BIURO PROJEKTOWE NETWORK

Wielkość: px
Rozpocząć pokaz od strony:

Download "BIURO PROJEKTOWE NETWORK"

Transkrypt

1 BIURO PROJEKTOWE NETWORK Kalisz, ul. Piskorzewie 6 Zleceniodawca: Firma Handlowa SATURNET Sp. z o.o. Inwestor: Firma Handlowa SATURNET Sp. z o.o. PROJEKT SIECI KOMPUTEROWEJ DLA FIRMY HANDLOWEJ SATURNET SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Zespół projektowy pod nadzorem mgr Roberta Stasika w składzie: Bartczak Tomasz Bembel Artur Bierła Katarzyna Chaczyński Dawid Cichowicz Przemysław Gibas Łukasz Gomułka Artur Kliber Karol Korn Ryszard Małyjasiak Mateusz Nagórny Bartłomiej Przybył Elżbieta Tanaś Małgorzata Wrzesińska Anna Kalisz, czerwiec 2005 strona 1/1

2 1 UMOWA O WYKONANIE PROJEKTU NR 1/ AUDYT AKTUALNA STRUKTURA PERSONELU FIRMY I STANY OSOBOWE PRZEDSTAWIA SIĘ NASTĘPUJĄCO: OPIS STANU POCZĄTKOWEGO ZASOBÓW TECHNICZNYCH W FIRMIE SATURNET ORAZ WSTĘPNY OPIS DZIAŁAŃ JAKIE ZOSTANĄ WYKONANE: HARMONOGRAM OKABLOWANIE STRUKTURALNE TOPOLOGIA SIECI TECHNIKA ŚWIATŁOWODU OKABLOWANIE POZIOME OKABLOWANIE PIONOWE NUMERACJA GNIAZDEK ELEMENTY PASYWNE TESTOWANIE OKABLOWANIA POZIOMEGO I PIONOWEGO OSPRZĘT AKTYWNY SCHEMAT LOGICZNY STREFY DMZ I MDF STREFA DMZ Dostęp do Internetu SIEĆ WLAN PROPONOWANE ROZWIĄZANIA PROJEKTOWE Dlaczego zdecydowano o wyborze sieci bezprzewodowej? STRUKTURA SIECI BEZPRZEWODOWEJ OPIS SYSTEMU TSUNAMI MP.11A ZABEZPIECZENIE ODGROMOWE URZĄDZEŃ RADIOWYCH BEZPIECZEŃSTWO SIECI RADIOWEJ POMIARY POWYKONAWCZE LINKÓW RADIOWYCH SERWERY...46 strona 2/2

3 6.1 UZASADNIENIE WYBORU ZDALNE ZARZĄDZANIE OPROGAMOWANIE PRODUCENTA SYSTEM RAID OPROGRAMOWANIE SERWERÓW SYSTEMY OPERACYJNE SERWER WWW : APACHE SERWER FTP : PROFTP SERWER POCZTOWY : QMAIL SERWER PROXY WWW : SQUID DOMENA INTERNETOWA SERWERY DNS CHARAKTERYSTYCZNE DOMENY DLA POSZCZEGÓLNYCH KRAJÓW PUNKT DOSTĘPOWY (HOTSPOT) ZADANIA I PRZEZNACZENIE URZĄDZENIA HOTSPOT DANE TECHNICZNE KONFIGURACJA PUNKTU DOSTĘPOWEGO, PARAMETRY DOSTĘPOWE I BEZPIECZEŃSTWO SIECI Parametry dostępowe: Zasady Dostępu do sieci przez AP: CHARAKTERYSTYKA PROTOKOŁU RADIUS FUNKCJONOWANIE PROTOKOŁU RADIUS QOS (ANG. QUALITY OF SERVICE) ZASILANIE AP POLITYKA BEZPIECZEŃSTWA DEFINICJA POLITYKI BEZPIECZEŃSTWA UWARUNKOWANIA PRAWNE ZAŁOŻENIA ANALIZA RYZYKA NA PODSTAWIE ARCHITEKTURY SIECI METODY ZABEZPIECZENIA SIECI STRATEGIE OCHRONY...79 strona 3/3

4 Zapewnianie bezpieczeństwa dzięki wielowarstwowemu mechanizmowi ochrony Różnicowanie typów mechanizmów ochrony Wydzielanie i monitorowanie punktów wymiany informacji systemu z otoczeniem Automatyczne blokowanie się systemu w przypadku wykrycia włamania Hierarchizacja uprawnień użytkowników systemu Świadome kreowanie i eksponowanie "słabych punktów" Określenie sposobu zaradzania systemem informatycznym Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych PODŁOGI PODNIESIONE MODUŁOWE DLA POMIESZCZENIA MDF KLIMATYZACJA UZASADNIENIE INSTALACJI KLIMATYZACJI PODSTAWOWE PARAMETRY Klimatyzacja precyzyjna Montaż klimatyzacji OCHRONA FIZYCZNA SYSTEM AKARD OCHRONA PRZECIWPOŻAROWA SPOSOBY ALARMOWANIA PSP ORAZ DYŻURNEGO ADMINISTRATORA I ELEKTRYKA AEROZOLOWE GENERATORY GAŚNICZE PRZEZNACZENIE I ZASTOSOWANIA Elementy składowe Własności fizyko-chemiczne Toksyczność Możliwe zagrożenia Pierwsza Pomoc Obsługa i przechowywanie Osobiste zabezpieczenie przed czynnikami zewnętrznymi Stabilność i reaktywność Informacje ekologiczne strona 4/4

5 Wykaz certyfikatów polskich DOBÓR ŚRODKA GAŚNICZEGO I STAŁEGO URZĄDZENIA GAŚNICZEGO SPECYFIKACJA PROPONOWANYCH ROZWIĄZAŃ TECHNICZNYCH SPRZĘT I URZĄDZENIA DO BUDOWY SIECI WLAN STACJA BAZOWA TSUNAMI MP.11A BSU-R ZŁ. N ZEWN SATELITA TSUNAMI MP.11A SU-R Z ANTENĄ 23DBI ZEWN ANTENA MARS 5 GHZ 15DBI/ E PRZEWÓD KONCENTRYCZNY 50 OM H 1000 PE E WTYK N NA PRZEWÓD H-500/1000 KLAMPOWANY E Maszt antenowy aluminiowy wieża L E Podstawa masztu wieża L E Głowica masztu wieża L SERWERY Serwer SQL Serwer Serwer WWW, FTP ZESTAWY KOMPUTEROWE Zestaw Zestaw 0a Zestaw Zestaw Zestaw UPS Y BIUROWE DRUKARKI HP LaserJet 2430t HP LaserJet OKI ML HP DeskJet KARTA SIECIOWA ŚWIATŁOWODOWA RODZAJE PŁYT PODŁOGOWYCH CENTRALA MONITOROWANIA RC OPIS KONFIGURACJI SPRZĘTU KONFIGURACJA SIECI RADIOWEJ strona 5/5

6 16.2 KONFIGURACJA KOMPUTERA KLIENTA Z WINDOWS XP Konfiguracja Windows XP SP2 bez WPA Konfiguracja Windows XP SP2 z WPA ZALECENIA DOTYCZĄCE MONTAŻU I EKSPLOATACJI OGÓLNE ZALECENIA DOTYCZĄCE KONSERWACJI PODŁOGI TECHNICZNEJ ZALECANE CZYNNOŚCI ZWIĄZANE Z MONTAŻEM I INSTALACJĄ URZĄDZENIA TSUNAMI MONTAŻ PODŁĄCZANIE KABLI DO 5054-R POŁĄCZENIE SERIAL PODŁĄCZENIE ANTENY ZEWNĘTRZNEJ USTAWIENIE ANTENY INSTALACJA DOKUMENTACJI I OPROGRAMOWANIA DOSTĘP PRZEZ PRZEGLĄDARKĘ (WEB INTERFACE) DOSTĘP PRZEZ LISTĘ KOMEND (COMMAND LINE INTERFACE) SPOSOBY MONTAŻU PODŁOGI PODNIESIONEJ ZALECENIA I PODSTAWA PRAWNA DOTYCZĄCE STOSOWANIA STAŁYCH ŚRODKÓW GAŚNICZYCH KOSZTORYS DOKUMENTY DODATKOWE REGULAMIN KORZYSTANIA Z DOSTĘPU DO SIECI PRZEZ PUNKT DOSTĘPOWY FIRMY SATURNET DOKUMENTY DOTYCZĄCE POSTĘPOWANIA OCHRONY FIZYCZNEJ ZAKRES OBOWIĄZKÓW PRACOWNIKA OCHRONY TOK POSTĘPOWANIA PRACOWNIKÓW OCHRONY PRZY PRZYJMOWANIU - ZDAWANIU SŁUŻBY NA OBIEKCIE (POSTERUNKU) INSTRUKCJA WSPÓŁDZIAŁANIA PRACOWNIKÓW OCHRONY Z POLICJĄ I STRAŻĄ POŻARNĄ UMOWY LEKSYKON SPIS RYSUNKÓW strona 6/6

7 22 SPIS TABEL SPIS ZAŁĄCZNIKÓW strona 7/7

8 1 Umowa o wykonanie projektu nr 1/2005 Zawarta w dniu 19 marca 2005 r. W Kaliszu pomiędzy: Firmą Handlową SATURNET Spółka z o.o. z siedzibą w Kaliszu przy ul. Nowy Świat 54, reprezentowaną przez: 1. Jana Kowalskiego prezesa zarządu, 2. Krzysztofa Nowaka członka zarządu, zwaną dalej Zleceniodawcą, a Biurem Projektowym NETWORK z siedzibą w Kaliszu przy ul. Piskorzewie 6 reprezentowanym przez: 1. Jacka Kowala zwanym dalej Zleceniobiorcą, o treści: 1 1. Zleceniodawca powierza, a zleceniobiorca zobowiązuje się do: przygotowania projektu sieci komputerowej w Firmie SATURNET Spółka z o.o. wykonanie sieci komputerowej w Firmie SATURNET Spółka z o.o. zgodnie z opracowanym i zatwierdzonym projektem 2. Sieć komputerowa, o której mowa w ust. 1 obejmuje trzy budynki: Biurowiec 1; ul. Nowy Świat 54 Biurowiec 2; ul. Poznańska 24 Magazyn; ul. Ostrowska 5 2 Zleceniobiorca zobowiązany jest w szczególności do: 1) analizy stanu faktycznego istniejącej sieci; 2) opracowania projektu modernizacji istniejącej sieci komputerowej; 3) opracowania projektu nowej sieci komputerowej z uwzględnieniem wymogów zleceniobiorcy; 4) wykonania modernizacji istniejącej sieci komputerowej w biurowcu 1; 5) wykonania nowej sieci komputerowej w biurowcu 2; 6) wykonania nowej sieci komputerowej w magazynie; strona 8/8

9 Zleceniodawca zobowiązuje się do udostępnienia Zleceniobiorcy wszelkich dokumentów i informacji, niezbędnych do należytego wykonania niniejszej umowy. 3 4 Wykonawca ma prawo powierzyć wykonanie dzieła innej osobie. W takim przypadku jest on odpowiedzialny za jej działania jak za własne. 5 Termin wykonania kompletnego projektu strony ustalają na dzień 18 czerwca 2005 r. Termin wykonania sieci komputerowej strony ustalają na dzień 17 lipca 2005 r. Odbiór nastąpi na podstawie protokołu przekazania spisanego w obecności 6 przedstawicieli Zleceniodawcy i Zleceniobiorcy Zleceniobiorca udziela gwarancji na wykonane dzieło na okres 24 miesięcy od daty odbioru. 2. W okresie gwarancji Zleceniobiorca zobowiązuje się do usunięcia wad na koszt własny w terminie 14 dni od dnia powiadomienia o ich ujawnieniu W razie zwłoki w wykonaniu dzieła Zleceniodawcy przysługuje kara umowna w wysokości 0,05 % wartości dzieła za każdy dzień zwłoki. 2. W razie wystąpienia zwłoki w wykonaniu dzieła, Zleceniodawca może wyznaczyć Zleceniobiorcy dodatkowy termin wykonania dzieła z zachowaniem prawa do kary umownej, strona 9/9

10 9 Tytułem wynagrodzenia Zleceniodawca zapłaci Zleceniobiorcy kwotę złotych netto (słownie: trzydzieści tysięcy złotych) za wykonanie projektu sieci komputerowej. Zapłata wynagrodzenia nastąpi na podstawie faktury VAT wystawionej przez Zleceniobiorcę na jego rachunek bankowy Pekao o/kalisz , w terminie 14 dni od dnia otrzymania faktury przez Zleceniodawcę. Za dzień zapłaty uważany będzie dzień obciążenia Zleceniodawcy. W sprawach nie uregulowanych niniejszą umową zastosowanie mają przepisy Kodeksu Cywilnego. 10 Zmiana niniejszej umowy wymaga formy pisemnej pod rygorem nieważności Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron Podpis Zleceniodawcy Podpis zleceniobiorcy strona 10/10

11 2 Audyt Firma SATURNET jest firmą handlową, zajmującą się sprzedażą akcesoriów i podzespołów komputerowych. Ponieważ w jej skład wchodzi również agencja reklamowa, firma świadczy również usługi w zakresie opracowań projektów reklamowych. 2.1 Aktualna struktura personelu firmy i stany osobowe przedstawia się następująco: Prezes Dyrektor ds. ekonomicznych Dyrektor ds. handlowych Kierownik agencji reklamowej Dział ekonomiczny Dział sprzedaży Graficy Dział kadrowy Dział zaopatrzenia Projektanci Public Relation Dział reklamacji Dział obsługi firmy Dział marketingu Obsługa magazynu Specjalista ds. BHP Dział księgowości Serwis Dział informatyczny Radca prawny Biuro obsługi zarządu strona 11/11

12 Prezes 1 Dyrektor ds. ekonomicznych 1 Dział ekonomiczny 5 Dział kadrowy 4 PR 2 Dział marketingu 3 Dział księgowości 11 Dyrektor ds. handlowych 1 Dział sprzedaży 15 Dział zaopatrzenia 15 Dział reklamacji 3 Obsługa magazynu 15 Serwis 8 Kierownik agencji reklamowej 1 Graficy 5 Projektanci 2 Dział informatyczny 3 Radca prawny 1 Biuro obsługi zarządu 3 Specjalista ds. BHP Opis stanu początkowego zasobów technicznych w firmie SATURNET oraz wstępny opis działań jakie zostaną wykonane: Firma posiada jeden budynek magazynowy (MAGAZYN usytuowany przy ulicy Ostrowskiej 5), jeden używany budynek biurowy (BUDYNEK1 usytuowany przy ulicy Nowy Świat 54) oraz nowo wybudowany drugi budynek biurowy (aktualnie niewykorzystywany BUDYNEK2 usytuowany przy ulicy Poznańskiej 26); odległość strona 12/12

13 między budynkami wynosi 3km, aktualne połączenie komputerowe między magazynem i biurowcem BUDYNEK1 realizowane jest po kablu BNC. W we wszystkich budynkach istnieje nowoczesna sieć energetyczna z separowanymi tablicami i gniazdkami dedykowanymi wyłącznie dla komputerów z zabezpieczeniami przeciwprzepięciowymi i filtrami. W używanym budynku BUDYNEK1 istnieje sieć komputerowa z wyjściem Internetowym oferowanym przez firmę Netia SA Net24 Premium o prędkości 640kb/s. Używane są komputery oparte na procesorze AMD Duron 800MHz (załącznik nr - Zestaw 0 specyfikacji). Komputery mają licencje stanowiskowe na system operacyjny Windows 98SE, pakiet Office oraz oprogramowanie używane w księgowości. Budynek wyposażony jest również w działającą sieć telefoniczną opartą o automatyczną centralę telefoniczną (cztery linie wyjściowe z automatycznym przejściem, realizacja połączeń wewnętrznych). Według założeń projektowych istniejąca sieć w tym budynku zostanie całkowicie zastąpiona nową siecią z okablowaniem wykonanym w pełni w technologii światłowodowej. Zostaną postawione trzy serwery jeden MDF i dwa IDF po jednym na każdej używanej kondygnacji oraz punkt dostępowy sieci bezprzewodowej. Używane stacje komputerowe działu ekonomicznego zostaną zmodernizowane poprzez zwiększenie pamięci operacyjnej o 256MB oraz instalację nowgo systemu operacyjnego Windows XP Proffesional. Komputery agencji reklamowej, działu informatycznego oraz zarządu zostaną wymienione na nowe (załącznik nr - Zestaw 1 specyfikacji dedykowany dla grafików oraz załącznik nr - Zestaw 2 dla informatyków i zarządu). Istniejące łącze internetowe zostanie przeznaczone do wykorzystania jako Backup. W magazynie znajduje się pięć bezdyskowych stacji terminalowych (załącznik nr - Zestaw 0a specyfikacji) oraz jedna linia telefoniczna. W tym budynku cała infrastruktura informatyczna zostanie wymieniona. Zostanie postawiony serwer oraz sześć stacji roboczych dla obsługi magazynu i osiem stacji dla serwisu (wszystkie stacje załącznik nr - Zestaw 3 specyfikacji). Okablowanie oparte na światłowodach. Zewnętrzne połączenie z głównym serwerem firmowym w budynku BUDYNEK1 poprzez łącze radiowe. strona 13/13

14 Nowo wybudowany BUDYNEK 2 nie ma ustalonej struktury poza ww. siecią energetyczną. Postawiony zostanie serwer oraz trzydzieści cztery stacje komputerowe (załącznik nr - Zestaw 3 specyfikacji). Podobnie jak w pozostałych budynkach okablowanie oparte o światłowody oraz połączenie radiowe z głównym serwerem firmy. 2.3 Harmonogram Nr Nazwiska Data grupy Członków Bartczak Zadanie 1. Zadanie1.2 Tomasz 1 Tanaś Zadanie 1.3 Małgorzata 2 Bembel Artur Zadanie 2. 2 Chaczyński Dawid 3 Małyjasiak Zadanie 3. Mateusz 3 Nagórny Zadanie 3. Zadanie 3.1 Bartłomiej 4 Wrzesińska Zadanie 4. Anna 4 Kliber Karol 5 Bierła Katarzyna Zadanie 5. 5 Korn Ryszard 6 Cichowicz Przemysław Zadanie 6.1 Zadanie Gibas Łukasz Zadanie 1. Wymiarowanie budynków Zadanie 1.2 Wybór serwerów, zestawów komputerowych, drukarek i UPS ów Zadanie 1.3 Rejestracja domeny firmy Zadanie 2. Wybór i projekt użycia sprzętu pasywnego Zadanie 3. - Wybór i projekt użycia sprzętu aktywnego. Projekt logiczny sieci. Projekt VLM. Zadanie 3.1 Wybór oprogramowania dedykowanego dla serwerów Zadanie 4. Wybór i ustawienie HotSpot a strona 14/14

15 Zadanie 5. projekt ochrony p-poż i fizycznej security w firmie Zadanie 6.1 projekt połączenia bezprzewodowego i połączenia internetowego Zadanie 6.2 projekt polityki bezpieczeństwa 3 Okablowanie strukturalne Okablowanie strukturalne jest to kompletny system okablowania wewnątrz budynku, przeznaczony do transmisji głosu (telefonia) i danych (komputery), stanowi także węzeł połączeniowy do komunikacji zewnętrznej wraz z łączami publicznej sieci telefonicznej PSTN, także z siecią pakietową PSDN. Koncepcja okablowania strukturalnego uwzględnia niezbędną infrastrukturę telekomunikacyjną dla tych potrzeb składających się z: Okablowanie pionowe (wewnątrz budynku EN 50173) - kable miedziane lub/i światłowody ułożone zazwyczaj w głównych pionach (kanałach) telekomunikacyjnych budynków, realizujące połączenia pomiędzy punktami rozdzielczymi systemu; Punkty rozdzielcze - miejsca będące węzłami sieci w topologii gwiazdy, służące do konfiguracji połączeń. Punkt zbiegania się okablowania poziomego, pionowego i systemowego. Zazwyczaj gromadzą sprzęt aktywny zarządzający siecią (koncentratory, przełączniki itp.). Najczęściej jest to szafa 19-calowa o wysokości 42U, 24U, 14U; Okablowanie poziome (EN 50173) - część okablowania pomiędzy punktem rozdzielczym, a gniazdem użytkownika; Gniazda abonenckie - punkt przyłączenia użytkownika do sieci strukturalnej oraz koniec okablowania poziomego od strony użytkownika. Zazwyczaj są to dwa gniazda Euromod M1 1 x Duplex S.C umieszczone w puszce lub korycie kablowym; Połączenia systemowe oraz terminalowe - połączenia pomiędzy systemami komputerowymi a systemem okablowania strukturalnego; Połączenia telekomunikacyjne budynków - często nazywane okablowaniem pionowym międzybudynkowym lub okablowaniem kampusowym. Połączenie budynków odbyło się za pomocą sieci bezprzewodowej. strona 15/15

16 Norma EN normuje większość zagadnień związanych z okablowaniem strukturalnym, poniżej zostaną wymienione najważniejsze: Okablowanie poziome powinno biec nieprzerwanie od punktu dystrybucyjnego do punktu abonenckiego, norma dopuszcza jednak umieszczenie jednego punktu ( tzw. Punktu Konsolidacyjnego z ang. Transition Point), w którym okablowanie poziome jest nieciągłe, ale w którym wszystkie pary są połączone mechanicznie 1:1. Punkt ten nie może być wykorzystywany do administrowania sieci (nie można dokonywać połączeń krosujących). Istnieją ogólne zalecenia, które mówią, że na każde 10m 2 powierzchni biurowej należy przewidzieć jeden punkt abonencki, na każde 1000m 2 powierzchni biurowej powinien przypadać jeden piętrowy punkt rozdzielczy. Jeden punkt rozdzielczy powinien być przewidziany na każdym piętrze. Jeżeli na danym piętrze jest małe nasycenie punktami abonenckimi, może ono być obsłużone z innego piętrowego punktu rozdzielczego (np. położonego piętro niżej). Wszystkie użyte kable powinny być zaterminowane. Sieć okablowania strukturalnego jest systemem pasywnym i jako taka nie wymaga potwierdzenia kompatybilności magnetycznej EMC (wg. EN 50173). W obrębie sieci powinno się używać kabli o jednakowej impedancji nominalnej (np. 100Ω) oraz światłowodów o jednakowych parametrach włókna (jednakowej średnicy). Dla sieci klasy D maksymalna długość, na której może nastąpić rozplot par przy złączu wynosi 13mm. Wszystkie elementy okablowania powinny być czytelnie oznaczone unikalnym numerem, po wykonaniu instalacji należ wykonać dokumentację sieci, która powinna być przechowywana i aktualizowana przez administratora sieci. Należy stosować wtyki i gniazda niekluczowane. 3.1 Topologia sieci Sieć strukturalna, jaka została wykonana w budynku opiera się na topologii gwiazdy rozszerzonej. strona 16/16

17 Rysunek 1. Topologia sieci Topologia gwiazdy rozszerzonej polega na tym że od głównego punktu dystrybucyjny MDF który znajduje się na II piętrze jest rozprowadzany sygnał poprzez okablowanie pionowe do pośrednich punktów IDF które znajdują się na I piętrze, parterze. Przy każdym punkcie dostępowym zamocowana jest skrzynka zapasu kabla która mieści 30 m nadmiaru kabla. Drugi budynek i magazyn są połączone drogą radiową. Od punktów dystrybucyjnych do stanowisk abonenckich kabel jest rozprowadzany poprzez okablowanie poziome. Ilość gniazdek na poszczególnych piętrach: Budynek I (załącznik nr 6) Parter 12 I piętro 40 II piętro 48 Budynek II (załącznik nr 7) Parter 64 Magazyn (załącznik nr 8 ) Parter Technika światłowodu Zasada działania światłowodu polega na użyciu dwóch materiałów przewodzących światło o różnych współczynnikach załamania. Współczynnik załamania w rdzeniu strona 17/17

18 jest nieco wyższy niż w płaszczu. Promień świetlny przemieszcza się cały czas w rdzeniu ponieważ następuje całkowite wewnętrzne odbicie: promienie odbija się od płaszczyzny przejścia rdzenia do płaszcza. Wokół płaszcza znajduje się izolacja ochronna. Rysunek 2. Schemat działania światłowodu 3.3 Okablowanie poziome Do okablowania poziomego został użyty światłowód 4-żyłowy (załącznik nr 11) 62,5/125 w luźnej tubie 0,9 mm. Kabel jest przeznaczony do instalacji okablowania strukturalnego, w których włókna zakańczane są pigtail ami (załącznik nr 12). Według normy ISO/IEC włókna G50/125 spełniają wymagania OM2, natomiast włókna G62,5/125 spełniają wymagania OM1. Światłowód wielomodowy (4żyłowy) 62,5/125 został połączony spawem mechanicznym z pigtai lem. Na każdym panelu światłowodowym umocowana jest uniwersalna kaseta światłowodowa, która chroni i zapewnia uporządkowanie pigtail i i spawów mechanicznych. Światłowód z obu stron zakończony jest pigtail em. strona 18/18

19 Rysunek 3. Spawy mechaniczne Uzyskanie jak najmniejszych strat (od 0,5 do 3 db) wymaga precyzyjnej obróbki mechanicznej elementów złączki, prawidłowego osiowania włókna i czystości łączonych powierzchni. Kable prowadzone są na zgięciu pod kątem 90 o i ukryte w korytkach które zapewniają ochronę jak i wpływają na estetykę pomieszczeń. Rozmiary użytych korytek: Korytko 14x14 (biały) Korytko 20x14 (biały) Korytko 20x18 (biały) Korytko 35x14 (biały) Korytko 35x18 (biały) Korytko 40x25 (biały) Schemat przebiegu światłowodu (załącznik nr 6) (załącznik nr 7) (załącznik nr 8) strona 19/19

20 3.4 Okablowanie pionowe Do okablowania pionowego podobnie jak w okablowaniu poziomym został użyty ten sam kable światłowodowy 4-żyłowy 62,5/125 w luźnej tubie 0,9 mm. Tabela 1. Odległości transmisji wg IEEE 802.3z. Rodzaj Długość Średnica Szerokość Odległość medium fali włókna pasma maksymalna Tłumienie Jednostka - nm µm Mhz*km m db 1000Base-SX ,37 50 światłowód (1 3, wielomodowy (2 2,38 62, (3 2, Base-LX światłowód , , wielomodowy 62, ,35 światłowód ,57 jednomodowy Przykładowy schemat okablowania pionowego: Rysunek 4. Schemat okablowania pionowego strona 20/20

21 Maksymalna długość trasy kabli pionowych zależy od rodzaju kabla. Tabela 2. Maksymalne długości Nośnik Długość 100Ω UTP 800 m 150Ω STP 700 m światłowód MM 62.5/125 µm 2000 m Do przejścia pomiędzy piętrami stosuje się rękaw bądź szyb stosowany jest w prowadzeniu kabli między piętrami. MOD-TAP zaleca rękawy o średnicy co najmniej 10 cm - mogą one wystawać na długość w zakresie od 2.5 cm do 10 cm powyżej płaszczyzny podłogi. Natomiast minimalny wymiar szybu (prostokątny otwór) powinien wynosić 15 cm x 22.5 cm. Rękaw Szyb Rysunek 5. Rękaw i szyb do przejścia pomiędzy piętrami strona 21/21

22 Tabela 3. Minimalne liczby i wymiary rękawów i szybów w zależności od powierzchni piętra, obsługiwanego przez dane okablowanie: Wymagania dla rękawów Powierzchnia piętra (m 2 ) Liczba rękawów do 4, ,500 do 9, ,000 do 28, ,000 do 45,000 5 Wymagania dla szybów Powierzchnia piętra Rozmiar otworu (cm) obsługiwanego przez przejście (m 2 ) do 23, x 23 23,000 do 50, x 46 50,000 do 90, x 51 90,000 do 130, x ,000 do 185, x 61 Pionowe kable muszą być mocowane na trasie swego przebiegu, jeżeli ich trasa obejmuje więcej niż dwa piętra lub gdy kable są wyjątkowo ciężkie (np. wieloparowe kable miedziane). Jedna metoda mocowania kabla, to zastosowanie specjalnej żyły podtrzymującej, ułożonej po całej trasie kabla między najwyższym piętrem i piwnicą. Kabel należy połączyć z tą żyłą podtrzymującą co 90 cm, przy czym na jedno piętro powinny przypadać minimum trzy punkty wiązania. Kabel jest najczęściej przytwierdzony stalowym uchwytem. Aby zlikwidować naprężenia na najwyższym odcinku kabla, należy przytwierdzić kabel uchwytem Kellum (pleciony kołnierz) lub podobnym. Uchwyt Kellum musi obejmować minimum 30 cm długości kabla tuż poniżej najwyżej położonego zgięcia. W niektórych sytuacjach montażowych żyła podtrzymująca nie jest konieczna, ale zawsze należy mocować pionowe przebiegi kabla. Można to zrealizować w następujący sposób: strona 22/22

23 1. Umieścić obręcz kołnierzową dookoła kabla w miejscu, gdzie przechodzi on w dół przez szyb lub rękaw 2. Ułożyć obręcz kołnierzową na krawędzi otworu w taki sposób, aby obręcz podtrzymywała ciężar kabla na tym piętrze 3. Przywiązać kable na trasie pomiędzy podtrzymującymi obręczami do innych elementów podtrzymujących na każdym piętrze. Obręcz kołnierzowa Rysunek 6. Obręcz kołnierza Jeżeli nie wykona się właściwej konstrukcji do podtrzymywania kabla pionowego na długości trasy jego przebiegu, to może nastąpić uszkodzenie wewnętrznych elementów kabla (włókien światłowodowych, przewodników miedzianych). Mocne zaciśnięcie kabla światłowodowego (uchwytem, krawatką) powoduje duże tłumienie lub trwałe uszkodzenie włókien. 3.5 Numeracja gniazdek Numeracja gniazdek (załącznik nr 10) została naniesiona na plany i wygląda następująco: pierwsza cyfra to nr budynku druga cyfra to nr piętra w tym przypadku jest to parter trzecia cyfra to nr pokoju czwarta cyfra to nr panelu piąta cyfra to nr gniazda w panelu strona 23/23

24 szósta cyfra to nr gniazdka W celu zwiększenia porządku żyły światłowodu czerwony i zielony są przyporządkowane parzystym nr gniazdka, a niebieski i żółty przyporządkowany nieparzystym nr gniazdka. Ta sama zasada tyczy się panelu światłowodowego. Kable zostały ponumerowane zgodnie z przyjętymi ustaleniami. 3.6 Elementy pasywne MDF znajduje się na drugim piętrze w pierwszym budynku. Główny punkt dystrybucyjny, zorganizowany w szafie serwerowej (załącznik nr 13) MODBOX III, 19 o pojemności 42U o wymiarach 800x1000 i 42U 800x800. Szafy, wyposażone zostały w odpowiedni osprzęt elektryczny oraz wentylatory z filtrem, wydmuchujące powietrze na zewnątrz, co pozwoli poprzez stworzenie podciśnienia, na lepszą ochronę zainstalowanego w nich sprzętu przed zanieczyszczeniami mechanicznymi. Szafy stoją na cokole (załącznik nr 14), który zapewnia lepszą wentylacje jak i wprowadzenie kabli od dołu. Dwa ups y pozwalają na jedną godzinę pracy podczas pełnego obciążenia serwerów. Trzeci ups zapewni zasilanie części sprzętu aktywnego. Każdy panel światłowodowy połączony jest ze switch em kablem krosowym mt-rj (załącznik nr 15) W skład MDF wchodzą: panele światłowodowe 12 (załącznik nr 16) (5 szt.) panele światłowodowe 6 (załącznik nr 17) (1 szt.) switch (6 szt.) UPS (załącznik nr 18)(3 szt.) Serwery (3 szt.) Listwy zasilające (załącznik nr 19) (7 szt.) VPN (1 szt.) Firewall (2 szt.) Ruter wewnętrzny (1 szt.) Hot Spot (1 szt.) Ruter NAT (szt.) strona 24/24

25 Ruter NAT zapasowy (1 szt.) Panel 19' z wieszakami (załącznik nr 20) (5 szt.) accesspoint IDF znajdują się: budynek I parter (14U) i pierwsze piętro (24U) budynek II (42U) magazyn 24U W skład IDF ów wchodzą: panele światłowodowe 12 (12 szt.) panele światłowodowe 6 (3 szt.) switch (10 szt.) VNP (2 szt.) Listwy zasilające (8 szt.) Panel 19' z wieszakami (12 szt.) Accesspoint (2 szt.) Szczegółowy plan rozmieszczenia urządzeń w szafach został przedstawiony w (załącznik nr 9) 3.7 Testowanie okablowania poziomego i pionowego Do testowania został użyty miernik tłumienia optycznego FLT4. Do sprawdzenia torów światłowodowych w systemie okablowania strukturalnego wymagane są następujące parametry: Długość; Tłumienie; Pomiar parametrów tych musi być zrealizowany w dwóch oknach transmisyjnych i w obu kierunkach dla każdego włókna światłowodowego. Dla światłowodów wielomodowych są to okna 850 i 1300 nm, a dla światłowodów strona 25/25

26 jednomodowych 1310 i 1550 nm. Odpowiednie wielkości parametrów, które muszą być spełnione aby można było transmitować dane z szybkością gigabitową w okablowaniu strukturalnym podane są w tabeli: Tabela 4. Odległości transmisji wg IEEE 802.3z. Rodzaj Długość Średnica Szerokość Odległość medium fali włókna pasma maksymalna Tłumienie Jednostka - nm µm Mhz*km m DB 1000Base-SX ,37 50 światłowód (1 3, wielomodowy (2 2,38 62, (3 2, Base-LX światłowód , , wielomodowy 62, ,35 światłowód ,57 jednomodowy Oprócz wymagań jakie narzuca protokół Ethernet 1000Base-x na okablowanie strukturalne, istnieją ścisłe zalecenia odnośnie długości poszczególnych segmentów okablowania strukturalnego, określone w normie europejskiej EN 50173: całkowita długość okablowania poziomego niezależnie od zastosowanego medium transmisyjnego nie może przekroczyć 90 metrów, a sumaryczna długość kabla krosowego, kabla stacyjnego oraz kabla przyłączeniowego do sprzętu aktywnego nie może przekroczyć 10m; długość okablowania pionowego budynku nie powinna przekraczać 500 metrów, a okablowania pionowego międzybudynkowego 1500 metrów, co w sumie daje 2000 metrów. Odległość tą można zwiększyć do 3000 metrów, w przypadku gdy zostanie zastosowany światłowód jednomodowy. strona 26/26

27 Norma EN zaleca również, jakiego typu media transmisyjne powinno się stosować w poszczególnych segmentach systemu okablowania: Tabela 5. Zalecane media w poszczególnych segmentach sieci Segment Medium Przewidywane użytkowania Skrętka Głos i dane Okablowania poziome Światłowód Dane Okablowanie pionowe Skrętka Głos i wolne aplikacje danych Budynku Światłowód Szybkie aplikacje danych Okablowanie pionowe Światłowód Zalecane Międzybudynkowe Skrętka W wyjątkowych wypadkach Tabela 6. Zalecane typy kabla w poszczególnych segmentach sieci. Segment Kable zalecane Kable dopuszczalne skrętka 120 Ω lub STP 150 czteroparowa skrętka 100 Ω Ω Okablowanie poziome światłowód wielomodowy światłowód wielomodowy 62,5/125 50/125 Okablowanie pionowe światłowód wielomodowy światłowód jednomodowy 62,5/125 skrętka 120 Ω lub STP 150 czteroparowa skrętka 100 Ω Ω Projektując system okablowania strukturalnego należy wziąć pod uwagę zarówno zalecenia norm, jak i wymagania jakie są narzucane przez konkretne protokoły transmisyjny, które są często bardziej rygorystyczne w szczegółach niż normy ogólne. Szczegółowych informacji na udzielają producenci systemów okablowania strukturalnego oraz producenci sprzętu aktywnego. Testowanie zostało przeprowadzone pomiędzy MDF i IDF jak i poszczególnymi stanowiskami abonenckimi. Zarówno w okablowaniu pionowym jak i poziomym tłumienie zmieściło się w normach. strona 27/27

28 4 Osprzęt aktywny Sieć komputerowa w firmie Saturnet została podzielona na dwie części. Pierwszą z nich jest strefa przeznaczona na usługi dostępne z Internetu (Strefą DMZ) Jest to odrębny obszar sieci przedsiębiorstwa dostępny z Internetu, a oddzielony od pozostałej części intranet-u za pomocą firewalli. DMZ zawiera zasoby sieci, które są udostępniane zwykłym użytkownikom z zewnątrz serwery WWW, FTP, SMTP, itd. Odseparowanie DMZ od sieci wewnętrznej zwiększa bezpieczeństwo systemu. Drugą częścią sieci jest sieć prywatna do której nie ma możliwości dostania się z Internetu. W sieć tą są podłączeni użytkownicy przedsiębiorstwa oraz jest uruchomiony serwer dla usług wewnętrznych niedostępnych z sieci Internet. 4.1 Schemat logiczny strefy DMZ i MDF Załącznik nr 1 strona 28/28

29 4.2 Strefa DMZ Strefa DMZ jest połączona na przełączniku niezarządzalnym firmy 3Com 3C16470 (załącznik nr 21), który należy do podstawowych przełączników tej firmy. Firma 3Com należy do głównych producentów aktywnych urządzeń sieciowych na świecie i dzięki zastosowaniu najlepszych materiałów w swych urządzeniach udziela na nie dożywotniej gwarancji Dostęp do Internetu Na wejściu do strefy DMZ z internetu zastosowano ruter firmy BINTEC (załącznik nr 1), który umożliwia podłączenie równoczesne dwóch łączy internetowych. Dzięki takiemu zastosowaniu nie musimy się martwić gdy na głównym łączu internetowym w firmie nastąpi awaria gdyż ruter zacznie korzystać z łącza zapasowego. Konfiguracja adresów IP dla rutera: Adres IP połączeniowy (WAN1): /30 Adres IP połączeniowy(wan2): /30 Adres IP (LAN): /29 Serwery DNS: Ruter BINTEC (załącznik nr 22) ma także skonfigurowany firewall. Firewall służy podniesieniu bezpieczeństwa i ochronie zasobów sieciowych wydzielonej sieci podlegającej ochronie. Pośredniczy w komunikacji hostów należących do chronionej sieci z Internetem. strona 29/29

30 Polityka dla łańcucha input jest ustawiona na zabroń. Pozostałe porty są przepuszczane wg poniższej tabelki: Tabela 7. Adresy portów obsługiwanych usług Lp Adres IP publiczny Nazwa Port usługi http ftp 21 Ssh 22 Smtp 25 WWW 80 Pop3 110 https Dns 53 Proxy http 80 Konfiguracja serwerów, ruterów w strefie DMZ Aby serwer znajdujące się w strefie DMZ mogły prawidłowo się komunikować z siecią Internet muszą mieć odpowiednio skonfigurowane karty sieciowe wraz z protokołem TCP/IP Konfiguracja karty sieciowej dla serwera sat01.saturnet.pl: Adres IP: /29 Brama: Serwery DNS: Konfiguracja karty sieciowej dla serwera sat02.saturnet.pl: Adres IP: /29 Brama: Serwery DNS: strona 30/30

31 Konfiguracja sieci wewnętrznej. Szkielet sieci wewnętrznej jest oparty na switchu firmy 3 Com SuperStack 3 Switch 4400 (3C17222), (załącznik nr 23), który jest uniwersalnym rozwiązaniem dla połączeń światłowodowych. Dzięki jego stosunkowo niskiej cenie w porównaniu do możliwości, niskiej awaryjności oraz dożywotniej gwarancji którą firma 3Com zapewnia przez 5 lat od zakończenia produkcji w/w produktu, switch ten jest idealnym rozwiązaniem dla naszej firmy. Jako dodatkowy atut można wymienić także możliwość łączenia do 8 tego samego typu (seria 4400) w stack. Moduł stack umożliwia pełną integrację switch-y umieszczonych w obrębie jednego punktu. SuperStack 3 Switch 4400 (3C17222) ma możliwość instalacji dodatkowych modułów w postaci kart umieszczonych w tylniej części przełącznika. Do podłączenia urządzeń które posiadają wyjście RJ45 zastosowaliśmy Mediakonwentery FX RJ45-MTRJ firmy D-Link DMC-300M. (załącznik nr 24) Konfiguracja MDF Tabela 8. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość Uwagi 1 3Com SuperStack 3 Switch załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch Załącznik nr 26 Extender Kit (3C17228) 3 3Com SuperStack 3 Switch Załącznik nr Base-SX Module MT-RJ (3C17221) 4 D-Link Mediakonwenter FX RJ45- MTRJ 2 załącznik nr 24 Przełączniki te są w pełni zarządzany dzięki czemu mamy możliwość w pełni kontrolowania ruchu który się odbywa w naszej sieci. Przełączniki te mają także możliwość skonfigurowania wirtualnych sieci prywatnych (VLAN). strona 31/31

32 Konfiguracja VLAN W celu zabezpieczenia naszej sieci przed nadmiernym ruchem postanowiliśmy podzielić naszą sieć na sieci wirtualne. (załącznik nr 45) Sieć wirtualna (ang. Virtual Local Area Network, VLAN) jest siecią komputerową wydzieloną logicznie w ramach innej, większej sieci fizycznej. Do tworzenia VLAN-ów wykorzystuje się konfigurowalne lub zarządzalne przełączniki, umożliwiające podział jednego fizycznego urządzenia na większą liczbę urządzeń logicznych, poprzez separację ruchu pomiędzy określonymi grupami portów. Komunikacja między VLANami jest możliwa tylko wtedy, gdy w VLAN-ach tych partycypuje port należący do routera. W przełącznikach konfigurowalnych zwykle spotyka się tylko najprostszą formę VLAN-ów, wykorzystującą separację grup portów. W przełącznikach zarządzalnych zgodnych z IEEE 802.1q możliwe jest znacznikowanie ramek (tagowanie) poprzez doklejenie do nich informacji o VLAN-ie, do którego należą. Dzięki temu możliwe jest transmitowanie ramek należących do wielu różnych VLANów poprzez jedno fizyczne połączenie. W przypadku urządzeń zgodnych z ISL ramki są kapsułkowane w całości. Konfiguracja sieci VLAN Tabela 9. Sieci wirtualne Lp Nazwa VLAN Dział Tryb dostępu 1 VLAN1 Księgowość Wszyscy do wszystkich 2 VLAN2 Zarząd Wszyscy do wszystkich 3 VLAN3 Dział IT Wszyscy do wszystkich 4 VLAN4 Dział handlowy Wszyscy do wszystkich 5 VLAN5 Serwer Wszyscy do jednego sat03.saturnet.pl 6 VLAN6 Internet Wszyscy do jednego 7 VLAN7 Magazyn / serwis Wszyscy do wszystkich 8 VLAN8 Kadry Wszyscy do wszystkich 9 VLAN9 Marketing Wszyscy do wszystkich 10 VLAN10 Agencja reklamowa Wszyscy do wszystkich strona 32/32

33 Dostęp do Internetu Za oddzielenie sieci prywatnej od strefy DMZ odpowiada ruter BINTEC (załącznik nr 25) Ruter ten zawiera w sobie również system firewall który separuje sieć prywatną od strefy DMZ. Polityka łańcucha INPUT ustawiona jest na zabroń. Konfiguracja dla rutera wewnętrznego: Adres IP (WAN): /29 Adres IP (LAN): Brama: Serwery DNS: Połączenie VPN W celu zapewnienia bezpieczeństwa podczas komunikacji między budynkami zastosowano szyfrowanie łącza za pomocą Rutera z wbudowanym VPN-em firmy BINTEC (załącznik nr 25). Dzięki takiemu rozwiązaniu mamy pewność iż nasze połączenie bezprzewodowe jest zabezpieczone przed niepowołanym dostępem. Konfiguracja dla VPN MDF: Adres IP: Adres IP (VPN): Brama: Serwery DNS: Szyfrowanie IPsec 256 bit Konfiguracja dla serwera sat03.saturnet.pl Adres IP: /24 Brama: Serwery DNS: strona 33/33

34 Konfiguracja IDF (I piętro budynek 1) Schemat logiczny sieci I piętro (załącznik nr 3) Tabela 10. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość Uwagi 1 3Com SuperStack 3 Switch załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch Załącznik nr 26 Starter Kit (3C17227) 3 3Com SuperStack 3 Switch Załącznik nr Base-SX Module MT-RJ (3C17221) Konfiguracja IDF (parter budynek 1) Schemat logiczny sieci parter (załącznik nr 2) Tabela 11. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość Uwagi 1 3Com SuperStack 3 Switch załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch Załącznik nr Base-SX Module MT-RJ (3C17221) strona 34/34

35 Konfiguracja IDF (Budynek 2) Schemat logiczny sieci budynek 2 (załącznik nr 4) Tabela 12. Konfiguracja urządzeń sieciowych IDF Budynek 2 Lp Urządzenie Ilość Uwagi 1 3Com SuperStack 3 Switch załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch Załącznik nr 26 Starter Kit (3C17227) 3 D-Link Mediakonwenter FX RJ45- MTRJ 2 załącznik nr 24 Konfiguracja dla VPN: Adres IP: Adres IP (VPN): Brama: Serwery DNS: Szyfrowanie IPsec 256 bit Konfiguracja Ruter firewall do sieci HotSpot Do zabezpiecznia sieci wewnętrznej przed niepowołanym dostępem z sieci Hot Spot zastosowano ruter BINTEC (załącznik nr 25) Konfiguracja dla rutera: Adres IP (WAN): Adres IP (LAN): Brama: Serwery DNS: strona 35/35

36 Tabela 13. Konfiguracja Firewall-a. Domyślna polityka dla łańcucha INPUT i FORWARD jest ustawiona na zabroń. Sieć (adres) Port Łańcuch działanie INPUT Pozwól Forward Pozwól Forward Pozwól Forward Pozwól Forward Pozwól Forward Pozwól Konfiguracja IDF (Budynek 3) Schemat logiczny sieci budynek 3 (załącznik nr 5) Tabela 14. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość Uwagi 1 3Com SuperStack 3 Switch załącznik nr 23 (3C17222) 3 3Com SuperStack 3 Switch Załącznik nr 26 Starter Kit (3C17227) 4 D-Link Mediakonwenter FX RJ45- MTRJ 1 załącznik nr 24 Konfiguracja dla VPN: Adres IP: Adres IP (VPN): Brama: Serwery DNS: Szyfrowanie IPsec 256 bit strona 36/36

37 5 Sieć WLAN Założenia 1) Założeniem niniejszej części projektu jest połączenie w sieć trzech obiektów budowlanych należących do firmy SATURNET. 2) Budynki zlokalizowane są w centralnej części miasta Kalisza a) Budynek1 Biurowiec: ul. Nowy Świat 54 b) Budynek2 Biurowiec: ul. Poznańska 26 c) Budynek3 Magazyn: ul. Ostrowska 5 3) Budynki 2 i 3 ze stacjami abonenckimi usytuowane są w promieniu 3km od głównego punktu dystrybucyjnego (Budynek1). 4) W celach projektu jest uzyskanie najwyższego bezpieczeństwa sieć WLAN Poniższy rysunek obrazuje schemat połączenia budynków oraz ich lokalizację Rysunek 7. Schemat połączenia budynków i ich lokalizacja strona 37/37

38 strona 38/38

39 5.1 Proponowane rozwiązania projektowe Uwzględniając potrzeby firmy zleceniodawcy i zakres świadczonych przez nią usług obiekty budowlane firmy połączono siecią bezprzewodową pracującą w paśmie 5GHz. Głównym dostawcą Internetu wybrano Telekomunikację Polską SA, która oferuje dostęp do sieci szkieletowej POLPAK łączem symetrycznym Frame Relay/ATM o przepustowości do 2 Mbit/s min. CIR 64 kbit/s Jako zapasowy dostęp do Internetu (backup) wykorzystano dotychczasowe łącze internetowe providera Netia SA Net24 Premium 640kb/s Dlaczego zdecydowano o wyborze sieci bezprzewodowej? Głównym powodem wyboru budowy sieci bezprzewodowej jest lokalizacja budynków firmy SATURNET w centralnej części miasta Kalisza. Łączenie ich światłowodem wymagałoby ogromnych nakładów lub ponoszenia wysokich comiesięcznych opłat związanych z dzierżawą infrastruktury telekomunikacyjnej u innych operatorów. Ze względu na ograniczenie tych kosztów idealnym rozwiązaniem jest posiadanie własnych łączy radiowych, które dziś nie wymagają żadnych dodatkowych zezwoleń na posiadanie takich instalacji. Dzięki temu sieci będą stanowiły jednolitą całość, a połączenia wewnątrz sieciowe nie będą wymagały żadnych comiesięcznych opłat. Zalety: pasmo 5GHz nie jest tak zakłócane jak 2,4GHz. Ponadto w paśmie 5GHz dostępna jest większa ilość niezależnych kanałów; połączenie odległych budynków bez użycia kabla; możliwość tworzenia stacji bazowych w miejscach gdzie nie ma możliwości doprowadzenia stałego łącza do Internetu; połączenie wszystkich stacji w jedną strukturę pozwala wykorzystać jedno łącze do Internetu o dużej przepustowości. Koszt dzierżawy jednego, dużego łącza jest dużo mniejszy niż kilku małych łącz; ułatwienie administracji strukturą przez jej scentralizowanie; strona 39/39

40 5.2 Struktura sieci bezprzewodowej Do stworzenia struktury sieci bezprzewodowej postanowiono wykorzystać urządzenia firmy Proxim Tsunami MP.11a z następujących powodów: duża rzeczywista przepustowość (na poziomie 22 Mbps FullDuplex); bogate możliwości konfiguracji zwiększające wydajność, bezpieczeństwo i niezawodność; praca na częstotliwościach , oraz GHz, protokół WORP - zoptymalizowany pod kątem zastosowań zewnętrznych, dużo efektywniejszy niż a Strukturę sieci przedstawiono na poniższym rysunku: Rysunek 8. Struktura sieci WLAN strona 40/40

41 Jak wynika z powyższego schematu urządzenie BSU (5054-BSUR-EU) jest głównym punktem dostępowym sieci WLAN. Do BSU dołączono antenę sektorową kryjącą swoim zasięgiem wymagany obszar. Kąt promieniowania w płaszczyźnie poziomej anteny BSU wnosi 120 stopni, a zysk energetyczny 15dBi. Pozwoliło to na dołączenie do szkieletu sieci stacji abonenckich SU (5054-SUR-EU). Stacje SU posiadają zintegrowaną antenę panelową 23dBi. Sieć posiada łącze do Internetu (symetryczne łącze FrameRelay/ATM o przepustowości 2Mb/s, CIR 64 kbit/s). Punkt przyłączeniowy POP łącza internetowego znajduje się w (MDF) Głównym Punkcie Dystrybucyjnym sieci. 5.3 Opis systemu tsunami mp.11a. Tsunami MP11.a jest systemem punkt - wielopunkt przeznaczony do budowy rozległych sieci bezprzewodowych WWAN (Wireless Wide Area Networks) w paśmie wolnym od opłat licencyjnych: 5,47-5,725GHz. Umożliwia w prosty sposób rozszerzenie sieci lokalnej, tworzyć sieć radiową o zasięgu nawet do 12km w promieniu od stacji bazowej. Przeznaczony jest dla wielu zastosowań takich jak transmisja danych, szerokopasmowy dostęp do Internetu czy monitoring wizyjny. Pozwala również na szybkie i ekonomiczne tworzenie połączeń między sieciami korporacyjnymi. Tsunami MP11.a posiada Certyfikat Zgodności wydany przez Laboratorium Badań Radiokomunikacyjnych Instytutu Łączności w Polsce oraz Europejski Certyfikat Zgodności wydany przez ETSI. System Tsunami MP11.a składa się ze Stacji Bazowej (BSU) oraz Stacji Klienckich SU i RSU. Stacja kliencka RSU może obsługiwać maksymalnie 8 stacji użytkowników, natomiast stacja SU nie ma ograniczeń w ilości obsługiwanych użytkowników. Najbardziej wyróżniającą Tsunami MP11.a cechą jest jego protokół WORP (Wireless Outdoor Router Protocol): jest on opracowany przez Proxima i nie jest kompatybilny z protokołami Wi-Fi. Protokół WORP znacznie odróżnia się od protokołów stosowanych w sieciach WLAN; jest znacznie bardziej wydajny, umożliwia sterowanie przepustowością na każdym interfejsie radiowym, oraz strona 41/41

42 eliminuje problem ukrytych stacji. Stacja bazowa (BSU) kolejno odpytuje wszystkie swoje Stacje Klienckie o żądania dostępu do medium, dzięki czemu nie występuje zjawisko rywalizacji o medium znane z protokołu Polling (kolejne odpytywanie stacji klienckich) zapewnia stały dostęp do medium każdej ze stacji, która w określonym czasie prześle do bazy swoje zbuforowane pakiety. Oprócz mechanizmu pollingu w Tsunami stosowane są technologie fragmentacji oraz superpakietowania" ramek, polegające na analizowaniu ruchu przechodzącego przez interfejs radiowy i takiego dzielenia oraz łączenia ramek, aby zawsze była przesyłana pełna ramka WORP. W najnowszej wersji oprogramowania system Tsunami MP11.a zyskał funkcję dynamicznego wyboru szybkości transmisji danych - DDRS. Funkcja ta umożliwia automatyczny wybór prędkości transmisji w trakcie pracy systemu, dzięki czemu Administrator nie musi dobierać jej manualnie. Każdej stacji klienckiej SU może zostać przypisana własna prędkość. System umożliwia również stacjom klienckim SU przełączanie się (roaming) pomiędzy stacjami bazowymi. W przypadku awarii stacji bazowej stacje klienckie mogą zostać przełączone do innej stacji bazowej. Stacje Tsunami mogą pracować również jako routery z funkcją translacji adresów NAT. Mogą również pełnić funkcję serwerów DHCP. Dzięki temu poprzez pojedynczą stację RSU można łatwo przyłączyć sieć lokalną w małej firmie do szkieletu Tsunami. Uruchomienie systemu w terenie jest dużo łatwiejsze dzięki narzędziu "Antenna Alignment". Wyświetla ono dane o poziomie sygnału (z szybkością odświeżania poniżej 1sec.) na ekranie laptopa podłączonego do stacji poprzez Telnet lub połączenie terminalowe RS-232. Narzędzie to ułatwi inżynierom instalującym urządzenia optymalne ustawienie anten w terenie. Tsunami MP11.a może pracować w dwóch trybach. W pierwszym z nich, system jest niewidoczny dla użytkowników sieci i pełni funkcję klasycznego mostu radiowego między poszczególnymi segmentami sieciami. W drugim trybie Tsunami MP.11a pełni strona 42/42

43 rolę bezprzewodowego routera. W obydwu trybach możliwe jest sterowanie przepływnością na każdym z interfejsów radiowych. Z najnowszą wersją oprogramowania Tsunami MP11.a może obsługiwać transmisją danych pomiędzy 250 stacjami klienckimi SU/RSU. Umożliwia również blokowanie komunikacji pomiędzy poszczególnymi stacjami klienckimi, przez co użytkownicy stacji klienckich Tsunami nie mogą komunikować się bezpośrednio ze sobą. Możliwe jest stworzenie do 16 grup stacji klienckich, wewnątrz których możliwa jest komunikacja między stacjami (otoczenie sieciowe), przy czym jedna stacja może należeć do wielu grup. Jest to funkcjonalność z zasady działania podobna do VLAN, dla którego to protokołu sieć Tsunami jest przeźroczysta. Stosowanie tych mechanizmów zwiększa poziom bezpieczeństwa przesyłanych informacji oraz zapewnia utrzymanie wysokiej przepustowości. 5.4 Zabezpieczenie odgromowe urządzeń radiowych Wszystkie budynki na których zamontowano urządzenie radiowe posiadają instalację piorunochronną. strona 43/43

44 Dodatkowo w celu ochrony anten przed bezpośrednim wyładowaniem piorunowym wykorzystano zwód pionowy z przewodem w izolacji wysokonapięciowej. Zastosowano przewody HVI (High Voltage Insulated) produkowane przez firmę DEHN. Przewody te posiadają izolację wysokonapięciową pokrytą warstwą półprzewodzącą i można je stosować w przypadku konieczności układania przewodów odgromowych obok uziemionych, przewodzących instalacji lub urządzeń. Tabela 15. Podstawowe parametry przewodu HVI [10] Parametr Równoważny odstęp bezpieczny Średnica zewnętrzna Minimalny promień gięcia Temperatura montażu przewodu Maksymalne naciski Wewnętrzny przewód Zewnętrzne pokrycie Wartość 0,75 m powietrze, 1,5 m dielektryk stały 20,0/23,0 mm 200 mm >0 C 950 N 19 mm 2 Cu Czarny lub szare PCV 5.5 Bezpieczeństwo sieci radiowej W celu uzyskania najwyższego bezpieczeństwa sieci WLAN zastosowano zabezpieczenia konfiguracyjne, programowe i sprzętowe. w celu zabezpieczenia sieci WLAN zastosowano urządzenia VPN włączono obsługa tuneli VPN dla każdego interfejsu z wykorzystaniem IPSec w celu zabezpieczenia sieci wewnętrznych włączono szyfrowanie dla wszystkich Access Pointów użyto szyfru AES (Advanced Encryption Standard) do zabezpieczenia sieci strona 44/44

45 szyfrowanie AES odbywa się z wykorzystaniem cyfrowych certyfikatów (PKI X.509), IKE z automatyczną i manualną wymianą kluczy użyto kluczy 128-bitowych i haseł na wszystkie interfejsy zmieniono wszystkie domyślne hasła nazwę sieci zmieniono na przypadkowy ciąg znaków i traktuje się je jako hasło dzięki czemu podsłuchiwacz nie powiąże od razu nazwy sieci z nazwą firmy sieć posiada zabezpieczenie typu firewall 5.6 Pomiary powykonawcze linków radiowych Przeprowadzono test, którego celem była ocena jakości połączeń bezprzewodowych w paśmie 5 GHz uzyskiwanych z wykorzystaniem najnowszych anten 5GHz produkcji firmy PROXIM. Lokalizacja punktu pomiarowego "A". Kalisz Ul. Nowy Świat 54 Urządzenie Proxim Tsunami MP11a BSU zostało podłączone do anteny kierunkowej MARS 15 dbi/120 pracującej w paśmie 5GHz przy użyciu 10-cio metrowego kabla H Antena została zamocowana na wysokości ok. 15m. Zestawienie Proxim Tsunami MP11a BSU MARS 15dBi/5GHz 10 metrów kabla H-1000 wysokość montażu anteny: 15 metrów od poziomu gruntu strona 45/45

46 Lokalizacja punktu pomiarowego "B" Kalisz Ul. Poznańska 26 ( w odległości 3000 metrów w lini prostej od punktu "A") Urządzenie Proxim Tsunami MP11a RSU podłączone dwu-metrowym kablem H-1000 do anteny PANEL 23dBi Lokalizacja punktu pomiarowego "C" Kalisz Ul. Ostrowska 5 (w odległości 3000 metrów w lini prostej od punktu "A") Urządzenie Proxim Tsunami MP11a RSU podłączone dwu-metrowym kablem H-1000 do anteny PANEL 23dBi Zestawienie Proxim Tsunami MP11a RSU Antena 23dBi/5GHz Zestawienie Proxim Tsunami MP11a RSU Antena 23dBi/5GHz 6 Serwery W firmie SATURNET zainstalowano 3 serwery: serwer WWW i FTP, na którym znajdują się strony WWW firmy oraz udostępniania plików, tak aby dostęp do nich posiadali także użytkownicy znajdujący się poza siedzibą firmy; serwer zapewniający usługę poczty elektronicznej; na serwerze DATABASE umieszczone zostały bazy danych firmy SATURNET. Przewidziany został znaczny ruch w strefie DMZ, dlatego na serwery WWW oraz MAIL FTP wybrano szybkie i wydajne stacje serwerowe firmy Sun Microsystems z serii SUN Fire, które dostosowane zostały do potrzeb firmy Jednostki te oferują bardzo długi czas bezawaryjnej pracy, zaspokajające obecne potrzeby firmy SATURNET. Dodatkowym atutem decydującym o wyborze powyższych modeli serwerów jest możliwość ich znacznej rozbudowy i tym samym możliwość dostosowania do przyszłych potrzeb i wymagań firmy. Serwery te mogą pracować na wielu platformach systemowych obsługujących serwery. strona 46/46

47 6.1 Uzasadnienie wyboru Do głównych zalet serwerów firmy Sun Microsystems niewątpliwie można zaliczyć to, iż jest wykonany w architekturze 64 bitowej, co bezpośrednio skutkuje nie tylko większą wydajnością lecz również rozszerzoną adresacją. Bowiem w trybie 32 bitowym system dla jednej aplikacji mógł zaadresować maksymalnie 4 GB pamięci, architektura 64 bitowa uwalnia nas od tych ograniczeń. Dodatkową zaletą nowej architektury jest natywna obsługa aplikacji 32 bitowych. W przeciwieństwie do innych procesorów, które tryb 32 bitowy tylko emulują, procesory AMD Opteron mają możliwość pełnego, sprzętowego przełączania się pomiędzy pracą w trybie 32 i 64 bitowym. Dzięki tym funkcjom są one wydajniejsze od innych procesorów takich jak np.: Itanium firmy Intel zarówno w trybie 32 jak i 64 bitowym. Ponadto procesory AMD Opteron w połączeniu z architekturą HyperTransport pozwalają na uzyskanie wydajności porównywalnej lub nawet wyższej, niż zapewniają najnowsze procesory Intel Xeon w trybie 32 bitowym. Wewnątrz serwera Sun Fire V20, oprócz maksymalnie dwóch procesorów Opteron, z których każdy wyposażony jest w 1 MB pamięci podręcznej cache L2 możemy zainstalować dwa napędy dyskowe 36 lub 73 GB Ultra320 SCSI z modułem obsługującym RAID1 oraz 16 GB pamięci RAM typu DDR1/333 ECC. Moduły dyskowe pracują w trybie hot-swap i są dostępne od przodu natomiast pamięć RAM obsługuje technologię ChipKill tzn. umożliwia ciągłą pracę serwera nawet w przypadku pojedynczej awarii układu scalonego wchodzącego w skład modułów pamięci. Podobnie jak w procesorach SPARC, procesory Opteron posiadają zintegrowane moduły obsługi pamięci, dlatego każdy procesor zarządza czterema modułami pamięci. Niewątpliwą zaletą tych serwerów jest wydajność, procesor strona 47/47

48 komunikuje się z zarządzaną przez siebie pamięcią z przepustowością 5,33 GB/sec, co daje zagregowaną przepustowość układów pamięci na poziomie przeszło 10 GB/s. Pozostałe szyny komunikacyjne również oferują imponującą przepustowość. Zarówno komunikacja procesor-procesor jak i procesor - układ I/O odbywa się dzięki wykorzystaniu technologii HyperTransport z prędkością 3,2 GB/s 6.2 Zdalne zarządzanie Zdalne zarządzanie serwerami w/w firmy odbywa się z wykorzystaniem linii komend jak i standardów SNMP i IPMI v. 1.5 poprzez niezależny moduł zarządzający wyposażony w procesor systemowy. Dostęp do procesora systemowego umożliwiają dwa porty - port szeregowy i dedykowany port sieciowy. Takie rozwiązanie umożliwia łączenie ze sobą serwerów firmy Sun Microsystems i eliminuje konieczność stosowania dodatkowego przełącznika sieciowego lub wydzielania dedykowanej sieci VLAN do zarządzania. Stan poszczególnych elementów opisywanego serwera można każdorazowo monitorować przy pomocy wyświetlacza LCD umieszczonego na panelu frontowym. Serwer posiada wszystkie niezbędne interfejsy w tym złącze HD-15 do obsługi monitora, porty PS/2 dla klawiatury i myszy oraz port USB. Komunikacja sieciowa jest realizowana za pomocą dwóch wbudowanych miedzianych interfejsów sieciowych w standardzie 10/100/1000. Ten niewielkich rozmiarów serwery posiadają również zupełnie wystarczające możliwości rozbudowy w postaci dwóch szybkich złączy PCI-X odpowiednio 133 MHz i 66 MHz i są standardowo wyposażone w napęd FDD i CD-ROM z opcją wymiany CD-ROM na DVD-ROM. 6.3 Oprogamowanie producenta Naprawdę udana architektura serwerów Sun Microsystems powoduje, iż warto się zastanowić nad oprogramowaniem, które może być na nim uruchamiane. W tej dziedzinie jest również o krok do przodu przed konkurencją oferując całe spektrum rozwiązań internetowych i intranetowych na platformę x86 w postaci pakietu Sun Java Enterprise System. W oparciu o serwery typu Sun Fire oraz oprogramowanie Sun Java Enterprise System możemy stworzyć wysokowydajny i optymalny kosztowo system pocztowy, kalendarz korporacyjny, zdalny szyfrowany dostęp do zasobów sieci korporacyjnej czy też usługi katalogowe. Dodatkowo serwer może być wykorzystywany jako firewall i to bez żadnych dodatkowych opłat przy wykorzystaniu darmowego oprogramowania Sun Screen, które jest dostarczane razem z systemem strona 48/48

49 Solaris. Nowe serwery Sun Fire są odpowiedzią firmy Sun Microsystems na stale rosnące potrzeby Klientów w obszarze rozwiązań oferujących doskonały stosunek wydajności do ceny. Duża moc obliczeniowa zamknięta w obudowie 1U jest pomysłem producenta na realizację wizji nisko budżetowego przetwarzania informacji tzw. Low Cost Computing. Wybór właściwego sprzętu i oprogramowania w połączeniu z profesjonalnym wsparciem jest gwarancją powodzenia inwestycji informatycznych dowolnej skali. 6.4 System RAID W skrócie mówiąc system RAID to kontroler urządzenia pozwalający na scalenie parzystej liczby dysków twardych w jedną całość. Dzięki temu otrzymujemy do dyspozycji "napęd", którego pojemność jest sumą rozmiarów urządzeń składowych. Macierz RAID podwaja również prędkość zapisu i odczytu informacji. Ta cecha czyni RAID wydajniejszym od interfejsu IDE. Systemy operacyjne takie jak np.: Windows czy Unix współdziałają w takim przypadku nie z jednym dyskiem, ale z zespołem dysków stanowiących dla niego jedną całość. Głównym celem stosowania systemów RAID w procesach informatycznych jest zwiększenie rzeczywistego transferu danych oraz zapewnienie bezpieczeństwa danym, które wykorzystuje się w danej chwili. RAID chroni użytkownika również przed przerwami w działaniu serwera, zabezpiecza znajdujące się na dyskach dane w wypadku uszkodzeń jednego z dysków, ale nie chroni danych przed zmazaniem przez użytkownika, kradzieżą, pożarem itp. Aby system ten był w pełni bezpieczny i funkcjonalny, należy zadbać o backup danych. 7 Oprogramowanie serwerów 7.1 Systemy operacyjne Systemy operacyjne jakie zostały przeznaczone dla serwerów w strefie DMZ to dostarczany wraz z serwerami SunFire systemy Solaris, będące komercyjną wersją systemu Unix. Poza oprogramowaniem Sun Java Enterprise System, firma Sun zintegrowała w systemie operacyjnym Solaris 9 kluczowe aplikacje korporacyjne i popularne aplikacje Open Source, m.in. Sun Java System Directory Server, Sun Java System Application Server, Solaris Volume Manager, SunScreen Firewall, strona 49/49

50 UFS, Solaris 9 Resource Manager, IPQoS, SAMBA i oprogramowanie serwerów WWW. Sun Java Enterprise System opis pakietu (załącznik 29) Sun Java Enterprise System instalacja I konfiguracja (załącznik 30) Sun Java System Application Server podręcznik administratora (załącznik 31) Systemem operacyjnym przeznaczonym do pracy na serwerze plików został system Windows Server Ponieważ było zakładane iż w firmie Saturnet pracują wykwalifikowani informatycy konfiguracja tego serwera została zostawiona bez dokładnego opisu 7.2 Serwer WWW : Apache Apache jest darmowym serwerem www ( protokołu http ) o jakości komercyjnej. Rozwijany jest przez społeczność internetowa w jednym z projektów Apache Software Foundation. Jest to bardzo zaawansowany serwer z bardzo wieloma modułami czyli z duża funkcjonalnością i bardzo dużymi możliwościami konfiguracyjnymi. Apache jest najczęściej używanym serwerem WWW, a w związku z tym bardzo łatwo można uzyskać wsparcie techniczne. Konfiguracja Głównym plikiem konfiguracyjnym jest /etc/httpd/httpd.conf/10_httpd.conf. Plik konfiguracyjny podzielony jest na dwie sekcje: Global Environment Zdefiniowane są w niej takie rzeczy jak parametry dotyczące obsługi klientów łączących się z serwerem, numeru portu na którym ma on nasłuchiwać nadchodzących połączeń, ilości procesów uruchamianych przez demona oraz wątków. Również tutaj znajdują się dyrektywy ładujące moduły skompilowane jako DSO (Dynamic Shared Object). 'Main' server configuration Jak sama nazwa wskazuje, jest to główna sekcja pliku konfiguracyjnego. Zaraz pod definicją grupy oraz użytkownika, na których będzie pracował demon znajduje się poniższa opcja. strona 50/50

51 ServerAdmin Jest to adres administratora Poniżej znajduje się opcja ServerName. ServerName sturnet.pl:80 Dosłownie jest to nazwa tego serwera. A dokładniej nazwa domenowa skonfigurowana na serwerze nazw opiekującym się domeną. Następną opcją jest DocumentRoot. Określa ona domyślny katalog w którym będzie przechowywana strona internetowa. Wpisując nazwę lub adres IP określony przez ServerName właśnie z tego katalogu zostaną pobrane i wczytane przez przeglądarkę pliki strony. DocumentRoot "/home/services/httpd/html" Domyślnie wszystkie żądania są tutaj skierowane. Następna opcja to UserDir. Definiuje ona nazwę katalogu przechowującego strony użytkowników. UserDir public_html Zgodnie z obecnym standardem tworzenia stron internetowych, domyślnym plikiem który jest automatycznie wczytywany po wpisaniu w przeglądarce adresu jest index, który w zależności od konstrukcji strony może mieć różne rozszerzenia. A więc skąd Apache wie, co ma zostać wczytane jako pierwsze? Do tego właśnie służy pakiet apache-mod_dir. Jego plikiem konfiguracyjnym jest /etc/httpd/httpd.conf/59_mod_dir.conf Poprzez dyrektywę DirectoryIndex określa się czego i w jakiej kolejności ma szukać przeglądarka. DirectoryIndex index.html index.html.var index.htm index.shtml \ index.cgi index.php Virtual Hosts - wiele nazw na jednym serwerze strona 51/51

52 Mechanizm hostów wirtualnych musi się opierać o serwer DNS dlatego, że nazwy które zostaną użyte muszą istnieć w internecie. Należy zacząć od instalacji pakietu apache-mod_vhost_alias. Po jego zainstalowaniu utworzy się plik: /etc/httpd/httpd.conf/20_mod_vhost_alias.conf. Edytując plik /etc/httpd/httpd.conf/10_httpd.conf w sekcji 'Main' server configuration tuż pod ServerName dodaje się opcję jak w poniższym przykładzie. NameVirtualHost :80 Oczywiście możemy użyć zapisu w formie domenowej analogicznie do ServerName. Po przeładowaniu serwera DNS, nowy wpis powinien już być widoczny przez większość serwerów nazw. Autoryzacja Apache udostępnia również mechanizm autoryzacji. Często używany jest aby wyodrębnić z serwisu pewną część przeznaczoną dla upoważnionych użytkowników. Uprawnienia działają na poziomie katalogów. Nie można w ten sposób chronić poszczególnych plików. Jeżeli potrzeba chronić jedynie jeden lub kilka plików, należy stworzyć w obrębie strony katalog o dowolnej nazwie i umieść je w nim. Przed przystąpieniem do konfiguracji należy zainstalować pakiet o nazwie apache-mod_auth. Zawiera on polecenie htpasswd, które służy do wygenerowania pliku z nazwą użytkownika oraz hasłem, które go identyfikuje. Konwencję nazewnictwa należy zastosować zgodnie z ogólnie przyjętą polityką bezpieczeństwa. /etc/httpd/httpd.conf/10_httpd.conf. # # The following lines prevent.htaccess and.htpasswd files from being # viewed by Web clients. # <Files ~ "^\.ht"> Order allow,deny Deny from all </Files> strona 52/52

53 Musimy określić katalog przechowywania dla tych plików. Oczywiście powinien on być osiągalny z poziomu użytkownika http na którym pracuje apache. Możemy je trzymać w /home/services/httpd. Przystępujemy do generowania. # htpasswd -c /home/services/httpd/.htdostep jan New password: Re-type new password: Adding password for user jan Nazwa użytkownika jest przechowywana w formie jawnej, natomiast hasło zostało zaszyfrowane. # cat /home/services/httpd/.htdostep jan:saewgagl6fzfy Należy ustawić odpowiednie prawa dostępu do tego pliku. # chmod 600 /home/services/httpd/.htdostep # chown http.http /home/services/httpd/.htdostep W ten oto sposób dajemy możliwość zapisu i odczytu użytkownikowi http do.htdostep. Pozostaje nam jeszcze zdefiniowanie który katalog będziemy chronić. Należy w tym celu wyedytować główny plik konfiguracyjny apache: /etc/httpd/httpd.conf/10_httpd.conf Powinniśmy zdefiniować katalog, który będziemy chronić. Robimy to sposobem przedstawionym poniżej <Directory "/home/users/jan/public_html/private"> Options Indexes FollowSymLinks Multiviews AuthType Basic AuthName "Witaj Janie, zaloguj sie." AuthUserFile /home/services/httpd/.htdostep Require valid-user </Directory> Aby ten wpis mógł zadziałać powinien być umieszczony w obrębie sekcji 'Main' server configuration. Po zakończeniu edycji należy zrestartować demona poleceniem # /etc/rc.d/init.d/httpd restart strona 53/53

54 Obsługa skryptów PHP Ze względu na dużą funkcjonalność język PHP stał się już w zasadzie pewnym standardem w tworzeniu interaktywnych stron internetowych. Współczesne serwisy wykorzystują m. in. bazy danych, dlatego zostanie również opisane jak taką obsługę zapewnić. Przeglądając listę dostępnych do zainstalowania pakietów z php na pierwszy rzut oka widać nacisk twórców dystrybucji jaki został nałożony na modularność. Daje to niesamowitą wolność w wyborze tego co jest dokładnie potrzebne. Obsługa różnego typu systemów bazodanowych rozbita jest na osobne pakiety zawierające definicje funkcji PHP które ją zapewniają. Poniżej w tabeli znajduje się lista która to odzwierciedla. Nazwa pakietu php-dba php-dbase php-filepro phpinterbase php-mssql php-mysql php-odbc php-pgsql php-sybase php-sybase- Baza Danych Moduł dla PHP dodający obsługę dla baz danych opartych na plikach (DBA). Moduł PHP ze wsparciem dla DBase. Moduł PHP dodający możliwość dostępu (tylko do odczytu) do baz danych filepro. Moduł PHP umożliwiający dostęp do baz danych InterBase i Firebird. Moduł PHP dodający obsługę baz danych MS SQL poprzez bibliotekę FreeTDS. Moduł PHP umożliwiający dostęp do bazy danych MySQL. Moduł PHP ze wsparciem dla ODBC. Moduł PHP umożliwiający dostęp do bazy danych PostgreSQL. Moduł PHP dodający obsługę baz danych Sybase oraz MS SQL poprzez bibliotekę SYBDB. Moduł PHP dodający obsługę baz danych Sybase oraz MS SQL strona 54/54

55 Nazwa pakietu ct Baza Danych poprzez CT-lib. Aby skorzystać z któregokolwiek modułu należy go zainstalować. Przeprowadzając instalację w trybie wsadowym należy pamiętać o zrestartowaniu usługi apache. Warto jeszcze wspomnieć o narzędziach wspomagających zarządzanie bazami danych. Do obsługi bazy MySQL służy pakiet phpmyadmin natomiast do PostgreSQL zainstaluj phppgadmin. 7.3 Serwer Ftp : Proftp Dużą zaletą ProFTPD jest jego prostota. Plik konfiguracyjny demona do złudzenia przypomina ten od Apache. Jego zrozumienie nie powinno sprawiać trudności. Przed przystąpieniem do instalacji należy zdecydować w jakim trybie ma pracować usługa. Jako demon, czy ma być uruchamiana poprzez inetd. Tryb inet polega na tym, że proces proftpd zostanie uruchomiony dopiero po odebraniu przez inetd żądania o tę usługę. Natomiast w trybie daemon ProFTPD jest uruchomiony cały czas i pracuje niezależnie od inetd. Dystrybucja udostępnia obie te możliwości. Pakiet proftpd-inetd zapewnia uruchamianie poprzez inetd, natomiast po zainstalowaniu usługi z pakietu proftpd-standalone uruchamiana ona będzie w trybie daemon. Instalacja i konfiguracja W pliku ftpusers znajduje się lista użytkowników, którym odebrana została możliwość logowania się do serwera ftp. Poszczególne pozycje z tej listy zakończone są znakiem nowej linii, tak więc każda pozycja jest rozmieszczona jedna pod drugą. Natomiast plik proftpd.conf zawiera właściwą konfigurację usługi. ServerName ServerIdent ServerType DeferWelcome "ProFTPD" off standalone off strona 55/55

56 DefaultServer on DefaultRoot ~ ServerName określa nazwę serwera wyświetlaną łączącym się z nim użytkownikom. ServerIdent pozwala na wyświetlenie wiadomości powitalnej podczas połączenia, np. zawartości pliku.message. Domyślnie wyłączona. ServerType ustawia tryb pracy demona ProFTPD DeferWelcome Nie pokazuje wiadomości powitalnej dopóki użytkownik się nie zautoryzuje. DefaultServer Określamy konfigurację jako domyślną DefaultRoot Wyznaczamy nadrzędny dla każdego użytkownika katalog spoza którego nie będzie mógł wyjść. W listingu powyżej będzie to katalog domowy. Poniżej znajduje się szereg zakomentowanych opcji pozwalających na konfigurację połączeń bezpieczną metodą przy użyciu SSL. Port 21 Umask 022 User ftp Group ftp AuthPAMAuthoritative on Port Definiujemy tutaj port na którym serwer będzie oczekiwał nadchodzących połączeń Umask Tryb umask 022 jest typowym standardem dla ogolnie dostępnych plików i katalogów User Konto użytkownika na którego uprawnieniach pracuje usługa Group Grupa do której należy konto użytkownika usługi AuthPAMAuthoritative Dajemy możliwość autoryzacji użytkowników poprzez moduł PAM jeśli jest to możliwe. <Directory /> </Directory> AllowOverwrite on strona 56/56

57 Zezwalamy na nadpisywanie plików w obrębie katalogu do którego użytkownik się zaloguje. Poniżej w pliku znajduje się przykładowa konfiguracja dla użytkownika anonimowego. Sekcja mieści się wewnątrz znacznika <Anonymous ~ftp></anonymous>. Poniższy wykaz omawia najczęściej wykorzystywane dyrektywy w tej sekcji. User ftp Group ftp AnonRequirePassword RequireValidShell off off User - konto użytkownika którego prawa będzie uzyskiwała osoba logująca się do serwera Group - grupa do której należy powyższe konto. AnonRequirePassword - w powyższym przykładzie wyłączona. Umożliwia użytkownikom anonimowym logowanie się bez hasła. RequireValidShell - opcja ta powoduje, że ProFTPD nie sprawdza czy dany użytkownik, który się loguje posiada przypisaną w /etc/shells powłokę. UserAlias anonymous ftp MaxClients 10 DisplayLogin welcome.msg DisplayFirstChdir.message AllowStoreRestart on UserAlias - przyporządkowuje nazwę użytkownika do systemowego konta. W przykładzie anonymous został przypisany kontu ftp. MaxClients - ilość jednoczesnych połączeń anonimowych które będą realizowane przez serwer. DisplayLogin - określamy plik którego zawartość będzie wyświetlana po starcie. DisplayFirstChdir - plik którego zawartość będzie wyświetlana po pierwszym wejściu do katalogu. AllowStoreRestart - pozwala klientom wznawiać upload. 7.4 Serwer pocztowy : Qmail Bezpieczeństwo strona 57/57

58 qmail został zaprojektowany z myślą o bezpieczeństwie. Historia Sendmail'a pełna jest poważnych problemów związanych z bezpieczeństwem. Gdy Sendmail był tworzony, sieć była znacznie przyjaźniejszym miejscem. Wszyscy znali się zatem nie było potrzeby projektowania i pisania kodu z myślą o bezpieczeństwie. Dzisiejszy internet nie jest już tak przyjaznym miejscem dla serwerów. Prędkość działania qmail dostarcza pocztę równolegle. Domyślnie potrafi obsługiwać do 20 dostarczeń na raz. Wiarygodność qmail akceptując wiadomość gwarantuje, że nie zostanie ona utracona. Ponadto używa on nowego formatu skrzynki pocztowej, który pracuje poprawnie nawet z NFS bez lockowania plików. Prostota qmail jest mniejszy niż inne MTA o porównywalnych cechach. Konfiguracja Pliki konfiguracyjne Wszystkie pliki konfiguracyjne qmaila, za wyjątkiem plików.qmail z ~alias, znajdują się w /var/qmail/control. Plik Wartość domyślna Używany przez Znaczenie badmailfrom brak qmail-smtpd Adres From na "czarnej" liście bouncefrom MAILER- DAEMON qmail-send nazwa nadawcy wiadomości niedostarczonej bouncehost me qmail-send nazwa hosta który odrzucił wiadomość concurrencyincoming brak /service/qmailsmtpd/run max liczba nadchodzących równocześnie połączeń SMTP concurrencylocal 10 qmail-send max liczba dostarczanych strona 58/58

59 równocześnie listów lokalnie concurrencyremote 20 qmail-send max liczba dostarczanych równocześnie listów na zewnątrz defaultdelivery brak /var/qmail/rc domyślny plik.qmail defaultdomain me qmail-inject domyślna nazwa domeny defaulthost me qmail-inject domyślna nazwa hosta databytes 0 qmail-smtpd doublebouncehost me qmail-send doublebounceto postmaster qmail-send envnoathost me qmail-send helohost me qmail-remote max liczba bajtów w liście (0 brak limitu) nazwa hosta wysyłającego podwójny bounce użytkownik do którego wysyłane są podwójne bounce domyślna domena dla adresów bez nazwa hosta pokazywana przez komendę HELO idhost me qmail-inject nazwa hosta dla Message-ID localiphost me qmail-smtpd locals me qmail-send nazwa podstawiana za lokalny adres IP domeny do których dostarczamy pocztę lokalnie me FQDN system of różne domyślna dla wielu plików konfiguracyjnych morercpthosts brak qmail-smtpd percenthack brak qmail-send plusdomain me qmail-inject baza danych pomocniczych rcpthosts domeny używające relayowania w postaci "%" domena podstawiana zamiast "+" strona 59/59

60 qmqpservers brak qmail-qmqpc adresy IP serwerów QMQP queuelifetime qmail-send rcpthosts brak qmail-smtpd ilość sekund przez które wiadomość może przebywać w kolejce domeny dla których akceptujemy pocztę lokalnie smtpgreeting me qmail-smtpd komunikat powitalny SMTP smtproutes brak qmail-remote timeoutconnect 60 qmail-remote timeoutremote 1200 qmail-remote timeoutsmtpd 1200 qmail-smtpd virtualdomains brak qmail-send routing dla niektórych domen zdefiniowany "ręcznie" przez administratora jak długo w sekundach czekać na połączenie SMTP jak długo w sekundach czekać na zewnętrzny serwer jak długo czekać przy odbieraniu poczty wirtualne domeny i użytkownicy 7.5 Serwer Proxy www : Squid Jedną z najważniejszych usług Internetu, która często jest bezpośrednio kojarzona z Internetem, jest sieć WWW, dostarczana przez protokół HTTP. Znaczna ilość sieciowego ruchu transmitowana jest właśnie przez ten protokół. HTTP zawiera jednak mechanizmy, które pozwalają na unikanie wielokrotnej transmisji tego samego materiału przez sieć, mianowicie zgłaszanie czasu modyfikacji, czasu ważności oraz identyfikatora treści. Mechanizmy te są wykorzystywane przez przeglądarki internetowe do tworzenia lokalnego cache. Jednak lokalne cache dotyczy tylko jednego użytkownika na jednym komputerze, nie może więc zapobiec wielokrotnego sprowadzania tych samych danych poprzez jedno łącze internetowe przez wielu strona 60/60

61 użytkowników, na przykład w sieci lokalnej. Potrzebny jest więc centralny serwer cache, który będzie zapisywał lokalne kopie stron dla większej ilości użytkowników. Serwerem tego typu jest Squid. Konfiguracja Serwer Squid jest bardzo dobrze konfigurowywalny. Najważniejsze opcje konfiguracyjne to: http_port numer - ustawia numer portu, na którym nasłuchuje squid, domyślnie cache_mem rozmiar - ustawia rozmiar pamięci używany dla potrzeb cache, domyślnie 8 MB cache_replacement_policy typ, memory_replacement_policy typ - definiuje kolejność, w jakiej obiekty będą usuwane z cache, odpowiednio dyskowego i pamięciowego. Możliwe typy to: lru - usuwanie obiektu o najdawniejszym dostępie, jak w starych wersjach Squida. heap LRU - algorytm LRU używający sterty. heap LFUDA - zostawia w cache popularne obiekty niezależnie od ich rozmiaru. heap GDSF - zatrzymuje w cache niewielkie popularne obiekty. Preferuję dla cache dyskowej (przy odpowiednim rozmiarze) LFUDA, natomiast dla cache pamięciowej - GDSF. cache_dir typ katalog rozmiar L1 L2 [dodatkowe...] - definiuje katalog cache Squida. Domyślne ustawienia są całkiem w porządku, można jednak zmienić typ np. na aufs, używający wątki w celu uniknięcia blokowania. Należy z całą pewnością zmienić rozmiar cache MB to bardzo niewiele. Dla średniego rozmiaru sieci jakieś 2 GB powinny być wystarczające. Konfiguracja uprawnień dostępu Serwer proxy powinien mieć dokładnie skonfigurowane prawa dostępu, aby mogły korzystać z niego wyłącznie powołane osoby. Squid posiada zaawansowany system kontroli praw dostępu, który pozwala skonfigurować nie tylko kto może korzystać z serwera, ale też w jaki sposób serwer może być używany. strona 61/61

62 Transparent proxy Kiedy uruchamia się proxy na zasięg średniej bądź dużej sieci, czasem nie ma możliwości, aby skontrolować ustawienia użytkowników, a proxy poprawiłoby przepustowość łącza. W takim przypadku możliwe jest wymuszenie proxy za pomocą mechanizmu transparent proxy. Polega on na tym, żeby pakiety TCP wysyłane na port 80 były przekierowywane do serwera Squid. Protokół używany do połączeń z serwerami WWW jest jednak nieco inny od używanego do komunikacji z proxy, dlatego niezbędna jest prosta zmiana w konfiguracji. Należy mianowicie ustawić: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_single_host off httpd_accel_uses_host_header on Przekierowanie portu należy skonfigurować na maszynie będącej routerem do Internetu. Jeśli jest nią ta sama maszyna, na której pracuje Squid, a wyposażona jest w jądro 2.4.x, sprawę załatwi następująca komenda iptables: # eth0 zamienić na swój interfejs sieciowy, na którym są podpięci userzy # 3128 to port, na którym pracuje squid iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT \ --to-port 3128 Jeśli serwer proxy znajduje się na innej maszynie, niż router, na komputerze z jądrem 2.4.x pomoże polecenie: # eth0 zamienić na swój interfejs sieciowy, na którym są podpięci userzy # :3128 to adres i port, na którym znajduje się squid iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to : Domena internetowa Domena internetowa to łatwy do zapamiętania adres danej strony WWW np. pod którą można umieścić serwis WWW, założyć konta itp. strona 62/62

63 Domena dla firmy "saturnet" została zarejestrowana w serwisie nazwa.pl, pod adresem Domena została wykupiona, aby można było łatwo znaleźć w internecie firmę "Saturnet". Nie wykupiliśmy miejsca na serwerze, ponieważ wszystko będzie na serwerach firmowych w siedzibie "Saturnet". 8.1 Serwery DNS Podstawowy serwer DNS (Primary Domain Server)IP: Podstawowy serwer DNS jest głównym serwerem odpowiedzialnym za utrzymanie domeny i zarządzanie w niej nazwami, zawiera on podstawowe informacje o danej domenie. Zapasowy serwer DNS (Secondary Domain Server)IP: Serwer zapasowy pobiera dane z serwera podstawowego i sprawdza czy posiadana przez niego kopia danych domeny jest aktualna. Jeżeli potrzeba, uaktualnienia on wpisy z serwera podstawowego. Główną rolą zapasowego serwera DNS (Secondary DNS) jest przyśpieszanie odpowiedzi na zapytania oraz zabezpieczanie przed utratą danych. Zapasowy serwer DNS podczas awarii podstawowego DNS-a odpowiada na zapytania, tak jak serwer podstawowy. Ze względu na bezpieczeństwo i zapewnienie ciągłości świadczenia usługi DNS dla określonej domeny, zalecane jest umieszczanie serwera/serwerów zapasowych w różnych sieciach, a także w fizycznie odległych od siebie miejscach. Np. w zaprzyjaźnionej pracowni komputerowej w innej szkole lub innym mieście. 8.2 Charakterystyczne domeny dla poszczególnych krajów USA.arpa historyczna część ARPANET.edu domena edukacyjna sieci akademickie.com domena komercyjna.gov domena rządowa.mil domena wojskowa strona 63/63

64 .org organizacje (tzw. non-profit).net specjalne organizacje sieci Internet Europa.pl Polska.de Niemcy.fi Finlandia.nl Holandia.se Szwecja.uk Zjednoczone Królestwo.es Hiszpania.at Austria.fr Francja Inne kraje.au Australia.va Watykan.za Republika Południowej Afryki.su Rosja (i kraje byłego ZSRR) Rejestracja domeny (załącznik nr 32) 9 Punkt dostępowy (HotSpot) 9.1 Zadania i przeznaczenie urządzenia HotSpot HotSpot jest zespołem urządzeń, które służą większemu gronu publicznych odbiorców (klientom firmy lub partnerom biznesowym) nieograniczonemu dostępowi do sieci Internet, jest w pełni mobilny i w 100% bezprzewodowy. Transmisja danych odbywa się na uwolnionej (niewymagającej koncesji) częstotliwości 2,4 GHz lub wyższych pasmach 5 GHz. Dostęp jest możliwy w zasięgu około 100 m od punktu dostępowego umieszczonego w budynku głównej siedziby firmy. Warunkiem koniecznym do korzystania z bezprzewodowego Internetu jest posiadanie terminala (laptopa, PDA) z kartą WLAN zgodną ze standardem g (2,4 GHZ) lub a (5 GHz) strona 64/64

65 9.2 Dane techniczne Punkt dostępowy a/b/g jest przeznaczony do profesjonalnych rozwiązań. Umożliwia jednoczesną pracę we wszystkich wymienionych standardach z mocą do 100 mw. Wyposażony jest w złącza do anten zewnętrznych dla pasm 2,4 i 5 GHz. WAP-4000 wspiera Radius, 802.1x oraz WPA, ma możliwość zarządzania przez SSL. Umożliwia łączenie punktów dostępowych co zwiększa zakres jego zastosowań. Posiada bogate możliwości konfiguracji filtrowania pakietów. Cały szereg zastosowanych funkcji zwiększa niezawodność urządzenia i tworzonej za jego pomocą sieci. Wsparcie QoS (Quality of Service) pozwalające na podwyższenie jakości obsługi aplikacji głosowych i multimedialnych, wymagających niewielkiego opóźnieniai odpowiedniej przepustowości. Wsparcie to realizowane jest w warstwie 2 (łącza danych) poprzez wykorzystanie tzw. pola priorytetu w celu przydzielania ramek downstream (z AP do klienta) do jednej z 4 kategorii WMM: Background, Best Effort, Video oraz Voice. Do wykorzystywania funkcjonalności WMM niezbędna jest jednak jego obsługa również poprzez urządzenie klienckie. Rozszerzona obsługa RADIUS umożliwiająca efektywne zarządzanie sesjami użytkowników, np. w sieciach HotSpot. W porównaniu do poprzednich modeli rozpoznają znacznie większy zbiór autentykacji i billingu. strona 65/65

66 Rysunek 9. WAP 4000 Bezpieczeństwo, wsparcie specyfikacji WPA2 (Wi-Fi Protected Acces 2) opartej na standardzie IEEE i z wykorzystaniem technologii wzajemnej autentykacji i szyfrowania danych (portokoły CCMP oraz AES). Obsługa standardów wzajemnej autentykacji WPA, TKIP, 802.1X (PEAP, TTLS, TLS, SIM), dynamiczne, zmienne klucze szyfrujące zmieniane per użytkownik/sesja/czas, programowe aktualizacje do nowych standardów (AES, i). Wykrywanie obcych AP i klientów bezprzewodowych i raportowania ich Administratorowi. Wykrywane są również punkty dostępowe nie rozgłaszające swojego SSID Wireless Distribution System (WDS) - tryb mostu bezprzewodowego działającego jednocześnie z trybem AP. Obsługa do 16 sieci VLAN - do 16-tu na każdy standard radiowy. Użytkownicy mogą byćkierowani do odpowiednich VLAN na podstawie informacji z autentykującego sesje serwera RADIUS. strona 66/66

67 Obsługa Grup Roboczych - odrębne ustawienia bezpieczeństwa dla kazdej grupy. Pre-autentykacja - raz zautoryzowany klient jest autentykowany na wszystkich punktach dostępowych w sieci (dotyczy wszystkich kart bezprzewodowych obsługujących standard WPA2). Blokowanie komunikacji "intra-cell" - blokowanie bezpośredniej komunikacji między klientami AP, możliwość ustawienia przekazywania wszystkich pakietów na definiowany MAC. Obsługa dwóch obrazów firmware - podczas uaktualniania firmware jego stara wersja jest zatrzymywania w pamięci AP do czasu poprawnego uruchomienia nowej wersji. Bezpieczeństwo zarządzania - SSL (https), obsługa SSH autentykowanie Administratorów w serwerze RADIUS, CLI Batch File z poleceniami wsadowymi. Wireless System Shutdown (WSS) - zdalne wyłączanie modułu radiowego z pozostawieniem aktywnych połączeń WDS. Standard d - AP wysyła klientom bezprzewodowym ustawienia lokalne: kod kraju, dozwoloną listę kanałów, dozwolony poziom mocy emitowanej co pozwala urządzeniom klienckim automatycznie dostosować się do regulacji prawnych. Automatyczna selekcja kanału radiowego w trybie a, konfigurowanie wysokości mocy nadawania przez użytkownika. Power-over-Ethernet wg standardu IEEE 802.3af. Szczegółowe dane techniczne I konfiguracja w załączonej instrukcji obsługi 9.3 Konfiguracja punktu dostępowego, parametry dostępowe i bezpieczeństwo sieci Parametry dostępowe: Nazwa sieci (SSID): SATURNET strona 67/67

68 Adres IP: przydzielany automatycznie (DHCP) Standard: g Szyfrowanie: WPA Channel: 11 Czas włączenia : godz do (ręcznie przez pracownika recepcji) Zasady Dostępu do sieci przez AP: Pracownicy firmy: dostęp do zasobów sieci firmowej, WWW oraz poczty elektronicznej Klienci: do zasobów sieci WWW. Klienci: do innych usług po zarejestrowaniu się. W celu utrzymania odpowiedniego poziomu bezpieczeństwa sieci dostęp klientów do innych dodatkowych usług wprowadzono dostęp autoryzowany. Osoba chcąca skorzystać z np.: poczty elektronicznej czy FTP za pomocą punktu dostępowego musi zarejestrować się w recepcji firmy. Do rejestracji wymagany jest dowód osobisty, klient podaje cel uzyskania dostępu i potwierdza własnoręcznym podpisem na formularzu, że zapoznał się z regulaminem korzystania z dostępu do sieci, po czym otrzymuje login i hasło dostępowe. Rejestracja przeprowadzana jest jednorazowo dla każdego klienta. Identyfikacja WPA - punkt dostępowy zleca identyfikację serwerowi RADIUS, który sprawdza uwierzytelnienia użytkownika porównując je z informacjami zapisanymi w swojej bazie danych, następnie udziela lub odmawia odpowiednio dostępu do sieci i wysyła do wszystkich stacji klucz grupowy by mogły one rozpocząć szyfrowanie oraz proces wysyłania i odbioru danych. Użytkownik określa czas, po którym następuje wysłanie nowego grupowego klucza do wszystkich klientów (ang. Re-Key Interval). Proces odnawiania wartości klucza TKIP (Temporal Key Integrity Protocol) jest częścią mechanizmu WPA zwiększającego bezpieczeństwo, mechanizm ten odpowiada automatycznym i periodycznym zmianom klucza WEP dla wszystkich punktów dostępu i stacji w sieci WLAN. strona 68/68

69 Rysunek 10. Identyfikacja WPA w trybie "korporacyjnym". Konfiguracja WPA w trybie "korporacyjnym" wymaga podania adresu IP serwera RADIUS, jego numer portu (domyślnie 1812) oraz klucz serwera i interwału czasowego do jego odnawiania. Podstawową zaletą RADIUS-a jest to, że służy on nie tylko do uwierzytelniania osób i komputerów, ale również np. samych punktów dostępowych. W ten sposób użytkownik ma pewność, że zalogował się do właściwej sieci - zdarzają się bowiem przypadki podstawienia fałszywych sieci w celu wydobycia ważnych danych z komputera użytkownika - a administrator może wyeliminować "nielegalne" punkty dostępowe, uruchamiane dla wygody przez pracowników firmy. Sam serwer RADIUS to zaś po prostu wydzielony komputer z odpowiednim oprogramowaniem, który stanowi centralny punkt zarządzania wszystkimi hasłami i zasobami sieci. Aby wymusić identyfikację z poziomu użytkownika, WPA wykorzystuje protokół PEAP, który z kolei opiera się na standardzie 802.1x kontroli dostępu do sieci bazującego na porcie. PEAP(Protected EAP), przewidziano stosowanie certyfikatów tylko przez serwery. Standard 802.1X umożliwia bezpieczne uwierzytelnianie haseł użytkowników oraz przesyłanie kluczy, dzięki czemu można bezpiecznie zalogować się do sieci, nie obawiając się o to, że ktoś przechwyci nasze hasło lub klucz. strona 69/69

70 9.4 Charakterystyka protokołu RADIUS Remote Authentication Dial-In User (RADIUS) jest pracującym w architekturze klient/serwer rozproszonym systemem autentykacji. W systemie tym klient skonfigurowany jest na serwerze dostępowym lub routerze, a serwerem jest zdalny wielodostępny host z uruchomionym dedykowanym oprogramowaniem RADIUS. Przechowuje on bazę danych o uprawnionych do korzystania z zasobów sieci użytkownikach i ich prawach. Poprawnie skonfigurowany serwer dostępowy odwołuje się do jego wiedzy w celu dokonania autentykacji, autoryzacji i raportowania działań użytkownika w systemie. RADIUS jest protokołem w pełni otwartym. Specyfikacja protokołu jest publicznie dostępna w formie dokumentu RFC, a oprogramowanie protokołu jest rozpowszechniane bez pobierania żadnych opłat w formie kodu żródłowego. Kod ten może podlegać modyfikacjom w celu dostosowania do wszystkich aktualnie wykorzystywanych systemów bezpieczeństwa. Na routerach i serwerze dostępowym SATURNET protokół RADIUS jest implementowany w ramach modelu AAA. Konfiguracja bezpieczeństwa w systemie AAA przewiduje możliwość współistnienia protokołu RADIUS z innymi protokołami podobnego przeznaczenia takimi jak: TACACS+, Kerberos oraz autentykacją na podstawie lokalnych baz użytkowników na serwerze dostępowym. 9.5 Funkcjonowanie protokołu RADIUS W odpowiedzi na próbę zalogowania się użytkownika do sieci serwer dostępowy generuje zapytanie o dane użytkownika, w tym jego identyfikator i hasło. Po wprowadzeniu tych danych z poziomu terminala użytkownika, jego identyfikator wraz z zakodowanym hasłem zostają wysłane do serwera RADIUS-a. Rolę serwera autentykacji spełnia host, pracujący pod kontrolą systemu operacyjnego Linux z uruchomionym dedykowanym oprogramowaniem serwera RADIUS. Po sprawdzeniu danych użytkownika skutkiem ich skonfrontowania z zawartością własnych baz danych serwer RADIUS może odpowiedzieć jednym z następujących komunikatów: ACCEPT - oznacza sukces autentykacji, strona 70/70

71 REJECT - użytkownik nie został poprawnie zautentykowany, dostęp do zasobów sieci jest zabroniony, CHALLENGE - prośba o wprowadzenie dodatkowych danych uwierzytelniających. Po przejściu z sukcesem etapu autentykacji, serwer RADIUS sprawdza w bazach autoryzacji, jakie usługi sa dostępne dla danego użytkownika (np. telnet, rlogin, połączenia terminalowe LAT, oprogramowanie protokołów SLIP czy PPP, możliwość wywołania interpretera EXEC). Serwer RADIUS na etapie autoryzacji sprawdza też czy działania danego użytkownika w sieci nie powinny podlegać restrykcjom wynikłym z list dostępu. 9.6 QoS (ang. Quality of Service) AP 4000 Wireless Access Point wspomaga QoS (ang. Quality of Service) - po polsku: jakość obsługi/przekazu. Są to wymagania nałożone na połączenie komunikacyjne realizowane przez naszą sieć komputerową. Aby zapewnić QoS, stosowane są następujące mechanizmy: kształtowanie i ograniczanie przepustowości, zapewnienie sprawiedliwego dostępu do zasobów nadawanie odpowiednich priorytetów poszczególnym pakietom wędrującym przez sieć, zarządzanie opóźnieniami w przesyłaniu danych zarządzanie buforowaniem nadmiarowych pakietów: DRR, WFQ, WRR określenie charakterystyki gubienia pakietów, unikanie przeciążeń: Conncetion Admission Control (CAC), Usage Parameter Control (UPC) Wykorzystanym standardem QoS będzie Diff-Serv definiuje on sposób, w jaki bajt typu usług ToS (Type of Services) IPv4 lub IPv6 Traffic Class jest stosowany do specyfikowania warunku QoS. Diff-Serv odpowiada obecnemu użyciu bitów IP Predominance w obszarze ToS. Protokół ten został przewidziany do przekazywania dla QoS ogólnych kategorii ruchu lub grup ruchu. W modelu Diff-Serv zastosowanie QoS na poziomie urządzenia sieciowego implikuje cztery etapy. Pakiety na stosownych etapach są: strona 71/71

72 klasyfikowane według informacji przenoszonej przez nagłówek warstwy czwartej; cechowane w celu oznaczenia klasyfikacji; sortowane w sposób selektywny, głównie po to, aby uniknąć przeciążeń; Klasyfikowanie i cechowanie oznacza kreowanie list kontroli dostępu. Kontrola i sortowanie są wykonywane za pośrednictwem algorytmu RED (Random Early Detection) lub zrównoważonego RED o nazwie WRED (Weighted Random Early Detection). Trasowanie jest przeprowadzane dzięki licznym algorytmom, takim jak na przykład zrównoważony mechanizm zarządzania kolejkami (WFQ), zarządzanie kolejkami oparte na kategorii lub klasie i inne. Do administratora sieciowego należy konfigurowanie takich algorytmów, jak: kształtowanie ruchu (Traffic Shoping) i Policing. 9.7 Zasilanie AP AP 4000 Wireless Access Point jest zgodny ze specyfikacją 802.3af, co pozwala na zasilanie naszego AP przez okablowanie UTP (skrętka nieekranowana) napięciem zmiennym 48 V. Można wykorzystać okablowanie kategorii 3, 5, 5e lub 6. Natężenie prądu zasilającego jest ograniczone do 350 ma, a ciągła moc dostarczana do urzadzenia (wliczając w to straty powstałe podczas przesyłania napięcia) nie może przekraczać 12,95 W. Napięcie zasilające jest przesyłane parą przewodów wchodzących w skład okablowania LAN. Specyfikacja 802.3af przewiduje, że urządzenie zasilające musi zawierać układ niepozwalający, aby napięcie było dostarczone do urządzenia niezgodnego z tą specyfikacją. Wykorzystujemy typ źródła zasilania end-span (to przełącznik Ethernet zawierający moduł pracujący zgodnie z technologią Power over Ethernet) jest to przełączniki nowej generacji, który dostarcza dane i napięcie zasilające przez te same pary okablowania (to jest przez pary transmisyjne 1/2 i 3/6). strona 72/72

73 10 Polityka bezpieczeństwa 10.1 Definicja polityki bezpieczeństwa Definicja polityki bezpieczeństwa (ang. Security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby, systemy informacyjne i informatyczne oraz określa, w jaki sposób te zasoby maja być chronione. Polityka bezpieczeństwa zapewnia: Spójność z wyznaczonymi celami przedsiębiorstwa, oraz pełną integrację z podstawowymi procesami biznesowymi zdefiniowanymi w przedsiębiorstwie, Skuteczniejsze działanie w odniesieniu do zagrożeń poufności, integralności i dostępności danych, Realizację celów przedsiębiorstwa w taki sposób, aby podnieść jakość i wiarygodność wobec klientów przedsiębiorstwa, Ochronę informacji tworzonej, przetwarzanej i przechowywanej i przesyłanej nie tylko za pomocą systemów komputerowych, ale również w innych obszarach jej przetwarzania i przechowywania Uwarunkowania prawne Polityka bezpieczeństwa została oparta o: Ustawę dotyczącą ochrony danych osobowych dz. U. Nr 101 poz. 926 z 2002r. Polskie normy pn-iso/iec 17799, pn-i określające systemy zarządzania bezpieczeństwem informacji oraz pojęcia i modele bezpieczeństwa systemów informatycznych 10.3 Założenia Założeniem niniejszej polityki bezpieczeństwa jest zapewnienie ochrony całemu systemowi informatycznemu, a także wszystkich jego elementów, czyli baz danych, w strona 73/73

74 których przetwarzane są informacje odnośnie danych osobowych. Celem jest również zapewnienie technicznych i organizacyjnych uwarunkowań prowadzących do właściwego zarządzania systemem informatycznym 10.4 Analiza ryzyka na podstawie architektury sieci Sieć tworzy: Router NAT router z wbudowanym firewallem; posiada dwa interfejsy dostępu do Internetu (2 x WAN, główne łącze do Internetu POLPAK i zapasowe NETIA); router posiada NAT Firewall ściana ogniowa mająca za zadanie filtrować za pomocą zaawansowanych filtrów ruch głównie przychodzący ograniczając go do wybranych usług (poczta, WWW, ftp, , DNS). Demilitarized Zone (DMZ) - strefa zdemilitaryzowana bądź ograniczonego zaufania, którą definiuje się na zaporze sieciowej. Jest to podsieć, która wydziela serwery dostępne na zewnątrz (np. serwery internetowe) od sieci wewnętrznej "zaufanej". W wypadku włamania na taki serwer, intruz nie będzie miał możliwości dostania się do sieci "zaufanej". Hosty bastionowe usług internetowych: W celu utrzymania złożonych wartości rang ryzyka zastosowano podział usług serwerowych na trzech hostach. Host poczty biorąc pod uwagę istotną wartość poczty dla organizacji każda inna usługa podnosiłaby prawdopodobieństwo udanego ataku. Host zdalnego dostępu świadczy mało bezpieczne usługi dostępowe dla zdalnego klienta. Pozwala on na wymianę danych ze zdalnym klientem będąc zapasem dla serwera pocztowego. Usługi uruchomione na hoscie to: WWW, FTP, SSH, strona 74/74

75 Host RADIUS, PROXY i DNS serwer obsługujący usługi zdalnego uwierzytelniania użytkowników RADIUS i przekazywania oraz pośredniczenia usług PROXY. Użycie pośrednika wprowadza w sieci element zabezpieczający, ponieważ jego praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka może analizować logiczną zawartość pakietów, a nie jedynie ich formalną zgodność ze standardem. HotSpot otwarty i dostępny publicznie punkt dostępu umożliwiający dostęp do Internetu (klientom firmy lub partnerom biznesowym) za pomocą sieci bezprzewodowej. HotSpot spełnia normy bezpieczeństwa: - Posiada wsparcie specyfikacji WPA2 (Wi-Fi Protected Access 2) opartej na standardzie IEEE i z wykorzystaniem technologii wzajemnej autentykacji i szyfrowania danych (protokoły CCMP oraz AES). - Obsługę standardów wzajemnej autentykacji WPA, TKIP, 802.1X (PEAP, TTLS, TLS, SIM), dynamiczne, zmienne klucze szyfrujące zmieniane per użytkownik/sesja/czas, programowe aktualizacje do nowych standardów (AES, i). - Wykrywanie "obcych" AP i klientów bezprzewodowych i raportowania ich Administratorowi. Wykrywane są również punkty dostępowe nierozgłaszające swojego SSID. - Obsługę do 16 sieci VLAN - do 16-tu na każdy standard radiowy. Użytkownicy mogą być kierowani do odpowiednich VLAN na podstawie informacji z autentykującego sesje serwera RADIUS. Host monitor pozwala na monitorowanie sieci pod kątem naruszeń bezpieczeństwa. Taki host znajduje się w strefie DMZ jest to tak zwany host pułapka, każda próba dostępu jest alarmem gdyż nie posiada on żadnych usług dla klientów, z drugiej strony host monitor podsłuchuje ruch w sieci poszukując sygnatur ataku. Host tego typu może być systemem linuxowym z zainstalowanych oprogramowaniem IDS oraz oprogramowaniem do mierzenia obciążenia sieci. Router wewnętrznej i firewall ostatnia linia obrony, ma za zadanie blokować otwarte połączenia z zewnątrz do wewnątrz sieci oraz filtrować ruch wypływający na poziomie portów. Stanowi drugą i główną linię obrony. Obsługuje on system Proxy dla klientów strona 75/75

76 sieci wewnętrznej, mechanizm NAT, stanowy filtr pakietów oraz system IDS. System ma za zdanie zabronić przejścia połączeń z sieci zewnętrznej i udostępniać Internet hostom wewnętrznym. Komputer ma wyłączone trasowanie, więc blokuje dostęp do Internetu z pominięciem systemu Proxy. Proxy jest chroniony dodatkowo filtrem pakietów, który logicznie jest przed systemem Proxy nie pozwalając na nieuprawnione jego wykorzystanie oraz blokując dostęp do hosta. Firewall posiada procesor antywirusowy i system detekcji włamań. System IDS pozwala na monitorowanie sieci pod kątem naruszeń bezpieczeństwa VPN Prywatna sieć wirtualna ochroni dane w sieci przed dostępem osób nieuprawnionych. WLAN W komunikacji bezprzewodowej transmisja danych jest wykonywana za pośrednictwem fal radiowych, a nie kabli, co wiąże się z potrzebą wprowadzenia środków bezpieczeństwa zapewniających poufność przesyłanych danych. Istnieją trzy metody zapewniania integralności i bezpieczeństwa sieci przez rozwiązania bezprzewodowe: Adresowanie MAC Szyfrowanie Zabezpieczenie sieci przez VPN Najlepszym zabezpieczeniem sieci bezprzewodowej jest zadbanie o bezpieczeństwo już na samym wejściu do firmowej sieci. Technologia wirtualnej sieci prywatnej (Virtual Private Network VPN) pozwala określać użytkowników spoza systemu, którzy mogą uzyskiwać dostęp do systemu. Sieć VPN jest po prostu bramą autoryzującą użytkowników spoza sieci (czyli osoby niepracujące w budynku lub łączące się z domu), przez którą trzeba przejść, zanim będzie można uzyskać dostęp do dowolnej części sieci przewodowej lub nie. Przed uzyskaniem dostępu do sieci bezprzewodowej, należy zalogować się do sieci VPN i podać wymagane dane uwierzytelniające. strona 76/76

77 Sieć VPN należy postrzegać nie jako barierę wejścia do sieci bezprzewodowej, lecz raczej jako składnik wspólny dla wszystkich sieci, do których można uzyskiwać dostęp z zewnątrz. Zabezpieczenia sieci VPN w połączeniu z adresowaniem MAC oraz protokołem bezprzewodowej sieci lokalnej zapewniają wysoką ochronę sieci bezprzewodowej. Urządzenia WLAN z rodziny Tsunami MP.11a to urządzenia przeznaczone do montażu zewnętrznego pozwalające na bezprzewodowe połączenie odległych od siebie budynków. Składają się z punktu dostępowego i stacji abonenckich. Urządzenia te spełniają wszystkie normy bezpieczeństwa m.in. włączono obsługa tuneli VPN dla każdego interfejsu z wykorzystaniem IPSec w celu zabezpieczenia sieci wewnętrznych; włączono szyfrowanie dla wszystkich Access Pointów; użyto szyfru AES; szyfrowanie AES odbywa się z wykorzystaniem cyfrowych certyfikatów (PKI X.509), IKE z automatyczną i manualną wymianą kluczy itd. Dla analizowanej sieci przyjęto następujące progi rang: Krańcowe elementy podsystemu ochrony Rk <200, Hosty bastionowe realizujące funkcje ochronne Rp < 400 Hosty bastionowe usługowe Rp < 2000 Całość podsystemu Ro < 1000 Najsłabszym punktem systemu w kontekście bezpieczeństwa są host bastionowe serwujące usługi dla użytkownika zewnętrznego. Przejęcie nad nimi kontroli pozwoli intruzowi na zdobycie przyczółka w DMZ, który może w efekcie doprowadzić do przełamania obrony. Dlatego też hosty bastionowe powinny być szczególnie uważnie konfigurowane, zaopatrzone w najnowsze łaty oprogramowania oraz monitorowane na bieżąco. Przedstawiona architektura spełnia wymogi: strona 77/77

78 Minimalne przywileje użytkownik jest ograniczony do drastycznych norm strzeżonych przez filtry i może używać jedynie określonych protokołów. Głęboka obrona wiele mechanizmów obrony umiejscowionych w dwóch newralgicznych liniach obrony. Wąskie przejście router wewnętrzny oraz host Proxy są wąskim przejściem sprawującym kontrolę nad całym ruchem do i z sieci wewnętrznej. Najsłabszy punkt został wyszczególniony i podano zasady, jakie muszą być spełnione w celu minimalizacji zagrożenia. Bezpieczeństwo w razie awarii awaria któregoś z routerów NAT spowoduje przełączenia na zapasowy router NAT i umożliwi dostęp do Internetu. Awaria routera wewnętrznego spowoduje odcięcie sieci. Zróżnicowana obrona rozwiązanie wykorzystujące technologie, które są dystrybuowane przez różnych producentów, wiec zasada ta została zachowana Metody zabezpieczenia sieci Logi systemowe - są używane do sporządzania statystyk, wykrywania prób penetracji (włamań) oraz ich sposobu, wykrywania błędów i nieprawidłowości. Niekiedy logi dotyczące pracy jednego systemu zapisywane są na innym, specjalnie do tego przeznaczonym systemie ze względów bezpieczeństwa. Uwierzytelnianie - jest procesem polegającym na sprawdzeniu, czy przedstawiająca się osoba, komputer, urządzenie lub usługa jest tą, za którą się podaje. Najczęściej proces uwierzytelniania w odbywa się przy pomocy nazwy logowania (loginu) i hasła. Nat - (ang. Network address translation) - technika translacji adresów sieciowych. Filtry pakietów - systemy odpowiedzialne za filtrowanie pakietów określające na podstawie charakterystyki pakietu czy jest on bezpieczny. Hosty bastionowe systemy komputerowe pracujące w sieci ochrony Systemy proxy ogół systemów pośredniczenia i przekazywania usług Systemy ids - (intruder detection system - system wykrywania włamań) - jeden ze sposobów zabezpieczania sieci, którego zadaniem jest nielegalnej strona 78/78

79 działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. VPN - (ang. Virtual Private Network, Wirtualna Sieć Prywatna) szyfrowane kanały łączące sieci prywatne przez internet Odpowiednia architektura systemów zabezpieczeń logiczne umiejscowienie elementów systemu ochrony 10.6 Strategie ochrony Zapewnianie bezpieczeństwa dzięki wielowarstwowemu mechanizmowi ochrony Strategia ta obejmuje kilka warstw ochrony informacji. Pierwszą linię obrony stanowi ograniczanie fizycznego dostępu do systemu komputerowego. Realizowana jest przez zamykanie komputerów w pomieszczeniach, do których dostęp odbywa się przy uwierzytelnieniu, np. za pomocą karty magnetycznej lub wstukania kodu dostępu na klawiaturze przy drzwiach. Kolejną warstwą ochrony jest procedura uwierzytelniania użytkownika rozpoczynającego pracę w systemie. Procedura ta ma na celu ochronę przed nielegalnym dostępem do systemu. Wykorzystywanym narzędziem są tutaj hasła. Aby procedura ta zapewniała odpowiednio wysoki poziom bezpieczeństwa, hasło powinno być kontrolowane na etapie tworzenia. Istnieje szereg narzędzi, zarówno dostarczanych z systemami operacyjnymi, jak i dodatkowych, służących do kontroli zawiłości haseł (np. Npasswd, passwd+, goodpw, crack). Niektóre z tych narzędzi tworzą słowniki najpopularniejszych wyrażeń, (wśród których są nazwy użytkowników systemu) i stosując pewien zbiór reguł próbują wygenerować niebezpieczne hasła, które później nie są dopuszczane do użytkowania. Inną warstwą ochrony są metody wykorzystujące inteligentne karty. Karty takie mogą mieć różnorakie formy, często przypominają karty telefoniczne, a nawet kalkulatory osobiste. Aby karta rozpoczęła działanie, konieczne jest podanie przez użytkownika osobistego numeru identyfikacyjnego pin (ang. Personal identification number). Tyle ile jest rodzajów inteligentnych kart tyle jest sposobów ich działania. Jednym z najpopularniejszych jest protokół typu wezwanie-odpowiedź, metoda oparta na tzw. strona 79/79

80 Kryptograficznym protokole uwierzytelniania ze współdzielonym kluczem. System generuje pewną losową liczbę i podaje ją użytkownikowi. Ten wprowadza ją do karty, która szyfruje liczbę. Rezultat szyfrowania zwracany jest do systemu. System sprawdza, czy liczba została zaszyfrowana poprawnie. Inna metoda wykorzystuje protokół lamporta. Polega ona na tym, że liczba, którą należy podać systemowi, generowana jest przez kartę po wprowadzeniu numeru identyfikacyjnego. Karta musi być uprzednio zainicjowana w systemie, z którym będzie współdziałać Różnicowanie typów mechanizmów ochrony Różnicowanie typów mechanizmów ochrony jest niejako dodatkiem do koncepcji wielowarstwowego mechanizmu ochrony. Przy zabezpieczeniach jednego rodzaju poznanie słabego punktu danego typu zabezpieczenia umożliwia swobodną ingerencję wewnątrz systemu. Stosowanie produktów zabezpieczających, np. Pochodzących od różnych dostawców znacznie zmniejsza prawdopodobieństwo utraty bezpieczeństwa całego systemu, gdy zawiedzie jego jedno ogniwo, zwłaszcza w sytuacji, gdy metoda ta połączona jest z wielowarstwowym mechanizmem ochrony. Należy mieć na uwadze, że administrowanie takim zróżnicowanym systemem bezpieczeństwa może być znacznie bardziej złożone, niż administrowanie systemem jednolitym Wydzielanie i monitorowanie punktów wymiany informacji systemu z otoczeniem Przykładem realizacji tej strategii jest architektura firewall, w której wszelka wymiana informacji pomiędzy systemem informatycznym organizacji, a siecią globalną odbywa się przez wydzielony fragment systemu. Może nim być komputer łączący sieć organizacji z siecią globalną czy podsieć spełniająca taką funkcję pod kontrolą odpowiedniego oprogramowania. Oprogramowanie takie ma za zadanie monitorować przesyłane informacje i sygnalizować wszelkie nieprawidłowości, bądź fakty mogące zagrozić bezpieczeństwu systemu organizacji Automatyczne blokowanie się systemu w przypadku wykrycia włamania strona 80/80

81 W strategii tej w przypadku wykrycia zagrożenia system sam blokuje w mniejszym lub większym stopniu swoje działanie uniemożliwiając intruzowi wyrządzanie większych szkód. Oczywiście ograniczona zostaje (bądź blokowana) możliwość pracy legalnych użytkowników. Jednocześnie system zapisuje wykaz swojego stanu w momencie wykrycia zagrożenia, co później ułatwia likwidację ewentualnych szkód lub lokalizację wyłomu w systemie bezpieczeństwa Hierarchizacja uprawnień użytkowników systemu Do systemu wprowadza się hierarchie użytkowników w związku z uprawnieniami, jakie posiadają. Użytkownicy pełniący funkcje administracyjne mają większe prawa, niż użytkownicy tych funkcji niepełniący. Administratorzy poszczególnych podsystemów (np. Podsystemu drukowania, czy podsystemu poczty elektronicznej) posiadają mniejsze prawa, niż administratorzy główni, dzięki temu w przypadku ataku na system narażony jest tylko fragment systemu Świadome kreowanie i eksponowanie "słabych punktów" Strategia ta polega na zastosowaniu pewnego triku polegającego na świadomym wyborze i eksponowaniu fragmentów systemu, które w opinii włamywacza mają uchodzić za "słaby punkt". Odwrócona zostaje wówczas uwaga intruza od pozostałych, ważniejszych części systemu. Należy oczywiście zadbać, aby poziom ochrony w tych "słabych punktach" był dostatecznie wysoki dla uniemożliwienia przeprowadzenia udanego ataku Określenie sposobu zaradzania systemem informatycznym Określenie sposobu przydzielania haseł dla użytkowników i częstotliwości ich zmiany oraz wskazanie osoby odpowiedzialnej za tą czynność. Hasło nie powinno zawierać mniej niż 6 znaków, Hasło nie może być takie samo jak identyfikator Hasło użytkownika powinno być zmieniane, co najmniej raz na miesiąc strona 81/81

82 Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych, należy niezwłocznie wyrejestrować z systemu Hasło przy wpisywaniu nie może być wyświetlane na ekranie za gospodarkę hasłami Za gospodarkę hasłami odpowiedzialny jest administrator bezpieczeństwa informacji Procedury rozpoczęcia i zakończenia pracy Administrator bezpieczeństwa informacji danych w porozumieniu z kierownikiem ustala czas pracy użytkowników systemu Administrator bezpieczeństwa informacji, lub osoba przez niego upoważniona, nadzoruje rozpoczęcie i zakończenie pracy systemu informatycznego Metody i częstotliwość tworzenia kopii awaryjnych Za sporządzanie i bezpieczeństwo kopii odpowiedzialny jest administrator bezpieczeństwa informacji, lub osoba przez niego upoważniona Kopii należy dokonywać poprzez przegrywanie (backup) całej bazy danych W każdej chwili powinno być dostępnych jednocześnie pięć kopi z ostatniego dnia tygodnia miesiąca i roku Powinno używać się różnych typów nośników danych Kopie należy przechowywać w rożnych odpowiednio od siebie oddalonych pomieszczeniach Dokładnie opisywać składowane dane Kopie okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu Regularnie konserwować urządzenia do składowania Metody sprawdzania obecności wirusów komputerowych oraz metody ich usuwania Za ochronę antywirusową odpowiedzialny jest administrator bezpieczeństwa informacji strona 82/82

83 Sprawdzanie dostępnymi programami antywirusowymi odbywać się powinno przynajmniej raz w miesiącu Zalecane jest wykorzystanie programów pracujących w tle Przy kontroli szczególną uwagę należy zwrócić na makra Każdą przesyłkę otrzymaną za pomocą transmisji danych ( , ftp) należy sprawdzić programem antywirusowym Korzystanie z zewnętrznych nośników informacji (dyskietek, dysków wymiennych, płyt cd, internetu, poczty elektronicznej) może mieć miejsce wyłącznie po uzyskaniu zgody administratora bezpieczeństwa informacji W przypadku wykrycia wirusa choćby na jednym komputerze, należy sprawdzić wszystkie stacje robocze Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych Przeglądu i konserwacji dokonuje administrator bezpieczeństwa informacji, lub osoba przez niego upoważniona, przynajmniej dwa razy w roku Zasilacz ups powinien zapewnić automatyczne zakończenie pracy i wyłączenie serwerów przy zaniku lub nadmiernym wahaniu napięcia min. Czas podtrzymania pracy wynosi 5 min Wszelkich nieprawidłowościach, awariach, próbie lub naruszeniu bezpieczeństwa danych osobowych, użytkownik powinien niezwłocznie powiadomić administratora bezpieczeństwa informacji Sposób postępowania w zakresie komunikacji w sieci komputerowej System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych, lub logicznych zabezpieczeń, chroniących przez nieuprawnionym dostępem Przy przydzielaniu uprawnień obowiązuje zasada wszystko, co nie jest dozwolone, jest zabronione Administrator bezpieczeństwa informacji z administratorem danych określa zasoby dostępne dla każdego użytkownika Użytkownicy powinni być przydzielani do odpowiedniej grupy roboczej, automatycznie w procesie logowania strona 83/83

84 Dostęp do serwerowi ma tylko administrator bezpieczeństwa informacji i pracownicy przez niego upoważnieni Dostęp do konsoli serwera winien być zabezpieczony hasłem Administrator bezpieczeństwa informacji winien monitorować pracę w sieci za pomocą dostępnego oprogramowania narzędziowego i plików.log W pomieszczeniu, gdzie ustawiony jest serwer powinien pracować tylko administrator bezpieczeństwa informacji, lub osoby przez niego upoważnione Nie wolno instalować w sieci własnego oprogramowania bez zgody administratora bezpieczeństwa informacji zwykli użytkownicy nie powinni mieć dostępu do zasobów systemowych serwera, katalogów roboczych, danych i wolumenów z poziomu systemu operacyjnego Dostęp do archiwalnych plików pocztowych należy zabezpieczyć hasłem W celu zwiększenia bezpieczeństwa transmisji danych osobowych należy stosować kryptografie Komunikacja w sieci lokalnej musi umożliwiać identyfikację pracujących użytkowników Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy stwierdzono naruszenie zabezpieczenia systemu informatycznego, lub stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych. Każdy pracownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym zobowiązany jest do niezwłocznego poinformowania o tym administratora tego systemu informatycznego, lokalnego administratora danych osobowych lub w przypadku ich nieobecności administratora bezpieczeństwa informacji przedsiębiorstwa. Administrator bazy danych osobowych, strona 84/84

85 który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego: Zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu Jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania Przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp. Podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in. - fizycznego odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej, - wylogowania użytkownika podejrzanego o naruszenie ochrony danych, - zmianę hasła na konto administratora i użytkownika, poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu. Szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych, Przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania strona 85/85

86 Dostępu przez osobę nieupoważnioną, tą samą drogą. Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. - jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych. - jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości. - jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych. Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych, w porozumieniu z właściwym lokalnym administratorem danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 14 dni od daty jego zaistnienia przekazuje lokalnemu administratorowi danych oraz administratorowi bezpieczeństwa informacji przedsiębiorstwa. Administrator bezpieczeństwa informacji przeprowadza analizę raportów pochodzących od wydziałowych administratorów bezpieczeństwa informacji i uwzględnia je w opracowywaniu corocznego raportu dla administratora danych przedsiębiorstwa. 11 Podłogi podniesione modułowe dla pomieszczenia MDF strona 86/86

87 Podłogi podniesione modułowe stosuje się wszędzie tam, gdzie zachodzi potrzeba okablowania pomieszczeń i stanowisk pracy - w szczególności, gdy wymagany jest bezpośredni dostęp do przestrzeni podpodłogowej na całej powierzchni. Podłoga składa się z płyt 60x60 cm, opartych na słupkach - bezpośrednio w narożnikach albo za pośrednictwem rusztu. W obu przypadkach słupki są na trwałe przymocowane do stropu w rozstawie modułowym 60 x 60 cm. Przestrzeń podpodłogowa (o wysokości od kilku cm 12 cm bez rusztu. służy do prowadzenia różnego rodzaju instalacji : elektrycznych, telefonicznych, komputerowych, telewizji przemysłowej, alarmowej, gaśniczej itp. Płyty mogą posiadać otwory, w których montuje się kasety do mocowania różnego rodzaju gniazd, np. elektrycznych, telefonicznych, komputerowych. Elementy systemu 1. Płyta modułowa 60x60 cm 2. Dowolne wykończenie powierzchni podłogi np wykładzina PCW 3. Puszka instalacyjna na gniazdka elektryczne, telefoniczne, komputerowe strona 87/87

88 4. Strop betonowy oczyszczony i zagruntowany 5. Słupek podporowy regulowany ze stali galwanizowanej Zalety podłogi podniesionej modułowej: - bezpośredni dostęp do każdego miejsca pod podłogą ; - wolna przestrzeń pod całą powierzchnią podłogi do prowadzenia różnego rodzaju instalacji; - możliwość umieszczania kaset podłogowych z różnymi gniazdami instalacyjnymi praktycznie w dowolnym miejscu podłogi; - łatwa zmiana położenia lub montaż dodatkowej kaset podłogowej w trakcie eksploatacji; - możliwość wymiany każdej płyty podłogowej z osobna; - suchy montaż gotowych elementów podłogi; -możliwość pełnego obciążania podłogi już po 24 h od montażu; -możliwość wykończenia górnej powierzchni podłogi dowolnym, ogólnie stosowanym na posadzki materiałem (wykładziny dywanowe, PCV, linoleum, kamień naturalny i sztuczny, parkiet, szkło); Podłogi podniesione wykonane z płyt mineralnych (paroll 90, paroll 90b) oraz z płyt wiórowych paroll 140 b wraz z wykładziną antystatyczną mogą być stosowane w pomieszczeniach objętych wymaganiami ochrony przed elektrycznością statyczną, ochrony przeciwpożarowej i przeciwzakłóceniowej m.in. na stanowiskach montażu i obsługi elektronicznej aparatury kontrolno-pomiarowej, aparatury diagnostycznej, urządzeń telekomunikacyjnych i komputerowych, w tym w strefach zagrożenia wybuchem Z0, Z1, Z2 i Z10. strona 88/88

89 Schematy podłogi podniesionej w pomieszczeniu MDF Rysunek 11. Podłoga podniesiona pomieszczenia MDF strona 89/89

90 Rysunek 12. gipsowo-włóknowych Podłoga techniczna rozmieszczenie modułów paroll 90 płyt Wysokość podłogi od o poziomu posadzki 120 mm do poziomu podłogi technicznej, kanał rewizyjny wzmocniony profilami z kątownika aluminiowego, dwa moduły podłogowe wentylowane, powierzchnia przekroju otworów : 107 cm2. Wydajność : m3/h, których zadaniem jest wyrównanie ciśnień przy podaniu środka gaśniczego. W podstawie szaf 6 otworów na wprowadzenie przewodów światłowodowych, oraz w celu szybszego wypełnienia wnętrz szaf środkiem gaśniczym. strona 90/90

91 Rysunek 13. Podstawy szafy serwerów 12 Klimatyzacja 12.1 Uzasadnienie instalacji klimatyzacji podstawowe parametry Urządzenia komputerowe wymagają stałości w danym zakresie i danym czasie oraz nieprzekraczania zadanych wartości. Na długotrwałość i bezawaryjność pracy sprzętu komputerowego oraz sieciowego ma znaczny wpływ mikroklimat panujący w pomieszczeniu roboczym serwerowi MDF. Klimatyzacja, to kształtowanie mikroklimatu pomieszczenia. Na mikroklimat składają się takie parametry powietrza jak: ciśnienie, temperatura, wilgotność, czystość, Klimatyzacja ma znacznie szersze zadanie, powinna utrzymać powietrze w pomieszczeniach w takim stanie, aby jego czystość, temperatura, wilgotność strona 91/91

92 pozostały w określonych granicach. Dla sprzętu komputerowego zalecane jest odpowiedni mikroklimat: temperatura 20-26C, wilgotność powietrza 45-65%, lekki ruch powietrza, prędkość ruchu nie powinna przekraczać 0,1 do 0,15 m/s, ograniczenie dostępu kurzu i pyłów oraz ich usuwanie przez filtrację. Idealny w naszym klimacie i naszych realiach ekonomicznych klimatyzator powinien być wyposażony w: 1. Pełen zakres regulacji temperatury w pomieszczeniu np. w granicach st. C. z możliwością regulacji 1 st. C. 2. Pompę ciepła typu powietrze-powietrze działającą do -20 st. C na zewnątrz. 3. Konstrukcję typu split, tzn. typu dzielonego, możliwie prostą do montażu i uruchomienia 4. Doskonałej jakości kompresor z płynną regulacją wydajności w całym zakresie. 5. Mikrokomputer automatycznie kontrolujący wszystkie parametry pracy i stanu urządzenia tzn. temperaturę w pomieszczeniu, temperaturę i stan obu części splitu, stan filtrów itp. 6. Filtry powietrza recyrkulowanego w pomieszczeniu, najlepiej elektrostatyczne lub dobre jakościowo mechaniczne z kontrolą stanu zabrudzenia filtra do wielokrotnego użycia. 7. Zdalne sterowanie pilotem na podczerwień umożliwiające wybór funkcji: grzanie, chłodzenie, suszenie lub wentylacja pełnej mocy najlepiej wyłączając się po określonym czasie, aby przejść do stanu będącego w pamięci programowalny w czasie rzeczywistym automatyczny start - stop do pracy w cyklu dobowym sterowanie kierunkiem wydmuchu powietrza ręczne i automatyczne sterowanie intensywnością wydmuchu ręczne i automatyczne oraz wachlowanie sterowanie wydajnością klimatyzacji i związanym z tym poborem energii ręczne i automatyczne opcję cichej pracy strona 92/92

93 Klimatyzacja precyzyjna Pomieszczenia cyfrowych central telefonicznych telefonii przewodowej, Data Center telefonii komórkowej, serwerownie komputerowe, pomieszczenia systemów zasilających i UPS oraz pomieszczenia obsługi, a także drukarnie, wyposażane są w nowoczesny, wymagający odpowiednich warunków sprzęt elektroniczny. Poszczególni producenci sprzętu elektronicznego starają się instalować urządzenia energooszczędne (o małych stratach energii - ciepła), możliwie niewrażliwe na warunki otoczenia, jednak praktyka wykazuje, że właściwe stałe warunki pracy zdecydowanie przedłużają ich żywotność i podnoszą niezawodność. Dlatego zasadne jest stosowanie urządzeń klimatyzacyjnych w pomieszczeniu serwerowi Montaż klimatyzacji Urządzenia klimatyzacyjne należy zamontować na ścianie zewnętrznej na wysokości przestrzeni miedzystropowej 1 i 2 pietra budynku (klimatyzator część zewnętrzna), natomiast klimatyzator wewnętrzny na środku ściany na wysokości 2 m od posadzki ( powyżej górnej krawędzi szaf serwerów). Odległość między częścią zewnętrzną klimatyzatora a klimatyzatorem wewnętrznym nie może przekroczyć 5 m. Rysunek 14. Obieg powietrza w pomieszczeniu klimatyzowanym Parametry techniczne klimatyzatora (załącznik nr 34) Obliczenie zapotrzebowania chłodu dla pomieszczenia serwerowni MDF (załącznik nr 35) strona 93/93

94 Instrukcja obsługi (załącznik nr 36) Oferta realizacji (załącznik nr 37) 13 Ochrona fizyczna Jak powszechnie wiadomo, zapewnienie skutecznego i adekwatnego poziomu bezpieczeństwa w każdym prawie obiekcie, a w szczególności w pomieszczeniach serwerowni MDF, oparte jest na odpowiednio wyważonym, opartym na analizie potrzeb połączeniu prawidłowo dobranych środków technicznych oraz profesjonalnej ochrony fizycznej. Oba te elementy uzupełniają się, a ich wzajemne proporcje i zakres stosowania są zawsze ściśle powiązane z konkretną sytuacją i charakterem danego obiektu. Przewiduje się usytuowanie całodobowego 1-osobowego posterunku stałego w budynku głównym (portierni) na terenie nieruchomości. Pracownicy ochrony powinni być zaopatrzeni w przenośne środki łączności. Istnieje możliwość wykorzystania pomieszczeń nieruchomości i mediów komunalnych do celów socjalnych w stopniu i zakresie niezbędnym do wykonywania obowiązków ochrony. Do zadań ochrony należeć będzie ochrona obiektów i mienia przed dewastacją, zniszczeniem, kradzieżą, penetracją osób trzecich oraz codzienne sprawdzanie stanu technicznego budynków i instalacji pod względem uszkodzeń i natychmiastowe zgłaszanie wszelkich usterek i awarii System AKARD Zadaniem systemu jest udostępnianie pomieszczeń i stref wyłącznie osobom uprawnionym. strona 94/94

95 Uprawnienia określają godziny i dni, w których jest możliwy dostęp do określonych pomieszczeń dla posiadaczy karty. Zapisane są one na kartach oraz w terminalach. Autoryzacja odbywa się poprzez identyfikację w terminalu karty elektronicznej. Karta może być dodatkowo zabezpieczona PIN kodem, mieć określoną datę ważności lub krotność użyć. Poprawna autoryzacja kończy się odblokowaniem rygla elektromagnetycznego zamka drzwi, zwolnieniem ramienia kołowrotu lub aktywowaniem innego urządzenia. System rejestruje i ewidencjonuje wszystkie próby autoryzacji, to znaczy te, które: Zakończyły się sukcesem, Nie zakończyły się sukcesem z powodu próby autoryzacji obcą kartą, Nie zakończyły się sukcesem ze względu na brak uprawnień na karcie działającej w systemie, Wszystkie zaewidencjonowane próby autoryzacji zapisywane są w systemowej bazie danych i archiwizowane. W razie potrzeby dane te mogą być podstawą do tworzenia raportów i zestawień dotyczących osób, pomieszczeń czy podziałów czasowych. 14 Ochrona przeciwpożarowa Cele polityki przeciwpożarowej. Celem zainstalowania ochrony przeciwpożarowej jest stworzenie odpowiednio zaprojektowanych barier dla rozprzestrzeniania się pożaru. Ochrona przeciwpożarowa to głównie środki wstrzymujące przesuwanie się ognia oraz system blokady połączeń pożarowych między piętrami. W każdym systemie należy przewidzieć zainstalowanie takiej ochrony przeciwpożarowej według ściśle określonych procedur i z wykorzystaniem właściwych materiałów dla wykonania odpowiedniej izolacji wyznaczonych obszarów. strona 95/95

96 Istotną rolą systemu ppoż. jest wczesne wykrycie zarzewia pożaru i usunięcie przyczyn mogących przyczynić się do jego rozwoju, wczesne powiadomienie Straży Pożarnej oraz służb technicznych obiektu. Systemy sygnalizacji pożarowej i alarmowej Systemem alarmowym jest kombinacja kilku urządzeń: centrali alarmowej, czujek oraz sygnalizatorów. Systemy sygnalizacji pożarowej umożliwiają automatyczne wykrywanie pożaru, określanie miejsca, w którym pożar powstał oraz włączenie urządzeń powiadamiających o niebezpieczeństwie lub automatycznie gaszących pożar, natomiast systemy alarmowe automatycznie informują o intruzach na chronionym terenie lub obiekcie. Systemy takie są adresowalne, wykorzystują technikę mikroprocesorową, co umożliwia elastyczne kształtowanie konfiguracji instalacji alarmowej w zależności od wielkości zabezpieczanego obiektu. Centralki Centralka odbiera sygnały przychodzące od ostrzegaczy (czujek i ręcznych przycisków) oraz podejmuje decyzje o włączeniu sygnału alarmowego i uruchomieniu urządzeń wykonawczych. Sygnały przychodzące od czujek są przez centralkę odpowiednio weryfikowane w celu uniknięcia fałszywych alarmów. Niezależnie od tego dla każdej strefy lub grupy stref, istnieje możliwość wyboru (zaprogramowania) jednego z siedmiu wariantów alarmowania, najbardziej przydatnego w danym obiekcie. Centralka zawiera również układy zasilające cały system w energię elektryczną oraz układy kontrolujące sprawność dołączonej instalacji. Istnieją dwa podstawowe tryby pracy central i czujek alarmowych: -Linie alarmowe - włączone w stan dozoru na czas, kiedy w pomieszczeniu nikt nie przebywa. To rozwiązanie jest wykorzystywane do podłączenia czujek ruchu pasywnej podczerwieni, -Linie całodobowe - czynne przez cały czas, zapewniają ochronę również wtedy, gdy przebywamy w pomieszczeniu. Przykładem wykorzystania takich linii mogą być czujki pożarowe czy też czujki inercyjne, ochraniające drzwi i okna. Czujki pożarowe czujki pożarowe umożliwiają wykrywanie dymu czujki jonizacyjne czujki optyczne czujki izotopowe strona 96/96

97 czujki temperatury-różnicowe Czujki te skonstruowane są w taki sposób, że reagują na szybki przyrost i przekroczenie określonego progu temperatury. Alarmują o zaistniałym niebezpieczeństwie - sygnałem dźwiękowym lub przekazują wiadomość do centralki znajdującej się na portierni. Metody mechaniczne świetnie zabezpieczają przed pożarem, ale często są niepraktyczne bądź niewłaściwe. Zazwyczaj stosuje się metody nie mechaniczne, takie jak: uszczelniacze mieszanki cementowe powłoki przeciwpożarowe pianki poduszki ogniowe kit. Każda z tych nie mechanicznych metod ma swoje zalety, zależnie od warunków instalacji. MOD-TAP zaleca zastosowanie materiału, który można w każdej chwili usunąć przy prowadzeniu dodatkowego kabla przez otwór, są to: kit, poduszki oraz pewne rodzaje okręcanych powłok przeciwogniowych. Zawsze należy zainstalować materiały przeciwpożarowe zgodnie z instrukcją podaną przez producenta Sposoby alarmowania PSP oraz dyżurnego administratora i elektryka 1. powiadamianie PSP oraz służb technicznych drogą telefoniczną przez pracownika agencji ochrony (zawarty w zakresie obowiązków ) 2. Automatyczne powiadamianie adminstratora i elektryka dyżurnego o zadziałaniu stałej instalacji gaśniczej przez dialer telefoniczny: DIAL1602M- Dialer dwukomunikatowy z pamiecią zdarzeń. DIAL1602M można skonfigurować jako dialer z jednym komunikatem alarmowym i dziesięcioma alarmowymi numerami telefonicznymi lub z dwoma komunikatami i strona 97/97

98 pięcioma numerami alarmowymi przypadającymi na każdy z komunikatów. Drugie rozwiązanie umożliwia rozróżnienie typu alarmu (np. włamanie i pożar) i podjęcie odpowiedniej do typu zagrożenia akcji powiadamiania. DIAL1602M można również wykorzystać jako dwustrefową centralę alarmową, gdyż posiada wyjście sygnalizujące alarm, wejście do podłączenia szyfratora oraz pełny zakres programowania zwłok na wejście i wyjście z obiektu, czasy alarmu itp. Alarmowy Automat telefoniczny DIAL1602M Specyfikacja tech (załącznik nr 38) Alarmowy Automat telefoniczny DIAL1602 dane techniczne (załącznik nr 39) 3. System bezpośredniego powiadamiania Straży Pożarnej, zlecana jako usługa dla firmy FLORTECH. strona 98/98

99 Rysunek 15. centrali ppoż Uproszczony schemat rozmieszczenia sprzętu alarmowania i strona 99/99

Normy i zalecenia dotyczące montażu okablowania

Normy i zalecenia dotyczące montażu okablowania Normy i zalecenia dotyczące montażu okablowania strukturalnego Organizacje standaryzacyjne Zadaniem okablowania strukturalnego jest umożliwienie przyłączenia do sieci dowolnego sprzętu wyprodukowanego

Bardziej szczegółowo

Załącznik nr 1 Do Umowy nr z dnia. . Wymagania techniczne sieci komputerowej.

Załącznik nr 1 Do Umowy nr z dnia. . Wymagania techniczne sieci komputerowej. Załącznik nr 1 Do Umowy nr z dnia.. Wymagania techniczne sieci komputerowej. 1. Sieć komputerowa spełnia następujące wymagania techniczne: a) Prędkość przesyłu danych wewnątrz sieci min. 100 Mbps b) Działanie

Bardziej szczegółowo

komputerowych Dariusz CHAŁADYNIAK informatyka+

komputerowych Dariusz CHAŁADYNIAK informatyka+ Budowa i działanie sieci komputerowych Dariusz CHAŁADYNIAK 2 Plan prezentacji Historia sieci komputerowych i Internetu Rola, zadania i podział sieci komputerowych Modele sieciowe Topologie fizyczne i logiczne

Bardziej szczegółowo

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN PLAN KONSPEKT do przeprowadzenia zajęć z przedmiotu Wprowadzenie do projektowania sieci LAN TEMAT: Wprowadzenie do projektowania sieci LAN CEL: Zapoznanie uczniów z podstawami zasadami projektowania sieci

Bardziej szczegółowo

Wykład II. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski www.bartoszewski.pr.radom.pl

Wykład II. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski www.bartoszewski.pr.radom.pl Administrowanie szkolną siecią komputerową dr Artur Bartoszewski www.bartoszewski.pr.radom.pl Wykład II 1 Tematyka wykładu: Media transmisyjne Jak zbudować siec Ethernet Urządzenia aktywne i pasywne w

Bardziej szczegółowo

Planowanie sieci komputerowej. mgr inż. Krzysztof Szałajko

Planowanie sieci komputerowej. mgr inż. Krzysztof Szałajko Planowanie sieci komputerowej mgr inż. Krzysztof Szałajko Co weźmiemy po uwagę? Wersja 1.0 2 / 31 Koszt Urządzenie centralne. Koncentrator? Switch? Jedno urządzenie centralne + bardzo długie połączenia

Bardziej szczegółowo

PROJEKT WYKONANIA OKABLOWANIA STRUKTURALNEGO. W BUDYNKACH A i B

PROJEKT WYKONANIA OKABLOWANIA STRUKTURALNEGO. W BUDYNKACH A i B Załącznik nr 2 PROJEKT WYKONANIA OKABLOWANIA STRUKTURALNEGO W BUDYNKACH A i B STAROSTWA POWIATOWEGO W NOWYM TOMYŚLU UL. POZNAŃSKA 33 INWESTOR: STAROSTWO POWIATOWE w Nowym Tomyślu OBIEKT: BUDYNEK STAROSTWA

Bardziej szczegółowo

Sieć LAN to dziś nieodzowny element infrastruktury informatycznej

Sieć LAN to dziś nieodzowny element infrastruktury informatycznej Projektowanie sieci firmowej od A do Z 01 Sieć LAN to dziś nieodzowny element infrastruktury informatycznej w każdej firmie, a coraz częściej także w domu. Jeśli zależy Ci, aby sieć w Twojej firmie funkcjonowała

Bardziej szczegółowo

3. Wykonawca zamontuje i podłączy tablicę rozdzielczą wyposażoną w odpowiednie zabezpieczenia przeciążeniowe i zwarciowe, zasilającą gniazda PEL.

3. Wykonawca zamontuje i podłączy tablicę rozdzielczą wyposażoną w odpowiednie zabezpieczenia przeciążeniowe i zwarciowe, zasilającą gniazda PEL. Załącznik nr 2 Szczegółowe wymagania/opis przedmiotu zamówienia 1. Przedmiotem zamówienia jest realizacja projektu High Availability Network Schema (HANS) ujętego w Projekcie E-Akademia Punkt 1d Budynek

Bardziej szczegółowo

Podstawy systemu okablowania strukturalnego

Podstawy systemu okablowania strukturalnego Podstawy systemu okablowania strukturalnego Sposób okablowania budynków wymaga podjęcia odpowiednich, rzetelnych decyzji w zakresie telekomunikacji w przedsiębiorstwach. System okablowania jest podstawą

Bardziej szczegółowo

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach? Zadanie 1. Na rysunku przedstawiono sieć o topologii A. siatki. B. drzewa. C. gwiazdy. D. magistrali. Zadanie 2. Jaką przepływność definiuje standard sieci Ethernet IEEE 802.3z? A. 1 Gb B. 10 Mb C. 100

Bardziej szczegółowo

Wskazania dla ośrodków egzaminacyjnych dotyczące przygotowania stanowisk egzaminacyjnych maj-lipiec 2015 r.

Wskazania dla ośrodków egzaminacyjnych dotyczące przygotowania stanowisk egzaminacyjnych maj-lipiec 2015 r. Wskazania dla ośrodków egzaminacyjnych dotyczące przygotowania stanowisk egzaminacyjnych maj-lipiec 2015 r. E.13. Projektowanie lokalnych sieci komputerowych i administrowanie sieciami Tabela Powiązanie

Bardziej szczegółowo

Dwa lub więcej komputerów połączonych ze sobą z określonymi zasadami komunikacji (protokołem komunikacyjnym).

Dwa lub więcej komputerów połączonych ze sobą z określonymi zasadami komunikacji (protokołem komunikacyjnym). Sieci komputerowe Dwa lub więcej komputerów połączonych ze sobą z określonymi zasadami komunikacji (protokołem komunikacyjnym). Zadania sieci - wspólne korzystanie z plików i programów - współdzielenie

Bardziej szczegółowo

Projekt ma być wykonany w oparciu o najnowsze normy ISO tworzenia sieci i ma być z nimi zgodny.

Projekt ma być wykonany w oparciu o najnowsze normy ISO tworzenia sieci i ma być z nimi zgodny. Spis treści: 1. Ogólny opis. 2. Specyfikacja techniczna. 3. Projekt. 4. Wykaz urządzeń sieci. 5. Składanie Ofert 1. Ogólny opis. Przedmiotem zamówienia jest stworzenie sieci lokalnej komputerowej i telefonicznej

Bardziej szczegółowo

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych? Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie

Bardziej szczegółowo

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 1 c.d. Warstwa fizyczna, Ethernet

Sieci komputerowe. Zajęcia 1 c.d. Warstwa fizyczna, Ethernet Sieci komputerowe Zajęcia 1 c.d. Warstwa fizyczna, Ethernet Rola warstwy fizycznej Określa rodzaj medium transmisyjnego (np. światłowód lub skrętka) Określa sposób kodowania bitów (np. zakres napięć odpowiadających

Bardziej szczegółowo

1. W ramach zamówienia Wykonawca dostarczy, zainstaluje oraz skonfiguruje sprzęt i oprogramowanie wyszczególnione poniżej:

1. W ramach zamówienia Wykonawca dostarczy, zainstaluje oraz skonfiguruje sprzęt i oprogramowanie wyszczególnione poniżej: Załącznik nr. do SIWZ Z A K R E S I L O Ś C I O W Y P R Z E D M I O T U Z A M Ó W I E N I A - S P E C Y F I K A C J A I L O Ś C I O W A S P R Z Ę T U K O M P U T E R O W E G O I O P R O G R A M O W A N

Bardziej szczegółowo

Wykład 2 Transmisja danych i sieci komputerowe. Rodzaje nośników. Piotr Kolanek

Wykład 2 Transmisja danych i sieci komputerowe. Rodzaje nośników. Piotr Kolanek Wykład 2 Transmisja danych i sieci komputerowe Rodzaje nośników Piotr Kolanek Najważniejsze technologie Specyfikacja IEEE 802.3 przedstawia m.in.: 10 Base-2 kabel koncentryczny cienki (10Mb/s) 100 Base

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

UNIWERSYTET im. ADAMA MICKIEWICZA w Poznaniu

UNIWERSYTET im. ADAMA MICKIEWICZA w Poznaniu INWESTOR: UNIWERSYTET im. ADAMA MICKIEWICZA w Poznaniu OBIEKT: Collegium Maius ul. Fredry 10, 61-701 Poznań STADIUM: PROJEKT WYKONAWCZY BRANŻA: Teletechniczna ZAKRES OPRACOWANIA: Remont instalacji okablowania

Bardziej szczegółowo

WLAN bezpieczne sieci radiowe 01

WLAN bezpieczne sieci radiowe 01 WLAN bezpieczne sieci radiowe 01 ostatnim czasie ogromną popularność zdobywają sieci bezprzewodowe. Zapewniają dużą wygodę w dostępie użytkowników do zasobów W informatycznych. Jednak implementacja sieci

Bardziej szczegółowo

TP-LINK rozszerza ofertę urządzeń w standardzie 802.11ac

TP-LINK rozszerza ofertę urządzeń w standardzie 802.11ac TP-LINK rozszerza ofertę urządzeń w standardzie 802.11ac Dzięki najnowszym propozycjom TP-LINK routerom Archer C2 i Archer D7 oraz karcie sieciowej Archer T4U, możesz cieszyć się z zalet transmisji danych

Bardziej szczegółowo

Spis treści. I Pierwsze kroki... 17

Spis treści. I Pierwsze kroki... 17 Spis treści Wstęp... 13 Zalety sieci... 14 Współdzielenie połączenia z Internetem... 14 Współdzielenie drukarek... 15 Dostęp do plików z dowolnego miejsca... 15 Gry i zabawy... 15 Dla kogo jest przeznaczona

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

Ethernet. Ethernet odnosi się nie do jednej, lecz do wielu technologii sieci lokalnych LAN, z których wyróżnić należy cztery podstawowe kategorie:

Ethernet. Ethernet odnosi się nie do jednej, lecz do wielu technologii sieci lokalnych LAN, z których wyróżnić należy cztery podstawowe kategorie: Wykład 5 Ethernet IEEE 802.3 Ethernet Ethernet Wprowadzony na rynek pod koniec lat 70-tych Dzięki swojej prostocie i wydajności dominuje obecnie w sieciach lokalnych LAN Coraz silniejszy udział w sieciach

Bardziej szczegółowo

Wykład I. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski www.bartoszewski.pr.radom.pl

Wykład I. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski www.bartoszewski.pr.radom.pl Administrowanie szkolną siecią komputerową dr Artur Bartoszewski www.bartoszewski.pr.radom.pl Wykład I 1 Tematyka wykładu: Co to jest sieć komputerowa? Usługi w sieciach komputerowych Zasięg sieci Topologie

Bardziej szczegółowo

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki.

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki. Program Testów SPIS TREŚCI 1 Wprowadzenie... 3 2 Zasady prowadzenia testów (Regulamin)... 3 3 Wykaz testowanych elementów... 4 4 Środowisko testowe... 4 4.1 Środowisko testowe nr 1.... Błąd! Nie zdefiniowano

Bardziej szczegółowo

1 2004 BRINET Sp. z o. o.

1 2004 BRINET Sp. z o. o. W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu Mbit/s,

Bardziej szczegółowo

Wymagania dotyczące łączy: należy zapewnić redundancję łączy w połączeniach pomiędzy routerami Uruchmić protokół routingu RIP v.2

Wymagania dotyczące łączy: należy zapewnić redundancję łączy w połączeniach pomiędzy routerami Uruchmić protokół routingu RIP v.2 Sławomir Wawrzyniak 236425 PROJEKT SIECI KOMPUTEROWEJ Specyfikacja: Wykupiona pula adresów IP: 165.178.144.0/20 Dostawca dostarcza usługę DNS Łącze do ISP: 1Gbit ethernet Wymagania dotyczące podsieci:

Bardziej szczegółowo

Elementy pasywne i aktywne sieci komputerowej. Szafy dystrybucyjne

Elementy pasywne i aktywne sieci komputerowej. Szafy dystrybucyjne Elementy pasywne i aktywne sieci komputerowej Szafy dystrybucyjne Szafy dystrybucyjne stanowią strategiczny elementy okablowania strukturalnego. W stelażu szafy zainstalowane są urządzenia aktywne wraz

Bardziej szczegółowo

Sieci komputerowe, urządzenia sieciowe

Sieci komputerowe, urządzenia sieciowe Sieci komputerowe, urządzenia sieciowe Wykład: LAN, MAN, WAN, intranet, extranet, topologie sieciowe: szyna, gwizada, pierścień, rodzaje przewodów sieciowych: BNC, koncentryczny, skrętka, UTP, STP, światłowód,

Bardziej szczegółowo

MODUŁ 3. WYMAGANIA EGZAMINACYJNE Z PRZYKŁADAMI ZADAŃ

MODUŁ 3. WYMAGANIA EGZAMINACYJNE Z PRZYKŁADAMI ZADAŃ MODUŁ 3. WYMAGANIA EGZAMINACYJNE Z PRZYKŁADAMI ZADAŃ E.16. Montaż i eksploatacja sieci rozległych 1. Przykłady zadań do części pisemnej egzaminu dla wybranych umiejętności z kwalifikacji E.16. Montaż i

Bardziej szczegółowo

1. Ogólna charakterystyka projektu

1. Ogólna charakterystyka projektu 1. Ogólna charakterystyka projektu 1.1. Założenia projektowe Celem niniejszej pracy jest wykonanie okablowania strukturalnego i zaprojektowanie sieci wirtualnej dla potrzeb pewnej firmy, mieszczącej się

Bardziej szczegółowo

Specyfikacja techniczna przedmiotu zamówienia dla części A

Specyfikacja techniczna przedmiotu zamówienia dla części A Załącznik nr 1 Specyfikacja techniczna przedmiotu zamówienia dla części A A) Wykonanie instalacji dla sieci bezprzewodowej 32 punktów dostępowych Wi-Fi w budynku pałacu Rozmieszczenie punktów dostępowych

Bardziej szczegółowo

Projekt wykonawczy. Rozbudowa sieci światłowodowej w budynku. Urząd Miasta Szczecin. pl. Armii Krajowej 1, Szczecin. Budynek Urzędu Miasta Szczecin

Projekt wykonawczy. Rozbudowa sieci światłowodowej w budynku. Urząd Miasta Szczecin. pl. Armii Krajowej 1, Szczecin. Budynek Urzędu Miasta Szczecin Projekt wykonawczy Rozbudowa sieci światłowodowej w budynku Urzędu Miasta Szczecin Nr projektu: 05-2008 Inwestor: Obiekt: Adres: Branża: Projektował: Certyfikat: Urząd Miasta Szczecin pl. Armii Krajowej

Bardziej szczegółowo

1. Serwer dla Filii WUP (3 szt.)

1. Serwer dla Filii WUP (3 szt.) Załącznik nr 1 do SIWZ ZP.341-9/PW/11 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Część I 1. Serwer dla Filii WUP (3 szt.) Procesor Liczba rdzeni 4 Ilość zainstalowanych procesorów 1 Sprzętowe wsparcie wirtualizacji

Bardziej szczegółowo

Bezpieczeństwo miejskiego internetu. Adam Łukasz

Bezpieczeństwo miejskiego internetu. Adam Łukasz Bezpieczeństwo miejskiego internetu Adam Łukasz Charakterystyka gminy Janów Lubelski jest gminą miejsko-wiejską o pow. 178,24 km 2, usytuowaną w południowo - wschodniej Polsce, w woj. lubelskim, w powiecie

Bardziej szczegółowo

Miejska Biblioteka Publiczna

Miejska Biblioteka Publiczna Miejska Biblioteka Publiczna Plac Seniora 4, 59-400 Jawor tel. +48 76 8711530 email mbp@mbp.jawor.pl Projekt techniczny modernizacji i rozbudowy lokalnej sieci komputerowej Projekt wykonała Anita Przedwojewska

Bardziej szczegółowo

Ireneusz Gąsiewski. Zastosowanie Access Pointa w szkole.

Ireneusz Gąsiewski. Zastosowanie Access Pointa w szkole. Ireneusz Gąsiewski Zastosowanie Access Pointa w szkole. Spis treści: 1. Wstęp;...str.3 2. Sieć internetowa; str.3 3. Access Point;..str.4 4. Budowa szkolnej sieci;.. str.6 5. Zakończenie;.str.9 6. Bibliografia;..str.10

Bardziej szczegółowo

ZAWARTOŚĆ OPRACOWANIA Strona tytułowa 1. Okablowanie strukturalne 1.1 Podstawa opracowania 1.2 Zakres opracowania 1.3 Opis rozwiązania 1.

ZAWARTOŚĆ OPRACOWANIA Strona tytułowa 1. Okablowanie strukturalne 1.1 Podstawa opracowania 1.2 Zakres opracowania 1.3 Opis rozwiązania 1. ZAWARTOŚĆ OPRACOWANIA Strona tytułowa 1. Okablowanie strukturalne 1.1 Podstawa opracowania 1.2 Zakres opracowania 1.3 Opis rozwiązania 1.4 Zestawienie urządzeń 1.4.1 Zestawienie urządzeń dla budynku A

Bardziej szczegółowo

Urządzenie TL-WA7510N jest przeznaczone do połączeń point-to-point na daleką odległość. Umożliwia zdalne udostępnianie Internetu.

Urządzenie TL-WA7510N jest przeznaczone do połączeń point-to-point na daleką odległość. Umożliwia zdalne udostępnianie Internetu. Instalacja 1 Typowe połączenie Urządzenie TL-WA7510N jest przeznaczone do połączeń point-to-point na daleką odległość. Umożliwia zdalne udostępnianie Internetu. Powyżej pokazane jest typowe połączenie

Bardziej szczegółowo

Routing średniozaawansowany i podstawy przełączania

Routing średniozaawansowany i podstawy przełączania Przygotował: mgr inż. Jarosław Szybiński Studium przypadku case study Semestr III Akademii Sieciowej CISCO Routing średniozaawansowany i podstawy przełączania Na podstawie dokumentu CCNA3_CS_pl.pdf pochodzącego

Bardziej szczegółowo

Features: Specyfikacja:

Features: Specyfikacja: Router bezprzewodowy dwuzakresowy AC1200 300 Mb/s Wireless N (2.4 GHz) + 867 Mb/s Wireless AC (5 GHz), 2T2R MIMO, QoS, 4-Port Gigabit LAN Switch Part No.: 525480 Features: Stwórz bezprzewodowa sieć dwuzakresową

Bardziej szczegółowo

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point Routery Vigor oznaczone symbolem G (np. 2900Gi), dysponują trwale zintegrowanym koncentratorem radiowym, pracującym zgodnie ze standardem IEEE 802.11g i b. Jest to zbiór protokołów, definiujących pracę

Bardziej szczegółowo

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK NIE ARACHNOFOBII!!! Sieci i komputerowe są wszędzie WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych WYKŁAD: Role

Bardziej szczegółowo

CZĘŚĆ ELEKTRTYCZNA INSTALACJA OKABLOWANIA STRUKTURALNEGO I ZASILANIA GWARANTOWANEGO KOMPUTERÓW DLA BUDYNKU ADMINISTRACYJNEGO UG SANTOK

CZĘŚĆ ELEKTRTYCZNA INSTALACJA OKABLOWANIA STRUKTURALNEGO I ZASILANIA GWARANTOWANEGO KOMPUTERÓW DLA BUDYNKU ADMINISTRACYJNEGO UG SANTOK CZĘŚĆ ELEKTRTYCZNA INSTALACJA OKABLOWANIA STRUKTURALNEGO I ZASILANIA GWARANTOWANEGO KOMPUTERÓW DLA BUDYNKU ADMINISTRACYJNEGO UG SANTOK I. WSTĘP 1. Przedmiot opracowania. Przedmiotem opracowania jest projekt

Bardziej szczegółowo

PREMIUM BIZNES. 1000 1540zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

PREMIUM BIZNES. 1000 1540zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s Internet dla klientów biznesowych: PREMIUM BIZNES PAKIET Umowa Prędkość Internetu Prędkość Intranetu Opłata aktywacyjna Instalacja WiFi, oparta o klienckie urządzenie radiowe 5GHz (opcja) Instalacja ethernet,

Bardziej szczegółowo

MODEM. Wewnętrzny modem PCI, 56Kbps DATA/FAX/VOICE, V.92

MODEM. Wewnętrzny modem PCI, 56Kbps DATA/FAX/VOICE, V.92 SPRZĘT SIECIOWY Urządzenia sieciowe MODEM Wewnętrzny modem PCI, 56Kbps DATA/FAX/VOICE, V.92 Zewnętrzny modem USB 2.0 DATA/FAX/VOICE (V.92) 56Kbps Zewnętrzny modem 56Kbps DATA/FAX/VOICE V.92 (RS-232) MODEM

Bardziej szczegółowo

Spis treści: Strona 1. SPIS RYSUNKÓW 2 2. ZAŁOŻENIA. 3

Spis treści: Strona 1. SPIS RYSUNKÓW 2 2. ZAŁOŻENIA. 3 Spis treści: Strona 1. SPIS RYSUNKÓW 2 2. ZAŁOŻENIA. 3 2.1. PODSTAWA PRAWNA OPRACOWANIA 3 2.2. PRZEDMIOT OPRACOWANIA 3 2.3. ZAKRES OPRACOWANIA 3 2.4. DANE DO PROJEKTU 3 2.5. MATERIAŁY I URZĄDZENIA WYBÓR

Bardziej szczegółowo

CIOR 6/117/09. Właściwość Parametry wymagane Model, typ oraz parametry sprzętu oferowanego przez Wykonawcę 1 2 3 Nazwa producenta, model wyceniony

CIOR 6/117/09. Właściwość Parametry wymagane Model, typ oraz parametry sprzętu oferowanego przez Wykonawcę 1 2 3 Nazwa producenta, model wyceniony Wymagania techniczne - Część 3 AP - Access Point Standard 802.11b/g/n Częstotliwość 2,4-2,483 GHz ilość portów LAN 10/100 4 Ilość anten 3 Konfiguracja przez WWW tak Obsługa VPN tak Szyfrowanie WEP, WPA,

Bardziej szczegółowo

Ochrona odgromowa anten na dachach obiektów budowlanych

Ochrona odgromowa anten na dachach obiektów budowlanych OCHRONA ODGROMOWA OBIEKTÓW BUDOWLANYCH Ochrona odgromowa anten na dachach obiektów budowlanych Andrzej Sowa Poprawnie zaprojektowane i wykonane urządzenie piorunochronne powinno przejąć prąd piorunowy

Bardziej szczegółowo

Dysk CD (z Oprogramowaniem i Podręcznikiem użytkownika)

Dysk CD (z Oprogramowaniem i Podręcznikiem użytkownika) Do skonfigurowania urządzenia może posłużyć każda nowoczesna przeglądarka, np. Internet Explorer 6 lub Netscape Navigator 7.0. DP-G310 Bezprzewodowy serwer wydruków AirPlus G 2,4GHz Przed rozpoczęciem

Bardziej szczegółowo

ZAPYTANIE OFERTOWE NR ZO-27-057/2014-III

ZAPYTANIE OFERTOWE NR ZO-27-057/2014-III 1 Cybernet WMW Józef Woch ul. Krakowska 172 32-080 Zabierzów Tel.: 12-397-52-00, 507-122- 217 Data: 03.07.2014 ZAPYTANIE OFERTOWE NR ZO-27-057/2014-III Na dostarczenie zestawów stacji klienckich w paśmie

Bardziej szczegółowo

Sieci komputerowe od podstaw. Przyłączanie komputera do sieci

Sieci komputerowe od podstaw. Przyłączanie komputera do sieci Sieci komputerowe od podstaw. Przyłączanie komputera do sieci PROGRAM SPOTKANIA: 1. Przedstawienie organizatora spotkania 2. Co to jest sieć komputerowa. Urządzenia biorące udział w przesyle danych. 3.

Bardziej szczegółowo

ZESPÓŁ SZKÓŁ NR 9. Projekt lokalnej sieci komputerowej zapewniającej dostęp do Internetu.

ZESPÓŁ SZKÓŁ NR 9. Projekt lokalnej sieci komputerowej zapewniającej dostęp do Internetu. ZESPÓŁ SZKÓŁ NR 9 IM. ROMUALDA TRAUGUTTA W KOSZALINIE Projekt lokalnej sieci komputerowej zapewniającej dostęp do Internetu. autorzy: mgr inŝ. Tomasz Pukiewicz mgr inŝ. Rafał Traczyk - 1 - 1. ZałoŜenia

Bardziej szczegółowo

Konfigurowanie sieci VLAN

Konfigurowanie sieci VLAN Konfigurowanie sieci VLAN 1 Wprowadzenie Sieć VLAN (ang. Virtual LAN) to wydzielona logicznie sieć urządzeń w ramach innej, większej sieci fizycznej. Urządzenia tworzące sieć VLAN, niezależnie od swojej

Bardziej szczegółowo

MODUŁ 3. WYMAGANIA EGZAMINACYJNE Z PRZYKŁADAMI ZADAŃ

MODUŁ 3. WYMAGANIA EGZAMINACYJNE Z PRZYKŁADAMI ZADAŃ MODUŁ 3. WYMAGANIA EGZAMINACYJNE Z PRZYKŁADAMI ZADAŃ E.13. Projektowanie lokalnych sieci komputerowych i administrowanie sieciami 1. Przykłady zadań do części pisemnej egzaminu dla wybranych umiejętności

Bardziej szczegółowo

WNAP-7205 Zewnętrzny punkt dostępowy 5GHz 802.11a/n

WNAP-7205 Zewnętrzny punkt dostępowy 5GHz 802.11a/n WNAP-7205 Zewnętrzny punkt dostępowy 5GHz 802.11a/n Zwiększenie zasięgu sieci bezprzewodowej PLANET WNAP-7205 to zewnętrzny bezprzewodowy punkt dostępowy umożliwiający łatwe zwiększenie zasięgu i polepszenie

Bardziej szczegółowo

Szczegółowy opis przedmiotu zamówienia. Wymagana funkcjonalność systemu monitorowania środowiska w serwerowniach:

Szczegółowy opis przedmiotu zamówienia. Wymagana funkcjonalność systemu monitorowania środowiska w serwerowniach: Szczegółowy opis przedmiotu zamówienia Wymagana funkcjonalność systemu monitorowania środowiska w serwerowniach: PARAMETRY ŚRODOWISKOWE PODLEGAJĄCE KONTROLI 1. sygnalizacja przekroczenia wartości progowej

Bardziej szczegółowo

Wireless Access Point Instrukcja instalacji 1. Wskaźniki i złącza urządzenia...1 1.1 Przedni panel...1 1.2 Tylni panel...1 2. Zawartość opakowania...2 3. Podłączenie urządzenia...2 4. Konfiguracja połączenia

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

ZAPYTANIE OFERTOWE NR 3

ZAPYTANIE OFERTOWE NR 3 ZAPYTANIE OFERTOWE NR 3 z dnia : 2013-05-06 zakup środków trwałych: Router (1szt.) Access Point (3szt.) Kontroler sieci bezprzewodowej (1szt.) na : zakup usług informatycznych: Wdrożenie i uruchomienie

Bardziej szczegółowo

Systemy i Sieci Radiowe

Systemy i Sieci Radiowe Systemy i Sieci Radiowe Wykład 3 Media transmisyjne część 1 Program wykładu transmisja światłowodowa transmisja za pomocą kabli telekomunikacyjnych (DSL) transmisja przez sieć energetyczną transmisja radiowa

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

WOJEWÓDZTWO PODKARPACKIE

WOJEWÓDZTWO PODKARPACKIE WOJEWÓDZTWO PODKARPACKIE Projekt współfinansowany ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego oraz budŝetu Państwa w ramach Regionalnego Programu Operacyjnego Województwa

Bardziej szczegółowo

Puławy w Sieci budowa szerokopasmowej sieci teleinformatycznej. Urząd Miasta Puławy II LUBELSKI KONWENT INFORMATYKÓW Janów Lubelski 2013

Puławy w Sieci budowa szerokopasmowej sieci teleinformatycznej. Urząd Miasta Puławy II LUBELSKI KONWENT INFORMATYKÓW Janów Lubelski 2013 Puławy w Sieci budowa szerokopasmowej sieci teleinformatycznej Urząd Miasta Puławy II LUBELSKI KONWENT INFORMATYKÓW Janów Lubelski 2013 Informacje o projekcie Puławy w Sieci I (2005-2007) realizacja zakończyła

Bardziej szczegółowo

2. Zawartość dokumentacji. 1. Strona tytułowa. 2. Zawartość dokumentacji. 3. Spis rysunków. 4. Opis instalacji kontroli dostępu. 3.

2. Zawartość dokumentacji. 1. Strona tytułowa. 2. Zawartość dokumentacji. 3. Spis rysunków. 4. Opis instalacji kontroli dostępu. 3. 2. Zawartość dokumentacji 1. Strona tytułowa. 2. Zawartość dokumentacji. 3. Spis rysunków. 4. Opis instalacji kontroli dostępu. 3. Spis rysunków Rys nr 1 schemat instalacji KD Piwnica Rys nr 2 schemat

Bardziej szczegółowo

VLAN 450 ( 2.4 + 1300 ( 5 27.5 525787 1.3 (5 450 (2.4 (2,4 5 32 SSID:

VLAN 450 ( 2.4 + 1300 ( 5 27.5 525787 1.3 (5 450 (2.4 (2,4 5 32 SSID: Access Point Dwuzakresowy o Dużej Mocy Gigabit PoE AC1750 450 Mb/s Wireless N ( 2.4 GHz) + 1300 Mb/s Wireless AC ( 5 GHz), WDS, Izolacja Klientów Bezprzewodowych, 27.5 dbm, Mocowanie ścienne Part No.:

Bardziej szczegółowo

Zarządzanie procesowe w Urzędzie Miasta Lublin. Krzysztof Łątka

Zarządzanie procesowe w Urzędzie Miasta Lublin. Krzysztof Łątka Zarządzanie procesowe w Urzędzie Miasta Lublin wykorzystanie nowoczesnych technologii Krzysztof Łątka Poznań 28.02.2008 Agenda Lublin w liczbach Projekty IT UM Lublin Sieć i jej funkcjonalność Usługi w

Bardziej szczegółowo

PROJEKT TECHNICZNY ROZBUDOWY SYSTEMU TRANSMISJI I PUNKTÓW KAMEROW PK5-6, 8-8, 9-1 - 9-8, SYSTEMU MONITORINGU WIZYJNEGO MIASTA RADOMIA

PROJEKT TECHNICZNY ROZBUDOWY SYSTEMU TRANSMISJI I PUNKTÓW KAMEROW PK5-6, 8-8, 9-1 - 9-8, SYSTEMU MONITORINGU WIZYJNEGO MIASTA RADOMIA PROJEKT TECHNICZNY ROZBUDOWY SYSTEMU TRANSMISJI I PUNKTÓW KAMEROW PK5-6, 8-8, 9-1 - 9-8, SYSTEMU MONITORINGU WIZYJNEGO MIASTA RADOMIA Wykonawca SYMETRA Wojciech Wielogórski, ul. Kilińskiego 16, 28-100

Bardziej szczegółowo

ZAPYTANIE OFERTOWE nr 4-11/2014

ZAPYTANIE OFERTOWE nr 4-11/2014 RANET Rafał Sproch Lipnica Wielka, 03.11.2014 r. Lipnica Wielka 859 34-483 Lipnica Wielka Tel: 601 570 813, Fax: 18 264 26 40 ZAPYTANIE OFERTOWE nr 4-11/2014 Na dostarczenie sprzętu na wyposażenie 4 wież

Bardziej szczegółowo

WNL-U555HA Bezprzewodowa karta sieciowa 802.11n High Power z interfejsem USB

WNL-U555HA Bezprzewodowa karta sieciowa 802.11n High Power z interfejsem USB WNL-U555HA Bezprzewodowa karta sieciowa 802.11n High Power z interfejsem USB PLANET WNL-U555HA to bezprzewodowa karta sieciowa 802.11n High Power z interfejsem USB i odłączaną anteną 5dBi. Zwiększona moc

Bardziej szczegółowo

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE Załącznik nr 1 do umowy nr z dnia CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE Router/Firewall: szt. 6 Oferowany model *... Producent *... L.p. 1. Obudowa obudowa o wysokości maksymalnie 1U dedykowana

Bardziej szczegółowo

4 4-2 wewnętrzny 3 Czujnik dualny. 150 130-50 PIR/mikrofala 4 Czujnik zalania 20 5-5 5 Zewnętrzny sygnalizator świetlnoakustyczny

4 4-2 wewnętrzny 3 Czujnik dualny. 150 130-50 PIR/mikrofala 4 Czujnik zalania 20 5-5 5 Zewnętrzny sygnalizator świetlnoakustyczny Zał. Nr 5 do SIWZ/ nr 1 do umowy Postępowanie nr OI/UP/145/2014 SPECYFIKACJA TECHNICZNA SYSTEMU SYGNALIZACJI WŁAMANIA I NAPADU 2014 1. Założenia ogólne Instalacja systemu sygnalizacji włamania i napadu

Bardziej szczegółowo

wpłynęło w dniu 18.07.2012r.. poniższe pytanie i prośba o wyjaśnienia:

wpłynęło w dniu 18.07.2012r.. poniższe pytanie i prośba o wyjaśnienia: Na stronę internetową Poznań, dnia 20.07.2012r. 540000ZAP.370-15/12 Zakład Ubezpieczeń Społecznych II Oddział w Poznaniu działając na podstawie art. 38 ust. 1 ustawy Prawo zamówień publicznych z dnia 29.01.2004r.

Bardziej szczegółowo

coaxdata Coaxdata Homeplug i Coaxdata Gigabit 200 Mbps 700 Mbps

coaxdata Coaxdata Homeplug i Coaxdata Gigabit 200 Mbps 700 Mbps COAXDATA ADAPTER ETHERNET PRZEZ KABEL KONCENTRYCZNY QR-A00171 Coaxdata Homeplug i Coaxdata Gigabit Szerokość pasma kabla koncentrycznego pozwala na multipleksację innych usług, bez zakłócania dystrybuowanego

Bardziej szczegółowo

Bramka IP 1 szybki start.

Bramka IP 1 szybki start. Bramka IP 1 szybki start. Instalacja i dostęp:... 2 Konfiguracja IP 1 do nawiązywania połączeń VoIP... 5 Konfiguracja serwera SIP... 5 Konfiguracja uŝytkownika User1... 6 IP Polska Sp. z o.o. 2012 www.ippolska.pl

Bardziej szczegółowo

Sieci komputerowe. Wstęp

Sieci komputerowe. Wstęp Sieci komputerowe Wstęp Sieć komputerowa to grupa komputerów lub innych urządzeń połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład: korzystania ze wspólnych urządzeń

Bardziej szczegółowo

3. Przedmiot niniejszego zamówienia obejmuje w szczególności:

3. Przedmiot niniejszego zamówienia obejmuje w szczególności: Opis przedmiotu zamówienia: Przedmiotem zamówienia jest budowa elementów infrastruktury radiowej, świadczenie usług dostępu do Internetu oraz usług serwisowych. Kody Wspólnego Słownika Zamówień: 45223000-6

Bardziej szczegółowo

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych

Bardziej szczegółowo

16.2. Podstawowe elementy sieci. 16.2.1. Okablowanie

16.2. Podstawowe elementy sieci. 16.2.1. Okablowanie Rozdział 16 t Wprowadzenie do sieci komputerowych Transmisja typu klient-serwer wykorzystywana jest także w przypadku wielu usług w internecie. Dotyczy to na przykład stron WWW umieszczanych na serwerach

Bardziej szczegółowo

Sieć dostępowa w gminie - struktura kosztów i przychodów. Wiesław Baług

Sieć dostępowa w gminie - struktura kosztów i przychodów. Wiesław Baług Sieć dostępowa w gminie - struktura kosztów i przychodów Ceny usług RYNEK CENA USŁUGI KOSZTY Kategorie kosztów operacyjnych w działalności operatorskiej Koszty operacyjne związane z materiałami oraz usługami

Bardziej szczegółowo

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Część 1: Dostawa sprzętu serwerowego i sieciowego oraz oprogramowania

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Część 1: Dostawa sprzętu serwerowego i sieciowego oraz oprogramowania Zał. nr 1 do SIWZ ZP.342-5/PW/14 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Część 1: Dostawa sprzętu serwerowego i sieciowego oraz oprogramowania Kody CPV: 48820000-2 Serwery 31154000-0 Bezprzestojowe źródła

Bardziej szczegółowo

Podłączenie do szyny polowej światłowodem (LWL) w topologii linii/gwiazdy

Podłączenie do szyny polowej światłowodem (LWL) w topologii linii/gwiazdy Podłączenie do szyny polowej światłowodem (LWL) w topologii linii/gwiazdy 1. Zastosowanie... 1 2. Dane techniczne... 2 2.1. Płytka złącza światłowodowego LWL... 2 2.2. Typy przewodów złącza światłowodowego

Bardziej szczegółowo

Konfiguracja własnego routera LAN/WLAN

Konfiguracja własnego routera LAN/WLAN Konfiguracja własnego routera LAN/WLAN W zależności od posiadanego modelu routera poszczególne kroki mogą się nieznacznie różnić. Przed przystąpieniem do zmiany jakichkolwiek ustawień routera należy zapoznać

Bardziej szczegółowo

Załącznik nr 2. Opis sieci teleinformatycznej

Załącznik nr 2. Opis sieci teleinformatycznej Załącznik nr 2 Opis sieci teleinformatycznej 1. Założenia techniczne Sieć teleinformatyczna Stadionu Narodowego ma pełnić rolę wydajnego, zintegrowanego szkieletu komunikacyjnego dla wielu systemów projektowanych

Bardziej szczegółowo

Celem niniejszego zapytania ofertowego jest wyłonienie Projektanta sieci komputerowej wraz z dedykowaną siecią energetyczną.

Celem niniejszego zapytania ofertowego jest wyłonienie Projektanta sieci komputerowej wraz z dedykowaną siecią energetyczną. Poznań dnia 16.11.2009r. Znak TAI / 147 /2009 dot.: wyboru Projektanta sieci komputerowej ZAPYTANIE OFERTOWE dotyczące wyboru Projektanta sieci komputerowej na rzecz projektu inwestycyjnego W związku z

Bardziej szczegółowo

Projekt Bezprzewodowego Dostępu do Sieci na potrzeby miasteczka akademickiego Politechniki Lubelskiej

Projekt Bezprzewodowego Dostępu do Sieci na potrzeby miasteczka akademickiego Politechniki Lubelskiej Projekt Bezprzewodowego Dostępu do Sieci na potrzeby miasteczka akademickiego Politechniki Lubelskiej 10.1. Założenia i ograniczenia przy projektowaniu sieci Najważniejszym etapem budowy sieci bezprzewodowej

Bardziej szczegółowo

Router WIFI Huawei HG 553 3G/4G LTE + Modem Huawei e3372h LTE

Router WIFI Huawei HG 553 3G/4G LTE + Modem Huawei e3372h LTE Informacje o produkcie Utworzono 29-05-2016 Router WIFI Huawei HG 553 3G/4G LTE + Modem Huawei e3372h LTE Cena : 399,00 zł 154,46 zł (netto) 189,99 zł (brutto) Dostępność : Dostępny Stan magazynowy : bardzo

Bardziej szczegółowo

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez: Umowa Nr Zawarta w dniu.. roku w..., pomiędzy............ zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:......... a firmą Netword z siedzibą w Poznaniu zwanym w dalszej części umowy

Bardziej szczegółowo

1. Punkt dostępowy łączności bezprzewodowej z przyłączem

1. Punkt dostępowy łączności bezprzewodowej z przyłączem 1. Punkt dostępowy łączności bezprzewodowej z przyłączem 1.1 Punkt dostępowy dostawa, rozmieszczenie i zainstalowanie 25. punktów dostępowych łączności bezprzewodowej: 1. Obudowa z wizualną sygnalizacją

Bardziej szczegółowo

Zespół Szkół Ponadgimnazjalnych Nr 1 w Barlinku - Technik informatyk

Zespół Szkół Ponadgimnazjalnych Nr 1 w Barlinku - Technik informatyk Topologie sieci Topologie sieci lokalnych mogą być opisane zarówno na płaszczyźnie fizycznej, jak i logicznej. Topologia fizyczna określa organizację okablowania strukturalnego, topologia logiczna opisuje

Bardziej szczegółowo

ZAPYTANIE OFERTOWE nr 1-06/2014

ZAPYTANIE OFERTOWE nr 1-06/2014 RANET Rafał Sproch Lipnica Wielka, 09.06.2014 r. Lipnica Wielka 859 34-483 Lipnica Wielka Tel: 601 570 813, Fax: 18 264 26 40 ZAPYTANIE OFERTOWE nr 1-06/2014 Na dostarczenie sprzętu, wykonanie i uruchomienie

Bardziej szczegółowo

Nr sprawy ZO/2/8.2/2014 Załącznik nr 1 FORMULARZ OFERTY

Nr sprawy ZO/2/8.2/2014 Załącznik nr 1 FORMULARZ OFERTY Nr sprawy ZO/2/8.2/2014 Załącznik nr 1 Nazwa i adres Wykonawcy FORMULARZ OFERTY...... REGON:..... NIP:... Nr tel.:... fax:... e-mail:... Osoba uprawniona do kontaktu z Zamawiającym (imię, nazwisko):...

Bardziej szczegółowo

3.Przedmiot umowy będzie realizowany z materiałów dostarczonych przez Wykonawcę.

3.Przedmiot umowy będzie realizowany z materiałów dostarczonych przez Wykonawcę. UMOWA zawarta w Krakowie dnia... pomiędzy: Krakowskim Szpitalem Specjalistycznym im. Jana Pawła II w Krakowie, ul. Prądnicka 80, 31-202 Kraków wpisanym do rejestru stowarzyszeń, innych organizacji społecznych

Bardziej szczegółowo