KARANTÉNA. Podrobný test SPASÍ VAŠI SÍŤ? Jak si žije SPARC? Novinky na platformě SUN. Longhorn Server První pohled na Windows Server 2008

Vychází 1. června 2007, ročník XII, cena 79 Kč / 119 Sk

6 2007

KARANTÉNA ˇ

SPASÍ VAŠI SÍT?

Jak si žije SPARC? Novinky na platformě SUN

Longhorn Server První pohled na Windows Server 2008

Podrobný test PODNIKOVÝCH NOTEBOOKŮ

Patch management Záplatování ve Windows a v Linuxu

jednička integrované bezpečnosti Chytrá integrace klíčových bezpečnostních technologií pro ochranu před všemi známými i neznámými hrozbami. Fortinet se může pochlubit více než 200 tisíci inovativními UTM zařízeními instalovanými po celém světě a je tak v současnosti nejrychleji rostoucím dodavatelem bezpečnostních řešení. Zároveň jsou produkty Fortinetu často oceňovány odbornou veřejností, nejčerstvějším úspěchem je cena „IT produkt 2007“ pro FortiGate 224B. SkyNet, který disponuje 5 certifikacemi FCNSP (Fortinet Certified Network Security Professional), je value added distributorem produktů Fortinet pro Českou a Slovenskou republiku.

Informujte se na produkty Fortinetu na emailu [email protected] nebo navštivte www.skynet.cz

Value Added Distributor www.skynet.cz

SkyNet, a.s., Fortinet Value Added Distributor Na Rybníčku 5 | 120 00 Praha 2 | tel: +420 296 368 636 | fax: +420 296 368 600 | [email protected] Hybešova 42 | 602 00 Brno | tel: +420 541 594 167 | fax: +420 541 594 100 | [email protected]

úvodník Vážení čtenáři, na to, že v červnu přicházejí první úmorná horka, si už několik let můžete vsadit, stejně jako na fakt, že časopis Connect! ve stejnou dobu tradičně uvádí téma bezpečnosti informačních sítí. Exponované to téma, které umí vyvolat dusno i bouřku a nedá vám ani chvíli oddychu… Prosadila se za poslední rok nějaká technologie, která by dokázala změnit toto odvětví, ušetřit tu trošku zbývajících netknutých nervů? Nebo jde stále jen o věčný boj s protivníkem skrývajícím se vně hradeb lokální sítě, případně vědomého či nevědomého záškodníka ve vlastních řadách? Stejně tak bychom mohli položit i lehce rouhačskou otázku – není IT bezpečnost jen neustále uměle „zavlažovanou“ plantáží tabáku? Mají smysl všechny ty chytré sítě, IPS a karantény? Vyplatí se někomu jinému než jejich výrobcům se spoustou závislých zákazníků? Vždyť donedávna stačil antivir a firewall…

zdarma

Ať je pravda jaká chce, oblast bezpečnosti prožívá mimořádné období, které přináší neustále novinky. Je už potom jenom na vás, zda do nich chcete investovat a zvýšit si pocit jistoty, nebo si je jednoduše nemůžete dovolit a zůstanete u osvědčených metod, případně jen postupně začnete migrovat na nové systémy. Samotný antivir na koncové stanici dnes už v podstatě nikoho nespasí. Také proto je stále častěji integrován do větších bezpečnostních balíků, které v kombinaci s personálním firewallem již leccos zabezpečí. Trend ale jednoznačně ukazuje na jednotné síťové bezpečnostní „boxy“, které mají za úkol na klienta již žádný škodlivý kód nepustit, což je jednoznačně přínosem. A pokud se náhodou na síť připojí zařízení, které není jejím důvěryhodným „klientem“ se všemi náležitostmi, na které si jen vzpomeneme, prostě jej zavřeme do karantény, ze které je po důkladné „očistě“ cesta ven, anebo také ne.

Princip popsaný v předešlém odstavci je aktuálně nejvíce propagován coby bezpečnostní trend. Jeví se opravdu báječně, až s podivem, že se tak jednoduchá a účinná věc neprosadila dříve. Ale kolikrát se nám už z pohledu IT zdálo, jak jednouše za nás technologie vyřeší problémy způsobené jinými technologiemi. A na čem to uvízlo? Samozřejmě na lidech, kteří odmítli akceptovat určitá pravidla, nebo byli odrazeni složitostí celého procesu. Takže, nechť nové bezpečnostní praktiky snáze vycházejí s obyčejnými uživateli a potom se možná dočkáme pokroku. Vám všem ostatním přeji příjemné čtení nejen o bezpečnosti IT. Lukáš Honek, šéfredaktor [email protected]

časopisu Connect! a navíc pro všechny nové i obnovující předplatitele

(na stánku za 869 Kč) • 11× časopis Connect! až do vaší schránky knihu dle vlastního výběru zdarma • • členství v Klubu předplatitelů. Více na klub.cpress.cz

1

Antispam metody, nástroje a utility pro ochranu před spamem

2

397 Kč

Microsoft Windows Server 2000/2003 Nedokumentovaná řešení

239 Kč

3

Zabezpečení sítí pomocí Cisco PIX Firewalls

329 Kč

4

Mistrovství v zabezpečení Microsoft Windows 2000 a XP

5

339 Kč

Akce platí do 30. června 2007. Při vyčerpání zásob si Computer Press vyhrazuje právo nahradit vybraný titul jiným v odpovídající hodnotě. Vybranou knihu vám zašleme nejpozději do čtyř týdnů od uhrazení částky za předplatné.

Jak předplatné objednat? • prostřednictvím SMS: Objednávku pošlete ve tvaru CNKN!, číslo knihy, jméno, příjmení a adresa na číslo 724 321 000. Příklad: CNKN!,1,Jan,Cerny,Modra 14,11000 Praha • na internetu: Na adrese casopisy.cpress.cz najdete objednávkový formulář pro objednání předplatného • telefonicky: Zavolejte na naši předplatitelskou linku 545 113 713 • e-mailem: Pošlete e-mail s kontaktními údaji na adresu [email protected]

Microsoft Small Business Server

299 Kč

obsah 6 8

Připojte se! Aktuality

22 Posuňme obranu sítě na její okraj

Perimetr sítě – minimální či maximální restrikce?

10 Nepusťte si hackery k tělu

Komplexní pohled na bezpečnostní trendy 14 Poznejte svého nepřítele

Nejznámějších útoky v síti Ethernet

27 Network Access Control

Řízení přístupu do sítě s Enterasys Sentinel 26 Jak neotevřít zadní vrátka

Rizika Instant Messagingu a P2P sítí 28 Outsourcing bezpečnostního správce

18 Hrozby internetových hlubin

TÉMA

Pharming, phishing, spam a další neduhy internetu

Účinná posílení bezpečnosti organizace 30 Rozumné switche

Co dokáží inteligentní počítačové sítě 20 Jedničky a nuly tajemstvím opředené

Co nabízí moderní kryptografie?

31 Mějte trpělivost…

Úvaha o přežití bezpečnostních auditů

32 Tři králové přicházejí v červnu

Test notebooků pro podnikovou sféru

SÍTĚ A KOMUNIKACE

40 SPARC software na Intelech

QuickTransit technologie osvobozuje platformy

36 Komunikujte rychle i bez drátů

Wi-Fi router a karty Linksys s podporou 802.11n 38 Servery SPARC Enterprise

41 Vše v jednom

Recenze telefonu Nokia N95 42 Internet

Výsledek spolupráce SUNu a Fujitsu

44 Performance management

Cesta k úspěšné strategii 46 Longhorn opět blíže

Na co se můžeme těšit v nové verzi Windows Serveru?

SYSTÉMY

48 Inteligentní archivace

53 Cardspace

a Comunication Foundation Programování na platformě .NET Framework 3.0 54 Správa dokumentů

a obsahu ECM v oblasti financí a administrativy

Ukládání a správa e-mailů s Exchange 56 Utility pro administrátory 50 Práce kvapná málo platná

Recenze prostředí CodeGear Delphi for PHP

58 Jeden nástroj na více záplat

Jak se liší záplatování v Linuxu a ve Windows

66 Na spam s největším kalibrem

Test IBM Proventia Network Mail Security System

61 „No Wi-Fi“ nic nevyřeší

WIPS – bezdrátový systém ochrany průniku

BEZPEČNOST

62 Odposlech SSL

Jak bezpečná je komunikace přes HTTPS?

68 Automatické aktualizace a škodlivý kód

Komentáře k událostem ve světě bezpečnosti 69 Bezpečnost v GNU/Linuxu

Velmi bezpečný webserver thttpd III. 64 Poznejte bezpečnost

Recenze firewallu Kernun

SERVIS

72 Servis

70 Stručně z oblasti bezpečnosti

73 Odpojte se!

© 2006 Microsoft Corporation. Všechna práva vyhrazena. Microsoft, Visual Studio, logo Visual Studio a Windows jsou buď registrované ochranné známky, nebo ochranné známky společnosti Microsoft Corporation ve Spojených státech amerických anebo v jiných zemích.

Nové Visual Studio 2005. Rozdíl na první pohled. Poznali jste ten rozdíl? Jakmile začnete programovat, uvidíte jej okamžitě. Nové Visual Studio® 2005 má více než 400 nových vlastností. Komponenty pro Web, Windows® i hotové části kódu redukují únavné a opakující se operace. Budete se moci plně soustředit na tvorbu skvělých programů. Více informací najdete na http://msdn.microsoft.cz/vstudio/

připojte se! duben 2007

květen 2007

pondělí úterý

středa čtvrtek

pátek

sobota neděle

pondělí úterý

1

středa čtvrtek

pátek

sobota neděle

1

2

3

4

5

6

2

3

4

5

6

7

8

7

8

9

10

11

12

13

9

10

11

12

13

14

15

14

15

16

17

18

19

20

16

17

18

19

20

21

22

21

22

23

24

25

26

27

23

24

25

26

27

28

29

28

29

30

31

30

9. 4. 1891 Vlasta Burian (116)

29. 5. 1917 John Fitzgerald Kennedy (90)

15. 5.

17. 5.

Nejlepší český Open Source je Wikipedie

Navigace už i v tiskárnách

Od února do dubna hledala odborná porota i široká veřejnost to nejlepší z české Open Source scény, aby mohla v prostředí malebného Pivovarského klubu ocenit devět nejlepších. Na fotce jsou výherci jednotlivých kategorií, zleva: Petr Kadlec (Česká Wikipedie), Pavel Franc (CZilla), Leoš Literák, Dan Ohnesorg, v podřepu Michal Franěk (LinuxExpo). Absolutním vítězem ankety Czech Open Source 2007 se stala česká varianta známé encyklopedie Wikipedie.

Stále váháte, zdali celofiremně nasadit či nenasadit barevný tisk? Po seznámení s novou řadou podnikových tiskáren od HP budete mít jasno. Modely HP CM8060/ CM8050 (odlišují se pouze rychlostí tisku 60/50 list./min.) využívající technologii HP Edgeline, zaujmou mimo jiné desetipalcovým barevným dotykovým displejem HP Easy Select či nástrojem pro navigaci HP AutoNav. Ten při tisku či problémech, prostřednictvím displeje a diod rozmístěných na komponentách zařízení, naviguje uživatele „co má udělat či kam sáhnout“. Jako unikum v sobě tiskový stroj integruje české OCR, jinak řečeno, dovede převést tištěný text do digitální podoby. Netradičně HP neplánuje tyto tiskárny prodávat jako hardware, ale jen jako službu, přes tři vybrané české distributory.

2 5.–26. 4. Vítejte v síti lidí

15. 5. Tučňáci jásejte, Siebel 8 podporuje i Linux V rámci odborné konference Siebel CRM, společnost Oracle představila osmou verzi svého informačního systému Oracle Siebel CRM. Díky certifikaci pro Oracle Fusion Middleware nabízí Siebel 8 plnou podporu servisně orientované architektury a předpřipravených řešení postavených jako webové aplikace. To usnadňuje integraci řešení s dalšími aplikacemi a urychluje zavádění webových aplikací. Siebel navíc podporuje i řadu dalších platforem, jako jsou například IBM WebSphere, BEA Weblogic, SQL Server 2005 a IBM DB2. Vůbec poprvé ve své historii Sieble podporuje i Linuxová prostředí. Oracle neopomněl ani bezpečnost, například komponenta Siebel Universal Customer Master nabízí obchodní logiku, která umožňuje flexibilnější správu citlivých dat.

6

Connect! červen 2007

Koncem dubna jsme navštívili již tradiční, tentokrát osmý ročník, největší české konference pro „síťaře“ Cisco Expo 2007. To se neslo v duchu sloganu „Vítejte v síti lidí“, který odráží trend stále většího sžívání komunikující civilizace s technologiemi. Po efektním a názorném úvodu simulujícím využití komunikace na bázi IP v prostředí krizového řízení, následovaly dva dny plné přednášek a živých demonstrací. Z nich mimo jiné vyplynuly zajímavé posuny – například zvětšující se nabídka Cisco řešení pro menší firmy, nebo pojetí moderní komunikace v širším kontextu. Technologie tak směřuje ke vstřícnějšímu přístupu k uživateli, který si může zvolit způsob komunikace, jenž mu vyhovuje nejvíce. Na vrcholu prezentovaných inovací stanul produkt zvaný TelePresence, což je nový stupeň pojetí videokonferencí. Na standardních IP sítích a ve spolupráci s CallManagerem je schopen simulovat prostředí pro osobní jednání na sebevětší vzdálenost. Mimo jiné využívá několik plazmových obrazovek, kamery pro přenos videa v rozlišení 1080p anebo prostorový zvukový systém. Od nadšeného používání TelePresence a výkřiku „Sbohem zoufalé putování po D1!“ nás tak dělí jen několik milionů korun …

aktuality AMD prodělalo více, než se čekalo Cenová válka AMD s Intelem si vybírá svou daň. V prvním čtvrtletí AMD dosáhlo čisté ztráty ve výši 611 milionů dolarů, tedy 1,11 dolaru na akcii. Pro srovnání, ve stejném období loňského roku firma vydělala 184,5 milionu, čili 38 centů na akcii. Příjmy AMD meziročně poklesly o 7,4 % na 1,23 miliardy dolarů. Vinu za současné problémy lze přičíst propadu cen a zároveň tržního podílu. Ceny procesorů se meziročně snížily o 55 %, tržní podíl na desktopech v domácnostech například v USA spadl ze 77 % na 43 %.

Google stoupá, Yahoo klesá Společnost Google oznámila své hospodářské výsledky za první čtvrtletí tohoto roku. Růst příjmů překročil očekávání. Příjmy dosáhly 3,66 miliardy amerických dolarů, což je 69% nárůst oproti stejnému období loňského roku, kdy Google získal jen 2,25 miliardy. Čistý zisk dosáhl výše jedné miliardy dolarů, neboli 1,95 dolaru na akcii. Naprostá většina příjmů pochází z reklamy ve vyhledávání. Různé studie umisťují tržní podíl Google v USA mezi 40 % a 60 % tamního vyhledávacího trhu. Po oznámení dobrých hospodářských výsledků posílily akcie společnosti o 2,7 %. To je v ostrém kontrastu s výsledky konkurenčního Yahoo, jehož zisk se za první čtvrtletí meziročně snížil o 11 %, což je také hodnota, o níž poklesly jeho akcie.

Intel Centrino Pro přichází Nově uvedená mobilní platforma Centrino Pro, vyvíjená pod kódovým označením „Santa Rosa“, má nahradit zatím poslední Centrino „Napa“. Novinka Intelu se skládá z procesoru Core 2 Duo s rychlejší 800MHz sběrnicí a mobilní varianty čipové sady P965. Rychlost sběrnice je možné pro snížení spotřeby dynamicky regulovat. Po spuštění náročné jednovláknové aplikace dokáže nová platforma jedno ze dvou jáder procesoru vypnout a u druhého zvýšit frekvenci – tím se zamezí situacím, kdy si systém přehazuje aplikaci mezi oběma jádry.

Součástí platformy Centrino Pro je i nový bezdrátový adaptér postavený na 802.11n, který má maximální teoretickou přenosovou rychlost 300 Mb/s. Centrino Pro zahrnuje i technologie známé z podnikové platformy vPro, například Active Management Technology 2.5, pro vzdálenou správu a diagnostiku notebooku po síti.

Rychlé, ale úsporné mobilní disky od Hitachi Společnost Hitachi uvedla na trh novou řadu 2,5“ pevných SATA disků s názvem Travelstar 7K200. Plotny těchto disků se otáčejí rychlostí 7 200 otáček/min, což se také obvykle nepříznivě projevuje na spotřebě. Hitachi ale slibuje, že tato řada bude světlá výjimka a spotřeba bude srovnatelná s pomalejšími disky (5 400 otáček/min). Pevné disky této řady se budou vyrábět v kapacitách 80, 100, 120, 160 a 200 GB, přičemž první dvě varianty obsahují pouze jednu plotnu, vyšší kapacity pak dvě.

Microsoft ocenil české firmy Microsoft vyhlásil výsledky 9. ročníku soutěže Microsoft Industry Awards 2007. Ocenění Microsoft každoročně uděluje nejlepším partnerům, kteří vyvíjejí řešení a aplikace na jeho platformě. Hned dvě ocenění si odnesly společnosti AutoCont a ICZ. Všechny výsledky z Microsoft Industry Awards 2007 najdete na stránkách www.microsoft.com/cze/business/awards.

VMware Workstation 6.0 Jeden z nejpoužívanějších komerčních produktů pro virtualizaci operačních systémů dospěl do šesté verze. Zachovává si výbornou podporu virtualizace nejen linuxových distribucí a jednotlivých verzí Windows, ale přináší i mnoho zdokonalení pro operační systém Windows Vista. Nová verze přichází také s podporou více monitorů a možností připojení vysokorychlostního USB 2.0.

Displayport už podporuje i optiku Lidé se JavaScriptu ani cookies nebojí Podle průzkumu drtivá většina uživatelů k prohlížení webů využívá prohlížeče s aktivovanou podporou JavaScriptu a cookies. Pouze 1,2 % návštěv zaznamenaných měřící službou Navrcholu.cz je uskutečněno s vypnutou podporou JavaScriptu. Ještě méně, necelé půlprocento, nepodporuje cookies a zabraňuje serverům ukládat k nim jakékoli informace.

8


V současnosti se o nastupnictví obrazového rozhraní DVI usilují tři nová: Displayport, HDMI a UDI. Společnosti VESA a Luxera se spojily a do specifikací

Displayportu 1.1 přidaly podporu pro optický přenos videosignálu. Společnost Luxera stojí za technologií CMOS photonics, která zajišťuje převod a následné vysílaní takového signálu. Díky optickým kabelům lze totiž dosahovat mnohem větších vzdáleností a vyššího datového toku, než při použití klasické, léty prověřené, ale starnoucí měděné kabeláže. Částečně odpadá i rušení a šum. Pokud by se nakonec rozhraní Displayport ujalo, jednalo by se o skvělé řešení, ale nabízí se otázka, jak by to opět dopadlo s případnými ochranami, tak jako v případě HDMI a HDCP.

Britské kamery odezírají ze rtů Velká Británie vyvinula nové kamery, které pomocí speciálního softwaru dokáží odezírat ze rtů. Systém bude vyhledávat hlavně „nebezpečná“ slova, názvy a jména, jako například „bomba, smrt, atom“ a další. Univerzita, která tento systém vyvíjí, dostala grant ve výši 391 800 liber, aby tento systém do tří let dovedla do konečné fáze.

Do rodiny firewallů ZyXEL přibyl ZyWALL SSL 10 Firma ZyXEL připojila k nabídce firewallů ZyWALL s integrovanou podporou VPN na technologii IPSec nové zařízení ZyWALL SSL 10, které pracuje na technologii šifrovaného přenosu HTTPS. Tato technologie na rozdíl od IPSecu je určena na zabezpečené spoje klient – centrála. Obchodní cestující tak může využít pohodlí při připojení do své firemní sítě,

bez nutnosti instalace složitého software a následné konfigurace. Takto se může připojit na veřejném místě (internetová kavárna, knihovna)a pracovat jako na svém pracovišti pouze pomocí webového prohlížeče. Pokročilou úroveň zabezpečení zajišťuje přihlášení s kombinací generátoru jednorázových hesel – tokenu.

Skype for Business Společnost Skype představila v Praze inovovanou službu Skype for Business, šitou firmám přímo na míru. Díky novým funkcím nabídne Skype firmám snadnější instalaci na více počítačů pomocí balíčku Windows Installer. On-line ovládací panel umožní společnosti přidělit jednotlivým uživatelům Skype kredity, aby mohli uskutečňovat levné SkypeOut hovory na tradiční pevné linky nebo mobilní telefony a též poskytuje konsolidovaný náhled na vynakládané částky.

Spolu se svými partnery vypracoval Skype řadu nových nástrojů týkajících se produktivity společností, zvaných Extras. Patří mezi ně webové konference a služby pro spolupráci Convenos, balíček s názvem Unyte, který umožňuje uživatelům sdílet pohled na pracovní plochu jejich počítače nebo call-centrum pro Skype, které nabízí automatické roztřiďování hovorů.

Skenujte oboustranně 100 stran za minutu Canon představil své zatím nejvýkonnější barevné laserové multifunkční zařízení pro náročné střední a velké pracovní skupiny. Zařízení iR C5185i s podporou tisku, kopírování, faxování a přímého odesílání dokumentů nabízí rychlost tisku až 51 str./min. Tiskové rozlišení 1 200 dpi zajišťuje čtyřpaprskový laser, ale nejvýraznější inovaci představuje nový duplexní skener, který při jednoprůchodovém snímání dokáže zachytit až 100 oboustranných barevných obrazů za minutu. Model iR C5185i navíc nabízí systém řízení přístupu (AMS – Access Management System), který umožňuje správcům nastavit uživatelské profily, jež povolí

uživatelům přístup pouze ke schváleným funkcím. Tím lze předejít nadbytečnému používání barevného tisku a faxových funkcí či nežádoucímu tisku zabezpečených dokumentů.

Zelená řešení stále modernější Podle nezávislé studie začíná třetina podniků při rozhodování o investicích do IT brát v úvahu svou odpovědnost za životní prostředí. Průzkum situace v 950 firmách v celém regionu EMEA zjistil, že třetina (33 %) dotazovaných IT pracovníků s rozhodovací pravomocí počítá při nákupech IT stále častěji s ekologickými hledisky. Podle průzkumu jsou v čele evropských firem země Beneluxu, Finsko a Norsko, kde více než čtvrtina společností (28 %) vyžaduje od dodavatelů IT informace týkající se vlivu jejich produktů na životní prostředí. Naopak nejhůře si v tomto směru počínají rakouské a švýcarské firmy. Celou zprávu najdete na adrese www.connect.cz/zelena_reseni.

Přírodní čipy přichází Společnost IBM poprvé aplikovala při výrobě konvenčních čipů technologii samočinného sestavení, která vychází z přírodních procesů. Firma využila přírodní proces vytváření struktur, jímž vznikají skořápky škeblí, sněhové vločky nebo zubní sklovina, k vytvoření bilionů děr s izolačním vakuem okolo kilometrů nanometrických vodičů umístěných těsně vedle sebe uvnitř každého počítačového čipu. Vědci v laboratořích IBM prokázali, že v čipech vyrobených touto technikou proudí elektrické signály o 35 % rychleji a přitom čipy spotřebovávají o 35 % méně energie než nejvyspělejší čipy vyrobené běžnými technikami. Celý článek najdete na: www.connect.cz/prirodni_cipy.

Asseco má v LCS majoritní podíl Producent podnikových informačních ERP systémů, společnost LCS International, se stala součástí skupiny Asseco, která se řadí mezi mezinárodní poskytovatele komplexních služeb v oblasti informačních a komunikačních technologií. Společnost Asseco Slovakia získala v LCS 55% podíl. Stávající akcionáři si ponechali ve společnosti LCS minoritní podíl a dále se budou společně podílet na rozvoji skupiny Asseco.

Připravila redakce


9

technologie

NEPUSŤTE SI HACKERY K TĚLU Komplexní pohled na bezpečnostní trendy Zabezpečení informačních systémů se stále vyvíjí a stále přicházejí nové trendy. Jako v každé oblasti lidské činnosti se „ujmou“ jen některé. V článku zmíněné techniky odborníci již delší dobu znají, nicméně teprve nyní zaznamenávají nárůst a začínají se skutečně používat v praxi, navíc s určitými inovacemi. V boxech potom uvádíme prozatím „spící“ technologie.

Z

ačneme jedním z nejzákladnějších bezpečnostních mechanismů, kterým je VPN. Technologie stará a hojně používaná, která v poslední době prodělává poměrně zásadní vývoj. Zatímco existence VPN byla dříve něco „extra“, co si mohly dovolit jen některé společnosti, dnes je to zcela běžná součást firemní infrastruktury. VPN je zkratka odvozená ze slov Virtual Private Network. Na rozdíl od jiných případů, zde doslovný překlad (Virtuální Privátní Síť) poměrně dobře vystihuje význam tohoto pojmu. Jedná se o skutečně virtuální síť, neboť je provozována ve většině případů na fyzickém médiu, které není pod kontrolou provozovatele VPN. Typicky se může jednat například o Frame Rellay linky, které jsou pronajaty od providera. Aby byla data na těchto linkách skutečně zabezpečena a byl vyloučen i odposlech jejich provozovatelem či jinou nepovolanou osobou, která má k datům po cestě přístup, je nutné data šifrovat.

AUTOR

Miroslav Ludvík

10

V roce 1996 dokončil ČVUT. Podílel se na zabezpečení zasedání MMF. Ve společnosti RRC EN zastává funkci konzultanta pro oblast bezpečnosti.


Druhy VPN U VPN rozeznáváme dva základní typy. Jsou to Site-to-Site a Client-to-Site. Typické použití varianty Client-to-Site je připojování zaměstnanců do firemní sítě přes internet či jiné nedůvěryhodné médium. Na straně uživatele je instalován VPN klient a veškerý provoz je šifrován zcela transparentně, aniž by se o tu uživatel musel nějak starat. Samozřejmostí je i odpovídající zařízení na straně, kam se klient připojuje. Pro tuto chvíli není důležité, zda se jedná o VPN koncentrátor či firewall, který poskytuje možnost VPN.

Naproti tomu varianta Site-to-Site slouží například pro bezpečné propojení poboček jedné společnosti. Pokud má organizace pobočky na různých místech a má potřebu tyto pobočky mít on-line propojené, pak se většinou k tomuto propojení používají ATM či FR linky. Využití těchto ne zrovna levných technologií si vynucuje potřeba garance určité kvality služeb, kterou při propojení přes internet z principu není možné zajistit. Z pohledu bezpečnosti se však připojení pomocí FR či ATM a internetu mnoho neliší, proto je nutné nad fyzickým médiem „postavit“ médium virtuální, po kterém se pak komunikuje. Tím virtuálním médiem je již zmíněný šifrovaný tunel. Na obou stranách musí být odpovídající hardwarové i softwarové vybavení na straně hraničních routerů, firewallů či jiných speciálních zařízení.

Rozcestník 14.–16. strana Průvodce útoky na síti Ethernet 18.–19. strana Hrozby z hlubin internetu 20.–21. strana Co nabízí moderní kryptografie 22.–23. strana Obrana na perimetru sítě 24.–25. strana Řízení přístupu do sítě s NAC

26.–27. strana Rizika Instant Messagingu a P2P komunikace 28.–29. strana Outsourcing bezpečnostního správce 30. strana Co dokáží inteligentní sítě 31. strana Úvaha o přežití bezpečnostních auditů

téma

Hlavní výhodou tohoto řešení je skutečnost, že pro uživatele je zcela transparentní. Tím se vyloučí nejpravděpodobnější zdroj chyb, kterým je nepochybně lidský faktor. Pokud je tato technologie správně implementována, je vyloučeno, aby data mezi pobočkami putovala v nešifrované podobě. Stejně jako v jiných oblastech i zde existují proprietární i standardizovaná řešení, ale také řešení označovaná jako „industry standard“.

VPN novinky Použití VPN je dnes naprostou samozřejmostí. Dříve se používalo pro autentizaci do VPN jméno a heslo, a pokud autentizace proběhla úspěšně, byl uživatel připojen do vnitřní sítě a měl zpravidla přístup ke všem zdrojům. V současné době se začíná použí-

se počítače testují na přítomnost posledních patchů, originální firemní instalaci, přítomnost a nastavení příslušné PFW, poslední verzi antiviru, zda je antivirus aktivní, či jiná nastavení a další podmínky. Pokud tyto podmínky nejsou splněny, je uživatel připojen do speciální oddělené, a pro tento účel vytvořené, části podnikové sítě, kde má možnost instalovat patche, antivir či splnit další podmínky. Pak se připojí znovu, a pokud splňuje veškeré podmínky, je připojen do podnikové sítě.

802.1x 802.1x je poměrně známý standard a nejedná se o žádnou novinku. O tomto standardu se mezi odbornou veřejností mluví již delší dobu. Pokud si uvědomíme skutečný význam této věty, tak zjistíme, kde je ten

Standard 802.1x je výrazným posunem v nárocích na správu a v úrovni zabezpečení. Funguje tak, že switch dříve, než nějakému počítači dovolí vysílat, ověří jeho právo komunikovat v této síti. K tomuto ověření se užívá protokol RADIUS, jenž používá jednu ze dvou metod autentizace. Jedná se o autentizaci jménem a heslem či certifikátem, který může být uložen na čipové kartě či tokenu. Z tohoto popisu je jasné, v čem spočívá posun v bezpečnosti. Domnívám se, že momentální trend bude směřovat k praktické aplikaci standardu 802.1x v kombinaci s tokeny. Uživatel bude mít jeden token, na kterém bude několik různých šifrovacích klíčů a certifikátů. Sice bude náročnější prvotní implementace infrastruktury, ale pro uživatele se vše zjednoduší a zároveň se výrazně

Aplikace integrovaných bezpečnostních řešení pro klienty se může ukázat jako chybná vat vícefaktorová autentizace. Asi nejčastější formou autentizace je použití autentizačních předmětů (čipové karty a tokeny), které jsou rozumným kompromisem mezi kvalitní drahou biometrikou a jménem a heslem. Ve většině případů je uživateli umožněna autentizace autentizačním předmětem, který je chráněn heslem nebo jen jménem i heslem. Hlavní rozdíl pak spočívá v tom, že při autentizaci již zmíněným autentizačním předmětem má uživatel plný přístup ke zdrojům stejně, jako kdyby seděl v práci. Pokud se uživatel autentizuje jménem a heslem, tak má pouze omezený přístup k informačním zdrojům organizace. I zde však zůstává výhoda naprosté transparentnosti. Další podstatnou změnou v užívání VPN, která vede k výraznému zvýšení úrovně zabezpečení je skutečnost, že po úspěšné autentizaci není uživatel se svým počítačem automaticky připojen do VPN, ale je jeho počítač komplexně zkontrolován. Předmětem této kontroly můžou být různé parametry. Nejčastěji

problém. Spočívá v tom, že se o něm dlouho mluví a v některých velmi specializovaných společnostech se teprve začínají dělat pilotní projekty. Fakt, že 65-80 % útoků pochází z vnitřní sítě, ví už téměř každý, kdo se touto problematikou jen trochu zabývá. Metod, jak „ošálit“ switch a tím jej donutit, aby útočníkovi posílal pakety, které si přeje, je mnoho a jsou poměrně detailně popsány a známy (ať už se jedná o zahlcení switche, nebo využití nedokonalosti ARP protokolu). Aby se předešlo k připojování nedůvěryhodných počítačů do firemní infrastruktury a zároveň odpadly rutinní úkony, které souvisejí s fixací MAC adresy na port switche, začala se používat technologie VMPS. Tato technologie zařazuje počítače do jednotlivých VLAN na základě předem vytvořeného seznamu. Nároky na administraci jsou menší a navíc tato technologie umožňuje volný pohyb počítače v síti organizace, což logicky není možné při pevné vazbě MAC adresy na port konkrétního switche.

zvýší úroveň zabezpečení. Ke zvýšení úrovně zabezpečení přispěje i fakt, že uživatel bude mít jeden token a k němu jeden PIN. To, že na tokenu bude uloženo několik šifrovacích klíčů a certifikátů, uživatel v podstatě vůbec nezaznamená, a tak bude mít certifikát pro přihlášení do adresářových služeb, do pošty, na chráněné weby atd. K tomu na tokenu budou klíče pro PGP, šifrování HDD apod. Ke všemu bude používán jen jeden PIN a můžeme doufat, že uživatelé si svá hesla přestanou zapisovat do notesu mobilu či dokonce na žluté papírky, které lepí na monitor.

Honeypot Myšlenka honeypots (medových hrníčků) rozhodně také není otázkou posledních měsíců. Stejně jako mnoho jiných myšlenek, i tato se začíná v praxi ujímat nyní, přestože ji odborníci znají již delší dobu. Tato myšlenka je založena na tom, že správce vytvoří systémy, které nemají řádné zabezpečení a pozorně sleduje dění na těchto systémech. inzerce ▼

MOBILITA PRO VAŠE DATA Q Automatická identifikace čárovými kódy i RFID Q WMS Accellos – řízené sklady Q Evidence majetku Q Mobilní aplikace Q Řízení výroby a dosledovatelnost KODYS, spol. s r. o. Hošťálkova 7/520, 169 00 Praha 6 +420 233 097 911 www.kodys.cz

téma

Již v této fázi je nutné udělat první koncepční rozhodnutí. Pokud útoků na naši organizaci je dost a chceme monitorovat pouze reálné útoky, průzkumy či nové viry, vytvoříme „produkční“ honeypot. Tento typ honeypotu se vyznačuje tím, že není veden v DNS, nevedou na něj žádné hyperlinky ani jiné odkazy. Jeho hlavní výhodou je naprosto nulové množství falešných poplachů. Pokud totiž vyjdeme z myšlenky, že systém, který neposkytuje žádné služby a nemá žádnou produkční hodnotu, nemá existovat, dojdeme logicky k závěru, že každou komunikaci s „produkčním“ honeypotem lze chápat jako útok. Pokud však chceme studovat nové metody útočníků, virů atd., pak zvolíme „studijní“ honeypot. Tento typ je v některých

podstrčíme skutečně nezabezpečený systém, a veškerou síťovou komunikaci budeme monitorovat a vyhodnocovat. Asi nejpoužívanější možností jak realizovat honeypot jsou specializované SW, které simulují např. router Cisco, některý z webserverů či např. OpenRelay server. Honeypoty dělíme dále do dvou základních skupin. Jsou to tzv Low-interaction a High-interaction. Zatímco Low-interaction poskytují často pouze přihlašovací „okno“, či se jen tváří jako nějaká služba, a neumožňují sledovat chování útočníka po proniknutí do systému, High-interaction dávají útočníkovi k dispozici nejen službu či její část, ale celý stroj včetně operačního systému. Nevýhodou Low-interaction honeypots je skutečnost, že se dozvíme výraz-

Pokud má být nasazení karet či tokenů úspěšné, musí autentizační předmět pokrývat více oblastí oblastech přesným protikladem produkčního honeypotu. U tohoto typu honeypotu volíme „lákavé“ DNS jméno např. fw.firma. cz, firewall.firma.cz, mail.firma.cz apod. Ve vnitřní síti se pak použijí jména typu „vyplaty“, „personalni“ atd. Takto zvoleným jménem si zajistíme dostatek materiálu pro další studium potenciálního nepřítele. Honeypots jsou systémy, které mají za úkol činit dojem, že nejsou řádně zabezpečeny a že jsou na nich „zajímavá“ data nebo že jejich kompromitací získá útočník strategický přístup. Ve skutečnosti na těchto strojích nejsou žádná důležitá data, nebo se jedná o data záměrně změněná. Nyní je třeba si ještě říci, proč se tzv. honeypots vlastně dělají a jaké jsou jejich cíle, což se dá shrnout do několika bodů: Chceme studovat nové metody útoků, chování útočníků, virů, červů atd. Máme podezření na to, že se nás někdo snaží kompromitovat a chceme ho zjistit a mít dostatečně jasné „důkazy“. Kdo si hraje, nezlobí – útočník, který se zabývá našimi nastraženými systémy, nemá čas hledat ty skutečné a útočit na ně. Jedná se vlastně o jakési odpoutání pozornosti útočníka. Ve skutečnosti na těchto strojích nejsou žádná důležitá data, nebo se jedná o data záměrně změněná. Honeypot je možné realizovat pomocí virtuálního stroje (UML, Wine, Wmware), který běží na dobře zabezpečeném systému, který zároveň loguje chování útočníka. Další možností je, že útočníkovi

12


ně méně informací než u High-interaction, neboť tam je možné sledovat i to, co útočník dělá, jak se snaží za sebou „zametat stopy“ atd. Low-interaction honeypots mají tu podstatnou výhodu ve zpracování nasbíraných údajů, neboť to je obvykle podstatně jednodušší. To je způsobeno tím, že sw honeyd a další podobně založené sw ukládají chování útočníka do jednoduchých textových souborů, kdežto u High-interaction honeypots je nutné použít prostředky typu tcpdump, a vyhodnocení činnosti útočníka je samozřejmě o mnoho náročnější.

Personal Firewall (PWF) Nejrozšířenější OS na desktopech jsou MS Windows a i přes možnost aktualizace pomocí služby Windows Update zůstává mnoho počítačů bez potřebných a často kritických aktualizací. Problém je v tom, že uvnitř firmy je notebook chráněn firewallem, ale když se uživatel připojí pomocí mobilního telefonu či jiného nedůvěryhodného kanálu, je počítač vystaven do internetu a to i se všemi případnými chybami. Vezměme si jako příklad z poslední doby závažnou chybu v SSL, která umožňovala útočníkovi získat administrátorský shell. Tato chyba samozřejmě existovala již dříve. Jak dlouho o ní někteří lidé věděli, můžeme jen spekulovat. Personal firewall slouží mimo jiné k tomu, že řídí a zaznamenává veškerý síťový provoz. Některé personal firewally mají též tzv. Systémový modul, který řídí lokální procesy. Tímto modulem je možné eliminovat, aby jeden program spus-

til jiný bez vědomí uživatele, což je princip, na kterém je založena většina červů. Pokud má uživatel správně nastavena pravidla pro komunikaci, tak se bezpečí dat uložených na jeho počítači výrazně posouvá tím správným směrem. V ideálním případě by měly být personální firewally instalovány a řádně konfigurovány na všech PC s OS od Microsoftu. Je totiž velmi důležité si uvědomit, že 65-80 % útoků pochází z vnitřní sítě. Podstatná je možnost centrální konfigurace všech firemních PFW nebo jejich skupin, které si administrátor definuje.

Shrnutí trendů Odpovědní lidé si uvědomili, že osobní firewall je v dnešní době nutnost. Tím se trh výrazně zvětšuje a firmy vyvíjející tyto

SecureARP (SARP) Slabiny ARP protokolu jsou známé a bohužel hojně zneužívané. Asi nejčastěji zneužívanou slabinou je jednoduchá možnost zahlcení switche generováním velkého množství nesmyslných ARP paketů. Switch se pak začne chovat jako hub a útočníkovi již nic nebrání v odposlechu veškeré komunikace, která často probíhá nešifrovaně. Útočník pak může odposlechnout například hesla na vnitřní i vnější FTP, WWW servery či hesla do různých aplikací, kde se nepoužívá šifrovaná autentizace. Takových je bohužel stále velké množství. Tato metoda je velmi jednoduchá a není příliš sofistikovaná. Druhá nejvíce zneužívaná metoda je výrazně sofistikovanější a také účinnější. Tato metoda neútočí na switch, ale na koncové stanice. Její využití sice klade o něco vyšší nároky na technické dovednosti, ale má tu podstatnou výhodu, že útočník si vybere dva body v síti (typicky nějaký server a PC jednoho uživatele, jehož data chce získat) a pomocí slabiny v ARP protokolu zařídí, že veškerý provoz mezi vybranými dvěma body jde přes jeho počítač a on si data ukládá a později je analyzuje a zneužije. Tato metoda je založena na faktu, že koncová stanice si uloží ARP záznam i v případě, že si ho nevyžádala. Útočník tedy posílá falešné ARP záznamy na obě stanice, pak stanice posílají data jemu místo legitimnímu partnerovi komunikace. Útočník pak jen zařídí na svém počítači přeposílání těchto paketů na správný cíl, aby se komunikace nepřerušila. Přesto, že to na první pohled vypadá složitě, je to velmi jednoduché, zvláště přihlédneme-li k faktu, že existují step-by-step návody. SARP je návrh protokolu, který si klade za cíl nahradit ARP a odstranit některé jeho neduhy. Draft je možné si prohlédnout na adrese www.asknet.cz/drafts/draft-sarp.txt.

téma

Authenticated Mail Transfer Protocol (AMTP) Authenticated Mail Transfer Protocol je návrh protokolu, který by případně měl nahradit lehce zneužitelný SMTP. Tento protokol si neklade za cíl zcela zamezit spamům, ale bude složitější je šířit, neboť AMTP server bude ověřovat klienta. Pokud by si spammer „rozběhl“ svůj AMTP server, byl by lehce vystopovatelný a většina správců by takovýto server okamžitě zakázala. Zmíněný draft je možné si prohlédnout na adrese: www.asknet.cz/drafts/draft-amtp.html.

produkty jsou ochotny více investovat do vývoje. Tento trend je znát zejména v následujících změnách: Přívětivějším ovládáním pro uživatele. Faktem zůstává, že uživatelé většinou nemají dost znalostí ke kvalifikovanému nastavení a administrátor toto uživatelsky přívětivé prostředí nepotřebuje. To pak v důsledku vede k tomu, že si takovéto produkty konfigurují uživatelé, kteří zpravidla nemají dostatek znalostí, a tím produkt v podstatě znehodnotí. Daleko důležitější pro správce a lidi odpovědné za bezpečnost je možnost nastavovat PFW centrálně a tím odpadá mnoho rutinní činnosti, která s sebou nese nároky na čas, peníze, sklon k chybám. S rozvojem a nárůstem počtu mobilních zařízení se rozvíjí i nasazení PFW. Z toho vychází i trend, kterým je nasazování firewallů na tato mobilní zařízení, neboť se připojují z různých míst. Mobilními zařízeními jsou v současné době myšleny samozřejmě notebooky, ale pro budoucnost se zde otevírá obrovský trh mobilních telefonů, PDA a dalších obdobných zařízení. Dále existuje směr, který lze víceméně považovat za negativní, byť jde o subjektivní vjem. Některým společnostem se daří velmi úspěšně prosazovat filozofii All in One, která se v drtivé většině případů ukazuje jako chybná. Bohužel argumenty pro tato řešení jsou velmi silná (cena a fakt, že zákazník má jednoho partnera). Bod číslo dvě se ukazuje jako mylný, protože mít jednoho partnera může mít zákazník i při aplikaci filosofie Best of Breed. Tento bod se netýká pouze segmentu PFW, ale celého segmentu bezpečnosti.

ne notebook nebo stolní počítač a má téměř všechna data. Novinkou v této oblasti je především skutečně kvalitní šifrování na síťových discích, což je i technologicky poměrně náročné. Nicméně již existují produkty, které to zvládají. Další poměrně nově užívanou vlastností, která má velký potenciál růstu, je možnost, nikoli nutnost, začlenění do PKI (infrastruktura veřejných klíčů). Z toho vyplývá, že společnosti, které PKI využívají (například pro VPN) mohou jednoduše šifrovací sw integrovat a výrazně tím sníží nároky na administraci. Důležitým faktorem je, že šifrování musí pracovat zcela transparentně bez spolupráce s uživatelem. Jen tehdy to má naději na úspěch. Nasazení takovéhoto produktu samozřejmě přepokládá možnost organizace řidit šifrování a také, že organizace musí mít možnost obnovy ztracených klíčů a nařizovat zaměstnancům, jak budou šifrování používat.

Čipové karty Čipové karty se začínají používat v bankách místo dosavadních bankovních karet a také je banky nabízejí pro uložení certifikátu, pro internetové bankovnictví. Nesnáz je ovšem v tom, že klasické stolní počítače ani notebooky nemají standardně čtečky čipových karet a je nutné používat externí čtečky, které nejsou levné. Hlavní překážkou pro rozšíření čipových karet je pohodlí uživatelů. Nikdo s sebou nechce tahat externí čtečku čipových karet, která je relativně veliká. Tento problém se však dá vyřešit používáním USB tokenu, který je k tomu určen a respektuje standard PKCS#11. Některé tyto tokeny mají

celosvětově uznávané bezpečnostní certifikace FIPS. Jedná se například o tokeny od společností Rainbow či Aladin. Výhodou těchto tokenů je jejich velikost. Jsou relativně malé, vůbec nepřekáží, jako přívěšek na klíčích. Vzhledem k tomu, že výrobci s tímto počítali, není nutné se bát nějakého opotřebení. Při těchto rozměrech zmíněné tokeny používají stejné čipy a algoritmy jako klasické čipové karty. Důvodem, proč se tyto tokeny a čipové karty ujímají tak pomalu, je fakt, že většina dodavatelů ke svému řešení zcela nesmyslně dodává svou čipovou kartu či token a s dalším produktem dostane uživatel další kus hardwaru, což je samozřejmě neakceptovatelné. Pokud má být nasazení čipových karet, či ještě lépe tokenů, úspěšné, musí zmíněný autentizační předmět řešit více oblastí. V jednom příkladu z praxe má uživatel jeden malý token a používá jej pro následující činnosti: Přihlášení do sítě. Autentizace do VPN. Uložení PGP klíčů. Uložení klíčů pro šifrování částí HDD. Uložení certifikátu pro MS Outlook. Uložení certifikátů pro některé weby. A plánuje se certifikát pro technologii standard 802.1x. Podle zkušeností je nutné zákazníkovi nabídnout komplexní řešení. Teprve pak bude uživatel ochoten nosit u sebe nějaký autentizační předmět. To současně můžeme vztáhnout na jakoukoli oblast bezpečnosti podnikového IT. Komplikované postupy mají jen malou šanci na prosazení. Pamatujme, že bezpečnost není produkt, ale proces, který bere v potaz i potřeby uživatelů. ❑ inzerce ▼

Šifrování částí HDD Většina softwaru pro šifrování disků měla do nedávné doby pouze omezenou funkčnost a nezřídka jsme se setkávali spíše s kódováním než s kvalitním šifrováním. Tyto problémy nyní již pominuly a společnosti i jednotlivci si začínají uvědomovat, že se jedná o nutnost. K čemu mi je perfektní síťová ochrana, když někdo ukrad-


13

technologie

POZNEJ SVÉHO NEPŘÍTELE Nejznámější útoky v síti Ethernet

Přenos dat v síti může být předmětem různých typů útoků. Základem jakékoli obrany musí být i jejich důkladná znalost. V tom vám pomůže následující text, který rozebírá nejznámější způsoby a praktiky útoků na počítačové sítě.

P

rvním ze základních typů je útok opakováním (replay attack). Tento útok spočívá v odposlouchávání části komunikace mezi dvěma autentizujícími se stranami a následném použití odchycených dat k autentizaci útočníka. Jednoduchou obranou je použití metody časové pečetě anebo techniky výzva – odpověď. Pro odposlouchávání probíhající komunikace se používají analyzátory paketů tzv. sniffery (sniffing – slídění). Sniffery jsou zařízení pracující v pasivním režimu (síťový adaptér je v promiskuitním režimu), které zachycují síťové pakety. Jejich původním účelem bylo analyzovat síťový provoz (např. zjištění nedostatečného výkonu části sítě). Analyzátory paketů se liší kromě jiných funkcí i analýzou jednotlivých protokolů. Obvykle platí, že většina současných analyzátorů analyzuje minimálně protokoly Ethernet, TCP/IP a NetBIOS.

Man in-the-middle-attack Druhým základním typem je útok ze středu (man in-the-middle-attack), jinak zvaný též zrcadlový útok, respektive spoofing (navádění k nekalé akci, resp. předstírání identity). Spoofing je technika, kde se jeden počítač prokazuje druhému počítači falešnou identitou (např. IP adresou důvěrného zdroje). Útok je založený na odposlouchávání komunikace mezi oběma stranami. Způsob útoku závisí i na typu sítě. V případě sdíleného Ethernetu jsou všechny počítače připojené na jedné sběrnici a paket určený konkrétnímu počítači je odeslaný přes hub všem ostatním stanicím. Každý počítač vyhodnotí, zdali paket byl určen právě jemu či nikoliv, v případě že ano, pošle paket k dalšímu zpracování. V opač-

AUTOR

Tomáš Loveček

14

Pracuje jako odborný asistent na Žilinskej univerzite, Fakulta špeciálneho inžinierstva, katedra bezpečnostného manažmentu.


ní ARP echo paketů (požadavek o překlad IP adresy na MAC adresu), kde po obdržení ARP Reply paketu je zřejmý stav síťové karty. Obranou proti přepnutí do promiskuitního režimu je omezení administrátorských práv uživatelů a zabránění možnosti bootování vlastního operačního systému, nejlépe heslem v BIOSu. V prostředí s přepínaným Ethernetem, jsou jednotlivé počítače připojené zařízením (např. switch resp. router), které zabezpečují přenos dat jen k adresátovi a ne všem počítačům v síti. I když se na první pohled zdá, že přenos dat v prostředí s přepínaným Ethernetem je o mnoho bezpečnější, tak ve skutečnosti tomu tak není. Za základní útoky v přepínaném Ethernetu se považují ARP Spoofing, DHCP Spoofing, MAC Flooding, Port Stealing anebo DNS Spoofing. Pojďme se na ně nyní blíže podívat.

ném případě jej zahodí. V takové síti stačí, když útočník přepne svůj počítač do promiskuitního režimu a může sledovat tok dat přenášených po síti. Síťová karta je standardně zapnuta v normálním režimu. Pokud se karta nachází v promiskuitním režimu, dá se předpokládat útok. Odposlouchávání může vykonávat některé legálně diagnostické zařízení anebo útočník. Síťová karta musí být v promiskuitním režimu, nejen v případě odposlouchávání na sdíleném Ethernetu, ale i při některých útocích v přepínaném Ethernetu (např. Port stealing, MAC Flooding). Při ostatních útocích (např. ARP Spoofing) se nevyužívá promiskuitní režim. Výhodou je, že většina softwarových nástrojů automaticky přepíná síťové karty do tohoto režimu, i když není potřebný. Útočník si často není vědomí této skutečnosti a dává tak šanci být jednodušeji odhalen. Nejjednodušším způsobem odhalení útoku je zasílání ICMP echo anebo ARP paketů. Do hlavičky datového rámce se umístí MAC adresa FF:FF:FF:FF:FF:FE a IP adresa testovaného počítače. Takový rámec je odeslaný a switch, respektive hub jej rozešle na všechny svoje porty (switch jako nesměrové vysílání), kromě portu odkud byl odeslaný. Každá síťová karta má v sobě zabudovaný hardwarový filtr, který by měl rozhodnout ARP Spoofing o propuštění anebo zahození rámce. V případě, že je karta přepnutá do promiskuitníARP Spoofing resp. ARP Cache poiho stavu, předá tento paket dále. Zde však soning je technika, která využívá slabin čeká další softwarový filtr opeUkázka útoku ve vzdáleném Ethernetu račního systému, který rozhoduje v podstatě o tom samém. Tento filtr se dá obejít tím, že rámec bude obsahovat specifickou MAC adresu, kterou tento odesílatel (oběť) adresát MAC 01-23-45-67-89-AB MAC-02-45-67-89-CD softwarový filtr předá a systém odpoví ICMP Replay paketem. Jestliže se tak stane, je zřejmé, že síťová karta je v nežádoucím režimu a pravděpodobně dochází k odposlouchávání útočník síťové komunikace. Podobně je MAC-04-23-45-67-89-CD MAC 03-23-45-67-89-EF možné postupovat i při zasílá-

technologie

adresu s cílovou IP adrery v síti. Na uvedený paket všechny DHCP sou uvedenou v ARP servery odpoví paketem DHCP Offer, ve request paketu. V přípakterém mu nabízejí parametry připojení. MAC 02-23-45-67-89-CD 5portový switch dě, že shoda nenastane, Nicméně zde platí pravidlo nejrychlejšího. IP 168.193.1.60 Port 1: MAC 01-23-45-67-89-AB Port 2: MAC 02-23-45-67-89-CD paket se zahodí, jestliže Právě nejrychlejšímu DHCP serveru odpoPort 3: MAC 03-23-45-67-89-EF adresát Port 4: MAC 04-23-45-67-89-GH dojde ke shodě, příslušný vídá počítač paketem DHCP Request, ktepočítač odešle svoji MAC rým žádá o dané parametry. Následně server ARP tabulka MAC/IP adresu na počítač, který odešle paket DHCP Ack, ve kterém potvrzu02-23-45-67-89-CD/168.193.1.60 falešný ARP paket danou žádost inicioval. je, že je všechno dohodnuto. V podstatě při MAC/IP vysílaný MAC 01-23-45-67-89-AB 04-23-45-67-89-GH/168.193.1.60 útočníkem Aby odesílatelův počítač tomto „zločinu“ stačí zabezpečit, aby „falešnemusel vykonávat tento ný“ DHCP server byl co nejrychlejší. proces při každé komuV případě, že počítač již byl v minulosútočník MAC 04-23-45-67-89-GH nikaci znovu, vyčleti připojený do sítě, je přesměrování dat na MAC 03-23-45-67-89-EF IP 168.193.1.59 ARP tabulka ní si část paměti (ARP falešnou gateway o něco složitější. V tomto MAC/IP 02-23-45-67-89-CD/168.193.1.60 Cache), kde tyto údaje případě počítač oběti posílá jen paket DHCP MAC/IP o IP a MAC adresách Request a to serveru, od kterého naposledy odesílatel (oběť) 04-23-45-67-89-GH/168.193.1.60 dočasně uchovává. získal IP adresu. V tomto případě při útoku Útok ARP Spoofing je vhodné využít parametr DHCP servespočívá v tom, že počítaru tzv. lease time, který udává, jak dlouho či oběti je zaslán paket, má koncové zařízení přidělenou IP adresu. který jej přesvědčí o tom, že počítač adresáta Před uplynutím stanovené doby, musí kažARP protokolu (Adress Resolution Protomá MAC adresu útočníka. Stejným způsodý klient požádat o prodloužení právě této col). ARP protokol byl navržený v dobách, bem se přesvědčí počítač adresáta, že cílodoby. V opačném případě DHCP server kdy se o bezpečnosti moc nehovořilo, proto považuje danou IP adresu za volnou a může nemá ani žádné ochranné mechanismy. Síťo- vá MAC adresa oběti je totožná s adresou útočníka. Tím se dosáhne toho, že počítače ji přidělit dalšímu koncovému zařízení. Aby vé zařízení jako switch pracuje na linkové odesílatele a adresáta pro vzájemnou komubylo možné odstavit skutečný DHCP server vrstvě a data adresuje pomonikaci budou dosazovat MAC adresu útoča nahradit jej falešným serverem s upravecí MAC adres. Každý níka, kterému i switch bude zasílat příslušná nými parametry, je potřeba zahltit původswitch má data. Útočník si data prohlédne a přepošle ní server požadavky na přidělení IP adres. je dále adresátovi, kterému byly původně Až se vyčerpají všechny možnosti, skutečný určené. Hlavním problémem pro útočníka server přestane odpovídat na pakety DHCP je přesvědčit komunikující strany o falešDiscover, poněvadž nebude mít co nabídných MAC adresách. Toho je možné dosáhnout. Potom jen stačí počkat, až oběti vyprnout například odesláním pingu s falešnou ší lease time (např. během víkendu, kdy MAC adresou odesílatele, tj. útočníka. Dále je zařízení dlouhodobě vypnuté) a zabrat v sobě paměť, je potřebné zajistit, aby falešné ARP pakei jeho IP adresu. Tímto se dosáhne toho, do které si ty byly zasílány v pravidelných intervalech že počítač bude muset znovu vyslat paket ukládá MAC (např. po 10 sekundách) a to z důvodu přesDHCP Discover, neboť původní adresa je adresy koncových zařízení, nosti těchto údajů v ARP Cache. Tento útok už obsazená. V tomto okamžiku nastupujež jsou k němu fyzicky připoje možné nejlépe detekovat přímo na switje do hry „falešný“ DHCP server s uprajeny. V případě, že do switche chi a to pomocí služby DAI (Dynamic ARP venými parametry ve prospěch útočníka. dorazí datový rámec, který v hlavičInspection) anebo služby DHCP Snooping. Pokud se podaří oběť oklamat, komuce obsahuje cílovou MAC adresu, switch na nikace směrem do internetu bude probízákladě údajů v tabulce rozhodne, na kteDHCP Spoofing hat přes falešnou gateway, čímž je možné rý port má tato data přeposlat. Jelikož propříslušným softwarem (např. Ettercap) sletokol ARP slouží k překladu IP adres na Tento útok využívá tu skutečnost, že v jeddovat přenášená data. Avšak data vraceMAC adresy, uživatel obvykle pouze pozná né LAN síti může fungovat více DHCP serjící se z internetu, přijdou na skutečnou IP adresu osoby, které chce data doručit. verů. Připomeňme si, že protokol DHCP gateway a ta je pošle skutečnému uživaARP protokol slouží k tomu, aby na základě (Dynamic Host Configuration Protocol) teli přímo. Proto, jestliže je cílem zachytit zadané IP adresy cílového počítače vyhleslouží k dynamickému přidělování síťodal jeho příslušnou MAC adresu. Z důvových parametrů koncovým zařízením. Cílem i data přicházející z internetu, je potřeba použít jinou metodu (např. DNS Spoofing). du potřebného spárování obou adres (IP tohoto útoku je nasadit v síti „falešný“ a MAC) vyšle odesílatelův počítač paket DHCP server a pod(tzv. ARP request). ARP request paket slouží strčit oběti nové údaje Útok DHCP Spoofing jako žádost, aby se ozval počítač, který má (např. falešnou gateway svoji IP adresu shodnou s IP adresou nachá- anebo DNS server). Jak zející se v datové části paketu. V hlavičce odesílatel (oběť) to funguje? Jakmile se switch gateway tohoto paketu se skrývá IP adresa odesílatepočítač oběti poprvé internet le a adresáta. MAC adresa cílového počítapřipojí do sítě, pošle če v ARP request paketu uvedená v hlavičce paket DHCP Discodatového rámce je FF.FF.FF.FF.FF.FF (adresa ver, který má adresu Data přicházející z internetu Data odcházející z internetu nesměrovaného vysílání), což způsobí rozenesměrového vysílání. falešná gateway útočník slání tohoto rámce všem počítačům fyzicky Tímto paketem žádá, připojených k danému switchi. Každý počíaby se zpět ozvaly tač předá tento rámec a porovná si svoji IP všechny DHCP serve-

Útok ARP Spoofing


15

technologie

Útok MAC Flooding

MAC 01-23-45-67-89-AB

switch

odesílatel (oběť) MAC 03-23-45-67-89-EF

Obrana proti tomuto útoku probíhá pomocí služby DHCP Snoofing. Princip spočívá v tom, že porty na switchi se rozdělí na „trusted“ (důvěryhodné) a „untrusted“ (nedůvěryhodné). Pokud se na port switche připojí DHCP server anebo jiný switch podporující tuto službu, přiřadí se mu stav „trusted“. Všechny ostatní porty jsou pak „untrusted“. V případě, že uživatel požádá o IP adresu z falešného DHCP serveru, který je připojený na „untrusted“ port, switch tuto nesrovnalost rozpozná a paket zahodí. Jestliže se na port switche připojí další switch, který nepodporuje DHCP Snoofing, je potřebné přiřadit tomuto komunikačnímu portu stav „untrusted“. V případě dynamického přidělování IP adres tuto službu využívá i již zmiňovaná služba DAI. Jestliže na „trusted“ port switche je zaslaný ARP paket, přepošle se dále. V opačném případě je tento paket dále verifikovaný (souhlasnost IP a MAC adres). Pokud jsou IP adresy pracovních stanic definované staticky, služba DAI využívá DAI Access Lists, který je potřeba ručně nastavit.

MAC Flooding Aby switch věděl, na který port má odeslat příslušný datový rámec, má v sobě zabudovanou tzv. CAM tabulku (Content Addressable Memory). V této tabulce má switch uložené páry jednotlivých portů switche a MAC adres. Tato tabulka má určitou kapacitu (tisíce až statisíce párů adres), proto je tabulka v určitém časovém intervalu promazávána. Tabulka je zpočátku prázdná a switch ji naplňuje na základě přicházejících rámců na jednotlivé porty. V případě, pokud se zdrojová MAC adresa přicházejícího rámce v tabulce nenachází, switch si ji zaznamená. Útok MAC flooding je založený na naplnění CAM tabulky MAC adresami a na broadcastovém rozesílání rámce v případě jeho naplnění. Útočník může zasílat pakety na switch s náhodně generovanými cílovými a zdrojovými MAC adresami, čímž dosáhne naplně-

16


ní CAM tabulky. Po zaplnění CAM tabulMAC 02-23-45-67-89-CD ky se switch přepne IP 168.193.1.60 do stavu fail open a chová se jako hub. Avšak některé switHUB che se po naplnění tabulky chovají tak, že rámce se zapsanýdatové rámce s různými zdrojovými mi MAC adresami MAC adresami v tabulce nadále přeposílají na příslušné počítače. Rámce, které nestihly evidovat útočník MAC 04-23-45-67-89-GH svoji výchozí MAC adresu, jsou zasílány na všechny počítače. V takovém případě je útok zdlouhavější a je potřeba vyčkat na vymazání, resp. vytlačit záznamy oprávněných počítačů.

Port stealing Tento způsob útoku je založený na krádeži portů. Toho se dosáhne díky tomu, že switch si aktualizuje CAM tabulku po přijetí paketu. Nejdříve si útočník zjistí, jakou má adresát MAC adresu. Následně začne posílat upravené pakety, které budou mít cílovou MAC adresu shodnou s adresou útočníka a zdrojovou MAC adresu s adresou adresáta. Po odeslání upraveného paketu, switch přiřadí adresátovi nový port, tj. port útočníka. V momentě kdy odesílatel odešle paket adresátovi, switch tento paket přesměruje na počítač útočníka. Následně je potřebné odeslat zachycený paket dále adresátovi, aby nedošlo k odhalení odposlouchávání. V posledním kroku je potřebné opět poopravit CAM tabulku a to například odesláním ARP Request paketu na počítač adresáta, čímž se vyvolá reakce v podobě ARP Replay. V případě, pokud se útok vykonává tak, že upravený paket má cílovou adresu shodnou s adresou útočníka, je těžké takovýto útok vysledovat, jelikož switch už dále tento paket neposílá. Obrana proti tomuto útoku a útoku MAC Flooding opět spočívá ve využití služby DHCP Snooping. Všechna data přicházející z „untrusted“ portu jsou zahazována, pokud není nastavena zdrojová MAC a IP adresa pracovní stanice, podle záznamu v DHCP Snooping tabulce pro daný port. Oba tyto útoky potřebují měnit MAC adresy, což je odhaleno při porovnávání s hodnotami v této tabulce.

DNS Spoofing Další typ útoku spočívá v podvrhnutí IP adresy v paketu, který se vrací jako odpověď na žádost o překlad doménového jména na IP adresu. Při tomto typu útoku, může být provoz sítě přesměrován mimo lokální síť, což například pomocí ARP

Spoofingu není možné. Uživatel využívá k překladu doménových jmen DNS Resolver. DNS Resolver je sada požadavků, které slouží k práci s DNS protokolem. Při překladu doménového jména položí DNS Resolver požadavek na DNS server, který je nastavený na dané stanici. Jakmile dostane odpověď, uloží si ji v lokální DNS Cache pro případné další použití. Doba uložení záznamu v DNS Cache se deklaruje na DNS servery a je součástí odpovědi serveru. Po vypršení této doby je záznam smazán a při potřebě se provede opětovný překlad. Stejně jako v případě DHCP protokolu platí, že první odpověď vyhrává. Proto cílem tohoto útoku je zfalšovat DNS server a doručit odpověď oběti dříve než pravý DNS server.

Braňte se! Všechny zmíněné útoky jsou charakteristické tím, že útočník se musí připojit do lokální sítě LAN. Prvotní ochranou proti tomuto typu útoku je zamezení uživatelům instalovat libovolný software. Tímto se riziko přesměrování datového toku sníží na akceptovatelnou úroveň. Stále však hrozí riziko, že se útočník připojí do některé z volných zásuvek vlastním počítačem vybaveným příslušným softwarem. Huby, switche, resp. routry, jsou často umístěné na jednom místě, nejčastěji v rackové skříni, která by měla být spolu s místností uzamčená. Rozvod LAN sítě bývá realizovaný strukturovanou kabeláží, což představuje vedení párů kroucené dvojlinky ve stěnách, s vývody v síťových zásuvkách na různých místech v budově. Pomocí některé z metod sociotechniky, se může útočník bez problémů dostat k některé z těchto zásuvek a připojit se do lokální sítě. Proto nejúčinnější je pravidelné kontrolování těchto zásuvek. Mezi nejjednodušší metody patří sledování led diod na switchi anebo fyzické odpojení nepoužívaných zásuvek na patch panelech. Další metodou je skenování sítě zasíláním ICMP echo paketů. Tato metoda má tu nevýhodu, že ICMP pakety je možné blokovat pomocí firewallu. Proto je výhodnější zasílat ARP request pakety, které se tímto způsobem nedají blokovat. Sofistikovanější metodou je ověřování uživatelů pomocí protokolu EAPOL (Extensible Authentication Protokol over LAN). Tento protokol filtruje porty na switchi. Pokud se uživatel chce připojit do sítě, musí se přihlásit. EAPOL protokol neurčuje způsob autentizace, ale přenechává jej na vyšší vrstvě, čímž je možné použít různě prostředky identifikace (např. heslo, čipová karta, USB token). Totožnost se neověřuje přímo na switchi, ale pomocí autentizačního serveru. Switch autentizační pakety jen přeposílá. ❑

technologie

HROZBY INTERNETOVÝCH HLUBIN Pharming, phishing, spam a další neduhy internetu V řadě případů se označení síť stalo synonymem pro internet, který skutečně prostupuje do větších podnikových sítí i do menších lokálních (v domácnosti nebo nevelké kanceláři). S tím ale mohou proniknout také všechny internetové hrozby, spamem a phishingem počínaje, útoky se spuštěním útočníkova kódu konče. Co nám hrozí a jak se bránit?

I

nternet je kromě nevysychající studnice informací bohužel chápán také jako zdroj celé řady potíží všeho druhu. A není se čemu divit, jelikož síť sítí skutečně představuje nejsnazší cestičku do počítačů všech „online uživatelů“. Řeč přitom není jen o klasickém škodlivém kódu, ale také novějších možnostech i různých e-mailových otravnostech.

Pharming střídá rhybaření Uvedený phishing se již stal klasikou i v českém internetu, čas od času se vždy objeví rádoby originální pokus, jenž považuje uživatele za hlupáky, kteří skočí na všechno. Díky pravidelné informační masáži však phishing není morovou ránou, jak naznačovaly některé zprávy při příletu prvních rhybářských vlaštovek (především v zahraničí již před pár lety). A možná právě z toho důvodu útočníci oprášili známou techniku DNS spoofingu, tentokráte s přesnějším označením pharming. Chtělo by se říct, že dost bylo phishingových podvodů s přihlašovacími formuláři a na řadu opět přicházejí „staré dobré“ technické útoky. Pravda jen z polo-

AUTOR

Ondřej Bitto

18

Autor je redaktorem časopisu Computer a spolupracovníkem časopisu Connect!. Soustředí se zejména na počítačovou bezpečnost.


viny, také v případě pharmingu se totiž hlavní motivací stalo balamutění uživatelů za účelem vylákání citlivých informací. Útočníci tak reagují na poměrně rozsáhlou osvětu koncových uživatelů, kteří na běžný phishing nesedají jako mouchy na lep. Sice už nestačí pouhé sesmolení lživého e-mailu, ale možností, jak oblafnout překlad URL na odpovídající adresy existuje hned několik, přitom nejsou zas až tak složité. A hlavní výhoda z pohledu útočníka je nasnadě: uživatel má zase o něco menší šanci pojmout podezření. Vždyť pouze jako obvykle vloží název serveru do prohlížeče a stránka se načte… Změny v překladu URL na odpovídající IP, kde už číhají podvržené stránky, si všimne jen stěží.

Ochrana na všech frontách Jak phishing, tak pharming se zaměřují na krádeže citlivých dat prostřednictvím zobrazení podvržených webových stránek, jež obsahují co možná nejpovedenější imitaci původního přihlašovacího formuláře. Cílem této internetové hrozby tak jsou přímo údaje pro různá on-line bankovnictví, platební systémy apod. Na vydobyté popularitě však postupem času nic neztrácí ani klasický spyware, tedy moderní digitální špióni různých podob. Hranice mezi spywarem a klasickým škodlivým kódem se často stírá, příkladem mohou být například keyloggery, různé trojské koně a další. Tak například key-

loggery prosluly již dříve krádežemi hesel všeho druhu, co teprve nyní, když se jako správný spyware zaměří na ukládání stisků kláves při návštěvě vyhlédnutých webových stránek. Získaná data pak mohou rychlostí blesku putovat ke svému tvůrci. Na temné straně internetové bezpečnostní barikády přitom tvůrci nemusejí být výhradně zároveň šiřiteli a zneuživateli. Není totiž žádnou výjimkou, že se zlo šíří za úplatu, například formou dočasného pronájmu sítě botů – během poskytnutého času může zaplativší zákazník počítače pod svou kontrolou zneužít například pro DDoS útok na vyhlédnutý stroj, rozeslání spamu apod. Ochrana proti dříve zmíněnému phishingu spočívá především v použití zdravého rozumu, postupem času se objevily i nástroje pro hodnocení konkrétních stránek/serverů na základě konfrontace s dostupnými blacklisty. Obrana před pharmingem je složitější, vyžaduje hlubší zásah a kontrolu na úrovni vlastního systému DNS. Konečně obrana před spywarem je na tom zřejmě nejlépe, díky dlouhodobé diskusi a stále novým příspěvkům se postupně vyrojilo nespočet obranných softwarových valů. Základ by v tomto případě měla představovat aktivní ochrana pro zachycení hrozby ještě dříve, než se dostane do počítače. Jak ve firemním, tak v domácím prostředí to dokáže na výbornou zajistit kombinace antivirového/antispywarového řešení na úrovni přímé kontroly internetového komunikace. O blok dál pak podobně funguje kontrola systémů v reálném čase, takže i proniknuvší škůdci mohou být detekováni a odstraněni při pokusu o aktivaci, resp. přenos dat po síti. Pro tyto varianty, stejně jako následnou reaktivní ochranu v podobě odstraňování, v rámci korporátních sítí postupně vznikly i úspěšné aplikace s centralizovanou správou a klienty, jež se jako agenti instalují na jednotlivé stroje.

technologie

Přiložené vtipy k pláči Kapitolu samu o sobě představuje spam, jenž pravidelně přeplňuje e-mailové schránky každého z nás. Daří se mu už více než dvanáct let, technik, kterými spammeři získávají drahocenné e-mailové adresy, existuje hned několik – promyšleným a systematickým sbíráním z internetových stránek počínaje a metodou pokus omyl konče. Rok 1994, přesněji 12. duben, je často spojován s prvním automatizovaným odesíláním nevyžádané pošty tak, jak ji známe dnes. Toho dne totiž arizonský právník Laurence Canter v duetu s Marthou Siegelovou v Perlu vytvořili jednoduchý skript, s jehož pomocí zaplavili diskusní fóra nabídkou svých služeb.

může se opravy klidně dočkat až za necelý měsíc, přesně podle jízdního řádu uvolňování balíčků druhé úterý v každém měsíci.

Pro každého něco… zlého Abychom měli přehled aktuálních internetových hrozeb ještě ucelenější, musíme alespoň ve zkratce zmínit trable spojené s populárním instant messagingem. Jeho první problém spočívá v úmyslně zakomponovaných funkcích přímo pro obcházení některých bezpečnostních bariér – i za použití správně nastaveného firewallu tak například dokážou protlačit spojení, přenést soubor apod.

Před neduhy internetu musíme bránit jak sekretářku, tak špičkového programátora Při prvním pohledu může být současný spam brán nepříliš závažně, vždyť se přece jedná „jen“ o otravnou nevyžádanou poštu, kterou nikdo nečte. U nás je naštěstí situace skutečně takto relativně jednoduchá, jelikož výher v anglických soutěžích v praxi příliš nezažijeme, Rolexky nekupujeme apod. Automatizované filtry na poštovních serverech i jednotlivých koncových počítačích, poštovních klientech zdárně doplníme tříděním zdravým rozumem. Hlubší zkoumání ale dokáže vyčíslit problémy spojené se spamem ve větších společnostech. První náklady přicházejí již s pořízením hlavního prvku obrany, tedy antispamového filtru na poštovní server pro kontrolu příchozích e-mailů. Žádná ochrana však není stoprocentní, takže zlomek e-mailů vždy projde. Zde přicházejí na řadu nepřímé náklady, kdy se jednotliví zaměstnanci namísto své práce musejí vypořádat s nevyžádaným obsahem své schránky. A nedej bože, aby spustili některou z infikovaných příloh, kterými jsou hromadně rozesílané zprávy obtěžkány… Právě poslední bod se stal důležitým obratem v chápání části spamu: hromadně rozesílané zprávy neproklamují vyhlédnutý produkt, ale ještě zákeřněji se snaží doručit škodlivý kód obrovskému množství příjemců. Spamová záplava zde tak není cílem, ale prostředkem na cestě k němu. A netřeba zdůrazňovat, co v nepříliš dobře zabezpečené firemní místní síti dokáže natropit sekretářkou spuštěná příloha joke.exe.

Aktuální opravy za měsíc? Když se podíváme na svět internetu z pohledu provozovatelů webových serverů, musíme čelit také cíleným útokům. Lhostejno, zda se jedná o „hackery“ puberťáky zvyšující si vlastní ego, propracovaný konkurenční boj nebo výsledek práce škodlivého kódu, který se šíří automatickým zneužíváním známých děr v běžících službách. Právě posledně jmenovaná kategorie představuje rozmanité pole působnosti, zranitelnosti v různých serverových aplikacích dokážou otevřít nejen vrátka, ale přímo bránu útočníkovu průniku. Mezi nejčastější nedostatky patří nedostatečné ošetření vstupu, kdy útočník může spustit svůj vlastní kód, chybné zpracování určitých požadavků, kdy vše vyústí v DoS, případně také oblíbený „directory traversal“ útok, jenž dokáže odhalit některé původně skryté soubory. A když už jsou tito strašáci odstraněni, nelze pominout ani tolik diskutovaný Google hacking – skutečně jsou sdíleny pouze veřejné informace? Na straně klientů pak klasické zranitelnosti na internetu nejčastěji postihují webové prohlížeče, především Internet Explorer. Vzhledem k jeho majoritnímu zastoupení na kolbišti browserů je to logické, bohužel se zde často projevuje nešvar v doručování záplat pro již známé chyby společností Microsoft. Je-li totiž skulina objevena a zneužita pár dnů po uvolnění aktuální dávky záplat,

Navíc se, podobně jako je tomu v případě klasického spamu, šíří hromadně rozesílané zprávy, jež obsahují přímý hypertextový odkaz pro stažení škodlivého kódu. Nebezpečí je o to větší, že bývají maskovány pod hlavičkou korektního odesilatele, který se převezme z contact listu, takže důvěra v příjemci stoupá. Naštěstí komplexní antivirová řešení dokáží monitorovat i IM komunikaci, případně je možné ji na úrovni paketů zatrhnout úplně. Je tedy vidět, že spektrum nejožehavějších internetových hrozeb je hodně široké a postihuje jak servery (poskytovatele obsahu), tak klienty (příjemce). Stále ale platí, že uživatel je sám sobě největším nebezpečím, ve firemním prostředí s pestrým složením technických dovedností dvojnásob. V síti je zapotřebí před neduhy internetu bránit jak sekretářku, tak špičkového programátora nebo technika. ❑ inzerce ▼

Startují „Quickmedia“ Ve čtvrtek 12. dubna uspořádala společnost Sloane Park Property Trust společně s hlavním partnerem společností Cisco odbornou konferenci na téma integrace IPTV do přístupových infrastruktur pod názvem „IPTV v kostce“. Zajímavé téma přilákalo více než 200 lokálních operátorů a ISP, kteří poskytují služby převážně rezidentním zákazníkům. Přednášející nabídli průřez možnostmi, směry a službami, které mohou internetoví poskytovatelé do svých sítí integrovat a rozšířit tak portfolio nabízených služeb koncovému uživateli. Nosným tématem konference bylo oficiální představení velkoobchodního řešení IPTV společností Sloane Park a ProZeta nazvané Quickmedia. Tato služba v sobě integruje přenos televize, videa na vyžádání a dalších multimediálních služeb po IP vrstvě. Multimediálně pojatá přednáška nabídla ucelený pohled na nasazení interaktivních služeb do přístupových sítí. Účastníkům bylo poprvé v ČR představeno funkční řešení IPTV, které zajistí i malým lokálním poskytovatelům konkurenční výhodu v souboji o konečného zákazníka. Pro provoz multimediálních služeb je nutné zajistit kvalitní přístupovou síť, proto tomuto tématu byla věnována dostatečná pozornost, počínaje prezentacemi architektury sítí firmy Cisco, aktivních a pasivních prvků měřící techniky, reálné zkušenosti z provozu až po názor regulátora, prezentovaný osobně předsedou rady ČTÚ panem Pavlem Dvořákem.


19

technologie

JEDNIČKY A NULY TAJEMSTVÍM OPŘEDENÉ Co nabízí moderní kryptografie? Již od pradávna lidé touží po utajení některých informací, evoluce tuto touhu samozřejmě přenesla i do počítačů a sítí. Moderní kryptografie najde uplatnění ve všech oblastech. Bez ní si lze jen těžko představit komunikaci s bankou, bezpečné přihlášení ze vzdáleného terminálu apod. Jaké nástroje nám tedy šifrování ve svém širokém pojetí nabízí?

J

elikož šifrování poskytuje zabezpečení všude tam, kde je ho zapotřebí, stalo se nedílnou součástí nejen síťového světa. Ať už se jedná o ukládání citlivých dat, přenos citlivých informací po síti nebo třeba ověření identity druhé strany. Nejde přitom jen o technologické principy jako takové, ale především možnost poskytnout je všem. Šifrování totiž musí posloužit například špičkovým odborníkům pro návrh vlastních bezpečnostních systémů na straně jedné a transparentně také běžným koncovým uživatelům při použití webových služeb na straně druhé.

ré patří do skupiny takzvaných monoalfabetických substitučních šifer. Každá další šifra se v průběhu staletí vlastně jen snažila vylepšit základní možnosti, například polyalfabetické šifry mohly jeden znak šifrovat na více výsledných, namísto substitucí znaků se přecházelo k různým variantám transpozic apod. Všechna tato zdokonalení měla jediný důvod, kterým byly neutuchající kryptoanalytické útoky. Kraptoanalýza jako obor zaznamenala boom hlavně za druhé světové války, kde inteligence dokázala ušetřit stovky životů a zachránit území

ně dostupné šifrovací i dešifrovací funkce, vstupní i výstupní abeceda, nemělo být nám záležet na dalším utajení již zašifrovaného textu – jediné tajemství skutečně představují použité šifrovací klíče. Suma sumárum by se tak silný kryptografický algoritmus neměl schovávat za tajemství svých součástí, ale vsadit na preciznost a spolehlivost použitých matematických principů, byť budou všem známy. Ještě než se blíže podíváme na současné symetrické i asymetrické kryptosystémy, stojí za zmínku rozdíl mezi kódováním a šifrováním. Velice často se totiž můžete setkat se slovem kódování ve funkci šifrování, kde tedy leží pravda? Správně by se kódování mělo používat v případě převodu zdrojového textu na cílový, avšak obecně podle známého algoritmu, bez jakéhokoli tajemství. Takže označení „zakódováno algoritmem AES“ není zrovna správné, namísto toho například proti „kódování ASCII“ nelze vůbec nic namítat.

Králem šifer zůstává AES – nabízí rychlost a snadnou implementaci Šifrování, kódování a vliv historie

AUTOR

Při pohledu na kryptografii v nejširším možném měřítku můžeme rozlišit šifrování symetrické a asymetrické. První kategorie zastřešuje všechny kryptosystémy, které pro šifrování i dešifrování používají stejný klíč. Naproti tomu druhá skupina, tedy asymetrické šifry, sdružuje algoritmy, jež pro šifrování využívají jiného klíče než pro dešifrování. Formální požadavek je navíc ještě silnější: z jednoho klíče nesmí být výpočetně možné odvodit ten druhý. Symetrické šifry za sebou mají nesrovnatelně bohatší historii, jednou z nejznámějších historických šifer tohoto druhu je známé Caesarovo šifrování, kte-

20

Ondřej Bitto Autor je redaktorem časopisu Computer a spolupracovníkem časopisu Connect!.


rozšifrováním pár znaků. Základem je však takřka vždy statistika, za všechny nejznámější příklady stačí jmenovat například Friedmanovu metodu. Touha po tajemství a udržení informací v tajnosti lidstvo provází odedávna, šifrování se tak může pyšnit velice pestrou historií. Zpočátku byly jednotlivé šifry založeny pouze na primitivní záměně písmen za jiná, to však stačilo: principy utajování zpráv znalo jen několik málo lidí, navíc případní kryptoanalytici museli spoléhat čistě na svou intuici. Dnes je prolomení tehdejších šifer jednoduchým cvičením na středních školách v základech algoritmizace a programování. S kryptoanalýzou i kryptografií úzce souvisí také základní pravidlo světa šifrování, jež dává do vztahu otevřenost algoritmu s jeho bezpečností. V libovolném kryptosystému by měly být veřej-

AES a další symetričtí kandidáti Ze současných symetrických šifrovacích algoritmů hrál dlouhou dobu prim standard DES (Data Encryption Standard), který byl však již od svého schválení pod palbou kritiky z řad uznávaných kryptologů. Nedostatečnou délku klíče (64 bitů, z toho efektivních pouze 56) nakonec alespoň částečně vyřešila varianta 3DES, která na původní text aplikovala DES třikrát po sobě. Nic to však nezměnilo na tom, že původní DES byl v roce 1998 prolomen v krátkém čase a vznikla potřeba nového, spolehlivějšího standardu… Stal se jím (a dodnes také je) původní algoritmus vycházející ze šifry Rijndael, získal označení AES (Advanced Encryption Standard). Původní Rijndael vytvořili Belgičané Joan Deamen a Vincent Rijmen, mezi jeho hlavní výhody

technologie

pak patří poměrně jednoduchá hardwarová i softwarová implementace a rychlost šifrování i dešifrování. Právě v těchto kategoriích hodnocení Rijndael získal výraznou podporu při výběru vhodného kandidáta na pozici standardu AES. Kromě později zvoleného algoritmu Rijndael však do úzkého finále volby AES postoupila ještě čtveřice dalších algoritmů, s jejichž podporou se dnes můžete setkat v celé řadě bezpečnostních produktů. Jedná se například o šifru RC6, kterou zdobí rychlost, avšak odborníci si nebyli zas až tak jistí její neprolomitelností. Další z oblíbených šifer je MARS od společnosti IBM, který podporuje klíče délky 128 až 448 bitů, z nevýhod pak podle kritérií výběru AES mívá problémy při hardwarové implementaci. Konečně poslední oblíbený kryptosystém, jenž má podporu v řadě aplikací, nese označení Twofish a podporuje klíče do délky 256 bitů.

Soudní spory kvůli tajným bitům

Kryptoanalytici za kryptografy Jak symetrické, tak asymetrické šifry nacházejí uplatnění samostatně i v rámci různých protokolů. Samostatná aplikace je nasnadě, například v případě symetrických kryptosystémů se jedná o jednorázové zašifrování dat, databáze hesel apod. Asymetrická kryptografie může být zase s výhodou použita k ověření identity druhé strany, se kterou jedna komunikuje. Jednou z nejčastějších aplikací šifrování ve světě internetu je protokol SSL (Secure Sockets Layer), kterého bývá využíváno pro utajení přenosu například v případě autentizace během přihlášení k online bankovnictví, platebním systémům apod. SSL v sobě zahrnuje několik dílčích podprotokolů, z nichž z pohledu šifrování a ověření identity komunikujících stran je nejdůležitější takzvaný handshake. Právě handshake protokol může zajistit autentizaci klienta, serveru a výmě-

nu informací, jež jsou nutné pro výpočet šifrovacích klíčů. Bez tohoto úvodního handshake protokolu by dále nebylo možné, aby protokol SSL nabídl jakoukoli spolehlivou ochranu. Navíc je možné v některých případech použít také anonymní přístup, kdy není zapotřebí autentizace klienta a prohlížeč naváže spojení jen na základě znalosti certifikátu serveru. Bez šifrování si současný počítačový svět lze jen velice těžko představit, nebýt totiž takto zabezpečeného přenosu po síti, jen málokdo by byl ochoten posílat svá citlivá data. Ale nejen síťová komunikace jest šifrováním živa, kryptografii se výtečně daří i v jednotlivých počítačích – k utajení souborů, bezpečnému uložení hesel, generování náhodných dat, podepisování dokumentů atd. Hlavně ať je co nejdéle dodrženo pravidlo, že při současném pojetí kryptografických standardů budou kryptoanalytici vždy o několik kroků pozadu. ❑ inzerce ▼

Pokud se blíže podíváme na asymetrické šifry, nemůže být historie příliš dlouhá, jelikož prvenství bývá přisuzováno trojici Whitfield Diffie, Martin Hellman a Ralph Merkle, datuje se přitom do roku 1975. Jimi navržené schéma sice vypadalo jako perfektně fungující, avšak nemohli nalézt matematickou funkci, na níž bezpodmínečně stálo. Teoretické předpoklady tak byly, zbývalo mnohem důležitější převedení do praxe. Matematickou ingredienci v podobě funkce všech požadovaných vlastností nakonec zhruba o dva roky později přinesli Ronald Rivest s Adi Shamirem a Leonardem Adlemanem. Podle počátečních písmen této trojice tak vznikla dodnes známá a hojně využívána šifra RSA. A jaké že „kouzlo“ stojí za hypotetickou neprolomitelností? Je jím problém faktorizace velkých čísel, tedy předpokládaná nemožnost rozložení velkého složeného čísla na jeho prvočinitele v polynomiálním čase. Ve spojení s asymetrickou kryptografií samozřejmě nelze nezmínit PGP a jeho klony, které se v jednu dobu úspěšně prosadily pro nasazení v běžném bezpečném životě. Za zrodem PGP stál Phil Zimmermann a uvolněním svého produktu se dostal do konfliktu s tvůrci původního RSA, kteří přicházeli o případné zisky ze svého patentovaného a v PGP použitého RSA. Navíc se pak Zimmermann dostal i do konfliktu se zákonem, jelikož vláda Spojených států zařadila šifrovací software určitých parametrů na listinu zbraní, které podléhaly zákazu exportu. Nakonec však divoké vody soudních i etických sporů utichly a kauza byla vyřešena.


21

technologie

Perimetr sítě – minimální či maximální restrikce? Obecně můžeme říci, že v oblasti ochrany perimetru sítě jsme fakticky nic podstatného nevymysleli. Stačí se podívat na opevnění hradů nebo středověkých měst. Jedni říkají, dnes se taková města nestaví a je dost pravděpodobné, že opevněné sítě skončí podobným způsobem. Druzí jim oponují, že globalizace odstranila hradby, ale přinesla celé armády na hranice států, a tak tomu bude i u internetu. Bezpečnostní řešení na perimetru budou vždy nutná a mnohem více důmyslnější.

O

AUTOR

bě strany se shodnou, že hrozby z internetu narůstají a navíc se k nim přidávají samotní uživatelé. Tak jak hodnota elektronických informací v organizaci roste, je přístup každého z uživatelů k datům větší hrozbou. Pojďme se nejprve podívat na převládající směr budování všestranné armády, která dokáže pokrýt většinu hrozeb přímo na perimetru sítě. Název pro tato komplexní zařízení zní Unified Threat Management (UTM), česky řečeno, zařízení pro komplexní správu ohrožení. Nemluvíme už o hradbách, tedy firewallech, ale o armádě s důmyslnými radary schopnými pokrýt a detekovat skryté útoky či špiony. Do této oblasti, donedávna prosazované pouze technologickými pionýry (např. Secure Computing), směřují dnes všichni velcí hráči a modeluje se tak jasná trojice (Secure Computing, Cisco, Chec-

22

Jan Dymáček Výkonný ředitel společnosti Comguard. Od roku 1993 pracuje v oblasti telekomunikací a IT bezpečnosti.


kPoint), následovaná pak dalšími, nejčastěji nedávno vzniklými společnostmi. Co takové armády na perimetru dokáží? Umějí důkladně ochránit vaše nemalé investice do informačních systémů a velkou závislost na dostupnosti a relevantnosti dat. Jedná se tak o pořízení jakéhosi typu pojištění pro případy, kdy by došlo k nějaké bezpečnostní události. Kvalita pojištění, či chcete-li vyspělost armády, pak úměrně znamená samozřejmě pravidelné náklady, ale i vyšší bezpečnost a jistotu kontinuity procesů spojených s vlastním podnikáním či činností organizace. Základem každého takového řešení je starý dobrý firewall, tj. systém paketové či stavové inspekce, kdy jsou uzavřeny a chráněny oblasti mimo povolené přechody, v počítačové branži zvané porty (aby vám například chodila pošta, musí být povolen port 25, abyste měli přístup na web pak 80). Na samotných přechodech je pak v rámci náplně filozofie UTM prováděna kontrola procházejícího provozu na stále větší skupinu hrozeb, nejčastěji pak na:

antivirovou a antispyware kontrolu provozu na nejdůležitějších portech, tj. protokoly pro poštu, web a přenos souborů (ftp). IPS, systémy prevence narušení detekující a hlavně eliminující nežádoucí provoz na síťové vrstvě, které umí reagovat jak na anomálie v jinak běžném chování provozu, tak detekovat signatury útoků, například ve VoIP apod. antispam a antiphishing, zejména z důvodu odlehčení interním systémům od stále narůstajícího množství spamu a omezení provozu uvnitř sítě. URL filtrace, neboli automatizované systémy pro řízení přístupu uživatelů na internet, které dnes již stále častěji plní nejen úlohu zvýšení produktivity práce ale i bezpečnostní. Někteří výrobci jdou ale dále, spojují lokálně budované ochrany se systémy globálních reputací – jedním z největších je TrustedSource.org. Tyto globální systémy si opět vzaly příklad z moderního fyzického světa, kde jsou budovány globální databáze zločinců, ať již pod hlavičkou Interpolu, FBI či CIA. Všechny systémy, které se jen pokusí navázat spojení s vaší sítí, jsou pak prověřeny vůči systému a pokud je hladina jejich důvěryhodnosti příliš nízká, spojení je ihned odmítnuto. Jaké jsou výhody? Předně, okamžitá ochrana před jakýmikoliv zákeřnými kódy i těmi právě vyvinutými a jinými systémy neznámými. Stačí, aby útočící počítač byl evidován, že patří mezi Zombie PC v botnet sítích, nebo do skupiny spammerů a jakákoliv data směřující z něj nebo na něj, jsou na základě špatné

téma

reputace v systému TrustedSource zakázána. Hned má tak organizace o 50 % spamu méně, bez ohledu na to, zda byl obrázkový, v ruštině nebo jen plain text. Restrikce míří i na vaše uživatele. I když nemáte aktuální databázi virů nebo zákeřných URL stránek a nekontrolujete https provoz, zaměstnanci se nedostanou na stránky hackerů, warezu či pornografie. Hrozba podvržených phishingových zpráv a vašich ukradených dat se také sníží. Jak účinné, jak globální. Odborníci vidí budoucnost právě zde.

UTM s proxy dokáže více Ještě jsme nezmínili jeden typ armád, nebo přesněji ochran perimetru. Zatímco většina řešení po kontrole pustí externí spojení přímo do LAN či DMZ (demilitarizované zóny) a spoléhá, že všechny, i ty skryté, hrozby byly odhaleny, existují UTM brány pracující na principu proxy bran. Na takovéto proxy bráně je vždy spojení z vnějšího světa ukončeno, celý provoz poskládán a simulován pro vnější svět, že skončil kýženém cíli. Po výše uvedených kontrolách je pak samotným UTM bezpečný datový obsah zprostředkován na cílový server. Výhoda? Pokud proxy skutečně rozumí danému provozu, nepustí do nebo ze sítě žádný skrytý útok, vyřízne všechny nechtěné kódy a předá jen legální provoz. Pak je jistota bezpečnosti opravdu vysoká. Všichni tento postup známe z bank. Po všech potřebných kontrolách a prověřeních nás nikdo nepustí za přepážku, abychom si došli sami pro peníze, ale pověřený pracovník nám je z trezoru přinese, tak jako proxy u aplikačního proxy firewallu zprostředkovává komunikaci.

tách matoucí. I ty však vytváří perimetry, nicméně pouze před segmenty s klíčovými serverovými farmami nebo administrativním zázemím. Zde se rovněž uplatňují aplikační firewally, které kontrolují do hloubky, zejména s ohledem na používané protokoly, relevantnost proudícího provozu. Bezpečnost je tedy zaměřena čistě aplikačně. Typickým příkladem těchto prostředí jsou dnes univerzity. Zastánci deperimetrizace sítí nejčastěji spoléhají právě na model cílených ochran na konkrétní systémy ve vnitřní síti. Případně z hlediska toho, že klíčovým prvkem bezpečnosti je konečný uživatel, kladou důraz na uplatnění maximální míry bezpečnostních politik u samotného uživatele. Tato bezpečnostní politika má své výhody, ale bohužel i nevýhody. Uhlídat funkčnost systémů a dodržení bezpečnostní politiky v podobě aktualizovaných antivirů, patchů OS, aplikací či zapnutého desktop firewallu u 1 000 uživatelů, je daleko složitější než na jednom perimetru. A vzhledem k tomu, že v takových sítích perimetr plní roli nejčastěji jen v podobě překladu adres, je toto vynucení skutečně potřeba, jiná ochrana totiž není. Navíc zátěž koncových stanic větším množstvím ochran také může být leckde limitujícím faktorem. Konceptem deperimetrizace se zabývá přímo fórum Jericho www.opengroup.org/jericho. Co říci závěrem? Analogie fyzického a „cyber“ světa směřuje od jednoduchých opevnění měst, k budování komplexních armád chránících hranice celého státu. Od identifikace nepřítele jako celku, k důsledné kontrole každé osoby. Z tohoto pohle-

Nasazením prostředníka (proxy serveru) značně zvýšíte bezpečnost komunikace Aplikační vrstva Prezentační vrstva Relační vrstva Transportní vrstva Síťová vrstva Linková vrstva

klient 216.39.160.204

Provoz vedený z adresy 216.39.160.240 a celé spojení je terminováno na venkovní oblasti (NTC) firewallu.

Druhé unikátní spojení je následně vedeno z vnitřní oblastu firewallu (NIC) na webserver.

webserver 10.0.1.99

Fyzická vrstva

Nejexponovanější bezpečnostní sítě, jako jsou sítě NSA, FBI, CIA či armády USA využívají právě i tento způsob ochrany. Tyto sítě zcela jistě ještě dlouhou dobu neopustí ideu ochrany svého perimetru, ba právě naopak. Připravenost na nové neznámé útoky a zaměření na co největší oddělení sítí pomocí proxy bran, bude nutností.

Deperimetrizace Pro druhou skupinu, skeptickou k úloze zabezpečení, je však boj na dvou fron-

du mají komplexní řešení na perimetru své místo jisté, naopak důraz bude stále více kladen na kontrolu obsahu a propojení informací o reputaci komunikujících subjektů. Změnu by mohly přinést jen větší restrikce v globálním měřítku, které však přinesou i nesvobodu tohoto média. Oba pohledy mají nicméně svůj přínos pro definování konceptů zabezpečení sítí, nicméně jeden bez druhého se neobejde. V budoucnu snad přijdeme na to, že se oba návrhy nevylučují, ale doplňují. ❑

Stručně Detekce a prevence útoků třikrát jinak Intrusion Detection Systems (IDS) a Intrusion Prevention Systems (IPS) sledují datové toky a hledají v nich pokusy o útok na konkrétní aplikace. Prostřednictvím výstrah a statistik poskytují obsluze informace o případných útocích, systémy IPS pak nabízejí ještě možnost aktivní reakce – zabránění útoku modifikací datového toku v reálném čase. Některé IDS systémy umějí přerušit datové spojení tím, že spolupracují s firewallem a dynamicky mění jeho politiku. V tomto případě se ale jedná o přerušení již navázaného spojení, a tak v mnohých případech již může být pozdě. Tato funkcionalita tedy nedosahuje účinnosti systému prevence narušení (IPS), neboť ten je schopen spojení zastavit ještě před tím, než útok dorazí k aplikaci. Zmiňované technologie, především potom IPS, jsou aktuálně na výsluní v oblasti bezpečnosti sítí. Tato vysoce sofistikovaná řešení jsou nejen velmi účinná, ale současně i nákladná. Vzhledem k práci, kterou musí vykonávat, jsou navíc náročná na výpočetní výkon a dostatečnou propustnost. Nejvýkonnější produkty si sice poradí s 5 gigabitovým provozem a lze je samozřejmě spojovat pro ještě vyšší výkon, ale cena tohoto high-endu je dostupná jen vyvoleným. I když se IPS nadále vyvíjejí a postupně atakují hranici 10 gigabitů, existují další alternativy. S těmi jsme se setkali konkrétně u aktivních síťových prvků od ProCurve Networking, divize HP. Ty přímo integrují principy podobné IPS. Samozřejmě nemůžeme čekat, že switche budou prohlížet data, která jimi procházejí bajt po bajtu. Na rozdíl od IPS proto provádějí „pouhý“ výběr některých paketů, které analyzují. Pokud dojde k objevu anomálie, zachová se přepínač tak, že útočníka „odpojí“ přímo na portu, nebo provede jinou definovanou akci. Možnosti jsou samozřejmě širší, obzvláště ve spojení s dodávaným centrálním systémem. Ten podporuje i propojení s IPS systémy třetích stran, s nimiž umí efektivně spolupracovat. Popsané řešení tedy nezareaguje na útok ihned, ani neodhalí všechny útoky, ale oproti dedikovaným IPS je s nadsázkou řečeno takřka „v ceně“ přepínače. A o tom se vyplatí uvažovat. -red-


23

technologie

NETWORK ACCESS CONTROL Řízení přístupu do sítě s Enterasys Sentinel Poslední dobou se lze často setkat s tématem řízeného přístupu do sítě (NAC, Network Access Control). Je to další krok směrem k upevnění síťové bezpečnosti, snaha kontrolovat kdo a „čím“ se připojuje do podnikové sítě. Systém NAC také monitoruje, kde se daný konkrétní uživatel či zařízení nachází.

J

elikož standardy nejsou ještě plně dopracované, každý z výrobců z oblasti bezpečnostních systémů, síťového hardwaru či operačních systémů dnes nabízí vlastní, víceméně uzavřená řešení. Tato řešení však mnohdy nepokrývají celou oblast NAC tak, jak ji (krátce a trefně) definovala společnost Forrester Research: „NAC je kombinace hardwarových a softwarových prostředků, která dynamicky řídí přístup koncových zařízení do sítě ve shodě s nastavenými pravidly.“

ci síťového hardwaru však mají na věc zcela opačný názor. Proto když se rozhodujeme pro vhodný NAC systém, měli bychom mít na zřeteli otevřenost a možnosti implementace systému (out-of-band, in-band, klient na PC, bezklientové řešení). Implementace NAC vyžaduje spolupráci napříč útvary IT (Security, Network, Desktop Management). Každý z těchto útvarů může mít na systém různé požadavky, které se dále mohou měnit a vyvíjet. Z tohoto důvodu nemusí být vždy vhodné se při výběru orientovat na

zi koncových zařízení a jejich autorizaci. Funguje jako proxy RADIUS server, který odposlouchává autorizační proces, komunikuje s koncovým systémem a určuje úroveň jeho přístupu do sítě podle toho, jaké aplikace jsou právě spuštěny a zda výsledek kontroly vyhovuje nastaveným bezpečnostním pravidlům. V součinnosti se střední a vyšší řadou přepínačů stejného výrobce lze velice jemně odstupňovat přístupová pravidla. Ty se definují na úrovni jednotlivých uživatelských portů a umožňují dynamicky řídit přístup do VLAN, CoS, filtrování na 2.–4. vrstvě (ACL) i rate-limiting. Instalovaná základna přepínačů Enterasys však není dostatečně široká, aby se výrobce orientoval pouze na „svá“ zařízení. Pro uživatele je přínosné, že poslední

Upřednostníte bezpečnost síťového provozu nebo koncových systémů? V praxi to znamená, že jakékoliv koncové zařízení připojené do sítě, není vyhodnocováno pouze na základě přihlašovacích parametrů (802.1x), ale před připojením do produkční sítě je rovněž testováno na splnění nastavených podnikových bezpečnostních pravidel (aktuální databáze antiviru, „děravé aplikace“ atd.). Pokud zařízení nastaveným testům vyhoví, je připojeno do produkční sítě VLAN. Neprojde-li testem, je nutné definovat akci, která bude následovat. Nejčastěji se dané zařízení připojí do karanténní VLAN, kde se provede asistovaná (tj. prostřednictvím webu) náprava. Většinou se jedná o VLAN se servery, které řízeně provedou instalaci posledních systémových aktualizací, aktualizují antivir, případně dají nápovědu k odstranění problému.

Jaká bezpečnost je přednější?

AUTOR

Výrobci bezpečnostních systémů upřednostňují bezpečnost koncových stanic na úkor bezpečnosti síťového provozu, výrob-

24

Peter Štubňa Autor pracuje jako ředitel produktové péče a inovace ve společnosti GiTy.


kompletně uzavřený systém, postavený na zařízeních a aplikačním softwaru jediného výrobce. Jedním z relativně otevřených systémů, vhodných pro nasazení v heterogenním síťovém prostředí, je řešení nabízené firmou Enterasys Networks – „Sentinel“. Firma, dříve možná více známá jako výrobce „boxů“, se v posledních letech profiluje jako dodavatel komplexních bezpečnostních systémů (NAC, IDS, IPS systémy). Koncept NAC je jednoduchý – koncová zařízení (pracovní stanice, laptopy a PDA) jsou systémem podrobně zkoumána, jakým bezpečnostním rizikům jsou vystavena. Přístup do podnikové sítě je podmíněn touto prověrkou. Někdy však implementace není možná, neboť řada současných řešení vyžaduje instalaci klienta lokálně, na koncová zařízení. Co potom v případě PDA, IP telefonů, tiskových serverů?

Řešení i bez agenta Enterasys Sentinel (ES) se ubírá jiným směrem – sám o sobě nevyžaduje žádný klientský software lokálně instalovaný na koncový systém. Ve skutečnosti ES poskytuje pouze služby pro bezpečnostní revi-

verze ES již dokáže spolupracovat i s přepínači jiných výrobců, kteří na svých přepínačích podporují RFC3580. Za pomoci tohoto protokolu je možné dynamicky řídit přístup do příslušných VLAN (produkční, karanténní...). Pro řízení přístupu lze rovněž využít protokolu SNMP.

Hardware v součinnosti se softwarem ES je systém hardwarových a softwarových komponent. Zařízení TAG (Trusted Access Gateway – „důvěryhodná přístupová brána“) dodává Enterasys jako standardní zařízení 1U vysoké, postavené na serveru Intel. Enterasys rovněž chystá integraci TAG do svých přepínačů řady Matrix DFE. ES, resp. jeho řídící modul, TAM (Trusted Access Manager), je koncipován jako plug-in modul do Netsight Atlas Console – SNMP aplikace pro řízení a dohled sítě. Kontrola zabezpečení může být prováděna bezpečnostním scannerem Nessus – nepsaným standardem mezi nástroji pro audit síťové zranitelnosti. Z dalších dodavatelů „bez agentových“ NAC řešení lze použít např. produkty firem Check Point a Symantec.

technologie

inzerce ▼

Přehledové schéma řešení NAC Enterasys Sentinel

ZyWALL SSL 10

Jako alternativu Enterasys nabízí rovněž bezpečnostní scanner LockDown Enforcer, což je aplikace, která využívá nainstalovaného klienta na koncovém zařízení. Nic však nebrání užití jiného nástroje pro bezpečnostní audit (např. v poslední době stále aktuálnější Microsoft NAP). Implementace ES (v případě, že se využívá scanner Nessus, tj. bez instalace agenta na klientské stanice) je překvapivě přímočará. Pokud jsou již v síti nastavena bezpečnostní pravidla řízená pomocí RADIUS serveru, lze tato pravidla využít jako výchozí bod pro konfiguraci systému (a potom opatrně zpevňovat pravidla). Služby RADIUS serveru může rovněž poskytovat TAG.

Ověření koncového zařízení Ověření koncového zařízení je v režii Nessus serveru. Ten se řídí podmínkami, nastavenými v ES bezpečnostní doméně. Lze testovat přítomnost posledních aktualizací OS, jeho verzi, spuštěné aplikace, aktualizace virových bází – výběr je téměř nekonečný. Po vyhodnocení klienta předá Nessus server získaná data do bezpečnostní domény. TAG po vyhodnocení stavu koncové stanice nastaví příslušná bezpečnostní pravidla. Pokud klient kontrolou neprojde, TAG omezí jeho komunikaci jen na server s opravnými službami. Konsola TAM dává přehled o stavu všech koncových systémů, monitoruje jejich status a detailně informuje o každém testu,

NAC neověřuje jen podle jména a hesla, ale i podle nastavených kritérií ES TAM je postaven na konceptu bezpečnostních domén, které mohou obsahovat jeden či více přístupových přepínačů. Nad těmito bezpečnostními doménami se definují pravidla. Určí se skupina uživatelů – správců domény, kteří definují pravidla pro ověřování (proxy-RADIUS, MAC adresa). Je třeba stanovit pravidla, která se uplatní v případě, že připojované zařízení úspěšně projde testem zranitelnosti, a další pro případ přerušeného testu. Dále lze definovat pravidla pro případ, kdy je bezpečnostní scanner v režimu off-line (např. jak často bude probíhat kontrola koncového zařízení,…). Stojí za zmínku, že předem připravené šablony celou konfiguraci zjednoduší.

který neprošel. Lze se nořit do historie jednotlivých událostí, kde jsou uvedeny Nessus komentáře a doporučení pro nápravu. TAM integruje nástroj pro tvorbu reportů. Rovněž výstražné možnosti jsou velmi propracované, neboť jsou převzaty z Netsight Atlas Console (Alarm Manager). Při kombinaci Enterasys Sentinel s IDS řešením Dragon je možné zabránit přístupu do sítě i zařízením, které sice prošly prvotním bezpečnostním auditem, ale posléze se v jejich komunikaci zjistily nepřípustné anomálie. V tomto případě je řešení, založené na ES, schopné kontrolovat připojované koncové zařízení ve fázi tzv. „pre-admission“ (před připojením) i „post-admission“ (po připojení). ❑


25

technologie

JAK NEOTEVŘÍT ZADNÍ VRÁTKA? Rizika Instant Messagingu a P2P sítí S rozvojem dostatečně rychlého připojení k internetu nastal i boom služeb umožňujících přímou komunikaci uživatelů mezi sebou. To samozřejmě může zkomplikovat práci všem, kteří jsou odpovědní za bezpečnost podnikových sítí.

P

opularita různých P2P služeb a Instant Messengerů roste velmi rychle, v současné době si program pro přímou komunikaci stále častěji instalují i uživatelé, kteří nemají s užíváním počítače dostatek zkušeností. Podobní uživatelé jsou pak poměrně logicky velmi zranitelným místem, bez větších okolků a tedy i mnohem snadněji totiž například mohou odsouhlasit požadavky na přijetí nějakého souboru, protože ho nebudou považovat za nebezpečný. Navíc některé Instant Messengery tuto možnost nabízejí zapnutou již v základním nastavení.

Zakázat či nezakázat Celkem logickou volbou řady správců sítí, případně Security Managerů firem, je prosté zakázání veškerých podobných služeb v celé podnikové síti. Jak tomu ale obvykle bývá, nejjednodušší řešení nemusí být vždy to nejlepší, protože programy jako ICQ, Windows Messenger nebo třeba Skype mohou pro organizaci znamenat i značně pozitivní přínos. Komunikace jejich prostřednictvím může být totiž velmi efektivní – pro vyřízení řady věcí bohatě postačí několik vět prostřednictvím IM klienta. Zaměstnanci tak mohou ušetřit spoustu času oproti telefonování anebo e-mailům. Pochopitelně, jako u řady dalších služeb na internetu, pokud se rozhodneme povolit alespoň některé funkce IM, hrozí riziko, že je zaměstnanci budou využívat taktéž k soukromým účelům. Nicméně omezení podob-

AUTOR

Gunter Ollmann

26

Autor je ředitelem společnosti X-Force.

ných věcí už přímo nesouvisí s bezpečností IT, ale spíše s nastavením firemní kultury a pravidel v korporaci. V každém případě by měli být všichni uživatelé poučeni o tom, jak IM používat – musíme si například uvědomit, že drtivá většina IM služeb komunikaci mezi klienty nijak nešifruje, některé dokonce nabízejí možnost ukládání této komunikace do souboru. Nejsou tedy rozhodně vhodné pro přenášení jakýchkoli citlivých informací, ať jde již o osobní nebo firemní data. I když služby nabízejí různé stupně zabezpečení, je třeba uživatelům vysvětlit, že všechny informace posílané prostřednictvím IM služeb může, byť jen mírně pokročilý, útočník bez větších problémů přečíst a zneužít. S podceněním tohoto rizika se bohužel velmi často setkáváme nejen u běžných uživatelů, ale i u manažerů, kteří disponují pro firmu velmi citlivými údaji. V řadě případů by je sice nenapadlo poslat některou z citlivých informací prostřednictvím textového rozhraní IM, ale řada z nich – zřejmě největší osvětu v tomto směru udělal Skype – nabízí i možnost hlasového hovoru. Přitom tato komunikace není zabezpečená o mnoho více, než je tomu u textového rozhraní. Dokonce ani detekce hlasových paketů totiž nemusí pro útočníka zdaleka znamenat nijak složitou záležitost a úspora na telefonních hovorech se může takové společnosti posléze pořádně prodražit. V květnu loňského roku se například Skype opakovaně potýkal se zranitelností, jejímž zneužitím útočník mohl iniciovat přenos souborů bez vědomí uživatele.

Neusnadňujme útočníkovi situaci I když se tedy rozhodneme, že IM služby, případně P2P sítě, nezakážeme v rámci organizace zcela, rozhodně není správ-


nou volbou se této problematice nevěnovat. Důležité je pochopit, jaká rizika mohou tyto služby přinést z hlediska IT bezpečnosti a nadefinovat takové politiky, které riziko sníží na minimum. Musíme si uvědomit, jakou strukturu mají protokoly jednotlivých IM a P2P klientů a jaká z toho plynou rizika. Všechny tyto programy totiž zpravidla nabízejí kromě klasického přenosu zpráv i další nadstavbové služby, jakými mohou být posílání a přijímání souborů, sdílení obrázků nebo video hovory. Situaci nám pak přece jen trochu usnadňuje skutečnost, že pro specifické služby používají klienti předem definované porty. A právě díky tomu můžeme vytvořit takovou politiku sítového provozu, která povolí komunikaci jen na portu pro běžnou korespondenci a porty ostatních služeb zakáže. Problém je, že klienti některých IM služeb umožňují porty měnit na straně uživatele. Pokud tedy nehodláme spoléhat na to, že uživatelé naší infrastruktury na podobnou možnost nepřijdou, budeme potřebovat spíše nástroj, který nám umožní efektivně analyzovat provoz v síti a blokovat nebezpečné pakety a činnosti. V ideálním případě by mělo jít o řešení integrované do celkové správy bezpečnostních politik ve firmě, tak jak to nabízí například Proventia Network Multi-Function Security z produkce ISS nebo některá další řešení.

Kde se skrývají rizika Rizika, jež se objevují v souvislosti s využíváním IM a P2P služeb v podnikové síti jsou v podstatě dvojího druhu. První skupiny jsme se již dotkli – jde o možné zneužití citlivých údajů. Přitom se ale nemusí jednat jen o data odesílaná aktivně uživatelem. Vzhledem k tomu, že protokoly všech služeb jsou běžně k dispozici (buď je uvolnil samotný provozovatel, nebo byly reverzně rekonstruovány následně publikovány), hrozí zde nebezpečí zcizení identity, kdy se někdo cizí může vydávat za vašeho pracovníka. To může v konečném důsledku znamenat třeba i získání citlivých dat o vás

technologie

či vašich obchodních partnerech, a navíc poškodit dobré jméno společnosti. Podobné hrozbě čelí samozřejmě i vaši zaměstnanci. Prakticky u všech provozovatelů IM služeb už je zdokumentován případ, kde se útočník vydával za pracovníka příslušného provozovatele a od uživatelů se snažil získat jejich přihlašovací jméno, heslo, případně i čísla bankovních účtů či kreditních karet. Pokud pak dovolíme v síti i nadstavbové služby IM klientů, můžeme nechtěně otevřít útočníkovi další vrátka. Na rozdíl od textové komunikace, která se u většiny služeb odehrává prostřednictvím serverů provozovatele, nadstavbové služby obvykle vyžadují přímé spojení mezi komunikujícími počítači na předem definovaném (případně uživatelsky zvoleném) TCP/UDP portu. Tím dojde mimo jiné k odkrytí skutečné IP adresy počítače, což může výrazně usnadnit úspěšné vedení hackerského útoku. Pokud navíc neomezíme příjem a odesílání souborů, riskujeme, že nepozorný uživatel přijme potenciálně nebezpečný soubor obsahující nějaký „malware kód“ a pokusí se jej otevřít. V minulosti se objevilo i několik specializovaných virů, resp. červů, určených pro tu kterou službu. Proti těm známým se snaží bránit přímo provozovatelé, ale tato obrana není vždy účinná. Kontrola e-mailů přímo na serveru už by dnes měla být

Drtivá většina IM služeb komunikaci mezi klienty nijak nešifruje naprostou samozřejmostí, a proto bychom neměli ponechat otevřená ani tato vrátka. Podobné riziko skýtá i samotné sdílení souborů, což umožňují jak IM klienti, tak P2P sítě. Jednak pomocí sdílených adresářů může útočník umístit do počítače v naší síti nebezpečný soubor, dále hrozí i poměrně velké riziko sdílení citlivých souborů. To může opět umožnit nepoučený uživatel tím, že definuje pro sdílení adresář obsahující citlivá data, anebo se může jednat o cílený útok, kdy hacker pomocí otevřeného portu a nedostatečného zabezpečení získá kontrolu nad počítačem a rozšíří sdílení i na další složky a soubory v počítači.

Bezpečnost bez omezení komfortu Zabezpečení internetové komunikace nebude pravděpodobně žádná organizace řešit samostatně. Musíme si uvědomit, že celý problém je poměrně komplexní, obvykle nestačí jen jednoduše zablokovat definované porty, existuje totiž řada cest, jak

mohou uživatelé toto omezení elegantně obejít. Zároveň může celkový zákaz komunikace řadě zaměstnanců komplikovat práci a v podstatě vést i ke snížení efektivity firmy. Vzhledem k tomu, že softwaroví klienti pro dané sítě nejsou vyvíjeni jen a pouze provozovateli těchto služeb, ale i nezávislými programátory, standardní metody zabezpečení v tomto směru selhávají. Úspěšně lze využívat některých IPS nebo kombinovaných bezpečnostních řešení, které dovolují mimo jiné definovat zásady zabezpečení sítě tak, aby se minimalizovala výše popsaná rizika. Tak lze nejen detekovat případnou P2P či IM aktivitu na naší síti, ale zároveň definovat služby, které povolíme a které nikoli. Tak nabídneme zaměstnancům poměrně snadnou možnost, jak komunikovat pomocí textového rozhraní, ale bez možnosti využívat všechny ostatní (nebo pouze ty vybrané) s ním instalované služby. Díky tomu lze dosáhnout přijatelného poměru mezi komfortem uživatelů a stupněm rizika ohrožení lokální sítě. ❑ inzerce ▼

Se softwarem to myslíme vážně „Největším tajemstvím společnosti HP je, že nabízí také software,“ prohlásil před časem jeden analytik. HP však má dnes software, který rozhodně nechce tajit. Koneckonců se také netajila tím, že akvizicí společnosti Mercury získala významnou posilu do svého portfolia v podobě dalších softwarových nástrojů. O pozici HP Software na celosvětovém trhu, o cílech a směřování do budoucna i o přínosech nového komplexního portfolia HP pro zákazníky ví nejvíce Martin Ambler, manažer softwarové divize HP. Je pravda, že HP byla v minulosti mylně vnímána spíše jako firma, která dodává hardware nebo kancelářskou techniku. Jaká je ale realita? To samozřejmě dávno neplatí. HP je dnes největší IT firmou s nejširším portfoliem produktů a služeb. Po akvizici Mercury se současně stala šestou největší softwarovou firmou na světě! Význam HP Software v následujícím období ještě poroste. Začleněním produktů Mercury do portfolia softwarových nástrojů HP jsme zákazníkům schopni nabídnout natolik komplexní řešení jako nikdo z našich konkurentů, včetně specializovaných dodavatelů

softwaru. Nastal nejvyšší čas přesvědčit trh o tom, že to se softwarem myslíme vážně. Jak tedy nové portfolio HP Software vypadá? Produkty, které dříve spadaly do rodiny OpenView, jsou nyní společně s produkty Mercury v jediném portfoliu, které nese souhrnný název HP Software. Jednotlivé produkty jsou dle své funkcionality rozděleny do takzvaných center. Tato centra jsou sdružena do třech sil pojmenovaných podle tří klíčových činností vykonávaných IT oddělením. Tato sila se nazývají „Strategy“, „Application“ a „Operation“. Znamená to, že máme konkrétní nástroje pro to, aby IT mohlo pomoci byznysu již ve fázi definování strategií, následně v předprodukční fázi, kdy IT zajišťuje třeba testování aplikací, i ve fázi samotného provozu. Právě v silu Operations jsou téměř všechny dohledové nástroje z původního portfolia HP OpenView. Zbývající dvě oblasti potom z naprosté většiny pokrývají nástroje Mercury. Jaký přínos to má pro zákazníka? Zákazník nyní může HP oslovovat také v oblastech, ve kterých to doposud nebylo možné. Pokrytí celého životního cyklu klíčových IT služeb a procesů významně zvyšuje ochranu investic. Zvlášť řešení pro byznysový pohled na IT otevírá zcela nové formy vzájemné spolupráce.

Čekají HP Software v souvislosti s proběhlou akvizicí a rozšířením portfolia nějaké organizační změny? HP Software samozřejmě bylo, je a zůstane nedílnou součástí HP. Nabídka HP je však tak rozsáhlá a různorodá, že není možné se od ostatních divizí neodlišovat. Máme jiné kontakty u zákazníků, jiný přístup k trhu, jiný způsob prodeje, jiné obchodní kanály, zcela jiné produkty a často také jinou konkurenci. Je důležité si uvědomit, že našimi konkurenty jsou softwarové firmy, není to ani dodavatel úložných zařízení, ani výrobce osobních počítačů. Ideální by bylo, abychom na trhu prosadili svou ohromnou konkurenční výhodu formou dvojího pohledu na HP – existuje HP jako komplexní dodavatel a existuje i specialista HP Software.

technologie

OUTSOURCING BEZPEČNOSTNÍHO SPRÁVCE Účinná cesta k posílení bezpečnosti organizace Pokud to organizace myslí se zaváděním systému řízení informační bezpečnosti vážně, dříve nebo později se nevyhne potřebě ustavení bezpečnostního správce. V tomto článku se blíže dočtete více o této osobě, tj. jaké jsou na ni kladeny požadavky a co vlastně dělá. Zamyslíme se také nad možností najmutí externí firmy speciálně pro tento účel.

S

polu s tím, jak se v běžné praxi stále více uplatňují metody a postupy moderního řízení informační bezpečnosti, stoupá v řadě organizací i význam role bezpečnostního správce, který je garantem klíčových procesů souvisejících se zaváděním a údržbou informační bezpečnosti.

Kdo je to? Jeho úkolem je mimo jiné organizovat, řídit a zajišťovat tyto odborné aktivity, jako jsou definice a údržba bezpečnostních politik a související dokumentace; dohled nad dodržováním bezpečnostních pravidel; testování a audity bezpečnosti IS organizace; vyhodnocení a řešení bezpečnostních incidentů v rámci organizace či spolupráce a podpora managementu v oblasti informační bezpečnosti (např. příprava podkladů pro stanovení rozpočtů na bezpečnost).

měl neustále vzdělávat, sledovat technické novinky, nově vznikající hrozby apod. Zde je třeba upozornit na odlišnost rolí bezpečnostního managera a správce. Manager je většinou strategickým prvkem řízení organizace, kdežto druhý zaměstnanec je vnímán zejména jako výkonná složka. Zejména ve větších organizacích s víceúrovňovým řízením je třeba toto rozlišovat.

Kam s ním? V současných bezpečnostních standardech můžeme najít návody, jak efektivně řešit řadu problémů spojených se zajištěním informační bezpečnosti. Co se ale bezpečnostního správce týká, příliš sdílné nejsou. V „ČSN ISO/IEC TR 13335-2“ najdeme v kapitole 9.1.2 definici role „pracovníka bezpečnosti IT celé společnosti“, jejíž existence je zdůvodňována především potřebou jednoznačného přidělení odpovědnosti. Tento pracovník „by měl vystupovat

řešena administrátory jednotlivých systémů, a to většinou jen tehdy, když se vyskytne závažný incident. Bezpečnostní správce je součástí IT (nebo je podřízený vedení IT) – bezpečnostní správce je v tomto případě pracovníkem IT oddělení, kde zpravidla zajišťuje ještě další činnosti. Nezřídka plní tuto roli přímo vedoucí. Hlavní nevýhoda tohoto řešení je zřejmá – střet zájmů. Nelze očekávat, že bezpečnostní správce spadající pod oddělení IT bude poukazovat na chyby, které padají na hlavu jeho samého, případně jeho kolegů nebo podřízených. Suverénní bezpečnostní správce – v tomto (z pohledu řízení informační bezpečnosti asi nejvíce ideálním) případě existuje nezávisle na IT oddělení, avšak současně s ním je ve velmi těsném kontaktu a úzce spolupracuje. Samotné umístění role bezpečnostního správce do hierarchie organizace je v tomto případě samostatnou kapitolou (na toto téma se můžeme blíže podívat v samostatném článku někdy později). Asi nejvhodnějším řešením je, pokud bezpečnostní správce podléhá přímo vedení organizace, případně je sám jeho součástí. Z tohoto vyplývají jeho poměrně široké pravomoci, které jsou k účinnému prosazování bezpečnosti tolik potřebné.

Bezpečnostní standardy otázku podnikového správce bezpečnosti příliš neřeší Proto musí být takový člověk odpovídajícím způsobem vybaven – musí disponovat dostatečnými pravomocemi a také musí být schopen nést s tím spojenou zodpovědnost. Dále by měl mít alespoň takové znalostmi v oboru ICT, aby dokázal porozumět technologiím, se kterými se v organizaci setkává při řešení bezpečnosti. Nutné je také povědomí o platné legislativě, normách a metodikách vztahujících se k obsahu jeho práce. Kvalitní bezpečnostní správce by se

AUTOR

Petr Nádeníček

28

Pracuje ve společnosti AEC, kde nyní působí ve funkci IT Security Consultanta. Na článku spolupracovala Hana Vystavělová z téže společnosti.


jako centrum pro všechny aspekty bezpečnosti IT v organizaci“. Odpovědnost tohoto pracovníka je soustředěna mimo jiné na řízení programu bezpečnosti v celé organizaci. Tyto definice vymezují pole působnosti bezpečnostního správce pouze rámcově a nechávají značnou volnost organizaci, aby tuto roli implementovala dle svých specifických potřeb. V praxi pak narážíme na řadu úskalí. Jednou ze zásadních otázek umístění takového specialisty v existující firemní hierarchii, kde neexistuje jediné správné řešení. Záleží na faktorech, jako je velikost organizace, stávající interpersonální vazby, úroveň vnitrofiremní komunikace, znalosti stávajícího personálu IT útvaru a řadě dalších. V praxi existuje mnoho modelů: Bezpečnostní správce neexistuje – bezpečnostní problematika je

Role bezpečnostního správce je rozdělena mezi více osob – s tímto modelem se můžeme setkat nejčastěji ve velkých organizacích, kde by jeden člověk nebyl schopen všechny oblasti bezpečnosti pokrýt, nebo naopak v malých firmách, kde jsou jednotlivé činnosti bezpečnostního správce rozděleny mezi stávající zaměstnance. Fungování takového modelu do značné míry závisí na komunikačních dovednostech, ale také na přesném vymezení pravomocí a povinností jednotlivých členů. Bezpečnostní správce je realizován formou outsourcingu – ten se vyplatí tehdy, když organizace není dost velká na to, aby zaměstnala bezpečnostního správce na plný úvazek, a současně nemá ve svém kádru vhodného kandidáta. Jinde může outsourcovaný bezpečnostní správce sloužit „pouze“ jako podpora vlastního bezpečnostního správce.

technologie

Outsourcovaná správa bezpečnosti Úvodem si řekněme, že každé zavedení role bezpečnostního správce musí vycházek z individuálních podmínek a požadavků organizace – je unikátní. Cílem konzultantů AEC je maximálně naplnit požadavky a očekávání zákazníka tak, aby mu výsledný „produkt“ co nejvíce vyhovoval optimálnímu naplnění bezpečnostních požadavků. Výsledkem tak nemusí nutně být přímo pokrytí role bezpečnostního správce, ale třeba také soubor činností poskytovaných specializovanou firmou, které organizaci účinně pomáhají řídit její informační bezpečnost. I když jsme uvedli, že každý projekt je do značné míry unikátní, ukažme si alespoň jeden z možných průběhů.

Možným řešením je zavedení interního a externího správce management organizace

bezpečnostní fórum

interní bezpečnostní správce

ředitel IT

externí bezpečnostní správce

zaměstnanci organizace

Analýza aktuálního stavu Na začátku každého projektu je vhodné provést vstupní audit informační bezpečnosti organizace, jehož rozsah a hloubka do značné míry závisí na velikosti organizace či složitosti její IT infrastruktury. Mohou být provedeny např. vnější a vnitřní penetrační testy, analýza klíčových prvků systému, další testy (např. metodami sociálního inženýrství), prověrka souladu řízení informační bezpečnosti se standardy atd. Teprve na základě zjištěného stavu je možné navrhnout potřebné kroky směřující k vytvoření vhodných podmínek pro bezpečnostního správce.

Zavedení role bezpečnostního správce Začlenění bezpečnostního správce do struktury organizace je možné různými způsoby. Pokud se blížíme plnému outsourcingu bezpečnostního správce, je třeba ho jednak vhodně začlenit do organizační struktury, ale také přesně stanovit povinnosti a odpovědnosti všech stran (jak na straně poskytovatele služby, tak i na straně zákazníka). Jednou z možností integrace bezpečnostního správce do organizace je rozdělení pozice na interního a externího správce. Interní a externí správce společně s managerem pak tvoří Bezpečnostní fórum. První část role je obsazena pracovníkem organizace, který je vedením pověřen a je mu dána zodpovědnost za řízení informační bezpečnosti. Interní bezpečnostní správce zajišťuje komunikaci směrem k zaměstnancům a vedení organizace, prosazuje stanovenou bezpečnostní politiku a koordinuje jednotlivé činnosti. Měl by tedy disponovat dostatečnou autoritou. V roli externího správce je v tomto případě AEC, resp. její pracovníci, kteří u zákazníka realizují činnosti dle předem stanoveného harmonogramu. Za komunikaci se zákazníkem vždy zodpovídá konkrétní osoba, která jednotlivé činnosti koordinu

je nebo přímo provádí. Může jít o analýzu a zpracování bezpečnostních incidentů, logů a dalších auditních záznamů, pravidelné aktualizace dokumentace a ověření shody dokumentace s praxí, bezpečnostní školení zaměstnanců, pravidelnou technickou prověrku sítě, serverů a stanic, kontrola dodržování bezpečnostních pravidel zaměstnanci či souhrnné zprávy pro management. Jednotlivé činnosti přesně definuje dokument, který současně tvoří příručku pro bezpečnostního správce. Jsou zde popsány formou procesů s jasně stanovenými odpovědnostmi za jednotlivé kroky a specifikovanými metrikami pro jejich výstupy. Jsou zde také zmíněny klíčové parametry poskytovaných služeb (činností externího správce) jako reakční doby externího správce, struktura a obsah výstupů jednotlivých činností, způsoby předávání informací atd. Ustanovení tohoto dokumentu jsou přitom závazná jak pro poskytovatele služby, tak i pro zákazníka. Jakékoliv změny tohoto klíčového dokumentu podléhají schválení obou stran.

Další užitečné kroky Pokud organizace nemá jakýmkoliv způsobem ustaven systém řízení IT bezpečnosti, je na místě provedení analýzy s následnou definicí bezpečnostních politik a potřebných směrnic. V praxi se osvědčují příručky (Příručka pro uživatele, Příručka pro administrátory…), které srozumitelnou formou přibližují dané skupině problematiku bezpečnosti a současně stanovují potřebná pravidla (např. chování uživatelů). Dále je vhodné provést proškolení uživatelů s cílem uživatelům srozumitelnou formou vysvětlit, proč je dodržování bezpečnostních nařízení důležité (vysvětlit pojmy jako počítačové viry, různé typy útoků…). Určitě nebude na škodu takové zasvěcení uzavřít krátkým testem,

který slouží nejen k probuzení uživatelů před odchodem, ale také k objektivnímu zjištění úrovně jejich znalostí.

Pilotní provoz Ještě před spuštěním „ostrého“ provozu outsourcovaného bezpečnostního správce je vhodné v rámci pilotního provozu otestovat některé jeho vybrané činnosti, což znamená šanci k případnému doladění postupů a nalezení rizikových bodů pro fungování služby. V návaznosti na předchozí školení uživatelů se jako užitečná jeví i namátková prověrka pracovních stanic spojená s kontrolou dodržování bezpečnostních pravidel uživateli či třeba analýza vybraných logů (např. z centrální správy antivirové ochrany). Toto může externí firmě významně pomoci při orientaci v prostředí organizace a seznámení se s její vnitřní kulturou. Závěrem pilotního provozu by měla být zpráva, která shrnuje postup celého procesu zavádění role bezpečnostního správce a výsledky pilotního provozu.

Závěrem Outsourcing bezpečnostního správce nebo správy bezpečnosti může organizaci významně pomoci v budování a udržování systému řízení informační bezpečnosti. Je třeba si uvědomit, že externí specialista, který se dané problematice věnuje neustále, má zpravidla daleko hlubší znalosti než vlastní pracovník. V tomto článku jsme se snažili nastínit některá možná řešení. V praxi je však záběr této problematiky daleko širší. V příštích článcích se budeme věnovat jak některým dílčím oblastem, tak i další možným řešením. Při výběru poskytovatele outsourcingu této klíčové role si je také nutné uvědomit, že aby se projevily pozitivní efekty spolupráce, je třeba, aby byla pokud možno dlouhodobější, a je tedy třeba partnera důkladně vybírat. ❑


29

technologie

ROZUMNÉ SWITCHE Co dokáží inteligentní počítačové sítě Na trhu se neustále objevují nové produkty, vlastnosti a občas i standardy, které mají za cíl zajistit, aby síť fungovala a informace byly dostupné za všech okolností. Zaměřují se především na bezpečnost, dostupnost, výkonnost. V poslední době se začíná používat souhrnný pojem „information assurance“. P2P komunikace schovaná v HTTP provozu

IP Header

IP Payload

TCP Header (port 80)

GET /song.mp3 HTTP/1.1 User-Agent: Kazaa

TCP Payload

Z

řejmým trendem je zvyšující se inteligence sítí. Zjednodušeně řečeno od druhé vrstvy po sedmou (od L2 k L7). I obyčejné L2 přepínače dnes nabízí řadu možnosti v oblasti bezpečnosti nebo základní mechanismy pro QoS (802.1p) i pro redundantní topologii (RSTP). L3 přepínače jsou pro větší sítě samozřejmostí a u kritických aplikací, jako jsou datová centra, portály apod. jsou prakticky pravidlem L7 přepínače. Výrobci nás začínají lákat na inteligentní sítě pro podporu podnikání, „network business inteligence“. I když to zní pouze jako marketing, určitá logika v tom je. Pokud chcete, aby vaše síť respektovala potřeby vaší firmy, musí umět několik věcí.

Víme, kdo se připojuje

AUTOR

V prvé řadě musí vědět, kdo je připojen. Tedy znát nejen o jaké zařízení se jedná, ale i o koho se jedná, znát identitu uživatele. Dále musí vědět, co daný uživatel dělá. To je netriviální úkol, protože právě nežádoucí aplikace – P2P, internetová rádia apod. se ukrývají v HTTP (viz obrázek), HTTPS nebo využívají i vlastní šifrování. V neposlední řadě musí být jasné, co je pro provozovatele sítě nebo jeho zákazníky opravdu důležité. V podnikových sítích jsou to samozřejmě aplikace jako SAP, Oracle, CITRIX atd. Ovšem pro poskytovatele internetu to může být právě P2P. Pro řadu uživatelů internetu je jediný důvod připojení – stahování filmů, hudby apod. Jinými slovy: musí umožnit snadné definování pravidel a jejich prosazení. Nedílnou součástí řešení musí být i zpětná vazba v podobě dlouhodobého záznamu dat. Existuje řada zákonů (Sar-

30

Petr Lasek Pracuje jako konzultant Allot Communications.


Kazaa Pattern

HTTP Pattern

banes-Oxley v USA) nebo oborových norem (HIPAA – Health Insurance Portability and Accountability Act ve zdravotnictví), které přímo vyžadují dokládat, kdo kam přistupoval. I poskytovatelé internetu musí ze zákona uchovávat 6 měsíců záznam o aktivitách svých zákazníků. Obecně vzato se vždy vyplatí znát dlouhodobé trendy, například pro plánování kapacity sítě. Jedná se vlastně o nikdy nekončící proces.

Jak může vypadat konkrétní řešení? Na trhu lze najít několik řešení, které k této problematice přistupují z různých pohledů a s různými výsledky. Rozpoznávání uživatelů a provozu na L7 je velice náročné na výkon. Na druhou stranu se jedná o složité řešení, takže implementovat takové řešení „do hardwaru“ – ať už v podobě zákaznického obvodu (ASIC) nebo síťového procesoru (NP) – je mimořádně složité. Zároveň platí, že pokud má být řešení skutečně použitelné, nemůže to být na úkor výkonnosti sítě. Jednou z cest je content switching, neboli přepínání podle obsahu. Toto řešení má základ v load balancingu, tj. rozdělování zátěže. Dokáže rozdělovat zátěž v síti inteligentním způsobem a zajistit, aby výpadek libovolné komponenty – serveru, firewallu, přípojky do internetu atd., uživatel vůbec nezaznamenal. Příkladem takového řešení je IAS (Intelligent Application Switching) od společnosti Radware. Dokáže zjistit stav jednotlivých komponent, detekovat jejich případný výpadek a směrovat provoz optimálním způsobem, například na nejméně zatížený server.

Chránit se musí také vnitřní části sítě Poměrně nové řešení je NAC – network admission control. Nejčastěji se toto řeše-

ní používá pro vnitřní bezpečnost. V dnešní době už nestačí chránit pouze perimetr sítě. V době mobilních zařízení – notebooky, PDA, je potřeba hlídat každého uživatele a zařízení. Z toho důvodů nestačí „posunout“ firewall dovnitř sítě. Jeho pravidla se definují typicky na základě IP adresy. Při použití dynamického přidělování IP adres (DHCP) nebo při využívání jednoho PC více uživateli se firewall tedy příliš nehodí. A právě NAC řešení umožňuje definovat bezpečnostní pravidla na základě identity uživatele. Lze jej integrovat s Active Directory nebo RADIUS serverem. Pravidla provozu se pak vždy týkají např. Josefa Nováka, nikoliv IP adresy 1.1.1.1. V této oblasti se angažuje řada výrobců – Microsoft, CISCO, HP a dá se čekat velice bouřlivý vývoj. Zpravidla se jedná o kombinaci agenta na PC a aktivního prvku. Juniper například ve svém řešení kombinuje agenta na PC, centrální řídící prvek (infranet controller) a vyžaduje na všech příslušných místech vlastní firewall, který prosadí definovaná pravidla. Takové řešení je velmi komplikované. Na druhé straně pak stojí LANShield od Consentry Network. Vystačí si pouze s jedním hardwarovým zařízením, které dokáže vše „vyčíst“ z provozu v síti.

Nejdále je traffic management Zdaleka nejdále z hlediska schopnosti rozpoznávat provoz na L7 je řešení traffic managementu. Je to logické pokud chcete něco řídit, musíte v prvé řadě vědět, co se děje. Pro rozpoznávání aplikací se zde využívá technologie DPI (deep packet inspection). Ta kombinuje řadu metod detekce – číslo TCP/UDP portu, řetězce znaků v provozu (signatures) až po heuristickou analýzu na základě průměrné délky paketů apod. Traffic management nabízí komplexní řešení a pamatuje na všechny fáze procesu. Díky DPI dokáže provoz správně rozpoznat, následně umožní snadné definování pravidel, jejich prosazení i zpětnou vazbu v podobě dlouhodobého záznamu a generování reportů. Jako příklad lze uvést NetEnforcer od Allot Communications. Jak jsme si řekli na začátku, vývoj v sítích směřuje k větší inteligenci s cílem zajistit bezpečný a spolehlivý přístupu k informacím. Jedná se o kontinuální proces. I když jde o komplexní problematiku, musí se vždy jednat o řešení jednoduché, výkonné, které lze snadno nasadit. ❑

technologie

MĚJTE TRPĚLIVOST… Úvaha o přežití bezpečnostních auditů Dá se říci, že pokud jste administrátor IT, tak občas přežijete audit velmi jednoduše. V případě, že jste již uklidili všechny krabice od pizzy a odlepili barevné lepíky z monitorů a klávesnic, kam si vaši oblíbenci z řad uživatelů poznamenali přístupová hesla, můžete si uvařit kávu a očekávat příchod auditorského týmu.

Z

ní to jako nadsázka, ale při vyhledání hesla bezpečnostní audit pomocí internetového vyhledávače najdete některé opravdu okleštěné formy. Snad nejbizarnější byla nabídka zjištění stavu záplat OS Windows a jejich následná instalace, vydávaná za Systémový bezpečnostní audit. Co by tedy vlastně měl být bezpečnostní audit? Zjednodušeně řečeno se jedná o komplexní posouzení stavu zabezpečení informací ve vaší firmě nebo organizaci. Pokud má být proveden opravdu důkladně, měl by se skládat z celé řady testů a analýz zaměřených na jednotlivé logické celky komunikačních a datových struktur. Asi nejčastěji prováděnou analýzou, je zjišťování stavu zabezpečení IT infrastruktury. Jen jedním z mnoha by měl být již zmíněný test stavu záplat na OS Windows.

Vnitřní testy mají svou váhu Samozřejmě, že posouzení stavu možných bezpečnostních děr (vulnerability assessment), by se mělo týkat všech aktivních

AUTOR

Ondřej Šťáhlavský Autor je bezpečnostní expert společnosti SkyNet.

a pasivních infrastrukturních prvků, operačních systémů a prvků v IT infrastruktuře. Součástí analýzy IT infrastruktury by mělo být také posouzení konfigurace jednotlivých částí systému, prověření dodržování zásad správy a používání hesel atd. Nedílnou součástí jsou také penetrační testy a to jak externí, s cílem narušit zabezpečení vnějšího rozhraní datové infrastruktury, tak interní penetrační testy, prováděné ve vnitřní síti. Interní penetrační testy jsou dokonce skoro důležitější, než testy externí, i když to bývá mnohdy opomíjeno. V současnosti se totiž naprostá většina útoků prováděných za účelem získání citlivých informací odehrává v prostředí vnitřních sítí.

Stále zelená tiskárna Z toho logicky vyplývá, že nedílnou součástí bezpečnostního auditu musí být i audit fyzické bezpečnosti (kdo, kdy a jak má přístup k čemu, komu atd.). Audit se musí zabývat i organizačními procesy a tokem informací mimo datovou infrastrukturu (snad už evergreenem všech auditů, je společná tiskárna stojící na chodbě, ke které má přístup libovolný návštěvník), bezpečností informačních procesů (tajení, sdílení a zveřejňování informací). A v neposlední řadě by měl vyhodnotit stav zabezpečení kontinuity a zálohování dat a informačních systémů.

Samozřejmostí je i personální analýza, která by měla určit možná rizika ztráty citlivých informací nebo narušení jejich bezpečnosti. Výsledkem bezpečnostního auditu by měla být zpráva o komplexním stavu zabezpečení a shody s bezpečnostní politikou, v případě, že ji má vaše firma či organizace definovanou. V případě, že bezpečnostní politika definována není, je zcela zásadní součástí auditu stanovení hodnoty aktiv-informací (jednoduše řečeno co má být chráněno a s jakou prioritou). V případě, že jste se rozhodli (nebo bylo rozhodnuto za vás) k provedení bezpečnostního auditu, je velmi vhodné jej provádět podle obecných norem a direktiv (ISMS – 17799 a ISO 27001). To zajistí, že případná bezpečnostní politika bude s těmito normami ve shodě a tím i případně certifikovatelná. Z již zmíněných skutečností vyplývá, že pokud jste administrátory IT v auditovaném prostředí, je vhodná určitá forma přípravy, a to alespoň na vulnerability assessment. Zcela nejjednodušší je použití open source SW Nessus (www.nessus.org). Ti pokročilejší mohou provést sami některé penetrační testy, pro které existuje také velké množství volně dostupných nástrojů (užitečným zdrojem informací je např. web www.securityfocus.com/pen-test nebo www.soom.cz). A jak tedy přežít bezpečnostní audit? Pokud jste manažerem zodpovědným za chod firmy, tak se obrňte trpělivostí, občas auditoři působí jak z jiného světa (ale to bude tím, že pravděpodobně jsou: kdo jiný je schopen číst normy, než mimozemšťan) a pokud jste administrátorem IT, tak se obrňte trpělivostí. ❑


31

sítě a komunikace

TŘI KRÁLOVÉ PŘICHÁZEJÍ V ČERVNU Test notebooků pro podnikovou sféru

Dnes vám představíme tři notebooky od nejznámějších výrobců výpočetní techniky (nejen) pro podnikovou sféru, jakými Lenovo, HP a Dell jistě jsou. Hlavním zadáním byl laptop s cenou do 35 000 Kč včetně DPH. To nesplnil pouze Dell, který nasadil absolutni novinku Latitude D630 s procesorem Core 2 Duo T7700 a čipsetem Intel GM965 s integrovaným grafickým jádrem Graphics Media Accelerator X3100.

Lenovo ThinkPad R60e Značka ThinkPad je i po jejím odkoupení společností Lenovo od IBM na trhu firemních notebooků stále na špičce a zákazník od ní již tradičně čeká vysokou kvalitu provedení včetně programového vybavení. Tato očekávání beze zbytku naplňuje model R60e. Začněme speciálním modrým tlačítkem v levém horním rohu klávesnice, jež má dvě funkce. Ve Windows spouští „ThinkVantage Productivity Center“, kde si může uživatel vedle továrního nastavení navolit, co se v tomto menu zobrazí (např. vypnutí monitoru, defragmentace disků, vyhledání Wi-Fi sítí, zálohování apod.). Při startu

Lenovo ThinkPad R60e LCD (palců)

32

15 XGA

Rozlišení

1024×768

Procesor

Core Duo 2300E

Parametry CPU

1,66 GHz, FSB 667 MHz, 2 MB

RAM

512 MB DDR2-667

Čipset

Intel 945GM

Grafická karta

Intel GMA950

Grafická RAM

8 až 224 MB

Pevný disk

Fujitsu MHV2060BH

Kapacita

60 GB

Rychlost a cache

5400 ot./min., 8 MB cache

Optická mechanika

LG GMA-4082

Čtečka karet

Ne

WiFi

Intel PRO/Wireless 3945BG

LAN

Broadcom Gigabit Ethernet

Další komponenty

Bluetooth, SoundMAX HD audio, čtečka otisků prstů, lampička, mikrofon, mono repro

Porty

3× USB, FireWire, RJ11, RJ45, VGA, 2x audio, S-Video, zámek Kensington

Přídavná baterie

Ne

Dokovací konektor

Ano

PCMCIA

Ano

ExpressCard

Ano

Akumulátor

5200 mAh, 10,8 V

Přídavná baterie

–

Napájení

100-240 V, 65 W, 50/60 Hz, 1,5 A; výstup: 20 V, 3,25 A

počítače naopak spustí aplikaci nezávislou na operačním systému se stejným názvem a integrovaným internetovým prohlížečem Opera, kde lze nastavit obnovu systému na základní nastavení či ze zálohy (funkci „Rescue and Recovery“ jsme ale museli doinstalovat, což znamenalo stáhnout 400MB instalační archiv) s vlastními nastaveními a programy, popř. zazálohovat důležité vybrané soubory na USB zařízení, pevný nebo dokonce síťový disk. Lze tu vytvořit i tzv. „migration file“ (stejně jako pod Windows) se všemi nastaveními a důležitými daty pro usnadnění přesunu profilu na jiné PC. Druhým zajímavým programem je „PC-Doctor 5“, jenž obsahuje mimo jiné i možnosti update ovladačů či rozmanité testy stavu systému včetně hardwaru jako displej, pevný disk, síť, baterie apod. Nechybí ani pokročilý management napájení a program monitorující disk při otřesech. Rozmanitá jsou i nastavení BIOSu, kde jde podrobně konfigurovat zapnutí většiny vestavěných zařízení jako modem, TrackPoint i touchpad, rychlý start či „diagnostický“ start po zapnutí PC, alarm při nízkém stavu baterie, nastavení sítě (Wake On LAN, vypnutí

Wi-Fi, Bluetooth či síťovky, která má ještě vlastní BIOS apod.), podrobné nastavení zabezpečení včetně okamžiku aktivace otisků prstů nebo diagnostika HDD. Z uživatelského hlediska musíme pochválit kvalitu zpracování, kam řadíme velmi pevné víko, které se neprohne, ani držíte-li za jeho roh vodorovně celý

Rozměry (cm)

33,2×26,9×4

Hmotnost (kg)

2,77

OS

Windows XP Professional

Plusy

Minusy

Software

ThinkVantage a jiné programy od výrobce, Symantec AntiVirus a Firewall (trial), Google Desktop a Picasa 2, InterVideo WinDVD 5, Sonic Recor Now, PC-Doctor 5

• Kvalita zpracování • Výdrž akumulátoru • Softwarová výbava

• 512 MB RAM • Nemá čtečku paměťových karet • Nelze použit přídavnou baterii

Výbava

Manuál, zdroj


notebook, spolu s plasty příjemnými na dotek, pohodlnou klávesnicí, a hned dvěma náhradníky myši. Netradičně bohaté funkce jsou uloženy i klávesovým zkratkám, které vedle tradičních funkcí jako je jas displeje, přechod do úsporného režimu a spánku či vypnutí vestavěných polohovacích zařízení obsahuje i funkci zvětšení obrazu (rychlé přepnutí do rozlišení 800×600). Hlasitost zvuku se ovládá speciálními tlačítky (vše se zobrazuje na LCD). Jako nešťastné ale hodnotíme zapuštění šipek mezi dvě klávesy pro listování obsahem internetového prohlížeče vpřed či vzad, což by jinak bylo velmi šikovné. Pro vět-

ší společnosti může být výhodná snadná možnost vyjmutí optické mechaniky a její nahrazení přídavným akumulátorem „ThinkPad Ultrabay Battery“, toto však platí pouze pro typ R60, nikoli pro levnější R60e. Doporučená koncová cena: 22 990 Kč bez DPH Záruka: 24 měsíců, 12 měsíců pro firmy Prodloužení záruky pro firmy (bez DPH, nevztahuje se na akumulátor): • 3 roky on-site i carry-in: 2 890 Kč • 4 roky on-site: 6 490 Kč Speciální záruční podmínky: dle dohody se zákazníkem.

inzerce ▼

sítě a komunikace

CCA Group Software aÈ víte víc

HP Compaq nc6320 Z bohaté nabídky firemních notebooků společnosti HP jsme pro náš test obdrželi Compaq nc6320 včetně přídavné baterie a elegantní PCMCIA myši komunikující s ním prostřednictvím rozhraní Bluetooth.

HP Compaq nc6320 LCD (palců)

15 XGA

Rozlišení

1024×768

Procesor

Core 2 Duo T5600

Parametry CPU


RAM

512 MB DDR2-667

Čipset

Intel 945GM

Grafická karta

Intel GMA950

Grafická RAM

8 až 128 MB

Pevný disk

Hitachi 5K160

Kapacita

80 GB

Rychlost a cache


Optická mechanika

Pioneer DVR-K17

Čtečka karet

SD/MMC/MS (Pro)/SM/xD

WiFi

Intel PRO/Wireless 3945BG

LAN


Další komponenty

Bluetooth, SoundMAX HD audio, čtečka otisků prstů, mikrofon, stereo repro

Porty

4× USB, FireWire, RJ11, RJ45, VGA, 2× audio, S-Video, sériový a paralelní port, zámek Kensington

Přídavná baterie

Ano

Dokovací konektor

Ano

PCMCIA

Ano

ExpressCard

Ano

Akumulátor

5200 mAh, 10,8 V

Přídavná baterie

5200 mAh, 14,4 V

Napájení

100-240 V, 65 W, 50/60 Hz, 1,6 A; výstup: 18,5 V, 3,5 A

Rozměry (cm)

32,9×26,7×3

Hmotnost (kg)

od 2,7

OS

Windows XP Professional

Software

HP Backup and Recovery Manager, HP Quick Launch Buttons

Výbava

Manuál, zdroj, telefonní kabel a redukce

Instalace a obnova systému je i zde na velmi vysoké úrovni, tzn. stačí při startu zmáčknout klávesu „F11“ a dostanete se do aplikace „HP Backup and Recovery Manager“. Tu lze pochopitelně spustit i z Windows, přičemž uživateli umožňuje vytvořit si sadu CD či DVD se systémem dle nastavení výrobce (tuto akci lze však provést pouze jednou!), vytvořit vlastní zálohu či odebrat servisní oddíl. Můžete též zazálohovat své soubory, ale pouze na USB zařízení. Pochopitelně nechybí ani to nejdůležitější, tj. obnova systému na původní instalaci či na stav, v jakém se nacházel v konkrétním okamžiku ze zálohy. Velmi chudá je ale softwarová výbava, protože jsme zde neobjevili žádné programy včetně vypalovacího softwaru, chybějící přehrávač DVD by se pochopit dal. Možné konfigurace BIOSu, včetně možnosti vypnutí vestavěných zařízení jako Wi-Fi, porty atd., opět plně vyhovují. Coby zajímavou funkci hodnotíme možnost neustálého chodu větráčku při napájení ze sítě. Zde pak musíme poukázat na skutečnost, že při plném výkonu umí být chlazení dost hlučné. Mezi další schopnosti BIOSu pak patří volba provádějící test pevného disku či operační paměti. Bezpečnostní nastavení jako vyžadování hesla hned po spuštění (zde je odlišeno pouhé zapnutí, či možnost vyžadovat heslo i při restartu) či zabezpečení pomocí otisků prstů jsou opět dostačující. Z uživatelského hlediska musíme v prvé řadě poukázat na pružnější víko displeje, které však rozhodně nelze nazvat nekvalitním, pouze svojí pevností nevy-

Plusy

Minusy

• Výkon • Čtečka paměťových karet • Paralelní a sériový port

• Obnovovací sadu DVD lze vytvořit jen jednou • Měkké víko a otlačený displej • 512 MB RAM

Od informací pfies znalosti k inovacím Úplné fie‰ení vzdûlávání s e-learningem Business Intelligence Zakázkov˘ v˘voj Poskytování expertÛ ORACLE Collaboration Suite Portály ·KOLA ONLINE

software to know more

www.cca.cz


33

sítě a komunikace

bočuje z průměru jako ThinkPad. Coby nepříjemný důsledek této skutečnosti shledáváme přímo na LCD otlačené gumičky, jež se z nepochopitelného důvodu nacházejí spodní hraně klávesnice nad touchpadem. Stejně tak obraz LCD hodnotíme spíše jako průměrný. Jediné konfigurovatelné tlačítko pro rychlou volbu slouží v základním nastavení pro spouštění prezentací včetně výběru zobrazovacího monitoru. Doslova nedostatkem je ale skutečnost, že se intenzita zvuku či jasu displeje nezobrazuje při její změně pomocí klávesových zkratek na displeji v nějaké formě OSD menu a chybí možnost snadného vypnutí touchpadu alespoň prostřednictvím klávesové zkratky. Příjemný je naopak velký „Enter“, umístění šipek mimo klasickou klávesnici, snadná regulace zvuku a pohodlné zapínání obou bezdrátových zařízení. Velikou výhodou modelu nc6320 je přítomnost paralelního a sériového portu, které současným moderním notebookům již často chybí. Většina uživatelů to sice neocení, ale stále existuje malá skupina specialistů, kteří

tyto porty ke své práci nutně potřebují (např. pro různé diagnostické přístroje apod.) a pro ně se HP stává jasnou volbou. Stejně tak je výbornou věcí přídavná baterie, i když bychom čekali mnohem delší nárůst výdrže. Doporučená koncová cena: 25 980 bez DPH Záruka: 24 měsíců, 12 měsíců pro firmy Prodloužení záruky pro firmy: po zakoupení Carepack za 3 324 Kč bez DPH vyzvednutí, oprava a vrácení zařízení (bez pokrytí ext. monitoru) po dobu 3 let. Speciální záruční podmínky: zásah v místě instalace na 3 roky za 4 970 Kč bez DPH. Cena přídavné baterie: 3 358 Kc bez DPH Cena myši: 1 310 Kč bez DPH

Dell Latitude D630 Dell Latitude D630 LCD (palců)

14,1 WXGA+

Rozlišení

1440×900

Procesor

Core 2 Duo T7700

Parametry CPU


RAM

1 GB DDR2-667

Čipset

Intel GM965

Grafická karta

Intel GMA X3100

Grafická RAM

10 až 256 MB

Pevný disk

Western Digital Scorpio 1200BEVS

Kapacita

120 GB

Rychlost a cache


Optická mechanika

Sony DW-R56A

Čtečka karet

Smart Card

WiFi

Dell Wireless 1490 Dual Band WLAN

LAN


Další komponenty

Bluetooth, SigmaTel HD audio, čtečka otisků prstů, Ambient Light Sensor, mikrofon, mono repro

Porty

4× USB, FireWire, RJ11, RJ45, VGA, 2× audio, sériový port, zámek Kensington

Přídavná baterie

Ano

Dokovací konektor

Ano

PCMCIA

Ano

ExpressCard

Ne

Akumulátor

8500 mAh, 11,1 V

Přídavná baterie

–

Napájení

100–240 V, 50/60 Hz, 1,5 A; výstup: 19,5 V, 3,34 A

Rozměry (cm)

33,7×23,8×3,23

Hmotnost (kg)

2,3

i Wi-Fi, i když ve výše popsaném programu lze navolit, které ze zařízení se takto nebude vypínat (zůstane neustále zapnuté). Přepracovaný je „power management“. Zálohu systému lze provést programem System Restore v příslušenstvích a k reinstalaci systému slouží systémové DVD. BIOS hodnotíme jako nejpřehlednější ze všech tří notebooků, přičemž opět nabízí podrobná nastavení včetně informací o stavu baterie či procesoru, umí vypnout vše vestavěné jako modem, Wi-Fi či Bluetooth, včetně paralelního portu (ten notebook sice nemá „onboard“, nicméně se nachází v dokovací stanici). Taktéž zabezpečení je bohaté i s možností ochrany pevného disku heslem apod. Při startu můžete spustit i podrobnou diagnostiku počítače včetně testu LCD, procesoru či pamětí. Z uživatelského hlediska notebook disponuje hned několika zajímavými technologiemi, jež si zaslouží naši pozornost. „Wi-Fi Catcher“ je určen pro rychlou detekci bezdrátových sítí pomocí LED diody, tj. bez nutnosti notebook zapínat. „Ambient Light Sensor“ automaticky upravuje jas LCD podle intenzity okolního světla tak,

OS

Vista Business

Plusy

Minusy

Software

Dell Quick SetDell Quick Set a jiné programy od výrobce, Roxio Creator 9, PowerDVD 7, Wave EMBASSY Trust Suite

• Vysoký výkon • Nízká hmotnost • Vysoké rozlišení LCD

• Vyšší cena • Nemá čtečku paměťových karet • Nemá ExpressCard slot

Výbava

34

Notebook Latitude D630 v našem testu trochu vybočuje, jeho cena je jednak dvakrát vyšší než u konkurence, a zadruhé jde o předprodejní vzorek vybavený již novou platformou Centrino Pro (tedy až na Wi-Fi a bez Turbo Memory). Nabídl nám ale zajímavou příležitost kouknout se na výhody této novinky, které mají být hlavně ve vyšším výkonu a výdrži akumulátoru, i když musíme předeslat, že jeho kapacita zde byla silně nadstandardní. Instalovaným operačním systémem byly Windows Vista Business, obsahující zajímavé utility od výrobce jako Dell Quick Set, jenž slouží pro zprovoznění klávesových zkratek včetně popisu funkce, přičemž vše jako jas displeje se opět zobrazuje na displeji. Dále tu máme nastavení parametrů displeje včetně Ambient Light Sensoru, dále nastavení místních sítí, nechybí přístup k aplikaci Mobility Center, kde můžete vedle již zmíněných věcí zvolit napájecí schéma, detekovat externí displej a nastavit notebook do módu prezentace nebo vypnout bezdrátové moduly. Ty se pak primárně ovládají mechanickým spínačem na levém boku šasi, přičemž vypínač je společný pro Bluetooth

Manuál, zdroj


sítě a komunikace

Pro měření výkonu jsme použili komplexní program PC Mark 05, pro otestování pamětí a procesoru SiSoft Sandru 2007, resp. Super PI, pro otestování rychlosti pevného disku HD Tach 3.0 a pro lepší ilustraci 3D výkonu náročný testovací program 3D Mark 05. Délka výdrže akumulátoru byla testována programem, který každých deset sekund zapisuje na pevný disk a zároveň pohybuje myší. Jas displeje byl nastaven na rozumné minimum (tj. subjektivně vnímané) a správa napájení na nejnižší možnou spotřebu. Zapnut zůstal Wi-Fi modul, který celou dobu testu přenášel menší objemy dat, odpovídající například lehkému brouzdání po internetu. Test skončil po absolutním vybití baterie, kdy se notebook vypnul.

Výsledky měření výkonu PCMark05 Celkem CPU RAM Grafika HDD Sanda 2007 – CPU ALU iSSE3 Sanda 2007 – Memory Integer Super PI 8M (s; méně je lépe) 3D MARK 05 1024 × 768 CPU HD Tach Drive Index (MB/s) Random Access Time (ms) Výdrž (hodiny:minuty) S přídavnou baterií Teplota max. (oC) Teplota avrg. (oC) Teplota HDD (oC)

Lenovo

HP

Dell

2 826 3 845 2 657 960

3 300 4 666 3 565 1 051

4 211 5 922 4 706 1 742

3 277

4 082

3 608

11 195 8 249

16 897 11 600

21 986 15 393

3 466

3 432

3 962

409

356

275

495 3 486

467 4 039

720 6 843

28,6 19

39 17

33,4 18

5:10 – 56 43–50 43

4:37 6:30 69 45–50 37

6:48 – 70 44–47 –

že v šeru jej sníží a za denního světla naopak zvýší. „TPM security chip“ zas umožňuje vytvoření virtuálního disku, kam můžete ukládat svá citlivá data, přičemž ta budou automaticky kódována. Víko je sice pružné a rozhodně bychom s ním nezkoušeli to, co s IBM, ale kryt je zároveň dostatečně pevný, aby ochránil displej před poškozením. U takto moderního notebooku bychom pak místo PCMCIA očekávali ExpressCard slot. Ten je sice dostupný díky volitelně dodávané redukci, nicméně za cenu mnohem nižší prostupnosti, než u nativní ExpressCard sběrnice. Zajímavé je i řešení objemné baterie, jejíž část je jednoduše umístěna před klávesnici coby předložka. Psaní je pak díky tomuto „fíglu“ překvapivě pohodlné, i když se tím snižuje celková skladnost stroje. Akumulátor má i vlastní detekci úrovně nabití. Klávesnice obsahuje touchpad i „Track Stick“ a nechybí možnost osadit pozici pro optickou mechaniku přídavnou baterií. Mnohý zákazník pak přivítá sériový port a jiná možnost vybavit Latitude D630 modulem pro příjem EVDO či HSDPA signálu. Mrzela nás absence modulu Turbo Memory s kapacitou 1 GB, který bude finální produkt již obsahovat, protože jsme nemohli dostatečně zjistit přínos této technologie, jež má být jedním z hlavních vylepšení Centrina Pro podobně jako bezdrátová síťovka Intel s podporou protokolu 802.11n.

Doporučená koncová cena: 49 709 Kč bez DPH Záruka: 36 měsíců pro firmy i fyzické osoby Prodloužení záruky pro firmy: až na 5 let. Speciální záruční podmínky: garance opravy do druhého pracovního dne u zákazníka, dále lze dokoupit pojištění Complete Care v několika typech. ❑ Igor Viduna Autor je redaktorem časopisu Connect!.

inzerce ▼

AUTOR

Jak jsme testovali?

recenze

KOMUNIKUJTE RYCHLE I BEZ DRÁTŮ Wi-Fi router a karty Linksys s podporou 802.11n V následujícím testu půjde o Wireless-N Broadband Router WRT300N a síťové karty Wireless-N USB Network Adapter WUSB300N zvládající až několikanásobně rychlejší bezdrátovou komunikaci než většina v současnosti nejrozšířenějších Wi-Fi zařízení. Výrobce dokonce deklaruje čtyřikrát větší dosah a rychlost až dvanáctkrát vyšší – v praxi se ale jedná maximálně o teoretických 300 Mbit/s.

P

AUTOR

rotokol 802.11n má osud tak trochu podobný malé labuti ze všem známé pohádky „O ošklivém káčátku“. Ačkoli se o něm začalo poprvé nahlas mluvit již před několika lety, stále čeká na oficiální schválení asociací IEEE (Institute of Electrical & Electronics Engineers) do podoby konečného standardu, tedy na svůj přerod v onu krásnou labuť. Všechna v současnosti prodávaná zařízení, pyšnící se tímto novým síťovým protokolem (včetně těch testovaných), se totiž nacházejí ve stavu podpory „pouhého“ návrhu standardu (tzv. Draftu) ve verzi 1.0. Existuje již ale i čip společnosti Marvell nazvaný „TopDog“ zvládající i jeho druhou revizi, tedy Draft 2.0. U většiny stávajících zařízení ve fázi Draftu 1.0 by pak měl pro přechod na druhý „předstandard“ údajně postačovat pouhý upgrade jejich firmwaru (ale kdo ví). Hlavní výhodou nového protokolu má být zejména jeho vysoká datová propustnost, protože stávající teoretické maximum 54 Mbit/s u nejrozšířenějšího IEEE 802.11g již přestává zvyšujícím se nárokům na rychlost bezdrátových sítí stačit. Špičkový datový tok 300 Mbit/s deklaruje vedle Linksysu u své bezdrátové síťové karty PRO/Wireless 4965AGN, jež bude pevnou součástí nového Centrina Pro, například i Intel. Původně se při tom pro 802.11n uvažovalo až o 500 Mbit/s, přičemž „TopDog“ by prý mohl atakovat hranici až 600 Mbit/s. Těchto vysokých rychlostí se dosahuje sdružením více antén technikou MIMO (Multiple Input, Multiple Output), přičemž druhým pozitivním přínosem je vyšší dosah takových aktivních prvků. Produkty Linksys Wireless-N využívají více rádií pro současný přenos dvou proudů dat přes více kanálů. To umožňuje, aby každý 20MHz kanál obsahoval více než jeden proud dat, což má výrazně zvýšit jeho kapacitu. Návrh speci-

36

Igor Viduna Autor je redaktorem časopisu Connect!.


fikace 802.11n také dovoluje přenášet data přes dva dostupné kanály najednou, čímž se prakticky vytváří 40MHz kanál s dvojnásobnou kapacitou vhodnou pro aplikace jako video či hraní on-line her a VoIP.

Zkušenosti z praxe U testování dosahu nás překvapil relativně malý rozdíl mezi testovanou síťovkou a klasickou „Centrino kartou“ Intel Pro/Wireless 3945ABG. Ke cti testované síťové karty Linksys budiž přičten fakt, že snesla rozdíl právě jedné zdi a asi ještě 10 metrů ve srovnání s konkurentem, který ztratil dech právě za čtvrtou zdí. Na volném prostranství by byl rozdíl jistě o mnoho citelnější. Zajímavý je také fakt, že u Intelu prakticky neklesla deklarovaná rychlost z teoretického maxima, u Linksysu byl pokles velmi razantní a končili jsme na 1 Mbit/s.

Měření přenosové rychlosti 1,601 1,134

kopírování

1,045 0,942

NetTest

2,510 1,456

Sandra 2007

[MB/s] 0,5

802.11g

1

1,5

2

2,5

3

802.11n

Datová prostupnost pak velmi kolísala i při zátěži během měření, standardně oscilovala mezi 162 Mbit/s až 300 Mbit/s. Router se při tom stále nacházel na stole asi metr od notebooků se síťovkami. Doslova zklamáním jsou ale naměřené výsledky, kde je sice patrný rozdíl mezi novou a straší generací, nicméně není vůbec tak propastný, jak by člověk dle avizovaných teoretický hodnot čekal – rozhodně ne 12×, jak uvádí Linksys. Stále ale musíme mít na paměti, že 802.11n není ve fázi konečného standardu a je možné, že se v budoucnu dočkáme lepších hodnot, přičemž k případnému upgradu by měl opravdu stačit pouze nový firmware. ❑

Parametry testovaných přístrojů Model Standardy Frekvence Porty LED Počet antén Síla signálu Citlivost na příchozí signál Maximální teoretická přenosová rychlost Zabezpečení Hloubka šifrování Jiné funkce Minimální požadavky Rozměry Hmotnost Napájení Pracovní teploty Pracovní vlhkost Obsah balení

Router WRT300N

Síťové karty WUSB300N

Draft 802.11n, 802.11g, 802.11b, 802.3, 802.3u 2,4 GHz 1× napájení, 1× WAN, 4× LAN napájení, 4× LAN, internet (WAN), WiFi, zabezpečená komunikace 3 17 dBm –

IEEE 802.11b, IEEE 802.11g, draft 802.11n; USB 1.1/2.0 – USB napájení, link/act

300 Mbit/s (37,5 MB/s)

–

WEP, PSK/ PSK2 personal a enterprise, Radius 64, 128 a 256 bitů DHCP server, SPI firewall, webové konfigurační rozhraní IE 5.5 nebo Firefox 1.0, CD-ROM, Windows 2000/XP, síťová karta 188 × 40 × 176 mm 527 g 12 V, 1 A 0–40 ºC

WEP, WPA a WPA2

600MHz procesor, 256 MB RAM, CD-ROM, USB 2.0, Windows 2000 SP4 a XP SP2 57 × 10 × 101 mm 29 g max. 480 mA 0–55 ºC

10–85 % WiFi router, napájecí zdroj, LAN kabel, CD s ovladači, manuálem, Norton Internet Security a příručka pro rychlé nastavení

– síťová karta, USB kabel/stanice, CD-ROM s ovladači, manuálem a a příručka pro rychlé nastavení

13 až 14 dBm –62 dBm až -86 dBm

– –

recenze

Wireless-N Broadband Router WRT300N Mechanické provedení působí velmi solidně – kvalitní plasty a k tomu líbivý design, nemluvě o možnosti umístit zařízení na „ležato“, či díky přiloženému stojánku i kolmo pro úsporu místa. Díky odvětrání po stranách nehrozí ani přehřívání, i bez aktivního chlazení. Model WRT300N má vedle funkce přístupového bodu (access pointu) pro Wi-Fi také čtyři klasické full-duplex RJ45 výstupy pro 10/100Mbit síť, ve které tak může fungovat jako switch. Samozřejmá je schopnost přidělovat IP adresy (dynamické i pevně nastavené) a nechybí ani jednoduchý SPI (Stateful Packet Inspection) firewall. Samotnou instalaci zvládnou i začátečníci. Na přiloženém CD naleznete

aplikaci, která vás v 10 krocích snadno provede základní konfigurací zařízení včetně administrátorského hesla, nastavení typu šifrování bezdrátové komunikace (WEP, PSK/PSK2) apod. Nicméně vše (a mnohem více), jako vypnutí přístupu k nastavením přes Wi-Fi síť, zapnutí remote managementu pro všechny, či pro jedinou IP adresu, nebo filtr až pro 50 MAC adres, lze provést i prostřednictvím přehledně zpracovaného webového administrátorského rozhraní. Doporučená koncová cena včetně DPH: 3 758 Kč Záruka: 2 roky

Plusy

Minusy

• Bohaté funkce, snadná konfigurace • Kvalita provedení • Vyšší přenosová rychlost

• Cena • Rychlost neodpovídá očekávání Elegantní a funkcemi nabitý, takový je router Linksys.

Wireless-N USB Network Adapter WUSB300N Síťové karty Linksys v provedení pro USB mají jednu velikou výhodu – univerzálnost. Dají se totiž použít jak do stolních PC, tak do notebooků. Zde sice nejsou nepraktičtější, ale možnost to je a existují i PCMCIA verze. Součástí balení jsou i dva kablíky, z nichž jeden je pouhým prodloužením USB vývodu a druhý je vyroben ve formě stojánku vhodného k umístění třeba na stůl. Oba produkty podporují 802.11n a zpětně pochopitelně i standardy IEEE 802.11b/g. Standard IEEE 802.11a ale nikoli, protože ten funguje v 5GHz pásmu, nikoli na 2,4 GHz jako ostatní.

Kvůli podpoře rychlé komunikace pak nechybí MIMO, karta má tedy dvě antény. Samozřejmostí je i podpora zabezpečení pomocí WEP, WPA a WPA2 s hloubkou šifrování až 256 bitů. Součástí ovladačů je i aplikace pro správu připojení k bezdrátovým sítím (podobnou má třeba i Intel), kde pak vidíte například i informace o access pointu včetně jeho MAC adresy či typu šifrování. Doporučená koncová cena včetně DPH: 3 050 Kč Záruka: 2 roky

Plusy

Minusy

• Univerzálnost • Bohaté balení • Vyšší přenosová rychlost a dosah

• Cena • Rychlost neodpovídá očekávání Také USB síťovka může být stylová.

Jak jsme testovali? K testování propustnosti sítě jsme použili speciální programy, jakými jsou Oprimax NetTest či SiSoft Sandra 2007. Nakonec jsme zkusili obyčejný přenos velkého asi 700MB souboru do sdíleného adresáře z jednoho notebooku na druhý

s měřením času za pomoci stopek. Dosah jsme zkoušeli v budově, přičemž v mezní situaci nás mezi routerem Linksys WRT300 a notebookem dělily až čtyři zdi a vzdálenost asi 40 metrů. Testované prostředí bylo současně velmi hustě

„osídleno“ dalšími bezdrátovými sítěmi typu 802.11b/g. Při testech bylo zapnuto šifrování WEP 64 bitů. Za zapůjčení produktů děkujme společnosti BGS Levi.


37

technologie

SERVERY SPARC ENTERPRISE Výsledek spolupráce Sunu a Fujitsu Spolupráce společností Fujitsu Siemens a Sun Microsystems postoupila na vyšší úroveň, když v květnu 2007 představily projekt serverové řady pod názvem SPARC Enterprise. Ta bude prodávaná oběma společnostmi. Část modelů má v sobě Sun UltraSPARC T1, zbytek Fujitsu SPARC64 VI.

N

AUTOR

ejdříve začněme od klíčové součástky, která je také novinkou. Společnost Fujitsu vyvinula procesor s názvem SPARC64 VI, následníka modelu SPARC64 V. Rozklíčováním názvu lze zjistit, že jde o 64bitový procesor rodiny SPARC. Jde o čistou evoluci navýšením vnitřní frekvence až na 2,4 GHz přičemž počet jader se zdvojnásobil – nyní jsou dvě s podporou VMT (vertikálního multithreadingu). Ten však pracuje odlišně než známější verze z rodiny horizontálního multithreadingu. Zatímco HyperThreading u Intel Pentia 4 umožňuje zpracovávání dvou instrukčních toků zároveň, VMT umožňuje jedinému vláknu, aby naplno využívalo procesor. Až ve chvíli, kdy čeká na příchod dat z RAM, přepne na druhé vlákno, jež dostane opět monopol k vytížení procesoru. To je pro tyto procesory obvyklý postup, jaký lze najít například u UltraSPARC T1. SPARC64 VI je typické CPU druhé generace vícejádrové architektury, založené na sdílené L2 cache paměti. Dvě jádra mají vysoký výkon, což je vhodné pro databázové či ERP servery. Naproti tomu „Niagara“ patří svými osmi jádry již do třetí generace těchto procesorů. Jak tedy SPARC64 VI zařadit, když v sesterské stáji Sunu čelí procesoru UltraSPARC T1, řečenému „Niagara“? Jednodušeji než se na první pohled zdá. Oba procesory totiž míří natolik různými směry, že si nekonkurují, doplňují se. Přes všechnu spolupráci pak lze mezi řádky číst, že SPARC64 VI je pro Sun Microsystems vítaným zpestřením nabídky, neřku-li záchranou. Procesoru s kódovým označením „Rock“ (stále pouze „na papíře“) a úctyhodnými vlastnostmi se totiž letos nedočkáme. Podle nejnovějších oficiálních informací bude „Rock“ až ve druhém pololetí roku 2008, a tak se zákazníkům již dnes

38

Patrik Veselík Je externím členem redakce časopisu Connect!.


nabízí SPARC64 VI. U serverů vybavených tímto procesorem mají výrobci garantováno, že je lze posílit o SPARC64 VII, jak je ostatně dobrým zvykem. Bude tak možné oba modely mixovat v jediném stroji.

SPARC Enterprise Letmo se nyní dotkněme nejslabších modelů s výškou 1U a 2U, tedy strojů T1000 a T2000 vybavených osmijádrovým procesorem Sun UltraSPARC T1. Již díky tomu je zřejmé, že půjde o servery, určené pro internetové služby. Ty standardně vyžadují obecný výkon s mnoha vlákny, matematický v plovoucí desetinné čárce od těchto strojů čekejme jen málo. Jediná jednotka je totiž sdílená všemi osmi jádry procesoru. Pro webový server bez šifrování jde tedy o ideální řešení. Nyní přejděme k sestavám s procesorem SPARC64 VI. Hned na začátek je nutné nekompromisně oznámit, že nejde o běžné servery, nýbrž o kategorii „vyšší až královskou“, kde obě firmy (Fujitsu i Sun) používají slovo mainframe. Nejlevnější sestava přesahuje svou cenou milion korun českých. Nejslabší verze M4000 a M5000 je možné umístit do 19palco-

Schéma SPARC Enterprise M4000

vého racku, kde zaberou výšku 6U nebo 10U. Ostatní modely jsou natolik rozměrné, že jsou umístěny do samostatné skříně (či dokonce do dvou – u verze M9000-64). Základem je 64bitový dvoujádrový mikroprocesor Fujitsu SPARC64 VI s frekvencí do 2,4 GHz. Každé jádro podporuje VMT. Na rozdíl od UltraSPARC T1 má sice jen 4 vlákna na patici, ovšem veliká vyrovnávací paměť a vysoký matematický výkon v plovoucí desetinné čárce jej předurčuje pro náročná a komplexní řešení. Mezi ty patří obchodní aplikace typu ERP, CRM, OLTP, dále databáze, webové služby (hlavně s intenzivními výpočty či šifrováním), případně vědecké aplikace s potřebou enormních výkonů. Dá se tedy opravdu říci, že si procesory SPARC64 VI a UltraSPARC T1 nejenže nekonkurují, ale výborně se doplňují. Servery této kategorie již nejsou nabízeny s celou paletou paměťových modulů. Jediný paměťový modul má kapacitu 4 GB, přičemž nejslabší konfigurace disponuje hned čtyřmi moduly, neboli 16 GB RAM. Přičemž, aby se docílilo maximální kapacity až 2 TB, je nutné mít i 512 slotů pro DIMM moduly. V současnosti se pak využívají typy s nejrozšířenějšími obvody typu DDR2 SDRAM. Všechny modely (od M4000 po M900064) pak disponují stejně silnými metodami ochrany operační paměti. Ty staví na více modulech vybavených technologií ECC, což server ochrání před jednobitovou chybou. Vyšší vrstvu řeší Extended ECC, kde

technologie

se využívá paměťových obvodů se 4bitovým portem. Poškodí-li se totiž celý obvod, vytvoří se 4bitová chyba, se kterou si ECC jednoduše neporadí. Ale díky Extended ECC se 4bitová chyba rozdělí na čtyři 1bitové, které čtyři ECC jednotky hravě opraví – tato technika se také nazývá „Chipkill“. A kdyby ani to nestačilo, je možné využívat vzájemně zrcadlených paměťových modulů. Zatímco jiné sestavy mají RAM připojenou k procesorům přímo, zde komunikují prostřednictvím čipové sady z důvodu vzájemné nezávislosti v případě výpadku. Vadný procesor by totiž odpojil zdravou RAM od zbytku počítače, což je nežádoucí. Obě tyto klíčové komponenty se navíc nacházejí na samostatných kartách, výměnných i za chodu.

Technické parametry strojů Fujitsu/Sun SPARC Enterprise M4000 až M9000-64 Mid-range Systems

SPARC Enterprise

M5000

M8000

M9000-32

2

4

16

24

24

SPARC64 VI 2,15 GHz (5 MB L2)

SPARC64 VI 2,15 GHz (5 MB L2)

SPARC64 VI 2,28 GHz (5 MB L2), 2,40 GHz (6 MB L2)



Maximální počet domén Osazované procesory

High-End Systems

M4000

M9000-64

Procesorů/jader/vláken

4/8/16

8/16/32

16/32/64

32/64/128

64/128/256

Kapacita a typ RAM/ počet modulů/počet modulů v banku/bank

od 16 do 128 GB DDR2/32 slotů 4/8

od 16 do 256 GB DDR2/64 slotů 4/16

od 16 do 512 GB DDR2/128 slotů 8/až 16



Sloty

4x PCI Express a 1x PCI-X a až 25 slotů díky External I/O Expansion Unit

8x PCI Express a 2x PCI-X a až 50 slotů díky External I/O Expansion Unit

32x PCI Express a 80 slotů díky External I/O Expansion Unit

64x PCI Express a 80+80 slotů díky External I/O Expansion Unit

128x PCI Express a 80+80 slotů díky External I/O Expansion Unit

LAN

2x Gigabit Ethernet

4x Gigabit Ethernet

4x Gigabit Ethernet

4x Gigabit Ethernet

4x Gigabit Ethernet

až 146 GB (4x SAS 2,5")

až 292 GB (4x SAS 2,5")

až 1,168 TB (16x SAS 2,5")

až 2,336 TB (32x SAS 2,5")

až 4,67 TB (64x SAS 2,5")

Ochrana dat v RAM paměti

Pevné disky (73 GB, 10.000 ot/min) Ostatní paměťová média Rozměry

ECC, Extended ECC, zrcadlení DIMM modulů

DVD-ROM, DAT

DVD-ROM, DAT

DVD-ROM, DAT

DVD-ROM, DAT

DVD-ROM, DAT

8U/19 rack (délka 81 cm)

10U/19 rack (délka 81 cm)

180 x 75 x 126 cm

180 x 85 x 126 cm

180 x 167,4 x 126 cm

Hmotnost

Nejzajímavější je konstrukce

Napájecí zdroje

Coby velmi unikátní vlastnost těchto strojů musíme bezesporu zmínit právě vzájemné propojení všech dílů uvnitř počítače. Výrobce použil postup obvyklý pro spojení serverů v rámci odolné počítačové sítě. To, co jsme zvyklí nazývat základní deskou, je tu rozděleno do jednotlivých funkčních bloků, přičemž každý je spojen minimálně se dvěma díly další vrstvy, případně s komponentami sobě rovnými. Díky tomu není ohroženo zpracování dat ani při výpadku jednoho či více z nich. Začneme nejnižším modelem M4000, jenž disponuje dvěma dvouprocesorovými kartami, kde každý procesor přímo komunikuje s oběma obvody čipsetu. Čtyři paměťové karty obsahují každá osm patic pro DIMM moduly a čipset. Tyto obvody mají i rychlé propojení mezi sebou. Od obou vede spojení do switche PCI Express. Na této úrovni záleží na správci, jestli pochopí schéma zapojení a umístí karty tak, aby výpadek čipu PHY pro fyzickou vrstvu PCI Express neohrozil celek. Kromě těchto slotů pamatuje výrobce u dvou nejslabších konfigurací i na sloty PCI-X pro starší karty. Verze M8000 má vzhledem k většímu množství procesorů, paměti a slotů pro karty PCI Express i větší možnosti pro redundanci. Kromě procesorů či paměťových modulů a cest k nim se může „odporoučet“ také přepínač PCI Express, pokud jsou zrcadleny také karty. Přestože by se zdálo, že tak objemné stroje mohou mít libovolně disků, není tomu tak. Výrobce proto použil 2,5palcové pevné disky s 10 000 otáčkami za minutu. Při rozumném výkonu se vyprodukuje málo tepla a diskový prostor nezabere fyzicky mnoho místa. U této kategorie se stejně typicky využívá vzdálené úložiště typu SAN, a tak to nechápejme jako nedostatek. Servery jsou to natolik silné, že jen výjimečně je možné využít všechny jeho součásti jedinou aplikací či určením, a proto se nabízí možnost rozdělit je na virtuální stroje. Aby

Maximální výkon cena od [Kč]

84 kg

125 kg

700 kg

940 kg

1880 kg

1 fáze, 1+1 kabely

1 fáze, 2+2 kabely

1 nebo 3 fáze, dual-grid



2 350 W

4 590 W

10 500 W/11 000 VA

21 300 W/22 400 VA

42 600 W/44 800 VA

1 134 000 Kč*

1 239 000 Kč*

6 104 490 Kč*

10 739 085 Kč*

-

* prostý přepočet 1 USD = 21 Kč

to bylo však možné, musí se nejdříve seskupit jednotlivé součástky serveru do virtuálních celků. Výrobce pro toto používá označení DSD (Dynamic System Domains). Díky tomu lze bezproblémově nahradit větší množství stávajících serverů se SPARC procesory jediným serverem SPARC Enterprise i při zachování dělení na jednotlivé stroje. Tento postup lze považovat svým způsobem za konkurenci pro „blade“ servery. Díky tomu se přímo nabízí další možné použití – konsolidace serverů.

Zastavme se krátce u hmotnosti. Téměř dvě tuny, to je váha pořádné limuzíny. SPARC Enterprise M9000-64 má tuto hmotnost koncentrovanou na jedno místo o ploše zhruba 1 × 2 metry a ne každá podlaha je konstruována na takovou zátěž. To může hrát významnou roli při výběru provozního místa. Podotýkáme jen, že toto není problém konkrétního stroje, ale IT technologií od určité kategorie výš.

Administrace, chlazení a napájení serverů

Zdá se vám cena příliš vysoká? Pak je nutno si uvědomit, co vše vlastně sestavy přinášejí. Spolehlivost je na velmi vysoké úrovni díky vysloveně síťové architektuře, kdy může kterákoli součástka „odejít“ bez následků na celek, a to včetně „základní desky“, propojení obvodů čipsetu mezi sebou, procesorů či paměťových modulů. Servery obvykle mívají kromě hlavních procesorů také procesory servisní. Také ty jsou u vyšších modelů vícenásobné, u M9000 lze dokonce servisní procesory nahradit za chodu. To se týká samozřejmě všech ostatních částí počítače. Snad jedinou výjimkou je nemožnost výměny základního rámu šasi. Kombinace s operačním systémem Solaris 10 vytváří velmi robustní řešení. Neobvyklou, a pro zákazníka velmi příznivou, možností je výběr dodavatele. Záleží pouze na klientovi, zdali si vybere Fujitsu či Sun Microsystems. Jestliže nebude spokojen se službami jedné z uvedených společností, může vždy přejít ke druhé. Obě firmy prodávají stejné sestavy, takže ani případný přechod by neměl posloužit jako záminka k výměně hardwaru a operačního systému. Tento komfort téměř nemá obdoby. Je to klíčový argument při obhajobě vložených financí a ochraně investic. ❑

Servisní procesory komunikují s management softwarem Sun Management Center a Sun N1 Software. Správce může využívat jak příkazové řádky, tak webového rozhraní či Java konzole. Samotné servery jsou založeny na operačním systému Sun Solaris 10, který pokrývá všechny kategorie. Podle tvůrců umožňuje téměř lineární zvyšování výpočetního výkonu od 1 do 72 procesorů (tj. do 144 jader) a adresovatelností paměti vysoko nad možnosti nejsilnějších SPARC serverů. Chlazení patří mezi přehlížené části, přičemž větráky patří mezi nejméně spolehlivé součástky. Pro celou řadu platí redundance u všech větráků. Obvykle se používají větráky s průměrem 17,2 cm, kterých může být až 32. Pro napájení platí podobná pravidla. Zdroje jsou minimálně dva (v konfiguraci 1+1), přičemž každý má svůj napájecí kabel. Nejslabší provedení je napájeno jednou fází, verze M8000 a M9000 mají podporu jedno i třífázového proudu. K tomu stačí od tří do dvaceti kabelů podle typu a počtu fází. Pro mnohé firmy však může být problém, jak v pronajatých prostorách zajistit napájení schopné dodat více než 40 kW. Naštěstí nejslabší verzi zvládne i jediná fáze s běžných 16A jističem.

Není to drahé?


39

technologie

SPARC SOFTWARE NA INTELECH

QuickTransit technologie osvobozuje platformy Poměrně neznámá firma Transitive provedla něco nepředstavitelného. Zasedla si na operační systém Solaris na procesorech SPARC a rozhodla se, že jej přenese jinam. Po verzích pro IA-64 přichází na řadu verze pro běžné procesory AMD či Intelu. Znamená to konec SPARC platformy?

N

AUTOR

ejdříve si představme celou řadu produktů. QuickTransit umožňuje provozovat aplikaci pro SPARC/Solaris na jiném procesoru i operačním systému, a to bez jakékoli úpravy programu samotného. Není zapotřebí žádný hardware, jedná se o čistě softwarovou záležitost. Je to binární překlad instrukcí „za pochodu“ (nebo chceteli „on-the-fly“). Nejedná se tedy o emulátor, a tak se předpokládá, že výsledek bude rychlý s nízkou odezvou. Je to podobná situace jako v případě Java aplikací nebo překladového systému Digital FX!32 (umožňujícího používat aplikace pro Intel, Windows na kombinaci DEC Alpha, Windows NT). Spouštěný program se domnívá, že pracuje s operačním systémem Solaris, který tam skutečně je. QuickTransit obsahuje také potřebné části z projektu OpenSolaris. Takové jsou výhody volného šíření Solarisu, ke kterému se Sun Microsystems již před lety moudře rozhodl. Již existuje verze pro Linux/x86-64, nabízená od listopadu 2006. Ta je uplatnitelná tam, kde jsou Linuxové servery, založené na procesorech AMD64 či Intel 64. Komu by nestačil výkon těchto platforem, může si zvolit provozování SPARC/Solaris programů na kombinaci Linux nebo IA-64, kam patří i dvoujádrové Itanium 2 s 24 MiB cache třetí úrovně. Prodej byl zahájen před pár měsíci. Všechny tyto varianty vyžadují 64bitový procesor a operační systém Linux v 64bitovém režimu. Výrobce doporučuje Linux Red Hat AS 4 U3 nebo SLES 10. Každá spuštěná SPARC aplikace vyžaduje pro překlad 10 až 100 MB RAM paměti navíc. Lze spouštět 32 i 64bitové programy určené pro procesory s instrukční sadou SPARC V8, V8+ nebo V9, a to včetně podpory SIMD instrukční sady VIS. Počet vláken spouštěné aplikace je zachován také v novém prostředí. QuickTransit podporuje programy psané pro operační systémy Solaris 6 a vyšší, starší aplikace jsou

40

Patrik Veselík Je externím členem redakce časopisu Connect!.


podporovány jedině tehdy, když je lze provozovat je i na současných verzích Solarisu.

Výkon vyšší než s originálem? Výrobce se holedbá neuvěřitelnými výkony. Přestože se jedná o softwarový překlad, má se docílit vyššího výkonu, než jaký má dodávat procesor UltraSPARC IV+ na 1,5 GHz (tj. nejrychlejší model této rodiny), hovoří se o 110 %. V tomto porovnání to pak vypadá, že procesory SPARC nesnesou srovnání s tak výkonnými 64bitovými procesory, jakými jsou AMD Opteron či Intel Xeon. Firma Transitive pochopitelně nezařadila nové a skutečně konkurenceschopné procesory UltraSPARC T1 či SPARC64 VI. Nicméně lze-li výše uvedenou cifru brát vážně, znamená to dobře odvedenou práci společnosti Transitive.

um x86 může vrátit úder, je možnost provozu aplikace pro PC s Linuxem na POWER architektuře a operačním systému AIX. „IBM System p AVE“ – jak se aplikace jmenuje – se teprve vyvíjí; bude součástí všech serverů „IBM System p enterprise“ a očekává se v druhém pololetí 2007. Poslední nástroj se jmenuje „QuickTransit for Solaris/SPARC-to-Solaris/x86“. Poprvé byl veřejnosti představen 8. května 2007. Prozatím se jedná pouze o zprávu, beta verze aplikace má být k dispozici v červenci 2007, finální produkt je očekáván v září tohoto roku. Jak systém popsat? Program pro procesory SPARC a OS Solaris je spustitelný na počítačích PC také se Solarisem. Může jít o přechod ze starších počítačů rodiny SPARC na nové servery s procesory Core architektury (či později na čtyřjádrová CPU od AMD). Rovněž lze přejít od běžného serverového pojetí na virtuální servery, kde jeden či několik bude typu SPARC, ostatní typu PC – a vše přitom poběží na PC serveru. Poprvé se zde nemusejí překládat služby z jednoho operačního systému do druhého, program je psán pro Solaris a také na

QuickTransit umožňuje provozovat aplikace na jiném procesoru i operačním systému Poněkud stranou pozornosti leží „QuickTransit for Power-to-x86“. To je překlad instrukcí spouštěné aplikace do instrukcí běžných počítačů s Linuxem; výjimečně nejde o Solaris programy na SPARC procesorech, ale o programy pro procesor PowerPC. Nejpoužívanější (a přesto nejméně známé) použití technologie QuickTransit je překlad PowerPC aplikací pro procesory Intel v nových počítačích firmy Apple Computer s operačním systémem Mac OS X 10.4 a novější. Již více než 5 milionů uživatelů využívá jejich služeb, aniž to tuší.

Volnost platforem QuickTransit obrací vše „vzhůru nohama“. Aplikace pro nejpoužívanější x86 platformu může pracovat jen na x86 a na IA-64, zatímco program pro SPARC se může rozběhnout skoro všude. První příležitost, kdy impéri-

Solarisu běží. Jsou přece jen chvíle, kdy se obtížně hledají alternativy (viz souborový systém ZFS, který je nyní součástí Solarisu). Řada QuickTransit ale vyhrála cenu „The European“ ICT Prize pro rok 2007. Na první pohled se může zdát, že Transitive „pohřbívá procesory zaživa“ a honem pomáhá přejít s aplikacemi na jiné platformy. Ale těžko lze „pohřbívat procesory v plné síle, které chytly druhou mízu“. Spíš to může být příznivý impuls pro investory při výběru platformy. Programy pro SPARC procesory a operační systém Solaris tak mohou být více populární. Bez ohledu na stav SPARC procesorů a počítačů s nimi lze přejít tam, kde to bude nejvýhodnější, ať se jedná o procesory AMD64 (Opteron a spol.), Intel 64 (Xeon atd.) či IA-64 (Itanium 2). Konsolidace serverů různých platforem je zkrátka díky Transitive snadnější a levnější. ❑

recenze

VŠE V JEDNOM Recenze telefonu Nokia N95

Nokia uvedla na trh nejočekávanější mobil letošního roku – model N95. V jednom přístroji získáte kromě telefonu také hudební přehrávač, fotoaparát, videokameru či navigaci.

P

okud se na Nokii N95 podíváte jako na telefon, spatříte poněkud přerostlý přístroj s rozměry 99 × 53 × 21 mm a hmotností 120 g. Klávesnice se objeví teprve poté, co odsunete horní část displeje směrem nahoru. Pokud ji odsunete směrem dolů, objeví se úzký pruh s několika multimediálními tlačítky. Přehnané rozměry částečně ospravedlňuje fakt, že Nokia N95 podporuje všechna čtyři pásma sítě GSM, dále pak Wi-Fi, UMTS i s rozšířením HSDPA, a samozřejmě také GPRS a EDGE. Obrovský displej zobrazuje na rozlišení 240 × 320 bodů plných 16 milionů barev. Uživatelské prostředí telefonu tvoří operační systém Symbian S60 ve třetí verzi. Nové programy budete moci instalovat do vnitřní paměti s kapacitou 160 MB, kterou navíc snadno rozšíříte paměťovými kartami microSD. Aby se vám data do paměti lépe nahrávala, máte k dispozici infraport, Bluetooth i USB konektor, přičemž Nokia podporuje USB Mass Storage.

Pět milionů v kapse Vzhledem k podpoře paměťových karet nebudete mít problém nosit s sebou dostatečné množství dalších dat nebo hudby. Telefon má také vestavěno FM rádio, což může poněkud znepříjemnit život firemním zákazníkům, kteří musí platit rozhlasový poplatek za každý jednotlivý přijímač. Od vestavěného fotoaparátu s pětimagepixelovým rozlišením jsme si slibovali hodně. Také objektiv označený logem Carl Zeiss přispěl k velkým očekáváním. Výsledek se ale nedostavil. Fotografie jsou sice barevně zdařilé, kvůli použití velké JPEG komprese však v praxi téměř nepoužitelné. Pětimegapixelová fotografie zabírá ve výsledku několik desítek kilobajtů, což se samozřejmě negativně projeví ve ztrátě jakýchkoli detailů. Prvenství v kvalitě fotografií z mobilu tak i nadále zůstává Sony Ericssonu K800i,

AUTOR

Tomáš Doseděl Vystudoval Fakultu informačních technologií VUT v Brně. V současnosti působí jako šéfredaktor ve společnosti Computer Press.

uvidíme, zda výrobce tento neduh neodstraní v některé z dalších verzí firmwaru. Při focení máte k dispozici pouze diodový blesk. Pochvalu zaslouží vestavěná videokamera, která umí natáčet klipy v rozlišení 640 × 480 bodů s frekvencí 30 snímků za sekundu.

Ideální pro práci I když by se z předchozích odstavců mohlo zdát, že Nokia N95 je výlučně multimediální telefon, jedná se o přístroj určený především pro práci. O tom svědčí jak podpora všemožných hlasových i datových sítí, Wi-Fi nevyjímaje, tak použitý operační systém Symbian. S tím souvisí nejen možnost doinstalovat nové aplikace, ale i standardně kvalitní nabídka organizačních funkcí. Kromě opakovaného budíku (u symbianových Nokií novinka) jistě využijete graficky povedený kalendář. Na události můžete pohlížet v měsíčním náhledu (dny s naplánovanou událostí označeny), týdenním pohledu (události reprezentovány různě dlouhými barevnými pruhy) nebo jako na denní seznam událostí. Kalendář lze samozřejmě synchronizovat s Outlookem. Ve standardní nabídce najdete poměrně zdařilou aplikaci pro práci s e-maily, která podporuje protokoly POP3, IMAP4 a SMTP. Pro úsporu poplatků za datové přenosy dokáže Nokia stahovat jen hlavičky e-mailů, případně jen několik prvních bajtů zprávy. Za zmínku stojí kancelářský balík QuickOffice, díky kterému budete moci prohlížet soubory určené původně pro Microsoft Office, konkrétně Word, Excel a PowerPoint. Bohužel nelze tyto soubory upravovat. Další aplikace umožní prohlížet soubory PDF. Při prohlížení všech výše zmíněných souborů můžete otočit displej na šířku, což je pro čtení rozhodně pohodlnější. Nabídku pracovních funkcí zdařile doplňuje internetový prohlížeč. Jedná se o stejnou aplikaci, kterou jste mohli vidět u jiných nedávno představených Nokií. Prohlížeč si poradí i s graficky náročnějšími stránkami, které upraví na menší rozlišení displeje.

nikde oficiálně neuvádí použitý typ přijímače, podle všeho se ale jedná o Sirf Star II. Jednoduchá aplikace v telefonu dokáže určit vaši aktuální polohu a ukázat směr a vzdálenost k nastavenému cíli. V nabídce najdete také aplikaci Smart2Go, která dokáže ukazovat cestu v mapě. Mapové podklady si průběžně stahuje, takže jsou na jednu stranu stále aktuální, za to se ale musíte připravit na poplatky operátorovi za přenesená data. To nejsou jediné peníze, které za navigování vydáte. Chcete-li totiž plnohodnotnou navigaci včetně hlasových povelů, budete muset platit licenční poplatek. Nokia N95 je první mobil, který v sobě kombinuje tolik zařízení. Při troše dobré vůle můžete v N95 vidět telefon, kapesní počítač, navigaci, hudební a video přehrávač, digitální kameru a fotoaparát. Zkušenosti například s fotoaparátem ale ukazují, že koupě samostatných zařízení zatím přece jen zajistí vyšší kvalitu. Otázka je, jestli o kvalitní fotky z digitální zrcadlovky opravdu stojíte, nebo vám stačí méně kvalitní fotky z kompaktní Nokie N95, kvůli kterým nebudete muset neustále vláčet několika kilový fotoaparát se stativem a taškou plnou objektivů. ❑

Vede tudy cesta? Poslední důležitou funkcí je přítomnost přijímače navigačního signálu GPS. Nokia sice


41

internet

Michal Till

Microsoft opět v boji o web Microsoft, kterému byl v posledních letech vytýkán laxní přístup ke klientským webovým technologiím, aplikacím a souvisejícím produktům, přestavil zbraň pro nadcházející roky v podobě nové platformy Microsoft Silverlight. Některé ohlasy ji titulují pojmem „Flash killer“, nicméně vývojáři tuší, že díky stavu, v jakém webové technologie jsou, může každý nový nápad znamenat obrat v dosud používaných technikách a nástrojích. Co Silverlight představuje konkrétně? V ideálním případě kombinaci toho nejlepšího z AJAXu, Flashe a ActiveX – ale to samozřejmě posoudí až programátoři. Z prvního můžeme jmenovat deklarovanou nezávislost na platformě a prohlížeči, zatím jsou k dispozici plug-iny pro Explorer a Firefox na Windows a pro Safari na Macu. S AJAXem může SL jak soupeřit, tak spolupracovat, neboť programátor má k dispozici dobré nástroje na práci se stránkou jako takovou. Na Flash Microsoft útočí namátkou třeba možností

streamování videa v HD kvalitě a možná i vhodností k programování skutečných, nejen grafických, aplikací. Třetí plus je možnost (ale v žádném případě nutnost) použít pro klientské webové programování robustní vývojové nástroje Microsoftu, ať již Visual Studio nebo ty z rodiny Expression. Mezi další pozitiva patří možnost programovat v mnoha dynamických jazycích počínaje JavaScriptem a Ruby či Pythonem konče. Silverlight je zatím ve stádiu betaverze, nicméně na internetu jsou již některé demonstrace možností. Mezi nejzajímavější patří aplikace Silverlight Airlines, či implementace šachů, kdy mezi sebou mohou hrát algoritmy napsané v jednotlivých jazycích. Mimo jiné fakt, že .NETový v demu propočítá takřka doslova tisíckrát více pozic za sekundu než JavaScriptový připomíná další plus – rychlost, se kterou AJAXoví programátoři věčně bojují. www.microsoft.com/silverlight

Jaké jsou nejděravější aplikace? Na stránkách serveru NetSecurity se můžete dočíst o výsledcích studie společnosti Cenzic, která sumarizuje skuliny webových aplikací za první čtvrtletí tohoto roku. Celkový počet 1 561 analyzovaných chyb dal vzniknout žebříčku nejčastěji zneužívaných děr, které se objevily v programech jako Adobe Acrobat Reader, Google Desktop, IBM Websphere, Lotus Domino Web Access, PHP apod. Vedle toho zde najdete ještě další pětici typů zranitelností. Z výsledků pak dále vyplývá, že více než deset procent webových aplikací kvůli nezabezpečené komunikaci vystavuje uživatelova data všanc útočníkům. Zhruba 70 % zneužití s vkládáním útočníkova kódu je pak založeno na útoku XSS, slabých 20 % se vydává cestou SQL injection. www.net-security.org/secworld.php?id=5184

Hotmail 2.0 Live Mail z dílny Microsoftu je k dispozici pro běžné uživatele. Po měsících provozu, kdy službu šlo používat neoficiálně a s jistými technickými „triky“, si může účet na novém AJAXovém webmailu založit každý, pochopitelně zdarma. K dispozici jsou 2 GB prostoru. Microsoft razí svůj typický grafický styl, který kopíruje ostatní produkty, a Live Mail celkově vyhovuje

Michal Till

Jazyk do XML Notepad 2007 je opensource Známý, jednoduchý, ale užitečný program na editaci XML dokumentů je nově distribuován včetně zdrojových kódů. Mezi hlavní funkce softwaru patří možnost psát XML přímo jako strukturu v jednoduchém GUI, převod pomocí XSL transformací či vizuální porovnávání dvou XML souborů. Samozřejmostí je validace oproti schématu, výborná je rychlost práce s velkými soubory (několik MB za sekundu) a vhod přijde i funkce „Intellisense či Search&Replace“ na základě XPath výrazů. Zkrátka všechno to, co má jednoduchý textový editor, nyní akorát pro XML. www.codeplex.com/xmlnotepad

42


zejména uživatelům Outlooku. Působí jako jistý protiklad proti „sparťanskému“ a možná i programátorskému pojetí GMailu. Bude zajímavé sledovat, kdy Microsoft přijde s konektorem do své vlajkové lodi pro osobní agendu, tedy do již zmíněného Outlooku. Tento krok je přitom jasný a naprosto logický – opak by nutil uživatele si vybrat právě jednu z těchto dvou služeb,

Google Sitemaps jsou oficiálním standardem Z XML formátu pro popis struktury a změn webu, který byl znám pod názvem „Google Sitemaps“, se vyvinul plnohodnotný standard – Sitemaps. Formátu se dostalo podpory od minimálně tří velkých hráčů jako Google, Yahoo, Microsoft, nedávno oznámil podporu i server Ask.com. Oficiální web je k dispozici na adrese Sitemaps.org, kde lze najít jak kompletní popis, tak sekci s nejčastěji kladenými otázkami. Z původního nápadu Googlu a záležitosti bloggerů či WWW fanoušků se tak stává nástroj vhodný pro každý web. www.sitemaps.org

JSLT: XSLT nápady do JavaScriptu Se vzrůstající popularitou AJAXových aplikací je zajímavé sledovat, jak různé robustní „X technologie“ adoptují nová prostředí, přičemž písmena X jsou nahrazována J.

kdežto konektor by dovolil využívat obě – placeného desktopového klienta a webové rozhraní, patrně s automatickou synchronizací. Jednotliví uživatelé či nejmenší firmy by tak měli k dispozici řešení pro jejich účely srovnatelné s MS Exchange. I tato výhoda by hrála Micorosftu do karet při souboji s GMailem. mail.live.com

K XML pak bývá (částečně mylně) přirovnáván JSON, nad JSONem programátoři vytvořili JSON-RPC a čas od času některý webový vývojář zkusí jít ještě o kus dále – v tomto případě se jedná o zajímavou JavaScriptovou alternativu k XSLT. Vše funguje podobně a o poznání jednodušeji, výhodou je možnost nenáročného běhu v prohlížeči. www.rikarends.com/jslt-alternative-to-xslt

LinkSleeve – proti spamu pomocí XML-RPC XML technologie nemusí být nutně jen doménou aplikací vyšší úrovně. Takový LinkSleeve nabízí službu na bázi XML-RPC, která přijde vhod každému bloggerovi, či majiteli firemních stránek s jakýmkoliv formulářem. Služba totiž umí přes XML dotaz zkontrolovat v příspěvku obsažené odkazy a vyhodnotit, zda se nejedná o komentářový spam, který tolik trápí provozovatele webů. www.linksleeve.org

Revoluce na komunitním serveru Digg.com Jednou z nejvýznamnějších událostí na mezinárodní internetové scéně za poslední měsíce je bezesporu kontroverzní masová „revoluce“, respektive revolta čtenářů serveru Digg.com. O zajímavosti celé aféry svědčí i fakt, že o ní informovala i některá česká média. Co se tedy vlastně stalo? Digg je server, agregující zajímavé články z celého internetu, podle aktuální čtenářské oblíbenosti. Pravidly jsou zakázaná témata jako odkazy na ilegální software, rasově nesnášenlivé články, pornografie atd., nicméně celkově Digg funguje jako velmi liberální zdroj informací o prakticky čemkoliv a firmě nepůsobí diggování nechtěného obsahu žádnou velkou obtíž. Pokojný chod se ale změnil v „revoluční boje“ dne 1. května. Rozbuškou se stal kód 09-f9-11-02-9d-74-e3-5b-d8-4156-c5-63-56-88-c0, představující základ „tajného“ algoritmu na dekódování HD-DVD obsahu. Původní článek (mimochodem dnes již málokdo ví, který

to byl) obsahoval totiž popis zmíněného algoritmu a návod, jak přehrávání implementovat na Linuxu. Strhl se boj mezi Diggem a jeho uživateli, který můžeme jednoduše nazvat cenzurním fiaskem. Firma začala odstraňovat všechny odkazy na článek (později články, jak se na serverech objevily další) a mazat účty uživatelům, kteří je diggovali. To ovšem vyústilo v masivní odvetu uživatelů, kteří svými hlasy na titulní stranu dostali články o tom, jak firma brání svobodě slova a přijímá úplatky od HD-DVD Group. V jednu chvíli celá horní polovina titulní strany obsahovala odkazy na daný algoritmus a počet hlasů na tyto články překonal všechny dosavadní rekordy. Další cenzura byla neudržitelná a firma se odhodlala k opačnému stanovisku. Sám zakladatel serveru napsal, že uživatelé si přejí Digg svobodný, a to i za cenu krachu pod tíhou prohraných soudních pří. www.forbes.com/technology/2007/05/02/ digital-rights-management-tech-cx_ag_0502digg.html

Normalizační okénko Budoucí generace mobilních sítí Do přípravy specifikací pro příští generaci mobilních sítí 4G zasahuje celá řada normalizačních organizací a průmyslových skupin. Není divu, protože by se v budoucnu měly zužitkovat zkušenosti z různých typů přenosových i přístupových sítí tak, aby v důsledku měli uživatelé možnost využívat celou plejádu koncových zařízení a spolehnout se na síť, že jim zprostředkuje nejlepší možnost připojení a komunikace přes síť.

Návod na HTML e-mail, verze 2007 Mnoho organizací a firem rozesílá svým klientům i běžným zájemcům informační bulletiny elektronickou poštou. A jak tomu bývá u e-mailu, vždy se naskýtá otázka, zda použít prostý text anebo HTML. V dnešní době, kdy se počet různých e-mailových klientů rozrůstá o mnohá webová řešení, není jednoduché komponovat HTML mail tak, aby byl dobře čitelný v maximálním počtu klientů. Na serveru CampaignMonitor.com, který mimochodem poskytuje výborné služby pro posílání firemních newsletterů, si můžete přečíst pro letošní rok aktualizovaný přehled podpory CSS v jednotlivých klientech. Letošní verze se zaměřuje na Outlook 2007, změny v Yahoo Mailu a Microsoft Live Mailu, verze z minulého roku pokrývá i další produkty. www.campaignmonitor.com/ blog/archives/2007/04/ a_guide_to_css_support_in_emai_2.html

Rita Pužmanová

v oblasti bezdrátové a stále častěji i mobilní komunikace značné slovo. Proto se k technických vlastnostem a řešením vyjadřuje hned několik pracovních (případně poradních) skupin: IEEE 802.11 Wireless Local Area Networks, IEEE 802.15 Wireless Personal Area Networks, IEEE 802.16 Broadband Wireless Access, IEEE 802.18 Radio Regulatory Technical Advisory Group, IEEE 802.20 Mobile Broadband Wireless Access, IEEE 802.21 Media Independent Handover Services. Letošní projekt P802.16m Gigabit WiMAX je jedním z krůčků k IMT-Advanced.

ITU ve spolupráci s IEEE a 3GPP

Vlastnosti IMT-Advanced

Oficiálně se 4G dnes označuje jako IMT-Advanced (International Mobile Telecommunications) s ohledem na IMT2000, jehož produktem byly specifikace sítí 3G. Hlavní diskuse na téma mezinárodní technické specifikace mobilní sítě příští generace přísluší ITU-R, radiokomunikačnímu sektoru Mezinárodní telekomunikační unie. Vstupy dodávají především organizace jako 3GPP (3rd Generation Partnership Project) a IEEE. Právě IEEE má v rámci příprav IMTAdvanced díky svým výrazným aktivitám

Lepší výkonnost než stávající IMT-2000, zejména s ohledem na spektrální účinnost a maximální datovou rychlost, minimalizaci letence nutnou pro aplikace citlivé na zpoždění, velikost buňky a výkonnost na jejím okraji. Podpora různých prostředí a lepší výkonnost v případě nízkých požadavků na mobilitu: Stacionární – pevné/málo pohyblivé terminály Chodec – do rychlosti 3 km/h Auto – do rychlosti 120 km/h

Rychlostní vozidlo – superrychlé vlaky do rychlosti 350 km/h. Snadná konektivita na úrovni aplikací s ostatními mobilními sítěmi a dalšími IP sítěmi (globální roaming) Vylepšené služby jak pro komunikaci jednotlivce (unicast), tak skupin (broadcast/ multicast). Síťová podpora pro množství rádiových rozhraní s bezproblémovým předáváním uživatele na úrovni mobilních sítí i hot spots. Podpora multimediálních služeb jakými jsou VoIP, video, plnohodnotné webové prohlížení a e-mail, instant messaging, stahování a upload souborů bez omezení jejich velikosti, streaming video i audio, IP multicast, služby založené na lokalizaci uživatele, VPN, on-line hry. Trvalé připojení s ohledem na minimalizaci potřeby napájení z baterie. Předpokládá se využití všech moderních modulačních a přístupových metod (např. OFDMA, CDMA), v režimu TDD i FDD, se škálovatelnou šířkou pásma (počáteční šířka kanálu 5-20 MHz). Rovněž se uplatní nové chytré anténní systémy (MIMO, Multiple Input Multiple Output) a topologie typu mesh a multihop (vedle single hop a peer-to-peer).


43

technologie

PERFORMANCE MANAGEMENT Cesta k úspěšnému řízení výkonnosti Řízení výkonnosti, či spíše jeho nedostatek, je každodenním tématem diskusí v mnoha podnicích. S tím, jak se snižuje růst mnoha trhů a konkurence krátí obchodní marže, organizace hledají cesty, jak si zachovat či zvýšit svou ziskovost.

A

by mohly firmy úspěšně čelit výzvám trhu, věnují spoustu času a svých zdrojů na procesy plánování. Podle různých odborných zdrojů stráví typická organizace 4,7 měsíce v roce nad strategickým plánováním a 4,1 měsíce přípravou každoročního rozpočtu. Náklady na toto úsilí a čas strávený řízením těchto procesů jsou obrovské. Přitom jsou vydávány zcela zbytečně: 56 % finančních ukazatelů užitých pro účely taktických plánů není nijak monitorováno a 60 % organizací neintegruje své rozpočty s existující strategií.

Nejlepší principy v oblasti řízení výkonnosti

AUTOR

Úspěšné organizace volí jiný způsob, jak implementovat a monitorovat strategie. Součástí jejich procesů řízení výkonnosti je plánování, rozpočtování, prognózování a manažerský reporting. Úspěšné a výkonné organizace sdílejí následující principy:

44

Pascal Strnad Regionální viceprezident pro Performance Management ve společnosti Infor.


Strategie je hnací silou. Řízení výkonnosti začíná a končí u podnikové strategie. To, kam jdeme a jak se tam chceme dostat, jsou klíčové otázky, které musí podnikový management zodpovědět ještě předtím, než se začne hovořit o rozpočtu. To vyžaduje prostředí otevřené spolupráce, kde senior manažeři poskytnou jasnou definici fungování businessu v souvislosti se stanovenými hlavními cíli a způsoby k jejich dosažení. Management je o „příčinách a následcích“. Nejnovější poznatky, které stojí za známými manažerskými metodologiemi jako např. Balanced Scorecards, doporučují propojit aktivity (příčina) se strategickými cíli (následek). Zde musí management určit, kterých aktivit je potřeba k dosažení požadovaného následku v daném obchodním prostředí. Management by měl monitorovat kvalitu implementace té které aktivity a to, jaký má vliv na strategický cíl. Jasně stanovené zodpovědnosti. K úspěšné implementaci aktivit, které zajišťují dosažení strategických cílů, je třeba určit zodpovědnost jednotlivců za tuto implementaci. Musí mít kompetence a auto-

rizaci k řízení zdrojů v souladu s implementovanou a odsouhlasenou taktikou. Využití technologií. Výkonné organizace mají typicky jeden systém k rozvoji, komunikování a monitorování plánů, který je nasazen celopodnikově. Každý manažer může vidět svou oblast zodpovědnosti a to, jak ovlivňuje celkový úspěch. Tyto systémy spouštějí různé procesy plánování, rozpočtování, prognózování a analýz v reakci na skutečné události a nikoliv na datum v kalendáři. Poskytují koncovým uživatelům automatizovaná upozornění v případě, kdy je výkon mimo přednastavené tolerance nebo predikce. Umožňují provádět sofistikované uživatelské analýzy, které pomáhají určit příčinu odchylky a rozhodovat se „za pochodu“.

Úloha technologií Kvalitního řízení výkonnosti se nedosahuje nákupem technologií, i přes to, co všechno mohou softwaroví výrobci říkat. K efektivnímu řízení výkonnosti prostřednictvím vývoje, komunikování a monitorování strategie musejí organizace využívat manažerských byznys principů – a technologických systémů v roli podpůrných nástrojů. Úlohou technologií je podporovat management. Bohužel je často opak pravdou. Jedním z důvodů je to, že procesy obsažené v oblasti řízení výkonnosti (plánování, rozpočtování, prognózování,

systémy

reportování a analýzy) jsou často implementovány jako odlišné systémy využívající jiné technologie a udržované jinými odděleními. Důsledkem toho jsou zdlouhavé manuální procesy snažící se překlenout odlišné technologie a data, což pak dovoluje pohlížet na výkonnost ne jediným, ale mnoha různými pohledy, z nichž většina je naprosto odtržená od dané strategie.

Co je Performance Management Performance Management (PM) představuje komplexní přístup ke strategickému řízení společnosti. Jeho součástí je jak část technologická, tak i část věcně obsahová. Ta popisuje podnikové procesy, jako je např. plánování, rozpočtování, prognózování apod. Strategický management vychází z toho, že je definována strategická mapa organizace, aktivity, úkoly, strategické cíle atd. Na rozdíl od Business Intelligence (BI), která je pouze technologií a která je ve skutečnosti podmnožinou PM.

Překročit mezeru mezi strategií a realizací vyžaduje následující: Plánovat a měřit ty věci, které přinášejí úspěch Sladit manažerské procesy plánování, rozpočtování, prognózování a manažerského reportování se strategickými cíli a podpůrnými aktivitami Platit lidi za to, že dělají správné věci Využívat technologie k automatizaci a podpoře výše zmíněných bodů. Tradiční systémy založené na porovnávání rozpočtů s aktuálními reporty jsou pro řízení výkonnosti žalostně neadekvátní. Tyto systémy fungují spíše jako zpětné zrcátko, které vám sděluje výsledky toho, co se stalo v minulosti, ale nedává žádné informace o tom, co by se mělo stát, abyste dosáhli svých strategických cílů v budoucnosti. Systémy postavené na účetních principech jsou v nejlepším případě schopny trochu pomoci s navigací vašeho byznysu. V horším případě poskytnout pochybné informace na hony vzdálené reálné situaci a vy se dostanete do neřešitelného problému.

Příklad implementace v Pankl Group Firma Pankl Racing System AG, jejíž ústředí sídlí v Rakousku, vyvíjí, vyrábí a distribuuje systémy pro motory, systémy pro řízení, a komponenty pro závodní vozy a letecké systémy. Na těchto specifických trzích je společnost úspěšná díky svým lehčeným komponentám vyráběným z vysoce kvalitních a inovativních materiálů navržených pro extrémní mechanické podmínky. Hlavními trhy pro Pankl jsou Evropa, Spojené státy a Asie, které jsou podporovány globální dodavatelskou infrastrukturou, která sídlí v Rakousku, Velké Británii, na Slovensku, v USA a Japonsku. Především z důvodu neustálého růstu a rozvoje společnost hledala flexibilní a komplexní řešení schopné automatizovat původně manuální procesy, odstranit

nepřesnosti v datech a poskytovat managementu firmy finanční informace v reálném čase. Společnost Pankl nakonec zvolila řešení PM od Infor, a to konkrétně Infor Performance Management Planning a Infor Performance Management Consolidation. Řešení umožňuje reportovat prodejní transakce daného produktu dle zákazníka, vizualizovat vliv podnikových rozhodnutí na obrat, zisk a další podnikové údaje. Vedle toho mohou být v rámci řešení Infor kalkulovány a reportovány ukazatele výrobních výkonů a výkonnosti personálu. K nejdůležitějším přínosům řešení patří vyšší kvalita a konzistentnost dat a úspory dosažené standardizací účetních postupů a automatizací procesů, jako je například konsolidace pohledávek.

Současné systémy typu Performance Management zobrazují strategii jako schéma „následků a příčin“. Varují v případě, že požadované akce nebyly realizovány nebo že s velikou pravděpodobností nemohou napomoci dosažení strategických cílů. Ačkoliv tyto systémy stále poskytují pohled postavený na účetním vidění světa, který nezbytný pro finanční údaje, zaměřují se na řízení aktivit a zdrojů nezbytných k implementaci a dosažení strategického úspěchu.

Výhody moderních PM řešení Manažerské systémy využívané v současnosti různými organizacemi se od progresivních principů Corporate nebo Business Perfomance Management (CPM nebo BPM, což jsou dva různé výrazy pro stejnou věc), dosti liší. Co by tedy moderní PM řešení mělo zajišťovat? Zaprvé, efektivní systémy pro Performance Management se zaměřují na vývoj, komunikaci a monitoring stanovené strategie. To znamená, že metriky užívané v rámci rozpočtů jsou přímo odvozeny ze strategického plánu a typicky budou obsahovat jak finanční, tak nefinanční metriky. Ve skutečnosti bude nefinančních metrik více než těch finančních, protože finanční cíle jsou obecně výsledkem aktivit. A právě tyto aktivity potřebují být plánovány a monitorovány. Většina těchto metrik obvykle nebývá ani zanesena do hlavní účetní knihy. A zadruhé, efektivní systémy poskytují konzistentní operace a každý proces – plánování, rozpočtování, prognózování a reportování – je stoprocentně integrován s jinými procesy. Což znamená, že rozpočty mohou být vytvořeny na základě prognóz a porovnávány se skutečnými výsledky v rámci jednoho systému. To umožňuje realizovat plánování a rozpočtování jako kontinuální proces, který může být spuštěn na základě definované události – tedy tehdy, kdy je potřeba, a nikoliv podle data v kalendáři. ❑ inzerce ▼

technologie

LONGHORN OPĚT BLÍŽE

Na co se můžeme těšit v nové verzi Windows Serveru? Od uvolnění veřejně dostupné verze Beta 3 serveru s kódovým jménem Longhorn již pár týdnů uběhlo, je tedy čas hovořit o tom, co nového lze od něj očekávat. Velkých novinek a zlepšení je mnoho. Účelem tohoto článku je shrnout ty nejvýznamnější.

J

elikož vychází Windows Vista i server Longhorn ze stejného programového základu, změn celkově je opravdu celá řada. Proto šetřeme místem a rovnou se věnujme některým z nich.

Server Core V průběhu instalace serveru máte na výběr instalaci Server Core, což je „ořezaná“ verze operačního systému určená pro specifické služby, které má poskytovat. Instalace trvá krátkou dobu a to co se vám po dokončení instalace zobrazí je shell. Klasické GUI vůbec není nainstalováno, nenajdete zde tedy ani Explorer či internetový prohlížeč. Instaluje se jen jakési „jádro“ serveru, což má za následek i nižší hardwarové nároky na server jako takový. Instalace samotná zabere na disku jen okolo 1 GB místa. Použití této instalační možnosti má smysl pro jednoúčelové serverové úkoly, kde není třeba grafického rozhraní a plné podpory aplikačního rozhraní. Na takovém serveru běží jen nezbytně nutné služby a snižuje se prostor pro možné útoky na slabiny OS, zjednodušuje se správa a významně klesá i počet aktualizací, které je třeba instalovat. Navíc má tento mód serveru podporu správy pomocí zásad skupinové politiky, terminal services (cmd řádek) a dalších mechanismů. Samotnou instalaci serveru, i s rolemi, lze pomocí odpovědního souboru provést automaticky. Server Core je určen pro běh těchto služeb: Dynamic Host Configuration Protocol (DHCP) server, Domain Name System (DNS) server, File server, Domain controller, AD LDS (Lightweight Active Directory Services), Media Services, Print a Windows Virtualization Service. Doplňkově podporuje i další technologie jako Failover Clustering a jiné.

Správa serveru Správě systému a poskytování informací pro vyhodnocení zdraví a událostí je věnována čím dál tím větší pozornost. Windows Vista a Windows server Longhorn sbírají a vyhodnocují daleko větší množství událostí než doposud. Výchozím místem pro správu a konfiguraci serveru Longhorn je Server Manager, který agreguje informace ze systémových a dalších logů, zjišťuje stav služeb a jednotlivé závislosti mezi nimi. Server Manager jako takový má za sebou dlouhou historii a také prošel značnými změnami. V serveru Longhorn se využívají tzv. SDM definice (Microsoft System Definition Model, definice v rámci iniciativy Dynamic Systems Initiative (DSI) pro poskytnutí komplexní informace o stavu té které služby či funkcionality. Technologii SDM (a inovaci SML) používá i Windows Vista a produkty rodiny System Center. „Sledování spolehlivosti a výkonu“ je následovník konzole „Sledování výkonu“ ze

starších edic Windows serveru. Tato konzola navíc, kromě funkcionality sledování zátěže serveru a sběru informací do logu, poskytuje i okamžitý přehled, které procesy potřebují kolik prostředků v danou chvíli. Konzola dále agreguje události, které se děly v průběhu času a které ovlivnily výkon a stabilitu systému a ty navíc rozděluje do skupin – hardwarové problémy, aplikační problémy, chyby systému.

WinRM (Windows Remote Management) Jde o Microsoft implementaci management protokolu postaveného na standardu WS a protokolu SOAP. Jako transportní protokol je použit Http/Http, což jej předurčuje pro správu serverů v prostředí mimo interní síť či v prostředí s restrikcemi na síťový provoz. Microsoft spolupracuje s významnými výrobci hardwaru a tento mechanismus tak lze použít i pro správu a diagnostiku vypnutého serveru při použití speciálního hardwaru tzv. BMC (baseboard management controller) a počítá se také s podporou správy non-Windows operačních systémů. Zbývá zmínit, že lze doinstalovat i do Windows serveru 2003 R2 (volitelná komponenta operačního systému).

AUTOR

Roman Černovský

46

Technický konzultant společnosti Microsoft pro klienty ze státní správy. Předtím pracoval na pozicích administrátora a designéra IT prostředí.


Windows Server Virtualization bude standardní komponenta serveru nyní označovaného kódovým jménem Longhorn.

technologie

Možná si řeknete, to zní zajímavě, ale co s tím? Pomocí připojení na rozhraní (listener) lze vzdáleně spouštět příkazy, skripty, nástroje pro správu či třeba příkazový řádek. Více napoví níže uvedené příklady. I když je komponenta standardně instalovaná, není konfigurovaná. Je třeba pomocí utility winrm.exe vytvořit a případně konfigurovat tzv. listener. Pokud si vystačíte se standardním nastavením, tedy listener na všech IP adresách a portu 80, stačí tento příkaz: winrm.exe quickconfig. Pro konfiguraci https je navíc třeba serverový certifikát. Nakonec je ještě nutné ve Windows firewallu povolit inbound pravidlo „Windows Remote Management (HTTP-In)“. Na vzdálený winRM listener se lze připojit pomocí utility winrs.exe (Windows Remote Shell) a spouštět požadované procesy či dávkové soubory. Jednoduché příklady osvětlí použití: winrs winrs winrs winrs winrs winrs winrs

instancí operačních systemů s prakticky přímým přístupem k prostředkům fyzického serveru. Bez zajímavosti jistě není i spolupráce se společností Novell na vzájemné podpoře virtualizovaného prostředí. Bude tak nabízena například podpora pro linuxové virtualizované servery. Další možnosti budou známy v průběhu času. Hlavní přednosti Windows Server Virtualization: Podpora 64bit host operačních systémů Až 8 CPU v hostovaném operačním systému Live migration – přesun hostovaného serveru za běhu mezi fyzickými servery Dynamické (hot-add) přidávání prostředků jako RAM, CPU, HDD Snadná migrace fyzických serveru na virtuální Podpora Linuxu v hostovaném serveru Offline manipulace s vhd soubory

-r:https://myserver.com command -r:http://169.51.2.101:80 -unencrypted command -r:https://[::FFFF:129.144.52.38] command -r:http://[1080:0:0:0:8:800:200C:417A]:80 command -r:https://myserver.com -t:600 -u:administrator -p:$%fgh7 ipconfig -r:myserver -env:PATH="%PATH%;c:\tools" -env:TEMP=d:\temp config.cmd -r:myserver netdom join myserver /domain:testdomain /userd:johns /password d:$%fgh789

Nakonec zmiňme Powershell, který ve výčtu možností pro správu zkrátka nemůže chybět, stejně jako vylepšený Prohlížeč událostí a další. Obě funkce rozhodně také stojí za bližší seznámení. Vzhledem k jejich rozsahu je ale tento stručný přehled mine.

Virtualizace V této oblasti měl Microsoft co dohánět a nový server bude mít naštěstí co nabídnout. Komponenta, či role serveru, označovaná jako Windows Server Virtualization, umožní použití virtualizace i pro nejnáročnější nasazení a je dalším krokem k dynamickému IT prostředí. Efektivní využití virtuální infrastruktury se přímo váže na možnost spravovat takové prostředí, spravovat virtuální stroje coby zdroje a mít detailní přehled o celkovém stavu takového prostředí, spolu s dalšími komponentami, jako např. diskové pole, síťová infrastruktura apod. Tyto oblasti pokrývá a doplňuje rodina produktů System Center, pro virtualizované prostředí pak připravovaný produkt System Center Virtual Machine Manager. Ukázku takového prostředí a správu můžete vidět například v 5 minutovém videu na adrese www.microsoft.com/Windowsserver/ longhorn/video/virtualization.wvx Windows Server Virtualization je postavená na technologii Hypervisor. Windows Hypervisor je tenká softwarová vrstva mezi hardwarem a běžícími instancemi operačních systémů. Umožní paralelní běh několika (omezení jen možnostmi hardwaru)

To nejlepší nakonec. Windows Server Virtualization bude standardní komponenta serveru Longhorn a bude ji možné provozovat i na serveru CORE.

NAP – Network Access Protection NAP je nová technologie umožňující kontrolovat přístup do vaší interní sítě na základě pravidel, která musí počítač žádající přístup splňovat. Na základě výsledku kontroly požadované konfigurace počítače je počítači poté umožněn neomezený přístup, přístup jen k určitým zdrojům či přístup odmítnut. Jde prakticky o nasazení síťové karantény, kterou možná znáte v souvislosti se vzdáleným přístupem a serverem ISA v rámci interní sítě. Společnost Microsoft v této oblasti spolupracuje se zhruba 50 předními výrobci síťových komponent na vzájemné podpoře technologií pro síťovou karanténu.

Terminal services gateway Terminal services gateway je serverová služba umožňující přístup k interním terminal serverům či publikovaným aplikacím při splnění určitých definovaných podmínek. Kombinuje se s Network Policy Serverem (nástupce IAS, používá i technologie NAP) pro vynucení požadovaných pravidel a bezpečnostních zásad. Lze tak vynutit např. ověření pomocí smart karty a po úspěšném ověření přesměrovat RDP provoz na klientem požadovaný interní server. Komunikace mezi terminal klientem a TS gateway službou probíhá pomocí HTTPS

(RDP over HTTPS) a je tedy vhodné tento server umístit do prostředí DMZ a do internetu publikovat jen port 443. Tento scénář lze navíc kombinovat se serverem ISA (publikace TSGW služby s ukončením SSL tunelu) či naším novým produktem Intelligent Application Gateway pro potřeby SSL-VPN.

Remote programs Remote programs dovoluje publikaci specifických aplikací instalovaných na Terminal Serveru. Uživatelům takto můžete nabízet jen aplikace, které jsou pro ně určeny, buď přímo pomocí ikony na počítači či v prostředí intranet/internet portálu postaveného na technologii Sharepoint. Po spuštění aplikace uživatel nepozná rozdíl oproti lokálně běžící aplikaci.

Active Directory Novinky v AD jsou například lepší možnosti auditování, Read Only Domain Controller, možnost restartu DC služeb bez restartu serveru, vylepšené certifikační služby, vylepšení spojené s Windows Vista. Tolik rychlý výčet několika nových vlastností. RODC – Read Only Domain Controller je zvláštní mód doménového řadiče (DC) pro umístění v „méně“ fyzicky zabezpečeném prostředí, například pobočkové síti společnosti. Tento doménový řadič je plnohodnotným DC, replikuje se na něj kompletní databáze Active Directory (AD) s výjimkou hesel uživatelských účtů. Hesla jsou po ověření uživatelů pouze držena v paměti cache. Při použití tohoto módu DC se dá zamezit off-line útoku na databázi AD a navíc lze definovat lokální správce takovýchto serverů, bez nutnosti přidělovat těmto správcům oprávnění v doméně AD!. Použití je tedy zejména pro pobočkové sítě, aplikace vyžadující běh na DC a zabezpečení databáze Active Directory v prostředí s malou fyzickou bezpečností. Již jen okrajově několik dalších vylepšení, které stojí za to: Clusterové služby. Nová konzole vás provede instalací clusteru s kontrolou všech náležitostí pro správnou konfiguraci, nabídne přehlednější správu. Vylepší se i spolupráce s diskovými subsystémy, nebudou se již například posílat SCSI reset funkce. IIS 7.0. Nová verze WEB serveru IIS nabízí instalaci jen těch komponent, které jsou potřebné pro běh aplikací na něm. Máte možnost instalovat a konfigurovat několik desítek komponent pro docílení specifické požadované konfigurace. Backup. Služba certifikačního úřadu (Certificate Authority). Podpora tzv.auto-enrollmentu x509 certifikátů i pro síťová zařízení jako přepínače, routery. Nový TCP/IP stack a SMB verze 2.0. ❑


47

technologie

Radware kupuje Covelight Systems Společnost Radware kupuje za 16 miliónů dolarů výrobce specializovaných síťových zařízení, firmu Covelight Systems. Radware plánuje její produkty propojit se specializovaným analytickým softwarem, který obsahuje vlastní zabudovanou business logiku a dokáže analyzovat schopnost sítě reagovat na rizika a nové příležitosti v síti.

J.K.R chystá transformaci Softwarová společnost J.K.R., výrobce ERP systému Byznys Win, dosáhla v minulém roce obratu ve výši 80,2 milionu korun, což je o 29 % více v porovnání s rokem 2005. Společnost navíc oslavila jubilejní počet prodaných licencí systému Byznys Win, který v dubnu překročil hranici 1 000 kusů. Do budoucnosti J.K.R. plánuje obrat přes 100 mil. korun ročně a transformaci firmy na akciovou společnost.

Procesor Power6 láme rekordy Společnost IBM uvedla na trh dle svých slov nejrychlejší mikroprocesor, jaký byl dosud vyroben, a následně server, který množství inovací tohoto čipu využívá. Dvoujádrový procesor Power6 s taktem 4,7 GHz nabízí dvojnásobnou rychlost oproti předchozí generaci Power5, a přitom ke svému provozu a chlazení spotřebovává téměř stejné množství elektřiny. V návaznosti na tato tvrzení, výkonnost nového serveru IBM System p570 s procesory Power6 potvrzuje prvenství ve čtyřech typových úlohách, které se nejčastěji používají pro hodnocení výkonnosti unixových serverů. Celou zprávu najdete na www.connect.cz/?q=Power6.

Optimalizace WAN podporující SSL VPN Citrix Systems na veletrhu Interop Las Vegas 2007 předvedl nového softwarové klienta Citrix WANScaler Client, pro optimalizaci WAN sítí, který kooperuje s SSL VPN řešením Citrix Access Gateway. WANScaler Client automaticky nastavuje optimální výkon v závislosti na reálných podmínkách v síti a začleňuje funkce předtím dostupné pouze v zařízení Citrix WANScaler, jako např. kompresi, optimalizace protokolů a TCP akceleraci.

Disk s Tiscali slaví úspěch Společnost Tiscali před více než rokem navázala spolupráci se společností Disk při začlenění nových služeb na technologii WiMAX do svého portfolia. S úspěchem byl vyhodnocen pilotní projekt v Kolíně, kde Disk provedl instalaci základnové i všech klientských stanic. Vzhledem ke spokojenosti objednavatele služeb i všech zákazníků bylo dohodnuto pokračování spolupráce v letošním roce rozšířením počtu pokrytých měst. -red-

48


INTELIGENTNÍ ARCHIVACE

Ukládání a správa e-mailů s Exchange Mnoho organizací považuje e-mail za prvořadý nástroj pro svou činnost. Jak tedy organizace chrání svá data v e-mailových systémech, když se od e-mailu očekává, že bude k dispozici 24 hodin denně, sedm dní v týdnu?

N

edávné studie naznačují, že v e-mailu a jiných aplikacích zasílání zpráv je uloženo až 75 % duševního vlastnictví. Na okna zálohování zbývá pouze málo času a správci IT stojí před problémem, jak zvládnout náročné obchodní požadavky. A přes exponenciální nárůst dat a rostoucí požadavky uživatelů na obnovitelnost dat zůstávají rozpočty IT na stejné úrovni. Je tedy třeba platforma „inteligentní archivace“, která ukládá a spravuje podniková data z e-mailových systémů, prostředí souborových serverů, platforem rychlého zasílání zpráv a umožňuje dohledání těchto dat. Protože všechna data nejsou vytvářena stejně, je vhodné využívat inteligentní technologie klasifikace a uchování dat ke sběru, kategorizaci, indexaci a ukládání cílových dat za účelem prosazování zásad a ochrany podnikových informací a současně pomáhat snížit náklady na úložiště a zjednodušit správu. Také je vhodné zvolit řešení s obsahem nástrojů, které dolují archivovaná data na podporu právních šetření, zajištění souladu obsahu se zásadami, správy znalostí a zabezpečení informací. Co tedy chtít a očekávat za funkce a výhody od řešení archivace? Automatizaci správy poštovních schránek: Uživatelé již nebudou omezováni kvótami a přitom nebude ohrožen výkon a spolehlivost systému Microsoft Exchange. Optimalizace spotřeby úložného prostoru: Inteligentní archivace e-mailů a dokumentů umožňuje optimalizovat využití úložišť, zkrátit okna zálohování a minimalizovat náklady. Konec problémů se soubory PST: Odstranění problémů se spotřebou úložného prostoru, zálohováním, zabezpečením a stabilitou. Rychlejší zálohování a lepší obnovení po zhroucení: Centralizace správy obsahu Milan Chromý

AUTOR

Stručně

Autor pracuje jako Symantec Business Unit Manager ve společnosti Anet, dotazy zodpoví na adrese [email protected].

e-mailů pomáhá zajistit rychlejší zálohování systému Exchange a kontrolované obnovení po zhroucení. Zavedení inteligentní archivace: Odfiltrováním nedůležitých materiálů získá archivovaný obsah kontext a vypovídací schopnost. Archivace podle právních požadavků a předpisů: Archivace a vyhledání e-mailů a jiného obchodního obsahu podle právních požadavků a požadavků na soulad s předpisy.

Co přináší integrovaná archivace obsahu Rostoucí objemy podnikových dat potřebují drahé terabajty. Úložiště vyhrazená pro stará data jsou nejen plýtváním vzácným místem, ale jejich správa, údržba a zálohování také stojí čas a peníze. Efektivně se řeší problém nákladů na úložiště a omezené velikosti úložišť tím, že řešení poskytuje centralizované a integrované archivace obsahu, které přebírá podniková data z několika zdrojů. Například Symantec Enterprise Vault integruje archivaci přeseděvším následujících zdrojů: E-mailové systémy a soubory PST Souborové servery Portály Microsoft SharePoint Systémy rychlého zasílání zpráv

Automatizace správy poštovních schránek Archivace umožní odstranit kvóty a omezení velkosti zpráv a dát uživatelům poštovní schránky téměř neomezené velikosti a současně kontrolovat růst úložiště zpráv. Také podstatně zkrátíte čas potřebný k úklidu poštovních schránek. Zásady, které lze v řešeních definovat, správci automaticky archivují e-maily a přílohy z jednotlivých poštovních schránek systému Exchange do úložišť on-line. Volitelně mohou být například k dispozici zástupci, kteří koncovým uživatelům umožňují transparentně zobrazit nebo obnovit původní položky prostřednictvím aplikace Microsoft Outlook nebo rozšířených funkcí vyhledávání přes webové rozhraní. Systém Exchange se tak může

soustředit na dynamické zpracování novějších informací, zatímco řešení archivace plní funkci rozsáhlého dlouhodobého úložiště pro starší informace. Tím se výrazně zvyšuje výkon serveru a uživatelé mají okamžitý přístup ke všem svým e-mailům bez obvyklých nákladů a správy.

Optimalizace spotřeby úložného prostoru Zmenšením datových úložišť v aplikacích se zvýší jejich výkon a rychlost, jakou jsou schopny chránit příslušná data. Vyhledávací nástroje archivace, například možnost prohledávat archiv, umožňují zlepšit úroveň služeb, protože mohou automatizovat mnoho úloh spojených se správou. Do archivu se přesouvají starší položky podle zásad definovaných organizací z primárního úložiště aplikace (například serveru MS Exchange). Některá řešení využívají technologii úložiště SIS (uložení jediné instance položky) a kompresní technologie, čímž se dále zmenšují prostorové nároky uložených dat. Protože je velikost úložiště zpráv pod kontrolou, aplikace a servery se mohou zaměřit na transakce v reálném čase. On-line archiv také umožňuje organizacím racionalizovat prostředky úložišť a vyhradit primární úložiště pro dynamická a transakční data. Starší, méně využívaný obsah, může být přesunut na levnější úložné zařízení.

Konec problémů se soubory PST Soubory PST (v aplikaci Outlook nazývané také osobní složky) nebyly navrženy pro náročné požadavky současných rozsáhlých podnikových e-mailových prostředí. Mnoho organizací však obvykle přesouvá e-mail ze systému Exchange do souborů PST pro účely uchování. Tyto soubory však později vytvoří více problémů, než kolik jich vyřeší. Je tře-

ba vyřešit tyto problémy přenesením souborů PST do centrálního archivačního úložiště se zachováním přístupu uživatelů k těmto datům. Spojením technologií zálohování a obnovení s archivací se zlepšuje tradiční postup, protože se zmenšují úložiště dat aplikací, jako jsou Exchange, SharePoint a souborové servery. Díky menším úložištím dat se zkracují doby zálohování a obnovení a je možno ušetřit náklady na úložiště a jejich správu. Ještě důležitější je, že tato archivovaná data je možno dále využít pomocí nástrojů pro vyhledávání a obnovení. Přínosem pro koncové uživatele je, že mohou sami rychle spouštět obnovení, a skupiny IT budou potřebovat méně času k řešení jejich požadavků. Organizacím to pomáhá dosáhnout jejich hlavního cíle, a tím je v nejkratší možné době zprovoznění systémů a produkčních dat a zajištění provozuschopnosti e-mailu a jiných aplikací.

Podpoříme Vaše obchodní úsilí

Zavedení „inteligentní archivace“ Inteligentní archivací lze nazvat flexibilní metodologie vytváření archivu, která ukládá pouze obsah mající obchodní hodnotou společně s kontextem. Toho je také vhodné dosáhnout řešením, především přesnou klasifikací jak automatickou, tak i klasifikaci řízenou uživatelem nebo jinými. Výkonné prosazování zásad aplikuje po provedení klasifikace dat pravidla uchování a rušení a lze po té dělit informace na různé třídy a řídit lepší využití vícevrstvého úložiště. Před nasazením řešení archivace je vhodné provést analýzu, která by měla objasnit celkový objem archivovaných dat (na poštovních serverech, v PST souborech uživatelů, souborových serverech atd.) a další důležité informace např. o jejich umístění, které je třeba pro správné navržení celého řešení. ❑

Integrované řešení archivace obsahu pomocí Symantec Enterprise Vault

Microsoft Exchange

inzerce ▼

technologie

Společnost AVNET TECHNOLOGY SOLUTIONS je významným světovým distributorem podnikových technologií. V České republice disponuje komplexní nabídkou IT produktů od výrobců Eizo, EMC, IBM, Sun Microsystems a Symantec, k nimž poskytuje širokou škálu vlastních služeb.

Sjednocené zasílání zpráv Archivace všech typů dat z MS Exchange (e-mail, hlasové zprávy, fax, rychlé zprávy)

Přenesení souborů PST Zabezpečená „starší” data Vyloučení úniku dat

Avnet s.r.o.

podnikové datové soubory

V Olšinách 75, 100 00 Praha 10 Klasifikace a zásady Analýza a klasifikace e-mailů Uplatnění zásad (blokování, karanténa, značkování apod.)

Tel.: 281 002 383 Fax: 281 002 122 [email protected]

Microsoft SharePoint

Přenesení dat z Exchange Proaktivní archivace obsahu před přenesením starší data

Enterprise Valut

www.avnet.cz eshop.avnet.cz www.eizo.cz


49

recenze

PRÁCE KVAPNÁ MÁLO PLATNÁ Recenze prostředí CodeGear Delphi for PHP Delphi for PHP je nový produkt firmy CodeGear (vzešlé z firmy Borland), který dovoluje vytvářet webové aplikace v programovacím jazyce PHP stejně pohodlně, jako se vytvářejí desktopové aplikace v Delphi. Využívá se k tomu volně dostupná knihovna komponent VCL for PHP (Visual Component Library od firmy Qadram) a propracované vývojové prostředí.

I

nstalace probíhá bez problémů a jediné, co nás v dnešní době může překvapit, je vytvoření kořenového adresáře tmp, který se používá pro ukládání kompilovaných šablon Smarty. Tento adresář byl zvolen pravděpodobně kvůli snadnému vystavení vytvořeného projektu na Unixové servery, pro nasazení na zabezpečené servery jej ale stejně bude nutné změnit. To bohužel nejde udělat jinak než editací zdrojového kódu knihovny VCL.

poru šablonovacího systému Smarty s tím, že i v rámci šablon můžeme používat komponenty VCL. Přidávání objektů ve Form Designeru generuje zdrojový kód, který bohužel nerespektuje nastavení editoru pro odsazování. Pokud do tohoto kódu začneme cokoliv dopisovat, spolehlivě se odsazení rozhodí. K duhu tak přijde nástroj Source Formatter, který má dokonce i vlastní klávesovou zkratku. Nastavení objek-

Delphi for PHP, dostaneme sice nevalidní, ale ne extrémně příšerný kód.

Ladění, databáze, internacionalizace Vývojové prostředí umožňuje i ladění aplikací, k němuž se používá nástroj PHP DBG, který se dá stáhnout a používat i nezávisle na Delphi. Ladění nabízí obvyklé základní operace jako je definování zarážek, krokování kódu a sledování kukátek. Nezbytnou součástí většiny webových aplikací je práce s databází. Paleta Data Explorer umožňuje přímo pracovat s databázemi MySQL a Interbase, pro přístup k databázím se ale používá knihovna ADOdb, která dovoluje pracovat i s řadou dalších databází. Z Data Exploreru lze do formuláře přetahovat tabulky a jejich

Uspěchané vydání Delphi for PHP je vidět na mnoha místech. Vývoj ale teprve začíná Instalace navíc obsahuje i vlastní kopii webového serveru Apache a interpretu PHP, takže Delphi for PHP jejich přítomnost nevyžaduje.

Vývojové prostředí Po instalování a spuštění nás přivítá podobné vývojové prostředí, jaké známe z Delphi nebo Visual Studia. Plocha pro kreslení okna a paleta známých komponent vzbuzuje dojem, že budeme vytvářet desktopovou aplikaci, proto nás může překvapit, že výsledek našeho snažení poběží v běžných webových prohlížečích. Webové prezentace mají přece jen jiné zvyklosti než desktopové aplikace, proto se tento režim hodí jen pro specifické použití (webmailový klient, administrační rozhraní, možná i intranet). Pokud potřebujeme vytvořit běžnou webovou prezentaci, lze využít vestavěnou pod-

AUTOR

Jakub Vrána

50

Zabývá se vývojem webových aplikací především v PHP. Spolupracuje na vytváření oficiální PHP dokumentace. Píše weblog o programování na php.vrana.cz.


tů z Object Inspectoru je ukládáno do souboru s koncovkou .xml.php, který zřejmě z důvodu ochrany proti zobrazení zdrojového kódu XML dat začíná značkou učiní soubor nečitelným. Pomocí Object Inspectoru lze editovat jednotlivé vlastnosti komponent (jako třeba šířku nebo popisek), nastavovat obsluhu událostí ošetřovaných na straně serveru a také na straně prohlížeče v JavaScriptu. Pomocí vlastností formuláře TemplateEngine a TemplateFilename lze kód aplikace propojit se šablonovacím systémem, který se bude starat o vypisování HTML kódu. Pokud tuto funkci použijeme, přestane bohužel fungovat obsluha událostí v JavaScriptu. Když generování HTML necháme na

sloupce, což způsobí vytvoření komponent pro přímou editaci záznamů. Potenciálně užitečnou, nicméně poměrně obtížně použitelnou funkcí je internacionalizace aplikace. Knihovna VCL k tomu využívá rozšíření Gettext. Průvodce zabudovaný v Delphi for PHP umožňuje shromáždit překládané texty a určit jazyky, ve kterých naše aplikace poběží. Překládané texty se shromažďují pouze ze zdrojového kódu. U formulářů je možné vlastností Language určit, ke kterému jazyku se vztahují. Úprava téhož formuláře ve všech jazycích je úmorná manuální práce. Překlad textů v šablonách není řešen vůbec, přestože pro Smarty existuje doplněk, který umožňuje rozšíření Gettext používat. Přepínání jazyka je ponecháno v režii aplikace.

Publikace, nápověda Nezbytnou součástí vývoje programu je přesun z vývojového počítače na produkční server. K tomu je určen nástroj Deployment Wizard, který do určeného adresáře nahraje všechny soubory z projektu a do podadresáře vcl také nezbytné části knihovny VCL.

recenze

Nehledejte je však přímo v instalovaném adresáři nebo v podadresáři help, k dispozici jsou v podadresáři vcl\samples.

Rychlé uvedení se projevilo

Prostředí Delphi for PHP připomíná plochu pro tvorbu klasických desktopových aplikací. Právě o takový komfort vývoje se tento a podobné produkty snaží.

Pokud chceme na běžný webhosting umístit jeden projekt z Delphi for PHP, je tato funkce velice užitečná, pokud máme ale na serveru projektů více, je vhodnější do sdíleného adresáře nahrát celou knihovnu VCL, takže ji bude možné také snadněji aktualizovat. Deployment Wizard nefunguje zcela dokonale – např. šablony uložené v jiném adresáři než hlavní kód jsou nahrány do stejného adresáře, ale v kódu je ponechána relativní cesta, takže program bez dalších zásahů nefunguje. Nápověda ve formátu HTML Help má dvě části – jednu pro samotné vývojové prostředí a druhou pro knihovnu VCL. Instaluje se i nápověda PHP,

ta je však při pokusu získat nápovědu k PHP funkci ve zdrojovém kódu neaktivní. Naopak se používá u šablon, kde by se asi lépe hodila nápověda pro Smarty. Nápověda je na většině míst velice strohá – např. kontextová nápověda v Object Inspectoru u políčka Action u formuláře nás zavede na stránku nápovědy Page.getAction, kde je uveden popis „Action property“. Pro pochopení toho, co která funkce dělá, je proto nutné se často podívat i do zdrojového kódu VCL. Pro základní seznámení s nabízenými funkcemi je k dispozici několik tutoriálů v nápovědě vývojového prostředí a také několik ukázkových aplikací.

Poměrně rychlé vydání Delphi for PHP se neobešlo bez několika komplikací – mimo jiné nefungovalo ukládání řetězců v kódování UTF-8 a projekty bez změny zdrojového kódu VCL nešly spustit v PHP 5.2.1. Krátce po vydání oficiální verze naštěstí následoval první update, který ty nejzávažnější nedostatky řeší. Registrovaní uživatelé si ho mohou zdarma stáhnout z internetu. Pokud se chystáte vyvíjet funkčně bohatou aplikaci, která má běžet ve webovém prohlížeči, je Delphi for PHP dobrá volba bez velké konkurence (pro čistě desktopovou aplikaci je možné použít PHP-GTK). Jestliže hledáte vývojové prostředí pro PHP, existují lepší aplikace (např. Zend Studio, Eclipse nebo i některé textové editory), Delphi for PHP v tomto ohledu nabízí komfort spíše podprůměrný. Pokud chcete vytvořit běžnou webovou prezentaci, lze k tomu Delphi for PHP díky podpoře šablonovacího systému také použít – otázka je, zda prostředí nabízí dostatečnou přidanou hodnotu, když Smarty i VCL jsou k dispozici zdarma. Na různých místech je vidět, že vydání Delphi for PHP bylo trochu uspěchané – děravá nápověda, zdrojový kód VCL hemžící se komentáři „TODO“ nebo třeba prázdný soubor help\getting_started.htm. V dalších verzích se to však jistě zlepší, a pokud se s těmito několika nepříjemnosti dokážete poprat, dá se o Delphi for PHP uvažovat již nyní – pro vývoj bohatých aplikací spouštěných z prohlížeče má před sebou, myslím, slibnou budoucnost. ❑ inzerce ▼

Eliminujte Vaše slepá místa! Antimalware + SSL scanner plně ochrání Vaši síť www.comguard.cz Distributor produktů Secure Computing pro ČR a SR.

10 %

knihy.cpress.cz Začínáme programovat v Ruby on Rails

Mistrovství v PHP 5

Steven Holzner

Nelze ko

Mistrovství v MySQL 5 Kompletní průvodce webového vývojáře

Luboslav Lacko

Nejuznávanější kniha k současnému PHP vám vysvětlí a ukáže jeho široké možnosti včetně četných zdokonalení verze 5. Shrnuje syntaxi jazyka PHP, důkladně probírá nový objektový model, poznáte užitečné návrhové vzory, podporu XML i vše ostatní. Ať už programujete webové aplikace, rozšíření, balíčky či skripty pro příkazovou řádku nebo upgradujete aplikace ze starších verzí, najdete v této knize řešení a reálné příklady. 656 stran, 597 Kč/897 Sk, prodejní kód: K1474

Kniha seznamuje se vším potřebným pro správce, programátory i profesionální uživatele: s instalací, konfigurací, základními operacemi administrace a zabezpečení, s tvorbou tabulek a dotazů, základy programování v SQL a dalšími. Kniha zohledňuje i zcela nové aspekty platformy Oracle 10g R2, včetně nových produktů, nástrojů a technologií Oracle navázaných na databázovou platformu. 576 stran, 590 Kč/890 Sk, prodejní kód: K1302

Microsoft SQL Server 2005 Základy databází

Microsoft Visual Basic 2005

XML

Krok za krokem

Krok za krokem

Krok za krokem 2. vydání Michael J. Young

KN0033

i! Akce pla jinými slevam mbinovat s

Správa, programování a použití databázového systému

kolektiv autorů

Michael Halvorson

uveďte tíhdo 9. 7. 2007.

Oracle

Tvorba webových stránek a jejich aplikací nebyla nikdy tak přímočará jako nyní s jazykem Ruby a frameworkem Rails. S knihou ze slavné edice Programmer to programmer se naučíte naprogramovat své vlastní reálně použitelné aplikace, pracovat s ovládacími prvky, spolupracovat s databází a pomocí Ajaxu fungování aplikací zeefektivnit. To vše na praktických ukázkách a pod vedením autora světových bestsellerů. 384 stran, 399 Kč/599 Sk, prodejní kód: K1478

Solid Quality Learning

EVU ECT využijte eSsL lo: CONN

Excel VBA Velká kniha řešení

Michael Kofler

M. Weber M. Breden

Páté vydání nejoblíbenějšího open source databázového serveru nabízí četná vylepšení a řadu novinek. Kniha je určena jak pro zkušené, tak začínající programátory, kteří chtějí využít všechny aspekty tvorby a správy databází MySQL. Autor se věnuje nejen základům a novinkám, ale též nástrojům třetích stran a jejich využití. To vše ve spojení s jazyky PHP, Perl, Java, C a C#. Naučíte se tak využít MySQL podrobně a dokonale. 808 stran, 890 Kč/1 340 Sk, prodejní kód: K1341

Kniha je určena všem čtenářům, kteří chtějí proniknout do programování v jazyce VBA v rámci programu Excel a nechtějí číst spoustu zbytečné teorie. Na ukázkách praktické aplikace kódu se naučíte využít jak běžné, tak nadstandardní funkce VBA a API. Řešení popisují například jak vypočítat mzdu, porovnávat listy, třídit položky, vytvořit ovládací prvek, upravit nabídky, spravovat objekty, vytvořit automatický graf. 872 stran, 990 Kč/1 490 Sk, prodejní kód: K1291

Microsoft Visual C# 2005

HTML a CSS

Krok za krokem

Krok za krokem John Sharp

Faithe Wempen

Poznejte funkční výbavu SQL Serveru 2005 a základy tvorby databází na názorných postupech a za pomoci jednoduchých příkladů na CD. Zvládnete instalaci a konfiguraci serveru, návrh vyhovující databáze, tvorbu dotazů v jazyce T-SQL, práci s daty a jejich načítání z klientských aplikací a jiných systémů, programování vlastních funkcí a uložených procedur či řešení chyb a možných problémů. 320 stran, 399 Kč/599 Sk, prodejní kód: K1446

Kniha uspořádaná do přehledných krokových postupů vám vysvětlí vše podstatné o práci v prostředí Microsoft Visual Basic 2005. Vše si vyzkoušíte sami, prakticky, na mnoha příkladech a ukázkách. Kniha se zabývá všemi podstatnými tématy, od těch nejzákladějších, jako jsou proměnné a typy, podmínky a cykly, dialogy a řetězce, až po pokročilá, jako používání nástroje Visual Web Developer nebo programování formulářů ADO. 480 stran, 469 Kč/699 Sk, prodejní kód: K1316

XML je užitečným jazykem používaným pro výměnu a uchovávání informací na webu. Ve spojení s (X)HTML a CSS můžete tyto informace navíc jednoduše nechat zobrazit ve webovém prohlížeči. S touto praktickou příručkou se naučíte krok za krokem vše nutné k tomu, abyste pochopili, jak jazyk XML funguje, byli schopni vytvořit dokumenty XML a zobrazit je na webu. Přiložené CD obsahuje zdrojové kódy a vývojářské nástroje. 472 stran, 450 Kč/670 Sk, prodejní kód: K1375

Kniha popisuje novinky a práci v prostředí Microsoft Visual C# 2005. Výklad postupuje krok po kroku, od samého počátku, nic nevynechává, takže se nemusíte obávat, že se při jeho sledování ocitnete ve slepé uličce. Kniha vám přívětivě a na množství příkladů vysvětlí všechna důležitá témata, od těch nejzákladějších až po velmi pokročilá, včetně indexerů, delegátů a událostí nebo programování bezpečných webových aplikací. 528 stran, 499 Kč/749 Sk, prodejní kód: K1343

328 stran, 297 Kč/447 Sk, prodejní kód: K1429

Adobe Photoshop Vrstvy

Adobe Photoshop Výběry

Adobe Photoshop Fotomontáže

Adobe Photoshop Úpravy barev

Adobe Photoshop Zostřování a rozostřování

Základní dovednosti





Christoph Künne

Vrstvy jsou skvělým nástrojem pro tvorbu fotomontáží. Nabízejí netušené možnosti. Kniha vás provede různými druhy vrstev, ukáže vám, jak se s nimi pracuje a jak se dají v praxi využít. Vyhnete se destruktivním úpravám obrázků, díky kterým byste se museli vracet znovu k původní verzi v případě nových změn. Vše je doprovázeno velmi intuitivními ilustracemi, na nichž uvidíte jednotlivé fáze úprav, a spoustou zajímavých tipů. 112 stran, 229 Kč/339 Sk, prodejní kód: K1441

Doc Baumann

Výběry jsou jedním z nejdůležitějších prostředků pro tvorbu ve Photoshopu. Jak je provádět efektivně a bez zbytečného tápání? Jak se vypořádat se složitými obrazci a barevností? V knize zkušeného německého grafika postupně projdete prací se všemi nástroji a prostředky a naučíte se vytvářet přesné výběry. Vše je doprovázeno velmi intuitivními ilustracemi, na nichž uvidíte jednotlivé fáze úprav, a spoustou zajímavých tipů. 112 stran, 229 Kč/339 Sk, prodejní kód: K1432

Doc Baumann

Montáže jsou častým cílem profesionální grafiky, ale i domácí uživatelé se jimi rádi zabývají. Plnobarevná kniha ukáže, jak postupovat a vyhnout se montážím, ve kterých je patrné, že vznikly smontováním nesourodých podkladů, které nebyly dostatečně upraveny, aby ztratily známky svého původního kontextu. Vše je doprovázeno velmi intuitivními ilustracemi, na nichž uvidíte jednotlivé fáze úprav, a spoustou zajímavých tipů. 112 stran, 229 Kč/339 Sk, prodejní kód: K1440

Christoph Künne

Doladění nebo změna barevnosti bývají ve Photoshopu jednou z častých činností. Jak ale najít nejkratší cestu k vhodným úpravám? V plnobarevné knize se dozvíte, jak pomocí dvou, maximálně tří nástrojů provést všechny důležíté úpravy barev. Ale nejen to, naučíte se i techniky z fotografické komory. Vše je doprovázeno velmi intuitivními ilustracemi, na nichž uvidíte jednotlivé fáze úprav, a spoustou zajímavých tipů. 120 stran, 229 Kč/339 Sk, prodejní kód: K1431

Moderní výklad srozumitelným a názorným způsobem, jenž je určen zvláště začátečníkům. Výklad charakterizuje enormní množství krokových postupů, které nevynechávají žádný důležitý postup, a vše doplňuje množství obrázků. Čtenář dostává k dispozici soubory k jednotlivým cvičením, takže si tvorbu webu ihned osvojí praxí. S touto knihou se naučí internetové stránky tvořit úplně každý.

Doc Baumann

Zostření fotografie bývá často nutné, aby výsledný snímek nebyl nevýrazný či rozmazaný. Někdy naopak potřebujete v obrázku nějaký prvek rozostřit, abyste dosáhli uměleckého vyznění, případně dojmu, že některé části obrázku jsou v pohybu. Kniha vám nabídne nejen základy práce s příslušnými filtry a funkcemi, ale také profesionální triky z praxe. Vše je doprovázeno intuitivními ilustracemi, na nichž uvidíte dané fáze úprav. 120 stran, 229 Kč/339 Sk, prodejní kód: K1430

Kontakty: http://knihy.cpress.cz • [email protected] • bezplatná linka: 800 555 513 • SMS: 602 773 774 (ve tvaru: kód knihy, počet, jméno, příjmení, ulice, číslo, PSČ, město, heslo)

www.cpress.cz vydává Computer Press, a.s.

technologie

CARDSPACE A COMMUNICATION FOUNDATION

Jako soukromý konzultant a vedoucí školícího střediska Developer‘s Corner se zabývá programováním a školením, zejména pro platformu .NET.

AUTOR

Pavel Štěpán

Programování na platformě .NET Framework 3.0 V minulém čísle jsme se podívali na základní shrnutí vývoje a vlastností Microsoft .NET Framework 3.0. Konkrétně jsme rozebrali jednu z hlavních částí – Workflow Foundation. V tomto pokračování přijdou na řadu další dvě stěžejní části: CardSpace a Communiaction Foundation.

C

ardSpace je systém pro podporu bezpečného přihlašování se k aplikacím – nebo (jak je dnes módní) – systém pro správu identit. Je to nástupce bývalého (neoblíbeného) Microsoft Passportu (později Live ID). CardSpace nepředpokládá jediné univerzální jméno/heslo (či jinou identitu), ale může spravovat celou sadu takovýchto uživatelských informací.

pozici až příliš mnoho technologií. Mohli použít např. WebServices, .NET Remoting, Message Queues a další. A i pokud si vybrali vhodně jednu technologii, mohla se při přenesení aplikace do jiného prostředí ukázat jako velmi nevyhovující a aplikace se musela předělávat. Lze říci, že sjednotili tyto aplikace a z každé se snažili vybrat to nejlepší.

likace interface se provádí (podobně jako u Web Service) pomocí WSDL (Web Services Description Language). Na základě WSDL se generuje potřebný kód (proxy) ve zvoleném jazyce (C#, VB.NET…). Ten realizuje komunikaci klienta se službou. V jazyce C# by mohl příslušný interface pro aplikaci ProdejNotebooku vypadat např. takto: [ServiceContract] interface IProdejNotebooku { [OperationContract] int Objednat(int KodZbozi, int PocetKusu); [OperationContract] bool Zrušit(int CisloObjednavky); }

Atribut ServiceContract určuje, že

CardSpace je nástupcem neoblíbené služby Microsoft Passport Má-li naše aplikace komunikovat s jinou aplikací, vyžadující přihlášení (a podporující také CardSpace), vyžádá si od „protistrany“ informace o typu přihlašování (jméno/heslo, certifikáty…) – tzv. policy. Potom předloží uživateli na výběr seznam tzv. Information Cards (kartiček) a označí, které odpovídají požadovanému typu přihlášení. Uživatel jednu z nich vybere a příslušná informace je (v zakódované podobě a s časovou známkou) zaslána protistraně k přihlášení. Samotné „kartičky“ neobsahují vlastní přihlašovací informace (jména, hesla apod.), ale jenom pro uživatele identifikují např. „účty“, které si založil na různých webech apod. CardSpace má mnoho dalších možností – např. umožňuje používat pro přihlášení místo jména/hesla (které dejme tomu protistrana vyžaduje) podstatně bezpečnější tokeny, které sám pro tento účel generuje (vychází se z public/private key technologie). Potom je přihlášení daleko bezpečnější a odolnější např. i proti ukradení hesel pomocí tzv. phishingu.

Communication Foundation Zde se Microsoft snaží řešit jeden problém, který měli programátoři v předchozích verzích .NET Frameworku. Pokud totiž chtěli vytvářet distribuovanou aplikaci, měli k dis-

Z Web Services převzali např. jednoduchost návrhu, kde „distribuovanost“ aplikace lze určit pouhými atributy příslušných metod a tříd a děděním z „vhodných“ předků. Naopak z .NET Remotingu využili možnosti definovat vlastní komunikační záležitosti pomocí konfiguračních souborů a využívaní „hotových“ serverů jako je IIS. Ovšem konfigurovatelnost zde jde podstatně dál. Zatímco u .NET Remotingu se konfigurují hlavně takové věci, jako je použitý protokol (TCP/IP, http…), volba portů apod., v Communication Foundation je možné konfigurovat i „vyšší“ záležitosti – např. právě to, zda se pro komunikaci použijí vlastnosti Web Services nebo .NET Remotingu apod. Při přechodu na jiné prostředí pak lze poměrně zásadní změny provést pomocí konfigurace. Ovšem z hlediska programátora nemusí být konfigurace až taková výhra: chyba v konfiguračním souboru se většinou hledá velice obtížně. Naproti tomu v programu se lze často „dotrasovat“ až do místa chyby. Pro administraci jsou však možnosti konfigurace velkou výhodou.

Principy práce V principu pracuje Communication Foundation takto: service (služba) zveřejní svůj interface a ten je zpřístupněn klientovi. Pub-

Communication Foundation může zpřístupnit pro vzdálené volání metody, uvedené v tomto interface. Ty metody, které jsou označeny atributem OperationContract, jsou vzdáleně přístupné. Metody bez tohoto atributu jsou použitelné pouze lokálně – v rámci služby. Tento interface pak implementuje některá třída aplikace, která tvoří službu. Klient se samozřejmě nepřipojuje přímo na daný interface, ale na tzv. endpoint, který umožňuje volání služby. Endpoint obsahuje tzv. contract, který popisuje službu (např. jméno výše uvedeného interface). Dále obsahuje binding – definici komunikačního protokolu, který má být použit. K dispozici jsou předdefinované bindings jako např. BasicHttpBinding. Konečně je zde část address, která obsahuje komunikační adresu (např. URL). Služba může poskytovat více endpoints, takže mohou být k dispozici např. různé protokoly apod. Pomocí edpoints lze určit i další vlastnosti komunikace – např. zabezpečení nebo transakce. Příště začneme rozebírat Presentation Foundation, což je pravděpodobně nejzajímavější část novinek z pohledu programátora. Jde v podstatě o novou verzi WinForms (tvorby tlustých – desktopových klientů). ❑


53

technologie seriál

SPRÁVA DOKUMENTŮ A OBSAHU ECM v oblasti financí a administrativy Správa a kontrola finančních dokumentů od jejich vstupu do společnosti, přes jejich zpracování, až po uzavření v rámci celého životního cyklu dokumentu jsou pro každou společnost životně důležité. ECM nabízí široké možnosti pro správu, kontrolu, vyhledávání a snadnou a efektivní práci nad finančními dokumenty.

P

rvní oblastí, na kterou se v našem seriálu o správě dokumentů zaměříme, jsou finance a administrativa. Právě zde ve firmách většinou začíná ECM, protože do této oblasti spadají řešení pro zpracování finančních dokumentů (faktury a související dokumenty), které jsou jedny z nejčastěji realizovaných.

by. Zároveň má však další funkce. Pro snadné zpracování faktury je velmi často využíváno čárového kódu pro následné rozpoznávání, identifikaci a párování faktur, pojmenování dokumentu a oddělování souborů. Systém ECM je připraven na skenování vícestránkových dokumentů, a to i při uložení v jednom

ném formátu) a při jejím skenování je většinou již předběžně zaúčtována. V případě potřeby kontroly nesrovnalostí je možno přímo z ERP systému otevřít naskenovanou fakturu a provést kontrolu. Při zpracování finančních dokumentů je v rámci společnosti využíváno řízeného oběhu dokumentů, neboli workflow. V rámci workflow jsou nastaveny předdefinované kroky potřebné ke schválení finanční částky a následného uhrazení faktury v rámci organizační struktury společnosti a v souladu s podpisovým řádem. Workflow v rámci svých jednotlivých kroků může být integrováno i na jiné systémy, čekat na

Zpracování finančních dokumentů představuje zejména správu příchozích a odchozích faktur Zpracování finančních dokumentů představuje zejména správu příchozích, ale i odchozích faktur, nedílnou součástí je zpracování souvisejících dokumentů ve vztahu k fakturám. Z důležitosti této oblasti logicky vyplývá, že při řešení Enterprise Content Managementu je na prvním místě právě oblast financí.

ECM jako proces

AUTOR

Podíváme se na zpracování finančních dokumentů po jednotlivých krocích – po jejich vstupu do společnosti a při jejich výstupu. Při využití komplexního řešení ECM pro zprávu finančních dokumentů můžeme definovat následující (jednotlivé postupné části) zpracování: skenování, vytěžování, zpracování v ERP, workflow. Součástí Business Solutions (uživatelského řešení) v oblasti ECM je také bezpečné centrální datové úložiště – archiv pro ukládání dat a dokumentů v nezměnitelné a nepřepisovatelné podobě pro naplnění legislativních požadavků. Skenování slouží pro převod papírových dokumentů do elektronické podo-

54

Vít Kratochvíl Pracuje jako Account Manager ve společnosti IXTENT. Dotazy zodpoví na e-mailu [email protected].


souboru, pro úspornou velikost uloženého souboru je nejčastěji využíváno černobílé skenování s možností ukládání ve více jak 50 obrazových formátech. Technologie VirtualReScan (VRS) pak zaručuje vysokou kvalitu černobílého skenování i u nekvalitních originálů. Aby bylo možné v naskenovaných fakturách vyhledávat nebo přímo zpracovávat v nich obsažené údaje, je uplatněna technologie OCR/ICR (Optical/Intelligent Charakter Recognition) pro vytěžování dat ze zdrojového dokumentu. Při zpracování finančních dokumentů v ERP můžeme v rámci ECM využít dvojího způsobu zpracování faktur. Nicméně tyto způsoby jsou definovány již při zavádění a jsou využívány pouze separátně. V prvním případě je zvolena při skenování i část sloužící k vytěžování dat z dokumentů. Tímto způsobem získaná data jsou uložena a následně zpracována ERP systémem. Při zpracování faktury v ERP systému již máme všechny potřebné informace pořízené přímo z originální příchozí faktury a pouze provedeme kontrolu (položky dodavatele, částky apod.) a přiřadíme ke správné objednávce. Při využití skenování bez technologie OCR/ICR je příchozí faktura uložena v obrazové podobě (v předem definova-

dokončení subprocesů, startovat jiné procesy apod. Součástí workflow může být i správa souvisejících formulářů.

Odchozí dokumenty Mezi finanční dokumenty odchozí můžeme zahrnout faktury vydávané a také např. jednotlivé objednávky k dodavatelům. Při zpracování a tisku je dobré myslet na budoucí potřeby práce s již vystavenými dokumenty, např. při auditu. V případě využívání ERP systému na zpracování faktur zadáváme do systému pouze nové údaje týkající se fakturace, avšak při změně základních identifikačních údajů dodavatel či odběratele dojde k přepisu těchto údajů i zpětně. Pokud budeme chtít zpětně kontrolovat fakturu u takto pozměněného zákazníka, budeme mít při tisku již nové údaje. Řešením je využití archivace odchozích dokumentů, kdy při tisku finančního dokumentu dojde i k jejímu uložení ve formátu PDF. Tímto řešením získáme i kontrolu nad odešlými objednávkami. Samostatnou kapitolou pro zpracování finančních dokumentů je využití technologie pro správu elektronické fakturace. Nejjednodušším řešením je nasazení jednoduchého enginu, který zároveň umožňuje zpracovávání i skenování papírových

Centrální archivační systém – požadavek legislativy Z legislativního hlediska je využití centrálního archivačního systému při zpracování finančních dokumentů nedílnou součástí komplexního řešení. U skenovaných a následně archivovaných dokumentů definujeme retenční dobu, po kterou není možné dokumenty z centrálního úložiště odstranit a která je dána zákonem. Základním prvkem pro archivaci elektronických systémů je centrální archivační systém, který je koncipován jako archivní úložiště nezávislé na zdrojové aplikaci s univerzálním uživatelským rozhraním pro “read only“ přístup k archivovaným dokumentům a datovým souborům. Při výběru archivního serveru je důležité brát v úvahu možnost pro velmi snadnou a na administraci a provoz nenáročnou integraci s různými typy velkokapacitních úložišť a paměťových systémů a to i z důvodu zaručení rychlého přístupu k archivovaným datům. Datové úložiště musí především disponovat možností nepřepisovatelného a dlouhodobě bezpečného záznamu. ECM v podobě integrovaného řešení umožňuje efektivní a bezpečnou správu obsahu. Díky kvalitní správě informací je možné stanovit příslušné odpovědnosti a zajistit jejich pohotovou dostupnost oprávněným osobám. V příštím díle se zaměříme na další oblast Business Solutions, a to na smlouvy, směrnice a interní dokumenty. Jedná se o jedno z nejčastějších business řešení v oblasti ECM, které společnosti vyhledávají. ❑

inzerce ▼

faktur, pro tisk a přenos faktury v elektronické podobě. Tato technologie je použitelná pro 80 % příchozích/odchozích dokumentů, které jsou odesílány/přijímány 20 % největších dodavatelů. Na straně klienta je program instalován jako driver tiskárny. Faktura je v kódované podobě s digitálním podpisem přenášena elektronickou poštou. Jedná se o plně automatické přijetí a zpracování dokumentu. Tato technologie zrychluje celý proces zpracování až po uhrazení faktury a odstraňuje náklady na tisk, obálkování a poštovné.

Získejte za každý dvou a více procesorový server s procesory AMD OpteronTM (socket F)

NAVIGACI ZDARMA! a-2620E-M2 3U provedení, redundantní zdroj 2x procesor AMD OpteronTM (Socket F) řady 2000 max. 64 GB DDR2 16x SAS/sATAII hot swap disky 3,5“ dual 28port SAS expander SAS Raid6 řadič možnost připojit až 15 pasivních SAS boxů až 1000 MB/s zápis v Raid10 konfiguraci! 2x PCI-Express8 a 4x PCI-X

Příklad z praxe

a-1660T-M2 1U provedení 4x procesor AMD OpteronTM (socket F) 8000 (až 16 jader/1U!) max. 64 GB DDR2 3x sATA II hotswap disky 2x Gigabit LAN SIM IPMI - hardwarová vzdálená správa PCI-Express16 slot a HTX slot největší koncentrace výkonu na zastavěnou výšku v racku vyšší „hustota“ než blade za vynikající cenu

Nejširší nabídku serverů a komponent naleznete na www.abacus.cz. Abacus Computer České Budějovice Planá 2 tel.: 387 001 450 fax: 387 001 480

Abacus Computer Praha Na Košince 5 tel.: 222 592 843 fax: 222 581 438

Abacus Computer Abacus Computer Ostrava Brno 1. máje 128 Královopolská 139 tel.: 595 630 350 tel.: 541 219 285 fax: 595 630 360 fax: 549 248 584

* Po zaslání kuponu na adresu Abacus Computer, marketingové oddělení, 1.máje 128, 703 00 Ostrava spolu s kopií faktury na dvou a více procesorový server

Dá ku rko po vý n*

ABACUS s AMD OpteronTM (socket F) získáte kompletně počeštěnou navigaci evolve. Akce platí od 1. 5. do 30. 6. 2007, kopie faktury za server musí obsahovat datum v tomto rozpětí. AMD, logo AMD Arrow, AMD Opteron a jejich kombinace jsou ochrannými známkami Advanced Micro Devices, Inc. Další jména produktů a společností jsou uvedena pouze z informativních důvodů a mohou být ochrannými známkami svých příslušných vlastníků.

http://konfiguruj.to

Odvětví Telekomunikace Zákazník Telefónica O2 Czech Republic Výzva skenování příchozích faktur vytěžování dat z faktur elektronické schvalování dokumentů (faktur) vytvoření bezpečného datového úložiště přístup k archivovaným dokumentům Řešení DMS systém pro správu dokumentů pro 5 300 uživatelů v ERP systému SAP komplexní správa a uložení nových dokumentů ze skenovacího klienta, z file systému a z jiných systémů včetně možnosti indexace pomocí metadat archivace příchozích dokumentů (faktur) zavedení technologie OCR/ICR pro automatické vytěžování z naskenovaných faktur a přenášení do účetního systému SAP validace a automatické schvalování v systému SAP, schvalování příchozích dokumentů v rámci vícestupňového workflow

software Bitmeter II

Bitmeter II je měřič rychlosti sítě a množství přenášených dat. Díky jednoduchým a přehledným grafům budete mít vždy před očima kompletní přehled o tom, kolik dat a jakou rychlostí bylo v určité době přeneseno. K dispozici máte základní graf zobrazující historii jen několika minut, jenž se zobrazí poklikáním myší na ikonu v systémové liště. Mimo aktuálních objemů obsahuje program i nástroj pro zaznamenávání historie přenosů ve třech grafech kontinuálně po několika hodinách, dnech a měsících, či přehledněji v tabulce s daty za aktuální den, týden a měsíc. Tu leze pochopitelně uložit. Nechybí funkce upozorňování na překročení určitého limitu přenesených dat nebo kalkulátor schopný vypočítat, jak dlouho budete stahovat daný soubor. Pro chod programu je vyžadován minimálně Microsoft .NET Framework 1.1. codebox.no-ip.net/controller?page=bitmeter2 cena: freeware hodnocení:

Filseclab Personal Firewall Professional Edition Osobní firewall, který vám dá kontrolu nad programy, jež komunikují se sítí a internetem. Nabízí průvodce pro nastavení automatických pravidel. Upozorní při příchozím či odchozím spojení, které neodpovídá žádnému nastavenému pravidlu, poté máte klasicky na výběr akci povolit nebo zakázat pouze pro tento okamžik nebo takové pravidlo rovnou vytvořit nastálo. Můžete rovněž filtrovat určité webové stránky, program monitoruje pakety, zobrazuje podrobné statistiky ve formě grafů, obsahuje mimo jiné i tři předdefinované stupně bezpečnosti (low, medium, high) a další. Je tak vhodný i pro začátečníky, přičemž zkušeným uživatelům nabídne široké nastavení pravidel v přijatelné formě. Je tu i možnost okamžitého utnutí veškeré

HELIUM PINGer Nástroj pro kontrolu sítě pomocí vícenásobného pingu dle seznamu IP. Je schopen provést i jednotlivá IP trace route či http open command. Obsahuje dále seznamy a generátor IP adres, překlady

LANState Monitorovací program LANState zobrazí mapu sítě na bází Microsoft Windows a stav sledovaných zařízení. Umí najít všechna připojená zařízení dle skupin či domén a umístit je do grafického diagramu anebo dokáže provést ping na vámi zadané rozhraní IP adres a nalezená zařízení lze do diagramu přidat také. Diagram lze exportovat do grafického souboru typu BMP, JPEG či PNG. Vše probíhá v reálném čase a u všech počítačů naleznete jejich IP i MAC adresy či stav, tj. jsou-li aktivní či nikoliv. Program dále obsahuje užitečné nástroje pro posílání zpráv, vypínání

56


síťové komunikace. Na webu je v nabídce i druhá bezplatná verze nazvaná Filseclab Personal Firewall Standard Edition. www.filseclab.com/eng/products/firewall.htm cena: freeware hodnocení:

a restart vzdálených počítačů, opakovaný ping či trace route. Vedle toho si můžete zobrazit i provoz na všech síťových kartách v počítači včetně množství přenesených dat. Užitečná může být i schopnost vytvořit o stavu sítě výsledný report ve formátech MTML, XML, CSV a TXT. www.10-strike.com/lanstate cena: od 49,95 USD hodnocení:

DNS, Reverse DNS a další. Nechybí možnost nastavit parametry pingu, jako je velikost packetu do 128 bytů či maximální požadovaný limit pro rychlost odezvy od 50 do 10 000 ms. Čas automatického opakování prohledávání sítě za pomocí příkazu ping lze zadat tak, aby se pohyboval mezi 5 až 300 s. Helium PINGer se tak může stát dobrým pomocníkem pro administrátory firemní sítě nebo všechny ty, kteří chtějí svoji síť důkladně poznat a získat o ní informace. Jde o verzi bez instalátoru vhodnou zejména pro zkušenější uživatele. helium.webz.cz cena: freeware hodnocení:

Jetico Personal Firewall

Fresh Diagnose Tento diagnostický program se může bez okolků rovnat se svými komerčními kolegy jako SiSoft Sandra 2007 či Everest. Podává kompletní informace o tom, jak pracuje váš počítač, dokáže zobrazit informace o základní desce, grafických kartách, sběrnicích, periferních zařízeních (klávesnice, myš, tiskárna, atd.), údaje o síti a v neposlední řadě také o vašem operačním systému, jako je nastavení registrů Windows, výpis běžících procesů, či zobrazit obsah cookies apod. Vedle toho zvládne otestovat výkon procesoru, operační paměti, grafické karty, pevného disku nebo optické mechaniky a propustnost sítě. Užitečnou funkcí je i schopnost vytvořit kompletní zprávu o vašem počítači ve formátu HTML

včetně možného provedení a uložení výsledků všech benchmarků. Některé možnosti jako test grafické karty jsou však k dispozici pouze pro registrované uživatele. Registrace je bezplatná. www.freshdevices.com/freshdiag.html cena: freeware hodnocení:

Jetico Personal Firewall je jedním z populárních osobních firewallů dostupných zdarma, jenž nabízí pomocnou ruku při definici pravidel zabezpečení sítě s možností podrobné konfigurace. Program vám v základním nastavení nabídne tři úrovně zabezpečení: blokování všech aktivit, jejich hromadné povolení a optimální ochrana. Lze jej přitom přizpůsobit vlastním požadavkům. Nechybí možnost filtrování packetů v síti, událostí aplikací či logování činnosti. Nastavení pravidel ale není tak přehledné a jednoduché jako u konkurence, je tak vhodný spíše pro zkušenější uživatele. www.jetico.com/jpf2.htm cena: freeware hodnocení:

Comodo Firewall Pro Personální firewall značky Comodo nabízí srozumitelné uživatelské rozhraní, souhrnné statistiky, sleduje aktuální přenos po síti, což vám pomůže zjistit, které aplikace komunikují více, než byste si přáli a potřebovali. Výborná je schopnosti sledovat a analyzovat nestandardní chování aplikací a nadstandardem je možnost nastavit rovnou v pěti stupních frekvenci podávání hlášení, resp. definovat, o jakých činnostech informovat a o jakých již ne. I tento produkt nabízí rovněž tři úrovně ochrany v režimech, kdy blokuje vše, nehlídá nic (je tak de facto vypnut) anebo se řídí dle uživatelem definovaných pravidel. Standardem je opět vytváření logu o všech provedených akcích.

Možnosti nastavení jsou opravdu bohaté. Výborně doplňuje stejnojmenný antivirus. www.personalfirewall.comodo.com cena: freeware hodnocení:

Plánovací kalendář Postrádáte klasický plánovací kalendář? Máme pro vás řešení v podobě aplikace podporující neomezené množství uživatelů. Do nejnovější verze byla přidána možnost zadat směnný provoz v periodě až 56 dní (8 týdnů), zadat dovolenou pro tento i následující rok, státní svátky do nepřetržitého provozu či dva druhy nepravidelných termínů. www.ussoft.cz/ussoft/planing.htm cena: freeware hodnocení:

Alt Commander Tento souborový manažer vyniká zejména schopností šifrovat datů některou z dostupných metod (ROT-13, Vigenere64, Cesar apod.). Stejně jako mnohem oblíbenější komerční kolega Total Commander pak nabízí FTP klienta, možnost připojit si síťový disk či komprimovat

a dekomprimovat soubory pomocí formátu ZIP. Výborná je i schopnost prohlížet přímo v programu grafické soubory typu JPEG, GIF, BMP, DIB, PNG, WMF, EMF, ICO, CUR a ANI. Nechybí ani základní funkce jako otáčení obrázku, jeho oříznutí, změna velikosti apod. Program je dostupný ve formě instalačního balíčku nebo i jako ZIP archiv. kamil.barlinek.biz/altcmd cena: freeware hodnocení:


57

technologie

JEDEN NÁSTROJ NA VÍCE ZÁPLAT? Jak se liší záplatování v Linuxu a ve Windows Heterogenní informační infrastruktura, kterou preferuje stále více firem, přináší radosti i starosti. Otázka řízení a správy aktualizací je jednoznačně tím druhým, přesto nezabývat se jí by mohlo být vražedné.

V

současnosti platí, že každý softwarový produkt, operační systém zvláště, musí být udržován v aktualizovaném stavu. Pokud není, může to znamenat nejenom snížení funkčnosti, ale hlavně značné omezení jeho uživatelů a jejich vystavení možným bezpečnostním rizikům. Za předpokladu, že je technologie užívající software připojena do internetu, a to je dnes skoro vše, se riziko umocňuje.

ti systému, ale někdy i na straně vydavatelů aktualizací – tvůrce softwaru, případně přenosového média. A i když explicitní porucha způsobená vadnou aktualizací je v dnešní době spíše výjimkou, stále se jedná o riziko, které nelze podcenit.

Podle platformy Systémy postavené na architektuře Microsoft Windows mohou používat něko-

aplikaci), ale také přináší tolik potřebnou funkci rozšiřitelnosti. Teoreticky tak může být používán k udržování nejen operačního systému, ale také dalších instalovaných komponent, a to (opět a ještě více teoreticky) nejen od Microsoftu. Může se to zdát neuvěřitelné, nebo spíše řečeno nepravděpodobné, avšak uvědomme si, že například instalační systém Microsoft Installer (MSI) používají také tisíce výrobců různého softwaru a slouží dobře. Aktualizace přitom mají k instalaci velmi blízko. Na straně serveru – přesněji poskytovatele aktualizací systému v podání Microsoftu – nabízí jak známo dvě varianty. První z nich je udržování počítače v aktu-

Tvůrci softwaru pro Patch management se snaží o sblížení produktů pro Windows a Linux I když tvůrci softwaru a jeho distributoři mají snahu vydávat proces aktualizací za jednoduchý a zvládnutelný uživatelsky, či dokonce zcela bezzásahově, není to pravda. Aktualizace softwaru je poměrně náročná a především riskantní záležitost. Existuje mnoho míst, kde stačí malé selhání a celý systém, nebo jeho podstatná část, je vyřazen z provozu. Chyba nemusí být pouze na straně klienta, tedy aktualizované čás-

AUTOR

Vojtěch Bednář

58

Při doktorském studiu žurnalistiky se věnuje oblasti informačních technologií a pravidelně spolupracuje s časopisem Connect!.


lik metod aktualizace. U starších systémů a komponent je to web Microsoft Windows Update. I když samotná instalace aktualizací do klientského zařízení se provádí pomocí speciálního ovládacího prvku, základem Windows Update je webová aplikace. I když je toto řešení uživatelsky velmi zdařilé, technicky má své nedostatky. Systémy Windows proto obsahovaly hlubší integraci aktualizačního systému, formou programů pro automatickou instalaci záplat. Ten je v optimálním případě plně „bezuživatelský“, avšak pro kompletní aktualizaci počítače je nepoužitelný. Poslední verze Windows Vista přichází s novinkou. Jejich systém aktualizací je nejen plně lokální (oproti původní webové

álním stavu s využitím serverů Microsoftu – tedy Windows Update. Druhá možnost je řešení Windows Software Update Service (WSUS). To v rozsáhlejších infrastrukturách přenáší těžiště distribuce aktualizací dovnitř vlastní sítě. Administrátoři mají možnost rozhodovat, které patche budou a nebudou jejich uživatelům k dispozici. Udržování centrálního skladiště aktualizací navíc snižuje náklady na síťový provoz směrem z internetu, který by byl jinak spojen s individuálním použitím Windows Update všemi uživateli. Výsledkem je úspora a vyšší kontrola, ale za to se, jak známo, platí. I přes výše popsané volby práce s aktualizacemi jak na straně serveru, tak klienta jsou možnosti správce řídit „pat-

©2006 Check Point Software Technologies Ltd. All rights reserved. Check Point, the Check Point logo, and Eventia Analyzer are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates.

bezpečnost

chování“ počítačů s Microsoft Windows poměrně omezené. Pokud se aktualizační systém přítomný ve Vista nebude používat i k udržování uživatelského softwaru, případně systémového softwaru třetích stran, zůstává polovičatým řešením. I když má administrátor možnost rozhodovat o jednotlivých aktualizacích a o preferencích instalace, ve skutečnosti jsou jeho možnosti bez WSUS relativně omezené. A WSUS se vyplatí pouze do rozsáhlejších infrastruktur. Operační systémy založené na GNU/ Linux nemají jednotný aktualizační systém. U těch, které jsou nejpravděpodobnější pro použití v organizaci, je nicméně patrná snaha o jeho sjednocení. S velmi podobným řešením aktualizací se můžeme setkat v systémech založených na, Debianu jako je Ubuntu, i v produktech typu RedHat nebo SUSE. Každý z nich sice používá jiný systém balíčků obsahujících software (RPM respektive DEB), každý pracuje s jiným nástrojem pro instalaci a aktualizaci, nicméně filozofie jeho funkce a použití se liší jen minimálně.

administrace je často mnohem náročnější, než u produktů Microsoftu. V některých organizacích je to také jeden z důvodů proti nasazování Linuxu.

Hodně nebo málo? Obě jmenované platformy se kromě systému aktualizací značně liší také jejich podobou a počtem. Microsoft zavedl, a dá se říct, že velmi úspěšně, režim pravidelných aktualizací v měsíčním cyklu s tím, že mimořádně důležité bezpečnostní záplaty jsou distribuovány také mimo něj. Dodavatelé Linuxových distribucí se o podobný režim v některých případech snaží, ale jsou celkově méně úspěšní než Microsoft. Linuxové systémy, přinejmenším ty dobře udržované (o jiných nehovoříme), se vyznačují velkým množstvím aktualizací. Tyto aktualizace mohou být dodávány nepravidelně. Podobně jako u Microsoftu jsou různého typu, avšak těchto typů existuje více. Samotný operační systém, respektive jeho aktualizační nástroje, typicky umožňuje pestřejší nastavení než Windows, například na základě pro-

je sníženo, i když samotná aktualizační technologie je u konkurence dokonalejší.

Upgrade online Specialitou některých Linuxových distribucí je schopnost automatického upgradu operačního systému. V případě existence nové verze OS provede aktualizační systém výměnu všech jeho částí. Místo prostého zavedení záplat se tak provede kompletní převod systému na vyšší verzi. I když je tato možnost lukrativní pro domácího, nebo SOHO uživatele, ve větší organizaci by měla být rozhodně zakázána. Důvodem je, že rizika spojená například s nekompatibilitou, o nichž jsme se zmínili v souvislosti se záplatováním, se při upgradu umocňují. Situace, kdy se počítač z pokusu o převedení systému na vyšší verzi touto cestou už nevzpamatuje, není vůbec vzácností. Pokud se upgrade přece jen provádí, mělo by to být vždy po jeho důkladném otestování na shodných zařízeních, a hlavně po vytvoření zálohy dat a uživatelských nastavení.

Specialitou aktualizací v Linuxu jsou backporty a schopnost on-line upgradu systému Aktualizační systémy mohou být efektivní jen tehdy, a tvůrci Linuxových distribucí si to uvědomili již poměrně dávno, kdy jsou integrovány s instalačními. Nástroj, který se stará o instalaci softwaru, jej zároveň dokáže patchovat a v případě potřeby odstranit. Díky tomu také stačí jeden systém na aktualizaci celého počítače – nejen operačního systému, ale veškerého softwarového vybavení. Samozřejmě to je ideální stav, který má svá omezení. Záleží například na tom, odkud je software instalován, zda je z oficiálních repozitářů, anebo od třetí strany, zda třetí strana podporuje daný aktualizační systém a podobně. V podstatě se dá říct, že poslední verze Windows Update se snaží přiblížit filozofii aktualizací známé z Linuxových distribucí. Pokud jde o serverovou část aktualizačního systému, můžeme se u různých distribucí setkat s obdobou WSUS v podobě lokálních zdrojů aktualizací a nástrojů k jejich administraci. Jejich možnosti jsou obdobné, avšak jejich

filu počítače (k tomu bychom jinak už potřebovali WSUS), nicméně i tak je orientace v aktualizacích obtížnější. I když základní typy aktualizací jsou ve Windows i na Linuxu obdobné (kritická bezpečnostní, kritická funkční, volitelná, softwarová), Linux zná jeden typ, s nímž se ve Windows můžeme setkat jen velmi výjimečně. Je to tzv. „Backport“, neboli aktualizace přenesená z vyšší verze stejného softwaru. I když původním účelem těchto aktualizací bylo prodloužit životnost softwaru, a jejich použití není z mnoha hledisek příliš „košer“, stávají se v některých distribucích populárními. Cenou za mnohem větší množství aktualizací s vyšší frekvencí a nižší pravidelností jsou jednak technické nároky spojené se samotným procesem updatování, jednak rizika havárie. Obecně platí, že instalační a aktualizační služby v Linuxu patří mezi nejpropracovanější vůbec, ale jisté nebezpečí existuje vždy. Vzhledem k tomu, že možnost neaktualizování systémů, zejména pokud jde o bezpečnostní záplaty, představuje ještě větší nebezpečí než Aktualizace Windows versus Linux obava z nezdařeného procesu, Windows Linux je nutné toto riziko podstoupit. Frekvence pravidelná podle distribuce (spíše Je samozřejmé, že u Windows nepravidelná) je najdeme také, nicméně díky Častost měsíční s výjimkami denní, týdenní pravidelnému cyklu vydáváRozsah OS OS, distributorem podporované aplikace ní a některým dalším faktorům

60


Směrem k jednotě Autoři systémů pro Patch management počítají s tím, že stále více organizací chce používat jak Windows, tak i Linux v oblasti serverů i pracovních počítačů. Je to logické, protože menším firmám tato kombinace přináší úsporu prostředků a větším zase záruku vyšší stability a robustnosti celého IT. Speciální nástroje pro správu aktualizací tak počítají s podporou Linuxu i Windows s ohledem na jejich specifika, a přitom s jediným, homogenním administrátorským rozhraním. Tato kombinovaná podpora je obtížnější na straně Linuxu z důvodů, které již byly vyjmenovány (heterogenita, různé systémy balíčků apod.), nicméně snahu o ni nelze výrobcům upřít. Stav, kdy by správa a řízení aktualizací byla v heterogenní infrastruktuře jednoduchou a plně automatizovanou záležitostí, ještě nenastal, a je těžko říct, zda v dohledné době nastane. Na druhé straně ale právě k němu míří tvůrci softwaru a dobře vědí proč. Pokud se vaše organizace rozhodne pro kombinované řešení IT založené na Windows a na některé z Linuxových distribucí, patrně si s řízením aktualizací užijete mnohem více, než kdyby byla technologie založená pouze na produktech Microsoftu. Výsledek, tedy vyšší bezpečnost, robustnost, spolehlivost a flexibilita informačních technologií, ale rozhodně stojí za to. ❑

technologie

NO WI-FI NIC NEVYŘEŠÍ “

„

WIPS – bezdrátový systém ochrany průniku Přes veškerá vylepšení je v technologii WLAN stále dost způsobů, jak síť kompromitovat. Existují dva způsoby, jak bezdrátovou síť dobře zabezpečit. Takže trochu nadneseně – ten první je žádnou bezdrátovou síť nemít a druhou možností je nasadit technologii Bezdrátových Intrusion Prevention Systémů.

V

zhledem k cílové skupině čtenářů a místě zveřejnění tohoto článku je zbytečné se podrobněji zabývat problematikou: „No Wi-Fi“. Snad jen několik vět. Organizace, které se rozhodly nevpustit technologii Wi-Fi do svého prostředí, zapomínají na dva důležité momenty.

Neautorizované Wi-Fi Prvním je snadná dostupnost bezdrátových přístupových bodů a možnost neautorizovaného zapojení AP do sítě. Pokud není v místě inteligentní Wi-Fi systém, který provede okamžitou detekci neautorizovaných AP, případně i blokování jejich činnosti, vzniká obrovská bezpečnostní díra do celého systému IT organizace. A ruku na srdce, již několik let výrobci síťových aktivních prvků usilovně propagují technologie ověřování přístupu do sítě, ale kdo z firem či organizací ověřování dle 802.1X skutečně provádí? Jak potom zabráníte připojení neautorizovaného AP do sítě a jak provedete detekci, když „No Wi-Fi“ přístup vám v tom moc nepomůže? Druhým slabým místem „No Wi-Fi“ přístupu je všeobecná přítomnost bezdrátových adaptérů v mobilních zařízeních, a to notebooky a PDA počínaje a tiskovými servery konče. I režim „Ad Hoc“ spojení je navíc natolik zranitelný, aby se dala kompromitovat prostřednictvím hacknutého „Ad Hoc“ Wi-Fi klienta celá síť. Ještě než přejdeme k bezdrátovým IPS, vyvraťme pár dalších mýtů. Prvním je, že drátové sítě jsou oproti bezdrátovým bezpečné. Pokud by tomu však skutečně bylo tak, proč by se používaly technologie, jako jsou firewally, ověřování přístupu, virtuální sítě a nakonec i IDS či lépe IPS?

AUTOR

Miroslav Knapovský Autor pracuje jako technik ve společnosti 3Com.

Další otázkou je, zda je šifrování a ověřování na bezdrátových sítích skutečně řešením? Dokážete efektivně zamezit tomu, aby se vaši mobilní klienti připojovali jen k vašim autorizovaným WLAN přístupovým bodům? Aby se nepřipojovali k externím nebo ještě hůře podvrženým AP? Aby se nepřipojili k podvrženému AP, které hraje roli „Man in the middle“?

Ulov si svého klienta Dnes je kupříkladu k dispozici software, který dokáže s využitím dvou bezdrátových síťových karet naprosté divy. Program na jedné Wi-Fi kartě emuluje oficiální bezdrátový přístupový bod a jakmile uloví „oficiálního“ klienta, přes druhou kartu přehrává jeho postup ověřování platnému přístupovému bodu. Tímto způsobem lze obejít mnohé šifrovací i ověřovací metody a záškodník získá nejen přístup k datům autorizovaného klienta, ale i přístup do lokální sítě. Jak odpovíte na otázku, zda předchozí problémy řeší WLAN Switch technologie? Technologie bezdrátového přepínače dokáže ošetřit přidání neautorizovaného AP do vaší sítě, realizovat jeho lokalizaci, a pokud si přejete, tak i rušit jeho komunikaci. Ale co útok na odepření služby na vaši bezdrátovou síť? Jak WLAN switch zastaví „jamming“, záplavu rámců pro odpojení ze sítě, jak si poradí s podvrženými RTS/CTS pakety či se záplavou paketů pro ověření? Stejně jako existují důvody pro nasazení IDS/IPS, tak existují i důvody pro nasazení bezdrátového systému ochrany průniku (dále jen Wireless IPS – WIPS). Jaké jsou hlavní mechanismy činnosti WIPS? Monitorování – WIPS musí umět monitorovat všechny dostupné technologie bezdrátových sítí a souběžně sledovat veškeré existující kanály. A to ne pouze v intencích generálního povolení sledovat jen kanály, které jsou v dané zemi povoleny, ale opravdu veškeré kanály, které jsou na přísluš-

ných technologiích využitelné. Jedná se o pasivní činnost, takž nic není v rozporu se zákony. Detekce – WIPS musí detekovat veškerá bezdrátová zařízení ve chráněné lokalitě. Aby detekce byla 100%, musí být WIPS schopen nejen detekovat zařízení z bezdrátové strany, ale také si musí být schopen ověřovat parametry zařízení z „drátové“ strany a porovnávat výsledky. Právě tímto přístupem lze rozpoznat prostředníka, který se tváří jako autorizovaný přístupový bod. Vizualizace – WIPS musí umět v přehledném prostředí zobrazit stav zabezpečení chráněné lokality a nesmí zahlcovat správce bezpečnosti haldami logů, jaké jsou schopny generovat IDS nebo levné IPS. Automatická klasifikace – WIPS musí být schopen automaticky rozpoznávat a zařazovat do skupin nejen AP, ale i klienty. Klasifikace musí být jednoznačná, snadno definovatelná a přehledná. Skupiny musí být nejméně v rozsahu autorizované – neautorizované – ničemné – externí. Prevence a karanténa – WIPS musí na základě automatického nebo manuálního rozhodnutí umět zablokovat komunikaci systémů daných do karantény. Tuto činnost musí dělat prokazatelně a nesmí narušit činnost autorizovaných či externích systémů. Lokalizace – WIPS musí umět lokalizovat všechny detekované systémy v podkladové mapě a usnadnit správci jejich dohledání a v případě ničemných zařízení i jejich fyzickou likvidaci. Reportování – WIPS musí umět generovat bezpečnostní reporty. A to nejen předdefinované standardy, jako jsou Sarbanes-Oxley, Gramm-Leach, HIPPA a obdobné, ale i reporty sestavené dle požadavků administrátora, bezpečnostního architekta či auditora. Vidíte, že technologie WIPS dnes již dozrála do použitelného stavu a umí toho opravdu hodně. K dispozici je několik výrobců, kteří WIPS technologii nabízejí. Kdybych je mohl kategorizovat, tak se jedná obecně o dva typy řešení. První pro malé a střední firmy založené na samostatně pracujících sondách. Druhé je pak mnohem komplexnější, postavené kolem centrálního řídícího systémy s desítkami až stovkami distribuovaných sond. ❑


61

technologie

ODPOSLECH SSL Jak bezpečná je komunikace přes HTTPS? Pokud přistupujete na webový server pomocí protokolu HTTP, jedná se o nešifrovaný přenos požadavků a odpovědí. To je každému jistě dobře známo. Kdokoliv, kdo má přístup k takové síťové komunikaci, má také přístup k celému jejímu obsahu.

K

do to může být? Kdokoliv na trase paketů mezi vaším počítačem a cílovým webovým serverem. Fakticky tedy všichni internetoví poskytovatelé po cestě, lépe řečeno správci jejich routerů. Jedná se o velké množství organizací, z pohledu uživatele anonymních. Na druhé straně bude jejich snaha, získávat vaše soukromá data, brzděna zodpovědností a obchodní reputací. Člověk ale nikdy neví. Mnohem horší je ale případ útočníka přímo na vaší LAN síti. Zde může být prostředníkem obvykle kdokoliv, kdo je připojen na stejné síti (myšleno IP síti), například váš kolega. Windows jsou totiž napadnutelná pomocí ARP poisoning útoku, po němž s radostí všechny pakety posílají někomu úplně jinému z vaší IP sítě. Je tedy kritické zajistit šifrování webové komunikace. Alespoň u citlivých stránek, jako je například internetové bankovnictví, webový mail, internetové obchody, placení kreditní kartou apod. Šifrování se obvykle realizuje pomocí SSL a jeho aplikace na HTTP, tedy protokolu HTTPS. Člověk tak získává jakýsi pocit jistoty, mnohdy naneštěstí neprávem. Často je totiž jeho bezpečnost nedostatečná, nebo úplně nulová, což je dáno jeho chybným použitím. A to jak na straně serveru, tak i na straně uživatele. Ve výsledku si uživatel mnohdy umožní odposlech sám. Pokud jsou splněny některé podmínky, můžete odposlouchávat i libovolný český e-banking. Jak? A proč to lze? A co dělat, abyste se chránili? Na to se zaměříme v následujících odstavcích.

Princip SSL Secure Socket Layer je šifrovací rozšíření aplikačních protokolů, které se používá pro šifrování komunikací jako je HTTPS, SMTPS, POP3S, SFTP, ale například i Ter-

AUTOR

Ondřej Ševeček

62

Autor pracoval jako programátor šifrovacích a bezpečnostních systémů. Dnes se zabývá správou počítačových sítí na platformě Microsoft.


jen webovému serveru a právě jen webový server může dešifrovat data přijatá od klienta. Tento princip by ale umožnil šifrování jen ve směru z klienta na web server, nikoliv opačně. Proto se podle obrázku 2 přidá ještě jeden krok. Klient nebude veřejným klíčem šifrovat přímo data. Generuje pouze náhodný šifrovací klíč. Tentokrát symetrický (například DES, 3-DES, AES apod.) a pošle jej bezpečně zpět na webový server. V tomto bodě začnou klient a server spolu šifrovat novým symetrickým klíčem v obou směrech. Jedná se o nejběžnější scénář SSL komunikace s webovým serverem. Bohužel uvedený systém je napadnutelný. K plné bezpečnosti by uživatel potřeboval mít také svůj vlastní certifikát.

minal Services (tedy „vzdálené plochy“). Obvykle se používá asymetrická kryptografie a algoritmus RSA. Princip pro HTTPS je znázorněn na obrázku 1. K zašifrování dat potřebujete šifrovací klíč, k jejich opětovnému dešifrování pak dešifrovací. Celkem tedy dva klíče. Podmínkou bezpečnosti je, že jsou na sobě vzájemně nezávislé. Pokud známe jeden, druhý z něho nezjistíme (tedy alespoň ne dostatečně rychle). Zmíněné dva klíče generujeme a umístíme na web serveru. Šifrovací klíč můžeme Bezpečnost na klientovi volně zveřejnit (veřejný klíč, public key), zatímco dešifrovací musí znát jen web Určitě znáte varovné hlášení prohlížeče server. Šifrovací veřejný klíč se zveřejz obrázku 3. Co znamená? Klient musí ověňuje v podobě tzv. certifikátu. Certifikát řit úroveň bezpečnosti. Použije k tomu cerobsahuje následující podstatné prvky: tifikát webového serveru a informace v něm obsažené: veřejný šifrovací klíč; DNS jméno web serveru, pro který byl adresa zadaná do prohlížeče se musí shovystaven (například www.sevecek.com); dovat s adresou v certifikátu; datum platnosti, po jehož překročení by certifikační autorita (organizace, ktejiž neměl být používán; rá certifikát ověřila) musí být umístěna v seznamu důvěryhodných autorit (na místelektronický podpis od důvěryhodné ním počítači); organizace. Tato certifikační autorita ověřila, že majitel certifikátu je skutečně i vlastníkem příslušnéPrincip fungování HTTPS ho doménového jména; odkaz na tzv. CRL (Cerprivate key tificate Revocation List). Jedná se o seznam certifikáBrowser Web server tů, které se ona certifikační autorita rozhodla zneplatnit. Certificate Tedy ještě před vypršením public key jejich platnosti. Jakmile si klient požádá o webovou stránku, webový server mu nabídne svůj Obousměrná šifrovaná komunikace – napadnutelná certifikát s veřejným klíčem. Jen pro upřesnění, private key tato výměna samozřejWeb server Browser mě není šifrována a každý ji může odposlechnout. public key Klient má tedy klíč, kterandom key rým může „něco“ zašifrovat a vrátit webovému serveru. Může tuto odporandom key věď někdo dešifrovat? Browser Web server data Ne, protože nezná druhý, tedy dešifrovací, klíč. Ten je bezpečně dostupný

technologie

certifikát musí být stále platný podle data expirace. Pokud alespoň jedna z podmínek není splněna, může se jednat o útok. Lze totiž komunikaci dešifrovat. Jak to?

Útok na SSL s jedním certifikátem Vysvětlení ukazuje obrázek 4. Existuje totiž možnost útoku zvaného MITM („Man in the middle“), kdy útočník stojí uprostřed komunikace a aktivně do ní zasahuje. Například poskytovatel internetu, správce vašeho routeru, nebo váš kolega. Jak je to možné? Server totiž nijak neověřuje identitu svých klientů (tedy pokud nemají také svoje vlastní certifikáty). Útočník jednoduše nabídne klientovi svůj vlastní certifikát a k webovému serveru se připojí i on. Klient bude komunikovat (šifrovat) s hackerem, ten zase s cílovým web serverem. Prakticky útočník pakety od klienta dešifruje, znovu zašifruje a přepošle na webový server. Ale pozor, útok je možno rozpoznat na klientovi právě podle oněch tří podmínek zmíněných výše. Proto je také prohlížeč vždy testuje. Důvod je v útoč-

Jak provést útok Zajímá vás, jak takový útok provést? Stáhněte si do Windows program Cain&Abel. Je zdarma k dispozici na adrese www.oxid.it. Co program umí? Ve zkratce, dokáže se vklínit do dialogu šifrované komunikace, generovat vlastní certifikát a logovat veškerá procházející data do textových souborů. Pro odposlech kolegovy HTTPS komunikace (musí mít počítač na stejné síti jako vy), proveďte následující: zjistěte kolegovu IP adresu, rozpoznejte adresu vaší výchozí brány (default gateway), spusťte na svém stroji Cain&Abel, na záložce Sniffer se dole přepněte na záložku Hosts, pravým tlačítkem vyberte Scan MAC addresses, po doběhnutí scanu se přepněte dole na záložku APR, na panelu nástrojů klikněte na ikonku plus, vyberte dvojici adres vašeho kolegy a výchozí brány, na panelu nástrojů klikněte na ikonku Start sniffer a Start APR, nechte kolegu brouzdat po HTTPS stránkách, vlevo ve stromové struktuře se přepněte na záložku APR-HTTPS a prohlédněte si obsah veškeré jeho komunikace.

níkově certifikátu. Všechny tři možnosti jsou i na obrázku 5: klient zadal jiné jméno, než je v certifikátu útočníka. Ten může mít jistě vlastní certifikát ověřený důvěryhodnou autoritou. Bude ale vystaven pro jiné jméno, než klient zadal do prohlížeče. (Certifikát vystavený pro jméno útočníkovy vlastní domény). certifikační autorita, která podepsala útočníkův certifikát, není důvěryhodná. Útočník si například může generovat vlastní certifikát pro správné jméno domény. Tedy té, kterou uživatel zadal do prohlížeče. Ve skutečnosti ji však nevlastní a žádná důvěryhodná autorita mu takový certifikát nepodepíše. útočník má certifikát pro správné jméno domény, vydaný důvěryhodnou autoritou, ale už dlouho neplatný. To je případ, kdy útočník původně vlastnil příslušné doménové jméno, ale později je uvolnil. Shrneme-li si výše zmíněné poznatky, vyplyne, že pokud ignorujete hlášení o neplatném certifikátu, vystavujete se možnosti útoku.

Varovné hlášení prohlížeče.

Útok na SSL s jedním certifikátem

Browser

private key

private key Atacker

Browser

Certificate

Certificate

public key

public key

Možnosti rozpoznání útoku, které testuje prohlížeč URL

banka.cz

Klienti

Atacker

Webserver

banka.cz 1.

utocnik.cz

CA

2007

1.

utocnik.cz

CA

2007

1.

utocnik.cz

CA

2007

Ochrana proti tomuto útoku Jak samotný útok probíhá již víme, teď ještě jak se proti němu bránit? Pokud stránka zobrazuje varování o certifikátu, nepoužívejte ji. Teď vážně. Lepší ochrana je použití certifikátů i na straně uživatele. V podstatě má uživatel uložený v počítači (nebo ještě lépe v čipové kartě) certifikát svůj vlastní. Klíčem z certifikátu pak podepisuje odchozí požadavky, čímž webový server může následně ověřit, že byly správně podepsány. Útočník takový certifikát nemá, a tedy nemůže ani stát v cestě (lépe řečeno, není schopen generovat klientovu signaturu pro úvodní výměnu klíčů). Jinou ochranou metodou jsou například potvrzovací SMS. Nutno podotknout, že tato metoda vás ale neochrání proti samotnému odposlechu, ale jen proti modifikaci komunikace. Útočník tak pouze vidí vaše příkazy k úhradě, výpisy transakcí a další soukromé informace. Není však schopen poslat za vás vlast-

CA

ní příkaz k úhradě. Pro představu, postup funguje následovně. Pokud zadáte příkaz k úhradě, přijde vám SMS obsahující detaily (číslo účtu a částka). Pokud útočník cokoliv změní, v SMS se to objeví. Další možností ochrany je tzv. autentizační kalkulátor. Ten vás také z principu nechrání proti odposlechu datové komunikace, ale jen proti modifikaci požadavků jako v případě SMS. Kalkulátor vždy generuje číslo, kterým se váš požadavek podepíše. Shrneme-li si to, v bezpečí jste tehdy, pokud používáte alespoň jednu z následujících metod: neignorujete chybu certifikátu, nebo máte vlastní certifikát (můžete ignorovat chybu certifikátu). Chránění proti změně komunikace jste i v případě, že používáte alespoň jednu z těchto metod – máte potvrzovací SMS a čtete, co je v ní napsáno, nebo máte kalkulátor a používáte jej k potvrzování každé transakce. ❑


63

recenze

POZNEJTE BEZPEČNOST Recenze firewallu Kernun

Bezpečnost by v počítačovém světě měla vždy být na jednom z prvních míst a firewall je jedním z hlavních bezpečnostních prvků. Na výběr máme nepřeberné množství komerčních i nekomerčních firewallů a to jak personálních, tak hraničních, které od sebe oddělují sítě.

D

nes si rozšíříme obzor a podíváme se na jeden méně známý, ale přesto velmi zajímavý firewall s názvem Kernun. Jedná se o softwarový komerční firewall, který je vyvíjen českou společností Trusted Network Solutions (TNS). Firewally lze rozdělit na personální, chránící jedno koncové zařízení, hraniční, které od sebe oddělují sítě s různým stupněm zabezpečení, paketové filtry, provádějící základní druh filtrace na úrovni síťového protokolu (podle pravidel), stavové a aplikační firewally, jež jsou de facto paketovým filtrem vylepšeným o kontrolu integrity protokolu, resp. provádějí filtraci již na úrovni aplikační vrstvy (rozumí datům, která přes firewall protékají). V současné době je nejpoužívanějším typem ochrany firemní sítě stavový firewall, jenž provádí kontrolu hlaviček paketů na základě stanovených pravidel do hloubky třetí vrstvy ISO/OSI modelu. To v praxi znamená, že lze sestavit pravidla určující, ze které zdrojové IP adresy na jakou cílovou IP adresu je možno komunikovat a jaký port je pro tuto komunikaci povolen. Přeloženo do srozumitelného příkladu to znamená, že z PC pana Nováka je možné si prohlédnout stránky na serveru XY, ale není povoleno z tohoto serveru stahovat e-maily.

Jak funguje testovaný Kernun firewall? Pracuje na sedmé vrstvě ISO/OSI modelu, což je takzvaná aplikační vrstva. Všechna spojení uskutečňovaná přes tento firewall jsou zprostředkována pomocí aplikačních nebo generických proxy. To v praxi znamená, že síťový provoz procházející přes tako-

vý firewall není předáván z jednoho síťového rozhraní na druhé, ale je navázáno spojení s proxy, která se na jedné straně vydává za server a na druhém rozhraní se vydává za klienta. Tímto způsobem dochází k navázání dvou spojení, a to mezi klientem a proxy a současně mezi proxy a serverem. Díky tomu nikdy nedochází k přímému spojení mezi klientským PC a serverem. Tím jsou vyloučena bezpečnostní rizika a slabiny související s chybami v protokolu nebo v implementaci protokolu. Typicky pak recenzovaný software slouží jako aplikační hraniční firewall tam, kde je třeba od sebe bezpečně oddělit dvě nebo více sítí (například vnitřní firemní síť od veřejného internetu). Díky filtraci na úrovni aplikační vrstvy dosáhneme maximální bezpečnosti, neboť je kontrolován obsah paketů protékajících přes firewall. To umožňuje provádět mimo jiné i kontrolu na přítomnost virů v přenášených souborech, které by běžným stavovým firewallem prošly bez povšimnutí.

Architektura Kernun firewall vychází z jádra operačního systému FreeBSD, patřícího do širší rodi-

ny jménem UNIX. Jedná se o velmi výkonný operační systém, jenž je přímo předurčen pro síťové použití na internetových serverech. FreeBSD proslulo svými nízkými nároky na hardware, vysokou stabilitou, bezpečností a velmi vysokým výkonem provozovaných síťových aplikací. Kernun firewall pak směřuje na platformu počítačů s procesory typu „x86“ a „AMD x86-64“. Díky tomu je možné dobře optimalizovat náklady na hardware, protože jej lze instalovat nejen na běžný počítač, ale také na výkonný server. Nad jádrem hostitelského operačního systému FreeBSD běží několik aplikačních proxy a dalších podpůrných aplikací z dílen společnosti TNS. Nabízí se domněnka, že jsou jako aplikační proxy využívány běžně dostupné aplikace pro platformy UNIX, jako například SQUID a další, ale opak je pravdou. Výrobce si dal tu práci a všechny aplikační proxy jsou v Kernun firewallu napsány od základu znovu. To přináší hned několik výhod, jako je například sjednocení formátu konfiguračních souborů celého firewallu (všech aplikačních proxy a dalších programů). Dále existuje jednotný formát pro logování událostí z celého firewallu. Speciální proxy také, na rozdíl od běžně dostupných aplikací, umožňují detailnější nastavení kontroly bezpečnostních pravidel pro aplikační vrstvu. V současné době jsou k dispozici pro tyto protokoly: DNS, FTP, HTTP, SMTP, POP3 a IMAP, SQL*Net, h323 a Gatekeeper, generická TCP a UDP proxy. Pokud by

Nákres principu funkčnosti aplikačního firewallu a ukázka pravidel aplikační firewall internet firemní síť web (HTTP)

PROXY

pc – Novák antivirus

AUTOR

Marek Štaud

64

Autor pracuje ve společnosti Outsourcing Solution jako správce serverů a softwarový auditor. Počítačová bezpečnost je jeho velkým koníčkem.


Filtrovací pravidla -------------------------------------------------------------------------------IF přípona souboru = EXE ............ DENY IF soubor VIRUS ............ DENY FROM pc – Novak TO server xy SERVICE http ............ ALLOW

server xy web filter

recenze

zákazník požadoval aplikační proxy pro protokol, který není v současné době podporován může si tento modul nechat na zakázku naprogramovat přímo u společnosti TNS.

Konfigurace a dokumentace Program lze konfigurovat třemi způsoby. První možností je přihlášení přes SSH protokol na vzdálenou shell UNIX konzoli a využití standardních příkazů FreeBSD pro editaci konfiguračních souborů ovládání daemonů. Tuto cestu jistě přivítá každý administrátor ovládající práci s některým z UNIXových systémů. Další možností je využití speciálních nástrojů CML & KAT (Configuration Meta Language & Kernun Admin Tool). CML je řádkově orientovaná aplikace pro editaci nastavení celého firewallu, který do značné míry připomíná práci s operačním systémem IOS firmy Cisco Systems. Při konfiguraci pomocí CML se po zadání každého znaku provede kontrola syntaxe. Pomocí nástroje KAT lze provádět aplikace různých konfigurací a restarty jednotlivých proxy. Poslední možností pro nastavení firewallu je využití grafického nástroje, který existuje jak pro platformu UNIX, tak pro Windows. Pro obě platformy vypadá tento nástroj stejně. Je však nezbytné dodat, že správná konfigurace bezpečnostního nástroje Kernun není nikterak jednoduchou záležitostí. Jde o vcelku komplikovaný systém s velmi rozsáhlými možnostmi a množstvím různých voleb, pro jejichž pochopení musí mít administrátor dobré znalosti z mnoha oblastí dotýkajících problematiky sítí a jednotlivých aplikačních protokolů. Nicméně pro tento účel máte k dispozici i ukázkovou konfiguraci s typickým nastavením celého systému. Finální zprovoznění a korektní nastavení vám pak jistě ulehčí také výborně zpracovaná dokumentace, která obsahuje kompletní popis funkcí celého firewallu. Jsou tu detailně popsány i jednotlivé

Konfigurace pomocí grafického nástroje.

proxy moduly včetně konfiguračních voleb a hlášení. Opět ale musíme poukázat na skutečnost, že se jedná o poměrně rozsáhlou dokumentaci, takže její nastudování nebude rozhodně otázkou pár minut.

Licence Autoři nabízejí produkt ve dvou odlišných režimech: do trvalého užívání anebo jako službu spolu s pronájmem hardware. Pokud se rozhodnete zakoupit firewall v prvním režimu, dostanete za své peníze software včetně instalace a jednorázové konfigurace pro vaše prostředí. Jestliže zvolíte režim pronájmu, platíte měsíční paušální poplatek, do kterého je zahrnuta instalace firewallu, zapůjčení hardware, kompletní správa (aktualizace) a změny konfigurace podle vašich požadavků. Jako součást programu obdržíte všechny zdrojové kódy, které vám licenční ujednání dovoluje upravovat, kompilovat, studo-

Ukázka typického použití firewallu Kernun

Kernun firewall

VPN

Kernun firewall

internet

VPN

Pobočka

domácí počítač

Centrála

DMZ

vat, anebo je dokonce nechat prověřit třetí stranou na chyby a bezpečnostní rizika. Jediné, co není dovoleno, je pochopitelně šíření kódu dále na jiné subjekty. Tato licenční politika dělá recenzované řešení velmi zajímavým, neboť u jiných komerčních produktů byste takto benevolentní licenční politiku hledali jen těžko. Externí správa pak logicky nabízí další zřejmou výhodu – není třeba se učit konfiguraci firewallu, ani rozumět úskalím síťové bezpečnosti, stačí „manažersky“ zadat své požadavky na funkčnost a externí správce se postará o to, aby byly vaše požadavky splněny s ohledem na maximální možnou bezpečnost sítě.

Sečteno a podtrženo Kernun firewall je z hlediska hraničních firewallů na poli síťové bezpečnosti jistě zajímavým produktem. Jako drobný nedostatek ve srovnání s konkurencí pak můžeme chápat hlavně poněkud složitější konfiguraci. Tuto slabinu však výrobce řeší tím, že si firewall může zákazník zakoupit jako službu a vše pak záleží pouze na jeho individuálních preferencích a přáních. Úspěšnost a kvalitu tohoto firewallu pak nejpřesvědčivěji dokládá zejména množství jeho instalací na místech, kde je kladen vysoký důraz a nároky na zabezpečení dat. Jestliže vám tedy přestává dostačovat běžný stavový firewall a chystáte se zvýšit zabezpečení vašich sítí, může pro vás být firewall Kernun zajímavou volbou. Vhodný bude jak pro malé podniky s několika počítači, tak pro ty velké s řádově stovkami PC. Jedinými limitujícími faktory může být pouze výkonnost hardware, na který bude firewall instalován, a počet licencí které zakoupíte. ❑


65

recenze

NA SPAM S NEJTĚŽŠÍM KALIBREM Test IBM Proventia Network Mail Security System Nevyžádaná pošta tvořila celosvětově dle výzkumu „Symantec Internet Security Threat Report“ za první polovinu roku 2006 přibližně 54 % veškeré elektronické pošty. Boj proti spamu se tak v posledních letech dostal na pořad dne ve spoustě společností. Spam zahlcuje uživatele, brání jim v komunikaci a v neposlední řadě je i bezpečnostním rizikem coby častý nositel virů. Jedním z řešení může být právě testované zařízení.

V

době, kdy se e-mailová komunikace, resp. poštovní servery, staly pro útočníky významným vstupním bodem do lokální sítě, přichází společnost Internet Security Systems (ISS) s komplexním řešením nazvaným IBM Proventia Network Mail Security System. Toto hardwarové zařízení je určené výhradně k ochraně elektronické pošty, nejde tedy o firewall ani nic podobného. Svou koncepcí však přesahuje pouhé antispamové řešení, protože pomocí technologie „Intrusion Prevention System“ (IPS – systém ochrany před vniknutím do systému) a patentované „ISS Virus Prevention System“ (VPS) poskytuje aktivní ochranu před hrozbami obsaženými v elek-

tronické poště. Pojďme si tedy zařízení představit trochu podrobněji.

Snadná montáž především Při rozbalení krabice v ní nalezneme instalační CD, napájecí kabely, samotné zařízení a ližiny na montáž do racku, které jsou velmi flexibilní. Ani průměrně zručnému servisnímu technikovi tudíž nebude dělat problémy provést jejich upevnění do většiny běžně dostupných rackových skříní. Velkou výhodou je zde i kompaktní formát celého stroje, zaručující maximální skladnost a univerzálnost rozměrů. Poté, co máme IBM Proventia Network Mail Security System již bezpečně uchycen, provedeme samotné zapojení do sítě.

AUTOR

Lubomír Papp Pracuje ve firmě Outsourcing Solution jako technický konzultant. Je specialistou na HP servery, zálohování, síťovou bezpečnost a Symantec Security.

Zprovoznění a chod systému Po přihlášení do systému, se spustí řídicí konzole, ve které nastavujeme síťové karty a navolíme název zařízení a obsluhované

Čelní a zadní strana IBM Proventia Network Mail Security System.

66


uživatelské účty. Po této základní konfiguraci můžeme přejít k nastavení celého systému přes webové rozhraní. Zde již máme možnost předurčit a ovlivnit chování zapnutého zařízení. Na první obrazovce máme celkový přehled o stavu zařízení, tj. zda-li běží všechny služby korektně a do jaké míry využívají dostupné hardwarové a systémové zdroje. Hlavním pracovním nástrojem každého administrátora ale bude kolonka s možnými nastaveními politik a bezpečnostních pravidel. Granulační politika je funkce, kde nastavujeme, jak se jednotlivé politiky budou chovat. A tak máme možnost říci přesně: kdo, co a kdy může provést či udělat a jaká bude následovat akce. Požadovanou míru kontroly elektronické pošty lze podrobně navolit pomocí deseti základních a dalších dvaceti uživatelsky nastavitelných modulů pro kontrolu tolik obtížného spamu. K tomuto samotný výrobce uvádí, že Proventia Network Mail Security System dokáže odfiltrovat více než 98 % z celkové nevyžádané pošty s chybovostí, jež činí méně než 0,01 %. Řečeno lidsky, špatně vyhodnoceným e-mailem se může stát pouze jedena zpráva z deseti tisíc. Ke kontrole můžeme využít „ISS filter databázi“, která obsahuje přes 63 milionů záznamů či 5,4 miliard internetových

recenze

Ukázka nastavení bezpečnostních pravidel.

Úvodní obrazovka nás informuje o stavu zařízení.

adres, obrázků a spam heuristik, přičemž každým dnem má do této databáze přibýt více než 2 milióny dalších záznamů. Dále máme možnost filtrovat příjemce, jazyk zprávy, tudíž nemáme-li obchodního partnera z rusky, čínsky, japonsky či arabsky mluvících zemí, můžeme tyto zprávy rovnou mazat, anebo je dát do karantény, kde lze provést manuální kontrolou. Stejnou volbu mají pak i uživatelé, jež mohou ručně označit mail, který dle jejich názoru spadá do kategorie nevyžádaných a nechtěných zpráv. Opomenout nelze ani technologii „Virtual Patch“, kterou má ISS opět chráněnu patentem, jež opatří objevená zranitelná místa virtuální záplatou až do té doby, dokud oficiální záplatu nevydá příslušný dodavatel.

Braňte se na více úrovních IBM Proventia Network Mail Security System dále využívá pokročilou technologii „Virus Prevention System“, která dokáže analyzovat příchozí zprávy a chování sítě ve spolupráci s firemním antivirovým či antispywarovým řešením. Vedle toho VPS dokáže správně zablokovat více než 93 % nových, tedy zatím neznámých, virů a to bez nutnosti aktualizace databáze signatur. Nová vícevrstvá ochrana tak bude účinně doplňovat stávající bezpečnostní řešení při rozpoznávání a odstraňování známých virů a spywaru. Dále brání firemní síť proti útokům tzv. „phishingu“ (rhybaření), tj. pokročilá technologie vás chrání proti krádežím identity uživatele a jiných důvěrných

informací tím, že zablokuje odchozí data směřující na webové stránky, které jsou známy v souvislosti s tímto fenoménem.

Ideální řešení pro větší firmy IBM Proventia Network Mail Security System je ucelené řešení pro elektronickou poštu. Výhodou je začlenění do „IBM Site Manageru“, který může obsahovat další produkty od firmy ISS jako například „IBM RealSecure Server Sensor“ či „IBM Proventia Network Intrusion Prevention System“. Na první pohled by se mohlo zdát, že při takto velké kontrole, musí zákonitě dojít ke zpomalení celého poštovního systému. Výrobce však uvádí, že výkonnost zařízení je 36 000 prověřených zpráv za hodinu, což je vskutku impozantní číslo. Takže se nějaké závažné prodlevy nemusejí bát ani větší společnosti se

stovkami zaměstnanců. Implementací, výkonností a cenou je tato platforma určena spíše pro větší firmy, které mají potřebu řešit otázku své spamové politiky. Praktické testování IBM Proventia Network Mail Security System pak prokázalo celkovou stabilitu zařízení s jednoduchou instalací a vysokým výkonem. Za celou dobu testování se nevyskytl sebemenší problém, který by měl za následek výpadek poštovních služeb. Za tímto produktem navíc stojí non-stop podpora typu „24/7“ pro všechny komponenty Proventia Appliance, včetně aktualizací jednotlivých platforem zařízení nebo technické podpory. Co se týče univerzálních nástrojů, můžeme připomenout, že existuje i integrované zařízení s názvem Proventia MultiFunction Security z dílny stejné společnosti přímo určené pro menší firmy, jejíž nejnižší model lze nasadit v síti do 100 uživatelů. ❑

Parametry IBM Proventia Network Mail Security System Model

MS3004

CPU

Dual XEON system

RAM

2 GB

Diskové pole

4 × 80 GB, 2 × 250 GB (RAID1)

Koncových uživatelů

+ 2 500

Formát

2U

Rozměry (cm)

8,6×43×67,2

Hmotnost (kg)

27

Napájení

100 až 240 V, 5,4 až 8,9 A

Výkon (e-mailů/hodinu)

36 000 při plné analýze

Fail-Over

Ano

Cena hardwaru

10 500 Eur (asi 297 000 Kč)

Cena servisu na 1 rok

2 310 Eur (asi 65 00 Kč)

Proventia Network Mail License (1–2499)

7,08 Eur (asi 204 Kč/uživatel)

Proventia Network Mail License (10 000–19 999)

2,81 Eur (asi 79 Kč/uživatel) inzerce ▼

technologie

AUTOMATICKÉ AKTUALIZACE A ŠKODLIVÝ KÓD Komentáře k událostem ve světě bezpečnosti Přísloví praví, že ve světě bezpečnosti se stále něco děje, nejinak tomu bylo i během uplynulého měsíce. Například společnost Symantec vidí v základní komponentě aktualizací Windows cestu pro útočníky, objevil se ale také nový virus, jenž se šíří přes USB. A aby toho nebylo málo, nechybí ani vyděračské e-maily.

S

polečnost Symantec se již delší dobu pře s Microsoftem, především pak na téma Windows Vista, na všech možných frontách. Jednou z posledních známek se stalo ohlášení prvně jmenovaného soka o nedostatku aktualizačního systému Windows, přesněji automatizované komponenty BITS (Background Intelligent Transfer Service). Útočníci mají zneužívat systému automatického doručování aktualizací systémů Windows pro bezproblémovější šíření škodlivého kódu. Výhodou je menší kontrola takto stahovaných dat, navíc s možností programování prostřednictvím výchozí-

vání dalších virů nebo spywaru. A konečně do třetice: nejedná se jen o další výstřel do relativního bezpečnostního ticha, třeba jen proto, aby řeč a nepřímá reklama nestály?

Virus přichází skrze USB Další bezpečnostní zajímavost se již přímo týká konkrétního škodlivého kódu, objevil se totiž nový virus, který pro své šíření využívá tolik populárních disků USB a dalších přenosných zařízení, jeho název zní W32/SillyFD-AA. Na vyměnitelné médium uloží soubor pro automatické spouštění a instalaci do systému, ke kterému je pak zařízení připojeno.

funguje prakticky na všech novějších vyměnitelných médiích. Vždyť historie je přece dost výmluvná, jakmile se objeví známé a stereotypní dialogové okno systému Windows, automaticky potvrzujeme. Tak proč by tomu mělo být jinak v případě aplikace spouštěné prostřednictvím autorunu?

Za hranicemi stále veselo Poslední událost, která v aktuálních komentářích ze světa bezpečnosti dostane prostor, se týká zajímavých výhružných e-mailových zpráv. Objevila se nová vlna nebezpečných e-mailů, tentokráte se však nejedná o šíření škodlivého kódu nebo o phishing, ale útočníci v textu zprávy vyhrožují přímo fyzickou likvidací. Aby e-mail vypadal důvěryhodněji, byl odeslán z na první pohled běžné osobní adresy, kterou si někdo založil na Gmailu nebo Hotmailu. Zprávy se cíleně zaměřovaly především na osoby s vyššími příjmy

V e-mailech už nečekají jen červi a podvody, ale rovnou se vyhrožuje vaší fyzickou likvidací ho API je možné doručit prakticky libovolný kód. Vzhledem k tomu, že odpovídající komponenta aktualizací tvoří standardní součást Windows, obejde taková komunikace například dodávaný firewall. Otázkou v tomto případě zůstává, nakolik je uvedené varování závažné, určujícím měřítkem by se mohlo stát případně rozsáhlejší zneužití. To se ale nekoná. Nic však nebrání v bližšímu zamyšlení nad využitím této „vlastnosti“ v návrhu, nikoli „chyby“, která dokáže usnadnit stahování škodlivého kódu do náchylného počítače. Zaprvé by se v důsledku jednalo o hromadnou zranitelnost, jelikož by se týkala každého systému Windows s možností automatických aktualizací. Zadruhé, což je z pohledu útočníka důležitější, by odpadly problémy s odhalením populárních trojan downloaderů, tedy škodlivých kódů, které se takřka výhradně zaměřují na staho-

AUTOR

Ondřej Bitto

68

Autor je redaktorem časopisu Computer a spolupracovníkem časopisu Connect!. Soustředí se zejména na počítačovou bezpečnost.


Při pohledu z pomyslné ptačí perspektivy na svět bezpečnosti v průběhu let je šíření virů prostřednictvím různých úložných USB zařízení ve skutečnosti návratem k původní klasice v podobě virů, které ke svému šíření používaly klasické diskety. Dnes již zastaralou technologii pouze vystřídali moderní zástupci, ze strany tvůrců škodlivého kódu navíc mnohem vhodnější: stačí vzít v úvahu, kolik jen existuje úložných zařízení s podporou USB a jak jsou dnes z drtivé většiny ignorována pravidla pro bezpečné zacházení s nimi. Právě poslední bod by mohl dát podnět k případnému využití USB flash nebo jiných pamětí podobného typu pro šíření škodlivého kódu. Internetové kavárny, nejen školní, ale také pracovní sítě apod. jsou skutečnými rejdišti přenosu dat z venkovního světa. Ano, blokování USB rozhraní (ať už softwarové nebo hardwarové) je možné, avšak málo využívané. I v případě odkazovaného škodlivého kódu W32/SillyFD-AA je možné sledovat častou tendenci tvůrců virů ke zjednodušení průniku. Žádné extra skrývání vlastních komponent, namísto toho využití standardní techniky automatického spuštění prostřednictvím souboru autorun.inf, který

a požadovaly částku 30 000 dolarů – „za odměnu“ pak slibovaly zaslání nahrávky rozhovoru s objednatelem vraždy. Podvodník v tomto případě poměrně zajímavě odbočil od klasického „pozitivního“ balamutění k čistě „negativnímu“. Prvně jmenovaná varianta totiž obsahuje všechny příznivé lákavé zprávy, například běžné e-maily, jež slibují obrovskou sumu za zaplacení poplatku apod. V kontrastu s tím vydírání v podobě uvedeného třicetitisícového vydírání spadá do jiného soudku, a to typu „pokud nebudeš reagovat, něco se ti stane“. Podvodníci se tak mohou snažit odbourat již automatickou ignoraci na straně příjemců. Podobně jako u všech ostatních případů online vydírání, také zde hraje důležitou roli možnost případné platby. Udržet si na straně podvodníka zahalení rouškou anonymního tajemství je totiž mnohem těžší, než kdyby se jednalo o typické útoky v podobě instalace škodlivého kódu, phishingu apod. U nás naštěstí můžeme být hned zpočátku v klidu, najmutí plynně anglicky mluvícího zabijáka by bylo až přílišným luxusem. Ale tak tomu vlastně bylo dřív i s phishingem, kterému se v českých internetových vodách nyní začíná dařit … ❑

technologie

BEZPEČNOST V GNU/LINUXU Velmi bezpečný webserver thttpd III. Také v dalším pokračování seriálu o linuxové bezpečnosti jsme pro vás připravili povídání o vysoce zabezpečeném webovém serveru thttpd. V závěru minulé části jsme poodhalili, že se tentokrát podíváme na řízení běhu webového serveru thttpd pomocí signálů. To ale nebude vše. Zaměříme se také na zpracování adresářů na straně serveru tak, aby nám poskytoval maximální pohodlí a komfort po naši práci.

U

živatelům a zejména administrátorům operačního systému GNU/ Linux jistě není třeba dlouze vysvětlovat, co jsou signály a jak s nimi pracovat. Tak tedy jen ve stručnosti – pomocí signálů je možné ovlivňovat chování aplikace, blokovat její běh či jej rovnou pozastavit (a znovu obnovit), předčasně ukončit či přenášet z pozadí na popředí a opačně.

Signály a thttpd Podobnou funkci signálů můžeme využít také u webového serveru thttpd. Abychom s nimi však mohli pracovat, musíme si zjistit číslo procesu (PID), které bylo webovému serveru thttpd přiděleno systémem. To zjistíme zcela standardně za pomoci příkazu ps. Webový server thttpd obsluhuje několik signálů: USR1 – Tímto signálem můžeme okamžitě ukončit naslouchání serveru na síťovém socketu. Dojde přitom k ukončení všech rozpracovaných HTTP dotazů a až poté k ukončení běhu samotného serveru. Ještě v průběhu ukončování stávající relace thttpd serveru je možné spustit relaci novou (stará zatím dokončí zavírání jednotlivých úloh). To je vhodné například při rotaci logů. INT (případně TERM) – Dojde k okamžitému ukončení naslouchání na síťovém

AUTOR

Martin Kysela Autor se zabývá operačním systémem GNU/Linux a svobodným softwarem jako programátor a administrátor. Provozuje portál GNU.cz

socketu a přerušení všech rozpracovaných požadavků. HUP – Zasláním tohoto signálu docílíme okamžitého zavření a znovuotevření logovacího souboru. Praktické využití této možnosti však bývá dosti omezené – běžíli thttpd v prostředí chroot-jail, je takřka nemožné znovu logovací soubor otevřít. Pro rotaci logů se tedy lépe hodí signál USR1. USR2 – Jeden z posledních přidaných signálů v thttpd. Při jeho obdržení dojde k zápisu statistik do syslogu (počet spojení, průměrný počet za sekundu, maximální počet současných spojení, počet odeslaných bajtů atd.). Těmito signály tedy můžeme efektivně do jisté míry ovlivňovat a měnit chování webového serveru thttpd již za jeho běhu. Konkrétní aplikace signálů pak můžete v ukázkové podobě dohledat v oficiální dokumentaci serveru.

Adresáře a indexové stránky Pojďme ale od signálů dál a podívejme se na chování thttpd v případě, kdy HTTP klient nepožaduje konkrétní webovou stránku, ale celý adresář. Princip je jednoduchý. V takovémto případě se thttpd podívá, zda se v adresáři nachází některý z těchto souborů (v tomto chronologickém pořadí): index.html index.htm default.htm index.cgi Je-li některý z těchto souborů nalezen, vypíše se jeho obsah (pokud je jich

nalezeno více, vypíše se obsah prvního z nich). V opačném případě záleží na nastavení souborových práv adresáře. Jestliže zvolený adresář disponuje oprávněními r a x pro ostatní, vypíše se jeho obsah. Není-li nastaveno právo x pro ostatní, nemůže být vůbec otevřen (včetně všech v něm uložených webových stránek). Má-li pro ostatní nastaveno pouze právo x a nikoliv r, nevygeneruje se jeho obsah, ale v případě, že uživatel zná adresu konkrétní stránky, je možné ji z adresáře vypsat.

Další zvýšení bezpečnosti v HTML Poměrně zajímavou vlastností thttpd, která byla implementována pro účely vyššího zabezpečení, je nemožnost zasílání HTML stránek, jež nevyhovují pravidlům CGI skriptů, ale mají nastaven x bit pro ostatní. Proč tomu tak je? Jednoduše proto, že se v podobných případech často jedná o zapomenuté CGI skripty v adresářích pro HTML stránky a nemáme tyto skripty příliš pod kontrolou. Zaslání zdrojového kódu takového skriptu by pak mohlo významně ohrozit bezpečnost celého serveru. Na závěr tedy alespoň doporučení k nastavení přístupových práv k adresářům a souborům. Pro soubory se standardně doporučuje používat nastavení 644 (rw-r--r--). U adresářů, kde chceme povolit vypisování jejich obsahu, pak použijeme 755 (rwxr-xr-x). Pro adresáře, kde výpis povolit nechceme, pak 711 (rwx--x--x). Stejné nastavení, tedy 711 (rwx-x--x), pak použijeme i pro CGI skripty. Tolik tedy k základní konfiguraci a řízení chování webového serveru thttpd. Tím však naše povídání nekončí, už v dalším čísle se můžete těšit na další užitečné informace. ❑

Chcete vědět více? Všechny předešlé díly volného seriálu jsou pro předplatitele k dispozici na stránkách www.connect.cz


69

bezpečnostní díry 06/2007

Miroslav Ludvík

bezpečnost Samba – vzdálené spuštění kódu

Válka bezpečnostních portálů???

kritické V oblíbeném produktu Samba byla nalezena kritická bezpečnostní chyba, která představuje velmi vysoké riziko. Tato chyba je obsažena ve verzích do 3.0.25.rc3. Jedná se o nedostatečně ošetřené vstupní parametry a tato chyba umožňuje útočníkovi spustit na cílovém stroji libovolný kód. Doporučení: Poslechněte kolektiv autorů a upgradujte na poslední verzi, která je dostupná a tuto bezpečnostní chybu již neobsahuje. V případě, že máte Sambu instalovanou z vaší oblíbené distribuce, inovujte systém a Samba sice zůstane v původní verzi, ale budou do ní backportovány opravy této bezpečnostní chyby.

informativní Jistě jste zaznamenali, že v nedávné době byly hackery změněny stránky dvou významných bezpečnostních portálů. Nejdříve byla změněna titulní stránka portálu www.soom.cz. Nicméně je nutné dodat, že to bylo provedeno vkusně a nová titulní stránka byla elegantní a neurážející. Byly tam zobrazeny děti na prolézačce a byla to povedená fotka. To samozřejmě nic nemění na skutečnosti, že se jedná o činnost nečestnou a „nesportovní“. Za pár dnů následovala změna titulní stránky bezpečnostního portálu www.security-portal.cz. Zde jde o velmi zajímavý způsob, jakým to bylo provedeno. Technický kontakt ke zmíněné doméně byl z historických důvodů řešen jako email na portálu seznam.cz. Někdo se dostal do tohoto e-mailu a pak změnil DNS a tím přesměroval provoz na jiný server. Nebyl zaznamenán průnik do samotného systému Security Portalu. Toto chování je samozřejmě také nelegitimní. To, co předvedl útočník při změně úvodních stránek www.security-portal.cz, navíc svědčí o jeho duševní nezralosti. Ukazovat slabinu cizího systému vystavením porna není v žádném případě chvályhodné.

Symantec Norton Internet Security – převzetí kontroly nad systémem kritické Ve velmi rozšířených produktech Norton Internet Security 2005, 2006 a v produktech Norton Antivirus stejných verzí byla objevena chyba, která dovoluje útočníkovi obejití všech politik a získání kompletní kontroly nad celým systémem. Chyba může být zneužita webovou stránkou s kódem, který tam umístí útočník a uživatel jej nezaznamená. Celý problém je způsoben knihovnou NAVOpts.dll. Doporučení: Upgradujte na vyšší verzi nebo aplikujte návod zveřejněný na stránkách výrobce.

Samba – vzdálené eskalace práv kritické V Sambě byla nalezena další kritická bezpečnostní chyba. Tato chyba je obsažena ve verzích do 3.0.25.rc3. Jedná se o špatnou

13. komnata

Michal Till

Bezpečnost tkví v návrhu

70

Není třeba zdlouhavě čtenáře poučovat, že každá nová technologie přináší nové bezpečnostní problémy. Bezpečnost je nedílnou součástí IT a to jak oborů minulých, tak i budoucích.

AJAX a bezpečnost V posledních letech jsme svědky stoupající popularity RIA softwaru, tedy Rich Internet Applications, na bázi JavaScriptu a AJAXu. Je svým způsobem až s podivem, že co se bezpečnosti týče, hladiny nejsou zdaleka tak rozčeřené, jak by odpovídalo existujícímu masivnímu zájmu, zdroje na internetu v drtivé většině opakují to, co si lze lehce odvodit aplikováním běžných znalostí webové bezpečnosti na nové prostředí. Na druhou stranu je možná na vině fakt, že zrovna webová bezpečnost nepatří k nejsložitějším odvětvím a víceméně se dá celá hrubě obsáhnout v běžném kurzu tohoto programování.


Nicméně pár skutečně zajímavých programátorských kousků, které takřka s jistotou nepotkáme v žádném jiném oboru vývoje, než je klientské webové programování vzniklo, a na jeden z nich bychom se podívali dnes. Mezi zajímavostí patří: nevšední programátorský obrat k dosažení útoku; absence nutnosti použít různé Cross-Site Scriptingy, podstrčit upravené URL či něco takového – z tohoto hlediska se jedné spíše o chybu v návrhu než v programu; aféra „GMail contact list”, tj. využití přesně tohoto problému k získání seznamu kontaktů z Google Mailu jakoukoliv stránkou.

Nestandardní použití je vždy hrozba Základním programátorským trikem je kompletní a z hlediska prohlížeče především

implementaci při překladu jména na SID a SID na jméno. Při zneužití této chyby může útočník provádět operace s UID 0, čímž má kompletní kontrolu nad takto zranitelným systémem. Doporučení: Inovujte na poslední verzi, která je dostupná a tuto bezpečnostní chybu již neobsahuje. V případě, že máte Sambu instalovanou z vaší oblíbené distribuce, inovujte systém a Samba sice zůstane v původní verzi, ale budou do ní backportovány opravy této bezpečnostní chyby.

Výrobce adwaru žaluje bezpečnostní firmu Informativní Firma Zango (výrobce adware) již podruhé v historii žaluje firmu vyvíjející aplikace sloužící k boji s malwarem. Po Zone Labs (Zone Alarm) přichází na řadu PC Tools a její PC Doctor. Žaloba opět staví na tvrzení, že PC Doctor nelegálně odinstalovává produkty Zanga bez jasně vyjádřeného souhlasu uživatele. Zango požaduje odškodné ve výši 35 milionů dolarů za způsobenou „nenapravitelnou škodu“, pročež tvrdí, že jeho software je s plným vědomím uživatelů nainstalován na milionech počítačů. V případu se angažuje i společnost Sunbelt (výrobce Sunbelt Personal Firewallu), která ve prospěch svého konkurenta poskytla zásadní důkazy. Společnost Zango v listopadu 2006 musela za nevyžádané instalace adwaru a odmítání odinstalace zaplatit pokutu ve výši tří milionů dolarů. Zpravodajství dodává firma AskNet. www.asknet.cz

„legální“ odstavení mechanismu známého jako „Same origin policy“, který limituje AJAXová volání ze stránky na stejnou doménu. Je opravdu až vtipné, jak všechno na první pohled jakoby funguje přesně tak, jak architekti bezpečnosti prohlížeče navrhli (včetně zmíněného SOP), ale přesto se kontakty získané AJAXovým dotazem na server Googlu dostanou do prostoru stránky útočníka. Začátek útoku je naprosto nevinný, hacker jednoduše vloží do stránky externí skript, pro jednoduchost si představme, že obsahuje celkové řešení seznamu kontaktů. <script src= "http://www.gmail.com/.../contacts.js">

Toto je naprosto legální operace a SOP se na vkládání JS tagem nevztahuje – vztahuje se pouze na AJAXová volání. Pokud je uživatel přihlášen do GMailu, dotaz na soubor bude obsahovat autentizační cookie a vše proběhne v pořádku. Nyní se tento skript připojí na datový zdroj Googlu, kde získá obsah seznamu

skenované počítače [ks]

Infikované počítače [%]

Tento program patří do kategorie trojských koní. Nákaza může být provedena jak z webových stránek, tak i e-mailem. Systém neočekávaně havaruje při přístupu k novému souboru, webové stránce nebo e-mailu. Microsoft vydal pro tuto zranitelnost patch, který najdete na www.microsoft.com/technet/security/bulletin/MS05-002.mspx

61 655

867 956

7,1

VBS/Psyme

Tento trojský kůň využívá zranitelnosti v Internet Exploreru a vyskytuje se jako VSBcript. Uvedený skript obsahuje instrukce pro download, vzdálené spuštění a uložení na specifické místo lokálního disku.

60 632

867 956

6,99

3

JS/Exploit-BO.gen

Dva z posledních exploitů útočících na Microsoft Internet Explorer (Microsoft Security Advisory (911302)) jsou genericky detekovány jako JS/Exploit-BO.gen. Exploit-VMLFill Exploit-CVE2006-3730

50 324

867 956

5,8

4

Adware-Url.gen

Jedná se o obecnou detekci URL shotcuts soborů vytvořených různými adware programy. Tyto soubory nemají přímý vliv na výkon systému. Slouží k přímému přístupu uživatele na stránky s určitou reklamou.

49 408

867 956

5,69

5

JS/Wonka

Toto je generická detekce dobře zamaskovaného javascriptu. Signatura vychází ze specifické charakteristiky šifrování. Jelikož se jedná o obecnou detekci, není zde specifický popis aktivit spojených s tímto javascriptem, ačkoliv může být součástí downloadu a spustitelných souborů.

42 177

867 956

4,86

6

Winfixer

Toto je generická detekce neroztříděných či nepřipojených potenciálně nechtěných programů nebo jejich komponent. Také může detekovat nové varianty podobného softwaru. Tento program muže mít legitimní použítí, pokud administrátor vědomě instaluje tuto aplikaci. Po odsouhlasení licenčního ujednání tohoto softwaru nebo spojených aplikací, můžete mít legální právo na odinstalování tohoto programu.

38 687

867 956

4,46

7

Generic PUP.g

Toto je generická detekce neroztříděných či nepřipojených potenciálně nechtěných programů nebo jejich komponent. Může také detekovat nové varianty podobného softwaru. Tento program lze legitimně použít v případě, že administrátor tuto aplikaci vědomě instaluje. Po odsouhlasení licenčního ujednání tohoto softwaru nebo spojených aplikací, můžete mít legální právo na odinstalování tohoto programu.

34 523

867 956

3,98

8

JS/Downloader-AUD

Downloadery jsou navrženy ke stahování souborů ze vzdálených webovských stránek a k jejich spuštění po stažení. JavaScript detekován jako JS/DownloaderAUD je zašifrován a je zodpovědný za stažení obecného Downloader.ab využívající zranitelnost MS06-014 .

29 293

867 956

3,37

9

RemAdm-PSKill

Jedná se o detekci „potencionálně nechtěné aplikace“. Program může lokálně nebo vzdáleně ukončit procesy na WinNT nebo Win2K systémech. Tento nástroj byl původně vyvinut pro vzdálenou správu systémů. Nyní je využíván velkým množstvím trojanů k nechtěným operacím.

28 330

867 956

3,26

Adware-SaveNow

Toto je generická detekce neroztříděných či nepřipojených potenciálně nechtěných programů nebo jejich komponent. Může také detekovat nové varianty podobného softwaru. Tento program lze legitimně použít v případě, že administrátor tuto aplikaci vědomě instaluje. Po odsouhlasení licenčního ujednání tohoto softwaru nebo spojených aplikací, můžete mít legální právo na odinstalování tohoto programu.

25 337

867 956

2,92

charakteristika

1

Exploit-ANIfile.c

2

10

10 nejzákeřnějších programů

infikované počítače [ks]

název viru

Zdroj: McAfee

kontaktů ve formátu JSON. Připomeňme, že JSON není nic než JavaScriptová notace pro objekty a pole. Pro jednoduchost si můžeme představit, že contacts.js z AJAXové odpovědi získá tento řetězec jmen: ["Petr", "Michal", "Pavel", "Anþa"]

Formát JSON Toto bude obsah textové proměnné, uložené jakožto položky objektu „třídy“ XmlHttpRequest, který slouží jakožto instance jednoho AJAXového dotazu a následné odpovědi. Na daný dotaz (a to je důležité) se bude správně aplikovat omezení na stejný původ, které nicméně programátorovi vyhoví, protože dotaz pochází z domény google.com (http:// www.gmail.com/.../contacts.js) a ptá se na data také na google.com. Vše zkrátka funguje. Nyní je třeba tento řetězec převést do struktury, tj. do proměnné typu pole. To se při parosvání formátu JSON dělá pomocí známé „vykonávací“ funkce „eval“. Opět bez detailů, které nesouvisí přímo s tématem, může kód vypadat zhruba takto:

contactListArray = eval (request.responseText);

Po vykonání tohoto příkazu bude contactListArray proměnná typu pole a bude obsahovat zmíněná čtyři jména. Aby mohl JavaScriptový interpret pole vytvořit, použije vestavěnou funkci Array(), která je konstruktorem polí. Připomeňme, že i v JS jsou pole objekty a mají svůj konstruktor.

Ďábel přebírá kontrolu Nyní ovšem je již na scéně klíčová hackerova pomůcka, kterou jsme čtenáři zatím zatajili. Je totiž již dávno „přetížen“, tj. konkrétně přepsán tento konstruktor. Tedy funkce Array je přepsána, ještě techničtěji – vlastnost objektu představující běhový kontext s názvem „Array“ ukazuje na úplně jinou funkci než na původní, do prohlížeče zabudovaný konstruktor. Tím pádem se hacker může jednoduše dostat k jakýmkoliv polím, která jsou takto vytvářena. Z hlediska prohlížeče je vše v pořádku – hlavním „objektem“ je zde útočníkova stránka, která „drží“ celou instanci

javascriptového interpretu. Ta se odkazuje na skript z Googlu, který tak je vykonáván v prostředí stránky (vkládat javascript třetí strany je naprosto běžné). Tento skript se dotazuje na JSON data za asistence naprosto „bezzubého“ omezení na stejnou doménu, které, ač jinak užitečné a nutné, bylo naprosto elegantně obejito, protože data se přes upravený konstruktor dostanou ven ze skriptu contacts.js. Tento útok na Google se odehrál na přelomu ledna a února letošního roku a od té doby se vyrojilo hned několik různých jiných variant, jak lze již zmiňované omezení obejít. Všechny útoky nakonec vyústí v to, že data z „chráněného“ AJAXového dotazu dostane k dispozici úplně cizí skript. Popsaný způsob byl lehce zjednodušený v zájmu zajímavosti i pro neprogramátory, na internetu je k dispozici celá řada materiálů, ze kterých si vývojáři mohou přesně nastudovat jednotlivé metody, a jelikož se jedná o webovou bezpečnost, exploity a další ukázky, bývají součástí článků. ❑


71

servis Mobility 5/07

KA NIČ H JED E S T E C

NEJČTENĚJŠÍ ČASOPIS O MOBILECH

VT

cena 39Kč (59 Sk)

5/07

Nejčtenější časopis o mobilech

o mobilech víme vše

Nokia N95

MOBIL

MEGA

NOKIA N95

Výdrž

TEST

P3 Mob ilů m

Jak dlouho

hrají?

Datová připojení

www.cpress.cz

vydává Computer Press

Jak navigují operátoři

vyšlo 10. května 2007, ročník IX

Které je pro vás nejlepší?

www.mobilmania.cz

Květnové Mobility nabízí kompletní přehled možností připojení k internetu. Díky obsáhlému srovnání mobilních i pevných přístupů k internetu můžete ušetřit spoustu peněz. Ve velkém testu hudebních mobilů zjistíte, který z nich vydrží hrát na jedno nabití nejdéle, další technické téma pak přináší objasnění několika mobilních záhad. Funkci sledování SIM karet nabízí všichni operátoři, v praxi ji využijete ke sledování osob a různého majetku, např. služebních aut. Se všemi možnostmi se seznámíte v přehledu. Na přehled mobilních novinek i aktuálních zpráv ze světa nových mobilních služeb navazují odborné testy, nenechte si ujít megarecenzi Nokie N95! (v prodeji od 10. května 2007)

mobility 5/07

ORACLE SPRÁVA, PROGRAMOVÁNÍ A POUŽITÍ DATABÁZOVÉHO SYSTÉMU Luboslav Lacko Databázové produkty Oracle patří mezi světovou špičku a pokud s touto platformou přicházíte do styku, ať již pracovně nebo jako student, publikace vám poskytne vše potřebné: srozumitelnou formou vám vysvětlí všechny podstatné nástroje, technologie a funkce platformy Oracle s důrazem na nejnovější verzi Oracle 10g Release 2. Kniha je však psána tak, aby ji mohli používat i majitelé starších verzí 9i, 8i a 8. Doprovodné DVD obsahuje instalaci systému Oracle 10g Express Edition. rozsah: 576 stran černobílých cena: 590 Kč kód knihy: K1302

9

TESTŮ

LG KP202

Motorola W208

Motorola W510

Nokia 6300

Nokia N95

Samsung C510

Samsung F500

Sony Ericsson Sony Ericsson K810i W610i

Computer 11/07 8 GB PLNÁ VERZE NEJKRÁSNĚJŠÍ TRASY V ČR 3 165 km Computer 11/07 přináší na svém DVD skvělý dárek. DVD v ceně 450 Kč Multimédium Nejkrásnější trasy pro pěší turisty v ČR (běžná cena 450 Kč) vám dá 200 tipů na výlety ilustrovaných 2 800 fotografiemi. DVD je doplněno výběrem nejlepších strategií zdarma (Dune IV, Glest ZAHOĐTE VIDEO Podrobný test Home Theater PC 2.0, Ground Control, Spring, Steel Panthers, UFO: Alien Herní konzole Invasion, Swine a další). Hlavním tématem časopisu je vypalování, ale největšími taháky jsou bezesporu tentokrát dva velké testy hardwaru. V prvním se utkají obývákové počítače – Home Theater PC a ve druhém 18 paměťových modulů DDR2. V nově vyčleněné rubrice CH PAMĚŘOVÝ 18MODULŢ DDR2 Software se kromě recenzí a návodů v dalším testu dočtete, který komprimační program je nejrychlejší Vypalování: a který nejúčinnější. Určitě si nenechte ujít atraktivní TEST: KOMPRIMACE SOUBORŮ Je lepší WinRAR, WinZip, nebo 7-zip? duel Xbox 360 vs. PlayStation 3 nejen z pohledu hráče – nové konzole umí opravdu více než jen hry. Z mnoha recenzí zmiňme alespoň 30“ LCD panel Samsung 305T, počítač ukrytý za LCD panelem Umax Zen, základní desky s novými čipsety Intel P35 (Bearlake), nVidia 7050 a AMD 690G, lehký notebook Fujitsu Siemens Lifebook P7230 s UMTS nebo levné DirectX 10 grafické karty GeForce 8600 a 8500 GT. 200 výletů

11/07

vše o počítačích

MICROSTATION V8 XM EDITION PODROBNÁ UŽIVATELSKÁ PŘÍRUČKA Petr Sýkora Kniha připomíná svou strukturou klasickou učebnici, je určena pro pracovníky, kteří potřebují v MicroStationu něco nakreslit nebo poopravit práci kolegy. Je přímo napěchovaná informacemi, které by měly běžnému uživateli pomoci k tomu, aby MicroStation využíval efektivně. rozsah: 664 stran černobílých cena: 599 Kč kód knihy: K1363 MANDRIVA LINUX 2007.1 CZ INSTALAČNÍ A UŽIVATELSKÁ PŘÍRUČKA Ivan Bíbr Kniha byla oproti své předchozí verzi přepracována a rozšířena, takže vám poskytne vše, co potřebujete k bezproblémové instalaci a používání distribuce Mandriva Linux 2007.1 CZ. Autor, který se zabývá vývojem a podporou systému Mandriva již mnoho let, v knize vysvětluje všechna důležitá témata. Součástí knihy jsou dvě dvouvrstvá DVD. Ta obsahují nejen systém samotný, ale i množství běžných linuxových aplikací jako OpenOffice.org 2.2 CZ, ovladače apod. rozsah: 416 stran černobílých cena: 597 Kč kód knihy: K1486

72


Fujitsu Siemens Lifebook P7230 Supermobilní notebook s UMTS

Xbox 360 vs. PlayStation 3 nejen z pohledu hráče

Umax Zen Počítač ukrytý v těle LCD panelu

Sapphire Pure Innovation HDMI Čipset AMD 690G pro tiché a levné počítače

lých tovat do rych Vyplatí se inves

pamětí?

Co přináší Blu-ray a HD DVD Jak vypalovat zadarmo

MSI GeForce 8600 GT Ticho, dobrý výkon i podpora DirectX 10 vyšlo 31. května 2007, ročník XIV cena 99,90 Kč / 149,90 Sk

Příští číslo 07-08/2007 vychází 9. 7. 2007 TÉMA Trendy v mobilních komunikacích Nové způsoby využití smartphonů ve firmách Přehled trhu mobilních datových přenosů

KOMUNIKACE A SÍTĚ Ultrapřenosné notebooky a mobilní zařízení Novinky v procesorech Intel a IBM

SYSTÉMY Vývoj webových aplikací Inventarizace SW/HW Change management

BEZPEČNOST Elektronický podpis Certifikáty a tokeny

odpojte se… červen 2007 pondělí

červenec 2007

úterý

středa

čtvrtek

pátek

sobota

neděle

1

2

3

pondělí

úterý

středa

čtvrtek

pátek

sobota

31. 7. 1914 Louis de Funès (93)

neděle 1

4

5

6

7

8

9

10

2

3

4

5

6

7

8

11

12

13

14

15

16

17

9

10

11

12

13

14

15

18

19

20

21

22

23

24

16

17

18

19

20

21

22

25

26

27

28

29

30

23

24

25

26

27

28

29

30

31

20. 6. 1922 Josef Kemr (85)

nejbližší akce Cleverlance Education Center JBoss pro pokročilé Documentum Administrace Analýza – první krok nejen při vývoji softwaru Metody a techniky testování DocBook Realizujeme webové služby v J2EE C# Design Patterrns Analýza v testování Databáze a jazyk Java Úvod do J2EE XML a XLST v praxi S-COMP Centre CZ Updating Your Skills from Microsoft Exchange Server 2000/2003 to Exchange Server 2007 Maintaining and Troubleshooting Windows Vista Computers Tuning and Optimizing Queries using Microsoft SQL Server 2005 Designing and Planning an Exchange Server 2003 Organization Supporting Windows Vista Computers with Desktop Images and Application Packages Implementing a Microsoft Windows Server 2003 Network Infrastructure: Network Hosts Managing Your Infrastructure Using Microsoft® Operations Manager 2005 Planning and Deploying Microsoft Systems Management Server 2003 Updating Your Database Administration Skills to Microsoft SQL Server 2005 Maintaining a Microsoft SQL Server 2005 Database Administering and Automating Microsoft SQL Server 2005 Databases and Servers Managing and Maintaining a Microsoft Windows Server 2003 Environment Managing a Microsoft Windows Server 2003 Environment Implementing and Administering Security in a Microsoft Windows Server 2003 Network Configuring Windows Vista Mobile Computing and Applications Recovering Messaging Servers and Databases Using Microsoft Exchange Server 2007 Gopas Microsoft SQL Server 2000 – implementace replikací Microsoft ISA Server 2004 – instalace a konfigurace Microsoft Windows Vista – konfigurácia aplikácií, mobilných počítačov Microsoft Exchange 2003 – instalace a konfigurace Přechod z Microsoft Visual Basic 6.0 na platformu .NET Microsoft Office SharePoint Server 2007 – návrh, plánování a správa Microsoft Windows Vista – správa, odstraňovanie problémov Microsoft Windows Vista – vytváření obrazů stanic, aplikační balíčky Microsoft Windows 2003 – implementace síťové infrastruktury: hostitelé Zabezpečení a distribuce .NET aplikací Albit Technologies Základy VoIP Optimizing Converged Cisco Networks BGP IP telefonie express PIX Firewall Základy konfigurace Cisco zařízení Routing And Switching Specialization Zabezpečení síťové infrastruktury Implementing Cisco Intrusion Prevention Systems Cisco Unity Securing Networks With Cisco PIX and ASA Implementing Secure Converged Wide Area Networks Cestování paketu uvnitř směrovače Oksystem M2823 Implementace a administrace bezpečnosti ve Windows Server 2003 síti N3062 Administrace ZENworks 7 M2279 Windows Server 2003 – plánování, implementace a údržba Active Directory SKN Využití sítí Novell ve školském prostředí M2277 Windows Server 2003 – implementace a správa síťových služeb SKWZ Využití serverů a stanic Microsoft Windows ve školském prostředí – pro začátečníky N3072 SUSE Linux Enterprise Server 10 Administrace M2824 Microsoft ISA Server 2004 – administrace SKW Využití serverů a stanic Microsoft Windows ve školském prostředí Alef Nula, a.s. Konfigurace přepínačů Cisco Cisco Voice over IP Internetworking a konfigurace směrovačů Cisco Cisco Wireless LAN Fundamental Základy VoIP&IPT Advanced Routing and Switching for Field Engineers Building Scalable Cisco Internetwork Pokročilá konfigurace Cisco IP telefonie Základy Internetworkingu Implementing Cisco Intrusion Prevention System Rozšířená konfigurace přepínačů Cisco

tel.: 266 177 166 18.–20. 6. 2007 20.–21. 6. 2007 20.–22. 6. 2007 25. 6. 2007 26.–28. 6. 2007 27.–29. 6. 2007 2.–3. 7. 2007 3. 7. 2007 9. 7. 2007 9.–13. 7. 2007 10.–13. 7. 2007 tel.: 261 217 509 25.–27. 6. 2007 25.–27. 6. 2007 27.–29. 6. 2007 28.–29. 6. 2007 28.–29. 6. 2007 2.–3. 7. 2007 2.–4. 7. 2007 2.–4. 7. 2007 2.–4. 7. 2007 2.–4. 7. 2007 9. 7. 2007 9.–13. 7. 2007 9.–13. 7. 2007 9.–13. 7. 2007 12.–13. 7. 2007 13. 7. 2007 tel.: 234 064 900-3 18. 6. 2007 18. 6. 2007 20. 6. 2007 25. 6. 2007 25. 6. 2007 25. 6. 2007 26. 6. 2007 28. 6. 2007 9. 7. 2007 9. 7. 2007 tel.: 244 470 660 18.–19. 6. 2007 19.–22. 6. 2007 20.–22. 6. 2007 25.–26. 6. 2007 25.–27. 6. 2007 25.–29. 6. 2007 28.–29. 6. 2007 2.–4. 7. 2007 2.–4. 7. 2007 9.–11. 7. 2007 9.–12. 7. 2007 10.–13. 7. 2007 13. 7. 2007 tel.: 244 021 251 18.6.–22. 6. 2007 18.6.–22. 6. 2007 18.6.–22. 6. 2007 25.6.–27. 6. 2007 25.6.–29. 6. 2007 25.6.–29. 6. 2007 25.6.–29. 6. 2007 26.6.–29. 6. 2007 27.6.–29. 6. 2007 tel.: 267 090 918 18.–20. 6. 2007 18.–21. 6. 2007 18.–22. 6. 2007 18.–22. 6. 2007 25.–26. 6. 2007 25.–29. 6. 2007 25.–29. 6. 2007 2.–4. 7. 2007 9.–10. 7. 2007 9.–13. 7. 2007 12.–13. 7. 2007

[email protected] Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha [email protected] Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha www.gopas.cz, www.gopas.sk Praha Brno Bratislava Praha Brno Brno Bratislava Praha Praha Praha [email protected] Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha [email protected] Praha Praha Brno Praha Praha Praha Praha Brno Praha [email protected] Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha Praha

www.cleverlance.cz/cz/Skoleni 24 000 Kč 20 000 Kč 21 000 Kč 6 000 Kč 16 500 Kč 21 000 Kč 14 000 Kč 6 000 Kč 5 500 Kč 35 000 Kč 10 500 Kč www.scomp.cz 8 300 Kč 8 100 Kč 8 300 Kč 5 500 Kč 5 400 Kč 4 900 Kč 7 700 Kč 7 700 Kč 7 700 Kč 8 300 Kč 2 800 Kč 12 100 Kč 12 100 Kč 12 100 Kč 5 800 Kč 2 800 Kč [email protected], [email protected] 14 700 Kč 13 500 Kč 5 800 Sk 14 500 Kč 16 500 Kč 8 700 Kč 8700 Sk 5 800 Kč 5 800 Kč 9 900 Kč www.albit.cz 12 000 Kč 34 000 Kč 16 500 Kč 13 000 Kč 17 500 Kč 23 000 Kč 16 500 Kč 14 500 Kč 26 500 Kč 24 500 Kč 32 500 Kč 34 000 Kč 6 500 Kč www.oksystem.cz 17 720 Kč 15 900 Kč 17 720 Kč 6 750 Kč 17 720 Kč 4 500 Kč 19 900 Kč 11 950 Kč 6 750 Kč www.alefnula.com 18 000 Kč 54 740 Kč 25 000 Kč 43 800 Kč 10 000 Kč 25 000 Kč 54 740 Kč 25 000 Kč 8 000 Kč 54 740 Kč 15 000 Kč


73

www.connect.cz, [email protected]

Ljama: serial z praxe nejen pro ty, kteri zacinaji cist casopis odzadu

(14. dil)

REDAKCE (e-mailové adresy většiny níže uvedených osob jsou tvořeny podle vzoru [email protected], není-li uvedeno jinak) Šéfredaktor Lukáš Honek Redakce Zbyněk Marx, Igor Viduna Korektury Petra Slančíková Asistentka redakcí Jana Matějková Redakční rada Miloslav Janda Marek Kocan Miroslav Ludvík Zbyněk Řešetka Petr Sodomka Jan Zahrádka Stálí spolupracovníci Vojtěch Bednář Tomáš Beyer Tomáš Doseděl Miroslav Knapovský Rita Pužmanová Michal Till Miloš Urbiš Patrik Veselík VÝROBA, DISTRIBUCE, MARKETING Art director Pavel Junk Titulní stránka Tomáš Dilhof Sazba a grafika Tomáš Dilhof Marketing Věra Foltýnová Produkce Marcela Veselá, Eva Větěchová, Diana Brabcová Distribuce Eva Sedláková PŘEDPLATNÉ casopisy.cpress.cz Předplatné pro ČR [email protected], tel.: 545 113 713 [email protected], tel.: 545 113 713 Předplatné pro SR [email protected] [email protected], tel.: +421 244 453 702 Upozornění pro předplatitele: kód předplatile najdete vždy u doručovací adresy na fólii, ve které časopis dostáváte. ADRESA REDAKCE Computer Press Brno Holandská 8, 639 00 Brno tel.: 545 113 711, fax: 545 113 712

pokracovani priste...

(predchozi dily serialu naleznete na www.connect.cz)

Přehled inzerce Abacus Electric . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Actinet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 ALWIL Software. . . . . . . . . . . . . . . . . . . . . . . . . 3.obálka APC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.obálka AVNET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 CCA Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 ComGuard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Computer Press. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3, 52 ELIT CZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Hewlett-Packard . . . . . . . . . . . . . . . . . . . . . . . . . . . 17, 27

Kodys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 PB COM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 PCS Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45, 67 Satca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Skynet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.obálka Sloane Park . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Unicorn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ZyXEL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Veškerá autorská práva k časopisu Connect! vykonává vydavatel. Jakékoli užití časopisu nebo jeho části, zejména šíření jeho kopií, přepracování, přetisk, překlad, zařazení do jiného díla, ať již v tištěné nebo elektronické podobě, je bez souhlasu vydavatele zakázáno. Za obsah jednotlivých příspěvků odpovídají jejich autoři. Redakcí nevyžádané nabídnuté příspěvky se nevracejí. Právní režim vydání nabídnutých autorských děl se řídí autorským zákonem v platném znění a dalšími navazujícími právními předpisy. Zasláním příspěvku autor uděluje pro případ jeho vydání vydavateli svolení vydat jej v tištěné podobě v časopisu Connect!, jakož i v jeho elektronické podobě na stránce connect.cpress.cz, popř. na CD, a zároveň tím vyjadřuje souhlas s tím, že po dobu 5 let ode dne uveřejnění příspěvku není oprávněn jej vydat bez předchozího souhlasu vydavatele. Autorská odměna bude uhrazena v měsíci následujícím po měsíci uveřejnění díla ve výši dle ceníku vydavatele, do kterého je možné nahlédnout v redakci vydavatele.

INZERCE Produktový manažer Barbora Terebová Computer Press Praha Iva Bartošová, Renáta Bělíková, Anna Erbanová, Petra Lahvičková, Richard Mařák Pod Vinicí 23, 143 00 Praha 4 – Modřany tel.: 225 273 930-3, fax: 225 273 934 Computer Press Brno Jitka Křivská Holandská 8, 639 00 Brno tel.: 545 113 711, fax 545 113 712 FOREIGN CONTACTS Věra Harvánková ([email protected]) Holandská 8, 639 00 Brno, Czech Republic tel.: +420 545 113 771 fax: +420 545 113 712 VYDAVATEL Computer Press, a. s. Holandská 8, 639 00 Brno Generální ředitel Stanislav Konečný Vedoucí tištěných médií Vincent Belej Obchodní ředitel Jaroslav Martinec TISK GRASPO CZ, a. s. REGISTRACE ISSN 1211-3085, MK ČR E 7403 Rozšiřují Médiaprint & Kapa a soukromí distributoři. Podávání novinových zásilek povoleno Českou poštou, s. p. OZJM Ředitelství v Brně č. j. P/2–4623/96 ze dne 12. 11. 1996. Podávanie novinových zásielok pre Slovenskú republiku povolené RPP Bratislava, č. j. 485–RPP/95 zo dňa 20. 1. 1995. © Computer Press, a. s.

MILIÊNÐUwIVATELÐPO¿ÄTA¿Ð NESPOLÀH¸POUZENAELEKTRICKOUSÄv

!0#3MART 503ADALsÄSLOUwÄ JAKOZ¸LOwNÄZDROJPROPÏÄPADVÔPADKU ELEKTÏINYACHR¸NÄPROTIKOLÄS¸NÄVSÄTÄ

3POLÀHAJÄNA!0#-OwN¸BYSTEMÃLITAKÀ .A CO VsECHNO SVÐJ PO¿ÄTA¿ INCIDENTEM S NEJZ¸VAwNÃJsÄM 0ROTO VÔZNAM Z¸LOwNÄCH ZDROJÐ POUwÄV¸TE /SOBNÄ I OBCHODNÄ üNAN¿NÄMDOPADEMJEVÔPADEK !0#ST¸LEROSTE INFORMACE PÏIPOJENÄKINTERNETU ELEKTRICKÀHOPROUDU 0OUwÄV¸TE JIw PRODUKTY üRMY !0# :ÄSKEJTE NEJNOVÃJsÄ 0O¿ÄTA¿EJSOUST¸LEVÄCESOU¿¸STÄ !JAK¸JEBUDOUCNOST VYMÃNITELNÔ BATERIOVÔ SET DO VAsEHOwIVOTA ,IDÀ ST¸LE VÄCE SPOLÀHAJÄ NA SVÀ JEDNOTKY NEBO UPGRADUJTE %LEKTRICK¸ SÄv JE KAwDÔM DNEM PO¿ÄTA¿E NANOVÃJsÄMODEL NESPOLEHLIVÃJsÄ 6 0RÐZKUMU STAVU INFORMA¿NÄ BEZPE¿NOSTI Z ROKU V 2 JE UVEDENO wE BEZPE¿NOSTNÄM

:JISTÃTE PRO¿SEMILIÊNÐLIDÄ NEMUSÄZNEPOKOJOVATOBAVOUO ZTR¸TUÑ¿ETNÄCHSOUBORÐ HUDBY FOTOGRAFIÄADALsÄCHDAT

3T¸HNÃTESI!0#7HITE0APERm2ÐZNÀTYPY SYSTÀMÐ503nAVYHRAJTEUNIVERZ¸LNÄ EXTERNÄBATERIIKNABÄJENÄPÏES53"

2ÐZNÀTYPYSYSTÀMÐ503

White Paper #1

.AVsTIVTEhttp://promo.apc.com •:ADEJTE+EY#ODE61729t :AVOLEJTENA¿ÄSLO+420 241 442 404 •&AXUJTENA¿ÄSLO+420 241 442 405 !MERICAN0OWER#ONVERSION6sECHNYOBCHODNÄZN¸MKYJSOUMAJETKEMPÏÄSLUsNÔCHVLASTNÄKÐ"K!%& #: !0#ESK¸REPUBLIKAA3LOVENSK¸REPUBLIKAo:A0RUHY 0RAHA 6YD¸VANÀPRODUKTYNEMUSÄODPOVÄDATPRODUKTÐMZDEVYOBRAZENÔM±PLNÀPR¸VNÄPODMÄNKYJSOUKDISPOZICINAWEBUNAADRESEHTTPPROMOAPCCOM

KARANTÉNA. Podrobný test SPASÍ VAŠI SÍŤ? Jak si žije SPARC? Novinky na platformě SUN. Longhorn Server První pohled na Windows Server 2008

Recommend Documents