Obsah

1. Úvod
1.1. Použité skratky
1.2. Definície pojmov
2. Ciele
3. Organizácia
3.1. Personálna štruktúra
4. Technické riešenie
4.1. Požiadavky
4.2. Požiadavky vo faktoch a číslach
4.3. Výber technológie
4.3.1. Výhody technológie Ethernet
4.3.2. Nevýhody technológie Ethernet
4.4. Fyzická topológia siete
4.4.1. Prvá úroveň fyzickej topológie – chrbticová sieť
4.4.2. Druhá úroveň fyzickej topológie
4.5. Pasívna časť
4.5.1. Stojanové rozvádzače
4.5.2. Metalický štruktúrovaný kabelážny systém
4.6. Logická topológia siete
4.7. Aktívne prvky
4.7.1. Požiadavky na aktívne prvky
4.7.2. Výber aktívnych prvkov
5. Bezpečnosť
5.1. Bezpečnosť informácií
5.2. Personálna bezpečnosť
5.3. Sieťová bezpečnosť
5.4. Fyzická bezpečnosť
6. Financovanie
6.1. Príjmy
6.2. Výdavky
7. Prílohy
7.1. Logická topológia siete
7.2. Celkové náklady na realizáciu projektu

1. Úvod

Tento dokument je zostavený pre potreby občianskeho združenia Sieť ŠD Mladosť – Ynet (ďalej len Ynet), ktorého hlavným cieľom je uspokojovanie potrieb členov združenia v oblasti informačných systémov a dátovej komunikácie. Združenie pracuje na nekomerčnej báze a osoby ktoré sa podieľajú na rozvoji združenia a jeho aktivít pracujú bez nároku na finančnú alebo materiálnu odmenu.

1.1. Použité skratky

STU – Slovenská technická univerzita, Bratislava.

ÚZ STU – Účelové zariadenia STU.

POP – point of presence.

L2 – druhá dátová vrstva referenčného modelu OSI.

L3 – tretia sieťová vrstva referenčného modelu OSI.

ACL – Access List – Lineárny zoznam pravidiel jednoznačne identifikovaný svojim menom, určujúci či sa má niečo povoliť alebo zakázať.

IDS/IPS – Intrusion detection system/Intrusion prevention system, systém na detekciu resp. prevenciu útokov či už do siete alebo zo siete.

LACP – Link aggregation control protocol - definovaný v IEEE Std. 802.3ad

SAP – Session announce protocol.

EAP – Extensible authentication protocol.

PEAP – Protected EAP.

MSCHAPv2 – protokol vytvorený spoločnosťou Microsoft pre autentifikácu v rámci protokolu EAP.

1.2. Definície pojmov

Ynet – ObčianskezdruženieSieť ŠD Mladosť.

Backbonechrbticová časť počítačovej siete.

Centrálny uzol – centrálny aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok.

Hraničný uzol – hraničný aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok.

Ethernet – Štandard definovaný v IEEE Std 802.3

Token Ring - Štandard definovaný v IEEE Std 802.5

Broadcast – Vysielanie jedného vysielača všetkým príjimačov bez ohľadu na príjimač.

Multicast – Vysielanie jedného vysielača skupine registrovaných príjimačov.

Unicast-flooding – Vysielanie jedného vysielača určeného pre konkrétneho ale zároveň pre prepínač neznámeho prijímateľa.

SAP playlist – zoznam kanálov skupinového vysielania šírených cez SAP protokol.

Rack – stojanový rozvádzač.

2. Ciele

Cieľom projektu bude združovať študentov predovšetkým za účelom vzdelávania a uspokojovania ich záujmu v oblasti informačných technológií a dátovej komunikácie.

Ďalšie ciele:

  • vybudovať, spravovať a rozširovať počítačovú sieť pre študentov ubytovaných v Študentskom domove Dobrovičova v Bratislave,
  • organizovať podujatia spojené s využívaním počítačovej siete ako kurzy, školenia a pod.,
  • spolupracovať so Študentským parlamentom Stavebnej Fakulty STU, Akademickým senátom SvF STU a Radou ubytovaných študentov pôsobiacou v Študentskom domove Dobrovičova a ďalšími študentskými organizáciami na základe vzájomnej dohody,
  • podporovať projekty súvisiace s cieľom činnosti,
  • spolupracovať so združeniami a organizáciami s podobným zameraním za účelom rozvoja, alebo výmeny skúseností,
  • využívať myšlienkové prostriedky (prednášky a stretnutia, semináre a diskusie, odborné dialógy a pod., vydávanie bulletinov, príručiek, zoznamov a pod.).

3. Organizácia

Organizáciu celého projektu bude zastrešovať Občianske združenie Sieť ŠD Mladosť – Ynet, ktoré vzniklo presne za týmto účelom. Ynet bude nielen realizátorom projektu, ale bude mať v kompetencii všetky administratívne a organizačné úkony, potrebné na všetky činnosti súvisiace s realizáciou projektu a následnou správou siete po dokončení projektu. Na činnosť Ynet-u bude po celý čas dohliadať dozorná rada, zložená z členov akademickej obce, pre ktorú sa tento projekt realizuje.

3.1. Personálna štruktúra

Personálnu štruktúru Ynet-u budú tvoriť riadiace a výkonné zložky. Riadiacu zložku predstavuje predsedníctvo, ktoré nesie hlavnú zodpovednosť za realizáciu celého projektu, výbere dodávateľov, nakladanie s financiami a efektívne riadenie prác a správy.

Výkonnú zložku budú tvoriť členovia realizačného teamu, ktorí budú mať rozdelené úlohy podľa svojich osobných schopností a záujmu o danú oblasť projektu, a v prevažnej väčšine ubytovaných študentov na ŠD Dobrovičova. Činnosť realizačného teamu podlieha rozhodnutiam predsedníctva a zodpovedá sa mu. Realizačný team sa musí vhodne rozdeliť do pracovných skupín, ktoré budú efektívnejšie realizovať jednotlivé časti projektu. Základné rozdelenie do skupín, ktoré sa môžu podľa potreby ďalej rozdeľovať alebo zlučovať, bude nasledovné:

  • skupina na realizáciu fyzických prác spojených najmä s ťahaním štruktúrovanej kabeláže a inštaláciou jednotlivých komponentov pasívnej časti,
  • skupina na správu aktívnych prvkov,
  • skupina starajúca sa o pripájanie používateľov do siete a administratívne činnosti s tým spojené,
  • skupina starajúca sa o bezpečnosť siete.

4. Technické riešenie

4.1. Požiadavky

Cieľom tohto projektu bude navrhnúť technickú realizáciu lokálnej počítačovej siete s pripojením do siete Internet na internáte STU ŠD Dobrovičova. Táto sieť bude pod správou občianskeho združenia ŠD Mladosť – Ynet. Projekt bude vychádzať z požiadaviek, ktoré sú kladené na moderné počítačové siete v súčasnosti, ako aj z požiadaviek, ktoré budú musieť spĺňať počítačové siete v blízkej budúcnosti.

Počítačová sieť má byť schopná zabezpečovať ciele Ynet-u, ktoré vyplývajú zo stanov Ynet-u, prípadne pomáhať pri ich dosahovaní. Medzi tieto ciele patrí najmä:

  • uspokojovanie záujmu študentov v oblasti informačných technológií a dátovej komunikácie,
  • podporovať projekty súvisiace s cieľom činnosti.

Počet používateľov, ktorí budú reálne počítačovú sieť využívať sa odhaduje na 360 až 420. Tento odhad vychádza z momentálnej ubytovacej kapacity na ŠD Dobrovičova, ktorá sa pohybuje okolo 500 ubytovacích miest. Počet ubytovacích miest na ŠD Dobrovičova sa podľa podkladov z ŠD Dobrovičova a ÚZ STU v budúcnosti nebude zvyšovať. Nutnosťou bude vybavenie všetkých izieb dostatočným počtom prípojok z dôvodu častého premiestňovania budúcich používateľov v rámci ubytovacích priestorov ŠD Dobrovičova. Cieľom bude umožniť pripojiť sa do lokálnej siete (s pripojením do siete Internet) ktorémukoľvek študentovi bývajúcemu na spomínanom internáte na ktorejkoľvek izbe, na ktorej bude ubytovaný.

Okrem bežných služieb ako:

  • prezeranie a sťahovanie web stránok z Internetu,
  • e-mail,
  • sťahovanie veľkých súborov (napr. študijné materiály) pomocou ftp alebo http protokolov,
  • komunikácia prostredníctvom chat aplikácií,
  • internet banking,
  • online nakupovanie,

musí navrhovaná počítačová sieť umožňovať bezproblémový chod služieb, ktoré sa stávajú alebo v blízkej budúcnosti stanú bežnými:

  • hlasové služby (VoIP),
  • videokonferencie,
  • multimediálne služby (vysielanie prednášok, seminárov, odborných konferencií, televíznych a rozhlasových staníc atď. pomocou technológie multicast).

V neposlednom rade musí byť navrhovaná počítačová sieť schopná slúžiť aj na vedecké účely (vývoj a testovanie nových aplikácií, technológií, procesov a pod.) za podmienky neobmedzenia a neohrozenia riadnej prevádzky siete.

Celá počítačová sieť sa musí dať ľahko a jednoducho spravovať s nutnosťou čo najmenšieho počtu sieťových administrátorov. Súčasťou správy siete musí byť monitorovanie jej dôležitých častí. Okrem samotnej funkčnosti počítačovej siete, bude kladený dôraz aj na jej celkovú bezpečnosť.

Na splnenie všetkých spomenutých požiadaviek bude potrebné zabezpečiť pripojenie koncových používateľov a serverov so šírkou pásma 100 Mbps alebo 1 Gbps. Chrbticová časť siete musí poskytovať šírku pásma 1 Gbps až 10 Gbps. Transportná linka do siete Internet si bude vyžadovať šírku pásma 100 Mbps alebo 1 Gbps.

Požaduje sa použitie perspektívnej technológie, cenovo porovnateľnej s alternatívnymi technológiami súčasnosti. Pasívna časť siete by mala byť schopná prevádzky najmenej 10 rokov bez potreby výmeny alebo obnovy. Aktívna časť siete by mala byť schopná zabezpečovať svoju funkciu cca 3-5 rokov bez potreby obnovy. Dôležitá je aj požiadavka na rozšíriteľnosť a prispôsobiteľnosť siete podľa potreby – rast počtu používateľov a zmeny štruktúry využívaných služieb. Poskytovanie pripojenia lokálnej počítačovej siete do Internetu bude zabezpečované prostredníctvom optickej infraštruktúry STU a prípojných bodov akademickej siete SANET.

4.2. Požiadavky vo faktoch a číslach

Tabuľka č. 1: Minimálna životnosť jednotlivých častí siete

Pasívna časť

10 a viac rokov

Aktívna časť

3-5 roky

Tabuľka č. 2: Počet prípojok

Počet prípojok na 1-posteľovú izbu

1

Počet prípojok na 2-posteľovú izbu

2

Počet prípojok na poschodie

84

Celkový počet prípojok (6 poschodi)

510

Odhadovaný priemerný počet používateľov na 1 poschodie

60 – 70 (v budúcnosti 40)

Odhadovaný maximálny počet používateľov na 1 poschodie

84

Odhadovaný počet používateľov

360 - 420

Tabuľka č. 3: Služby

E-mail

Internet banking

Video konferencie

Online nakupovanie

Hlasové služby (VoIP)

Prezeranie a sťahovanie web stránok z Internetu

Sťahovanie veľkých súborov (napr. študijné materiály, ISO distribúcie Linux, Open Office a pod.) pomocou ftp alebo http protokolov

Multimediálne služby (vysielania prednášok, seminárov, odborných konferencií televíznych, rozhlasových staníc atď. pomocou technológie multicast)

Výskum

Tabuľka č. 4: Potrebná šírka pásma v jednotlivých častiach siete

Koncoví používatelia / servery

100 Mbps, 1 Gbps

Backbone

1 Gbps, 10 Gbps

Transport

100 Mbps, 1 Gbps

4.2.1. Výber technológie

Na základe zadaných požiadaviek jednoznačne vychádza ako najoptimálnejšie riešenie použitie technológie Ethernet. Technológie ako Token Ring alebo FDDI sú viacmenej archaické a v dnešnej dobe sa už takmer nikde nevyužívajú.

4.2.2. Výhody technológie Ethernet

  • Jednoduchosť,
  • robustnosť,
  • veľká dátová priepustnosť (neustále narastá vysoko nad úroveň iných technológií),
  • najpoužívanejšia technológia v LAN sieťach (postupne nasadzovaná aj vo WAN sieťach),
  • jednotné celosvetové štandardy,
  • cena aktívnych prvkov,
  • cena pasívnych prvkov,
  • obrovské množstvo produktov pre aktívnu a pasívnu časť siete
  • nízke náklady na údržbu,
  • jednoduchá správa a manažment siete,
  • perspektíva (jedna z najrýchlejšie sa rozvíjajúcich sieťových technológií).

4.2.3. Nevýhody technológie Ethernet

  • Všetky pripojené uzly zdieľajú celú šírku pásma na danom segmente siete, t. j. nikto nemá garantovanú nejakú časť pásma pre seba (kompenzované veľkou priepustnosťou technológie),
  • znížené možnosti garancie časovej odozvy a určitej kvality kritických služieb ako napr. hlasové služby, oproti napr. ATM technológii (kompenzované veľkou priepustnosťou a stále dokonalejšími prvkami Quality of Service používanými v aktívnych zariadeniach),
  • znížená bezpečnosť (je potrebné ošetriť použitím moderných manažovateľných aktívnych prvkov a kombináciou s ďalšími nástrojmi vyšších vrstiev).

Z uvedeného porovnania vyplýva, že technológia Ethernet je najvhodnejšia na realizáciu vysokorýchlostnej lokálnej počítačovej siete pri dodržaní všetkých zadaných požiadaviek, preto bude na tejto technológii postavená celá navrhovaná počítačová sieť. Z tohto faktu sa bude vychádzať pri navrhovaní fyzickej a logickej topológie siete a výbere prvkov aktívnej a pasívnej časti siete.

4.3. Fyzická topológia siete

Fyzická topológia siete je daná rozložením a konštrukciou jednotlivých blokov tvoriacich komplex ŠD Dobrovičova (viď nasledovné obrázky).

Topológiu siete je možné realizovať niektorým z nasledovných modelov:

  • jednoduchá hviezda,
  • rozšírená hviezda,
  • mesh,
  • zbernica,
  • kruh.

Pri návrhu sa bude vychádzať z modelu dvoj úrovňovej hviezdy, pretože najoptimálnejšie vyhovuje možnostiam komplexu ŠD Dobrovičova. Prvú úroveň bude tvoriť chrbticová sieť, na ktorú sa budú pripájať jednotlivé hviezdy druhej úrovne. Okrem toho bude z hviezdy prvej úrovne vyvedená transportná linka k miestnosti s vrátnicou, kde bude pripojená na POP siete SANET. Hviezdy druhej úrovne budú poskytovať priame fyzické pripojenie používateľov do počítačovej siete.

4.3.1. Prvá úroveň fyzickej topológie – chrbticová sieť

Chrbticovú sieť budú tvoriť nasledovné elementy:

  • centrálny aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok (centrálny uzol),
  • metalická štruktúrovaná kabeláž pripájajúca aktívne hraničné prvky (uzly) a POP siete SANET,
  • používateľské servery, zariadenia na monitorovanie a manažment siete,
  • metalická štruktúrovaná kabeláž pripájajúca používateľské servery, zariadenia na monitorovanie a manažment siete.

4.3.2. Druhá úroveň fyzickej topológie

Druhú úroveň fyzickej topológie budú tvoriť nasledovné elementy:

  • hraničné aktívne prvky, ktoré sa budú pripájať na chrbticovú sieť prostredníctvom metalickej štruktúrovanej kabeláže,
  • metalická štruktúrovaná kabeláž, pomocou ktorej budú do počítačovej siete prípajaní jednotliví používatelia.

4.4. Pasívna časť

Pasívnu časť počítačovej siete budú tvoriť metalické štruktúrované kabelážne systémy. Všetky uzly (hraničné + centrálny) budú spolu s príslušnými komponentmi pasívnej časti umiestnené v stojanových rozvádzačoch (rackoch), t.j. na každom poschodí 1 rozvádzač a 1 rozvádzač v serverovni, ktorá bude tvoriť centrálný bod siete.

Pri výbere komponentov pasívnej časti je bezpodmienečne nutné dodržiavať normy a smernice Slovenskej republiky a Európskej únie vzťahujúce sa k bezpečnostným požiadavkám na takéto systémy. Odporúča sa pritom držať sa medzinárodných štandardov (ISO, IEEE) z dôvodu zaručenia kvalitatívnych parametrov pasívnej časti počítačovej siete.

Podrobné informácie o typoch a cene vybraných komponentov pasívnej časti siete sú uvedené v prílohe.

4.4.1. Stojanové rozvádzače

Všeobecné požiadavky, ktoré musia vybrané stojanové rozvádzače spĺňať:

  • odnímateľné bočné steny a zadná stena,
  • nastaviteľné predné a zadné vodiace lišty,
  • bezpečnostné sklo na predných dverách,
  • zámok na predných dverách a jednotlivých stenách,
  • výška 515 mm a viac, šírka 600 mm, hĺbka 600 mm (800 mm v prípade centrálneho stojanového rozvádzača).
  • Stojanové rozvádzače budú obsahovať tieto komponenty pasívnej časti:
  • tienené metalické patch panely,
  • horizontálne hrebene na patch káble,
  • elektrický rozvádzač,
  • kefová protiprachová jednotka.

Dôležité upozornenie: Všetky stojanové rozvádzače a jednotlivé pasívne komponenty namontované v týchto rozvádzačoch musia byť dôsledne uzemnené!

4.4.2. Metalický štruktúrovaný kabelážny systém

Metalický štrukturovaný kabelážny systém bude použitý v nasledovných častiach počítačovej siete:

  • kabeláž pripájajúca koncových používateľov k hraničným aktívnym prvkom (splnená podmienka na maximálnu vzialenosť 100 m medzi pripájaným zariadením a aktívnym prvkom siete),
  • kabeláž pripájajúca jednotlivé prepínače medzi sebou,
  • štrukturovaná kabeláž v serverovni.

Z dôvodu odolnosti kabeláže voči negatívnym vplyvom elektromagnetického žiarenia (vyžarovanie z okolia, vyžarovanie do okolia) bude na horizontálnu kabeláž použitý niektorý z nasledovných typov kabeláže:

  • FTP (tienenie kábla fóliou, jednotlivé páry vodičov netienené),
  • S-FTP (tienenie kábla opletením a fóliou),
  • F-FTP (netienený kábel, jednotlivé páry vodičov tienené fóliou),
  • S-STP (tienenie kábla opletením, jednotlivé páry vodičov tienené fóliou).

Horizontálna kabeláž bude slúžiť ako prepojovací prvok medzi zásuvkami (budú použité tienené) u koncových používateľov a patch panelmi v stojanových rozvádzačoch. Jednotlivé káble budú vedené od zásuvky koncového používateľa v ochranných PVC žľaboch po celej trase až k stojanovému rozvádzaču. Umiestnenie jednotlivých žľabov je v prilohe.

Tabuľka č. 5: Parametrov žľabov

20 x 20 x 3000 mm na bunkách

1 alebo 2 káble (jedna bunka)

120 x 40 x 3000 mm od bunky po chodbe až k stojanovému rozvádzaču na príslušnom poschodí

80 - 84 káblov (jedno poschodie)

120 x 40 x 3000 mm od prvého až po posledné poschodie

2 káble (jedno poschodie)

 

Na pripojenie počítača koncového používateľa k zásuvke ako aj na prepojenie medzi patch panelmi a aktívnymi prvkami v stojanových rozvádzačoch budú postačovať netienené UTP káble.

Metalická štruktúrovaná kabeláž v serverovni bude vedená v stojane, v ktorom bude umiestnený patch panel s príslušným označním. V stojane budú zároveň umiestnené aj aktívne prvky siete a to centrálny prepínač a hlavný server. Samotná serverovňa bude umiesnená v priestoroch ŠD Dobrovičova a odtiaľ budú viesť káble na prepojenie s koncovými prepínačmi na každé poschodie po 2 kusy a jeden kábel do POP siete SANET.

4.5. Logická topológia siete

Na 3. vrstve a 4. vrstve sieťového modelu OSI bude v sieti Ynet použitá výlučne TCP/IP protokolová sada, ktorá je používaná takmer vo všetkých sieťach vrátane Internetu.

Ynet si vyžiada od SANETu časť IP adresného rozsahu STU na logickú adresáciu siete tak, aby bola dostatočná rezerva. Teda minimálne 3 rozsahy triedy C, pričom každá z nich poskytuje možnosť prideliť 254 IP adries pre jednotlivé zariadenia. Každý požívateľ bude mať k dispozícii práve jednu IP adresu z tohto adresného priestoru. Podľa odhadov uvedených v požiadavkách bude do siete pripojených maximálne 510 používateľov, takže IP rozsah dostatočne pokrýva potreby na veľkosť adresného priestoru navyše s rezervou do budúcnosti.

Základné požiadavky na logickú topológiu siete:

  • efektívne využitie priepustnosti liniek,
  • čo najväčšie obmedzenie prenosov smerom od jedného používateľa ku všetkým ostatným (tzv. broadcast prenosy),
  • bezpečnostné požiadavky (ochrana dôležitých používateľských serverov, ochrana aktívnych zariadení, obmedzenie možností odposluchu dôverných dát a pod.),
  • prehľadná a jednoduchá logická adresácia,
  • verejné IP adresy pre používateľov a používateľské servery, ktoré budú musieť byť dostupné z Internetu,
  • súkromné IP adresy pre sieťové zariadenia a používateľské servery, ktoré nebudú potrebovať alebo bude u nich vyslovene nežiadúci (z bezpečnostných dôvodov) prístup z Internetu.

Na oddelenie dátových prenosov používateľov a dátových prenosov obsahujúcich riadiace informácie pre aktívne zariadenia, monitorovacie informácie a iné informácie vyžadujúce si zvýšenú bezpečnosť, je výhodné použiť virtuálne LAN siete, tzv. VLAN-y (medzi 2. a 3. vrstvou OSI modelu). Okrem toho sú VLAN-y veľmi efektívny nástroj na zmenšovanie broadcast segmentov, kedy je možné posielať broadcast správy iba v rámci danej VLAN. Každá podsieť by mala byť v samostatnej VLAN-e:

  • VLAN A* – určená na manažment sieťových zariadení,
  • VLAN B* - bežný používatelia a servery,
  • VLAN C* – pripojenie servera generujúceho multicast.

Z dôvodu predchádzania možného zahltenia siete spôsobeného jediným používateľom, budú aplikované tieto opatrenia:

  • Medzi každým prístupovým a centrálnym prepínačom bude zdvojená linka, ktorá umožní pri použití technológie LACP zdvojenie prenosovej kapacity s možnosťou rozšírenia do budúcnosti.
  • Navyše budú aplikované filtre na vstupných rozhraniach, ktoré búdu limitovať používateľov použitie vysielania ako L2 broadcast, L2 multicast a L2 unicast-flooding.
  • Aby sa predišlo vytvoreniu logických slučiek na L2 úrovni bude aplikovaný protokol RSTP.
  • Aby sa zároveň predišlo jeho zneužitiu bude aplikovaná ochrana koreňového prepínača tak aby to bol za každých okolností centrálny prepínač.

Ďalším dôležitým krokom je smerovanie tokov dát zo siete na ŠD Mladosť na ŠD Dobrovičova a späť. Vzhľadom na povahu dát v komunikáciách medzi používateľmi na jednotlivých internátoch nieje nutné použiť šifrovanie. Naopak pri komunikácií medzi administrátormi a sieťovými zariadeniami je vhodné použiť šifrovanie a predísť tak prípadným problémom spojenými s únikmi hesiel alebo konkrétnych konfigurácií. Zároveň je tu ešte jeden typ dát, ktorý síce nevyžaduje použitie šifrovania ale vyžaduje použitie tunela medzi internátmi. Jedná sa o dáta v multicast komunikáciach. Je to z dôvodu politiky šírenia skupinového vysielania v sieti SANET. Z týchto dôvodov budú implementované dva tunely na baze protokolu GRE:

 

Poznámka: * - čísla virtuálnych sietí (VLAN) nie sú z bezpečnostných dôvodov uvádzané.

  • 1. Prepojenie serverov Kerberos a Server na ŠD Dobrovičova:
    • bez šifrovania,
    • určený na prenos výhradne multicast komunikácií.
  • 2. Prepojenie serverov Horus a Server na ŠD Dobrovičova:
    • šifrovanie na báze IPSec,
    • určený na prenos dát medzi sieťovými zariadeniami a administrátormi prípadne monitorovacími službami na serveroch na ŠD Mladosť.

Aby bolo dané zapojenie funkčné a zároveň smerovalo všetky toky dát tam kam má, je nutná implementácia protokolu BGPv4 medzi týmito troma servermi s danou konfiguráciou.

Vzhľadom na to že všetky služby, ktoré Sieť ŠD Mladosť poskytuje, majú byť prístupné všetkým jej členom, musia sa upraviť potrebné konfigurácie aby akceptovali aj používateľov z ŠD Dobrovičova. Zároveň by však malo platiť, že v prípade výpadku prepojenia na ŠD Mladosť, má byť zabezpečená nepretržitá prevádzka aspoň základných služieb. Práve z toho dôvodu budú implementované nasledovné služby priamo na serveroch na ŠD Dobrovičova, ostatné služby pri výpadku nebudú prístupné:

  • DHCP server,
  • RADIUS server,
  • DNS server,
  • LDAP server,
  • SAP playlist generátor.

4.6. Aktívne prvky

Na základe požiadaviek fyzickej a logickej topológie siete bude možné zvoliť jednu z nasledovných alternatív:

1. alternatíva:

  • v hraničných bodoch:
  • L2 prepínače (pripojenie koncových používateľov) bez ďalšej funkcionality ako sú VLAN-y a pod,
  • smerovače (rozdelenie siete na jednotlivé pod siete).
  • v centrálnom bode:
  • L2 prepínač s rozšírenou funkcionalitou, najmä možnosť použitia VLAN a s vysokou priepustnosťou prenínacej matice.

Tabuľka č. 6: Porovnanie výhod a nevýhod 1. alternatívy

Výhody

Nevýhody

nižšia cena hraničných prepínačov

nutnosť použitia na každom bloku smerovač

pri použití linuxových smerovačov postavených na PC celkovo nižšia cena aktívnych prvkov

vyšší počet použitých aktívnych prvkov

zníženie zaťaženia transportných liniek

 

2. alternatíva:

  • v hraničných bodoch:
  • L3 prepínače, najmä možnosť použitia VLAN (na jednom poschodí jeden L3 48 portový prepínač).
  • v centrálnom bode:
  • L3 prepínač s rozšírenou funkcionalitou, najmä možnosť použitia VLAN a s vysokou priepustnosťou prenínacej matice

Tabuľka č. 7: Porovnanie výhod a nevýhod 2. alternatívy

Výhody

Nevýhody

nižší počet aktívnych prvkov oproti 1. alternatíve

vysoká cena hraničných L3 prepínačov

efektívnejší prenos dát po sieti

 

zníženie zaťaženia transportných liniek

 

3. alternatíva:

  • v hraničných bodoch:
  • L2 prepínače (pripojenie koncových používateľov) s rozšírenou funkcionalitou, najmä možnosť použitia VLAN.
  • v centrálnom bode:
  • L3 prepínač s vysokou priepustnosťou prenínacej matice.

Tabuľka č. 8: Porovnanie výhod a nevýhod 3. alternatívy

Výhody

Nevýhody

nižší počet aktívnych prvkov oproti 1. alternatíve

menej efektívny prenos dát po sieti oproti 2. alternatíve

nižšia cena hraničných L2 prepínačov (lacnejšie oproti 2. alternatíve)

menej efektívne zníženie zaťaženia transportných liniek oproti 2. alternatíve

efektívnejší prenos dát po sieti oproti 1. alternatíve  

Z uvedených porovnaní jednotlivých alternatív vyplýva, že z technického hľadiska bude najideálnejšie použiť 3. alternatívu. Jej veľkou výhodou sú celkové náklady na aktívne prvky, ktoré sú pomerne nízke v porovnaní s inými alternatívami. V prípade potreby budeme uvažovať nad prechodom na alternatívu číslo 2.

4.6.1. Požiadavky na aktívne prvky

Pri výbere aktívnych prvkov sa vychádza zo zvolenej alternatívy a dodatočných požiadaviek na funkcionalitu a bezpečnosť. Medzi najdôležitejšie požiadavky patria:

  • manažovateľnosť (aj na diaľku) jednotlivých aktívnych zariadení,
  • metalický uplink 1000 Mbps (hraničné prepínače),
  • 48 metalických portov 1000 Mbps (hraničné prepínače),
  • VLAN,
  • port security, access lists,
  • protokoly: IGMP, SNMP, RMON,
  • QoS,
  • cena,
  • značka,
  • flexibilný support zo strany dodávateľa a výrobcu,
  • záručná doba.

5. Bezpečnosť

Bezpečnosť bude potrebné zohľadňovať vo všetkých vývojových štádiách projektu. Bezpečnostný incident môže spôsobiť škody rôznych druhov a tak podstatne sťažiť prípadne v jeho ranných štádiách aj zastaviť rozvoj projektu. Práve v týchto ranných štádiách bude sieť najzraniteľnejšia keďže realizátori ešte zatiaľ nestihli implementovať všetky bezpečnostné mechanizmy. Rovnako informačný systém v tomto čase prechádza mnohými zmenami a preto je veľmi náročné napasovať bezpečnostné opatrenia priamo na mieru aktuálnemu stavu. Na začiatku realizácie bude však v sieti pripojených relatívne málo používateľov a tí budú mať tiež relatívne málo informácií o aktuálnom stave siete, čo znižuje bezpečnostné riziká. Riziko útoku z vonku však zostáva a preto je napr. potrebné inštalovať firewall zároveň s inštaláciou sieťovej brány do Internetu.

Z organizačného hľadiska by mala byť v rámci projektu vytvorená skupina, ktorá sa bude špecializovať na bezpečnosť, táto skupina navrhne presné pravidlá riadenia bezpečnosti a určí presnú filozofiu smerovania združenia z tomto smere.

Bezpečnosť v projekte Ynet by mala pozostávať z niekoľkých hlavných častí popísaných v nasledovných podkapitolách.

5.1. Bezpečnosť informácií

Musí byť definovaná kategorizácia informácií, spôsob ich ochrany a zaobchádzania s nimi. V začiatkoch projektu nie je veľmi dôležitá. Keďže je projekt realizovaný neziskovou organizáciou na nekomerčnej báze, neexistuje veľa interných informácií, ktoré by mali byť chránené pred vyzradením (spoločnosť napr. nemusí chrániť žiadne obchodné informácie). Ide skôr o ochranu informácií pred zničením a neautorizovanou zmenou. V neskorších fázach projektu, keď sa začínajú bezpečnostné opatrenia stabilizovať, vzrastajú nároky na ochranu informácií o nich hlavne z dôvodu prevencie prieniku.

5.2. Personálna bezpečnosť

Spočíva najmä v správnom výbere osôb, ktoré budú projekt realizovať a ďalej udržiavať. Tieto osoby je potrebné istým spôsobom preveriť pri ich prijímaní a na základne skúseností s nimi im prideliť správne prístupové práva. V podmienkach projektu Ynet je to však veľmi obtiažne, pretože všetci, ktorí sa na projekte podieľajú pracujú dobrovoľne a bez nároku na odmenu. Takže ich nie je možné priamo (napr. finančne) výrazne motivovať a riadiť ich priority ohľadom projektu.

5.3. Sieťová bezpečnosť

Najdôležitejšie časti tejto oblasti spočívajú v ochrane pripojených počítačov pred útokmi z vonku siete a ochrane sieťových serverov a iných aktívnych prvkov zabezpečujúcich chod siete pred útokmi z vonkajšej aj vnútornej siete.

Komunikácia medzi pripojenými počítačmi by nemala byť nijako obmedzovaná, takže v smere priamych systémových či aplikačných útokov ich nebude možné chrániť. No je dôležité zabezpečiť, aby sa dali preukázať niektoré aktivity (napr. pokus o napadnutie servera) a preto je okrem spoľahlivého záznamu logov potrebné zabezpečiť aj súlad IP adries a MAC adries na sieti. Toto by malo byť riešené pomocou ACL na aktívnych zariadeniach siete.

Ochrana centrálnych serverov by mala byť riešená použitím IDS/IPS systémov nainštalovaných priamo na daných serveroch. Akutalizácie, zálohy a ostatné opatrenia na systémovej úrovnu sú v kompetencii systémových administrátorov daných serverov. Títo ľudia sa ale musia riadiť internými smernicami bezpečnosti a všeobecnými zásadami bezpečnosti.

5.4. Fyzická bezpečnosť

Na poli fyzickej bezpečnosti bude najobtiažnejšie zabezpečiť ochranu inštalovaných pasívnych prvkov siete (sieťových káblov a líšt) na verejných miestach (chodby internátu).

Centrálna serverovňa by mala mať osobitný systém ochrany, ktorý by mal byť na oveľa vyššej úrovni ako systém fyzickej ochrany ostatných zariadení umiestnených mimo tejto miestnosti. Jedná sa vlastne o jediné účinné bezpečnostné opatrenie zabezpečujúce fyzickú ochranu životne dôležitých zariadení siete.

6. Financovanie

Náklady na projekt budú vychádzať z návrhu technického riešenia projektu. Väčšinu celkovej sumy búdu pravdepodobne predstavovať náklady na aktívne prvky. Zvyšnú časťsumy budú tvoriť náklady na pasívnu časť siete.

6.1. Príjmy

Financovanie celého projektu bude zabezpečené pomocou nasledovných zdrojov:

  • členské príspevky a registračné poplatky členov Ynet-u,

  • sponzorské dary,

  • vlastná práca členov realizačného teamu,

  • štátne a medzinárodné granty.

6.2. Výdavky

Všetky príjmy získané na realizáciu projektu budú použité výlučne na nákup:

  • pasívnych a aktívnych prvkov,
  • inštalačného materiálu,
  • náradia,
  • výdavkov spojených s dopravou nakúpených komponentov,
  • používateľských serverov,
  • položiek, ktoré si pri stavbe a prevádzke takejto siete vyžadujú bezpečnostné normy Slovenskej republiky a Európskej únie.

Žiadny príjem nebude použitý na finančnú alebo materiálnu odmenu členov realizačného tímu, keďže sa všetci zaväzujú vybudovať tento projekt bez nároku na spomenuté druhy odmeny.

Celkové výdavky na realizáciu projektu sú popísané v prílohe.

7. Prílohy

V tejto časti dokumentácie sú uvedené všetky prílohy, ktoré sú potrebné pre presnú špecifikáciu celého projektu.

7.1. Logická topológia siete










7.2. Celkové náklady na realizáciu projektu

V nasledujúcej tabuľke sú uvedené čiastkové náklady za jednotlivé materiály, aktívne a pasívne prvky, ktoré sú potrebné pre realizáciu projetku. Tie sú potom vyčíslené do celkových nákladov.

Tabuľka č. 9: Celkové náklady projektu

 

 

 

Copyright © 2016 | Ynet
design by musho