KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU

Transkript

1 KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU TESTOVACÍ DATACENTRUM HP NOVINKY AKTUALITY Z PODNIKOVÉHO IT NEJEN ANTIVIR TRENDY V BEZPEČNOSTI CLOUD COMPUTING PRO MALÉ A MINIATURNÍ FIRMY LEO MÁ PLÁN NOVÁ STRATEGIE HP ŠIFROVAČKA JAK FUNGUJE BITLOCKER POZOR NA INFRASTRUKTURU KRITICKÉ INFRASTRUKTURY CERT/CSIRT BEZPEČNOST KOMUNIKAČNÍCH SÍTÍ PREVENTIVNÍ OČKOVÁNÍ DALŠÍ POHLED NA DLP PROJÍT KONKURZEM CO BY MĚL UMĚT SMB FIREWALL KOMPLETNÍ OCHRANA 3D SECURITY NA DOBRÉ ADRESE SEND V IPV6 PŘES NĚJ NEPROJDEŠ ZABEZPEČENÁ KOMUNIKACE IPSEC IBM IMPACT 2011 NOVINKY Z KONFERENCE IBM SUPERPOČÍTAČOVÉ ŽELEZO TESTOVACÍ DATACENTRUM HP KOMUNIKAČNÍ JEDNOTA UNIFIED COMMUNICATION ARCHITEKTURA SECUREX ARCHITEKTURA A BEZPEČNOSTNÍ RÁMEC DIGITÁLNA AGENDA V CLOUDU CLOUD PRE ŽIVNOSTNÍKOV

2 aktuality AreaGuard Neo ochrání lokální data Brněnská firma SODATSW po třech letech dokončila vývoj šifrovacího nástroje AreaGuard Neo, který právě uvádí na trh. AreaGuard Neo zajišťuje ochranu informací a dat na koncových stanicích ve více vrstvách. Kombinuje ochranu dat online transparentním šifrováním s omezením nežádoucího používání výměnných médií. Pomocí centrální vzdálené správy lze snadno chránit data na noteboocích, koncových stanicích uživatelů a zároveň účelně omezovat využívání výměnných zařízení uživateli. Celý systém pracuje s Active Directory a platformou Windows, takže není nutné vytvářet žádné další nadstavby. Více informací hledejte na sodatsw.cz/neo. VMware kupuje nástroj SlideRocket Virtualizační gigant VMware oznámil akvizici společnosti SlideRocket, která provozuje stejnojmenný nástroj pro tvorbu, správu a řízení prezentací v cloudu. VMware tak prakticky získává webovou aplikaci, kterou je nyní možné nasadit například do katalogu poskytovaných aplikací z cloudu. Akvizice, jejíž finanční podrobnosti nebyly zveřejněny, na první pohled nezapadá do hlavního proudu zaměření VMware. Firma v rámci SaaS aplikací nabízela spíše platformu a možnost aplikace provozovat, nenabízela však přímo vlastní služby. Je tedy dost možné, že se firma tímto odkupem posouvá zase někam dále. Alternetivo uvádí na český trh mikrovlnný spoj EtherHaul Společnost Alternetivo (dříve atlantis datacom) uvedla na tuzemský trh nový mikrovlnný spoj EtherHaul od izraelské firmy Siklu. Zařízení pracuje v pásmu milimetrových vln GHz a nabízí přenosové rychlosti v rozsahu 100 až 500 Mb/s. Je zde integrovaný ethernetový switch, SFP sloty a je možné nastavit asymetrický přenos a výrobce uvádí maximální spolehlivost minimálně do vzdálenosti 1,5 km. EtherHaul HP slaví 20 let v České republice Společnost Hewlett- Packard v těchto dnech slaví 20 let od svého nástupu na tuzemský trh. Oficiální zastoupení slavné americké firmy funguje v České republice od roku V 90. letech HP zákazníkům nabízelo především spotřební elektroniku chce konkurovat především mikrovlnným spojům v pásmech GHz. Doporučená maloobchodní cena startuje pod 100 tisíci korunami. a později přišlo na trh také se servery a dalšími službami. HP dnes patří mezi největší tuzemské IT zaměstnavatele a patří k nejvýznamnějším tuzemským (a celosvětovým) IT dodavatelům a mimo jiné provozuje také značkovou prodejnu. Českou pobočku v současné době řídí Jan Kameníček. Red Hat bude v Brně nabírat další zaměstnance Brněnský Red Hat hodlá v brzké době otevřít další pracovní pozice pro schopné vývojáře. V únoru tohoto roku počet zaměstnanců ambiciózní pobočky přesáhl hranici 300, firma tak překonala původní odhady a plány. Red Hat se chce poohlížet především po mladých absolventech brněnských technických škol, zejména po lidech z Masarykovy univerzity a VUT. Red Hat v České republice působí od roku 2004, vývojové centrum v Brně funguje od roku Brno má přitom pro Red Hat v globálním měřítku jednu z nejdůležitějších rolí. Jednou větou ALC odstartovalo roadshow nového produktu ALVAO Service Desk, který rozšiřuje portfolio firmy o produkt pro enterprise řešení Novell dokončil akvizici společnosti Attachmate Corporation v hodnotě 6,10 dolaru za akcii. Firma zároveň odprodala některé patenty v hodnotě 450 milionů dolarů Brněnská firma Kentico, která vyvíjí systém Kentico CMS, otevřela nové pobočky ve Velké Británii a v USA Zástupci firem Safetica Technologies a AdvaICT se vrátili z tříměsíčního pobytu v Silicon Valley v rámci programu CzechInvest. Rozhovor s nimi naleznete na video.zive.cz 52 Connect! květen 2011

3 Lotus Symposium 2011 začátkem června Tradiční akce Lotus Symposium pořádaná společností IBM se letos uskuteční 2. června v hotelu Andel s v Praze. IBM zde hodlá předvést nejžhavější novinky ve svých produktech IBM Lotus a nabídne různá řešení pro týmovou spolupráci a komunikaci. Akce je určena pro již stávající uživatele IBM produktů, potenciální nové zájemce o řešení IBM, ředitele, IT ředitele, manažery a odborníky a vývojáře aplikací a správce systémů. Celá akce je přístupná zdarma, stačí, když se včas zaregistrujete na webových stránkách na adrese ibm. com/cz/events/symposium2011, kde také naleznete podrobnější informace a program. Mediálním partnerem akce je časopis Connect, můžete se proto těšit na podrobnější článek v některém z následujících vydání. Windows 7 nyní s certifikací EAL4+ Cisco otevřelo datacentrum se solárními kolektory Síťový a komunikační gigant otevřel v Allenu v americkém státě Texas nové datové centrum, které má patřit k těm nejvíce INZERCE A SR108 SILENT ekologickým na světě. V rámci infrastruktury jsou logicky použity komponenty a prvky z portfolia společnosti, například síťové systémy a nástroje pro ukládání dat. Nové datacentrum využívá namísto baterií jako zdroj napětí rotační setrvačníky, které jsou v případě nutnosti nahrazeny dieselovými agregátory. Střecha centra je pokryta solárními kolektory, které dokáží generovat 100 kw pro kanceláře. K zavlažování okolních rostlin je využívaná laguna zachycující dešťovou vodu. Systémy Windows 7 a Windows Server 2008 R2 získaly certifikaci Common Criteria Evaluation Assurance Level 4 (EAL4+). Jedná se o mezinárodní certifikaci softwarových produktů týkající se bezpečnosti (ISO/IEC 15408). Produkty, které mají tuto certifikaci, splňují veškeré atributy týkající se procesu specifikace, implementace a vyhodnocení bezpečnostních požadavků, které deklarují. Některé země a instituce splnění těchto certifikací vyžadují pro nasazení v rámci svého IT. Windows 7 a Windows Server 2008 R2 jsou tak nyní plně připraveny pro případné nasazení. Made in Germany! OD CZK ,- CZ: EU: +49 (0) Connect! květen

4 AUTOR Co umí a jak funguje BitLocker BitLocker je standardní součástí vyšších edicí operačního systému Windows Vista a 7, a není tak nutné investovat do nástrojů třetích stran v případě, že potřebujete šifrovat data. Zároveň není nutné budovat složitou správu v rámci organizace pro šifrování pevných disků, datových disků a vyměnitelných médií. Vdnešní době, kdy cena notebooku je velmi nízká, software je zakoupený a může být instalován na podnikové počítače i v případě jeho ztráty, jsou tím nejcennějším data. Pokud se podíváte na situaci, kdy dojde k odcizení počítače, pak notebook koupíte nový, software je obnoven z firemního image, ale o co přicházíte, jsou data. V tom lepším případě máte zálohu a data můžete obnovit, ale o tom šifrování není. Šifrování je o tom, aby se data nedostala do nepovolaných rukou. A nemusí se jednat ani o firemní data, ale například i o fotografie z rodinné dovolené či podobné informace, které mohou pomoci k identifikaci dané osoby a mohou být v horší variantě zneužity. Vedle šifrování dat na počítači je čím dál tím důležitější šifrovat data na externích úložištích dat, jako jsou USB flashdisky nebo externí pevné disky. Ty velmi často obsahují právě citlivá data a o jejich ztrátě se v mnoha případech nikdo nedozví do té doby, než se tato citlivá data někde objeví. To už ale bývá pozdě myslet na šifrování. Navíc zapomenout flashdisk na schůzce nebo ho vytratit je vzhledem k jeho velikosti relativně jednoduché. A vzhledem k jeho zanedbatelné ceně nikdo tyto ztráty nehlásí. Je proto dobré mít k dispozici řešení, které umožňuje šifrování dat jednoduchým způsobem, který lze navíc vynutit pravidly přímo v operačním systému. Ondřej Výšek Senior Solution Architect, Microsoft, DELL Česká republika Použití kombinací zabezpečení BitLocker pro systémové oddíly. Každý způsob je náchylný k něčemu jinému Použití kombinací zabezpečení pro datový oddíl. Výhody a nevýhody u každého způsobu jsou zřejmé Systémová data Na chvíli zapomeňte na situaci, kdy máte na pevném disku nějaká data (což je teorie). I v případě, že na disku nejsou data, se kterými pracujete, velké množství uživatelů nechává prohlížeč zapamatovat si přihlašovací jména do různých webových stránek, stejně tak jsou v systému uloženy hashe síťových hesel, a pokud je počítač zařazený do domény, pak potenciální útočník získává důvěryhodný počítač pro vedení útoku proti organizaci. V případech, kdy je disk šifrovaný, se k těmto i systémovým informacím není možné dostat. Havárie disku a jeho vyřazení Co provedete v případě, že vám havaruje disk? Obvykle je disk odevzdán do servisu na opravu a uživatel předpokládá, že disk bude neopravitelně poškozený. Leckdy je ale problém například v elektronice pevného disku a po její výměně má servis plný přístup na váš havarovaný disk a může provést bezpečnostní zálohu dat, o které koncový uživatel ani nemusí vědět důvěřujete svému servisu? Pokud není servisní organizace prověřená, není možné jí důvěřovat. Pokud má uživatel data zašifrovaná, pak dojde k opravě disku, ale servisní organizace má přístup k zašifrovaným datům, která jsou jí k ničemu nemá klíče pro jejich odemčení. Podobná situace může nastat ve chvíli, kdy je počítač u konce své životnosti a bude likvidován. Některé organizace vlastní nákladná zařízení na ničení disků pomocí elektromagnetického pole či specializovaný software na bezpečné smazání disku. Opět, pokud je disk zašifrovaný, pak odemčení dat, když není znám PIN nebo heslo pro dešifrování, zůstává v teoretické rovině. Encrypted File System (EFS) jako řešení? Již několik generací operační systémy Windows podporují šifrování jednotlivých souborů pomocí technologie EFS. Toto řešení by mohlo být alternativou pro BitLocker, nicméně není možné pomocí EFS šifrovat boot operačního systému. EFS je například vhodným řešením pro šifrování souborů, které se pohybují po síti mezi více uživateli. Technický pohled na BitLocker Ještě předtím, než je provedeno rozhodnutí o nasazení šifrování pomocí BitLockeru, je důležité znát několik podstatných informací. Důležitým aspektem je například porovnání hardwarového a softwarového šifrování, kdy BitLocker coby zástupce softwarového šifrování nevyžaduje žádný specifický hardware, ale šifrování také spotřebovává systémové prostředky nicméně pro běžného uživatele i za použití následné virtualizace můžeme hovořit o zpomalení systému v jednotkách procent. Další podstatnou výhodou technologie BitLockeru je fakt, že je obsažena již v operačním systému a není nutné budovat speciální systémy pro jeho správu. Při zvažování nasazení technologie BitLocker je nutné vzít v úvahu, že šifrované disky budou čitelné pouze v prostředí Windows a zapisovat na vyměnitelná média je možné pouze v rámci Windows 7. Další důležitou informací je způsob šifrování. BitLocker využívá v základní konfiguraci AES128 + Diffuser. Je možné použít i AES256 + Diffuser (využívají americké vládní organizace), případně tuto funkci vypnout. Diffuser je technologie, která náhodně rozmisťuje data na disku, a je tedy řešením proti útokům nazývaným Pattern Search, kde jsou vyhledávány stejné vzorky dat, podle kterých by bylo možné odhadnout klíč použitý pro dešifrování. Nejčastěji je BitLocker používaný ve spojení s TPM čipem, který slouží jako zabezpečené úložiště dešifrovacích klíčů a generátor dešifrovacích klíčů. Je také možné nasadit BitLocker bez TPM, kde 54 Connect! květen 2011

5 dešifrovací klíče jsou uloženy například na USB tokenu (v podání BitLockeru se jedná o běžný USB flashdisk). Různé kombinace technologií zvyšují úroveň zabezpečení, ale také snižují úroveň jednoduchosti použití. Šifrování datových oddílů od systémových navíc přináší některé další metody ověření uživatele ve Windows 7. Datové oddíly je možné šifrovat například i pomocí smartkaret, je možné zajistit automatické odemykání datových svazků (v takovém případě je vyžadováno zašifrování systémového oddílu, aby nebyly kompromitovány klíče pro datový oddíl). Pro obnovení u datového oddílu je možné použít certifikát recovery agenta (OID ). Bootovací proces BitLocker umožňuje šifrování již v čase startu operačního systému. Pro start operačního systému (boot loader) je samozřejmě nutné mít část disku nešifrovanou, pro tyto účely se ve Windows 7 používá 100MB systémový oddíl (Vista 1,5GB), který je automaticky vytvořen při instalaci na prázdný disk (pokud vytvoříte oddíl ručně anebo oddíl již existuje, 100MB oddíl není vytvořen). Pokud pro práci s BitLockerem použijete TPM čip, pak při výrobě počítače výrobce TPM čipu vytváří Endorsement Key (EK), který nikdy neopouští TPM čip. Tento klíč je RSA-2048bit a následně podepisuje veřejnou částí další klíče struktura TPM na obrázku. Jakmile je povolen a inicializován TPM čip, jsou vygenerovány další klíče: Storage Root Key (SRK), podepsaný pomocí EK a uložený v TPM čipu (veřejná i privátní část) Volume Master Key (VMK), který je podepsaný pomocí SRK Full Volume Encryption Key (FVEK), podepsaný pomocí VMK. Tento klíč se následně používá pro šifrování disku. Klíče VMK a FVEK jsou uloženy na šifrované části disku s operačním systémem. Pokud se podíváme na uspořádání dat na disku, pak oproti Windows Vista došlo také ke změnám, kde došlo ke zvětšení bloků s vlastními daty, a především pak k navýšení počtu bloků s metadaty, která jsou důležitá pro ukládání CRC šifrovaných dat a při případné obnově havarovaného disku. Při přípravě počítačů je možné také vytvořit systémový oddíl o velikosti 300 MB, následně je do něj možné umístit i Windows Recovery Environment (WinRE), který umožňuje případnou opravu při pádu vlastního OS. Pokud nastartujete operační systém, tak ještě před zahájením startu vlastního OS jste dotázáni na potvrzení, že jste oprávněni tento OS spustit ať je to zadáním PIN (může být alfanumerický), či vložením USB klíče. Zašifrování disku bez přítomnosti TPM čipu Pro zajištění šifrování pevných disků není nutné mít přítomný TPM čip, který je používán pro generování klíčů a ukládání šifrovacích informací. Pokud tedy není TPM čip přítomen, je možné pro uložení dešifrovacího klíče využít vyměnitelné médium, jako je disketa či USB klíč. Pro povolení šifrování za pomoci vyměnitelného média je nutné modifikovat bezpečnostní politiku počítače, kde je nutné informovat operační systém, že TPM není vyžadován konfigurace skupinové politiky (může být i lokální). Přejděte do Konfigurace počítače Šablona pro správu Součásti Při obnovení je nutné zadat šifrovací klíč BitLocker vás provede ověřením přístupu k počítači pomocí USB tokenu systému Windows Šifrování jednotky pomocí služby BitLocker Požadovat při spuštění další ověřování a zvolte Povolit nástroj BitLocker bez kompatibilního čipu TPM. Následně je možné povolit šifrování systémového disku. Po dokončení průvodce dojde k restartu počítače a následně k zašifrování obsahu disku. V průběhu šifrování je možné běžně pracovat, nicméně pozor na snížený výkon diskového subsystému. Disk je také v průběhu šifrování plně alokován, takže je k dispozici pouze omezené množství volného prostoru. Jakmile je BitLocker povolen a na disku probíhá šifrování, je nutné při startu počítače provést ověření platnosti přístupu k počítači, a to zadáním PIN kódu, který je ve spojení s TPM čipem, případně za využití USB tokenu, který byl vytvořen předchozím postupem. V případě, že dojde ke změně boot sekvence, tedy například k zásahu na disku, změně konfigurace některých nastavení BIOSu, případně si uživatel nepamatuje přístupový PIN, je možné pro obnovení použít hesla pro obnovu, jež se vytváří při šifrování disku. Toto heslo pro obnovu může být uloženo na disku, vytisknuto, případně uloženo k objektu počítače v rámci Active Directory. Šifrování vyměnitelných médií V rámci technologie BitLocker je k dispozici také šifrování vyměnitelných médií, především tedy různých USB klíčů a disků, nicméně je možné šifrovat jakákoliv vyměnitelná mass storage média. Tato technologie se nazývá BitLocker ToGo. Pro zašifrování vyměnitelného média není nutné, aby uživatel vlastnil administrátorská oprávnění. Nastavení šifrování vyměnitelných médií může být stejně jako u pevných disků řízeno pomocí skupinových politik, kde je možné nastavení vyměnitelné médium bude pouze pro čtení, dokud nebude zašifrováno. Takto lze zajistit, že data, která budou z počítače odnášena, budou na zašifrovaném médiu. BitLocker ToGo je možné také použít na operačních systémech, které BitLocker ToGo nepodporují tedy například Windows Vista/XP. V takovém případě se při vložení vyměnitelného média do operačního systému spustí BitLocker ToGo Reader a data je možné přečíst (nikoliv zapsat to je možné pouze na Windows 7, a to i v nižších edicích, edice Ultimate a Enterprise jsou vyžadovány při vytvoření šifrovaného svazku). Pokud se podíváte blíže na obsah vyměnitelného média, pak naleznete jeden velký soubor, který je de facto šifrovaným svazkem, a několik dalších souborů, včetně BitLocker ToGo Reader. Tato struktura je viditelná právě ve starších verzích Windows. Prostředí BitLocker je kompletně integrované do operačního systému Windows, a je tedy možná jednoduchá správa pomocí skupinových politik. Klíče pro obnovu je možné ukládat nejenom na koncových zařízeních, ale také k objektu počítače v rámci Active Directory. K dispozici je také celá řada nástrojů pro správu, příkladem může být nástroj příkazové řádky manage-bde.exe, celá řada poskytovatelů WMI, VBscript a v neposlední řadě také nový nástroj z rodiny produktů Microsoft Desktop Optimization Pack (MDOP) Microsoft BitLocker Administration and Monitoring, jenž umožňuje centrální správu prostředí BitLocker. Connect! květen

6 V hledáčku počítačových zločinců je kritická infrastruktura AUTOR Zájem počítačového organizovaného zločinu se v posledních letech stále více přesouvá k velkým, mnohdy nadnárodním firmám, mezi které patří i provozovatelé kritické civilní infrastruktury, jako jsou elektrorozvodné sítě nebo systémy pro rozvod a zpracování pitné vody, ropy či zemního plynu. Podle nedávného průzkumu společnosti McAfee se zhruba třetina velkých firem domnívá, že na kybernetický útok nejsou dostatečně připraveny. Dvě pětiny korporací přitom odhadují, že k masivnímu útoku dojde v průběhu následujícího roku. O tom, že nejde o plané obavy, svědčí fakt, že podobné rozsáhlé napadení již zaznamenalo 80 % firem. Čtvrtina podniků se stala obětí vydírání ze strany počítačových kriminálníků. Experti z McAfee zjistili, že přijímání bezpečnostních opatření v civilním průmyslu nestačí držet krok s nárůstem hrozeb, ke kterému došlo za poslední rok. O vážnosti Rudolf Pleva nezávislý publicista, spolupracovník redakce situace jsou ale zřejmě přesvědčení pouze firemní specialisté na IT bezpečnost. Zhruba % ostatních zaměstnanců vnímá bezpečnost informačních systémů na jednom z posledních míst na žebříčku důležitosti. Rozvodné sítě a další kritická infrastruktura jsou přitom na počítačových sítích ve velké míře závislé. Tyto systémy se nejčastěji označují jako SCADA (supervisory control and data acquisitions, doslova nadřazené řízení a sběr dat ). Pavel Hanko, McAfee Channel Territory Manager pro ČR a SR říká: Vedle zranitelností a chyb je přitom mnohdy problematický i nevhodný návrh sítí. Relativně malý incident se pak může kaskádovitě šířit a nakonec vyřadit z provozu značnou část sítě. To může vést například k přerušení dodávek ropy nebo tzv. blackoutu v případě elektrorozvodných sítí. Nejčastější formou kybernetických útoků vůči provozovatelům kritické infrastruktury jsou podle Hanka útoky na dostupnost služby (DDoS, distributed denial of service). S těmito incidenty se setkaly čtyři z pěti firem a jejich počet stále roste. Ještě více, zhruba 85 % podniků, se již potýkalo se zavirovanou počítačovou sítí. Čtvrtina společností uvádí, že k takovým útokům dochází denně či týdně nebo jimi vyděrači aspoň vyhrožují. Pořád ten Stuxnet Téměř polovina elektroenergetických firem a zhruba 40 % v ostatních odvětvích loni objevila ve svých systémech červ Stuxnet. Tento mimořádně ničivý kód loni mimo jiné zaútočil na řízení provozu obohacování uranu v Íránu. Na nový malware poprvé upozornila běloruská bezpečnostní firma VirusBlokAda v polovině června minulého roku. Velmi důmyslný červ se šířil například prostřednictvím USB klíčů a využíval zero-day zranitelnosti operačních systémů Windows, přičemž se útočníci zaměřili především na počítače, jejichž součástí jsou systémy SCADA. Jakmile se dostal do místní počítačové sítě, překonfiguroval software 56 Connect! květen 2011

7 a změnil instrukce pro technické řízení. Nejúčinněji se výskyt Stuxnetu podařilo potlačit v Itálii, Japonsku a Spojených arabských emirátech, tento malware je dnes rozšířen naopak hlavně v Indii. Podíl firem, které se staly obětí vydírání hackery, se za poslední rok zvýšil o čtvrtinu na 25 %. V této oblasti existují velké regionální rozdíly. Mnohem častější je vydírání například v Indii nebo Mexiku, kde se s ním setkalo % podniků. Hackeři přitom napadají všechna odvětví kritické infrastruktury zhruba stejnou intenzitou. Útočníci mnohdy nevyhrožují planě, ale jsou schopni fungování kritické infrastruktury narušit. Předpokládá se, že za výpadky elektrorozvodných sítí v řadě zemí světa opravdu stály kybernetické útoky, ačkoliv z oficiálních míst to bývá jako příčina incidentů obvykle popíráno, uvedl ředitel SANS Institute Allan Paller. Právě vydírání je podle něj velikou, a přitom obvykle málo zmiňovanou oblastí kybernetické kriminality. Za rostoucím počtem útoků na strategické podniky souvisí zásadní přeměna na poli počítačového zločinu, ke které začalo docházet na začátku tisíciletí. Z kybernetické kriminality se stal výnosný byznys, ve kterém osamělé geeky stále více nahrazují organizované skupiny s napojením na klasický organizovaný zločin. Dalším fenoménem jsou politicky motivované útoky a možná zainteresovanost některých vlád na vysoce sofistikovaných kybernetických incidentech. Po objevení Stuxnetu nebo dalšího cíleného útoku Hydraq začínají odborníci stále častěji hovořit o hrozbě kybernetické války. Zároveň se experti shodují v tom, že míra zabezpečení počítačových sítí, včetně těch kritických, je nedostatečná. Podle studie McAfee se oproti loňskému roku míra zabezpečení kritické infrastruktury zvýšila jen velmi málo a k relativně největšímu zlepšení situace došlo jen u vodárenských firem a provozovatelů kanalizací. Příliš se nezlepšila ani příprava na nejvíc rozšířené hrozby, jako jsou DDoS útoky. Podle zjištění není na DDoS útoky připravena zhruba třetina firem s kritickou infrastrukturou. Jen částečnou přípravu, na které je ještě možné leccos zlepšit, přiznává 35 % IT manažerů. Podobné je to i u prevence proti skrytým infiltracím, na které je zcela nepřipraveno 32 % firem a pouze částečnou přípravu přiznává 38 % podniků. Pozor na sofistikované útoky Firmy se při ochraně své infrastruktury často přednostně zaměřují na hrubé útoky, které se nijak nemaskují, namísto ochrany před sofistikovaným malwarem provádějícím nepozorovaně sabotáž. Pokroky v této oblasti jsou jen velmi pozvolné. Nástroje ke sledování činnosti sítí používá jen čtvrtina firem a podobné procento podniků se zabývá detekcí neobvyklého chování informačních systémů. Programy s cílem nenápadně rozvracet počítačové sítě se přitom objevují u tří čtvrtin podniků, komentuje dění Hanko. Vážná bezpečnostní rizika existují i ve vztahu k právě zaváděným inteligentním elektrorozvodným sítím, které umožňují například v reálném čase regulovat výrobu a spotřebu elektrické energie. Tyto tzv. smart grids totiž zasahují až ke koncovým odběratelům, a do rukou hackerů se tak mohou dostat citlivá data o účtování nebo odběru energií. Tato data navíc mohou neoprávněně modifikovat. Celosvětový trh s těmito sítěmi se v roce 2015 odhaduje na 45 miliard dolarů. Elektrorozvodné firmy a další provozovatelé infrastruktury by se podle doporučení McAfee měli zaměřit především na zlepšení mechanismů pro autentizaci uživatelů, například využitím biometrických identifikátorů namísto používání hesel. Dalším doporučením je zaměření se na šifrování dat a zároveň sledování neobvyklého dění v síti. Zvýšený dohled by měly firmy věnovat i novým přístupovým kanálům do sítí, jako je internet, mobilní zařízení či přenosná média, například USB klíče. K včasnému varování by pak mohlo pomoci efektivní partnerství firem s jednotlivými vládami. V zavádění bezpečnostních opatření zaostávají hlavně Brazílie, Mexiko a Francie, na opačném konci žebříčku se nacházejí Firmy jsou často vydírány počítačovými hackery. Za poslední rok počet případů narostl o 25 % Čína, Japonsko a Itálie. USA a Evropa jsou za asijskými zeměmi pozadu v míře zapojení vlád. V Číně a Japonsku probíhá s ohledem na zabezpečení kritické infrastruktury mezi komerčním sektorem a vládami řada formálních i neformálních kontaktů, naopak v USA, Velké Británii nebo Španělsku je takových interakcí minimum. V Číně musejí provozovatelé kritické infrastruktury procházet náročnými bezpečnostními audity. Ani vládní angažmá nebo mezinárodní spolupráce při potlačování stávajících kybernetických hrozeb však problém zcela nevyřeší a zločinci budou vždy o krok napřed. Jde o to, aby ten krok byl co nejmenší. Connect! květen

8 AUTOR Problematiku bezpečnosti sítí a jejich služeb s důrazem na oblast řešení bezpečnostních incidentů řeší profesionální týmy CSIRT (Computer Security Incident Response Team), případně CERT (Computer Emergency Response Team). Uplynulá dekáda znamenala překotný rozvoj internetu a také jeho masivní komercionalizaci. Zvýšil se počet služeb dostupných jeho prostřednictvím a především počet provozovaných kritických aplikací, a to jak ve sféře komerční (elektronické bankovnictví, elektronické obchody), tak ve sféře státní (systémy bezpečnostních složek, informační servis státní správy a samosprávy). S tím souvisí nejen zvyšující se počet bezpečnostních incidentů, ale i nárůst jejich závažnosti a negativního dopadu na chod firem a soukromý život uživatelů. Proto je nutné, aby na možnost narušení bezpečnosti sítě a služeb na ní provozovaných byli jejich správci a uživatelé připraveni a měli k dispozici funkční struktury, efektivní postupy, pravidla a technické prostředky vedoucí k co nejrychlejšímu odstranění problémů při minimalizaci škod. První CERT tým vznikl v roce 1988 na Carnegie Mellon University (CMU) jako reakce na jeden z prvních vážných bezpečnostních problémů tehdejšího internetu, tzv. Morissův červ. Nejcennějším výsledkem práce tohoto týmu, který byl zřízen především za účelem nalezení účinné obrany proti jedinému (byť pustošivému) incidentu, bylo poznání, že nejdůležitější je být na možnost narušení bezpečnosti předem připraven a v okamžiku problému spustit předem definovaný a vyzkoušený záchranný plán, a ne teprve začít zkoumat, co je nutné udělat. Výsledek práce prvního ad hoc CERTu na CMU odstartoval éru budování světové infrastruktury týmů tohoto typu. Carnegie Mellon University si zkratku CERT zaregistrovala jako ochrannou známku, a ač se jejímu užití ostatními organizacemi v tomto kontextu nebrání, právě toto bylo příčinou vzniku a zavedení druhého pojmu CSIRT, přičemž obě zkratky vyjadřují totéž. CERT/CSIRT dané sítě (organizace) tedy představuje záchytný bod, na který je možné se obrátit se zjištěným bezpečnostním problémem (nebo jen podezřením), který by tým měl prozkoumat a podle možností zjednat nápravu. Existence aspoň jednoho oficiálního CERT/CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, univerzitní, rozsáhlé koncové apod.), tzn. na úrovni velkých ISP, ale také v bankách nebo u poskytovatelů služeb. Významnou a specifickou roli mají zastřešující vrcholové týmy tzv. národní nebo vládní, o kterých bude řeč později. Globálně lze pak na existující CERT/CSIRT týmy nahlížet jako na infrastrukturu, která řeší bezpečnostní problémy Internetu. Vznik a fungování CSIRT týmu Organizace, která se rozhodne zřídit tým typu CERT/CSIRT, si musí na začátku jasně a srozumitelně definovat, čeho chce ustavením týmu dosáhnout a jakou roli od nově zřizovaného týmu chce, tzn. definovat jeho pole působnosti a provozované služby. Aby se tým mohl oficiálně nazývat týmem typu CERT/CSIRT, je potřeba, aby nabízel především službu řešení nebo koordinace řešení bezpečnostních incidentů v rámci definovaného pole působnosti, a tím naplnil slovo response použité ve zkratkách CERT a CSIRT reakce na bezpečnostní incident. Polem působnosti je obvykle myšlena oblast kyberprostoru, ve které je tým způsobilý konat a nad kterou má příslušné pravomoci a odpovědnosti definované zřizovatelem. Na základě deklarovaného pole působnosti je potom tým kontaktován např. napadenými a řeší problémy ve sféře svého vlivu. Pole působnosti týmu může být definováno jako konkrétní síť/sítě, autonomní systém(y), jmenná doména/domény. Týmová práce pro zajištění bezpečnosti komunikačních sítí Andrea Kropáčová Šéfka modelového pracoviště CSIRT.CZ a bezpečnostního týmu CESNET-CERTS Na úplném počátku při vytváření týmu typu CERT/CSIRT ale stojí také vybudování jeho zázemí technické, administrativní a organizační bez kterého nemůže efektivně fungovat žádný tým. Technickým zázemím se myslí například nástroj pro efektivní správu hlášení bezpečnostních incidentů, který umožní sledovat celý jeho životní cyklus kdo se v kterých fázích incidentem zabýval, proč, jak postupoval, koho požádal o spolupráci apod. Pro tuto oblast týmy obvykle používají různé ticketovací systémy, např. RTIR (Request Tracker for Incident Response), OTRS (Open Source Ticket Request System). Dalšími důležitými pomocníky na poli technických nástrojů jsou různé systémy IDS (Intrusion Detection System), systémy pro bezpečnostní audity, forenzní analýzy, sledování provozu sítě (netflow) apod. Zázemí administrativně-organizační představuje právě onu připravenost na problém, tzn. definování základních pravidel pro chod týmu tak, aby každý člen týmu znal svou roli, povinnosti a zodpovědnost, politiku postupu řešení bezpečnostních incidentů, pravidla pro komunikaci a spolupráci apod. Základem v této oblasti je obecně dobře zvládnutý tzv. incident management, kterým se ovšem v tomto článku dopodrobna zabývat nebudu. Spolupráce CERT/CSIRT infrastruktury V současnosti neexistuje oficiální hierarchie CERT týmů. Tyto týmy vznikaly a vznikají dobrovolně a v samotném jejich zájmu je navzájem efektivně komunikovat, vyměňovat si důležité informace a poznatky a spolupracovat. Sdružují se proto v mezinárodních organizacích. V současnosti nejznámější a nejaktivnější organizace, které se touto problematikou zabývají, jsou následující: 58 Connect! květen 2011

9 TERENA The Trans-European Research and Education Networking Association, FIRST Forum for Incident Response and Security Teams, ENISA European Network and Information Security Agency, europa.eu. Všechny tři výše zmíněné organizace představují platformu, která umožňuje pravidelná setkávání, výměnu zkušeností a definování základních pravidel spolupráce a komunikace mezi světovými CERT/ CSIRT týmy. Světovou infrastrukturu CERT/CSIRT týmů v současné době představuje cca 250 týmů, které jsou buď členy organizace FIRST nebo spolupracují s evropsky působícími organizacemi TERENA a ENISA. Národní a vládní týmy CERT/CSIRT Jak už bylo řečeno, speciální úlohu v této bezpečnostní infrastruktuře mají týmy národní a vládní. Národní CERT/CSIRT týmy v prostředí svých zemí obvykle plní především roli národního PoC (Point of Contact) pro sdílení informací s ostatními světovými CERT/ CSIRT týmy a se subjekty a organizacemi země působnosti. Na základě znalostí světové infrastruktury a prostředí dokáže národní tým efektivně nastavit a zprostředkovat komunikační kanály mezi zainteresovanými subjekty, například v okamžiku řešení vážného, často plošného, bezpečnostního incidentu. Z pohledu stále zdůrazňované služby řešení bezpečnostních incidentů pak národní tým funguje jako tzv. tým posledního útočiště (last resort). To znamená, že tomuto týmu mohou být oznamovány bezpečnostní incidenty, které mají původ v sítích provozovaných v dané zemi, a to v okamžiku, kdy tým (osoba) zodpovědný za síť (zařízení), která je zdrojem problému, problém neřeší, nebo vůbec nereaguje, odmítá řešit nebo takový kontakt není možné nalézt (nebo není platný). Plní roli poslední možné instance v případě přetrvávajícího problému, od které je možné očekávat pomoc. Je nutné zdůraznit, že národní CERT/ CSIRT není primárně určen k fyzickému řešení konkrétních zaznamenaných problémů (incidentů). V případě vzniku incidentu je vždy žádoucí, aby byl co nejrychleji kontaktován přímo tým konkrétně zodpovědný za danou síť, který má možnost zasáhnout (třeba i fyzicky a provést odpojení problémové sítě nebo zařízení), a případně následně národní tým až v případě přetrvávání problému v rámci eskalace jeho řešení. Dalším momentem, kde má národní CERT/ CSIRT v této oblasti uplatnění, mohou být útoky většího rozsahu, kdy je potřeba rychlé vyhodnocení situace, koordinace spolupráce mnoha subjektů a varování dalších možných potenciálních cílů. Další důležitou rolí národního CERT/ CSIRT, kterou pracoviště tohoto typu má plnit, je role fóra pro výměnu zkušeností a navázání bližší spolupráce mezi subjekty typu CERT/CSIRT týmy, poskytovatelé připojení, poskytovatelé obsahu, banky, bezpečnostní složky státu apod. a pomoc organizacím ve vybudování jejich vlastních CERT/CSIRT týmů. V neposlední řadě se národní CERT/ CSIRT obvykle věnuje šíření osvěty a vzdělanosti v oblasti počítačové bezpečnosti směrem k uživatelům (občanům). Do této oblasti patří pořádání vzdělávacích akcí, informování uživatelů např. o aktuálních hrozbách prostřednictvím médií, webových stránek nebo elektronické pošty. Obecně může národní tým CERT/CSIRT nabízet celou řadu reaktivních i proaktivních služeb v oblasti bezpečnosti, záleží především na jeho provozovateli. Týmy označované jako vládní jsou obvykle určené pro dohled nad sítěmi státní správy, samosprávy a tzv. kritické infrastruktury země. V některých zemích, za všechny jmenujme například Finsko, jsou týmy tohoto typu zřízené přímo státem na základě zákona, který definuje jejich pravomoc, pole působnosti a zodpovědnost. V mnoha zemích plní vládní týmy zároveň roli národního týmu. V zemích, kde není ustaven ani národní ani vládní tým, ale existuje zde CERT/CSIRT tým například v prostředí významného ISP nebo v akademickém sektoru, je tento tým světovou infrastrukturou chápán jako de facto národní a tuto roli národního týmu plní. Tuto situaci lze velmi dobře ilustrovat například na známých útocích na Gruzii, kde se role hlavního koordinátora obrany ujal tým CERT-GE provozovaný organizací GRENA (Georgian Research and Educational Networking Association), jediný v té době existující tým typu CERT. Situace v České republice V České republice existují v současné době čtyři konstituované a světovou komunitou oficiálně uznané CERT/CSIRT týmy: CESNET-CERTS provozovaný sdružením CESNET, z.s.p.o. CZNIC-CSIRT provozovaný sdružením CZ.NIC, z.s.p.o. CSIRT-MU provozovaný Masarykovou Univerzitou Brno CSIRT.CZ vytvořený v rámci grantu MVČR Bezpečnostní tým CESNET-CERTS ( je zodpovědný za řešení bezpečnostních incidentů v síti národního výzkumu a vzdělávání CESNET2. Uživatelé sítě CESNET2, což jsou především studenti a zaměstnanci českých univerzit a Akademie věd, spadají do pole působnosti tohoto týmu a mohou mu hlásit zjištěné bezpečnostní incidenty. Tým CES- NET-CERTS je v síti CESNET2 (autonomní systému AS2852) způsobilý konat a řešit bezpečnostní incidenty přímým zásahem. Pracoviště CSIRT.CZ ( vzniklo v rámci plnění grantu Ministerstva vnitra České republiky Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů České republiky (identifikační kód projektu je VD B013). Toto pracoviště je označováno jako modelové a bylo vybudováno za účelem ověření stavu bezpečnostní infrastruktury v ČR a ověření realizovatelnosti distribuované hierarchie pro systematické plošné řešení bezpečnostní problematiky v počítačových sítích ČR prostřednictvím CSIRT týmů. Provoz tohoto týmu byl spuštěn 3. dubna 2008 a v květnu téhož roku byl přijat evropskou infrastrukturou CERT/CSIRT týmů jako pracoviště typu CSIRT s rolí last resort pro Českou republiku. Další funkční tým typu CSIRT je provozován také Ministerstvem obrany ČR jedná se o vojenský CSIRT tým určený pro spolupráci s obdobnými týmy v rámci členských zemí NATO. Je pravděpodobné, že ačkoliv v rámci dalších komerčních organizací nejsou CERT/CSIRT týmy oficiálně ustaveny, existují zde oddělení nebo osoby, které se bezpečností sítí a služeb reálně zabývají a roli CERT/CSIRT týmu de facto plní. Tato oddělení a týmy nejsou ale napojeny na světovou bezpečnostní infrastrukturu CERT/CSIRT týmů a nezapojují se do spolupráce a výměny informací. Český národní tým Česká republika se o vybudování národního nebo vládního pracoviště typu CERT/ CSIRT snaží již několik let. Za první dobrý krok lze v tomto směru považovat vybudování již zmíněného modelového pracoviště CSIRT.CZ, které vzniklo v rámci vědecko-výzkumného grantu MV ČR. CSIRT.CZ položilo základy pro další rozvoj vrcholové úrovně CERT/CSIRT infrastruktury v ČR, a to především v oblasti spolupráce lokální a mezinárodní, protože žádný CERT/CSIRT, obzvláště ne národní nebo vládní, nemůže pracovat izolovaně. V únoru tohoto roku bylo při Ministerstvu vnitra České republiky zřízeno Oddělení kybernetické bezpečnosti, které má kromě mnoha jiných povinností za úkol zajišťovat provoz vládního pracoviště CSIRT. O dalším vývoji tedy rozhodnou následující měsíce. Nezbývá než doufat, že se Česká republika již brzy připojí k těm zemím EU, které mají oficiálně zřízen funkční národní nebo vládní CERT/CSIRT. Connect! květen

10 AUTOR Velkou hrozbu pro firmy znamená především únik dat, vůči kterému není imunní žádná společnost bez ohledu na velikost nebo obor. Vanson Bourne jménem společnosti Dimension Data provedl začátkem roku 2011 průzkum mezi reprezentativním vzorkem 200 IT zaměstnanců s rozhodovacími pravomocemi (CIO, IT ředitelé, IT manažeři, atd.), kteří pracují ve firmách ve Velké Británii s více než 500 zaměstnanci. Z výsledků studie vyplývá, že každá desátá velká společnost ve Velké Británii zažila únik dat a každá dvacátá byla podobným únikem poškozena. Navíc více než polovina respondentů (51 %) se domnívá, že jejich firma byla poškozena únikem, o kterém ani neví. Navzdory tomu 31 % společností ani neposoudilo obchodní rizika spojená s únikem dat. Formy poškození mohou být různé, od poškození dobrého jména (zaznamenalo 91 % poškozených společností), přes ztrátu konkurenční výhody (27 % poškozených firem), ztrátu dodavatelů/ partnerů (18 %) a zákazníků (9 %) až po sankce za nedodržování dohod (9 %). Prevence šetří náklady Prvním krokem v oblasti zabezpečení dat by měla být implementace technologií prevence ztráty dat (DLP). Přestože v důsledku úniku dat dochází k výrazné ztrátě potenciálních zákazníků a ztrátě dobré pověsti, nejsou firemní investice do DLP dostatečné. Společnosti potom musí vynaložit vysoké částky na změnu procesů, zabezpečení dat a školení zaměstnanců. Podle průzkumu mezi hlavní překážky pro přijetí DLP patří: Ostatní IT výdaje mají vyšší prioritu, vedení společnosti není dostatečně ochotné provést potřebné investice a není jistota, že je DLP pro společnost nezbytné Firmy věří, že jim se podobná věc nestane a prosazují reaktivní přístup Absence diskuze o rizicích na úrovní vrcholového managementu společnosti Rizika spojená s únikem dat lze jen těžko vyčíslit, a proto je složité připravit důvody pro investice do zabezpečení dat. Úkolem pro IT zaměstnance s rozhodovacími pravomocemi by tak mělo být vytváření obchodních případů z této oblasti. V současné době existuje již mnoho veřejně známých případů úniku dat, což argumentaci usnadňuje. DLP je potřeba přizpůsobit konkrétním potřebám jednotlivých společností. Nejdříve je nutné provést komplexní analýzu bezpečnostní situace, aby mohlo dojít k přijetí DLP a snížení rizika. Zbyszek Lugsch Sales & Solutions Director, Dimension Data Czech Republic a.s. Další pohled na DLP Útoky hackerů jsou sofistikované a nebezpečné, ale jako jeden z nejčastějších problémů se nakonec jeví člověk, který nedbá na bezpečnost, není poučený nebo prostě má možnost vynést citlivá firemní data. Tomu se snaží zabránit technologie Data Loss Prevention. V některých případech nakonec nemusí dojít k novým investicím, ale již tento proaktivní přístup je správným krokem, který se v případě úniku pozitivně projeví. Informace jsou dnes prostřednictvím internetu šířeny rychleji než kdykoli dříve, k čemuž přispívá i rozvoj sociálních sítí, takže se znásobuje dopad úniku. Nicméně přesto má řada společností reaktivní přístup a spoléhá na to, že právě jim se nic podobného nestane. Ovšem pokud společnost není na tuto situaci připravena, dochází k pomalejší reakci a následky jsou o to horší. Změny přijímané v krizové situaci jsou podstatně nákladnější a komplikovanější než opatření přijatá předem. Mobilní zařízení pomocník i hrozba Mobilní zařízení představují pro IT specialisty zcela novou výzvu v oblasti zabezpečení dat. Specifickou oblastí je právě ochrana před únikem dat. V posledních letech došlo k dramatickému nárůstu počtu těchto přístrojů. Obliba chytrých mobilních zařízení překonává oblibu osobních počítačů. Podle odhadů bude během následujících pěti let více lidí připojeno k internetu přes tyto přístroje než přes osobní počítače. Zároveň dochází k prolínání pracovního a osobního života, takže zaměstnanci často využívají jedno zařízení doma i v práci. Většina znalostních pracovníků se dnes již neobejde bez notebooku nebo chytrého telefonu a po správcích IT požadují možnost dostat se ze svého zařízení do podnikové sítě. Na rozdíl od klasických počítačů ale mobilní zařízení v podstatně vyšší míře fungují na různých platformách, z těch hlavní jmenujme Apple ios, Google Android, BlackBerry a Windows Phone, což znesnadňuje jejich integraci do firmy a rizika se mnohonásobně zvyšují. Zapojení nových zařízení do podnikového prostředí je samo o sobě bezpečnostní riziko. Navíc pro počítačové zločince jsou tyto přístroje mnohem atraktivnější než klasické počítače, protože jsou většinu času zapnuté a někdy vůbec nedochází k jejich vypínání. Klasické stolní počítače nejsou například přes noc aktivně připojené k síti, ale mobilní zařízení jsou již ze své podstaty většinou připojená nepřetržitě, takže mohou sloužit jako dokonalý zdroj aktuálních informací. Navíc útočníci sice napadnou jeden přístroj, ale ten v sobě spojuje hned několik komunikačních kanálů. Chytré telefony kombinují klasickou hlasovou komunikaci, textové zprávy, ovou komunikaci, IM, ale také slouží pro ověřování například bankovních hesel. Ještě před integrací mobilních zařízení do podnikové sítě je nutné udělat důkladnou analýzu a zjistit všechna bezpečnostní rizika a jejich dopady. Následně je potřeba aktualizovat celkovou bezpečnostní strategii a vytvořit bezpečnostní politiku pro mobilní zařízení. V bezpečnosti není žádný stav definitivní a také v tomto případě musí být strategie průběžně aktualizována a vy- 60 Connect! květen 2011

11 hodnocována. Pokud dojde k zanedbání průběžného updatování bezpečnostního přístupu, může dojít k zásadnímu narušené celého systému. Mobilní zařízení a jejich operační systémy mají velkou výhodu, že jejich architektura byla vyvinuta teprve v nedávné minulosti, kdy již povědomí o hrozbách bylo vysoké. Výrobci od samého počátku při vývoji kladli velký důraz na bezpečnost a zabezpečení je velkou výhodou těchto přístrojů. Aplikace lze ale snadno stahovat prostřednictvím různých služeb pro uživatele zařízení Apple je k dispozici App Store, pro uživatele přístrojů se systémem Android je připravený Android Market a pro BlackBerry App World a mohou je tvořit i běžní uživatelé, což představuje významné riziko. Například Apple proto všechny aplikace kontroluje a ověřuje ještě před jejich zařazení do App Store. Mobilní platformy jsou také přirozeně více odolné vůči škodlivému kódu. To ale neznamená, že by tato zařízení byla vůči hrozbám imunní. Například dochází ke zneužívání zranitelností v PDF nebo prohlížečích, ale objevují se i rafinovanější cílené hrozby, které se vydávají za legitimní aplikace. Na chytrých telefonech se systémem Android již například podvodná aplikace informovala zločince o aktuální poloze uživatelů a zároveň vybízela k boji proti pirátství a stahování nelegálního softwaru. Lákavý cíl pro zloděje Mobilní zařízení nelákají jen počítačové zločince, ale i klasické zločince. Moderní přístroje jsou kompaktní a snadno se vejdou pouze do kapsy. Pro zloděje pak není problém takové zařízení ukradnout a získat velmi cenná data. Nebezpečím přitom není jen krádež, ale i obyčejná ztráta. Pro kriminálníky se jedná o zajímavý cíl, což potvrzují i statistiky: Zaměstnanci na služebních cestách na letištích v Severní Americe ztratili za pouhý jeden víkend notebooků 63 % malých a středních firem ztratilo nějaké přenosné zařízení v minulém roce Při průzkumu 100 % organizací potvrdilo, že firma nemá technologie na vzdálené smazání citlivých dat 42 % narušení dat v Severní Americe bylo v důsledku ztráty nebo ukradení zařízení Jako příklad můžeme například uvést ztrátu prototypu Apple iphone 4 ještě před jeho oficiálním představením. Technik společnosti Apple ztratil telefon v jednom baru a technologický web Gizmodo zaplatil dolarů jeho nálezci a jako první přinesl fotografie a komplexní reportáž a novém zařízení. Důsledky ztráty zařízení mohou být ještě katastrofálnější, když vezmeme v úvahu předpisy o ochraně údajů. Současná legislativa sice ještě není detailně propracovaná, přesto (anebo právě proto), je potřeba tomuto bodu věnovat velkou pozornost. Například v oblasti digitalizace zdravotnictví a s rozvojem programu e-health je zabezpečení dat klíčové. Zdravotní personál v mobilních zařízeních snadno může aktualizovat informace o pacientech, ale zároveň se tím zvyšuje riziko úniku informací. Optimálním řešením je přechod na sjednocenou komunikaci, takže chráněna jsou nejenom data, ale veškerá komunikace, od hlasu až po IM. Vzdělávání a osvěta V oblasti firemní bezpečnosti je tradičně velkou hrozbou samotný uživatel. Firmy musí klást velký důraz na školení a vzdělávání zaměstnanců. Uživatelé musí rozumět rizikům a znát zásady bezpečnosti. V minulém roce došlo k rapidnímu nárůstu cílených hrozeb a tento trend bude pokračovat Mobilní aplikace v app storech jsou sice kontrolovány ještě před umístěním do obchodu, i tak jsou ale uzavřené mobilní systémy bezpečnostním rizikem. Škodlivý kód se do systému může dostat například formou PDF přílohy v u i v následujících letech. Útočníci se zaměřují pouze na přesně definované skupiny, skrz které se dostanou k hledaným informacím. Hrozby jsou tak důmyslnější a pro obyčejné uživatelé je stále složitější útoky rozeznat. Navíc počítačoví zločinci zneužívají i sociální sítě. Ovšem jejich striktní zákaz problém nevyřeší. Opět je potřeba je ošetřit v rámci sjednocené komunikace. Pokud má být celý proces efektivní, musí být všechna opatření v rovnováze se svobodou, kterou mají zařízení poskytovat. Pokud jsou nařízení stanovená příliš přísně, dochází k jejich nedodržování a porušování, a tím se hroutí celý systém. Optimální je tedy definovat nastavení ve spolupráci s uživateli. Sjednocená komunikace Integrace mobilních zařízení, ať již se jedná o notebooky, chytré telefony nebo například tablety, by mělo být součástí jedné komplexní firemní strategie, která tyto přístroje zapojí do struktury jednotné komunikace. Teprve v rámci ní uživatelé plně využijí potenciál všech nových technologií. Optimální je propojení mobilních zařízení s cloudovými technologiemi a službami, protože stačí relativně malý výpočetní výkon a přístup k internetu a zařízení se promění v plně mobilní kancelář. Uživatelé v rámci sjednocené komunikace mohou snadno také přepínat mezi mobilní sítí a bezdrátovou podnikovou sítí, takže jsou k zastižení na jednom čísle bez ohledu na používané zařízení. Sjednocená komunikace je bezpečná a efektivní cesta. Ale hned na počátku je potřeba neztratit se na rozcestí, pokud má cesta vést do úspěšně cíle. Nastavení celého systému je velmi citlivé, a základy je proto potřeba vybudovat velmi pevně. Firmy by proto neměly váhat s kontaktováním firem, jako je Dimension Data, a své vize s nimi konzultovat. V minulosti řada firem odmítala z principu přejít na moderní technologie, ale lpět na tradičních hodnotách lze i jinak. Firmy dnes musí pružně reagovat na vývoj trhu a musí mít možnost vstupovat na nové trhy a rozvíjet své podnikání. Mobilní zařízení dávají zaměstnancům svobodu. Není nutné sedět v kanceláři u stolu a pracovat je možné prakticky odkudkoli. Výrazně se tak zvyšuje produktivita a efektivita pracovníků a zároveň se zvyšuje jejich spokojenost. Podle průzkumů většina zaměstnanců dává přednost volnosti před vyšším platem. Firmy by tedy již neměly přemýšlet, jestli se touto cestou vydat nebo ne, ale svou energii by měly zaměřit směrem, jak tuto transformaci provést bezpečně. Přestože mediální povyk kolem nových hrozeb je místy lehce přehnaný, podceňovat rizika se nevyplácí. Connect! květen

12 AUTOR Architektura SecureX Bob má na starosti bezpečnost v docela úspěšné mezinárodní firmě. Zrovna cosi testuje, ale na chvíli přerušuje práci, upíjí z kalíšku, zavírá oči a vzpomíná. Donedávna to byla celkem pohoda. Každý z kolegů měl jeden černý notebook, na všech běžel jeden operační systém s ověřenou sadou aplikací. Pak se ale začalo dít něco zvláštního. Objevili se první otravové s bílými notebooky a méně obvyklým operačním systémem. Že se jim líbí a nic jiného nechtějí. Potom začali vyměňovat svoje staré dobré telefony za nové, inteligentnější. Ani by nevadilo, že se při jednáních nesoustředili, každou chvíli je vytahovali a nepříčetně osahávali, někdy i dvěma prsty současně ale oni na nich měli další operační systémy. A začali se s nimi připojovat do sítě, a ještě se domáhali přístupu k aplikacím. A do toho všeho přišly ty tablety. Bob si najednou vzpomněl, sáhl do kapsy a vzal si další tabletu. Hned mu bylo o něco líp. Tak třeba Cyril, typický potížista. Má tři mobilní zařízení telefon s iosem, tablet s Androidem a notebook s Linuxem. Prostě lahůdka. Své mazlíčky běžně připojuje do sítě současně na různých místech. Notebook nechá večer ve firmě, aby přes noc zazálohoval svých dvacet gigabytů dat. Pak si klidně odejde domů, kde vytáhne tablet, aby si konečně přečetl poštu. Přitažlivé hračky se ale samozřejmě zmocní jeho děti. Přes domácí Wi-Fi a již spuštěný VPN tunel se snaží proniknout do další úrovně napínavé hry. Jakýkoliv pokus zmocnit se Ivo Němeček Vedoucí týmu konzultantů a systémových inženýrů, Cisco Systems tabletu Cyril po chvíli vzdává. Nechává tablet malé havěti napospas a nachází přístřeší v nedalekém pohostinství, kde si s mobilním telefonem užívá druhou směnu. Bob z toho občas propadá trudnomyslnosti nejenže musí zajistit aspoň rozumnou bezpečnost třem zařízením s různými operačními systémy místo jednoho. Ale ještě musí přemýšlet, která z těch tří jsou připojena oprávněně. Jsou všechna v povolaných rukou? Má dvě z nich zablokovat? Ale která? Pokud by šlo jen o jednoho potížistu a tři mašiny, ale ono je jich několik tisíc a strojů skoro třikrát tolik. A to je jen začátek. Ještě nedávno měla firma jedno připojení do internetu. To byla pohoda. Demilitarizovaná zóna, soustava firewallů, IPS, pár bran pro VPN, web a poštu, průzračná architektura, všechno v jednom místě a celkem pod kontrolou. Doba se mění Pak se ale uživatelé zbláznili do videokonferencí. Dokud je používali jen ve firmě, tak to šlo. Ale potom se začali propojovat i s partnery a zákazníky, tedy ven ze sítě, často v HD kvalitě, že prý jim to šetří čas a kdesi cosi. Všechno video, někdy i několik megabitů za sekundu pro jedinou dvojici, se začalo valit přes centrálu za oceánem, tam a zpátky, křížem krážem, dokonce i když oba propojení seděli pod jednou střechou. Kupodivu to nějakou dobu docela dobře šlapalo i přes internet, než se linky naplnily. Začalo být jasné, že mnohem levnější bude zřídit místní přípojky do internetu než pořád posilovat mezinárodní trasy. A olej do ohně přilily ty nešťastné cloud služby. Napřed byly jak yetti, rok dva o nich každý mluvil, i když je nikdo nikde neviděl. Pak ale přece jen přišly. A začaly se z nich valit gigabajty dat nahoru a dolů. A přesouvaly se do nich kritické aplikace, citlivé na parametry přenosu, například videokonference nebo rychlé transakce. Někteří obchodníci se dožadovali milisekund v odezvách a přitom se tvářili docela vážně. Ale jak na to, když jen do centra a zpátky to rychleji než za 80 milisekund v principu nejde? Nebylo vyhnutí, začala se vytvářet místní připojení do internetu. To síti hodně odlehčilo a parametry přenosu se pro většinu aplikací zřetelně zlepšily. Ale pro bezpečnost to byla rána. Komunikace se rozprostřely intenzivní komunikací každého s každým a všemi směry, okraje sítě se rozmazaly nepřeberným množstvím přenosných zařízení a různých typů připojení. Bobovi bylo zřejmé, že se musí změnit i způsob, jakým bude síť chránit: Síť i správce musí mít přehled o tom kdo, kde, z jakého zařízení a v jakých souvislostech je připojen. Bezpečnost se musí rozprostřít podobně jako komunikace, musí proniknout skrz celou infrastrukturu. Bezpečnostní i síťové technologie musejí zvládat dynamické multimediální komunikace. Události v síti je nutné posuzovat v souvislostech, ne izolovaně v jednom místě. Síť i bezpečnostní zařízení musí mít přístup ke globálním informacím o aktuálních hrozbách. Jinak se nové hrozby nedají správně vyhodnotit a reagovat na ně v reálném čase je skoro nemožné. Bez softwaru pro jednotnou správu bezpečnosti to dál nepůjde. Takový software musí jednoduše formulovat globální pravidla a zavádět je do celé sítě, optimálně co nejblíže ke koncovým zařízením. S nástupem virtualizace je nutné účinně chránit data a aplikace ve fyzickém i virtualizovaném prostředí. Bob se začal rozhlížet, jestli by nenašel něco, co by jeho představy aspoň částečně naplnilo. Narazil na concept SecureX architektury. Jak si přečetl, SecureX je architektura, kde jednotlivé součásti spolupracují na zabezpečení sítě jako celku. Přitom právě hodnocení souvislostí je klíčem pro účinnou ochranu. SecureX posoudí identitu uživatele, typ zařízení, se kterým pracuje, způsob, jakým je připojen a aplikace, které používá. Zároveň bere v úva- 62 Connect! květen 2011

13 hu informace o aktuálních hrozbách. Ty jsou v reálném čase dostupné v globální databázi. Po prvním přečtení Bob pojal podezření, že jde o vizi, kterou sotva dostane do skutečné sítě. Pak se podíval blíž na jednotlivé součásti SecureX a jejich vlastnosti. Anyconnect klient zajistí ověřování uživatelů a přezkoumá stav mobilních zařízení různých typů, s různými operačními systémy. Technologie TrustSec v LAN infrastruktuře vyhodnotí údaje o přihlášeném uživateli, o zařízení, ze kterého je připojen, a klasifikuje a šifruje přenášená data. Klasifikace pak využívají bezpečnostní a síťová zařízení pro přidělování přístupu ke zdrojům ve fyzické infrastruktuře, virtualizovaném prostředí nebo ke cloud službám. Bezpečnostní funkce sítě jsou velmi silné. Síťová zařízení mohou ověřovat uživatele, šifrovat přenos, předávat informace, aktivovat filtry, hostit softwarové nebo hardwarové intrusion prevention systémy, firewally, popř. spustit další bezpečnostní funkce. Centrální ověřovací systém spravuje uživatele a přiděluje oprávnění v závislosti na jejich identitě i stavu jejich zařízení. Grafický systém pro správu bezpečnostních pravidel umí pracovat s tisíci různorodými zařízeními najednou. IPS systémy a brány pro ochranu webu a pošty nepustí ani myš. Využívají mimo jiné i globální databáze reputace a hrozeb (SenderBase a SensorBase). Ty jsou aktualizované v reálném čase živými experty i neživými bezpečnostními zařízeními v ostrých sítích. Bezpečnostní cloud služba ScanSafe chrání uživatele ve firemních sítích i mimo ně. Důkladné bezpečnostní zpravodajství informuje správce o aktuálních hrozbách a doporučuje postupy. Aplikační rozhraní umožní zapojovat další řešení, technologie a služby. Bob s překvapením zjistil, že prakticky všechny součásti jsou již dostupné. Rozhodl vše otestovat nejprve na sobě, pak na vybraném vzorku uživatelů, hlavně na těch, které považoval za nejobtížnější. Vybavil se notebooky s několika operačními systémy, koupil si pár atraktivních telefonů a se spacákem vyrazil pro novou verzi tabletu. Na vše nainstaloval lehkého AnyConnect klienta a pustil se do testování. Výsledky si pečlivě zaznamenával. Princip fungování Po připojení notebooku do LAN sítě ve firemním prostředí rozpozná AnyConnect známou síť a chová se jako 802.1x supplicant. Spolu s přístupovým přepínačem a ověřovacím serverem (ISE, Identity Service Engine) ověří uživatele i přezkoumá zařízení, ze kterého je připojen. AnyConnect předá informace přes přístupový přepínač ověřovacímu serveru, ten odpoví a podle totožnosti uživatele a stavu jeho zařízení předá pokyn přístupovému přepínači, jaká oprávnění uživateli přiřadit. Tato oprávnění se mohou odrazit v zařazení uživatele do virtuální sítě VLAN nebo nastavením filtrů na portu přepínače. Technologie TrustSec nezaměnitelně označkuje data uživatele. Zařízení na hranici sítě, například na vstupu do datového centra, se pak podívá na značku a povolí přístup k serverům a aplikacím podle oprávnění uživatele. TrustSec navíc zajistí šifrování dat v celé LAN síti na linkové vrstvě. Pokud se Bob připojí přes firemní Wi-Fi, AnyConnet sdělí síti, kdo a z jakého zařízení je do sítě připojen, a podle toho přidělí oprávnění. Z notebooku se tak například Bob dostane ke všem svým aplikacím, ze svého tabletu nebo telefonu jen k některým aplikacím a z neznámého zařízení (třeba z telefonu, který náhodou našel na ulici) jen do internetu. Bob si AnyConnect klienta docela oblíbil. Kromě toho, že šlape jak hodinky na všem, co má po kapsách i na stole, se o něj nemusí vůbec starat. Klient sám rozpozná, kde je a jak se má připojit. A hlavně Bob nemusí zadávat otravná jednorázová hesla pokaždé, když se někde odpojí a kousek jinde zase připojí, nebo když některého Diagram principu fungování architektury SecureX broučka pošle spát a pak ho znovu probudí. Spojení se naváže hned a samo. Naopak Bobův kolega Cyril AnyConnect moc nemusí. Bob mu nastavil klienta tak, že ho z neznámé sítě vždycky nažene VPN tunelem do firemní sítě. A tam mu vše nachystal tak, že si kromě práce moc neužije. Dokud je Bob ve firemní síti, jeho komunikaci chrání firemní firewall a intrusion prevention system. IPS používá globální databázi SensorBase v reálném čase tak, aby reagoval co nejpřesněji i na zcela nové hrozby. Brány IronPort se zaměřují speciálně na web a mail provoz. Většinu nebezpečné komunikace odfiltrují posouzením pověsti cílových web serverů nebo odesílatelů pošty. Tu získají dotazem do globální reputační databáze SenderBase. Zbytek nežádoucí komunikace zastaví antivirovými systémy a další technologie. Brány vědí, že Bob je Bob (údaje o něm si přeberou po prvním přihlášení do sítě) a podle toho mu nastaví pravidla. Bob je na sebe přísný, z firmy se nedostane například na sociální sítě, na rozdíl od Alice, která je prý nutně potřebuje k práci. Jak brány, tak IPS systémy se nejen dotazují, ale také do databází aktivně vkládají aktuální informace o zjištěných útocích a hrozbách (Bob je filantrop, proto tuto funkci povolil). I infrastruktura přispívá k bezpečnosti dat šifrováním přenosu, dynamickou aktivací filtrů a předáváním informací. Bob odchází každý večer z práce rovnou do nedalekého baru, aby zde pokračoval v testování. Otevře notebook, AnyConnect ihned zjistí nedůvěryhodnou Wi-Fi síť, automaticky přesměruje data šifrovaným tunelem do bezpečnostní cloud služby ScanSafe. Ta chrání web a mail komunikaci podobně účinně jako brány ve firemní síti. Mírnější pravidla ale Boba pustí do prostředí, kde se cítí tak dobře. Před půlnocí se Bob jediným kliknutím připojí přes VPN spojení do firemní sítě. Data, která si zrovna stahuje z internetu, jdou stále přes ScanSafe, spojení do firmy prochází nově sestaveným tunelem. Bob se připojí k dohledovému systému a zkoumá nové bezpečnostní výstrahy. Nic vážného, jen osm zelených a šest žlutých. Porovnává tyto údaje s čárkami na účtence a překvapeně zdvihá obočí. Na chvíli přerušuje práci, dopíjí osmý kalíšek a zavírá oči. Takový pocit harmonie už dlouho nezažil. Více informací naleznete na cisco.com/ go/security. Connect! květen

14 AUTOR Trendy a vize v podnikové bezpečnosti Podniková bezpečnost se za poslední desetiletí velmi změnila. Snad všem administrátorům velkých, středních, ale i menších podniků již došlo, že ochrana podnikových sítí nespočívá jen v antivirovém řešení na koncových stanicích a firewallu na vstupu. Vdnešní době se zabezpečení antivirem a firewallem zdá spíše jako jeden z několika základních kamínků bezpečnosti, na kterém se dále staví pokročilejší prvky ochrany. Navíc dle nejnovějších průzkumů je čím dál tím větší část útoků a krádeží dat podnikána vnitřními útočníky, ať už vědomě, či nevědomou neznalostí, a proto je potřeba ochránit společnost i proti takovýmto hrozbám. Vývoj a prosazování IT politik V první řadě je třeba si uvědomit, že soulad je víc než jen dodržování vládních nebo oborových předpisů. Je to také podporování obchodních cílů a řízení rizik IT. Pro dosažení souladu je nutné důsledné sladění činností v oblasti zajišťování souladu a činností v oblasti zmírňování rizik IT. Jen tak mohou provozní týmy dostatečně zabezpečit infrastrukturu podle firemních zásad a současně plnit interní a externí požadavky na zajištění souladu. Moderní systémy pro zajištění souladu vám pomohou snížit finanční rizika vyplývající ze ztráty nebo krádeže údajů o zákaznících prostoje organizace kvůli selhání IT a přerušení služeb průměrné roční výdaje na soulad s předpisy tím, že automatizují hlavní činnosti v rámci zajištění souladu IT, včetně vyhodnocení rizik, správy zásad, hodnocení a sledování kontrolních mechanismů IT, nápravy nedostatků a vytváření zpráv. Ochrana IT infrastruktury Ochrana podnikové sítě nespočívá jen v aktualizaci antiviru na koncových stanicích. Dnešní moderní zabezpečení koncových bodů se dokonce brání označení antivir, jenž pro něj představuje jistou degradaci toho, čím skutečně je, a svádí poté ke srovnávání s jednoduchými produkty Petr Vojáček Territory Account Manager, Symantec některých obvykle menších a lokálně působících antivirových firem. V první řadě jsou stále potřebné tradiční moduly Antivirus a Antispyware, které by ovšem měly být navrženy tak, aby díky stále rostoucí databázi signatur a hrozeb, která roste exponenciální řadou, nezpomalovaly chod již tak vytížené pracovní stanice. Stejně tak byste měli vyžadovat, aby antivirový systém byl schopen v případě potřeby zamezit přístupu k USB portům či mechanikám, ale i k jednotlivým aplikacím. Budování paralelního zabezpečení nad tím, které poskytuje operační systém, není zbytečné. Výsledkem je výrazně ztížená možnost napadení systému útočníky. Další důležitou součástí je ochrana pošty, a to minimálně na dvou úrovních: jak na úrovni samotného vstupu do sítě pomocí ové brány, tak přímo na ovém serveru. Pomocí podobné brány, nyní ovšem webové, by měl být chráněn i přístup na webové stránky. Spolu s elektronickou poštou představuje totiž nákaza škodlivým kódem z internetových stránek dva nejčastější způsoby napadení počítačů. Součást Network Access Control řídí právo přístupu jednotlivých koncových bodů k síti na základě předem definovaných pravidel. Nedovolí tak například počítači s vypnutým antivirem či s neaktualizovaným kritickým patchem se vůbec připojit do sítě. S rostoucím počtem mobilních zařízení a jejich integrací do podnikové sítě čím dál více roste potřeba ochrany i před útoky zneužívajícími tyto technologie, proto by měl být součástí bezpečnosti i systém mobilního zabezpečení. V neposlední řadě je důležité ochránit se před ztrátou důležitých dat a aplikací pomocí automatického zálohování a systému obnovy všech koncových stanic. Zde jsme si tedy vyjmenovali součásti bezpečnostního podnikového systému, které by ovšem nemohly správně a komfortně spolupracovat bez dokonalé konzole pro správu. Ta umožňuje sladění a spravování jednotlivých prvků této ochrany a pro administrátory rozsáhlých podniků je jednou z nejdůležitějších vlastností právě dokonalost dálkové správy pomocí této konzole. Ochrana informací V současné době může téměř kdokoli sdílet informace, přistupovat k nim a šířit je v neomezeném rozsahu. Organizace si zvykly toho využívat, protože je to nesmírně přínosné. Současně stále stoupá mobilita pracovních sil. Všudypřítomnost vysokorychlostního přístupu k internetu, inteligentních mobilních zařízení a přenosných úložišť znamená, že kancelář může být prakticky kdekoli. V důsledku toho je pro organizace složitější než kdykoli dříve zabránit ztrátě citlivých dat. Metody zabezpečení se ještě v nedávné minulosti zaměřovaly na zabezpečení sítě. Je čas začít se zabývat zabezpečením samotných dat. Jedním z nejlepších způsobů, jak to udělat, je použít software Data Loss Prevention. Například software Symantec Data Loss Prevention poskytuje jednotné řešení pro zjišťování, sledování a ochranu důvěrných dat bez ohledu na to, kde jsou uložena a kde se používají. Můžete tak mít ucelený pohled na to: kam jsou odesílána vaše důvěrná data jaká důvěrná data jsou přenášena z přenosného počítače jak používají zaměstnanci důvěrná data, když jsou připojeni k podnikové síti, ale i když k ní připojeni nejsou jak zabránit ztrátě důvěrných dat Management IT systémů Oddělení IT stojí před obtížným úkolem spravovat početně neustále se měnící klienty, včetně stolních a přenosných počítačů, tenkých klientů a kapesních zařízení. S rostoucím počtem zařízení v síti a regionální složitostí struktury společností roste i potřeba vzdálené správy všech zařízení v síti nezávisle na tom, kde se nacházejí. Nejlepší systémy pro takovouto dálkovou správu vám umožní: zabezpečit tuto správu na základě rolí a působností bezobslužné zavedení a přenesení operačního systému integrovanou inventarizaci hardwaru a softwaru s vytvářením webových zpráv správu softwaru na základě zásad automatizovanou správu patchů a oprav dodržování podmínek softwarových licencí nativní integraci do Microsoft Active Directory správu prostředí napříč smíšeným hardwarem a různými operačními systémy 64 Connect! květen 2011

15 Co by měl umět firewall pro SMB Také malé firemní sítě, které čítají do 100 zapojených počítačů, musí být dobře zabezpečeny hardwarovým firewallem. Co by měl takový SMB firewall umět? AUTOR Administrátor takovéto sítě musí předem dobře promyslet strukturu sítě a případné řešení bezpečnosti hlavně z hlediska komplexnosti a propracovanosti řešení. V dnešní době se často začínají přebudovávat již starší firemní řešení bezpečnosti, postavené na starých, vyřazených počítačích, běžící na platformě Linux, ke kterým většinou již nikdo nezná heslo a možná ani jejich umístění. Nová a moderní struktura sítě musí nabízet ucelené řešení, které je pro takovouto firmu také cenově dostupné. Většina firem se snaží na řešení co nejvíce ušetřit, proto je nutné volit nějakou střední cestu. Nemůžete volit cenově vysoce postavené řešení řádově za desítky tisíc euro, nebo zase řešení, třeba zadarmo, které se musí složitě implementovat a složitě spojovat do jednoho celku z více různorodých dílů. Zde dojde právě k cenovému navýšení při implementaci řešení. Ideální řešení je takové, která zahrnuje nákup hardware, pokud možno v jednom boxu, který bude schopen obsluhovat firemní bezpečnost komplexně a nebude nutné za něj platit jakékoli roční poplatky, které někteří výrobci ukrývají pod upgrade firmware takovéhoto zařízení, nebo dokonce možnost využít technickou podporu. Funkce a doplňky Petr Koudelka Security Product Manager, ZyXEL Communications Czech Pokud jsou nějaké služby zpoplatněny nad rámec hardware, třeba roční licencí, jsou to většinou nějaké doplňkové funkce, které umožní správci zařízení větší možnosti zamezení a blokací na firemní síti. Ideální je vyzkoušet si takovéto služby zdarma na nějaké období, kdy správce sítě může jednoduše posoudit a následně managementu firmy vyhodnotit přínos těchto placených, doplňkových funkcí. Placené funkce a doplňky jsou třeba online vyhodnocení obsahu webových stránek, kdy zaměstnanci nemohou navštěvovat stránky s pornografickým obsahem, vyhledávače nebo ové klienty pracující přes webové rozhraní. Stále častěji se tato blokace ve firmách zavádí, protože vede velmi rychle ke zvýšení efektivity práce zaměstnanců, kteří musí v pracovní době opravdu pracovat, a ne na počítači provádět jakékoli nekalosti, které vedou k pracovní neefektivitě, nebo dokonce poškození počítače virem nebo spywarem a následné nutnosti platit za servis tohoto stroje. Zaměstnanci tráví hodně času nejen prohlížením internetových stránek, ale také jsou velmi oblíbené různé druhy komunikačního software, jako je Skype, ICQ, MSN a další. Toto nejsou standardní firewallová řešení schopna nijak efektivně blokovat, doplňky však ano. Firma často schvaluje a úmyslně provozuje nějakou takovouto službu, z důvodu snížení nákladů na komunikaci mezi pobočkami firmy. K firemním účelům stačí jen napsat vzkaz a volat, nejsou tedy potřebné jiné možnosti komunikačního software, a proto je zablokujte. Vyhnete se tak možnosti nakazit stanici třeba přijetím souboru, který někdo zaměstnanci pošle. Tyto skenovací mechanismy jsou schopny blokovat i potenciální útoky po návštěvě nekorektních webových stránek atd. Další online kontrolou může být možnost použití antivirové kontroly na komunikační protokoly, které do sítě vstupují. Mohou to být otevírané stránky a skripty, odesílající na pozadí infekční soubor, nebo příloha v poště, která je třeba i komprimovaná archivačním softwarem. Přílohu u je bezpečnostní brána schopna jednoduše zničit. Ničte tedy nejen archivy, ale můžete ničit obrázky a videa, takže zaměstnanci nebudou trávit mnoho pracovní doby jejich prohlížením. Datový tok a šifrování Všechny tyto restrikce je krásné používat, ale musí zde být možnost je aplikovat vždy jen na nějaké skupiny a segmenty sítě, nebo dokonce jen někdy. Ideální zařízení musí být schopno pracovat s časovými pravidly, aby bylo možné přesně definovat, kdy a pro koho dané restrikce platit budou nebo nebudou. Zde se pohybujeme v segmentu firemní sítě o větším počtu zaměstnanců, kdy můžete jednoduše spojovat jednotlivé uživatele na úrovni jejich uživatelského jména a hesla s bezpečnostními pravidly, které jsou ušity přesně na jednotlivého uživatele. Z důvodu sjednocení bezpečnostní brány s dalšími prvky sítě můžete ověřovat jména a hesla na již existujícím firemním doménovém serveru LDAP, Active Directory. Administrátor tedy používá jednu ucelenou databázi jmen a hesel pro všechny uživatele. Admin nemusí duplikovat všechny jména a hesla několikrát na mnoha místech, kdy se naskýtá možnost udělat jednoduše chybu. Zařízení musí být schopno automatizovaně řídit datový tok a navíc prioritu toku jednotlivých aplikací, které jsou velmi náchylné na zpoždění přenosu některých paketů třeba pro VoIP aplikace. Pokud je ve firmě používáno více přípojek od ISP, z důvodu zálohy konektivity nebo z důvodu reálného vytěžování více linek zároveň, musí být bezpečnostní branou tato funkce také podporována. Nezapomínejte na bezpečné a šifrované propojení všech poboček firmy s centrálou, kde jsou většinou umístěny všechny důležité ové, webové a databázové servery, které budou schopny využívat předem definovaní uživatelé z poboček. A co obchodní zástupce, který cestuje stále někde mimo firmu a potřebuje také bezpečný přístup k firemním datům přes VPN tunel odkudkoli, kde má přístup na internet. Důležité je mít přehled o chování sítě nebo schopnost jednoduše reportovat vedení firmy dění na síti a chování zaměstnanců. Proto si vždy ověřte, zda vybrané řešení umí automatizovaně zajistit vyhodnocení provozu a chování na firemní síti. Connect! květen

16 Recept na 3DSecurity AUTOR Podle nedávného průzkumu společnosti Check Point a Ponemon Institut mezi 2400 bezpečnostními IT profesionály je největším problémem současnosti správa složitých bezpečnostních prostředí. Časté ztráty dat, rozmach Web 2.0 aplikací, mobilní výpočetní techniky i nárůst kombinovaných útoků je pro mnoho organizací bez ohledu na jejich velikost výzva, jak si udržet krok s rostoucími hrozbami. Stále více firem si uvědomuje, že na bezpečnost musí být v rámci jejich celkové infrastruktury IT kladen daleko větší důraz. Aby byl dosažený potřebný stupeň ochrany, která je pro obchodní prostředí v 21. století nezbytná, měly by společnosti zvážit zavedení plánu pro implementaci počítačové bezpečnosti. Plán, který jde nad rámec technologií a vnímá bezpečnost jako proces, umožňuje zapojit do bezpečnostní politiky zaměstnance a pomáhá organizacím sladit jejich IT politiky s obchodními potřebami. Pokud firmy chtějí přeměnit bezpečnost na podnikový proces, měly by zvážit zavedení kombinace jejich tří zásadních rozměrů: bezpečnostní politiky, uživatele, respektive jeho lidský faktor a metodologii a nástroje na celkové prosazování IT bezpečnosti. Bezpečnostní politika: Základním krokem je definice bezpečnostní politiky, která bude platná napříč celou organizací. Bezpečnostní politiky by měly být formulovány jednoduchým byznys jazykem, ne jen jako technologické poučky. V současné době nemá většina organizací bezpečnostní politiky definovány jasně a především Juliette Sultan Head of global marketing, Check Point Software Technologies srozumitelně a často o nich zaměstnanci nejsou ani informováni. Pokud si firmy chtějí zajistit vyšší úroveň bezpečnosti ve všech vrstvách síťového zabezpečení, musí začít holisticky pochopit, jak do sebe všechny používané technologie zapadají a kde se mohou vyskytovat určitá rizika. Lidský faktor: Druhý a v podstatě nejdůležitější rozměr vize 3D Security jsou lidé, firemní zaměstnanci. Používání internetu v kanceláři se dramaticky změnilo s nástupem sociálních médií a aplikací Web 2.0. Bezpečnost bývala zajišťována blokováním určitých aplikací, portů, protokolů, popřípadě úplným zablokováním webových stránek. Jak se webové aplikace vyvíjely, firmy zjistily, že řada z nich může být zajímavým způsobem komunikace a spolupráce. Pro IT správce tento vývoj ovšem představoval výzvu, jak ochránit firmu před celou škálou nových i vznikajících hrozeb, aniž by byl narušený plynulý chod firmy. Uživatelé jsou beze vší pochybnosti důležitou součástí bezpečnostního procesu. Je to právě uživatel, kdo dělá chyby, které vedou k infekci malwaru i neúmyslné ztrátě dat. Většina firem nevěnuje příliš velkou pozornost zapojení uživatelů do bezpečnostního procesu, i když by to měla být jedna ze zásadních podmínek. Je potřeba informovat a vzdělávat uživatele o firemních bezpečnostních politikách, stejně jako je poučit o zodpovědném chování při připojování k firemní síti a datům. Uživatelé představují velké riziko v narušení firemní bezpečnosti, ale zároveň to jsou oni, kteří pokud získají řádné školení a informace mohou sehrát důležitou roli při snižování těchto rizik. Bezpečnostní procesy by měly být maximálně jasné a přehledné, neměly by uživatelům bránit v práci anebo měnit způsob jejich práce. Metodologie a nástroje na celkové prosazování IT bezpečnosti: Třetím zásadním prvkem 3D Security je vynutitelnost bezpečnosti IT. Zajištění bezpečnosti spočívá v získání lepší kontroly nad mnoha vrstvami ochrany. Firmy bohužel často ztrácejí kontrolu nad nesourodými bezpečnostními politikami, navázanými na různé typy používaných řešení, které mohou paradoxně vytvořit příliš složitou infrastrukturu a vznik bezpečnostních děr mezi jednotlivými produkty. Kombinací tří základních prvků bezpečnostních politik, lidí a metodologie pro vynucení bezpečnosti mohou firmy prosadit bezpečnost do svých podnikových procesů. Zásadní je právě toto propojení a zajištění spolupráce mezi všemi vrstvami zabezpečení od uživatelů přes obsah, aplikace, data i síť. Všechny vrstvy zabezpečení by měly fungovat společně. Opět platí, že prosazování bezpečnosti musí být provedené s holistickým přístupem tak, aby byly zajištěny všechny politiky. Nevynechávejte řešení nedostatků a věnujte se prevenci hrozeb. Pokud dnes firmy chtějí zlepšit zabezpečení, potřebují lépe pochopit svá současná prostředí a stanovit si hlavní priority, a to jak v krátkodobém, tak i dlouhodobém horizontu. Jako bezpečnostní prioritu pro rok 2011 řada respondentů udává správu firmy, rizik a zajištění shody (GRC). Poté následovalo zabezpečení koncových bodů, ochrana proti novým hrozbám, zabezpečení dat a zajištění virtuálních prostředí (Průzkum společností Check Point a Ponemon, 2011). Vize 3D Security není o nasazování produktů ani kupení technologií, je o zvyšování povědomí o dnešních bezpečnostních problémech, poskytování osvědčených postupů a kompletní propojenosti s firemními potřebami a strategiemi na nejvyšší možné úrovni. Vzděláváním koncových uživatelů a dodržováním jasně vymezených bezpečnostních politik mohou společnosti snížit složitost při současném zvýšení efektivity současného firemního zabezpečení. INZERCE A Connect! květen 2011

17 Garantujeme úsporu diskové kapacity! HP Thin Guarantee Program A TO ZCELA ZDARMA!

18 Bezpečné adresy na lokální síti IPv6 SEND AUTOR Protokol SEND (Secure Neighbor Discovery Protocol) nabízí bezpečnou formu objevování sousedů a routerů v IPv6. Je to dodatečné rozšíření protokolu IPv6, které si svoji oblibu zatím ještě nevybojovalo. Pokud se zajímáte o sítě a IPv6, rozhodně stojí za to se s ním seznámit. Na sítích s IPv6 se používá protokol NDP (Neighbor Discovery Protocol), který se používá při začleňování nových zařízení do lokální sítě a při navazování komunikace mezi zařízeními. Mezi jinými umí objevování sousedů a routerů. Protokol NDP trpí víceméně stejnými problémy jako jeho předchůdci ze světa IPv4 (například ARP a DHCP). Na lokální síti bez speciálně konfigurovaných prvků je velmi jednoduché falšovat odpovědi protokolů ARP či DHCP, a tím na sebe strhnout komunikaci, která byla určena někomu jinému. Tento problém (nebo vlastnost, chcete-li) provází lokální sítě TCP/IP od začátku. Předchozí metody se zaměřují na použití chytrých síťových prvků nebo zašifrování Pavel Šimerda Nezávislý lektor, konzultant a publicista v oblasti počítačových sítí, komunikace a bezpečnosti celé komunikace za použití předem připravených šifrovacích klíčů. Oba uvedené způsoby fungují s IPv4 i IPv6, ale vyžadují velmi pečlivou předchozí konfiguraci. SEND oproti tomu využívá velikosti adresního prostoru IPv6 a nabízí flexibilnější metodu. Kryptografické adresy Jedním ze základních konceptů protokolu SEND jsou kryptografické adresy. Právě ty vyžadují dostatečný adresní prostor, který IPv6 nabízí. Koncové sítě IPv6 nechávají 64bitový prostor pro identifikátory počítačů v síti. Kryptografická adresa tedy obsahuje síťový prefix a kryptografický hash. Ten se počítá z několika parametrů včetně veřejného klíče a síťového prefixu. Právě veřejný klíč je tím nejdůležitějším prvkem, protože vznikl společně se soukromým klíčem, a tvoří s ním dvojici klíčů algoritmu RSA. Celý smysl kryptografické adresy je v tom, že její vlastník se prokazuje tím, že má k dispozici soukromý klíč. Vlastník adresy tedy může digitálně podepisovat zprávy a zveřejnit parametry kryptografické adresy, podle kterých pak příjemce ověří digitální podpis. Objevování sousedů Objevování sousedů je takový vzletný název pro zaplňování tabulky ARP v IPv4 či NDP v IPv6. Princip je jednoduchý. Zařízení, které chce komunikovat s některým sousedem po ethernetu, potřebuje zjistit jeho MAC adresu. Pošle tedy multicast/ broadcast zprávu, která obsahuje dotaz typu: Jakou MAC adresu má zařízení s IP adresou i:j:k:l:m:n:o:p?. Dotyčné zařízení na tento dotaz odpovídá stylem: Já jsem zařízení s IP adresou i:j:k:l:m:n:o:p a moje MAC adresa je qq:rr:ss:tt:uu:vv. Problém je v tom, že takto může odpovědět kdokoli a podvrhnout svou vlastní MAC adresu. Tomuto útoku se říká ARP spoofing nebo NDP spoofing podle verze protokolu IP. SEND tomuto problému předchází tím, že zavádí kryptografické adresy a podpisy odpovědí NDP. Podepsané odpovědi tak zajišťují správnost vazby mezi IP adresami a MAC adresami. Podepisují se i dotazy, ale o tom později. Do objevování sousedů v IPv6 spadá i správná detekce nedostupnosti. Když 68 Connect! květen 2011

19 je soused nedostupný, měli bychom to být schopni zjistit. Používá se stejný typ NDP zprávy jako pro zjištění MAC adresy. Nedostupnost se pozná podle toho, že (opakovaně) nepřijde odpověď. Použitím SENDu se můžete bránit útoku, kdy jiný stroj předstírá dostupnost již nedostupného zařízení. Velmi speciálním použitím NDP je detekce duplicitních adres, která je součástí procesu automatické konfigurace. Zařízení, které se chystá začít používat novou IP adresu, nejdřív posílá dotaz na tuto adresu, aby zjistilo, jestli ta adresa už není použita v síti. Při použití kryptografické adresy může zařízení zareagovat na kolizi s obyčejnou adresou, ale při dalším pokusu už kolize ignoruje kvůli možnému DOS útoku. Pozor ale na falešný pocit bezpečí. SEND v tomto případě pouze zajišťuje správnou vazbu mezi IP a MAC. To znamená, že nijak nechrání proti útokům typu MAC spoofing, ani nechrání následnou komunikaci. Je tedy jen jedním článkem v řetězu opatření, která je třeba udělat pro zabezpečení lokální komunikace. Objevování routerů Podobně, jako funguje objevování sousedů, funguje i objevování routerů. Podstatný rozdíl je ale v tom, že ne každé zařízení má právo stát se routerem. Taková autorizace vyžaduje určitou spolupráci mezi routery a připojenými zařízeními. SEND zajišťuje tuto autorizaci pomocí certifikátů routerů, které jsou v nejjednodušším případě podepsané něčím, čemu se říká kotva důvěry. Každé zařízení má v sobě seznam těchto kotev, které přímo či nepřímo certifikují jednotlivé routery. Certifikace může routerům vymezovat i konkrétní prefixy, které smějí nabízet. Soužití SEND a NDP Klasické objevování sousedů (NDP) a bezpečné objevování sousedů INZERCE A (SEND) se dají používat dohromady. Ve skutečnosti SEND není samostatný nový protokol, ale sada rozšiřujících voleb pro protokol NDP. Zařízení bez podpory SEND tyto rozšiřující informace ignorují a fungují, jako by žádný SEND neexistoval. Oproti tomu zařízení s podporou SEND musí pečlivě vážit přijaté zprávy s ohledem na zabezpečení. Striktní nastavení, kdy se nezabezpečená oznámení ignorují, asi jen tak nepotkáte. Většinou to bude fungovat tak, že stroj bude dávat přednost podepsaným informacím a v případě jejich absence využívat nepodepsané. IPv6 díky svému většímu adresnímu rozsahu přináší nové možnosti adresace. Díky na zelené louce navržené architektuře automatického přidělování adres přináší autonomii koncových zařízení při volbě adres. Na obou těchto novinkách staví SEND, který umožňuje podepisovat informace týkající se objevování sousedů a routerů. SEND tak zavádí do protokolu IP úplně nové koncepty, které se jistě uplatní i v dalších situacích. Connect! květen

20 Zabezpečení komunikace přes IPsec AUTOR IP security, zkráceně IPsec, je protokol pro zabezpečení komunikace mezi počítači na sítích TCP/IP. Vznikl jako povinná součást IPv6 a později se začal uplatňovat i ve starším protokolu IPv4. IPsec nahrazuje či doplňuje různé starší protokoly pro navázání šifrované komunikace a tvorbu šifrovaných tunelů. Jeho asi největší konkurenční výhodou je standardizace pod křídly IETF a povinná implementace v IPv6. Jak název napovídá, zabezpečení probíhá na síťové úrovni, IPsec tedy slouží jako doplněk protokolu IP, který podobné bezpečnostní vlastnosti jinak nemá. Zabezpečení zajišťuje operační systém, aplikace se nemusejí o nic starat (na rozdíl třeba od TLS/SSL). IPsec nabízí zajištění autenticity, integrity a utajení IP paketů. Autenticitou se myslí, že víte, od koho jste paket dostali (není podvržený). Integrita znamená, že nebyl po cestě změněn. A utajení v tomto případě znamená, že kdo ho odchytí, nedozví se z něj nesenou informaci. Pavel Šimerda Nezávislý lektor, konzultant a publicista v oblasti počítačových sítí, komunikace a bezpečnosti Ochrana dat Povinnou součástí IPsec je protokol ESP, který nabízí všechny tři uvedené bezpečnostní vlastnosti, přičemž utajení se někdy vynechává, pokud není potřeba. Bez utajení funguje také autentizační hlavička (AH), kterou už teď ani není povinnost implementovat a celkově je spíše na ústupu. Budeme se tedy zabývat spíše protokolem ESP, a to ještě ve variantě se šifrováním. AH se použije v případě, že je potřeba chránit integritu včetně informací v IP hlavičce. Ať už se použije jakýkoli protokol, je potřeba zajistit, aby prošel firewallem. Transportní varianta IPsec se používá dvěma způsoby. Prvním z nich je transportní varianta, kdy ESP část paketu obsahuje zašifrovanou transportní hlavičku a aplikační data a to vše je chráněno kontrolní hodnotou proti změně. IP hlavička je nechráněná. Podobně funguje protokol AH, jen nedochází k šifrování a kontrolní hodnota chrání i část IP hlavičky. Transportní varianta se používá mezi jednotlivými koncovými zařízeními a nevyžaduje žádnou speciální podporu na routerech po cestě. Hlavní výhodou je, že jsou data chráněna po celé cestě od zdroje k cíli. Tunelová varianta Tunelová varianta se používá, když je potřeba propojit celé sítě. Data pak probíhají šifrovaná jen mezi bránami daných sítí. Technicky to vypadá tak, že se celý IP paket zašifruje, zabalí do ESP a přidá se nová IP hlavička. V této veřejné hlavičce uvidíte jen adresy bran propojených sítí. Tunelová varianta IPsec se tedy chová jako klasická VPN. Tento způsob se používá i na speciální případ, kdy se k síti připojuje samostatný počítač. IPsec potom chrání spojení mezi tím jedním počítačem a sítí. Obvyklé použití je zaměstnanecká VPN pro mobilní přístup do sítě. Mezi výhody tunelového přístupu patří skrytí IP hlavičky a také to, že konfigurace probíhá pouze na koncových bodech tunelu. Ostatní zařízení nemusí být pro toto použití nijak nakonfigurovaná. Bezpečnostní vztahy Aby toto vše fungovalo, musí být komunikující strany nějak domluvené. Navazují 70 Connect! květen 2011