Nagradni natječaj – pisanje članaka

Goran Senfner – RAK je odabrao vrlo interesantnu temu koja u kombinaciji s Black Dragonovim rješenjem WLAN-a može uroditi zanimljivim plodom.

U vrijeme kada puno ljudi ima više računala, svi bi htjeli da sva računala imaju pristup internetu. U osnovi je to jako dobra ideja ali zahtjeva određeno predznanje i svijest o opasnostima takvih postupaka. Osobito je važno da se odabere najjednostavniji i najbrži način uspostavljanja takvih mreža. Zato valja otkriti koji nam sistem najviše odgovara.

Internet connection sharing (ICS) – Svi bi uglas rekli kako je to zasigurno najednostavniji način da se pristupi mreži. Ne zahtjeva dodatni hardware, potrebno je vrlo malo znanja, te je time i najpraktičniji. Ima istine u svemu tome ali ima i određene limite. Tako bi računalo koje dijeli resurse moralo biti stalno upaljeno i neopterećeno za druge korisnike. ICS ipak zahtjeva određene resurse za rad. Kao dugi limit bi naveo nepostojanje načina da se takvo dijeljenje resursa zaštiti na odgovarajući način. Prvenstveno zbog servisa koji se tada otvaraju. Siguran rad na takvom računalu (kao i onom spojenim na njega) bi bio vrlo upitan sa sigurnosne strane.

Proxy Server – Još jedan vrlo popularni sistem dijeljenja interneta. Postoje programi koji će uspješno obavljati svoju funkciju, može se postaviti na sve operativne sisteme, a neki su i besplatni za korištenje. Postoje i LiveLinux proxy serveri koji se podižu s CD-a i zahtijevaju vrlo malo hardwarea. Tek ponešto znanja Linuxa. Uz njih se dobiva i vrlo opsežna i jednostavna uputstva. Još kada se kaže da cachiranje Internet stranica koje smo posjetili obavlja server, te je dostupno za sve korisnike, može se reći da zvuči sjajno. No, baš i nije tako. Zbog samog načina komunikacije preko određenog porta, vrlo je lako zaobići ga. Kako korisniku, tako i eventualnom napadaču ili crvu. Cachiranje podataka bi trebalo ubrzati pristup internetu ali će nam predstavljati muku kod aktivnih formi poput foruma. Neprestano ćemo morati raditi reload stranice pošto će računalo stalno otvarati onaj spremljeni podatak, umjesto da otvara novu stranicu. Moja je praksa pokazala da to zna biti prilično sporo.

Network address translation (NAT) – Zasigurno najkompliciraniji način spajanja. No isto tako je i najsigurniji, najbrži i sistem sa najviše pogodnosti korisniku. Postoje programi za tu vrstu konekcije i mogu se instalirati na bilo koji operativni sistem te su neki i besplatni. No, svi imaju zajednički nazivnik – nesigurno i sklono padovima. Tako sam ih nekoliko testirao i stvorio si mnoge probleme. Zato sam se odlučio za NAT od Windows 2000 Server-a. Pogodnosti koje NAT donosi su prvenstveno u sakrivanju korisnikove IP adrese i DHCP serveru (jednostavnom) koje donosi. Najljepše je to da će većina eventualnih napadača već na tome polomiti zube. Ipak ih je većina s vrlo malo znanja i iskustva. Tako ćemo imati barem malo sigurniju mrežu. Svakako da nam je opet potreban firewall, ali… Ono što je loše je to da nam je potrebno još jedno računalo i Windows 2000/2003 Server operativni sistem. No, niti to nije toliko strašno loše. Odvoji se posebno računalo bez monitora, tipkovnice i miša samo za namjenu servera. Može biti stalno upaljeno za sve korisnike a na njega se može i spremati podatke. Tako korisnici ne trebaju prevelike diskove.

Zbog gore navedenih razloga ću upravo NAT obraditi kao ono što smatram najboljim, a i sam time i najkorisnijim.

Kada netko kaže hardware za server, mnogi pomisle na skupe IBM, HP ili Compaq strojeve. No za ovakvu vrstu posla nam je potrebno daleko slabije računalo. Osobito ako nam je Internet i File sharing jedino što trebamo. Da bi razuvjerio "nevjerne Tome" valja navesti moju konfiguraciju.

CPU – Intel Celeron 600 (ranije 466)

MBO – Soyo SY-6BA+ IV (ranije Epox mATX)

RAM – 128 Mb SDRAM

HDD – WD 800JB

VGA – S3 Virge PCI (ranije on-bord)

Network – 3COM (najjeftinija) x 2

Case – JNC sa MS 450W napajanjem

Slika 1: Konfiguracija

Da li ovdje nešto nedostaje. Ne. Osim možda modem. Nema monitora, nema tipkovnice i miša. Tek bi bilo dobro dodati ponešto radne memorije zbog prijenosa podataka. CD i floppy sam izvadio odmah nakon instalacije operativnog sistema i od tada imam sherano sa svog workstationa. Tek za slučaj potrebe.

I sada neka netko kaže kako je to preskupo za slaganje. Gotovo svi dijelovi su nabavljeni u donaciji (ovo mi treba, a tebi ne) ili sam kupio za sitne novce. Ukupno me nije koštalo više od 300 kn. Hard disk sam izvadio iz workstationa i sada koristim 40 Gb jer mi više nije niti potrebno. Za te novce se ne može nabaviti router u dućanu. Malo je većih gabarita ali ga mogu adekvatno zaštititi, mogu spremati podatke i mogu ga smjestiti u najmračniji kut stana (trenutno na balkonu i čeka selidbu u šivaću mašinu).

Naravno, bez toga ništa ne bi bilo. Zbog slabog hardwarea i jednostavnosti zadatka, koristiti ću Windows 2000 Server. Gotovo da nema razlike između Win 2003 Servera, te nije potrebno posebno objašnjavati.

Razlika između Win 2000 i Win 2000 server u toku same instalacije gotovo da i nema. Postoje razlike u dodavanju usera i mnogim dodatnim funkcijama. Ono što redovito napravim da si olakšam posao je da instaliram Administrative Tools i određene funkcije postavim u taskbar. Administrative Tools se mogu istalirati sa CD-a operativnog sistema ili iz C:WINNTsystem32adminpak. Ono što nam redovito treba u taskbaru je: Routing and Remote Access (postavljanje NAT-a), Event Viewer (prijava grešaka), Computer Management i Command Prompt (za provjeru komunikacije).

Slika 2: Admin tools

Postavljanje drivera ću ostaviti vama na dušu jer mislim da to nije nešto što bi se ovdje trebalo objašnjavati.

O samom postavljanju mreže se nema što posebno reći. Sve je već napisano ovdje ( http://forum.pcekspert.com/showthread.php?s=&threadid=10705 ). Ona razlika u postavljanju usera je u tome da se useri postavljaju kroz Computer Management – Local users and groups. Ovdje ćemo dodati usere, promijeniti ime administratoru i dodati im passworde. Napominjem da će biti potrebno naprviti log-off i log-on za svakog usera posebno. Isto tako i kod promjena imena i passworda administratora.

Password se mijenja ili dodaje desnim klikom na usera i odabirom Set password.

Slika 3: Computer Managment

Usere možemo postaviti u određene grupe te tako jednostavnije manipulirati njihovim ovlastima na serveru.

Prije nego započnemo s konfiguriranjem NAT-a biti će potrebno da ispunimo određene uvijete. Obavezno moramo imati instalirane mrežne kartice i modem (ISDN). ADSL korisnici će morati instalirati RASPPPoE 0.98b. Nije potrebno stvarati nikakve konekcije za Internet. To ćemo kreirati kod postavljanja NAT-a.

Potrebno je da nam jedna mrežna kartica (ona koja ide prema lokalnoj mreži) ima statičnu IP adresu. Ja ću koristiti 192.168.120.1.

Još ćemo saznati DNS suffix za našu konekciju. To ćemo saznati tako da u Command Promtu upišemo ipconfig /all i pogledamo pod PPP adapter. Za to će nam biti potrebno da smo spojeni na Internet te bi bilo dobro da to napravite još na lokalnom računalu na kojem je trenutno konekcija. Možete i zapisati IP adrese DNS servera od dragog nam ISP-a. Kod mene možete vidjeti kako to izgleda kod HTnet-a i slobodno možete koristiti te podatke jer su isti na bilo kojeg korisnika tog providera.

Slika 4: IPCONFIG /ALL – DNS suffix

Oboružani ovakvim podacima, možemo krenuti sa postavljanjem NAT-a. Prvo, dakle, kliknemo na Routing and Remote Access. Prvo će nas obavijestiti da ga nismo konfigurirali (kao da to i sami ne znamo).

Da bi bili upućeni u stanje servera desnim klikom na Routing and Remote Access odaberemo Auto refresh i refresh rate postavimo na 10 sekundi (najmanja moguća vrijednost).

Sigurno je pod serverima naveden i naš lokalni te neće biti potrebno dodavati novi. Desni klik na njega i odaberemo Configure and Enable Routing and Remote Access. Krenuti će Wizard na kojem ćemo prvi puta kliknuti Next te će se otvoriti druga stranica gdje ćemo odabrati Internet connection server i opet kliknuti Next.

Na idućoj stranici nas pita želimo li postaviti ICS ili NAT. Samo za informaciju, odaberemo li ICS, zamoliti će nas da provedemo uobičajen postupak postavljanja ICS-a. Naravno, mi ćemo odabrati NAT.

Slika 5: Odabir NAT-a

Na idućoj stranici odabiremo Create a new demand-dial Internet Connection.

Slika 6: New demand-dial Internet Connection

Klikom na Next, ISDN ili modem korisnici će odabrati svoj modem, dok će ADSL korisnici odabrati mrežnu karticu na kojoj je spojen modem.

Slika 7: Network Selection

Dva puta Next i malo čekanja dok se ne uključi Routing and Remote Access. Tada kreće novi Wizard za kreiranje Demand-dial konekcije. Opet jedan Next i pitanje o nazivu konekcije. Vama na volju a ja sam je nazvao HTnet.

Slika 8: Interface Name

Next i odabir konekcije preko modema, ISDN-a ili sl.

Slika 9: Connection Type

Next i odaberete adapter za spajanje.

Slika 10: Select a device

Next, upisivanje broja na koji se spajate.

Slika 11: Phone Number

Next i odaberete Route IP packets on this interface.

Slika 12: Protocol and Security

Next, upišite user name i dva puta password svoje konekcije.

Slika 13: Dial out credentials

Domain ostavite prazno. Tada dva puta kliknite Finish. Završili smo s prvom fazom i sada se može reći da smo uključili NAT. Sada ga je potrebno konfigurirati.

Desnim klikom na ime servera odabiremo properties. odlazimo na trakicu IP. Uključujemo Static address pool i kliknemo Add. Određujemo u kojem će se rasponu kretati adrese lokalnih računala. Kod mene to izgleda poprilici ovako. Korisnici ADSL-a će morati odabrati adapter koji će određivati DNS, DHCP i WINS. To je onaj koji je na lokalnoj mreži. Kliknite apply i OK. S tim smo gotovi.

Slika 14: Local Server Propeties

Klik na Routing interfaces i odabir našeg interfacea. To sam ja nazvao HTnet (sjećate se?). Desni klik i odlazak na properties. Otvara nam se prozor gdje možemo postaviti drugi adapter i novi broj za konekciju. Pod Options se postavlja demand-dial i odabire se dužina konekcije ukoliko nema prometa. Za modem i ISDN korisnike bi bilo dobro da postave najmanje (1 minuta) zbog cijene, a ADSL korisnici postavljaju koliko žele.

Pod Security odabirete Allow unsecured password. U suprotnom ništa od spajanja jer nam to ne dozvoljava dragi ISP.

Sada dolazimo do onog dijela gdje će nam biti potrebno oni podaci koje smo dobili iz Command Prompta. Kliknite Networking – Internet Protocol (TCP/IP) i kliknite Properties. Na General možete upisati DNS servere ISP-a. Ovako to izgleda kod mene.

Slika 15: Internet protocol (TCP/IP) properties

Klik na Advanced i odlazak na DNS. Odlazak na DNS Suffix i upišite onaj drugi podatak. Uključite donje dvije kućice.

Slika 16: Advanced TCP/IP Settings

Odlazak na Ports – Properties i isključite sve demand-dial routing connections na svim adapterima osim na onom kojim se spajate na Internet.

Slika 17: Ports properties

Ako ste sve dobro obavili pod Network Address Translation – Address Assigment vam treba izgledati ovako,

Slika 18: NAT – Address Assigment

a Name resolution ovako.

Slika 19: NAT – Name resolution

Dodatno možete postaviti u koje vrijeme je dozvoljen pristup internetu pod Remote access policies i to vrlo zgodno grafički prikazano.

Nakon tog konfiguriranja, preporučam da restartirate server, uklonite sve statične adrese sa lokalnih računala te i njih restratirate. Kada se sve ponovo digne, provjerite koju ste dobili adresu na lokalnom računalu i da li Internet konekcija radi. Moguće je da će server prvo prikazati grešku na adapteru ali će nakon prvog ručnog pokretanja sve normalno raditi. Ukoliko negdje pogriješite u postavljanju a ne možete naći grešku, preporučam da diseblate Routing and Remote Access i restartirate server te ponovno krenete od početka. Baš dok sam ovo pisao i ja sam napravio jednu grešku (ne u tekstu) te sam je jedva našao. Nisam siguran da će je onaj koji ovo čita moći naći. Ipak je ovo naputak za početnike.

Razlog zbog kojeg sam toliko prikazao u sličicama je da ne bi bilo zabune i da bi što lakše bilo postavili ono što želite.

Da ne bi zaboravio na sigurnost. Treba li reći da sam sva računala i server zaštitio sa Zone Alarmom jer većina ostalih firewallova ne bi mogla na odgovarajući način štititi mrežu ovakvog tipa. O konfiguriranju ZA možete pročitati ovdje

( http://forum.pcekspert.com/showthread.php?s=&threadid=10474 ).

No kako sam rekao da imam server bez monitora, miša i tipkovnice, valja reći da se njime na neki način mora upravljati. Za tu svrhu koristim VNC, mali software za udaljenu kontrolu računalima. Stvar na lokalnoj mreži radi izvrsno.

Primijetit ćete da je Routing and Remote Access vrlo moćan alat i da se s njime može napraviti jako puno stvari. Nije mi bio cilj da ga cijelog objašnjavam, nego da vam približim korištenje NAT-a kao vrlo dobro rješenje za spajanje lokalne mreže na Internet. Ne samo da je izvrstan za korištenje (i vrlo brz) nego se može podesiti za rad u domeni, u suradnji s Proxy-jem, može se postaviti VPN pristup, kao običan router i na nebrojene druge načine. Za one koji žele saznati više o tome, morati će ipak naći odgovarajuću literaturu.