konfigurace síťových připojení a služeb pro

KONFIGURACE SÍŤOVÝCH PŘIPOJENÍ
A SLUŽEB PRO
WINDOWS A LINUX
Bc. PetrŠtěrba
ORLOVÁ 2013
Název:
Konfigurace síťových připojení a služeb pro Windows
a Linux
Autor:
Bc. Petr Štěrba
Vydání:
první
Počet stran:
63
Určeno pro projekt:
Dílčí kvalifikace – nástroj pro efektivní získání
kvalifikace a cesta k rychlé změně kompetencí
Číslo projektu:
CZ.1.07/3.2.07/03.0122
Vydavatel:
Gymnázium a Obchodní akademie, Orlová, p. o.
© Petr Štěrba
© Gymnázium a Obchodní akademie, Orlová, p. o.
OBSAH
Úvod.............................................................................................................................................2
Používanésymboly...............................................................................................................3
1.SprávasítívprostředíWindowsServer2008.........................................4
1.1Teoretickýúvod...........................................................................................................4
1.2VylepšenísítívsystémuWindowsServer2008...........................................5
1.3InstalacesítěsprotokolemTCP/IP....................................................................6
1.4Sledovánístavusíťovéhopřipojení...................................................................10
1.5DynamicképřidělováníadresnaWindowsServer2008.........................12
1.6SledovánídostupnostiavyužitíadresvDHCP,odstraňováníchyb...21
1.7Správasíťovéhotisku..............................................................................................22
1.8Instalacetiskovéhoserveru..................................................................................23
1.9Virtuálníprivátnísítě–VPN.................................................................................24
1.10InstalaceVPNnaWindowsServeru2008....................................................28
2.JakspravovatpřipojeníksítivprostředíOSLinux‐FEDORA..........35
2.1Nastavenísíťovéhopřipojenívgrafickémrozhraní..................................35
2.2Nastavenísíťovéhopřipojenívtextovémrozhraní....................................37
2.3Nastavenístatickéhosměrování.........................................................................40
2.4PřiřazeníserverůDNS.............................................................................................40
2.5ServerDHCP–instalaceakonfigurace............................................................42
2.6Linuxovýserverjakosměrovač...........................................................................46
2.7Filtrovánípaketůnalinuxovémsměrovači–Firewall..............................49
2.8PřekladipadresvLinuxu–Masquarade.........................................................51
2.9Směrovánímezisítěmi............................................................................................53
2.10Virtuálnísítě–VLANY–naswitchivoslinux............................................55
2,11VPNvLinuxu.............................................................................................................59
Závěr.......................................................................................................................61
Použitáliteratura..............................................................................................................62
1 2 Úvod
Vážení čtenáři,
Otevřeli jste studijní materiál, který vás má seznámit s konfigurací sítí a
síťových služeb v jednotlivých operačních systémech.
Zaměřili jsme svou pozornost na dva nejpoužívanější operační systémy,
Windows, konkrétně Windows Server 2008, a Linux (prakticky si
vyzkoušíme distribuci Fedora.
Předpokládá se, že máte základní znalosti z teorie adresace sítí, směrování,
že vám je jasný princip služby DHCP a pojem virtuální síť apod. Ve většině
témat se budeme přímo zabývat implementací příslušné teorie do
konkrétního prostředí. Tedy jakási kuchařka či manuál pro řešení
konkrétních úkolů.
Materiál je rozdělen do dvou oddílů. První z nich je věnován prostředí
operačního systému Windows Server 2008. Naučíte se nakonfigurovat
síťové rozhraní, a jak to staticky, tak i dynamicky s využitím služby DHCP,
vyzkoušíte si nastavení klienta pro vzdálený přístup (Remote Access i
VPN). V prostředí instalovaného serveru Windows Server 2008 jej
nastavíte do role DHCP serveru, VPN Serveru a nastavíte si podmínky pro
síťový tisk.
V prostředí operačního systému Linux budete řešit analogické úlohy jako
v prostředí Windows, navíc se seznámíte s nastavením virtuálních sítí
v případě, že bude počítač s operačním systémem Linux plnit roli serveru a
směrovače.
Ověříte si platnost nastudovaných teoretických poznatků a získáte
experimentální zkušenosti, které určitě využijete v pozici Správce
operačních systémů.
Teoretický materiál bude vložen jako e-learningový kurz do prostředí LMS
Moodle, doplněn praktickými úlohami a kontrolními testy. Po průchodu
celého kurzu budete mít přehled o základech správy sítí v prostředí
Windows i Linux.
Přeji hodně trpělivosti a studijních úspěchů.
3 Používanésymboly
Průvodcestudiem–vstupautora,doplněnítextu
Informace–cosevkapitoledovíte
Klíčováslova
Časpotřebnýkestudiukapitoly
Důležité–pojmynebopočetnívztahy
Příklad–objasněníproblematikynebořešenýpříklad
Úkolkzamyšlenínebocvičení
Otázkyaúkoly–řešenínajdetevrámciopory
Řešeníúkolů–vážousenakonkrétníúkolyaotázky
Část pro zájemce – rozšíření látky, pasáže jsou
dobrovolné
Shrnutí–shrnutílátky,shrnutíkapitoly
Literatura
Korespondenčníúkol
4 Sítě v prostředí OS Windows 1.SPRÁVASÍTÍVPROSTŘEDÍWINDOWSSERVER2008
Vtéto kapitole se seznámíte se základními pohledy na síť, typy sítí;
prostudujetesizákladnínástroje,kterýmidisponujeWindowsServer2008
pro práci vsíti. Projdete si základní skupinu protokolů uršených pro práci
vsíti,naučítesesíťnakonfigurovatsíťsprotokolemTCP/IP.Získátepřehled
ozákladníxhsíťovýchpojmechajejichvýznamu.
Klíčová slova Centrum sítí a sdílení, fyzické, logické uspořádání sítí, síť lokální, doménová,
privátní, veřejná, virtuální,Mapa sítě, diagnostika sítě, SSTP, SRA, PPTP, L2TP,
CAPI2,TEREDO,RDP,NAT,VPN
1.1Teoretickýúvod
Při pohledu na síť registrujete její fyzické uspořádání související
sumístěním jednotlivých prvků sítě a logické uspořádání, které je
podkladem pro možnosti vzájemné komunikace mezi počítači a dalšími
aktivními síťovými prvky. Pro nastavení komunikace používáme protokol
TCP/IP.
Windows Server 2008 má oproti předchozím verzím rozšířený balík
nástrojůproprácivsíti.Mezitytonástrojepatří
Network Explorer (Průzkumník sítě) –vyhledávání počítačů a dalších
zařízenívsíti
Network and Sharing Center (Centrum sítí a sdílení) ‐ prohlížení a
správa konfigurace sítě, sdílení
danéhopočítače
NetworkMap(Mapasítě)–zobrazenípropojenípočítačůadalšíchzařízení
vsíti
NetworkDiagnostics(Diagnostikasítě)–umožňujehledáníařešeníchyb
na síti tak, že automaticky diagnostikuje
chybynasítiazaznamenáje
Uvedené nástroje využívají funkce začleněné do systému týkající se
zjišťovánípočítačů,kteráumožňujepočítačůvidětsenavzájem,asledování
sítě,kteráreagujenazměnypřipojeníksítianazměnykonfigurace.
Sítě v prostředí OS Windows 5 Funkcerozlišují3typysítí:
 doménová – představuje počítače a zařízení připojené klokální
doméně
 privátní – obsahuje počítače přiřazené do pracovní skupiny bez
připojenídointernetu
 veřejná–obecněsíťnaveřejnémmístě(internetovákavárna,hotel,
letiště
Veveřejnésítijevypnutozjišťování,cožomezujemožnostpočítačůzveřejné
sítěmítpřehledoostatníchpřipojenýchpočítačích.Doménováaprivátnísíť
mají zjišťování počítačů standardně zapnuto. Pro sdílení dalších zařízení,
jako např,tiskáren, je nutné zjišťování zapnout ručně, a to buď vzásadách
skupiny (Group Policy)nebo vnastavení auditování registru (otevřu
prostředíregistru–regedit,označímpříslušnýklíčapomocíEdit,Vlastnosti
nastavímpřístu‐povápráva).
Samostatnou úlohou je vytváření (mapování) síťových jednotek a jejich využití
pro přístup ke sdíleným složkám.
use map m: = D:\Dokumenty\Management
Sdílená složka
1.2VylepšenísítívsystémuWindowsServer2008
OprotipředchozímverzímmáWindowsServer2008řaduvylepšeníicose
týká používaných protokolů. Vzásadách skupiny najdeme konfiguraci jak
kabelové sítě (wired network IEEE 802.3), tak i pro bezdrátové připojení
(Wireless network IEEE 802.11). Lze nastavit zásady zvlášť pro každý typ
sítě. Vnovějších verzích Windows Server 2008 R2 najdeme i možnost
změnit i opravit špatné heslo při přihlašování, případně znovu nastavit
heslo,jemužvypršelaplatnost.
Podporujířaduprotokolůprozabezpečenísítě:
Protokol Secure Socket Tunelling protokol (SSTP) – umožňuje přenos
dat po linkové vrstvě pomocí protokolu HTTPS (Hypertext
transfer protokol over Secure Socket Layer)s využitím protokolů
TLSaSSLnaportu443.PodporujeIPv4iIPv6.
ProtokolSecureRemoteAccess(SRA)–umožňujízabezpečenýpřístupke
vzdálenýmpočítačůmpomocíprotokoluHTTPS.
KombinaceSSTPaSRApředstavujívylepšeníoprotiPPTPaTL2TPprotože
komunikujínavyššíchvrstváchanemajítedyproblémsNATem.Vpodstatě
mámetechnologiiprovytvářeníVPN.
6 Sítě v prostředí OS Windows Rozhraní Crypto API Version 2 (CAPI2) rozšiřuje možnosti ověřování
stavu certifikátů ve spolupráci sprotokolem OCSP, ověřování
přístupu kúložišti certifikátu. URL adresy, kde se stahují
certifikátyajsoupřidáványjakovlastnostkcertifikátucertifikační
authority.xUmožňujepoužítIPv6vsítisprotokolemIPv4
Zachování portů pro službu TEREDO – Teredo je tunelovací technologie
umožňující přenos NAT a umožňuje komunikovat mezi
symetrickýmpřeklademadreszachovávajícíporty;tzn.Překladse
zachová,pokudsepoužijestejnýport.
Použití Remote Desktop protokol (RDP) pro digitální podepisování
souborů. Pomocí klienta RDP jsou soubory „podepsány“ a lze
zabránit otevření souboru snedůvěryhodným podpisem. RDP
soubory mohou být podepsány pomocí Zásad skupiny (Group
Policy), kdy jsou vygenerována tři nastavení a uživateli je dána
možnost rozhodnout se, zda přijme soubor znedůvěryhodného
zdroje,čizdapřijmenepodepsanýsoubor.
1.3InstalacesítěsprotokolemTCP/IP
Konfigurace protokolu TCP/IP je většinou řešena v rámci instalace, viz
následující obr.
Sítě v prostředí OS Windows 7 Je však možno ji provést samostatně, případně již nastavenou konfiguraci
změnit. Nastavení konfigurace můžete provést v prostředí, ale je možno ji
provést samostatně, případně již nastavenou konfiguraci změnit.
Nastavení konfigurace můžete provést v prostředí vlastnosti síťového
připojení, ke kterému se dostaneme přes Start
Ovládací panely
Centrum sítí a sdílení. Vybereme Spravovat síťová připojení
V následujících nabídkách je postupně dostaneme až k oknu pro nastavení
konfigurace ručně nebo získávání konfigurace z DHCP.
8 Sítě v prostředí OS Windows Panely pro nastavení konfigurace TCP/IP včetně alternativní konfigurace
Ruční konfigurace TCP/IP Konfigurace TCP/IP z DHCP Ručně se zadá další konfigurace a použije se v případě, že DHCP server není k dispozici. Pokud nezadáme alternativní adresu, systém ji zvolí sám Sítě v prostředí OS Windows 9 Zvolíme-li na panelu konfigurace tlačítko
, dostaneme se do
prostředí, kde je možno doplnit k danému síťovému rozhraní další IP adresu,
bránu a další parametry, případně některé hodnoty upravit či odebrat.
Pro ruční konfiguraci si zopakujte základní znalosti:
 IP adresa, síťová, maska, brána, server DNS,
 adresa veřejná a privátní,
+
 IPv6 - např. FEC0::1
Pozor!!!
Než přidělíte ručně IP adresu, přesvědčte se, že nepatří do oboru adres používaných
DHCP serverem a příkazem ping (z jiného PC) zjistěte, že daná adresa není aktuálně
používána. (I tak se může stát, že přidělíte adresu používanou jiným PC).
10 Sítě v prostředí OS Windows Konfiguraci pro IPv6 můžeme získávat automaticky. Pro ruční zadávání IPv6
budete postupovat takto:
Zapiš adresu a stiskni TAB Vloží se délka prefixu (neměnná část v síti) 1.4Sledovánístavusíťovéhopřipojení
Po nastavení konfigurace protokolu TCP/IP si můžeme ověřit jeho účinnost
v prostředí Start
Ovládací panely
Centrum sítí a sdílení
Spravovat
síťová připojení označíme síťové rozhraní a ze zobrazené nabídky vybereme
položku Stav
Ve stejném prostředí je možno síťové připojení zakázat a pojmenovat. Sítě v prostředí OS Windows 11 Tlašítkem Podrobnosti získáme informace o stavu linky a případné
podrobnosti o nastavení
Cvičení 1
Z následujícího schematu určete počet sítí a navrhněte její novou
adresaci. Využijte privátní adresaci třídy C
12 Sítě v prostředí OS Windows 1.5DynamicképřidělováníadresnaWindowsServer2008
Centrální řízení dynamického přidělování adres je v kompetenci protokolu
DHCP. Zjednodušuje správu domén Active Directory a umožňuje předávání
konfigurace TCP/IP protokolu v síti. Aby mohla být tato úloha realizována, je
nutno nainstalovat na serveru službu DHCP. Zařízení, které pak dynamické
přidělení konfigurace vyžaduje, se nazývá klient. Windows Server 2008 může
plnit roli DHCP serveru, a to jak pro IPv4, tak i pro IPv6. Může být také
v pozici klienta, kdy sám vyžaduje dynamické nastavení konfigurace TCP/IP.
Obsahuje jak klienta DHCPv4, tak DHCPv6.
IP adresa je zapůjčena na určitou dobu a po uplynutí poloviny vyhrazené
zápůjční doby se klient pokusí o obnovení nastavení, Pokud se mu to
nepodaří, učiní tak těsně před uplynutím lhůty. Adresy, které nejsou včas
obnoveny, se vracejí a mohou být znovu přiděleny. Výjimku tvoří adresy,
které jsou rezervovány v závislosti na MAC adrese či jiném parametru.
Automatická konfigurace (u IPv4 většinou tehdy, kdy není k dispozici
DHCP server):
 vybírá adresu ze sítě 169.254.x.x /16
 před každým přidělením klient otestuje ARP dotazem, zda je IP adresa
používána;
 pokud v síti již adresa existuje, vybere jinou. Zkouší to maximálně 10
krát;
 pokud stále není úspěšný, odpojí počítač od sítě a přidělí první
vybranou adresu;
 poté se každých 5 minut pokusí o spojení se serverem, a to až do
okamžiku, kdy se DHCP server ozve a klient získá přiřazení
konfigurace.
S podstatou fungování služby DHCP a s přidělováním adres IPv4 jste se
setkali již v jiných materiálech, zaměřme se tedy na proces dynamického
přidělování adres IPv6.
Adresa IPv6 má celkem 128 bitů a standardně prvních 64 bitů tvoří
neměnnou část charakterizující síť.
DHCPv6 může pracovat ve dvou režimech


stavový režim protokolu DHCPv6 – přiděluje všechny parametry
bezstavový režim protokolu DHCPv6 – klient získá IP adresu
automatickou konfigurací a ostatní parametry přidělí
protokol DHCPv6
Sítě v prostředí OS Windows 13 Automatická konfigurace IPv6 se provádí na základě příznaků ze
zprávy Inzerování směrovače, kterou odesílá vedlejší router – jedná se o
příznaky M a O.
Příznak M - Managed address configuration – při nastavení hodnoty na 1
informuje DHCPv6 protokol, aby nastavil stavovou IP adresu
Příznak O – other statefull configuration – při nastavení hodnoty na 1
informuje DHCPv6 protokol, aby nastavil ostatní parametry
Pokud mají oba příznaky hodnotu 1 => požadován stavový režim protokolu
DHCPv6
Pokud je M nastaven na 0 a Ona1 => požaduje se bezstavový režim
Příznaky můžeme nastavit v příkazové řádce: (M = 1 a O = 1)
netsh interface ipv6 set interface <název rozhraní> manageaddress=enabled
netsh interface ipv6 set interface <název rozhraní> otherstateful=enabled
Struktura zprávy protokolu DHCPv6
Msg
type
1 B Transaction ID -
Transaction
ID
3 B Option
Code
2 B Option
Len
2 B Option
Data
proměnlivé určí, jak získat IPv6
Option Len – Délka části Option Data
Speciální adresy:
FEC0::1
::1
FF02::1:2
- jednosměrná adresa v rámci propojení
- loopback (smyčka)
- pro All_DHCP_Relay_Agent_and_Servers (obdoba broadcastu). IPv6 neobsahuje všesměrové vysílání.
 Klient vyšle požadavek na přidělení adresy na adresu FF02::1:2
 Když se klient a server DHCPv6 nacházejí v rozdílných sítích, získá
požadavek (tzv. Solicit) přenosový agent DHCP (relay agent),
přesměruje ho na server DHCPv6 a ten odpoví
14 Sítě v prostředí OS Windows Struktura zpráv mezi Relay Agenty a servery je různá, může obsahovat
parametry:
Link Address (16B) – charakterizuje podsíť, v níž se klient nachází (tedy
z kterého oboru adres, se má adresa přidělit)
Hop – Count (1B) –kolik agentů zprávu převzalo
Peer address – identifikuje klienta, který zprávu původně poslal
Relay –message – umožňuje zapouzdření zprávy při přenosu mezi serverem a
klientem
Jak nainstalovat přenosové agenty DHCP?
1. varianta – pomocí služby RRAS (routing and remote access service)
2. varianta – na rozhraní směrovače
Zápůjčka IPv6 může být specifikována jako dočasná nebo trvalá (ta
odpovídá klasické rezervaci)
Instalace DHCP na serveru :
Aby server mohl plnit roli DHCP serveru, sám musí mít adresu
přiřazenou staticky!!!!!
 Otevřete správce serveru, vyberete Role a vpravo označíte Add role
 Z vybraných rolí zvolíte DHCP server a stisknete Další
Klikni Nainstalovat nezapomeň Sítě v prostředí OS Windows 15  v prostředí Průvodce přidáním rolí nastavíte potřebné parametry služby
DHCP(doména, DNS servery, obory přiřazovaných adres, síťová
maska a brána)
Nastavení domény a DNS Ověření platnosti adresy
16 Sítě v prostředí OS Windows Nastavení oborů adres Potvrdíte nastavení, objeví se ve výpisu oborů  Volbou Potvrzení zobrazíme celkové nastavení a v případě, že je
správné, stiskneme Nainstalovat
Sítě v prostředí OS Windows 

17 Po dokončení instalace máme připravený server DHCP (vynechali jsme
službu WINS, neboť v současné době již nepředpokládáme její využití). Službu lze spravovat v prostředí konzoly, kterou spustíme přes nabídku
Start Nástroje pro správu (Administrative Tools) DHCP. Můžeme zde sledovat přehled zapůjčených adres a ručně rezervovat IP
adresy dle MAC adresy
Zelená šipka znamená, že služba je spuštěna 18 Sítě v prostředí OS Windows Správa DHCP serverů
Nainstalovaný DHCP server je nutné ověřit vůči doméně, což znamená, že
může přidělovat IP adresy v rámci domény. V konzole klikneme pravým
tlačítkem na DHCP a z nabídky vybereme Spravovat ověřené servery.
Napiš ip adresu DHCP serveru a klikni OK Přidání dalšího DHCP serveru do konzoly
Sítě v prostředí OS Windows 19 V konzoli můžeme rovněž upravit dobu zápůjčky pro daný obor
Můžeme povolit architekturu NAP – vyžadování souladu s definovanými
nároky na konfiguraci, případně softwaru klientských počítačů (např.
povinnost mít nainstalovaný antivirový program) Pozor!!! Nutno naistalovat
server NPS (Network Policy Server),kde budou požadavky nastaveny.
20 Sítě v prostředí OS Windows V prostředí konzoly lze spravovat DCHP na serveru s větším počtem
síťových rozhraní. Přidělit daný obor k příslušné síti – zaškrtnutím příslušné
karty (zde máme pouze 1) na záložce Upřesnit.
Záložka DNS slouží k propojení DNS a DHCP, kdy se aktualizují záznamy
v překladové tabulce na DNS serverů, podle přidělené adresy.
Sítě v prostředí OS Windows 21 1.6 Sledování dostupnosti a využití adres vDHCP, odstraňování
chyb
Činnosti spojené s pojmem Audit služby DHCP, který sleduje procesy a
požadavky v protokolových souborech a umožňuje tak odstraňovat potíže
spojené se službou DHCP. Povolíme ve vlastnostech IPv4 na katě Obecné
Cestu k protokolovým souborům lze nastavit ve vlastnostech DHCP serveru
na kartě Upřesnit.
.
22 Sítě v prostředí OS Windows 1.7Správasíťovéhotisku
Pro tisk v síti je možno použít dvou typů zařízení
 Místní tiskárna – je připojena fyzicky k počítači
 Síťová tiskárna – je připojena buď k tiskovému serveru nebo
prostřednictvím vlastního síťového rozhraní
Tiskový server je počítač, který je připraven pro sdílení jedné či více síťových
tiskáren. Veškeré tiskové úlohy zařazuje do jedné tiskové fronty, která je
centrálně řízena.
Druhou variantou řešení je připojit k tiskárně uživatele přímo (sdílet ji). V tom
případě nepotřebujete instalovat tiskový server, ale každý uživatel má tak svoji
vlastní tiskovou frontu. V případě problému je správa komplikovaná.
Princip tisku
Důležitým pojmem z hlediska tisku je Ovladač tiskárny. Po spuštění tisku
v aplikaci je do paměti načten ovladač tiskárny a s jeho pomocí aplikace
přeloží dokument do formátu, který dokáže tiskárna interpretovat, a předá se
službě pro místní zařazení tisku a to předá tiskárně - dojde k zařazení do
tiskové fronty.
Pokud je tiskárna fyzicky připojena k počítači, na němž požadavek tisku
vznikl, načítá se ovladač z fyzického disku. Pokud je umístěna na vzdáleném
počítači stáhne se ze vzdáleného PC.
Používáte-li tiskový server, data budou směrována službě na serveru,
v případě Windows Server 2008 WinSpool.drv Ovladač je nainstalován
pouze na serveru. Tisk je sledován pomocí Tiskové fronty
Instalaci i správu tisku mohou ovlivňovat zásady nastavené v GPO (viz
materiál věnovaný instalaci a konfiguraci –Windows Server 2008 ).
Sítě v prostředí OS Windows 23 1.8Instalacetiskovéhoserveru
V prostředí Správa Serveru přidáte roli Tiskové služby a z možných
využívaných služeb si vyberete:

Tiskový server- nainstaluje konzolu Správa tisku (lze použít ke
správě i několika tiskáren, případně přesměrování
na jiný tiskový server
 LDP – použijete jen, chcete-li zpřístupnit tisk stanicím se
systémem UNIX
 Tisk přes Internet – umožňuje tisknout na sdílených tiskárnám
prostřednictvím protokolu IPP(Internet printing protokol).
Výchozí adresou je http://názevServeru/Printers
Pozn. Chcete-li instalovat tisk přes internet, musíte mít nainstalován webový
server (IIS)
Získáte přehled všech připojených tiskáren včetně potřebných ovladačů,
sledování tisku z jednotlivých portů a předdefinovaných formulářů pro tisk.
Pomocí zobrazené nabídky můžete přidat tiskárnu, analogicky i ovladač.
24 Sítě v prostředí OS Windows 1.9VirtuálníPrivátnísíť
Zkratka VPN vytvořená z názvu Virtual Private Network, umožní připojit
vzdálené uživatele nebo firemní pobočky do síťové organizace
prostřednictvím veřejných telekomunikačních služeb.
Zjednodušeně - klient požádá server o vytvoření tunelu. Když server ověří
jméno a heslo uživatele, klient i server vytvoří nová síťová rozhraní, která jsou
spojena tunelem, který je šifrovaný a přes který jdou veškerá data. Servery po
cestě tak vidí komunikaci mezi klientem a serverem šifrovaně a nejsou
schopny ji přečíst. Cílový server potom data rozšifruje a pošle dál do
internetu. Z venku to vypadá, že klient má počítač připojený přímo k serveru.
Proč VPN?
K vytvoření zabezpečené sítě pro větší vzdálenosti můžete využít pronajaté
linky, což je ekonomicky nevýhodné a nesplňuje potřeby manažerů, kteří se
potřebují připojovat do firemní sítě z různých místní. Vytvořením VPN
prostřednictvím sítě internet podstatně snížilo náklady, umožnilo mobilitu
připojení a bezpečnost je řešena vytvořením tunelu s šifrovaným přenosem
dat; tunel spojuje dva body nebo jeden s několika body. VPN používá řadu
protokolů a technologií, aplikuje autentizaci, sleduje neporušenost
komunikace.
Podle propojovaných celků lze rozlišit dva základní typy VPN:

síť - síť - propojíme dvě nebo více sítí, používané u firem tvořených
z několika jednotek ve vzdálených lokalitách. K propojení slouží
speciální síťová zařízení (např. router, server), které plní úlohu VPN
gateway a jsou schopny mezi sebou vytvořit VPN spojení. Přijímaná
datové celky rozbalí a pošlou do sítě klasicky, odesílaná data zapouzdří
do VPN tunelu. Na uživatelské stanici nemusí běžet klient VPN. Tento
typ VPN používá protokol IPsec
Sítě v prostředí OS Windows 
25 Remote Access- připojují se jednotliví klienti k firemní síti. Na
klientské stanici musíme nainstalovat klienta VPN, v privátní síti
použijeme opět speciální síťové prvky. Mezi používané protokoly patří
SSL a IPsec
VPN se rozlišují také podle použitého protokolu, který zajišťuje komunikaci
ve VPN:

IPsec VPN - Internet Protocol Security je asi nejrozšířenější forma
VPN, je to součást IPv6 a hojně se používá v IPv4, často se kombinuje
s L2TP (L2TP over IPsec), má problémy s NATem (řeší to NAT-T)

SSL VPN - využívá zabezpečené přenosy Transport Layer Security
(TLS) nebo Secure Sockets Layer (SSL), běží na portu 443 (HTTPS)
a VPN. Pracuje na vyšší vrstvě, takže nemá problémy s NATem,
Microsoft vytvořil Secure Socket Tunneling Protocol (SSTP), což je
přenos
PPP
nebo
L2TP
přes
SSL

MPLS VPN - Multiprotocol Label Switching využívají hlavně ISP
IPsec (Internet Protocol Security) - skupina protokolů k zabezpečení IP
komunikace mezi dvěma uzly.




pracuje na internetové vrstvě
ověřování probíhá obousměrně
dojde k vyjednání metod šifrování a k výměně klíčů
u IPv6 je automaticky obsažen, u IPV4 nutno doplnit
IPsec zahájí komunikaci tím, že se obě strany (ozn. peers ) navzájem
identifikují (autentizují) a poté zašifrují přenášená data dohodnutým
algoritmem.
IPsec může pracovat ve dvou režimech:


Tunnel mode – zašifruje se celý paket (včetně hlavičky), doplní nová
hlavička a pošle se dál; vhodný pro IPsec proxy server.
Transport mode – šifrují se jen data, IP hlavička se ponechá a přidá se
IPsec hlavička. Používá jej např. L2TP/IPsec klient ve Windows.
26 Sítě v prostředí OS Windows IPsec používá tyto protokoly



Authentication Header (AH) - ověří zdroj dat pomocí hashovací funkce
(MD5 nebo SHA1) a dohodnou si společný klíč, v hlavičce jen uvedeno
pořadové číslo paketu
Encapsulating Security Payload (ESP) – ověřuje zdrojové informace a
zabezpečí je šifrováním (algoritmy DES či AES), používá protokol IP
50
Security Association (SA) - algoritmy, které zajistí bezpečnou komunikaci
pomocí AH a ESP. Používají ISAKMP Framework (Internet Security
Association a Key Management Protocol) a IKE (Internet Key
Exchange), které vyjednají šifrovací algoritmus, dobu platnosti klíče,
kompresi a metodu zapouzdření. Pro výměnu klíčů aplikují metodu DiffieHellman.
IPsec VPN komunikace běží obvykle takto :
1. pomocí IKE se na UDP portu 500 vyjedná SA a používá certifikáty (klienta a
serveru) nebo PSK (Pre-Shared Key)
2. z parametrů SA se naváže na IP 50 šifrovaná komunikace pomocí ESP
IKE pracuje ve dvou krocích:
1.
2.
účastníci se ověří, vyjednají IKE SA a tak se vytvoří bezpečný kanál pro
vyjednání IPsec SA v druhém kroku. Pracuje v režimu, kdy chrání
identitu komunikujících stran – tzv. main mode, nebo aggressive mode
IPsec SA dohodne parametry komunikace a nastaví šifrovací
algoritmus, používá režim quick mode
Pokud je IKE rozšířen o protokol XAUTH (Extended User Authentication),
můžeme autentizovat uživatele vůči RADIUS serveru.
Konfigurace VPN, je-li server VPN za NATem
NAT-T (Network Address Translation – Traversal)
IPsec chrání posílané pakety hashem, aby nemohlo dojít ke změně obsahu.
Pokud je v cestě NAT, upraví se IP hlavička, takže hash nesouhlasí a paket je
zahozen. Pro vyřešení tohoto problému byl využit NAT-T. Přijatý paket se
zapouzdří do UDP a doplní o novou UDP hlavičku a ta může být cestou
modifikována. Na druhé straně se hlavička odstraní a příchozí paket je beze
změn. IKE může během vyjednávání domluvit UDP zapouzdření.
Komunikace běží na UDP portu 4500 a je označena jako IPsec over UDP
nebo IPsec over NAT-T.
Sítě v prostředí OS Windows 27 Layer 2 Tunneling Protocol (L2TP) - tunelovací protokol pro podporu
VPN. Neprovádí žádné šifrování, pouze vytváří tunel. Komunikuje na UDP
portu 1701. Kombinuje se s IPsec, který zajišťujte důvěrnost (šifrování) a
autentizaci. Komunikaci označujeme jako L2TP/IPsec.
Proces navazování spojení probíhá ve třech krocích:
 pomocí IKE se na UDP portu 500 vyjedná SA, používá certifikáty
(klienta a serveru) nebo PSK
 z parametrů SA se naváže na IP 50 šifrovaná komunikace pomocí ESP v transportním módu
 vyjedná se a naváže L2TP tunel mezi koncovými body, komunikace
probíhá přes UDP 1701, ale to je zabalené v IPsec, takže v paketu jde o
IP 50
Split Tunneling – VPN zpracuje jen firemní rozsah adres, zbytek jde přímo
do internetu (většinou je veškerá komunikace směrovaná do VPN tunelu).
VPN client (pro Windows 7)
IPsec VPN klient je zabudován do většiny klientů Microsoft. Standardním
klientem je L2TP/IPsec. Pro zabezpečení je podporováno ESP s šifrováním
DES a 3DES, integritou MD5 nebo SHA.. Není zde problém s využitím
EAP smartcard, tedy autentizace uživatelským certifikátem. Podporuje i NATT se musí u klienta povolit v registrech.
V příkazovém řádku spusť příkaz : regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameter
s\"NegotiateDh2048"=dword:1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\"Assu
meUDPEncapsulationContextOnSendRule"=dword:2
28 Sítě v prostředí OS Windows 1.10InstalaceVPNnaWindowsServeru2008
Samotná instalace VPN Server na Windows Server 2008 je celkem
jednoduchá. Ukažme si jednotlivé kroky s využitím prostředí Server
Manager.
1. Otevřeme Server Manager a tlačítkem „Add Roles“ zobrazíme přehled
rolí serveru
2. Vybereme “Network Policy and Access Services”
Sítě v prostředí OS Windows 29 3. Ve vybrané roli zaškrtněte služby “Remote Access Services a Routing”
a potvrďte instalaci
4. Aktivujte průvodce pro konfiguraci Routing a Remote Access
30 Sítě v prostředí OS Windows 5. Ze zobrazených typů instalací vyberte “Custom Configuration” pokud
máte na serveru jednu síťovou kartu
6. Vyberte“VPN access”
Sítě v prostředí OS Windows 31 8. Průvodce ukončete postupně tlačítky „Finish“ a „Start service“. Služba
VPN je připravena
32 Sítě v prostředí OS Windows 9. Na záložce Dial in povolte přístup uživatelů v oddíle “Network Access
Permission”.
10. Otevřeme příslušné porty ve Firewallu
pro PPTP: 1723 TCP 47 GRE
pro L2TP/ IPSEC: 1701 TCP 500 UDP (pro NAT-T 4500 UDP)
pro SSTP: 443 TCP
Pokud nemáte v síti DHCP server, ručně nastavte rozsah lokálních adres statických adres pool.
1. Klikni pravým tlačítkem na “Routing and Remote Access” a vybereme
„Properties“
Sítě v prostředí OS Windows 2. Vyberte záložku IPv4 and zaškrtnete “Static address pool” a přidáte
rozsah statických adres
3. Na síťovou kartu serveru přidáte druhou IP adresu, která patří do
zvoleného rozsahu.
33 34 Sítě v prostředí OS Windows VPN - se serverem za NATem
Přenos L2TP/IP transport Mode s NAT-T (doplním text)
Rámec před aplikací L2TP encapsulation
Rámec po aplikací L2TP encapsulation
Rámec po aplikacíESP/UDP encapsulation
IPSec Tunel s NAT-T
Rámec před aplikacíESP/UDP encapsulation
Rámec po aplikacíESP/UDP encapsulation
Cvičení 2
Na virtuálním serveru Windows Server 2008 nainstalujte služby DHCP a
VPN, nakonfigurujte klienty a vyzkoušejte úspěšnost komunikace.
Sítě v prostředí OS Linux 35 2. JAKSPRAVOVATPŘIPOJENÍKSÍTIVPROSTŘEDÍOS
LINUX‐FEDORA
Pro správu OS můžete používat grafické prostředí nebo příkazovou řádku.
Začneme grafickým rozhraním; zde existují pro správu sítě dva nástroje
1. Network - služba používaná k vložení statické adresy nebo
dynamického přidělení adresy Takto nastavená konfigurace síťového
rozhraní je aktivní ihned po startu systému.
2. Network Connections je služba poskytující přehled všech typů
připojení k síti a umožňující jejich konfiguraci. Je vhodná především
pro zařízení, která často mění typ připojení. Takto nastavené síťové
připojení se aktivuje v okamžiku přihlášení uživatele na základě
jeho voleb a nastavení.
Nedoporučuje se používat současně obě služby, protože jejich nastavení
mohou způsobit kolizi. Defaultně je ve Fedoře aktivní služba Network
Connections a služba Network vypnutá.
2.1Nastavenísíťovéhopřipojenívgrafickémrozhraní
Služba Network (síť)
Grafické rozhraní pro správu síťového připojení zobrazíme pomocí
Activities → Applications → Systém Tools → Systém Settings → Network.
Tato nabídka vyvolá okno pro Nastavení síťových připojení.
Zpět na Systém Settings
Zap/Vyp síť.
Editace síť. rozhraní
36 Sítě v prostředí OS Linux Výběr metody přidělení IP
adresy
Aktivace vložení konfigurace IP
Mazání konfigurace IP
Konfigurace směrování
Služba Network Connections
Grafické rozhraní pro správu síťového připojení zobrazíme pomocí
Activities → Applications → Others → Network Connections.
Tato nabídka vyvolá okno pro Nastavení síťových připojení.
Záložky pro konfiguraci jednotlivých
typů síťového připojení
Sítě v prostředí OS Linux 37 2.2Nastavenísíťovéhopřipojenívtextovémrozhraní
Ovládání operačního systému v textovém rozhraní je sice náročnější, protože
si musíme osvojit potřebné příkazy. Pokud už je však umíme, je správa
v tomto prostředí rychlejší a přehlednější. Nevyžaduje neustálé přepínání mezi
okny a je téměř stejné v jednotlivých distribucích. Správce operačního
systému, který se setkává s nastavováním IP adres často, určitě zvolí textový
režim.
Po nastartování operačního systému si otestujeme funkčnost použitím ping
Do terminálového řádku napište: ping << IP adresa>>
Pokud jste získali reakci jako na výpisu, je vaše síťová karta funkční. IP adresu
volíte podle nastavení sítě, ke které jsme připojeni
Pokud odpověď nebude pozitivní, viz následující výpis, je vaše síťová karta
nejspíš chybně nakonfigurována.
Vypište si konfiguraci síťových rozhraní : ifconfig (bez parametrů)
Získáte výpis o konfiguraci všech síťových adapterů a localhosta (loopback) ;
je to obdoba řádkového příkazu ipconfig v prostředí MS Windows.
38 Sítě v prostředí OS Linux V níže uvedeném výpisu vidíte výpis síťového rozhraní eth0 a loopback.
Můžete si případně vypsat konfiguraci vybraného rozhraní – ifconfig eth0
Výpis všech rozhraní:
Výpis vybraného rozhraní:
Nastavení IP statické adresy
Pro manuální nastavení IP adresy použijete opět příkaz ifconfig . Struktura
příkazu vypadá takto:
If config eth0 <ip_adresa> netmask <síťová maska>
Příklad pro nastavení IP adresy 192.168.146.135 s maskou 255.255.255.0 :
Ifconfig eth0 192.168.146.135 netmask 255.255.255.0
Zkontrolujte výpisem ifconfig.
Sítě v prostředí OS Linux 39 Pozor!
Pokud jste spustili síťové rozhraní s využitím služby DHCP a chcete zaměnit
přidělenou adresu za statickou, pak postupujte takto:
 Deaktivujte síťové rozhraní
 Uvolněte přidělenou IP adresu
 Síťové kartě přidělíme IP
 Aktivujeme síťové rozhraní
ifconfig eth0 down
dhcpd –d –k eth0
ifconfig eth0 192.168.146.133 netmask
255.255.255.0
ifconfig eth0 up
Pozor! Pokud používáme službu Network místo Network Connection, používáme pro
aktivaci a deaktivaci síťového rozhraní příkazy:
ifstart eth0
ifdown eth0
Aktivace automatického nastavení síťových adapterů
Nastavení najdete v textových souborech ifcfg-eth0 a ifcfg-lo umístěných
v adresáři /etc/sysconfig/network-scripts/
V případě statické IP: DEVICE = eth0 ONBOOT =yes BOOTPROTO = static IPADDR = 192.168.146.135 NETMASK = 255.255.255.0 GATEWAY = 192.168.146.1 Soubor jsou textové, takže je můžete sami upravit.
40 Sítě v prostředí OS Linux 2.3NastavenístatickéhosměrovánívprostředíLinuxu
a) Směrování packetů do své vlastní sítě
route add –net <ip adresa> netmask <síťová maska> dev eth0
např. směrování pro PC s IP adresou eth0 192.168.146.135 / 24
připojeného do sítě třídy C
route add –net 192.168.146.135 netmask 255.255.255.0 dev eth0
b) Vyhledání brány do jiné sítě (směrovače)
route add default gw <ip adresa směrovače>
např. vyhledání brány s IP adresou 192.168.146.135
route add default gw 192.168.146.1
Vytvoření názvu počítače
a) V příkazové řádce stačí příkaz hostname skolni.cz
ALE!!! Po restartu se vytvořené jméno vymaže
b) Trvalé nastavení jména vznikne vložením záznamu do souborů
/etc/hosts
/etc/sysconfig/network
Pozn. Skutečné názvy podřídíme tomu, zda je počítač přiřazen do domény
s daným jménem (např. localhost.localdomain)
2.4PřiřazeníserverůDNS
Konfigurace protokolu TP/IP je vždy doplněno o nastavení DNS serverů
minimálně pro komunikaci na internetu. Jak tedy přiřadit DNS server?
Sítě v prostředí OS Linux Do souboru /etc/resolv.conf přidejte řádek s IP adresou DNS serveru,
který se má používat.
nameserver <ip adresa DNS serveru>
například:
Cvičení 3
Shrnutí aktivace síťových adapterů a nastavení základních parametrů:



Otestovat funkčnost síťových adapterů – ifconfig , vytvoření souboru
/etc/sysconfig/networking-scripts/ifcfg-eth0
Vytvořit název počítače v /etc/sysconfig/network
Přiřadit –DNS servery v souboru /etc/resolv.conf
Zapamatujte si pojmy a příkazy:
/etc/resolv.conf
/etc/hosts
/etc/sysconfig/network
ifconfig
ifstart ifdown
41 42 Sítě v prostředí OS Linux 2.5SlužbaDHCP
Pro správu síťových připojení je klíčovou službou, která podstatným
způsobem zjednodušuje a optimalizuje adresaci v síti. Dynamické přidělování
IP adres je velkou výhodou, problémem by mohla být přesná identifikace
klienta v síti při překladu adres pomocí DNS. U malých sítí se tento problém
řeší tak, že servery, které poskytují služby a jejich jména jsou překládána
pomocí DNS, adresujeme staticky a dynamické přidělování je používáno
zejména pro klienty, kteří služby nenabízejí. Ve větších sítích se tento problém
řeší pomocí dynamické DNS (DDNS), která představuje jakousi koordinaci
mezi DHCP a DNS.
DHCP server může plnit celou řadu úloh; nepřiděluje jen IPadresu, ale může
nastavit i celou řadu dalších parametrů – masku sítě, Gateway, adresy DNS
serverů. Může klientům „upravit“ MAC adresu, time, aktivovat či deaktivovat
směrování a pro bezdiskové stanice nastavit cestu k bootovacímu souboru.
V případě potřeby je možno pomocí DHCP přiřadit určitým klientům IP
adresu staticky
Teorie služby DHCP je začleněna do jiného vzdělávacího materiálu. Jen pro
opakování služba běží na portech 67 (na serveru) a 68 (klient) a komunikace
mezi serverem a klientem je z velké většiny realizována všesměrovým
vysíláním (broadcastem). Takovéto packety jsou při přechodu do jiné sítě
směrovačem zahozeny. Takže chceme-li zabezpečit komunikaci s DHCP
serverem také pro klienty z jiné sítě, je nutné nainstalovat kromě serveru,
klienta také agenta pro přesměrování broadcastového požadavku na konkrétní
IP adresu (relay agent). Nyní přejděme přímo k instalaci služby DHCP a k
její konfiguraci.
Instalace služby DHCP
Služba, jako každá aplikace v Linuxu, se instaluje z tzv. RPM balíčků. Pro
zjednodušení použijme nástroj yum pro správu, který se spustí z příkazové
řádky a dokáže požadovaný balíček vyhledat, rozbalit a nainstalovat. Takže
stačí napsat:
yum install DHCP*
Sítě v prostředí OS Linux 43 Pozor:
Pokud si nejsme jisti nastavením síťového rozhraní, zkontrolujeme si před
samotnou instalací směrovací tabulku, a případně doplníme pravidlo, které
zajistí správné směrování globálního broadcastu 255.255.255.255.
Přesměrování na síťovou kartu eth0, zajistíme příkazem:
[alena@localhost]# route add -host 255.255.255.255 dev eth0
Po ukončení instalace serveru DHCP máme k dispozici základní soubory, bez
nichž server nemůže běžet:
dhcpd
samotný program
dhcpd.conf
konfigurační soubor
dhcpd.leases
databázový soubor
Další soubory pro konfiguraci:
Skripty
Dhclient.conf
dhcrelay
omshell
dhcpd.leases
/etc/sysconfig/network-scripts
/etc/dhcp/
nastavení klienta
/etc/sysconfig/
nastavení agenta
/usr/bin/
spouštěcí soubor
/var/lib/dhcpd/
manuálové stránky
Konfigurace DHCP
Po instalaci DHCP serveru je nutné nastavit základní parametry pro DHCP
server
–
–
–
–
rozsah přidělovaných adres
defaultní směrovač (bránu)
DNS server
případně další parametry (dobu zápůjčky, využití dynamického DDNS,
apod.)
Konfiguraci zapíšeme do souboru dhcpd.conf
option domain-name "skolni.cz";
název domény
option domain-name-server 192.168.146.132;
adresa doménového serveru
default-lease-time 604800;
defaultní doba zápůjčky IP adresy (s)
max-lease-time 604800;
maximální doba zápůjčky IP adresy (s)
# nepoužijeme dynamické DNS updates: ddns-update-style none;
ddns-updates off;
#
DHCP server je oficiálním DHCP serverem pro lokální síť
44 Sítě v prostředí OS Linux authoritative;
# Využití posílání logovacích informací do syslog.conf
log-facility local7;
# popis sítě pro DHCP server
subnet 192.168.146.0 netmask 255.255.255.0 {
range 192.168.146.140 192.168.146.170;
option subnet mask 255.255.255.0;
option broadcast-address 192.168.146.255;
option routers 192.168.146.1;
}
#rezervace IP adresy dle MAC adresy
host mujpoc {
hardware ethernet 00:0c:29:93:f3:78;
fixed address 192.168.146.141;
}
Z uvedeného dhcpd.conf vyčteme, že náš DHCP server přiřazuje IP adresy
ze sítě 192.168.146.0/24 v rozsahu od 192.168.146.140 do 192.168.146.170,
adresa brány je 192.168.146.1 a DNS server 192.168.146.132. Pro MAC
adresu 00:0c:29:93:f3:78 je rezervována IP adresa 192.168.146.141 Server
nevyužívá dynamické DNS a nabízená i maximální doba zápůjčky je 7 dní
(604800 s)
Spuštění DHCP serveru
Při spouštění nainstalovaného serveru DHCP je důležité
 nastavení parametrů při spuštění klienta dhcpd
 nastavení konfigurace v souboru dhcpd.conf
 použití souboru omshell
dhcpd [-p port] [-f] [-d] [-q] [-t|-T] [-cf soubor] [-lf soubor]
[-tf soubor] [-play soubor] seznam rozhraní
Význam přepínačů:
-p
-f
-d
-q
-t
-T
-cf
-lf
-tf,-play
určuje alternativní port
spouští server na popředí
posílá chybové hlášení na stderr místo implicitního syslogu
nevypíše startovací hlášku
otestuje syntaxi konfiguračního souboru
otestuje databázový soubor
alternativní konfigurační soubor
alternativní databázový soubor
napomáhají při nalézání chyb vytvořením souboru s chybovým výstupem
seznam rozhraní
Sítě v prostředí OS Linux 45 na kterých rozhraních má dhcpd naslouchat jako služba; ze kterých
mohou přicházet požadavky na přidělení adres, máme-li více síťovek a na
každé jinou podsíť, musíme to DHCP serveru říct.
Pro zjednodušení startování služeb, tedy i DHCP, jsou v instalovaném serveru
připravené skripty umístěné v /etc/rc.d/init.d Chceme-li zajistit automatické
spouštění DHCP služby, vytvoříme odkaz pomocí příkazu
ln –s /etc/rc.d/init.d/dhcpd /etc/rc.d/rc3.d/$65dhcpd
Pro ruční nastartování můžete použít příkaz
service dhcpd start
Pro ruční zastavení služby použijte meta příkaz
service dhcpd stop
Pro ruční zastavení a následné spuštění služby použijte meta příkaz
service dhcpd restart
Vyzkoušejte se:
Nakonfigurujte DHCP službu podle následujících parametrů.
„x zjistěte z konfigurace síťového adaptéru VMnet8 ve vašem PC
Server DNS
IP 192.168.x,3 /24
doména firma.cz
Síť
Server DHCP
Přiděluje IP adresy ze sítě 192.168.x.0/24
Rozsah adres 192.168.x.10 – 192.168.x.50
Pro PC s MAC 00:A5:14:78:G4:10 rezervujeme adr. 192.168.x.20
Doba zápůjčky: nabízená 3 dny, maximální 5 dní
3PC, 1 server, 1 router (fa0/0 192.168.x.1)
46 Sítě v prostředí OS Linux 2.6Linuxovýserverjakosměrovač
Aby linuxový server mohl plnit i úlohu směrovače, musí mít více síťových
rozhraní, ať už fyzických či virtuálních (viz kapitola o použití VLAN
v Linuxu).
Zaměříme se na fyzická rozhraní. Vypneme PC a vložíme další síťovou kartu.
Po nastartování operačního systému si příkazem ifconfig ověříme, že nová
karta je funkční:
Následující výstup ukazuje, že karta byla detekována a byla nastavena
z DHCP, jako karta z téže sítě.
Pokud chcete přiřadit kartu eth1 do jiné sítě, vypnete ji, nakonfigurujete ji
a zapnete ručně
Sítě v prostředí OS Linux Po zvolení příkazu ifconfig získáte výpis:
Nastavíte směrování sítí na jednotlivá rozhraní
Route add –net 192.168.146.0 netmask 255.255.255.0 dev eth0
Route add –net 193.168.0.0 netmask 255.255.255.0 dev eth1
Pakety ze sítě 192.168.146.0 směrujeme na kartu eth0 a pakety ze sítě
193.168.0.0/24 směrujeme na kartu eth1
Výpis směrovací tabulky : route - n
47 48 Sítě v prostředí OS Linux Aby server aktivně prováděl směrování, je nutné upravit parametr ip_forward
z 0 na 1
Cat /proc/sys/net/ipv4/ip_forward
0
vypíšeme hodnotu parametru
vypsaná hodnota parametru
echo > 1 /proc/sys/net/ipv4/ip_forward
do parametru ip_forward
vložíme 1
Cat /proc/sys/net/ipv4/ip_forward
pro kontrolu vypíšeme hodnotu
par.
1
vypsaná hodnota parametru
Případně upravíte hodnotu parametru ručně v souboru /etc/sysct1.conf
(výpis s využitím vestavěného programu MightCommander)
Sítě v prostředí OS Linux 49 2.7Filtrovánípaketůnalinuxovémsměrovači‐FIREWALL
Pokud má linuxový server alespoň dvě aktivní síťová rozhraní připojená
k různým sítím a plní funkci směrovače, je žádoucí nastavit pravidla pro
průchod paketů a tím řídit provoz, který na tomto směrovači probíhá.
Vhodnou kombinací pravidel se také můžeme bránit proti útokům na síť
zvenčí, tedy linuxový server pak plní také roli firewallu; zejména tehdy, běží-li
na tomto serveru služby, ke kterým chceme přistupovat prostřednictvím sítě
Internet.
IP paket obsahuje kromě přenášených dat také zdrojovou a cílovou IP adresu,
zdrojový a cílový port, informace využitelné zejména pro směrování a
k aktivaci programů, jimž jsou data určena. Firewall rozhoduje o příchozím
paketu; zda má být přijat či zahozen, zda jej má předat ke zpracování
vlastnímu serveru či aplikaci nebo zda jej má předat dalším zařízením (tedy
přesměrovat). Rozhoduje se na základě pravidel (chainů), kterými paket
prochází. Tato pravidla jsou v prostředí OS Linux uložena v IPtable
Schéma pro průchod IP table vstup Směrovat?
ANO FORWARDING NE Určeno serveru?
ANO INPUT
NE OUTPUT výstup
Pravidla v IPtable jsou zařazována do oddílů INPUT, OUTPUT,
FORWARDING, jejichž význam je patrný ze schématu, případně
PREROUTING a POSTROUTING související s překladem adres.
Příklad:
Vložíme pravidlo do oddílu INPUT
iptables -A INPUT pravidlo
50 Sítě v prostředí OS Linux Příklady:
 vyhovuje paket přijatý přes rozhraní eth1 z adresy 192.168.146.20 pro
jakéhokoli příjemce s TCP portem 80
iptables -A INPUT -p TCP -i eth1 -s 192.168.146.20 --dport 80
do oddílu OUTPUT vložíme pravidlo – zahoď paket, který přijde z adresy 193.168.0.1
TCP port 3000 na adresu 193.168.0.2 TCP port 25
iptables -A OUTPUT -i eth1 -p TCP -s 193.168.0.1 --sport
3000 --d 192.168.0.2 --dport 25 -j DROP
Význam jednotlivých přepínačů
-A
add – přidej
-i
interface
-p
protokol
-s
source-zdroj
--d
destination-cíl
--sport zdroj. port
--dport cíl.port
-j
co s paketem
drop
accept
reject
log
zahodit
přijmout
zahodit a odesílateli
poslat zprávu pomocí
chybového ICMP
hlavičku paketu vložím
do systémového logu
Pokud chybí část s přepínačem –j bere se automaticky ACCCEPT
 zahoď všechno (do všech oddílů drop)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 zpřístupnění služeb (www, email, dns)
iptables
iptables
iptables
iptables
iptables
iptables
iptables
-N
-A
-A
-A
-N
-A
-A
pro zjednodušení pravidel vytvoříme jména (alias)
tcp_datagramy
INPUT -p TCP -i eth0 -j tcp_datagramy
tcp_datagramy -p TCP --dport 80 -j ACCEPT
tcp_datagramy -p TCP --dport 25 -j ACCEPT
udp_paket
INPUT -p UDP -i eth0 -j udp_paket
udp_paket -p UDP --dport 53 -j ACCEPT
 Nezapomeňte na pravidla pro tzv. servisní pakety
Servisní pakety ICMP - používají se k přenosu chybových a diagnostických sdělení.
Podle druhu přenášené zprávy existují různé typy. Je potřebné povolit typ 0 – „Echo
reply“, 8 – „Echo request“ a 11 – „Time exceeded“ , aby fungovaly často využívané
programy ping a traceroute. Dále je nutné akceptovat ICMP typu 3 – „destination
unreachable, (viz REJECT) Ostatní ICMP zprávy můžete bez problému zahazovat.
Sítě v prostředí OS Linux iptables
iptables
iptables
iptables
-A
-A
-A
-A
INPUT
INPUT
INPUT
INPUT
-p
-p
-p
-p
ICMP
ICMP
ICMP
ICMP
-i
-i
-i
-i
eth0
eth0
eth0
eth0
--icmp-type
--icmp-type
--icmp-type
--icmp-type
51 0 -j ACCEPT
3 -j ACCEPT
8 -j ACCEPT
11 -j ACCEPT
 pro směrování nastavíme neomezený výstup z vniřní sítě a do sítě pustíme packety
z již vytvořené relace (takže jen odpověď na žádost z vnitřní sítě)
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state \
ESTABLISHED,RELATED -j ACCEPT
 budeme sledovat zamítnutý provoz, abychom mohli evidovat případné útoky a
diagnostikovat vzniklé problémy
iptables -A INPUT -j LOG
Pozn. Oddíl OUTPUT nepředstavuje zvláštní riziko, protože tudy procházejí pakety, které
vzniky v programech na našem serveru
2.8PřekladIPadresvLinuxu–IPMasquarade
Kromě filtrování paketu může být součástí firewallu pravidla pro nahrazování
adres v paketech, a to jak zdrojových - SNAT(Source NAT), tak cílových –
DNAT (Destination NAT).
SNAT
používáme většinou tehdy, pokud máme jednu veřejnou adresu a chceme
připojit do internetu větší počet počítačů sítě s nesměrovatelnými adresami. (v
oddíle POSTROUTING). Parametr –t nat znamená, že pravidlo bude zapsáno do
NAT tabulky.
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 193.168.0.2
varianta téhož pravidla (místo konkrétní adresy uvedeme název síťového rozhraní,což je
výhodné zejména tehdy, je-li IP adresa získána z DHCP).
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
pokud máme více veřejných adres, můžeme pravidlo SNAT upravit takto:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 193.168.0.2192.168.0.20
52 DNAT
použijeme tehdy, když chceme např. zajistit přístup k webovému serveru
umístěnému v lokální síti s nesměrovatelnými adresami. Předpokládejme, že
jsme k vnější síti připojeni síťovým rozhraním eth1.
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \
-j DNAT --to 192.168.146.133:80
V jakémkoli paketu s TCP portem 80, který přijde na eth1, bude cílová adresa nahrazena
192.168.146.33
Nebo jinak : se stejným účinkem (-j REDIRECT zajistí přesměrování na daný port bez znalosti přesné
IP)
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j REDIRECT -to-port 3128
Záznamy z NAT tabulky je nutné doplnit pravidly v iptable, aby byl zajištěn
průchod paketů oběma směry:
iptables -A FORWARD -i eth1 -p tcp -d 192.168.0.2 --dport 80 \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state \
--state ESTABLISHED,RELATED -k ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
Vhodně volená pravidla v NAT tabulce mohou zabezpečit ochranu proti IP
spoofingu (nesmyslným IP adresám)např.
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
Stavový firewall
Je součástí jádra řady 2.4 q přináší novou koncepci sledování toku dat. Nebere
z datagramů jen údaje ze záhlaví, ale je schopen rozlišit od sebe datagramy,
které zahajují novou relaci či které přenáší data v již navázané relaci Tato
skutečnost poskytla nové možnosti ve filtrování datových toků.
U sledovaného datagramu (a to nejen TCP segment, ale i UDP paket)
rozlišíme jeden z následujících stavů:



NEW –otevírá novou relaci
ESTABLISHED, RELATED – patří k již navázanému spojení
INVALID – nebylo nalezeno žádné spojení, k němuž by patřil
Sítě v prostředí OS Linux 53 Ze zjištěného stavu se dají pakety třídit. Umožní nastavit firewall tak, aby ven z lokální
sítě mohly procházet všechny pakety a dovnitř jen ty, které patří již k navázanému
spojení; jinak řečeno zvenku se nedá navázat nové spojení.
např.
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED \
-j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
2.9Směrovánímezisítěmi
Z předchozího textu umíte přiřadit jednotlivým rozhraním IP adresy přiřadit
sítě k jednotlivým rozhraním. Nastavit pravidla pro průchod paketů. Nyní
naučíte server směrovat packety s využitím směrovacího software ipchains ;
do příkazové řádky napíšete následující příkazy
Modprobe ipchains
Ipchains –P forward DENY
Ipchains –A forward –j MASQ
Echo > 1 /proc/sys/net/ipv4/ip_forward
Ipchains ‐ nástroj pro vytvoření pravidel, která určují, co se má udělat ‐P – nastaví standardní politiku směrování, když jádro nenajde žádné vyhovující pravidlo, paket zahodí ‐A – nastaví pravidlo, které říká, že při předávání se pakety „MASKUJÍ“ za vnější lokální adresu (nahradí se původní zdrojová adresa) ‐ SNAT Poslední příkaz aktivuje směrování – viz odstavec o nastavení směrování do
jiných sítí.
Abychom při každém spuštění nemuseli tyto příkazy opakovat,
 vytvoříte v adresáři /etc/rc.d soubor rc.firewall
 nastavíte oprávnění, aby byl spustitelným souborem (stane se skriptem)
chmod 700 /etc/rc.d/rc.firewall
 do souboru rc. firewall vložíte příkazy pro nastavení směrování a
překlad
 do souboru rc.local vložíme odkaz pro spuštění skriptu a uložíme
ln /etc/rc.d/rc.firewall
 server restartujeme a směrování je nastaveno
54 Pozn.
Pokud potřebujete řešit překlady spojené s některými službami, musíte zavést
do paměti příslušné moduly. Následující skript řeší překlady spojené se službami FTP, DHCP a s defragmentací paketů:
depmod-a
modprobe
modprobe
echo “1”
echo “1”
echo “1”
ipchains
ipchains
ip_maq_ftp
ip_masq_raudio
>/proc/sys/net/ipv4/ip_forward
>/proc/sys/net/ipv4/ip_dynaddr
>/proc/sys/net/ipv4/ip_ip_always_defrag
–P forward DENY
–A forward –s 192.168.146.0/24 –j MASQ
Sítě v prostředí OS Linux 55 2.10VLANvprostředíOSLinux
Úvodem si připomeňte trochu teorie. VLAN - virtuální LAN použijete
k logickému rozdělení sítě na menší segmenty bez ohledu na to, jak máme
fyzicky uspořádány síťové prvky.
Oddělení sítí můžete dosáhnout použitím IP adres z jiných rozsahů, případně
vytvářením podsítí (subnetů) v jednom přiděleném adresovacím rozsahu,
změnou síťové masky. Tímto způsobem zajistíte oddělení komunikace na
síťové vrstvě ISI/OSI modelu, ale komunikace na úrovni linkové vrstvy, která
se orientuje podle MAC adres (IP adresy nečte) komunikace bude klidně
pokračovat. Pokud chcete oddělit provoz i na této vrstvě, musíme počítače
připojit k odděleným switchům.
Použijete-li technologii virtuálních sítí vytvořených na úrovni linkové vrstvy
(na switchi) budou spolu komunikovat pouze stanice připojené k portům ve
stejné virtuální síti. Používá se technologie značkovaných rámců – protokol
802.1q. Pokud chcete virtuálním sítím komunikaci umožnit, budete je chápat
jako dvě oddělené sítě s rozdílnou adresací a v síti je nutno použít router jako
síťové rozhraní.
Důležitým pojmem je trunk, kterým označujeme stav portu, kterým mohou
procházet rámce zařazené do více VLAN. Umožňuje komunikaci stanic
zařazených do jedné VLANy a fyzicky umístěných na různých switchích.
Pro zjednodušené vytváření VLAN ve složitějších sítích s větším počtem
síťových prvků switch se využívá protokol VTP a pro vyjednávání nastavení
trunku mezi porty na switchích protokol DTP (zopakujte si).
56 V tomto studijním materiálu se zaměříme na použití a konfiguraci VLAN
v prostředí linuxového serveru, který bude sloužit k nastavení komunikace
mezi virtuálními sítěmi. OS Linux podporuje protokol 802.1q již v jádře.
Použijeme variantu propojení serveru k síti pomocí jednoho síťového
rozhraní (tzv. router on the stick) kdy vytváříme virtuální síťová rozhraní:
Vytvoření virtuálního rozhraní
Mějme VLAN ID 10
Kopírujete obsah souboru
cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/networkscripts/ifcfg-eth0.10
Máte virtuální rozhraní ale!!!! rozhraní používá neznačkovaný přenos.
Potřebujeme značkovaný přenos pro VLAN 10
Co uděláte?
 Soubor /etc/sysconfig/network-scripts/ifcfg-eth0 neměníte
 Otevřete soubor /etc/sysconfig/network-scripts/ifcfg-eth0.10
 DEVICE = ifcfg-eth0; nahradíte DEVICE = ifcfg-eth0.10;
 Přidám řádek VLAN = yes;
 Nastavíte správnou IP z DHCP nebo staticky a soubor uložíte
 Odstraníte bránu ze všech ostatních síťových konfiguračních souborů
 Nastavíte bránu do souboru /etc/sysconfig/network
 Restartujte síť příkazem: /etc/init.d/network restart
Analogicky byste vytvořili a nakonfigurovali virtuální rozhraní eth0.20
Sítě v prostředí OS Linux 57 VCONFIG
V prostředí Linux- FEDORA (RED-HAT) můžete požít pro vytvoření
virtuálního zařízení příkaz vconfig, např.
Pro eth0 vytvoříte virtuální síťové rozhraní pro VLAN ID 10:
vconfig add eth0 10
výsledkem je virtuální subinterface eth0.10 (analogie příkazu ifconfig eth0.10)
Přiřadíte adresu k vybranému virtuálnímu rozhraní:
ifconfig eth0.10 192.168.146.100 netmask 255.255.255.0 broadcast
192.168.146.255 up
Detailní informace o virtuálním rozhraní:
cat /proc/net/vlan/eth0.10
Zrušení virtuálního rozhraní (2 varianty – ifconfig, vconfig)
ifconfig eth0.10 down
vconfig rem eth0.10
Další parametry příkazu vconfig
Obecná syntaxe

vconfig set_name_type VLAN_PLUS_VID | VLAN_PLUS_VID_NO_PAD |
DEV_PLUS_VID | DEV_PLUS_VID_NO_PAD
tento příkaz určuje, jakým způsobem budou označována jednotlivá
rozhraní pro ifconfig:
označení rozhraní podle typu nastavení
VLAN_PLUS_VID
vlan0010
VLAN_PLUS_VID_NO_PAD Vlan10
DEV_PLUS_VID
eth0.0010
DEV_PLUS_VID_NO_PAD eth0.10

vconfig add [interface-name] [vlan-id]
vytvoří nové virtuální
rozhraní, na fyzickém rozhraní interface-name, např. vconfig add
10 vytvoří virtuální rozhraní, které bude přijímat a vysílat rámce
označené číslem 10.
eth0
zruší virtuální rozhraní vlan-device

vconfig rem [vlan-device]

vconfig set_egress_map [vlan-device] [skb-priority] [vlan-qos]
nastaví mapování priority odchozích rámců podle skb-priority paketu
do daných prioritních bitů v rámci. Priorita rámce je informace pro
přepínač o tom, do které fronty Class of Service si má rámec zařadit.
58 
vconfig set_ingress_map [vlan-device] [skb-priority] [vlan-qos] -
obdobně jako předchozí, pro příchozí rámce.
Závěr:
Virtuální rozhraní se nastaví v podstatě stejně jako normálních síťové
rozhraní. Jen nesmíme zapomenout aktivovat příslušné fyzické rozhraní (např.
příkazem ifconfig eth0 up).
V souboru /etc/network/interfaces najdete:
interface eth0.10 inet static
pre-up vconfig add eth0 10
pre-up ip link set eth0 up
post-down vconfig rem eth0.10
address 192.168.10.1
netmask 255.255.255.0
interface eth0.20 inet static
pre-up vconfig add eth0 20
pre-up ip link set eth0 up
post-down vconfig rem eth0.20
address 192.168.20.1
netmask 255.255.255.0
V adresáři /proc/net/vlan najdete soubory obsahující informace o stavu
virtuálních rozhraní.
Sítě v prostředí OS Linux 59 2.11VPN
Technologie VPN umožňuje organizacím vytvářet privátní sítě s využitím
veřejné sítě internet. Firmy používají VPN ke vzdálenému připojení
zaměstnanců firmy z prostředí domova. Použití metod virtualizace vychází
z potřeby zabezpečení dat a oddělení určité komunikace od okolního světa,
v odstíněně komunikaci jednotlivců či skupin.
Podstatná je také finanční stránka věci, kdy je ekonomicky výhodnější vytvořit
mnoho virtuálních sítí ve společném komunikačním prostředí.
VPN mohou znamenat propojení celých lokálních subsítí ve vzdálených
lokalitách či spojení uzel – uzel (uživatel – server). Existují různé typy VPN.
 VPN na síťové vrstvě – vychází z filtrování směrovacích informací,
šifrování a tunelování. Směrování je založeno na vytváření přímých
spojení na úrovni spojové vrstvy – technologie ATM, Frame Relay.
 VPN na spojové vrstvě – používá se pro spojení a fyzické a spojové
vrstvě TCP /IP modelu. Používá se častěji.
V prostředí Linux lze použít
 proprietální VPN (např. fy Cisco), šifrování IPsec
 open VPN, která požívá SSL/TLS
Příklad konfigurace open VPN:
Máme dva linuxové servery (s obligátními IP 4.3.2.1 a 6.7.8.9), mezi kterými normálně
funguje IP komunikace. Vytvořte mezi nimi šifrovaný a komprimovaný tunel se sdíleným
klíčem.
1. Na serveru 4.3.2.1 vygenerujeme sdílený klíč
openvpn –genkey –secret /etc/openvpn/secret.key
2. Na serveru 6.7.8.9 vytvoříme soubor /etc/openvpn/vpn.conf:
remote 4.3.2.1
ifconfig 192.168.0.2 255.255.255.0
port 5001
proto udp
dev tap0
secret /etc/openvpn/secret.key
ping 10
comp-lzo
verb 5
mute 10
user openvpn
group openvpn
Přeneseme ze serveru 4.3.2.1 3. Obdobně na serveru 4.3.2.1 vytvoříme soubor /etc/openvpn/vpn.conf:
remote 9.7.8.6
ifconfig 192.168.0.1 255.255.255.0
port 5001
proto udp
60 dev tap0
secret /etc/openvpn/secret.key
ping 10
comp-lzo
verb 5
mute 10
user openvpn
group openvpn
4. Na obou serverech aktivujeme vpn /etc/rc.d/init.d/openvpn start Na obou počítačích se objeví nová virtuální TAP zařízení(lze vhodně
přejmenovat)
Instalace a konfigurace VPN na serveru a klientu
instaluj OpenVPN serveru
yum install openvpn.$HOSTTYPE
kopíruj /usr/share/openvpn/easy-rsa/2.0 /home/root/
cp -ai /usr/share/openvpn/easy-rsa/2.0 /home/root/easy-rsa
Konfiguruj:
cd /HOME/ROOT/easy-rsa . vars ./clean-all ./build-ca ./build-inter $( hostname | cut -d. -f1 ) ./build-dh mkdir /etc/openvpn/keys cp -ai keys/$( hostname | cut -d. -f1 ).{crt,key} keys/ca.crt
keys/dh*.pem /etc/openvpn/keys/ cp -ai /usr/share/doc/openvpn-*/sample-config-files/roadwarriorserver.conf /etc/openvpn/server.conf Edituj /etc/openvpn/server.conf ke konfiguraci and klíče a cesty, kde se klíč nachází /etc/openvpn/keys/. Konfigurační nastavení je uloženo v /etc/openvpn/server.conf Vytvoř odkaz ln -s /lib/systemd/system/openvpn\@.service
/etc/systemd/system/multi-user.target.wants/openvpn\@server.service systemctl enable [email protected] systemctl start [email protected] Sítě v prostředí OS Linux 61 Nastavte pravidla pro firewall , která povolují traffic in z tun+, out z LAN do
tun+, in z prostředí outside na UDP port 1194.
inside je eth0 a outside eth1
iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -j ACCEPT
iptables -A FORWARD -i eth1 -o tun+ -m state --state
ESTABLISHED,RELATED -j ACCEPT
Nastavte OpenVPN klienta
Potřebujete generovat nový klíč pro nového klienta username
Na serveru
cd easy-rsa . vars ./build-key username 62 Závěr
Vážení čtenáři, pokud jste dospěli k této kapitole, umíte nakonfigurovat síť jak
v operačním systému Windows, tak Linux.
Nyní jsme se zaměřili především na textové rozhraní, a to nejen v Linuxu, kde
by se to čekalo, ale také v operačním systému Windows. Seznámili jste se a
snad také i pochopili základní síťové služby, jako je směrování, dynamické
přidělování Ipadres, konfiguravivirtuálních sítí, a to jak na switchi – VLANY,
tak i prostřednictvím internetu – VPN.
Pokud se budete touto problematikou zabývat častěji, jistě si zafixujete
potřebné metody práce a jistě přijdete na chuť i příkazové řádce, a to hlavně
z hlediska úspory času.
Přeji Vám v dalším studiu hodně vytrvalosti
63 Použitáliteratura
1.
KABELOVÁ, Alena a Libor DOSTÁLEK. Velký průvodce protokoly TCP/IP a systémem DNS. 5., aktualiz. vyd. Brno: Computer Press, 2008, 488 s. ISBN 978‐80‐251‐2236‐5.
2.
KABELOVÁ, Alena a Libor DOSTÁLEK. Windows server 2008. 5., aktualiz. vyd. Brno: Computer Press, 2008, 488 s. ISBN 978‐80‐251‐2236‐5.