Sem vložte zadání Vaší práce.

Rozměr: px
Začít zobrazení ze stránky:

Download "Sem vložte zadání Vaší práce."

Transkript

1 Sem vložte zadání Vaší práce.

2

3 České vysoké učení technické v Praze Fakulta informačních technologií Katedra softwarového inženýrství Diplomová práce Analýza informačního zabezpečení NTK a návrh implementace komplexních pravidel informační bezpečnosti Bc. Adam Pechánek Vedoucí práce: Ing. Václav Jansa 9. května 2012

4

5 Poděkování Rád bych poděkoval vedoucímu oddělení provozu IT, panu Ing. Václavu Jansovi, za drahocenný čas, který mi věnoval za účelem vysvětlení problematiky ICT v tak velké organizaci, jako je NTK.

6

7 Prohlášení Prohlašuji, že jsem předloženou práci vypracoval samostatně a že jsem uvedl veškeré použité informační zdroje v souladu s Metodickým pokynem o dodržování etických principů při přípravě vysokoškolských závěrečných prací. Beru na vědomí, že se na moji práci vztahují práva a povinnosti vyplývající ze zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů, zejména skutečnost, že České vysoké učení technické v Praze má právo na uzavření licenční smlouvy o užití této práce jako školního díla podle 60 odst. 1 autorského zákona. V Praze dne 9. května

8 České vysoké učení technické v Praze Fakulta informačních technologií c 2012 Adam Pechánek. Všechna práva vyhrazena. Tato práce vznikla jako školní dílo na Českém vysokém učení technickém v Praze, Fakultě informačních technologií. Práce je chráněna právními předpisy a mezinárodními úmluvami o právu autorském a právech souvisejících s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných licencí, je nezbytný souhlas autora. Odkaz na tuto práci Adam Pechánek. Analýza informačního zabezpečení NTK a návrh implementace komplexních pravidel informační bezpečnosti: Diplomová práce. Praha: ČVUT v Praze, Fakulta informačních technologií, 2012.

9 Abstract The main task of this thesis is to make the ICT security analysis of the National technical library. It should also point out overview of used software, including responsible persons. The same applies to servers and security of access. It also offers solutions to identified deficiencies, including project implementation. Keywords Computer network, server, workstation, printer, topology, network administration, terminal system, security audit, network security, OS security, security of access Abstrakt Práce má za úkol provést analýzu ICT zabezpečení Národní technické knihovny. Součástí je vytvoření přehledu o používaném SW, včetně zodpovědných osob. Stejně tak serverů a zabezpečení jejich přístupu. Zároveň nabídne řešení zjištěných nedostatků a to včetně návrhu projektu pro implementaci. Klíčová slova Počítačové sítě, Server, Pracovní stanice, Tiskárny, Topologie, Správa počítačové sítě, Terminálový systém, Bezpečnostní audit, Zabezpečení sítě, Zabezpečení OS, Zabezpečení přístupu 9

10

11 Obsah Úvod 17 1 O Národní technické knihovně Základní informace NTK z pohledu IT Analýza současného stavu Používané technologie Používaný software Skupiny uživatelů Závěr analýzy Praktická část Použitý software Příprava na bezpečnostní analýzu Analýza sítě z veřejně dostupných přístupových bodů Analýza sítě bez omezení firewallem Návrh pravidel bezpečnosti Zabezpečení sítě Zabezpečení OS Zabezpečení přístupu Monitorování provozu Závěr 69 Seznam použité literatury 71 A Detailní seznam fyzických serverů (neveřejné) 73 B Detailní seznam virtuálních serverů a hostovaných systémů (neveřejné) 75 C Detailní seznam používaného software (neveřejné) 77 11

12 D Výsledek skenování sítě aplikací Nessus v5 (neveřejné) 79 E Návrh projektu zabezpečení ICT v NTK (neveřejné) 81 F Obsah přiloženého CD 83 12

13 Seznam obrázků 1.1 Budova NTK Učebna ČVUT s terminály SUN Terminály v NTK Používané diskové pole HP Eva kontrolery HSV Topologie sítě NTK Tipping Point 2400E Com MAP Servery HP ProLinat BL680c a 460c Současné počítače - HP Compaq 8200(zaměstnanci) a HP xw4600 (studovny) Tenký klient HP T5540 Thin Veřejné tiskárny HP Color LJ CM6030MFP a HP LJ M Schéma přenosu identit a autorizace uživatelů Webové rozhraní Nessus - parametry prováděného testu (u náhodné sítě) Webové rozhraní Nessus - přehledný výsledek testu (u náhodné sítě) Schéma ověřování 802.1x Princip fungování centrálního logovacího serveru Aplikace TeamPass První přihlášení do aplikace TeamPass Nastavení zásad auditu v MS Windows Aplikace AuditPro Výstup monitoringu uživatele v grafech

14

15 Seznam tabulek 2.1 Rychlý seznam fyzických serverů Seznam virtuálních strojů Seznam OS instalovaných na servery Pracovní stanice v NTK Rozdělení pracovníků provozu IT do skupin Nastavení DB pro TeamPass Aktivace účtování procesů (obecně) Aktivace účtování procesů RedHat a SuSE

16

17 Úvod Každá moderní a konkurenceschopná organizace by měla využívat služeb ICT 1, a to jak pro svůj běh, tak především k poskytování vnějších služeb. Prakticky všechny části business procesů lze spravovat a zefektivnit pomocí různých podnikových systémů, jež jsou nedílnou součástí ICT. Avšak každá služba může být zneužita či podrobena útoku. V případě provozování ICT jsou největším rizikem uživatelé a administrátoři. To díky riziku prolomení či zneužití jejich hesel a následnému přístupu k veřejně nepřístupným zdrojům. Navíc snadná dostupnost pokročilých nástrojů (ať už k zjištění hesel či jen monitorování infrastruktury sítě) dává dnes do rukou i obyčejným lidem mocný nástroj k narušení sítě či bezpečnosti strategických dat. Další potenciální hrozbou je škodlivý software. Napadnout počítačový systém viry není vůbec složité. Díky nerozvážnosti uživatelů je možné získat kontrolu nad pracovní stanicí pouhým procházením internetu, nebo například otevíráním nevyžádané pošty obsahující škodlivý program. A tak denně může být nesprávně zabezpečené firemní systémy napadnuty jedním (nebo rovnou několika) z více než milionu virových mutací. Posledním rizikem je nedodržování doporučených postupů. To se projevuje například tak, že administrátoři nemění defaultní hesla, nebo je sdílí mezi více zaměstnanci. Často také neodebírají přístupy zaměstnancům, kteří je již ve své nové pracovní pozici nepotřebují a nebo dokonce už společnost opustili. Abychom rizika co nejvíce minimalizovali, je potřeba definovat bezpečnostní pravidla a zároveň donutit administrátory a další zaměstnance se těmito pravidly řídit. V diplomové práci se budu věnovat analýze zabezpečení Národní technické knihovny. Výsledkem této analýzy prostředí, odpovídající dokumentace a konzultací s jednotlivými administrátory bude vytvoření metodických postupů a návrhu projektu pro implementaci a to včetně časového plánu, personálních nároků a kontrolních bodů realizace. Úvodní analýza rizik pak bude srovnána s navrhovanými opatřeními. Součástí práce bude také zhodnocení časové náročnosti a míry pokrytí rizik. 1 ICT je z anglického Information and Communication Technologies zkratka pro informační a komunikační technologie, které se používají za účelem komunikace a práci s informacemi. 17

18 Úvod Vzhledem k okolnostem (požadavek zadavatele) obsahuje práce neveřejné přílohy. Tyto přílohy však v obsahu uvádím, neboť k práci patří. 18

19 KAPITOLA 1 O Národní technické knihovně 1.1 Základní informace Národní technická knihovna (dále jen NTK) je příspěvková organizace (zřizovatelem je ministerstvo školství), která dříve pod názvem Státní technická knihovna sídlila v pražském Klementinu. Především z kapacitních důvodů byly v roce 2006 zahájeny stavební práce na vybudování nových prostor NTK. Dalším důvodem mělo být slučování s knihovnami ČVUT a VŠCHT 2. V roce 2009 se pak nově postavená knihovna v areálu vysokých škol v Dejvicích otevřela veřejnosti. V současnosti se jedná o největší technickou knihovnu v české republice, obsahující více než 400 tisíc publikací ve volném výběru a to především z oblasti techniky a aplikovaných přírodních a společenských věd. Celkem zde naleznete přes milion svazků v podobě knih, časopisů, vědeckých prací aj. To vše rozprostírajíc se na metrech čtverečních užitkové plochy. Budovu mimo jiné využívají okolní vysoké školy ČVUT i VŠCHT zde mají svou ústřední knihovnu, učebny či přednáškový sál. Uvnitř se také nachází pobočka městské knihovny pro Prahu NTK z pohledu IT V národní technické knihovně bylo v roce 2011 zaměstnáno na 156 osob pracujících v osmi různých odděleních. Lze tedy říci, že se jedná o středně velkou organizaci. Počet uživatelů je však daleko vyšší a to díky čtenářům, kteří mají při návštěvě možnost využít přítomných terminálů, či studentům, jež se mohou připojit na bezdrátovou síť. Ve špičce dosahuje vytíženost bezdrátových přístupových bodů okolo 500 až 700 uživatelů. Především zvídaví 2 Zatímco u ČVUT se tak stalo jen prostorově, u VŠCHT je integrace pripravovana v horizontu jednoho roku. 19

20 1. O Národní technické knihovně Obrázek 1.1: Budova NTK studenti, tvořící 60% z téměř (aktivních) registrovaných čtenářů, mohou představovat určité nebezpečí. Ti navíc, společně se zaměstnanci ČVUT a VŠCHT, mají přístup přes své školní karty do budovy a také do sítě přes Eduroam. Kromě 170 pracovních stanic, které využívá většina ze zaměstnanců, je k dispozici 165 terminálů. Mimo ně ještě zákazníci knihovny používají i jednoúčelová zařízení (označované jako SelfCheck), jejichž uživatelské rozhraní je čistě dotykové a slouží pouze k výpůjčkám a případně i příjmu knih. Vybaveny jsou RFID 3 čtečkami (k rozpoznání přiložených knih a registrační karty) a pokladní tiskárnou. Součástí celku SelfCheck je i robotizovaná vracečka a třidička knih. Dále zde najdeme tiskový systém s multifunkčními tiskárnami a cirka 70 počítačů v učebnách a studovnách. Nechybí dokonce ani 42 informačních kiosků, poskytující rychlý náhled na internet, tisk či prohlížení knihovních zdrojů a katalogů. Jak už bylo řečeno výše, v organizační struktuře NTK nejdeme celkem osm oddělení, zabývající se digitalizací, projekty, marketingem a dalšími pro chod organizace důležitými oblastmi. Ta všechna by se neobešla bez klíčových aplikací, čítající přes 20 položek. Patří mezi ně například knihovní systém, cen- 3 RFID je technologie umožňující komunikaci s bezkontaktními kartami. 20

21 1.2. NTK z pohledu IT Obrázek 1.2: Učebna ČVUT s terminály SUN Obrázek 1.3: Terminály v NTK 21

22 1. O Národní technické knihovně trum ISSN, rezervační a platební systém, evidence osob apod. S detailnějším popisem se setkáme v jedné z dalších kapitol. Zde by měl být kladen důraz na správně nastavené uživatelské skupiny, autorizace a další bezpečnostní prvky související s přístupem. Doba, kdy všechny aplikace byly instalovány na pracovních stanicích, je už dávno ta tam. A tak se v takto velkých korporacích takřka všechny aplikace instalují na aplikační servery. Tím se zajistí především jejich snadná, centralizovaná správa. O bezproblémový chod se tak v útrobách NTK stará více než 30 fyzických (a přibližně dvojnásobný počet virtuálních) serverů, provozovaných na různorodých operačních systémech. Protože však ke každým aplikacím a databázím patří i data, musíme pro ně najít vhodná, pravidelně zálohovaná úložiště. V případě NTK jsou data ukládána na diskové pole osazené 86 disky s neformátovanou kapacitou 38 TB. Samozřejmostí je jejich pravidelná záloha. Obrázek 1.4: Používané diskové pole HP Eva kontrolery HSV200 Aby všechna zařízení spolu správně komunikovala, musí být mezi sebou propojena do sítě. Primárně se v případě NTK setkáme s protokolem IPv4 a to kvůli nekompatibilitě s některými klíčovými aplikacemi (Aleph, SFX,... ) a zařízeními (IDS/IPS). Naopak zbylé webové služby i nové pracovní stanice už dnes běžně využívají protokol IPv6. Co se týče fyzické sítě, ta je rozdělena do několika virtuálních podsítí, oddělující od sebe jednotlivé logické celky, jako jsou IP telefony, tiskárny, kiosky aj. Od Internetu jsou pak tyto sítě separovány 22

23 1.2. NTK z pohledu IT firewally, které vytváří demilitarizovanou zónu. Ta zajistí větší bezpečí jak při útoku z venku, tak (při vhodném nastavení) i pokusu o převzetí kontroly nad servery zevnitř. Samotné připojení do Internetu je obstaráno pomocí sítě CESNET. K dispozici je i několik bezdrátových sítí. Zákazníkům je poskytnuta síť NTK-simple, speciálně pro studenty je pak připravena síť Eduroam. Zabezpečení této části se budu zabývat v dalších kapitolách. Tímto jsem se pokusil vytvořit obecné povědomí o IT infrastruktuře v NTK. Ačkoliv byla knihovna otevřena poprvé pro veřejnost už před třemi lety, stále je možné narazit na místa, která si zaslouží z hlediska bezpečnosti větší pozornost. Jak už to v praxi bývá, důležité je splnit termín a rozpočet ostatní věci lze v nouzi doladit za chodu. Možná i to byl ten důvod, proč jsem dostal doporučení zabývat se zabezpečením NTK, jako bychom s budováním IT infrastruktury teprve začínali. 23

24

25 KAPITOLA 2 Analýza současného stavu 2.1 Používané technologie Obecný přehled o tom, jak NTK funguje a z jakých částí se skládá, jsme si již vytvořili. Nyní se zaměříme na analýzu konkrétních technologických součástí. Především nás budou zajímat síťová zařízení, servery a pracovní stanice Síťové prvky Základem každé počítačové sítě jsou síťové prvky. Jejich vhodné zabezpečení zamezí neoprávněnému přístupu do sítě, či podvrhnutí a dešifrování bezpečnostních mechanismů během komunikace. V NTK se setkáme se značkou 3Com a to díky nejlepší nabídce ve výběrovém řízení, kde figurovaly i značky jako HP a Cisco. Díky tehdejším podmínkám soutěže je dnes v NTK gigabitová síť, plně redundantní infrastruktura nebo třeba sondy IDS a IPS. Nezanedbatelné jsou i náklady na spotřebu elektrické energie, jež jsou poloviční oproti řešení od HP a třetinové oproti Cisku. Obrázek 2.1 nám zjednodušeně popisuje topologii sítě. Ta je vždy redundantní jsou tak využity vždy minimálně dva komunikační spoje do různých přepínačů a následně zabaleny do jednoho virtuálního Firewall Prvním a nejdůležitějším článkem směrem z internetu je firewall. Ten je řešen jako dva H3C SecBlade moduly uvnitř 3com S7900E switche. K CESNETu jsou připojeny oba moduly v režimu active standby. Obecnou úlohou tohoto firewallu je oddělení demilitarizované zóny (vnitřní sítě) od internetové sítě. Stejně tak zajišťuje zamčení portů, jež nejsou bezprostředně nutné k veřejné 25

26 2. Analýza současného stavu Obrázek 2.1: Topologie sítě NTK 26

27 2.1. Používané technologie Obrázek 2.2: Tipping Point 2400E komunikaci se systémy uvnitř sítě. Firewally zajišťují také NAT a SNAT 4. Interní síť je zcela provozována na privátních adresách /8. Venkovní síť má 1,5 C rozsahu pro potřeby knihovny a 32 adres na eduroam a konferenční použití (to kvůli licencím na EIZ 5 ) IDS/IPS sondy Přístup do každé větší sítě by neměl chránit pouze firewall, ale také aktivní prvky, které pomohou detekovat útok a případně na něj i rovnou zareagovat. K tomu slouží systém IDS (pasivně) a IPS (aktivně). Zde je použita sonda 3COM Tipping Point 2400E, která úzce komunikuje s firewallem, monitoruje otevřené porty a snaží se tak na případný útok reagovat. Komunikace aplikací uvnitř chráněné sítě je tímto částečně zabezpečena proti spyware, virům a nečistému datovému toku. Veškerý provoz je do sondy směrován z veřejných sítí knihovny (pomocí směrovacích pravidel) a samozřejmě také z oblasti mezi knihovnou a internetem. Na náčrtu topologie sítě (Obrázek 2.1) je vidět konfigurační server (SMS) pro TippingPoint Přepínače Hlavním přepínačem, který se stará o rozvod sítě k dalším prvkům v patrech je tzv. CoreSwitch. Jedná se o model 3Com CS7910E (obsahující 2x řídící kartu s 10Gbit linkami) a záložní 3Com CS7903E (s jednou 2port řídící kartou). Osazena je 2x 10Gbit optická linka. Propojení se servery je řešeno metalickými kabely redundantně (a v případě záložního switche jednou linkou) do nezávislých karet a ideálně i switchů. Vzhledem k výše uvedenému je patrné, že CoreSwitch je velmi důležitý prvek, kde je na bezpečnost a spolehlivost kladen velký důraz. 4 jako SNAT je většinou označován Source Network Address Translation (zdrojový překlad adres) - tedy protějšek NAT (Destination NAT) 5 EIZ neboli elektronické informační zdroje je souhrný název placených plnotextových portálů z oborů techniky (například Springer, Wiley, Ebsco) 27

28 2. Analýza současného stavu Ostatní rozvodny jsou řešeny řadou 3Com 5500G-EI a to buď v podobě 48-portových a nebo 24-portových switchů. U některých je pak z důvodů Wi- Fi AP či kamerového systému využita varianta s Power-Over-Ethernet. Výjimečně jsou také zapojeny switche 3Com 4210, které slouží pouze k dokrytí lokálních potřeb (režie sálu, studovny, apod.) Routery Další podstatnou součástí sítě jsou směrovače. Jejich funkci zastupují FireWall karty (směrem do vnější sítě). Přes ně je taky řízen loadbalancing 6 pro Windows 2003 Terminálové Služby. Interní síť pak přepínají řídící karty CoreSwitchů. Ty také provádí směrování mezi jednotlivými VLANy. Karty jsou navíc v režime active, takže jejich celkový výkon se sčítá. Propojení jsou řešena pomocí IRF 7 do jediného virtuálního stohu s jednou IP adresou WiFi AP Zázemí pro bezdrátové sítě je v NTK řešeno pomocí 130 přístupových bodů typu 3Com MAP podporujících standardy a / b / g. Dalších 8 přístupových bodů typu 3Com MAP 3950 je pak schopno distribuovat síť prostřednictvím standardů a/b/g/n. V současné době je ve špičce připojeno souběžně až 700 uživatelů. Vzhledem k tomu, že technicky je možné souběžné připojení až 500 uživatelů na jedno AP a také díky vestavěnému loadbalancingu je toto řešení více než dostačující. Naopak kritickou částí je konstrukce budovy, která při zajištění plošného pokrytí způsobuje zarušení centrálního atria velkým množstvím vlastních signálů. S těmi se pak neumí vyrovnat jak firmware wifi karet klientů, tak ani automacké nastavení kontrolerů. Obrázek 2.3: 3Com MAP Load-balancing je anglický název pro rozložení zátěže. V případě 3Com MAP se jedná o možnost předání určitého počtu klientů sousednímu přístupovému bodu, jenž není tolik zatížen. 7 IRF vychází z anglické zkratky Intelligent Resilient Framework a umožňuje pokročilé stohování (sjednocování) na bázi virtualizace. 8 MAP je zkratka pro víceúčelový přístupový bod, jenž vychází z anglického Managed Acces Point. Oproti běžnému AP umožňuje například do režimu klient. 28

29 2.1. Používané technologie Servery Ačkoliv se v případě NTK jedná počtem zaměstnanců o středně velkou firmu, tak počtem serverů se řadí spíše do vyšší kategorie. To především díky službám, které poskytuje veřejnosti Fyzické servery Fyzických serverů je k dnešnímu dni ( ) čtyřicet jedna. Většina z nich je typu HP ProLiant BL460c ve verzi g5 a g6 a jsou využívány pro klíčové systémy. Virtuální servery běží fyzicky na HP ProLiant BL680c g5. Dohledové aplikace (management console) hostí servery HP ProLiant DL320 a k testování slouží servery typu Intel Alief. O diskové pole HP EVA 6100 se stará server HP ProLiant DL360. Služba itv pro stream a data je k dispozici na HP ProLiant DL380. A posledními zástupci jsou servery typu Intel SR1400 či SR1600, jež jsou využívány k logování, anebo také jako zázemí pro Groupwise NOVELL. Všechny servery Intel pomalu dosahujé konce své životnosti a v rámci homogenizace prostředí budou nahrazovány virtuálními stroji. Detailní popis fyzických serverů včetně IP adres, DNS jmen a operačních systémů uvádí Příloha A: Detailní seznam fyzických serverů. Rychlý náhled pak poskytne tabulka 2.1 Obrázek 2.4: Servery HP ProLinat BL680c a 460c 29

30 2. Analýza současného stavu Tabulka 2.1: Rychlý seznam fyzických serverů Fyzický server # Běžící systémy Operační systémy HP ProLiant BL460c g5 10 virtualbox, backupserver, kamerový systém, LDAP, IDM Tomcat, OracleDB HP ProLiant BL460c g6 9 KVM, safeq, Terminálové služby HP ProLiant BL680c g5 6 VMWare, XEN, MS SQL HP ProLiant DL320 3 SetTopBox, Management console Intel Alief XX 3 Testovací prostředí pro systémy HP ProLiant DL360 1 Správa diskového pole HP ProLiant DL380 1 itv Debian 5 Intel H Logovací server CentOS Intel SR Groupwise NOVELL SLES 10 RHEL 5 (7x), Windows 2003 (2x), Solaris 10 (1x) Windows 2003 (4x), RHEL 5 (3x), RHEL 6 (3x) RHEL 5 (3x), VM- Ware (2x), Windows 2003 (1x) Debian 5 (1x), Windows 2003 (1x), RHEL 5 (1x) RHEL 5 (3x) Windows 2003 Intel SR Testovací prostředí RHEL 5 Shibboleth Dell PowerEdge XX 1 Správa EKV XX Virtuální servery U virtuálních serverů je situace co do počtu ještě rozmanitější. Celkem se používá 66 virtuálních serverů a to na třech typech virtuálních strojů. Největší zastoupení má Xen, který je rozložen na 3 nody zapojené do HA clusterů 9 a hostuje 39 systémů. Dalšími jsou pak VMWare s 21 systémy. Poslední je Kernel Virtual Machine s šesti systémy. Postupně se však na KVM migruje z VMWare a s výhledem dvou let se na ní přesune i XEN. Přehled virtuálních strojů ukazuje tabulka 2.2. Detailní přehled i s hostovanými systémy, jejich operačními systémy, IP adresy apod. uvádí Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů. 9 High Availability cluster je anglický název pro skupinu počítačů, u kterých je očekávána vysoká dostupnost (a minimální down-time) 30

31 2.1. Používané technologie Virtuální stroj Tabulka 2.2: Seznam virtuálních strojů Hostovaných systémů Hardware XEN 39 HP ProLiant BL680c g5 3 VMWare 21 HP ProLiant BL680c g5 2 KVM 6 HP ProLiant BL680c g6 2 Počet nodů v clusterů Serverové operační systémy Jak nám demonstruje tabulka 2.3, klíčovou platformou je Red Hat Enterprise Linux v5. Nejenže poskytují vhodné podmínky pro virtualizaci, ale svou roli hraje také licenční politika. Dnes je na serverech RHEL převážně ve verzi Dalším operačním systémem je MS Windows 2003 Server. Důvod, proč tehdy již dostupné MS Windows 2008 servery nebyly použity je prostý používané aplikace byly tehdy certifikované pro běh na Windows 2003 serverech a také to, že Windows 2008 plně nepodporuje NT doménu, jenž je v heterogenním prostředí NTK využívána. Ostatní OS mají spíše minoritní zastoupení a jsou použity hlavně kvůli kompatibilitě se systémy, které jsou na nich provozovány. Tabulka 2.3: Seznam OS instalovaných na servery OS Red Hat Enterprise Linux 5.X 47 Windows Red Hat Enterprise Linux 6.X 14 Debian 6 9 SUSE Linux Enterprise Server 11 4 SUSE Linux Enterprise Server 10 3 CentOS 2 Debian 5 2 VMWare 2 Windows Solaris 10 1 Windows XP 1 Počet Pracovní stanice Protože NTK je organizace ve státní správě, muselo být pro objednání počítačů pro více než 150 zaměstnanců provedeno výběrové řízení. Jak je patrné z předchozích kapitol, většinu těchto soutěží vyhrála v posledních pěti 31

32 2. Analýza současného stavu letech společnost Hewlett-Packard. Proto i všech 253 stanic nese logo této společnosti Hardware Dodávka byla rozdělena do tří období a nahrazuje dosluhující počítače Fujitsu-Siemens Esprimo z roku V roce 2008 společnost HP dodala 100ks pracovních stanic HP Compaq dc7800sff s operačním systémem Windows XP. Ty byly určené především zaměstnancům. V roce 2010 pak proběhla instalace 80ks počítačů HP xw4600 typu Workstation do místních studoven. A naposledy, v roce 2011, bylo dodáno 63ks HP Compaq Elite 8200SFF a 10ks HP Compaq Elite 8200CMT s operačními systémy Windows 7. V obou případech se jednalo o modernizace zaměstnaneckého počítačového parku, kdy bylo možné vyřadit značně přesluhující počítače z let 2002 až Tabulka 2.4: Pracovní stanice v NTK HW OS Rok pořízení # Cílová skupina HP Compaq dc7800 SFF Windows XP zaměstnanci HP xw4600 workstation Windows XP studovny HP Compaq Elite 8200 SFF Windows zaměstnanci HP Compaq Elite 8200 CMT Windows zaměstnanci Obrázek 2.5: Současné počítače - HP Compaq 8200(zaměstnanci) a HP xw4600 (studovny) 32

33 2.1. Používané technologie Software Základní softwarovou výbavu můžeme rozdělit do dvou kategorií a to do roku 2011 a od roku Starší instalační balík obsahuje operační systém Windows XP, kancelářský software MS Office 2003 Standard (výjimečně u 20ks MS Office 2007 Professional) a antivirový systém Kaspersky Endpoint Security 8 for Windows. Od roku 2011 jsou pak počítače předávány s MS Windows 7, kancelářským balíkem MS Office 2010 Professional a antivirový systém zůstává zachován, tudíž Kaspersky Endpoint Security 8 for Windows. V obou případech jsou počítače připojeny do Novell domény a spravovány pomocí Novell ZENworks Suite. Mimo doménu se počítače hlásí pouze ke službě SAMBA, která zajišťuje centrální tiskové fronty Terminály Hardware Ve studovnách jsou kromě plnohodnotných pracovních stanic instalovány také terminály. Konkrétně 165ks tenkých klientů HP T5540Thin připojených přes RDP 10 k terminálové službě. Klienti podporují připojení dvou USB zařízení a obsahují také audio vstup a výstup (ten však není z důvodu možného hluku podporován). Obrázek 2.6: Tenký klient HP T5540 Thin 10 RDP vychází z anglického Remote Desktop Protocol a jedná se o protokol poskytující připojení k tzv. vzdálené ploše (využíván v OS MS Windows) 33

34 2. Analýza současného stavu Software Terminálové služby jsou poskytovány pomocí MS Windows 2003 Terminal Server se 165 licencemi DeviceCAL a několika UserCAL určených pro administrátory. Ověřovací autorita je v tomto případě Samba, jejíž server je provozán na RHEL 5 HA clusteru. Údaje jsou uloženy ve struktuře LDAP 11, řízené systémem IDM 12. Samotná bezpečnostní politika terminálových služeb je řízena přes Windows NT System Policy. Po přihlášení uživatele k terminálovému serveru je k dispozici balík aplikací, který obsahuje internetové prohlížeče Internet Explorer 8 a Mozilla Firefox v aktuální verzi; kancelářský balík Open Office; Adobe Acrobat Reader v aktuální verzi a prohlížeč obrázků IrfanView. Samozřejmostí jsou typické součásti Windows jako poznámkový blok, kalkulačka, malování apod Tiskárny Pro své zákazníky zřídila NTK i několik multifunkčních tiskáren, které umožňují uživatelům po přihlášení (zadáním PINu či přiložením karty) tisknout, kopírovat či skenovat. Data o uživatelích jsou získávána přes OpenLDAP a díky propojení platebního systému s aplikací pro správu tiskáren SafeQ, je možné dané služby zpoplatnit. Celkem se v NTK vyskytuje 33 multifunkčních tiskáren, z toho 15ks je barevných typu HP Color LaserJet CM6030MFP a 18ks černobílých typu HP LaserJet m4345. Oba typy tiskáren jsou napojeny na doménu Samba a spravovány systémem SafeQ. Z historických důvodů a ve výjimečných případech jsou využívány i lokální tiskárny typu HP LaserJet 1200, 2200, 4500 a Postupně však dochází k jejich likvidaci a přesunu tiskových úloh na nízkonákladové multifunkční tiskárny. 2.2 Používaný software V této kapitole nás bude zajímat Software, jenž je z hlediska bezpečnosti mnohdy rizikovější, než samotný hardware. V NTK se využívá přes 50 softwarových produktů a mít přehled o každém z nich je pro 9 zaměstnanců z oddělení provozu IT nelehký úkol. Zajímat nás proto bude především správa daného SW. Obecně lze tvrdit, že u těch aplikací / systémů, kde je použit globální účet správa, je bezpečnostní riziko největší. To z toho důvodu, že je mezi celým IT týmem udržováno jedno uživatelské jméno s neměnným heslem, užívané již od roku 2009, kdy byla zprovozněna nová serverovna. A to 11 Lightweight Directory Access Protocol je protokol, který uchovává informace v adresářové struktuře. 12 IDentity Management je systém umožňující centralizovanou správu identit a následnou distribuci těchto identit do dalších systémů. 34

35 2.2. Používaný software Obrázek 2.7: Veřejné tiskárny HP Color LJ CM6030MFP a HP LJ M4345 bez ohledu na to, že se část personálního obsazení oddělení IT provozu může měnit. Aplikační park celkově můžeme rozdělit na robustní systémy a drobné systémy / aplikace. V tomto duchu rozčleníme i tuto kapitolu. K operačním systémům se už nebudeme vracet, poněvadž jsme se o nich zmínili už dříve. Jen bych připomněl, že o serverech a operačních systémech pojednává Příloha A: Detailní seznam fyzických serverů a Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů Systémy Jak už bylo řečeno výše, v našem názvosloví jsou systémy robustními aplikacemi, jež ke svému běhu vyžadují napojení na jiné aplikace, databáze či systémy. Takových najdeme v NTK celkem sedm Systém IDM IDM neboli Identity Management slouží ke správě identit (dle architektury Sun Identity Management). Jedná se tak o procesy související s vytvářením, úpravou, smazáním nebo třeba blokací identit. Ty jsou uloženy v centrální databázi identit (CDBI). Tento systém distribuuje informace i do dalších systémů namátkou například platebním systémem, rezervačním systémem, Aleph, OpenLDAP, aj. Na obrázku je vidět systém přenosu identit a autorizace uživatelů. 13 převzat ze zdroje [15] a to s výslovným svolením autora 35

36 2. Analýza současného stavu Obrázek 2.8: Schéma přenosu identit a autorizace uživatelů 36 CDBI Popis: Jedná se o centrální databázi identit, jenž udržuje informace o všech identitách. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také výrobce aplikace.

37 2.2. Používaný software Sun IDM Popis: Systém pro správu identit osob působících v NTK. Přístup správce: Více správců, kde každý má svůj vlastní účet. Mezi skupinu správců patří také dodavatel aplikace. WA Registrace Popis: Webová aplikace registrace slouží jako nástroj ke zdroji či změnám dat o identitách. Ty jsou poté uloženy do CDBI. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také výrobce aplikace Knihovní aplikace a systémy Nedílnou součástí knihovny je bezesporu knihovní systém. Ten v NTK je natolik rozmanitý, že jej tvoří celkem 6 podsystémů. Dohromady vytvářejí zázemí pro poskytování služeb čtenářům v rámci základního smyslu činnosti knihovny. Na jednotlivé podsystémy se nyní podíváme detailněji. SFX Popis: SFX je systém, který zajišťuje koncentraci doplňujících služeb (na základě OpenURL) k vybranému zdroji (publikace, časopis aj.). Přístup správce: Správce této aplikace má vytvořen systémový účet s právy sudo 14. Aleph Popis: Aleph je hlavní část knihovního systému, jenž se stará o katalogizaci, výpůjčky a funkcionalitu akvizic. Zde je použit systém Aleph 500 ve verzi 20. Přihlášení uživatelů: Ověření identity přes IdM, k autentizaci využit OpenLDAP a Shibboleth. Přístup správce: Více správců využívajících pro přihlášení systémový účet, u kterého je možné využít práv sudo. Mezi skupinu správců patří také dodavatel aplikace. Portal Popis: Pod tímto názvem jsou ukryty vlastní webové stránky (resp. jejich logika). Přihlášení uživatelů: K autentizaci využit OpenLDAP a Shibboleth. Přístup správce: Více správců, kde každý má svůj vlastní účet. 14 Sudo je příkaz používaný u operačních systémů Linux a umožňuje vykonat následující příkaz s administrátorským oprávněním (superuživatele) 37

38 2. Analýza současného stavu Kramerius Popis: Jedná se o systém zpřístupňující naskenované archivní dokumenty. Přístup správce: Více správců využívajících pro přihlášení systémový účet. Katalog STM Popis: Katalog STM je katalog informačních zdrojů (zakoupených z prostředků programu LI ) z oborů přírodních věd, techniky a lékařství. Systém vznikl na základě projektu MŠMT. Přístup správce: Systém v současné době nevyžaduje správu anebo není využíván. EZ Proxy Popis: EZ Proxy umožňuje čtenářům autentizaci a autorizaci za účelem přístupu k externím či placeným zdrojům. Přihlášení uživatelů: K autentizaci využit Shibboleth. Přístup správce: Více správců, kde každý má svůj vlastní účet. Zároveň je však použit i globální účet správa Platební systém Systém pro správu peněžních účtů a provozování plateb za služby NTK, zahrnující jak vlastní evidenci, tak také rozhraní pro systém pokladem. Zároveň umožnuje napojení na další subjekty, jako jsou banky apod. Platební systém zastřešuje v případě NTK systém ifis, využívající databázi typu Oracle. ifis Popis: Zajišťuje platební styk se zákazníky knihovny a je napojen na knihovní systém aj. Obecně zajišťuje správu dat ekonomického úseku. Přihlášení uživatelů: Ověření identity přes IdM, k autentizaci využit OpenLDAP. Přístup správce: Správce této aplikace má vytvořen vlastní účet. Mezi správce aplikace patří také výrobce Rezervační systém Za účelem efektivní správy rezervací fyzických zdrojů NTK slouží rezervační systém. Ten s využitím vazby na platební systém umožňuje registrovaným uživatelům provádět placené rezervace, ale také jim nastavovat vstup například do rezervovaných učeben / místností a to díky propojení se systémem EKV. 38

39 2.2. Používaný software Verso Popis: Základem rezervačního systému je systém Verso, obsahující modul rezervace. Verso je složeno z komponent jádro a systém a pro ukládání dat využívá Oracle databázi. Přihlášení uživatelů: Autorizaci i autentizaci zajišťuje Shibboleth. Přístup správce: Správce této aplikace má vytvořen vlastní účet. Mezi správce aplikace patří také výrobce Tiskový systém Tiskový systém založený na aplikaci SafeQ poskytuje zákazníkům NTK tiskové, kopírovací a skenovací služby. Vše je nastaveno tak, že uživatel přidá svou úlohu do tiskové fronty a na dané tiskárně se úloha po přihlášení do terminálu SafeQ vytiskne. Jelikož je využito napojení na platební systém, je možné si za poskytovanou službu účtovat poplatek, který bude stržen uživateli z konta. SafeQ Popis: Systém SafeQ se stará o správu tiskových služeb a komunikaci s okolními systémy. Přihlášení uživatelů: Přihlášení probíhá v rámci OpenLDAP. Přístup správce: Více správců využívajících pro přihlášení systémový účet. Web JetAdmin Popis: Aplikace Web JetAdmin slouží jako nástroj ke správě a údržbě tiskáren HP. Přístup správce: Více správců využívajících pro přihlášení systémový účet Aplikace Systémy používané v NTK jsme si již popsaly a nyní si ještě shrneme ty nejzajímavější aplikace. Kompletní seznam software pak popisuje Příloha C: Detailní seznam používaného software AuditPro Popis: Jedná se o software, který je určen pro provádění především softwarového auditu. Zároveň však dokáže monitorovat činnost uživatelů, vytvářet reporty nejčastěji používaných aplikací, poskytuje rozhraní pro službu helpdesk aj. V NTK však funguje pouze jako nástroj ke správě licencí. Přístup správce: Správce této aplikace má vytvořen vlastní účet. 39

40 2. Analýza současného stavu GroupWise Popis: Jedná se o sadu komunikačních nástrojů a prostředků pro týmovou spolupráci od společnosti Novell. Přístup správce: Pro přístup na server s aplikací je použit globální účet správa, k aplikaci se však používá účet administrator domény NOVELL. Mezi skupinu správců patří také dodavatel aplikace GWAVA Popis: Gwava je soubor bezpečnostních nástrojů pro Novell GroupWise. Obsahuje například antispamovou ochranu či antivir. Přístup správce: Pro přístup na server s aplikací je použit globální účet správa, k aplikaci se však používá účet administrator domény NOVELL. Mezi skupinu správců patří také dodavatel aplikace HP DataProtector Popis: Jedná se o nástroj pro automatickou zálohu a obnovu dat v korporátní sféře. Přístup správce: Správce této aplikace má vytvořen vlastní účet. Zároveň je však použit i globální účet správa NOES Popis: Novell Open Enterprise Server poskytuje souborové a hlavně tiskové služby uživatelům pracovních stanic v doméně Novell. Přístup správce: Správce se do NOES přihlásí přes administrátorský účet v Novell edirectory OpenLDAP Popis: Jde o adresářovou službu na bázi LDAP, která eviduje lidi a karty v NTK. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také dodavatel aplikace. 40

41 2.3. Skupiny uživatelů freeradius Popis: Systém freeradius umožňuje autorizaci a ověření přístupů uživatelů k síťovým službám. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také dodavatel aplikace Shibboleth Popis: Shibboleth je služba, která po autentizaci uživatele ke své domácí organizaci dovolí přistupovat ke zdrojům dat (například webové stránky) organizace jiné. Ta však musí tuto metodu autentizace podporovat. Přístup správce: Je použit globální účet správa VPK Popis: Virtuální polytechnická knihovna je distribuovaný systém, kde NTK provozuje server a knihovny přes své klientské aplikace vytvářejí požadavky na provedení digitalizace. Základní myšlenkou je tedy poskytování kvalitního obsahu uživatelům bez nutnosti fyzické návštěvy knihovny. Přístup správce: Správce této aplikace má vytvořen vlastní účet Web Portál Popis: Jedná se o redakční systém, díky kterému jsou publikovány informace i aktivní obsah a to jak na veřejné internetové stránky knihovny, tak i na ty intranetové. Přihlášení uživatelů: Přihlášení zajišťuje Shibboleth a údaje jsou stažena z LDAP. Přístup správce: Více správců, kde každý má svůj vlastní účet. 2.3 Skupiny uživatelů V NTK se můžeme z pohledu IT setkat s několika typy uživatelů. Pro každý druh uživatele platí jiná omezení a je tedy vhodné si tyto typy definovat. Až na vyjímky využívají všechny aplikace informace o identitách ze systému IDM. 41

42 2. Analýza současného stavu Anonymní uživatel (studenti a zaměstnanci vysokých škol) Anonymní uživatel je takový uživatel, který není veden v databázi čtenářů, avšak má přístup do budovy na základě spolupráce s ČVUT a VŠCHT. Takoví uživatelé používají své univerzitní identifikační karty k přístupu do prostor NTK. Využívá se tak systémů správy identit vysokých škol, ze kterých se NTK předá pouze minimum dat (seriové číslo karty, číslo přístupového oprávnění a příznak "student"). Tito uživatelé nemají přístup k žádným z poskytovaných služeb NTK. Cílem této skupiny je především návštěva univerzitních knihoven a kanceláří v prostorách NTK. Riziko takového uživatele je tedy minimální Host (návštěva, externí spolupracovník) Hostem je takový uživatel, kterému se oproti finanční záloze propůjčí vstupní karta. Tím může být například externí spolupracovník nebo návštěva. Opět je požadováno minimální množství dat - jméno, přijmení, titul, číslo karty a její PIN, platnost karty a přístupová skupina vrámci systému elektronické kontroly vstupu. Hosté využívají především vstupů do zaměstnaneckých zón či skladů. I u této kategorii jsou rizika minimální Zákazník (čtenář) Po zaplacení členských poplatků a zavedením uživatele do systému přes aplikaci Registrace, vznikne tzv. registrovaný uživatel. O něm je však potřeba zadat údajů více - jako například uživatelské jméno a heslo, číslo osobního dokladu, adresa bydliště aj. Narozdíl od anonymního užviatele však může využívat všechny veřejné služby. Má možnost se připojit do sítě NTK, využívat místní kiosky a po složení určité částky na své konto v platebním systému i tiskové služby. Rizik, která mohou u registrovaných uživatelů vzniknout, je hned několik. Od zatížení internetové linky (Wifi hot-spotu), přes DoS 15 útok, až po šíření škodlivého software přes kiosky. Šance na dopadení je však poměrně vysoká, protože většina těchto systémů vyžaduje přihlášení. To nám zajistí, že dotyčnou osoba lze poměrně snadno dohledat Zaměstnanec Zaměstnanec je typ uživatele velmi podobný čtenáři. Rozdíl je pouze v tom, že se dostane i ke službám, aplikacím a zdrojům, které nemusí být veřejné. Navíc je zaměstnancům ještě vytvořena identita v systému Aleph, Novell NetWare a Novell GroupWise - u nich se totiž implementace správy identit pro 200 zaměstnanců finančně nevyplatí. 15 DoS neboli Denny of Service je takový typ útoku, kdy se útočník pokusí daný systém zahltit požadavky tak, aby už nemohl být obsloužen jiný klient a systém následně zkolaboval. 42

43 2.4. Závěr analýzy Oproti rizikům u registrovaných uživatelů přibývá ještě nebezpečí v podobě instalace nepovoleného software, použití prostředků k jinému než pracovnímu účelu nebo také zneužití pravomoci v daném systému Administrátor Jedná se o speciální typ zaměstnance pracujícího v oddělení provozu IT. Jejich primárním úkolem je plynulý běh ICT aplikací, nástrojů a služeb, jenž jsou denně využívány zaměstnanci a poskytovány zákazníkům. Díky superuživatelské role jsou pak daný systém či aplikaci schopni denně monitorovat či konfigurovat. Lidé ze skupiny administrátorů jsou většinou obezřetní a znají systém, který spravují. Riziko však existuje v případě nasazení nového systému, kdy administrátor není řádně proškolen. Další potenciální nebezpečí může vyvolat (nucený) odchod zaměstnance, kdy díky získaným znalostem a přístupovým klíčům může danou organizaci poškodit - například neoprávněným přístupem do systému a následným zveřejněním dat. Abychom tomu zabránili, je nutné dodržovat obecné zásady bezpečnosti. 2.4 Závěr analýzy Po provedení komplexní ICT analýzy v NTK jsem narazil na některá slabá místa Z pohledu technologií a OS Co se týče síťové infrastruktury, klíčovým prvkem je coreswitch. Ten je sice zapojen redundantně (vč. záložního spoje) a částečně tak odolný proti selhální, avšak rozvody z něj nejsou symetricky rozděleny. Dalším slabým místem může být neexistence seznamu serverů včetně provozovaných systémů a zodpovědných osob. Některé servery navíc dosluhují a již u nich není platná záruka. To stejné se týká vybraných pracovních stanic. Nejednotné jsou také aktualizace operačních systémů instalovaných na serverech. S tím mohou být spojena bezpečnostní rizika, vzniklá známými problémy v daných verzích OS Z pohledu software Díky systému pro správu identit je z pohledu přihlašování a ověřování uživatelů riziko minimální. Problém však nastává u přístupů, na které IdM neplatí. To se týká především správy aplikací, u kterých je použit jeden administrátorský účet známý všem zaměstnancům oddělení provozu IT. I v případě software bohužel neexistuje jeho detailní seznam včetně dodavatelů, odpovědných osob či serverů, na kterých běží. 43

44 2. Analýza současného stavu K dalšímu problému se dostáváme po té, co se s administrátorským účtem přihlásím do OS, ve kterém daný systém běží. Správce serveru tím totiž získá přístup do konfiguračních souboru systému, odkud může heslo vyčíst nebo změnit. Dojde tak k napadení aplikační vrstvy z úrovně OS. Posledním bodem je minimální využití aplikace AuditPro, která dovoluje monitorování pracovních stanic a jejich uživatelů. Vzhledem k ceně licence, která se v takto velkém počtu pracovních stanic pohybuje okolo ,- Kč, je pomerně škoda, že se nevyužívá plný potenciál aplikace. 44

45 KAPITOLA 3 Praktická část Abych se nespoléhal pouze na své zkušenosti a informace získané od vedoucího provozu IT, pana Ing. Václava Jansy, provedl jsem analýzu sítě pomocí volně dostupného nástroje, který je pro nekomerční užití zdarma. Díky němu jsem nalezl jak nám již známá slabá místa, tak i dříve neobjevené či zapomenuté problémy. 3.1 Použitý software Za účelem hloubkové analýzy zabezpečení byl vyvinut nástroj Nessus od společnosti Tenable Network Security. Tento velmi užitečný software je možné používat pro domácí účely zdarma a to stažením z následující adresy: V době psaní této diplomové práce (duben 2012) byla aktuálně k dispozici verze 5.0.1, kterou byla i analýza prováděna. Nástroj Nessus pracuje na principu klient-server, kdy klientem je internetový prohlížeč připojený na serverovou část, která je jádrem celé aplikace. Zároveň je využíváno tzv. modulů, kde každý má své specifické oblasti a parametry testování. Příkladem modulů může být ten, který testuje otevřené porty, jiný zkouší defaultní hesla, další zase testuje přístup k DNS apod. Přes klienta tak lze ve webovém rozhraní nastavit rozsah testu, typ testu, aktivovat příslušné moduly a provádět další konfigurace. Tento síťový scanner, umí monitorovat jak konkrétní počítač, tak i celé sítě. 3.2 Příprava na bezpečnostní analýzu Z důvodu velkého množství zařízení v síti NTK jsem k provedení analýzy využil dva notebooky, na které jsem nainstaloval jak klientskou, tak serverovou 45

46 3. Praktická část část. K testování jsem využil služeb všech modulů. Jelikož jsem měl k dispozici i kompletní seznam podsítí (VLAN), mohl jsem provádět testy v konkrétních sítích s konkrétní maskou (tj. test neprobíhal náhodně). 3.3 Analýza sítě z veřejně dostupných přístupových bodů Průběh analýzy Abych dosáhl co nejvěrnější pozice útočníka, použil jsem k testování veřejně dostupné přístupové body. Jednalo se tedy o bezdrátové sítě NTKSimple a studentské sítě Eduroam. V prvním případě bylo potřeba zadat registrační údaje do NTK, v případě Eduroam pak posloužil přednastavený účet z fakulty informačních technologií ČVUT. Jelikož je jednotlivých VLAN v řádech desítek, před samotným testem nástrojem Nessus, jsem si aplikací Dude 16 v4 otestoval, zda-li jsou z mé sítě v dané VLAN vůbec nějaká zařízení viditelná. A to z toho důvodu, že i test prázdné sítě trvá za použití nástroje Nessus přibližně 20minut 17. Ve fázi testování sítě jsem aplikaci Nessus nastavil tak, aby použila všechny dostupné moduly. Abych dosáhl co nejkomplexnějších výsledků, spustil jsem analýzu pojmenovanou jako příprava na PCI-DSS audit, jejíž test dosahuje u téměř dvaceti stanic přibližně čtyř hodin (při připojení přes bezdrátovou síť) Výsledek analýzy Ačkoliv jsem se dostal z veřejných přístupových bodů pouze do dvou sítí (VLAN), jednalo se právě o ty nejzajímější - tedy takové, kde jsou servery poskytující služby. K mému překvapení však žádné zásadní nedostatky objeveny nebyly. Co se týče portů, byly otevřené pouze ty, které jsou pro provoz služeb potřebné. A z pohledu možných bezpečnostních rizik stojí za zmínku snad jen neaktualizovaná verze programu poskytující běh webových služeb či operační systém, u něhož skončila podpora ze strany vydavetele. Detailní výstup provedené analýzy je k dispozici jako Příloha D: Výsledek skenování sítě aplikací Nessus v5. Nejdete v něm soupis všech nedostatků včetně míry rizikovosti, seznam hostů a všechny otevřené porty. 16 Dude je aplikace od společnosti MikroTik, která slouží k monitorování sítě. K dispozici zdarma z adresy: 17 V závislosti na zvoleném typu připojení - v tomto případě se jednalo bezdrátové připojení v pásmu G. 46

47 3.4. Analýza sítě bez omezení firewallem Obrázek 3.1: Webové rozhraní Nessus - parametry prováděného testu (u náhodné sítě) 3.4 Analýza sítě bez omezení firewallem Díky nabídce ze strany vedoucího provozu IT, jsem dostal možnost spustit test i ze sítě, kam mají přístup pouze správci. Jen bych připomněl, že aby se potenciální útočník do této sítě dostal, musela by být jeho MAC adrese nastavena vyjímka ve firewallu. Podvrhnutí této podmínky není nikterak jednoduché, protože dostat se do této VLAN je z veřejných přístupových bodů nemožné, natož tak provádět odsposlechy Průběh analýzy Při provádění testu v síti neomezené firewallem jsem byl připojen metalickým gigabitovým spojem, takže testování stovek zařízení probíhalo o něco rychleji. Navíc díky garantovanému přístupu kamkoliv již nebylo nutné dělat počáteční průzkum aplikací Dude. Opět jsem ve fázi testování povolil všechny moduly, tentokrát jsem však spustil analýzu pojmenovanou jako test vnitřní sítě, která provádí test nejčastějších prohřešků. A to především proto, že v této síti již nebylo potřeba testovat všechny porty a dělat hloubkovou analýzu, která by u každé VLAN byla časově velmi náročná Výsledek analýzy Jak už bylo řešeno výše, otestoval jsem takto všechny VLANy. Výsledky analýzy byly daleko zajímavější. Počet kritických problémů již nebyl zanedbatelný. 47

48 3. Praktická část Mezi nejčastější problémy patřilo například používání defaultních přístupových údajů, neaktualizované verze důležitých systémů, povolené účty host, jednoduše odhadnutelné názvy SNMP, nenainstalované důležité patche aj. Naopak otevřených portů bylo opět minimum, s výjimkou testovací sítě (kde se testuje nasazení nových systémů a aplikací). Detailní výstup z tohoto typu analýzy není součástí této práce a to z toho důvodu, že se jedná o testy sítí, kam nemá neautorizovaná osoba přístup. Obrázek 3.2: Webové rozhraní Nessus - přehledný výsledek testu (u náhodné sítě) 48

49 KAPITOLA 4 Návrh pravidel bezpečnosti V závěru druhé a třetí kapitoly jsem zhodnotil analýzu a poukázal na některá slabá místa. V této kapitole se budu věnovat řešením těchto problematických částí. Zároveň uvedu základní předpoklady a doporučení pro zabezpečení ICT služeb. A to z pohledu zabezpečení sítě, zabezpečení operačních systémů, definování bezpečných přístupu a také bezpečnosti a monitorování provozu. 4.1 Zabezpečení sítě Základním stavebním prvkem komunikace mezi více počítače je síť. Začneme tedy návrhem bezpečnostních opatření právě jí Zabezpečení síťových zařízení Prvním předpokladem zabezpečení síťových zařízení je, že tato zařízení by měli být vždy umístěny tak, aby nebyla lehce přístupná veřejnosti. V případě NTK je celé serverové zázemí umístěnu v suterénu a jednotlivé přepínače v patrech mají vlastní oddělenou místnost. Tím je garantován přístup pouze odpovědných osob. Jediným potenciálním problémem by mohlo být nesymetrické rozdělení na CoreSwitchi, které bylo v minulosti narušeno nutnými úpravami za účelem rozšíření sítě. V současnosti se však chystá nákup šasi HP 7510 (dříve také označováno jako 3com S7910) a doplnění 48 portové karty, které opět zajistí symetrické rozdělení sítě Zabezpečení proti neoprávněnému vniknutí do sítě Protože je síť NTK rozdělena do jednotlivých VLAN, má potenciální záškodník přístup pouze do tří sítí první je ta ve které se přihlásil, druhou je tzv. 49

50 4. Návrh pravidel bezpečnosti síť DMZ (kde jsou servery poskytující část služeb) a třetí je tzv. síť DMZL, ve které jsou servery poskytující zbývající část veřejných služeb. Lze tedy konstatovat, že z pohledu přístupu je síť zabezpečena dostatečně. Pokusí-li se škůdce připojit do sítě nějakou jinou, neoficiální cestou (např. připojením LAN kabelu z veřejných terminálů do svého notebooku), také neuspěje. Jednotlivým zařízením je totiž poskytována IP adresa na základě ověření MAC adresy. A i kdyby byl použit software na klonování MAC adres, opět by byl získán přístup pouze do sítí DMZ a DMZL. I v tomto případě jsou tedy dodržována doporučení pro vysokou míru zabezpečení Zabezpečení 802.1x Budeme-li chtít zabezpečit přístup do sítě silnějšími bezpečnostními prvky, je vhodné použít zabezpečení typu 802.1x. Tento typ zabezpečení spočívá v tom, že při pokusu počítače o spojení s přístupovým bodem, jej AP vyzve, aby se autentizovalo protokolem EAP 18. Po předání pověření počítače (nebo uživatele) přístupovému bodu dojde k jeho přeposlání na server Radius 19. Ten následně zjistí, zda-li má daný počítač či uživatel právo na přístup do sítě a podle toho odešle příznak přístupovému bodu. Je-li tedy klient správně autentizován, AP otevře v přepínači port, kterým povolí klientovi přístup do sítě. V opačném případě je zařízení (uživateli) přístup do sítě zapovězen. Ověřování v sítích 802.1x popisuje obrázek 4.1. Slabým místem tohoto zabezpečení je fakt, že ověřování probíhá pouze na začátku komunikace - přidá-li útočník před komunikující zařízení rozbočovač, může po drobných úpravách získat přístup do sítě také. Tomuto lze však částečně zabránit nastavením opakovaného ověřování i v průběhu komunikace. V současnosti je v NTK tato metoda ověřování v pilotním provozu a je testováno pouze na vybraných podsítích. Obrázek 4.1: Schéma ověřování 802.1x 18 z anglického Extensible Authentication Protocol definuje protokol umožňující rozšířené možnosti autentifikace 19 Remote Authentication Dial-In User Service je služba umožňující vzdálené ověření uživatele či zařízení a definující přístup 50

51 4.1. Zabezpečení sítě Zabezpečení portů Obecně je doporučeno zakázat přístup ke všem portům, které nejsou bezpodmínečně nutné pro provoz a poskytování služeb. Se stejným přístupem jsem se setkal i v síti NTK. Kromě portů 80, na kterém běží webové servery, portů 443, odbavující TLS 20 server a portů 993 a 995 pro POP3 21 a SMTP 22 server, jsem nenarazil na žádné další bezdůvodně otevřené Servery Jak už bylo řečeno dříve, v NTK je v provozu velké množství jak fyzických, tak virtuálních serverů. Na všechny servery typu HP ProLiant je poskytována záruka výrobcem, tedy společnosti Hewlett-Packard. Problém však nastává u serverů typu Intel. Ty jsou svým stářím již mimo záruční krytí a je vhodné od jejich provozování postupně ustupovat. V dalším technologickém plánu je tedy dle doporučení naplánována migrace jejich systémů na virtuální stroje. Stejně tak je v rámci homogenizace prostředí i v plánu sjednocení virtuálních strojů na platformu KVM. Jen připomenu, že v současnosti jsou mimo Kernel-based Virtual Machine využívány i virtuální stroje typu VMWare a XEN Logovací server Důležitou součástí sítí, ve kterých se vyskytuje velké množství serverů, je logovací server. Ten sbírá údaje z logů okolních serverů (či jiných klíčových zařízení) a umožňuje s nimi přehledně pracovat. Díky němu je pak možné vystopovat i takového útočníka, který záznamy v lokálním logu změní. Nejjednodušší variantou jak takovýto server vytvořit, je použití daemona syslogd (nejlépe v prostředí Red Hat nebo SuSe), který bude přes UDP port přijímat logy od ostatních klientů. Abychom však zabránili zneužití serveru útočníky, je potřeba jej ochránit vhodným nastavením firewallu. Momentálně se v NTK setkáme s logovacím servem, který je pouze ve stádiu implemetace. Přesměrování logů z Unixových stanic je snadné, chceme-li však ukládat logy na vzdálený server i z platforem MS Windows, je potřeba využit služby NTsyslog 23, která nám tuto funkcionalitu přidá. Dalším krokem je vytvoření souhrnu z logů. K tomu poslouží nástroj logwatch 24, jenž automaticky provádí analýzu logů a následně vygeneruje sou- 20 z anglického Transport Layer Security je bezpečnostní protokol, zajišťující šifrovanou komunikaci mezi počítači 21 v angličtině Post Office Protocol verze 3 je protokol sloužící k příjmání ové korespondence 22 Simple Mail Transfer Protocol je typ protokolu, který se stará o odeslání ové pošty. 23 Jedná se o volně šířitelnou aplikaci. Ke stažení: 24 LogWatch je volně šířitelná aplikace. K dispozici na: net 51

52 4. Návrh pravidel bezpečnosti hrnou zprávu. V kombinaci s aplikací Swatch 25 pak můžeme logovací server přimět k tomu, aby nás upozornil na vzniklý problém v moment, kdy k němu dojde. Swatch je totiž program, který pravidelně sleduje logy a při výskytu nadefinovaných situací na ně dokáže upozornit (například em). Obrázek 4.2: Princip fungování centrálního logovacího serveru Seznam fyzických serverů v síti Abychom mohli zabránit katastrofě v případě napadení a mohli jednoduše identifikovat postižený server, je potřeba udržovat aktualizovaný seznam serverů v síti. V době psaní této práce však žádný takový NTK neměla. Proto jsem vytvořil komplexní seznam serverů, obsahující DNS jméno serveru, jeho IP adresu, operační systém a typ HW. Dále je uveden dodavatel, odpovědná osoba, účet obsahující administrátorská práva a obecný popis toho, k čemu daný server slouží. Nejenže se tímto zlepší přehled o provozovaných zařízení v síti, ale také je nyní jednoduché zjistit odpovědnou osobu, či jakého dodavatele kontaktovat. Tento seznam je dostupný jako Příloha A: Detailní seznam fyzických serverů Seznam virtuálních serverů v síti Podobně jako u seznamu serverů fyzických jsem postupoval i u virtuálních. Ani v tomto případě nebyl dostupný žádný seznam pokrývající základní údaje o provozovaných virtuálních serverech. Až na typ HW, který jsem u virtuálních serverů nahradil typem virtuálního stroje, jsou všechny atributy totožné se se- 25 Simple WATCH je volně šířitelnou aplikací. Ke stažení: projects/swatch/ 52

53 4.2. Zabezpečení OS znamem fyzických serverů. K dispozici je jako Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů. 4.2 Zabezpečení OS U operačních systémů je vždy potřeba dbát na pravidelné provádění aktualizací, které opravují známé bezpečnostní problémy. Čím je počet OS větší a různorodější, tím je situace náročnější Serverové OS V případě NTK je téměř u 50% serverů používán operační systém Red Hat Enterprise Linux 5, který je až na nutnou výjimku (kvůli kompatibilitě aplikace) pravidelně aktualizován. I druhý největší zástupce serverových OS, kterým je MS Windows 2003, prochází pravidelnými aktualizacemi. Naopak u těch minoritně používaných, jako je například SUSE Linux Enterprise (běžící na serveru s funkcí GateWay) či Debian Linux (u serveru společnosti Suweco), je situace horší. V obou těchto případech jsou používany neaktuální verze OS, u kterých mimo jiné skončila podpora ze strany výrobce. Silně zde doporučuji přejít alespoň na takovou verzi, u které je výrobcem stále garantovaná podpora v podobě aktualizací. Pro přehled používaných operačních systémů poslouží i vytvořené seznamy v Příloze A: Detailní seznam fyzických serverů a Příloze B: Detailní seznam virtuálních serverů a hostovaných systémů. Operační systémy, u kterých je doporučována aktualizace z důvodu jejich zastaralosti, jsou vypsány v Příloze D: Výsledek skenování sítě aplikací Nessus v Klientské OS U klientských OS, instalovaných na jednotlivých (převážně zaměstnaneckých) stanicích je situace příznivější. Všechny operační systémy, ať se jedná o Windows XP či modernější Windows 7, jsou automaticky aktualizovány. Nevýhodou je však to, že o aktualizaci žádá a stahuje každá pracovní stanice samostatně. S tím je spojena zvýšená zátěž internetové linky a také zbytečné mnohanásobné stažení jednoho a toho samého souboru s aktualizací. Řešením je instalace služby Microsoft Software Update Services, kterou lze nastavit i v prostředí bez Active Directory 26. Ta vytvoří ve vnitřní síti server, který opravné balíčky stáhne pouze jednou. Všechny pracovní stanice následně přesměrují své požadavky na aktualizace právě na tento server. Tím dojde k eliminaci zatížení vnější linky a také se zabrání situacím, kdy například proxy server 26 jedná se o adresářové služby implementované společnostní Microsoft, umožňující ve skupině počítačů např. nastavovat pravidla, instalovat SW apod. 53

54 4. Návrh pravidel bezpečnosti nedovolí některým stanicím stažení určitých aktualizačních balíků. Synchronizací služby automatických aktualizací navíc dosáhneme toho, že si všechny počítače z pohledu aktualizací budou rovny. 4.3 Zabezpečení přístupu Dalším, velmi důležitým prvkem, který zabrání mnoha pokusům o proniknutí do systémů či zneužití služeb a dat, je pečlivá konfigurace a dodržování zásad pro vytváření, editaci a rušení přístupů. Ať už se jedná o přístup do místností se servery, k management konzolím či administraci aplikací. Častým problémem, ulehčující nezvaným hostům práci, je ponechání výchozího uživatelského jména a hesla, nedeaktivování uživatele guest, či nedůsledné rušení systémových účtů v případě, kdy společnost opustí zaměstnanec. Se všemi těmito neduhy se potýkají většiny společností, výjimkou nebyla ani NTK Zásady pro práci s hesly Prostým dodržováním následujících zásad můžeme riziko zneužití uživatelského účtu eliminovat. Tato doporučení se týká jak uživatelských účtů zaměstnanců (běžných uživatelů), tak i systémových účtů (administrátorů) Základní pravidla Před samotnými zásadami pro používání hesel je dobré si zopakovat i pravidla základní, která taktéž pomohou zvýšit úroveň zabezpečení. Nikdy nikomu neprozrazujte své uživatelské jméno a heslo. Pravidelně své heslo obměňujte. Citlivé údaje vždy zabezpečujte. Ujistěte se, že při zadávání citlivých údajů nejste sledováni další osobou. Nikdy neodpovídejte na hromadné či řetězové y. Otestujte všechny příchozí dokumenty antivirovým programem (pokud tak není učiněno automaticky). Nikdy nenechávejte paměťová média s důvěrnými daty (CD, USB flash disky) v otevřené místnosti bez dozoru. Opouštíte-li své pracovní místo byť jen na krátkou dobu, vždy se nezapomeňte odhlásit (ve Windows klávesová zkratka Windows logo + L ). Počítač vždy vypínejte pomocí funkce vypnout nikoliv tlačítkem na počítače (používá se pouze v případě zamrznutí PC). 54

55 4.3. Zabezpečení přístupu Pravidla pro hesla Přimějete-li uživatele k respektování následujících pravidel pro hesla, riziko odhadnutí hesla útočníkem (či programem) budu téměř nulové. Nikdy neponechávejte aktivní defaultní systémová hesla (nastavená tzv. od výroby ). První heslo by mělo být vždy generováno z náhodných znaků a uživateli předáno bezpečným komunikačním kanálem. Délka hesla by měla být nejméně 8 znaků. Používejte alespoň dvě kombinace velkých a malých písmen, čísel a speciálních ASCII znaků 27. Nikdy nepoužívejte řetězec obsahující skupinu znaků z vašeho uživatelského jména. Nepoužívejte řetězec, který obsahuje tři a více stejných znaků za sebou. Nepoužívejte řetězec obsahující vaše jméno, či další osobní informace (ID zaměstnance, datum narození, SPZ, čísla smluv, domácích mazlíčků, rodinných příslušníků, apod.). Nepoužívejte slova obsažena ve slovnících (např. cizojazyčná slova, slang, žargon, apod.) Nikdy si nenastavujte takové hesla, která jsou uvedena jako příklady hesel v příručkách a manuálech. Heslo by nemělo být používáno déle, než 90 dnů. Nejméně poslední čtyři hesla by měla být naprosto odlišná. Hesla by se za posledních 12 měsíců neměla opakovat. Příkladem bezpečného hesla je: Uživatelské účty Jak by mělo vypadat heslo jsem shrnul v předchozí kapitole a teď k vlastním uživatelským účtům. Jelikož je v NTK používána politika NOVELL edirectory, jsou všechny předpoklady pro bezpečnou práci s uživatelskými jmény a hesly splněny. Systém požaduje zahrnutí speciálního znaku do řetězce hesla, obsahuje paměť minulých hesel a nutí uživatele po 180 dnech k jeho obměně. 27 Mezi speciální ASCII znaky patří například následující: #, R, Ř,,. Mějte však na paměti, že speciální ASCII zanky v heslech nemusí být všemi systémy podporovány. 55

56 4. Návrh pravidel bezpečnosti Důležitou částí je ale i to, aby při každém ukončení pracovního poměru (nebo dlouhodobé pracovní neschopnosti) správce provedl blokaci účtu. Nebudeli tento proces striktně dodržován, může tak (například nespokojený) bývalý zaměstnanec útočit na systémy, ke kterým měl v minulosti přístup Správcovské účty Speciální kategorií uživatelských účtů jsou správcovské účty. Ty mají zpravidla větší pravomoce, než běžný účet a slouží ke konfiguraci software, přidávání práv uživatelům apod. Ne vždy jsou navíc napojeny na centrální správu identit. U těchto účtů by tak dodržování výše uvedených pravidel mělo platit dvojnásob Problematický účet správa Již v průběhu analýzy jsem zmiňoval, že v mnoha systémech a serverových OS je používán jednotný účet správa. Nejenže jej znají všichni správci, ale heslo je od počátku vybudování IT infrastruktury (v nové budově NTK) stále stejné. Asi není potřeba říkat, že takto by to být nemělo. První otázkou by mělo být, zda-li opravdu všichni z oddělení provozu IT potřebují tento účet znát. V současnosti je v IT zaměstnáno 9 zaměstnanců (jak na částečný, tak plný úvazek) a dalších 7 pracují jako externisti. Od počátku působnosti NTK v nové budově již k personálním změnám v týmu došlo. Proto je potřeba dbát na pravidelné obměně hesel a důrazně rušit účty lidí, kteří již s NTK nemají nic společného. Celou situaci by zpřehlednilo, kdyby se administrátoři rozdělili do skupin (podle systémů, které spravují) a té skupině správců, kteří se primárně starají o servery, by byl nastaven přístup k systémovému účtu správa. Heslo tohoto účtu by se v pravidelných intervalech měnilo a pověřené osoby by se o něm dozvěděli například z elektronické peněženky hesel. Dalším krokem, který by pomohl zprůhlednit procesy provedené účtem správa, by bylo auditování všech provedených činností. Například to, jestli si daný správce nevytvořil zadní dvířka do nějakého z používaných systémů, či nenastavil oprávnění třetí osobě aj Skupiny administrátorů Jelikož v době psaní této práce nebyl k dispozici žádný seznam administrátorů a ani jejich případné rozdělení do skupin, vytvořil jsem jej sám. Jako podklady jsem použil odpovědné osoby jednotlivých systémů a serverů (viz. Příloha A: Detailní seznam fyzických serverů, Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů a Příloha C: Detailní seznam používaného software). Následnou diskusí s vedoucím útvaru provozu IT, panem Ing. Václavem Jansou, prošlo dané členění validací. Detailní rozdělení správců do skupin je popsáno v tabulce

57 4.3. Zabezpečení přístupu Tabulka 4.1: Rozdělení pracovníků provozu IT do skupin Název skupiny Uživatel 1 Uživatel 2 Uživatel 3 Uživatel 4 Správci serverů Jansa V. Mazl L. Eminger T. Holub P. Síťoví správci Jansa V. Holub P. Vařecha J. DB specialisti Jansa V. Heicl V. Správci webu Jansa V. Koh O. Koudelka J. Platební systém Jansa V. Heicl V. Rezervační systém Jansa V. Kalina J. Tiskový systém (SafeQ) Jansa V. Zmuda T. Mazl L. Aplikační správci Aleph Jansa V. Heicl V. Kolátor J. Aplikační správci IDM Jansa V. Mazl L. Aplikační správci Kramerius Jansa V. Kolátor J. Janíček M. Řihák J. Z výše uvedené tabulky 4.1 je vidno, že uživatel v prvním sloupci je stále stejná osoba. Je tomu tak z toho důvodu, že se jedná o hlavního správce (vedoucího) celého útvaru provozu IT Software pro správu hesel Jedním z mnoha důvodů, proč byl účet správa vytvořen, je administrace nepřeberného množství používaných systémů. A aby si správci nemuseli pamatovat do každého systému odlišné přihlašovací údaje, došlo ve všech systémech k vytvoření tohoto jednotného účtu. Jelikož chceme této situaci v budoucnosti předejít, doporučuji využít aplikace pro správu hesel (tzv. peněženku) Požadavky Před výběrem vhodné aplikace pro správu hesel bylo nutné si vytyčit některá kritéria. Peněženka by měla být víceuživatelská a to nejlépe tak, že pro různé uživatele (skupinu) bude odlišná databáze. Zároveň by měla být spustitelná na platformách Windows i Linux. A jelikož se jedná o organizaci státní správy, tak by bylo ideální, kdyby byl celý produkt zdarma Aplikace splňující daná kritéria Aplikací, které splňují všechny výše uvedené požadavky, není mnoho. Většina jich pracuje na principu, kdy na počítači spustíte klienta (psaný pro Windows - v Linuxu se emuluje přes Wine) a ten používá databázi hesel na vzdáleném serveru. Druhou variantou jsou programy, které jako klientskou část používají webový prohlížeč, jež je připojen na server, kde běží jádro aplikace. 57

58 4. Návrh pravidel bezpečnosti Obrázek 4.3: Aplikace TeamPass Pro tyto účely se jako nejvhodnější jeví aplikace TeamPass (vyvíjena Nilsem Laumaillém), která je dokonce opensource 28. Ta spadá do druhé kategorie, kdy se jako klient využívá webový prohlížeč. Tím je tedy zajištěn provoz na všech platformách (a to dokonce i na zařízeních, jako jsou tablety či telefony). Stejně tak je aplikace multi-uživatelská a umožnuje definování práv jednotlivým skupinám uživatelů. O tom jak je zpracováno GUI aplikace vypovídá obrázek 4.3 Přednosti aplikace TeamPass: Uživatelsky přívětivá aplikace Přístup přes internetový prohlížeč (multiplatformní) Veškerý přenos dat je zašifrován algoritmem AES-256 Zápis hesel do stromové struktury Hesla jsou v databázi šifrována 28 Open Source neboli otevřený software je takový program, který má otevřený (legálně dostupný) zdrojový kód. Většinou (nemusí být pravidlem) se jedná o bezplatný software vytvářený komunitou dobrovolníků. 58

59 4.3. Zabezpečení přístupu Součástí je i generátor hesel Podporuje tři druhy uživatelský rolí (Správce, manažer a pouze pro čtení) Uživatelům je možné nastavit omezenou platnost i sílu hesel Uživatele je možné rozdělit do skupin Každému uživateli (skupině) lze nastavit přístup k jednotlivým (větvím) listům stromové struktury Pro jednotlivé větve lze definovat, jak moc bezpečné heslo by v nich mělo být obsaženo Plná lokalizace do češtiny, včetně podpory českých znaků Je možné provádět šifrovanou zálohu i obnovu databáze Aplikace je OpenSource a je pravidelně aktualizována Instalace a konfigurace Před samotnou instalací si musíme připravit (virtuální) počítač, který bude sloužit jako webový server. Nezáleží přitom na operačním systému. Vzhledem k licenční politice bude ale lepší využít systému Linux. Dále na tomto počítači musíme připravit prostředí pro běh webových aplikací. Nejjednodušší cestou je instalace kompletního balíku XAMPP 29 (WAMPP pro Windows). Další krok spočívá v konfiguraci webového serveru a vytvoření databáze. V internetovém prohlížeči otevřeme adresu localhost a vybereme PhpMyAdmin. Zde pak vytvoříme novou databázi nazvanou teampass. Dále v záložce Privileges vytvoříme nového uživatele teampass_admin, kterému nastavíme všechna oprávnění. Na závěr složce webového obsahu přidělíme oprávnění čtení všem (CHMOD -R 777). Nyní se dostáváme ke stažení a instalaci samotné aplikace TeamPass. Ze stránek vývojáře stáhneme poslední funkční verzi. Po rozbalení ji nakopírujeme do složky webového serveru a přes webový prohlížeč provedeme její první spuštění. V každém kroku je nejprve potřeba kliknout na tlačítko LAUNCH a po té pokračovat dále. V kroku 2 pak zadáme informace o databázi, jaké jsou znázorněné v tabulce 4.2. V případě, že během instalace nedošlo k žádným problémům a konfigurace proběhla v pořádku, měla by se po zadání adresy localhost do webového prohlížeče zobrazit stránka, jako je uvedená na obrázku Jedná se o uživatelsky přívětivý a jednoduše konfigurovatelný balík distribuce Apache, která obsahuje i prostředí PHP a MySQL. 59

60 4. Návrh pravidel bezpečnosti Tabulka 4.2: Nastavení DB pro TeamPass Host: localhost Database name: teampass Login: teampass_admin Password: vytvořené heslo Obrázek 4.4: První přihlášení do aplikace TeamPass V této fázi už je aplikace plně funkční a je připravena pro naplnění daty. Primárně však doporučuji vytvořit skupiny, do kterých se pak budou přidělovat jednotliví uživatelé. Důležité je také přepnout aplikaci z režimu údržby do plného provozu - přes Nastavení a položku Přepnout TeamPass do správního režimu. 4.4 Monitorování provozu Součástí bezpečnostních opatření je i monitorování provozu. Může se jednat o pravidelné procházení logů jednotlivých zařízení (viz. kapitola ) nebo rovnou o monitorování samotných uživatelů. Důvodů je hned několik: 60 Podezření na krádež strategických podnikových dat a jejich úmyslné vynášení s cílem poškodit společnost Snížení bezpečnostního rizika počítačové sítě Analýza reálného využití zakoupeného hardware

61 4.4. Monitorování provozu Analýza reálného využití zakoupeného softwaru Analýza oprávněnosti přesčasů zaměstnanců Detekce navštívených stránek Komplexní personální audit zaměstnanců Rekonstrukce pracovního dne konkrétního uživatele / pracovní stanice Ať už existuje podezření na některého ze zaměstnanců, nebo chceme jen předejít případným budoucím komplikacím (například s porušováním autorského zákona), nastavením této služby zatížíme systémové prostředky jen minimálně a výstup se nám může v budoucnu více než hodit Právní opora Z pohledu zákonů je situace leckdy nejednoznačná, avšak většinou na straně zaměstnavatele: Zákon práce povoluje zaměstnavateli snahu chránit svůj majetek. V jiném ustanovení se uvádí, že zaměstnavatel je povinen soustavně kontrolovat, zda zaměstnanci plní své pracovní úkoly tak, aby nedocházelo ke škodám [20]. Dále v zájmu realizace ochrany majetku umožňuje zákoník práce zaměstnavateli, aby prováděl kontrolu věcí, které zaměstnanci vnášejí nebo odnášejí od zaměstnavatele a to včetně prohlídek zaměstnanců ( 170 odst. 3 ZP) [20]. Z výše uvedeného je tedy zřejmé, že zaměstnavatel oporu v zákoně má. Na druhou stranu o odposlechu telefonních hovorů či instalaci kamerového systému už v zákoníku práce není ani zmínka. Navíc je takovéto jednání se zaměstnancem na hraně práv lidské bytosti na ochranu její důstojnosti a soukromí. Právo na soukromí však nemůže být neomezené a tak se akceptují případy, kdy zaměstnavatel monitoruje zaměstnance za účelem chránění svého majetku před poškozením či zneužitím. U zaměstnance je situace zvláštní v tom, že se zdržuje na svém pracovišti v pracovní době za jediným účelem - výkonem práce pro zaměstnavatele, který je oprávněn mu přidělovat práci tak, aby plně využil celou pracovní dobu zaměstnance [20]. Navíc zaměstnanec nepoužívá vlastní pomůcky, nýbrž pomůcky zaměstnavatele. To vše upevňuje postavení zaměstnavatele. Ze zákona však plyne povinnost, že zaměstnanci musí být informováni o tom, že jsou takto kontrolováni. Protože monitorování, o kterém by zaměstnanec nevěděl, je potencionálním zásahem do jeho soukromí. Co se týče monitorování ové komunikace, mohou nastat dva případy. Pokud se jedná o firemní schránku, pak je schránka ve vlastnictví společnosti a je možné do její korespondence nahlížet (zaměstnanec danou poštu pouze zpracovává). Naopak, otevře-li zaměstnanec na internetu svou soukromou ovou schránku, nesmí být v tomto případě kontrolována. Jednalo by se však o jiný problém a to o použití (zneužití) pracovní pomůcky k soukromým účelům. 61

62 4. Návrh pravidel bezpečnosti Protokol činností administrátorů V případě NTK by bylo nejvhodnější aplikovat monitorování na skupinu administrátorů správa serverů. Tím, že jsme administrátory rozdělili do skupin, jsme sice počet lidí používající tento účet eliminovali. Stále se však jedná o silný nástroj (účty s mnohými pravomocemi) umožňující převzetí kontroly téměř nad jakýmkoliv systémem. Jelikož jsou prostředí v síti NTK různorodé, je potřeba se zabývat jak OS Linux, tak OS Windows Operační systémy Linux V operačním systému Linux se monitorování činnosti jednotlivých účtů nazývá Účtování procesů. Díky této funkci se nám začnou logovat informace například o tom, jaké příkazy a v jaký čas daný uživatel spustil. To nám velice ulehčí hledání případného viníka či člověka, který provedl poslední rekonfiguraci systému. Aktivace tzv. účtování procesů je jednoduchá. Zadáním příkazu uvedeného v tabulce 4.3 zapneme tuto funkci v libovolné distribuci Linuxu. Pokud je však používán RedHat nebo SuSE a to včetně balíčku pro účtování procesů, je možné tuto funkci aktivovat přímo ve spouštěcích skriptech. O tom, jakými příkazy účtování procesů v tomto případě aktivovat, pojednává tabulka 4.4. Tabulka 4.3: Aktivace účtování procesů (obecně) # mkdir /var/account # touch /var/account/pacct && chmod 660 /var/account/pacct # /sbin/accton /var/account/pacct Tabulka 4.4: Aktivace účtování procesů RedHat a SuSE RedHat SuSE # chkconfig psacct on # chkconfig acct on # /sbin/service psacct start # /sbin/service acct start Jakmile je vše nastaveno, můžeme začít procházet logy. K tomu nám pomůže příkaz ac, který zobrazí délku přihlášení všech uživatelů na dané stanici. Dalším, a hojně využívaným, může být příkaz lastcomm, který umožňuje procházet logy podle vložených příkazů či uživatelského jméno. Posledním užitečným nástrojem je sa, který provede sumarizaci záznamů v logu a zobrazí všechny spuštěné příkazy Operační systémy Windows U operačních systému Windows je situace trochu odlišná. K přehlednému a komplexnímu logování všech činností uživatele je totiž potřeba použít aplikací 62

63 4.4. Monitorování provozu třetích stran. Já se však pokusím využít dostupných prostředků a nakonfigurovat alespoň zásady auditování. Ty zahrnují: Události přihlášení k účtu Události správy účtu Události přístupu k adresářové službě Události přihlášení Přístup k objektům Změny zásad Oprávněné použití Sledování procesů Systémové události Konfiguraci jednotlivých zásad auditování spustíme přes konzoli MMC (Microsoft Management Console) a následným výběrem Místní zásady zabezpečení. Ve složce Místní zásady a Zásady auditu jsou všechny tyto moduly připraveny k aktivaci. Jelikož chceme monitorovat činnost správců, je vhodné aktivovat moduly Auditování událostí správy účtu (kontroluje, zda nebyly přiděleny administrátorská práva jinému účtu), Události přihlášení (abychom věděli, kdy se kdo přihlásil), Přístup k objektům (monitoruje přístup k souborům, tiskárnám, registrům aj.), Změny zásad (zda-li uživatel nedeaktivoval například zásady auditu), Auditování sledování procesů (aneb jaké aplikace a procesy byly spuštěny) a Systémové události (kdy kontrolujeme, zda uživatel nevymazal logy aj.). Zároveň můžeme využít možnosti, zda-li chceme uchovávat informace o úspěšných pokusech, neúspěšných či obou. Výsledek by pak měl vypadat jako na obrázku 4.5. Výstupy z těchto logů jsou dostupné přes nástroj Prohlížeč událostí, který umí vypsat detailní informace o událostech, umožňuje jejich řazení dle různých vlastností, filtraci apod Aplikace AuditPro O tom, jak monitorovat činnost správců na serverech, jsem psal v předchozí kapitole. Budeme-li však chtít mít přehled i o zbylých zaměstnancích, nejjednodušší cestou je využití již zakoupené licence AuditPro. Jen pro připomenutí, v současnosti je pouze plánováno, že aplikace bude využívána za účelem evidence softwaru - ostrý provoz však ještě nezačal. Vzhledem k tomu, 63

64 4. Návrh pravidel bezpečnosti Obrázek 4.5: Nastavení zásad auditu v MS Windows že součástí modulu pro sběr informací o software je i monitorování činnosti uživatelů, tak by byla škoda zaplacené licence nevyužít. Kromě samotného auditu umožňuje AuditPro provádět inventuru počítačového vybavení či vytvářet předávací i instalační protokoly. Zároveň umí zpracovávat výsledky analýz do přehledných grafů, kde je například znázorněno jaký čas trávil uživatel na jednotlivých internetových stránkách apod. Pro vyzkoušení je možné si stáhnout demoverzi na monitorování pěti počítačů. Celý systém pracuje na principu třívrstvé architektury, kde datovou vrstvu tvoří databázový server, aplikační vrstvou je soubor komponent AuditPro serveru a prezentační částí je grafické rozhraní aplikace Instalace a konfigurace Před samotnou instalací produktu si opět musíme předpřipravit počítač, na kterém bude prostředí MS Windows (a nejlépe tak, aby bylo v doméně). Po té stáhneme poslední dostupnou verzi aplikace AuditPro ze stránek výrobce: Následujeme instrukce instalátoru až do okamžiku, kdy vše bude úspěšně nainstalováno. Při prvním spuštění aplikace AuditPro je potřeba vložit licenční klíč. Po té se již dostaneme k samotnému nastavení. V záložce Struktura sítě vybereme v levém sloupečku Průvodce sběrem dat, který nám pomůže s vyhledáním počítačů v síti. Dojdeme-li s průvodcem úspěšně až do konce, měli bychom 64

65 4.4. Monitorování provozu Obrázek 4.6: Aplikace AuditPro mít ve struktuře nejen všechny počítače, ale také by měla začít i automatická instalace klienta na všech stanicích (MS Windows). Skutečnost však nemusí být vždy tak růžová a v některých případech je potřeba distribuovat klienta ručně (stanici po stanici) a nebo pomocí Group Policy 30. V mém případě bylo ještě potřeba zkopírovat utilitu psexec z balíku nástrojů SysInternals 31 do adresáře, ve které ja program AuditPro nainstalován Sběr informací o instalovaném SW Jakmile máme klienta ve všech monitorovaných stanicích, můžeme začít sbírat data o instalovaném software. Opět vybereme záložku Struktura sítě a v ní položku počítače. V seznamu označíme všechny počítače, klikneme pravým tlačítkem a zvolíme Sběr dat. Tím se zahájí až hodinový proces sběru dat. Zatížení koncových počítačů je však minimální a uživatele nikterak při práci neblokuje. Stejně tak ani rapidně nevzroste síťová zátěž. Pokud z důvodů síťových pravidel nepůjde přes daný port se serverovou částí AuditPro komunikovat, je možné jednotlivým klientům nastavit, aby reporty ukládali do síťové složky, odkud si je pak jádro aplikace převezme. 30 GPO je systém používaná v prostředí Microsoft Windows, umožňující definovat zásady a pravidla pro stanice ve skupině (doméně) 31 Jedná se o balík užitečných nástrojů pro MS Windows - Ke stažení microsoft.com/en-us/sysinternals/bb

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Petr Řehoř, S.ICZ a.s. 25. září 2014 1 Důvěryhodná výpočetní základna Vlastní metodika pro návrh a implementaci počítačové infrastruktury

Více

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Microsoft SharePoint Portal Server 2003 Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Přehled Země: Česká republika Odvětví: Velkoobchod Profil zákazníka

Více

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Předmět: Bezpečnost a ochrana zdraví při práci (1 v.h.) 1. VYUČOVACÍ HODINA BOZP Předmět: Základní pojmy a principy sítí (6 v.h.) 2. VYUČOVACÍ HODINA

Více

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

BEZPEČNOST (BEZ)DRÁTU. Martin Macek, BEZPEČNOST (BEZ)DRÁTU Martin Macek, mmacek@netlancers.cz O nás KDO? CO? JAK? Společnost zaměřená na bezpečnost počítačových sítí Certifikovaní odborníci Společnost založena roku 2009 Jsme LIR, vlastníme

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Žádost zpracoval vedoucí odboru informatiky

Žádost zpracoval vedoucí odboru informatiky ŽÁDOST O POSKYTNUTÍ DOTACE NA PODPORU ROZVOJE ICT V ORGANIZACÍCH ZŘIZOVANÝCH KRAJEM VYSOČINA - 2010 Úplný název: Právní status: Nemocnice Pelhřimov, příspěvková organizace Zřizovaná organizace Ulice: Slovanského

Více

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 Úvod 9 Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9 Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 KAPITOLA 1 Hardwarové prvky sítí 11 Kabely 11

Více

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jedním z řešení bezpečného vzdáleného přístupu mobilních uživatelů k firemnímu informačnímu systému je použití technologie

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Žádost zpracoval vedoucí oddělení ICT

Žádost zpracoval vedoucí oddělení ICT ŽÁDOST O POSKYTNUTÍ DOTACE NA PODPORU ROZVOJE ICT V ORGANIZACÍCH ZŘIZOVANÝCH KRAJEM VYSOČINA Úplný název: Právní status: Nemocnice Havlíčkův Brod příspěvková organizace Ulice: Husova 2624 Obec: Havlíčkův

Více

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o.

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o. RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí Milan Zelenka, RHCE Enlogit s.r.o. Red Hat Enterprise Virtualization for Desktops (RHEV-D) Desktop virtualization Vlastnosti efektivní

Více

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4 Zadavatel: Sídlem: Česká republika Ministerstvo zemědělství Těšnov 17, 117 05 Praha 1 Česká republika Název veřejné zakázky: OBNOVA CENTRÁLNÍ HW INFRASTRUKTURY V DATOVÉM CENTRU Evidenční číslo veřejné

Více

ICT plán školy na rok 2006-07

ICT plán školy na rok 2006-07 ICT plán školy na rok 2006-07 Gymnázium Jana Ámose Komenského a Jazyková škola s právem státní jazykové zkoušky Uherský Brod. počet žáků ve škole (k. 9. 2005): 708 (pouze denní studium) 678 všeobecné zaměření

Více

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY ICT plán školy popisuje stávající stav, cíle, kterých chce škola v oblasti ICT vybavení dosáhnout

Více

Správa stanic a uživatelského desktopu

Správa stanic a uživatelského desktopu Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1 Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských

Více

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Účelem veřejné zakázky je vybudování, provoz a údržba infrastruktury pro provozování aplikací a služeb

Více

Magic Power vzdálené sledování finančních dat. Popis a funkce systému. Strana: 1 / 6

Magic Power vzdálené sledování finančních dat. Popis a funkce systému. Strana: 1 / 6 Popis a funkce systému Strana: 1 / 6 OBSAH Úvod... 2 Popis systému... 2 Popis systému VTZ... 4 Popis systému server... 5 Popis systému klient... 6 ÚVOD Vícemístné technické zařízení (VTZ) Magic Power lze

Více

Příručka pro nasazení a správu výukového systému edu-learning

Příručka pro nasazení a správu výukového systému edu-learning Příručka pro nasazení a správu výukového systému edu-learning Obsah: Edu-learning pro firmy a organizace... 2 Varianty nasazení... 2 A. Systém umístěný v lokální síti zákazníka... 3 B. Systém umístěný

Více

Plán ICT na Střední škole automobilní, příspěvková organizace, KRNOV

Plán ICT na Střední škole automobilní, příspěvková organizace, KRNOV Plán ICT na Střední škole automobilní, příspěvková organizace, KRNOV ICT plán je vypracován na základě metodického pokynu č.j. 1552/2005-551. ICT plán školy popisuje stávající stav z hlediska vybavení

Více

TC-502L. Tenký klient

TC-502L. Tenký klient TC-502L Tenký klient Popis přístroje Tenký klient s kompletní podporou pro připojení do systémů Windows 7, Vista, Windows 2008, Windows 2003, Windows XP Pro, Linux servery. Disponuje 1x rozhraním LAN 10/100,

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat Název projektu: Redesign Statistického informačního systému v návaznosti na zavádění egovernmentu v ČR Příjemce: Česká republika Český statistický úřad Registrační číslo projektu: CZ.1.06/1.1.00/07.06396

Více

TC-502L TC-60xL. Tenký klient

TC-502L TC-60xL. Tenký klient TC-502L TC-60xL Tenký klient Popis přístroje Tenký klient TC-502L s kompletní podporou pro připojení do systémů Windows 7, Vista, Windows 2008, Windows 2003, Windows XP Pro, Linux servery. TC-604 navíc

Více

P@wouk nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

P@wouk nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing. P@wouk nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing. Tomáš Petránek tomas@petranek.eu Karviná, 21. 10. 2011 Obsah prezentace 1. Okolnosti

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: EKONOMIKA A PODNIKÁNÍ ZAMĚŘENÍ: VÝPOČETNÍ TECHNIKA FORMA: DENNÍ STUDIUM 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b.

Více

VirtualBox desktopová virtualizace. Zdeněk Merta

VirtualBox desktopová virtualizace. Zdeněk Merta VirtualBox desktopová virtualizace Zdeněk Merta 15.3.2009 VirtualBox dektopová virtualizace Stránka 2 ze 14 VirtualBox Multiplatformní virtualizační nástroj. Částečně založen na virtualizačním nástroji

Více

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY ICT plán školy popisuje stávající stav, cíle, kterých chce škola v oblasti ICT vybavení dosáhnout

Více

Audit bezpečnosti počítačové sítě

Audit bezpečnosti počítačové sítě Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Semestrální práce Y36SPS Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

Katalog služeb a procesů města Sokolov A. Popis současné praxe práce s procesy B. Vytvoření a implementace Katalogu služeb a procesů města Sokolov

Katalog služeb a procesů města Sokolov A. Popis současné praxe práce s procesy B. Vytvoření a implementace Katalogu služeb a procesů města Sokolov Katalog služeb a procesů města Sokolov Cílem je vytvořit a zavést do běžné praxe úřadu komplexní Katalog služeb a procesů města Sokolov. Součástí předmětu plnění je: A. Popis současné praxe práce s procesy

Více

Úvod do počítačových sítí

Úvod do počítačových sítí Úvod do počítačových sítí =spojení dvou a více počítačů za účelem sdílení informací a nebo zdrojů 2 firmy,úřady, nemocnice, státní správa,... komunikace uvnitř firmy a s vnějškem sdílení zdrojů a tím snížení

Více

Acronis. Lukáš Valenta lukas.valenta@acronis.cz www.acronis.cz

Acronis. Lukáš Valenta lukas.valenta@acronis.cz www.acronis.cz Acronis Lukáš Valenta lukas.valenta@acronis.cz www.acronis.cz Acronis Kdo jsme? Společnost se sídlem v USA Zálohovací software Software pro ochranu proti haváriím Nástroje pro správu disků Nástroje pro

Více

Služby datového centra

Služby datového centra Služby datového centra Společnost DataSpring je poskytovatelem služeb ICT infrastruktury a provozu IT řešení, veškeré služby provozuje ve vlastních datových centrech v Praze (Lucerna) a v Lužicích u Hodonína.

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b. výhody počítačových sítí c. rozdělení sítí z hlediska

Více

Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady

Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady Jaroslav Prodělal, solution consultant, OldanyGroup Petr Škrabal, správce sítě, SOŠP a SOUS Hranice Představení společnosti

Více

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com DESKTOP: Windows Vista Daniela Lišková Solution Specialist Windows Client daniela.liskova@microsoft.com TCO desktopů analýzy spol. Gartner Téměř 80% všech nákladů v IT vzniká po nákupu tj. na správě, opravě,

Více

Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení

Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení Zadavatel požaduje dodávku 16 kusů serverů a 4kusů síťových datových úložišť. Servery se požadují bez dodání operačního systému. Specifikace minimálních

Více

Použití programu WinProxy

Použití programu WinProxy JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě

Více

Dodatečné informace č. 7

Dodatečné informace č. 7 Dodatečné informace č. 7 V souladu s ustanoveními 49 zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů, poskytuje zadavatel dodatečné informace č. 7 k zadávacím podmínkám veřejné

Více

Aktivní prvky: přepínače

Aktivní prvky: přepínače Aktivní prvky: přepínače 1 Přepínače část II. Předmět: Počítačové sítě a systémy Téma hodiny: Aktivní prvky přepínače část II. Třída: 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART

Více

Praha, 31.3. 2011. Martin Beran

Praha, 31.3. 2011. Martin Beran Datová centra Design studie Praha, 31.3. 2011 Martin Beran martin.beran@simac.cz cz 1 Design studie 2 Implementace virtuálních pracovních stanic na platformě FlexPod + VMWare View 2 Výchozí stav Provozování

Více

DOCUMENT MANAGEMENT TOOLKIT

DOCUMENT MANAGEMENT TOOLKIT DOCUMENT MANAGEMENT TOOLKIT SPRÁVA DOKUMENTŮ V MODERNÍM PODNIKOVÉM PROSTŘEDÍ Zpracování dokumentů prochází v dnešním firemním světě významnými změnami. Firmy jsou nuceny řešit řadu problémů, které s sebou

Více

Outsourcing v podmínkách Statutárního města Ostravy

Outsourcing v podmínkách Statutárního města Ostravy Outsourcing v podmínkách Statutárního města Ostravy Říjen 2009 Ing. Stanislav Richtar Ředitel společnosti 1 OBSAH PREZENTACE 1. Outsourcing - obecně 2. Výchozí stav projektu 3. Model poskytovaných služeb

Více

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I. Veřejná zakázka Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I. zadávaná v otevřeném nadlimitním řízení dle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

Více

9. Software: programové vybavení počítače, aplikace

9. Software: programové vybavení počítače, aplikace 9. Software: programové vybavení počítače, aplikace Software (SW) je programové vybavení počítače, které nám umožňuje faktickou práci na počítači tvorbu dokumentů, tabulek, úpravy obrázků, elektronickou

Více

Poskytněte zákazníkům přístup na Internet přes vlastní internetový Hotspot...

Poskytněte zákazníkům přístup na Internet přes vlastní internetový Hotspot... Poskytněte zákazníkům přístup na Internet přes vlastní internetový Hotspot... V současné době si většina z nás již nedovede představit svět bez Internetu. Nejen v práci, ale i na cestách, dovolené, v lázních

Více

ORION Podpora notebooků

ORION Podpora notebooků ORION Podpora notebooků Tomáš Stibor, CIV-LPS leden 2010 Úvod Co je to IS notebook (Orion notebook) Podporovaný HW notebook z výběrového řízení minimální požadavky: CPU 1GHz, RAM 1GB, HDD 60GB Dostupný

Více

Projekt informačního systému pro Eklektik PRO S EK. Řešitel: Karolína Kučerová

Projekt informačního systému pro Eklektik PRO S EK. Řešitel: Karolína Kučerová Projekt informačního systému pro Eklektik PRO S EK Řešitel: ÚVODNÍ ZPRÁVA ZADÁNÍ PROJEKTU Zefektivnění komunikace ve firmě Eklektik, a to především v oblasti informací o klientech a o tištěných materiálech

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 7 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV - 2.3.1.1 Windows server 2003 (seznámení s nasazením a použitím)

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV - 2.3.1.1 Windows server 2003 (seznámení s nasazením a použitím) Object 12 3 Projekt: ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Téma: MEIV - 2.3.1.1 Windows server 2003 (seznámení s nasazením a použitím) Obor: Mechanik Elektronik Ročník: 4. Zpracoval(a): Bc. Martin Fojtík Střední

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

Tomáš Kantůrek. IT Evangelist, Microsoft

Tomáš Kantůrek. IT Evangelist, Microsoft Tomáš Kantůrek IT Evangelist, Microsoft Správa a zabezpečení PC kdekoliv Jednoduchá webová konzole pro správu Správa mobilních pracovníků To nejlepší z Windows Windows7 Enterprise a další nástroje Cena

Více

ICT plán školy pro školní rok 2009 / 2010

ICT plán školy pro školní rok 2009 / 2010 ICT plán školy pro školní rok 2009 / 2010 1 Údaje o škole Název školy: Soukromá podřipská střední odborná škola a střední odborné učiliště o.p.s. Ulice: nám. Jana z Dražic 169 Město: Roudnice nad Labem

Více

Téma bakalářských a diplomových prací 2014/2015 řešených při

Téma bakalářských a diplomových prací 2014/2015 řešených při Téma bakalářských a diplomových prací 2014/2015 řešených při Computer Network Research Group at FEI UPCE V případě zájmu se ozvěte na email: Josef.horalek@upce.cz Host Intrusion Prevention System Cílem

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Základní škola Česká Třebová, Habrmanova ulice Habrmanova 1500, Česká Třebová, 560 02 ICT PLÁN U10.13. (nahrazuje U12.10 ICT plán)

Základní škola Česká Třebová, Habrmanova ulice Habrmanova 1500, Česká Třebová, 560 02 ICT PLÁN U10.13. (nahrazuje U12.10 ICT plán) Základní škola Česká Třebová, Habrmanova ulice Habrmanova 1500, Česká Třebová, 560 02 ICT PLÁN U10.13 (nahrazuje U12.10 ICT plán) Základní škola Česká Třebová, Habrmanova ulice uplatňuje ve vyučování Školní

Více

Koncept centrálního monitoringu a IP správy sítě

Koncept centrálního monitoringu a IP správy sítě Koncept centrálního monitoringu a IP správy sítě Implementace prostředí MoNet a AddNet Jindřich Šavel 31/5/2013 NOVICOM s.r.o. 2012 2013 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz,

Více

ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY

ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY na období do 31. 8. 2016 Základní škola a Mateřská škola Karla Klostermanna Železná Ruda, příspěvková

Více

NOVELL AUTORIZOVANÉ ŠKOLICÍ STŘEDISKO. v rámci celosvětového programu Novell Academic Training Partners (NATP) Ing. Marek Ťapťuch

NOVELL AUTORIZOVANÉ ŠKOLICÍ STŘEDISKO. v rámci celosvětového programu Novell Academic Training Partners (NATP) Ing. Marek Ťapťuch NOVELL AUTORIZOVANÉ ŠKOLICÍ STŘEDISKO v rámci celosvětového programu Novell Academic Training Partners (NATP) Ing. Marek Ťapťuch Autorizovaná střediska na Ekonomické fakultě 2007 otevření testovacího střediska

Více

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y 1 2 1 7

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y 1 2 1 7 Z á k l a d n í š k o l a V s e t í n, T r á v n í k y 1 2 1 7 Vsetín 2009 Úvod Tento plán byl sestaven dle Metodických pokynů MŠMT ČR č.j.: 25 609/2003-56, č.j.: 27 670/2004-551, č.j.: 27 419/2004-55

Více

Jak garantovat bezpečnost systémů ve státní správě

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě 1 Jak garantovat bezpečnost systémů ve státní správě Tomáš Dvořáček Oracle Consulting Kvíz na začátek Čím se proslavil tento muž: Jménem Herve Falciani Autor bezpečnostního SW pro

Více

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ na Střední škole automobilní, mechanizace a podnikání, Krnov, příspěvková organizace Úvodní ustanovení Střední škola automobilní, mechanizace a podnikání, Krnov, příspěvková

Více

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text. 1.0 Nahrávání hovorů Aplikace Nahrávání hovorů ke svému chodu využívá technologii od společnosti Cisco, tzv. Built-in bridge, která snižuje nároky na síťovou infrastrukturu, snižuje náklady a zvyšuje efektivitu

Více

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange 1989 1996 2001 2003 Microsoft Office Kancelářský balík Microsoft Exchange Emailové a groupwarové řešení Microsoft Sharepoint Portal Server Webová platforma pro spolupráci a správu obsahu Microsoft Live

Více

Česká pošta, s.p. na Linuxu. Pavel Janík open source konzultant

Česká pošta, s.p. na Linuxu. Pavel Janík open source konzultant Česká pošta, s.p. na Linuxu Pavel Janík open source konzultant Česká pošta, s.p. 1993: založen státní podnik Česká pošta oddělením od společnosti Český Telecom nezávislá na státním rozpočtu poskytuje listovní,

Více

přes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek tomas@petranek.eu

přes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek tomas@petranek.eu Open Sourceřešení správy studentských počítačových sítí na kolejích SU OPF Karviná aneb cesta, jak efektivně administrovat síť a její uživatele přes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek

Více

www.cdc-monitoring.cz

www.cdc-monitoring.cz Monitoring sítí a serverů Dnešní požadavky na výkon ethernetových, wifi nebo jiných sítí, jejich serverů a aktivních prvků jsou velmi striktně nastaveny. Síť musí být koncipována tak, aby byla zaručena

Více

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman O společnosti ESET ESET vyvinul jeden z prvních antivirových produktů na světě Lídr v oblasti proaktivní detekce hrozeb 1987

Více

2. Nízké systémové nároky

2. Nízké systémové nároky FIREMNÍ ŘEŠENÍ ESET firemní řešení 1/6 Při každodenním používání bezpečnostního softwaru jsou nejdůležitější jeho vlastnosti. V ESETu si myslíme, že firemní řešení má být rychlé a snadno spravovatelné.

Více

Uživatel počítačové sítě

Uživatel počítačové sítě Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00

Více

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější

Více

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant Virtuální desktopová infrastruktura I. Virtuální desktopová infrastruktura II. využívání

Více

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY Dušan Kajzar Slezská univerzita v Opavě, Filozoficko-přírodovědecká fakulta, Bezručovo nám. 13, 746 00 Opava, e-mail: d.kajzar@c-box.cz Česká pošta, s.p.,

Více

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y 1 2 1 7

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y 1 2 1 7 Z á k l a d n í š k o l a V s e t í n, T r á v n í k y 1 2 1 7 Vsetín 2014 Úvod Tento plán byl sestaven dle Metodického pokynu MŠMT stanovující Standard ICT služeb ve škole a náležitosti dokumentu ICT

Více

Radim Dolák Gymnázium a Obchodní akademie Orlová

Radim Dolák Gymnázium a Obchodní akademie Orlová Radim Dolák Gymnázium a Obchodní akademie Orlová Úvod Cíl prezentace Samba historie a budoucnost Samba - vlastnosti Samba verze 4 a 4.1 Instalace Současný a plánovaný stav Instalace Správa Testování a

Více

Základy programování Úvodní informace. doc. RNDr. Petr Šaloun, Ph.D. VŠB-TUO, FEI (přednáška připravena z podkladů Ing. Michala Radeckého)

Základy programování Úvodní informace. doc. RNDr. Petr Šaloun, Ph.D. VŠB-TUO, FEI (přednáška připravena z podkladů Ing. Michala Radeckého) Základy programování Úvodní informace doc. RNDr. Petr Šaloun, Ph.D. VŠB-TUO, FEI (přednáška připravena z podkladů Ing. Michala Radeckého) Kontakt doc. RNDr. Petr Šaloun, Ph.D. Kancelář: A1025 Telefon:

Více

Z internetu do nemocnice bezpečně a snadno

Z internetu do nemocnice bezpečně a snadno Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014 1 Z internetu do nemocnice bezpečně a snadno Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura

Více

ICZ - Sekce Bezpečnost

ICZ - Sekce Bezpečnost ICZ - Sekce Bezpečnost Petr Řehoř, ICZ a.s. 31. října 2013 1 Agenda Sekce Bezpečnost Důvěryhodná výpočetní základna bezpečnost sítí Microsoft Windows ICZ Protect Boot ochrana dat při ztrátě nebo odcizení

Více

Představení Kerio Control

Představení Kerio Control Představení Kerio Control UTM - Bezpečnostní řešení bez složitostí Prezentující Pavel Trnka Agenda O společnosti Kerio Kerio Control Přehled jednotlivých vlastností Možnosti nasazení Licenční model O společnosti

Více

Obsah. Úvod 13. Věnování 11 Poděkování 11

Obsah. Úvod 13. Věnování 11 Poděkování 11 Věnování 11 Poděkování 11 Úvod 13 O autorech 13 O odborných korektorech 14 Ikony použité v této knize 15 Typografické konvence 16 Zpětná vazba od čtenářů 16 Errata 16 Úvod k protokolu IPv6 17 Cíle a metody

Více

ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY

ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY na období do 31. 8. 2014 Základní škola a Mateřská škola Karla Klostermanna Železná Ruda, příspěvková

Více

Jak efektivně ochránit Informix?

Jak efektivně ochránit Informix? Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,

Více

Compatibility List. GORDIC spol. s r. o. Verze 3.60.5 8.4.2009

Compatibility List. GORDIC spol. s r. o. Verze 3.60.5 8.4.2009 Compatibility List Verze 3.60.5 8.4.2009 GORDIC spol. s r. o. Copyright 1993-2009 1 Obsah Obsah 1 2 3 4 5 6 7 8 9 3.1 3.2 Úvodní informace Podporované databázové systémy Klientské prostředí Tlustý klient...

Více

Město Varnsdorf, nám. E. Beneše 470, 407 47 Varnsdorf, Česká republika SPECIFIKACE

Město Varnsdorf, nám. E. Beneše 470, 407 47 Varnsdorf, Česká republika SPECIFIKACE Město Varnsdorf, nám. E. Beneše 470, 407 47 Varnsdorf, Česká republika SPECIFIKACE VYBUDOVÁNÍ TECHNOLOGICKÉHO CENTRA ORP VARNSDORF část I Pořízení technické infrastruktury pro vybavení Technologického

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

Příručka nastavení funkcí snímání

Příručka nastavení funkcí snímání Příručka nastavení funkcí snímání WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_CS 2004. Všechna práva vyhrazena. Uplatňovaná ochrana autorských práv se vztahuje na všechny formy a záležitosti

Více

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo didaktického materiálu EU-OVK-VZ-III/2-ZÁ-319. Počítačové sítě

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo didaktického materiálu EU-OVK-VZ-III/2-ZÁ-319. Počítačové sítě Číslo a název šablony III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo didaktického materiálu EU-OVK-VZ-III/2-ZÁ-319 Druh didaktického materiálu DUM Autor Ing. Renata Zárubová Jazyk čeština

Více

SADA VY_32_INOVACE_PP1

SADA VY_32_INOVACE_PP1 SADA VY_32_INOVACE_PP1 Přehled anotačních tabulek k dvaceti výukovým materiálům vytvořených Ing. Janem Prašivkou. Kontakt na tvůrce těchto DUM: prasivka@szesro.cz Úvod do informatiky VY_32_INOVACE_PP1.PRA.01

Více

Flow monitoring a NBA

Flow monitoring a NBA Flow monitoring a NBA Kdy, kde a jak? Petr Špringl, Zdeněk Vrbka, Michal Holub springl@invea.cz, vrbka@invea.cz, holub@invea.cz Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost

Více

Aktivní bezpečnost sítě

Aktivní bezpečnost sítě Aktivní bezpečnost sítě Jindřich Šavel 27/11/2014 NOVICOM s.r.o. 2012 2014 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz, sales@novicom.cz Program prezentace Představení společnosti

Více

ICT plán školy. Organizační směrnice č. 8/2014

ICT plán školy. Organizační směrnice č. 8/2014 Střední odborná škola veterinární, mechanizační a zahradnická a Jazyková škola s právem státní jazykové zkoušky České Budějovice, Rudolfovská 92, PSČ 372 16 Organizační směrnice č. 8/2014 ICT plán školy

Více

TOP 10 produktů a služeb

TOP 10 produktů a služeb TOP 10 produktů a služeb pro bezpečné a efektivní IT OMEGA24 s.r.o. www.omega24.cz Kontakt: Klára Sedláková obchodní manažer +420 601 367 374 info@omega24.cz Radek Štefan jednatel +420 602 778 395 stefan@omega24.cz

Více

Možnosti cloudu JAK RYCHLE A JEDNODUŠE VYŘEŠIT KOMUNIKAČNÍ POTŘEBY ÚŘADU

Možnosti cloudu JAK RYCHLE A JEDNODUŠE VYŘEŠIT KOMUNIKAČNÍ POTŘEBY ÚŘADU Možnosti cloudu JAK RYCHLE A JEDNODUŠE VYŘEŠIT KOMUNIKAČNÍ POTŘEBY ÚŘADU Cloud ve veřejné správě Cloud ve veřejné správě Fakta a mýty Cloud ve veřejné správě Fakta a mýty - Data musí být v ČR... nenašli

Více

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ PŘÍLOHA Č. 4 POPIS STÁVAJÍCÍHO STAVU Následující kapitola přináší popis stávající informačně-technologické systémové infrastruktury

Více