Pregled aktivnosti Arnesa v letu 2008 \ » i Pj IhF/ Akademska in raziskovalna mreža Slovenije Academic and Research Network of Slovenia Javni zavod Arnes upravlja in nadgrajuje slovensko izobraževalno in raziskovalno omrežje že 17 let, vanj pa se povezujejo univerze, raziskovalni inštituti, šole, knjižnice, muzeji, arhivi, multimedijski centri, skratka vse organizacije, ki ustvarjajo, shranjujejo in prenašajo znanje. Naloga Arnesa je ustvariti okolje, v katerem bodo lahko vse te institucije čimbolj izkoristile možnosti, ki jih omogočajo sodobne informacijske in komunikacijske tehnologije za medsebojno sodelovanje. V letu 2008 je Arnes okrepil optične povezave med kraji in tako omogočil hitrejše in zmogljivejše povezave za nekatere nove zavode, širil je znanje in izkušnje pri uvajanju protokola IPv6, pomagal pri širitvi omrežja Eduroam, organiziral seminarje za dvig e-kompe-tence učiteljev in vzpodbujal uporabo e-gradiv v šolah. Veliko dela je vložil v razvoj tehnologije AAI, ki bo postala osnova za enotno in varno prijavo do vrste novih storitev. Uspeh pri zagotavljanju najvišjih standardov varnosti, kakovosti in mobilnost v kompleksnem okolju hitro se spreminjajočih tehnologij je odvisen od prenašanja izkušenj in sodelovanja na mednarodni ravni, zato je Arnes vključen v mnoge evropske projekte. Po drugi strani je pomembno tesno sodelovanje Arnesovih strokovnjakov z upravljavci lokalnih omrežij, saj potrebuje končni uporabnik brezhibno storitev prav do njegovega delovnega mesta. Arnes ima pri svojem delu podporo Ministrstva za visoko šolstvo, znanost in tehnologijo tako v finančnem pogledu kot v skupni viziji uporabe komunikacijske tehnologije v izobraževanju in znanosti. Za uspešno delo Arnesa v letu 2008 se želim predvsem zahvaliti vsem zaposlenim, ki niso le strokovnjaki na svojem področju, pač pa so tudi predani svojemu delu in viziji sodelovanja in prenašanja znanja. Hvala tudi vsem uporabnikom za sodelovanje in pripombe, ki nas usmerjajo pri našem nadaljnjem delu. Kazalo Pregled aktivnosti Arnesa v letu 2008 1 Uvod 5 2 Uporabniki Arnesa 5 3 Povezovanje lokalnih omrežij organizacij v omrežje ARNES 7 4 Storitve za individualne uporabnike 11 5 Hrbtenica omrežja ARNES in pohitritve medkrajevnih vodov 13 6 Mednarodne povezave 15 7 Izmenjava prometa s komercialnimi ponudniki interneta v Sloveniji 17 8 Osnovne internetne storitve 18 9 Zaščita omrežij uporabnikov Arnesa 22 10 Uvajanje internetnega protokola nove generacije (IPv6) 23 11 Multimedijske storitve 24 12 Povezovanje študentskih domov 27 13 Federacije v nastajanju - infrastruktura za dostop do virov in storitev AAI 28 14 Pomoč uporabnikom pri uporabi Arnesovih storitev 32 15 Spodbujanje uporabe IKT v šolah 36 16 Izobraževanje uporabnikov 38 17 SAFE-SI, Spletno Oko in Nasvet za net 39 18 Registracija domen in upravljanje vrhnjega DNS-strežnika za .si 40 19 Slovenski center za posredovanje pri internetnih incidentih (SI-CERT) 45 [ 4 / 52 ] 1 Uvod Akademska in raziskovalna mreža Slovenije - Arnes je javni zavod, ki z zagotavljanjem omrežnih storitev organizacijam s področja raziskovanja, izobraževanja in kulture omogoča njihovo povezovanje ter sodelovanje med seboj in s sorodnimi organizacijami v tujini. Arnes opravlja enake storitve kot nacionalne akademske mreže v drugih državah, ki se danes običajno imenujejo National Research and Education Network - NREN, saj njihovo področje delovanja vključuje poleg raziskovalnega in razvojnega tudi izobraževalni sektor. To področje je po svoji naravi mednarodno, zato NREN-i različnih držav sodelujejo v mnogih projektih, ki omogočajo, da storitve ne poznajo državnih meja. Sodelovanje vzpodbuja tudi Evropska komisija s financiranjem v 6. in 7. okvirnem programu (Framework Programme). Cilj Evropske komisije je med drugim vzpostavitev enotnega evropskega raziskovalnega prostora (European Research Area - ERA), ki naj bi raziskovalcem vseh evropskih držav nudil enake možnosti1. Enotna omrežna infrastruktura in ustrezne storitve, ki jih vzpostavljajo in vzdržujejo nacionalne izobraževalne in raziskovalne mreže, so eden izmed osnovnih pogojev za dosego tega cilja. Vključenost Arnesa v ta evropska prizadevanja določa dolgoročne cilje, ki jih ima Arnes. Le-ti so: 1. zagotavljanje kakovostnih računalniških povezav slovenski izobraževalno-razi-skovalni sferi pri povezovanju zavodov med seboj do raziskovalno-izobraževalnih omrežij v drugih državah in v svetovni internet; 2. nudenje enakih storitev, ki jih zagotavljajo NREN-i v drugih državah. Le-to omogoča enakovredno vključevanje te sfere v enotni evropski informacijski prostor; 3. sodelovanje z drugimi NREN-i in v projektih Evropske komisije pri testiranju, razvoju in vpeljavi novih internetnih protokolov, storitev in rešitev; 4. opravljanje storitev, ki so predpogoj za delovanje interneta v Sloveniji in jih ne opravljajo komercialne organizacije (re- gistracija domen, koordinacija reševanja varnostnih incidentov, medsebojno pove- zovanje ponudnikov interneta ipd.). V sklopu izvajanja teh dejavnosti je Arnes vključen v delovanje več mednarodnih organizacij: TERENA2, CEENet3, RIPE4, CEN-TR5, EURid6, FIRST7, Euro-IX8. Poleg tega je soustanovitelj DANTE9 in član NREN PC10. Arnes ima predstavnike v upravnih odborih mednarodnih organizacij DANTE in EURid (Marko Bonač), ENISA11 (Gorazd Božič) ter svetovalca v GAC12 (Barbara Povše). 2 Uporabniki Arnesa Organizacije s področja raziskovanja, razvoja, izobraževanja in kulture se povezujejo v omrežje ARNES, ki ima podobno kot sorodna evropska omrežja zaprt krog uporabnikov. Upravičenost dostopa do omrežja ARNES je določila Vlada RS, ki je 26. 7. 2001 sprejela Kriterije za ugotavljanje upravičenosti do povezave na omrežje ARNES, katerim mora ustrezati organizacija ali posameznik, da lahko uporablja storitve omrežja ARNES. V primeru, da na podlagi navedenih kriterijev ni mogoče nedvoumno ugotoviti upravičenosti dostopa v omrežje ARNES, o tem presoja komisija, sestavljena iz predstavnikov ministrstev, ki pokrivajo področje znanosti, izobraževanja, kulture in uvajanja informacijske tehnologije. Komisija lahko uporabo storitev omrežja ARNES v skladu z omenjenimi kriteriji odobri tudi začasno. Pozitivna odločitev Komisije organizaciji omogoča, da zaprosi za povezavo svojega lokalnega omrežja v ARNES za pridobitev osebnega dostopa za svoje sodelavce, za prostor na strežniku ali uporabo katere druge storitve, ki jo Arnes nudi svojim uporabnikom. 1/h ttp://europa.eu/scadplus/leg/en/lvb/i23012.htm 2/ TERENA (Trans European Research and Education Networking Association) 3/ CEENet (Central and Eastern European Networking Association) 4/RIPE (Regional Internet Registry) 5/ CENTR (Council of European National Top-Level Domain Registries) 6/ EURid (The European Registry of Internet Domain Names) 7/ FIRST (Forum of Incident Response and Security Teams) 8/ Euro-IX (European Internet Exchange Association) 9/ DANTE (Delivery of Advanced Network Technology to Europe) 10/NREN PC (National Research and Education Programme Committte) 11/ENISA (European Network and Information Security Agency) 12/GAC (Governmental Advisory Committee) Tabela 1: Povezave lokalnih omrežij organizacij Večino uporabnikov omrežja ARNES sestavljajo organizacije, ki imajo svoje lokalno omrežje nenehno povezano v omrežje ARNES (univerze, inštituti, šole, knjižnice itd.). Na dan 31. 12. 2008 je bilo 1054 takšnih organizacij, pregled povezav podaja tabela 1. Skupno število uporabnikov storitev Arnesa ocenjujemo na okrog 200.000. Ti uporabniki uporabljajo tako storitve lokalnega omrežja svoje organizacije (strežniki) kot tudi posredno in neposredno storitve omrežja ARNES. Na tak način povezane organizacije s svojimi uporabniki ustvarijo večino prometa omrežja ARNES, vendar od teh organizacij ne pridobivamo podatkov o natančnejšem številu njihovih uporabnikov, celo niti o tem, kako pogosto uporabljajo posamezne storitve omrežja. Uporabniki na teh organizacijah običajno niti ne vedo, da uporabljajo storitve omrežja ARNES. Organizacija, upravičena do storitev omrežja Arnes, lahko tudi svojim posameznim članom odobri uporabo Arnesovih storitev za individualne uporabnike. Te storitve vključujejo možnost neposrednega osebnega dostopa do omrežja ARNES (z dodeljenim geslom). Le-ta je mogoč preko telefonskega omrežja ali preko omrežij operaterjev kabelske TV, ki nudijo dostop do omrežja ARNES. Poleg tega pa so za posamezne uporabnike zanimive storitve Arnesove elektronske pošte in spletnega gostovanja. Sam neposredni osebni dostop do omrežja Arnes izgublja na pomenu zaradi široke komercialne ponudbe dostopa do interneta, število uporabnikov te storitve pa iz leta v leto upada. Zato Arnes v dialogu z ministrstvi načrtuje postopno krčenje storitve neposrednega osebnega dostopa, po drugi strani pa se aktivno usmerja v nudenje spletnih storitev ter izboljšanje storitve varne elektronske pošte. Področje Število povezav lokalnih omrežij organizacij v omrežje ARNES raziskovalni zavodi, tehnološki parki in razvojni oddelki 37 druge raziskovalne skupine 17 Skupaj raziskovalna sfera 54 univerzitetni in visokošolski zavodi 21 srednje šole 150 osnovne šole 493 druge izobraževalne ustanove 119 Skupaj izobraževalna sfera 783 knjižnice, arhivi in muzeji 174 druge kulturne ustanove 23 Skupaj kultura 197 državna uprava 10 invalidi 3 drugo 7 Skupaj ostali Skupaj vsi 20 1054 3 Povezovanje lokalnih omrežij organizacij v omrežje ARNES Lokalna omrežja organizacij se povezujejo v omrežje ARNES. Omrežje ARNES sestavljajo stikala in usmerjevalniki prometa, ki so med seboj povezani s telekomunikacijskimi povezavami. V večjih krajih je vozlišče omrežja ARNES z aktivno opremo, na katero se povezujejo organizacije iz tega kraja. Glavna stikala in usmerjevalniki prometa v vozliščih ter telekomunikacijske povezave med njimi se imenujejo tudi hrbtenica omrežja ARNES. Hrbtenica omrežja ARNES je multiprotoko-larna. Na omrežnem nivoju podpira IPv4 in IPv6. Na nižjih slojih je v precejšnji meri že izveden prehod na WDM-povezave preko optičnih vlaken, ki omogočajo več 10-gigabi-tne hitrosti. Nekaj povezav pa je še vedno na »klasičnih« tehnologijah (sinhrone zakupljene linije in ATM). Ostali usmerjevalniki prometa so običajno postavljeni na lokaciji organizacije, ki se povezuje v omrežje, in omogočajo le tiste protokole, ki so zanimivi za posamezno organizacijo. Lokalno računalniško omrežje organizacije se lahko do omrežja ARNES poveže preko stalne povezave. Arnes v tem primeru lahko skrbi za nemoteno delovanje in varnost povezav, ki so lahko realizirane z različnimi tehnologijami in preko različnih operaterjev telekomunikacij. Osebje Arnesa tako konfigurira usmerjevalnike in upravlja mehanizme za kontrolo dostopa in nadzor prometa, skladno s potrebami lokalnega omrežja. V primerih degradacij ali izpadov delovanja dežurna služba, ki deluje 24 ur na dan in 7 dni v tednu, obvešča administratorje lokalnih omrežij ter napake odpravlja sama ali pa poskrbi za koordinacijo med vzdrževalci opreme in uporabniki. Arnes sodeluje tudi pri odkrivanju in reševanju anomalij in varnostnih problemov ter zagotavlja delovanje posameznih zahtevnejših aplikacij (npr. nastavitve prioritet posameznega prometa na zahtevo ali po potrebi - QoS). Potrebe raziskovalno-izobraževalnih organizacij narekujejo uporabo (r)- usmerjevalnik prometa Slika 1 : optičnih povezav, vendar precej manjših Območje organizacij zaradi pomanjkanja infrastrukture upravljanja ali cenovne dostopnosti še vedno uporablja ARNESA manj zmogljive tehnologije (npr. DSL), ki pa jim včasih ne dopuščajo polne izrabe zmogljivosti omrežja oz. storitev. Pohitritve povezav lokalnih omrežij organizacij v omrežje ARNES Tudi v letu 2008 so organizacije želele predvsem pohitriti svoje povezave v omrežje ARNES. Posredno so se pokazale še večje potrebe po zamenjavi že obstoječih usmerjevalnikov, preko katerih se organizacije povezujejo v omrežje ARNES, saj dosedanji (starejši) usmerjevalniki niso več kos večjim količinam prometa, ki ga morajo usmerjati in poleg tega varovati s filtri. Tako je Arnes v lanskem letu opravil 295 nadgraditev obstoječih povezav. Velik del nadgradenj je predstavljal spremembo ADSL-povezav iz tehnologije ATM na novejšo tehnologijo PPP DSL, kar istočasno pomeni tudi višje hitrosti. Precejšen del nadgradenj predstavlja tudi prehod povezav iz tehnologije ISDN na eno izmed tehnologij, ki omogočajo večje hitrosti. Pri tem smo intenzivno sodelovali z Ministrstvom za šolstvo in šport, ki je preko svojih natečajev in razpisov šolam priskrbelo zmogljivejše usmerjevalnike. Na 80 šolah smo izvedli zamenjavo usmerjevalnikov, ki niso bili dovolj zmogljivi. Vsak priklop ali nadgradnja povezave lokalnega omrežja organizacije v ARNES je časovno in strokovno zahteven postopek, pri katerem Arnes opravi tudi obsežna svetovanja glede Tabela 2: Nadgradnje povezav lokalnih omrežij organizacij Nadgradnje povezav lokalnih omrežij organizacij do Arnesa v letu 2008 - tehnologije in operaterji PPP DSL (Telekom) i 214 ADSL (Telekom) ; 20 optične povezave i 54 CATV i 7 Skupaj i 295 Število nadgradenj povezav v letu 2008 70 60 50 40 30 20 10 0 Tabela 3: Število povezav organizacij konec leta 2008 po tipih é J> J1 J* <5^ # # u ^ (p Deleži ponudnikov zmogljivih povezav preko optičnih vlaken v letu 2008 možnosti in izvedbe priklopa ter pomaga usklajevati postopek z operaterjem oz. izvajalcem. Največ povpraševanja je bilo tudi v tem letu po optičnih povezavah, ki so postale standardna potreba pri večjih ali aktivnejših organizacijah, medtem ko manjše organizacije oz. zavodi v krajih brez dostopne optične infrastrukture še vedno najpogosteje izberejo tehnologijo xDSL. Z opremo z natečaja Ministrstva za šolstvo in šport (v nadaljevanju MŠŠ) je Arnes v letu 2008 izvedel postavitev in konfiguracijo opreme za nova vozlišča, ki nudijo nove možnosti za povezovanje. Tako je bilo konec leta 2008 v 24 krajih po Sloveniji v 45 vozliščih skupno 997 lokalnih omrežij organizacij stalno povezanih v ARNES, 57 pa preko ISDN-povezave. Tabela kaže, da je tako kot v letu 2007 tudi v letu 2008 večina šibkejših (ISDN, xDSL, zakupljeni vod) povezav vzpostavljenih preko infrastrukture Telekoma Slovenije. Zmogljivejše povezave preko optičnih vlaken so omogočili alternativni operaterji ali pa so si jih organizacije zgradile same. Stanje povezav organizacij konec leta 2008 po tipih ISDN (Telekom) ; 57 xDSL (Telekom) ! 667 Ethernet (Telekom) ; 37 optika (alternativni operaterji) ! 56 Ethernet/optika - lastna ! 162 CATV (alternativni operaterji) : 63 brezžična povezava (lastna) ; 3 zakupljeni vod (Telekom) ; 9 Skupaj : 1054 Dostop do omrežja ARNES preko xDSL infrastrukture Telekoma Slovenije Telekom Slovenije je že od leta 2001 javnim zavodom zagotavljal infrastrukturo za dostop do omrežja ARNES pod posebnimi pogoji, dogovorjenimi z Vlado RS. Ta krovni dogovor je predvidel priključitve preko ISDN-povezav, zakupljenih vodov, xDSL-povezav in 10/100 Mbit/s povezav Ethernet na optičnih vlaknih. Delež povezav preko ISDN in zakupljenih vodov je zaradi neugodnega razmerja zmo- gljivost/cena v stalnem upadanju, povpraševanje po xDSL pa je zaradi težko dostopne optične infrastrukture še vedno veliko. Tehnologija xDSL ne zagotavlja stabilne prepustnosti, zato je za vedno več zavodov neustrezna, saj njihovo število računalnikov in zahtevnost aplikacij narašča. Pogodba med Vlado RS in Telekomom zato pri tej tehnologiji izrecno določa garancijo kakovosti povezave (omejeno razmerje prerezervacije povezave). Le-to skupaj z mehanizmi zagotavljanja prednosti prometa povezanim organizacijam omogoča uporabo nekaterih zahtevnejših storitev, npr. videokonferenc, kar je zlasti za izobraževalne organizacije pomembna prednost. Kvaliteta internetnih storitev (QoS) Organizacije z manj zmogljivimi povezavami potrebujejo posebne nastavitve opreme, da lahko uporabljajo sodobne komunikacijske tehnologije, kot so npr. videokonference. V ta namen je potrebno prilagoditi nastavitve usmerjevalnikov, da se lahko preko njih nemoteno prenaša zvok in slika. MŠŠ je v letu 2008 šolam zagotovilo večje količine opreme, ki je potrebna za videokonference. V ta namen je moral Arnes poskrbeti za prilagoditve nastavitev usmerjevalnikov. V novembru 2008 je potekal svetovni videokonferenčni dogodek z visoko udeležbo slovenskih šol (Megaconference). Med pripravo na dogodek in med trajanjem le-tega je Arnes poskrbel za vse potrebne nastavitve ter nadziral nemoteno komunikacijo udeležencev iz Slovenije. Podpora organizacijam pri izbiri tehnične izvedbe povezav v omrežje Postopna liberalizacija telekomunikacij v Sloveniji in s tem možnost delovanja alternativnih operaterjev pa tudi ponudba Telekoma v skladu z omenjenim sporazumom pomeni precej raznovrstnejšo izbiro možnosti tehnične izvedbe dostopa do omrežja ARNES, ki se med seboj precej razlikujejo tako po zmogljivosti, fleksibilnosti in zanesljivosti kot tudi po začetnih ter mesečnih stroških, ki bremenijo uporabnika. Zato je načrtovanje in izvedba povezave v omrežje za vsako organizacijo zahteven projekt. Arnes, skladno s svojim namenom in vlogo, po svojih močeh pomaga oz. svetuje organizacijam pri izbiri najugodnejšega načina povezave. Posebej za svetovanje šolam MŠŠ v skladu s politiko celovitega pristopa k omreženju šol že več let sodeluje z Arnesom na področju tovrstnega svetovanja. S projektom računalniškega opismenjevanja, omreženja šol in izobraževanja učiteljev se je na terenu oblikovala neformalna skupina strokovno usposobljenih učiteljev, ki poznajo tako tehnologijo kot razmere v šolah posamezne regije. Ti učitelji svetujejo in pomagajo šolam na terenu in so v nenehnem stiku z Arnesovo strokovno ekipo, s katero si izmenjujejo izkušnje in sodelujejo pri načrtovanju in omreženju šol. Pri svetovanju knjižnicam pa Arnes tesno sodeluje z IZUM-om. Arnes pomaga in svetuje tudi pri izbiri opreme. V sodelovanju z MŠŠ je Arnes izdelal priporočila za ureditev lokalnega omrežja v izobraževalnih organizacijah, ki ustrezajo potrebam teh organizacij in omogočajo uporabo novih storitev ter hkrati zadovoljujejo zahteve po varnosti omrežja. Po teh priporočilih poteka sistematično omreženje šol, ki ga izvaja MŠŠ. Podobna priporočila uporablja ob sodelovanju Arnesa tudi IZUM pri načrtovanju omrežja knjižnic. Predvsem za potrebe sistematičnega omreženja izobraževalnih organizacij, knjižnic in projekta e-šol Arnes vsako leto izvaja obsežno testiranje opreme, ki jo te organizacije potrebujejo za vzpostavitev povezave in ureditev lokalnega omrežja. Na podlagi teh testiranj Arnes nato pomaga in svetuje pri izbiri opreme posameznim organizacijam, pomaga pa tudi pri pripravi specifikacij za razpise, ki jih pripravlja ministrstvo. V drugi polovici leta 2008 je MŠŠ izvedlo natečaj za nakup računalniške in komunikacijske opreme ter ožičenja na šolah in izvedbe povezav šol v omrežje ARNES13. V ta namen je Arnes pripravil enodnevno izobraževanje učiteljev - svetovalcev in enodnevno izobraževanje podjetij, ki so pripravljala projekte in izvajala dela na šolah. Na obeh seminarjih je Arnes podal smernice pri ožičenju šol in izbiri optimalnih načinov povezav omrežij šol na omrežje ARNES ter izgradnje brezžičnega [ 9 / 52 ] 13/ http://www.mss.gov.si/si/okroznice_razpisi_ in _javna_narocila/javni_razpisi/?tx_t3javnirazpis_ pi1[show_single]=916 omrežja Eduroam. Na natečaju je bilo izbranih 90 šol. Strokovnjaki Arnesa so izvajalcem nudili tehnično podporo v času izvedbe med 1. 11. 2008 in 31. 12. 2008. V ta namen so morali poskrbeti tudi za dodatno registracijo IP-naslovnega prostora, prekonfiguracijo opreme, ki je pod nadzorom Arnesa, in prilagoditev varnostnih funkcij ter odpravo morebitnih napak, ki so nastale v času izvedbe. V mnogih primerih se organizacije, upravičene do povezave v omrežje ARNES, nahajajo v isti stavbi ali pa jih loči zgolj dvorišče, parkirišče, cesta ali katero drugo lahko premostljivo zemljišče. Povsod, kjer je bilo mogoče in cenovno smiselno, jim je Arnes svetoval, da se med seboj povežejo z optično povezavo ter zakupijo skupno povezavo do vozlišča omrežja ARNES. Na ta način so ob nekoliko večji začetni investiciji dosegle dvojni prihranek. Delijo si strošek za povezavo do omrežja ARNES, zaradi zmogljivih medsebojnih povezav pa si predvsem v primeru šol lahko delijo tudi strežnike in s tem stroške za njihov nakup ter vzdrževanje. Ozko grlo pri vzpostavljanju zmogljivih in specifičnim potrebam prilagojenih povezav do zavodov predstavlja pomanjkanje optičnih vlaken znotraj krajev. Do vseh zavodov je položena Telekomova bakrena parica, ki omogoča ISDN- ali xDSL-povezavo, do mnogih zavodov imajo CATV-operaterji svojo kabelsko povezavo. Vsi ti načini so primerni le za manjše zavode in tiste organizacije, ki še ne uporabljajo zahtevnejših aplikacij. Vedno več zavodov pa potrebuje tako kakovost storitev, ki jo je mogoče zagotoviti le preko para optičnih vlaken. Zaradi pomanjkanja poslovnega interesa s strani ponudnikov, Arnes kljub vloženemu trudu ni uspel doseči dogovorov z novimi ponudniki optičnih vlaken za sprejemljivo ceno. V redkih primerih je optična vlakna mogoče zakupiti pri Telekomu Slovenije, včasih jo zgradijo in dajo v zakup kabelski operaterji, največkrat doslej pa so zavodi sami položili optični kabel znotraj kraja do svoje lokacije. Pri trenutnih cenah zakupa optičnih vlaken se taka investicija povrne v par letih. Organizacijam svetujemo, da za traso uporabijo obstoječo kanalizacijsko infrastrukturo, saj je tako strošek investicije nekajkrat nižji (pribl. 4000 €/km) kot v primeru novogradnje podzemnih kabelskih kanalov. Ker je življenjska doba kabla več kot 30 let, je to dolgoročno najcenejša rešitev. Model povezovanja organizacij v takšno visoko zmogljivo krajevno omrežje z lastno optiko je nastal v tesnem sodelovanju Arnesa, MŠŠ (program Ro) in zainteresiranih uporabnikov. Uspešnost se je potrdila s projekti izgradnje krajevnega optičnega omrežja na Ravnah na Koroškem in Ptuju, v Slovenj Gradcu, Novem mestu ter več lokalnih optičnih grozdov javnih zavodov, primerov podobnih združevanj v večjem ali manjšem obsegu pa je vedno več. 5H * H - - > , , % * A * - i 1 X • * _ > z«. ^ t * • • * r W_ 4 Storitve za individualne uporabnike Večina uporabnikov dostopa do omrežja ARNES neposredno preko omrežja svoje matične organizacije. Arnes pa na svojih strežnikih nudi tudi storitve individualnim končnim uporabnikom, ki zahtevajo neposredno preverjanje istovetnosti uporabnika, ki to storitev uporablja. Te storitve se delijo v storitve neposrednega osebnega dostopa do omrežja ARNES, storitve elektronske pošte ter spletne storitve. Za vse te storitve mora uporabnik izkazati veljavno identiteto, ki ga uvršča med upravičene uporabnike storitve, mu omogoča uporabo virov oz. strežnikov ter določa njegove pravice pri uporabi teh storitev. Vsi uporabniki teh storitev se morajo zato zaenkrat registrirati na Arnesu, proces registracije pa vključuje preverjanje upravičenosti, odobritev s strani matične uporabniške organizacije, redno podaljševanje oz. obnavljanje statusa upravičenosti ter ažuriranje podatkov o uporabnikih. Zaradi obsežnosti administrativnega dela in poenotenja dostopa do storitev (enotnega uporabniškega imena in gesla) so doslej storitve za individualne uporabnike nastopale v enotnem paketu. Z večjo dinamiko in raznolikostjo storitev pa postaja tak model preokoren, zato bo Arnes postopoma prešel na model nudenja storitev, ki temelji na neposrednem preverjanju identitete uporabnika v matični organizaciji, upravičeni do uporabe posameznih storitev pod dogovorjenimi pogoji. raziskovalne sfere t. i. storitev neposrednega osebnega dostopa do omrežja. Tak dostop je mogoč preko telefona ali omrežja kabelskih operaterjev. Zgodovinsko je bila ta storitev pomembna za uporabnike omrežja ARNES, danes pa je precej izgubila na pomenu, saj trg zadovoljivo pokriva zagotavljanje individualnega dostopa do interneta, sodobne omrežne storitve pa so vedno manj vezane na ponudnika dostopa. Arnes zato storitve neposrednega osebnega dostopa do svojega omrežja že nekaj let krči, upada pa tudi njena uporaba. Predvsem je opazen upad klicnega dostopa, ki se, kot je razvidno iz grafa, vsako leto praktično prepolovi. Število uporabnikov, ki so uporabljali klicni dostop v letu 2008 J' A A # ^ # ^/ y s

* 4 ■f -f r j * - - 1 "j. A w I * \ ■ T j S j - - V / " /5 A i Tv / % / ; K 7 Izmenjava prometa s komercialnimi ponudniki interneta v Sloveniji Arnes je zaradi potreb po izmenjavi prometa med omrežjem ARNES in komercialnimi ponudniki interneta v Sloveniji februarja 1994 v Ljubljani vzpostavil SIX (Slovenian Internet Exchange). Skrb za delovanje te storitve je od takrat ena od rednih dejavnosti Arnesa. V sklopu izvajanja te dejavnosti je Arnes vključen tudi v mednarodno združenje Euro-IX (European Internet Exchange Association). Komercialni ponudniki interneta so z delovanjem storitve zadovoljni, še posebej zaradi nevtralne vloge Arnesa pri njenem zagotavljanju. Trenutno je na SIX poleg Arnesa povezanih 15 ponudnikov interneta: Amis, Datacenter, IT TEL, Ljubljanski kabel, NETSI, Perftech, Sinfonika, SiOL, Softnet, Stelkom, T-2, Telemach, Triera, Tušmobil in Tuš Telekom. Zaradi konsolidacije ponudnikov interneta v Sloveniji bistvenega povečanja števila članov SIX-a ne pričakujemo, verjetno pa se bodo kmalu pojavili prvi mednarodni ponudniki. SIX je (porazdeljeno) vozlišče, zasnovano na tehnologiji Ethernet. Ponudnik interneta se na SIX priklopi tako, da prinese svoj usmerjevalnik prometa in ga na eni strani poveže na stikalo Ethernet SIX-a, na drugi strani pa na ustrezno povezavo do svojega hrbteničnega omrežja. Prepustnost teh povezav je tipično 1 Gbit/s, večji ponudniki so povezani z 10 Gbit/s. Hrbtenica omrežja ARNES je na SIX povezana z dvema povezavama kapacitete 10 Gbit/s. V letu 2008 smo izdelali pravila, ki ponudnikom interneta omogočajo oddaljen priklop na SIX preko optične povezave. Na ta način je ukinjena potreba po usmerjevalniku ponudnika na lokaciji SIX-a in s tem po zagotavljanju potrebnega prostora, električne energije in hlajenja, kljub temu pa je zago- tovljena ustrezna kakovost delovanja SIX-a. Podobno kot Arnes so tudi komercialni ponudniki interneta beležili hitro rast prometa preko SIX-a. Zato je v 2008 še en ponudnik povezavo nadgradil na 10 Gb/s (poleg Arnesa so bili konec 2008 še trije s povezavo 10 Gb/s in en s povezavo 2 Gb/s, ostali pa z 1 Gb/s). Dejstvo, da se vsi ponudniki interneta lahko srečajo na enem mestu v Sloveniji, ima kar nekaj prednosti: ^ za promet med slovenskimi uporabniki ni potrebno uporabljati dragih mednarodnih povezav, kar bistveno zmanjša strošek zagotavljanja interneta. Ravno tako ni potrebno zakupiti medsebojnih povezav med vsakim parom ponudnikov. Vsak ponudnik mora zakupiti zgolj eno povezavo (oz. zaradi potrebe po redundanci morda dve); ^ dolžina povezave med uporabniki je manjša, zato je krajši tudi čas, potreben za prenos podatkov preko omrežja, kar je še posebej pomembno za multimedijske aplikacije; ^ povečana je tudi verjetnost uspešne komunikacije, ker so povezave, preko katerih poteka, precej krajše. Arnes tudi sicer sodeluje pri skupnih aktivnostih vseh internetnih ponudnikov v Sloveniji, ki so usmerjeni k boljšemu delovanju omrežja, izboljšavi ponudbe storitev in varnosti v omrežju. Podobno kot v drugih državah deluje v Sloveniji nacionalno združenje slovenskih ponudnikov interneta - SISPA, ki je oblikovan o kot sekcija ponudnikov Združenja za računalništvo in informatiko pri Gospodarski zbornici Slovenije. Arnes redno sodeluje pri aktivnostih tega združenja, Marko Bonač je med drugim tudi član Upravnega odbora SISPA. 8 Osnovne internetne storitve Arnes svojim uporabnikom nudi vse osnovne internetne storitve. Le-te so najširše uporabljene storitve, kjer mnogi uporabniki potrebujejo precej podpore (več v poglavju o pomoči uporabnikom), precej skrbi in nenehne nadgradnje pa potrebujejo tudi osrednji strežniki, da lahko zagotavljajo varno, stabilno in hitro delovanje storitev. V nadaljevanju je podrobneje predstavljen obseg dela in obremenitev tistih Arnesovih strežnikov, ki na centraliziran način zagotavljajo nekatere najbolj uporabljene storitve. Gostovanje spletnih strani in strežnikov Gostovanje statičnih spletnih strani Individualni uporabniki in organizacije lahko svoje statične spletne predstavitve objavijo na osrednjem spletnem strežniku Arnesa. Organizacije lahko hkrati pridobijo tudi virtualno domeno, ki ji omogoča, da lahko spletni naslov (npr. www.imesole.si) kaže na te statične spletne strani. Gostovanje dinamičnih spletnih strani (PHP/ MySQL) Od aprila 2007 lahko organizacije za svojo spletno predstavitev uporabijo dinamične spletne vsebine, ki omogočajo aktivno sodelovanje obiskovalcev spletne strani pri njenem oblikovanju. Za razliko od statičnih spletnih 300 250 200 150 100 50 0 Dinamično gostovanje in virtualni strežniki v letu 2007 in 2008 strani, kjer je stran postavljena na strežnik v obliki datoteke in je enaka za vse obiskovalce, dinamična spletna stran omogoča uporabnikovo interaktivno izkušnjo. Vsebina in grafični del sta ločena, vsebina je shranjena v podatkovni bazi in je prikazana na strani le takrat, ko je zahtevana. Taka stran je zato hitrejša, njeno urejanje pa enostavno, saj za to ne potrebujemo programerja, ampak vsebino poljubno spreminjamo preko spleta. Besedilo in slike lahko dopolnimo z blogi, forumi, obrazci, klepetalnicami, spletnimi učilnicami idr. Storitev podpira PHP, podatkovno bazo MySQL15, prednameščena pa so tudi orodja za statistiko. Tovrstno gostovanje je namenjeno manj zahtevnim organizacijam, ki potrebujejo zgolj spletni prostor za svoje dinamične spletne strani. Aplikacije namestijo preko SCP-, SSH-ali FTP-odjemalca, podatkovne baze pa urejajo preko spletnega vmesnika phpMyAdmin. Arnes skrbi za vzdrževanje in posodabljanje operacijskega sistema in strojne opreme, organizacija pa zgolj za svoje aplikacije (CMS, LMS). Kompleksna tehnična rešitev, ki deluje v ozadju, zagotavlja visoko stopnjo varnosti, uporaba pa ostaja preprosta. Gostovanje virtualnih strežnikov »Virtualni strežniki« so namenjeni zahtevnejšim organizacijam, saj je omogočen dostop do strežnika z vsemi uporabniškimi pravicami. Organizacija prejme v uporabo strežnik z že nameščenim operacijskim sistemom, spletnim strežnikom, podatkovno bazo in orodji za statistiko, upravlja pa ga lahko skorajda kot običajen Linux strežnik, ki bi se nahajal v njenih prostorih. Organizacija za celoten strežnik skrbi sama, le strojno opremo vzdržuje Arnes. Rešitev poleg zagotavljanja visoke stopnje varnosti omogoča tudi zagotavljanje strojnih virov. Število organizacij, ki uporabljajo dinamične spletne strani in virtualne strežnike, konstantno narašča, zato vsako leto nadgrajujemo našo opremo. Večje število strežnikov pa ne 15/ http://www.arnes.si/gvs/ zahteva le stalno posodabljanje strojne in programske opreme, temveč tudi vedno večjo potrebo po tehnični podpori - v letu 2008 smo organizacijam svetovali kar 507-krat. Gostovanje fizičnih strežnikov Potreba po kompleksnejših možnostih gostovanja spletnih strežnikov, aplikacij in vsebin za šole konstantno narašča. Arnes je že doslej nudil gostovanje in sistemsko podporo nekaterim pomembnim nacionalnim strežnikom (npr. info.edus.si). Med njimi je v prehodu 2006/2007 izjemen odziv doživel projekt e-Podpora Ministrstva za šolstvo in šport, ki ga je izvajala skupina tehnikov in predavateljev s slovenskih šol. Konec leta 2008 je Arnes za potrebe projekta Mesec e-gradiv začasno prevzel tudi gostovanje strežnika e-um. Elektronska pošta Nudenje elektronske pošte je ena izmed osnovnih storitev, ki jih Arnes ponuja svojim uporabnikom. Rasti števila uporabnikov sicer ne zaznavamo, se pa vsako leto veča količina prejetih in poslanih elektronskih sporočil. Poleg rasti »legitimnih elektronskih sporočil« zaznavamo tudi vedno večje količine neželenih oglasnih sporočil - t. i. vsiljene (»spam«) pošte, zato nenehno nadgrajujemo zaščito proti tovrstni pošti. Zaradi zastarelosti obstoječega spletnega vmesnika za dostop do elektronske pošte se je v letu 2008 razvil nov vmesnik, ki ga bodo uporabniki lahko začeli uporabljati v letu 2009. Število različnih uporabnikov elektronske pošte v letu 2008 -♦— skupaj aktivnih uporabnikov -A—webmail uporabnikov - POP uporabnikov IMAP uporabnikov Do strežnikov za elektronsko pošto lahko uporabniki dostopajo preko različnih mehanizmov za branje in pošiljanje pošte. Zgornji graf prikazuje uporabo posameznih mehanizmov in prikazuje, da storitev elektronske pošte uporabljajo tudi tisti uporabniki, ki ne uporabljajo več dostopa preko Arnesovih vstopnih točk. Izločanje virusov in neželenih oglasnih sporočil v elektronski pošti Arnesovi strežniki so tudi v letu 2008 prejeli v obdelavo preko milijon (1.000.000) elektronskih sporočil na dan. Večina prejetih neželenih oglasnih sporočil se zavrne že s t. i. tehniko »greylistinga«, ostala elektronska sporočila pa obdela sistem strežnikov za izločanje virusov in neželenih sporočil (AVS), ki sporočila analizira na osnovi stalno rastoče Prejeta pošta in greylisting zavrnitve v letu 2008 baze znanja, ki vsebuje informacije o trenutno poznanih virusih in kompleksna pravila za prepoznavanje t. i. »spama«. Filtriranje neželenih sporočil poteka torej dvostopenjsko. Ker okužena ali neželena oglasna sporočila dandanes predstavljajo odločno večino internetne pošte, sodi borba proti nevarnim in nadležnim e-smetem med pomembnejši del storitve Arnesove elektronske pošte. Storitev AVS uporabnikom elektronskih predalov omogoča zavračanje elektronske pošte, ki vsebuje viruse, in ponuja možnost izločanja nenaroče-nih sporočil (»spam«) iz prihajajoče elektronske pošte. Hkrati sistem izloča tudi okuženo pošto, ki jo uporabniki pošiljajo preko Arnesovega strežnika, in tako ščiti naslovnike pred okužbami iz omrežja ARNES. Ta sistem se nenehno izpopolnjuje. Zavračanje virusov in izločanje nenaročenih oglasnih sporočil je vključeno pri veliki večini uporabnikov, nivoje zaščite pa si lahko po lastnih željah nastavijo preko spletnega vmesnika. Storitev AVS v precejšnji meri temelji na domačem znanju, saj je bila razvita v sodelovanju z Računalniškim centrom Instituta Jožef Stefan in temelji na odprtokodni programski opremi. 2 3 4 5 6 ■ število obdelanih sporočil 7 8 9 10 11 12 greylisting zavrnitev 12.000.000 10.000.000 -8.000.000 6.000.000 4.000.000 2.000.000 0 1 III muu Spodnja dva grafa prikazujeta delo, ki ga opravljajo Arnesovi strežniki za elektronsko pošto: prvi kaže količino prejetih zahtev in učinek uvedbe tehnike »greylistinga«, ki je zmanjšala število potrebnih kompleksnih obdelav z AVS-sistemom, hkrati pa kaže porast neželenih in pogosto okuženih sporočil. Spodnji graf prikazuje obdelavo sporočil v sistemu AVS. Neželena in okužena sporočila, ki niso bila zavrnjena že z »greylistingom«, se v tej fazi označijo oz. izločijo. Vsa sporočila, razen tistih, ki so bila okužena z virusi, se dostavijo v elektronske predale naslovnikov, neželena oglasna pošta pa se ustrezno označi. Možnost šifriranega prenosa elektronske pošte Uporabniki Arnesove elektronske pošte lahko uporabljajo šifriran prenos elektronske pošte med svojim računalnikom in Arnesovim sistemom za posredovanje elektronske pošte. Šifriran prenos pomeni, da se vsi podatki, tako uporabniška gesla kot tudi vsa vsebina elektronske pošte, prenašajo v šifrirani obliki, kar onemogoči prestrezanje podatkov. Le-to je še posebej pomembno pri uporabi javnih nezaščitenih brezžičnih omrežij. Pri šifriranem prenosu se uporabljata protokola TLS (Transport Layer Security) in SSL (Secure Sockets Layer). Od leta 2007 naprej pa lahko uporabniki uporabijo tudi avtentikacijo SMTP za dostop do Arnesovega poštnega strežnika in tako pošto pošiljajo preko Arnesovega sistema ne glede na to, v katerem omrežju se nahajajo. Dopisni seznami V letu 2008 smo začeli s postopno zamenjavo programske opreme za dopisne sezname. Nova programska oprema omogoča večji nadzor nad seznami, upravitelju prijaznejši vmesnik za nadzor, uporabnikom pa tudi prijaznejši dostop do osebnih nastavitev in dostop do arhiva sporočil. 12 3 4 število obdelanih sporočil 5 6 7 8 ■ označeno kot spam 9 10 11 12 izločeno zaradi virusov Količina elektronske pošte, obdelane s sistemom AVS v letu 2008 Arhivi podatkov na osrednjem strežniku FTP Naslednji graf prikazuje količino podatkov, ki so jih uporabniki v letu 2008 prenesli preko FTP-strežnika. Trend iz leta 2007 se nadaljuje in nakazuje, da se uporabniki večkrat odločajo za prenos podatkov iz tujih (izvornih) virov, saj zasedenost mednarodnih povezav ni več kritična, kot je bila še pred leti, hkrati pa uporabniki vedno bolj prehajajo na uporabo spletnih brskalnikov in protokola http tudi za prenos datotek. 120.000 100.000 80.000 60.000 40.000 20.000 Količina podatkov prenesenih preko FTP-strežnika v letu 2008 (v MB) //V '-'V s J/ Y> f i/j // f r ' hilA ( 9 Zaščita omrežij uporabnikov Arnesa Organizacijam s stalno povezavo lahko Arnes preko svojega sistema nadzora in vzdrževanja njihovih usmerjevalnikov svetuje pa tudi izvaja nastavitve zaščitnih filtrov oziroma kontrole dostopa (Access Control Lists), ki ščitijo različne dele omrežja priključene organizacije oziroma določajo pravila internetnemu prometu v lokalnem omrežju in iz njega v skladu z željami uporabnika. Na podlagi priporočil, ki smo jih pred leti predlagali takratnemu Ministrstvu za šolstvo, znanost in šport, smo izdelali osnovni model zaščite omrežij organizacij, povezanih v omrežje ARNES, predvsem šol in knjižnic. Praktično vsi filtri, ki jih postavimo na usmerjevalnikih organizacij, so pripravljeni na podlagi tega modela, upoštevajoč posebne želje skrbnikov lokalnih računalniških omrežij in odgovornih oseb priključenih organizacij. Model je pogosto dopolnjen z izjemami, ki jih določimo v dialogu s skrbniki lokalnih računalniških omrežij. Tipična postavitev filtra poteka tako, da skrbnik omrežja na podlagi posveta s svetovalno skupino izpolni poseben vprašalnik, morebitne nejasnosti pa se dorečejo po elektronski pošti ali telefonu. Svetovalec preveri skrbnikove zahteve, opozori skrbnika na morebitne pomanjkljivosti in na podlagi lastnih izkušenj ter v dogovoru s skrbnikom dopolni pravila v filtrih. Po konfiguraciji filtrov na dostopovnem usmerjevalniku uporabnika se skupaj s skrbnikom omrežja preveri delovanje in opravi morebitne popravke. V letu 2008 je bilo v zvezi s tem na dopisnem seznamu filtri@arnes.si izmenjanih 1.368 sporočil. Z razvojem tehnologije se je tudi na nekaterih cenovno ugodnih usmerjevalnikih pojavila možnost za natančnejši nadzor in dinamično filtriranje internetnega prometa. Neka- teri usmerjevalniki Cisco, s katerimi so bile opremljene šole s pomočjo zadnjih razpisov MŠŠ, imajo možnost t. i. »statefull« nadzora internetnega prometa in zato lahko zelo dobro nadomestijo poseben strežnik s protipožarno pregrado, ki bi ga šola morala sicer kupiti. To možnost (npr. CBAC - Context Based Access Control) uporabljamo pri organizacijah, ki imajo ustrezno opremo. Le-tem lahko že na komunikacijski opremi, ki jo uporabljajo za dostop do omrežja ARNES (usmerjevalnik), omogočimo protipožarno pregrado, ki bi jo sicer morali vzpostaviti in vzdrževati sami. Na usmerjevalnikih, kjer te možnosti ni, pa uporabljamo t. i. »per packet« filtre, ki kljub temu da ne nadzirajo posameznih sej kot v »statefull« različici, omogočajo dokaj visok nivo zaščite lokalnega računalniškega omrežja in komunikacijske opreme. Ta način filtriranja, vključno z nadgradnjo osnovnega modela s pravili za zaščito strežnikov, podrobno opisujemo v priročniku Varnost šolskih omrežij (http://www. arnes.si/dokumenti/filtri/), ki je bil napisan predvsem za potrebe vzgojno-izobraževalnih zavodov. Zaščita omrežij uporabnikov Arnesa pa ni le filtriranje prometa, temveč tudi preprečevanje napadov DoS (ang. "Denial of Service") ter nadzor in preprečevanje pregledovanj omrežij (ang. "port/host scan"). Nadzorni sistem omrežja ARNES zazna večino tovrstnih napadov in jih pogosto tudi ustavi ali vsaj omili, tako da ne ogrožajo delovanja omrežja. Pregledovanja omrežij se blokirajo na podlagi navodil Arnesovega varnostnega centra SI-CERT. Najučinkovitejše so blokade napadov s poplavo prometa iz tujine (ang. "flood"), ki jih opravlja omrežna oprema Arnes na mejnih točkah med omrežjem ARNES in tujimi omrežji. 10 Uvajanje internetnega protokola nove generacije (IPv6) Uvajanje IPv6 v omrežje ARNES se je pričelo leta 2002, ko je Arnes sodeloval pri testiranju pripravljenosti in zmogljivosti omrežne opreme proizvajalca Juniper. Takrat smo v sodelovanju z organizacijo DANTE, skrbnikom in upraviteljem omrežja GÉANT in španskim nacionalnim raziskovalno-izobraževalnim omrežjem RedIRIS preizkušali učinkovitost IPv6 za prenos podatkov na velike razdalje. Poleg uspešno opravljenih testov smo dosegli še uradno priznan IPv6 rekord v tekmovanju konzorcija Internet2 za najhitrejši prenos podatkov v internetnih omrežjih (ang. single stream Internet2 Land Speed Record)16. Arnes je julija 2003 pridobil naslovni prostor IPv6 in pričel z uvajanjem IPv6 v hrbtenično omrežje. Sledili so prvi testni priklopi organizacij. Leta 2004 je bila preko IP-tunela vzpostavljena povezava z laboratorijem Fakultete za elektrotehniko Univerze v Ljubljani. V letu 2005 je sledil priklop Instituta Jožef Stefan in v slovenskem prostoru so se pojavili prvi IPv6-strežniki, npr. mail.ijs.si (verjetno prvi slovenski poštni strežnik, ki deluje na IPv6). Nadaljevali smo z uvajanjem IPv6 na stičišču slovenskih internetnih ponudnikov SIX. Medsebojno BGP-povezavo preko IPv6 sta v letu 2005 vzpostavila Arnes in Amis. Ta povezava je še vedno aktivna. Vsi takratni priklopi organizacij so bili realizirani preko IP-tunelov. Prva neposredna IPv6-povezava (angl. native IPv6) je bila vzpostavljena leta 2007, ko se je v IPv6-mrežje ARNES z gigabitno povezavo Ethernet povezalo omrežje Metulj Univerze v Ljubljani. Arnes je leta 2006 v sodelovanju z irskimi kolegi iz omrežja HEAnet testiral delovanje IPv6 16/ V tekmi za LSR šteje produkt povprečne hitrosti TCP-prenosa in razdalje, ki je vsota zračnih razdalj med posameznimi usmerjevalniki na poti od enega sistema do drugega. Iz Ljubljane v Madrid smo preko 2518 kilometrov omrežij prenesli 675 megabajtov veliko datoteko v nekaj manj kot 12 sekundah. Danes, v času 10-gigabitnih povezav, se to ne sliši veliko, takrat pa je bil to najhitrejši prenos podatkov po protokolu TCP/IPv6 z eno samo TCP-sejo - dosegli smo hitrost 1,215 terabitmetra na sekundo. Več o tem si lahko preberete na spletnih straneh Arnesa in Internet2. na videokonferenčnih sistemih Tandberg. Od takrat je Arnesovo videokonferenčno omrežje pripravljeno za IPv6. Od leta 2006 sodelujemo tudi z nemškimi kolegi iz omrežja DFN pri aktivnih meritvah IPPM v omrežju GÉANT2 - meri se zakasnitev v eni smeri (angl. one-way delay - OWD), variacije zakasnitve (ang. OWD -jitter) in izguba IP-paketov. Eden od strežnikov, ki izvajajo te meritve, se nahaja v IPv6-omrežju ARNES. Zanimivo, a ne nepričakovano je, da med rezultati meritev po protokolu IPv4 in protokolu IPv6 ni vidnih razlik. V začetku leta 2008 smo preko protokola IPv6 povezali enega od sekundarnih DNS-stre-žnikov za domeno EU, ki gostuje v omrežju ARNES (l.eu.dns.be). Na konferenci SIRIKT 2008 smo vzpostavili prvo javno konferenčno omrežje v Sloveniji, kjer je bil poleg običajnega protokola IPv4 omogočen tudi IPv6. Vsi računalniki, ki so bili na voljo udeležencem konference, so bili povezani v IPv6-internet. Pred kratkim smo postavili tudi prva javna IPv6-strežnika - z NDT-strežnikom lahko uporabniki ocenijo prepustnost svoje IPv6-povezave do omrežja ARNES za storitve po protokolu TCP/ IPv6, strežnik NTP (stratum 1) pa IPv6-siste-mom zagotavlja točen čas. Konec leta 2008 je Arnes povezal IPv6-omrežje Instituta Jožef Stefan preko nove 10-gigabitne povezave Ethernet. Ta kvalitetna »native« IPv6-povezava je nadomestila inštitutovo IPv6-povezavo preko IP-tunela, ki je bila aktivna vse od leta 2005. Zaključili smo tudi testiranje nekaterih protipožarnih pregrad (ang. firewall) in sistemov za porazdelitev bremena na več strežnikov (ang. load balancer). Preverjene rešitve bomo uporabili pri priklopih Arnesovih strežnikov v IPv6-omrežje. Strokovnjaki Arnesa smo s prispevkom na temo IPv6 sodelovali tudi na letošnji konferenci Vitel 2008. Aktivni smo tudi v iniciativi in forumu go6.si. Širitvi IPv6 -omrežij posvečamo velik pomen in k temu vzpodbujamo tudi druge slovenske ponudnike internetnih storitev. Tako je pred kratkim na stičišču SIX povezavo z Arnesom vzpostavil še en komercialni ponudnik z IPv6-omrežjem (Tuštelekom/Voljatel). 11 Multimedijske storitve Z multimedijskimi storitvami Arnes v celoti podpira organizacije pri izvedbi videokonfe-renc17 oziroma prenosu multimedijskih vsebin v realnem času preko interneta, vključno s pretočnim videom (ang. streaming18). Standardi Videokonference se izvajajo po standardu H.32319, H.320 20 in SIP21. H.323 je osnovni protokol za videokonference preko IP/internet omrežja, SIP pa se kaže kot njegov naslednik in ga podpirajo predvsem novejši videokonferenčni sistemi. H.320 je protokol za videokonference preko digitalnega telefonskega omrežja ISDN22, ki se je uporabljal predvsem, preden je bilo mogoče učinkovito množično uporabljati H.323 videokonference. Sedaj je v uporabi le še izjemoma, predvsem kadar iz drugih razlogov prenosa preko interneta še vedno ni mogoče uporabiti, uporablja pa se tudi za povezavo običajnih telefonov (stacionarnih PSTN in ISDN ter mobilnih GSM/ UMTS) v skupne videokonference. Strežniki Arnesovi strežniki omogočajo medsebojno povezavo vseh zgoraj omenjenih videokon-ferenčnih sistemov, tako v eno skupno kot v več ločenih videokonferenc. Celotno dogajanje v videokonferencah je mogoče preko spletnih brskalnikov z uporabo odjemalcev Microsoft WindowsMedia, Apple QuickTime in RealNetworks RealOne prenašati tudi v živo s tehnologijo pretočnega videa. Video-konferenco je mogoče tudi posneti, posnetek videokonference pa je na preprost način 17/Videoconference, http://en.wikipedia.org/wiki/Videoconference 18/Streaming, http://en.wikipedia.org/wiki/Streaming_media 19/ ITU-T H.323, http://en.wikipedia.org/wiki/H323 20/ ITU-T H.320, http://en.wikipedia.org/wiki/H320 21/SIP, Session Initiation Protocol, http://en.wikipedia.org/wiki/Session_Initia-tion_Protocol 22/ISDN, Integrated Services Digital Network, http://en.wikipedia.org/wiki/ISDN preko spletnega brskalnika dostopen tudi za kasnejši ogled, npr. na Arnesovem javnem arhivu videokonferenc23 (VoD24). Glede na zahteve organizatorjev posameznih videokonferenc je dostop do posnetkov izbranih videokonferenc mogoče zaščititi z geslom. Arnesovi »gatekeeper« strežniki omogočajo polno vključitev H.323-videokonferenčnih sistemov organizacij v mednarodno videokonferenčno klicno omrežje GDS25 pod številčnim prostorom »00386«. Funkcionalne zahteve za napredne videokonference Arnesovi strežniki omogočajo uporabo naslednjih naprednih videokonferenčnih funkcionalnosti: ^ H.239 26 za posredovanje videonamizja računalnika v videokonferenco kot drugi videokanal (PowerPoint predstavitve ipd.) in snemanja le-tega sinhrono z glavnim video posnetkom in zvokom videokonference. Zaradi zahtevane berljivosti računalniške slike preko videokonferenčne povezave mora biti prenos H.239-videa v ustrezni ločljivosti, da ne prihaja do popačitve slike (do ločljivosti XGA, 1024x768 točk); ^ podpora videu visoke ločljivosti HD (High Definition27) 720p, ki omogoča prikaz žive slike uporabnikov v ločljivosti 1280 x 720 točk namesto standardne ločljivosti SD (Standard Definition) CIF28 352 x 288 točk; ^ podpora višjim videokonferenčnim hitrostim (do 4 Mbit/s) za vsako videokonferenčno točko, neodvisno od povezav 23/ http://www.arnes.si/video/vod/ 24/VoD, Video on Demand, http://en.wikipedia.org/ wiki/VoD 25/GDS, Global Dialing Scheme, http://en.wikipedia. org/wiki/Global_Dialing_Scheme 26/ ITU-T H.239 video, http://en.wikipedia.org/ wiki/H.239 27/High Definition Video, http://en.wikipedia.org/ wiki/High-de fin i tion_ video 28/CIF, Common Intermediate Format, http:// en.wikipedia.org/wiki/Common_Intermediate_For- mat [ 24 / 52 ] drugih videokonferenčnih točk, ki so priključene v isto videokonferenco; ^ podpora standardiziranemu širokofrekven-čnemu zvoku vsaj 14 kHz namesto 7 kHz ali celo le klasičnemu telefonskemu zvoku frekvenčne širine le 3,4 kHz; ^ podpora naprednim zelo učinkovitim in procesorsko zahtevnim videokodekom (H.26429) brez omejitve funkcionalnosti videokonferenc. Uporabniki V videokonferencah najpogosteje sodelujejo osnovne in srednje šole ter fakultete, ki običajno že imajo namenske skupinske/ sobne videokonferenčne sisteme H.323, ki so bili večinoma pridobljeni s pomočjo letnih javnih razpisov MŠŠ. Organizacije, ki sobnih sistemov še nimajo, se v videokonference povezujejo z osebnimi/namiznimi video-konferenčnimi sistemi, s spletno kamero (USB-webcam) in H.323-odjemalcem na osebnem računalniku (Polycom PVX30). Dogovarjanje in svetovanje glede ustreznosti opreme, povezav in organizacije videokonferenc poteka preko elektronskega naslova video-podpora@arnes.si in telefonske številke (01) 479 88 00. Arnes lahko zagotavlja uporabnikom, ki so neposredno priključeni v omrežje ARNES, dvig nivoja kakovosti omrežnih storitev (QoS31) z zagotavljanjem prepustnosti oz. prednosti videokonferenčnega prometa pred ostalim internetnim prometom. QoS je praktično nujno potreben na vseh šibkejših povezavah, žal pa ga na nekaterih tehnologijah zaenkrat ni mogoče v celoti zagotoviti (novejši DSL, kabel). Vsaki organizaciji z na novo pridobljenim videokonferenčnim sistemom H.323/SIP je 29/ ITU-T H.264, http://en.wikipedia.Org/wiki/H.264 30/Polycom PVX, http://www.polycom.com/emea/ en/products/video/desktop/pvx.html 31/QoS, Quality of Service, http://en.wikipedia.org/ wiki/QoS 32/aCl, Access Control List, http://en.wikipedia. org/wiki/Access_control_list 160 140 120 100 ' # # # é ^ * # -f V običajno potrebno ustrezno nastaviti filtre za zaščito omrežja organizacije (IP ACL32) in s tem dovoliti videokonferenčni H.323-promet. Vsak videokonferenčni sistem H.323 na posamezni organizaciji prejme tudi stalno mednarodno videokonferenčno klicno številko GDS. Novi uporabniki videokonferenc običajno potrebujejo bistveno več pomoči tako pri namestitvi in testiranju videokonferenčne opreme kot tudi pri prvih pravih videokonferencah. Uspehi in ovire pri uporabi videokonferenc Število videokonferenc se kljub velikemu zanimanju ne povečuje tako hitro, kot bi si želeli ali kot se organizacije opremljajo s sobnimi videokonferenčnimi sistemi s pomočjo javnih razpisov. Razlogi so tako organizacijski kot tudi: ^ premalo možnosti izobraževanja o vi-deokonferencah (predavanja, praktične delavnice, spletne strani); ^ prešibke omrežne povezave organizacij v internet/omrežje ARNES (le preko zmogljivih povezav, predvsem optičnih, je mogoče zagotoviti ustrezno gladek prenos videokonferenčnih vsebin); ^ zmanjšanje finančne pomoči šolam pri nabavi videokonferenčne opreme (MŠŠ je javni razpis za 50 % sofinanciranje nabave videokonferenčne opreme za šole v 2008 prestavilo v 2009); ^ neurejene prostorske razmere v organizacijah s sobno videokonferenčno opremo (videokonferenčna oprema ni ves čas enostavno dosegljiva, saj praviloma ni stalno nameščena na enem mestu); Število registriranih videokonferenč-nih sistemov v GDS pod 00386 v 2006, 2007 in 2008 ^ neurejene kadrovske razmere na organizacijah z videokonferenčno opremo (težave, povezane s skrbnikom videokonferenčne opreme na organizaciji); ^ pomanjkanje organizirane skupnosti, ki bi vsebinsko povezovala organizacije z video-konferenčnimi sistemi in organizirala videokonferenčne dogodke (priprava vsebine in koordinacija videokonferenc). Zato je Arnes v 2008 posebno pozornost namenil vzpodbujanju šol k večji uporabi obstoječih sobnih videokonferenčnih sistemov z organizacijo večjega števila večjih videokonferenc. V okviru konference SIRIKT smo organizirali in vodili največjo slovensko videokonferenco »Učenci in dijaki se predstavimo«33, kjer se je hkrati v videokonferenco s svojo videokonferenčno opremo z lokacije vsake posamezne šole aktivno vključilo 38 šol. Vsaka šola je imela na voljo 10 minut za lastno predstavitev, po koncu posameznega tematskega sklopa predstavitev šol pa je sledila 15-minutna diskusija o izbrani temi. Celotna videokonferenca je trajala neprekinjeno od 9. do 17. ure in je bila s strani sodelujočih šol zelo pozitivno sprejeta. Navdušenje nad uspešno videokonferenco je odmevalo tudi na konferenci SIRIKT in po njej, kjer so šole tako rekoč zahtevale, da takšne in podobne videokonference organiziramo tudi v bodoče. V 2008 smo bili ponovno, kot že zadnjih nekaj let, soorganizatorji največje mednarodne videokonference »Megaconference«34 in sorodne »Megaconference Jr.«35. Na tokratni tradicionalni že 10. Megaconferenci je močan vtis pustilo zastopanje Slovenije, saj je sodelovalo bistveno večje število naših šol kot doslej. o OOOOOOOOOOOOOOOOOOOOÖOOO Število organi-ziniranih H.323 videokonferenc v letih od 2005 do 2008 na MCU Tako je kar 7 šol imelo za svojo predstavitev vsaka po 15 min. Skupno se je iz Slovenije na Megaconferenco prijavilo kar 16 šol, ostali pa so lahko videokonferenco spremljali preko spletnega brskalnika (streaming). Že več let se videokonference zelo aktivno uporabljajo za izvajanje mednarodnih predavanj na Fakulteti za strojništvo Univerze v Ljubljani (2-krat tedensko po pribl. 2 uri cel poletni semester). V š. l. 2008/09 se je videokonferenčna oprema ob izdatni pomoči Arnesa začela aktivno uporabljati pri rednem pouku tudi na prvi osnovni šoli. Na OŠ Podčetrtek36 se tako učenka rednega pouka dnevno udeležuje kar preko videokonference. Spletne videokonference V letu 2008 smo zainteresiranim uporabnikom predstavili novo storitev »spletne videokon-ference« (webconferencing37), ki temelji na programski opremi Adobe Connect38. Spletne videokonference niso združljive po standardih (H.323, SIP), so pa zato primerne za širši krog uporabnikov, ki nimajo dovolj zmogljive videokonferenčne opreme (uporabljajo le spletno USB-kamero) in pri videokonferenci želijo enostavno uporabo (brez potrebe po namestitvi dodatne programske opreme) s poudarkom na skupnem delu z dokumenti in manj na kakovosti zvoka in slike. V želji, da bi ponudili storitev čim širšemu krogu uporabnikov, smo v 2008 v sod elovanju z drugimi NREN-i intenzivno delali na prilagoditvi sistema Adobe Connect, da ga bo mogoče uporabljati neposredno preko sistema enotne prijave (AAI), ki temelji na Shibboleth39 arhitekturi, povezani v federacijo. Ta integracija naj bi bila zaključena predvidoma v prvem četrtletju leta 2009. 33/ http://www.sirikt.si/slo/sirikt2008/ucenci_dijaki.html 34/Megaconference, http://www.megaconference.org 35/ Megaconference Jr., http://www.megaconferencejr. org 36/OŠ Podčetrtek, http://www2.arnes. si/~oscepodcet3/1-podcetrtek/datoteke/strani/ video-konf.htm 37/ Webconferencing, http://en.wikipedia.org/wiki/ Web_conferencing 38/Adobe Connect, Adobe Acrobat Connect Pro, http://www.adobe.com/products/acrobatconnect- pro/ 39/Shibboleth, http://en.wikipedia.org/wiki/Shibbo-leth_(Internet2) 12 Povezovanje študentskih domov V letu 2008 je Arnes nadaljeval s svetovanjem, podporo in razvojem omrežnih tehnologij v slovenskih študentskih domovih. V letu 2008 smo za Študentske domove v Ljubljani zaključili nadgradnjo povezave med študentskimi domovi v Rožni dolini in vozliščem ARNES iz 1 Gbit/s na 10 Gbit/s. Prav tako pa smo nadaljevali podporo rešitvi centralnega upravljanja omrežja z vzdrževanjem in nadgradnjo že vzpostavljenega sistema logičnih navideznih omrežij (VLAN). Rešitev so za študentske domove razvili zaposleni na Arnesu. Razvita rešitev študentskim domovom omogoča nadzorovano in zato stabilno ter zanesljivo delovanje omrežja. Omrežje študentskih domov v Ljubljani je z več kot 8.000 priključki hitrosti 100 Mbit/s eno največjih in najzmogljivejših lokalnih omrežij v Sloveniji, kar predstavlja priložnost za uvajanje novih tehnologij in načinov dela. Tudi zato je Arnes skupaj s študentskimi domovi začel s pripra- vami na uvajanje tehnologije IPv6. Prehod omrežja na to tehnologijo bi bil eden redkih tovrstnih praks v Evropi. Vzpostavitev omrežja bi bil dober učni primer za ostale organizacije iz izobraževalno-raziskovalne sfere. Posebej zanimiv pa bo tudi za ponudnike internetnih storitev. Za Študentske domove v Ljubljani Arnes izvaja tudi stalne meritve obremenitve omrežnih povezav. Arnesovi sodelavci so Študentskemu domu Korotan svetovali pri prenovi omrežja in sodelujejo pri vzpostavljanju rešitve za avtentikacijo na omrežju. Rešitev smo razvili na Arnesu in temelji na omrežni tehnologij 802.1x in strežniškem delu z imeniškim sistemom LDAP. Sistem za avtentikacijo v celoti temelji na odprti kodi. Podporo delovanju omrežij smo nudili tudi Študentskemu in dijaškemu domu v Kranju in Študentskim domovom v Mariboru. 13 Federacije v nastajanju - infrastruktura za dostop do virov in storitev AAI40 Za napredno široko uporabo informacijskih rešitev v raziskovalno-izobraževalni sferi je ključnega pomena, da lahko uporabniki do virov znanja, naprav, omrežij, storitev ali česa drugega pridejo na enostaven in varen način. Čedalje intenzivnejše mednarodno povezovanje zahteva tudi osvoboditev od specifične lokacije dostopa. Tako mednarodna kot nacionalna zakonodaja o varovanju osebnih podatkov zahteva visoko stopnjo varovanja uporabnikov. Zato je razvoj, vzpostavljanje in vpeljava AA-infrastrukture za dostop do virov in storitev v zadnjem obdobju ena najpomembnejših aktivnosti evropskih raziskovalnih in izobraževalnih omrežij. V okviru Terene sta bili v ta namen ustanovljeni delovni skupini TF-MOBILITY41 in TF-EMC242, v okviru GN2 pa JRA543. V vseh naštetih skupinah aktivno sodeluje tudi Arnes. Celotno področje je razdeljeno na dva sklopa: zagotavljanje mobilnosti pri dostopu do spletnih aplikacij (AAI za spletne aplikacije) in zagotavljanje mobilnosti pri dostopu do omrežij (Eduroam). Razvoj AAI za spletne aplikacije Medtem ko je Eduroam med slovenskimi izobraževalnimi in raziskovalnimi organizacijami že precej uveljavljen, je zagotavljanje mobilnosti pri dostopu do spletnih aplikacij v začetni fazi. Razlog je predvsem v večji tehnološki kompleksnosti rešitev, ki so še vedno v relativno zgodnji fazi razvoja, in v večji organizacijski kompleksnosti njihovega uvajanja. Po drugi strani pa z uvajanjem AAI za spletne aplikacije dosežemo največje prihranke. Raziskave med vodji in osebjem računalniških centrov ameriških in evropskih visokošolskih institucij so pokazale, da je poleg zagotavljanja varnosti področje administriranja uporab- nikov strateško najpomembnejše področje za zagotavljanje IKT v univerzah in da je admini-striranje uporabnikov najzahtevnejše področje in se zanj porabi največ virov. Izpostavljena je bila problematika upravljanja z gesli, ki je še posebej kompleksno, ko uporabniki dosto-pajo do storitev izven svoje domače organizacije. Z vzpostavitvijo ustrezne infrastrukture in pravil igre je mogoče bistveno zmanjšati količino administrativnega dela ter obenem izboljšati uporabniško izkušnjo. Rešitev, imenovana »enotna infrastruktura za overjanje istovetnosti in avtorizacijo (AAI)«, je zasnovana na naslednjih idejah: ^ Uporabnik prejme eno uporabniško ime in geslo, ki je uporabno za dostop do različnih aplikacij - tako do spletnih storitev, ki jih nudi uporabnikova domača organizacija (npr. fakulteta), kot tudi do spletnih storitev, ki jih nudijo druge organizacije (npr. on-line baze podatkov). ^ Uporabnik se v sistem prijavi s pomočjo posebnega sistema na svoji domači organizaciji. Spletna aplikacija nikoli ne vidi njegovega gesla. ^ Posamezne aplikacije dobijo vpogled zgolj v tiste osebne podatke uporabnika, ki so nujno potrebni za delovanje aplikacije. Uporabnik ima polno kontrolo nad prenosom osebnih podatkov. ^ Podatke o uporabnikih se vnaša zgolj enkrat, in to v domači organizaciji uporabnika. Enotna infrastruktura za overjanje istovetnosti in avtorizacijo (AAI) vzpostavi okolje, kjer se preverjanje istovetnosti uporabnikov ter hranjenje njihovih osebnih podatkov izdvoji iz posameznih aplikacij in se izvaja na domači organizaciji uporabnikov. Aplikacije ohranijo funkcijo avtorizacije, vendar pri tem uporabljajo podatke, ki jih pridobijo od domače organizacije uporabnika. 40/ Infrastruktura za ugotavljanje istovetnosti in podeljevanje pravic uporabnikom (ang. AAI, Authentication, authorization infrastructure). 41/http://www.terena.org/activities/tf-mobility/ 42/ http://www.terena.org/activities/tf-emc2/ 43/ http://www.geant2.net/server/show/conMediaFile.4883 Za delovanje tako zastavljene rešitve je nujno jasno definirati tehnološke standarde in vzpostaviti zaupanje med posameznimi akterji: na eni strani imamo ponudnike storitev, na drugi pa domače organizacije uporabnikov (seveda lahko tudi domača organizacija nastopa v vlogi ponudnika storitve). Potrebni so tudi določeni centralni strežniki in skrbnik infrastrukture ter pravil. Celotna rešitev se organizacijsko vzpostavi kot t. i. »federacija AAI«, h kateri pristopajo posamezne organizacije, ki se obvežejo spoštovati pravila, veljavna v federaciji. V letu 2008 je Arnes intenzivno delal na zagotavljanju predpogojev za ustanovitev ter vzpostavitev slovenske AAI-federacije, v katero se bodo lahko kot domače organizacije uporabnikov včlanile organizacije s področja izobraževanja, raziskovanja in kulture ter vsi ponudniki storitev ne glede na njihov status. Aktivnosti so bile osredotočene na razvoj, prilagoditev in testiranje ključnih tehnoloških elementov, potrebnih za slovensko AAI-fede-racijo: ^ testiranje tehnologije Shibboleth (1.3 in novega 2.0) in simpleSAMLphp; ^ prilagoditev in izbor tehnologije simpleSAMLphp 1 .x za strežnike IdM44 in Shibboleth 2.0 SP45 (standard SAML 2.0); ^ razvoj posrednika med dvema različnima in dopolnjujočima protokoloma za avten-tikacijo - integracija Shibboleth SP 2.0 in Heimdal Kerberos; ^ izdelava aplikacije IdM (angl. Identity Management) za vnos uporabnikov v imenik LDAP. Sodelavci skupine AAI so v preteklem letu razvijali tudi testna okolja, ki so bila ključna za razvoj in izdelavo aplikacij za projekt SIO: ^ izdelava navideznih strežniških okolij (SIO virtual box image) za testiranje avtentikacij-skih elementov naročenih aplikacij; ^ testiranje različnih tehnologij in izdelava specifikacij za določene sklope aplikacij, ki so bile razvite v okviru projekta SIO; ^ predstavitev tehnologije in testnega okolja širši javnosti na javno dostopnem predavanju v Kiberpipi. 44/IDM - ponudnik identitete. 45/SP - ponudnik storitve. Vzpostavili smo tudi laboratorij s sistemom AAI Shibboleth za varno prijavo v spletne aplikacije, kadar sta imenik z uporabniki in spletna aplikacija na različnih organizacijah. Postavitev v laboratoriju se izvaja pred postavitvijo testne federacije AAI. Eduroam Brezžična omrežja eduroam46 so bila prva in najbolj razširjena storitev, ki uporablja mednarodno AA-infrastrukturo. Eduroam sestavljajo samostojna brezžična omrežja izobraževalnih in raziskovalnih organizacij, ki uporabljajo enoten sistem AAI. Dostop do storitve eduroam je omogočen na osnovi identitete, pridobljene na matični organizaciji (univerzi, srednji šoli, inštitutu). Uporabnik se z različno mobilno opremo (prenosnik, dlančnik ...) in svojim »domačim« uporabniškim imenom in geslom zlahka poveže v brezžično omrežje eduroam katerekoli organizacije, ki ima vzpostavljen sistem eduroam. Eduroam je mednarodna infrastruktura, ki je zasnovana na hierarhiji strežnikov RADIUS in uporablja varnostne tehnologije 802.11 i in 802.1x. Pomembno je poudariti, da je pri omrežjih eduroam posebej poskrbljeno za zagotavljanje varnosti tako uporabnikov kot tudi organizacij, ki nudijo dostop do omrežja. Sistem gostovanja je mednaroden in so vanj poleg evropskih držav vključene nekatere azijske države in Avstralija, testno pa tudi ZDA. V letu 2008 je MŠŠ v sodelovanju z Arne-som pripravil razpis47, v okviru katerega so se vzpostavljala omrežja eduroam in deli AAI-infrastrukture v srednjih in osnovnih šolah. Razpis je bil v lanskem letu ključen dogodek pri širjenju naprednih brezžičnih in AAI-teh-nologij na srednje in osnovne šole. V okviru razpisa bo v letu 2009 na novo vzpostavljenih okoli 20 novih omrežij eduroam. 46/ http://www. eduroam.org/ 47/ Javni razpis za izbor izvajalcev za dobavo opreme in izvedbo del za nekatere omrežne storitve na vzgojno-izobraževalnih zavodih (http://www.mss. gov.si/si/okroznice_razpisi_in _javna_narocila/jav-ni_razpisi/?tx_t3javnirazpis_pi1[show_single]=916). Slika 5: Razširjenost omrežij eduroam v Evropi v letu 2008 Pri izvajanju razpisa je bil Arnes zadolžen za naslednje aktivnosti: ugotavljanje stanja glede obstoječih brezžičnih omrežij; priprava tehničnega dela razpisne dokumentacije; priprava standardov in navodil za vzpostavitev omrežij eduroam in AAI; zagotavljanje tehnične podpore pri vzpostavitvi omrežij; zagotavljanje tehnične podpore pri vzpostavitvi AAI; podpora pri pregledih ustreznosti postavljenih brezžičnih omrežij v skladu s tehničnimi merili razpisa; priprava izobraževanja za zaposlene v podjetjih, ki so bila izbrana na razpisu MŠŠ. Na delavnici so se udeleženci najprej seznanili s teorijo in prakso pri uvajanju omrežij eduroam, nato pa so v učilnici oz. laboratoriju sami postavili in preizkusili posamezne komponente omrežja eduroam. Ločeno smo izvedli tudi izobraževanje za nadzornike, ki bodo nadzirali vzpostavitve omrežij in opravili prevzem zgrajenih omrežij. Skupen nastop z MŠŠ pri uvajanju nove tehnologije je v sfero srednjega in osnovnega šolstva prinesel višjo kakovostno raven vzpostavljene ITK-infrastrukture; predpisana tehnologija je postavila temelje za ustrezno varnost, enotna tehnološka merila pa za nadaljnje širjenje omrežij eduroam in ostalih naprednih AAI-rešitev. Pri razvojnih aktivnostih s področja omrežij eduroam lahko posebej poudarimo: ^ sodelovanje z Laboratorijem za računalniške komunikacije Fakultete za računalništvo in informatiko. V lanskem letu smo nadaljevali skupno testiranje tehnologije IPv6 v brezžičnih omrežjih ter v omrežjih eduroam; ^ razvoj orodja na osnovi spletnih tehnologij za vnos podatkov o uporabnikih eduroam, iz obstoječih podatkovnih baz v imenik LDAP. Orodje bistveno olajša vzpostavitev imenikov LDAP, kar je pomembno pri vzdrževanju obstoječih in vzpostavljanju novih omrežij eduroam, pri projektu SIO in ostalih AAI-dejavnostih. Strnjeno pa so vsa ostala prizadevanja pri zastavljenih projektih, podpori vključenim organizacijam ter sodelovanje z domačimi in mednarodnimi ustanovami vsebovana v naslednjih alinejah: ^ nadgradnja tehnologije strežnikov FreeRADIUS z verzijo 2.0; ^ nadaljevanje testiranja odjemalcev za eduroam v okolju Windows Vista, Windows Mobile 5.0, Windows Mobile 6.0, Nokia -Symbian, Sony Ericsson in Linux; ^ testiranje novih, uporabnikom zanimivih naprav (dlančniki in telefoni z Wi-Fi) za povezovanje v eduroam; ^ tehnično sodelovanje z izdelovalci opreme pri testiranju in razvoju varnostno ustreznih mehanizmov nove, dostopnejše opreme tako za brezžična kot žična omrežja; ^ vztrajanje pri razvoju vseh tehnoloških rešitev na odprtokodni programski opremi in hkrati prizadevanje za prenos tega znanja v izobraževalne in raziskovalne organizacije; ^ nadaljevanje sodelovanja z univerzami pri vzpostavljanju distribuiranega sistema AAI eduroam; ^ nadaljevanje prizadevanj, da bi vsa slovenska omrežja eduroam vzpostavili po enakih standardih in v skladu z izsledki in priporočili TERENA delovne skupine TF-MOBILITY, TF-EMC2 ter delovne skupine JRA5, ki deluje v okviru vseevropskega raziskovalnega in izobraževalnega omrežja GÉANT2; ^ prizadevanje za prenos novih brezžičnih tehnologij in znanja v izobraževalno-raz-iskovalna okolja. Pri tem je ključnega pomena nadaljevanje krepitve sodelovanja med Arnesom, univerzami, posameznimi višje in visokošolskimi zavodi, nekaterimi srednjimi in osnovnimi šolami, dijaškimi in študentskimi domovi, knjižnicami ter inštituti. Cilj, ki ga z zgoraj navedenimi aktivnostmi skušamo doseči, je zagotavljanje mobilnosti in preprost dostop do omrežnih in informacijskih virov za uporabnike iz slovenskih organizacij tudi na mednarodni ravni. Zelo pomemben poudarek pa je tudi na prenosu znanja iz evropskega v slovensko raziskovalno in izobraževalno okolje. 120.000 100.000 80.000 60.000 40.000 20.000 o Število povezav v omrežje Eduroam v letih 2007 in 2008 i: A X - 4 14 Pomoč uporabnikom pri uporabi Arnesovih storitev Prejeti klici v letu 2008 Pomembno in zelo obsežno dejavnost Arnesa predstavlja tehnična podpora, svetovanje in pomoč, ki jo Arnes nudi svojim uporabnikom omrežnih storitev in organizacijam, ki so vključene oz. se priključujejo v omrežje ARNES. Pri uporabi omrežnih storitev Arnes pomaga z izdajanjem tiskanih navodil za uporabnike osebnega dostopa, z obširnimi in podrobnimi navodili na spletnih straneh ter z nasveti preko telefona ali elektronske pošte. S podporo uporabnikom se ukvarjajo trije oddelki Arnesa, ki pokrivajo različne nivoje pomoči in svetovanja: osnovna (splošna) podpora uporabnikom; tehnična podpora in svetovanje pri uporabi storitev neposrednega osebnega dostopa; svetovanje in podpora organizacijam pri povezovanju lokalnega omrežja. Osnovna podpora uporabnikom Osnovna podpora uporabnikom predstavlja prvi stik uporabnikov z Arnesom in ureja vse administrativne postopke ob pridobitvi in podaljšanju statusa osebnega uporabniškega imena, pomaga pri administrativnih postopkih za priklop lokalnega omrežja organizacije, registraciji naslovnega prostora IP ali registraciji domene ... / > # > ^ ^ ^ C? vrF -rf <ÒP xjr xy S1 f^ o® & A? é d* ^ -é IS/IS'S3UJD'MMM//:d}}LI '(5uiU0SI0d difODO) DU13ÌSIS-SN0 [IsoAifiUDWZOSOOZ 1U3D-IS/ZS •ZDJZt udZdJìsn nuidì ouiDt\qojodn mudai -nyop Old} A '3AJJZ dtUDtjADjdod DZ oysuotdp AOJdUlUd IUID3A !>i!idA a 3j6 od jd>\ 'IZDJZI i6rup ipnj ofofiqoj -odn SOO dpndou dzss nyizaf uidysudAOfs A/LS ■dtdusoy iwdnys tuAOjdp±yisj-jl Ul ntUDAOjdpOS UldUpOJDUpdUl O yjdjdpZDJ /3/£)/os '(OU.IBA BUJOUpdod) l Op (OAlf|UB.I Bujoupdod) o polu of iisoupaiA uodzsy ao>i -lupnuod qiuzoLUBSod >iubj;s o>nuz84s-g|\|0 bz aig 'i^soaifiub.i lABfcp od fo>p} mipsBZ blu -0UI08A qif os !>i 'B^iupnuod o>nuz84s-g|\|0 BZ aiß ou luo; uy '(eyo Buof.iBpnod Bf|AB}spo.id S8u.iv) XIS 8>1?01 o>i8Jd }oujo.id ofofnfuoujzi i>| 'AO>i!upnuod L|i>]su8AO|s qifzo.iLuo a ain^mjs -b.ijlii i}soAif|UB.i ofudo}s ofnzB^ud |b.iß ifupodg 'ain^mjsRijui l}SOAlf|UB.I L|BA|JJ8LU BU P4 |BZB>pd H|BLU>1 Of ss pai; SBU bj_ 'nuo|8|8; od ofuBAo:pAS ouoiu a|8; yipnu ujif ui oupo.isodou ipn; iposoAcp OLUS 8}-81 'OfZO.IUJO OAOS8UJV 8UBZ8AOd 'afioBziuBß.io osa ui „;souab[ os.iis 'o^iupnuod 8>]su8ao|s 8sa !|i;s8ac|0 L|ba}iso.I Ul niU8|c|0.ld o OLUS J8f>i 'ofio>]B ofooA OLUS yizo.idg 'aioiso.id lu8>]su8ao|s a ain^mjsRijui-SNQ !lsoAif|UB.i I|I.I8LUZI A0>i;Bp0d L|IU;8LUO.ld Bp8|ß8.ld o>|aid 1H3Q-IS BU 0>]L|B| OLUS '(OUOUJOp 0>]SU8A -o|s ssa) ouoz |g Bz 8>i!uzai;s o>pu8Luop ofuqjA Bf|AB.idn s8u.iv J8>i '8>l!uqB.iodn ssa bz ofusßoa} o>i!|8a luoujod unj^n.ijsB.ij.ui fe; BU }SOAlf|UB.I Ul B}8U.I8}UI AO^lUpB.lß L|IUf|8LU8; U8p8 Of (UJO}SÄg 8lub|\| uibluoq) g|\|Q 'blu -81sis-gNa }SOAlf|ub.i ouc|LU8LUOd |iab}Sp0.ld iou8.l8|uo>] ibp! >10B|a bu B}SnßAB oc] Bp '|IABf -qo A>isuilub>] ubq of 8002 BflPf n>fl8oez bn ainp|ru)saiju!-SNa IsoAjfiuey 'l|lfZO.iluo l|i>|s -uoao|s a 8|b.iiazi ic| l>| 'c|b.io|z 001} 8s jb>| fesa 'nfp>p nLuasfeu.iBA >1 yBoujodud ou.inßis os Bd LOOZ-VOOZ, M!19| a ofpyod bu fuBfop l|iaiuzb>i BLuns BABlì.id ui ^lupnuod lujißn.ip z ofuBAopp -os '1H30-IS JodBU >i!|8a 'fizo.iujo l|i>isu8ao|s lu8|qo.id ibaAfeu i|Bf|AB}spo.id ;o| fB>pu goaa ipBdBU os Bp 4iu8luo Bfp/\ 'o;s8lu o}od BU |8pBd ls(dDiAJdSJO piudQ pdjnqujsiQ - SOCIO UUMMW MMI\)l\)WlvOI\)K)K)l\)l\3IV)l\3IV)IV)MI\)l\)rOIV)l\)l\) lOMWMWWIOWWIOIOWIOlO 88888 8888888888888888888888 88888888888888 GO CO 03 03 CO C0C0O3O3C0 00 O3 00 O3COC0O3C0O3O3C0O3O3C0C0O3O3 0 CO 03 CO 03 CO CO ooooooooooooooooooooooooooooooooooooooooo tDtD0303COCOC0 03 03COC0 03 00 00 03 C0 03 C0 03 03 C0 03 03COC0 03 03 03 03 a0 03 C0 03^^^^^---J-Nl-Nl oououuuiowKiuMioro^^^^^-i-'-'^^ooooooooouuurouiowKi jjD dDÌAUdSP jDIUdQ - SOO '|ßUB) AO^Bpod 0AB|d0d S pBdBU 8f 0>| LU81P8UJ 'AOLU8;SIS qifn; 8fuBAop8|ß8.id B;u8pioui di; iubabuab.ic|o 8fe;s0ß0dfeu 8f Bp '8ZB>| OUp8A 8S B;U8piOUI ndi; od AO.i8Lui.id l|iubabuab.ic|o 8f;iqzBy ■|SfeUS>18|dLUO>l ofefe;sod !;u8pioui iu;sou.iba Bp bluo.iizo iubz -8AOd [|OC| l.l8LUI.ld IU8f|ABflld OS Bp '!|Bd8|>lS o>]L|B| iq Bßa; z| '(gge bu q^ zi) oipBdn 0|80 Ao;u8pioui o|iA8;s (% oe) pe>|0|q ui (% q) ab>is -laid '(% i >) ABlì.id n;sB.iod LuauqfeLU qo of Bp 'OLUIZBdO 0>]L|B| /002 UJO}8| Z lABÜOLUI.ld A 'osldzIO ao4u8o L|iu;SOU.iba opp BZ Bß -8U0bßB|Lld 'Bfpo.io BßOUpO>!OydpO '(/UJOD'IDD -ilDDidisdq-MMM//:duq 'osuodsoy ;uopiou| .io| .i0>]0B.jj_ ;sonboy) y|j_y Ao;uopioui l|iu;sou.iba OABUAB.iqO BZ BfpO.IO ZI B^OZAOd Of BflßopUlLU ss oe 92 OS QL OL wejsjs A JOpA Bumsmd AC»flBpod 0AB|d0d s pedBu LUBdS epO>| BUJ9LUBU0|Z sqsjodn sujsndop as^sj^ 8[pi|0d >)8A8}gBZ / sqpsjpo eupos }eu}oq }u>|po B[!jnf|oß 0LU8}U| 8UIUJSBI 8U|Bnj>|8|8}U! OlABjd A8}ISJ>| Nenehna rast vrednosti v Arnesovem omrežju po našem mnenju izraža tudi trud odzivnega centra SI-CERT, ki je strankam nudil tehnično pomoč. Domače sodelovanje SI-CERT lahko deluje le ob dobri povezanosti z različnimi akterji na področju omrežne in informacijske varnosti. Tako je razumljivo, da sodeluje tako z operaterji (individualno in v okviru združenja Sispa) kot tudi z Agencijo za pošto in elektronske komunikacije. Izpostaviti pa velja tudi aktivno sodelovanje v projektih SAFE-SI, Spletno Oko in Nasvet za net. Mednarodno sodelovanje SI-CERT je aktiven član Terenine delovne skupine evropskih centrov za posredovanje pri internetnih incidentih, TF-CSIRT in svetovnega združenja FIRST (Forum of Incident Response and Security Teams). TF-CSIRT združuje vse evropske varnostne centre, tako iz raziskovalno-izobraževalne kot tudi iz komercialne in vladne sfere. Delovna skupina je med drugim vzpostavila formalno sodelovanje s sestrsko skupino azijsko-pacifiške regije (APCERT). Znotraj te skupine deluje tudi skupina za specifikacijo razvoja RTIR-orodja. Vodja SI-CERT Gorazd Božič je v letu 2008 nadaljeval delo v Upravnem odboru evropske agencije ENISA (European Networking and Information Security Agency). [ 47 / 52 ] Pregled aktivnosti Arnesa v letu 2008 Izdal in založil: Arnes Uredila: Domen Božeglav in Tomi Dolenc Lektorirala: Tjaša Žorž Oblikovala: Bojan Senjur in Marko Jelovšek Tisk: DOSA d. n. o. Naklada: 750 izvodov