Řešení procesu integrace školní sítě při slučování více škol

Mendelova zemědělská a lesnická univerzita v Brně Institut celoživotního vzdělávání

Řešení procesu integrace školní sítě při slučování více škol Závěrečná práce

RNDr.Ing. Milan Šorm, Ph.D.

Ing. Stanislav Petermann

vedoucí závěrečné práce

řešitel závěrečné práce Brno 2007

Dovoluji si touto cestou poděkovat vedoucí práce RNDr. Ing. Milanu Šormovi, Ph.D. za cenné připomínky, náměty a rady při tvorbě mé závěrečné práce.

Prohlašuji, že jsem tuto závěrečnou práci vypracoval samostatně s použitím literatury, kterou uvádím v seznamu.

V Brně dne 9. srpna 2007

.................................................

Abstract Petermann, S. Solution for the process of integration of the school network at linking more schools. Final work. Brno, 2007 The work is dealing with suggestion of integration of computer networks for separated school workplaces. It describes current state of information technologies, designates requirements of integration and proposes new possible ways of solution.

Abstrakt Petermann, S. Řešení procesu integrace školní sítě při slučování více škol. Závěrečná práce. Brno, 2007 Práce se zabývá návrhem integrace počítačových sítí oddělených pracovišť školy. Popisuje stávající stav informačních technologií, určuje cílové požadavky integrace a navrhuje možné způsoby řešení.

7

Obsah 1 Úvod a cíl práce

9

1.1 Úvod..................................................................................................................................9 1.2 Cíl Práce..........................................................................................................................14 2. Přehled literatury

15

3 Stávající stav informačních technologií na školách před slučováním

16

3.1 Stav po sloučení tří školských subjektů ..........................................................................16 3.2 Stávající stav informačních technologií..........................................................................16 3.2.1 Pracoviště v Brně .........................................................................................................16 3.2.2 Pracoviště v Rajhradě ..................................................................................................17 4 Metodika propojení pracovišť školy a rozbor použité technologie

19

4.1 Možnosti propojení pracovišť.........................................................................................19 4.1.1 VPN router ...................................................................................................................19 4.1.2 VPN šifrovací tunel .....................................................................................................19 4.2 Rozbor technologie propojení – VPN na síťové vrstvě, metodou tunelování ................20 4.2.1 Tvorba tunelu - GRE tunel...........................................................................................20 4.2.2 Asymetrické a symetrické šifrovací protokoly ............................................................22 4.2.3 Šifrování na síťové vrstvě............................................................................................28 5 Možnosti integrace softwarových řešení v sítích LAN školy

30

5.1 Řešení internetového připojení s vytvořením VPN tunelu a zabezpečení......................30 5.1.1 Firewall ........................................................................................................................30 5.1.2 Mailserver ....................................................................................................................30 5.2 Kerio WinRoute Firewall 6.3.0.......................................................................................31 5.2.1 Kerio VPN ...................................................................................................................33 5.2.2 Konfigurace VPN serveru............................................................................................34 5.2.3 Nastavení pro VPN klienty ..........................................................................................35 5.2.4 Propojení dvou privátních sítí přes internet (VPN tunel) ............................................35 5.3 Kerio MailServer 6.3.0 .................................................................................................37 6 Možnosti ochrany proti neoprávněnému útoku

39

6.1 Komplexní ochrana.........................................................................................................39 6.1.1 Ochrana hardwarových prostředků ..............................................................................39 6.1.2 Použitá šifrovací metoda..............................................................................................39 6.1.3 Nastavení komunikačních pravidel na firewallech ......................................................39 6.1.4 Nastavení vzdáleného přístupu ....................................................................................41 6.1.5 Automatický update operačního systému ....................................................................41 6.1.6 Kontrola přístupů .........................................................................................................42 6.1.7 Záložní napájení...........................................................................................................42 6.2 Možnosti ochrany KerioWinRouteFirewall 6.3.0...........................................................42 6.3 Podmínky a omezení antivirové kontroly .......................................................................43 6.3.1 Inspekční moduly.........................................................................................................43

8

6.4 Výběr antivirových programů ...................................................................................44 6.5 Antivirová kontrola protokolů HTTP a FTP...................................................................45 6.6 Antivirová kontrola e-mailu.......................................................................................46 6.7 Doplňkové bezpečnostní funkce .....................................................................................47 6.7.1 Detekce a blokování P2P sítí .......................................................................................47 6.7.2 Volby pro zvýšení bezpečnosti ....................................................................................47 6.7.3 Virtuální privátní sítě (VPN) pomocí protokolu IPSec ...............................................48 7 Realizované řešení, dostupné služby a rozpočet akce

49

7.1 Technologie realizovaného řešení ..................................................................................49 7.1.1 Kerio WinRoute Firewall 6.3.0 s McAfee antivirem...................................................49 7.1.2 Kerio MailServer 6.3.0 s McAfee antivirem ...............................................................50 7.1.3 Řešení zabezpečení softwarových záloh a hardwaru...................................................50 7.2 Dostupné služby..............................................................................................................51 7.3 Rozpočet akce .................................................................................................................51 7.3.1 Hardware......................................................................................................................52 7.3.2 Software .......................................................................................................................52 8 Průběh procesu, dosažení požadovaných parametrů a zkušenosti z realizace

55

8.1 Průběh procesu – etapy ...................................................................................................55 8.2 Dosažení požadovaných parametrů ................................................................................55 8.3 Zkušenosti z realizace .....................................................................................................57 9 Seznam literatury

58

9

1. Úvod a cíl práce 1.1

Úvod

Počátky – historie Pojem “Virtual Private Network” nebo “VPN” se začal používat už u přepínačů, kde umožňoval na jedné infrastruktuře (kabeláži) vytvořit několik vzájemně oddělených sítí. Dnešní využití těchto virtuálních sítí je odlišné od těchto původních představ, kdy se předpokládalo, že každé oddělení bude mít svou vlastní virtuální síť, v podstatě představují myšlenkového předchůdce virtuálních sítí, kde kabeláž je nahrazena veřejným poskytovatelem datových služeb. Stěžejním impulsem rozvoje VPN byl mohutný rozvoj internetu. Dokud byly firemní pobočky propojeny pevnými linkami nebo framerelay spoji od většinou státního telekomu (plně privátní síť), nikdo neměl potřebu chránit svoje data. Tato situace se však výrazně změnila, když vznikla nabídka levného propojení poboček (popř. připojení uživatele k centrále) přes internet. Podobný problém ve své podstatě představuje bezpečné připojení uživatelů na WWW server. Jsou zde uplatněny podobné techniky virtualizace s tím rozdílem, že zpravidla není dopředu jasné, kteří uživatelé se budou připojovat. Obecná definice privátní sítě VPN je privátní síť, kde privátnost je vytvořena nějakou metodou virtualizace. VPN může být vytvořena v mnoha variantách – mezi dvěma koncovými systémy, mezi dvěma organizacemi, mezi několika koncovými systémy v rámci jedné organizace nebo mezi vice organizacemi pomocí globální sítě internet. Může být vytvořena také přímo mezi aplikacemi a samozřejmě také libovolnou kombinací všech uvedených možností.

Důvody budování VPN Důvodů budování VPN je hned několik, společným jmenovatelem těchto důvodů je požadavek “virtualizace” jisté části komunikace v dané organizaci. Jinak řečeno, požadavek “skrýt” jistou část komunikace (někdy i celou) před “ostatním světem” a přitom využít společné komunikační infrastruktury. Další motivační činitel budování virtuálních privátních sítí leží v ekonomice. Současné komunikační systémy se vyznačují vysokými fixními náklady a relativně nízkými variabilními náklady v závislosti na přenosové kapacitě, popřípadě šířce použitého pásma. V takovémto ekonomickém prostředí je pak finančně výhodné spojit větší počet diskrétních komunikačních služeb do společné výkonné platformy

10

a “rozpustit” tak vysoké pevné náklady mezi velký počet klientů. V duchu této myšlenky je pak vybudování i provoz celé sady virtuálních sítí na společné fyzické komunikační základně levnější než vybudování a provoz fyzicky samostatných diskrétních sítí. Spojování jednotlivých komunikačních služeb do jedné společné a veřejné platformy má ale své limity, kterými jsou právě výše zmíněné požadavky na “privátnost” komunikace, požadavky na vzájemné “odstínění” komunikace mezi jednotlivými uživateli či skupinami uživatelů. Náročnost řešení tohoto vzájemného odstínění je pak úměrná výši požadavků na bezpečnost a integritu dat jednotlivých komunikujících klientů či skupin.

Typy VPN Virtuální privátní síť může být provedena hardwarově nebo softwarově.

Softwarové VPN Softwarově založené VPN pracují na způsobu použití tunelových protokolů. Tuto kategorii můžeme dále rozdělit na produkty třetích stran a VPN software, podporovaný operačními systémy. VPN software třetích stran většinou obsahují další užitečné vlastnosti, rozšiřující užitečnost VPN, obvykle poskytují více možností zabezpečení a někdy i snadnější implementaci. Softwarově založené VPN umožňují přenášet data založená na protokolu nebo IP adrese. Tento typ filtrování není často dostupný u hardwarově založených produktů. Výhodou VPN softwaru podporovaného operačními systémy je v jeho přijatelné ceně. Není nutné nic dalšího dokupovat, přičemž řešení VPN, obsažené například ve Windows XP, je pro mnoho organizací naprosto dostačující.

Hardwarové VPN Hardware pro VPN vyrábí spousta společností například 3Com, Shiva a VPNet Technologies. Podpora VPN je vestavěná v routerech Cisco, stejně jako i u jiných výrobců. Někteří výrobci firewallů nabízejí VPN, které jsou založené na firewallech a jsou zkombinované s bezpečnostními nástroji.

11

Privátní sítě a internet Internet a VPN Internet se svojí prakticky celosvětovou dostupností umožňuje snadnou výměnu dat mezi libovolnými propojenými uzly na světě. Výhodou je, že všechny připojené entity sdílejí společnou síťovou infrastrukturu, díky jednotnému adresovému schématu a směrovací hierarchii, na které je internet vybudován. Někdy však model všude přítomného internetu nemusí vyhovovat všem potenciálním požadavkům, zvláště pak požadavkům na bezpečnost privátních dat. Z mnoha důvodů nemusí být přijatelný pro organizace, které chtějí využít tuto veřejnou síť pro privátní propojení svých geograficky vzdálených poboček. K těmto důvodům se mohou řadit problémy se zajištěním QoS (quality of service), dostupnost a spolehlivost, použití veřejných adresových schémat a protokolů, bezpečnost a integrita dat (možnost odposlechu).

Plně privátní sítě Alternativou k internetu s všeobecným veřejným přístupem jako základní infrastruktuře pro vybudování VPN je zatím běžný model privátní počítačové sítě – uzavřené síťové prostředí, kde celá infrastruktura, adresové schéma, směrovací hierarchie a správa sítě je dedikovaná uzavřené skupině uživatelů. Model kopíruje vlastní strukturu organizace a fyzicky sestává z LAN v jednotlivých budovách pronajatých dedikovaných komunikačních okruhů od poskytovatelů spojových služeb (Frame Relay, ATM) pro propojení geograficky odlehlých lokalit. Nevýhodou jsou vysoké finanční náklady a investice na vytvoření a provoz síťové infrastruktury, investice do školení personálu, předpoklad nést plnou odpovědnost za provoz síťových služeb. Přínos takovéto finančně nákladné plně privátní sítě, nemusí být akceptovatelný pro male a střední firmy. Vzniká tak potřeba redukce ceny na vytvoření a provoz privátní sítě využitím sdílením přenosových služeb, zařízení a správy sítě.

Běžné VPN Příklad nejběžnějšího typu privátní sítě je znázorněn obrázkem 1. Síť A i síť B jsou vytvořeny propojením geograficky odlehlých jednotlivých entit (subsítí) páteřní sítí veřejného poskytovatele spojení nebo internetem. Obě sítě “nevědí” o své existenci. Motivací pro vybudování takovéto sítě je požadavek na zabezpečení přenášených dat na jedné straně a vysoké náklady na řešení pomocí dedikovaného privátního komunikačního systému. Běžné typy VPN nemusí znamenat jen propojení celých subsítí, je možné je dále rozdělit a redukovat až na základní spojení typu – uzel. Příkladem tohoto typu spojení je dial-up spojení uživatele se zabezpečenou aplikací, např. Online

12

bankovní službou, nebo zabezpečené kódované spojení mezi uživatelem a serverem při www obchodní transakci. Tento typ dynamických VPN typu uzel – uzel je dnes nejpoužívanější, vlivem masového rozvoje elektronického obchodování.

Obr. 1: Nejběžnější typ virtuální sítě

Typologie VPN Virtuálních privátních sítí existuje několik různých typů. Při budování sítě daného typu můžeme přistoupit k několika způsobům vybudování s ohledem na požadavky na funkci sítě. Který způsob zvolíme závisí na druhu problému, který má daná VPN řešit, požadavcích na míru bezpečnosti sítě, požadavcích na škálovatelnost řešení a náročnost na implementaci, správu a údržbu. Podle pohledu na funkčnost sítě v relaci s jednotlivými vrstvami protokolového zásobníku TCP/IP lze VPN rozdělit do několika typů, viz obrázek 2.

13

Obr. 2: Protokolový zásobník TCP/IP Typy virtuálních privátních sítí: VPN na síťové vrstvě •

VPN na spojové vrstvě,

•

VPN se šifrováním na spojové vrstvě,

•

VPN na transportní a aplikační vrstvě.

VPN na síťové vrstvě Síťová vrstva obsahuje informace, podle kterých probíhá směrování IP protokolu a práce se směrovacími informacemi je základem pro vytvoření VPN na síťové vrstvě. Metody na vybudování těchto sítí mohou být: •

filtrování směrovacích informací,

•

tunelování,

•

šifrování na síťové vrstvě.

VPN na spojové vrstvě Přenosový síťový systém je použit pro spojení na fyzické vrstvě, tato síť je funkční analogií konvenční privátní datové síti. Typy VPN na spojové vrstvě: •

VPN v sítích LANE,

•

VPN v sítích MPOA,

•

VPN v sítích MPLS.

14

VPN se šifrováním na spojové vrstvě Použití vlastního přenosového systému a síťové infrastruktury pro vytvoření virtuální privátní sítě patří mezi nejpřímější metody budování VPN, a umožňuje přitom budovat na tomto základě nezávislé VPN na vyšší přenosové vrstvě – diskrétní virtuální sítě na síťové vrstvě. VPN na síťové vrstvě můžeme považovat za blízkou funkční analogii konvenčních privátních datových sítí. VPN na transportní a aplikační vrstvě Tento typ sítí není zrovna příliš běžný, příkladem mohou být e-mailové systémy s kódovaným přenosem zpráv.

1.2 Cíl Práce Na Střední odborné škola zahradnické v Rajhradě působím jako učitel a současně jako koordinátor ICT. Moje práce je zaměřena na propojení jednotlivých sítí dvou pracovišť školy po sloučení. Základním cílem práce je řešení procesu integrace školní sítě při slučování více škol. Pro snadnější rozbor problematiky a metodiky řešení, jsem stanovil dílčí cíle: •

stávající stav informačních technologií na pracovištích školy,

•

možnosti a návrh metodiky propojení,

•

možnosti integrace softwarových řešení,

•

ochrana proti neoprávněnému útoku do nově vzniklé sítě,

•

realizované řešení a rozpočet realizace.

Dílčí cíle by měly objasnit problematiku integrace školní sítě a předložit finanční rozpočet na realizaci akce pro potřeby vedení školy.

15

2. Přehled literatury Značným zdrojem informací popisující a vysvětlující vše od principů sítí či protokolů přes kabeláž a síťová zařízení až po operační systémy, firewally a správu uživatelských účtů pro potřeby síťových profesionálů, popisuje Bigelow (2004). Ve své publikaci pokrývá témata od topologie sítí přes protokoly, operační systémy až po přehled síťového hardwaru. Práce je zaměřena hlavně na praktickou část a obsahuje návody k řešení obvyklých problémů při síťové administraci, zálohování a obnovu a bezpečnost. Moderně a odborně, proč a jak strategicky koncipovat a prakticky uvádět do života podporované informační systémy využívající současné informační technologie, popisuje Voříšek (1996). Publikace uceleně shrnuje světově uznávané názory a doporučení, jak v hospodářské sféře zavádět a ekonomicky využívat informační systémy využívající současné informační technologie. Přehled síťových architektur a jejich aplikací v prostředí informačních a řídících systémů, podává publikace Kállay – Peniak (1999). Publikace je určena pro široký okruh čtenářů, pro studenty středních a vysokých škol, pro správce a administrátory sítí. Podává chronologický přehled síťových architektur, velká pozornost je věnována lokálním a metropolitním počítačovým sítím podle standardů IEEE802 včetně nejnovějších vysokorychlostních technologií (10G Ethernet a pod.). Koncepční řešení zabezpečení a ostrahy jakéhokoli počítače či sítě založených na Linuxu popisuje Toxen (2003). Publikace poskytuje celkový pohled na bezpečnost, cesty možného útoku, bezpečnostní bariéry, přípravu hardwaru a záložních systémů, konfigurování systému, monitorování aktivit systému a hledání odchylek od normálu. Publikace dále řeší otázky získání ztracené kontroly nad systémem, zjištění rozsahu škod a jejich nápravu, vypátrání útočníka a jeho potrestání, zabezpečení Samby pro klienty Windows, falšování paketů, paketové bouře, útoky na síťové přepínače a tabulky cache protokolu ARP, zabezpečení sítí VPN a zavádění bezpečnostních zásad v organizaci.

16

3 Stávající stav informačních technologií na školách před slučováním 3.1 Stav po sloučení tří školských subjektů SOŠ zahradnická a SOU Rajhrad vznikla sloučením tří samostatných středních škol, Střední odborné školy zahradnické v Rajhradě, Středního odborného učiliště v Želešicích a Střední zahradnické školy v Brně. Sloučení proběhlo k 1.7.2005. V současnosti je škola jedním právním subjektem, který má ředitelství na pracovišti v Rajhradě a má dvě satelitní pracoviště v Brně a Želešicích. Během roku 2007 bude ukončena výuka na pracovišti v Želešicích a k 1.7.2007 opustí škola prostory tohoto pracoviště. Nová struktura školy bude realizována školou na pracovišti v Brně a školou s ředitelstvím v Rajhradě.

3.2 Stávající stav informačních technologií 3.2.1 Pracoviště v Brně Organizace budov Areál pracoviště v Brně je tvořen několika samostatnými budovami, kde jsou jak učebny tak kanceláře pedagogických pracovníků a administrativy. Jedná se o hlavní budovu (většina učeben a kanceláří), víceúčelovou budovu (odborné učebny, učebna výpočetní techniky a kanceláře) a budovu laboratoří (kanceláře, laboratoř chemie a biologie). Ve všech těchto místnostech je umístněna výpočetní technika. Stav datové sítě V hlavní budově je vybudovaná a plně funkční LAN na strukturované kabeláži. Ve víceúčelové budově je datová síť vybudovaná pouze z části a v budově laboratoří vůbec. Mezi víceúčelovou a hlavní budovou je vybudován optický propoj. Počty připojených počítačů do LAN v jednotlivých budovách jsou uvedeny v tabulce č. 1.

17

Budova

Počet PC v

Počet přípojných míst do

LAN

LAN

Počet PC

Hlavní

14

14

42

Víceúčelová

20

13

13

Laboratoří

7

0

0

Tabulka 1: Počty připojených PC do LAN na pracovišti v Brně Připojení k internetu Připojení k internetu je realizováno bezdrátovou technologií v pásmu 5,8 GHz, které zajišťuje propustnější a spolehlivější připojení k síti. Rychlost připojení je 2 048 / 2 048kbps se sdílením 1:10. Měsíční poplatek za používané služby činí 1 730Kč bez DPH. Připojení školy k internetové síti Wosa.cz zajišťuje firma H – Data, spol. s. r . o., Václavská 4, 603 00 Brno. Stav používaných informačních systémů Pracoviště v Brně používá v současné době program pro školní administrativu “BAKALÁŘI“ verze 12e. Tento produkt se skládá z několika modulů, které škola dle potřeby pořizuje. I když je tento produkt navržen jako síťová aplikace, škola jej v této podobě zatím nevyužívá.

3.2.2 Pracoviště v Rajhradě Organizace budov Areál školy a ředitelství v Rajhradě je členitý a tvoří jej několik samostatných budov. Budovy, ve kterých je využívána výpočetní technika jak žáky učiliště, studenty nástavbového studia, pedagogickými pracovníky a administrativou ředitelství, jsou hlavní budova školy a ředitelství, dvorní trakt (učebny teorie a odborného výcviku) a budova praktického vyučování (odborné učebny a kanceláře učitelů praktického vyučování).

18

Stav datové sítě V hlavní budově je z větší části vybudovaná datová síť na strukturované kabeláži. Jedná se o počítačovou učebnu, kanceláře administrativy ředitelství, kanceláře pedagogických pracovníků a část domova mládeže. Učebny dvorního traktu jsou plně vybaveny přípojnými místy a budova praktického vyučování rovněž. Přehled je uveden v tabulce č. 2.

Budova

Počet PC v

Počet přípojných míst do

LAN

LAN

Počet PC

Hlavní

29

23

36

Dvorní trakt

2

2

4

2

2

4

Praktické vyučování Tabulka 2: Počty připojených PC do LAN na ředitelství v Rajhradě Připojení k internetu Připojení k internetu je realizováno bezdrátovou technologií v pásmu 5,8 GHz. Rychlost připojení je 1 024 / 1024kbps se sdílením 1:10. Měsíční poplatek za používané služby činí 2 580Kč bez DPH. Připojení školy k internetové síti Wosa.cz zajišťuje firma H – Data, spol. s. r . o., Václavská 4, 603 00 Brno. Stav používaných informačních systémů Pracoviště v Rajhradě si v současnosti vede školní administrativu v programovém produktu “BAKALÁŘI“ verze 12e. V produktu pracuje s moduly: Evidence žáků, Tvorba úvazků, Rozvrh a suplování, Školní matrika, Maturity a Přijímací řízení. Tento produkt škola zatím nevyužívá jako síťovou verzi. Pro informovanost rodičů o studijních výsledcích, evidenci docházky, evidenci osobních údajů zaměstnanců školy a studentů, plánování práce apod., používá škola manažerský interaktivní systém “KATEDRA Škola OnLine“. V rámci intranetu pro potřeby pedagogických pracovníků, administrativy a ostatních zaměstnanců školy je do datové sítě připojen FTP server, který umožňuje jednoduchý, bezpečný a rychlý přístup k potřebným informacím, jako například vyhlášky, formuláře, přehledy seznamů, změny, plánované akce školy, vnitřní směrnice ředitele apod.

19

4 Metodika propojení pracovišť školy a rozbor použité technologie

4.1 Možnosti propojení pracovišť Při návrhu typu propojení jednotlivých LAN obou pracovišť školy se v současné době nabízejí dva tradiční způsoby a to: •

VPN router

•

VPN šifrovací tunel

4.1.1 VPN router Řešení VPN založené na routeru, jako hardwarové provedení, jsou vlastně routery se schopností šifrování. Poskytují nejlepší výkonnost sítě a celkem snadno se nastavují a používají, což je jedna z jejich výhod. Další výhodou je, že se obvykle jedná o stoprocentně vyzkoušené řešení od světových dodavatelů a takovéto zařízení potom nepotřebuje softwarovou údržbu, pouze sporadicky se provádí update firmware na vyšší verzi, např. z bezpečnostních důvodů. Pro stoprocentní zálohování je nutné mít další drahý hardwarový router v záloze, protože při poruše se nedá rychle (ztráta připojení řádově v hodinách) získat nový – nahradit, což je nevýhodou.Ceny těchto hardwarových routerů se pohybují od 1 000$ a více za kus. Další nevýhoda spočívá v cenách hardwarových routerů od nejznámějších výrobců (např. Cisco). Další nevýhodou je absence antivirové kontroly u některých typů routerů, obvykle je nutné ji řešit jiným způsobem. Pro vybudování propojení LAN jednotlivých pracovišť školy je tento způsob, hlavně z hlediska ceny a nutnosti mít někde záložní zařízení, nevýhodný a tedy nepoužitelný.

4.1.2 VPN šifrovací tunel Řešení VPN založené na aplikaci asymetrických a symetrických šifrovacích protokolů na standardní TCP/IP pakety. Výhodou je efektivní a nenákladný způsob vzdáleného přístupu, kterému v současnosti roste popularita se stále snadnější implementací od jednotlivých dodavatelů software. Výhodou je hlavně efektivní a transparentní propojení pracovišť bezpečným způsobem přes laciné transportní medium – internet. To znamená, že nemusíme

20

instalovat speciální kabel nebo speciálně vyhrazený kanál, jen pro naši potřebu. Proto je tento způsob řešení stále častěji používán a pro většinu aplikací z bezpečnostního hlediska plně postačuje. Další výhodou jsou poměrně nízké pořizovací náklady, oproti individuálnímu kabelu či kanálu. Propojení nedimenzujeme pro potřeby armády nebo jiné podobné uživatele, proto svými vlastnostmi, k těmto potřebám, plně postačuje. Nevýhoda spočívá v pečlivější a náročnější údržbě a diagnostice šifrovacího tunelu, než při hardwarovém routeru (údržba OS). Toto řešení má rovněž své výkonové meze, šifrování je náročné na výpočetní výkon. Takže hardwarové řešení se speciálním šifrovacím čipem bude mít vždy větší propustnost než softwarové kryptování. Tato vlastnost, se ale uplatní jen při extrémních nárocích na propustnost, pro potřeby školy to lze zanedbat (malé nároky na propustné pásmo). Záloha hardware při softwarovém řešení není nutná, konfigurační soubory jsou pečlivě zálohovány a v případě poruchy stačí použít jiný, alespoň trochu výkonově spolehlivý počítač, instalovat software a konfiguraci. Tímto získáme poměrně rychle náhradní řešení. Při softwarovém řešení se dá provozovat softwarový firewall s antivirovou kontrolou, VPN router a popř. poštovní server nebo FTP server na jednom počítači. Toto řešení může být z hlediska ceny a operativy pro školu velmi zajímavé. Tento způsob řešení propojení je pro organizaci akceptovatelný z důvodů finančních nákladů, univerzálnosti (lze široce konfigurovat), využití hardwaru a softwaru k více účelům, více než dostatečná propustnost, použití běžného hardwaru, který je k dispozici.

4.2 Rozbor technologie propojení – VPN na síťové vrstvě, metodou tunelování 4.2.1 Tvorba tunelu – GRE tunel U virtuální privátní sítě je spojovací tunel vytvořen skrze veřejnou síť internet, přičemž dva vzájemně komunikující počítače jsou připojeny k síti. Vytvořený tunel u propojení VPN je skutečně pouze logické připojení z bodu do bodu, umožňující autentizaci a šifrování dat z jednoho konce tunelu na druhý. Mechanismus tunelování můžeme považovat za překryvný (overlay) model VPN. U tohoto modelu mohou nastat vážnější problémy se škálovatelností. To je právě případ tunelování, obzvláště spojení typu bod – více bodů. Spojení typu bod – bod nejsou natolik problematické, vyjma případu, kdy jeden uzel má vybudovat více spojů typu bod – bod s více koncovými uzly. Jde jen o lineární problém škálovatelnosti, zatímco u tunelů typu bod – více bodů, speciálně těch, co využívají

21

vytváření přímých spojení škálovatelnosti podstatně vážnější.

mezi

koncovými

body,

je

problém

Nejběžněji používaným typem tunelování pro spojení mezi zdrojovým a cílovým směrovačem je GRE (Generic Routing Encapsulation).

Obr. 3: Schema GRE (Generic Routing Encapsulation) tunelu Tunely GRE jsou budovány směrovači páteřní sítě, které slouží jako vstupní a výstupní body do této páteřní sítě pro jednotlivé části VPN. Pakety, určené pro přenos tunelem jsou vybaveny zvláštní přídavnou hlavičkou (GRE header) a cílovou adresou odpovídající směrovači na konci tunelu. Toto zabalení (encapsulation) paketu je v cílovém bodu tunelu odstraněno a paket pak pokračuje ke svému cíli podle informací ve své původní IP hlavičce. GRE tunely jsou obecně typu bod-bod, tzn., že pro tunel existuje jen jedna zdrojová a obvykle jen jedna cílová adresa. Některé firemní implementace však umožňují konfiguraci bod - více bodů, tedy existenci více cílových adres. Základním konceptem při tvorbě VPN pomocí tunelování je tedy vytvoření sady tunelů přes společnou sdílenou síť (ať už privátní síť, veřejnou síť poskytovatele spojení nebo internet). Tato architektura má mnoho přitažlivých vlastností. Jedna z těchto výhodných vlastností se týká adresace. Všechny přístupové body do páteřní sítě, které jsou i koncovými body vytvořených tunelů, používají adresaci a směrování této společné sítě. Technika tunelování používá adresaci cílových bodů tunelů z tohoto adresového prostoru, zatímco pakety přenášené tímto tunelem používají adresy z adresového prostoru VPN. Výsledkem je tedy vzájemné "odstínění" obou

22

adresových prostorů, směrování v obou sítích jsou od sebe izolována, což je jeden ze základních principů použitého “overlay“ modelu. Praktická výhoda, kterou tento přístup nabízí, je nabíledni - můžeme použít v rámci VPN privátní adresový prostor a to dokonce vícenásobně v několika VPN, existujících na společné sdílené síti. Zde je významný rozdíl proti VPN s filtrováním směrovacích informací, kde není možné použít privátní adresy, celá VPN musí využívat přidělený jedinečný adresový prostor. Další významnou předností tunelování je schopnost přenosu tunelem v principu libovolného síťového protokolu. Použitý protokol v rámci dané VPN je tak přenášen přes sdílenou páteř beze změn a je tak v podstatě pro VPN simulována privátní dedikovaná síť se zachováním funkčnosti použitého protokolu i s jeho směrováním. Dochází zde tedy opět ke vzájemnému odstínění obou sítí (společné přenosové sítě a VPN) i z hlediska směrování. Mohlo by se tedy zdát, že tunelování je ideální metoda pro vytváření VPN. Avšak i zde existují jisté slabší stránky, týkající se zejména administrativní náročnosti a škálovatelnosti při větším počtu tunelů, kvality poskytovaných služeb a výkonnosti. Protože všechny GRE tunely musí být manuálně zkonfigurovány, existuje zde přímá úměra mezi jejich počtem a administrativní náročností při jejich vytváření a údržbě. Stejná úměra platí pro velikost sítě (a množství komunikace na ní) a potřebným výkonem na zpracování paketů v koncových bodech tunelů.

4.2.2 Asymetrické a symetrické šifrovací protokoly Elektronická komunikace a úschova dat v elektronické podobě patří mezi základní trendy dnešní doby. Vzhledem k tomu, že se jedná často o citlivá data, ať už se jedná o osobní údaje, firemní data apod., je potřeba zajistit jejich co nejlepší ochranu. Na tuto ochranu jsou kladeny tři nejdůležitější požadavky: •

důvěryhodnost informací - bezpečnostní systém musí zabezpečit, aby se k informacím nedostaly neautorizované subjekty,

•

integrita - systém musí zajistit, aby nedošlo k neautorizovaným modifikacím informací,

•

nezpochybnitelnost odpovědi - systém musí být schopen přesvědčit třetí nezávislou stranu o přímé odpovědnosti subjektu za odeslání, případně přijetí dané informace.

Pro dosažení požadované bezpečnosti existují dva základní způsoby, použít fyzickou nebo logickou ochranu, případně jejich kombinaci. Použití fyzického zabezpečení je však velmi náročné a hlavně ve většině případů nepoužitelné. Nelze si totiž představit fyzickou ostrahu linky byť jen několik stovek metrů dlouhé.Nabízí se tedy možnost logické ochrany dat, neboli šifrování. Princip logické ochrany dat vysvětluje následující schéma:

23

Obr. 4: Přenos dat šifrovaným kanálem Znamená to zašifrovat data na straně odesílatele odeslat je a na straně příjemce zase dešifrovat. Kvalita logické ochrany zprávy je dána šifrovací metodou symetrického a asymetrického šifrování, typem užitého algoritmu, jeho aplikací a délkou šifrovacího klíče. Symetrické šifrování Základním principem této metody je použití stejného šifrovacího klíče na zašifrování i odšifrování zprávy. Z toho vyplývá, že před vlastní komunikací je nejprve nutné předat druhé straně důvěryhodným způsobem šifrovací klíč a údaje o použitém algoritmu. Metoda využívá skutečnosti, že i při relativně malé délce klíče je i pro současnou techniku velmi časově náročné klíč uhádnout. Navíc s prodlužováním klíče tento čas exponenciálně roste. V současné době se nejvíce používají algoritmy DES, TRIPLEDES a IDEA. Hlavní výhodou této metody je rychlost. Nevýhodou je, že nelze splnit požadavek nezpochybnitelnosti odpovědi, protože nelze určit, kdo zprávu odeslal a kdo ji převzal.

24

Obr. 5: Schéma popisující symetrickou kryptografii Asymetrické šifrování Asymetrická kryptografie používá dvou klíčů - veřejného a privátního. Tyto klíče si uživatel vygeneruje pomocí určitého softwaru (např. SSL), každý uživatel má svůj privátní a veřejný klíč. Princip metody spočívá v tom, že privátní klíč si majitel pečlivě uschová (čipová karta apod.) a svůj veřejný klíč dá ostatním k dispozici. Odesílatel pomocí svého privátního klíče zprávu zašifruje a odešle. Pomocí veřejného klíče odesílatele mohou příjemci zprávy zprávu dešifrovat a tím také mají informaci o tom, kdo zprávu poslal. Protože veřejný klíč odesílatele je přístupný všem, zpráva je jím pouze podepsaná, nikoli zašifrovaná proti zneužití (důvěryhodná). Tímto způsobem je zajištěna podmínka integrace a nezpochybnitelnosti odpovědi.

25

Obr. 6: Schéma přenosu podepsané zprávy (autorizované) Pokud chceme zajistit bezpečnost přenášených dat z hlediska zneužití, zašifruje odesilatel zprávu pomocí veřejného klíče adresáta. Pouze adresát pak tuto zprávu dešifruje pomocí svého privátního klíče. Tím je zajištěn přenos zprávy zašifrované (důvěryhodné), ale nepodepsané.

Obr. 7: Schéma přenosu zprávy důvěryhodné, ale neautorizované

26

Kombinací obou výše uvedených případů asymetrického kryptování lze dosáhnout přenosu zprávy jak důvěryhodné tak i autorizované. Celý postup ukazuje následující schéma:

Obr. 8: Schéma přenosu zprávy důvěryhodné a autorizované Certifikační autorita Certifikační autorita je instituce, která se zabývá řešením distribuce a zprávy klíčů. Certifikační autorita vystupuje při vzájemné komunikaci dvou subjektů jako třetí nezávislý důvěryhodný subjekt, který prostřednictvím jím vydaného certifikátu jednoznačně svazuje identifikaci subjektu s jeho dvojicí klíčů, respektive s jeho digitálním podpisem. Certifikáty obsahují ve své nejjednodušší formě veřejný klíč, jméno a další údaje zajišťující nezaměnitelnost subjektů. Běžně používané certifikáty též obsahují datum počátku platnosti, datum ukončení platnosti, jméno certifikační autority, která certifikát vydala, sériové číslo a některé další informace.

27

Obr. 9: Certifikát Vydáním certifikátu je odstraněna nutnost důvěryhodné výměny klíčů mezi dvěma subjekty navzájem a jejich dohoda spočívá pouze v domluvě o společně uznávané Certifikační autoritě. Důležité je, že se utajovaná data na straně klienta redukují pouze na bezpečné uchovávání privátního klíče, protože ostatní je řešeno certifikáty. Velkou výhodou certifikační autority je umožnění důvěryhodné komunikace mezi subjekty, které se nikdy fyzicky nepotkaly ani neabsolvovaly složitou výměnu veřejných klíčů. Metody autentizace Základní rozdělení metod autentizace: •

znalost = uživatel se prokáže něčím, co by měl znát pouze on (heslo, šifrovací klíč apod.),

•

vlastnictví = uživatel musí vlastnit nějaký předmět - token (USB token, čipová karta apod.),

•

biometrika = autentizace na základě biometrických vlastností uživatele (geometrie ruky apod.).

K zajištění co největší bezpečnosti je vhodné použít kombinace výše uvedených metod - tzv. vícefaktorové autentizace: •

dvoufaktorová autentizace: vlastnictví + znalost, biometrika + znalost, vlastnictví + biometrika,

•

třífaktorová autentizace: znalost + vlastnictví + biometrika.

28

4.2.3 Šifrování na síťové vrstvě Šifrovací technologie jsou pro vytváření virtuálních sítí velice efektivní mohou být využity prakticky na libovolné vrstvě protokolového zásobníku. Nejpoužívanější architektura IPSec (IP Security) využívá síťovou vrstvu a představují v současnosti jedno z nejlepších a nejrozšířenějších řešení pro budování VPN. IPSec je založen na vytvoření šifrovaného tunelu mezi dvěma koncovými zařízeními, které mohou představovat např. směrovač, firewall nebo koncovou stanici. Tento standard definuje nejen samotné šifrování, ale i standardní metody pro výměnu a správu klíčů. Šifrované spojení zajišťuje následující vlastnosti: •

utajení (data jsou šifrována),

•

integritu (přijímací strana ověřuje, zda nedošlo během přenosu k manipulaci s daty),

•

ověření pravosti zdroje,

•

anti-replay (přijímací strana rozpozná a odmítne opakované zasílání paketu – jedná se o případnou obranu proti replay útokům).

Největší výhodou IPsec proti jiným šifrovacím systémům je především to, že byl navržen nezávislou organizací (IETF) a jedná se o snadno škálovatelné řešení. Zabezpečení komunikace tak není vázáno na konkrétní aplikaci, ale je přímo součástí síťové infrastruktury. Díky platformní nezávislosti je také dostupné pro různá řešení od směrovačů nebo firewallů až po klientské stanice nebo přístupové servery. Pro IPsec tunel jsou definovány dva přenosové módy. Z obrázků 10 a 11, je zřejmý rozdíl mezi oběma módy. Výhodou transportního módu jsou nižší nároky na přenosové pásmo. Tím, že jsou k dispozici informace o cílovém zařízení, lze rovněž během přenosu paketu sítí aplikovat některé nadstandardní mechanismy (např. QoS). V tunelovacím módu je celý IP datagram šifrován a je vytvořena nová hlavička. Tento mód zase umožňuje, že některá zařízení mohou fungovat jako IPsec proxy. Tato zařízení pak pošlou rozšifrovaný paket cílovému zařízení. Tímto způsobem lze používat IPsec bez nutnosti implementovat jej na všechna koncová zařízení. V současnosti je nejčastěji používán tunelovací mód.

Obr. 10: Transportní mód

29

Obr. 11: Tunelovací mód Před vytvořením šifrovaného tunelu je potřeba dohodnout parametry spojení: •

šifrovací algoritmus (DES, 3DES),

•

hašovací funkci (MD5, SHA),

•

metodu autentikace,

•

dobu životnosti.

Pro konfigurace koncových zařízení se používají dvě metody. Buď lze v obou koncových bodech použít předem definovaný klíč nebo lze využít pro sdílení klíčů certifikační autority. První metoda má výhodu v jednoduchosti konfigurace a přitom neklade žádné nároky na další infrastrukturu, druhá metoda umožňuje poměrně jednoduše vytvářet rozlehlé a komplikované virtuální sítě. Při definování IPsec tunelu se zároveň vytváří filtry, které určují jaká komunikace bude šifrována a jaká proběhne standardní cestou. Díky tomu, že IPsec je skrytý pro aplikace nad síťovou vrstvou, lze jej použít i v kombinaci s jiným VPN řešením, např. s L2TP nebo GRE tunelem.

30

5 Možnosti integrace softwarových řešení v sítích LAN školy 5.1 Řešení internetového připojení s vytvořením VPN tunelu a zabezpečení Pro řešení internetového připojení a propojení obou pracovišť školy, musíme vycházet ze současného stavu. Obě pracoviště jsou sice připojena k internetu bezdrátovou technologií, ale nemají žádný software pro vytvoření VPN. Pro vytvoření požadovaného spojení je potřeba vybavit obě pracoviště odpovídajícím hardwarem a nově zakoupeným softwarem pro vybudování VPN tunelu. V předchozím textu byly popsány možnosti řešení připojení a zvolen způsob realizace VPN tunelu, pomocí softwarového řešení. V následujícím textu je popsáno řešení pomocí softwarového firewallu. Další otázkou je řešení zabezpečení elektronické pošty.

5.1.1 Firewall Pro zabezpečení internetového připojení obou pracovišť školy v Rajhradu i v Brně, řešené softwarovým firewallem s integrovanou antivirovou ochranou, byl navržen software firmy Kerio. Navržený software je špičkovým produktem české firmy Kerio Technologies Inc. Součástí firewallu je špičkový antivir od firmy McAfee, který chrání síť za firewallem proti průniku nebezpečného kódu na počítače ve školní síti (viry, trojské koně, mallware, phishing apod). Firewall kontroluje veškerou nešifrovanou webovou, mailovou a FTP komunikaci, včetně webmailu. Přes firewall lze povolit autorizovaným uživatelům přístup do školní sítě, například pro práci se soubory na síti. Samozřejmostí je možnost vytvoření šifrovaného VPN tunelu přes internet a tím bezpečného propojení pracovišť v Rajhradu a v Brně. Tato navržená technologie je dobře ověřena v praxi několikaletým bezproblémovým provozem v několika soukromých firmách a školách.

5.1.2 Mailserver Poštovní server pro obě pracoviště lze řešit dvěma způsoby: •

komerčním mailserverem s možností kontroly nevyžádané pošty a webmailem,

•

open source mailserver (Linux) bez potlačení nevyžádané pošty.

31

Antivirová ochrana je zabezpečena firewallem za předpokladu, že se na serveru zakáže šifrované (SSL) SMTP připojení. Kerio MailServer 6.3.0 umožňuje filtrovat nevyžádanou poštu uživatelům. Díky využití sedmi různých metod a kontrolních nástrojů je množství nevyžádané pošty redukováno na minimum. Poštovní server je jeden společný pro obě pracoviště školy. Při volbě způsobu řešení mailserveru je nutné přihlédnout k výhodám jednotlivých řešení s ohledem na pořizovací náklady a paušální poplatky, které jsou uvedeny v tabulkách 3 a 4, ceny jsou uvedeny bez DPH. Komerční mailserver Kerio MailServer 6.3.0 EDU/GOV pro 90 uživatelů

37 490Kč

PC Celeron 2.4/512MB/2x200GB/Linux

19 900Kč

Instalace

4 000Kč

Roční předplatné počínaje 2. rokem

7 497Kč

Celkem

68 887Kč Tabulka 3: Náklady pro způsob komerčního mailserveru Open source mailserver

PC Celeron 2.4/512MB/2x200GB/Linux

19 900Kč

Instalace

6 500Kč

Celkem

26 400Kč Tabulka 4: Náklady pro způsob open source mailserveru

Z uvedených dvou způsobů řešení, i přes vyšší pořizovací náklady a paušální poplatky, je řešení pomocí Kerio MailServeru 6.3.0, pro potřeby školy plně vyhovující. Kerio MailServer 6.3.0 poskytuje komplexnější ochranu než řešení mailserveru postaveném na Linuxu a neopomenutelnou vlastností je potlačení nevyžádané pošty.

5.2 Kerio WinRoute Firewall 6.3.0 Kerio WinRoute Firewall 6.3.0 přináší nové standardy z hlediska užitečnosti, bezpečnosti a kontroly přístupu uživatelů. Chrání firemní sítě před

32

útoky zvenčí a před viry a brání uživatelům v přístupu na internetové stránky obsahující nevhodné materiály. Síťový firewall Kerio WinRoute Firewall 6.3.0 nabízí bohaté možnosti filtrovacích pravidel. Jsou snadno definovatelná a zajišťují důkladnou kontrolu veškeré odchozí i příchozí internetové komunikace. Pomáhají tak ke správnému uplatnění firemní bezpečnostní politiky. Pomocí Průvodce komunikačními pravidly lze firewall snadno a rychle nastavit. Kerio WinRoute Firewall 6.3.0 je podnikový firewall pro systémy Windows 2000/XP/2003, certifikovaný autoritou ICSA Labs. Se svým grafickým rozhraním, typickým pro Windows, zajišťuje jednoduchou správu sítě. K běžným funkcím patří integrace šifrovaného VPN serveru s aplikací Kerio VPN Client a zapojení antiviru, kontrolujícího všechny e-maily a soubory stahované z internetu. Kerio WinRoute Firewall 6.3.0 je určen především pro malé a středně velké společnosti. Vlastnosti: Pohodlné sdílení internetu Díky podpoře ADSL, kabelových modemů, ISDN, satelitů, vytáčených linek i bezdrátového připojení k internetu může být Kerio WinRoute Firewall 6.3.0 nasazen v sítích různých rozměrů a prakticky kdekoli na světě. Antivirová ochrana WinRoute Firewall 6.3.0 nabízí možnost antivirové kontroly veškeré příchozí odchozí komunikace pro protokoly HTTP a FTP. Kromě integrovaného antivirového sytému McAfee je možné vybrat ještě z několika dalších antivirových produktů. Filtrování obsahu V podnikové sféře a ve školství je často žádoucí zakázat přístup k webovým stránkám s nevhodným či kontraproduktivním obsahem. Firewall volitelně obsahuje aktualizovanou databázi s mnoha kategoriemi webových stránek. Filtrovat lze i stahování souborů určitých přípon či typů (např. mp3 nebo avi) Podpora VPN Pro případ propojení dvou sítí s využitím virtuální privátní sítě umožňuje Kerio WinRoute Firewall 6.3.0 použití celé řady řešení jiných výrobců díky podpoře protokolů IPSec NAT Traversal a PPTP.

33

Snadná správa a administrace sítě Administrační konzola může být nainstalována na vzdáleném počítači a Kerio WinRoute Firewall 6.3.0 lze spravovat přes bezpečný kanál odkudkoli z internetu. Integrace Active Directory Služba Active Directory, která byla poprvé představena v operačním systému Windows 2000 Server, umožňuje centrální správu a sdílení informací o uživatelích. Pomocí transparentní podpory služby Active Directory může Kerio WinRoute Firewall 6.3.0 ověřovat uživatele.

5.2.1 Kerio VPN Implementace VPN ve WinRoute je navržena tak, aby ji bylo možné provozovat společně s firewallem a překladem adres (i vícenásobným) na kterékoliv straně. Vytvoření zabezpečeného tunelu mezi sítěmi a nastavení serveru pro připojování vzdálených klientů je velmi snadné. Kerio VPN umožňuje vytvořit libovolný počet zabezpečených šifrovaných spojení typu “servertoserver“ (tj. tunelů do vzdálených privátních sítí). Tunel se vytváří mezi dvěma “WinRoute“ (typicky na internetových branách příslušných sítí). Jednotlivé servery (konce tunelů) se navzájem ověřují pomocí SSL certifikátů — tím je zajištěno, že tunel bude vytvořen pouze mezi důvěryhodnými servery. K VPN serveru ve “WinRoute“ se mohou připojovat také jednotlivé počítače (zabezpečené připojení typu clienttoserver). Identita klienta je ověřována jménem a heslem (přenáší se zabezpečeným spojením), čímž je vyloučeno připojení neoprávněného klienta do lokální sítě. Pro připojení vzdálených klientů je společně s “WinRoute“ dodávána aplikace “Kerio VPN Client“.. Koncepce “Kerio VPN“ předpokládá, že “WinRoute“ je nasazen na počítači, který je výchozí bránou do internetu. V opačném případě lze “Kerio VPN“ použít, ale konfigurace je komplikovanější. Výhody použití Kerio VPN: Ve srovnání s konkurenčními produkty pro bezpečné propojování sítí přes internet nabízí “Kerio VPN“ řadu výhod a doplňkových funkcí: •

Velmi snadná konfigurace (při vytváření tunelů a konfiguraci serverů pro připojení klientů je třeba zadat jen několik základních parametrů).

•

Pro vytvoření tunelu není třeba instalovat žádný další software (vzdálení klienti potřebují aplikaci “Kerio VPN Client“ — instalační archiv této aplikace má velikost cca 4 MB).

34 •

Nedochází k problémům při vytváření zabezpečených šifrovaných kanálů přes firewall.

Koncepce “Kerio VPN“ předpokládá, že na cestě mezi propojovanými sítěmi (resp. mezi vzdáleným klientem a lokální sítí) může být použit firewall nebo několik firewallů (případně firewallů s překladem adres — NAT). •

Pro VPN klienty není třeba vytvářet speciální uživatelské účty. Pro ověřování klientů se používají uživatelské účty ve “WinRoute“ (resp. přímo doménové účty při použití Active Directory).

•

Ve “WinRoute“ lze sledovat statistické informace o VPN tunelech a VPN klientech, podobně jako v případě fyzických rozhraní.

5.2.2 Konfigurace VPN serveru VPN server slouží pro připojování vzdálených konců VPN tunelů a vzdálených klientů pomocí aplikace “Kerio VPN Client“. Připojení k VPN serveru z internetu musí být povoleno komunikačními pravidly. Přiřazování IP adres Nastavení subsítě (tj. adresy sítě s příslušnou maskou), ze které budou přidělovány IP adresy VPN klientům a vzdáleným koncům VPN tunelů připojujícím se k tomuto serveru (všichni klienti budou připojeni do této subsítě). Ve výchozím nastavení (tzn. při prvním spuštění po instalaci) “WinRoute“ vybere vhodnou volnou subsíť pro VPN. Za normálních okolností není třeba automaticky nastavenou subsíť měnit. Po provedení první změny v nastavení VPN serveru je již vždy používána naposledy zadaná subsíť (automatická detekce se již znovu neprovádí). Subsíť pro VPN klienty nesmí kolidovat s žádnou lokální subsítí! WinRoute dokáže detekovat kolizi VPN subsítě s lokálními subsítěmi. Ke kolizi může dojít při změně konfigurace lokální sítě (změna IP adres, přidání nové subsítě apod.), případně při nastavení nevhodně zvolené subsítě VPN. Po každé změně konfigurace lokální sítě nebo VPN je doporučeno pečlivě zkontrolovat, zda není hlášena kolize IP adres! SSL certifikát Informace o aktuálním certifikátu VPN serveru. Tento certifikát slouží k ověření identity serveru při vytváření VPN tunelu. VPN server ve “WinRoute“ používá standardní SSL certifikát (podobně jako např. zabezpečené WWW rozhraní). Při definici VPN tunelu je třeba předat otisk certifikátu lokálního konce tunelu vzdálenému konci a naopak pro vzájemné ověření identity. Pro VPN server můžete vytvořit vlastní certifikát (podepsaný sám sebou) nebo importovat certifikát vydaný důvěryhodnou certifikační autoritou.

35

Vytvořený certifikát se uloží do podadresáře sslcert instalačního adresáře “WinRoute“ pod názvem vpn.crt a příslušný privátní klíč pod názvem vpn.key. Pokud již máte certifikát vystavený certifikační autoritou pro váš server (např. pro zabezpečené WWW rozhraní), můžete jej rovněž použít pro VPN server — není třeba žádat o vystavení nového certifikátu.

5.2.3 Nastavení pro VPN klienty Připojování vzdálených klientů do lokální sítě zabezpečeným šifrovaným kanálem je možné za následujících podmínek: •

Na vzdáleném počítači musí být nainstalována aplikace “Kerio VPN Client“.

•

Příslušný uživatel (jehož uživatelský účet bude použit pro ověření v aplikaci Kerio VPN Client) musí mít právo připojovat se k VPN serveru ve “WinRoute“.

•

Připojení k VPN serveru z internetu a komunikace mezi VPN klienty musí být povoleny komunikačními pravidly. Vzdálení VPN klienti připojující se k “WinRoute“ se započítávají do celkového počtu uživatelů při kontrole licence . Tuto skutečnost je třeba vzít v úvahu při rozhodování, jaká licence bude zakoupena (případně zakoupit k existující licenci upgrade na vyšší počet uživatelů).

Základní nastavení komunikačních pravidel pro VPN klienty •

První pravidlo povoluje komunikaci mezi firewallem, lokální sítí a VPN klienty.

•

Druhé pravidlo povoluje připojení k VPN serveru ve “WinRoute“ z internetu.

Služba “Kerio VPN“ je standardně definována pro protokoly TCP a UDP, port 4090. Pokud je VPN server spuštěn na jiném portu, pak je třeba upravit definici této služby. S takto nastavenými komunikačními pravidly mají všichni VPN klienti neomezený přístup do lokální sítě a naopak (ze všech počítačů v lokální síti lze komunikovat se všemi připojenými VPN klienty). Chceme-li přístup omezit, je třeba pro VPN klienty definovat samostatná pravidla.

5.2.4 Propojení dvou privátních sítí přes internet (VPN tunel) Pro vytvoření zabezpečeného šifrovaného tunelu mezi lokální a vzdálenou sítí přes internet (VPN tunel) musí být v obou sítích nainstalován “WinRoute“ (verze 6.0.0 nebo vyšší) včetně podpory VPN (v typické instalaci je podpora VPN obsažena). Každá instalace “WinRoute“ vyžaduje samostatnou licenci. Nastavení VPN serverů Nejprve je třeba na obou stranách (koncích tunelu) povolit a nastavit VPN server.

36

Definice tunelu na vzdálený server Na každé straně musí být definován VPN tunel na protější server. Každému VPN tunelu musí být přiřazeno jednoznačné jméno. Pod tímto jménem se tunel zobrazuje v tabulce rozhraní, v komunikačních pravidlech a ve statistikách rozhraní. Konfigurace: Nastavení režimu lokálního konce tunelu •

“Aktivní“ — tento konec tunelu bude sám navazovat spojení na vzdálený VPN server (po vytvoření tunelu, po povolení tunelu nebo po výpadku spojení). V položce “DNS jméno nebo IP adresa vzdáleného konce tunelu“ musí být uveden vzdálený VPN server. Používá-li VPN server jiný port než 4090, musí být za dvojtečkou uvedeno příslušné číslo portu (např. server.firma.cz:4100 nebo 65.35.55.20:9000). Aktivní režim může být použit, jestliže lze určit IP adresu nebo DNS jméno vzdáleného konce tunelu a vzdálený konec může akceptovat příchozí spojení (tzn. komunikace na vzdálené straně není blokována firewallem).

•

“Pasivní“ — tento konec tunelu bude pouze akceptovat příchozí spojení od vzdáleného (aktivního) konce tunelu. Pasivní režim má smysl pouze v případě, že lokální konec tunelu má pevnou IP adresu a může akceptovat příchozí spojení. Alespoň jeden konec každého VPN tunelu musí být nastaven do aktivního režimu (pasivní konec nemůže navazovat spojení).

Nastavení pro vzdálený konec tunelu Při vytváření VPN tunelu se ověřuje identita vzdáleného konce kontrolou otisku jeho SSL certifikátu. Nesouhlasí-li otisk certifikátu přijatého ze vzdáleného konce s otiskem uvedeným v nastavení tunelu, spojení bude odmítnuto. V sekci “Nastavení pro vzdálený konec tunelu“ je uveden otisk certifikátu lokálního konce tunelu a pod ním položka pro otisk certifikátu vzdáleného konce. Do této položky je třeba zadat otisk certifikátu VPN serveru na protější straně a naopak (při konfiguraci tunelu na protější straně musí být zadán otisk certifikátu tohoto VPN serveru). Je-li lokální konec tunelu nastaven do aktivního režimu, pak lze stisknutím tlačítka “Detekovat vzdálený certifikát“ načíst certifikát vzdáleného konce a jeho otisk nastavit do příslušné položky. Pasivní konec tunelu nemůže vzdálený certifikát detekovat. Tento způsob nastavení otisku certifikátu je však méně bezpečný — může dojít k podvržení certifikátu. Pokud bude v konfiguraci tunelu nastaven otisk podvrženého certifikátu, pak bude možné vytvořit tunel s útočníkem vydávajícím se za protější stranu. Naopak platný certifikát protější strany nebude akceptován.

37

Nastavení DNS Aby bylo možné přistupovat na počítače ve vzdálené síti (tzn. na protější straně tunelu) jejich DNS jmény, je třeba správně nastavit DNS na obou stranách tunelu. Jedním z možných řešení je přidat do DNS na každé straně tunelu záznamy o počítačích na protější straně. Tento přístup je však administrativně náročný a neflexibilní. Bude-li na obou stranách tunelu jako DNS server použit “DNS forwarder“ ve “WinRoute“, můžeme v pravidlech pro předávání DNS dotazů jednoduše nastavit předávání dotazů na jména v příslušné doméně “DNS forwarderu“ na protější straně tunelu. Podmínkou je použití jiné DNS domény (resp. subdomény) na každé straně tunelu. Pro správné předávání DNS dotazů vyslaných z počítače s “WinRoute“ (na kterékoliv straně VPN tunelu) je třeba, aby tyto dotazy také zpracovával “DNS forwarder“. Toho docílíme nastavením lokální IP adresy jako DNS serveru a zadáním původních DNS serverů do konfigurace “DNS forwarderu“ ve “WinRoute“. Nastavení směrování Záložka “Upřesnění“ umožňuje nastavit, zda a jakým způsobem budou do lokální směrovací tabulky přidávány cesty poskytnuté vzdáleným koncem VPN tunelu, a případně definovat vlastní cesty do vzdálených sítí. Navázání spojení Aktivní konec tunelu se snaží automaticky navázat spojení vždy, když detekuje, že tunel je odpojen (k prvnímu pokusu o navázání spojení dojde bezprostředně po definici tunelu. VPN tunel se udržuje navázaný (zasíláním speciálních paketů v pravidelném časovém intervalu), i pokud se nepřenášejí žádná data. Toto je ochrana proti ukončení spojení firewallem nebo jiným síťovým prvkem na cestě mezi koncovými body tunelu. Komunikační pravidla pro VPN tunel Po vytvoření VPN tunelu je třeba povolit komunikaci mezi lokální sítí a sítí připojenou tímto tunelem a povolit odchozí spojení pro službu “Kerio VPN“ z firewallu do Internetu. Jsou-li vytvořena základní komunikační pravidla pomocí průvodce, stačí přidat příslušný VPN tunel do pravidla “Lokální komunikace“ a do pravidla “Komunikace firewallu“ přidat službu “Kerio VPN“.

5.3 Kerio MailServer 6.3.0 Kerio MailServer 6.3.0 je prvním poštovním serverem, zaměřeným na malé a středně velké společnosti, který plně uspokojuje nároky firem, zejména v oblasti nástrojů pro týmovou spolupráci. Standardním modulem Kerio MailServeru 6.3.0 je rovněž Kerio Outlook Connector, který umožňuje propojení s aplikací Microsoft Outlook za účelem sdílení a synchronizace kalendářů, kontaktů a úkolů.

38

S cenou, začínající již na 1 145Kč za uživatelské konto, ve verzi s integrovaným antivirem McAfee, vyjde Kerio MailServer 6.3.0 na pouhý zlomek ceny ostatních groupwarových řešení určených pro menší a střední společnosti. Součástí Kerio MailServeru 6.3.0 je také nový Kerio WebMail, prostřednictvím kterého lze přistupovat k poště, kalendáři a kontaktům odkudkoli pomocí internetu. Kerio WebMail přitom nabízí stejné funkce a ovládání jako běžné, lokálně spravované poštovní aplikace. Jednotlivé položky se v něm dají jednoduše přesouvat myší a samozřejmostí je také například možnost nastavení automatické odpovědi v případě nepřítomnosti. Migraci z Microsoft Exchange 5.5, 2000 a 2003 usnadňuje migrační nástroj Kerio Exchange Migration Tools, který je standardní součástí Kerio MailServeru 6.3.0. Kerio Exchange Migration Tools umožňuje přesun všech uživatelských dat, zpráv, kalendářů a úkolů z Microsoft Exchange do Kerio MailServeru 6.3.0. Kerio MailServer 6.3.0 je však, narozdíl od MS Exchange, možné provozovat nejen na operačním systému Windows, ale rovněž také na platformách Linux a Mac OS X. Alternativní řešení podnikové komunikace se tak stává dostupnějším pro širší okruh firem a organizací.

39

6 Možnosti ochrany proti neoprávněnému útoku Jak již bylo dříve popsáno, naše škola k propojení obou svých pracovišť a vytvoření VPN tunelu, použije softwarový firewall s integrovanou antivirovou ochranou Kerio WinRoute Firewall 6.3.0. Z toho plyne, že z větší části možnosti ochrany proti neoprávněnému útoku budou plně závislé na možnostech a vlastnostech použitého software firmy Kerio Technologies Inc.. Tato část práce se zabývá možnostmi zabezpečení při použití zvoleného softwaru.

6.1 Komplexní ochrana Komplexní ochrana nově vzniklé integrované sítě proti neoprávněnému útoku se skládá z několika kritérií, které musí být zajištěny pro co možná nejvyšší stupeň zabezpečení.

6.1.1 Ochrana hardwarových prostředků Ochrana hardwarových prostředků proti neoprávněnému útoku je dána samotným umístněním těchto prostředků proti neoprávněnému přístupu. Nejlépe vyhovující jsou místnosti, které mají zabezpečený vstup proti neoprávněným osobám, např. mechanicky (bezpečnostní zámky na dveřích, mříže v oknech atd.), nebo elektronicky (a přístup do místnosti má pouze omezený počet osob).

6.1.2 Použitá šifrovací metoda Šifrovací metoda je dána VPN interním šifrovacím protokolem, se kterým Kerio WinRoute Firewall 6.3.0 pracuje.

6.1.3 Nastavení komunikačních pravidel na firewallech Vytvořená pravidla zajistí přístup z lokální sítě do internetu ke zvoleným službám, přístup z internetu k vybraným lokálním serverům a plnou ochranu lokální sítě (včetně počítače s WinRoute) proti neoprávněnému přístupu z internetu. Sadu komunikačních pravidel lze nastavovat podle potřeb, vždy platí jen aktuální a jediná sada. Komunikační pravidla: ICMP komunikace Pravidlo je přidáno vždy. Umožňuje “PING“ (tj. vyslání žádosti o odezvu) z počítače, kde je “WinRoute“ nainstalován. “PING“je velmi důležitý např. pro ověření

40

funkčnosti internetového připojení. Pravidlo “ICMP nepovoluje “PING“ z počítačů v lokální síti do internetu.

komunikace“

Komunikace modulu ISS OrangeWeb Filter Je-li použit modul “ISS OrangeWeb Filter“ (systém pro klasifikaci obsahu WWW stránek), pak toto pravidlo povoluje komunikaci s příslušnými databázemi. Bude-li tato komunikace blokována, nebude modul “ISS OrangeWeb Filter“ pracovat správně. NAT (Network Address Translation — technologie umožňující transparentní přístup z celé lokální sítě do internetu prostřednictvím jediné veřejné IP adresy) Pravidlo určuje, že ve všech paketech jdoucích z lokální sítě do internetu bude zdrojová (privátní) IP adresa nahrazována adresou rozhraní připojeného do internetu. Přístup bude povolen pouze k vybraným službám. Do tohoto pravidla je zahrnuto také rozhraní “DialIn“, tzn. všichni klienti služby RAS (telefonické připojení sít), připojující se na tento server budou mít povolen přístup do internetu pomocí technologie NAT. Lokální komunikace Pravidlo povoluje veškerou komunikaci počítačů v lokální síti s počítačem, na němž je “WinRoute“ nainstalován. Pokud bylo požadováno vytvoření pravidla pro “Kerio VPN“, pak pravidlo “Lokální komunikace“ obsahuje také speciální skupiny adres “Všechny VPN tunely“ a “Všichni VPN klienti“. Pravidlo tedy implicitně povoluje komunikaci mezi lokální sítí (firewallem), vzdálenými sítěmi připojenými přes VPN tunely a VPN klienty připojujícími se k VPN serveru ve “WinRoute“. Průvodce předpokládá, že počítač s “WinRoute“ logicky patří do lokální sítě a přístup k němu nijak neomezuje. Omezení přístupu na tento počítač lze provést úpravou pravidla nebo definicí nového. Je nutné si uvědomit, že nevýhodné omezení přístupu k počítači s “WinRoute“ může mít za následek zablokování vzdálené správy či nedostupnost služeb v internetu (veškerá komunikace do internetu prochází přes tento počítač). Komunikace firewallu Pravidlo povoluje přístup k vybraným službám z počítače, kde je “WinRoute“ nainstalován. Je obdobou pravidla NAT, ale s tím rozdílem, že se zde neprovádí překlad IP adres (tento počítač má přímý přístup do internetu). Služba FTP a Služba HTTP Tato dvě pravidla zpřístupňují (mapují) služby HTTP a HTTPS běžící na počítači s IP adresou 192.168.1.10. Tyto služby budou z internetu přístupné na IP adresách vnějšího rozhraní.

41

Služba Kerio VPN a Služba HTTPS Pravidlo “Služba Kerio VPN“ povoluje připojení k VPN serveru ve “WinRoute“ internetu (navázání řídícího spojení mezi VPN klientem a serverem, resp. vytvoření VPN tunelu). Pravidlo “Služba HTTPS“ povoluje připojení z internetu k rozhraní “Clientless SSLVPN“ (přístup ke sdíleným prostředkům v síti pomocí WWW prohlížeče). Každé z těchto pravidel je vytvořeno pouze v případě, pokud bylo komunikačními pravidly požadováno povolení přístupu k příslušné službě. Implicitní pravidlo Pravidlo zakazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikačních pravidel a nelze jej odstranit. Implicitní pravidlo umožňuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paketů nebo spojení.

6.1.4 Nastavení vzdáleného přístupu Pro lokální i vzdálený přístup ke správě serverových aplikací je “Kerio WinRoute Firewall“ a “Kerio MailServer “vybaven aplikací “Kerio Administration Console“ (dále jen Administration Console). Umožňuje jednorázové připojení k serveru se šifrovanou komunikací proti zneužití přenášených dat. Chceme-li provádět lokální i vzdálenou správu serverových aplikací z jiného počítače, musíme na tento počítač nainstalovat “Administration Console“ (samostatný instalační balík, pro příslušný produkt, přípony instalačních souborů .bkwf pro Kerio WinRoute Firewall a .bkms pro Kerio MailServer). Při instalaci “Kerio WinRoute Firewall“ nebo “Kerio MailServer“, je “Administration Console“ součástí instalace. Přihlašovací informace pro jednotlivé servery (tzv. záložky) se ukládají do uživatelského profilu (každý uživatel má vlastní sadu záložek a každá je uložena v samostatném souboru adresáře). Nastavení “Administration Console“ se provádí při přihlášení k požadovanému serveru. Využijeme možnosti “Nové připojení“ nebo vybereme jednu z nabízených možností. Po přihlášení nastavíme, popř. změníme, vlastnosti připojení včetně povolení přístupu pouze z určitých IP adres nebo PC (pouze správce) a definice dostatečně dlouhých hesel (komplikovaných hesel).

6.1.5 Automatický update operačního systému Pro pravidelnou aktualizaci operačních systémů na serverech, nastavit automatické aktualizace v nočních hodinách s restartem. Pravidelně aktualizovat software na vyšší verze. Pravidelná úhrada předplatného!

42

6.1.6 Kontrola přístupů Provádět logování všech přístupů z vnějšího prostředí. Pravidelně denně, provádět kontrolu těchto logů. Pravidelná obměna hesel uživ. (admin heslo), minimum uživatelů s administrátorským přístupovým právem.

6.1.7 Záložní napájení Instalace záložního napájení u každého PC (serveru), pravidelná kontrola stavu UPS u každého PC a popř. jednou za rok provést výměnu akumulátoru v UPS.

6.2 Možnosti ochrany KerioWinRouteFirewall 6.3.0 Antivirová kontrola “WinRoute“ umožňuje kontrolovat antivirovým programem objekty (soubory) přenášené protokoly HTTP, FTP, SMTP a POP3. V případě protokolů HTTP a FTP může správce “WinRoute“ specifikovat, které objekty (resp. typy objektů) mají být kontrolovány. “WinRoute“ je dodáván s integrovaným antivirem “McAfee“ (jeho použití vyžaduje speciální licenci). Kromě integrovaného modulu “WinRoute“ podporuje externí antiviry různých výrobců (např. Eset Software, Grisoft, Sophos, Symantec atd.). Licence antivirového programu musí splňovat licenční podmínky dané jeho výrobcem (typicky stejný nebo vyšší počet uživatelů, pro který je licencován “WinRoute“, nebo speciální serverová licence). Od verze “6.2.0 WinRoute“ umožňuje použít současně integrovaný antivirový modul “McAfee“ a zvolený externí antivirus. Přenášené soubory jsou pak kontrolovány oběma antiviry (tzv. duální antivirová kontrola). Tím se snižuje pravděpodobnost propuštění souboru s virem. Současné použití dvou antivirů má však negativní dopad na výkon firewallu. Doporučuje se proto důkladně zvážit, zda duální antivirovou kontrolu použít a na jaké protokoly ji aplikovat. Podporované externí antiviry, stejně jako verze jednotlivých programů a obchodní podmínky, se mohou v průběhu času měnit. Aktuální informace lze vždy nalézt na WWW stránkách firmy “Kerio Technologies“ (http://www.kerio.cz/kwf). Externí “McAfee Antiviru“ není ve “WinRoute“ podporován.

43

6.3 Podmínky a omezení antivirové kontroly Antivirovou kontrolu objektů přenášených určitým protokolem lze provádět pouze v případě, že je komunikace sledována příslušným inspekčním modulem a tento modul podporuje spolupráci s antivirem. Z toho vyplývají následující omezení: •

Antivirovou kontrolu nelze provádět při použití zabezpečeného kanálu (SSL/TLS). V tomto případě není technicky možné dešifrovat komunikaci a oddělit jednotlivé přenášené objekty.

•

Při antivirové kontrole e-mailu (protokoly SMTP a POP3) firewall pouze odstraňuje infikované přílohy — není možné zahazovat celé zprávy. V případě protokolu SMTP se standardně kontroluje pouze příchozí komunikace (tzn. z internetu do lokální sítě — příchozí pošta na lokální SMTP server). Kontrola odchozí komunikace způsobuje problémy při dočasných chybách doručení.

•

Objekty přenášené jinými protokoly než HTTP, FTP, SMTP a POP3 nelze kontrolovat antivirem.

•

Je-li při komunikaci použit nestandardní port, pak nebude příslušný inspekční modul aplikován automaticky. V tomto případě stačí definovat komunikační pravidlo povolující tuto komunikaci s použitím příslušného inspekčního modulu.

6.3.1 Inspekční moduly “WinRoute“ obsahuje speciální moduly, které sledují komunikaci daným aplikačním protokolem (např. HTTP, FTP apod.). Tuto komunikaci pak mohou určitým způsobem modifikovat (filtrovat) nebo přizpůsobit chování firewallu danému protokolu. Činnost inspekčních modulů bude objasněna na dvou jednoduchých příkladech: 1. Inspekční modul protokolu HTTP sleduje komunikaci klientů (prohlížečů) s WWW servery a může blokovat přístup na určité stránky či stahování některých typů objektů (např. obrázky, reklamy či zvukové soubory). 2. Při použití FTP v aktivním režimu otevírá datové spojení server zpět na klienta. Za normálních okolností není možné přes firewall (resp. firewall s překladem adres) takovéto spojení navázat a FTP je možné používat pouze v pasivním režimu. “Inspekční modul FTP“ však rozpozná, že se jedná o FTP v aktivním režimu a zajistí otevření příslušného portu a přesměrování spojení na odpovídajícího klienta

44

v lokální síti. Uživatel v lokální síti pak není firewallem omezován a může používat FTP v obou režimech. Inspekční modul se aktivuje, pokud je uveden v definici služby a příslušná komunikace je povolena. Každý inspekční modul obsluhuje protokol, pro který je určen a službu, v jejíž definici je použit. Ve výchozí konfiguraci “WinRoute“ jsou všechny dostupné inspekční moduly použity v definici příslušných služeb (a budou tedy automaticky aplikovány na odpovídající komunikaci), s výjimkou inspekčních modulů protokolů pro hlasové služby “SIP a H.323“ (SIP a H.323 jsou komplexní protokoly a inspekční moduly nemusí v některých konfiguracích fungovat správně). Chceme-li explicitně aplikovat inspekční modul na jinou komunikaci, musíme buď definovat novou službu s použitím tohoto modulu nebo nastavit inspekční modul přímo v příslušném komunikačním pravidle.

6.4 Výběr antivirových programů Budou-li použity oba antiviry, pak bude každý přenášený objekt (stahovaný soubor, příloha emailové zprávy atd.) zkontrolován nejprve integrovaným modulem “McAfee“ a poté zvoleným externím antivirem. Integrovaný antivirus McAfee Chceme-li použít integrovaný antivirus “McAfee“, pak je tato volba dostupná pouze v případě, že licenční klíč “WinRoute“ obsahuje licenci pro antivirový modul “McAfee“, nebo jedná-li se o zkušební verzi “WinRoute“. Pro “Integrovaný antivirový modul“ lze nastavit kontroly, aktualizace a informace o virové databázi, které ukazují na správnou a pružnou činnost antiviru, či naopak: •

zkusit aktualizovat v pravidelných intervalech,

•

aktuální virová databáze je stará,

•

od poslední kontroly uplynulo,

•

verze virové databáze,

•

verze antivirového modulu,

•

aktualizovat.

Externí antivirový program Chceme-li použít některý z podporovaných externích antivirů, musí být nainstalován dříve, než bude ve “WinRoute“ nastaven. Před instalací antivirového programu se doporučuje zastavit službu “WinRoute Firewall Engine“.

45

Po instalaci se provede test vybraného antiviru. Je-li test úspěšný, bude tento antivirus nadále používán. Je-li test neúspěšný, zobrazí se chybové hlášení a zůstane nastaven předchozí antivirus.

6.5 Antivirová kontrola protokolů HTTP a FTP V případě protokolů HTTP a FTP se provádí kontrola přenášených objektů (souborů) zvolených typů. Přenášený soubor je zároveň ukládán do dočasného adresáře na lokálním disku firewallu. Poslední část souboru (blok přenášených dat) “WinRoute“pozdrží ve své vyrovnávací paměti a provede antivirovou kontrolu souboru v dočasném adresáři. Je-li v souboru nalezen virus, pak “WinRoute“ poslední blok dat zahodí. Klient tak dostane soubor poškozený (neúplný) — nebude jej moci spustit a virus aktivovat. Není-li nalezen žádný virus, pak “WinRoute“ pošle klientovi zbývající část souboru a přenos je úspěšně dokončen. Uživateli, který soubor stahoval, může být volitelně zaslána výstraha o nalezeném viru. Antivirová kontrola dokáže pouze nalézt a blokovat infikované soubory, není možné je léčit! V pravidlech pro filtrování protokolů HTTP a FTP může být antivirová kontrola vypnuta — pak se nekontrolují objekty a soubory vyhovující příslušnému pravidlu. Při použití nestandardních rozšíření WWW prohlížečů (od jiných výrobců — typicky download managery, akcelerátory apod.) není zaručena plná funkčnost antivirové kontroly protokolu HTTP! Při detekci viru v přenášeném souboru, lze specifikovat akce, které budou provedeny: •

“Přesunout soubor do karantény“ – soubor bude uložen do speciálního adresáře. Správce “WinRoute“ se pokusí tento soubor léčit antivirovým programem.

•

“Upozornit klienta“ - “WinRoute“ pošle uživateli, který tento soubor stahoval, emailovou zprávu s výstrahou, že v tomto souboru byl detekován virus a stahování bylo přerušeno. Výstraha se vyšle pouze za podmínek, je-li uživatel přihlášen na firewall, v příslušném uživatelském účtu je nastavena platná emailová adresa a je korektně nastaven SMTP server pro odesílání pošty.

Nezávisle na volbě “Upozornit klienta“ lze při detekci virů zasílat výstrahy na definované adresy (např. správcům sítě). Pro případy, kdy nelze provést antivirovou kontrolu přenášeného souboru (např. komprimovaný soubor chráněný heslem, poškozený soubor atd.), lze nastavit akci:

46

“Zakázat přenos souboru“ — “WinRoute“ bude tyto soubory považovat za infikované a nepovolí jejich přenos.Tuto volbu je vhodné kombinovat s volbou “Přesunout soubor do karantény“ — správce “WinRoute“ může pak např. ve •

Spolupráci s příslušným uživatelem soubor dekomprimovat a provést antivirovou kontrolu ručně.

•

“Povolit přenos souboru“ — “WinRoute“ bude předpokládat, že šifrované či poškozené soubory neobsahují viry. Tato volba obecně není bezpečná, ale lze ji využít např. v případě, kdy uživatelé přenášejí velké množství šifrovaných souborů (archivů) a na pracovních stanicích je nainstalován antivirový program.

Pravidla pro antivirovou kontrolu HTTP a FTP Tato pravidla slouží k nastavení podmínek, za kterých má být antivirová kontrola prováděna. Implicitně (tj. pokud není definováno žádné pravidlo) se kontrolují všechny objekty přenášené protokoly HTTP a FTP. “WinRoute“ obsahuje několik předdefinovaných pravidel pro antivirovou kontrolu protokolů HTTP a FTP. Ve výchozím nastavení se kontrolují všechny spustitelné soubory a soubory aplikací sady “Microsoft Office“. Správce “WinRoute“může toto nastavení upravit dle vlastního uvážení.

6.6 Antivirová kontrola e-mailu Tato funkce umožňuje nastavit parametry antivirové kontroly protokolů SMTP a POP3. Je-li antivirová kontrola pro tyto protokoly (resp. některý z nich) zapnuta, pak se kontrolují všechny přílohy všech přenášených zpráv. Jednotlivé přílohy přenášené zprávy “WinRoute“ postupně ukládá do dočasného adresáře na lokálním disku. Po uložení celého souboru provede antivirovou kontrolu. Není-li nalezen virus, je příloha vložena zpět do zprávy. Při nalezení viru je příloha nahrazena textovou informací o nalezeném viru. Antivirová kontrola emailové komunikace dokáže pouze nalézt a blokovat infikované přílohy zpráv. Přílohy není možné léčit! Při antivirové kontrole emailu lze pouze odstraňovat infikované přílohy, není možné zahazovat celé zprávy. Důvodem je, že firewall nepracuje se zprávami jako poštovní server, ale jen zasahuje do sít’ové komunikace, která přes něj prochází. Odstranění celé zprávy by ve většině případů způsobilo chybu komunikace se serverem a klient by se pravděpodobně pokusil odeslat, resp. stáhnout zprávu znovu. V důsledku by jedna zavirovaná zpráva zablokovala odeslání, resp. příjem všech ostatních (legálních) zpráv. V případě protokolu SMTP se standardně provádí pouze kontrola příchozí komunikace (tj. komunikace z internetu do lokální sítě — příchozí pošta na lokální SMTP server). Kontrola odchozí SMTP komunikace (tj. z lokální sítě do internetu) by mohla způsobovat problémy při dočasných chybách doručení (typicky pokud cílový SMTP server používá tzv. greylisting).

47

Chceme-li kontrolovat rovněž odchozí komunikaci (např. pokud se lokální klienti připojují na SMTP server mimo lokální sít’), je třeba definovat odpovídající komunikační pravidlo s použitím inspekčního modulu protokolu SMTP.

6.7 Doplňkové bezpečnostní funkce 6.7.1 Detekce a blokování P2P sítí “PeertoPeer“ sítě (zkr. P2P sítě) je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server. Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). Typickými představiteli těchto sítí jsou např. “DirectConnect“ nebo “Kazaa“. Používání P2P sítí jednak napomáhá šíření nelegálních souborů, ale zejména značně zatěžuje linku, kterou je uživatel připojen do internetu. Pokud se takový uživatel nachází v lokální síti, která je připojena do internetu jedinou linkou, pak jsou jeho aktivity na úkor ostatních uživatelů, případně i zvýšených nákladů na připojení (např. jedná-li se o linku s limitem přenesených dat). “WinRoute“ obsahuje modul “P2P Eliminator“, který umožňuje detekovat přístup do “P2P“ sítí a provádět určitá opatření vůči příslušným uživatelům. Vzhledem k tomu, že “P2P“ sítí existuje velké množství a uživatelé mohou na svých uzlech měnit řadu parametrů (např. porty pro server, počet spojení atd.), nelze jejich používání vždy s určitostí detekovat. “P2P Eliminator“ na základě určitých charakteristických znaků (známé porty, otevřená spojení atd.) vyhodnotí, že uživatel pravděpodobně používá jednu nebo více P2P sítí. Na uživatele P2P sítí (tzn. na počítače, na nichž jsou klienti těchto sítí provozováni) je možné aplikovat tyto typy omezení: •

“Blokování komunikace“ — příslušnému počítači může být zcela zablokován přístup do internetu nebo povolen přístup pouze k některým službám (např. WWW a e-mail).

•

“Omezení šířky pásma“ — klientům “P2P“ sítí lze omezit rychlost přenosu dat tak, aby nedocházelo ke zbytečnému zatěžování internetové linky na úkor ostatních uživatelů a služeb.

6.7.2 Volby pro zvýšení bezpečnosti “WinRoute“ nabízí několik bezpečnostních voleb, které nelze definovat komunikačními pravidly.

48

Kontrola zdrojových adres (Anti-Spoofing) “Anti-Spoofing“ je kontrola, zda na jednotlivá rozhraní počítače s “WinRoute“ přicházejí pouze pakety s přípustnými zdrojovými IP adresami. Tato funkce chrání počítač s “WinRoute“ před útoky z vnitřní sítě za použití fiktivní IP adresy (tzv. spoofing — falšování IP adresy). Z pohledu každého rozhraní je korektní taková zdrojová adresa, která patří do některé subsítě připojené k tomuto rozhraní (bud’ přímo, nebo přes další směrovače). Na rozhraní, přes které vede výchozí cesta (tj. rozhraní připojené do internetu, též označováno jako externí rozhraní), je korektní libovolná IP adresa, která není povolena na žádném jiném rozhraní. Omezování počtu spojení Tato funkce umožňuje definovat maximální počet spojení, která mohou být navázána z nebo na jeden počítač v lokální síti. Omezení počtu spojení se uplatní zejména v těchto případech: •

Na počítači v lokální síti je provozována služba (např. WWW server), která je komunikačními pravidly zpřístupněna z internetu. Omezení počtu spojení chrání interní server před zahlcením (útok typu DoS — Denial of Service).

V tomto případě se maximální počet spojení vztahuje k lokálnímu serveru — součet počtu spojení všech připojených klientů nesmí překročit nastavenou hodnotu. •

Klientský počítač (pracovní stanice) v lokální síti je napaden červem nebo trojským koněm, který se snaží navázat spojení s velkým počtem různých serverů. Omezení počtu spojení chrání počítač s “WinRoute“ proti přetížení a může i zmírnit nežádoucí činnost červa či trojského koně.

V tomto případě se maximální počet spojení vztahuje na počítač (pracovní stanici) v lokální síti —součet všech spojení navázaných z tohoto počítače na jednotlivé servery v internetu nesmí překročit nastavenou hodnotu.

6.7.3 Virtuální privátní sítě (VPN) pomocí protokolu IPSec “WinRoute“ obsahuje tzv. transparentní podporu protokolu “IPSec“. To znamená, že “WinRoute“ sám neobsahuje prostředky pro vytvoření “IPSec“ spojení (resp. tunelu), ale dokáže protokol “IPSec“ rozpoznat a umožnit komunikaci tímto protokolem mezi lokální sítí a internetem. Transparentní podpora “IPSec“ je určena především pro zajištění funkčnosti stávajících “IPSec“ klientů a serverů po nasazení “WinRoute“ na internetovou bránu. V případě návrhu a implementace nových virtuálních privátních sítí se doporučuje použít proprietární VPN řešení ve “WinRoute“.

49

7 Realizované řešení, dostupné služby a rozpočet akce 7.1 Technologie realizovaného řešení Použitá technologie pro realizaci připojení pracovišť a vybudování VPN tunelu je navržena softwarovým řešením produktem Kerio WinRoute Firewall 6.3.0. Pro zajištění mailové komunikace bude použit software Kerio MailServer 6.3.0. Oba produkty mají integrovaný antivir.

7.1.1 Kerio WinRoute Firewall 6.3.0 s McAfee antivirem Použitý firewall s integrovaným antivirem je v základní verzi jen pro 10 uživatelů, což je nedostačující počet pro potřeby školy. Pracovních stanic v jednotlivých LAN obou pracovišť je 98. Proto k základní verzi musí být doplněny další tzv. add-on licence. Možnosti rozšíření od firmy Kerio jsou 5, 20 a 100 licencí. Rozšířením o 100 licencí na 110, bude vytvořena dostačující rezerva pro další možné nové stanice. Základní licence zahrnuje předplatné na první rok (12 měsíců). Předplatné zahrnuje: •

Aktualizace příslušného produktu v následujících po registraci předplatného.

•

Bezplatná telefonická a elektronická technická podpora.

•

Informace o nových verzích a produktech.

průběhu

12

měsíců

Hardwarové prostředky pro Kerio WinRoute Firewall Pro instalaci Kerio WinRouter Firewall 6.3.0, bude pořízen hardware s výkonem, který je uveden v tabulce 5. Protože stanice bude použita pouze pro Kerio WinRoute Firewall 6.3.0, je sestava výkonově dostačující. V případě, že by na této stanici byl instalován i Kerio MailServer 6.3.0, měl by být výkon této konfigurace výšší. Procesor

Intel 2,0GHz (ekvivalent)

Operační paměť

512MB

Pevný disk

250GB Tabulka 5: Výkon PC pro Kerio WinRoute Firewall 6.3.0

V uvedených cenách je zahrnuta 19% DPH.

50

Počítačové sestavy, budou pořízeny v počtu tří. Dvě pro nepřetržitý provoz, Rajhrad, Brno a jedna, jako rezerva v případě poruchy. Tato stanice bude využita na některém z úseků jako běžná kancelářská stanice.

7.1.2 Kerio MailServer 6.3.0 s McAfee antivirem Mail server s integrovaným antivirem je opět v základní verzi jen pro 10 uživatelů. Možnosti doplnění dalších licencí je 5, 20, 100 a 250. Rozšíření na 110 licencí je dostačující s použitelnou rezervou. Základní licence, stejně jako u Kerio WinRoute Firewall, zahrnuje předplatné na první rok (12 měsíců). Hardwarové prostředky pro Kerio MailServer Pro instalaci Kerio MailServer 6.3.0 bude zakoupen PC server s výkonem, který je uveden v tabulce 6. Společně s Kerio MailServerem, bude na této stanici instalován i FTP server. Výkon konfigurace je proto vyšší. Procesor

Intel 2,5GHz (ekvivalent)

Operační paměť

1024MB

Pevný disk

2x 100GB Tabulka 6: Výkon PC serveru pro Kerio MailServer 6.3.0

V uvedených cenách je zahrnuta 19% DPH.

7.1.3 Řešení zabezpečení softwarových záloh a hardwaru Image HDD instalovaný SW V případě poruchy serverů s Kerio WinRoute Firewall 6.3.0 a Kerio MailServer 6.3.0, bude v záloze připraven image s instalovaným software. Záloha konfigurace a zabezpečení Záloha aktuální konfigurace pro případ poruchy bude prováděna na FTP server vždy při změně konfigurace, a to do záložního adresáře a další kopie na CD. Zabezpečení aktuální konfigurace proti nepovolaným osobám bude v případě FTP serveru nevystavěním ve veřejném adresáři FTP. V případě zálohy na CD zajištěním na bezpečném místě. Konfigurace vzdáleného přístupu Na firewallu bude zamezen přístup ostatním uživatelům, přístupová práva na firewall – vzdálená správa bude povolena pouze správci IT z jeho IP adresy. Ve vnitřní síti bude přístup chráněn heslem.

51

Povolení přístupu z internetu bude pouze pro konkrétní IP adresy. Umístění PC serverů Z důvodu bezpečnosti budou počítače s Kerio WinRoute Firewall 6.3.0 a server s Kerio MailServer 6.3.0 umístěny v místnostech, do kterých má přístup jen omezený počet lidí a místnosti jsou patřičně zabezpečeny.

7.2 Dostupné služby Sdílené adresáře a soubory přes VPN Služba umožňuje jednotlivým pracovním stanicím obou pracovišť možnost sdílení potřebných adresářů a souborů přes VPN tunel, tak jako by byly součástí jediné LAN. Vzdálený přístup do VPN (soubory) Uživatelům, kteří budou mít povolen přístup, bude umožněno pracovat se soubory vlastního profilu. VPN Console Umožní vstup do administrátorského prostředí pro diagnostiku, popř. úpravy, nastavení a odstranění možných problémů z IP adresy administrátora. Výhodou této služby je okamžité řešení problémů z časového hlediska. Odpadá čas, potřebný na cestu k serveru. FTP Pro pracoviště v Brně budou přístupné služby FTP serveru, na kterém jsou uložena potřebná data, např.: školské vyhlášky, zákony, formuláře, seznamy žáků a studentů, vnitřní nařízení a směrnice vedení školy, učební plány a osnovy, tematické plány, termíny zkoušek a ostatní důležité aktuální informace. Mail server Služba Mail Server umožňuje uživatelům po přihlášení prohlížení jejich pošty a manipulaci se zprávami přes webové rozhraní z jakékoli stanice na internetu.

7.3 Rozpočet akce Náklady na vybudování VPN se skládají z nákladů na pořízení hardwarových prostředků a zakoupení potřebného software. Aktuální ceny jednotlivých položek a celkové náklady jsou uvedeny v následujících tabulkách 7, 8, 9, 10 a 11.

52

7.3.1 Hardware PC pro Kerio WinRoute Firewall Základní deska

ASUS P5LD2

Procesor

Intel Core 2 Duo 1,8GHz

Operační paměť

1024MB

Pevný disk

320GB

Mechanika

DVD±RW

Cena konfigurace

17 514Kč

Tabulka 7: Výkon PC pro Kerio WinRoute Firewall 6.3.0 V uvedených cenách je zahrnuta 19% DPH. PC server pro Kerio MailServer Základní deska

Intel s podporou RAID pole

Procesor

Intel Xeon 2,8GHz L2Cache: 2MB

Operační paměť

2x 512MB

Pevný disk

2x 160GB non hot – plug I / O sloty

Sloty

3x PCIe, 4x PCI 32 - bit / 33MHz

Řadič

Fast ATA 100 (IDE), RAID 0, 1, 10 (LSI)

Cena konfigurace

33 403Kč

Tabulka 8: Výkon PC serveru pro Kerio MailServer 6.3.0 V uvedených cenách je zahrnuta 19% DPH.

7.3.2 Software Kerio WinRoute Firewall 6.3.0 + McAfee Antivirus Firewall s integrovaným antivirem. •

Základní verze je s licencí pro 10 uživatelů.

•

Vyšší počet uživatelů může být doplněn tzv. add-on licencemi.

•

Základní licence zahrnuje předplatné na první rok (12 měsíců).

53

Produkt

Licence

Předplatné

Kerio WinRoute Firewall 6.3.0 + McAfee Antivirus / 10 uživ.

15 351Kč

8 550Kč

add on + 100 uživatelů

54 145Kč

17 850Kč

obsažen

obsažen

Kerio VPN Client

Tabulka 9: Ceny Kerio WinRoute Firewall 6.3.0 s integrovaným antivirem McAfee V uvedených cenách je zahrnuta 19% DPH Kerio MailServer + McAfee Antivirus Mail server s integrovaným antivirem. •

Základní verze je s licencí pro 10 uživatelů.

•

Vyšší počet uživatelů může být doplněn tzv. add-on licencemi (přídavnými licencemi).

•

Základní licence zahrnuje předplatné na první rok (12 měsíců). Produkt

Licence

Předplatné

Kerio MailServer 6.3.0 s McAfee AV - 10 uživatelů

14 875Kč

3 689Kč

Add-on +100 uživatelů

55 335Kč

13 834Kč

Tabulka 10: Ceny Kerio MailServer 6.3.0 s integrovaným antivirem McAfee V uvedených cenách je zahrnuta 19% DPH. Celkové náklady Celkové finanční náklady se skládají z nákladů na hardware, software, roční předplatné a poplatku za instalaci a oživení systému. Pro vybrané neziskové organizace (školství), nabízí Kerio Technologies své produkty se speciální slevou 25%. V tabulce celkových nákladů je sleva zahrnuta.

54

HW

SW

Produkt

Počet

Cena

PC pro Kerio WinRoute Firewall

3

52 542Kč

PC server pro Kerio MailServer

1

33 403Kč

Kerio WinRoute Firewall 6.3.0 + McAfee Antivirus

2

35 852Kč

Add on + 100 uživatelů

1

53 997Kč

Kerio MailServer 6.3.0 s McAfee Antivirus

1

13 923Kč

Add-on +100 uživatelů

1

51 876Kč

Celkem

241 593Kč

Tabulka 11: Celkové náklady na vybudování VPN na SOŠ zahradnické a SOU Rajhrad V uvedených cenách je zahrnuta 19% DPH.

55

8 Průběh procesu, dosažení požadovaných parametrů a zkušenosti z realizace 8.1 Průběh procesu – etapy Průběh procesu realizace byl z důvodu nedostatku finančních prostředků rozdělen na tři etapy. Časový plán pro realizaci jednotlivých etap, který vedení školy neustále mění z nedostatku financí, se projevuje sníženou spolehlivostí připojení. Dalším negativem jsou stále rostoucí ceny softwarových produktů, zejména za počty uživatelských licencí (od října 2006 k červnu 2007 za stejný počet uživatelů činí rozdíl 20 000Kč). Navržené etapy realizace 1. etapa – dovybudování datové struktury LAN jednotlivých pracovišť; 2. etapa – realizace Kerio MailServer 6.3.0; 3. etapa – realizace VPN na Kerio WinRoute Firewall 6.3.0.

8.2 Dosažení požadovaných parametrů Řešení vybudování VPN a hlavně ochrany mailové komunikace, pomocí Kerio MailServer, dle popisovaného návrhu řešení, je v jednání vedení školy od července 2005, kdy došlo ke sloučení všech tří školských subjektů. Poslední časový plán řešení realizace, který byl schválen na poradě vedení v září 2006, je uveden v tabulce 12. Úkol

Termín

Splněno

Listopad 2006

Ne

Realizace 1. etapy (pracoviště Rajhrad)

Leden 2006

Ne

Realizace 2. etapy

Duben 2007

Ne

Realizace 3. etapy (pracoviště Brno a Rajhrad)

Červen 2007

Ne

Realizace 1. etapy (pracoviště Brno)

Tabulka 12: Časový plán realizace procesu řešení Důvody nesplnění navrhovaného řešení jednotlivých etap realizace byly a jsou způsobeny odčerpáváním finančních prostředků, řešením vzniklých havarijních situací, náklady spojenými s likvidací pracoviště v Želešicích a nákladnými

56

stavebními úpravami na pracovištích v Rajhradě a Brně. Některé mimořádně odčerpané náklady jsou popsány v tabulce 13. Doba

Důvod

Náklady

Září 2005

Rajhrad – vybudování části datové sítě.

150 000Kč

Říjen 2005

Rajhrad – nákup digitální PtÚ a realizace rozvodů vedení.

250 000Kč

Říjen 2005

Brno – nákup nové didaktické techniky (dataprojektory, notebooky, nové vybavení počítačové učebny), nákup výpočetní techniky administrativním pracovníkům.

210 000Kč

Listopad 2005

Rajhrad – nákup nové didaktické techniky (notebooky, dataprojektory, počítače pedagogickým a administrativním pracovníkům).

245 000Kč

Březen 2006

Brno – rozsáhlé stavební úpravy domova mládeže – nevyhovující hygienické normy – zavření provozu DM.

480 000Kč (nehrazeno z pojištění)

Červenec 2006

Brno – rozsáhlé stavební úpravy hlavní budovy (rozvody elektroinstalace a plynoinstalace).

320 000Kč

Červenec 2006

Rajhrad – rozsáhlé stavební úpravy hlavní budovy, včetně nové instalace elktrorozvodů a plynoinstalace.

380 000Kč

Srpen 2006

Brno - vybudování větší části datové sítě a optický propoj mezi budovami.

85 000Kč

Srpen 2006

Rajhrad – nákup nové kopírky.

Únor 2007

Brno – rozsáhlá havárie odpadů hlavní budovy.

70 000Kč (část hrazena z pojištění)

Březen 2007

Rajhrad - výměna neopravitelné kopírky za novou (sborovna).

85 000Kč

Červen 2007

Rajhrad – nové parkoviště pro 50 aut.

Červenec 2007

Brno – přemístění PtÚ včetně linek ISDN a z pracoviště v Želešicích do Brna. Nové rozvody.

120 000Kč

Tabulka 13: Mimořádné náklady školy

115 000Kč 75 000Kč

57

8.3 Zkušenosti z realizace Vzhledem k nesplnění realizace řešení připojení jednotlivých pracovišť školy dle časového plánu nemám žádné nové zkušenosti z realizace řešení. Svoje zkušenosti mohu omezit pouze na zkušenosti svých kolegů, kteří popsané řešení realizovali na jiných školách nebo soukromých firmách a tudíž mají potřebné zkušenosti a znalosti. Osobně se těším na dobu, kdy navrhovaná realizace řešení bude skutečností a mé stávající zkušenosti budou bohatší o zkušenosti z realizace a bezporuchového provozu navrhovaného řešení.

58

9 Seznam literatury VOŘÍŠEK, J. Informační technologie a systémová integrace. 1. vyd. Praha: VŠE, 1996. 198 s. ISBN 80-7079-895-5. BIGELOW, S. J. Mistrovství v počítačových sítích : správa, konfigurace, diagnostika a řešení problémů. 1. vyd. Brno: Computer Press, 2004. 990 s. ISBN 80-2510178-9. KÁLLAY, F. – PENIAK, P. Počítačové sítě a jejich aplikace. 1. vyd. Praha: Grada Publishing, 1999. 311 s. ISBN 80-7169-407-X. Inside network perimeter security : the definitive guide to firewalls, VPNs, routers, and instrusion detection systems. Indianapolis: New Riders, 2003. 678 s. ISBN 07357-1232-8. TOXEN, B. Bezpečnost v LINUXU : prevence a odvracení napadení systému. 1. vyd. Brno: Computer Press, 2003. 849 s. Security. ISBN 80-7226-716-7.