Tedy rozhodnutím Rady sdružení ze dne 4.11.2009 byly provedeny tyto úpravy. Začneme těmi jednoduchými. Všechny úpravy se týkají bodu g). Změny jsou vyznačeny tučně.

Každý je povinnen pracovat na Síti pod svým uživatelským jménem a nastavením počítače (a ostatních zařízení) tak, jak mu bylo přiděleno v okamžiku vstupu do Sdružení (IP adresa, identifikace počítače, parametry wifi připojení, atd.). Toto nastavení je možno v průběhu doby změnit, i bez souhlasu uživatele. Člen sdružení na to bude vždy s předstihem upozorněn e-mailem.

 Tu jenom bylo upřesněno, že každý člen nedostává pouze údaje pro nastavení svého počítače, ale i pro své další krabičky. Tedy především se to týká wi-fi klientů. Je to upřesněno proto, neboť se občas vyskytnou uživatelé, kteří si to sami mění bez konzultace s námi. A pak se většinou diví, že jim to buď funguje špatně, nebo dokonce vůbec. A co je nejhorší - jsou schopni velice omezit ostatní uživatele stejného přístupového bodu (to se týká především parametru RTS Treshold). Zjednodušení, pro nás jako administrátory, přináší pouze 5GHz wifi připojení, kde není povoleno nic jiného, než operační systém (v "krabičce") Mikrotik. A díky tomu jsou některé parametry laděny vzdáleně, automaticky. A prvotní nastavení je provedeno vždy bez vyjímky někým znalým (který to má ještě zjednodušeno existencí automatického generování nastavovacího scriptu).

A teď ta problematičtější část, nový odstavec bodu:

Povinností každého uživatele je poskytnout přístupové údaje ke každému zařízení přímo připojeného k síti sdružení (wifi zařízení, routery, apod., netýká se operačních systémů osobních počítačů). Tyto údaje budou uloženy v administračním systému sdružení a použity pro kontrolu nastavení těchto zařízení. Nemožnost kontroly zařízení administrátorem může být postihnuta odpojením takového zařízení od sítě. V případě domácích wifi přístupových bodů mohou administrátoři vyžadovat přístup i na tyto zařízení.

 Ono to trochu souvisí s předchozím vysvětlováním. Je totiž vcelku nutné mít tyto krabičky zabezpečené proti neoprávněným změnám. Již se vyskytly případy, kdy nějaký vtipálek několik ovislinků změnil. Jenže zároveň nám to znemožňuje jejich kontroly v případě hledání problémů na síti. Nejzářnější případ je asi opět to RTS. Pokud se na wifi vyskytne jeden jediný takový uživatel, který to má nastaveno špatně, je schopen poměrně hodně malým uploadem dat od sebe (cca 200kbit) naprosto znemožnit komunikaci ostatním. A neexistuje možnost, jak to ověřit jinak, než kouknutím se do nastavení všech zařízení, co jsou připojené na postižený přístupový bod.

Tedy je novou povinností všech členů nahlásit přístupové jméno a heslo. Pokud je nový člen připojen "autorizovaným" připojovatelem, je toto heslo většinou známé. Problém jsou spíše samopřipojovatelé nebo výměny zařízení např. při jejich poruše. Zneužití se bát nikdo asi nemusí, k těmto údajům mají přístup pouze administrátoři sítě. Oznámení ale nedělejte veřejným způsobem, pošlete to někomu z Rady sdružení jabberem, nebo emailem (nejlépe na univerzální adresu rada(krucánek)khnet.info, případně administrátorům na guru(krucánek)khnet.info).

Samozřejmě nechceme hesla k vašim počítačům, k ničemu kde máte svá data a zároveň to nemůže ovlivnit chod sítě. To je čistě pískoviště uživatele a my s tím nechceme mít nic společného.

Zmínka o domácích wifi přístupových bodech je tam opět naschvál kvůli kontrole. Nemůžeme si dovolit pustit na síť absolutně volné přístupové body. Takové apčko bez zapnutého šifrování (případně se slabým typem) umožní v podstatě komukoliv připojení klidně v okruhu stovek metrů (když se útočník bude snažit). A nejde jenom o to, že bude zbytečně vytěžována síť sdružení (a datový limit uživatele), ale i o kriminální činnost - stačí aby to útočník využíval pro sdílení souborů - pak neexistuje důkaz, že to nebyla činnost majitele zařízení. Naopak - všechny důkazy budou směřovat na něj. A jak to dopadá všichni známe - zabavení počítače, soud, vysoké pokuty, teoreticky i vězení.

Nebo jiný problém - špatně zvolený vysílací kanál (frekvence) takového domácího wifi. Pak buď zaruší vysílací bod sdružení a sám se diví (a většinou si na nás stěžuje), že mu to funguje špatně. Nebo to má v domě tak příhodně umístěno, že sice sebe nezaruší (přijímač a vysílač se navzájem "neslyší"), ale může rušit souseda - a to tak, že mu komunikaci znemožní úplně. Taková zařízení se hledají opravdu špatně, neboť mohou fungovat jenom část dne a v klidovém stavu nemusí překážet. Začnou až když je přes ně nějaký provoz. A z přístupových bodů sdružení nemusí být zjistitelné, jednoduše proto, že "nedosvítí" tak daleko. Kromě toho každé takovéto hledání znamená dočasné odpojení všech uživatelů od přístupového bodu.

Dalším problémem bývá zapnutý DHCP server na uživatelských krabičkách. Pokud takové zařízení poskytuje DHCP na všechny strany - tedy nejenom danému uživateli, ale i do zbytku sítě, stává se, že jiný uživatel si "lízne" IP adresu která není jeho. Jsou to většinou případy třeba firemních notebooků, které mají DHCP zapnuté naschvál pro firemní síť. A pro připojení doma mají nastavenou "alternativní konfiguraci". Jenže ta vstoupí v platnost pouze v případě, kdy počítač nenalezne DHCP server. A pokud nalezne, nemusí tedy fungovat buď vůbec, nebo bude používat IP adresy jiného uživatele. A my jako administrátoři mu budeme nadávat, že nedodržuje řády a nemá správně nastavený počítač. Toto se týká i uživatelů na panelnetech (tedy připojených kabelem), ne všechny naše switche totiž umí nepovolené DHCP blokovat.

A opět zmíním připojení uživatelů v pásmu 5GHz. Naprostá většina uvedených problémů je vyřešena takříkajíc sama od sebe. V tomto pásmu nedovolíme připojení komukoliv a hlavně čímkoliv. Vyžadujeme mikrotik a nutnost nastavení některým s adminů. Uživatel nevlastní ani zápisové heslo do systému, na žádost mu poskytneme pouze pro čtení, není tedy schopen nic změnit bez našeho vědomí. Zároveň nám to umožňuje jednu důležitou věc - dálkový dohled těchto zařízení a především možnost automatické změny některých parametrů. Např. je na těchto zařízeních zakázáno šíření DHCP do zbytku sítě, jsou tam některé omezení proti zahlcení přístupových bodů (rychlost uploadu, kontrola počtu spojení jednotlivých počítačů). Samozřejmě, pokud nás takový člen bude chtít opustit, je schopen kdokoliv z adminů mu heslo na požádání změnit.

Tato automatika nastavování 5GHz zařízení je také jeden z důvodů, proč není vhodné tyto zařízení vypínat. Může se stát, že vyvstane potřeba změnit nějaký parametr, který znemožní připojení neodpovídajících zařízení. Tedy je nutné nejdříve změnit všechny uživatele a až poté centrální přístupový bod. Druhý důvod je ten, že jsou v naprosté většině případů umístěny mimo budovu, vystavené větru, dešti, teplu i zimě. A elektronice nedělají dobře velké teplotní rázy, např. zapnutí při teplotách okolo nuly a níže.

Pojednání ukončím vcelku oblíbeným odstavcem: uvědomte si, že jste členové občanského sdružení, nikoliv zákazníci. Sami byste měli mít zájem na správné funkčnosti sítě, je totiž i vaše.

Rozdíl v datumech (4.11. a dneškem) byl způsoben nedostatkem mého volné času a dřív jsem to nestihl ...