Jaký bude školský intranet? - II.
V dokončení článku o školském intranetu budovaném v rámci SIPVZ se podívejme, jakým způsobem je navržena jeho bezpečnost včetně omezování přístupu k portálu či filtrace obsahu veřejného internetu a jak budou řešeny poštovní služby nebo správa školních www stránek.Na pondělním odborném semináři o budování školského intranetu se samozřejmě hovořilo i o architektuře a topologii příslušné infrastruktury. Dovolím si připomenout, z předchozí části článku, že tato infrastruktura je společná pro školský intranet i pro intranet veřejné správy. Byl nám promítnut následující obrázek s topologií této infrastruktury:
Ukazuje jádro (tmavší hnědá) a "okrajovou" část (žlutá) páteřní sítě na bázi protokolu MPLS, a dále přístupovou síť (podbarveno zeleně). Je to ale jen velmi obecný a schematický obrázek, který žádné významnější detaily neukazuje. Navíc si myslím, že byl kreslen spíše pro potřeby prezentace subjektům veřejné správy . K této domněnce mne vede přístupový server (v levém spodním rohu) a počítače s dial-up (ISDN, POTS) či dokonce mobilním připojením. Pokud je mi známo, pro školy se s dial-up či mobilním připojením nepočítá (ale u subjektů veřejné správy ano). Stejně tak připojení po "optickém Ethernet" zřejmě není určeno pro školy, na rozdíl od "semipermanentrního ISDN" (viz včera), které zase na obrázku není zakresleno vůbec.
Centrální firewall
Podstatně větší vypovídací hodnotu má jiný obrázek, který jsem si dovolil překreslit a spojit s dalšími informacemi. Ukazuje (logický) způsob připojení školského intranetu k veřejnému Internetu a strukturu centrálních firewallů i firewallů školních.
Celý školský intranet tedy bude propojen s veřejným Internetem přes firewall řady PIX od firmy Cisco (na obrázku jako firewall č. 1). Jak jsem byl ujištěn, tento firewall bude chránit hlavně před neoprávněným přístupem zvnějšku (hlavně před útoky typu DoS, tj. Denial of Service), a naopak nebude dělat žádný "content inspection" (tj. kontrolování obsahu) ani omezování toho, kdo se smí z privátního intranetu kam dostat ve veřejném Internetu (tedy např: nebudou zde zakazovány žádné servery). Po technické stránce by firewally řady PIX něco takového samozřejmě uměly.
Za zdůraznění jistě stojí skutečnost, že firewall 1 nebude fungovat na principu tzv. demilitarizované zóny (ačkoli na obrázku jedna demilitarizovaná zóna je, viz dále). Řešení s klasickou demilitarizovanou zónou by znamenalo, že veškerý provoz mezi veřejným Internetem a privátní sítí na síťové vrstvě (např. pro protokol IP) by byl zablokován, v demilitarizované zóně by byly umístěny aplikační brány (tzv. proxy brány, např. WWW proxy server) a skrz ně by musela procházet veškerá komunikace mezi veřejnou a privátní sítí.
Architekti školského intranetu se rozhodli pro jinou variantu, obvykle označovanou jako tzv. paketový filter. To znamená, že provoz mezi veřejnou a privátní sítí na úrovni síťové vrstvy je možný (pakety mohou procházet skrz), ale firewall prohlíží jejich obsah a podle něj rozhoduje zda je propustí skrz nebo nikoli. K tomu je vhodné dodat, že jde o "prohlížení obsahu" v technickém slova smyslu (firewall se zajímá např. o síťové adresy, o čísla portů atd.), a ne třeba o obsah přenášených dokumentů či zpráv.
S fungováním na principu paketového filtru souvisí i jedna důležitá funkce firewallu 1. V rámci školského intranetu budou použity tzv. privátní IP adresy (podle RFC 1597), což je zcela standardní řešení. Tyto privátní adresy ale nemohou být používány v Internetu veřejném, a proto musí být veškerý provoz z/do školského intranetu překládán (musí být přepisovány IP adresy). To se řeší mechanismem NAT (Network Address Translation), a také tuto funkci bude zajišťovat centrální firewall 1.
Firewally CIS-u
Poměrně zajímavě je řešeno začlenění centrálního internetového serveru (CIS-u). Jak se dá z obrázku usoudit, počítá se s tím, že aplikace které budou na CISu provozovány budou postaveny na tzv. třívrstvé architektuře client/server. To fakticky znamená, že tyto aplikace jsou rozděleny na tři části:
- Datovou, kterou si lze představit jako datový sklad řešený tradičnímu databázovými technologiemi
- Aplikační logiku, která řeší vlastní funkčnost aplikace (vše co je pro aplikaci specifické)
- Prezentační vrstvu, která zajišťuje veškerý styk s uživatelem (zobrazuje mu výstupy, přijímá od něj vstupy). Dnes je tato prezentační vrstva nejčastěji řešena pomocí služby WWW (tj. prezentační funkce zajišťuje WWW server, který komunikuje s WWW klienty (browsery) na straně uživatelů).
Řešení, které ukazuje obrázek, odpovídá této třívrstvé architektuře - WWW servery, zajišťující prezentační funkce, jsou "vystrčeny" před servery zajišťující datovou část a aplikační logiku, které běží na serverech naopak "schovaných" ještě za další firewall (na obrázku firewall 3). To je vcelku standardní řešení, snad jen s tím, že nebývá zvykem před prezentační část předřadit ještě jeden firewall (zde firewall 2) a vlastně zřetězit dva firewally za sebou (zde firewally 1 a 2).
Z hlediska dostupnosti služeb centrálního internetového serveru toto řešení nic nevylučuje - možný je plnohodnotný přístup jak z vnitřního intranetu, tak i z vnějšího Internetu. Vše záleží pouze na tom, jak jsou nastaveny firewally 1 až 2, které mohou cokoli zakázat (resp. povolit), a to i se značnou míru "jemnosti" - například veřejnost z Internetu může mít přístup jen ke konkrétním aplikacím a k jiným ne.
Školní firewall
Jak jsem byl v pondělí opakovaně ujištěn, centrální firewall (na obrázku firewall 1) nebude nikoho "zevnitř" omezovat v tom, kam se smí dostat. Případná omezení však bude možné realizovat na úrovni jednotlivých škol. Ty totiž budou také mít svůj vlastní firewall (na obrázku označený jako firewall 4), a na něm si budou moci nastavit případná omezení podle vlastního uvážení.
Druh školního firewallu i celkové řešení školní sítě LAN bude záležet na velikosti školy, resp. kategorii (A, C a E).
V kategorii A (do cca 80 žáků) nebude škola vybavena vlastním serverem. Jeho roli bude plnit multimediální PC určené pro učitele. Na něm poběží program WinRoute, který zajistí jak roli firewallu, tak i roli školního poštovního serveru. Je možné jej administrovat na dálku, a dokáže zajistit i různá přístupová omezení (například zakázat přístup ze školní sítě LAN na zadané vnější servery), včetně žurnálování.
V obou vyšších kategoriích již bude škola mít vlastní server, který bude sloužit jako firewall, poštovní server i pro další účely. Pro roli firewallu bude na tomto serveru instalována aplikace MS ISA server (Internet Security & Acceleration Server), roli poštovního serveru bude zajišťovat MS Exchange server.
Jak MS ISA server, tak i Exchange server jsou poměrně náročné na administraci. Pokud jsem správně porozuměl pondělní prezentaci, budou administrovány centrálně a na dálku, s tím že škola si bude sama zajišťovat takové funkce, jako je například zřizování uživatelských účtů, a snad i nastavování případných přístupových omezení. K tomu by škola měla používat speciálně vyvinutou aplikaci nazvanou "správa domény" (tedy zřejmě nepůjde o standardní administrátorské zásahy do obou produktů).
K této konfiguraci v kategorii C a E si dovolím osobní postřeh: použití MS Exchange a MS ISA serverů mi připadá jako zbytečný overkill. Oba produkty jsou samotný Microsoftem prezentovány jako "enterprise" řešení, neboli řešení pro firmy, obvykle s více jak 7 počítači (jako u škol v kategorii C) či 11 počítači (v kategorii E). Nezanedbatelný není ani cenový aspekt: oba produkty mají základní cenu (beze slev) kolem 50 000,- Kč každý. Naproti tomu český WinRoute od firmy TinySoftware (nověji přejmenované na Kerio Technologies), schopný plnit roli firewallu i poštovního serveru, má základní cenu (opět beze slev) 22 000,- ve verzi pro neomezený počet uživatelů.
Argumentem pro volbu "enterprise" produktů by mohla být potřeba centrální správy. Faktem je, že spravovat několik tisíc firewallů není žádná trivialita. WinRoute umožňuje plnohodnotnou správu na dálku (i když asi ne všech serverů najednou, jedním zásahem administrátora, nýbrž individuálně). Na druhou stranu například MS ISA server nabízí možnost centrální správy celé sítě těchto serverů až ve své verzi ENTERPRISE Edition, která je podle standardních ceníků přibližně 4x tak drahá jako verze STANDARD Edition za cca 50 000,- Kč. To vše pro 7 či 11 počítačů?
Jak bude řešena elektronická pošta?
Pokud jde o služby elektronické pošty, zde se zdá být jasné že každá škola bude mít svůj vlastní poštovní server (buď v rámci WinRoute nebo MS Exchange), provozovaný přímo ve vlastní síti LAN. Poštovní schránky uživatelů (žáků i studentů) se budou nacházet na těchto serverech a nikoli centrálně. Centrální bude pouze tzv. záložní poštovní spool, neboli záložní poštovní server, který při nedostupnosti cílového poštovního serveru dočasně přebírá jeho nově příchozí poštu (a ten bude umístěn v demilitarizované zóně u firewallu 1).
Když jsem se ptal na možnost práce s poštovními schránkami z vnějšího Internetu, např. z domova. Mělo by to být možné, protože firewall1 (centrální) i firewall4 (školní) by měl propouštět protokoly POP3 a SMTP, nutné pro práci s poštou.
Jasné se zdá být také to, že školy připojené v rámci projektu III dostanou nově přidělené domény, obecně ve tvaru <škola>. Důležitou otázkou je jistě také přístup k WWW stránkám. Přístupnost WWW stránek z centrálního internetového serveru (na kterém nejspíše poběží všechny portály) je možná odkudkoli - z privátního intranetu i veřejného Internetu - a případná omezení mají v rukou ti, kteří budou spravovat firewally 1 až 3 (ve smyslu předchozích obrázků).
Pokud jde o WWW stránky jednotlivých škol, ty by si je měly provozovat "u sebe", na svých vlastních WWW serverech - nejspíše na MS IIS serveru, který by měl být instalován buď na školním serveru, nebo na multimediálním učitelském PC (u škol v kategorii A bez vlastního serveru). Také tyto stránky by měly být dostupné odkudkoli z privátního intranetu i z vnějšího Internetu (a opět platí že případná omezení může realizovat ten, kdo spravuje firewally 1 a 4).
Jak bude řešen přístup k WWW stránkám?