Expert sieciowy. Sieć w szkole, szkoła w sieci.

Transkrypt

1 Expert sieciowy Sieć w szkole, szkoła w sieci

2 Sieć w szkole, szkoła w sieci Łącza, hasła, filtry i monitoring, czyli planujemy budowę szkolnej sieci Spis treści: 2 Łącza, hasła, filtry i monitoring, czyli planujemy budowę szkolnej sieci 8 Przełączniki i routery 15 Bezpieczna i wydajna sieć bezprzewodowa Stworzenie przemyślanej, dobrze działającej i bezpiecznej sieci w szkole to nie zadanie dla opiekuna szkolnej pracowni komputerowej. Żeby się udało, niezbędne jest zaangażowanie i dobra wola dyrektora. Opiekun może tylko pomóc. Trudno wyobrazić sobie współczesną szkołę bez dostępu do sieci internet. Większość z nas codziennie korzysta z sieciowych usług szukając informacji, płacąc rachunki czy komunikując się ze znajomymi na portalach sieciowych, pocztą elektroniczną czy usługami takimi jak skype. Jako nauczyciele dysponujemy w pracy systemami, które nas wspomagają choćby dziennikiem elektronicznym. Coraz częściej systemy te działają w modelu chmury (serwer nie pracuje w szkole, lecz mamy do niego dostęp przez internet). Zdarza się nam również korzystać z systemów nauczania zdalnego czy elektronicznych podręczników a tendencja ta się rozwija. W tym kontekście dostęp do szybkiej i bezpiecznej sieci w szkole, zarówno dla uczniów, jak i nauczycieli, powinien być jednym z priorytetów rozwoju szkolnej infrastruktury technicznej. PLANOWANIE Uzyskanie wydajnej a jednocześnie bezpiecznej sieci wymaga jej odpowiedniego zaplanowania. Przemyślenia, jakie cele chcemy osiągnąć i co dla nas oznacza bezpieczeństwo. Zastanówmy się więc nad tymi aspektami. Planowane cele a wydajność szkolnej sieci Na początek warto się zastanowić, do czego szkolna sieć ma być używana zarówno dzisiaj, jak i w najbliższej przyszłości. Jakie są główne cele jej istnienia z jakich usług korzystamy i będziemy korzystać? Jeśli większość systemów, takich jak: dziennik elektroniczny, obsługa sekretariatu, magazyn z dokumentami administracji szkoły, nauczycieli i uczniów jest zainstalowana na serwerze szkolnym, to w dostępie do tych usług kluczowa będzie sieć lokalna. Nie będą one także obciążać łącza internetowego. W przypadku gdy wykorzystujemy w szkole dziennik pracujący w modelu chmury lub wdrożyliśmy usługi (takie jak Office 365 czy Google Apps), to kluczowy będzie dostęp do internetu. Oczywiście im szybsze łącze, tym lepiej. Nie zawsze jednak mamy możliwość finansową czy techniczną kupienia usługi o lepszych parametrach. W takim wypadku odpowiednio opracowana polityka szkoły, dotycząca podziału przepustowości łącza, i przyznanie priorytetów w dostępie poszczególnym grupom użytkowników będą miały ogromne znaczenie. Do tego jednak potrzebujemy zarówno dobrego, przemyślanego planu, jak i urządzeń (np. routera i przełączników sieciowych), które pozwolą go wdrożyć. Dzięki dobremu projektowi i wdrożeniu, dysponując nawet słabszym połączeniem do internetu, możemy osiągnąć lepsze efekty niż w przypadku szybkiego łącza i źle zorganizowanej sieci lokalnej. Przygotowując plan warto rozważyć, jakim wyposażeniem dysponujemy w szkole i jak się ta sytuacja zmienia. Nawet jeśli większość stanowią komputery stacjonarne, najprawdopodobniej kolejne zakupy będą dotyczyły urządzeń mobilnych pracowni notebooków czy tabletów. Analizując sytuację zapewne zauważymy również, że wielu nauczycieli i uczniów dysponuje prywatnymi urządzeniami przenośnymi. W zależności od etapu szkolnego są to smartfony lub tablety, które przynoszą ze sobą do szkoły uczniowie. Dobrym pomysłem jest umożliwienie tym urządzeniom dostępu do szkolnej sieci. Determinuje to kierunek rozwoju sieci lokalnej w kierunku sieci bezprzewodowej. W niektórych przypadkach nie będziemy chcieli udostępnić szkol- 2

3 nej sieci dla urządzeń prywatnych lub udostępnimy ją tylko nauczycielom. Powód może być prozaiczny brak możliwości technicznych: zbyt słabe połączenie z internetem lub brak możliwości wprowadzenia skutecznych mechanizmów zabezpieczeń. Wskazówka W niektórych regulaminach szkolnych nadal można spotkać zapisy zabraniające używania telefonów komórkowych na terenie szkoły przewidujące różnorodne sankcje za złamanie zakazu. Na pytanie o to, dlaczego wprowadzono takie zapisy, najczęściej padają dwie odpowiedzi. Po pierwsze, zakaz ma zapobiec sytuacji nagrywania przez uczniów filmów i ich publikacji w internecie. Po drugie, dzwoniące telefony uniemożliwiają prowadzenie zajęć. Jeśli chodzi o pierwszą z nich zazwyczaj zadajemy pytanie pomocnicze: czy regulamin zabrania posługiwania się także długopisami lub zegarkami? Bo przecież dzisiaj można kupić takie urządzenia z wbudowaną kamerą i mikrofonem już za kilkadziesiąt złotych. Zakaz dotyczący używania komórek w tej kwestii jest więc co najmniej nieskuteczny. Ba, może wręcz zachęcić do tego, by spróbować go obejść. Rozwiązaniem jest tutaj raczej rozmowa z uczniami i omówienie konsekwencji takich publikacji, niż wprowadzanie martwego prawa. Znalezienie panaceum na drugi problem może być znacznie prostsze. Zamiast zakazu, w regulaminie można określić sposoby zgłaszania się uczniów do odpowiedzi. Poza przyjętymi ogólnie (podniesienie ręki) możemy dopisać dzwoniący telefon. Bardzo szybko dzwonki zostaną wyciszone. Zakaz może dotyczyć używania telefonu na lekcji bez pozwolenia nauczyciela, ale nie ogólnie terenu szkoły. Mimo to, aby korzystanie z pracowni mobilnych sprzętu należącego do szkoły miało sens, należy zapewnić pokrycie siecią Wi-Fi praktycznie całej szkoły. W wersji minimum wszystkich pracowni, pokoju nauczycielskiego oraz pomieszczeń biurowych i sal gimnastycznych. To zaś wymaga doprowadzenia w odpowiednie miejsca sieci przewodowej i podłączenia do niej urządzeń dostępowych. Wskazówka Istnieją urządzenia dostępowe (AP Access Point), które mogą współpracować korzystając tylko z sieci bezprzewodowej. Oznacza to, że łączą się między sobą przez sieć Wi Fi, a następnie sygnał ten udostępniają użytkownikom. Jednak połączenie punktów dostępowych siecią przewodową może być lepszym rozwiązaniem. Jeśli nastąpi awaria, istnieje większa szansa, że administrator zdalnie będzie mógł sprawdzić jej przyczynę a nawet dokonać naprawy. W przypadku gdy urządzenia łączą się siecią bezprzewodową, może nie być takiej możliwości. Dodatkowym atutem połączenia przewodowego urządzeń dostępowych jest zwiększenie wydajności sieci. AP nie zużywają zasobów do łączenia się między sobą w pełni mogą je wykorzystać do obsługi klientów. Ma to olbrzymie znaczenie, gdy do sieci podłączonych jest kilkadziesiąt urządzeń. Jednak jeśli mówimy o pracowniach liczących komputerów czy tabletów, popularny sprzęt (Access Point) przeznaczony do użytku domowego, okaże się niewystarczający. W domu podłączamy nie więcej niż kilka, wyjątkowo kilkanaście urządzeń jednocześnie. W przypadku szkoły będzie ich kilkadziesiąt. Sprzęt przeznaczony na rynek konsumencki nie poradzi sobie z taką liczbą. Nawet przy szybkim łączu internetowym będziemy odczuwali, że sieć działa wolno, a w skrajnych przypadkach w ogóle przestanie działać. Ewidentnie potrzebne okażą się rozwiązania profesjonalne. A ich dobór będzie zależał od aktualnego wyposażenia szkoły i planów rozwoju infrastruktury w przyszłości. 3

4 Sieć w szkole, szkoła w sieci Technikalia łącz i rządź Niektóre szkoły korzystają z więcej niż jednej usługi dostępowej na przykład w każdej pracowni komputerowej zainstalowano oddzielną neostradę. W takich wypadkach warto rozważyć konsolidację tych połączeń. Może w tym pomóc zastosowanie tzw. routera modularnego. Dzięki niemu połączymy niezależne usługi dostępowe i będziemy mogli nimi centralnie zarządzać obniżając tym samym koszty (m.in. czas potrzebny na aktualizację filtrów). Technikalia podział sieci a wybór urządzeń W podziale sieci pomogą odpowiednio dobrany router, przełączniki i profesjonalna sieć bezprzewodowa, a wszystko to wyposażone w mechanizm tworzenia wirtualnych sieci lokalnych VLAN w standardzie 802.1q. Dobra wiadomość jest taka, że w szkołach często znajduje się już infrastruktura, która ma odpowiednie możliwości, ale które nie są w pełni wykorzystane. Aspekt ten można wziąć pod uwagę podczas planowania rozbudowy sieci. 4 Warto więc określić cele, których realizację ma zapewnić szkolna sieć, a następnie opracować odpowiednie priorytety w dostępie dla niej dla poszczególnych grup użytkowników i urządzeń. Grupy użytkowników to na przykład: Urządzenia to: na biurkach w salach lekcyjnych, w bibliotece), Cele to choćby zapewnienie dostępu do dziennika dla nauczycieli na każdej lekcji, możliwości korzystania z dokumentów przechowywanych w sieci, korzystania z usług podczas zajęć dydaktycznych do pokazów dla nauczycieli, do pracy własnej uczniów: ćwiczeń na zajęciach z wykorzystaniem komputerów. Podział dostępu do łącza Jeżeli pod uwagę weźmiemy priorytet w dostępie do sieci tylko pod kątem użytkowników, to możemy wyciągnąć wniosek, że pierwszeństwo powinni mieć nauczyciele i pracownicy administracji. Jednak czy da się poprowadzić lekcje z uczniami bez dostępu do internetu? Czasem tak, a czasem nie. Z naciskiem na nie, jeśli mamy wdrożoną usługę pozwalającą np. uczniom przechowywać dokumenty w chmurze. Nie wystarczy więc określić, kto ma pierwszeństwo. Lepszym rozwiązaniem jest podzielić dostępne pasmo dla poszczególnych grup. Takie podejście uwzględni również cele, jakim ma służyć szkolna sieć i internet. Możemy np. przyjąć, że do 20 proc. przepustowości łącza przeznaczamy dla szkolnej administracji, w tym na dostęp do dziennika elektronicznego online, 60 proc. na cele edukacyjne, czyli wykorzystanie przez uczniów podczas lekcji na szkolnych urządzeniach, a maksymalnie 20 proc. na dowolny użytek na urządzeniach prywatnych. Odpowiednie podzielenie dostępnego łącza zapewni sprawną pracę wszystkim, którym dostęp do sieci jest niezbędny. Zapobiegnie sytuacji, gdy jedna osoba obciąża łącze pobierając oprogramowanie czy inne duże pliki uniemożliwiając pozostałym pracę. Odpowiedni podział łącza odseparuje także poszczególne grupy. Nawet jeśli pasmo przydzielone pracowni mobilnej zostanie wysycone na skutek pracy uczniów (np. podczas publikacji prac w internecie), to wysycenie będzie dotyczyło tylko pasma przydzielonego tej grupie. Dla niej sieć będzie działała wolniej, ale pozostałe grupy nie odczują problemu. BEZPIECZEŃSTWO W planowaniu szkolnej sieci, oprócz wydajności, bardzo ważnym problemem jest bezpieczeństwo. Oczywiście to temat bardzo szeroki i wielowątkowy. Tym razem nie będziemy się skupiać na BHP czy profilaktyce antywirusowej. Chodzi raczej o bezpieczny dostęp do sieci zarówno z punktu widzenia ucznia i jego rodziców, nauczyciela, a także szkoły jako instytucji. Ta problematyka także składa się z wielu wątków. Obejmuje bowiem bezpieczeństwo danych wrażliwych (w rozumieniu Generalnego Inspektora Ochrony Danych Osobowych), ochronę przed dostępem do materiałów niepożądanych (dla młodszych uczniów częściej przypadkowym, dla starszych celowym), działania szkodliwe (np. publikacje nagrań ośmieszających uczniów i nauczycieli) itp. Wskazówka Pamiętajmy, że wprowadzenie automatycznych mechanizmów zabezpieczeń w szkolnej sieci jest niezbędne, ale nie wystarczające. Konieczna jest praca z młodzieżą i uświadamianie zagrożeń związanych z korzystaniem z internetu, sposobów ich unikania oraz uczenie odpowiedzialnego poruszania się w sieci. To jednak temat na oddzielny artykuł. W tym wskazujemy tylko powiązania między uczeniem odpowiedzialności, a wykorzystywanymi mechanizmami bezpieczeństwa, które można wdrożyć w szkolnej sieci. Indywidualne hasła dla każdego Wiele problemów związanych z bezpieczeństwem da się rozwiązać wprowadzając ujednolicony i zindywidualizowany dostęp do sieci. Ujednolicony, czyli to samo hasło powinno służyć do logowania się do szkolnej sieci i umożliwiać do-

5 stęp do usług na szkolnych serwerach, na przykład do dokumentów tam przechowywanych. Uprości to całą procedurę i jednocześnie ułatwi życie. Wystarczy pamiętać tylko jedno hasło. Zindywidualizowany, bo każdy użytkownik loguje się do sieci z użyciem własnej nazwy i indywidualnego hasła, za które odpowiada. Trudnego do złamania, lecz łatwego do zapamiętania a więc ustalonego przez samego użytkownika. Pamiętajmy, że najsłabszym ogniwem wszelkich zabezpieczeń jesteśmy my ludzie. Zbyt restrykcyjna polityka haseł (wymuszone długie, zawierające wiele znaków specjalnych) może spowodować, że będą zapisywane w różnych miejscach, co zwiększa prawdopodobieństwo ich zgubienia lub podejrzenia przez osoby nieupoważnione. Zbyt trudne hasła powodują także, że użytkownicy wpisują je bardzo wolno, co ułatwia podpatrzenie ich przez osoby postronne. Zbyt trywialne hasła natomiast bardzo łatwo złamać. Warto w tej kwestii uświadomić użytkowników. Można także wprowadzić zasadę, że gdy nauczyciel loguje się do systemu zawierającego dane wrażliwe, nie pozwala przebywać w pobliżu uczniom. Odpowiedź na pytanie, na jakim etapie edukacyjnym wprowadzać hasła, jest prosta: im wcześniej, tym lepiej. Różne odmiany haseł w postaci pinów, puków itp. zabezpieczeń spotykamy w codziennym życiu od dawna. Im wcześniej nasi uczniowie przyzwyczają się do dbania o ich bezpieczeństwo, tym lepiej. Oczywiście na wczesnym etapie hasła powinny być proste. Im uczniowie starsi, tym polityka może być bardziej restrykcyjna. Wskazówka Często zgłaszanym problem podczas różnych szkoleń czy warsztatów jest zapominanie haseł przez uczniów i konieczność ich ciągłej zmiany przez uprawnioną osobę. Rozwiązaniem może być w tym przypadku wprowadzenie uciążliwej procedury odzyskania hasła. Na przykład uczeń, by zostało mu przyporządkowane nowe hasło, musi pobrać z sekretariatu specjalny formularz. Następnie wypełnić w nim rubryki zawierające imię, nazwisko, datę urodzenia, adres zamieszkania, imiona rodziców oraz odpowiedzieć na pytanie dlaczego nie pamięta hasła nie krócej niż w stu słowach. Do tego uczeń musi uzyskać podpis rodziców na formularzu i złożyć go w sekretariacie. Zapomnienie hasła powinno być traktowane podczas lekcji, gdzie jest ono niezbędne (informatyka), jako nieprzygotowanie. Im mniej wygodna procedura, tym pamięć naszych uczniów lepsza a przypadki jej zaników rzadsze. Monitoring sieci Nie jesteśmy anonimowi w internecie. Nigdy. Zawsze można nas zidentyfikować. Jak szybko się to uda, to kwestia uprawnień odpowiednich władz, czasem umów międzynarodowych nie problemów technicznych. Dobrze, żeby szkoła także mogła zidentyfikować to, co dzieje się w jej sieci. I pokazała to uczniom. Będzie to możliwe pod warunkiem wprowadzenia indywidualnych haseł oraz monitoringu sieci. Wówczas wszystko, co użytkownicy robią, będzie odnotowane w tzw. logach. Skąd (z jakiego urządzenia), kiedy, gdzie, z pomocą jakiego protokołu się łączyli. Zabezpiecza to nas nauczycieli i szkołę na wypadek wybryków naszych podopiecznych. Jeśli ktoś ze szkolnej sieci opublikuje obraźliwy tekst czy film podczas wyborów do sejmu i obrazi tym jednego z kandydatów, wówczas odpowiednie władze dotrą do szkoły bardo szybko. Jeśli mamy szkolny system monitoringu sieci będziemy w stanie wskazać winnego. Jeśli nie za wybryk odpowie dyrektor szkoły. Innym przykładem może być publikacja przez uczniów ośmieszającego kolegę filmu na YouTube. Do takich sytuacji nie dojdzie, lub będą to przypadki sporadyczne, jeśli zademonstrujemy naszym uczniom, że szkolna sieć monitoruje ich poczynania. Można nawet przesłać im logi (zapis ich aktywności w szkolnej sieci) żeby zobaczyli, jak szczegółowe informacje są zbierane na ten temat. Największe wrażenie robi na nich fakt, że nauczyciel nikogo nie musi złapać za rękę na przeglądaniu zabronionych treści. Wystarczy, że zajrzy w logi lub poprosi o to administratora sieci. Często dopiero taka demonstracja uświadamia uczniom brak anonimowości w sieci i związane z tym konsekwencje. Zdecydowanie lepiej wówczas pilnują swoich haseł. Jednocześnie włącza im się autocenzura powstrzymująca przed działaniami, których by nie zaryzykowali, gdyby byli świadomi, że są obserwowani. Technikalia monitoring i indywidualny dostęp W zależności od tego, z jakiego serwera korzysta szkoła, może on być wyposażony w mechanizmy pozwalające tworzyć konta użytkowników i nimi zarządzać. Przykładem takiego systemu jest Windows Server, w którym połączenie kont użytkowników zawartych w AD (Active Directory) z usługami autoryzacji użytkowników może posłużyć jako centralna baza wszystkich uczniów i pracowników szkoły. Z niej urządzenia sieciowe będą pobierały informacje, gdy użytkownik będzie chciał z sieci skorzystać i które będą przydzielały użytkownikom określone uprawnienia (np. wirtualną sieć lokalną w zależności od tego, do jakiej grupy użytkownik będzie należał), a także będą mogły służyć do późniejszego zbierania informacji, takich jak: kto (nazwa użytkownika i hasło), w jakim czasie (czas rozpoczęcia i zakończenia połączenia) i z jakiego urządzenia (adres IP, MAC) korzystał z zasobów. Na podstawie danych z tzw. accountingu, bo tak nazywamy gromadzenie powyższych informacji, administrator dysponując odpowiednim urządzeniem na styku sieci szkolnej z siecią internet będzie mógł przeanalizować ruch i zachowanie poszczególnych użytkowników. 5

6 Sieć w szkole, szkoła w sieci Uwaga! Jeśli w szkole do sieci podłączony jest serwer przechowujący wrażliwe dane, to dostęp do niego powinien być ograniczony tylko do osób, które muszą mieć z nim fizyczny kontakt. Pamiętajmy, że dostęp do fizycznego komputera umożliwia o wiele łatwiejsze złamanie jego zabezpieczeń np. zmianę hasła dostępu. Jeśli stosunkowo łatwo dostać się fizycznie do serwera, to dane na nim przechowywane powinny zostać także zaszyfrowane, co dodatkowo je zabezpieczy. 6 Wskazówka Monitoring sieci pozwala również wykryć przypadki, gdy uczniowie udostępniają sobie nawzajem hasła, gdy ktoś z nich zapomni swojego by uniknąć konsekwencji nieprzygotowania do lekcji. Sama świadomość, że sytuacja taka może zostać wykryta, zmniejsza chęć udzielenia źle pojętej pomocy. Zmniejsza ją także świadomość, że udostępniający bierze pełną odpowiedzialność za czyny swojego kolegi lub koleżanki. Jest to więc także lekcja odpowiedzialności. Automatyczne filtry treści oraz białe i czarne listy Wprowadzenie monitoringu i uświadomienie młodzieży jego istnienia świetnie się sprawdza w gimnazjum czy w szkole ponadgimnazjalnej. Wystarczy w regulaminie szkoły wprowadzić zapisy dotyczące tego, czego nie wolno robić w sieci. Należy też określić, że uczeń, który przypadkowo wszedł na strony zakazane (np. pornograficzne) powinien zgłosić ten fakt nauczycielowi. Inaczej będzie to traktowane jak działanie celowe. Jednak nie zawsze jest to wystarczające. Szczególnie, gdy mamy do czynienia z młodszymi dziećmi. Powinniśmy zabezpieczyć wówczas naszych uczniów na wypadek przypadkowego wejścia na tego typu strony. Możliwości jest kilka. Jedną z nich są filtry treści instalowane na szkolnych komputerach. Rozwiązanie to jednak ma swoje wady. Swego czasu jeden z programów blokował skutecznie wejście na stronę Episkopatu Polski. Zaliczał ją bowiem do treści pornograficznych (sic!). Wszystko dlatego, że zbyt często występowało tam słowo stosunki w kontekście stosunków państwo kościół. Podobnie może dziać się z wieloma serwisami, np. medycznymi. Drugą wadą takiego rozwiązania jest fakt, że instalowane jest na każdym komputerze, co powoduje, że trudniej nim zarządzać, dbać o aktualizację i potencjalnie łatwiej jest je obejść sprytnemu uczniowi. Zdecydowanie lepiej wdrażać rozwiązania obejmujące całą sieć, niż poszczególne komputery czy tablety. Łatwiej nimi zarządzać, dbać o aktualizację i rozwiązywać pojawiające się problemy. Innym rozwiązaniem może być wykorzystanie mechanizmów wbudowanych w system operacyjny komputera lub tabletu (tzw. funkcji bezpieczeństwa rodzinnego). Jednak każdy system operacyjny ma nieco inne rozwiązania i przy zróżnicowanej infrastrukturze może stanowić problem. Nie zawsze można nimi również zarządzać centralnie, więc wraca problem konfigurowania każdego urządzenia osobno. Dlatego lepsze rozwiązanie może stanowić zabezpieczenie wprowadzone na styku sieci lokalnej i dostępu do internetu np. na routerze lub dedykowanej zaporze. Przykład mogą stanowić tzw. białe lub czarne listy stron (White / Black Lists). Biała lista to lista adresów internetowych dozwolonych dla uczniów, czarna to adresy zabronione. Takie listy i ich aktualizacje można znaleźć w internecie. Wdrożenie ich na poziomie styku sieci lokalnej i internetu spowoduje, że obejmą swym zasięgiem wszystkie (lub wybrane przez administratora) a podłączone do szkolnej sieci urządzenia. Listy tworzone są pod różnym kontem pornografia, żarty, niebezpieczne treści. Możemy wybrać te, które są dla nas istotne. Oczywiście to rozwiązanie również nie jest idealne. Codziennie pojawiają się nowe serwisy, więc siłą rzeczy listy nigdy nie są w stu procentach aktualne. Ma ono jednak zalety. Przede wszystkim zarządzamy nim centralnie więc znacznie łatwiej. Musimy tylko pamiętać o aktualizacjach. Wraz z monitoringiem sieci odpowiednio skonfigurowane i aktualizowane listy mogą stanowić całkiem dobre rozwiązanie. Wystarczające do zabezpieczenia najmłodszych uczniów, a uzupełniające monitoring i autocenzurę w przypadku starszych. Zaawansowane rozwiązania sprzętowo-programowe pozwalają przyporządkować poziom zabezpieczenia określonym grupom użytkowników i urządzeń. Oznacza to, że bardziej możemy chronić młodszych uczniów lub pozwalać na więcej, gdy użytkownik pracuje na urządzeniu należącym do szkoły a bardziej restrykcyjne ograniczenia stosować w przypadku telefonów czy tabletów prywatnych. Możemy także nie wprowadzać ograniczeń np. dla nauczycieli. Wskazówka Niektóre rozwiązania sprzętowe dedykowane dla edukacji są dostarczane wraz z oprogramowaniem służącym do zarządzania pracownią. Dotyczy to zarówno komputerów przenośnych, jak również tabletów. Wówczas zdarza się, że funkcje ochrony są wbudowane w oprogramowanie. Na przykład nauczyciel może określić z jakich stron lub programów uczniowie podczas lekcji mogą korzystać. Jednak rozwiązania te dotyczą wybranej, konkretnej platformy. Nie rozwiązują więc problemu dla całej szkoły.

7 Zabezpieczenie danych wrażliwych Ochrona danych osobowych to temat bardzo szeroki. Skupimy się zatem na tym, co dotyczy technicznej strony działania naszej sieci związanej z bezpieczeństwem. Dane wrażliwe muszą być chronione hasłem dostępu. Wszystkie zasady opisane wcześniej mają tutaj zastosowanie. Hasła osób mających dostęp do danych wrażliwych muszą być szczególnie chronione. Dlatego zasada nielogowania się do systemów, gdy osoby postronne mogą podpatrzyć hasło, powinna dotyczyć wszystkich, którzy taki dostęp mają. Odnosi się to nie tylko do systemów dedykowanych do ich przechowywania, takich jak dziennik, ale choćby folderów, w których szkolny psycholog trzyma dokumenty Worda z opiniami o uczniach. Jeśli to możliwe, dostęp do takich danych powinien być monitorowany kto, kiedy i w jaki sposób z nich korzystał. To jednak funkcjonalność przyporządkowana serwerom, na których dane się znajdują nie sieci jako takiej. Drugim ważnym aspektem bezpieczeństwa w kontekście danych wrażliwych jest rozdzielenie sieci administracyjnej od sieci edukacyjnej. Dzięki temu trudniej będzie np. przechwycić hasło, a dostęp do szkolnego serwera lub komputerów przechowujących dokumenty rady pedagogicznej nie będzie w ogóle możliwy z sieci edukacyjnej. Powinniśmy wziąć to pod uwagę na etapie planowania sieci i wyboru odpowiednich urządzeń, które na taki podział pozwolą. WDROŻENIE I UTRZYMANIE Dzisiaj nawet w małej szkole funkcjonuje kilkadziesiąt komputerów (i/lub tabletów). W dużych zespołach niekiedy liczba ta przekracza 200. Nie uwzględniając urządzeń prywatnych. Zaprojektowanie sieci, która będzie w stanie obsłużyć taką liczbę urządzeń i zapewnić adekwatny poziom bezpieczeństwa nie jest banalne. Podobnie jak późniejsze utrzymanie jej działania i zarządzanie. Minęły już czasy, gdy szkolną siecią dorywczo i z doskoku miał zarządzać nauczyciel informatyki. Po prostu nie jest w stanie, bo jego podstawowym zadaniem jest uczyć. Przy tej liczbie urządzeń trudno oczekiwać, by znalazł na wszystko czas skonfigurował serwer i naprawił komputer, gdy zdarzy się awaria, zarządzał siecią, zakładał konta, zmieniał zapomniane hasła czy wyjmował zacięty w drukarce papier. Czy nauczyciel biologii zajmuje się pielęgnacją kwiatków na szkolnym korytarzu? Dlaczego więc nauczyciel informatyki ma zajmować się komputerem w sekretariacie lub pokoju nauczycielskim? Nadszedł czas, by w placówkach oświatowych zatrudniać osobę delegowaną tylko do zarządzania siecią. I tylko nią. Do rozwiązania problemów użytkowników, takich jak wymiana tonera w drukarce, wystarczy odpowiednie przygotowanie osób korzystających z tych urządzeń. W końcu to takie samo zadanie, jak wymiana filtru w ekspresie przelewowym po zaparzeniu kawy. W razie konieczności, do drobnych napraw, reinstalacji systemu czy kontaktów z serwisem komputerowym można zatrudnić studenta informatyki lub technika-informatyka. Na pewno sobie poradzi. To etat podobny do etatu konserwatora, który istniał i nadal istnieje w wielu placówkach. Do zarządzania rozbudowaną siecią komputerową potrzebny jest specjalista, który przy odpowiednio zaplanowanej sieci może pracować zdalnie. Gdy zostanie zatrudniony np. przez gminę spokojnie obsłuży jednocześnie kilka szkół. W tym kierunku powinno iść myślenie nie tylko dyrektora, ale także władz zwierzchnich. Zapewni to sprawne i bezpieczne funkcjonowanie sieci w szkole i szkoły w sieci. Przy docelowo najniższych kosztach. Nawet jeśli dzisiaj takie rozwiązanie wydaje się niemożliwe, dobrze jest szkolną sieć planować w taki sposób, by w przyszłości można było ją oddać pod opiekę bardziej scentralizowaną, np. na poziomie gminy. Przy tworzeniu projektu warto zatrudnić profesjonalną firmę, która będzie w stanie doradzić szkole optymalne rozwiązania. Nigdy jednak nie powinniśmy oddać w jej ręce projektu całkowicie. Wspólnie z nią powinniśmy omówić cele, jakim ma sprostać szkolna sieć i dobrać najlepsze rozwiązania techniczne. W kolejnych numerach podpowiemy, jak opracować plany i jak wybrać odpowiednie urządzenia. Wskazówka Planując sieć należy brać pod uwagę rozwój technologii, która bardzo szybko się zmienia. Projektując sieć i wybierając rozwiązania nie powinniśmy skupiać się tylko na tym, co dzisiaj w szkole jest potrzebne, lecz myśleć perspektywicznie. Projekt powinien uwzględniać rozwój dołączanie kolejnych urządzeń i grup użytkowników. Nie musimy wszystkiego kupować od razu, lecz powinniśmy przewidywać, co może być potrzebne. Twórzmy sieć tak, by najmniejszym kosztem finansowym i organizacyjnym móc w prosty sposób rozszerzyć jej funkcjonalność. Technikalia rozróżnienie urządzeń Trudnością może być rozróżnienie przez system urządzeń szkolnych i prywatnych. Nie jest to jednak problem, którego nie można rozwiązać. Traktując sieć bezprzewodową jako warstwę dostępową użytkownika do szkolnej sieci, można się pokusić o stworzenie kilku SSID wirtualnych sieci bezprzewodowych korzystających z różnych mechanizmów zabezpieczeń 802.1x lub WPA-ENT współpracujących z serwerem autoryzacji (np. usługa radius na Windows Server lub Freeradius na Linuxie). Można w tym wypadku wykorzystać certyfikaty w celu uwierzytelniania urządzeń szkolnych oraz z mechanizmów zabezpieczeń typu personal ze współdzielonym kluczem lub autoryzacją użytkownika tylko poprzez stronę wyświetlaną na kontrolerze sieci bezprzewodowej dla urządzeń prywatnych. W ten sposób urządzenia szkolne można wyizolować do innej podsieci wirtualnej dając im większe uprawnienia. Alternatywnie można zabronić dostępu do danej sieci bezprzewodowej korzystając z listy adresów MAC urządzeń, pozwalając dołączać się do sieci szkolnej tylko urządzeniom, które przez administratora na taką listę zostały wprowadzone. 7

8 Sieć w szkole, szkoła w sieci, cz. 1 Przełączniki i routery W pierwszej części Sieć w szkole, szkoła w sieci omówiliśmy ogólnie, jak planować sieć, co wtedy brać pod uwagę oraz jak zapewnić bezpieczeństwo naszym uczniom i szkole podczas korzystania z sieci zarówno lokalnej, jak i z internetu. W drugim odcinku przedstawiamy charakterystykę elementów sieci routerów oraz przełączników. Opisujemy, w jakie mechanizmy powinny być wyposażone te urządzenia, by zapewnić możliwość budowy bezpiecznej i wydajnej sieci przewodowej. Stanowi ona bowiem bazę do tego, by zbudować w szkole dostęp bezprzewodowy WiFi, na którym skupimy się w trzeciej części cyklu. Zrozumieć sieć UTM (ang. Unified Threat Management) wielofunkcyjne zapory sieciowe zintegrowane w postaci jednego urządzenia. Większość urządzeń klasy UTM oferuje następujące funkcje: Powyższe usługi są oferowane wraz z subskrypcją na aktualizacje baz danych obejmujących filtry treści, antywirus oraz system detekcji włamań. Urządzenia klasy UTM upraszczają zarządzanie bezpieczeństwem sieci oraz obniżają koszty w stosunku do stosowania oddzielnych urządzeń lub rozwiązań realizujących funkcje wbudowane w te urządzenia. LAN (ang. Local Area Network) lokalna sieć komputerowa, np. na obszarze szkoły, firmy czy innej instytucji. WAN (ang. Wide Area Network) rozległa sieć komputerowa, najczęściej rozumiana jako sieć wykraczająca poza obszar pojedynczego miasta lub kompleksu miejskiego. Port oznaczony jako WAN na urządzeniach sieciowych oznacza miejsce połączenia z siecią zewnętrzną, najczęściej z siecią dostawcy połączenia z internetem. NAT (ang. Network Address Translation) usługa polegająca na tłumaczeniu adresów IP używanych w prywatnej sieci lokalnej (LAN) na adresy obsługiwane w sieci zewnętrznej (WAN, internet). W większości przypadków system NAT ma na celu umożliwienie dostępu wielu urządzeniom podłączonym do sieci lokalnej (prywatnej) do internetu przy wykorzystaniu pojedynczego publicznego adresu IP. VLAN (ang. Virtual Local Area Network) wirtualna sieć lokalna, sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej. Na przykład w ramach jednej sieci lokalnej (LAN) możemy wyodrębnić sieci VLAN oddzielne dla uczniów, nauczycieli i administracji w taki sposób, by urządzenia podłączone do dwóch róż nych sieci wirtualnych nie miały do siebie bezpośredniego dostępu. QoS (ang. Quality of Service) jakość usług. Urządzenia posiadające możliwość implementacji QoS pozwalają na m.in. podział pasma dostępu do sieci internet na grupy w taki sposób, by np. uczniowie korzystający z internetu nie spowodowali braku możliwości dostępu do usług (np. dziennika elektronicznego) pracownikom administracji lub nauczycielom. IPS (ang. Intrusion Prevention System) systemy wykrywania i zapobiegania włamaniom. Urządzenia sieciowe z wbudowanym IPS zwiększają bezpieczeństwo sieci komputerowych przez wykrywanie i blokowanie ataków w czasie rzeczywistym. ICMP (ang. Internet Control Message Protocol) internetowy protokół komunikatów kontrolnych. Pełni przede wszystkim funkcję kontroli transmisji w sieci. Jest wykorzystywany w programach ping oraz traceroute. Pozwala sprawdzić m.in. czy istnieje (odpowiada) urządzenie sieciowe o danym adresie IP. SYSLOG standard pozwalający na przekazywanie i gromadzenie informacji z różnych źródeł. Jeżeli urządzenie sieciowe obsługuje ten standard, wówczas może przekazywać informacje na temat pracy sieci i jej użytkowników celem gromadzenia i późniejszego audytu, np. na komputer obsługujący bazę zgodną z tym standardem. Dzięki temu możliwy jest monitoring sieci. PoE (ang. Power over Ethernet) technologia przesyłu energii elektrycznej za pomocą okablowania sieci komputerowej do urządzeń peryferyjnych będących jej elementami. Mogą to być np. adaptery sieci bezprzewodowej i punkty dostępowe, kamery monitoringu IP czy telefony internetowe. DoS (ang. Denial of Service, odmowa usługi) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania. Podczas ataku (np. na serwer WWW) atakowana usługa przestaje odpowiadać na żądania użytkowników ponieważ wszystkie jej zasoby są używane do obsługi atakujących. 8

9 Funkcjonalność szkolnej sieci Bezpieczna i wydajna sieć przewodowa w nowoczesnej szkole powinna umożliwiać: podział użytkowników na grupy, przypisanie poszczególnym grupom użytkowników różnych uprawnień dotyczących dostępu do zasobów oraz ograniczenia przepływności w dostępie do sieci internet, udzielanie dostępu do sieci przewodowej tylko dla urządzeń szkolnych, blokowanie dostępu dla urządzeń prywatnych, zabezpieczenie użytkowników przed niebezpiecznymi treściami w internecie, zabezpieczenie sieci szkolnej przed atakami z zewnątrz, audyt aktywności użytkownika i logowanie ruchu. Na rysunku 1 przedstawiono jak powinna wyglądać przykładowa przewodowa sieć w nowoczesnej szkole. W typowej szkole najczęściej będziemy mogli wyróżnić przynajmniej takie grupy użytkowników, jak pokazano na rysunku 2 (administracja/serwery, nauczyciele, uczniowie, pracownia, goście), a później, w zależności od preferencji, nadać im różne uprawnienia zarówno do dostępu wewnątrz, jak i na zewnątrz szkolnej sieci. Realizacja funkcjonalności urządzeń Realizacja powyższych założeń będzie możliwa tylko w wypadku wykorzystania w szkolnej sieci odpowiednich urządzeń i zaimplementowanych w nich mechanizmów. Wśród niezbędnych elementów sieci przewodowej realizującej takie funkcje znajdą się: router z wbudowanym firewallem lub urządzenie klasy UTM (Unified Treat Management), zarządzane przełączniki sieciowe. Opcjonalny element stanowić może serwer uwierzytelniania i monitoringu (tzw. Accounting gromadzenie danych), czyli system, który pozwoli jednoznacznie zidentyfikować użytkownika, nadać mu odpowiednie uprawnienia oraz później przeprowadzić audyt tego, co użytkownik robił. Rysunek 1. Przykładowy podział szkolnej sieci na sieci VLAN (odseparowane podsieci wirtualne) Rysunek 2. Przykładowe wyróżnione grupy użytkowników i urządzeń w szkolnej sieci z opisanymi uprawnieniami przy każdym z połączeń (czy jest dostęp do internetu, pełny, ograniczony co do przepustowości i/lub filtrowania, czy tylko z urządzeń szkolnych, czy także z prywatnych) Routery lub urządzenia UTM Router z firewallem lub rozwiązanie zintegrowane klasy UTM w naszej sieci powinien spełniać następujące funkcje: 9

10 Sieć w szkole, szkoła w sieci, cz Zapewniać dostęp do internetu, czyli łączyć interfejs dostarczony przez operatora usług ze szkolną siecią. W szczególności zapewniać translacje adresów (NAT Network Aadress Translation) z klas adresów prywatnych umieszczonych wewnątrz szkoły, czyli sieci lokalnej (LAN Local Area Network) na adresy publiczne czyli do sieci internet (WAN Wide Area Network). Samą funkcję translacji zapewni praktycznie każdy router dostępny na rynku. Planując szkolną sieć należy jednak upewnić się, że wybrany model podoła wydajnościowo w szkole, gdzie jednocześnie z internetu może korzystać nawet kilkuset użytkowników. Wydajność routerów mierzy się w przepustowości wbudowanego w router Firewalla (systemu zabezpieczającego przed atakami z zewnątrz). Często określa ona również wydajność translacji NAT danego routera. Stosowaną miarą jest najczęściej przepustowość określana w Mb/s (megabity na sekundę) lub liczba możliwych jednocześnie sesji (czyli realizowanych połączeń). 2. Pozwalać na podłączenie szkolnej sieci do internetu więcej niż jednym łączem WAN. Router powinien mieć wbudowany więcej niż jeden interfejs WAN lub być modularny, czyli mieć możliwość doinstalowania odpowiedniego modułu, który zapewni łączność przed drugie (lub kolejne) łącze. Zastosowanie w szkole dwóch łączy pozwoli na zapewnienie większej przepływności w dostępie do sieci. Często dwa łącza o gorszych parametrach są tańsze niż jedno łącze odpowiadające parametrami dwóm połączonym interfejsom. W wielu wypadkach nie ma także możliwości technicznych pozwalających uzyskać lepsze parametry połączenia i zestawienie kilku połączeń jest jedynym rozwiązaniem. Wykorzystanie dwóch łączy pozwoli też na zapewnienie szkole połączenia z siecią internet nawet w przypadku awarii u jednego z operatorów. Funkcje umożliwiającą połączenie dwóch łączy w celu ich równoczesnego wykorzystania do komunikacji z internetem nazywa się równoważeniem obciążenia (Load Balancing). 3. Umożliwiać podzielenie sieci lokalnej LAN na segmenty. Patrząc na problem separacji użytkowników z perspektywy człowieka, łatwo jest nam wyróżnić poszczególne grupy na podstawie pełnionych przez nie funkcji. W szkole mogą to być pracownicy administracji, nauczyciele, uczniowie, a być może jeżeli szkoła działa zgodnie z duchem tendencji polegającej na przynoszeniu własnych urządzeń (BY- OD Bring Your Own Device) również goście. Z perspektywy sieci podziału dokonać jest trudniej, ale nie jest on niemożliwy. Urządzenia sieciowe nie mogą same z siebie wywnioskować, który użytkownik jest nauczycielem, a który uczniem, mogą jednak przeprowadzić taką klasyfikację na podstawie cech charakterystycznych dla sieci np. na podstawie adresów IP przyporządkowanych poszczególnym urządzeniom lub użytkownikom. Funkcją umożliwiającą wydzielenie segmentów sieci z naszej sieci lokalnej są wirtualne sieci lokalne (VLAN Virtual Lacal Area Network). Sieci VLAN pozwalają stworzyć odrębne wirtualne segmenty sieci w ramach jednej, fizycznej sieci lokalnej. Ich zastosowanie możliwe jest już na przełącznikach zarządzanych, jednak dopiero zastosowanie routera jako pośrednika w komunikacji pomiędzy segmentami pozwala je w pełni wykorzystać. Router z obsługą funkcji VLAN 802.1q (najbardziej rozpowszechniony standard) daje nam możliwość stworzenia odrębnych sieci z odrębnymi pulami adresów dla poszczególnych grup użytkowników. Możemy w ten sposób wyodrębnić podsieć dla administracji i serwerów, dla uczniów, a także dla gości. Dzięki oddzielnej adresacji urządzenia sieciowe są w stanie rozpoznawać po IP grupy użytkowników i dawać im dostęp do określonych zasobów lub ograniczać dostępne dla nich pasmo czyli zapewnić odpowiednią jakość obsługi (QoS Quality of Service). Dostęp do określonych zasobów można ograniczać stosując pomiędzy poszczególnymi sieciami VLAN tzw. ACL (Access Control List), czyli listy definiujące, który ruch ma zostać dopuszczony, a który zablokowany. W wypadku komunikacji między sieciami VLAN uczestniczy w niej zawsze router lub UTM. Dlatego ograniczenia dla użytkowników możemy wprowadzić nawet przy komunikacji pomiędzy poszczególnymi segmentami sieci lokalnej, a nie tylko przy połączeniach z siecią internet. Router odpowiedni dla szkoły powinien z pewnością posiadać możliwość obsługi przynajmniej kilku/kilku- 10

11 nastu sieci VLAN 802.1q, ponieważ nigdy nie wiadomo, jakie grupy użytkowników będziemy chcieli wydzielić w przyszłości. Na przykład jako oddzielne grupy mogą zostać wydzielone nowe pracownie stacjonarne lub mobilne składające się z notebooków lub tabletów. 4. Umożliwiać sterowanie pasmem tak, aby każda z grup użytkowników mogła otrzymać dedykowaną dla siebie przepływność. W przypadku aplikacji wykorzystujących zasoby w internecie najbardziej newralgicznym punktem jest z reguły dostępna przepływność na łączu WAN routera. Nie mając urządzeń z mechanizmami QoS (Quality of Service) narażamy się na niebezpieczeństwo wysycenia łącza nadmiernie przez uczniów lub gości, przez co dostęp z sieci administracyjnej np. do dziennika elektronicznego będzie niemożliwy. Wdrażając w sieci najpierw segmentacje a potem podział pasma dla poszczególnych użytkowników możemy dowolnie podzielić nasze łącze internetowe między pracowników administracji, nauczycieli, uczniów oraz gości. Na rysunku 3 pokazano, jak mógłby wyglądać podział takiego łącza pomiędzy poszczególnymi grupami użytkowników. 5. Zabezpieczać użytkowników, czyli filtrować strony internetowe. Filtrowanie powinno być możliwe pod kątem tego, czy umieszczone na nich odnośniki i pliki nie są szkodliwe (funkcja filtrowania reputacji stron WWW), a także pod kątem treści. Dobry router z systemem firewall lub UTM powinien być wyposażony w dynamiczne filtry, które będą się automatycznie aktualizowały, a jedynym zadaniem administratora będzie wybór poziomu zaufania stron oraz określenie kategorii treści, które mają być odfiltrowane (np. pornografia). Urządzenie powinno pozwalać również tworzyć wyjątki, aby w razie błędnego sklasyfikowania strony można było ją jednak wyświetlić. Bardziej zaawansowane rozwiązania klasy UTM filtrują nie tylko strony, ale również konkretne aplikacje. Dzięki temu w swojej szkole możemy zdecydować czy określona grupa użytkowników ma mieć dostęp np. do komunikatorów internetowych (co jest raczej niepożądane w trakcie prowadzenia zajęć) lub aplikacji pozwalających ściągać z internetu pliki. Kolejnym mechanizmem zabezpieczającym nas przed de Rysunek 3. Przykładowe reguły podziału łącza facto nami samymi (czyli użytkownikami sieci lokalnej), jest często wbudowany w systemy klasy UTM system IPS (Intrusion Prevention System). Jego działanie polega na weryfikacji czy ruch pochodzący z naszej stacji roboczej lub ze stacji, z którymi się komunikujemy, nie jest szkodliwy. Może to dotyczyć np. luk zabezpieczeń w systemach operacyjnych, które mogą sprawić, że komputer stanie się tzw. zombie. Komputer taki generuje niepożądany ruch w sieci i jej urządzeniach. Systemy IPS odpowiadają za zablokowanie takiego ruchu, żeby niepotrzebnie nie obciążał naszej sieci. 6. Zabezpieczać sieć lokalną przed zewnętrznymi atakami. Rozwiązanie przeznaczone do wykorzystania na brzegu szkolnej sieci nie powinno wyłącznie filtrować ruchu użytkowników i internetowych treści, ale również zabezpieczać naszą sieć przed atakami z zewnątrz. Do najczęściej występujących ataków przeprowadzanych na urządzenia brzegowe należą ataki typu DoS (Denial of Service) np. TCP Flood, których głównym celem jest obciążanie urządzeń sieciowych, jak routery i serwery WWW, do tego stopnia, że przestają realizować swoje funkcje lub zaczynają działać mniej wydajnie. Dobre routery lub urządzenia klasy UTM potrafią rozpoznawać takie ataki i ignorować je, by niepotrzebnie nie obciążać swoich zasobów. Innym przykładem zabezpieczającym naszą sieć przed atakami z zewnątrz są specjalne listopad

12 Sieć w szkole, szkoła w sieci, cz. 1 tryby pracy systemu Firewall routera, które zapewniają, że urządzenie nie jest widoczne od strony sieci internet dla atakującego. Najprostszym mechanizmem zapobiegawczym w tym wypadku jest nieodpowiadanie na wiadomości ICMP Internet Control Message Protocol, czyli popularne pingi. Atakujący często wykorzystują mechanizm wysyłania wiadomości ICMP przy wyborze ofiary, ponieważ gdy urządzenie w sieci internet odpowiada na polecenie ping to najpewniej znaczy to, iż stoi za nim jakaś sieć, której możemy zaszkodzić. Jeżeli jednak takiego urządzenia z zewnątrz nie widać, to nie ma powodu, by przeprowadzać atak. 7. Monitorować sieć. Jeżeli planujemy w swojej sieci prowadzić audyt aktywności, to wybrane rozwiązanie powinno mieć możliwość gromadzenia lub wysyłania informacji o tym, z jakimi adresami zewnętrznymi komunikowali się użytkownicy. Mechanizm, który na to pozwala działa stosunkowo prosto. Niektóre routery lub urządzenia klasy UTM mają możliwość wysyłania na tzw. serwery SYSLOG informacji o tym, co przechodziło przez Firewall urządzenia. SYSLOG to otwarty protokół pozwalający na przesyłanie i gromadzenie logów, czyli dzienników aktywności sieciowych, wykorzystywanych przez wiele urządzeń i wielu producentów. Wśród tych informacji znajdziemy źródłowe i docelowe adresy IP, a także źródłowe i docelowe numery portów dla protokołów transportowych, czyli TCP oraz UDP. Dzięki nim możemy określić, które urządzenia się komunikowały. Jeśli do tego gromadzimy informacje o tym, kto pracował na danym komputerze łatwo wskażemy kto, co i kiedy robił w sieci. Gromadzenie informacji na temat pracy użytkowników na poszczególnych komputerach można zrobić zarówno ręcznie, przypisując np. ucznia do danego komputera podczas zajęć, jak i automatycznie korzystając np. z Windows Active Directory (lub innego katalogu użytkowników) i tworząc odrębne konto dla każdego z nich. Zarządzane przełączniki sieciowe Kupując wyposażenie sieciowe powinniśmy zwrócić uwagę na funkcjonalność przełączników sieciowych (switch), które będą funkcjonowały w szkolnej sieci. Powinny to być przełączniki zarządzane, a wbudowane w nie mechanizmy powinny umożliwiać: 1. Podział sieci na segmenty, czyli wsparcie sieci VLAN zgodnie z protokołem 802.1q. Podział na sieci VLAN na samym routerze nic nam nie da, musimy jeszcze określić, które urządzenia do których sieci VLAN będą należały. Jeśli rozważamy sieć przewodową mechanizm ten jest stosunkowo prosty. W ramach konfiguracji zarządzanych przełączników sieciowych, po zdefiniowaniu sieci VLAN, określa się dwa podstawowe parametry: Tryb, w jakim ma pracować port. Używane są dwa główne tryby: Access oraz Trunk. Porty w trybie Trunk wykorzystuje się do łączenia urządzeń sieciowych ze sobą, np. dwóch przełączników lub przełącznika z routerem. W ramach portów w trybie Trunk pomiędzy routerem a przełącznikiem przenoszony może być ruch pochodzący z wielu sieci VLAN. Do portów pracujących w trybie Access podłączane są urządzenia klienckie, takie jak komputery, serwery czy np. kamery IP monitoringu wideo, a ruch odbywa się w ramach pojedynczej sieci wirtualnej, do której port został przydzielony. Przynależność portu do określonej sieci VLAN. O ile port w trybie Trunk może przenosić ruch z wielu sieci wirtualnych (pod warunkiem, że port został do nich przyporządkowany), o tyle dla portów w trybie Access należy określić konkretną sieć VLAN, do której urządzenie klienckie będzie podłączone. Jeśli więc podłączymy dany komputer do portu w trybie Access z określoną siecią VLAN, jego ruch zawsze będzie transmitowany tylko w tej sieci, chyba że administrator pozwoli na komunikację między różnymi sieciami VLAN. Wtedy jednak będziemy mieli do czynienia z transmisją przez router, na którym możemy zastosować reguły limitujące pasmo (np. gdy chodzi o ruch do sieci internet) lub blokujące dostęp do określonych usług. Wirtualne sieci zarówno na przełącznikach jak i na routerze działają na takiej samej zasadzie. Do każdej porcji informacji (czyli ramki Ethernet) dodawany jest specjalny nagłówek informujący urządzenia sieciowe o tym, do której sieci VLAN dana informacja należy. To definiuje jednoznacznie, między którymi portami 12

13 przełącznika lub routera informacja może być przesłana. Dzięki temu oddzielony zostaje ruch w poszczególnych sieciach VLAN, czyli nie ma bezpośredniej możliwości wysłania informacji np. między siecią przypisaną dla szkolnej administracji a siecią dla uczniów. Ruch między sieciami VLAN może zachodzić jedynie za pośrednictwem rutera. Na ruterze zaś możemy określić, czy ruch taki jest dozwolony, czy zabroniony dla danego użytkownika i/lub sieci. 2. Identyfikację urządzeń sieciowych. Kolejnymi funkcjami, jakie powinny realizować dobre przełączniki zarządzane jest klasyfikacja urządzeń i dopuszczenie do danego portu przełącznika tylko tych o określonym, rozpoznanym adresie sprzętowym MAC (każde urządzenie sieciowe ma przyporządkowany przez producenta domyślny niepowtarzalny adres Media Access Control). Funkcja, która pozwala na takie zachowanie w sieci przewodowej nazywa się najczęściej Port Security i występuje w dwóch trybach: zamka dynamicznego oraz zamka klasycznego. Funkcja, jako podstawowy parametr identyfikujący urządzenie, wykorzystuje adres MAC. Ponieważ adres MAC jest unikatowy dla każdego urządzenia, pozwala je jednoznacznie zidentyfikować. Wraz z funkcją Port Security na przełącznikach zarządzanych mamy możliwość określenia, które urządzenie ma prawo korzystać z danego portu fizycznego przełącznika, a tym samym, do której sieci VLAN może zostać dołączone. Tryb zamka dynamicznego pozwala określić liczbę urządzeń z różnymi adresami MAC, których przełącznik ma prawo nauczyć się na danym porcie. Po jej przekroczeniu przełącznik nie będzie mógł przekazywać ruchu z kolejnych, wcześniej nierozpoznanych urządzeń do niego podłączonych (zamek dynamiczny sprawdzi się w miejscach, gdzie do jednego portu przełącznika podłączamy wiele urządzeń). Tryb zamka klasycznego pozwala zamknąć administracyjnie port tak, aby przełącznik komunikował się tylko z urządzeniami, które już na tym porcie zna. Stosując funkcję Port Security po podłączeniu do sieci wszystkich szkolnych urządzeń można zamknąć zamek klasyczny. Od tej pory, nawet gdy ktoś podłączy urządzenie prywatne, nie będzie mógł go wykorzystać do komunikacji ze szkolną siecią. 3. Ograniczanie dostępu do usług oraz QoS. Dobry przełącznik zarządzany powinien oprócz wspomnianych wyżej funkcji pozwalać tworzyć listy kontroli dostępu ACL oraz zarządzać pasmem bezpośrednio na przełączniku. Dzięki temu nawet w sieci bez routera będziemy mogli wprowadzić ograniczenia usług lub pasma nawet per urządzenie na poziomie portów przełącznika. 4. Power of Ethernet (PoE), czyli zasilanie z sieci komputerowej. Jest to opcjonalna funkcja, która coraz częściej znajduje zastosowanie w sieciach Ethernet. Przełączniki w nią wyposażone pozwalają zasilać urządzenia (np. punkty dostępowe sieci bezprzewodowej, kamery, telefony IP) bezpośrednio z przewodu Ethernet. Zastosowanie PoE znacznie upraszcza proces wdrożenia nowych urządzeń, ponieważ nie trzeba do nich doprowadzać osobnych kabli z zasilaniem 230V, co często wymaga stworzenia odrębnego projektu sieci i podnosi koszty wdrożenia. Wybór optymalnego rozwiązania Każda szkoła jest inna, zarówno pod względem liczby uczniów, jak i dostępnych pracowni oraz komputerów. Jednak niezależnie od tego, z jaką siecią mamy do czynienia, można określić wspólne cechy, którymi powinny się charakteryzować wykorzystane w niej urządzenia. Dobry router/utm dla szkoły powinien być modularny lub mieć przynajmniej dwa łącza WAN oraz wbudowaną funkcję Firewall zapewniającą ochronę przed atakami zewnętrznymi. Jeżeli jednocześnie ma pełnić funkcję zabezpieczania użytkowników przed szkodliwymi treściami z internetu, to przydadzą się funkcje dynamicznego filtrowania reputacji stron WWW oraz zawartych na tych stronach treści, a także wbudowany system IPS. Dobry router powinien wspierać sieci VLAN w standardzie 802.1q, aby naszą sieć można było podzielić na segmenty, a także mechanizmy QoS, aby umożliwić podział dostępnego pasma pomiędzy poszczególne grupy użytkowników. Jeżeli zależy nam na tym, aby prowadzić audyt aktywności użytkowników, zwróćmy uwagę na funkcję logowania ruchu bezpośrednio na urządzeniu lub możliwość jego zapisu na zewnętrznym serwerze zgodnym ze standardem SYSLOG. listopad

14 Sieć w szkole, szkoła w sieci, cz. 1 Dobry przełącznik powinien dawać możliwość wykorzystania wszystkich funkcji routera, czyli również posiadać obsługę sieci wirtualnych (VLAN) w standardzie 802.1q. Przydatna zapewne będzie również funkcja Port Security, aby zabezpieczyć naszą sieć przed podłączaniem zewnętrznych, nieuprawnionych urządzeń np. prywatnych notebooków. Przykładami rozwiązań które świetnie sprawdzą się w szkolnych sieciach przewodowych są produkty Cyberoam CR50iNG. Do ich cech charakterystycznych należy zaliczyć: CR50iNG to najwydajniejsze w swojej klasie rozwiązanie klasy UTM, czyli połączenie routera i zapory sieciowej nowej generacji oferujące przepływność do 3250 Mbps. 8 portów GE działających z prędkością 10/100/1000 Mbps Obsługa wielu interfejsów WAN, w tym modemów USB 3G/4G Obsługa sieci VLAN zgodnie z IEEE 802.1q Obsługa Quality of Service. Wbudowany wielostrefowy Firewall oraz złożony system filtrowania ruchu: Anty-wirus Filtr anty-spamowy Granularna kontrola aplikacji Filtrowanie reputacji i zawartości stron WWW Intrusion Prevention System Wbudowany Captive Portal, czyli możliwość autoryzacji użytkowników na stronie WWW routera zanim uzyskają dostęp do internetu. Wewnętrzna baza użytkowników lub integracja bazy użytkowników z RADIUS lub AD Zarządzanie przez wbudowany interfejs WWW. Szczegółowe dane pod adresem:

15 Bezpieczna i wydajna sieć bezprzewodowa W trzeciej części cyklu omawiamy, jak stworzyć przemyślaną sieć bezprzewodową bazując na istniejącej w szkole sieci przewodowej. Słowniczek WLAN (ang. Wireless Lokal Area Network) bezprzewodowa sieć lokalna często określana mianem sieci Wi-Fi. Termin Wi-Fi znajduje zastosowanie również w określeniu instytucji (Wi-Fi Alliance) odpowiadającej za testowanie i certyfikowanie urządzeń bezprzewodowych pod kątem zgodności ze standardami IEEE (Institute of Electrical and Electronics Engineers), takimi jak a/b/g/n określającymi szczegółowo cechy urządzeń bezprzewodowych i protokołów, m.in. po to, aby urządzenia różnych producentów (np. karty sieciowe) mogły ze sobą bezproblemowo współpracować. BSS (ang. Basic Service Set) zbiór minimum dwóch urządzeń bezprzewodowych komunikujących się ze sobą. W jednym zbiorze BSS może występować maksymalnie jeden punkt dostępowy, który w jego ramach identyfikowany jest przez stacje klienckie na podstawie BSSID, czyli niepowtarzalnego identyfikatora. ESS (ang. Extended Service Set) zbiór dwóch lub więcej urządzeń bezprzewodowych komunikujących się ze sobą. W ramach zbioru ESS może występować wiele punktów dostępowych, a ich parametrem wspólnym w obrębie zbioru ESS jest nazwa sieci bezprzewodowej, czyli SSID. Dzięki temu klienci mogą przełączać się pomiędzy punktami dostępowymi w obrębie danej sieci, a sieć jest w stanie zapewnić użytkownikom odpowiednie parametry np. prędkość transmisji. Mówiąc najprościej: ESS to pojedynczy profil sieci bezprzewodowej o wybranej nazwie dostępny na wybranym terenie np. na terenie całej szkoły. Użytkownik podłącza swoje urządzenie do najbliższego punktu dostępowego, ale z jego punktu widzenia wygląda to tak, jakby zawsze przyłączony był to tego samego niezależnie od fizycznego położenia gdyż zawsze łączy się z siecią o tej samej nazwie. SSID (ang. Service Set Identifier) nazwa sieci bezprzewodowej, którą widzi karta, gdy skanuje medium bezprzewodowe w poszukiwaniu sieci, do których może się podłączyć. W szczególnym wypadku SSID danej sieci może nie być przez nią rozgłaszane (forma zabezpieczenia przed próbami dołączenia się do sieci nieautoryzowanych użytkowników). Wówczas stacja, chcąc się podłączyć do takiej sieci, musi znać SSID jej użytkownik musi wpisać je ręcznie. IEEE grupa standardów charakteryzująca sieci bezprzewodowe w ogólnie dostępnych pasmach częstotliwości. Do najpopularniejszych zaliczamy (w paśmie 2,4 GHz): b (oferujący transmisje z nośną na poziomie do 11 Mb/s), g (oferujący transmisję z nośną na poziomie do 54 Mb/s), n (oferujący transmisję na poziomie do 450 Mb/s) oraz (w paśmie 5 GHz): a (oferujący transmisję z nośną na poziomie do 54 Mb/s), n (oferujący transmisję z nośną na poziomie do 450 Mb/s). Unicast mechanizm transmisji, w której występuje jeden nadawca i jeden odbiorca, np. użytkownik otwierający stronę w internecie. Formę takiej transmisji przedstawiono na poniższym rysunku. Multicast mechanizm transmisji, w którym występuje jeden nadawca oraz kilku odbiorców. Dane przesyłane przez nadawcę kierowane są na jeden z adresów z puli do (niektóre z nich są zarezerwowane). Taki strumień danych nazywamy strumieniem multicastowym. W sieciach wyposażonych w mechanizm IGMP Snooping odbiorcy chcący odbierać dane, na podstawie informacji o dostępnych strumieniach, zgłaszają swoją chęć odbioru danego strumienia multicastowego, który wtedy jest do nich kierowany przez urządzenia sieciowe. Przykładem wykorzystującym ten typ ruchu są aplikacje typu e-learning, gdzie nadawcą jest nauczyciel a odbiorcami komputery uczniów. Źródło: Broadcast mechanizm transmisji, w którym występuje jeden nadawca oraz wielu odbiorców. W odróżnieniu od transmisji multicastowej, broadcast kierowany jest zawsze do wszystkich użytkowników danego segmentu sieci. Sposobem na ograniczanie broadcastów jest dzielenie sieci na tzw. sieci wirtualne (VLAN), ponieważ ruch taki nie jest standardowo przepuszczany między nimi. Ruch typu broadcast generują aplikacje pozwalające na wykrywanie urządzeń w sieci, np. drukarek. Ruch typu broadcast może być nadużywany w celu przeprowadzania ataków DoS lub zapychania sieci, dlatego dobre rozwiązania bezprzewodowe standardowo blokują ruch tego typu, a jego włączenie jest z reguły możliwe przez zmianę konfiguracji sprzętu. Źródło: BYOD (ang. Bring Your Own Device) tendencja zachęcająca użytkowników do przynoszenia do pracy/szkoły prywatnych urządzeń bezprzewodowych i wykorzystywania ich w trakcie codziennych zajęć. Jego pojawienie się podyktowane jest dynamicznym rozwojem sieci bezprzewodowych i wyposażaniem w interfejsy bezprzewodowe coraz większej liczby urządzeń(laptopy, telefony, tablety, urządzenia do odsłuchiwania muzyki)

16 Sieć w szkole, szkoła w sieci, cz. 1 Założenia dotyczące sieci bezprzewodowej w nowoczesnej szkole Bezpieczna i wydajna bezprzewodowa sieć szkolna powinna oferować następującą funkcjonalność: dostęp w dowolnym miejscu placówki pokrycie zasięgiem sieci bezprzewodowej obszaru całej szkoły, rozdzielenie sieci bezprzewodowych od siebie, np. wydzielenie sieci przeznaczonych do wykorzystania przez urządzenia szkolne i prywatne, uwierzytelnianie użytkowników i rozpoznawanie, np. czy jest to uczeń, czy nauczyciel, na bazie jego indywidualnego konta, gwarantujące jego jednoznaczną identyfikację, autoryzacja, czyli zapewnienie dostępu do zasobów szkolnych i internetu w zależności od przypisanych dla użytkownika (indywidualnych lub grupowych) uprawnień, accounting, czyli prowadzenie audytu aktywności użytkownika oraz zapisywanie (logowanie) jego ruchu, czyli: skąd, o której, dokąd, za pomocą jakiego protokołu użytkownik łączył się z innym komputerem, zapewnienie dostępu do sieci bezprzewodowej dla wielu użytkowników w określonym miejscu w jednym czasie, np. pracowni komputerowej wykorzystującej laptopy lub tablety, zapewnienie bezpiecznego dostępu do sieci bezprzewodowej i internetu dla rodziców i gości szkoły zgodnie z duchem BYOD (Bring Your Own Device przynieś własne urządzenie). Rozważając wdrożenie w szkole sieci WLAN należy pamiętać o tym, że zawsze bazuje ona na już istniejącej infrastrukturze sieci przewodowej. Niezależnie od zastosowanego rozwiązania, zawsze w pewnym miejscu nasze punkty dostępowe (AP, z ang. Access Point) i/lub kontroler sieci bezprzewodowej będzie musiał zostać do niej podłączony przewodem. W związku z tym, o tym jakie funkcje będziemy w stanie wykorzystać w ramach naszej bezprzewodowej sieci częściowo zdecyduje infrastruktura przewodowa. Dlatego w artykule odwołujemy się do poprzednich odcinków cyklu, w których opisaliśmy wykorzystanie w szkole routera lub urządzenia typu UTM oraz zarządzanych przełączników sieciowych. Przyglądając się dokładniej działaniu sieci przewodowych i bezprzewodowych znajdziemy podobieństwa, na przykład: podobne schematy adresacji, adresy sprzętowe (MAC) oraz adresy IP, wykorzystanie tych samych usług i protokołów, np. DHCP, DNS, Radius, wykorzystanie jako źródeł informacji najczęściej podłączonych przewodowo serwerów oraz sieci internet. Istnieją również odmienności wynikające z podstawowej różnicy w medium transmisyjnym wykorzystanym do przesyłania danych przewody miedziane i sygnały elektryczne kontra odpowiednio zmodulowane fale radiowe, a co się z tym wiąże: dedykowane przewody do transmisji i brak zakłóceń kontra konieczność współdzielenia częstotliwości radiowych z sąsiadami oraz unikania interferencji od własnej sieci, stała prędkość transmisji w przewodzie 10/100/1000 Mb/s kontra zmienna prędkość transmisji uwarunkowana między innymi: odległością klienta od punktu dostępowego (AP), liczbą jednocześnie korzystających z sieci użytkowników czy od modelu karty bezprzewodowej, bezkolizyjne, wydzielone sieci w rozwiązaniach przewodowych dzięki zastosowaniu przełączników sieciowych, kontra współdzielone medium transmisyjne, gdzie dostępne pasmo musimy podzielić pomiędzy wszystkich użytkowników uczestniczących w transmisji, dedykowane pary przewodów i możliwość jednoczesnej transmisji w obie strony, czyli pełny dupleks kontra pół-dupleks w sieciach bezprzewodowych. Wynika to z faktu, że w danym momencie karta bezprzewodowa czy punkt dostępowy może tylko wysyłać lub odbierać dane, ale nie może realizować dwóch zadań jednocześnie, znacznie większe możliwości zarządzania transmisją w sieciach przewodowych dzięki protokołowi CSMA/CD kontra rywalizacja o dostęp do medium i próby unikania kolizji poprzez protokół CSMA/CA w sieciach bezprzewodowych, transmisja fizycznie bezpieczna, bo wewnątrz kabla kontra możliwość podsłuchania praktycznie każdego pakietu w powietrzu i konieczność stosowania mechanizmów szyfrowania. 16

17 Między innymi to właśnie te różnice stanowią największy problem dla sieci bezprzewodowych i sprawiają, że zaprojektowanie i wybór dobrego rozwiązania jest znacznie trudniejszy od zaplanowania sieci przewodowej. W artykule opisujemy nie tylko jak powinna wyglądać sieć bezprzewodowa w nowoczesnej szkole, ale także w jakie mechanizmy i technologie warto ją wyposażyć, aby przynajmniej część tych różnic zniwelować. Na poniższym rysunku zaprezentowano, jak mogłaby wyglądać sieć bezprzewodowa w nowoczesnej szkole. Schemat przedstawiający przykład udostępnienia zróżnicowanych (pod kątem zabezpieczeń i dostępu) sieci bezprzewodowych w szkole W ramach sieci bezprzewodowej w nowoczesnej szkole możemy wyróżnić trzy profile ESS, czyli tak naprawdę trzy sieci bezprzewodowe rozgłaszane w każdym miejscu szkoły. Są to: SIEC CYFROWA_SZKOLA Sieć ta jest przeznaczona dla pracowników administracyjnych, nauczycieli i uczniów. Do sieci mają dostęp tylko urządzenia szkolne, dostęp do sieci z urządzeń prywatnych jest zabroniony. Sieć korzysta z zabezpieczeń korporacyjnych WPA2 Enterprise, co oznacza, że w trakcie podłączania użytkownika do sieci sprawdzana jest jego tożsamość na serwerze Radius. Jeśli uda się potwierdzić tożsamość użytkownika, serwer zwraca również informacje do jakiej sieci wirtualnej (tzw. VLAN o sieciach wirtualnych pisaliśmy w 24 numerze EFUN) użytkownik ma prawo uzyskać dostęp, a co za tym idzie, z jakich zasobów lokalnych i w internecie będzie mógł korzystać (oraz w jakim stopniu możliwość ograniczenia pasma). Na rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci. Schemat uzyskania dostępu do sieci Cyfrowa_szkola W pierwszym etapie następuje weryfikacja adresu sprzętowego (MAC) karty bezprzewodowej podłączającego się użytkownika: czy jest to urządzenie zaufane (szkolne, dostęp dozwolony), czy niezaufane (prywatne, dostęp zabroniony). W kolejnym etapie kontroler sieci bezprzewodowej lub punkt dostępowy (w zależności od wyboru rozwiązania) sprawdza, w porozumieniu z serwerem RADIUS, tożsamość użytkownika (np. nazwę użytkownika i hasło). Jeżeli użytkownik jest znany, uzyskuje dostęp i na podstawie dodatkowych parametrów zwracanych przez serwer jest wpuszczany do określonego dla tej grupy użytkowników segmentu sieci. Oczywiście w ramach danego segmentu znajdą zastosowanie również mechanizmy zabezpieczeń stworzone na routerze, takie jak ograniczenie pasma czy ograniczenia dostępu do stron WWW. SIEC CYFROWA_SZKOLA_PRACOWNIA_A Sieć ta jest przeznaczona dla nauczycieli i uczniów w ramach zajęć w pracowni mobilnej (np. składającej się z notebooków czy tabletów). Sieć, podobnie jak w pierwszym wypadku, wykorzystuje zabezpieczenia WPA2 Enterprise, jednak pomimo że nauczyciele i uczniowie będą korzystali ze swoich danych do logowania jak w przypadku sieci Cyfrowa_Szkola, ich ruch będzie wpadał do konkretnej sieci VLAN dedykowanej dla tej pracowni (nie będzie dynamicznie rozdzielany do różnych sieci). Dedykowana sieć dla określonej pracowni mobilnej zapewnia, że nawet korzystając z oprogramowania typu e-learning ruch z komputerów uczniów i nauczyciela będzie ograniczony tylko do jednej, określonej sieci VLAN. Dzięki temu, wykorzystywane przez ten typ aplikacji ruchy broadcast oraz multicast nie będą zaśmiecać sieci w całej szkole, co znacznie podniesie jej wydajność. 17

18 Sieć w szkole, szkoła w sieci, cz. 1 W razie potrzeby możemy też wyłączyć w tej sieci dostęp do internetu w zależności od tego, z jakich zasobów będziemy korzystać w ramach zajęć. Na poniższym rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci. jednak korzysta z mechanizmu uwierzytelniania użytkownika za pomocą tzw. Captive Portalu. Oznacza to, że po dołączeniu się do sieci użytkownik nie będzie miał dostępu do internetu, dopóki nie otworzy przeglądarki i nie poda swoich danych uwierzytelniających, czyli nazwy użytkownika i hasła. Sieć ta jest przypisana do konkretnej sieci VLAN, która ma wyjście tylko do internetu, a dodatkowo ma ograniczone pasmo. Na rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci. Od naszej decyzji będzie zależało, czy chcemy aby do tej sieci mieli dostęp pracownicy administracyjni. Dla nich można wydzielić oddzielną podsieć, co podniesie bezpieczeństwo podczas korzystania z aplikacji dla nich dedykowanych (np. oprogramowania szkolnego sekretariatu). SIEC CYFROWA_SZKOLA_GOSCIE Do tej sieci mogą podłączyć się dowolne urządzenia zarówno szkolne jak i prywatne ponieważ sieć przeznaczona jest dla gości szkoły, np. rodziców uczniów. Sieć nie jest zabezpieczona, REALIZACJA Na rynku rozwiązań bezprzewodowych znajdziemy zarówno wolno stojące punkty dostępowe (AP), których głównym przeznaczeniem są domy i mniejsze firmy, jak i rozwiązania profesjonalne. Oparte na kontrolerach sieci bezprzewodowych i profesjonalnych punktach dostępowych potrafią obsłużyć nawet kilkudziesięciu użytkowników jednocześnie na jednym urządzeniu AP. 18

19 Funkcjonalność urządzeń Oba typy rozwiązań zamieniają medium transmisyjne z przewodów (najczęściej tzw. skrętki ethernetowej, czyli kabla typu UTP) na fale radiowe. Nie znaczy to jednak, że oba sprawdzą się w szkole, gdzie potrzebujemy mechanizmów uwierzytelniania, autoryzacji i zapisywania informacji o połączeniach i ruchu w sieci, w ramach której w jednej pracowni może występować nawet 30 bezprzewodowych urządzeń. Nie licząc dodatkowych urządzeń prywatnych, które często uczniowie i nauczyciele chcieliby móc dołączyć do szkolnej sieci. Rozwiązania oparte na kontrolerze sieci bezprzewodowej sterującym punktami dostępowymi mają wiele przewag nad wolnostojącymi punktami dostępowymi. Między innymi: umożliwiają zarządzanie całą siecią bezprzewodową z jednego interfejsu, dzięki czemu w przypadku konieczności rekonfiguracji sieci można ją wykonać w kilka minut, upraszczają znacznie integrację sieci bezprzewodowej z siecią przewodową. Na przykład sieci wirtualne VLAN musimy jedynie doprowadzić łączem typu trunk (patrz artykuł w 24 numerze EFUN) do kontrolera sieci bezprzewodowej, a nie do wszystkich punktów dostępowych. W wielu przypadkach, gdy szkoła nie decyduje się na wymianę całej infrastruktury przewodowej, a ma tylko jeden zarządzany przełącznik i router z sieciami wirtualnymi, doprowadzenie z niego łączy trunk do wszystkich AP może nie być możliwe. Co za tym idzie, nie będziemy mogli wykorzystać funkcji dostępnych w naszej sieci przewodowej mając wolno stojące AP, upraszczają integrację sieci bezprzewodowej z serwerami autoryzacji, ponieważ jako klienta serwera autoryzacji dodaje się tylko jeden kontroler, a nie kilka czy kilkanaście punktów dostępowych, usprawniają proces gromadzenia logów, które do serwera autoryzacyjnego spływają z jednego źródła (kontroler), a nie z wielu (punkty dostępowe), oferują automatyczne konfigurowanie punktów dostępowych. Punkty dostępowe współpracujące z kontrolerem z reguły same są w stanie taki kontroler wyszukać w sieci, podłączyć się do niego i pobrać konfigurację. Dzięki temu mamy pewność, że wszystkie urządzenia będą miały zgodne wersje oprogramowania oraz spójną konfigurację, co w wypadku rozwiązań wolnostojących i zmian wprowadzanych na różnych urządzeniach w różnym czasie bardzo utrudnia sprawne zarządzanie infrastrukturą sieciową. Profesjonalne rozwiązania oparte na kontrolerach sieci bezprzewodowych i punktach dostępowych, oprócz powyższych wspólnych zalet, wniosą do naszej sieci dodatkowe przewagi technologiczne. Będą się one różnić funkcjonalnością w zależności od wybranego producenta świetnym przykładem są opisywane w dalszej części artykułu funkcje kontrolerów i punktów dostępowych Meru Networks. Podsumowując jeżeli chcemy mieć w szkole zarówno bezpieczną, jak i wydajną sieć bezprzewodową, wśród niezbędnych jej elementów powinniśmy uwzględnić: kontrolera sieci bezprzewodowej, punkty dostępowe z nim współpracujące. Jeśli chcemy, aby sieć bezprzewodowa działała dokładnie tak, jak w zaprezentowanych przykładach, dodatkowym elementem będzie serwer radius, czyli system pozwalający jednoznacznie zidentyfikować użytkownika, nadać mu odpowiednie uprawnienia oraz później prowadzić audyt jego działalności w sieci. Projekt sieci bezprzewodowej Dobrze zbudowana sieć bezprzewodowa musi zostać właściwie zaprojektowana. Zacząć należy od określenia oczekiwań wobec niej. Można w tym celu wykorzystać podane przez nas przykłady i założenia. Kolejnym etap projektowania to określenie, gdzie w szkole potrzebny jest zasięg sieci bezprzewodowej. Jeśli to możliwe, najlepiej zapewnić zasięg w całej szkole, co w praktyce nie musi okazać się wcale trudne. Do tego niezbędne są plany budynku szkolnego. W przypadku budynków nowych lub modernizowanych jest duża szansa na zdobycie profesjonalnych planów, wykonanych np. w oprogramowaniu Autocad i formacie DWG. Jeżeli szkoła mieści się w budynku starszym, być może w archiwum znajdziemy papierowe plany architektoniczne. Te można łatwo zeskanować i wykorzystać do planowania sieci. W ostateczności można także wykorzystać plan ewakuacyjny lub szkic budynku wykonany przy zachowaniu jego skali. Planowanie sieci bezprzewodowej na papierze bez odpowiednich narzędzi nie będzie nigdy dokładne, dlatego warto to zadanie powierzyć profesjonalistom. listopad

20 Sieć w szkole, szkoła w sieci, (Rozwiązania cz. 1 Meru Networks) Dodatkowa funkcjonalność kontrolera sieci ułatwiająca utrzymanie sieci w ruchu Oprócz wymienionych powyżej cech, niektóre z oferowanych rozwiązań dysponują technologiami, na które warto zwrócić uwagę. Przykładem takiego rozwiązania są kontrolery i punkty dostępowe Meru Networks. Do podstawowych wyróżników technologicznych Meru Networks możemy zaliczyć takie cechy jak: jednokanałowa architektura, wirtualna komórka oraz Air Time Fairness, które opisujemy dalej. Jednokanałowa architektura Pierwszą cechą, która diametralnie odróżnia sieci Meru od rozwiązań tradycyjnych jest jednokanałowa architektura. Na rysunku przedstawiono porównanie tradycyjnej architektury wielokanałowej (nazywanej również mikrokomórkową) oraz architektury jednokanałowej. Porównanie architektury tradycyjnej oraz jednokanałowej architektury oferowanej przez firmę Meru Networks W tradycyjnych rozwiązaniach, aby punkty dostępowe pracujące w swoim bezpośrednim sąsiedztwie nie zakłócały się nawzajem, muszą pracować na różnych kanałach radiowych. W zależności od standardu i pasma, na którym urządzenia operują, sugerowany odstęp między kanałami sąsiadujących ze sobą punktów dostępowych wynosi odpowiednio: 5 kanałów dla pasma 2,4 GHz oraz 4 kanały dla pasma 5 Ghz. Ponieważ liczba kanałów radiowych jest ograniczona regulacjami prawnymi, do dyspozycji w paśmie 2,4 GHz mamy łącznie 13 kanałów. Planując rozbudowaną tradycyjną sieć bezprzewodową korzysta się najczęściej ze schematu 1, 6, 11, który pozwala rozmieścić obok siebie do trzech urządzeń na nienakładających się kanałach. Planowanie kanałów na jednej płaszczyźnie to nie wszystko, ponieważ sygnał bezprzewodowy rozchodzi się w każdym kierunku także przez podłogi czy sufity. Z taką sytuacją mamy do czynienia bardzo często. Prowadzi to do konieczności ograniczania mocy na poszczególnych punktach dostępowych, aby nie dochodziło do zakłócania miedzy poszczególnymi AP. Jednak ograniczanie mocy wpływa na siłę sygnału, a co się z tym wiąże na zasięg danego punktu dostępowego. To z kolei wymusza nierzadko zastosowanie większej liczby punktów dostępowych niż wstępnie planowano. W przypadku gdy punkty dostępowe są zarządzane indywidualnie, takie rozplanowanie mogło być koszmarem dla projektanta i administratora. Na szczęście dynamiczny rozwój sieci bezprzewodowych wymógł na producentach konieczność poszukiwania rozwiązania tego problemu. Większość firm skupiło się na opracowywaniu dynamicznych algorytmów, których zadaniem jest automatyczny dobór kanałów w obrębie infrastruktury złożonej z wielu AP i automatyczne dobranie ich mocy. Zadanie to powierzono kontrolerom sieci bezprzewodowej. Pomimo tego, że algorytmy upraszczają sam proces planowania, nie są niestety pozbawione wad. Jedna z nich wynika z samego podejścia do wstępnego planowania sieci. Przymierzając się do zainstalowania punktów dostępowych w danym środowisku, pomiary najczęściej prowadzone są poprzez zastosowanie jednego czy dwóch punktów dostępowych i sprawdzenie zasięgów. W przypadku korzystania z dynamicznych algorytmów zarządzania mocą, po wdrożeniu całego systemu może się okazać, że system zdecyduje o zmniejszeniu mocy na AP, ze względu na zakłócenia z sąsiednich punktów, których nie braliśmy pod uwagę na etapie planowania. Zmniejszenie mocy może z kolei spowodować powstanie białych plam w zasięgu lub sytuacji, gdy podłączenie się do sieci będzie możliwe, ale z bardzo niską przepływnością. Dynamiczne rozplanowanie kanałów na AP jest również narażone na tzw. efekt domina, to znaczy sytuację, w której zakłócenia z zewnętrznego źródła spowodują, że algorytm musi zmienić kanał na danym punkcie dostępowym. Zmiana kanału na jednym punkcie wywołuje konieczność zmiany na wszystkich pozostałych urządzeniach (i rozłączenie na ten czas wszystkich klientów). W związku z opisanymi niedogodnościami poszukiwane są nowe rozwiązania. Skuteczne i odmienne podejście zastosowano w urządzeniach firmy Meru Networks. W tym wypadku wszystkie punkty dostępowe pracują na jednym kanale radiowym. Dzięki synchronizacji punktów dostępowych na bardzo wysokim poziomie udało się stworzyć system WLAN, w którym niezależnie od tego czy mamy do czynienia z pasmem 2,4 GHz, czy 5 GHz, punkty mogą pracować na tym samym kanale radiowym i nie zakłócają się nawzajem. Rozpatrywany przez nas na rysunku przypadek, w którym sygnał z AP rozchodzi się równomiernie, odnosi się do sytuacji idealnej, gdy na przeszkodzie sygnału radiowego nie stoją ściany, szafki czy ludzie. Rzeczywistość jest jednak dużo bardziej brutalna. Oprócz przeszkód, z którymi sygnał bezprzewodowy musi sobie poradzić wpływ na nierównomierne jego rozchodzenie mają również nowoczesne technologie, m.in n i stosowane 20