Javni zavod Arnes upravlja in nadgrajuje slovensko izobraževalno in raziskovalno omrežje že 16 let, vanj pa se povezujejo univerze, raziskovalni inštituti, šole, knjižnice, muzeji, arhivi, multimedijski centri, skratka vse organizacije, ki ustvarjajo, shranjujejo in prenašajo znanje. Naloga Arnesa je ustvariti okolje, v katerem bodo lahko te institucije čimbolj izkoristile možnosti, ki jih omogočajo sodobne informacijske in komunikacijske tehnologije za medsebojno sodelovanje. Pri ustvarjanju enotnega slovenskega in evropskega raziskovalno-izobraževalnega prostora dobiva pojem informacijske in komunikacijske infrastrukture nov pomen: gradimo živ organizem storitev, ki se nenehno razvijajo in prilagajajo specifčnim potrebam skupnosti svojih uporabnikov. Ključni del tega omrežja smo ravno ljudje, ki v svojem razvojnem delu kopičimo velike količine strokovnega znanja in izkušenj, le-te pa potem prenašamo neposredno v okolje, v katerem delujemo. Naš cilj je zagotavljanje dostopa do najvišjih standardov varnosti, kakovosti in mobilnosti vsem nivojem raziskovanja in izobraževanja, od raziskovalnega laboratorija do šolske učilnice. Zato smo aktivno vključeni v domače in mednarodne projekte sodelovanja in razvoja, hkrati pa sledimo potrebam naših uporabnikov, pomagamo pri uvajanju novih tehnologij in prenosu znanja. Tak projekt lahko uspe samo s širšim sodelovanjem, zato je vseevropsko izobraževalno in raziskovalno omrežje GÉANT2 plod skupnega razvoja. V njem so združena nacionalna omrežja iz celotne Evrope, ki jih upravljajo institucije, sorodne Arnesu. Neločljiv del tega omrežja ste tudi vsi, ki preko Arnesa uporabljate njegove storitve in hkrati sodelujete pri njegovem nadaljnjem razvoju. Marko Bonač, direktor Pregled aktivnosti Arnesa v letu 2007 Kazalo 1 Uvod......................................................................................................5 2 Uporabniki Arnesa..................................................................................6 Povezovanje lokalnih omrežij organizacij v omrežje ARNES.....................7 4 Paket storitev z neposrednim osebnim dostopom................................11 5 Hrbtenica omrežja ARNES in pohitritve medkrajevnih vodov.................13 6 Mednarodne povezave.........................................................................15 7 Izmenjava prometa s komercialnimi ponudniki interneta v Sloveniji...............................................................................17 Osnovne internetne storitve..................................................................18 9 Zaščita omrežij uporabnikov Arnesa.....................................................22 10 Uvajanje internetnega protokola nove generacije (IPv6).........................23 11 Multimedijske storitve...........................................................................24 12 Povezovanje študentskih domov..........................................................26 13 Vzpostavljanje slovenske AAI in omrežij eduroam.................................27 14 Pomoč uporabnikom in podpora storitvam Arnesa...............................30 15 Sodelovanje z MŠŠ pri informacijskem opismenjevanju in omreženju šol..........................................................35 16 Registracija domen in upravljanje vrhnjega DNS-strežnika za .si.............................................................................39 17 Slovenski center za posredovanje pri internetnih incidentih (SI-CERT).............................................................................42 1 Uvod Akademska in raziskovalna mreža Slovenije - Arnes je javni zavod, ki z zagotavljanjem omrežnih storitev organizacijam s področja raziskovanja, izobraževanja in kulture omogoča njihovo povezovanje ter sodelovanje med seboj in s sorodnimi organizacijami v tujini. Arnes opravlja enake storitve kot nacionalne akademske mreže v drugih državah, ki se danes običajno imenujejo National Research and Education Network - NREN, saj njihovo področje delovanja zajema poleg raziskovalnega in razvojnega tudi izobraževalni sektor. To področje je po svoji naravi mednarodno, zato NREN-i različnih držav sodelujejo v mnogih projektih, ki omogočajo, da storitve ne poznajo državnih meja. Sodelovanje vzpodbuja tudi Evropska komisija s 6. okvirnim programom (Framework Programme). Cilj Evropske komisije je med drugim vzpostavitev enotnega evropskega raziskovalnega prostora (European Research Area - ERA), ki naj bi nudil raziskovalcem vseh evropskih držav enake možnosti1. Enotna omrežna infrastruktura in ustrezne storitve, ki jih vzpostavljajo in vzdržujejo nacionalne izobraževalne in raziskovalne mreže, so eden izmed osnovnih pogojev za dosego tega cilja. Vključenost Arnesa v ta evropska prizadevanja določa dolgoročne cilje, ki jih ima Arnes. Ti so: 1. Zagotavljanje kakovostnih računalniških povezav slovenski izobraževalno-raziskovaln sferi pri povezovanju zavodov med seboj, do raziskovalnih in izobraževalnih omrežij v drugih državah in v svetovni internet ter nudenje enakih storitev, ki jih zagotavljajo NREN-i v drugih državah. To omogoča enakovredno vključevanje te sfere v enotn evropski informacijski prostor. 2. Sodelovanje z drugimi NREN-i in v projektih Evropske komisije pri testiranju, razvoju rešitev in vpeljavi novih internetnih protokolov in storitev. 3. Opravljanje storitev, ki so predpogoj za delovanje interneta v Sloveniji in jih ne opravljajo komercialne organizacije (registracija domen, koordinacija reševanja varnostnih incidentov, medsebojno povezovanje ponudnikov interneta ipd.). V sklopu izvajanja teh dejavnosti je Arnes vključen v delovanje naslednjih mednarodnih organizacij: TERENA2, CEENet3, RIPE4, CEN-TR5, EURid6, FIRST7, Euro-IX8. Poleg tega je soustanovitelj DANTE9 in član NREN PC10. Arnes ima predstavnike v upravnih odborih mednarodnih organizacij TERENA (Marko Bo-nač), DANTE (Marko Bonač), EURid (Marko Bonač) in ENISA11 (Gorazd Božič) ter svetovalca v GAC12 (Barbara Povše). [ 5 / 48 ] 1/h ttp://europa.eu/scadplus/leg/en/lvb/i23012.htm 2/ TERENA (Trans European Research and Education Networking Association) 3/CEENet (Central and Eastern European Networking Association) 4/RIPE (Regional Internet Registry) 5/ CENTR (Council of European National Top-Level Domain Registries) 6/ EURid (The European Registry of Internet Domain Names) 7/ FIRST (Forum of Incident Response and Security Teams) 8/Euro-IX (European Internet Exchange Association) 9/ DANTE (Delivery of Advanced Network Technology to Europe) 10/NREN PC (National Research and Education Programme Committte) 11/ENISA (European Network and Information Security Agency) 12/ GAC (Governmental Advisory Committee) 2 Uporabniki Arnesa Organizacije s področja raziskovanja, razvoja, izobraževanja in kulture se povezujejo v omrežje ARNES, ki ima, podobno kot sorodna evropska omrežja, zaprt krog uporabnikov. Upravičenost dostopa do omrežja ARNES je določila Vlada RS, ki je 26.7.2001 sprejela Kriterije za ugotavljanje upravičenosti do povezave na omrežje ARNES, katerim mora ustrezati organizacija ali posameznik, da lahko uporablja storitve omrežja ARNES. V primeru, da na podlagi navedenih kriterijev ni mogoče nedvoumno ugotoviti upravičenosti dostopa v omrežje ARNES, o tem presoja komisija, sestavljena iz predstavnikov ministrstev, ki pokrivajo področje znanosti, izobraževanja, kulture in uvajanja informacijske tehnologije. Komisija lahko uporabo storitev omrežja ARNES v skladu z omenjenimi kriteriji odobri tudi začasno. Pozitivna odločitev Komisije organizaciji omogoča, da zaprosi za povezavo svojega lokalnega omrežja v ARNES, za pridobitev osebnega dostopa za število povezav deleži „ . lokalnih omrežij registriranih Področje ... a ... organizacij v neposrednih omrežje ARNES uporabnikov raziskovalni zavodi, tehnološki parki in razvojni oddelki 47 3,1 % samostojni raziskovalci 0,2 % druge raziskovalne skupine 19 2,1 % skupaj raziskovalna sfera 66 5,4 % univerzitetni in visokošolski zavodi 23 20,2 % srednje šole 166 22,2 % osnovne šole 533 39,4 % druge izobraževalne ustanove 121 6,1 % skupaj izobraževalna sfera 843 87,9 % knjižnice, arhivi in muzeji 170 1,4 % druge kulturne ustanove 24 1,7 % skupaj kultura 194 3,1 % državna uprava 13 0,0 % invalidi 3 2,0 % drugo 8 1,6 % skupaj ostali 24 3,6 % skupaj vsi 1127 100,0 % Tabela 1: Povezave lokalnih omrežij organizacij in deleži registriranih uporabnikov svoje sodelavce, za prostor na strežniku ali uporabo katere druge storitve, ki jo Arnes nudi svojim uporabnikom. Lokalno računalniško omrežje organizacije se lahko do omrežja ARNES poveže preko stalne ali klicne povezave. Stalna povezava računalniškega omrežja je aktivna 24 ur na dan, klicna povezava računalniškega omrežja pa se vzpostavi preko klica na določeno telefonsko številko in traja, dokler ni zaključena. Večino uporabnikov omrežja ARNES sestavljajo organizacije, ki imajo svoje lokalno omrežje stalno povezano v omrežje ARNES (univerze, inštituti, šole, knjižnice itd.). Na dan 31. 12. 2007 je bilo 1127 takšnih organizacij, skupno število njihovih uporabnikov pa ocenjujemo na 200.000. Ti uporabniki uporabljajo tako storitve lokalnega omrežja svoje organizacije (strežniki) kot tudi posredno in neposredno storitve omrežja ARNES. Tako povezane organizacije s svojimi uporabniki ustvarijo večino prometa omrežja ARNES, vendar od teh organizacij ne pridobivamo podatkov o natančnejšem številu njihovih uporabnikov, niti o tem, kako pogosto uporabljajo posamezne storitve omrežja. Uporabniki na teh organizacijah običajno niti ne vedo, da uporabljajo storitve omrežja ARNES. V tabeli 1 je navedeno število povezav, s katerimi se lokalna omrežja organizacij povezujejo v omrežje ARNES, ter deleži v skupnem številu uporabniških imen za osebni dostop posameznikov različnih dejavnosti (podatki za december 2007). Prav tako nekateri uporabniki zgoraj omenjenih organizacij pa tudi nekateri zaposleni ali šolajoči se na organizacijah, ki nimajo stalne povezave v omrežje ARNES, uporabljajo možnost neposrednega osebnega dostopa do omrežja ARNES (z dodeljenim geslom). Le-ta je možen preko telefonskega omrežja ali preko omrežij operaterjev kabelske TV, ki nudijo dostop do omrežja ARNES. Ta storitev izgublja na pomenu zaradi široke komercialne ponudbe dostopa do interneta, število uporabnikov pa je v primerjavi z letom 2006 padlo za tretjino. Zato Arnes v dialogu z ministrstvi načrtuje postopno krčenje storitve osebnega dostopa in usmeritev dodatne pozornosti k spletnim storitvam. 3 Povezovanje lokalnih omrežij organizacij v omrežje ARNES Lokalna omrežja organizacij se povezujejo v omrežje ARNES. Omrežje ARNES sestavljajo stikala in usmerjevalniki prometa, ki so med seboj povezani s telekomunikacijskimi povezavami. V večjih krajih je vozlišče omrežja ARNES z aktivno opremo, na katero se povezujejo organizacije iz tega kraja. Glavna stikala in usmerjevalniki prometa v vozliščih ter telekomunikacijske povezave med njimi se imenujejo tudi hrbtenica omrežja ARNES. Hrbtenica omrežja ARNES je multiprotoko-larna. Na omrežnem nivoju podpira IPv4, vsa novejša oprema pa tudi IPv6. Na nižjih slojih je v precejšnji meri že izveden prehod na WDM-povezave preko optičnih vlaken, ki omogočajo več 10-gigabitne hitrosti. Nekaj povezav pa je še vedno na »klasičnih« tehnologijah (sinhrone zakupljene linije in ATM). Ostali usmerjevalniki prometa so običajno postavljeni na lokaciji organizacije, ki se povezuje v omrežje, in omogočajo le tiste protokole, ki so zanimivi za posamezno organizacijo. Arnes skrbi tudi za usmerjevalnik prometa na lokaciji uporabnika in za pravilno delovanje povez»ave do tega usmerjevalnika. Osebje Arnesa tako konfigurira usmerjevalnike in upravlja mehanizme za kontrolo dostopa in nadzor prometa, skladno s potrebami lokalnega omrežja. Stabilnost in nadzor delovanja povezave zagotavlja dežurna služba, ki deluje 24 ur na dan, 7 dni v tednu. V primerih degradacij ali izpadov delovanja dežurna služba obvešča administratorje lokalnih omrežij ter napake odpravlja sama ali pa poskrbi za koordinacijo med vzdrževalci opreme in uporabniki. Arnes sodeluje tudi pri odkrivanju in reševanju anomalij in varnostnih problemov ter zagotavlja delovanje posameznih zahtevnejših aplikacij (npr. nastavitve prioritet posameznega prometa na zahtevo ali po potrebi - QoS). 3.1 Pohitritve povezav lokalnih omrežij organizacij v omrežje ARNES Tudi v letu 2007 so organizacije želele predvsem pohitriti svoje povezave v omrežje ARNES. Posredno so se pokazale še večje potrebe po zamenjavi že obstoječih usmerjevalnikov, preko katerih se organizacije R - usmerjevalnik prometa povezujejo v omrežje ARNES, saj dosedanji (starejši) usmerjevalniki niso več kos večjim količinam prometa, ki ga morajo usmerjati in poleg tega varovati s filtri. Tako je Arnes v lanskem letu opravil 182 nadgraditev obstoječih oz. vzpostavitev novih povezav. Pri tem smo zelo intenzivno sodelovali predvsem z Ministrstvom za šolstvo in šport, ki je preko svojih natečajev in razpisov šolam priskrbelo zmogljivejše usmerjevalnike. Vsak priklop ali nadgradnja povezave lokalnega omrežja organizacije v ARNES je časovno in strokovno zahteven postopek, pri katerem Arnes opravi tudi obsežna svetovanja glede možnosti in izvedbe priklopa ter pomaga usklajevati postopek z operaterjem oz. izvajalcem. Največ povpraševanja je bilo tudi v tem letu po optičnih povezavah, ki so postale standardna potreba pri večjih ali aktivnejših organizacijah, medtem ko manjše organizacije oz. zavodi v krajih brez dostopne optične infrastrukture še vedno najpogosteje izberejo tehnologijo ADSL. Konec leta 2007 je bilo v 20 krajih po Sloveniji v 28 vozliščih skupno 923 lokalnih omrežij organizacij stalno povezanih v ARNES, 204 pa preko ISDN-povezave. Tabela 3. kaže, da je tako kot v letu 2006 tudi v letu 2007 večina šibkejših (ISDN, xDSL, zakupljeni vod) povezav vzpostavljenih preko infrastrukture Telekoma Slovenije. Zmogljivejše povezave preko optičnih vlaken so omogočili alternativni operaterji ali pa so si jih organizacije zgradile same. Slika 1: Območje upravljanja Arnesa Tabela 2: Nadgradnje povezav lokalnih omrežij organizacij Deleži ponudnikov zmogljivih povezav prek optičnih vlaken Delo na nadgradnji povezav lokalnih omrežij organizacij do ARNES-a v letu 2007 - tehnologije in operaterji ISDN'Tlekom)................................................................................................................1....................................... "xDSLOeleköm)............................................................................................................147.................................. Ethernet (Telekom) 4 optika (alternativni operaterji) 13 Ethernet/Optika - lastna 12 Telekom1 CATV (alternativni operaterji) 3 17% zakupljeni vod (Telekom) 2 "Skupaj....................................................................................................................................182.................................. Telemach: 13% Yo ' Elektro . ^Turnšek \/ 1% Lastna '—infrastruktura: 65% Stelkom 3% 3.2 Dostop do omrežja ARNES preko xDSL infrastrukture Telekoma Slovenije Telekom Slovenije je v letih 2001-2007 javnim zavodom zagotavljal infrastrukturo za dostop do omrežja ARNES pod posebnimi pogoji, dogovorjenimi z Vlado RS. Ta krovni dogovor je predvidel priključitve preko ISDN-povezav, zakupljenih vodov, xDSL-povezav in 10/100 M bit/s Ethernet povezav na optičnih vlaknih. Delež povezav preko ISDN in zakupljenih vodov je zaradi neugodnega razmerja zmogljivost/cena v stalnem upadanju, povpraševanje po xDSL pa je zaradi težko dostopne optične infrastrukture še vedno veliko. Tehnologija xDSL ne zagotavlja stabilne prepustnosti, zato je za vedno več zavodov neustrezna, saj njihovo število računalnikov in zahtevnost aplikacij narašča. Pogodba med Vlado RS in Telekomom zato pri tej tehnologiji izrecno določa garancijo kakovosti povezave (omejeno razmerje prerezervacije povezave). ... , .. . , ... „ Le-to skupaj z mehanizmi zagotavljanja pred-optika (alternativni operaterji) 47 v i ■ . .. ......................................-,...................-........................................................................................................................................ nosti prometa povezanim organizacijam omo- ..§th.eLQet/O.Pti.ka..I..last.na.............................................................................................I4.2..............................................goča uporabo nekaterih zahtevnejših storitev, ..CATV (alternativni operaterji).....................................................................................72..................................................npr. video konferenc, kar je zlasti za izobraže- brezžična povezava (lastna) 3 valne organizacije pomembna prednost. 'zakupljeni" vod ' '(Telekom)...............................................................................................17..................................................Ker je Telekom v letu 2006 zamenjal tehno- ' Frame ' Relay "(Telekom)......................................................................................................1........................................................logijo, na osnovi katere v svojem telekomuni.............;.............................................................................................................................................^iov..........................................kacijskem omrežju zagotavlja DSL-povezave, Skupaj 112 7 Tabela 3: Stanje povezav organizacij po tipih Stanje povezav organizacij konec leta 2007 po tipih ISDN (Telekom) xDSL (Telekom) Ethernet (Telekom) 204 602 39 47 smo v letu 2006 skupaj z MVZT (DID) in Telekomom iskali ustrezen model sodelovanja, ki bi nadgradil omenjeni sporazum. Posebna pozornost je bila namenjena prav garancijam kakovosti povezave oz. možnosti uporabe mehanizmov QoS (nastavljanja prioritet). V tem okviru so strokovnjaki Arnesa skupaj s Telekomom opravili obsežna testiranja, ki so pokazala tako ovire kot možne rešitve problema. Ker v omrežju Telekoma Slovenije trenutno še ni mogoče zagotoviti ustreznih mehanizmov, je bil konec leta 2006 sklenjen sporazum med MVZT (DID) in Telekomom Slovenije, ki po eni strani ohranja modele povezovanja iz pretekle pogodbe, po drugi pa zavodom ponuja povezovanje preko PPP DSL-tehnologije na osnovi IP MPLS. Ta sporazum tako začasno ureja povezovanje zavodov preko DSL-tehnologij, ki je v letu 2006 stagniralo. Kljub zagotovilom Telekom v letu 2007 še vedno ni pripravil mehanizmov, ki bi omogočali QoS tudi preko PPP DSL-teh-nologij. Ponudba širokopasovnih kapacitet, ki jih predvideva krovna pogodba (10/100 Mbit/s Ethernet), predstavlja dobrodošlo izhodišče za konkurenčno ponudbo širokopasovnih optičnih povezav. 3.3 Podpora organizacijam pri izbiri tehnične izvedbe povezav v omrežje Postopna liberalizacija telekomunikacij v Sloveniji in s tem možnost delovanja alternativnih operaterjev pa tudi ponudba Telekoma v skladu z omenjenim sporazumom pomeni precej bolj raznovrstno izbiro možnosti tehnične izvedbe dostopa do omrežja ARNES, ki se med seboj precej razlikujejo tako po zmogljivosti, fleksibilnosti in zanesljivosti kot tudi po začetnih ter mesečnih stroških, ki bremenijo uporabnika. Zato je načrtovanje in izvedba povezave v omrežje za vsako organizacijo zahteven projekt. Arnes, skladno s svojim namenom in vlogo, po svojih močeh pomaga oz. svetuje organizacijam pri izbiri najugodnejšega načina povezave. Posebej za svetovanje šolam Ministrstvo za šolstvo in šport v skladu s politiko celovitega pristopa k omreženju šol že več let sodeluje z Arnesom na področju tovrstnega svetovanja. S projekta računalniškega opismenjevanja, omreženja šol in izobraževanja učiteljev se je na terenu oblikovala neformalna skupina strokovno usposobljenih učiteljev, ki poznajo tako tehnologijo kot razmere v šolah posamezne regije. Ti učitelji svetujejo in pomagajo šolam na terenu in so v stalnem stiku z Arnesovo strokovno ekipo, s katero si izmenjujejo izkušnje in sodelujejo pri načrtovanju in omreženju šol. Pri svetovanju knjižnicam pa Arnes tesno sodeluje z IZUM-om. Arnes pomaga in svetuje tudi pri izbiri opreme. V sodelovanju z MŠŠ je Arnes izdelal priporočila za ureditev lokalnega omrežja v izobraževalnih organizacijah, ki ustrezajo potrebam teh organizacij in omogočajo uporabo novih storitev ter hkrati zadovoljujejo zahteve po varnosti omrežja. Po teh priporočilih poteka sistematično omreženje šol, ki ga izvaja MŠŠ. Podobna priporočila ob sodelovanju Arnesa uporablja tudi IZUM pri načrtovanju omrežja knjižnic. Predvsem za potrebe sistematičnega omreženja izobraževalnih organizacij, knjižnic in projekta e-šol Arnes vsako leto izvaja obsežno testiranje opreme, ki jo te organizacije potrebujejo za vzpostavitev povezave in ureditev lokalnega omrežja. Na podlagi testiranj Arnes potem pomaga in svetuje pri izbiri opreme posamičnim organizacijam, prav tako pa pomaga pri pripravi specifikacij za razpise, ki jih pripravlja ministrstvo. V mnogih primerih se organizacije, upravičene do povezave v omrežje ARNES, nahajajo v isti stavbi ali pa jih loči zgolj dvorišče, parkirišče, cesta ali kakšno drugo lahko premostljivo zemljišče. Povsod, kjer je bilo možno in cenovno smiselno, jim je Arnes svetoval, da se med seboj povežejo z optično ali brezžično povezavo ter zakupijo skupno povezavo do vozlišča omrežja ARNES. Na ta način so ob nekoliko večji začetni investiciji dosegle dvojni prihranek. Delijo si strošek za povezavo do omrežja ARNES, zaradi zmogljivih medsebojnih povezav pa si predvsem v primeru šol lahko delijo tudi strežnike in s tem stroške za njihov nakup ter vzdrževanje. Ozko grlo pri vzpostavljanju zmogljivih in specifičnim potrebam prilagojenih povezav do zavodov predstavlja pomanjkanje optičnih vlaken znotraj krajev. Do vseh zavodov je položena Telekomova bakrena parica, ki omogoča ISDN- ali ADSL-povezavo, do mnogih zavodov imajo CATV-operaterji svojo kabelsko povezavo. Vsi ti načini so primerni le za manjše zavode in tiste organizacije, ki še ne uporabljajo zahtevnejših aplikacij. Vedno več zavodov pa potrebuje tako kakovost storitev, ki jo je mogoče zagotoviti le preko para optičnih vlaken. V redkih primerih je to možno zakupiti pri Telekomu Slovenije, včasih jo zgradijo in dajo v zakup kabelski operaterji, največkrat doslej pa so zavodi sami položili optični kabel znotraj kraja do svoje lokacije. Pri trenutnih cenah zakupa optičnih vlaken se taka investicija povrne v par letih. Organizacijam svetujemo, da za traso uporabijo obstoječo kanalizacijsko infrastrukturo, saj je tako strošek investicije nekajkrat nižji (okoli 4000 €/km) kot v primeru novogradnje podzemnih kabelskih kanalov. Ker je življenjska doba kabla več kot 30 let, je to dolgoročno najcenejša rešitev. Model povezovanja organizacij v takšno visoko zmogljivo krajevno omrežje z lastno optiko, ki je nastal v tesnem sodelovanju Arnesa, MŠŠ (program Ro) in zainteresiranih uporabnikov ter se potrdil z uspešnimi projekti izgradnje krajevnega optičnega omrežja v Sežani in Kopru (pred koncem je per-partes projekt v Celju, mestni optični otoki živijo tudi v Ljubljani in Mariboru) ter več lokalnih optičnih grozdov javnih zavodov, je postal zgled za izgradnjo podobnih omrežij, tako da je primerov podobnih združevanj v večjem ali manjšem obsegu vedno več. V letih 2004 in 2005 je bilo predvideno, da se bo zgradilo precej takih optičnih otokov s sredstvi strukturnih skladov. Žal to ni uspelo zaradi težav pri izvedbi razpisa, kar se je odrazilo tudi v manjšem številu investicij v že načrtovano lastno izgradnjo optike, saj mnogo zavodov še vedno upa na izvedbo povezav s sredstvi strukturnih skladov. 4 Paket storitev z neposrednim osebnim dostopom Večina uporabnikov dostopa do omrežja ARNES neposredno preko omrežja svoje matične organizacije. Arnes pa na svojih strežnikih nudi tudi storitve individualnim končnim uporabnikom, ki zahtevajo neposredno preverjanje istovetnosti uporabnika, ki to storitev uporablja. Tako npr. Arnes nudi posameznikom iz izobraževalne in raziskovalne sfere t. i. storitev neposrednega osebnega dostopa do omrežja - v resnici gre za paket storitev, vezanih na uporabniško ime in geslo, vključuje pa možnost individualnega dostopa do omrežja preko telefona ali omrežja kabelskih operaterjev, elektronski predal z možnostjo uporabe sistema AVS (zaščita proti virusom in neželeni oglasni pošti) in gostovanje spletne predstavitve na Arnesovem strežniku. Zaradi široke in zadovoljive ponudbe komercialnih ponudnikov dostopa do interneta je sam dostop do omrežja precej izgubil na pomenu. Mnogo uporabnikov tako samega individualnega dostopa ne potrebuje več, saj imajo njihove lokalne organizacije že stalno povezano lokalno omrežje ali pa se odločajo za hitreje dostopne tehnologije. Predvsem je opazen upad klicnega dostopa, ki se, kot je razvidno iz grafa, vsako leto praktično prepolovi. V letu 2007 se je umirila rast uporabnikov, ki dostopajo preko omrežij kabelskih operaterjev, tudi število kabelskih operaterjev, ki omogočajo povezovanje v omrežje ARNES, ne narašča več. Kljub zmanjševanju pomena storitve osebnega dostopa do omrežja si mnogo uporabnikov želi ostalih storitev, ki so na voljo v t. i. osebnem paketu - elektronski predal na Arnesu (tudi kadar imajo to storitev že na svoji matični organizaciji), virtualne domene in možnosti spletne predstavitve na Arnesovem strežniku. Slednja je posebej zanimiva tudi za predstavitev projektov ali manjših zavodov, ki nimajo lastnega strežnika oziroma primernega kadra za postavitev in vzdrževanje strežnika, saj tako lahko postavijo spletne strani pod svojo domeno. Zato precej »individualnih« paketov v resnici uporabljajo npr. mentorji šolskih spletnih projektov. Prednost tovrstnega paketa je, da lahko npr. učitelj uporablja svoje geslo, e-poštni naslov in dostop do spletnega mesta bodisi v šoli ali pa od doma, kjer izvaja priprave na pouk. Nasploh ima ta storitev še vedno precejšen pomen v izobraževalnih okoljih: po eni strani omogoča učiteljem - mentorjem na šolah boljši nadzor in vpliv na delo učencev v omrežju, hkrati pa olajša skupno uporabo storitev, ki jih Arnes v sodelovanju z Ministrstvom za šolstvo in šport ponuja šolam - predvsem podporo pri izvajanju šolskih projektov in komunikacijo med interesnimi skupinami v šolski sferi. Za osebni klicni dostop (preko omrežja Telekoma Slovenije) je sedaj skupno aktivnih 840 vstopnih linij, ki jih uporablja dobrih 8000 Število uporabnikov, ki so uporabljali klicni dostop v letu 2007 Število aktivnih uporabnikov kabelskega dostopa v letu 2007 16.000 14.000 12.000 10.000 8.000 6.000 4.000 2.000 0 <>N »N o0 cV J? uporabnikov. Kapacitete za klicni dostop do omrežja se zaradi padanja potreb že nekaj let krčijo - v letu 2007 je Arnes zmanjšal število vstopnih linij za 1380. Poleg tega dobrih 12.000 upravičencev za dostop do omrežja ARNES uporablja omrežje kabelskih operaterjev. Trenutno lahko uporabniki do omrežja ARNES dostopajo preko naslednjih kabelskih operaterjev: Triera d. o. o. (kamor spadajo naslednji kabelski sistemi: CATV Celje - Elektro Turnšek d. o. o. - območja Celje in Slovenj Gradec, CATV Cirkovce, CATV Dravsko polje, CATV KKS Lenart, CATV KKS Rotovž, CATV KKS Selnica-Ruše, CATV KKS Slivnica, CATV KKS Tabor, CATV KKS Tezno, CATV Malečnik, CATV Poljčane, CATV Ptuj - Ingel d. o. o. , CATV Šentilj, CATV sistem EKDS, CATV sistem Ormož, CATV sistemi Spodnja Dravska dolina - pokriva območja Starše, Gerečja vas, Miklavž, CATV sistemi Zgornja Dravska dolina - pokriva območja Muta, Vuzenica, Radlje, CATV Slovenska Bistrica, Kabel TV, KKS Pragersko, TV Ekran) KTV Dravograd, KKS Pobrežje Maribor d. o. o. , UPC Telemach d. o. o. , ki pokriva območja Ljubljane, Domžal in Škofje Loke, Grosuplja, Trbovlja in Novega mesta. Priključne točke omrežja kabelskih operaterjev v omrežje ARNES so v Mariboru (Prešernova 17), Ljubljani (Jamova 39) in v Dravogradu. Nabor kabelskih operaterjev, ki omogočajo tak dostop, ostaja v letu 2007 enak kot leto poprej, kar kaže na to, da se tudi na tem področju rast omrežja umirja. Slika 2: Zakupljena medkrajevna optična vlakna v letu 2007 Murska Sobota Piran O Načrtovana priključitev na optično hrbtenico 5 Hrbtenica omrežja ARNES in pohitritve medkrajevnih vodov Omrežje ARNES ima vozlišča v 22 večjih slovenskih krajih. Povezave med temi vozlišči so realizirane z zakupom telekomunikacijskih kapacitet pri Telekomu, Stelkomu in Slovenskih železnicah ter s postavitvijo primerne opreme. Ta del omrežja se imenuje hrbtenica omrežja ARNES. Je multiprotokolarna. Na omrežnem nivoju podpira IPv4, vsa novejša oprema pa tudi IPv6. Na vozlišča hrbtenice se vežejo posamezne izobraževalne in raziskovalne organizacije. Za zagotovitev mednarodne povezljivosti je omrežje ARNES povezano v evropsko omrežje GÉANT2 in preko njega do drugih kontinentov. Zaradi posebnih potreb raziskovalnega okolja in zaradi sprememb v tehnologiji v zadnjih letih večina izobraževalnih in raziskovalnih omrežij po Evropi zakupuje optična vlakna in sama postavlja ustrezne prenosne sisteme. Tudi Arnes je v zadnjih letih sledil temu trendu. Do konca leta 2007 je zakupil pare optičnih vlaken na relacijah, prikazanih na sliki 2. Na osnovi tega zakupa so izvedene 1 Gb/s Ethernet povezave med glavnimi vozlišči po Sloveniji. In sicer do konca leta 2006 med Ljubljano in Koprom, med Koprom in Novo Gorico, Koprom in Ajdovščino, Ajdovščino in Novo Gorico, Novo Gorico in Kranjem, Kranjem in Ljubljano, Ljubljano in Novim mestom, Novim mestom in Krškim, Krškim in Mariborom, Ljubljano in Celjem, Celjem in Velenjem, Velenjem in Dravogradom, Dravogradom in Mariborom ter med Ljubljano in Mariborom (glej sliko Vzpostavljene gigabitne povezave). V letu 2007 so bili v optično hrbtenico povezani še naslednji kraji: • Trbovlje, kjer je bilo vzpostavljeno novo vozlišče na Gimnaziji in ekonomski srednji šoli Trbovlje. Vozlišče je bilo povezano z gigabitno povezavo na Ljubljano in Laško. • Tolmin - obstoječe vozlišče je bilo povezano z gigabitno povezavo na Novo Gorico in Bled. • Slovenska Bistrica, kjer je bilo vzpostavljeno novo vozlišče na Srednji šoli Slovenska Bistrica ter povezano z gigabitno povezavo na Laško in Maribor. Zaradi poznega sprejema plana za leto 2007, problemov pri vzpostavljanju optičnih povezav in zamud pri vzpostavljanju optičnih MAN-ov ter zaradi izpada sredstev strukturnih skladov še niso bile realizirane povezave do Jesenic, Slovenj Gradca, Ptuja, Murske Sobote, Kočevja, Pirana, Postojne in Slovenskih Konjic na optično hrbtenico. Čeprav je cena zakupa optičnih vlaken precej višja kot v drugih evropskih državah, je strošek za gigabitne Ethernet povezave, izvedene na tej osnovi, bistveno manjši, kot bi znašal zakup enakovredne pasovne širine pri telekomunikacijskih operaterjih. Slika 3 prikazuje gigabitne povezave, vzpostavljene na osnovi optičnih povezav s pomočjo CWDM-tehnologije. Med Ljubljano in Mariborom so uporabljene tri paralelne gigabitne povezave, povezane v navidezno povezavo prepustnosti 3 Gbit/s. V letu 2007 je bil dokončan razpis za vzpostavitev DWDM-omrežja na relacijah Ljubljana-Celje-Dravograd-Maribor, Ljubljana—Kočevje—Novo Mesto-Krško-Maribor, Ljubljana-Kranj-Nova Gorica-Koper ter Ljubljana-Divača-Koper. Omrežje je bilo uspešno vzpostavljeno konec decembra. Omrežje predstavlja kvalitativen preskok pri zagotavljanju prenosnih kapacitet - preko enega optičnega vlakna omogoča prenos do 16 dvosmernih desetgigabitnih povezav, kar je do 40-krat več kot s CWDM-tehnolo-gijo. Služilo bo za nadgradnjo hrbtenice na 10-gigabitne povezave ter za zagotavljanje namenskih večgigabitnih povezav za potrebe posameznih projektov. Povezave med ostalimi kraji so izvedene predvsem na osnovi zakupljenih ATM-po-vezav pri Telekomu Slovenije. Te povezujejo tudi še nekatere kraje, do katerih je že vzpostavljena gigabitna povezava, zato so v postopku odpovedi. Vzrok za začasno vzporedno povezavo je ali potreba po zagotovitvi redundantne povezave ali pa selitev vozlišča znotraj kraja. Pred leti so bila vsa vozlišča v Telekomovih prostorih. V krajih, kjer je bil preko javnega razpisa za zakup medkrajevnih optičnih povezav izbran eden od alternativnih operaterjev, je bilo potrebno začeti s presta- Murska Sobota Slika 3: Vzpostavljene gigabitne povezave med glavnimi vozlišči v letu 2007 Relacija Stanje 31. 12. 2007 Maribor - Ravne na Koroškem 2 Mb/s Maribor - Murska Sobota 2 Mb/s Maribor - Ptuj 4 Mb/s Ljubljana - Koper 10 Mb/s Koper - Portorož 34 Mb/s Ljubljana - Postojna 2 Mb/s Tabela 4: Medkrajevne povezave, ki niso gigabitne vitvijo vozlišča, saj Telekom ne dovoli, da bi alternativni operaterji dostopali z optiko do najetih prostorov v njegovih stavbah. Taka selitev je pogosto dolgotrajna. V letu 2007 so bile zaključene naslednje aktivnosti na področju selitve vozlišč in zagotavljanju medkrajevnih povezav nižje prepustnosti: • zaradi uspešno zaključene migracije organizacij na vozlišče v prostorih Fakultete za organizacijske vede je bilo ukinjeno vozlišče v prostorih Telekoma v Kranju ter ATM-po-vezava 20 Mb/s med Kranjem in Ljubljano, • zaradi uspešno zaključene migracije organizacij na vozlišče v prostorih Fakultete za logistiko je bilo ukinjeno vozlišče v prostorih Telekoma v Krškem ter povezava 2 Mb/s med vozliščem in Novim mestom, • zaradi vključitve vozlišča v Tolminu v optično hrbtenico je bila ukinjena povezava 1 Mb/s med vozliščem in Novo Gorico, • zaradi vzpostavitve novega vozlišča v Trbovljah je bilo ukinjeno vozlišče v prostorih Telekoma ter povezava 2 Mb/s med vozliščem in Ljubljano • zaradi prehoda organizacij na DSL povezave je bilo ukinjeno vozlišče v prostorih Telekoma v Škofji Loki ter povezava 2 Mb/s med vozliščem in Kranjem. 6 Mednarodne povezave V letu 2006 je bilo zgrajeno hitro evropsko raziskovalno in izobraževalno omrežje GÉANT213, ki je nasledilo prejšnjo verzijo omrežja GÉANT. To omrežje je rezultat projekta GN2 v 6. okvirnem programu raziskovalnih in tehnološko-razvojnih aktivnosti Evropske komisije. Koordinator projekta GN2 je DANTE, v projektu sodelujejo vse evropske akademske mreže. Projekt sofinancira Evropska komisija. [ 15 / 48 ] 13/ http://www.geant2.net/ Omrežje GÉANT2 vzpostavlja visoke storitvene in kakovostne standarde v povezovanju izobraževalnih in raziskovalnih organizacij v Evropi. Gre za največje in najrazvitejše omrežje te vrste v svetu, ki svoj učinek gradi na okostju zelo zmogljivih povezav, realiziranih na zakupljenih optičnih vlaknih in upravljanju napredne komunikacijske opreme, kar skupaj omogoča širšo ponudbo nadstandardnih omrežnih storitev, kot je vzpostavljanje mehanizmov za zagotavljanje kakovosti storitev Preneseni podatki na mednarodni povezavi v TB v letu 2007 (QoS) in namenskih več gigabitnih end-to-end povezav za potrebe evropskih projektov. Dodatno vrednost projektu GN2 pa dajejo številne razvojne aktivnosti pri zagotavljanju nadstandardnih storitev. Arnes kot partner sodeluje tudi v tem delu projekta skupaj z drugimi evropskimi akademskimi omrežji, predvsem na področju zagotavljanja kakovosti omrežnih storitev ter nadzora nad delovanjem storitev. Junija 2007 je bilo vozlišče omrežja GÉANT2 v Ljubljani uspešno povezano preko zakupljene optične povezave in DWDM-opreme na Dunaj in Zagreb. S tem je bila omogočena nadgradnja mednarodne povezave omrežja ARNES iz 2.5 Gb/s na 10 Gb/s, dostopne pa so postale tudi namenske mednarodne večgigabitne povezave za posamezne projekte. Preko povezave v GÉANT2 je bilo omrežje ARNES povezano tudi z akademskimi omrežji na drugih kontinentih in s preostalim delom interneta. V letu 2007 je bila temu namenjena približno polovica kapacitet. 7 Izmenjava prometa s komercialnimi ponudniki interneta v Sloveniji Arnes je zaradi potreb po izmenjavi prometa med omrežjem ARNES in komercialnimi ponudniki interneta v Sloveniji februarja 1994 v Ljubljani vzpostavil SIX (Slovenian Internet Exchange). Skrb za delovanje te storitve je od takrat ena od rednih dejavnosti Arnesa. SIX je (porazdeljeno) vozlišče, zasnovano na tehnologiji Ethernet. Ponudnik interneta se na SIX priklopi tako, da prinese svoj usmerjevalnik prometa in ga na eni strani poveže na ethernet stikalo SIX-a, na drugi strani pa na ustrezno povezavo do svojega hrbteničnega omrežja. Tipična prepustnost teh povezav je 1 Gbit/s, večji ponudniki pa že prehajajo na povezave hitrosti 10Gb/s. Hrbtenica omrežja ARNES je na SIX povezana z dvema povezavama kapacitete 10 Gb/s. Podobno kot Arnes so tudi komercialni ponudniki interneta beležili hitro rast prometa preko SIX-a. Zato sta v 2007 še dva ponudnika povezavo nadgradila na več kot 1 Gb/s (poleg Arnesa so bili konec 2007 še trije s povezavo nad 1 Gb/s). Konec leta 2007 je dnevni promet preko SIX-a dosegel 88 Terabajtov. Dejstvo, da se vsi ponudniki interneta lahko srečajo na enem mestu v Sloveniji, ima kar nekaj prednosti: • za promet med slovenskimi uporabniki ni potrebno uporabljati dragih mednarodnih povezav, kar bistveno zmanjša strošek zagotavljanja interneta. Prav tako ni potrebno zakupiti medsebojnih povezav med vsakim parom ponudnikov. Vsak ponudnik mora zakupiti zgolj eno povezavo (oz. zaradi potrebe po redundanci morda dve), • dolžina povezave med uporabniki je manjša, zato je krajši tudi čas, potreben za prenos podatkov preko omrežja, kar je še posebej pomembno za multimedijske aplikacije, • povečana je tudi verjetnost uspešne komunikacije, ker so povezave, preko katerih poteka, precej krajše. Komercialni ponudniki interneta so z delovanjem storitve zadovoljni predvsem zaradi nevtralne vloge Arnesa pri njenem zagotavljanju. Trenutno je na SIX poleg Arnesa povezanih 14 ponudnikov interneta: Amis, Datacenter, Masicom, NETSI, Perftech, Sinfonika, SiOL, Softnet, Stelkom, T-2, Telemach, Triera, Tušmobil in Voljatel. Zaradi konsolidacije ponudnikov interneta v Sloveniji bistvenega povečanja števila članov SIX-a ne pričakujemo, verjetno pa se bodo kmalu pojavili prvi mednarodni ponudniki. V sklopu izvajanja te dejavnosti je Arnes vključen tudi v mednarodno združenje Euro-IX (European Internet Exchange Association). Arnes tudi sicer sodeluje pri skupnih aktivnostih vseh internetnih ponudnikov v Sloveniji, ki so usmerjeni k boljšemu delovanju omrežja, izboljšavi ponudbe storitev in varnosti v omrežju. Podobno kot v drugih državah deluje v Sloveniji nacionalno združenje slovenskih ponudnikov interneta - SISPA, ki je oblikovana kot sekcija ponudnikov Združenja za računalništvo in informatiko pri Gospodarski zbornici Slovenije. Arnes redno sodeluje pri aktivnostih tega združenja, Marko Bonač je tudi član Upravnega odbora SISPA. 8 Osnovne internetne storitve Količina prenesenih podatkov preko FTP-strežnika v letu 2007 (v MB) r^ KT jé Arnes svojim uporabnikom nudi vse osnovne internetne storitve. V nadaljevanju je podrobneje predstavljen obseg dela in obremenitev tistih Arnesovih strežnikov, ki na centraliziran način zagotavljajo nekatere najbolj uporabljene storitve. Podrobneje so predstavljene nove storitve, ki smo jih uvedli v letu 2007 - možnost šifrira-nega prenosa elektronske pošte in gostovanje dinamičnih spletnih strani in virtualnih strežnikov. 8.1 Arhivi podatkov na osrednjem strežniku FTP Število http zahtev v letu 2007 na spletni strežnik www.arnes.si Število različnih uporabnikov elektronske pošte v letu 2007 45.000 4t.ttt 35.000 30.000 25.000 20.000 15.000 10.000 5.000 0 # J> & <$■ & S à .à é <$• d ' «P" # ^ ^ ^ # ^ jjp ^ ^ -4" ^ ^ ^ ^ stitvi in testiranju videokonferenčne opreme kot tudi pri prvih pravih video konferencah. Število video konferenc se kljub velikemu zanimanju ne povečuje tako hitro, kot bi si želeli ali kot se organizacije opremljajo s sobnimi videokonferenčnimi sistemi preko javnih razpisov. Razlogi so tako organizacijski kot tudi: • premalo možnosti izobraževanja o video konferencah (predavanja, praktične delavnice, spletne strani), • prešibke omrežne povezave organizacij na internet/ARNES (le optične povezave ne zahtevajo nastavljanja QoS in s tem omogočajo gladek prenos videokonferenčnih vsebin preko internetnega omrežja), • neurejene prostorske razmere v organizacijah s sobno videokonferenčno opremo (videokonferenčna oprema ni ves čas enostavno dosegljiva, saj praviloma ni stalno nameščena na enem mestu), • neurejene kadrovske razmere na organizacijah z videokonferenčno opremo (težave, povezane s skrbnikom videokonferenčne opreme na organizaciji), • pomanjkanje organizirane skupnosti, ki bi vsebinsko povezovala organizacije z videokonferenčnimi sistemi in organizirala videokonferenčne dogodke (priprava vsebine). [ 25 / 48 ] 28/ITU-T H.264, h ttp://en.wikipedia.org/wiki/H.264 29/ QoS, Quality of Service, http://en.wikipedia.org/wiki/QoS 30/ACL, Access Control List, http://en.wikipedia.org/wiki/Access_control_list 31/GDS, Global Dialing Scheme, http://en.wikipedia.org/wiki/Global_Dia- ling_Scheme 32/H.323 Gatekeeper, http://en.wikipedia.org/wiki/H323_Gatekeeper 11.5 Spletne video konference Konec leta 2007 smo uspešno izvedli javni razpis za novo storitev »Spletne video konference« (webconferencing). Storitev bo nameščena in predana v polno uporabo v letu 2008. Spletne video konference niso združljive po standardih (H.323, SIP), so pa zato primerne predvsem za uporabnike, ki nimajo dovolj zmogljive videokonferenčne opreme (uporabljajo le spletno USB-kamero) in pri video konferenci želijo enostavno uporabo (brez potrebe po namestitvi dodatne programske opreme) s poudarkom na skupnem delu z dokumenti in manj na kakovosti zvoka in slike. Število organiziniranih H.323 videokonferenc (brez testiranj) v letih 2005, 2006 in 2007 na MCU 25 20 15 10 III 1 i^m r— ■ " li—r .11. 1 ll.l m m n m 1 1 i i i i i i i i i i i i i i i i i i i i i i LOLOLOLOLOLOLOLOLOLOLOLOCDCDCDCDCDCDCDCDCOCDCDCD OOOOOOOOOOOOOOOOOOOOOOOO § ä CD Q-> CD CO CO O 6 CD "O O o Č _Q CO CD o p č =5 O O O O ^ d) ci > CD CO CO o _d CD N. N. O O O Q_ C0 CO E ä S5 ' co 12 Povezovanje študentskih domov Vse fizične vzpostavitve računalniških omrežij v študentskih domovih so se zaključile v letu 2006. Lansko leto so Arnesovi sodelavci spremljali delovanje omrežij v študentskih domovih in nudili podporo pri vzdrževanju in nadgradnji omrežij. Za Študentske domove v Ljubljani smo na Arnesu vzpostavili logično infrastrukturo navideznih omrežij, ki bistveno lajša upravljanje omrežja. Študentski domovi v Ljubljani imajo več kot 8 tisoč 100 Mbit/s priključkov za bivajoče študente, vse stavbe pa so povezane z 1 Gbit/s. Omrežje študentskih domov sestavljajo tri naselja (kampusi) in šest dislociranih stavb. Na Arnesu smo za dislo- cirane stavbe razvili rešitev, ki z vzpostavitvijo logičnih navideznih omrežij (VLAN) omogoča integracijo v obstoječa naselja. Na Arnesu tudi redno izvajamo merjenja obremenitev posameznih povezav do študentskih domov. Na podlagi teh meritev smo ŠD v Ljubljani predlagali pohitritev povezave v omrežje ARNES na 10 Gbit/s. Pohitritev smo v sodelovanju s ŠD v LJ tudi izvedli. Na pobudo ŠD v Mariboru smo začeli s svetovanjem za vzpostavitev primernih AAI-rešitev za avtorizacijo uporabnikov na njihovem omrežju, ki temelji na standardu 802.1x. Podobno rešitev smo razvili v prejšnjih letih za potrebe ŠD v Ljubljani. 13 Vzpostavljanje slovenske AAI33 in omrežij eduroam Zagotavljanje mobilnosti in dostopa do infrastrukturnih in internetnih virov postaja nujen pogoj za omogočanje kakovostnega učenja, poučevanja in raziskovanja. Zato je postalo vzpostavljanje infrastrukture za preverjanje istovetnosti in dodeljevanje pravic uporabnikom (ang. AAI - Authentication and Authorisation Infrastructure) in podpora mobilnosti za uporabnike evropskih izobraževalnih in razisko- valnih omrežij ena prioritetnih nalog evropskih NREN-ov. Temu cilju sledi tudi Arnes, ki aktivno sodeluje v delovnih skupinah TF-MO-BILITY34, TF-EMC235 in JRA536. S sodelovanjem na evropski ravni in prizadevanjem za prenos tehnologije na domače organizacije je Arnes Slovenijo uspešno vključil med članice mednarodnega omrežja eduroam (Education Roaming). Slika 4: Razširjenost omrežij eduroam v letu 2007 ^CSjJllll eduroam.si 33/ Infrastruktura za ugotavljanje istovetnosti in podeljevanje pravic uporabnikom (ang. AAI, Authentication, authorization infrastructure). 34/ http://www.terena.org/activities/tf-mobility/ 35/ http://www.terena.org/activities/tf-emc2/ 36/ http://www.geant2.net/server/show/conMediaFile.4883 Brezžična omrežja eduroam37 so prva in najbolj razširjena storitev, ki uporablja mednarodno AA-infrastrukturo. Eduroam sestavljajo samostojna brezžična omrežja izobraževalnih in raziskovalnih organizacij, ki uporabljajo enoten sistem AAI. Dostop do storitve eduroam je omogočen na osnovi identitete, pridobljene na matični organizaciji (univerzi, srednji šoli, inštitutu). Uporabnik se z različno mobilno opremo (prenosnik, dlančnik ...) in svojim »domačim« uporabniškim imenom in geslom zlahka poveže v brezžično omrežje eduroam katerekoli organizacije, ki ima vzpostavljen sistem eduroam. Eduroam je mednarodna infrastruktura, ki je zasnovana na hierarhiji strežnikov RADIUS in uporablja varnostne tehnologije 802.11 i in 802.1 x. Pomembno je poudariti, da je pri omrežjih eduroam posebej poskrbljeno za zagotavljanje varnosti tako uporabnikov kot tudi organizacij, ki nudijo dostop do omrežja. Sistem gostovanja je mednaroden in so vanj poleg evropskih držav vključene nekatere azijske države in Avstralija, testno pa tudi ZDA. V letu 2007 je Arnes skupaj z MVZT-DID pripravil razpis38 za izgradnjo eduroam omrežij in vzpostavitve AAI-infrastrukture v dijaških domovih, ki redno namenjajo del svojih bivalnih zmogljivosti študentom slovenskih javnih univerz. Pri izvajanju razpisa je bil Arnes zadolžen za naslednje aktivnosti: • ugotavljanje stanja glede obstoječih brezžičnih omrežij, • priprava tehničnega dela razpisne dokumentacije, • zagotavljanje tehnične podpore pri vzpostavitvi omrežij, • zagotavljanje tehnične podpore pri vzpostavitvi AAI, • pregledi ustreznosti postavljenih brezžičnih omrežij v skladu s tehničnimi merili razpisa. V okviru razpisa so bili z brezžičnim omrežjem eduroam opremljeni trije dijaški domovi. V sodelovanju z MVZT-DID in Univerzo v Ljubljani, Univerzo v Mariboru in Univerzo na Primorskem je Arnes tudi letos nadaljeval vzpostavljanje omrežij eduroam. Na podlagi lanske uspešne vzpostavitve AAI ter ustrezne omrežne infrastrukture so na treh omenjenih univerzah v letu 2007 eduroam vzpostavili na vseh pedagoških članicah. To pomeni, da imajo dostop do brezžičnih omrežij eduroam vsi študentje omenjenih univerz. Pri tem projektu so Arnesovi sodelavci izvajali naslednja dela: • izvedba analize stanja na članicah univerz pred projektom, • priprava ustrezne tehnične dokumentacije, • zagotavljanje podpore računskim centrom univerz pri postavitvi omrežja, • zagotavljanje tehnične skladnosti postavljenih omrežij. V okviru teh aktivnosti je bilo na novo vzpostavljenih 20 novih lokacij. V letu 2007 je Arnes nadaljeval z razvojem rešitev in tehnično pomočjo organizacijam, ki želijo vzpostaviti omrežje eduroam. Poglobili smo sodelovanje z računskim centrom Univerze v Ljubljani, zanje smo razvili programsko opremo za dodatno varnostno šifriranja gesel v imenikih LDAP in s tem zagotovili mehanizme za zagotavljanje še večje varnostne ravni sistema eduroam. Z Laboratorijem za računalniške komunikacije Fakultete za računalništvo in informatiko smo postavili skupno testno omrežje za testiranje tehnologije IPv6 v brezžičnih omrežjih ter v omrežjih eduroam. Za srednje šole ter manjše organizacije smo razvili orodje za vnos podatkov o uporabnikih eduroam iz tabel Excel v imenik LDAP. Izpeljali smo tudi dve delavnici za izobraževanje izvajalcev in osebja IT v organizacijah, ki se zanimajo za omrežja eduroam. Na delavnici so se udeleženci najprej seznanili s teorijo in prakso pri uvajanju omrežij eduroam, nato pa so v laboratoriju postavili in preizkusili posamezne komponente omrežja eduroam tudi sami. Postavili smo tudi laboratorij s sistemom AAI Shibboleth za varno prijavo v spletne aplikacije, kadar sta imenik z uporabniki in spletna aplikacija na različnih organizacijah. Postavitev v laboratoriju se izvaja pred postavitvijo testne federacije AAI. Tudi v letu 2007 so vsa prizadevanja v okviru zastavljenih projektov, podpore vključenim organizacijam ter domačega in mednarodnega sodelovanja potekala v skladu z naslednjimi smernicami: • prenos novih tehnologij v izobraževalna in raziskovalna okolja ter s tem raziskovalcem, pedagoškim delavcem, študentom in drugim upravičencem zagotoviti večjo mobilnost ter omogočiti nove načine dela; • okrepiti sodelovanje z univerzami pri vzpostavljanju distribuiranega sistema AAI eduroam; 37/ http://www. eduroam.org/ 38/Javni razpis za sofinanciranje razvoja brezžičnih omrežij eduroam v univerzitetnih okoljih: http://www.mvzt.gov.si/si/javni_razpisi/?tx_t3javniraz-pis_pi1%5Bshow_single%5D=798 tehnično sodelovanje z izdelovalci opreme pri testiranju in razvoju varnostno ustreznih mehanizmov nove, dostopnejše opreme tako za brezžična kot žična omrežja; testiranje nove in dostopnejše opreme za omrežja eduroam; testiranje novih, uporabnikom zanimivih naprav (dlančniki in telefoni z Wi-Fi) za povezovanje v eduroam; testiranje odjemalcev za eduroam v okolju Windows Vista, Windows Mobile 5.0, Windows Mobile 6.0, Nokia - Symbian ter Sony Ericsson; vzpostavitev omrežij po standardu 802.11 b/g na način, da bodo vzpostavljena omrežja v prihodnje omogočila prehod na nastajajoče standarde 802.11e (zagotavljanje kakovosti storitev) in 802.11 n (hitrejša in bolj odporna omrežja). Hkrati pa moramo obdržati združljivost s starejšimi odjemalci; vzpostavitev omrežja eduroam po enakih standardih in v skladu z izsledki in priporočili TEREN-ine delovne skupine TF-MOBI-LITY, TF-EMC2 ter delovne skupine JRA5 evropskega raziskovalnega in izobraževalnega omrežja GÉANT2. Glavni namen je uporabnikom omogočiti mobilnost in preprost dostop do omrežnih in informacijskih virov tudi na mednarodni ravni ter prenos znanja iz evropskega v slovensko raziskovalno-izobraževalno okolje; širjenje, nadzor in vzdrževanje enotne infrastrukture za ugotavljanje in preverjanje istovetnosti ter avtorizacijo uporabnikov tako v okvirih sedanjega sistema eduroam kot tudi izgradnje temeljev za novejše, prihajajoče sisteme, ki bodo omogočali ne samo mobilnost in gostovanje uporabnikov, temveč tudi dostop do tiskalnikov, omrežnih diskov, varovanih vsebin na spletnih strežnikih, računalniških virov v okviru omrežij paralelnih porazdeljenih sistemov (GRID) ...; razvoj vseh tehnoloških rešitev na odpr-tokodni programski opremi in to znanje prenesti v izobraževalne in raziskovalne organizacije; krepitev sodelovanja med Arnesom, univerzami, posameznimi višje- in visokošolskimi zavodi, nekaterimi srednjimi, osnovnimi šolami, dijaškimi in študentskimi domovi, knjižnicami ter inštituti. Število prijav v omrežje eduroam v letu 2006 in 2007 60.000 50.000 40.000 30.000 20.000 10.000 0 ______Hill i ÜT C =f CT) CL => H, > & ^ -v V ,oy A> A> ■ o' cT -Q fc" -=r d { 3 -3, > (D o o cd cü ® ® 9- sf 3 -2, : ---— C Cu ^--L m rr\ w f— TT--1 m— C CD V—--1 t • > O C _Q s E •= pC ^ D! ati > o -i _=d -> m -i n m 60.000 50.000 40.000 30.000 20.000 10.000 0 16.2 Sodelovanje z registrarj Arnes z registrarji dobro sodeluje. Komunikacija z registrarji poteka vsakodnevno tako preko elektronske pošte kakor po telefonu, predvsem pa preko portala za registrarje, kjer se redno objavljajo obvestila, novice in zanimivosti, namenjene registrarjem. Registrarjem Arnes po potrebi pomaga z nasveti glede DNS-strežnikov. 16.3 Arnes v vlogi registrarja Arnes v skladu s Splošnimi pogoji za registracijo domen pod .si nastopa v vlogi registrarja za upravičence/nosilce, ki so uporabniki omrežja Arnes. Organizacije, ki so v skladu s kriteriji, ki jih je sprejela vlada RS, upravičene do storitev omrežja ARNES, lahko neposredno pri Arnesu brezplačno registrirajo oz. podaljšajo registracijo do dveh domen pod vrhnjo domeno .si, za kateri jim Arnes nudi tudi postavitev DNS-strežnika. Arnes je bil konec leta 2007 registrar za 1000 domen pod .si. 16.4 Administracija domen pod edus.s Arnes na podlagi dogovora z Ministrstvom za šolstvo in šport, ki je nosilec domene edus. si, v bazo vnaša tudi vse registrirane domene pod domeno edus.si, za katero vzdržuje tudi .1 II ■ rt .■1 rt WWW1 primarni DNS-strežnik. Konec leta 2007 je bilo pod edus.si registriranih 930 domen. 16.5 Sodelovanje z nosilci in javnostjo Ker je registracija domen ena redkih storitev, ki je namenjena vsem in ne le zaprtemu krogu Arnesovih uporabnikov, je to področje pogosto zanimivo tudi za medije. Ne glede na to, da registracija domen poteka izključno preko registrarjev, Arnes vsakodnevno prejme nekaj vprašanj nosilcev oz. potencialnih nosilcev, na katere redno odgovarja po telefonu ali elektronski pošti. Postopoma je nastal obsežen seznam pogosto zastavljenih vprašanj in odgovorov, ki je objavljen na spletnih straneh in se sproti dopolnjuje. 16.6 Reševanje domenskih sporov Arnes nastopa tudi v vlogi administratorja v postopku alternativnega reševanja domenskih sporov. Med naloge administratorja sodi preverjanje ustreznosti prejetih vlog in nato posredovanje teh vlog vpletenim strankam ter razsodnikom. Da bi vpleteni lahko sledili postopku ARDS, je Arnes na spletnih straneh pripravil shematski prikaz postopka ter skupek pogostih vprašanj in odgovorov, povezanih s postopkom ARDS, pogosto pa vpletenim tudi pomaga z nasveti. Ena od največjih prednosti postopka ARDS je, da se dejansko večina sporov, povezanih z domenami, razreši oziroma poravna, še preden sam postopek uradno steče, saj se vpletene stranke pogosto ob pomoči Arnesa same dogovorijo za najboljšo rešitev, kar vsem vpletenim prihrani čas in denar. Postopek ARDS deluje dobro, saj Arnes doslej ni bil obveščen, da bi se katerikoli spor po zaključku postopka ARDS zaradi nezadovoljstva katere od vpletenih strank nadaljeval na sodišču. 16.7 Statistični podatk Dne 31. 12. 2006 je bilo 112 aktivnih registrarjev. Skoraj vsi so izpolnili pogoj, da v enem letu registrirajo oz. podaljšajo registracijo 100 domen, in so tako uspešno podaljšali pogodbe. V letu 2007 le 6 registrarjev ni izpolnilo tega pogoja. Ti so svoje portfelje domen prenesli na druge registrarje, tako da nosilci domen niso občutili nobenih posledic zaradi prekinitve pogodbe. Enako velja za 3 registrarje, ki so se sami odločili prekiniti pogodbo. V letu 2007 je 10 potencialnih registrarjev dobilo uporabniška imena na testnem strežniku za registracijo, k podpisu pogodb pa je pristopilo 8 novih registrarjev. Skupno število registrarjev konec leta 2007 je bilo 111. Podobno kot v drugih evropskih državah opažamo, da je med registrarji le nekaj velikih, velika večina pa upravlja med 100 do 200 domen. Tako največjih 5 registrarjev upravlja kar 40 % vseh registriranih domen pod .si, največjih 10 registrarjev pa približno 50 % vseh domen. V letu 2007 so bili sproženi le trije domenski spori po postopku ARDS. V dveh primerih so razsodniki, ki jih je imenoval predsednik razsodišča ARDS, prof. dr. Krešo Puharič, izdali odločitve v korist pritožnika, en spor pa je še v postopku. Seznam odločitev in tudi same odločitve so javno objavljene na http://www. arnes.si/domene/ARDS/odlocitve_ards.html. V letu 2007 so dejavnosti, vezane na registracijo domen, opravljali manj kot štirje zaposleni. Poleg naštetih rednih dejavnosti je precej časa zahtevalo tudi načrtovanje in nakup potrebne opreme v skladu z Zakonom o javnih naročilih ter dopolnjevanje informacijskega sistema za registracijo domen. 16.8 Mednarodno sodelovanje Na področju registracije domen Arnes aktivno sodeluje v združenju evropskih registrov nacionalnih vrhnjih domen CENTR in je eden od ustanovnih članov te organizacije. Vodja registra Barbara Povše je bila 2 leti članica upravnega odbora CENTR-a. Arnes aktivno sodeluje na sestankih CENTR-a s predstavitvami, nadvse koristna pa je izmenjava mnenj z ostalimi registri. Od leta 2004 je Barbara Povše tudi svetovalka predstavnika Slovenije v GAC (Governmental Advisory Committee). Za predstavnika je bil imenovan Davor Šoštarič (MVZT). V letu 2007 je sodelovala na srečanju GAC v Lizboni. Skupno število registriranih domen v letu 2007 60.000 50.000 40.000 30.000 20.000 10.000 0 jr.*? jr # ^ -r «T jr jr jr JT A registrar 1 registrar 2 registrar 3 registrar 4 registrar 5 registrar 6 registrar 7 registrar 8 registrar 9 registrar 10 ostali Arnes je sodeloval pri projektu vzpostavitve registra za domeno .eu. Projekt je bil izbran s strani Evropske komisije in po njenih navodilih se je ustanovila neprofitna organizacija EURid v Bruslju s podružnicami v Stockholmu, Pragi in Pisi, ki opravlja vlogo registra. Direktor Ar-nesa Marko Bonač je član upravnega odbora EURid in njegove podružnice v Pragi. Arnes je v letu 2007 vzdrževal sekundarni DNS-strežnik za vrhnji domeni .EU in .MK. v VP X- ■o- cF Odstotek registriranih domen po posameznih) registrarjih v ietu 2007 13,2 49,8 1,7 1,7 2 1,7 17 Slovenski center za posredovanje pri internetnih incidentih (SI-CERT) Arnes v sklopu svojih storitev od leta 1995 naprej upravlja center za posredovanje pri varnostnih incidentih v slovenskih omrežjih, SI-CERT. Namen tega varnostnega centra je koordinacija razreševanja varnostnih incidentov in svetovanje uporabnikom pri varni uporabi, zaščiti sistemov in odpravi posledic vdora ali zlorabe računalniškega sistema. prijava incidenta faza - sprejem zavrnitev prijave triaža začetna ocena in klasifikacija faza - obravnava pomoč in sodelovanje s prijaviteljem obravnava incidenta neodvisno zbiranje podatkov faza - zaključek odprtje nove preiskave, sodelovanje s partnerji ukrepi na omrežju končna klasifikacija incidenta i zaprtje incidenta 17.1 Obravnava incidentov Obdelani primeri 2007 SI-CERT sprejema prijave incidentov po elektronski pošti in telefonsko. Prijavitelji lahko vsebino šifrirajo z javnim PGP-ključem oddelka SI-CERT. Telefonske prijave sprejemajo zaposleni na oddelku SI-CERT, izven delovnega časa pa je organizirano dežurstvo in možnost predaje sporočila na telefonski tajnici. Shema na levi kaže poenostavljen pogled na obravnavo incidentov. Postopek obravnave lahko razdelimo na tri faze - sprejem, obravnavo in zaključek. V drugi fazi SI-CERT nudi pomoč prijavitelju s strokovnimi nasveti in sodeluje z njim pri ugotavljanju časovnega poteka incidenta in tehnoloških metod, ki so bile uporabljene s strani napadalca. Pogosto je potrebno sprožiti dodatne preiskave z morebitnimi zunanjimi partnerji (drugi CERT centri, domači ali tuji internet operaterji, ponudniki storitev, organi pregona ipd.). Podatki, ki so pomembni za obravnavo se lahko zbirajo neodvisno in se jih kasneje priključi incidentu. SI-CERT lahko z namenom izogiba posledicam posameznega incidenta v nekaterih primerih zahteva (ali pa predlaga) začasne ukrepe na omrežjih. Ob oceni, da gre za incident večje razsežnosti ali pomembnosti za uporabnike slovenskih omrežij, SI-CERT objavi obvestilo z opisom problema in možnimi rešitvami. SI-CERT je v letu 2007 prejel 1 798 prijav, ki so se nanašale na 488 incidentov. Pri obravnavi teh je bilo sproženih 412 preiskav, v 41 primerih pa je bilo nujno izvesti blokado prometa zaradi omejevanja škode. Zgornji graf kaže mesečno število obravnavanih prijav, preiskav in samih incidentov. Terminologija je povzeta iz orodja za obravnavo varnostnih incidentov RTIR (Request Tracker for Incident Response, http://www. bestpractical.com/), odprtokodnem orodju, prilagojenem za delo CERT-varnostnih centrov.40 Od leta 2005 naprej lahko opazimo upad števila obdelanih incidentov, pri čemer pa trend pri samih prijavah ni enak. Naslednji graf kaže število incidentov in samih prijav za zadnja tri leta. V letu 2007 opazimo upad števila incidentov, čeprav se je samo število prijav povečalo. To lahko pomeni le, da se incidenti prijave preiskave blokade Prijave in incidenti 3.000 2.500 2.000 1.500 1.000 500 2005 2006 incidenti 2007 prijave več neodvisnih prijav tiče istega incidenta. Ta kazalnik lahko smatramo tudi za enega od kazalnikov kompleksnosti samih incidentov. Enak trend upadanja števila incidentov pri povečani zahtevnosti obravnave incidentov opažajo tudi drugi evropski varnostni centri. Razbitje obravnavanih primerov po tipu incidenta še vedno kaže, da je najpogostejši obravnavani tip incidenta napad s poplavo podatkov (ang. DOS - Denial of Serivice ali DDOS - Distributed Denial of Service)41, vendar pa ne izstopa tako izrazito kot prejšnja leta. Pri pregledovanjih gre večinoma za poskus nepooblaščenega dostopa do tujega sistema z ugibanjem gesla. To je avtomatizirano in se [ 43 / 48 ] 40/glej razdelek o mednarodnem sodelovanju in TF-CSIRTdelovni skupini kasneje 41/ v slovenskem jeziku se za DOS napade uporabljajo tudi drugi izrazi, ker pa gre v veliki večini primerov dejansko za poplavljanje žrtve, v tem dokumentu uporabljamo temu ustrezen izraz izvaja preko prilagojenih slovarjev (t. i. »dictionary attack«). Pregledovanje je največkrat ciljano na protokol SSH (Secure Shell), sledita pa mu Remote Desktop in VNC, ki omogočata delo na oddaljenih sistemih MS Windows. Pri phishing42 napadih beležimo izrazit porast v primerjavi s prejšnjimi leti. Pričakujemo, da bo tega tipa vdora oz. goljufije vedno več, saj ima zelo jasen cilj: neposredno denarno korist za napadalca. 17.2 Domače sodelovanje Na domačem področju je SI-CERT sodeloval v Sispini skupini za informacijsko varnost in tako izmenjeval izkušnje z drugimi slovenskimi ponudniki, prav tako pa je med redne dejavnosti spadalo sodelovanje s policijo pri pregonu kaznivih dejanj s področja računalniške kriminalitete. 17.3 Mednarodno sodelovanje samodejni klici kršitev pravic intelektualne lastnine odkrit botnet sodna odredba / zahtevek policije interno zlonamerna koda kršitev dopustne uporabe spam phishing vdor v sistem poizvedba / vprašanje pregledovanje napad s poplavo podatkov SI-CERT je aktiven član Terenine delovne skupine evropskih centrov za posredovanje pri internetnih incidentih, TF-CSIRT in svetovnega združenja FIRST (Forum of Incident Response and Security Teams). TF-CSIRT združuje vse evropske varnostne centre tako iz raziskovalno-izobraževalne sfere kot tudi iz komercialne in vladne. Delovna skupina je med drugim vzpostavila formalno sodelovanje s sestrsko skupino azijsko-pacifiške regije (APCERT). Znotraj te skupine deluje tudi skupina za specifikacijo razvoja RTIR-orodja. Vodja SI-CERT Gorazd Božič je v letu 2007 predsedoval skupini TF-CSIRT in je nadaljeval delo v Upravnem odboru evropske agencije ENISA (European Networking and Information Security Agency). 20 40 100 120 140 160 Napad s poplavo podatkov Phishing Primerjava napadov s poplavo podatkov in phishing napadov v zadnjih treh letih: 2005 2006 2007 2005 2006 2007 42/kraja gesel in drugih identifikacijskih podatkov, ki storilcu omogočajo protipravno premoženjsko korist (npr. kraja gesel za e-bančne storitve). Več na: http://www.arnes.si/si-cert/obvestila/2004-06.html Pregled aktivnosti Arnesa v letu 2007 Izdal in založil: Arnes Uredila: Domen Božeglav in Tomi Dolenc Lektorirala: Tjaša Žorž Oblikovala: Bojan Senjur in Marko Jelovšek Tisk: DOSA d. n. o. Naklada: 600 izvodov Iii E/