Wykład 5: Usługi sieciowe, NAT i bezpieczny zdalny dostęp

Dzień dobry. Dotarliśmy do końca naszego cyklu. Mamy już zbudowaną infrastrukturę fizyczną (kable), działające przełączniki (L2) i routing IP (L3). Ale sieć sama w sobie jest tylko medium – celem jest dostarczenie usług. Dziś dowiemy się, jak to się dzieje, że komputer sam "wie", jaki ma mieć adres IP (DHCP), jak zamienia "google.com" na cyfry (DNS) i jak wiele komputerów w firmie może korzystać z jednego publicznego adresu IP (NAT). Na koniec, jako przyszli administratorzy, nauczycie się bezpiecznie logować do serwerów znajdujących się na drugim końcu świata (SSH).

Zanim przejdziemy do usług, uporządkujmy typy ruchu sieciowego:
1. Unicast (jeden do jednego): Standardowa komunikacja indywidualna, np. przeglądanie WWW.
2. Broadcast (jeden do wszystkich): Rozgłoszenie do wszystkich w segmencie sieci. Używany przez ARP i DHCP w sieci LAN.
3. Multicast (jeden do grupy): Nadawanie do zdefiniowanej grupy odbiorców. Np. IPTV – wszyscy oglądają ten sam mecz, a serwer wysyła pakiet tylko raz.
4. Anycast (jeden do najbliższego): Wiele serwerów na świecie ma ten sam adres IP (np. DNS Google 8.8.8.8). Sieć kieruje zapytanie do tego, który jest "najbliżej" pod względem topologii. Zapewnia to szybkość i niezawodność.

Schemat Unicast vs Multicast vs Broadcast

Wyobraź sobie firmę z 1000 komputerów. Czy administrator biega i ręcznie wpisuje adresy IP? Nie. Robi to automat – serwer DHCP (ang. Dynamic Host Configuration Protocol – protokół dynamicznej konfiguracji hostów). Protokół ten automatycznie przydziela hostom: adres IP, maskę podsieci, bramę domyślną i adresy serwerów DNS. Działa to w modelu dzierżawy (ang. Lease). Adres nie jest dany na zawsze, lecz wypożyczony na określony czas (np. 24 godziny). Jeśli komputer zniknie z sieci, adres wraca do puli po wygaśnięciu czasu dzierżawy.

Komunikacja DHCP składa się z 4 kroków (akronim DORA):
1. D – Discover (Odkryj): Klient rozgłasza do sieci (Broadcast): "Halo! Jestem nowy! Czy jest tu jakiś serwer DHCP? Dajcie mi adres!" (adres źródłowy 0.0.0.0).
2. O – Offer (Oferta): Serwer DHCP odpowiada: "Cześć! Mam wolny adres 192.168.1.10. Chcesz?".
3. R – Request (Prośba): Klient: "Tak, poproszę ten 192.168.1.10!".
4. A – Acknowledge (Potwierdzenie): Serwer: "Zatwierdzam. Masz go na 24h. Oto twoja maska i brama. Powodzenia!". Wszystko to dzieje się w ułamku sekundy po podłączeniu kabla.

Ludzie wolą słowa (facebook.com), komputery wolą liczby (157.240.21.35). DNS (ang. Domain Name System – system nazw domenowych) to rozproszony system baz danych, który tłumaczy nazwy na adresy IP (rozwiązywanie nazw, ang. name resolution). Struktura jest hierarchiczna:
– Root (.)
– Domeny najwyższego poziomu (ang. TLD – Top Level Domain: .com, .pl, .org)
– Domeny drugiego poziomu (google.com, pwr.edu.pl) Gdy wpisujesz adres w przeglądarce, twój system pyta serwer DNS dostawcy (lub np. 1.1.1.1) o adres IP. Jeśli ten serwer nie zna odpowiedzi, pyta serwer wyższego rzędu (tzw. Root Hints) i tak dalej, aż znajdzie odpowiedź (zapytanie rekurencyjne).

W bazie DNS przechowuje się różne typy informacji (rekordy):
– A (ang. Address – adres): Zamienia nazwę na adres IPv4 (najczęstszy typ).
– AAAA: Zamienia nazwę na adres IPv6 (cztery razy więcej bitów niż rekord A).
– CNAME (ang. Canonical Name – nazwa kanoniczna): Alias – np. www.firma.pl wskazuje na server1.firma.pl.
– MX (ang. Mail Exchange – wymiana poczty): Wskazuje serwer pocztowy dla danej domeny (gdzie wysyłać wiadomości e-mail na adresy @firma.pl).
– PTR (ang. Pointer – wskaźnik): Odwrotny DNS – zamienia adres IP na nazwę. Ważny dla serwerów pocztowych (ochrona antyspamowa).

Gdy brakło adresów IPv4, wymyślono NAT (ang. Network Address Translation – translacja adresów sieciowych). Pozwala on ukryć całą sieć prywatną (np. 100 komputerów w biurze) za JEDNYM publicznym adresem IP routera. Router zamienia w nagłówkach pakietów wychodzących prywatny adres źródłowy (np. 192.168.1.5) na swój adres publiczny (np. 80.50.10.1). Gdy przychodzi odpowiedź z Internetu, router pamięta, kto o nią pytał, i odsyła ją do właściwego komputera w sieci LAN. Zalety: oszczędność adresów publicznych i bezpieczeństwo (brak bezpośredniego dostępu z zewnątrz do komputerów wewnętrznych).

Najczęstszą formą NAT jest PAT (ang. Port Address Translation – translacja adresów z użyciem portów), znany też jako NAT Overload (NAT przeciążony). Jak router rozróżnia ruch od 100 komputerów, mając tylko 1 adres publiczny? Używa numerów portów jako dodatkowego identyfikatora.
Komputer A wysyła z portu 1234 → Router zmienia na: adres publiczny : port 5001.
Komputer B wysyła z portu 1234 → Router zmienia na: adres publiczny : port 5002. Dzięki unikalnym portom po stronie routera w tablicy translacji NAT, router wie, do kogo odesłać powracające pakiety. Jest to mechanizm działający w każdym domowym routerze.

Skoro NAT blokuje ruch przychodzący z zewnątrz (bo router nie wie z góry, do kogo go skierować), to jak postawić w domu serwer WWW lub serwer gry? Robimy "dziurę w NAT" zwaną przekierowaniem portów (ang. Port Forwarding, inaczej Destination NAT). Mówimy routerowi: "Wszystko, co przyjdzie z Internetu na twój publiczny port 80, przekaż natychmiast do komputera 192.168.1.50 wewnątrz sieci". Bez tego nikt z zewnątrz nie połączy się z Twoją usługą znajdującą się w sieci prywatnej.

Pamiętacie bramę z poprzedniego wykładu? Teraz widzimy jej pełną rolę. Brama domyślna to zazwyczaj ten sam router, który realizuje funkcje NAT i DHCP. Jest to najważniejszy punkt styku sieci lokalnej ze światem. Awaria bramy (lub jej błędna konfiguracja w DHCP) odcina całą firmę od Internetu. W dużych sieciach stosuje się protokoły redundancji bramy, takie jak HSRP (ang. Hot Standby Router Protocol) lub VRRP (ang. Virtual Router Redundancy Protocol), gdzie dwa routery udają jeden wirtualny adres IP. Jeśli jeden padnie, drugi przejmuje ruch w mgnieniu oka.

Jak zarządzać routerem w serwerowni bez fizycznego wchodzenia do niej? Dawniej używano protokołu Telnet (port 23). Pozwalał on na pracę w terminalu tekstowym na odległość. Miał jednak wadę dyskwalifikującą go w dzisiejszych czasach: przesyłał WSZYSTKO (login, hasło, komendy) jawnym tekstem bez szyfrowania. Każda osoba z podłączonym analizatorem sieciowym Wireshark mogła przechwycić hasło administratora. Dziś używanie Telnetu w sieci produkcyjnej jest kategorycznym błędem (dopuszczalne jedynie do testowania otwartości portów w kontrolowanym środowisku).

Następcą Telnetu jest SSH (ang. Secure Shell – bezpieczna powłoka, port 22). Wygląda tak samo (czarna konsola tekstowa), ale cała transmisja jest silnie szyfrowana. Nawet jeśli ktoś przechwyci pakiety, zobaczy tylko nieczytelny ciąg danych. SSH pozwala nie tylko na zdalną konsolę, ale też na bezpieczne przesyłanie plików (SCP – ang. Secure Copy Protocol, SFTP – ang. SSH File Transfer Protocol) oraz tunelowanie innych protokołów (ang. SSH Tunneling). Każdy administrator Linuxa czy sieci Cisco zaczyna dzień od uruchomienia klienta SSH.

Najpopularniejszym darmowym programem do łączenia się przez SSH na Windows jest PuTTY. Jest mały, lekki i niezawodny. Wpisujesz adres IP serwera, wybierasz SSH (port 22) i klikasz Open. W systemach Linux/macOS klient SSH jest wbudowany w terminal (polecenie ssh użytkownik@adres_ip). Ważne: przy pierwszym połączeniu klient SSH pyta o odcisk palca (ang. Fingerprint) klucza serwera – to unikalny identyfikator kryptograficzny. Należy go zweryfikować, aby uniknąć ataku człowiek-w-środku (ang. Man-in-the-Middle).

A co jeśli router się zepsuł i sieć nie działa? Nie wejdziemy przez SSH. Wtedy ratuje nas fizyczny port Console (często niebieski port RJ-45 lub USB). Podłączamy laptopa bezpośrednio do routera specjalnym kablem konsolowym (ang. Rollover Cable – kabel z odwróconymi żyłami). Korzystamy z transmisji szeregowej (RS-232), o której mówiliśmy w Wykładzie 1. Parametry są zazwyczaj standardowe: 9600 bodów, 8 bitów danych, brak parzystości, 1 bit stopu (zapisywane w skrócie jako 9600/8/N/1). To ostatnia deska ratunku administratora – dostęp niezależny od sieci (ang. Out-of-Band Management).

Jak bezpiecznie pracować z domu, mając dostęp do zasobów firmowych (serwerów plików, intranetu)? Używamy VPN (ang. Virtual Private Network – wirtualna sieć prywatna). VPN tworzy "szyfrowany tunel" przez publiczny, niebezpieczny Internet. Twój komputer w domu otrzymuje wirtualny adres IP z sieci firmowej. Dla systemów w firmie wyglądasz, jakbyś siedział w biurze. Wszystkie dane płynące tunelem są niewidoczne ani dla dostawcy Internetu, ani dla potencjalnych napastników po drodze. Najpopularniejsze standardy to IPsec, OpenVPN i WireGuard.

Pozornie trywialna usługa: czas. W sieciach synchronizacja czasu jest KRYTYCZNA. Dzienniki zdarzeń (logi) bezpieczeństwa muszą mieć spójny znacznik czasu, aby można było skorelować atak na zaporze sieciowej z nieautoryzowanym wejściem na serwer. Systemy autoryzacji (Kerberos w środowisku Windows Active Directory) nie będą działać, jeśli zegary różnią się o więcej niż 5 minut. Protokół NTP (ang. Network Time Protocol, UDP port 123) dba o to, by wszystkie urządzenia miały czas zgodny z wzorcem atomowym, z dokładnością do milisekund.

Jak monitorować 500 przełączników? Czy działają? Czy się przegrzewają? Czy brakuje im pamięci? SNMP (ang. Simple Network Management Protocol – prosty protokół zarządzania siecią) służy do zdalnego odpytywania urządzeń o ich stan (odpytywanie, ang. Polling). Centralny serwer monitoringu (np. Zabbix, Nagios) pyta cyklicznie: "Jaki masz ruch na porcie 1?". Urządzenia mogą też same wysyłać alarmy (ang. Traps – pułapki): "Pomocy! Padł zasilacz nr 2!". Dzięki SNMP administrator wie o awarii zanim zadzwonią użytkownicy.

Zapora sieciowa (ang. Firewall) to strażnik na granicy sieci. Decyduje, jaki ruch może wejść, a jaki wyjść. Podstawowa zapora stateful (ang. Stateful Inspection – inspekcja ze śledzeniem stanu) pamięta stan połączeń: "Jeśli to Ty zacząłeś rozmowę (wyszedłeś do Google), to pozwolę odpowiedzi wrócić. Ale jeśli ktoś z zewnątrz zagada do Ciebie pierwszy – blokuję (DROP)". Zapory nowej generacji (ang. NGFW – Next Generation Firewall) działają głębiej – nie tylko analizują numery portów, ale rozpoznają konkretne aplikacje: "Pozwalam na Facebooka, ale blokuję gry na Facebooku".

Jak sprawdzić, czy DNS działa? Używamy polecenia nslookup google.com (Windows) lub dig google.com (Linux). Narzędzia te pokażą nam, jakiego serwera DNS używamy i jaki adres IP zwrócił. Jeśli strona WWW nie działa, ale ping na adres IP (np. 8.8.8.8) działa – to na 99% wina DNS. To klasyczna diagnoza: "To nie Internet padł, to tylko DNS".

Routery Cisco mogą pełnić rolę serwera DHCP – nie ma potrzeby dedykowanego serwera w mniejszych sieciach. Definiujemy pulę adresów (np. o nazwie LOCAL-NET) za pomocą komendy:
Router(config)# ip dhcp pool LOCAL-NET
Następnie określamy zakres adresów, bramę domyślną i serwer DNS, które zostaną automatycznie przekazane klientom:
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 8.8.8.8
Adresy zarezerwowane dla urządzeń ze statycznym IP (np. serwery, drukarki) wyłączamy z puli – np. pierwsze 10 adresów:
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10

Prezentacja jak router obsługuje serwer DHCP dla użytkownika

Router Cisco może wskazywać, z jakich zewnętrznych serwerów DNS mają korzystać podłączone urządzenia. Konfigurujemy to poleceniem:
Router(config)# ip name-server 8.8.8.8
Możliwe jest również zdefiniowanie statycznych wpisów DNS bezpośrednio na routerze – podobnie jak plik hosts w systemach operacyjnych. Dzięki temu router sam rozwiązuje wybrane nazwy bez konieczności odpytywania zewnętrznych serwerów:
Router(config)# ip host serwer_biuro.local 192.168.1.20
Takie rozwiązanie sprawdza się w izolowanych sieciach firmowych, gdzie część zasobów wewnętrznych nie powinna być widoczna poza siecią lokalną.

Translacja domen na publicznych serwerach globalnych

NAT w trybie przeciążonym (PAT/Overload) pozwala całej sieci LAN korzystać z jednego adresu publicznego przydzielonego przez dostawcę internetu (ISP). Konfiguracja składa się z trzech kroków:
1. Definicja listy kontroli dostępu (ACL) wskazującej, które adresy wewnętrzne podlegają translacji:
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
2. Oznaczenie interfejsów jako "wewnętrzny" (LAN) i "zewnętrzny" (Internet). Zakładamy, że sieć LAN podłączona jest do g0/0, a łącze do dostawcy – do s0/0:
Router(config-if)# ip nat inside (na interfejsie LAN) oraz Router(config-if)# ip nat outside (na interfejsie WAN)
3. Reguła łącząca listę ACL z interfejsem zewnętrznym i włączająca tryb przeciążony (overload):
Router(config)# ip nat inside source list 1 interface s0/0/0 overload

Ostatnim elementem typowej sieci jest punkt dostępowy Wi-Fi (ang. Access Point, AP). Większość domowych i biurowych urządzeń tego typu zarządzana jest przez przeglądarkowy panel administracyjny (interfejs HTTP/HTTPS), a nie przez CLI. Kluczowe parametry konfiguracji to:
– SSID (ang. Service Set Identifier): Nazwa sieci Wi-Fi widoczna na liście dostępnych sieci w telefonach i komputerach.
– Metoda szyfrowania: Nowoczesne urządzenia obsługują WPA3-PSK (klucz współdzielony) lub WPA2 Enterprise ze standardem 802.1X (uwierzytelnianie przez serwer RADIUS, stosowane w korporacjach). Algorytm szyfrowania danych to AES.
– Wybór kanału: W paśmie 2,4 GHz należy używać kanałów nienachodzących na siebie: 1, 6 lub 11. Ręczny dobór kanału na podstawie analizy otoczenia (ang. site survey) zapobiega zakłóceniom ze strony sąsiednich sieci.

Parametry konfiguracji Wi-Fi routera w panelu administracyjnym

Gratuluję. Przeszliśmy długą drogę. Od historii mainframe'ów, przez miedziane kable i światłowody (L1 – warstwa fizyczna). Przez inteligentne przełączanie ramek MAC i unikanie pętli (L2 – warstwa łącza danych). Przez routing pakietów IP po całym świecie (L3 – warstwa sieciowa) i niezawodny transport danych (L4 – warstwa transportowa, TCP). Aż po usługi (L7 – warstwa aplikacji), które sprawiają, że to wszystko jest użyteczne dla człowieka (DNS, DHCP, WWW). Zdobyliście solidne fundamenty teoretyczne – teraz czas na praktykę!

Bycie sieciowcem to odpowiedzialność. Jesteście hydraulikami informacji. Gdy wszystko działa, nikt was nie widzi. Gdy coś padnie, wszyscy patrzą na was. Waszym zadaniem jest zapewnienie: dostępności (redundancja), wydajności (QoS – jakość usług) i bezpieczeństwa. Pamiętajcie: 90% problemów sieciowych to warstwa fizyczna (zły kabel) lub ludzki błąd w konfiguracji (literówka w adresie IP).

Świat IT pędzi do przodu. Aby pozostać na rynku, trzeba się uczyć. Standardem w branży sieciowej są certyfikaty Cisco (CCNA – Cisco Certified Network Associate, CCNP – Cisco Certified Network Professional) czy Juniper (JNCIA – Juniper Networks Certified Associate). Warto zainteresować się też chmurą obliczeniową (AWS, Azure) oraz automatyzacją (Python, Ansible) – bo dzisiejszy sieciowiec coraz rzadziej wpisuje komendy ręcznie, a coraz częściej pisze skrypty.

Czy macie pytania dotyczące materiału? Czy coś wymaga wyjaśnienia? Zachęcam do eksperymentowania w domu. Zbudujcie małą sieć, skonfigurujcie router, postawcie własny serwer plików. Praktyka czyni mistrza. Dziękuję za aktywny udział w zajęciach.

Wszystkie prezentacje są dostępne na stronie kursu. Polecam również kanały na YouTube takie jak "NetworkChuck" lub "Cisco Networking Academy", które w przystępny sposób wizualizują omawiane tematy. Powodzenia na egzaminach i w przyszłej karierze zawodowej!

To był wykład z przedmiotu Sieci Komputerowe. Do widzenia!