Information Assurance 1/2007
vychází 15. 3. 2007
Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli a partnery konference Security and Protection of Information
V čem je Univerzita obrany jedinečná? Rozhovor s rektorem – velitelem Univerzity obrany brigádním generálem prof. Ing. Rudolfem Urbanem, CSc.
Obsah Rozhovor s rektorem – velitelem Univerzity obrany _ _ _ _ _ _ _ _ _ _ _ 1–2 Úvodem _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 2 Certifikovaná kryptoochrana _ _ _ _ _ 3 Obrana na obvodu nestačí_ _ _ _ _ _ _ _ 4 Traffic management _ _ _ _ _ _ _ _ _ _ _ 5 Moderní videokonferenční systém _ _ 6 Windows Vista na plný plyn _ _ _ _ _ _ 7
Pane rektore, jaká budoucnost čeká Univerzitu obrany? Nový legislativní rámec, o který usilujeme, má přispět k zrovnoprávnění šancí státní univerzity s veřejnými vysokými školami na trhu vzdělávání. Mám na mysli zejména možnost uplatnění všech tvůrčích aktivit, jichž je státní univerzita schopna s tím, že následně využívá i zdrojových výhod, které z tohoto potenciálu a z těchto aktivit plynou. Významná změna legislativního rámce by napravila omezené možnosti přijímání studentů, protože armáda přijímá jen takový počet studentů, kterým může nabídnout pracovní pozici v rámci AČR. To je opět nevýhoda ve
srovnání s veřejnými vysokými školami, které nejsou vázány limity studentů a mohou se podstatně více a šířeji rozvíjet. Tomu rovněž odpovídá struktura studia na naší univerzitě. V současnosti je pyramida vysokoškolského vzdělávání v armádě nastavena tak, že zhruba 70 % vytváří bakalářská úroveň a asi 30 % vytváří magisterská úroveň. Takováto struktura potřeb vzdělávání sice odpovídá potřebám armády, ale neodpovídá potřebám kvalitativního rozvoje vysoké školy. Neboli legislativní změny ve vztahu k Univerzitě obrany mají vytvořit stejnou šanci Univerzitě obrany na trhu vzdělávání, jakou mají veřejné vysoké školy, a umožnit zhodnotit všechny
2
Information Assurance 1/2007
Úvodem Blíží se mezinárodní bezpečnostní konference Security and Protection of Information (www.unob.cz/spi), která se bude konat 2.–4. května 2007 v areálu brněnského výstaviště. Jejím pořadatelem je Univerzita obrany, která na přípravě konference spolupracuje s Veletrhy Brno a společností CNSE, spol. s r.o. Tato společnost se rozhodla doplnit aktivity konference vydáváním řady šesti čísel specializovaného útlého měsíčníku, který bude čtenářům zasílán bezplatně na základě jejich vyžádání. Periodikum, jehož první číslo máte v ruce, je vydáváno ve spolupráci s Univerzitou obrany (www.unob.cz) a některými z partnerských společností konference – Alloit, CISCO SYSTEMS (Czech Republic), GiTy, ICZ a Microsoft. Toto velice útlé periodikum jsme pojmenovali „Information Assurance“. Proč ten nezvyklý název? Pracovně bych mohla tento název přeložit termínem „informační záruky“. Jde o termín, který je v současnosti velmi diskutovaný v rámci různých výborů a podvýborů NATO. Pokusím se zde přeložit definici navrženou v rámci NATO podvýborem INFOSEC výboru C3 (AC/322 (SC/4)N(2006)0028): „Informační záruky jsou sadou opatření, procedur a technik k ochraně a obraně komunikačních, informačních a jiných elektronických systémů spolu s informacemi, které jsou těmito systémy ukládány, zpracovávány či přenášeny. Cílem je dosáhnout požadované úrovně důvěrnosti, integrity, dostupnosti, nepopiratelnosti a autentizace informací a systémů.“ Tato definice odráží skutečnost, že mohou být různé úrovně důvěry (např. založené na stupni utajení) a v závislosti na tom lze přijímat odlišná opatření. Dále je v této definici zdůrazněno, že záruky jsou tvořeny kombinací procedurálních a technických opatření. V rámci tohoto „zpravodaje“ se proto rovněž pokusíme o vyváženost mezi procesním a technickým přístupem.
V čem je Univerzita… (Dokončení z první strany.) její schopnosti i v podobě peněžních nebo finančních zdrojů. Které problémy vás při tom nejvíce trápí? Z hlediska legislativního rámce je to nalezení koncenzu, jak hospodařit v rámci rozpočtového systému, který je svým způsobem rigidní a neumožňuje vytvořit platformu pro typ příjmů vyplývající z tvůrčích i dalších aktivit a schopností školy. Další problémy souvisejí s možnostmi kvalitativního rozvoje a tento rozvoj se váže na problematiku investičních schopností a možností Univerzity obrany. A protože armáda má krácený rozpočet, zdrojový rámec pro investice se snižuje i ve vztahu k Univerzitě obrany. Je zde jediné řešení těchto problémů, a to dosažení takových legislativních změn, aby mohla univerzita redukci zdrojů kompenzovat svými aktivitami na trhu, například prodejem své produkce z oblasti vědy a výzkumu. V čem považujete Univerzitu obrany za jedinečnou? Po ukončení vojenské základní služby a vytvoření profesionální armády všechny bezpečnostní sbory ztratily tu výhodu, že získávaly profesionály se základním výcvikem, který vyžadovala služba pro bezpečnostní složky. Neboli jedinečnost školy spočívá v tom, že má schopnost zabezpečovat přípravu osobnostních kvalit a parametrů pro ty, kteří budou vstupovat do bezpečnostních složek. Cílem Univerzity obrany je nabídnout tyto jedinečné schopnosti ve prospěch všech bezpečnostních složek, to znamená policii, hasičům, celní správě, vězeňské službě…
Bezplatný zpravodaj vydávaný na podporu konference Security and protection of Information
Jak je to se studiem nevojáků na Univerzitě obrany? V současné době studují na univerzitě ve smyslu zákona 111 o vysokých školách ti civilní studenti, kteří jsou připravováni pro bezpečnostní systém státu oboru Ochrana obyvatelstva. My tyto vzdělávací tendence hodláme posilovat, protože v současné době otázka bezpečnosti, boje s terorismem, začíná nabírat na celospolečenském významu. Musím poděkovat sekci personální i paní náměstkyni za podporu této koncepce studia, a to včetně souhlasu se zvýšením počtu studentů studujících jako nevojáci ve prospěch veřejné správy.
Vydavatel: CNSE spol. s r. o. Zodpovědná redaktorka: Světlana Proksová Redakční rada: Martina Černá, Jaroslav Dočkal, Ivo Němeček, Petr Lasek, Jiří Unzeitig, Milan Jirsa, Josef Kaderka Grafická úprava: Omega Design, s. r. o. Registrace MK ČR E 17346
Řadu let se v našem systému hovořilo o systému celoživotního vzdělávání, jak se to teď promítá do úkolů školy? Kromě bakalářského, magisterského nebo doktorského studia plní Univerzita obrany dva základní úkoly: zabezpečuje Kurz vyšších důstojníků, který je rozhodujícím kvalifikač-
SVĚTLANA PROKSOVÁ REDAKTORKA ČASOPISU
Information Assurance
ním předpokladem pro povýšení důstojníka do hodnosti majora a podplukovníka; dále zajišťuje Kurz generálního štábu, který je předpokladem pro povýšení do hodnosti plukovníka a následně generála. Neboli naše univerzita je opět v něčem jedinečná – která
Brig. gen. prof. Ing. Rudolf Urban, CSc. Absolvent Vysoké vojenské školy týlového a technického zabezpečení v Žilině. Vojenskou praxi získal na stupních divize, pluk a brigáda, pedagogickou jako řadový učitel, náčelník skupiny, vedoucí katedry, děkan, prorektor a rektor – dříve VVŠ PV, nyní Univerzity obrany.
druhá škola u nás provází absolventa od promocí až do ukončení jeho kariéry? Jaká je na škole pozice informačních technologií? V současné době je tato oblast pod dikcí prorektora pro rozvoj, který má za úkol do konce tohoto roku nastavit vnitřní systém výstavby komunikačního systému Univerzity obrany a definovat koncepci dalšího rozvoje. To je interní část procesu. Univerzita obrany má i specializované pracoviště v podobě Katedry komunikačních a informačních technologií, které přispívá jak k tomuto vnitřnímu procesu, tak k rozvoji vnitřních otázek budování informačních systémů v rámci rezortu obrany, především v rámci projektu NEC. S jakou filozofií jde univerzita na IDET? Univerzita půjde na IDET a do všech akcí, které lze zařadit do vnější marketingové strategie s tím, že chce prezentovat svoji jedinečnost a svoji nenahraditelnost. OTÁZKY KLADL JAROSLAV DOČKAL
1/2007 Information Assurance
Certifikovaná kryptoochrana Zabezpečení dat zajištěním jejich důvěrnosti, integrity a dostupnosti se stává podmínkou efektivního fungování podniků i státních institucí. Specifickou oblast představuje ochrana utajovaných informací. Jejich zabezpečení v informačních systémech podléhá přísným kritériím. Při zpracování, přenosu i ukládání utajovaných informací musí být použita adekvátní kryptografická ochrana. Co jsou certifikované kryptografické prostředky Kryptografickým prostředkem může být jak technický prostředek, tak softwarový produkt. To, zda jeho návrh a realizace odpovídá platné legislativě, u nás posuzuje Národní bezpečnostní úřad. Jím vydaný certifikát definuje stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.
České produkty Jako příklady certifikovaného národního kryptografického prostředku lze uvést prostředky Krydec a CSP-II MicroCzech vyvinuté společností S.ICZ, a. s., ve spolupráci s Národním bezpečnostním úřadem.
jako kryptografický modul CSP, nabízející certifikovanou implementaci řady standardních kryptografických algoritmů. CSP-II MC poskytuje kryptografické služby všem aplikacím, které využívají subObrázek 1: Trvalá ochrana utajovaných informací (dokumentů) v rámci systém CryptoAPI. certifikovaného informačního systému (LAN i WAN) pomocí prostředku Krydec Byl certifikován pro ochranu utajovaných informací do stupně utajení „Důvěrné”, stanici zajišťuje trvalou ochranu systémových „NATO Confidential” a „Restreint UE“. souborů. (Realizuje Krydec.)
K čemu je lze použít? Kryptografické prostředky lze použít např. pro:
Krydec je určen pro ochranu utajovaných informací v informačních systémech postavených na operačních systémech Windows. Tento prostředek provádí on-line a off-line šifrování souborů a identifikaci a autentizaci uživatelů pomocí čipových karet (příklad viz obr. 1). Skládá se z vlastní karty, která vykonává všechny důležité bezpečnostní a kryptografické operace, a z programového vybavení, jenž implementuje veškeré bezpečnostní funkce prostředku do operačního systému Windows. Krydec byl certifikován pro ochranu utajovaných informací do stupně utajení „Tajné“, „NATO Confidential“ a „Restreint UE“. Kryptografický hardwarový modul CSP II MicroCzech (CSP II MC) řeší ochranu utajovaných informací v informačních systémech a je do systému integrován
Trvalou ochranu utajovaných dokumentů umístěných na lokálních, síťových nebo výměnných discích (on-line šifrování). Úroveň ochrany je nastavitelná buď pro vybrané adresáře nebo na logické disky. (Realizuje například Krydec.) Export a import utajovaných dokumentů (off-line šifrování), při použití speciálního datového formátu nazývaného chráněný archiv. (Realizuje Krydec.) Komplexní zabezpečení pracovní stanice, kdy se kryptografický prostředek aktivuje ihned po zapnutí pracovní stanice. Před zavedením operačního systému i v jeho rámci provede identifikaci a autentizaci uživatele pomocí čipové karty. Na dané
Ochranu elektronické pošty v rámci aplikace Microsoft Outlook. Využívá bezpečného formátu dat S/MIME (Secure/Multipurpose Internet Mail Extensions). Toho lze využít pro ochranu vnitřní pošty certifikovaného IS, pro bezpečné propojení pošty více certifikovaných IS apod. (Realizuje CSP-II MC.) Bezpečné spojení pomocí protokolu SSL pro aplikace Microsoft Internet Explorer (IE) a webový server MS IIS. Tato služba je vhodná pro použití certifikovaného informačního systému v Intranetu nebo pro využití IE jako prezentační vrstvy pro serverové aplikace certifikovaného IS. (Realizuje CSP-II MC.) Aplikační ochranu dat v certifikovaných informačních systémech nebo v distribuovaných aplikacích pro více certifikovaných IS. (Realizuje CSP-II MC nebo Krydec.) MARTINA ČERNÁ
Představujeme přednášející konference SPI 2007 Luděk Novák (tutoriál) Vystudoval Vojenskou akademii v Brně, pracoval jako odborník na bezpečnost informací v různých pozicích na Generálním štábu Armády České republiky. V současnosti je vedoucím konzultantem ve společnosti ANECT a. s. se zaměřením na řízení rizik a bezpečnosti informací a na řízení
procesů ICT. Je držitelem certifikátů CISA – Certified Information Systems Auditor, CISSP – Certified Information Systems Security Professional, členem Rady odborného sdružení ISACA CRC a členem technické komise Českého normalizačního institutu TNK 20 – Informační technologie.
Hovořit bude v rámci jednoho z tutoriálů na téma „Information security standards“ Představí v něm práci JTC1/SC27 a základní normy a standardy určené pro návrh a prosazování bezpečnostních principů. Luděk Novák
3
4
Information Assurance 1/2007
Obrana na obvodu nestačí Proč dnes nepostačuje klasické pojetí síťové bezpečnosti, tedy firewall na hranici sítě a antivirus na stanici?
1. Stanice, která nevyhovuje sta-
2. Policy server získá
3. Problém je odstraněn,
noveným pravidlům, se pokouší
informace, zjistí problém, síťové
stanice může přistupovat
připojit do sítě přes směrovač.
zařízení omezí přístup stanice.
do sítě centrály. Pravidelně je kontrolován její stav.
CTA zjistí stav stanice.
Důvodů je mnoho: Vytrácejí se ostře definované hranice sítí. Každý přístupový bod do sítě je potenciálním místem, odkud může být veden útok proti síti. To platí nejenom pro vnější připojení, ale i pro porty LAN přepínačů ve vnitřní síti a pro komunikační rozhraní osobních počítačů. Rychle se rozvíjejí nové aplikace a služby sítě. Příkladem je IP telefonie, WiFi sítě, řešení využívaná mobilními uživateli i metody přímé komunikace stanic P2P. Všechna tato řešení přinášejí nová rizika. Nepřetržitě se objevují nová slabá místa koncových zařízení, služeb i infrastruktury. Vynořují se nové kódy a metody, které uvedená slabá místa zneužívají. Doba mezi objevením zranitelnosti a jejím zneužitím se zřetelně zkracuje. S rozvojem širokopásmových technologií roste rychlost a počet připojení koncových uživatelů k Internetu. Jednotlivci mají velmi široké spektrum možností, jak se pustit do dobývání odlehlé sítě. Stále častěji se objevuje a roste organizovaný zločin. Útočníci jsou tvrdší, dovednější, vytrvalejší a mají silnou motivaci k dosažení svého cíle. Neboli nestačí síť zabezpečit pouze na obvodu. Bezpečnost musí prostupovat sítí od obvodu přes infrastrukturu až po koncové stanice, operační systémy a aplikace. Síť musí při obraně tvořit jednotný koordinovaný organizmus, jehož součásti spolupracují na obraně a dokáží se přizpůsobit měnícím se podmínkám a dosud nepoznaným hrozbám.
Hledejme řešení Možné řešení spočívá v konceptu Cisco SelfDefending Network (SDN). Tento koncept stojí na třech základních principech: bezpečnostní technologie jsou integrovány do síťové infrastruktury; bezpečnostní systémy si navzájem vyměňují informace a spolupracují na obraně sítě; obranné mechanizmy pružně reagují na nové situace v síti a dokáží rozpoznat a zastavit doposud nepoznané hrozby.
Rozlehlá síť
Pobočka
Datové centrum Cisco Trust Agent (CTA) Cisco Security Agent (CSA) Antivirus
Policy server (Cisco Secure ACS)
Služební segment
Obrázek 1: Spolupráce softwarových modulů v rámci NAC
Pobočka
3. Aktualizace signatury
CS MARS Centrála
4. Útok zachycen
1. Nakažený notebook se připojuje do sítě.
HW IPS modul ve 2. Centrální IPS pošle směrovači nebo Cisco IPS Sensor výstrahu systému MARS.
2. IPS alarm Internet
3. MARS rozešle a aktivuje signatury
Pobočka
ve směrovačích. Vzdálený uživatel 4. Směrovače
1. Nakažený notebook
zachycují útok.
Obrázek 2: Koordinace součinnosti obranných mechanizmů sítě systémem MARS
troluje jeho počítač, vyhodnotí stav počítače a omezí jeho přístup do sítě v případě, že nevyhovuje stanoveným pravidlům. Poté, co je počítač aktualizován, získává plné oprávnění pro přístup ke zdrojům sítě. V rámci NAC spolupracují softwarové moduly na koncových stanicích, síťová zařízení, specializované servery, ověřovací systémy, systémy pro audit i distribuci softwaru, případně další aplikace od různých výrobců.
Spolupráce
Do obrany sítě jsou zapojeny rovněž systémy prevence průniku IPS (Intruder Prevention System). Pokud IPS sonda není schopna sama útok zastavit, připojí se ke vzdálenému síťovému zařízení nebo firewallu a s jeho pomocí útok zablokuje či ztlumí. Například Cisco Incident Control System je v nepřetržitém kontaktu s laboratořemi firmy Trend Micro a při výskytu nového malwaru zajistí bleskovou aktivaci obrany v síťových zařízeních i rychlou aktualizaci signatur IPS sond.
Jako první příklad si uveďme Network Admission Control (NAC), viz obr. 1. Tato preventivní technologie snižuje rizika, která přinášejí zanedbané koncové stanice. Uživatel se připojí do sítě. Síť uživatele prověří, zkon-
Se síťovými IPS sondami úzce spolupracuje software Cisco Security Agent a síťové skenery. CSA agenti nebo skenery předávají IPS sondám informace o operačních systémech
V tomto článku se zaměříme na ilustraci druhého z těchto principů pomocí příkladů.
Centrální síť
na koncových stanicích. Je-li cílová stanice zranitelná odhaleným útokem, IPS podle toho upraví odezvu. CSA navíc podrobně vyhodnocuje aktivity, které na stanici vyvolávají jiná zařízení. Informaci o podezřelých zařízeních pak předá IPS sondě a ta může při zjištění útoku zpřísnit odezvu proti těmto zařízením. Informace o hrozbách v síti přenáší Threat Information Distribution Protocol. Každé zařízení, které se takto dozví o nové hrozbě, může pak aktivovat vhodnou obranu. Součinnost obranných mechanizmů sítě koordinuje systém MARS (Monitoring, Analysis and Response System), viz obr. 2. Dává do souvislosti informace o událostech z mnoha různorodých zdrojů, odhaluje incidenty, zobrazuje útoky v mapě sítě a navrhuje jejich optimální blokování. Dynamicky aktivuje a ladí IPS systémy ve směrovačích a zajišťuje tak rozprostření účinné ochrany v síti. Podrobněji se budeme věnovat součástem SDN v dalších článcích. Více informaci také najdete na http://www.cisco.com/go/sdn. IVO NĚMEČEK
1/2007 Information Assurance
Traffic management V dnešní době je samozřejmé, že většina firem uchovává naprostou většinu informací v elektronické podobě, ať už se jedná o stav skladu, objednávkový systém, CRM, intranetový portál atd. Stejně tak i většina obchodních transakcí se odehrává elektronicky. Řada firem proto motivuje své zákazníky, aby i oni preferovali tento způsob. Například převodní příkaz v bance vyjde levněji, pokud jej zadáte prostřednictvím internetbankingu, než pokud jej zadáte osobně na pobočce. Není divu, že dostupnost informací 24×7 je dnes pro řadu firem naprostou nutností. Nedostupnost nemusí být způsobena jen výpadkem, v mnoha případech „stačí“, když je síť pomalá. Asi není potřeba nikoho obzvlášť přesvědčovat, že je lépe problémům předcházet. Co tedy může způsobit problémy provozu v síti? Představa, že si nevytisknete fakturu v SAPu, protože někdo rozeslal hromadný mail, nebo že se nedovoláte pomocí VoIP, protože někdo stahuje v P2P síti film nebo poslouchá internetové rádio, se může zdát přehnaná. Bohužel se však často jedná o realitu. Internet je rovnostářský – nezletilcovo porno může dostat přednost před informacemi o havárii jaderné elektrárny. Různé aplikace mají na síť různé požadavky (viz tabulka 1). V podstatě se jedná o čtyři parametry – pásmo (bandwith), zpoždění (delay), proměnlivost zpoždění (jitter1) a ztrátovost (packet loss). Stahování DVD z internetu může trvat několik dnů, ale musí být provedeno bez ztráty jediného znaku. Při zpoždění přes 200 ms je telefonování přes IP prakticky nepoužitelné, naopak ztrátovost paketů kolem 1 % lidské ucho díky své nedokonalosti nezaznamená. Jak zajistit, aby síť byla natolik inteligentní a dokázala se k jednotlivým aplikacím chovat tak, jak vyžadují? Právě toto řeší traffic management, česky bychom řekli řízení provozu2. Traffic management představuje inteligenci sítě. Jedna z definic říká, že inteligence je schopnost přizpůsobit se změnám. Podmínky v síti se mění neustále, tudíž se jedná o kontinuální proces. Pokud chceme něco řídit, nejen v síti, musíme v prvé řadě vědět, co se děje. V dalším kroku je nutné definovat, co chceme, co je pro nás důležité. Jinými slovy definovat pravidla. Ve třetím kroku je pak za potřebí zajistit prosazení
Aplikace
Ztrátovost
Zpoždění
Jitter
Šířka pásma
Mail
Velký
Malý
Malý
Malý
Přenos souborů
Velký
Malý
Malý
Střední
IP telefonie
Malý
Velký
Velký
Malý
Videokonference
Malý
Velký
Velký
Velký
Tabulka 1: Vliv jednotlivých parametrů sítě na aplikaci
těchto pravidel. Následně vše vyhodnotíme a případně korigujeme (zpětné vazba je nutnou podmínkou). De facto jsme si stručně popsali, co je to traffic management. Jedná se o proces (viz obrázek 1) tvořený následujícími kroky: monitorování, klasifikace (definování pravidel), prosazení pravidel (akce), dlouhodobé monitorování (sledování trendů a záznam dat, accounting). Blíže k jednotlivým krokům. Přesné a spolehlivé rozpoznání jednotlivých aplikací je základem dobrého řešení. V dnešní době je nezbytná identifikace na aplikační vrstvě.
Akce (QoS) Monitorování: realtime i sledování dlouhodobých trendů Klasifikace
aplikace, čas, VLAN, DSCP3. Podmínkou jsou víceúrovňová pravidla; jen tak lze definovat profil jednotlivých uživatelů nebo profil provozu na jednotlivé pobočky. Jedná se o nástroj k prosazení toho, co je důležité pro vás a vaše uživatele. V podnikovém prostředí lze P2P nebo Skype blokovat, v síti poskytovatele internetu naopak upřednostnit. Lze ovšem garantovat maximální prioritu pro přístup do SAPu pro účetní oddělení v době účetní uzávěrky. Uživatelé VoIP budou mít garantované minimální pásmo podle použitého kodeku. Monitoring v reálném čase dovolí okamžitě odhalit problémy v síti, nesprávně definovaná pravidla, problematické aplikace i uživatele. Dlouhodobý monitoring a možnost definovat reporty nám umožní sledovat trendy v síti a předcházet problémům. V prostředí poskytovatele internetového připojení lze dlouhodobý záznam dat použít pro účtování podle přenesených dat (billing). Řada událostí v síti se děje nepředvídatelně. Může se jednat o šíření síťového červa, spam, 100% zatížení internetové přípojky atd. O takových událostech je vhodné být informován okamžitě, dříve než problémy zaznamenají uživatelé. Způsob zasílání výstrah si lze zvolit podle důležitosti – mail, SNMP trap nebo SMS.
Obrázek 1: Proces traffic managementu
Proč? Důvodů je několik. Řada aplikací je tvořena více protokoly, například přenos VoIP (H.323, SIP) je řízen signalizačním protokolem a hlas se přenáší pomocí RTP. Mnoho aplikací využívá HTTP protokolu, někdy se mluví o „webifikaci“. A v neposlední řadě přibývá aplikací, které jsou úmyslně napsány tak, aby byly téměř neodhalitelné. P2P nebo Skype využívají náhodně zvolené dynamické porty, šifrování atd. Bez technologie DPI (Deep Packet Inspection) je dnes nemožné takový úkol úspěšně zvládnout. DPI je klíčem k účinnému řízení provozu sítě.
V příští části si řekneme o jednotlivých krocích traffic managementu – monitorování, klasifikaci, prosazení QoS a accountingu. Budeme je ilustrovat na produktech Allot Communications (www.allot.com), která pro tuto oblast nabízí vhodné komplexní řešení. PETR LASEK 1 Česká terminologie je zde neujednocená (rozkolísání, nestabilita, neklid, fázové chvění atd.), dává se proto obvykle přednost anglickému termínu. 2 Ale ani zde není použití českého termínu obvyklé. 3 Differentiated Services Code Point – priority rozdělující provoz do tříd v rámci koncepce diferencovaných služeb.
Rovněž klasifikace, tj. vydělení určité části provozu, musí být maximálně flexibilní. Čím více kritérií lze využít, tím lépe – zdroj/cíl,
5
6
Information Assurance 1/2007
Moderní videokonferenční systém Jak by měl vypadat? Především by měl mít jednoduchou správu uživatelů založenou na práci se seznamem uživatelů a jejich skupin. Uživatel ocení, pokud bude pracovat se jmény či jejich aliasy místo IP adres. Dále je třeba dát mu možnost zaznamenávat probíhající relace a k záznamům přistupovat přes webové rozhraní. Účastník může měnit svůj profil, plánovat relace a rezervovat prostředky z počítače, PDA či smart-phone. S využitím javového klienta lze navíc ovládat koncové zařízení. Systém by měl umožnit propojování účastníků z rozdílných privátních sítí s minimálním zásahem do konfigurace privátní sítě. Koncepce systému by měla být řešena modulárně s cílem jeho konfiguraci řešit na bázi přidávání a odebírání jednotlivých služeb. Otázku práv uživatelů pak lze snadno zajistit pomocí povolování či zakazování těchto služeb.
Při konferenci bez požadavku na záznam probíhá komunikace klasickým způsobem bod-bod. Pro komunikaci mezi klienty různých privátních sítí je spojení zprostředkováno tunelem mezi branami (Gateway). Při registraci uživatele do systému je pro zajištění spolehlivosti nabízených služeb testována kvalita jeho připojení.
uživatele krok po kroku nastavením. Na obr. 2 v levé části je zobrazeno hlavní okno klienta. Kromě ovládacích prvků obsahuje seznam kontaktů reprezentovaných aliasy. Nakonfigurovaný klient dokáže spolupracovat s konferenčními zařízeními (Tandberg, NetMeeting). Na obr. 3 je schéma konfigurace videokonferenčního systému opírající se o hardwarové MCU společnosti Tandberg.
Jaká je nabídka? Pro zájemce lze zajistit dodávku a montáž videokonferenčních zařízení, pronajmout mu videokonfereční místností i vytvořit místnost na jedno použití. Pro vytvoření videokonference lze využít nejen IP a ISDN sítě, ale i satelitní přenosy. Obrázek 1: Výřez částí funkcí webového klienta
JIŘÍ UNZEITIG A KOLEKTIV
I vzhledem k současnému trendu využívání převážně paketově orientovaných sítí (IP) by měl být systém schopen komunikovat se zařízeními i na sítích odlišných (např. ISDN).
Je takový systém v ČR dostupný? Softwarové řešení takového systému bylo vyvinuto výzkumným a vývojovým útvarem firmy GiTy, a. s., přičemž celý videokonferenční systém je platformově nezávislý. Podstatné je, že v současnosti žádná jiná česká firma nenabízí obdobný rozsah videokonferenčních služeb. Řídící částí řešení GiTy je VCF (videokonferenční) server, který zahrnuje komponenty pro ovládání dalších zařízení systému a dále rozhraní pro komunikaci s klientskou aplikací (prohlížeč) pomocí protokolu HTTP či HTTPS a rovněž pro komunikaci s javovým klientem pomocí XML. Obrázek 2: JAVA klient
Videokonferenční řešení vychází ze standardu ITU-T H.323. V sítích H.323 je prvkem propojujícím jednotlivé klienty do konferencí tzv. Multipoint Control Unit (MCU); zde byla zvolena kombinace softwaru a hardwaru. Hardwarový modul MCU má v sobě implementovány veškeré dostupné audio a video kodeky (H.261, H.263, H.264). Při požadavku na uložení záznamu je přes něj směrován videokonferenční přenos na softwarový modul MCU, z něhož vycházejí multimediální data (obraz/zvuk), která jsou dále ukládána do datového úložiště. Dalším prvkem řešení je Gatekeeper, což je prvek, který koncovým zařízením (terminál, brána nebo MCU), poskytuje službu řízení hovoru (překlad aliasů na IP adresy, řízení přístupu, alokace šířky pásma atd.).
Přátelské uživatelské rozhraní Ovládání webového rozhraní je intuitivní (výřez viz obr. 1), s možností vícejazyčných verzí, vzhled lze upravit podle přání zákazníka. Lze zakládat nové relace, prohlížet naplánované, proběhlé či uložené konference, přistupovat k videoarchívu či přidruženým souborům, vyhledávat a spravovat kontakty a zařízení, manipulovat s oprávněními uživatelů ve skupině a povolovat či zakazovat jim přístup k funkcím videokonferenčního serveru. Java klient ke svému spuštění vyžaduje nainstalovaný JVM (Java Virtual Machine). Je platformově nezávislý, veškeré nastavování je řešeno formou průvodců, které provedou
WEB Interface
JAVA Client
Ethernet
TANBERG MCU
Gatekeeper + SW MCU + VCF Server
Videokonferenční systém
Obrázek 3: Schéma možné konfigurace videokonferenčního systému
1/2007 Information Assurance
Windows Vista na plný plyn Novinkám v bezpečnosti operačního systému Windows Vista jsem se podrobně věnoval v časopisu Data Security Management číslo 3/2006, v tomto článku se proto zaměřím na novinky ze zcela jiné oblasti. Jedná se o technologie ReadyBoost a ReadyDrive, které zvyšují výkon operačního systému pomocí flash paměti, a také o zvláštní způsob optimalizace operační paměti zvaný SuperFetch.
ReadyDrive Technologie ReadyDrive je určena zejména pro notebooky a pro její použití je třeba nejen nový operační systém, ale i nový hardware, tzv. hybridní pevný disk. Hybridní pevné disky odstraňují některé z nedostatků klasických pevných disků, a to pomocí přidané flash paměti. Jedním ze zmíněných nedostatků je rychlost. K časovým ztrátám dochází jednak na začátku práce s diskem, při jeho roztáčení, a pak také při vystavování magnetických hlaviček na požadované místo pro čtení či zápis. Druhým nedostatkem je energetická náročnost. Opakované roztáčení pevného disku výrazně zkracuje výdrž baterie.
ReadyBoost Windows ReadyBoost k urychlení počítače využívá externí flash paměť, která v praxi bude mít asi nejčastěji podobu USB flash disku, ale může jít třeba i o paměťové karty typu Compact Flash nebo Secure Digital. Tuto externí paměť ReadyBoost využívá k dočasnému ukládání dat místo pevného disku. Pevný disk je sice poměrně rychlé zařízení, ale jen když provádí operace typu sekvenční čtení nebo sekvenční zápis. Při náhodném čtení a náhodném zápisu už na tom jsou některé typy flash pamětí lépe, což může způsobit nárůst výkonu. Kromě toho je tento způsob rozšiřování paměti i velmi jednoduchý – místo toho, aby uživatel lezl dovniř počítače, stačí do USB 2.0 portu vložit vhodný typ paměti a ve Vistě schválit jeho použití pro ReadyBoost. Ne každá flash paměť je ale pro ReadyBoost vhodná. Operační systém na ní má jisté minimální požadavky (propustnost 2,5 MB/s při náhodném čtení bloků o velikost 4 kB; propustnost 1,75 MB/s při náhodném zápisu bloků o velikosti 512 kB) a pokud je paměť nesplňuje, nelze jí pro ReadyBoost použít. Kapacita takové paměti se musí pohybovat v rozsahu 256 MB až 4 GB (viz obr. 1), přičemž horní hranice je dána použitým souborovým systémem, kterým je FAT32. Zajímavé je, co se stane, když uživatel tuto externí paměť z počítače vyjme. ReadyBoost s tím počítá, a proto veškerá data zálohuje na pevný disk, takže když operační systém zjistí, že už externí paměť nemá k dispozici, začne místo ní pracovat s pevným diskem. Z bezpečnostních důvodů jsou data uložená v externí paměti šifrována, a to algoritmem AES s délkou klíče 128 bitů. Přírůstek výkonu, který ReadyBoost nabízí, ovšem není nijak závratný. Jedná se o jednotky až desítky procent, v závislosti na velikosti operační paměti, na typu provozovaných aplikací, na jejich počtu a na způsobu práce těchto aplikací s operační pamětí a pevným diskem.
uživatel často pracuje, a vytváří při tom určitý profil používání pevného disku. Pomocí tohoto profilu SuperFetch provede odhad, jaká data bude uživatel nejspíše potřebovat, a dopředu je načte do paměti. Pokud se v počítači navíc nachází i ReadyBoost zařízení, umí ho SuperFetch využít. Pokud uživatel Windows XP spouštěl některou aplikaci během dne opakovaně, byla tato opakovaná spouštění díky vyrovnávací paměti rychlejší. Stačilo ale vypnout počítač a vyrovnávací paměť byla vymazána. SuperFetch dokáže tuto informaci přenášet i mezi sezeními, takže aplikace, které uživatel používá nejčastěji, dejme tomu poštovní klient a webový prohlížeč, mohou být předem načteny do paměti již při startu počítače.
V/V operace s nízkou prioritou Pokud uživatel právě nepracuje s počítačem, začnou se na pozadí provádět různé úlohy, jako je antivirová kontrola, automatické zálohování apod. Tyto úlohy sice běží tak, aby uživatele co nejméně obtěžovaly, jakmile ale zase začne pracovat, okamžitě to podle určité prodlevy pozná.
Obrázek 1: Nastavení ReadyBoost zařízení.
Standardní pevné disky obsahují vyrovnávací paměť, typicky 8 nebo 16 MB, která je volatilní, tj. při vypnutí napájení ztrácí obsah. Hybridní pevné disky, jejichž výrobu oznámily například firmy Samsung a Seagate, používají jako vyrovnávací paměť nonvolatilní flash paměť o kapacitě 128 MB a 256 MB. Díky ní ReadyDrive umožňuje rychlejší spouštění počítače, rychlejší probuzení ze stavu hibernace a také šetří napájení, protože umožňuje číst a zapisovat data, aniž by se disk točil.
Ve starších verzích Windows mohou mít procesy přiřazenu různou úroveň priorit. Vista tento princip rozšiřuje i na V/V operace s pevným diskem. Procesy běžící na pozadí s nízkou prioritou mohou mít navíc přidělenu i nízkou prioritu V/V operací. Procesy běžící na popředí tak nejen dostávají více času procesoru, ale mají i přednost ve frontě požadavků na V/V operace. Odezva systému je v takovém případě rychlejší, než tomu bylo v předchozích verzích Windows. Mnoho systémových služeb Visty je napsáno tak, aby využívalo V/V operace s nízkou prioritou. Jedná se například o defragmentaci disku, indexaci pro rychlejší vyhledávání a každodenní skenování počítače pomocí aplikace Windows Defender. Na rozdíl od Windows XP lze ve Vistě defragmentaci pozastavit a pokračovat v ní později. K optimálnímu umístění souborů na disku lze použít i informaci získanou pomocí technologie SuperFetch. MILAN JIRSA
SuperFetch Windows XP obsahují technologii zvanou Prefetch, která monitoruje práci systému a snaží se odhadnout, jaká data budou v blízké budoucnosti zapotřebí. Data načte předem do paměti a pokud se odhad povedl, dojde ke zvýšení výkonu, protože data nebude třeba číst z pevného disku. Windows Vista obsahují vylepšenou verzi, která se jmenuje SuperFetch. SuperFetch sleduje programy a data, se kterými
Zdroje Windows PC Accelerators: Performance Technology for Windows Vista, http://www.microsoft.com/whdc/ system/sysperf/accelerator.mspx Windows Vista: Features Explained: Performance, http://www.microsoft.com/windows/products/ windowsvista/features/details/performance.mspx Ed Bott, Carl Siechert, Craig Stinson: Windows Vista Inside Out. MS Press 2007
7
