie i certyfikowanie urządzeń bezprzewodowych pod kątem zgodności ze standardami IEEE (Institute of Electrical and Electronics Engineers), takimi jak 802.11a/b/g/n określającymi szczegółowo cechy urządzeń bezprzewodowych i protokołów, m.in. po to, aby urządzenia różnych producentów (np. karty sieciowe) mogły ze sobą bezproblemowo współpracować. BSS (ang. Basic Service Set) – zbiór minimum dwóch urządzeń bezprzewodowych komunikujących się ze sobą. W jednym zbiorze BSS może występować maksymalnie jeden punkt dostępowy, który w jego ramach identyfikowany jest przez stacje klienckie na podstawie BSSID, czyli niepowtarzalnego identyfikatora. ESS (ang. Extended Service Set) – zbiór dwóch lub więcej urządzeń bezprzewodowych komunikujących się ze sobą. W ramach zbioru ESS może występować wiele punktów dostępowych, a ich parametrem wspólnym w obrębie zbioru ESS jest nazwa sieci bezprzewodowej, czyli SSID. Dzięki temu klienci mogą przełączać się pomiędzy punktami dostępowymi w obrębie danej sieci, a sieć jest w stanie zapewnić użytkownikom odpowiednie parametry – np. prędkość transmisji. Mówiąc najprościej: ESS to pojedynczy profil sieci bezprzewodowej o wybranej nazwie dostępny na wybranym terenie – np. na terenie całej szkoły. Użytkownik podłącza swoje urządzenie do najbliższego punktu dostępowego, ale z jego punktu widzenia wygląda to tak, jakby zawsze przyłączony był to tego samego – niezależnie od fizycznego położenia – gdyż zawsze łączy się z siecią o tej samej nazwie. SSID (ang. Service Set Identifier) – nazwa sieci bezprzewodowej, którą widzi karta, gdy skanuje medium bezprzewodowe w poszukiwaniu sieci, do których może się podłączyć. W szczególnym wypadku SSID danej sieci może nie być przez nią rozgłaszane (forma zabezpieczenia przed próbami dołączenia się do sieci nieautoryzowanych użytkowników). Wówczas stacja, chcąc się podłączyć do takiej sieci, musi znać SSID – jej użytkownik musi wpisać je ręcznie. IEEE 802.11 – grupa standardów charakteryzująca sieci bezprzewodowe w ogólnie dostępnych pasmach częstotliwości. Do najpopularniejszych zaliczamy (w paśmie 2,4 GHz): 802.11b (oferujący transmisje z nośną na poziomie do 11 Mb/s), 802.11g (oferujący transmisję z nośną na poziomie do 54 Mb/s), 802.11n (oferujący transmisję na poziomie do 450 Mb/s) oraz (w paśmie 5 GHz): 802.11a (oferujący transmisję z nośną na poziomie do 54 Mb/s), 802.11n (oferujący transmisję z nośną na poziomie do 450 Mb/s). Unicast – mechanizm transmisji, w której występuje jeden nadawca i jeden odbiorca, np. użytkownik otwierający stronę w internecie. Formę takiej transmisji przedstawiono na poniższym rysunku.
Multicast – mechanizm transmisji, w którym występuje jeden nadawca oraz kilku odbiorców. Dane przesyłane przez nadawcę kierowane są na jeden z adresów z puli 224.0.0.0 do 239.255.255.255 (niektóre z nich są zarezerwowane). Taki strumień danych nazywamy strumieniem multicastowym. W sieciach wyposażonych w mechanizm IGMP Snooping odbiorcy chcący odbierać dane, na podstawie informacji o dostępnych strumieniach, zgłaszają swoją chęć odbioru danego strumienia multicastowego, który wtedy jest do nich kierowany przez urządzenia sieciowe. Przykładem wykorzystującym ten typ ruchu są aplikacje typu e-learning, gdzie nadawcą jest nauczyciel a odbiorcami – komputery uczniów.
X Źródło: http://en.wikipedia.org/wiki/Multicast Broadcast – mechanizm transmisji, w którym występuje jeden nadawca oraz wielu odbiorców. W odróżnieniu od transmisji multicastowej, broadcast kierowany jest zawsze do wszystkich użytkowników danego segmentu sieci. Sposobem na ograniczanie broadcastów jest dzielenie sieci na tzw. sieci wirtualne (VLAN), ponieważ ruch taki nie jest standardowo przepuszczany między nimi. Ruch typu broadcast generują aplikacje pozwalające na wykrywanie urządzeń w sieci, np. drukarek. Ruch typu broadcast może być nadużywany w celu przeprowadzania ataków DoS lub zapychania sieci, dlatego dobre rozwiązania bezprzewodowe standardowo blokują ruch tego typu, a jego włączenie jest z reguły możliwe przez zmianę konfiguracji sprzętu.
X http://en.wikipedia.org/wiki/Broadcasting_(networking)
X Źródło: http://en.wikipedia.org/wiki/Unicast
BYOD (ang. Bring Your Own Device)–tendencja zachęcająca użytkowników do przynoszenia do pracy/szkoły prywatnych urządzeń bezprzewodowych i wykorzystywania ich w trakcie codziennych zajęć. Jego pojawienie się podyktowane jest dynamicznym rozwojem sieci bezprzewodowych i wyposażaniem w interfejsy bezprzewodowe coraz większej liczby urządzeń(laptopy, telefony, tablety, urządzenia do odsłuchiwania muzyki).
15 15
Sieć w szkole, szkoła w sieci sieci, cz. 1
Założenia dotyczące sieci bezprzewodowej w nowoczesnej szkole
Bezpieczna i wydajna bezprzewodowa sieć szkolna powinna oferować następującą funkcjonalność: – dostęp w dowolnym miejscu placówki – pokrycie zasięgiem sieci bezprzewodowej obszaru całej szkoły, – rozdzielenie sieci bezprzewodowych od siebie, np. wydzielenie sieci przeznaczonych do wykorzystania przez urządzenia szkolne i prywatne, – uwierzytelnianie użytkowników i rozpoznawanie, np. czy jest to uczeń, czy nauczyciel, na bazie jego indywidualnego konta, gwarantujące jego jednoznaczną identyfikację, – autoryzacja, czyli zapewnienie dostępu do zasobów szkolnych i internetu w zależności od przypisanych dla użytkownika (indywidualnych lub grupowych) uprawnień, – accounting, czyli prowadzenie audytu aktywności użytkownika oraz zapisywanie (logowanie) jego ruchu, czyli: skąd, o której, dokąd, za pomocą jakiego protokołu użytkownik łączył się z innym komputerem, – zapewnienie dostępu do sieci bezprzewodowej dla wielu użytkowników w określonym miejscu w jednym czasie, np. pracowni komputerowej wykorzystującej laptopy lub tablety, – zapewnienie bezpiecznego dostępu do sieci bezprzewodowej i internetu dla rodziców i gości szkoły zgodnie z duchem BYOD (Bring Your Own Device – przynieś własne urządzenie). Rozważając wdrożenie w szkole sieci WLAN należy pamiętać o tym, że zawsze bazuje ona na już istniejącej infrastrukturze sieci przewodowej. Niezależnie od zastosowanego rozwiązania, zawsze w pewnym miejscu nasze punkty dostępowe (AP, z ang. Access Point) i/lub kontroler sieci bezprzewodowej będzie musiał zostać do niej podłączony przewodem. W związku z tym, o tym jakie funkcje będziemy w stanie wykorzystać w ramach naszej bezprzewodowej sieci częściowo zdecyduje infrastruktura przewodowa. Dlatego w artykule odwołujemy się do poprzednich odcinków cyklu, w których opisaliśmy wykorzystanie w szkole routera lub urządzenia typu UTM oraz zarządzanych przełączników sieciowych.
16
Przyglądając się dokładniej działaniu sieci przewodowych i bezprzewodowych znajdziemy podobieństwa, na przykład: – podobne schematy adresacji, adresy sprzętowe (MAC) oraz adresy IP, – wykorzystanie tych samych usług i protokołów, – np. DHCP, DNS, Radius, – wykorzystanie – jako źródeł informacji – najczęściej podłączonych przewodowo serwerów oraz sieci internet. Istnieją również odmienności wynikające z podstawowej różnicy w medium transmisyjnym wykorzystanym do przesyłania danych – przewody miedziane i sygnały elektryczne kontra odpowiednio zmodulowane fale radiowe, a co się z tym wiąże: – dedykowane przewody do transmisji i brak zakłóceń kontra konieczność współdzielenia częstotliwości radiowych z sąsiadami oraz unikania interferencji od własnej sieci, – stała prędkość transmisji w przewodzie 10/100/1000 Mb/s kontra zmienna prędkość transmisji uwarunkowana między innymi: odległością klienta od punktu dostępowego (AP), liczbą jednocześnie korzystających z sieci użytkowników czy od modelu karty bezprzewodowej, – bezkolizyjne, wydzielone sieci w rozwiązaniach przewodowych dzięki zastosowaniu przełączników sieciowych, kontra współdzielone medium transmisyjne, gdzie dostępne pasmo musimy podzielić pomiędzy wszystkich użytkowników uczestniczących w transmisji, – dedykowane pary przewodów i możliwość jednoczesnej transmisji w obie strony, czyli pełny dupleks kontra pół-dupleks w sieciach bezprzewodowych. Wynika to z faktu, że w danym momencie karta bezprzewodowa czy punkt dostępowy może tylko wysyłać lub odbierać dane, ale nie może realizować dwóch zadań jednocześnie, – znacznie większe możliwości zarządzania transmisją w sieciach przewodowych dzięki protokołowi CSMA/CD kontra rywalizacja o dostęp do medium i próby unikania kolizji poprzez protokół CSMA/CA w sieciach bezprzewodowych, – transmisja fizycznie bezpieczna, bo wewnątrz kabla kontra możliwość podsłuchania praktycznie każdego pakietu w powietrzu i konieczność stosowania mechanizmów szyfrowania.
Między innymi to właśnie te różnice stanowią największy problem dla sieci bezprzewodowych i sprawiają, że zaprojektowanie i wybór dobrego rozwiązania jest znacznie trudniejszy od zaplanowania sieci przewodowej. W artykule opisujemy nie tylko jak powinna wyglądać sieć bezprzewodowa w nowoczesnej szkole, ale także w jakie mechanizmy i technologie warto ją wyposażyć, aby przynajmniej część tych różnic zniwelować. Na poniższym rysunku zaprezentowano, jak mogłaby wyglądać sieć bezprzewodowa w nowoczesnej szkole.
X Schemat przedstawiający przykład udostępnienia zróżnicowanych (pod kątem zabezpieczeń i dostępu) sieci bezprzewodowych w szkole
W ramach sieci bezprzewodowej w nowoczesnej szkole możemy wyróżnić trzy profile ESS, czyli tak naprawdę trzy sieci bezprzewodowe rozgłaszane w każdym miejscu szkoły. Są to:
SIEC CYFROWA_SZKOLA Sieć ta jest przeznaczona dla pracowników administracyjnych, nauczycieli i uczniów. Do sieci mają dostęp tylko urządzenia szkolne, dostęp do sieci z urządzeń prywatnych jest zabroniony. Sieć korzysta z zabezpieczeń korporacyjnych WPA2 Enterprise, co oznacza, że w trakcie podłączania użytkownika do sieci sprawdzana jest jego tożsamość na serwerze Radius. Jeśli uda się potwierdzić tożsamość użytkownika, serwer zwraca również informacje do jakiej sieci wirtualnej (tzw. VLAN – o sieciach wirtualnych pisaliśmy w 24 numerze EFUN) użytkownik ma prawo uzyskać dostęp, a co za tym idzie, z jakich zasobów lokalnych i w internecie będzie mógł korzystać (oraz w jakim stopniu – możliwość ograniczenia pasma). Na rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci.
X Schemat uzyskania dostępu do sieci Cyfrowa_szkola
W pierwszym etapie następuje weryfikacja adresu sprzętowego (MAC) karty bezprzewodowej podłączającego się użytkownika: czy jest to urządzenie zaufane (szkolne, dostęp dozwolony), czy niezaufane (prywatne, dostęp zabroniony). W kolejnym etapie kontroler sieci bezprzewodowej lub punkt dostępowy (w zależności od wyboru rozwiązania) sprawdza, w porozumieniu z serwerem RADIUS, tożsamość użytkownika (np. nazwę użytkownika i hasło). Jeżeli użytkownik jest znany, uzyskuje dostęp i na podstawie dodatkowych parametrów zwracanych przez serwer jest wpuszczany do określonego dla tej grupy użytkowników segmentu sieci. Oczywiście w ramach danego segmentu znajdą zastosowanie również mechanizmy zabezpieczeń stworzone na routerze, takie jak ograniczenie pasma czy ograniczenia dostępu do stron WWW.
SIEC CYFROWA_SZKOLA_PRACOWNIA_A Sieć ta jest przeznaczona dla nauczycieli i uczniów w ramach zajęć w pracowni mobilnej (np. składającej się z notebooków czy tabletów). Sieć, podobnie jak w pierwszym wypadku, wykorzystuje zabezpieczenia WPA2 Enterprise, jednak pomimo że nauczyciele i uczniowie będą korzystali ze swoich danych do logowania jak w przypadku sieci Cyfrowa_Szkola, ich ruch będzie wpadał do konkretnej sieci VLAN dedykowanej dla tej pracowni (nie będzie dynamicznie rozdzielany do różnych sieci). Dedykowana sieć dla określonej pracowni mobilnej zapewnia, że nawet korzystając z oprogramowania typu e-learning ruch z komputerów uczniów i nauczyciela będzie ograniczony tylko do jednej, określonej sieci VLAN. Dzięki temu, wykorzystywane przez ten typ aplikacji ruchy broadcast oraz multicast nie będą zaśmiecać sieci w całej szkole, co znacznie podniesie jej wydajność.
17
Sieć w szkole, szkoła w sieci, sieci cz. 1
W razie potrzeby możemy też wyłączyć w tej sieci dostęp do internetu – w zależności od tego, z jakich zasobów będziemy korzystać w ramach zajęć. Na poniższym rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci.
jednak korzysta z mechanizmu uwierzytelniania użytkownika za pomocą tzw. Captive Portalu. Oznacza to, że po dołączeniu się do sieci użytkownik nie będzie miał dostępu do internetu, dopóki nie otworzy przeglądarki i nie poda swoich danych uwierzytelniających, czyli nazwy użytkownika i hasła. Sieć ta jest przypisana do konkretnej sieci VLAN, która ma wyjście tylko do internetu, a dodatkowo ma ograniczone pasmo. X Na rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci.
Od naszej decyzji będzie zależało, czy chcemy aby do tej sieci mieli dostęp pracownicy administracyjni. Dla nich można wydzielić oddzielną podsieć, co podniesie bezpieczeństwo podczas korzystania z aplikacji dla nich dedykowanych (np. oprogramowania szkolnego sekretariatu).
SIEC CYFROWA_SZKOLA_GOSCIE Do tej sieci mogą podłączyć się dowolne urządzenia – zarówno szkolne jak i prywatne – ponieważ sieć przeznaczona jest dla gości szkoły, np. rodziców uczniów. Sieć nie jest zabezpieczona,
18
REALIZACJA
Na rynku rozwiązań bezprzewodowych znajdziemy zarówno wolno stojące punkty dostępowe (AP), których głównym przeznaczeniem są domy i mniejsze firmy, jak i rozwiązania profesjonalne. Oparte na kontrolerach sieci bezprzewodowych i profesjonalnych punktach dostępowych potrafią obsłużyć nawet kilkudziesięciu użytkowników jednocześnie na jednym urządzeniu AP.
Funkcjonalność urządzeń
Oba typy rozwiązań zamieniają medium transmisyjne z przewodów (najczęściej tzw. skrętki ethernetowej, czyli kabla typu UTP) na fale radiowe. Nie znaczy to jednak, şe oba sprawdzą się w szkole, gdzie potrzebujemy mechanizmów uwierzytelniania, autoryzacji i zapisywania informacji o połączeniach i ruchu w sieci, w ramach której w jednej pracowni moşe występować nawet 30 bezprzewodowych urządzeń. Nie licząc dodatkowych urządzeń prywatnych, które często uczniowie i nauczyciele chcieliby móc dołączyć do szkolnej sieci. Rozwiązania oparte na kontrolerze sieci bezprzewodowej sterującym punktami dostępowymi mają wiele przewag nad wolnostojącymi punktami dostępowymi. Między innymi: umoşliwiają zarządzanie całą siecią bezprzewodową z jednego interfejsu, dzięki czemu w przypadku konieczności rekonfiguracji sieci moşna ją wykonać w kilka minut, upraszczają znacznie integrację sieci bezprzewodowej z siecią przewodową. Na przykład sieci wirtualne VLAN musimy jedynie doprowadzić łączem typu trunk (patrz artykuł w 24 numerze EFUN) do kontrolera sieci bezprzewodowej, a nie do wszystkich punktów dostępowych. W wielu przypadkach, gdy szkoła nie decyduje się na wymianę całej infrastruktury przewodowej, a ma tylko jeden zarządzany przełącznik i router z sieciami wirtualnymi, doprowadzenie z niego łączy trunk do wszystkich AP moşe nie być moşliwe. Co za tym idzie, nie będziemy mogli wykorzystać funkcji dostępnych w naszej sieci przewodowej mając wolno stojące AP, upraszczają integrację sieci bezprzewodowej z serwerami autoryzacji, poniewaş jako klienta serwera autoryzacji dodaje się tylko jeden kontroler, a nie kilka czy kilkanaście punktów dostępowych, usprawniają proces gromadzenia logów, które do serwera autoryzacyjnego spływają z jednego źródła (kontroler), a nie z wielu (punkty dostępowe), oferują automatyczne konfigurowanie punktów dostępowych. Punkty dostępowe współpracujące z kontrolerem z reguły same są w stanie taki kontroler wyszukać w sieci, podłączyć się do niego i pobrać konfigurację. Dzięki temu mamy pewność, şe wszystkie urządzenia będą miały zgodne wersje oprogramowania oraz spójną konfigurację, co w wypadku rozwiązań wolno-
stojących i zmian wprowadzanych na róşnych urządzeniach w róşnym czasie bardzo utrudnia sprawne zarządzanie infrastrukturą sieciową. Profesjonalne rozwiązania oparte na kontrolerach sieci bezprzewodowych i punktach dostępowych, oprócz powyşszych wspólnych zalet, wniosą do naszej sieci dodatkowe przewagi technologiczne. Będą się one róşnić funkcjonalnością w zaleşności od wybranego producenta – świetnym przykładem są opisywane w dalszej części artykułu funkcje kontrolerów i punktów dostępowych Meru Networks. Podsumowując – jeşeli chcemy mieć w szkole zarówno bezpieczną, jak i wydajną sieć bezprzewodową, wśród niezbędnych jej elementów powinniśmy uwzględnić: – kontrolera sieci bezprzewodowej, – punkty dostępowe z nim współpracujące. Jeśli chcemy, aby sieć bezprzewodowa działała dokładnie tak, jak w zaprezentowanych przykładach, dodatkowym elementem będzie serwer radius, czyli system pozwalający jednoznacznie zidentyfikować uşytkownika, nadać mu odpowiednie uprawnienia oraz później prowadzić audyt jego działalności w sieci.
Projekt sieci bezprzewodowej Dobrze zbudowana sieć bezprzewodowa musi zostać właściwie zaprojektowana. Zacząć naleşy od określenia oczekiwań wobec niej. Moşna w tym celu wykorzystać podane przez nas przykłady i załoşenia. Kolejnym etap projektowania to określenie, gdzie w szkole potrzebny jest zasięg sieci bezprzewodowej. Jeśli to moşliwe, najlepiej zapewnić zasięg w całej szkole, co w praktyce nie musi okazać się wcale trudne. Do tego niezbędne są plany budynku szkolnego. W przypadku budynków nowych lub modernizowanych jest duşa szansa na zdobycie profesjonalnych planów, wykonanych np. w oprogramowaniu Autocad i formacie DWG. Jeşeli szkoła mieści się w budynku starszym, być moşe w archiwum znajdziemy papierowe plany architektoniczne. Te moşna łatwo zeskanować i wykorzystać do planowania sieci. W ostateczności moşna takşe wykorzystać plan ewakuacyjny lub szkic budynku wykonany przy zachowaniu jego skali. Planowanie sieci bezprzewodowej na papierze bez odpowiednich narzędzi nie będzie nigdy dokładne, dlatego warto to zadanie powierzyć profesjonalistom. listopad 2012
19 19
Sieć w szkole, szkoła w sieci sieci,(Rozwiązania cz. 1 Meru Networks)
Dodatkowa funkcjonalność kontrolera sieci ułatwiająca utrzymanie sieci w ruchu Oprócz wymienionych powyżej cech, niektóre z oferowanych rozwiązań dysponują technologiami, na które warto zwrócić uwagę. Przykładem takiego rozwiązania są kontrolery i punkty dostępowe Meru Networks. Do podstawowych wyróżników technologicznych Meru Networks możemy zaliczyć takie cechy jak: jednokanałowa architektura, wirtualna komórka oraz Air Time Fairness, które opisujemy dalej.
Jednokanałowa architektura Pierwszą cechą, która diametralnie odróżnia sieci Meru od rozwiązań tradycyjnych jest jednokanałowa architektura. Na rysunku przedstawiono porównanie tradycyjnej architektury wielokanałowej (nazywanej również mikrokomórkową) oraz architektury jednokanałowej.
X Porównanie architektury tradycyjnej oraz jednokanałowej architektury oferowanej przez firmę Meru Networks
W tradycyjnych rozwiązaniach, aby punkty dostępowe pracujące w swoim bezpośrednim sąsiedztwie nie zakłócały się nawzajem, muszą pracować na różnych kanałach radiowych. W zależności od standardu i pasma, na którym urządzenia operują, sugerowany odstęp między kanałami sąsiadujących ze sobą punktów dostępowych wynosi odpo-
20
wiednio: 5 kanałów dla pasma 2,4 GHz oraz 4 kanały dla pasma 5 Ghz. Ponieważ liczba kanałów radiowych jest ograniczona regulacjami prawnymi, do dyspozycji w paśmie 2,4 GHz mamy łącznie 13 kanałów. Planując rozbudowaną tradycyjną sieć bezprzewodową korzysta się najczęściej ze schematu 1, 6, 11, który pozwala rozmieścić obok siebie do trzech urządzeń na nienakładających się kanałach. Planowanie kanałów na jednej płaszczyźnie to nie wszystko, ponieważ sygnał bezprzewodowy rozchodzi się w każdym kierunku – także przez podłogi czy sufity. Z taką sytuacją mamy do czynienia bardzo często. Prowadzi to do konieczności ograniczania mocy na poszczególnych punktach dostępowych, aby nie dochodziło do zakłócania miedzy poszczególnymi AP. Jednak ograniczanie mocy wpływa na siłę sygnału, a co się z tym wiąże – na zasięg danego punktu dostępowego. To z kolei wymusza nierzadko zastosowanie większej liczby punktów dostępowych niż wstępnie planowano. W przypadku gdy punkty dostępowe są zarządzane indywidualnie, takie rozplanowanie mogło być koszmarem dla projektanta i administratora. Na szczęście dynamiczny rozwój sieci bezprzewodowych wymógł na producentach konieczność poszukiwania rozwiązania tego problemu. Większość firm skupiło się na opracowywaniu dynamicznych algorytmów, których zadaniem jest automatyczny dobór kanałów w obrębie infrastruktury złożonej z wielu AP i automatyczne dobranie ich mocy. Zadanie to powierzono kontrolerom sieci bezprzewodowej. Pomimo tego, że algorytmy upraszczają sam proces planowania, nie są niestety pozbawione wad. Jedna z nich wynika z samego podejścia do wstępnego planowania sieci. Przymierzając się do zainstalowania punktów dostępowych w danym środowisku, pomiary najczęściej prowadzone są poprzez zastosowanie jednego czy dwóch
punktów dostępowych i sprawdzenie zasięgów. W przypadku korzystania z dynamicznych algorytmów zarządzania mocą, po wdrożeniu całego systemu może się okazać, że system zdecyduje o zmniejszeniu mocy na AP, ze względu na zakłócenia z sąsiednich punktów, których nie braliśmy pod uwagę na etapie planowania. Zmniejszenie mocy może z kolei spowodować powstanie białych plam w zasięgu lub sytuacji, gdy podłączenie się do sieci będzie możliwe, ale z bardzo niską przepływnością. Dynamiczne rozplanowanie kanałów na AP jest również narażone na tzw. efekt domina, to znaczy sytuację, w której zakłócenia z zewnętrznego źródła spowodują, że algorytm musi zmienić kanał na danym punkcie dostępowym. Zmiana kanału na jednym punkcie wywołuje konieczność zmiany na wszystkich pozostałych urządzeniach (i rozłączenie na ten czas wszystkich klientów). W związku z opisanymi niedogodnościami poszukiwane są nowe rozwiązania. Skuteczne i odmienne podejście zastosowano w urządzeniach firmy Meru Networks. W tym wypadku wszystkie punkty dostępowe pracują na jednym kanale radiowym. Dzięki synchronizacji punktów dostępowych na bardzo wysokim poziomie udało się stworzyć system WLAN, w którym niezależnie od tego czy mamy do czynienia z pasmem 2,4 GHz, czy 5 GHz, punkty mogą pracować na tym samym kanale radiowym i nie zakłócają się nawzajem. Rozpatrywany przez nas na rysunku przypadek, w którym sygnał z AP rozchodzi się równomiernie, odnosi się do sytuacji idealnej, gdy na przeszkodzie sygnału radiowego nie stoją ściany, szafki czy ludzie. Rzeczywistość jest jednak dużo bardziej brutalna. Oprócz przeszkód, z którymi sygnał bezprzewodowy musi sobie poradzić wpływ na nierównomierne jego rozchodzenie mają również nowoczesne technologie, m.in. 802.11n i stosowane
w niej systemy anten MIMO, czyli systemy, w których sygnał moşe być nadawany i odbierany przez kilka róşnych anten, tak aby zwiększyć zasięg oraz przepływność. Charakterystyka pokrycia w 802.11n bardziej przypomina jeşa niş kółka i bardzo trudno jest przewidzieć, jak sygnał będzie się rozchodził, aby dobrze dobrać kanały radiowe. W tym wypadku najwyraźniej widać przewagę rozwiązania Meru Networks, gdzie problem nie występuje. Poniewaş wszystkie AP mogą pracować na jednym kanale, w sytuacji gdy w jakimś miejscu brakuje zasięgu – wystarczy dołoşyć kolejny punkt dostępowy. Podsumowując: architektura tradycyjna, pomimo şe stosowana przez wielu producentów, ma swoje wady. Oprócz konieczności rozplanowania kanałów, poziomów mocy AP i weryfikacji rozmieszczenia naleşy cały czas pilnować infrastruktury pod kątem tego, czy dynamiczne algorytmy nie zmieniły parametrów systemu. Co więcej, jakiekolwiek dodawanie lub zmiany w połoşeniu AP wymagają ponownego planowania. Architektura jednokanałowa pozwala na znacznie szybsze planowanie i wdroşenie rozwiązania, poniewaş planujemy tylko zasięg. Po ostatecznym zainstalowaniu rozwiązania pełna moc na AP gwarantuje stały i przewidywalny zasięg. Często okazuje się, şe zastosowanie architektury jednokanałowej pozwala zmniejszyć liczbę AP w porównaniu do tradycyjnych rozwiązań nawet o 30 proc., co daje realne oszczędności. Dodatkowo jakiekolwiek zmiany, jak przenoszenie lub dodawanie kolejnych AP, nie stanowi şadnego problemu, co czyni Meru rozwiązaniem idealnym równieş w przypadku instalacji rozbudowywanych stopniowo – np. w szkole, gdzie zasięg moşe być potrzebny najpierw tylko w jednej pracowni i być stopniowo rozbudowywany na całą placówkę.
Wirtualna komórka Częstym problemem występującym w sieciach bezprzewodowych jest sytuacja, w której urządzenie mobilne znajduje się na granicy zasięgu dwóch AP lub często się przemieszcza, w związku z czym następuje częsta, irytująca zmiana punktu dostępowego, do którego urządzenie jest przyłączone. W takim wypadku z pomocą moşe przyjść inna technologia opracowana przez Meru Networks – tzw. wirtualna komórka. Jej zastosowanie moşe mieć szczególne znaczenie w szkole, w której tworzona jest sieć bezprzewodowa dla całego budynku. Zazwyczaj w takich wypadkach nie jesteśmy w stanie na 100 proc. przywidzieć, czy któreś sale zajęciowe nie wypadną właśnie na granicy zasięgów dwóch, a moşe trzech punktów dostępowych. Uşytkownicy korzystający z tradycyjnej sieci w tym miejscu są naraşeni na szczególnie częste rozłączanie z siecią bezprzewodową. ŝeby dokładniej wyjaśnić technologię jednej komórki, posłuşmy się porównaniem z siecią tradycyjną. Z punktu widzenia urządzenia – klienta bezprzewodowego – kaşda sieć WLAN jest identyfikowana na podstawie kilku parametrów: SSID, czyli nazwy sieci bezprzewodowej, którą wybieramy gdy do sieci się podłączamy, kanału radiowego, którym się z reguły nie interesujemy podłączając się do sieci, BSSID, czyli sprzętowego identyfikatora punktu dostępowego od strony bezprzewodowej, który – moşna powiedzieć – jest bezprzewodowym adresem MAC kaşdego AP i jak kaşdy MAC jest unikatowy dla danego urządzenia. Dzięki tym kilku parametrom oraz dokonywanemu przez kaşdą kartę bezprzewodową pomiarowi siły sygnału, urządzenie klienckie jest w stanie zdecydować, kiedy zasięg z danego punktu jest na tyle słaby, şe powinno nastąpić przełączenie do innego punktu dostępowego rozgłaszającego tę samą nazwę sieci
SSID, ale znajdującego się na innym kanale i mającego inne BSSID. W związku z tym w rozwiązaniu tradycyjnym to karta, czyli klient, decyduje o tym, kiedy się przełączyć, a nie sieć bezprzewodowa – klient naraşony jest więc na przeskakiwanie między AP, gdy znajdzie się na granicy zasięgów a sam czas przełączenia jest wydłuşony o konieczność zmiany kanału radiowego, ponowną negocjacje zabezpieczeń i asocjację z siecią. Czas przełączenia klienta moşe wynieść, w zaleşności od klasy rozwiązania, od 50 do nawet 3000 ms. Technologia wirtualnej komórki została opracowana w celu wyeliminowania problemu przełączeń i zapewnienia większej kontroli nad klientem bezprzewodowym. Istnieją jej dwie wersje: Shared BSSID i Per Station BSSID, czyli Virtual Port. Koncepcję rozwiązania wyjaśnimy na przykładzie pierwszej. Powiedzieliśmy juş, şe dla klienta bezprzewodowego sieć określa kilka parametrów: SSID, kanał oraz BSSID. W przypadku wirtualnej komórki opracowanej przez Meru Networks pracującej w trybie Shared BSSID dla kaşdego klienta dołączającego się do pokazanej na rysunku sieci Meru Networks, niezaleşnie od tego, w którym miejscu sieci pojawi się klient, parametry te przyjmą następujące wartości: dla kaşdego punktu dostępowego SSID = Merunetworks, czyli jak w wypadku tradycyjnym, şeby klient w ogóle mógł się podłączyć. Podobnie, niezaleşnie od punktu dostępowego, ustawiony jest kanał 1 – poniewaş korzystamy z jednokanałowej architektury. Cały czar wirtualnej komórki musi opierać się więc na BSSID, które w trybie Shared BSSID dla kaşdego klienta – niezaleşnie od AP – równieş będzie takie samo. Dlatego klient nie ma po czym odróşnić, do którego AP został przez system przypisany. W tym przypadku nie mamy do czynienia z przełączeniem klienta między AP, a z jego przekazaniem
21
Sieć w szkole, szkoła w sieci sieci,(Rozwiązania cz. 1 Meru Networks)
(ang. soft hand – off). Ponieważ klient sam nie może zdecydować, kiedy się przełączyć, bo wszędzie widzi to samo, sieć Meru wygląda dla niego jak jeden ogromny punkt dostępowy pokrywający zasięgiem całe piętro czy budynek szkoły. To system decyduje, gdzie przypisać klienta, a nie klient. Sieć opracowana przez Meru Networks zachowuje się tak, jakby zawsze ten sam wirtualny AP znajdował się w zasięgu klienta i towarzyszył mu od momentu podłączenia się do sieci aż do zakończenia połączenia. Rozwinięciem opisanej koncepcji jest drugi ze wspomnianych trybów pracy wir-
tualnej komórki – Virtual Port. W tym trybie w momencie podłączania się do sieci dla każdego klienta bezprzewodowego tworzony jest unikatowy dla niego wirtualny AP. Mając swoje BSSID i swojego wirtualnego AP, klient nie czuje się już w sieci bezprzewodowej jakby był podłączony do huba, w którym wiele urządzeń współdzieli łącze (jak w tradycyjnych rozwiązaniach), a raczej jakby został podłączony do indywidualnego portu na przełączniku sieciowym. Technologia wirtualnego portu pozwala sterować transmisją w sieci radiowej z dokładnością do jednego klienta bezprzewodowego. Unikatowe BSSID klienta podąża za nim w obrębie całej sieci, dzięki czemu klient nadal ma wrażenie, jakby jego punkt dostępowy był zawsze w zasięgu. Brak tradycyjnego przełączenia wpływa znacząco na skrócenie czasu przekazania klienta w sieci Meru, które wynosi tu typowo od 3 do 10 ms. Ponadto, sieci Meru Networks wykorzystujące technologie wirtualnego portu są z definicji bezpieczniejsze niż sieci tradycyjne.
22
Air Time Fairness, czyli sprawiedliwy (a nie równy) podział czasu Trzecią poprawiającą wydajność sieci technologią opracowaną przez Meru Networks jest Air Time Fairness. Wyobraźmy sobie przypadek, w którym do naszego punktu dostępowego podłączonych jest dwóch klientów. Jeden znajduje się w dość dużej odległości i ma słaby zasięg, a co za tym idzie transmisję na poziomie 1 Mbps. Drugi klient znajduje się blisko AP, ma dobrą siłę sygnału i transmisję na poziomie 300 Mbps.
Większość systemów tradycyjnych została zaprojektowana tak, aby równomiernie obsługiwać klientów pod kątem liczby przesłanych danych. To jednak wpływa destruktywnie na efektywne wykorzystanie najcenniejszego zasobu w sieciach bezprzewodowych jakim jest czas transmisji. Mając dwóch takich klientów i zakładając ze obaj mają tę samą liczbę danych do wysłania, oczywistym jest, że czas, jakiego będzie potrzebował klient wolniejszy będzie około 300 razy dłuższy niż czas, który na wysłanie swoich danych wykorzysta klient szybki. W związku z tym w tradycyjnym systemie często pojedynczy wolniejszy klient jest w stanie spowolnić całą sieć bezprzewodową. W rozwiązaniu Meru to właśnie czas radiowy jest podstawową jednostką, którą system bierze pod uwagę przy podziale zasobów pomiędzy klientów. Dzięki technologii Air Time Fairness, każdy klient – niezależnie od tego, z jaką prędkością działa – otrzymuje tyle samo czasu radiowego na swoją transmisję.
Szybsi klienci są w stanie wysłać więcej danych. Klienci wolniejsi muszą natomiast poczekać na swoją kolej a dane
mogą wysyłać partiami. Dzięki takiemu podejściu ogólna wydajność systemu Meru jest znacznie wyższa od systemów tradycyjnych a czas radiowy jest znacznie efektywniej wykorzystany. Opisane powyżej technologie pozwalają nie tylko uprościć wdrożenie i późniejszą rozbudowę sieci, ale również zniwelować opisywane na początku artykułu różnice w funkcjonowaniu sieci przewodowej i bezprzewodowej. Technologie takie jak Virtual Port, Air Traffic Control czy Air Time Fairness pozwalają sprawić wrażenie, że użytkownik podłączony do sieci Meru czuje się jakby miał swój dedykowany port na przełączniku sieciowym, ponieważ: – użytkownik ma swój wirtualny AP (swoje BSSID, które za nim podąża), – użytkownik ma przypisany przez system (tylko dla niego) czas na transmisję a jeden wolny użytkownik nie spowoduje spowolnienia pracy całej szkolnej klasy (jak w rozwiązaniu tradycyjnym), bo dzięki dynamicznemu zarządzaniu czasem radiowym system działa wydajniej niż tradycyjna sieć i korzystanie z aplikacji zarezerwowanych dotychczas dla sieci przewodowej przy zastosowaniu technologii Meru nie stanowi problemu. Więcej informacji o technologiach i produktach znaleźć można na stronach producenta rozwiązań: http://www.merunetworks.com
Na poniższym rysunku przedstawiono przykład rozplanowania wykonanego w oprogramowaniu Ekahau Site Survey, pozwalającym na predykcyjne planowanie zasięgu i pojemności sieci bezprzewodowych oraz ich późniejszy audyt.
X Planowanie rozmieszczenia punktów dostępowych oraz zasięgu sieci i jej pojemności w oprogramowaniu Ekahau Site Survey
Oprogramowanie pozwala – po wprowadzeniu planów budynku i określeniu ich skali – narysować ściany i określić ich tłumienność. Następnie, korzystając z wzorców anten i charakterystyki propagacji fal oferowanych przez punkty dostępowe, możemy je umieścić na mapie i zasymulować, jak będzie propagować się wysyłany przez nie sygnał. W wyniku otrzymamy odpowiedź na pytanie: ile punktów dostępowych jest potrzebnych, aby zapewnić pokrycie całej szkoły i gdzie należy je zainstalować. Informacje będą tym dokładniejsze, im więcej danych dostarczymy, np. grubość poszczególnych ścian (przynajmniej w przybliżeniu) oraz z jakiego materiału zostały wykonane. Na rynku jest wiele firm, które profesjonalnie zajmują się projektowaniem sieci bezprzewodowych. Często udaje się wynegocjować wstępne rozplanowanie sieci z określeniem potrzebnej liczby punktów dostępowych bez konieczności ponoszenia kosztów ze strony szkoły (m.in. w tym celu możesz skorzystać z danych kontaktowych zamieszczonych na końcu artykułu). Korzystając od samego początku z usług profesjonalnej firmy, może udać się zredukować koszty wdrożenia – dzięki odpowiedniemu dobraniu rodzaju oraz ilości sprzętu, a także przez optymalne wykorzystanie istniejącej już w szkole infrastruktury.
Wybór kontrolera sieci bezprzewodowej W przypadku podjęcia decyzji o wyborze rozwiązania z kontrolerem sieci bezprzewodowej,
to głównie jego funkcje będą warunkowały funkcjonalność naszej sieci. Dobry kontroler sieci bezprzewodowej powinien: – automatycznie wykrywać i przeprowadzać aktualizacje oprogramowania oraz oferować dystrybucję konfiguracji dla podłączających się do niego punktów dostępowych. Dzięki temu wdrożenie i późniejsza administracja rozwiązaniem będzie uproszczona, – oferować wybór, w jaki sposób ruch powinien być przekazywany z urządzeń mobilnych – czy najpierw powinien być przekazany z punktów dostępowych do kontrolera sieci, a tam po przejściu przez system Firewall kierowany do odpowiednich sieci wirtualnych (VLAN), czy też powinny go bezpośrednio obsługiwać punkty dostępowe. Pierwsza opcja upraszcza wdrożenie i jest wymagana przy niektórych funkcjach, jak np. Captive Portal (udostępnienie strony logowania do sieci dla użytkowników). Konfiguracja za pomocą drugiej opcji może być przydatna, gdy jakiś punkt dostępowy musimy wynieść między budynkami szkoły przez łącza o słabszej przepływności (np. most bezprzewodowy lub internet), – umożliwiać stworzenie w obrębie jednego kontrolera wielu różnych profili ESS, czyli wielu różnych sieci bezprzewodowych, z uwzględnieniem różnych rodzajów zabezpieczeń, różnych sieci VLAN wraz z możliwością określenia, na jakich punktach dostępowych dana sieć bezprzewodowa może być dostępna. Ma to szczególne znaczenie w wypadku sieci takich jak Cyfrowa_Szkola_Pracownia_A. Sieć ta, przeznaczona do obsługi urządzeń mobilnych należących do mobilnej pracowni (notebooków, tabletów), mogłaby być rozgłaszana tylko w miejscu, gdzie rzeczywiście znajduje się ta pracownia, – wspierać standardowe mechanizmy i protokoły sieciowe, jak chociażby opisywane w poprzednim artykule sieci VLAN w standardzie 802.1q, – wspierać standardowe mechanizmy uwierzytelniania, włączając w to WPA/WPA2, włącznie z trybem mieszanym WPA mixed (w ramach którego urządzenia wspierające lepszy mechanizm zabezpieczeń – WPA2 – będą z niego korzystały, a urządzenia starsze nadal będą w stanie podłączyć się do sieci korzystając z WPA) . Jeżeli chcemy korzystać z indywidualnych kont użytkowników, powinno to dotyczyć również trybu Enterprise. Obecność różnorodnych metod uwierzytelniania listopad 2012
23 23
Sieć w szkole, szkoła w sieci
i szyfrowania w szkolnej sieci jest niezwykle istotna. Mamy wówczas większą pewność, şe będziemy mogli skorzystać z sieci niezaleşnie od wykorzystanego urządzenia klienckiego. Szczególnie, gdy dopuszczamy podłączanie prywatnych urządzeń, co do których nie moşemy przewidzieć, jakie funkcje uwierzytelniania będą na nich dostępne, – pozwalać tworzyć listę adresów urządzeń (MAC) zaufanych (np. szkolnych) lub niezaufanych (np. prywatnych). Następnie na jej podstawie decydować, czy dane urządzenie ma prawo skorzystać z danej sieci bezprzewodowej – jeszcze zanim uşytkownik w ogóle się zaloguje. – mieć wbudowany Captive Portal, w celu zapewnienia uwierzytelniania uşytkowników w sieciach dla gości. Strona do logowania powinna jednocześnie mieć moşliwość modyfikacji, tak aby uwzględnić na niej informacje dotyczące samej szkoły, warunków korzystania z sieci przed zalogowaniem czy nawet szkolnego logotypu. Oprócz tego kontroler powinien mieć moşliwość wykorzystania do autoryzacji przez stronę zarówno danych uşytkowników umieszczonym w centralnym, zewnętrznym katalogu (z uşyciem usługi RADIUS, ang. Remote Authentication Dial In User Service), jak i własną wewnętrzną bazę pozwalającą na definiowanie uşytkowników w wypadku, gdy szkoła nie ma ich centralnego katalogu, – łatwo integrować się z zewnętrznymi serwerami RADIUS oraz wspierać dodatkowe parametry związane z uwierzytelnianiem uşytkownika. Dzięki temu w trakcie autoryzacji, np. na podstawie nazwy uşytkownika i hasła, będzie moşna przypisać mu dodatkowe parametry połączenia – np. sieć VLAN czy ustawienia QoS . Dzięki temu, w zaleşności kto się zaloguje – nauczyciel czy uczeń – moşemy graniczyć mu pasmo lub dostęp do określonych zasobów sieciowych, – pozwalać kontrolować ruch w sieci bezprzewodowej pod kątem nie tylko blokowania dostępu do konkretnych usług oraz adresów, ale równieş włączania lub wyłączania ruchu, takiego jak Multicast czy Broadcast. Ruch typu Multicast i Broadcast skutecznie obnişa wydajność sieci bezprzewodowych. Często komputer generując ten typ ruchu zapycha sieć, poniewaş rozsyła informacje po całej szkolnej sieci. Jednak ruch tego typu wykorzystywany jest przez aplikację e-learningu. Jedną z metod zwiększenia wydajności sieci, przy zezwoleniu na połącznia Multicast czy broadcast, jest je-
24
go ograniczenie do określonych sieci wirtualnych (VLAN).
Kontroler w formie oprogramowania
Warto zauwaşyć, şe mówiąc kontroler sieci bezprzewodowej nie musimy brać pod uwagę jedynie fizycznego sprzętu. Coraz częściej rozwiązania oferujące taką funkcjonalność dostępne są w formie oprogramowania. Najczęściej pracującego pod kontrolą określonego środowiska wirtualizacyjnego. Jeşeli szkoła dysponuje juş serwerem, to moşliwe, şe oprócz funkcji, które realizuje teraz, moşemy uşyć go do zainstalowania np. platformy wirtualizacyjnej – np. Vmware ESX/ESXi – i postawienia dopiero na niej zarówno systemu operacyjnego (np. Windows Server albo Linux), jak i kontrolera sieci bezprzewodowej. Przykładem rozwiązań idących z duchem czasu i potrafiących wykorzystać wirtualne zasoby jest seria kontrolerów Meru Network MC1550-VE wykorzystująca jako środowisko wirtualizacyjne właśnie platformy Vmware. Wymagania takiego wirtualnego kontrolera nie muszą być duşe: dla maszyny obsługującej do 50 AP wystarczy juş 1 wirtualny procesor, 1 GB RAMu i 2 GB przestrzeni na dysku twardym.
Wybór punktów dostępowych Dobranie odpowiedniego urządzenia punktu dostępowego (AP), gdy juş mamy wybraną technologię i kontroler sieci bezprzewodowej, z reguły ograniczone jest do kilku modeli. Do podstawowych parametrów charakteryzujących punkty dostępowe naleşą: Dostępność jednego lub dwóch modułów radiowych. Większość urządzeń klienckich sprzedawanych obecnie wspiera oba otwarte dla sieci WiFi zakresy częstotliwości – 2,4 GHz oraz 5 GHz. Wykorzystanie punktu dostępowego mającego dwa wbudowane moduły radiowe daje więc realne korzyści w postaci moşliwości zapewnienia dostępu dla urządzeń bezprzewodowych w dwóch pasmach częstotliwości jednocześnie, dając tym samym dwa razy więcej czasu radiowego (czyli rzeczywistej przepływności do wykorzystania). Oczywiście dwuradiowy punkt dostępowy będzie droşszy od modelu jednoradiowego. Dlatego wybór jedno- lub dwuradiowego urządzenia uwarunkowany jest dostępnym budşetem. Jeşeli więc nie mamy wystarczających
Ĺ›rodkĂłw, aby wybrać modele dwuradiowe, warto zainwestować w model jednoradiowy upewniajÄ…c siÄ™ jednak wczeĹ›niej, Ĺźe sprosta naszym oczekiwaniom pod kÄ…tem przepĹ‚ywnoĹ›ci oraz jednoczesnej obsĹ‚ugi wielu uĹźytkownikĂłw. Wydajność. W przypadku punktu dostÄ™powego przeznaczonego do szkoĹ‚y, warto wybierać rozwiÄ…zania, ktĂłre bÄ™dÄ… w stanie obsĹ‚uĹźyć kilkudziesiÄ™ciu jednoczesnych uĹźytkownikĂłw (minimum 30-40 urzÄ…dzeĹ„ na interfejs radiowy). Warto, aby dostawca potwierdziĹ‚, Ĺźe takie liczby zostaĹ‚y przetestowane, a nie sÄ… tylko hipotetyczne. Trudno powiÄ…zać wydajność tylko z danymi odnoĹ›nie chipsetu radiowego czy systemu antenowego, poniewaĹź bardzo wiele zaleĹźy od oprogramowania samych punktĂłw dostÄ™powych przez ich producenta. Rodzaj systemu antenowego. Parametr ten warunkuje, jaki obszar zostanie pokryty zasiÄ™giem przez pojedynczy punkt dostÄ™powy oraz to, w jakim miejscu punkt dostÄ™powy powinien zostać zawieszony. W punktach dostÄ™powych przeznaczonych do wewnÄ…trz budynkĂłw wykorzystywane sÄ… najczęściej dwa podstawowe rodzaje anten: t Anteny zewnÄ™trzne dookĂłlne. Ich przewagÄ… jest fakt, Ĺźe punkt dostÄ™powy moĹźna powiesić praktycznie w dowolnym miejscu, a ustawienie anten zmodyfikować tak, aby sygnaĹ‚ radiowy byĹ‚ propagowany w wybranym przez nas kierunku. Wykorzystanie punktĂłw z wyprowadzonym na zewnÄ…trz interfejsem do podĹ‚Ä…czania anten jest rĂłwnieĹź wskazane w środowiskach, gdzie musimy zastosować anteny specjalnego przeznaczenia, np. panelowe lub sektorowe, w szkole moĹźe to znaleźć zastosowanie np. aby pokryć boisko lub inny teren otwarty wokół szkoĹ‚y. t 8FXOĘ’US[OF BOUFOZ P‍ڀ‏DIBSBLUFSZTUZDF EPPLĂ˜Mnej w pĹ‚aszczyĹşnie horyzontalnej oraz o charakterystyce 180 stopni w pĹ‚aszczyĹşnie wertykalnej. Punkty takie najlepiej wieszać na suficie, gdyĹź wĂłwczas pokryjÄ… zasiÄ™giem wiÄ™kszÄ… część pomieszczenia, niĹź w wypadku gdyby byĹ‚y zawieszone na ścianie (wtedy duĹźo energii jest marnowana ze wzglÄ™du na jej wysyĹ‚anie w sufit oraz podĹ‚ogÄ™). Warto pamiÄ™tać, Ĺźe to, w jaki system antenowy bÄ™dzie wyposaĹźony punkt dostÄ™powy warunkuje miedzy innymi moĹźliwÄ… do uzyskania maksymalnÄ… noĹ›nÄ…, czyli maksymalnÄ… prÄ™dkość poĹ‚Ä…czenia, jakÄ… moĹźe osiÄ…gnąć klient bezprzewodowy w po-
łączeniu z punktem dostępowym. Minimalne wymagania jakie powinien spełniać dobry punkt dostępowy w standardzie 802.11n to wyposaşenie go w system antenowy MIMO – przynajmniej 2x2:2 (co oznacza dwie anteny nadawcze x dwie anteny odbiorcze: 2 strumienie przestrzenne) z maksymalną nośną na poziomie do 300 Mb/s. To, jaki punkt dostępowy sprawdzi się w danej szkole po części wynika z wcześniej przygotowanego rozplanowania, tj. gdzie najlepiej będzie zamontować AP, aby pokrył swoim sygnałem dany obszar. Praktyka pokazuje, şe w szkołach największym powodzeniem cieszą się urządzenia z wewnętrznymi antenami (których nie da się wykręcić), montowane w tym wypadku na suficie, co gwarantuje z reguły lepszą propagację dla modeli z wewnętrznymi antenami oraz zabezpiecza punkt dostępowy przed fizycznym dostępem niepowołanych osób oraz jego kradzieşą. t Power over Ethernet. Warto zwrócić uwagę, aby punkt dostępowy mógł być zasilany bezpośrednio z kabla sieciowego (skrętki Ethernet) i był zgodny ze standardami 802.3af (transmisja przez skrętkę Ethernet z mocą do 15,4 W) i/lub 802.3at (transmisja przez skrętkę Ethernet z mocą do 30 W). Wówczas korzystając z przełączników wyposaşonych w tę technologię i odpowiedni standard, instalacja punktów dostępowych będzie prostsza, wymagała mniej czasu, a co najwaşniejsze – nie będzie trzeba projektować i wprowadzać zmian w sieci elektrycznej szkoły.
Serwer RADIUS Aby nasza sieć bezprzewodowa mogła działać zgodnie z przedstawionymi załoşeniami, niezbędne będzie wykorzystanie w niej serwera, który będzie pełnił rolę magazynu danych o uşytkownikach, ich uprawnieniach oraz tym, co robili. Większość z tych funkcji pełni w sieci stworzony do takich celów serwer RADIUS, często określany teş jako serwer AAA (Authentication, Authorization, Accounting). Mówiąc serwer nie mamy na myśli fizycznej maszyny dedykowanej do tego celu. Chodzi o usługę, którą w zaleşności od dostępnych w szkole środków moşemy uruchomić na platformach serwerowych z rodziny Windows SBS, Windows Server, na platformach otwartych (jak Linux) lub wykorzystać do tego rozwiązanie dedykowane: sprzętowy serwer RADIUS lub oprogramowanie z rodziny
25 25
Sieć w szkole, szkoła w sieci
(Extensible Authentication Protocol). Moşe więc być to nazwa uşytkownika i hasło, jak równieş cyfrowe certyfikaty – zarówno po stronie serwera, jak i uşytkownika. Wynikiem uwierzytelnienia jest zwrócenie przez usługę RADIUS wiadomości Access-Accept (dostęp dozwolony) lub Access-Reject (dostęp zabroniony) do urządzenia uwierzytelniającego (autentykatora). Moşe nim być, w zaleşności od konfiguracji sieci, przełącznik sieciowy, punkt dostępowy lub – w przypadku rozwiązań ze scentralizowanym zarządzaniem – kontroler sieci bezprzewodowej. Autoryzacja – proces przypisywania uşytkownikowi dodatkowych uprawnień na podstawie np. grupy, do której przynaleşy na serwerze. Dzięki temu moşemy w parametrach dodatkowych wiadomości Access-Accept z serwera RADIUS określić, do jakiej sieci VLAN będzie naleşał uşytkownik, przypisać mu zestaw reguł QoS (tak, aby ograniczyć dostęp do usług lub pasmo, na bazie tego, z kim mamy do czynienia) lub teş określić czy dany uşytkownik ma prawo uzyskiwać dostęp do sieci bezprzewodowej, do której jest podłączany. Accounting – proces gromadzenia informacji przesyłanych do serwera przez urządzenie uwierzytelniające. W ramach tych informacji znajdziemy najczęściej takie dane jak czas połączenia danego uşytkownika, jego adres MAC, adres IP, liczba wysłanych/odebranych pakietów oraz bajtów a takşe inne informacje opcjonalne. Mając te dane jesteśmy w stanie zidentyfikować uşytkownika nie tylko z poziomu jego nazwy uşytkownika (czyli rzeczywistej toşsamości), ale równieş z poziomu sieci (widząc go po adresach MAC i IP). Dzięki temu dane te moşemy skorelować z danymi wysyłanymi przez routery lub przełączniki, np. na serwer Syslog (którego zadaniem moşe być gromadzenie informacji, jakie adresy IP komunikowały się ze sobą, po jakich portach transportowych, czyli – de facto – kto odwiedzał jakie strony lub z jakich aplikacji korzystał). W procesie wymiany informacji w ramach protokołu moşemy wyróşnić trzech uczestników: – serwer uwierzytelniający – usługę RADIUS, – autentykatora – przełącznik zarządzany, punkt dostępowy lub kontroler sieci bezprzewodowej, – suplikanta – czyli naszą kartę sieciową z odpowiednim oprogramowaniem (sterownikiem) pozwalającym na zestawianie połączeń zabezpieczonych 802.1x lub WPA/WPA2 Enterprise.
26
Po wdroşeniu katalogu uşytkowników, wybraniu metody autoryzacji i skonfigurowaniu samej usługi RADIUS, jej dalsza integracja z siecią jest stosunkowo prosta. Po pierwsze autentykator (np. kontroler sieci bezprzewodowej) musi zostać dodany na serwerze uwierzytelniającym. O tym, şe takie urządzenie ma prawo się do niego odwoływać, aby uwierzytelniać suplikantów (czyli uşytkowników) informuje o serwer. Następnie informacja o serwerze uwierzytelniającym musi zostać wprowadzona na autentykatorze. Zazwyczaj trzeba określić: gdzie znajduje się urządzenie (adres IP), które posiada katalog uşytkowników, na którym porcie nasłuchuje oraz jakim hasłem autentykator ma się uwierzytelniać na serwerze (hasło musi zgadzać się po stronie serwera i autentykatora). Mając skonfigurowane dwa powyşsze elementy wystarczy dodać na kontrolerze sieci bezprzewodowej odpowiednią sieć zabezpieczoną, np. WPA2-Enterprise, i wskazać profil, który będzie wykorzystywany do autoryzacji. Od tego momentu, za kaşdym razem gdy uşytkownik będzie się podłączał, uwierzytelniany będzie przez kontroler na naszym serwerze RADIUS. Całkiem moşliwe, şe zasoby, które pozwalają na stworzenie mechanizmu uwierzytelniania w szkole juş są. Na przykład serwer, na którym moşna uruchomić usługę RADIUS. Trzeba tylko wiedzieć, jak i do czego moşna je wykorzystać a potem pomysł wdroşyć w şycie.
Jak wybrać sprzęt Wybór dobrego rozwiązania bezprzewodowego, kiedy wiemy co chcemy uzyskać i jakie mechanizmy wykorzystać w naszej sieci, wcale nie musi być trudny. Ponişej kilka uwag, jak krok po kroku podejść do stworzenia bezpiecznej, wydajnej i niezawodnej sieci bezprzewodowej w szkole: – Zacznij od określenia, czego oczekujesz od swojej sieci bezprzewodowej (jakie grupy uşytkowników moşesz wydzielić, czy dysponujesz siecią przewodową, która pozwoli ci skorzystać z sieci wirtualnych (VLAN) lub serwerem autoryzacji, dzięki któremu będziesz mógł kaşdego uşytkownika indywidualnie rozpoznać. Być moşe posiadasz serwer, na którym moşna zainstalować środowisko wirtualne i wykorzystać go do dodatkowych celów, np. uruchomienia na nim kontrolera wirtualnego). – Określ, gdzie na terenie szkoły powinien być dostępny zasięg sieci bezprzewodowej. Najlepiej zaznaczyć go na planach budynku. Jeşeli nie dys-
ponujesz planami profesjonalnymi (np. w formacie DWG), czasami wystarczający może okazać się zwykły plan ewakuacyjny. – Skontaktuj się z firmą profesjonalnie zajmującą się budową sieci bezprzewodowych. Planowanie sieci z wykorzystaniem odpowiednich narzędzi jest po pierwsze prostsze, a po drugie – pozwala zaoszczędzić realne środki poprzez redukcję ilości potrzebnego sprzętu. W tym celu możesz skorzystać z danych kontaktowych zamieszczonych na początku artykułu. – Pamiętaj, że korzystniej jest wybierać rozwiązania oparte na kontrolerze sieci bezprzewodowej i dedykowanych AP. Korzyści zauważysz nie tylko na początku, ale również w trakcie codziennej pracy i ewentualnej rekonfiguracji lub rozbudowy sieci.
– Upewnij się, że wybierane rozwiązanie będzie zgodne z protokołami i mechanizmami, z którymi będziesz chciał je zintegrować w swojej sieci przewodowej. – Decydując się na rozwiązania profesjonalne możemy z jednej strony skorzystać z dodatkowej przewagi technologicznej, a z drugiej – zapewnić sobie bezpieczną, wydajną i niezawodną sieć na długie lata. Przykładami rozwiązań, które świetnie sprawdzą się, aby zapewnić dostęp bezprzewodowy w nowoczesnej szkole są produkty Meru Networks. Firma ta, dzięki skupieniu swojej uwagi jedynie na rozwiązaniach bezprzewodowych, oferuje unikatowe technologicznie rozwiązania, które znalazły zastosowanie już w ponad 200 polskich szkołach i prawie 20 ośrodkach akademickich na terenie całego kraju.
Wskazówka Więcej informacji na temat wdrażania i konfiguracji usług RADIUS na różnych platformach można znaleźć min. na stronach: Usługa IAS(SBS, 2003 Server): http://technet.microsoft.com/en-us/library/cc736803(v=ws. 10).aspx Usługa NPS(2008 Server i wyżej): http://technet.microsoft.com/en-us/library/cc732912.aspx Usługa Freeradius(Linux): http://wiki.freeradius.org/guide/HOWTO
27 27
Sieć w szkole, szkoła w sieci
Autorzy
Kontroler sieci bezprzewodowej Meru Networks MC1550 – obsługa do 50 punktów dostępowych Meru Networks i 1000 użytkowników, – elastyczne opcje licencjonowania już od 5 punktów dostępowych na kontroler, opcje rozbudowy z krokiem licencyjnym per 1 AP, – wsparcie unikatowych technologii: Jednokanałowa Architektura, Virtual Cell (wirtualna komórka), Air Traffic Control, Air Time Fairness, – obsługa nawet 64 profili ESSID, – wsparcie vlanów 802.1q, wraz z przypisaniem dynamicznym na podstawie parametrów zwracanych przez serwer RADIUS, – zaawansowany QoS ze statycznym lub dynamicznym przypisaniem reguł na podstawie parametrów zwracanych przez serwer RADIUS, – wbudowana funkcjonalność Captive Portalu, – wsparcie szerokiej gamy mechanizmów szyfrowania: WEP, WPA, WPA2, WPA mixed, – możliwość integracji z kilkoma serwerami autoryzacji oraz wbudowana baza użytkowników dla Captive Portalu, nawet do 300 kont, – automatyczne wykrywanie i konfiguracja punktów dostępowych Meru w sieci. Więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ ds-wireless-lan-controller-small-enterprise-mc1550.pdf Odpowiednikiem kontrolera sprzętowego MC1550 jest platforma wirtualna MC1550-VE, realizująca te same funkcje, którą można zainstalować na istniejącym serwerze, więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ ds-virtual-mobility-wireless-lan-controllers-mc1550-mc3200-mc4200.pdf
Punkty dostępowe Meru Networks serii AP1000 – jedno- lub dwuradiowe punkty dostępowe 802.11 a/b/g/n, – wyposażone w moduły radiowe MIMO 2x2, 2 strumienie przestrzenne(do 300 Mb/s per moduł radiowy), – zewnętrzne anteny(4) lub wewnętrzne anteny, – obsługa technologii wirtualizacji Virtual Cell i Virtual Port, – możliwość pracy w trybie Mesh (modele dwuradiowe, bezprzewodowe połączenia między AP), – przeznaczone do wdrożeń w logistyce, biurach, szkołach, – rekomendowana liczba użytkowników per radio: do 50, maksymalna – 128, – rekomendowana liczba użytkowników per ap dwuradiowy: do 100, maksymalna – 256, – zasilanie za pomocą skrętki Ethernet 802.3af/at.
O ǡ Ǥ -‐ Ñ Ǥ -‐ sta w zakresie telekomu-‐ Ǥ ¦ Ï Ǧ Ă integratorów systemowych i operatorów telekomuni-‐ Ǥ z rynkiem edukacyjnym ¸Ï ¸ ʹͲͲͺǡ Ï -‐ tów podczas Zjazdu Opie-‐ ×
Ǥ
Więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ ds-wireless-lan-access-points-ap1010_ap1020.pdf
Punkty dostępowe serii AP332 – dwuradiowe punkty dostępowe 802.11 a/b/g/n, – wyposażone w moduły radiowe MIMO 3x3, 3 strumienie przestrzenne(do 450 Mb/s per moduł radiowy), – zewnętrzne anteny(6) lub wewnętrzne anteny, – obsługa technologii wirtualizacji Virtual Cell i Virtual Port, – możliwość pracy w trybie Mesh (bezprzewodowe połączenia między AP), – przeznaczone do wdrożeń w biurach, szkołach, salach konferencyjnych, – rekomendowana liczba użytkowników per radio: do 80, maksymalna – 128, – rekomendowana liczba użytkowników per ap dwuradiowy: do 160, maksymalna – 256, – zasilanie za pomocą skrętki Ethernet 802.3at. Więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ 2012-ds-wireless-access-points-for-high-density-environments-ap332.pdf
ǡ Business Unit Manager w FEN Absolwent Uniwersyte-‐ Ǥ -‐ Ǥ Ï Ǥ Ǥ -‐ Ǥ Z rynkiem edukacyjnym ¦Ï ¸ podczas Zjazdu Opiekunów -‐ Ǥ -‐ ʹͲͲͷǡ Ï Ï -‐ Ǥ
Bartek Boczkaja, prezes FEN Absolwent Akademii Eko-‐ nomicznej w Poznaniu ¦ ǡ kierunek Finanse i Rachun-‐ ä© ¸ Ǥ Ma ponad 10-‐letnie do-‐ ä Ă Ǥ Aktywnie wspiera sektor ǡ Ǥ Ǥ ¦ w konferencjach i organi-‐ ¦ Ă ¦ Ñ dla administratorów szkol-‐ nych sieci komputerowych.
Konsorcjum FEN jest dystrybutorem rozwiązań IT, działającym w Polsce od 15 lat. Z rynkiem edukacyjnym związane jest nie tylko biznesowo, ale przede wszystkim sentymentalnie. Od 2004 roku wspiera wiele konferencji społecznościowych kierowanych m.in. do opiekunów szkolnych pracowni komputerowych zapewniając udział swoich ekspertów. Ich warsztaty z zakresu właściwej budowy, wdrażania i konfiguracji szkolnych sieci LAN i WLAN, jak również wdrażania terminalowych stacji roboczych, niezmiennie oceniane są bardzo wysoko i cieszą się dużym zainteresowaniem. Ekspertów FEN spotkać można m.in. podczas corocznych imprez: Zjazdu Opiekunów Szkolnych Pracowni Internetowych w Mrozach, Konferencji Administratorów Szkolnych Sieci Komputerowych w Nowym Tomyślu, a także w Radomiu, Wrześni czy w Warszawie. Wszędzie tam, gdzie trzeba pokazać nowe technologie.
Kontakt: www.fen.pl siecwszkole@fen.pl
Notatki
29 29
Notatki
30
Tworzymy LPNQMFLTPXF J JOOPXBDZKOF SP[XJล [BOJB X PQBSDJV P UFDIOPMPHJลข *1 t JOGSBTUSVLUVSZ TJFDJPXFK -"/ J 8-"/ t TZTUFNร X NPOJUPSJOHV XJ[ZKOFHP *1 t /FUXPSL "UUBDIFBE 4UPSBHF t 6OJGJFE $PNNVOJDBUJPOT t 614 J &14 t %JHJUBM 4JHOBHF "VEJP 7JEFP t .VMUJNFEJB %7# 5 t "LDFTPSJB 'MBTI )%% J 44% FMFNFOUZ [BTJMBKว DF t ,PNQPOFOUZ EMB CSBOศ Z *5
XXX GFO QM t XXX NFSVOFUXPSLT QM t XXX DJTDP QM
Konsorcjum FEN jest ekspertem w dziedzinie rozwiฤ zaล MERU Networks oraz Cisco.
Kontakt:
www.fen.pl siecwszkole@fen.pl
Przydatne strony:
www.nowapracownia.edu.pl www.merunetworks.pl www.cisco.pl www.cyberam.pl