Vyšlo v týdeníku CHIPweek č. 12/98, 17. března 1998
Vytištěno z adresy: http://www.earchiv.cz/a98/a812k205.php3

Jak se připojit k Internetu? Pomocí "výhybky"!

Způsoby připojování jednotlivých uživatelů i celých lokálních sítí k Internetu jsou poměrně propracovanou a dobře zvládnutou problematikou, se "zavedenými" řešeními, pro které existuje na trhu poměrně bohatá nabídka produktů a služeb. V poslední době se ale začíná stále více prosazovat zajímavý nový způsob připojování, který je doslova šit na míru malým a středním firmám.

Naznačme si nejprve, jaké jsou ony "klasické" možnosti připojení k Internetu, které jsou již tak dobře zavedeny na trhu. První z nich je připojení jediného samostatného počítače přes veřejnou telefonní síť (tzv. komutovanou linku, proto také "komutované připojení", anglicky "dial-up access"). Takovéto připojení dnes nabízí snad každý Internet provider, a zvládá jej také většina programových produktů, které se na samostatných (osobních) počítačích používají. Pokud jde o ceny za takovýto komutovaný přístup, pak zde existuje celé široké spektrum možností: na jednom jeho konci je paušální (měsíční) sazba, nezávislá na tom, jak dlouho je uživatel připojen (tedy alespoň z pohledu Internet providera, kterému uživatel platí pouze onu zmíněnou paušální sazbu, zatímco provozovateli telefonní sítě, neboli SPT Telecomu, to jedno není, a kasíruje uživatele za každé tři minuty, resp. šest minut připojení). Na druhém konci spektra plateb Internet providerům za připojení je základní minimální měsíční sazba, ke které se pak přidávají poplatky za každou minutu připojení, typicky 1,- Kč (pozor, neplést s poplatky za samotné telefonování, jdoucí do kapsy SPT). Uprostřed celého spektra pak jsou kombinace typu: základní měsíční sazba, která pokrývá určitý počet minut, resp. hodin připojení měsíčně, a při jejich překročení se platí explicitně za každou minutu.

Nejnižší paušální cena za časově neomezený přístup k Internetu se dnes pohybuje na úrovni 500,- Kč měsíčně, ale výjimkou není ani cena v řádu 2 až 3 tisíc korun měsíčně. Rozdíl je nutné přičíst na vrub úrovni služeb Internet providera, zejména pak způsobu jeho připojení k Internetu ("průchodnosti" jeho přípojky do Internetu, vztažené na počet jeho zákazníků), a stejně tak počtu uživatelů, připadajících na jedno přístupové místo, neboli na jeden modem, na který se uživatelé dovolávají. Zde snad více než kde jinde platí, že nejlacinější nemusí být nejlepší - co je uživateli platný nízký paušál, když jsou všechny přístupové modemy providera systematicky obsazeny právě v době, kdy se on potřebuje dovolat?

V ceně právě popisovaného komutovaného připojení bývá i jedna poštovní schránka a jí odpovídající účet (viz článek o poštovních schránkách), a adresy odpovídající variantě 1 z článku o doménách. Někteří provideři k tomu nabízí ještě i možnost vystavovat zákaznické WWW stránky (ve zbytkovém objemu poštovní schránky, viz článek o WWW stránkách).

Důležitou vlastností komutovaného připojení, zejména z pohledu malých a středních firem, je skutečnost že slouží skutečně jen pro připojení jediného počítače. Pokud jsou ve firmě další počítače, nemohou bez dalších opatření (typu "výhybky", které si záhy popíšeme) jedinou existující přípojku využít. Obvyklý způsob, jak zajistit přístup k Internetu pro více počítačů současně - typicky pro celou lokální síť, do které jsou tyto počítače zapojeny - je pořídit si pevné připojení, neboli připojení k Internetu pevnou linkou. To je ale již záležitost výrazně nákladnější než komutovaný přístup, podle propustnosti (přenosové rychlosti) přípojky jde spíše o desítky tisíc měsíčně (plus pronájem samotné přípojky, např. pevného telefonního okruhu, od SPT Telecomu).

Princip demilitarizované zóny

Obrázek 1.
Představa demilitarizované zóny
Pevné připojení však má i významné přednosti oproti připojení komutovanému - jelikož je trvalé v čase (zatímco komutované spojení nikoli, neboť se navazuje až v okamžiku skutečné potřeby a poté se zase ukončuje), umožňuje připojené organizaci provozovat vlastní Internetové služby, zejména pak vlastní WWW server (pokud se firma nerozhodne pro variantu "server hosting", viz článek o WWW stránkách, a svůj server nepřenese přímo ke svému providerovi). Současně s tím je ale pevné připojení "náchylnější" k tomu, aby se stalo terčem pro eventuelní narušitele (hackery) - i zde se ale s postupem času vyvinula určitá standardní zabezpečovací řešení, jejichž princip naznačuje obrázek 1: základem tohoto řešení je oddělení "nebezpečného" vnějšího světa (Internetu) od chráněné lokální sítě přes přechodovou oblast, které se ne nadarmo říká demilitarizovaná zóna (DMZ). Na obou okrajích této zóny jsou umístěny tzv. směrovače, které se starají o to, aby demilitarizovaná zóna nebyla pro nikoho (pro žádné síťové pakety) prostupná skrz - je prostupná z obou stran pouze dovnitř (a zase ven, ale nikoli skrz), tak aby veškerý provoz směřující skrz demilitarizovanou zónu musel projít přes některý s "přestupních" serverů, které jsou umístěny v demilitarizované zóně a slouží právě jako "hlídači" oprávněného provozu. Jde ostatně o princip, kteří zavedli již stavitelé středověkých hradů - celý hrad obehnali hlubokým příkopem, a jako jediný možný vstup do hradu vybudovali úzký most (odpovídající naší demilitarizované zóně). Na něj pak umístili hlídače, kteří kontrolovali každého příchozího - přesně stejně fungují v demilitarizované zóně umístěné servery: například poštovní server, který zajišťuje předávání elektronické pošty mezi vnějším Internetem a vnitřní lokální sítí. Nebo tzv. WWW proxy server, který z jedné strany přijímá požadavky "brouzdajících se" uživatelů z vnitřní lokální sítě, svým jménem (jako své vlastní požadavky) je předává do vnějšího Internetu, a odpovědi (požadované WWW stránky) pak zase vrací zpět původním žadatelům ve vnitřní síti. Na podobném "přestupním principu" (neboli na principu tzv. proxy brány) může být realizována i podpora dalších Internetových služeb, například služeb FTP a Gopher, ev. i Telnet. Někdy se tomu říká i "řešení na úrovni aplikačních bran" (application-level gateway), protože příslušní "hlídači" fungují skutečně na aplikační úrovni (na úrovni služeb jako WWW, FTP, el. pošty atd.). Pro jiné druhy provozu, neboli pro jiné druhy služeb, však takovéto řešení na aplikační úrovni nemusí být účelné či vůbec možné, a tak se zde přeci jen povoluje určitá průchodnost síťových paketů skrz demilitarizovanou zónu - ovšem opět řízená, kdy každý procházející paket je individuálně kontrolován (tato řešení se označují jako tzv. paketové filtry, či IP filtry, jedním konkrétním řešením je i tzv. SOCKS brána apod.). Ještě další možností, která zajišťuje jak ochranu před případnými narušiteli, tak i řeší problémy se síťovými adresami (tzv. IP adresami) uvnitř lokální sítě, je i možnost průběžného překládání adres při průchodu z vnějšího Internetu do vnitřní sítě. Tato možnost se označuje jako NAT (Network Address Translation).

Princip "výhybky"

Výše popsané řešení s demilitarizovanou zónou, označované někdy (nepříliš správně) i jako firewall, je dnes poměrně rozšířené, a to u větších firem - což souvisí s tím, že jde o záležitost poměrně nákladnou, v řádu nejméně stovek tisíc korun. Dnes se ale objevují na trhu i takové produkty, které dokáží sloučit celou funkčnost právě popsaného řešení s demilitarizovanou zónou do jediného programu, který lze provozovat jako kteroukoli jinou aplikaci na jediném "obyčejném" počítači - jde samozřejmě o řešení, které je dimenzováno na potřeby malých a středních firem (a jeho výkonnost, resp. průchodnost je adekvátně menší), přičemž výrazně nižší je i celková pořizovací cena tohoto řešení - pohybuje se v řádu jednotek až několika málo desítek tisíc. Důležité je také to, že řešení tohoto typu nevyžadují nutně pevnou (trvalou) přípojku k Internetu, ale dokáží vystačit i s připojením komutovaným - výrazně nižší tedy mohou být i průběžné provozní náklady.

Zajímavé je, že pro právě popsané řešení na bázi demilitarizované zóny, směrovačů, aplikačních bran a firewallů, doslova "zhroucených" do jediné aplikace, ještě neexistuje žádné ustálené obecné označení. Pojmenujme jej proto výstižným českým slůvkem "výhybka" - zdůrazňuje to totiž primární důvod, kvůli kterému se takováto řešení dnes stále častěji nasazují u středních, malých i úplně nejmenších firem, ale třeba i v domácnostech se dvěma a více počítači.

Vyjmenujme si nyní podrobněji možnosti, které řešení typu "výhybky" nabízí, viz též druhý obrázek

Obrázek 1.
Představa "výhybky"
  • Přístup k Internetu mají všichni uživatelé: "výhybka" zde funguje tak, že umožňuje všem uživatelům místní sítě (propojených do klasické LAN) využívat jedné společné přípojky k Internetu stejně, jako kdyby to byla jejich vlastní přípojka (právě to je charakteristická funkce "výhybky", která "rozbočuje" jednu přípojku ke všem uživatelům). Fakticky je tento přístup realizován buď na principu proxy bran, nebo na principu paketového filtru, nebo oběma způsoby současně
  • Jediná existující přípojka je sdílená všemi uživateli: "výhybka" může pracovat s pevnou přípojkou, ale vystačí i s komutovanou přípojkou, které odpovídá jediná IP adresa přidělovaná dynamicky Internet providerem (mimo jiné tedy všichni uživatelé platí za své připojení dohromady stejně, jako za připojení jediného počítače)
  • Výhybka zajišťuje funkci proxy brány: týká se zejména služeb WWW, FTP a Gopher, výhybka zde implementuje funkce proxy bran těchto služeb. Díly tomu je možné, aby místní uživatelé používali tyto služby v rámci celého Internetu (mohou se např. brouzdat WWW servery v celém Internetu).
  • Výhybka zajišťuje funkci tzv. cache paměti: např. pro službu WWW si výhybka pamatuje stránky, navštívené kterýmkoli z uživatelů (protože tyto stránky skrz ni prošly). Pokud později stejnou stránku požaduje znovu ten samý uživatel, nebo uživatel jiný, je výhybka schopna mu ji poskytnout ze své cache paměti, a nemusí ji sama stahovat z původního zdroje. Tím se hlavně šetří přenosová kapacita a zvyšuje rychlost celkového fungování.
  • Výhybka zajišťuje funkci paketového filtru: to umožňuje její "průchodnost" i pro jiné služby, které není možné zabezpečit na principu proxy bran
  • Výhybka může fungovat i jako interní WWW server: například jako intranetový WWW server pro místní uživatele, ale i jako WWW server pro umístění vlastních WWW stránek, které mají být "zveřejněny" do Internetu (což ale má smysl pouze při pevném připojení)
  • Výhybka může fungovat i jako poštovní server : v rámci programu-výhybky může být integrována funkčnost poštovního serveru. Pokud má připojená firma vlastní doménu (2. nebo vyšší úrovně), může na tomto poštovním serveru přijímat bez omezení veškerou svou poštu - například si na tomto poštovním serveru vytvářet potřebné poštovní schránky a poštovní účty, v rozsahu dle vlastního uvážení
  • Výhybka zabezpečuje funkci firewallu: výhybka logicky odděluje vnitřní síť od vnějšího světa, a zajišťuje ochranu vnitřní sítě před narušením zvnějšku.

Udělejme si nyní malý orientační přehled toho, co se na trhu "výhybek" již dnes nabízí (nikoliv recenzi ... zde prosím zvažte ev. doplnění typu "na podrobnější recenzi se chystáme" ....).

602proInternet

Jedno tuzemské řešení typu "výhybky" pochází od známé firmy Software 602. Ta se proslavila nejen svým textovým editorem Text602, ale později i vlastním (proprietárním) systémem elektronické pošty Mail602. Tento poštovní systém se později stal základem i pro řešení, které firma Software602 nazvala "602proInternet", a který zaměřila právě na malé a střední firmy (a na předloňském Invexu za něj dostala jeden z Křišťálových disků). Základem tedy je plnohodnotný poštovní server Mail602, doplněný o aplikaci nazvanou Mail602 Internet Server - ta pak v sobě sdružuje všechny ostatní funkce "výhybky" (s výjimkou poštovního úřadu, který je samostatný). Konkrétně jde o tyto funkce:

  • Proxy server pro WWW a FTP, s cache pamětí (lze navázat i na víceúrovňové externí cache systémy)
  • Server SOCKS a paketový IP filter (pro ostatní služby, vedle WWW a FTP)
  • SMTP server a POP3 server (vytváří SMTP rozhraní k poštovnímu úřadu Mail602, a umožňuje mu fungovat jako běžný SMTP server v Internetu, POP3 server umožňuje pracovat s poštovními schránkami v rámci Mail602 prostřednictvím protokolu POP3 - tedy z většiny poštovních klientů, včetně např. Outlook, Outlook Express. Netscape Mail, Eudora, Pegassus apod.)
  • WWW server (včetně zabezpečeného způsobu fungování na bázi SSL)

Ve verzi pro 5 uživatelů stojí 602proInternet verze 3.32 cca 25 000 Kč.

Winproxy, od firmy LanProjekt

Další původní tuzemské řešení pochází od firmy Lanprojekt z Plzně, známé též jako Internet provider. Její produkt jménem WinProxy nabízí v zásadě stejné základní funkce jako 602proInternet (včetně vlastního poštovního serveru, od verze 1,4), ale způsob jeho vzniku je v jistém smyslu opačný k produktu 602pro Internet: ten vznikal tak, že k původnímu "poštovnímu řešení" byly přidány další funkce, potřebné pro fungování "výhybky". Produkt WinProxy očividně vznikal přesně opačně: nejprve jako "výhybka", s větším důrazem na "síťové" fungování a explicitnější podporou i dalších aplikačních protokolů, a teprve dodatečně si pořídil také vlastní poštovní server (ale zatím zřejmě postrádá intranetový WWW server).

Velmi příznivá je i cena: demo verzi (plně funkční, ale jen pro 2 současné uživatele, 3 poštovní schránky a cache 1 MB) si můžete stáhnout z Internetu, z adresy http://www.lanprojekt.cz/winproxy/downloadcz.html). Verze pro 5 uživatelů a 5 poštovních schránek (tj. srovnatelná se základní verzí 602proInternet) přijde na 2800,- Kč, a verze pro neomezený počet uživatelů přijde na 8400,- Kč.

WinRoute, od firmy M-Tech

Asi nejpropracovanější podporou různých síťových a aplikačních protokolů (včetně možnosti práce s audio a videopřenosy) nabízí další tuzemský produkt jménem WinRoute, od firmy MT-Net. Oproti předchozím dvěma produktům je navíc vybaven podporou "překladu IP adres" (mechanismu NAT, Network Address Translation), a má také zabudovanou podporu pro plánování úloh a jejich automatické spouštění v předem zadané době (tzv. Scheduler). Stejně jako oba předchozí produkty podporuje komutované připojení, které dokáže navazovat automaticky, na základě skutečné potřeby (např. při potřebě odeslat nějakou zprávu el. pošty, či při požadavku uživatele na proxy bránu apod.).

K dispozici je demoverze (funguje 20 minut, pak musí být znovu spuštěna), lze ji stáhnout z adresy: http://www.winroute.cz/cz/download.html. Ostrá verze, bez omezení počtu uživatelů, stojí 12 800,- Kč (existuje i verze Lite, bez některých funkcí, za 9600,- Kč).

Zahraniční produkty

Produkty typu "výhybek" samozřejmě nejsou naší tuzemskou specialitou, lze najít i srovnatelné produkty zahraniční provenience. Jde například o produkt jménem WinGate (http://www.deerfield.com/wingate), který ve verzi pro neomezený počet uživatelů stojí přesně 700 USD. Dalším produktem je WinProxy od firmy Ositis Software (http://www.winproxy.com), v ceně téměř 300 USD za verzi pro neomezený počet uživatelů.