ZABEZPEČENÍ SÍTÍ, BEZPEČNOSTNÍ PRAVIDLA příručka k semináři
Rozvojový projekt „Systémová podpora Informačního centra jako Centra excelence“
Projekt v rámci realizace I. Etapy Státní informační politiky ve vzdělávání (SIPVZ), zpracovala Střední průmyslová škola a Střední odborné učiliště, Trutnov, Školní 101
© SPŠ a SOU, Trutnov, Školní 101. 2004 - Všechna práva vyhrazena. URL: http://www.spssoutu.cz
Zabezpečení sítí, bezpečnostní pravidla
1. Úvod Každý systém je napadnutelný a stoprocentní zabezpečení není možné, protože takový systém by nebyl pro práci použitelný. Proto je úroveň zabezpečení vždy kompromis mezi funkčností a bezpečností. Ale nechat počítač nebo celou síť úplně nezabezpečenou znamená totéž, jako byste nechali otevřený byt nebo kancelář a kdokoli si je mohl celé prohledat a vzít si co chce. Proto je zabezpečení vždy nutné a nezbytné.
2. Bezpečnostní hlediska Zabezpečení je nutné posuzovat z několika možných hledisek podle způsobu napadení: Zneužití dat oprávněným uživatelem Jedná se o případ, kdy někdo z běžných uživatelů systému získá důvěrná data, která mu nepřísluší. Typickým příkladem může být ve školství žák, který se dostane prostřednictvím ICT k hodnocení a případně si upraví známky nebo zjistí zadání písemné práce a podobně. Tento případ může nastat pokud data nejsou dostatečně zabezpečena nebo přihlášením se na cizí účet díky nezodpovědnému chování ostatních uživatelů. Narušení funkce systému uživatelem Nevhodným zásahem do systému může uživatel znemožnit funkci systému nebo změnit některé parametry a vlastnosti. Toto narušení může být úmyslné, nebo jen náhodné, způsobené případně nesprávnou obsluhou nebo postupem. Například odinstalování tiskárny, změna nastavení síťového připojení, zahlcení systému a další. Nastává v případě možnosti přístupu uživatelů ke konfiguračním nástrojům a nevhodným nastavením přístupových práv, nezodpovědnou činností uživatelů. Zneužití systému neoprávněným uživatelem To je případ, kdy s vaším systém pracuje osoba, která k němu nemá mít přístup. Například někdo s pomocí vašeho počítače provozuje soukromé podnikání, používá vaše připojení do Internetu, tiskne soukromá data a podobně. Může nastat v případě možnosti práce s ICT bez přihlašování nebo s jednoduchými hesly. Zneužití důvěrných dat průnikem do systému z vnější sítě Případ získání některých dat z organizace, která mohou být následně zneužita. Například zcizení osobních údajů žáků a jejich rodičů a následné zneužití pro reklamní kampaň, zveřejnění jejich osobních dat a podobně. Nastává při nedostatečném nastavení přístupových práv. Narušení funkce systému z vnější sítě Případ průniku do systému zvenčí za účelem změny systému. Například změna vašeho vytáčeného připojení do Internetu na linky s vyšší sazbou, zahlcení systému a tím znemožnění jeho funkce a podobně. Bývá způsobeno nedostatečným oddělením vnitřní sítě od Internetu, nesprávným nastavením firewallu. Zneužití systému pro útoky na další systémy Využití vaší sítě jako brány pro další útoky a tím skrytí své identity, například pro rozesílání nevyžádané pošty a další. Je umožněno nedostatečným zabezpečením systému nebo jeho nesprávným nastavením.
Strana 1/11
Zabezpečení sítí, bezpečnostní pravidla
3. Bezpečnostní prvky používaných operačních systémů Při posuzování bezpečnosti se jednotlivé operační systémy od sebe liší. Asi nejrozšířenější operační systém na většině dnešních počítačů je systém Microsoft Windows. Čím se od sebe liší jednotlivé verze?
Windows 95 Obsahují jen minimum bezpečnostních nástrojů. Jsou zastaralé a není možné je solidním způsobem zabezpečit. Pro provoz ve škole (nebo jiné organizaci) a zapojení do počítačové sítě jsou naprosto nevhodné. Nepoužívat je pro práci s důležitými nebo zneužitelnými daty a pokud možno vyhnout se jejich zapojení do školní počítačové sítě. Používat je jen v případě, že váš hardware neumožňuje používat novější verze. Pro provoz tohoto systému postačuje PC 486 s 16 MB RAM a diskem 0,5 GB. Nedostatky: Lze s nimi pracovat i bez nutnosti přihlášení uživatele, může je zneužít kdokoli. Nelze zabezpečit data v počítači před neoprávněným přístupem. Kdokoli může libovolně měnit konfiguraci počítače a jednotlivých prvků. Některé nedostatky lze částečně odstranit specializovaným softwarem (například OptimAccess), ale základ zůstává stejný a je snadno napadnutelný.
Windows 98 Sice novější provedení než předchozí verze a již s náznaky bezpečnostních prvků, ale základ je stále stejný a nelze je solidně zabezpečit. Takže také není vhodné jejich používání ve školní síti. Jejich jedinou výhodou proti starší verzi jsou některé modernější technologie (Plug and Play, podpora USB), ale vyžadují již výkonnější hardware. Je vhodné používat alespoň procesor Pentium 100 MHz, 32 MB RAM a disk 1 GB.
Windows Millenium Edition Byly nástupcem Windows 98, ale neosvědčily se a dnes se téměř nepoužívají. Sice podporovaly nové technologie a měly nové přepracované prostředí, ale jejich provoz byl často problémový. Protože vycházely z předchozích systémů, tak jejich bezpečnostní prvky jsou nedostatečné. Další jejich nevýhodou byly vysoké nároky na hardware (Pentium 166 MHz, 64 MB RAM).
Windows NT 4.0 Workstation Systémy řady NT byly vyvinuty pro použití v počítačových sítích a mají vestavěné bezpečnostní prvky. Jejich vzhled a ovládání je velice podobné řadě Windows 9x, ale jádro systému je zcela jiné. Verze NT 4.0 vychází vzhledově z Windows 95, je již vhodná pro použití v počítačové síti. Bezpečnostní prvky: Nutnost přihlášení uživatele před zahájením práce. Uživatel nemůže obejít přihlašování. Možnost nastavení přístupových práv k souborům a složkám a tím je chránit před zneužitím. Možnost ochrany konfiguračních nástrojů a změn nastavení systému. Strana 2/11
Zabezpečení sítí, bezpečnostní pravidla Nevýhodou tohoto systému je jejich zastaralost. Nepodporují modernější technologie (Plug and Play, USB) a nový hardware. Proti systémům Windows 95 jsou náročnější na výkon počítače (alespoň 32 MB RAM).
Windows 2000 Professional Nástupce NT, vychází ze stejného jádra a má obdobné bezpečnostní prvky. Navíc již po instalaci systému je systém nastaven na podstatně vyšší zabezpečení než starší verze. Podporuje prakticky všechny současné technologie a nový hardware. Nevýhodou je nutnost výkonnějšího počítače. Je nutné mít minimálně 64 MB RAM, procesor minimálně 166 MHz a pevný disk 2 GB. V současnosti jeden z nejrozšířenějších systémů.
Windows XP Professional Pokračovatel v řadě NT. Výhodou je podpora nejnovějších technologií a vylepšené zabezpečení. Podstatně větší důraz je zde kladen na vzhled uživatelského prostředí a nový styl ovládání. Nároky na hardware o trochu vyšší než u Windows 2000. V současnosti zatím poslední verze operačního systému pro pracovní stanice.
Windows XP Home Jedná se o okleštěnou variantu předchozího systému, určenou hlavně pro domácí použití. Není vhodná pro práci v počítačové síti a má nižší úroveň zabezpečení.
Linux Jedná se o zcela jiný systém, který se do desktopového provedení vyvinul z úspěšného serverového řešení. Je to velmi solidní systém s výbornými komunikačními prvky a možnostmi zabezpečení. Další výhodou je cena, jedná se u většiny variant o licence Open Source, kdynemusíte za jednotlivé licence platit. Platí se pouze za přípravu distribučních balíčků nebo za technickou podporu. Nevýhodou je odlišný vzhled a ovládání proti zatím většinové platformě MS Windows (i když se rychle vylepšuje) a nižší podpora výrobců software pro tuto platformu. Další nevýhodou jsou nedostatečné technické znalosti pro správu systému jak uživatelů, tak většiny správců počítačových sítí a techniků. Postupně se díky fandovství správců školních sítí začíná používat.
4. Bezpečnostní prvky počítačových sítí Všechny počítačové sítě je nutné zabezpečovat. V současnosti se používá několik systémů počítačových sítí, založených na různých systémech. Jako každý jiný systém je bezpečnost jen tak silná, jak je silný její nejslabší článek. To znamená od uživatelské pracovní stanice přes propojovací prvky a přenosové médium lokální sítě až po servery a routery, které zajišťují propojení privátní sítě s Internetem. Na to navazuje vlastní připojovací linka do Internetu, komunikace prostřednictvím veřejné sítě a vnější přístup do lokální sítě. Celé technické vybavení musí být vybaveno odpovídajícím programovým vybavením (správně nakonfigurovaným) a také organizačními normami a předpisy. Proto je nutné vždy posuzovat bezpečnost celého systému jako celku.
Používané serverové systémy: Lantastic Jedná se o jednoduchou síť typu peer to peer bez vyhrazeného serveru. Takovouto síť není možné zabezpečit a je velice lehce napadnutelná. Je prakticky bez bezpečnostních prvků Strana 3/11
Zabezpečení sítí, bezpečnostní pravidla a možnosti jednotné správy systému. Podobně se chovají i další sítě bez vyhrazeného serveru založené jen na propojení jednotlivých stanic a nastavení jejich sdílených prostředků. Pro použití ve školní nebo firemní síti naprosto nevhodné. Použitelné maximálně pro malou domácí síť, propojení 2 nebo 3 počítačů. Windows NT 4.0 server Tyto sítě, kde server je v roli řadiče domény tvoří celek s jednotným bezpečnostním modelem. Sítě s tímto serverem se stále ještě používají, ale jsou již zastaralé a přeci jen úroveň jejich zabezpečení není na dostatečné úrovni. Optimální použití je ve spojení se stanicemi s operačním systémem řady Windows NT/2000/XP Professional. Umožňují jednotnou správu uživatelských účtů a přístupových práv, včetně souborů a složek na lokálních discích. Síťová komunikace je zabezpečená. Prvky pro oddělení vnitřní sítě a Internetu jsou nedostatečné a většinou řešeny dalšími specializovanými programy jiných výrobců. Windows 2000 server Jedná se o novější variantu, vycházející z verze NT 4.0. Podporuje novější technologie a má vyšší úroveň bezpečnostních prvků. Navíc proti předchozí verzi obsahuje i nástroje pro jednotnou správu pracovních stanic. Nově zavádí jednotnou systémovou databázi pro celou doménu pod názvem Active Directory. Zahrnuje i některé další technologie (podobně jako verze pro pracovní stanice). Optimálních výsledků je možné dosáhnout při spojení se stanicemi Windows 2000 nebo XP. V současnosti nejpoužívanější systém. Windows 2003 server Zatím poslední verze serveru firmy Microsoft s nejvyšší úrovní zabezpečení a novými technologiemi. Vzhled a ovládání je obdobné jako u verze Windows XP Professional. Je dále vylepšena systémová databáze Active Directory a zahrnuje nové bezpečnostní prvky včetně prostředků firewallu. Umožňuje také lepší centrální správu pracovních stanic. Novell Netware Dříve to byl nejpoužívanější systém pro sítě typu klient server. Má velice dobře propracované služby souborového serveru a zabezpečené komunikace. Používá se v různých verzích. Již velice zastaralá verze 3.12 se stále ještě někde používá pro svou jednoduchost, nenáročnost a spolehlivost. Některé další, více rozšířené verze, byly 4.0, 4.11, 5.0 a 6.0. V současnosti je aktuální verze 6.5. Již u verze 4.0 byla zavedena jednotná systémová databáze, hierarchicky členěná, pod názvem NDS (Novell Directory Services). Ta umožňuje budovat rozsáhlé sítě s mnoha vzdálenými pobočkami a přitom jednotnou strukturou a zabezpečením. Od verze 6.0 jsou součástí systémy propracované další služby pro komunikaci a vzdálenou správu. Proto se dále úspěšně rozvíjená systémová databáze NDS začala nazývat eDirectory. Co se týká výkonnosti, rychlosti a bezpečnosti souborových služeb tak je to stále jednička mezi serverovými systémy. Do prostředí školních sítí je tento systém vhodný pro vysokou bezpečnost. Jeho cena je pro školy také relativně příznivá. Umožňuje zabezpečení a jednotnou správu všech uživatelů. Pomocí dalších prostředků, začleněných do jednotného systému lze zajišťovat i další služby jako centrální správu stanic, firewall, proxy, www a poštovní server a další. Linux Linux je systém vyvinutý pro Intelovské systémy z podobných technologií jako UNIX, což byl systém používaný ve velkých systémech. Již od základu je stavěn jako síťový systém a má velice dobře propracovaný systém zabezpečení. Původně se používal hlavně pro komunikační servery v Internetu, kde v současnosti na tomto systému je provozována převážná většina Strana 4/11
Zabezpečení sítí, bezpečnostní pravidla webových serverů. Potom se postupně začal přesouvat i do lokálních sítí. Výhodou jsou vynikající komunikační služby, zabezpečení a cena. Nevýhodou je technická podpora a nedostatek kvalifikovaných techniků.
Propojovací prvky: Vlastní kabeláž sítě Před možností průniku zvenčí bývá síť zabezpečena tím, že je umístěna uvnitř areálu dané firmy. Možnost narušení bezpečnosti zevnitř lze redukovat vhodným vedením v instalačních lištách podle odpovídajících norem, nejlepší řešení je společné řešení všech datových rozvodů „strukturovanou kabeláží“. Jiná je situace u bezdrátových sítí. Zde je místo klasických kabelů použitý vzduch jako přenosové médium elektromagnetických vln. A ty se šíří spojitě prostorem a lze případně odposlouchávat probíhající komunikaci nebo se připojit s vlastní stanicí do sítě. Propojovací prvky Jedná se hlavně o switche a routery. Ty zajišťují propojení jednotlivých stanic a vzájemné propojení sítí. V některých případech (hlavně u routerů) lze vhodným nastavením podstatně zvýšit výkon a bezpečnost.
Propojení vnitřní a veřejné sítě: Routery Řeší na hardwarové úrovni zabezpečení komunikace na rozhraní jednotlivých sítí, jedná se v podstatě o speciální jednoúčelové počítače. V této oblasti je světovou jedničkou firma Cisco. Cena těchto zařízení se pohybuje (podle výkonnosti a vybavení) v cenách desítek až stovek tisíc korun. Velice důležité je jejich správné nastavení. Servery Mohou řešit programově totéž co routery, ale s nižší výkonností a zabezpečením. Pro menší sítě mohou postačovat. Firewall Jedná se o speciální program, který řídí provoz na routerech nebo hraničních serverech. Hlídá veškerou komunikaci a umožňuje filtrování nežádoucího provozu. Propouští komunikaci pouze na povolených portech a příslušných stanicích. Komunikační porty jsou vlastně jakési adresy, které používají některé programy pro svou komunikaci prostřednictvím protokolu TCP/IP. Nejčastěji používané porty jsou 80 (http, prohlížení informací v Internetu), 110 (POP3, stahování pošty), 25 (SMTP, odesílání pošty), 143 (IMAP, další protokol pro e-mail), 20 a 21 (FTP, stahování souborů), 443 (SSH, zabezpečená komunikace) a mnoho dalších. Proxy Je program, který umožňuje pracovním stanicím v lokální síti přistupovat k informacím v Internetu i bez nutnosti používání veřejných IP adres. Postačuje jedna IP adresa pro celou podnikovou síť. Požadavky jednotlivých stanic se předávají z vnitřní sítě na proxy server, který je svým jménem odešle do Internetu. A došlé odpovědi předává do vnitřní sítě stanici, která požadavek odeslala. Navíc proxy server funguje jako vyrovnávací paměť (cache), kdy se již vyřízené dotazy ukládají na server a při opakovaných požadavcích na tytéž informace (i z jiných stanic) se rychleji zodpoví pomocí uložených dat. Tímto způsobem je také celá vnitřStrana 5/11
Zabezpečení sítí, bezpečnostní pravidla ní síť při pohledu z veřejného Internetu skryta a přístupný je pouze hraniční server s proxy. Pomocí firewallu a proxy lze spolehlivě zabránit útokům zvenčí.
Komunikace prostřednictvím veřejné sítě: Při přenosu dat prostřednictvím veřejného Internetu je možné tuto komunikaci odposlouchávat. Takto získané informace mohou být zneužity a mohou případně posloužit i pro útok proti vaší síti. Proto je nutné zajistit, aby citlivá data (například jména účtů a hesla) veřejným Internetem buď vůbec nebyla přenášena, nebo využívat pouze zabezpečených kanálů. Protokol HTTPS Na rozdíl od běžného protokolu HTTP jsou v tomto případě všechny údaje přenášeny v zakódované podobě. Pro přenos je používán protokol SSL (Secure Socket Layer). Tím je prakticky téměř znemožněno jejich odposlouchávání. Proto pokud po vás bude vyžadováno přihlášení v Internetovém prohlížeči, tak pouze v případě HTTPS jde o bezpečné přihlášení. PPTP (Poin to Point Tuneling Protocol) Tento způsob využívají některé aplikace pro bezpečnou komunikaci. V tomto případě se nejprve naváže spojení s cílem a ustaví se spojení (tunel), přes které se potom bezpečně přenášejí data. Po ukončení přenosu se tunel zruší. VPN (Virtual Private Network) Používá se pro spojení jednotlivých lokálních sítí jedné organizace pomocí spojů přes veřejný Internet. Umožňuje běžnou komunikaci v celé firmě jako v lokální síti, i když jednotlivé části sítě jsou geograficky vzdáleny a přitom je zajištěna její bezpečnost.
Organizační normy a předpisy: Provozní řád počítačové sítě Měl by v každé síti definovat její strukturu, dostupné zdroje, povinnosti a práva jednotlivých uživatelů. Řád počítačové učebny Řád by měl být v každé škole jasně definován. Měl by řešit všechny aspekty práce na počítačové učebně, které jsou dost odlišné od běžného provozu ICT techniky ve většině firem. Zde dochází ke střídání velkého počtu uživatelů. Ti mají nejen dost odlišnou úroveň znalostí, ale i velice různorodé využití ICT. A hlavní prioritou je zajistit trvale plnou funkčnost všech stanic pro jejich využití ve výuce. Tento dokument by měl mít formu doplňku školního řádu aby bylo možné vyžadovat jeho dodržování a zároveň postihovat jeho porušování.
5. Účty a hesla Jedním ze základních zabezpečovacích prvků je přihlašování prostřednictvím zřízených účtů. Při přihlašování uživatel zadá název účtu a heslo, případně objekt (síť) ke které se hlásí. A na základě těchto dvou údajů systém ověří identitu uživatele a nastaví příslušnou úroveň přístupu (anebo odmítne přístup). Přihlašovací účty zřizuje správce sítě a jejich názvy sdělí oprávněným uživatelům. Většinou ke každému účtu také nastaví heslo. Toto heslo by si měl uživatel ihned změnit a nastavit své vlastní heslo. Účet by měl být pro každého uživatele jedinečný a vždy by ho měl používat jediný člověk. I v případě, že potřebujete, aby správu určitých objektů (a tím daná přístupová práva) provádělo více osob, tak je vhodnější každému z nich vytvořit účet s příslušnými právy. Pak je totiž možné zjistit, kdo jaké činnosti a zásahy provedl. Strana 6/11
Zabezpečení sítí, bezpečnostní pravidla Pokud totiž máte jediný účet s administrátorskými právy a někdo odhalí jeho heslo, tak může nejen zasahovat do sítě, ale také velice jednoduše změnit jeho heslo a tak vám znemožnit správu vaší vlastní sítě. Je také vhodné základní administrátorský účet (většinou Administrator, Admin, Supervisor, Root) případně přejmenovat. Přístupové heslo není vhodné komukoli sdělovat. Protože prakticky v každém systému má uživatel možnost zvolit si vlastní heslo, tak je vhodné vybrat takové, které si budete snadno pamatovat a přitom nebude snadno odhalitelné. Nejhorší varianta je ta, že si pro jistotu vlastní heslo napíšete na papírek v šuplíku nebo dokonce na monitor. Ale například heslo a účet správce je vhodné někde bezpečně uložit. Může nastat případ, kdy správce sítě dlouhodobě onemocní, utrpí úraz, ztrátu paměti, nebo se jen nepohodne s vedením a odejde a není možný přístup k důležitým datům nebo správě sítě. Pro tyto případy je vhodné tyto účty a hesla správce uložit do zapečetěné obálky do trezoru ředitele. Všechny ostatní účty může již správce sítě spravovat i zpřístupnit všechna dat, takže je není nutné nikde ukládat. Každý uživatel by měl být při zadávání hesla opatrný a dbát na to, aby někdo vaše heslo „neodkoukal“. Sice na obrazovku se nikdy heslo nevypisuje, ale někdo může sledovat vaše úhozy na klávesnici. Toto může dokonce provádět i speciální program, který automaticky spustí záškodník na vašem počítači. Jaké by heslo nemělo být: Nemá být příliš krátké, doporučuje se minimálně 6 znaků. Nemá obsahovat osobní údaje uživatele, které jsou snadno odhalitelné. Jedná se například o jméno vlastní nebo rodinných příslušníků, data narození a jejich jednoduché kombinace. Tyto údaje lze snadno zjistit a heslo odhalit. Není vhodné používat jako heslo jednoduchá slova. Stačí, aby někdo vysledoval část hesla a zbytek uhodne. Některé systémy mají již v základní konfiguraci nastaveny určité minimální požadavky na heslo. Například Windows 2003 server má po instalaci nastaveno heslo minimálně 7 znaků, musí obsahovat alespoň 1 písmeno velké, číslici nebo jiný znak. Takže například heslo Yxc123_ by splňovalo tyto požadavky. Je také vhodné heslo vždy po určité době změnit. To je také cesta zvýšení bezpečnosti. Standardní doba platnosti hesla Windows 2003 je 42 dnů a není možné nastavit předchozí dvě použitá hesla. Před uplynutím platnosti hesla je uživatel automaticky upozorňován na tuto skutečnost. Správce sítě může tyto požadavky zmírnit. A je to někdy nutné. Pokud uživatel používá přihlašování pouze občas (například jednou týdně), tak bude nepříjemně často nucen měnit heslo a bude se snažit ulehčit si tuto činnost a použije snadno odhalitelné heslo nebo si ho někde poznamenává. Proto správce musí zvážit tyto všechny faktory a nastavit vhodně celý systém. Je možné také například pro různé skupiny uživatelů nastavit tyto přihlašovací parametry rozdílně podle potřeby. Každý uživatel po svém úspěšném přihlášení ke stanici by ji nikdy neměl opouštět bez řádného odhlášení ze systému. Šikovnému hackerovi stačí pár minut práce u počítače přihlášeného na účet správce a může si zařídit libovolný přístup do sítě pro další záškodnickou činnost. Proto by uživatel vždy při odchodu od počítače měl provést odhlášení nebo alespoň uzamknout stanici (u řady NT stačí stisknout CTRL+ALT+DELETE a volba Zamknout). V žádném případě není vhodné tolerovat typické „Pusť mě na moment k počítači, nemusíš se odhlašovat, jen se na něco podívám…“. To je asi něco podobného jako oblíbený trik u bankomatů, kdy po vašem autentifikování do systému (zadání PIN) se dotyčný prohlásí za pracovníka banky a žádá vás, abyste ho k zařízení na chvilku pustili. Pokud to uděláte, tak je pravděpodobné, že budete mít konto o pár tisíc odlehčeno.
Strana 7/11
Zabezpečení sítí, bezpečnostní pravidla Jednou z cest, jak zvýšit bezpečnost je správné nastavení přihlašovacích účtů. Příslušnému uživateli (nebo skupině uživatelů) lze nastavit povolenou dobu přihlašování nebo stanice ze kterých se může přihlásit. Lze také nastavit dobu expirace účtu. Toto lze využít například u zřizování účtů žáků, kdy lze nastavit podle ukončení jejich studia automatické zablokování jejich účtů. Lze také nastavit zablokování uživatelských účtů při překročení určitého počtu neúspěšných zadání hesla (pro případ pokusů uhodnutí hesla).
6. Logování a audity Všechny činnosti nelze samozřejmě stoprocentně nikdy zabezpečit. Ale všechny kritické činnosti, které mohou ohrozit bezpečnost systému je vhodné monitorovat. Systémy řady NT (a všechny servery) mají zabudované mechanismy, které tyto záznamy ukládají do záznamových souborů, LOG souborů. A tyto soubory je možné prohlížet a sledovat. Správce sítě by měl pravidelně sledovat jejich obsah a v případě jakýchkoli problémů zde bude hledat možnou příčinu. Může také nastavit údaje, které se budou logovat. Kromě přednastavených událostí (většinou některých systémových služeb) je vhodné nastavit pro logování například události přihlášení uživatele. U důležitých nebo citlivých dat lze nastavit auditování, kdy se zapisují všechny přístupy nebo změny těchto objektů. Tyto činnosti podporují všechny síťové systémy typu klient server.
7. Přístupová práva Základním prvkem pro funkci sítě jsou sdílené prostředky (složky a tiskárny). Pro přístup k těmto prvků je nezbytné nastavovat různé úrovně přístupu. Jednoduché sítě peer to peer mají možnost pouze jednoduchého nastavení přístupového hesla. Proto zabezpečení těchto sítí je velice slabé. Pro zajištění vyšší úrovně bezpečnosti je nezbytné použít propracovanější systém centrálního řízení a správy přístupových práv. Tyto funkce mohou efektivně zajistit pouze sítě typu klient server. V nich jsou definovány uživatelské účty a k nim přiřazená přístupová práva. Dále zde jsou definovány i další objekty s přiřazenými právy. Tyto vazby jsou definovány v systémové databázi, v síti Windows Active Directory a v síti Novell Netware NDS (eDirectory). U stanic NT lze nastavovat nejen přístupová práva ke sdíleným prostředkům, ale i k souborům a složkám na lokálních discích. Tato nastavení lze provádět jednotně v rámci celé domény. Základní nastavení přístupových práv je na těchto stanicích nastaveno již při instalaci systému, kdy k některým systémovým souborům nemá běžný uživatel vůbec přístup nebo pouze pro čtení. A nejde jen o práva k souborům a složkám, ale i k dalším objektům, například tiskárnám a práva k nastavení systému a systémovým prostředkům. Přiřazování přístupových práv jednotlivým objektům je poměrně pracné a nepřehledné. Proto je možné jednotlivé uživatele stejné úrovně přístupu zařazovat do skupin. A těmto skupinám lze přiřazovat práva obdobně jako jednotlivým uživatelům. Přiřazením práv skupině tato práva dědí všichni členové této skupiny (pokud nejsou určitá práva odfiltrována). Ve školní síti mohou být vytvořeny skupiny Správci systému, Učitelé informatiky, Odborní učitelé, Učitelé, správní pracovníci, Vedení a další skupiny například podle jednotlivých tříd nebo ročníků a jim přiřadit odpovídající práva. Přímé přiřazování práv jednotlivým uživatelům používat pouze výjimečně a minimálně. Jednotlivá práva se trochu liší v různých systémech, ale princip je podobný.
Strana 8/11
Zabezpečení sítí, bezpečnostní pravidla
Základní typy přístupových práv: Číst (Read) – neumožňuje měnit obsah Zapisovat (Write) – umožňuje ukládat objekty Měnit (Change) – umožňuje provádět změny již existujících objektů Plné řízení (Full Control) – umožňuje plný přístup ☺ Podle typu systému lze ještě dále podrobněji specifikovat oprávnění: Přidat (Add) – pro přidávání objektů Spouštět (Execute) – umožňuje spouštět programy Mazat (Delete) – umožňuje odstraňovat objekty Měnit oprávnění (Change Permission) – umožňuje nastavovat přístupová práva Převzít vlastnictví (Take Ownership) – umožňuje převzetí vlastnictví objektu a tím nastavování přístupů Nastavením práv k nějaké složce se standardně nastaví i oprávnění pro všechny podřízené objekty (soubory a podložky). Tato zděděná oprávnění je možné odfiltrovat tak, aby pro některé podřízené objekty neplatila, nebo jen v určité omezené míře. Základní zásadou při přidělování přístupových práv je pravidlo, podle kterého se vždy přidělují jen co nejnižší, nezbytně nutná práva a teprve v odůvodněných případech podle potřeby se nastavují výjimky a vyšší oprávnění.
8. Další prostředky zabezpečení Aktualizace systému Většina útoků je umožněna nedostatečným zabezpečením, „bezpečnostními dírami“ systému a jeho nastavení. Proto je nezbytné vždy nastavit raději co největší omezení a jen podle potřeb postupně uvolňovat pouze nezbytná práva. Při dnešní rychlosti vývoje ICT nemůže být žádný systém zcela bezpečný. Proto výrobci software (a hlavně operačních systémů) pravidelně vydávají různé aktualizace, opravy a doplňky. Všechny tyto aktualizace jednou za čas shrnou a uvolní na trh ve formě ucelených balíčků – service packů. Je vhodné tyto aktualizace pravidelně instalovat jak na pracovní stanice, tak i na servery. Novější systémy Windows mají vestavěnou možnost automatického zjišťování všech dostupných aktualizací. Tento systém není vhodné na běžných stanicích na počítačových učebnách používat. Ale serverové systémy umožňují centrální stahování aktualizací a jejich automatickou distribuci na stanice (poměrně propracované u systémů Windows 2003 server).
Operační systém stanic Zásadně používat stanice se systémy řady NT a souborový systém NTFS, nejlépe ve spojení se serverem ve funkci řadiče domény. Pouze zde lze zajistit základní ochranu systému.
Individuální účty Naprosto nevhodné je přihlašování uživatelů prostřednictvím jakýchsi univerzálních účtů. Velice často se používá na mnoha školách pro běžnou práci. Tento typ přihlašování je vhodný pouze pro určité speciální použití s přesně definovanými pouze nezbytnými oprávněními Strana 9/11
Zabezpečení sítí, bezpečnostní pravidla a přístupy. Ve všech ostatních případech je vhodné používat unikátní přihlašování uživatelů. Pak každý může mít vyhrazenou svou pracovní oblast, svá nastavení a zpřístupněné zdroje a prostředky. Striktně dohlížet na pokusy přihlašování uživatelů na cizí účty. Vhodně definovat požadavky na hesla. Přístupová práva nastavovat zásadně pro skupiny uživatelů a pouze nezbytně nutná. Omezit přístup k souborům a složkám na lokálních discích stanic. Na síťových discích povolit také pouze nezbytný přístup a omezit velikost dostupného prostoru.
Instalované programy Instalace všech programů na servery i pracovní stanice by měl vždy provádět pouze správce sítě. Ten by měl vždy prověřit daný program z hlediska funkčnosti v podmínkách sítě, jeho zabezpečení a omezení. Pokud budou sami uživatelé instalovat programy, tak mohou způsobit výpadky sítě nebo stanic. Mohou způsobit narušení bezpečnosti a vytvořit „bezpečnostní díru“ (možnost neautorizovaného přístupu do systému). Živelné instalace programů také velice často porušují licenční podmínky a autorská práva konkrétních programů.
Antivirová ochrana Na důležitých bodech sítě nastavit antivirovou ochranu. Typicky na poštovním serveru a dalších místech, kde jsou možné vstupy dat do vnitřní sítě. Většina antivirových programů umožňuje centrální zprávu a řízení aktualizací.
Oddělení vnitřní sítě a Internetu Životně důležité pro bezpečný chod školní sítě je její bezpečné oddělení od veřejné sítě. Tyto funkce zabezpečuje Firewall, který kontroluje tok veškerých procházejících dat. Tento program pracuje na routeru, který je buď hardwarový (například Cisco) nebo softwarový (komunikační server). Větší podniky vytvářejí navíc „demilitarizovanou zónu“, což je vícestupňové oddělení sítí.
9. Bezpečnostní zásady školní sítě Snahou každého správce je zabránit nekontrolovatelnému toku dat ve školní síti. Základem je zamezit zavirování sítě a „živelné“ instalaci software jednotlivými uživateli. Protože je ale zároveň nutné zajistit funkci sítě, tak k dosažení cíle je nezbytné používat různé prostředky a jejich kombinaci: Používat systémy řady NT Zde nemůže běžný uživatel měnit důležitá nastavení systému, je možné nastavovat přístupová práva a sledovat události v systému. V případě počítačových učeben nezbytnost. Uživatelé mají pouze minimální práva U systémů řady NT mohou instalovat programy pouze uživatelé, kteří jsou členy skupiny Administrators nebo Power Users. Ostatní uživatelé nemohou většinu programů instalovat. Vyšší oprávnění by měl mít pouze správce sítě a případně některý spolehlivý a zkušený uživatel (například ICT koordinátor). Omezení prostoru na síťovém disku Je vhodné nastavit uživatelům restrikce velikosti jejich domovské složky na velikost potřebnou pro jejich práci. Tím je omezeno zavlečení některých typů dat (hry, videoklipy a podobně), které zabírají větší prostor.
Strana 10/11
Zabezpečení sítí, bezpečnostní pravidla Nevytvářet síťové složky s „veřejným“ přístupem Takovéto složky, kam může zapisovat více uživatelů se brzy stávají „smetištěm“ a odkladištěm všemožných dat, za která nikdo neodpovídá. Omezit používání disket, disků CD-ROM a USB disků Na počítačových učebnách a veřejně přístupných stanicích zapojených do školní sítě tyto vstupy úplně zablokovat, nejlépe fyzicky odpojit a zablokovat v BIOSu. Alespoň nahrávání dat do sítě nekontrolovaně samotnými žáky takto omezit. Omezit přístup z učeben na Internet Prostřednictvím Internetu je možné do sítě dostat neprověřená data. Proto je vhodné alespoň částečně toto omezit nastavením jen určité denní doby přístupu do Internetu a omezení určitých služeb (například FTP) zablokováním příslušných portů. Jasně definovat pravidla používání ICT Formou doplňku školního řádu vydat „Řád počítačové učebny“ nebo obdobný dokument, kde budou definována pravidla, zákazy a omezení. Tento řád by měl být podepsaný ředitelem školy jako závazný dokument a všichni žáci i učitelé by s ním měli být seznámeni. Nejlépe na první hodině na počítačové učebně a nechat toto seznámení všemi žáky podepsat. Vydat provozní řád sítě U rozsáhlejších sítí může být vhodné vydání Provozního řádu sítě s popisem dostupným služeb (například sdílených prostředků) a jejich používání. Omezení přístupu k lokálním souborům a složkám Maximálně omezit přístup, pokud možno nastavit přístup jen pro čtení. Tím se omezí zanášení disků stanic. Některé aplikace přímo zablokovat i proti čtení určitými uživateli, kteří je nepotřebují nebo by je neměli používat.
10. Závěr Zabezpečení sítě není jednoduchý problém. U každé sítě jde do jisté míry o specifické řešení obecných principů. Vždy jde o kombinaci zabezpečení jak na úrovni hardware, tak software a specifické potřeby provozu. Sebelepší bezpečnostní vybavení nezaručuje bezpečnost, to zajistí teprve jeho správné nastavení a vyladění celého systému.
Strana 11/11
