BEZPEČNOST DAT V INFORMAČNÍCH SYSTÉMECH

Transkript

1 Univerzita Hradec Králové Fakulta informatiky a managementu BEZPEČNOST DAT V INFORMAČNÍCH SYSTÉMECH Diplomová práce Autor: Bc, Karel, Čeřovský Studijní obor: Informační management kombinovaná forma Vedoucí práce: Mgr, Josef, Horálek, Ph.D. Odborný konzultant: Bc, Igor, Hák, Firma: Eset s.r.o. Hradec Králové 1/2017

2 Prohlášení: Prohlašuji, že jsem diplomovou práci zpracoval samostatně a s použitím uvedené literatury. V Hradci Králové dne Karel Čeřovský

3 Poděkování: Především děkuji vedoucímu diplomové práce Mgr, Josefu Horálkovi, Ph.D., za metodické vedení práce a nejednu velkou morální i psychickou podporu, bez které bych tuto práci nedokončil.

4 Anotace Cílem této práce bylo zhodnotit současný stav softwarového i hardwarového zabezpečení dostupnosti a ochrany firemních dat firmy. Tato data jsou pro firmu nesmírně cenná a důležitá, ať už z důvodů jejího plynulého fungování, zajištění historického pohledu či dodržení právních předpisů, kterými se firma musí řídit. Z práce bude patrné, že výchozí stav zabezpečení a dostupnosti dat firmy nebyl v ideálním stavu ať už z důvodů určitého zanedbání nebo spíše z finančních důvodů. Ale je nutno podotknout, že již v průběhu tohoto roku došlo k řadě investic do informačních technologií, pomocí kterých dochází k viditelnému zlepšení těchto procesů, tak aby byla stoprocentně zajištěna bezpečnost dat. Dalším důležitým krokem bylo navrhnout řešení k zajištění vysoké dostupnosti dat informačních systémů a firemních serverů. Toto řešení je v současné době těsně přes svou realizací. Majitelé firmy si uvědomili nesmírnou důležitost nepřetržité funkčnosti informačních systémů pro bezproblémové fungování všech firemních procesů. Annotation The aim of this diploma thesis was to assess the existing condition of software and hardware systems that ensure the availability and protection of company data. Such data are extremely valuable and fundamental for the company for the company s smooth operation, to provide a historical perspective or to comply with relevant legal requirements. The thesis shows that at the start protection and availability of company data was not optimal; potentially because of certain negligence or rather due to financial considerations. It is important to note that in the course of this year many IT investments have been made which have brought significant improvement of these processes in order to ensure 100% data protection. The next important step was to propose a solution to ensure a high availability of IT systems and company servers. This is about to be implemented. The company owners have realized that continuous functionality of IT systems is crucial for smooth operation of all company processes.

5 Obsah 1 Úvod Kryptologie Algoritmy Systematická a asymetrická kryptografie Substituční šifry Proudové a blokové šifry Obecná definice proudové šifry Typy proudových šifer Obecná definice blokové šifry Typy blokových šifer Útoky na algoritmy Zabezpečení informací Auditní záznam Obsah auditního záznamu Analýza auditního záznamu Ochrana fyzického přístupu k nosičům dat Problematika ochrany přístupu k datům Získání autentizační informace o uživateli Obvyklé útoky na autentizační protokoly Návrh autorizačního protokolu Moderní autorizační protokoly Řízení přístupu Ochrana dat přenášených počítačovou sítí Firewall Active Directory Domain Services...23

6 4.5 Ochrana dat před zničením Typy záloh Druhy záloh Zálohovací média Zásady správného zálohování dat Úložiště dat Způsoby ukládání dat Nejčastější typy raidových polí RAID RAID RAID RAID RAID RAID Elektronický a digitální podpis Popis digitálního podpisu Zajištění integrity Hashovací funkce Mezi nejčastěji používané hashovací funkce řadíme: Certifikovaný klíč Obsah certifikátu Třídy certifikátu Certifikační autorita Vydání certifikátu Představení společnosti a popis činnosti Představení společnosti a důležité mezníky...41

7 7.2 Současná vlastnická struktura Podnikatelské aktivity firmy Závod Jičín...43 Vepřové maso, balené maso a polotovary...44 Masné výrobky...44 Obchodní zboží Závod Městec Králové...44 Bourání drůbeže...44 Vařená výroba Závod Vrchlabí Podnikové prodejny Vývoj společnosti do budoucna Představení upravené struktury sítě Zajištění konektivity firmy Primární připojení Navrhovaná záložní konektivita Firewally v režimu HA Nasazené switche Nová bezdrátová síť a její zabezpečení Virtuální privátní síť a její úprava Servery, diskové pole, databáze Současné řešení Server Databáze MS SQL Zálohy Navrhované řešení...64

8 9.2.1 Servery v clusteru Navržené diskové pole Zálohy NAS Antivirové řešení Kaspersky SafeStream II Sophos Eset Secure Office ESET Remote Administrator (ERA) Navržení firemní politiky řízení dat firmy Úvodní informace...72 Účel firemní politiky...72 Rozsah platnosti Bezpečnostní politika firmy...72 Majitel procesu...72 Uživatel procesu...72 Vstupy dat...73 Výstupy dat Popis činností ve firmě, pravidla, odpovědnosti Pravidla pro používání firemních prostředků Povinnosti vedoucích pracovníků Ochrana důvěrných firemních informací Zásady bezpečného používání u Hesla Přístup dat v počítačové síti firmy Počítačové viry Zálohování dat...83

9 11.4 Měřítko úspěšnosti Aktuální hrozby a ochrana osobních údajů Únik na úrovni uživatele Ztráta dat následkem útoku Historie Ochrana osobních údajů GDPR DPO Co jsou to osobní údaje? Situace v ČR Závěr a shrnutí výsledků Seznam použité literatury Tištěná literatura Internetové zdroje Přílohy Podklad pro zadání diplomové práce...99

10 Seznam obrázků Obrázek 1 - Princip proudové šifry... 7 Obrázek 2 - Princip blokové šifry... 9 Obrázek 3 Řídící struktura společnosti a rozlišení dle přístupu k datům...42 Obrázek 4 - Struktura sítě firmy...48 Obrázek 5 - Switche v režimu High Availability, zdroj: vlastní zpacování...50 Obrázek 6 - Wireless Contoller, zdroj: vlastní zpracování...55 Obrázek 7 - Záloha server DC...61 Obrázek 8 - Princip ERA konzole, zdroj: Obrázek 9 - Screen policejní virus, zdroj Obrázek 10 - Virus před stažením, zdroj Obrázek 11 - Infikovaný počítač, zdroj: vlastní zpracování...88 Obrázek 12 - Hláška po otevření infikovaného souboru, zdroj: vlastní zpracování 88 Obrázek 13 - Hláška po otevření infikovaného souboru, zdroj: vlastní zpracování 89

11 Seznam tabulek Tabulka 1 - Ukázka šifrovací tabulky... 4 Tabulka 2 - Přehled rozsahů IP adres firmy...47 Tabulka 3 - Konfigurace současného serveru...59 Tabulka 4 - Přehled verzí Microsoft SQL Tabulka 5 - Navrhovaná sestava nových serverů...66

12 1 Úvod Cílem mé práce je představit reálný projekt na vylepšení zabezpečení, přístupu a dostupnosti dat ve společnosti kde pracuji již 17 let. Na tomto projektu jsem se aktivně podílel již za mé pozice informatika a též v současné roli jednatele společnosti. Nutno říci, že v současné době je pro mě tato práce daleko jednodušší, jelikož v minulosti jsem narážel na velké problémy s pochopení investic do IT s vedením potažmo s majiteli společnosti. Ne každý ředitel, majitel si dozajista uvědomuje nutnost investic do informatiky. Z pozice ředitele vím, že jsou důležité finance a nedá se vždy pořídit vše na jednou. Ale zase na druhou stránku neznalí uživatelé rádi investice do IT odkládají nebo hůře úplně pomíjí. Kolikrát jsem slyšel odpověď, že teď na to není ta správná doba, že nejsou peníze a že musím počkat. Ale v momentě, kdy něco nefungovalo, nebo hůře pro naši společnost, kdy nešlo expedovat, vám stojí za zády šéf, dotazuje se, kdy to už bude systém opět v provozu. Musím i přiznat, že současný informatik v naší společnosti má vyjednávací pozici vůči mé osobě o dost lepší. Jeho práce je navrhnout co nejlepší řešení a moje zase na to sehnat a uvolnit finance. Zjednodušeně řečeno srdcem naší společnosti je expediční sklad. Mohu vyrobit, co chci, ale pokud to nedokáži vyexpedovat, vytisknout dodací listy, odeslat faktury přes EDI (Electronic Data Interchange), neboli elektronická výměna dat, přijmout objednávky tak nám je veškerá výroba k ničemu. Obrat naší společnosti je zhruba okolo 70 miliónů korun měsíčně, tedy každý den vyexpedujeme zboží zhruba za 3,5 miliónů korun. Pokud tedy nemohu například 2 dny expedovat, celá firma zkolabuje. Potom tedy taková investice zhruba 2 milióny do nového vybavení se proti tomu tváří docela nevinně. Nároky na zabezpečení i nakládání z daty se za tu dobu poměrně dost změnily. Do této společnosti jsem nastoupil v létě roku V té době bylo ve firmě zhruba 10 stanic bez připojení k síti a serverového řešení. V začátcích se na hlavním počítači vyexportovaly ceníky, které se musely ručně nakopírovat pomocí diskety do každého expedičního počítače. To se pro mě ze začátku stala denní rutina. Export na disketu 3,5 a oběhnout 3 expediční počítače. Pokud byla vadná disketa, většinou se chyba objevila u konce kopírování, celý proces jsem musel 1

13 opakovat znovu. Pravděpodobnost zkolabování systému v té době byla minimální. V záloze jsem měl jeden funkční počítač, který v případě výpadku byl k dispozici. Přes Norton Commander jsem nakopíroval adresáře a celý problém byl vyřešen. Nevýhoda byla v tom, že tento krok jsem nemohl udělat na dálku přes vzdálenou plochu. Ano, je to krásná historie. Možnost úniku dat minimální. Obchodní zástupci vše řešili jen po telefonu, žádný , žádný notebook ani vzdálená plocha. Do internetu byl připojený jeden počítač přes vytáčenou linku v té době už chráněný revolučním softwarem Eset 1.0, takže i možnost nákazy minimální. Mimochodem této firmě jsme celou dobu zůstali věrní. Tedy během 17 let se vybudovala poměrně rozsáhlá počítačová sít, která skýtá zhruba okolo sto zařízení a několik serverů. K tomuto nárůstu došlo až během posledních let s výměnou informačního systému a instalací průmyslových terminálů v provozu. O další významný nárůst se postaraly podnikové prodejny, kterých je v současnosti již přes deset. Tedy jen prodejny mají zhruba 20 stanic včetně váhopokladen, na kterých také funguje operační systém. S takto dynamickým růstem počítačové sítě jsme upřímně moc nepočítali. Proto jsme od začátku roku 2017 nuceni do informačních technologií investovat nemalé peníze. Hlavní investicí pro tento rok je dobudování infrasktury včetně nových síťových prvků, nové serverové řešení s vysokou dostupností dat, zálohování a vysoká rychlost obnovy v případě výpadku serveru, záložní napájení pro servery a aktivní prvky v síti včetně expedičních terminálů. Udržet vchodu takto rozsáhlou sít stojí už dozajisté hodně úsilí a nemalých prostředků. Ale žijeme v 21. století a bez informatiky to do budoucna už nepůjde. V našem podnikatelském prostředí je na data kladen velký důraz. Z našeho pohledu je to fakturace, účetnictví, mzdy, docházky a skladové hospodářství. Z hlediska státních orgánů je to hlavně dosledovatelnost suroviny, historie teplot v kritických prostorách firmy, povinnost zajistit elektronické evidence tržeb na našich provozovnách a rozvozových automobilech. To vše vyžaduje určitou režii a nutnost dostatečně zabezpečit a uchovávat data pořízené naší firmou. 2

14 2 Kryptologie Základní vědecká disciplína zabývající se ochranou dat před neoprávněným čtením se nazývá kryptologie neboli také šifrování. Je to matematický vědní obor, který se zabývá šifrovacími a kódovacími algoritmy. Tento proces se využívá k šifrování textu. To je proces, kdy běžně čitelný text, označován také jako otevřený text, po jisté úpravě změníme na šifrovaný text, čitelný jen pomocí speciálního klíče, pomocí kterého byl zašifrován. Obrácený proces, tedy převod v opačném směru, nazýváme jako dešifrování. 1 Slovo kryptografie má své kořeny ve staré řečtině. Kryptós je skrytý a slovo gráphein znamená psát. Kryptologie slouží především k zajištění důvěryhodnosti chráněných dat. Nikdo neoprávněný by neměl být schopný přečíst chráněná data. 2 Kryptologii dělíme na dvě části: První je kryptografie, která se zabývá kódování a šifrování. Tato doba trvala zhruba do poloviny 20. století. Tehdy pro zašifrování zprávy stačila pouze obyčejná tužka a papír. Druhou částí je kryptoanalýza, jejíž hlavní disciplínou je analýza algoritmů a zašifrovaných dat 3, neboli luštění zašifrovaných zpráv ve snaze prolomit dešifrovací kód. Zde už byly zapotřebí daleko sofistikovanější přístroje, pomocí kterých se zpráva šifrovala. Ale na druhé straně musel být zase znám klíč, na rozklíčování dané zprávy. V dnešní době tyto přístroje nahradily klasické počítače s velkým výpočetním výkonem, především ty které mají hrubou silou prolomit kód zprávy. Je zřejmé, že potřeba šifrovat zprávy se vyvíjí už po staletí, jen s novou dobou se mění její techniky a složitosti v ruku v ruce s vývojem lidské civilizace a techniky v té době zasazené. Zajisté v minulosti kryptografie nejednou změnila chod dějin jiným směrem, ať za dob druhé světové války, prolomení šifry na šifrovacím stroji 1 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str. 4 2 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str. 4 3

15 enigma, ale i z dob minulých. Dle mého názoru právě potřeba šifrovat zprávy vznikla právě v panovnickém nebo vojenském prostředí. Doba se mění, ale techniky stále zůstávají. Druhá strana se samozřejmě vždy snažila tyto intriky a šifry prolomit, a tak získat výhodu na svou stranu. Hezký příklad je právě u enigmy, kdy i po rozluštění kódu spojenci nedali najevo, že vědí, jak dešifrovat zprávu. Tím získali obrovskou výhodu vůči Německu. Vůbec první zmínka o první zašifrované zprávě sahá až do daleké historie roku 480 př. n. l. za období Řecko-Perských válek v bitvě u Salamíny. Další zmínka stojí o vojevůdci Juliusy Cesarovy, kde po něm byla pojmenována šifra, jako Caesarova šifra. Opravdu si myslím, že praktiky jsou stále stejné, jen se mění nástroje, pomocí kterých se šifry používají v dané době a civilizaci dostupné. Princip Caesarovy šifry Tato šifra je velice jednoduchá, ale věřím, že v danou dobu účinná. Celý princip se zakládá na práci s libovolnou abecedou. Pro názorný příklad použijeme anglickou abecedu o počtu 26 písmen, uvedených níže v tabulce. Klasická Caesarova šifra se aplikovala tak, že každé písmeno z šifrovaného textu se posunulo o tří písmena dále. V praxi písmeno a se zašifrovalo pod písmeno d. Jestliže by nastal stav, že dojdeme na konec abecedy, začali bychom zase od začátku. Vstup a b c d e f g h i J k l M n o p q r s t u v w x y Z Výstup d e f g h i j k l M n o P q r s t u v w x y z a b C Tabulka 1 - Ukázka šifrovací tabulky První řádek tedy označuje písmena v textu před šifrováním. Druhý řádek písmena ze šifrovaného textu. Pro dešifrování zprávy se aplikuje opačný postup. Vybereme písmeno ve spodním řádku a najdeme pro něj odpovídající písmeno v řádku prvním. 2.1 Algoritmy V kryptologii rozlišujeme dva druhy algoritmů: 4

16 Šifrovací algoritmus: jeho snahou je utajit data jejich zašifrováním. Využívá principu šifrovacího klíče. Více lidí využívá stejný šifrovací algoritmus, ale každý má k šifrování a dešifrování odlišný klíč. Kódovací algoritmus: o utajení dat se stará vlastní algoritmus. Zde však nastává situace, že pokud více lidí vlastní stejný algoritmus, budou si moci navzájem prohlížet chráněná data Systematická a asymetrická kryptografie Systematická kryptografie je založena principu, kdy spolu komunikují dvě strany na základě jednoho tajného klíče. Při zapojení do komunikace třetího prvku je zapojen i třetí klíč a následně při čtvrtém prvku už je přidáno šest klíčů, při pěti prvcích šest deset klíčů. S růstem komunikujících stran roste i počet klíčů a jejich následných nákladů na potřebnou správu. Řešením je asymetrická komunikace. V tomto případě si každá z komunikujících stran vytvoří dvojici klíčů. Jeden z klíčů uchová v tajnosti a druhý poskytne všem, kdo by měl zájem přidat se do komunikace. Navázání nové komunikace probíhá tak, že nová strana zprávu zašifruje veřejným klíčem a příjemce ji rozšifruje svým soukromým klíčem. Tajná zpráva není dešifrovatelná tím samým klíčem, kterým byla zašifrována. Největší výhodou v asymetrické kryptografii je snazší správa klíčů. Každý uživatel má na starost zabezpečení pouze jednoho klíče, neboť klíčů v systému rostu k počtu komunikujících lineárně Substituční šifry Substituce znamená nahrazení. Substituční šifra tedy nahrazuje znaky otevřeného textu jinými znaky, čímž vzniká šifrovaný text. Přesné přiřazení znaku znamená dešifrování textu. Substituční šifry jsou využívány v symetrické kryptologii. 6 4 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str. 34 5

17 Monoalfabetická substituční šifra Jedná se o nejjednodušší substituční šifru, jejíž princip je založen na statické tabulce, která se používá k překladu znaků otevřeného textu na znaky šifrovaného textu a naopak. Jeho nevýhodou je snadné odhalení v delších textech, kdy stačí objevit nejfrekventovanější znak. Homofonní substituční šifra Tato šifra je založena na šifrování jednoho znaku více znaky. Písmenko A tedy může být šifrováno na tři jiné znaky. Luštění této šifry se pomocí výpočetní techniky i tak stává triviální. Polygramová substituční šifra Zde substituční tabulka obsahuje celé skupiny znaků. Substituční tabulka musí být vhodně šifrována na základě hodnoty šifrovacího klíče. Polyalfabetická substituční šifra Jedná o nejpokročilejší víceabecedovou šifru ze substitučních šifer. Jejím základem je skupina monoalfabetických šifer, které jsou postupně aplikovány na jednotlivé znaky otevřeného textu Proudové a blokové šifry Důležité rozdíly mezi blokovými a proudovými šiframi. Toto dělení se vytváří podle klasifikace množství použitých dat, která jsou v danou chvíli šifrována. Je-li šifrování prováděno po jednotlivých znacích, jedná se o proudové šifrování. V případě, že je text šifrován po větších blocích, jedná se o blokové šifrování.8 Tedy z hlediska šifrování neboli zpracování otevřeného textu používáme dva druhy šifer. Proudová šifra je typem symetrické šifry. Datový tok je kombinován pomocí funkce XOR s pseudonáhodným proudem bitů vytvořeným z šifrovacího klíče a šifrovacího algoritmu. Výsledek tohoto procesu je zašifrovaný datový proud. Ten je šifrován stále se měnící transformací, na rozdíl od blokové šifry, 7 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str. 28 6

18 která používá transformaci konstantní. Proudové šifry jsou rozhodně rychlejší než zmiňované blokové šifry. Nejsou ani náročné na hardware. Oproti blokovým šifrám jsou náchylnější na kryptoanalytické útoky. Ale vše záleží na počáteční implementaci, zda nebyl počáteční stav použit dvakrát Obecná definice proudové šifry Nechť A je abeceda q symbolů, nechť M = C je množina všech konečných řetězců nad A a nechť K je množina klíčů. Proudová šifra se skládá z transformace (generátoru) G, zobrazení E a zobrazení D. Pro každý klíč k náleží K generátor G vytváří posloupnost hesla h(1), h(2),..., přičemž prvky h(i), reprezentují libovolné substituce Eh(1), Eh(2),... nad abecedou A. Zobrazení E a D každému klíči k náleží K přiřazují transformace zašifrování Ek a odšifrování Dk. Zašifrování otevřeného textu m = m(1), m(2), probíhá podle vztahu c(1) = Eh(1)(m(1)), c(2) = E h(2)(m(2)) a dešifrování šifrového textu c = c(1), c(2) probíhá podle vztahu: m(1) = Dh(1)(c(1)), m(2) = Dh(2)(c(2)), kde Dh(i) = Eh(1) m(1) m(2) m(3)... k... Eh(1) Eh(2) Eh(3) c(1) c(2) c(3)... k... Dh(1) Dh(2) Dh(3) m(1) m(2) m(3)... Obrázek 1 - Princip proudové šifry Za zmínku rozhodně stojí Vernamova neprolomitelná šifra, která byla inspirací pro proudové šifry. Používá náhodné heslo stejně dlouhé jako otevřený 9 Cryptography.hyperlink.cz [online]. [cit ]. Dostupné z: cryptography.hyperlink.cz 7

19 text před šifrováním a po zašifrování je toto heslo zničeno. Tedy nikdy se nestane, že by pro šifrování dvou různých textů bylo použito stejného hesla k jeho zašifrování. Postup šifrování navrhl po první světové válce major americké armády Joseph Mauvorn. Nazvaná je ale po Gilbertu Vermanovi, který si ji nechal v roce 1917 patentovat. Verman byl zaměstnanec telefonní společnosti ATT. Šifrovací zařízení mělo sloužit pro ochranu telegrafických zpráv, kde otevřený text, reprezentovaný pěticemi bitů, se bit po bitu binárně načítá náhodná posloupnost bitů klíče. Celý proces se zaznamenává děrováním do papírové pásky. Posloupnost se generovala zcela náhodně a použité heslo se poté zničilo Typy proudových šifer Synchronní proudové šifry zde je proud pseudonáhodných čísel generován nezávisle na vstupním textu nebo zašifrované zprávě. Poté dochází k vygenerovaných zcela náhodných čísel se vstupujícím textem k zašifrování nebo se zašifrovaným textem k rozšifrování. Nejběžnější funkcí u vstupního testu je použití logické funkce XOR, označené jako doplňková binární proudová šifra. Nutnost je, že musí být odesílatel i příjemce synchronizováni, protože výpadek jednoho znaku šifrového textu naruší veškerý následující text. Asynchronní proudové šifry také se nazývají samo synchronizující šifry. Výpadek jednoho znaku, tedy chybu synchronní šifry umí eliminovat. Příjemce tajné zprávy je automaticky synchronizován s generátorem šifrovacích klíčů po obdržení N čísel zašifrovaného textu. 10 Používá několik předchozích N čísel šifrované zprávy k dopočítání šifrovacího klíče. Tato metoda byla patentována v roce Obecná definice blokové šifry Nechť A je abeceda q symbolů, t N a M = C je množina všech řetězců délky t znaků nad abecedou A. Nechť K je množina klíčů. Bloková šifra je šifrovací systém 10 Proudová šifra. Proudová šifra - Wikipedie [online]. [cit ]. Dostupné z: 8

20 (M, C, K, E, D), kde E a D jsou zobrazení, definující pro každé k K transformaci zašifrování Ek a dešifrování Dk tak, že zašifrování bloků otevřeného textu m(1), m(2), m(3),..., (kde m(i) M pro každé i N) probíhá podle vztahu: c(i) = Ek(m(i)) pro každé i N a dešifrování podle vztahu: m(i) = Dk(c(i)) pro každé i N. Pro definici blokové šifry je podstatné, že všechny bloky otevřeného textu jsou šifrovány toutéž transformací Ek a všechny bloky šifrového textu jsou dešifrovány toutéž transformací Dk. 11 Používané blokové šifry jsou založeny na kombinaci permutačních šifer s komplikovanějšími substitučními šiframi. Jev interaktivním opakováním dílčích transformací, tedy substitučními a permutačními kroky. Pro tyto operace se používají jednoduché operace (XOR, posuny do stran, vyhledávání v tabulce, operace vhodně zkonstruovaných binárních tělesech). OT 1 OT 2 OT 3 E K E K E K ŠT 1 ŠT 2 ŠT 3 ŠT 1 ŠT 2 ŠT 3 D K D K D K OT 1 OT 2 OT 3 Obrázek 2 - Princip blokové šifry Typy blokových šifer DES Data encryption standard Jde o nejpoužívanější šifru na světě, která vznikla na základě veřejné soutěže v roce Délka klíče je 56 bitů, což už v době vzniku bylo považováno za nepříliš bezpečné. Délku klíče do 11 Symetrická kryptografie. [online] [cit ]. Dostupné z: 9

21 původního návrhu IBM vnesla National Security Agency. Kroky šifrování se nazývají runda. AES Advanced encryption standard Vznik se datuje do roku 1997, kde byla opět vyhlášena celosvětová veřejná soutěž na návrh blokové šifry nové generace. Celkem se zúčastnilo patnáct účastníků. Jako vítěz byla šifra navržená belgickými kryptology V. Rijmenem a J. Daemenem. Délka bloku je 128 bitů. AES podporuje tři délky klíčů 128, 192 a 256 bitů. 10

22 3 Útoky na algoritmy Samotný luštěním textu se zabývá kryptoanalýza a člověk, který se o dešifrování textu pokouší, se nazývá kryptoanalytik. Jeho úkolem je získat buď samotný zašifrovaný text, nebo šifrovací klíč. Výsledkem kryptoanalýzy může být i získání nového algoritmu, díky kterému je možné šifrovat či dešifrovat data bez znalostí šifrovacího klíče. Z praxe jsou známy tyto přístupy ke kryptoanalýze: Útok hrubou silou: útočník má k dispozici výkonný výpočetní systém, díky kterému se snaží dešifrovat šifrovaný text všemi možnými klíči Luštění se znalostí šifrovaného textu: k dispozici je několik šifrovaných textů se stejným algoritmem i klíčem a úkolem útočníka je přeložit tyto zprávy do otevřeného textu Luštění se znalostí otevřeného textu: známé jsou nějaké šifrované zprávy, které byly odchyceny, např. odposlechem komunikace na internetu. Navíc se také podařilo získat otevřené texty těchto zpráv. Úkol už je pouze získat klíš i k ostatním textům. Luštění se znalostí vybraných otevřených textů: kryptoanalytik si vybírá, které otevřené texty chce zašifrovat. Získá tak otevřený text a k němu odpovídající šifrovaným text. Metodou tohoto luštění je Adaptivní metoda luštění se znalostí vybraných otevřených textů. Luštění se znalostí vybraných šifrovaných textů: kryptoanalytik si volí šifrovaný text, ke kterému dostane otevřenou podobu. Jedná se tedy o netypický druh luštění. Luštění pomocí kompromitace uživatelů: klíč je získán pomocí přesvědčování uživatelů. To může být provedeno podplacením, výhružkami i mučením DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , s

23 4 Zabezpečení informací V dnešní době patří bezpečnost k prioritám v informačních systémech. Vyvíjí se především způsob ochrany a analyzují se jak původy kybernetických útoků, tak možnosti škodlivých kódů. Problematika škodlivých kódů nabývá na významu se stále se zvyšující se virtualizace. Z toho důvodu je bezpečnost dat v informačních systémech otázkou nejen informačních vědců a pracovníků v ICT, ale i vysokého managementu, a dokonce sociologů. Rozvoj informatiky způsobil stále masovější shromažďování množství dat v informačních systémech. Z tohoto důvodu stále aktuálnější hrozba kybernetických útoků. V dnešní době je možné pomocí jakéhokoliv elektronického zařízení odstavit jakoukoliv síť, nebo dokonce myšlenkově či ideologicky propojit lidi po celém světě. Ochrana dat si nevystačí se samotnou kryptografií. Ke všem datům a jejich ochraně se musí přistupovat individuálně. Jedna stránka věci je data šifrovat, ale data musíme taky chránit proti útoku zvenčí. V neposlední řadě asi největší dnešní nebezpečí z internetu je ransomware. Kompromitace: chráníme před prozrazením, odcizením Modifikace: chráníme před změnou Zničení viry Fyzické poškození dat 4.1 Auditní záznam Nejefektivnějším způsobem odhalování problémů se zabezpečením je takzvaný auditní záznam a jeho následná analýza. 13 Prioritou je uchovat všechny důležitých informací z hlediska zabezpečení. Auditní záznamy vytvářejí operační programy i firewally a web servery DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str 49 12

24 4.1.1 Obsah auditního záznamu Auditní záznamy vytváříme, abychom mohli zachytit procesy, kdy dojde k bezpečnostnímu incidentu. V tomto případě projde všechny dostupné záznamy a snažíme se vyluštit, kdo nebo co bylo příčinnou bezpečnostních problémů. Součástí záznamu by měl být zaznamenán přesný čas každé akce, program, který záznam provedl, a podrobný popis důvodu, který k záznamu vedl. První záznam je informace o uživateli. Zapisovány jsou všechna přihlášení, ať už úspěšně, nebo neúspěšná. Součástí jsou také informace o odhlášení. Z toho dokážeme odvodit časové rozmezí, kdy byl konkrétní uživatel přihlášen a určit jeho případnou zodpovědnost. Další záznamy se týkají chyb, a to především těch neočekávaných. Řadíme sem například opakované pády operačního systému. Může se jednat jak o běžné výpadky sytému, tak útoky hackerů, které se musí řešit. Zaznamenávají se také pokusy o otevření souborů, ke kterým nemá daný uživatel přístup, snaha o přístup do adresáře jiných uživatelů, vzdálená přihlášení k serveru, neočekávané zatížení procesoru jedním uživatelem a podobně Analýza auditního záznamu S tvorbou auditního systému jde ruku v ruce jeho analýza. Chybou je přistupovat k analýze, až když dojde k incidentu, jelikož většina incidentů jde odhalit pravidelnou kontrolou záznamů. Nejjednodušším systémem je ruční kontrola všech auditních záznamů. Je však zdlouhavá práce, kdy může být důležitá položka přehlídnuta, a navíc existují programy, které vytvářejí záznamy v podobě, která není pro člověka čitelná. Existují ale programy, které dokážou auditní záznamy zobrazit strukturovaně. Rozliší tak položky, které jsou závažné a barevně je odliší. Upozorní tak správce na položky, kterým by měl věnovat zvýšenou pozornost. Pro snadnější analýzu administrátora byly vyvinuty speciální správcovské programy. Ty umožňují analýzu hned z několika různých programů, a pokročilejší dokonce dokážou dát události do různých souvislostí z více záznamů současně. 15 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

25 Nejpropracovanější jsou systémy, které dokážou analyzovat auditní záznamy automaticky. Tyto systémy fungují díky databázi pravidel, kterými je vybavil jejich výrobce. Podle těchto pravidel následně analyzuje auditní systémy. Je však důležité si uvědomit, že žádný program nenahradí funkce správce a i tyto expertní programy potřebují pravidelnou kontrolu. Důležitá je také pravidelná aktualizace databáze pravidel podle posledních objevených útoků Ochrana fyzického přístupu k nosičům dat Data jsou uložena na fyzických discích, ale dnes také na cloudu. O přístup k datům se stará operační systém. Problém nastává, když je disk vyjmut ze svého přirozeného prostředí a přenesen do odlišného prostředí s jinými přístupovými právy. V tomto případě může být vystaven mnohem důkladnější analýze. Může být vystaven nějakému dešifrovacímu systému a přístup k nim může být i prolomen. Viz nedávno v médiích diskutovaný mobil teroristy ze San Bernardinu, kde FBI chtěla prolomit zabezpečení, aby se dostali k datům zmiňovaného teroristy. Rizikem může být také fyzické zničení dat. Když má útočník k nosiči přístup, stačí ke zničení mechanické nástroje jako třeba kladivo nebo jen pád disku, zařízení na zem. Do oblasti fyzické bezpečnosti spadá také ochrana před živelnými pohromami a výpadky napájení. 17 Výpadky napájení spojené s bouřkami v letních měsících bývají častými problémy. V případě bouřky dojde v síti ke vzniku klasického přepětí, v počítači je znehodnocen v nejlepším případě jen zdroj. Ale mou osobní zkušeností je i disk. 4.3 Problematika ochrany přístupu k datům Operační systémy hlídají data uložená na discích. K datům pustí pouze uživatele, kteří mají dostatečná práva k přístupu. Aby byl přístup povolen, musí být nějakým systémem zjištěna identita uživatele. Tím se zabývají autentizační metody, který se budeme zabývat v pozdější kapitole DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

26 Vždy je potřeba vzít v potaz, jak vysokou ochranu si naše informace vyžadují. Toto především je třeba zdůraznit, neboť vysoký stupeň zabezpečení daných dat může znamenat určité omezení při práci s těmito daty. At z důvodů organizačních, logické nebo fyzické bezpečnosti. Vždy by měla být provedena analýza informací, které daná společnost zpracovává a generuje. Dle mého názoru by tyto informace měly být určitým způsobem rozděleny do daných kategorií a na ně aplikovat příslušný stupeň opatření, jak s těmito daty zacházet, aby byla zajištěna důvěrnost, integrita a dostupnost těchto informací. Fyzické vrstva na úrovni hardwaru, která je řešená dostatečným zálohování a uložení dat. Logické zde se aplikují softwarové metody pro autentifikaci a autorizaci uživatele viz metody s tímto spojené. Organizační doplňková snaha o ochranu systému a jeho dat, především stanovená na metodice, jak zacházet s těmito daty. Většina systémů je spojena se snahou bránit data zvenčí. Podle článku Knopové se zabezpečení dat skládá ze tří úrovní. Dále rozebírá především logickou vrstvu zabezpečení, na kterou pamatuje i zákon Federální řízení informační bezpečnosti. Zákon z roku 2002 vymezuje 3 cíle pro zabezpečení informací a informačních systémů a zároveň zdůrazňuje, že je nezbytné zajištění těchto podmínek pro logické vrstvy bezpečnosti. Důvěrnost (Confidentality), integrita (Integrity) a dostupnost (Availability) se v praxi označuje jako CIA triáda. Odvrácená strany CIA je DAD triáda, tedy odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction). V nadsázce můžeme říci, že každý vlastník dat se snaží o CIA triádu a útočník, který chce data jakýmkoliv způsobem získat, zneužít či zničit o DAD triádu. Confidentality zajištění důvěrnosti dat: zajištění důvěrnosti dat znamená, že každá operace s daty nese s sebou určitou míru utajení. První podmínka bezpečnosti informačního systému zajištění důvěrnosti dat znamená, že se snažíme zajistit, aby jakýkoliv neautorizovaný subjekt nemohl vniknout do systému. V tomto smyslu ochrana důvěrnosti dat znamená, že systém 15

27 zajišťuje oprávnění konkrétní osoby k přístupu do informačního systému, a především ochranu před neoprávněným vniknutím do systému. Integrity ochrana integrity dat: ochrana integrity dat odráží přesnost a spolehlivost informačního systému, logickou úplnost hardware a software, které implementuje ochranné mechanismy a přispívá k zabránění neautorizované přístupu nebo nepatřičné modifikaci dat. V případě informačního systému ochrana integrity dat zabraňuje v modifikování stavu na účtu a zabraňuje tak proniknutí jiným než autorizovaným subjektům. Availibity zajištění dostupnosti dat: zajištění dostupnosti dat zajišťuje včasný přístup ke spolehlivým údajům (nebo službám informačního systému) a znamená, že autorizovaným uživatelům nebude odmítnut přístup a že systém nebude zabraňovat zpracovávat příkazy autorizovaných subjektů. Slouží tedy k zachování kontinuity dat. 19 Základem logické ochrany dat je princip, aby do systému neměl přístup uživatel bez potřebného oprávnění. Systém vyžaduje důkaz, který prověří identitu uživatele. V praxi figurují dva pojmy autorizace a autentizace. Nejsou to ale synonyma. Autorizace zjišťuje oprávněnost pro určitou činnost a autentizace je ověření pravosti identity. Autentizace uživatelů v informačních systémech Knopová ve svém článku cituje Stampa: Identifikace a autentizace jsou vždy společně jako jeden dvěma kroky procesu. Poskytování identity je první krok a poskytování autentizačních faktorů vede ke kroku druhému. Bez obou si objekt nemůže získat přístup k systému ani jeden prvek sám o sobě není užitečný. 20 Při výběru autentizační metody musíme brát ohledat i na ochranu před falšováním identity. V praxi se používá kombinací až tří autentizačních způsobů. Autentizace uživatele funguje nejčastěji na principu šifrování dat, tedy kryptografie. Ta se pro ochranu dat používá ve všech etapách zpracování. 19 Bezpečnost dat v informačních systémech. Bezpečnost dat v informačních systémech Ikaros [online]. [cit ]. Dostupné z: 20 Bezpečnost dat v informačních systémech. Bezpečnost dat v informačních systémech Ikaros [online]. [cit ]. Dostupné z: 16

28 Rozdělení autentizačních metod Nejrozšířenější metodou je autentizace pomocí hesla, které je propojeno s přihlašovacími údaji. Důležité je ale nastavit dostatečně silné a kvalitní heslo. Zde je rozhodující samotná délka hesla a použití kombinace číselných a abecedních znaků. Systému je překládáno heslo a identifikace, tedy login. Preventivním opatřením je pravidelná obměna hesla. Heslo se podle Knopové dělí na: Statické heslo je nejpoužívanější, ale nejméně bezpečná varianta hesla. 21 Jednorázové je platné pro jeden určitý přistup. Dynamické je vždy jiné, ale můžeme ho odvodit od určitého typu znalostí. Po každém přihlášení se podle daného algoritmu změní a nemůže být použito v původní podobě. Druhá možnost je autentizace pomocí tokenů. Je to zařízení, díky kterému se uživatel může přihlásit do daného systému. Musí však splňovat, ž v době přihlášení ho má uživatel u sebe. Tokeny mají více forem. Nejpoužívanější jsou čipové nebo paměťové karty, USB tokeny a autentizační kalkulátory. Jedním z konkrétních příkladů jsou paměťové tokeny, které uchovávají informace. Funguje na principu možnosti kontroly psaní a čtení dat v obousměrném přístupu do tokenu. Tradičním typem tokenu je také magnetická karta. Typickým příkladem je počítačový systém bankomatů, který funguje při použití uživatelovi karty a číselné kombinace, tedy PINu. Další možnost je autentizace pomocí biometrik. Jedna z možností definice biometrických funkcí je na principu fyziologických nebo biologických vlastností uživatele, které mohou být ještě zkombinovány s vědomostním kódem uživatele. Jedná se o nový rozměr autentizačních metod uživatele. Pokrokovost je především v tom, že dokáže odlišit člověka od stroje. Základním rozdíl mezi tradiční a biometrickou technologií je v tom, že biometrický systém neurčuje identitu uživatele absolutně, ale pouze odpovídá, jestli se jedná o danou osobu. Bezpečnostní rizika jsou hlavně ohrožení soukromí uživatele. 21 Odolnost hesla. Nech Vás sila (hesla) sprevádza [online]. [cit ]. Dostupné z: 17

29 4.3.1 Získání autentizační informace o uživateli Prvním krokem je login-fáze. Ta spočívá v získání autentizačních informací od uživatele. Jedná se o informaci, která prokazuje identitu uživatele, který je předal do informačního systému. Nejčastěji se používají alfanumerická hesla, numerický PINy či dlouhé pass-pharse. Ideální heslo by mělo být tvořeno slovem složeným z malých i velkých písmen a alespoň jednou číslicí. O úroveň vyšší, ale dle mého názoru již na ústupu, je způsob získávání autentizačních informací je využití bezpečnostního předmětu, např. vlastnictví čipové nebo magnetické karty, USB tok či průkaz s čárovým kódem. Při autentizaci se zařízení vloží do vhodné čtečky a systém sám získá potřebné informace. Třetí fáze v posledních době stále oblíbenější spočívá v získávání autentizačních informací v biometrii. Informace je získávána z některých měřitelných tělesných charakteristik uživatele (otisk, palce, tvar ruky, obraz oční duhovky či sítnice, vzorek hlasu, rytmus psaní na klávesnici, ). Problém nastává v otázce živosti, neboť jsou popsány případy, kdy systém fungoval i v případě barevné fotografie uživatele. I tak v současné době funguje řada biometrických metod bez problémů například v oblasti automatické identifikace člověka. V amerických věznicích se prověřuje identita vězňů propuštěných na svobodu. Na řadě letišť funguje systém založený na rozpoznávání obličejů pro vyhledávání podezřelých osob Obvyklé útoky na autentizační protokoly Všechny autentizační protokoly musí být podrobeny zkoumání z hlediska případných útoků. Nejčastější druhy útoků jsou: Útok opakováním Útok ze středu Útok na hesla 22 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

30 Útok na integritu zpráv Návrh autorizačního protokolu Cílem je vytvořit co nejbezpečnější autentizační protokol. Nejjednodušší protokoly využívají pouhé zasílání autentizačních informací, která může být ale odposlechnuta a použita později. První technikou, používanou pro zesílení slabých autentizačních protokolů, je technika jednorázových hesel. Další zvýšení je zajištěno díky časovému razítkování. V řadě protokolů může být účelné přenechat některé operace důvěryhodné třetí straně. Využití může být různé, např. správa certifikátů veřejných klíčů, zasílání klíčů a generování klíčů Moderní autorizační protokoly Mezi moderní autorizační protokoly se řadí ty, které se v současné době masivně používají, nebo jsou zajímavé z historického vývoje. Většinou ze staršího typu protokolu vychází jeho nástupce: Operační systémy rodiny Windows NT v prostředí rodiny Microsoft Active Directory se setkáme s protokolem Kerberos se zaměřením na Single Sign- On (SSO), někdy se také můžeme setkat s českým označením jednotné přihlašování. Jedná se o metodu, kdy zadáme své přihlašovací údaje (jméno a heslo) jen jednou a autentizace k dalším službám po přihlášení proběhne již bez našeho vědomí. Správa našich údajů se provádí na lokálním či síťovém serveru, na kterém se naše údaje autentizují. SSO je provázáno se správou uživatelských údajů, které zajistí společné uživatelské jméno, heslo, certifikát a další údaje pro různé služby systému. Změna jakéhokoliv údaje se prování na tomto místě a platí pro všechny provázané služby. Toto přináší určitý komfort správy, ale také zvyšuje bezpečnost. Kerberos 23 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

31 v podání Microsoftu je doménové prostředí, kde služba KDC prování autentizaci. Tato služby běží na doménovém řadiči DC (Domain Control). 25 Kerberos jedná se o autentizační protokol umožňující v nezabezpečené síti komukoliv, a hlavně bezpečně prokázat svoji identitu. Zabraňuje odposlechnutí síťové komunikace a zaručuje tak integritu dat. Protokol je postavený na symetrické kryptografii, a proto potřebuje důvěryhodnou třetí stranu. Standardně využívá pro svůj chod port 88. RADIUS (Remote Authentication Dial In User Service) jedná se o typ protokolu AAA (Authentication, Authorization and Accounting), používaný pro přístup k síti nebo pro IP mobilitu. Jeho přednosti jsou vysoká síťová bezpečnost, neboť transakce mezi klientem a RADIUS serverem je autentizována pomocí sdíleného tajemství, které není nikdy posíláno přes síť. Pouze uživatelská hesla jsou přes síť zasílána šifrovaně. Uživatelská jména, účtování apod. můžou být odposlechnuta třetí osobou, protože tyto data nejsou přenášena šifrovaně. 26 Autentizace v SSL (Secure Sockets Layer) - je protokol, který poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran. Přesněji se jedná o vrstvu vloženou mezi transportní a aplikační vrstvy. Spojení funguje na principu asymetrické šifry. Každý z komunikujících stran má sadu dvojici šifrovacích klíčů, veřejný a soukromý. Point to Point Zkratka tohoto protokolu (PPP). Jedná se o komunikační protokol linkové vrstvy používaný pro přímé spojení mezi dvěma uzly. Protokol umožní autentizaci, šifrování nebo i kompresy přenášených dat. Slouží jako standart, tedy pomocí tohoto protokolu můžeme vytvořit propojení typu point-to-point mezi zařízeními různých dodavatelů. TACACS+ (Terminal Access Controller Access-Control Systém) opět z rodiny protokolů AAA. Systém řízení přístupu k serverům, routerům a 25 Kerberos, část 2. Kerberos, část 2 popis metody SSO a protokolu Kerberos Živě.cz [online]. [cit ]. Dostupné z: 26 Radius. RADIUS Wikipedie [online]. [cit ]. Dostupné z: 20

32 dalším síťovým zařízením. Oproti protokolu RADIUS, operace autentizaci a autorizaci oddělené. Používá TCP běžícím na portu 49. Diametr Vychází ze svého předchůdce RADIUS. Není zpětně kompatibilní. Oproti svému předchůdci protokol TCP, může použít zabezpečení na transportní vrstvě IPsec nebo TLS. Protokol pracuje na systému klient server protokol. Je snadněji rozšiřitelný, lepší podpora roamingu. Extensible Authentication Protocol (EAP) je autentizační framework používání v bezdrátových sítích a také Point-to-Point spojeních. EAP má široké uplatnění také v WPA a WPA Řízení přístupu Řízení přístupu je proces, při kterém je ověřována míra oprávnění a uživatelských práv k přístupu k daným zdrojům které můžeme nabídnout. Ověřují se jednotlivý uživatelé, skupiny uživatelů (například ve větších firmách různá oddělení) ale i zařízení počítač, telefon, tablet. Zdroje jsou vnímány jako sdílené hodnoty, které může server v daný okamžik nabídnout, např. po přihlášení uživatele ve firemní síti: kapacita uživatelského pevného disku, tiskárny, připojení sítových disků, apod. Objekty vnímáme jako účelný shluk dat, tedy soubory, skupiny souborů uložené na daném paměťovém disku. Oprávnění určuje typ povoleného přístupu k jednotlivým objektům. Oprávnění se liší podle typu objektu (tiskárna, adresář), kterému jsou připisována. Jeden uživatel může mít přiřazeno více oprávnění. Zároveň může patřit do skupiny uživatelů, která má přidělená další práva. Oprávnění mohou sahat i na jednotlivý soubor. Existují i klasická společná oprávnění jako: číst, změnit, odstranit, změnit vlastníka. Nastavením oprávnění určujeme míru přístupu k objektům. Uživatelská práva jsou specifikována souborem oprávnění a přihlašovacími právy v počítačovém prostředí. Mohou být přidělována jednotlivým uživatelským účtům nebo skupinám účtů. Tato práva umožňují uživatelům provádění specifických akcí, jako je interaktivní přihlášení k systému nebo zálohování souborů a adresářů. Uživatelská práva se liší od oprávnění, protože práva se vztahují na uživatelské účty, zatímco oprávnění jsou přiřazována objektům. Přidělováním uživatelských práv skupinám se zjednoduší 21

33 správa uživatelských účtů. V serverovém systému Microsoft řešeno Active Directory. 4.4 Ochrana dat přenášených počítačovou sítí V případě, že data opustí své přirozené prostředí, musíme také myslet na jejich ochranu. Kritické je zasílání dat přes elektronickou poštu, nahrávání přes FTP servery a přenos jakou součást internetových stránek. Data musíme chránit především před kompromitací a modifikací. 27 Dalším zranitelným krokem je přístup do firemní sítě zvenčí, tedy kdy uživatel přistupuje například na vzdálenou plochu terminal serveru. Všechny tyto přenosy by měly být chráněné a dostatečně zabezpečené. Vstupní branou do firmy zvenčí je firewall, který by měl do vnitřní sítě pustit jen legitimní služby a uživatelé. V rámci vnitřní sítě se o ochranu dat může z části postarat Active Directory, který povolí přihlášení do sítě jen povolaným uživatelům či službám Firewall Firewall v překladu se objevuje často název bezpečnostní brána/zeď. Jedná se o zařízení software, které se stará a odděluje provoz mezi dvěma sítěmi. Vnitřní sít LAN (například firemní síť) od sítě WAN (zbytek světa). Toto zařízení propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel. Brání tak zejména před neoprávněnými vniknutím do vnitřní sítě bez vědomí a souhlasu dané organizace či soukromé osoby. Se stále rostoucími hrozbami v podobě infiltrací z internetu je firewall jako první ochrana pro připojení. Může tak zabránit většinu hlavních útoků, které přicházejí z internetu. Z běžné praxe ale víme, že nemůžeme spolehnout jen na firewall, ale musíme také přistoupit k sekundární ochraně dat na jednotlivých počítačích či serverech. Firewally lze rozdělit do tří nejběžnějších skupin: Paketové filtry nejjednodušší a nejstarší forma firewallu. Často je můžeme najít naimplementované na routerech. Vyznačují se vysokou rychlostí, avšak nízkou úrovní zabezpečení, protože kontrolují pouze zdrojovou a 27 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

34 cílovou adresu a port. Neumožňují logování událostí a nejsou ani schopné upozornit administrátora na podezřelé aktivity třeba formou notifikace odesláním u. Aplikační brány Na rozdíl od paketových filtrů dokáže zcela oddělit dvě sítě, mezi které byl aplikován. V praxi se také setkáme s názvem proxy firewall. Jsou pomalejší a omezují uživatele na úzký okruh služeb. Kontrola se prování na poslední sedmé vrstvě. Podle této vrstvy se také nazývají aplikační brány. Velkou výhodou je vysoká úroveň zabezpečení, avšak s vyšší náročností na použitý hardware. SMLI Gateways Jedná se o kombinaci toho nejlepšího z obou předchozích skupin. Zmiňovanou rychlost paketových filtrů a vysoký stupeň zabezpečení převzatých z aplikačních bran. Kontrola se provádí již na nejnižší možné softwarové úrovni, tedy ještě před síťovou vrstvou v OSI modelu. Touto kontrolou chrání dokonale vnitřní LAN síť, ale i samotný svůj systém Active Directory Domain Services Active Directory nemůže být v informatice snad neznámým pojmem pro každého správce sítě. Jedná se tedy o adresářovou službu LDAP implementovanou firmou Microsoft pro řadu systémů Windows NT. Tato služba byla poprvé představena ve Windows Server Databáze Active Directory je uložena na centrálním doménovém řadiči, označovaného také DC (Domain Control). Ten zajišťuje centrální autentizaci a autorizaci uživatelů, počítačů a služeb provozovaných v rámci firemní či jiné sítě. Tento systém tedy využívá LDAP protokol, rozšířený Kerberos verze 5 a DNS (Domain Name System). Níže rozebereme pár důležitých pojmů, které do Active Directory neodmyslitelně patří a běžně se s nimi setkáme Doména (Domain) Doména (Domain) je logická skupina počítačů, které sdílí společnou AD databázi. Většinou se jedná o jméno firmy nebo jejích poboček. Po vytvoření domény se automaticky vytvoří strom a les. Název domény může obsahovat 23

35 písmena, číslice, pomlčku a tečku. Maximální délka názvu je 64 znaků. Každá doména má ale také NetBIOS doménové jméno, z důvodů zpětné kompatibility s Windows To může být maximálně 15 znaků dlouhé a nesmí obsahovat tečku Strom (Tree) Jedná se o hierarchické spojení domén vytvořené vztahem rodič x potomek. V rámci stromu figuruje hlavní kořenová doména, kde všechny domény sdílejí stejný jmenný prostor (Root Namespace) Les (Forest) Jeden nebo více stromů se nachází v lese. Tento les sdílí společné AD schéma (Active Directory Schema). Schéma definuje AD databázi, tedy jakou má datovou strukturu, co se do ní bude ukládat. Analogicky tedy jednotlivé domény mají vlastní databázi, ale stejnou datovou sktrukturu. V rámci lesa existuje jedna kořenová doména. Jedná se o prvně vytvořenou doménu v daném lese Organizační jednotky Jsou to podskupiny v rámci domény. Tyto podskupiny velmi často odráží řídící sktrukturu dané organizace. Organizační jednotky jsou v podstatě kontejnery, do kterých si můžeme umístit například uživatelské účty daného oddělení, sdílené prostředky. 4.5 Ochrana dat před zničením Ke zničení dat může dojít buď smazáním či poškozením přímo na nosiči, nebo je fyzicky zlikvidován celý nosič. K oběma způsobům může dojít i za případu, že jsme podnikli veškeré úsilí k zabezpečení svých dat. Důležité je tedy systematické zálohování. Jde o proces, kdy jsou vybraná data ukládaná na jiné médium. Snaha by měla být zálohovat co nejčastěji, protože při zničení mohou být obnovena pouze data, která byla na zálohovací médium skutečně převedena DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

36 Samozřejmostí v dnešní době je i obnova dat. Existuje řada sofistikovaných zálohovacích softwarů, ale v momentě obnovy hraje roli i čas, který na obnovu systému a dat potřebujete. 4.6 Typy záloh Zálohování dat ve společnost by mělo být součástí firemní kultury firmy. Ať už pro případ totální obnovy dat například po živelné katastrofě, úder blesku a podobné, nebo jen možnost obnovit zálohu omylem smazaných souborů na disku. Dříve jsme se setkávali se zálohováním dat například pomocí dávkových souborů, dnes se o celý proces postarají již sofistikovanější softwary. Já s oblibou na stanicích používám software Cobian, ale na Windows Server 2012 spolehlivě funguje i integrovaný software k tomu určený. Celá záloha by hlavně měla proběhnout plně automaticky, bez nutnosti zásahu uživatele, tedy na straně uživatelských stanic. Ale obdobně zálohy musí fungovat i na straně serverových řešení. V případě, jakéhokoliv nezdaru, dokáží softwary uživatele, správce o chybě informovat například formou u. Dnešní problém z mého pohledu spíše nastává, že daleko déle trvá obnova dat než samotné jejich zálohování. V čem je problém? Data, systémy jsou stále objemnější a dostat je rychle zpět bývá už problém. Co se tedy dá vše zálohovat? Běžného uživatele napadnou běžná uživatelská data, dokumenty, fotky atd. Správce IT pravděpodobně napadne SQL databáze (Structured Query Language), dále jen SQL, firemní pošta nebo i zálohy celých systémů pro rychlou obnovu chodu počítače, serveru. Zálohy by měly být vždy rozděleny do různých úrovní. Od klasických uživatelských stanic, serverů, diskových polích, NAS zařízeních až po zálohu disaster recovery. Jak už z názvu dokážeme vydedukovat, jedná se o proces obnovy dat společnosti po nějaké fatální ztrátě firemních či soukromých dat a informací. Nechci teď polemizovat o tom, jak často by takováto záloha měla být pořízena, ale vždy je dobré takovou to zálohu určitě mít a v případě nouze se mít k čemu vrátit. I kdyby to byla měsíc stará záloha firemní databáze, tak věřte, že po útoku Ramsorwaru budou i takto stará data dostačující. Dnes právě druh tohoto viru dokáže, napadnou všechna on-line dostupná data, na která v daný okamžik 25

37 vidí. Klasicky připojené disky příkazem net use. Proto takovouto zálohu například umístěnou v trezoru na pevném disku je dobré mít. Zálohování můžeme rozdělit na základní dva pojmy: Online záloha - tedy proces za běžného chodu systému, jedná se o záležitost zmiňovaných dokumentů, ale může se jedná i o sofistikovanější zálohu operačního systému. Ale nutno podotknout, že taková on-line záloha systému je poměrně časově náročná. Daleko rychlejší je další typ zálohy. Ofline záloha záloha je provedená mimo spuštěný systém. Například pomocí bootovacího média softwarem Acronis, Ghost atd. Nebo pomocí softwaru na úrovní virtuálních počítačů například dnes hojně nasazovaný software Veeam Backup Druhy záloh Typy záloh, s kterými se nejčastěji setkáme v každém softwaru bez rozdílu. Různé typy záloh se používají z různých důvodů, ať už časových nebo i objemových na velikost dat. I když dnes můžeme pořídit opravdu velká disková úložiště, nic není nenaplnitelné. A je určitě i nesmysl držet neúměrně mnoho plných záloh za 2 roky zpátky. Neskturovaná záloha: nejjednodušší forma zálohy. Jakákoliv data, umístěná kamkoliv. Například CD, DVD, Flash disk, bohužel s minimem informací o provedené záloze. Je to záležitost spíše domácích uživatelů, či opravdu malých firem. Úplná inkrementální: Funkce již o něco sofistikovanějšího softwaru, kde je hlavní cíl vytvořit více kopií zálohovaných dat přehlednějším. Prvotní záloha, která se vůbec provede, je tak zvaná úplná záloha. Po dokončení této zálohy je každá následující prováděna inkrementálně. Zálohovány jsou pouze data soubory, které se pouze změnily od předešlé úplné nebo inkrementální zálohy. Hlavní velké mínus této funkce je, že při obnovení zálohy je potřeba pracovat s úplnou zálohou a následně se všemi inkrementálními zálohami až k požadovanému okamžiku, do kterého chceme data obnovit. Tedy lze zde předpokládat velkou časovou náročnost na získání dat zpět. 26

38 Úplná rozdílová: Hlavní rozdíl oproti předešlé metodě zálohová je po první úplné záloze dat, že každá částečná záloha zachytí všechny soubory vytvořené nebo změněné od vytvoření úplné zálohy, i kdyby některé byly již součástí předešlé částečné záloze. Velké plus této metody bezesporu je, že samotná obnova dat, je provedená poslední úplnou zálohou a překrytí poslední rozdílovou zálohou. Proces obnovy je tedy daleko rychlejší. Zrcadlová: Metoda této zálohy funguje, jak již z názvu vyplývá, že se jedná o totožnou kopii živých dat. Tedy odráží stav dat po poslední záloze včetně nových dat přírůstků. Plusy? Máme okamžitě stav plné zálohy, bez nutnosti dohledávání všech změn. Nevýhoda je, pokud se něco stane na straně živých dat, tak se tento stav po záloze promítne i do stavu zálohy a nemáte se k čemu vrátit. Není zaznamenaný žádná východy bod. Úplná záloha stavu systému: Metoda zálohuje obvykle celý počítač, klidně i všechny pevné disky, a to včetně operačního systému. Vytváří se tak fyzický obraz pevných disků. Samozřejmě celý tento proces je dost náročný Zálohovací média Magnetická páska: Magnetická páska, až se to dnes již nezdá, je stále velice populární médium pro zálohu firemních dat. Nové typy pásek jsou i rychlejší než pevné disky a je jasné, že mají ještě co nabídnout. Například pásky HP Ultrium páska o kapacitě 1,6 TB a přenosové rychlost 240 MB/s. Pevný disk: Zajisté nejběžnější způsob, kam data zálohovat. Z důvodů poměru kapacity versus ceny a veliké osvětě tohoto média. Pro zálohování dat často můžeme vidět velké množství externích disků v buď klasické 3,5 velikosti nebo v menším provedením 2,5. NAS (Network Attached Storage): stále rozšířenější i v domácím prostředí. Hlavně z důvodů povýšení tohoto zařízení na víceúčelové, například domácí multimediální server, uložiště pro kamery. Jedná se tedy o soustavu 1 nebo lépe více pevných disků zapojených do pole. Optický disk: velká obliba před patnácti lety. Výhoda je samozřejmě nízká pořizovací cena média. Dnes prakticky na ústupu, nové přenosné počítače jsou dodávány bez CD mechanik. Používané formáty jsou CD, DVD, BLUE-RAY. 27

39 Paměťová media: Stále oblíbené pro svoji přenosnost a rychlé připojení k nespočetně možným zařízením. Jedná se hlavně o USB flash disky nebo různé typy paměťových karet SD (Secure Digital) apod. Online úložiště: s nástupem vysokorychlostního internetu jsou stále oblíbenější zálohovat data do cloudu. Tedy zálohovat svá data ven přenosem přes internet. Velká výhoda spočívá zajedno mít data pryč mimo objekt, tedy nehrozí jakákoliv živelná pohroma a další, že máte svá data odkudkoliv k dispozici. Což samozřejmě může nést další rizika, a to zneužití citlivých dat záloh třetí osobou, která se pomocí například slabého hesla může k těmto datům dostat a zneužít je. Nevýhodou této formy zálohy může být naopak pomalejší průběh zálohování v porovnání s klasickými paměťovými medii. Ale s dynamickým růstem vysokorychlostního internetu do budoucna bude i tento problém odstraněn. V současnosti tyto služby zažívají velký boom a jsou poskytovány každou větší společností třeba i základu zdarma k u. Zajisté, jen v omezené kapacitě, ale za příplatek si lze jednoduše rozšířit Zásady správného zálohování dat Vždy bychom se měli hlavně řídit zdravým rozumem a slepě nezálohovat vše, co nám přijde pod ruku. Nesmyslné adresáře plné zbytečných věcí po ukládaných z internetu. Důležité pojmy především jsou: Správná frekvence záloh, stanovená na základě potřeby firmy, jednotlivce Kontrola zálohy, zda je archív v pořádku, většina softwarů umožňuje kontrolu archívů zálohy. Ukládání záloh na odlišná místa například úložiště NAS nemít ve stejném racku jako je server (úder blesku). Automatizace procesů a následná notifikace, zda proces proběhl v pořádku o nebo spíše zasílat jen chyby, že záloha neproběhla. V případě posílání každého výsledku lehce přehlídneme, že se jedná o chybu. 28

40 5 Úložiště dat Téměř každý ať v domácnosti nebo ve firemním prostředí ukládá nějaká data. Asi málo, kdo tuší, co se děje na pozadí, když stiskne například tlačítko uložit ve svém textovém dokumentu. Kam se vůbec data ukládají? Jsou data uložená na jednom disku, nebo se ukládají do soustavy několika disků? Běžný uživatel samozřejmě toto neřeší. Tuto otázku by měl převzít odborník na slovo vzatý. Ve firemním prostředí s výjimkou osobních počítačů se téměř nesetkáme, aby v serveru, nebo diskovém poli figuroval jen jeden disk. Tedy, že by se data ukládala na jednotlivý disk. Z hlediska bezpečnosti a dostupnosti dat je to trestuhodný čin. Vždy se toto děje do chvíle, než uživatel nebo firma o nějaká data přijde. Proto se ukládaní dat řeší pomocí soustavy disků zapojených do různých polích s pravidlem více než jednoho disku. V této souvislosti se zavedl pojem RAID (Redundant Array of Independent Disk, v překladu tedy vícenásobné diskové pole nezávislých disků), dále jen RAID. Tento pojem se v informatice figuruje jako metoda zabezpečení dat proti fyzickému selhání pevného disku. V žádném případě se nejedná o zálohu dat. Zabezpečení je realizováno specifickým ukládáním dat na více na sobě samostatně nezávislých pevných disků, kdy jsou uložená data zachována i při selhání některého z nich. Úroveň dostupnosti a zabezpečení dat se liší dle typu RAID, které je označováno čísly. Nejznámější i pro běžného uživatele bude RAID 0, dále RAID 1, RAID 5 a další. RAID1 je poměrně často využíván v osobních počítačích, RAID1 a vyšší je převážně záležitost serverů diskových polích. 5.1 Způsoby ukládání dat Způsob ukládání v diskovém poli se může lišit. Levnější varianty jsou řešené softwarově, většinou záležitost low-endových řešení. U dražších zařízení je řešené hardwarově, kde je v zařízení např. serveru přidaná další karta. U softwarového řešení obsluhuje zápis do pole RAID operační systém, ve kterém jsou nainstalovány ovladače pro RAIDOVÉ pole. Stará se o to speciální mezivrstva nebo přímo výše zmiňovaný ovladač zařízení, a proto se jedná o nejlevnější řešení, které však trpí některými nedostatky, většinou se jedná o snížení rychlosti. 29

41 Hardwarové řešení tyto nedostatky samozřejmě odstraňuje pomocí řadiče, který obsluhuje RAID sám a procesor počítače tak není vytěžován žádnými úkoly, jako u předchozího případu. Na trhu se ale opravdu hardwarové zařízení u klasických počítačů nevyskytuje. V případě výpadku některého disku v RAID poli se dostane pole to nouzového stavu, ve kterém je pole výrazně pomalejší, ale stále funguje a data jsou v pořádku uložená data a dispozici. Uživatel, nebo IT technik vymění pevný disk za nový. Z pravidla by disk měl být stejné velikosti i parametry předchozího disku. V nástroji raidového pole se tento disk přidá do pole, někdy označováno anglickým názvem rebuild array. Tím započne proces rekonstrukce pole, při které jsou dopočítány chybějící údaje a zapsány na nový disk. Data jsou během tohoto procesu stále k dispozici a plně přístupná. U disků typu hot plug vše můžeme dělat za plného provozu, bez nutnosti vypnout server, nebo diskové pole. Po dokončení rekonstrukce je RAID pole opět synchronizováno a hlásí se v pořádku. U větších zařízeních, převážně záležitost diskových polích, je v poli umístěn další, rezervní pevný disk a obnova pole v případě výpadku některého z disku začne plně automaticky. Správce IT upozorní jen management tohoto zařízení například formou u, že došlo k poruše některého z disků. Toto je ale záležitost již sofistikovanějších zařízení. RAIDové pole tedy vytváří logický virtuální úložný prostor pro data, která se tváří jako jediný fyzický pevný disk. Při otevření tohoto disku, není šance poznat, zda se jedná o pole, nebo pouze o jediný fyzický disk. S diskem se pracuje klasicky stejným způsobem jako s klasickým pevným diskem v počítači. Pro obsluhu počítače nebo serveru se nic nemění. Jednotlivé pevné disky začleněné v raidovém poli nazýváme členy pole. Vyřešíme si pomocí raidového pole zálohu? Mylná úvaha, raid se nedá nazývat zálohou dat. Raidové pole nedokáže ochránit data ať před omylným, či neomylným (napadení virem) smazáním. Tento druh ochrany jen snižuje riziko ztráty dat při poruše jednoho nebo více disků. Je to tedy přidání dalšího stupně, jak ochránit svá, především ty nejcennější data. Nepřeji nikomu zažít situaci, kdy vám havaruje jediný disk v počítači a vy narychlo musíte řešit obnovu, instalaci a vrácení systému zpět do původního stavu. Všechny tyto kroky nesou poměrně 30

42 velkou časovou režii, kterou v ostrém provozu často nemáte. Ve firemním prostředí už vůbec ne. Opravdová záloha nese úplně jiné charaktery zacházení s daty. O tom se ale zmíním dále. 5.2 Nejčastější typy raidových polí RAID 0 Tento typ pole není ve skutečnosti vůbec RAID, protože neobsahuje žádné prvky nesoucí znaky raidového pole, tedy toto pole nemá redundantní informace a tedy neposkytuje uloženým datům žádnou ochranu. Poruchu kteréhokoliv disků znamená pro majitele ztrátu jeho dat. Jednotlivá zařízení jsou jen spojena do logického celku a vytváří tak kapacitu součtu všech členů v daném poli. Spojení disků může být zajištěno dvěma způsoby. Za prvé jako zřetězení, anglicky označováno linear data, nebo prokládáním, anglicky označováno striping data. Zřetězení - Just a Bunch Of Disks, dále označováno zkratkou JBOD, jsou data postupně ukládána na několik disků v následujícím pořadí. Jakmile se zaplní první disk v poli, data se ukládají na druhý, poté na třetí, a tak to postupuje podle toho kolik je disků v poli k dispozici. Výhodou tohoto pole je poměrně lehké zvětšení diskové kapacity tohoto pole. A to tedy přidáním dalšího disku. Pokud jsou v RAID 0 JBOD zapojeny dva a více disků s odlišnou kapacitou, maximální kapacita úložiště bude rovna velikosti součtu všech disků v diskovém poli. Prokládání dat, tedy striping, jsou data ukládána na disky cyklicky. Diskový prostor je rozdělen na části o pevné velikosti a zápis nebo čtení delšího úseku dat tak probíhá z více disků současně. Při poruše z jednoho disků je málo pravděpodobné, že by nějaký soubor na diskovém poli zůstal nepoškozen. Prokládání dat může teoreticky zrychlit čtení i zápis větších bloků dat, protože v jeden okamžik můžeme data číst jeden blok z jednoho disku a následující blok disku zapisovat. Výkonnostní nárůst při sekvenčním čtení bývá v domácích podmínkách kolem 50 %, tedy při použití dvou pevných disků se čtecí rychlostí 100 MB/s, bude mít diskové pole rychlost čtení okolo 150 MB/s). Velikost diskového pole v případě zapojení v RAID 0 o osazení dva a více disků s odlišnou kapacitou, bude maximální kapacita diskového pole rovna velikosti nejmenšího 31

43 disku znásobená počtem osazených disků v poli. Pole musí obsahovat dva a více disků RAID 1 Tento typ pole je jednoduchý, ale zároveň vysoce efektivní typ ochrany dat. Nazývané také zrcadlení disků, nebo anglický používaný název mirroring disků. Ukládaná data se paralelně zapisují na oba dva disky v poli. V případě poruchy jednoho ze dvou disků, systém dále pracuje s druhým diskem v poli bez ztráty dat. Zápis dat v tomto řešení může být o něco pomalejší, jelikož se stejná data ukládají na dva disky současně. Tento typ pole výrazně zvyšuje bezpečnost našich dat proti fyzické ztrátě, způsobenou selháním jednoho ze dvou disků umístěných v datovém poli. Velikost diskového pole při odlišnosti obou disků, se rovná velikosti kapacity nejmenšího disku. Druhý, větší disk, bude degradován na menší velikost. Na sestavení pole jsou tedy potřeba dva disky RAID 5 RAID 5 vyžaduje počet pevných disků minimálně tři. Bez tohoto počtu toto pole nesestavíme. Celková kapacita z jednoho z disků je obsazena samo opravnými kódy, které jsou rozloženy na discích střídavě. Bezesporu výhodou je, že lze využít paralelního přístupu k datům, jelikož delší úsek dat je rozmístěn mezi jednotlivými disky v poli a proto je čtení z pole o něco rychlejší. Oproti tomu se projeví pomalejší zápis. Musí se provést výpočet samo opravného kódů pro případ výpadku některého z disků RAID 6 RAID 6 vychází ze svého předchůdce tedy RAID 5, používá dva paritní bloky na každém disku osazeném v poli. Ale samo opravný kód je na každém disku počítán úplně jinou cestou. Z důvodů proti přetížení pevných disků jsou paritní data uložena střídavě na každém disku v poli. Výhodou je odolnost proti výpadku dvou disků. Rychlost tohoto pole u čtení je téměř srovnatelná s RAID 5, ale zápis je o něco pomalejší než u RAID 5. Hlavní důvod tohoto zpomalení je právě kvůli výpočtu dvou sad paritních informací, které se prování pro každý disk zvlášť. Pole 32

44 o velikosti RAID 6 je možno sestavit z minimálního počtu čtyř disků. Dá se říci, že dva pevné disky jsou datové a dva pevné disky paritní. Ale v této variantě se toto diskové pole moc nepoužívá z důvodů malé výsledné kapacity diskového pole, celková velikost pole je pak poloviční. Stejný případ jako u pole typu RAID 1, zrcadlení dvou disků, kde není potřeba počítat dvě sady paritních informací. Pro pole typu RAID 6 je tedy daleko výhodnější použití více jak pěti pevných disků, abychom dokázali vůbec využít výhody tohoto typu pole RAID 0+1 Toto pole je jiný typ pole než v předchozích případech. Nazýváme ho dvouúrovňové pole. V odborné terminologii se můžeme také potkat s označením RAID 01. Systém ukládání dat funguje na principu prokládání na dva disky. Ta samá operace se provede na další dva disky v poli. Tímto systémem prokládání dat, získáme dva logické disky. Tyto logické disky mají také zrcadlený obsah. Velkou devizou tohoto pole je, že je velice odolné proti výpadku všech disků jednoho pod pole, popřípadě x disků s rozdílnými daty. Další výhodou tohoto způsobu je, že nejen rozkládáme zátěž mezi více disků při čtení a zápisu, ale data jsou také uložena zrcadlení, jak jsem zmiňoval v přechozím odstavci. Obnova po havárii je tedy velice snadná. Mezi hlavní nevýhodu u tohoto typu pole patří využití pouze poloviční celkové kapacity všech disků. Celková kapacity diskového pole se získáme kapacita nejmenšího disku v poli násobená počtem všech disků v poli. Tuto hodnotu vydělíme dvěma zmiňované zrcadlení RAID 10 Pole RAID 10, nebo označované 1+0, jak už z názvu napovídá kombinací RAID 0 a RAID 1, ale s obrácenou logikou ukládání dat na disky. Soubor, který se při ukládání (stripování) rozdělí na dvě poloviny První část souboru je na prvních dvou diskách a druhá polovina souboru na druhých dvou diskách na rozdíl od předchozího typu RAID 0+1. Toto pole je odolné proti fyzickému výpadku jednoho disku v každém pod poli. Výhody jsou skoro identické jako u RAID 0+1 s tím, že obnova dat po výpadku disku je oproti RAID 0+1 mnohem rychlejší. S velikostí 33

45 diskového pole je to stejné jako u RAID 0+1, tedy velikost nejmenšího disku násobená počtem všech disků v poli vydělené dvěma. 34

46 6 Elektronický a digitální podpis V některých případech musíme zajistit identifikaci v oblasti elektronické pošty. Nejčastěji k tomu poslouží adresa odesílatele v hlavičce zprávy u, ale jelikož prochází nezabezpečeným kanálem, kdokoliv ho může modifikovat podle své potřeby. K tomu slouží nástroj digitálního a elektronického podpisu, který zajistí odesílateli identifikaci. Pojmy digitální a elektronický podpis můžeme považovat za synonyma, i když některé právní úpravy je považují za odlišné funkce. Když zpráva obsahu tento nástroj, vždy jsme schopni zjistit, že zprávu podepsal ten, kdo ji podepsat měl. Nastat může i druhý problém, kdy zprávu sice zprávu odeslal, ale s jiným obsahem. Zpráva s největší pravděpodobností byla po cestě odchycena a pozměněna. Druhý požadavek, který na funkci digitálního podpisu klademe, je zajištění integrity podepisovaného textu. V případě podepsání jsme schopni odhalit, že byl text modifikován Popis digitálního podpisu Zajištění digitálního podpisu je na základě technických prostředků, které může používat pouze oprávněná osoba. Ideálním řešením se jeví asymetrická kryptologie. Obecně leze říci, že digitální podpis je vytvářen pomocí soukromého klíče asymetrického kryptologického aparátu. Následná platnost je ověřena veřejným klíčem, který k danému soukromému patří. Princip je obrácený než u šifrování, ale zde chceme, aby u podepisování byl kdokoliv schopný ověřit si platnost podpisu. Naopak nikdo kromě oprávněného člověka nesmí být schopen vytvořit platný podpis Zajištění integrity U asymetrické kryptologie nalézáme jednu zásadní nevýhodu. Jedná se o příliš velký požadavky na výpočetní kapacitu. K dispozici máme speciální skupinu 29 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

47 matematických funkcí, kterým se říká jednosměrné. Je jednoduché zajistit hodnotu funkce při daných vstupech, ale je naopak velmi náročné až nemožné stanovit z výsledku funkce původní vstup. Výstupem je digitální otisk, který je řádově o stovky bitů menší než původní text. Funkce, která má toto zhuštění nasvědom9 se nazývá hashová funkce. Z toho plyne označení pro digitální otisk hash. Je potřeba zajistit také takzvanou bezkolinost. To v praxi znamená, že nejsme schopní k danému digitálnímu otisku vytvořit další zprávu, která totožný otisk Hashovací funkce Jedná se o jednosměrné funkce. Tyto funkce musí splňovat přesně definované podmínky. Základní hashovací funkce mapují řetězec libovolné délky, tedy zpráva, datový soubor na řetězec konstantní délky a vytvářejí tak otisk vstupního řetězce. Výsledek této operace neboli otisk se označuje jako výtah, hash či fingerprint a je plně závislý na všech bitech vstupního řetězce. Tyto funkce slouží ke kontrole a zajištění kontroly integrity dat a operace s daty spojené, např. vytváření digitálních podpisů. Nejpoužívanější hashovací funkce jsou MD4, MD5, SHA-1 a SHA-2. Tyto algoritmy jsou založeny na principu blokové šifry jako je AES (Advanced Encryption Standard), dále jen AES. Nutno také podotknou, že ne každá hashovací funkce je prostá, setkáme se s různými zprávami poskytující stejný hash. Vše záleží, aby funkce splňovaly následující požadavky: Jedná se o jednosměrnou funkci. Nelze najít dva vstupy, které mají stejný výsledný hash. Jedná se o kolizi. Je obtížné tyto kolize hledat systematicky. Neexistuje korelace vstupních a výstupních bitů. Jakékoliv množství vstupních dat poskytuje stejně dlouhý výstup. 32 Hashovací funkce se nejčastěji využívají v hashovacích tabulkách, kde slouží k rychlému nalezení dat za pomoci vyhledávacího klíče. Hashovací funkce se použijí 31 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str Hashovací funkce. Univerzitní informační systém MENDELU [online]. [cit ]. Dostupné z: 36

48 k mapování vyhledávacího klíče do indexu pozice v hashovací tabulce, kde jsou pravděpodobně hledaná data uložena. Obecně, může hashovací funkce mapovat několik rozdílných klíčů na stejnou hashovací hodnotu. Hashovací funkce pouze ukazuje na místo, kde by se mělo začít hledat Mezi nejčastěji používané hashovací funkce řadíme: MD5 (Message Digest algorithm) dnes už nepoužívaná hashovací funkce. Funkce tvoří skupinu algoritmů navržených profesorem Ronaldem R. Rivestem z Massachusettského institutu technologií. Koncem 90. let byl analytiky vyhlášen hashovací algoritmus MD4 za nedostatečně bezpečný, proto byl v roce 1991 navržen algoritmus MD5 jako jeho bezpečná náhrada. Algoritmus byl často využíván jako, že přenášený soubor dorazil na své místo nepozměněný. MD5 se také mohl objevit u některých operačních systému Unix jako kontrola integrity dat. MD5 je popsán v internetovém standardu RFC 1321 a jeho výsledný hash má velikost 128 bitů a je většinou vyjádřen jako 32 znakové šestnáctkové číslo. SHA-1 taktéž patří mezi již nepoužívané hashovací funkce. Specifikace algoritmu byla vydána téměř před 25 lety, a to v roce 1993 označený jako SHA-0. Tato verze byla ale záhy stažena a upravena agenturou NSA. Změna se týkala rotace bitů směrem do leva. Tato změna zaručila větší zabezpečení, označené jako SHA-1 (FIPS PUB 180-1). Algoritmus SHA-1 je založen na principech podobných těm, které použil profesor Ronald R. Rivest. SHA-2 jak už z názvu vyplívá, jedná se o vylepšený algoritmus SHA-1, který pracuje na obdobném principu. Ke změně došlo, jelikož bezpečnost SHA-1 byla kompromitována kryptografickými útoky. Z obav o prolomení bezpečnosti u SHA-2 byla koncem roku 2007 vyhlášená veřejná soutěž na 33 Hashovací funkce. Univerzitní informační systém MENDELU [online]. [cit ]. Dostupné z: 37

49 vytvoření nového algoritmu SHA-3. Vyhlášení vítězů bylo naplánováno na konec roku SHA-3 Vítězná hashovací funkce z roku Do soutěže přihlášený pod jménem Keccak. Autory této funkce jsou Guido Bertoni, Joan Daemen, Michael Peeters a Gilles Van Assche. Tato funkce se vyznačuje svou rychlostí a zcela odlišným principem šifrování oproti svým předchůdcům. Můžeme tedy říct, že prolomení jedné z šifer neohrozí bezpečnost té druhé. Tiger - hashovací funkce, kterou v roce 1995 navrhli Ross Anderson a Eli Biham. Hlavní použití je pro kontrolou integrity souborů nebo ukládání hesel. Používá se v sítích peer to peer. Tiger2 jedná se o variantu svého předchůdce. Tato verze používá stejné zakončení vstupních dat jako je u funkce MD5 či SHA Certifikovaný klíč Útočník je schopný infiltrovat databázi veřejných klíčů. V praxi to znamená, že pokud v databázi veřejných klíčů umístí k určitému jménu takový veřejný klíč, od kterého vlastní soukromý klíč, může podepisovat jakýkoliv dokument nabouraným jménem. Ověřovací algoritmus nemá šanci tento podvod odhalit. Řešením je certifikace veřejných klíčů. Důvěryhodná třetí strana stvrdí svým digitálním podpisem, že konkrétní veřejný klíč patří ke konkrétní osobě. Příjemce následně ověří podpis v certifikátu, a pokud souhlasí, ověří osobní údaje uvedené o odesílateli v certifikátu. Pokud všechny údaje souhlasí, může veřejnému klíči důvěřovat a připojit ho k digitálnímu podpisu vlastního textu. Riziko nastává i v případě, že je soukromý klíč ukraden. V tomto případě jsou vydávány certifikačními autoritami seznamy kompromitovaných klíčů. Seznam se nazývá CRL (Certificate Revocation List seznam odvolaných certifikátů). Povinností příjemce je zkontrolovat, jestli není přiložený certifikát uveden této černé listině. Druhá varianta je databáze OCSP, kdy se při každém ověření ptáme na konkrétní platnost certifikátu. Jedná se o elegantní řešení, které však vyžaduje trvalé připojené k síti DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

50 6.3.1 Obsah certifikátu Existuje celá řada norem, úmluv a právních předpisů, které popisují obsah certifikátů. Jednotlivé položky certifikátu se rozdělují do čtyř skupin: Osobní údaje vlastníka certifikátu: jméno, příjmení, rodné číslo, IČO atd. Služební údaje: identifikační číslo certifikátu, identifikace certifikační autority, která certifikát vydala, informace o použitých algoritmech, platnost certifikátu atd. Veřejný klíč, který je certifikován. Digitální podpis všech výše uvedených položek Třídy certifikátu Jsou vydávaný certifikáty nejrůznějších druhů. Nejhlavnějším rozlišením je míra ověření identity vlastníka. Základní jsou čtyři třídy rozlišení: Class 1: je ověřeno pouze, jestli jméno, které chceme do certifikátu zapsat, je dostupné. Class 2: identita vlastníka může být ověřena třetí stranou. K vystavení formuláře stačí například notářsky ověřený formulář žádosti. Class 3: je standart mezi certifikáty. Žadatel je povinen navštívit certifikační autoritu, která ověří jeho totožnost. Tento druh certifikátu je vhodný k většině účelů. Class 4: zde přibývá nutnost prokázat oprávněnost vlastníka certifikátu k nějaké činnosti. Pří žádosti o vystavení certifikátu je potřeba oprávněnost předepsaným způsobem prokázat Certifikační autorita Jedná se o organizace, kde jsou vydávány certifikáty veřejných klíčů. Soukromé klíče jsou uchovávány ve speciálním přístroji, který je při pokusu o otevřená zničí. Tím je zaručena ochrana soukromých klíčů, které jsou spárovaný 35 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

51 s vydanými veřejnými klíči. Základem organizace je její certifikační politika, což je zveřejněný postup a seznam pravidel při vydávání certifikátů Vydání certifikátu Vydání certifikátu pro veřejný klíč vzniká na základě žádosti. V žádosti jsou uvedeny potřebné identifikační údaje, přiloží se k ní veřejný klíč a vše se podepíše klíčem soukromým. Podpisem žadatel dokazuje, že je vlastníkem soukromého klíče k certifikovanému veřejnému klíči DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, ISBN , str

52 7 Představení společnosti a popis činnosti 7.1 Představení společnosti a důležité mezníky Firma Maso Jičín s.r.o. vznikla v roce 1993 a je zapsána v Obchodním rejstříku vedeném Krajským soudem v Hradci Králové v oddílu B, vložka V současné době se firma řadí svojí velikostí a svým obratem mezi středně velké masozpracující závody. V současné době se specializující na zpracování vepřového masa a jeho distribucí převážně do svých vlastních prodejen a vybraných obchodních řetězců. Výstavba moderní porážky jatečných prasat proběhla v období Kapacita byla projektovaná na 2500 kusů týdně a v to dobu dosahuje maximální kapacity. V srpnu roku 2008 byl zahájen investiční projekt výstavby nové bourárny, balení a expedice masa. Kolaudace proběhla v dubnu Toto byla na dlouhou dobu poslední větší investice. V dubnu roku 2013 byla zahájena fúze se společností Městská jatka Vrchlabí. Tímto krokem firma získala určitou část trhu a opět se zaměřuje na prodej a porážení převážně českého masa. Ke konci roku 2014 došlo k založení společnosti Maso Sedlák s.r.o., pod kterou budou provozovány podnikové prodejny společnosti. Jako hlavní důvod byl k zprůhlednění ekonomické situace prodejen. V roce 2015 byl hlavní cíl znovu zprovoznit porážku v Jičíně na prasata. To se povedlo v polovině roku Ke konci tohoto roku došlo k zakonzervování porážky ve Vrchlabí. Začátkem roku 2016 byl implementován nový informační systém a provázání komunikace se skladovým hospodářstvím prodejen. Ke konci roku 2016 dochází k otevření bourárny kuřecího masa v Městci Králové. Pro letošní rok z hlediska IT je hlavní cíl implementace nového serveru s vysokou dostupností dat a dostatečné zabezpečení firemních dat jak proti fyzické ztrátě, tak i proti napadením serverů počítačovými viry. V této práci bych rád představil současné serverové řešení a pokusil bych navrhnout nové, které by 41

53 vyhovovalo našim současným požadavkům a předpokládanému růstu s výhledem na dalším pět let. Řídící struktura společnosti na obrázku ukazuje způsob řízení naší společnosti. Barevně jsou zobrazena jednotlivá oddělení. V podstatě barevné schéma naznačuje kdo, s jakými daty pracuje a ke kterým má zajištění přístup v rámci sítě. Obrázek 3 Řídící struktura společnosti a rozlišení dle přístupu k datům Zdroj: Vlastní zpracování 42

54 7.2 Současná vlastnická struktura Společníci Vložený kapitál Obchodní podíl Ing. Bohuslav Kohout ,- Kč 77 % Tekro spol. s.r.o ,- Kč 23 % Statutární orgán: Jednatel Ing. Bohuslav Kohout Jednatel Ing. Miloš Kroc 7.3 Podnikatelské aktivity firmy Firma se za poslední dva roky rychle dynamicky rozšiřuje. Dříve firma měla jen jeden závod v Jičíně a zhruba tři podnikové prodejny. Dnes je hlavní závod v Jičíně, další v Městci Králové a k tomu deset podnikových prodejen. Celá naše firma se zaměřuje spíše na menší podnikatelské subjekty vyjma dvou obchodních řetězců, kterým dodáváme výsekové maso, v kterém je naše firma poměrně silná. Právě i z tohoto důvodu dojde k rozšíření výroby v Jičíně kvůli narůstající poptávce od obchodních řetězců po tomto zboží. Další pilíř odbytu tvoří síť podnikových prodejen pod značkou Maso Sedlák, kterých v současné době firma provozuje deset. Tyto prodejny chceme dále rozšiřovat s plánem otevřít každý rok alespoň dvě nové prodejny. Na tyto prodejny byl rovněž nasazen informační systém s dohledem na centrále firmy Závod Jičín Tento závod se bude do konce příštího roku výhradně zabývat vepřovou porážkou, bouráním na anatomické části, a poté jeho balením až po výrobu polotovarů. V tomto závodě bude následně probíhat celková expedice a zajištění logistiky všech výrobků vyrobených v rámci naší skupiny. Zde je a do budoucna i bude umístěn centrální server, a tak zajištovat trvalý přístup k těmto datům pro ostatní pobočky. Hlavní komodity této společnosti: 43

55 Vepřové maso, balené maso a polotovary Tento sortiment výsekového masa je možno rozdělit na produkci větších anatomických celků (vepřové půlky a jejich další úpravy, hovězí čtvrtě), bouraného masa na jednotlivé anatomické části a drobů. Firma se snaží pokrývat vše ze své vlastní produkce s minimem dokupování od jiných firem, a to z důvodů zaručení kvality. Cílem je nabídnout zákazníkovi veškerý sortiment masa vepřového a hovězího a tím pokrýt jeho potřeby. Masné výrobky Výrobní sortiment masných výrobků se dělí na drobné masné výrobky sekané zboží (párky, klobásy), měkké salámy, speciality, uzená masa, šunky a šunkové výrobky a trvanlivé masné výrobky. Tato výroba bude později přesunuta do závodu ve Vrchlabí Obchodní zboží Sortiment obchodního zboží zahrnuje výrobky, které společnost nemá ve svém výrobním programu nebo slouží jako doplňkový sortiment ve snaze maximálně uspokojit poptávku zákazníka. Tento segment nadále chceme rozšiřovat a co nejvíce zužitkovat využití dopravní jednotky Závod Městec Králové Tento závod slouží jako podružná výroba, na kterou již nemáme kapacity. Jedná se o poměrně maličký provoz, který z hlediska informačních technologií není náročný na jejich osazení. Provádí se zde také vychystávání části objednávek, které jsou přijati do systému v Jičíně a poté zařazeny do rozvozových linek. Bourání drůbeže Nový sortiment, který jsme zařadily do naší produkce. Probíhá bourání celého kuřete na jednotlivé části. Jedná se spíše o doplňkový sortiment s cílem zákazníkovi nabídkou celý sortiment. 44

56 Vařená výroba Výrobní sortiment se dělí na vařené výrobky, aspiky, škvaření sádla a další výrobky z této oblasti. Jedná se o poměrně úzký sortiment výroby, bohužel i tak náročný na používané technologie Závod Vrchlabí Tento závod je v současnosti zakonzervován, nic méně se již připravují plány na jeho znovu otevření, které podrobněji popisuji v následující kapitole Podnikové prodejny Prodejny zajištují maloobchodní prodej naší společnosti prodávající veškerý sortiment, který naše firmy vyrábí. 7.4 Vývoj společnosti do budoucna Z dlouhodobého ekonomického hlediska je strategickým plánem firmy rozvoj vlastní sítě prodejen pod vlastní značkou a tím si i zajistit vlastní a stabilní odbyt nezávislý na tlaku obchodních řetězců. Cíl je takový, že do pěti let bychom chtěli mít zhruba 25 podnikových prodejen pod značkou Maso Sedlák. Dalším cílem firmy je v areálu Vrchlabí vybudovat novou částečně automatizovanou masnou výrobu. Dojde k celkové rekonstrukci areálu Městská Jatka Vrchlabí. Tato výroba bude vyhovovat novým nárokům na hygienické požadavky dozorujících orgánů a taktéž našim požadavkům z hlediska toku informací, které nutně potřebujeme k řízení firmy. V tomto provoze se chceme specializovat na výrobu maximálně patnácti výrobků. Po přestěhování masné výroby ve Vrchlabí, bude následovat vybudování nové linky na úpravu mas v Jičíně. Tato linka se zaměří na porcování malospotřebitelského masa pro obchodní řetězce. Celá linka bude pod drobnohledem z hlediska výtěžností a dohledání jednotlivých šarží až po daného chovatele. Další část zabere rozšíření a zmodernizování expedičního skladu, právě na současném místě masné výroby, konkrétně výrobny trvanlivých výrobků. Expedice bude probíhat v regálovém systému a sběr dat přes automatické váhy, u 45

57 paletových záležitostí pomocí přenosných terminálů připojeních do zabezpečené Wi-Fi sítě. Další reexpediční sklad máme v plánu vybudovat v prostorách firmy Prave Rakovník a.s., která spadá do našeho holdingu. Zatím je ale tento bod až jako poslední na seznamu. Z těchto plánů je jasně patrné, že firma potřebuje do budoucna mít zabezpečený a vždy dostupný přistup do informačních systémů a data z těchto systému bezpečně uložená, chráněná a dostatečně provedené jejich zálohy. Aby se v případě jakékoliv pohromy bylo k čemu vrátit a tyto data popřípadě jednoduše obnovit. 46

58 8 Představení upravené struktury sítě Privátní síť firmy je budovaná od roku 2001 s postupnými úpravami. Tak jak se firma postupně rozrůstala, tak rostla i počítačová síť. Celý areál firmy je dost prostorově rozlehlý, takže každá hala má svůj switch, do kterého je celá kabeláž haly svedená. Poslední velká úprava byla provedena letos na jaře, kdy byly vyměněny komplet aktivní prvky v LAN síti a dobudované racky k jednotlivým switchům. Do sítě jsou připojeny klasické klientské stanice, tiskárny, ip telefony, váhy až po sofistikovanější zařízení jako je např. zařízení na řízení plynové kotelny, docházkové systémy atd. V sídle firmy jsou umístěny celkem čtyři switchte umístěné v samostatném racku, které jsou propojení optickým kabelem do hlavního switche. Všechny haly, jak jsem zmiňoval, jsou propojené optikou až na výjimku ekonomického oddělení, které má samostatné kanceláře mimo náš areál. Toto místo je do naší sítě propojeno pomocí bezdrátového spoje. Koncové zařízení jsou připojená přes UTP kabel kategorie 5 v klasické verzi nebo stíněné. Některá zařízení jsou připojená pomocí zabezpečené bezdrátové sítě (dále jen zkratka Wi- Fi), například přenosné expediční terminály, scannery. Svou vlastní infrastrukturu mají kamery, které jsou pak do vnitřní sítě připojené jen pomocí dvr zařízení, tedy vnitřní infrastrukturu firmy téměř daty nezatěžují. Site Network GW VLAN Management + kamery / LAN + servery + tiskárny / Wifi hosté / telefony / DHCP server Windows server interní síť ZyWALL wifi hosté ZyWALL management síť, wifi AP Tabulka 2 - Přehled rozsahů IP adres firmy 47

59 Obrázek 4 - Struktura sítě firmy 8.1 Zajištění konektivity firmy Primární připojení Konektivita do firmy je řešená místní firmou pomocí mikrovlnného spoje směrovaného přímo na páteřní uzel firmy, která konektivitu poskytuje. Garance rychlosti linky je 50/50 Mbps. Přípojka do našeho firewallu (ZyWALL) z uzlu v našem objektu je řešená optickým spojem. Přístupový bod je připojen na 48

60 centrální uzel Gradace.NET v Jičíně přes mikrovlnné profesionální plně duplexní pojítko ALCOMA AL17F-mp600. Aktuální kapacita spoje je 2x660Mbps. Tento model bude v průběhu tohoto roku nahrazen pojítkem FibeAir IP-20E s kapacitou 2x2500Mbps. Tento spoj v E-band pásmu slouží jako plnohodnotná alternativa k optickému vláknu. Připojeni centrálních uzlu Gradace NET je řešené připojením pomocí třech zcela nezávislých (geograficky, vlastnicky i technologicky) okruhů do páteře internetu v Praze, kde je v CE Colo terminován do uzlu NIX, Peering CZ a zahraničních konektivit. Díky členství Gradace NET v RIPE (Ripe Network Coordination Centre) vlastnímu autonomnímu systému disponuje několika tisíci veřejných IPv4 adres a nejsou tak ani v oblasti adresního prostoru nikterak závislí na jakýchkoliv operátorech Navrhovaná záložní konektivita Záložní konektivita bude v průběhu třetího kvartálu tohoto roku řešená pomocí služby od UPC, konektivitou 20/20 Mbps. Pro záložní konektivitu jsme se rozhodli z několika důvodů: Umístění centrálního serveru v Jičíně Dostupnost centrálního serveru v Jičíně Provoz vlastní telefonní ip ústředny Dostupnost mailserveru Komunikace EDI Parametry upc konektivity: Služba je realizována na přístupových technologiích (FTTx, FWA apod.) Předávací rozhraní služby ethernet 1000Base-T/LX Peering s hlavními národními i mezinárodními operátory Možnost provozu IPv4 i IPv6 Přidělená pevná IP adresa Zabezpečení a nepřetržitý dohled nad službou 24 hodin denně a 7 dní v týdnu 49

61 Statistiky provozu Záložní MX záznam pro mail servery 8.2 Firewally v režimu HA Připojení naší firmy je chráněno pomocí dvou firewallů značky Zyxel, typ USG 210 zapojených do clusteru, nebo jinak nazýváno High Availability, dále označováno jen HA. V tomto režimu je jedno zařízení jako primární zařízení a druhé jako záložní. Na venek se tváří jako jedna brána, ale ve skutečnosti za tím stojí dvě zařízení, která mají identickou konfiguraci. V případě výpadku jednoho zařízení funkci převezme zařízení druhé. Na toto zařízení přistupují zaměstnanci zvenčí přes vpn rozhraní. Podnikové prodejny jsou připojené vpn tunelem přes zařízení USG20-VPN. Přes stejné zařízení přistupuje i výrobna v Městci Králové. Ve výrobně Vrchlabí budou opět plánování dvě USG 210, aby byla zajištěná dostatečná ochrana a také zaručené spojení s Jičínem. Server Master ( ) Active Active path Managed Switch State sync Managed Swtich Internet Server Managed Switch Backup ( ) HA Firewall Virtual IP ( ) Pasive path Obrázek 5 - Switche v režimu High Availability, zdroj: vlastní zpacování Řada ZyXEL USG Advanced podporuje několik připojení WAN a ještě záložní mobilní připojení řešené pomocí vysokorychlostního usb modemu, které slouží jako další dodatečná záloha konektivity. Multi-WAN disponuje několika WAN porty Ethernet pro připojení k internetu v režimu High Availability, tedy aktivní/aktivní nebo aktivní/záloha. Tato řada podporuje VPN s vysokou propustností (IPSec, L2TP/IPSec a SSL) pro širokou míru použití v režimech server / client a server / server. S využitím 50

62 pokročilého šifrování SHA-2 zajišťuje ZyXEL USG nejbezpečnější VPN spojení pro business komunikaci. Brána USG podporuje VPN HA pro kritické VPN nasazení. Díky podpoře pokročilé technologie GRE over IPSec mohou uživatelé otevřít dva IPSec VPN tunely pro vyvažování zatížení (aktivní-aktivní) nebo jako zálohu (aktivní-pasivní). Integrovaný WLAN kontrolér podporuje CAPWAP a umožňuje centralizovanou autentizaci a řízení přístupu na přístupových bodech na síti. Řada Advanced dokáže ve výchozím nastavení řídit až dva přístupové body. Po dokoupení licence lze tento počet rozšířit až na 18 přístupových bodů. Unifikovaná bezpečnostní politika nabízí správu zařízení na bázi objektů a unifikované konfigurační rozhraní pro firewall a bezpečnostní pravidla. Uživatel může snadno aplikovat zvolená kritéria na všechny funkce UTM, což zkracuje čas potřebný ke konfiguraci a vede k optimálnějšímu nastavení. Řada ZyXEL USG Advanced dokáže rozpoznat, kategorizovat a řídit více než 3000 sociálních, hracích, pracovních a dalších webových aplikací. Uživatelé mohou nastavit vyšší prioritu kritických aplikací, omezit rychlost u těch ještě přijatelných a zcela zablokovat nepřijatelné aplikace, které jsou ve firemním prostření nežádoucí, např různé messengery, sociální sítě atd. ZyXEL využívá integrovaný antivir Kaspersky SafeStream, který poskytuje komplexní ochranu v reálném čase před malwarem a zabraňuje tak vstupu škodlivého kódu do sítě. Antivir dokáže rozpoznat a zablokovat přes virů už na vstupu do brány s využitím vysokorychlostního skenování a technologie pro skenování na bázi streamů. Teoreticky by měl do vnitřní sítě propustit minimum škodlivého softwaru. Pomocí SSL Inspection inspekce zajišťuje komplexní bezpečnostní ochranu i realizaci bezpečnostní politiky na hlubší úrovni. Umožňuje nástrojům pro aplikační inteligenci, IDP, filtrování obsahu a antivir kontrolovat data v šifrovaném připojení SSL a blokovat hrozby, které by jinak pronikly do sítě. S využitím cloudového IP reputačního systému dokáže antispam ZyXEL zajistit cílenou a rychlou ochranu před spamem tím, že analyzuje reputaci odesílatele v okamžiku odeslání na základě diverzifikovaných zdrojů. Dokáže detekovat spamovou vlnu v několika málo minutách od jejího vzniku bez ohledu na jazyk nebo formát spamové zprávy. 51

63 Filtrování obsahu ZyXEL pomáhá omezit přístup k nelegitimním stránkám (stránky, které se nevztahují k business aktivitám, nebo stránky se škodlivým obsahem). Systém využívá masivní cloudovou databázi více než 140 miliard URL adres, které se trvale sledují a analyzují. S využitím této technologie získáme velmi přesnou, širokou a okamžitou ochranu před škodlivými kódy na webu. Toto je poměrně důležitá funkce ve firemním prostředí. Dokážeme tím odfiltrovat pracovní weby od soukromých aktivit. 8.3 Nasazené switche Switche byly v naší síti měněné letos na jaře v rámci investice do IT v celém holdingu firem, ve kterém se nacházíme. Zůstali jsme věrní značce zyxel, od které jsme používali i předchozí modely. V naší síti je několik typů switchů, od 48 portových po 24 portové. Stěžení jsou dva modely GS HP a GS LP podporované i napájení PoE (Power over Ethernet), dále jen PoE využívané IP telefony v rámci firmy. Tento rychlý přístupový switch L2 Gigabit je určený pro konvergované sítě (data, video a hlas). Co to konvergované sítě jsou? V jedné IP síti spojují přenos dat, videa a hlasu, jsou efektivnější, umožňují centrální správu a snižují celkové realizační náklady. Proto toto řešení volí čím dál tím více podniků, vzdělávacích institucí a hotelů (řešení lze pak použít pro VoIP, video konference, IP dohled a IPTV). Konvergované sítě na druhé straně přináší nové problémy. IT zaměstnanci musí zajistit konzistentní provoz u kritických aplikací, dohlédnout na dobré oddělení jednotlivých služeb a obecně na síťovou bezpečnost a regulovat datový povoz podle různých požadavků. Tyto modely s 48 porty mají flexibilní konfiguraci portů, která probíhá přes webové rozhraní. Tento model disponuje těmito porty: 44 portů GbE RJ-45, 2 porty GbE SFP, kombo porty (RJ-45/SFP). Switch je vybaven PoE napájením, který splňuje standardy IEEE 802.3af PoE a 802.3at PoE Plus a mohou napájet zařízení s celkovým maximálním příkonem 375 W. PoE Plus s kapacitou 30 W pro každý port jako jsou např. bezdrátové přístupové body nebo IP telefony. Tato inteligentní PoE technologie GS2210 umožňuje lépe a efektivněji vyžívat dostupný výkon a v konečném součtu tak přispívá k lepší návratnosti (ROI) zařízení. Jestliže GS2210 nastavíte do režimu 52

64 Consumption, dokáže automaticky detekovat napájecí stav každého připojeného zařízení a dodávat mu pouze potřebný výkon. Inteligentní rozdělování výkonu tak minimalizuje plýtvání energií, šetří peníze a umožňuje napájet více zařízení. Síťové zabezpečení u tohoto modelu má širokou řadu bezpečnostních funkcí (přístup, přenos dat). Pokročilé ochranné mechanismy jako např. IP source guard, DHCP snooping a ARP inspekce dokáží detekovat a blokovat cílené útoky na vaši síť. Ochranná funkce procesoru zajišťuje normální provoz switche tím, že ho chrání před škodlivými daty. Kombinace filtrovacích mechanismů na vrstvách L2, L3 a L4 a další funkce jako např. MAC freeze, port isolation a VLAN síť pro hosty přispívají k vysoké úrovni zabezpečení, flexibility a kontroly nad různými aplikacemi. Switch je připraven na budoucí aplikace a podporu sítí IPv6. Podporuje duální (IPv4 a IPv6) i jedno režimové (IPv6) zdroje a je tak připraven na přechod na sítě další generace. GS2210 obsahuje bohatou sadu funkcí pro správu IPv6 (ICMPv6, neighbor discovery, DHCPv6 relay), která přispívá ke snadnému přechodu na nové sítě bez nutnosti provádět extenzivní modernizaci zařízení. 8.4 Nová bezdrátová síť a její zabezpečení Wi-Fi sítě v rámci firmy používáme dvě. Jedna je určená pro návštěvy firmy, jedná se o poskytnutí připojení s daným klíčem. Tato síť má přístup jen na internet. Do vnitřní sítě firmy se přes ni nedostanete. Druhá síť je převážně pro přenosné počítače, váhy a nově jsou také v plánu přenosné terminály (scannery). Jinak se snažíme raději řešit klasickým spojením přes UTP kabel. Při přebudování infrastruktury LAN sítě jsme zvolili variantu Wi-Fi kontroléru plus přístupové body. Neboť vytvoření bezdrátové sítě, která vyhovuje dnešním bezpečnostním požadavkům, není snadné. Teda pokud si někdo doma zrovna netvoří síť pro domácí použití. Pustit firemní data do éteru na pospas ostatním není z hlediska bezpečnosti moc dobré. Wi-Fi síť v rámci firmy musí být jak stabilní, tak hlavně bezpečná a pod naší kontrolou. Toto se nám podařilo skloubit pomocí Wi-Fi kontroléru, taktéž od firmy zyxel NXC Kontrolér je komplexní řešení, které pomáhá při plánování sítě, její realizaci a následné údržbě a monitorování. 53

65 Současně nabízí autentizaci a správu účtů pro hosty, které v poslední době hojně využíváme a cítili jsme nutnost i toto poskytovat. Model NXC2500 dokáže snadno řídit přístupové body, které máme rozmístěné skrze firmou. Pro toto jsme použili modely z řady ZyXEL NWA5121-N. Ve standardní konfiguraci podporuje ZyXEL NXC2500 správu až osm přístupových bodů. Jak jsem se zmiňoval již výše, dnes je ve firmě nutnost připojovat k bezdrátové síti mobilní zařízení nebo laptopy zaměstnanců. Tedy může se stát, že každý zaměstnanec se připojuje z několika zařízení současně. Kontrolér NXC2500 je navržen tak, aby spolupracoval s přístupovými body řady Unified, Unified Pro a Managed (konfigurovatelné modely) bez nutnosti předchozí konfigurace. NXC2500 nabízí několik metod pro automatické vyhledání přístupových bodů. Díky standardu Control and Provisioning of Wireless Access Points je možné vytvořit zabezpečenou komunikaci mezi NXC kontrolérem a přístupovými body bez nutnosti měnit existující infrastrukturu LAN. Wi-Fi kontrolér s lehkostí zajistí spolehlivý provoz sítě, snadno se instaluje a klade velký důraz na zabezpečení Wi- Fi sítě firmy. Při realizaci bezdrátové sítě existují dva klíčové kroky, odhadnout potřebný počet přístupových bodů tak, aby se vzájemně překrývaly. U nás nešlo o plné pokrytí celé firmy. Určité haly a prostory firmy Wi-Fi nepotřebují. Dalším klíčový krok je potřeba monitorovat provoz sítě a řešit případné problémy a umět je snadno odstranit. ZyXEL tak poskytuje softwarem Wireless Optimizer, který ve spojení s kontrolérem NXC2500, řeší všechny tyto kroky. Při plánování dokáže odhadnout nejlepší rozmístění přístupových bodů a po zprovoznění vyhodnotí tyto body v provozu, zda bylo zvoleno optimální rozmístění přístupových bodů. 54

66 Acces Point Internet Managed PoE Switch Wireless LAN Controller Acces Point Unified Security Gateway Acces Point Managed PoE Switch Acces Point Obrázek 6 - Wireless Contoller, zdroj: vlastní zpracování Na optimalizaci provozu sítě NXC2500 nabízí bohatou řadu pokročilých funkcí. Například funkce pro automatický výběr kanálu a automatizované optimalizační funkce pomáhají administrátorovi zvolit vhodnou konfiguraci kanálů. Mohu také nastavit parametry pro vyvažování datového zatížení na přístupových bodech pro optimalizaci rozložení dat na síti. Kontrolér samozřejmě sleduje počet aktivních klientů mezi přístupovými body. Kontrolér má komplexní autentizační metody pro připojení všech bezdrátových zařízení. Podporuje autentizaci přes AD, LDAP a RADIUS. NXC2500 má vlastní vestavěný server RADIUS, portálový server a DHCP server. Taktéž lze upravit podobu přihlašovacího portálu. Pro návštěvy lze účty generovat velice snadno. Troufám si říci, že to zvládne i laik. Celé řešení je dle mého tvrzení dostatečně flexibilní a výkonné a zajisté splňuje naše požadavky na provoz Wi-Fi sítě. Přístupové body po firmě řešíme pomocí řady NWA Tyto zařízení máme ve firmě celkem čtyři. Zařízení je vybavené moderní technologií, která zajistí bezproblémový provoz sítě, a následně tak sníží náklady na IT. Především tak odpadá neustálé řešení problémů s nefunkčností sítě. Vestavěné antény a výstupní výkon jsou upraveny tak, aby bylo snadné najít optimální rozvržení přístupových 55

67 bodů. Na rozdíl od tradičního routeru má o něco jiný vzhled. Dle mého podobný na způsob kouřového detektorů. Montáž jsme provedli na strop pro lepší pokrytí prostoru signálem. Samozřejmostí je napájení přes Ethernet (PoE). Další možností je připojit externí antény pro zvýšení pokrytí signálu. Stále více mobilních telefonů a notebooků podporuje duální pásmo 2.4 GHz/5GHz. Síť tak lze nastavit tak, aby prioritně využívala pásmo 5 GHz a pásmo 2.4 GHz sloužilo jako vyrovnávací pásmo při velkém zatížení. Model ZyXEL NWA5123-NI a/b/g/n podporuje obě pásma. Nicméně u starších zařízení stále potřebujeme i pásmo 2.4 GHz. Jak je známo vyšší frekvence 5 GHz má obecně kratší dosah než 2.4 GHz při stejném výstupním výkonu, ale tento model dokáže navýšit výkon v pásmu 5 GHz tak, aby byl dosah v obou pásmech stejný. Tento model podporuje pokročilé technologie 11n pro lepší pokrytí, jako např. TX Beamforming, LDPC a MLD, kde tyto technologie řeší problémy se slepými místy a kolísající kvalitou signálu. Díky technologii MLD dokáže zařízení navýšit poměr SNR (signál/šum) v řádu 3 db. Technologie TX Beamforming eliminuje slepá místa spojitou a dynamickou změnou vlnové charakteristiky signálu. Díky těmto technologiím se můžeme se spolehnout, že přístupový bod zajistí spolehlivou síť a bezproblémový provoz, což v prostoru expedice a balíren s přenosnými terminály opravdu potřebujeme. 8.5 Virtuální privátní síť a její úprava Používání virtuální privátní sítě (dále jen VPN) se stala nedílnou součástí v naší firmě zhruba před patnácti lety. Největší nutnost, proč tuto službu zavést byla potřeba přistupovat do firemní sítě ze vzdálených zařízení mimo místní síť. Jako první jsem tuto službu používal asi já, jako správce IT, pro vzdálenou administraci serverů a stanic. V tuto dobu jsme používali službu VPN Kerio, jelikož jsme měli nasazený software Kerio Winroute Firewall. Myslím, že na tu dobu poměrně nadčasový sofware s velice pohodlnou a přehlednou konfigurací. Pro uživatele taktéž velice pohodlné ovládaní s nutností nainstalování malinké utility Kerio VPN Client, pomocí které se připojoval na Kerio VPN Server. Tento klient se mohl připojovat ručně v případě potřeby použití VPN, nebo mohl využívat i trvalé 56

68 perzistentní spojení ihned po startu systému. Další možnost bylo vytvoření přímého tunelu Kerio VPN Server na Kerio VPN Server. Toto připojení jsme používali na naši pobočku na Pecce, kde jsme provozovali určitou část naší výroby, a bylo potřeba zajistit trvalé spojení mezi těmito pobočkami. Řešení o Keria jsme opustili v roce 2013, kdy jsme přecházeli na jiného poskytovatele konektivity, kde jako hlavní důvod byla instalace nové telefonní IP ústředny a nutnost vyměnit firewall byla podmínka od poskytovatele. Největší změna byla opustit softwarové řešení firewallu a přejít na firewall řešený hardwarem, umístěný do racku. Finanční situace firmy v tento čas nebyla nejlepší, proto se vybral model vyhovující známému kritériu, poměru ceny a výkonu. Zvolili jsme tedy model Microtik RB2011-UIAS, na kterém jsme používali integrované řešení. Open VPN server, taktéž v režimu klient server, pomocí vytáčeného připojení přes operační systém. Nebo v režimu tunelu přes další zařízení Microtik RB951UI, využívající trvalé připojení. Protokol používaný na toto připojení byl PPTP. Důvod tohoto nasazení byla i fúze se společností Městská Jatka Vrchlabí a nárůst podnikových prodejen, kde se implementoval informační systém, který potřeboval trvalé připojení na hlavní pobočku firmy Maso Jičín s.r.o., odkud je systém spravován. Z pohledu zabezpečení a celkové konfigurace to byl krok vůči Keriu Firewall krok zpět. Microtik má mnoho příznivců i odpůrců jak to tak v praxi bývá. Z mého pohledu je to zajisté funkční zařízení z hlediska poměru ceny a výkonu. Ale z hlediska podpory k administraci nám toto zařízení přestávalo vyhovovat. S postupným rozvojem firmy jsme chtěli již používat daleko bezpečnější připojení do vlastní sítě a řešit i dostupnost naší sítě v případě výpadku tohoto zařízení. Proto jsme letos na jaře v rámci doporučení od naší dceřiné společnosti přešli na VPN řešené na zařízeních Zyxel uváděných v předchozí kapitole. Z hlediska bezpečnosti je hlavní změna v používání lépe zabezpečeného protokolu L2TP tedy Layer 2 Tunnel Protocol. 57

69 9 Servery, diskové pole, databáze Naše firma používá dva stěžejní informační systémy. Veškerá data z těchto systému jsou ukládána na server Microsoft SQL 2014 provozovaného v rámci firmy. Po stránce ekonomické a mezd používáme software IMES od firmy OK Příbram v režimu tenkého klienta, který se připojuje na SQL server provozovaný v rámci naší sítě. Pro výrobu, dopravu, expedice a skladové hospodářství byl implementován informační systém GS5 od společnosti Novum Global s.r.o. Systém pracuje na stejném principu jako IMES, tedy v režimu klienta, který se připojuje na SQL server. Oba výše uvedené systémy jsou používány jen na platformě Windows a jako databázi používají verzi Microsoft SQL ve verzi 2014 pod systémem Windows Server Současné řešení Server Současný server, na kterém oba tyto systémy fungují, je model od firmy Hewlett Packard ProLiant DL360eG8. Tento server byl pořizovaný zhruba na jaře 2015 a v současné době je pro nás z hlediska kapacity i zabezpečení dostupnosti dat nedostačující. Server jsme během této doby rozšířili o ještě jeden procesor a zdvojnásobili operační paměť. V posledním kroku následovala výměna pevných disků za rychlejší model z vyšší rychlosti čtení a zápisu. Tyto disky jsou zapojené v režimu Raid 5. Na tomto serveru je primárně je nainstalovaný VMware vsphere 6 Essentials, tedy server je virtualizovaný. 58

70 Komponenta Processor Chipset Paměť Sítová karta Storage Controller Konfigurace Server HP ProLiant DL360eG8 Název 2 x Intel Xeon E5-2407v2 (Quad Core/80W/2400/Ivy Bridge) Intel C600 Series Chipset 64GB(8x 8GB) 1Rx4 PC3L R - 11 Kit, celkem 12 slotů HP Ethernet 1Gb čtyřportový 366i Adapter HP Smart Array P420/ 1GB FBWC Controller Pevné disky DVD mechanika Power Supply Management Operační systém 3x HP HDD 600GB 12G SAS 15k LFF 3.5" SC Converter Enterprise 3yr Warr G8 G9 HP 9.5mm SATA DVD RW Optical Drive 2x HP 460W Common Slot Gold Hot Plug Power Supply HP ilo Essentials incl 1yr TSU 1-Svr Lic. HP 1U Gen8 Smart Array Cable Kit Tabulka 3 - Konfigurace současného serveru Databáze MS SQL VMware, Windows Server 2012, Linux (Mailserver Kerio, RA Eset) Jak již z názvu vyplývá, v současné době používáme verzi SQL od společnosti Microsoft. Potřeba přejít na serverové řešení SQL databáze nastalo s výměnou informačního systému ve firmě. Prvotní instalace fungovala jen na verzi express, která je sice zdarma, ale s určitým omezením ve velikosti databáze a možnosti využití operační paměti. Po plné implementaci systému se tyto omezení hned projevili, a to především v rychlosti systému pořizování dat a exporty z nich. Celý problém byl v nesprávné verzi SQL a zvolení špatných disků na serveru. Přešli jsme tedy na verzi Microsoft SQL Standart ve verzi 2014 licencovanou na počet jader procesoru. Edice SQL Serveru 2014 Počet CPU socketů / počet jader Velikost RAM využité Velikost databáze Business Inteligence 4/ GB 524 PB Standard 4/ GB 524 PB Express 1/4 1 GB 10 GB Tabulka 4 - Přehled verzí Microsoft SQL Zálohy Zálohy v naší společnosti jsou řešeny nedostatečně. O tomto slabém místě víme a hodláme ho vyřešit taktéž v rámci výměny celého serverového řešení. Rádi 59

71 bychom do budoucna řešili zálohy již na úrovni virtualizace, což v současné době neděláme. Servery a data zálohujeme jen na úrovni systému daného serveru. Dle mého názoru zálohu sice máme, ale obnova v případě pádu hardwaru celého serveru by byl dost složitá a zdlouhavá. Zálohy severů máme naplánované na denní zálohy ve stanovený čas. Čas záloh směřujeme na časy, kdy je na síti i serverech menší provoz, aby uživatel v době záloh nepocítil například zpomalení chodu samotného systému. Takového volného času přes týden u nás ve firmě moc není. Jsou to dvě časová okna, a to ráno mezi 4 až 6 hodinou ranní a v odpoledních hodinách mezi 16 až 18 hodinou. Jediný volný den, kdy nejsou servery vytěžovány je sobota. Celé zálohování firmy bych rozdělil do několik skupin: Záloha dat z lokálního počítače Záloha na serveru Záloha mail serveru Záloha SQL Záloha Disaster Záloha lokálních počítačů Na úrovni lokálních stanic se řeší záloha z lokálního počítače pomocí softwaru Cobian, kde každý den proběhne přírůstková záloha na síťový disk počítače. Zálohuje se jen složka plochy Desctop, kde si uživatelé s oblibou ukládají své dokumenty. Celá záloha má v řádu několik desítek megabitů. Každý uživatel má k dispozici svůj síťový disk, kam si má svá data ukládat. Toto úložiště je samozřejmě zálohované na úrovni serveru. Tedy v případě zavirování stanice lehce dojde k obnově dat uživatele. Ostatní data na úrovni uživatele zálohována nejsou. Všechny data i informačních systémů jsou na serveru, kde se zálohuje na úrovni serveru a rovněž i elektronická pošta uživatele Záloha na serveru Zálohy na úrovni serveru jsou prováděny pomocí integrovaného softwaru. Tyto zálohy jsou ukládány na připojené disky pomocí protokolu iscsi (Internet Small Computer System Interface) dále jen iscsi umístěné na diskovém poli NAS 60

72 umístěného v lokální sítí. Zálohy všech serverů se provádějí dle stanoveného harmonogramu. Celkem zálohujeme tři servery: DC server se systémem 2012, kde je umístěný Domain Controler. Na tomto serveru se zálohují hlavně obnova systému a data z file serveru včetně domovských disků uživatelů. Tato záloha je spíše náročná na přenos dat po síti, a proto ji máme naplánovanou na odpolední hodiny, kdy máme ve firmě menší vytížení sítě. Od podvečerních hodin nabíhá expedování, ale v tu dobu je již záloha provedená. TS server se systémem 2012, zde běží dvě důležité služby: Terminal Server a SQL server. Dnes víme, že tyto služby provozovat na stejném serveru není ideální, a to především z hlediska bezpečnosti. Záloha tohoto serveru je obsáhlejší a náročnější. Proto tuto zálohu provádíme každý den brzy ráno dle harmonogramu, který je v systému nastaven. Prakticky máme vysledováno, že naše noční expedice končí zhruba před čtvrtou hodinou ranní. Obrázek 7 - Záloha server DC 61

73 Záloha SQL databáze Tato záloha je plně v režii softwaru, který používáme. Oba systémy jsou zálohovány v pravidelných intervalech pomocí skriptu. Tato záloha je umístěná na disk serveru a po té se zálohuje celý server i s těmito zálohy. Do budoucna bychom chtěli mít tyto zálohy plně pod kontrolou sami Záloha mail serveru Záloha mail serveru se rovněž provádí pomocí integrovaného softwaru v pravidelných časových intervalech. V těchto zálohách se vždy zálohují data e- mailové pošty a včetně konfigurace nastavení tohoto serveru tak, aby v případě potřeby byla obnova co nejjednodušší a nejrychlejší Záloha Disaster Tato záloha je prováděná zhruba dvakrát do měsíce. Není nastaven žádný pravidelný interval. V podstatě je celý proces proveden spuštění daného batche a dojde k vykopírování daných dat na externí disk, který po dokončení kolega umístí do trezoru ve firmě. 62

74 Zálohovací zařízení NAS Typ zálohovacího zařízení v síti je QNAP TS-251, jedná se o dvou diskové síťové zařízení, osazené dvěma disky, o velikosti 3TB s připojením do sítě pomocí 2 x Gigabit RJ-45, tedy používané v režimu připojení o rychlosti 2 Gigabity. Zařízení je provozované v RAIDU 1, tedy výše popisované zrcadlení disků nabízející kapacitu 3TB. Současné zálohovací zařízení, které ve firmě používáme, není moc profesionální, ale disponuje jednou důležitou vlastností, a to je podpora protokolů iscsi, která je vhodná pro zálohování serverů Windows od verze 2008, které tento typ lokálního disku podporují. Co vůbec znamená iscsi? Jednoduše řečeno se jedná o internetový protokol, který vychází ze síťového standardu pro propojování datových úložišť. Pomocí přenosů příkazů SCSI přes IP sítě usnadňuje protokol iscsi přenos dat přes místní sítě (LAN), širší sítě (WAN) nebo přes Internet. Díky protokolu iscsi bude místo na úložním serveru považováno operačním systémem klienta za místní disky. Ve skutečnosti jsou veškerá data přenášena na disk přes síť síťové úložiště. Běžný uživatel ani nepozná, že se jedná o síťový disk připojený systémem. Z praxe je známo, že zálohy na takto připojený disk, nejsou optimální. Další důležitým pojmem jsou iscsi Target a jednotka iscsi LUN, v terminologii SCSI představuje jednotka LUN (číslo logické jednotky) individuálně adresovatelné (logické) zařízení SCSI, které je součástí fyzického zařízení SCSI, Cíl, tedy místo určení zálohy. Prostředí iscsi emuluje připojení k pevnému disku SCSI. Cíl iscsi Target je jako spojovací rozhraní a jednotky LUN jsou v zásadě očíslované pevné disky. Pokud je cíl iscsi Target připojen uživatelem iscsi (klientem) k operačnímu systému klienta, jsou virtuálně připojeny všechny jednotky LUN namapované na cíl iscsi Target. Proto mohou uživatelé na jednotkách iscsi LUN vytvářet a spravovat systémy souborů stejně jako na nenaformátovaném pevném disku SCSI nebo IDE. Tedy zvolit si systém souborů jaký jim bude vyhovovat pro daný operační systém. Parametry QNAP TS-251 Turbo NAS server: 2,4 GHz DC / 2x HDD / 1 GB DDR3 RAM / R 0,1 / 2xGL / HDMI / USB 3.0 / iscsi Vytvořit vlastní cloud a přistupovat k souborům odkudkoliv 63

75 Streamovat multime dia pr es DLNA, AirPlay, Plex Sdílet a zálohovat vaše data na jednom míste Spustit virtuální systémy a rozšířit vlastností vašeho NAS 2 x Gigabit RJ-45 Ethernet port Navrhované řešení Celé navrhované řešení bude realizováno během podzimu tohoto roku. Z předchozích odstavců je zřejmé, že bude týkat především nového serverové řešení koncipované na vysokou dostupnost dat a systém a uložiště záloh dat firmy. Rádi bychom rovněž vybudovali novou serverovnu, protože současné řešení je umístěné jen na chodbě v rackové skříni. Ale kvůli problémům s kapacitou prostorů, musíme tuto variantu zatím opustit. Nicméně s touto variantou počítáme při výstavbě nové administrativní budovy, která proběhne během roku Servery v clusteru O výměnu serveru a zajištění dostupnosti i při jakémkoliv výpadku ve firmě mluvíme již od začátku roku. Během prvního pololetí probíhala jednání s dodavatelskými firmami, které by o tuto zakázku měly zájem. Hlavně musel být představen jasný požadavek z naší strany, jak danému problému chceme přistupovat, co od něj očekáváme a hlavně kolik jsme ochotni na tuto investici uvolnit finančních prostředků. Přiznám se, že jsem byl smířený s částkou pod 1 milión korun. Z prvních nabídek jsme se pod tuto částku nedostali, ale je také pravda, že hodláme řešit i část záloh a záložních zdrojů UPS. Celková částka pak samozřejmě roste dál. Navrhované řešení je tedy opravdu koncipované na vysokou dostupnost všech systémů a jejich dat. Požadujeme tedy, aby byli osazeny dva totožné servery řady HP, které budou komunikovat s diskovým polem. Oba servery budou v režimu HA, tedy na venek se celé serverové řešení tváří jako jeden, ale na pozadí jsou servery dva. V běžném provozu veškeré úlohy vyřizuje jeden server, druhý je jen spuštěný, ale o požadavky uživatelů se nestará. Přebere úlohu jen v okamžik, že primární 39 TS-251: QNAP. QNAP Systems, Inc. - Network Attached Storage (NAS) [online]. Copyright 2017 [cit ]. Dostupné z: 64

76 server bude mít technické problémy. Výběr padl na stejný typ serveru od firmy HP, který již ve firmě máme. Jen se jedná o stupeň novější generaci a s trochu jinou konfigurací. Tabulku s konfigurací serveru uvádím níže. Důležité rozdíly oproti předchozímu serveru jsou: Počet pevných disků je menší, jelikož disky na novém serveru budou sloužit jen na operační systém. Pro data bude použito diskové pole. Další podstatnou změnou je komunikační karta Smart HBA pro komunikaci s diskovým polem přes rychlý komunikační kanál SAS, který bude zabezpečovat komunikaci s diskovým polem. Počet licencí Microsoft Windows Server, z důvodů bezpečnosti dat jsme se rozhodli na z virtualizovaném serveru provozovat celkem 4 servery se systémem Windows 2016, kde každý bude mít jinou úlohu. Oddělený DC kontrolér zůstane beze změny, samostatný Microsoft SQL server, Terminal Server a File Server. Foundation Care 24x7 s podporou na 5 let. Podpora zahrnuje servis hardwaru na místě, základní podpora jiných poskytovatelů, reakce do 4 h od nahlášení poruchy, provozní doba 7 dní v týdnu, nepřetržitě, softwarová podpora plus zpětné volání do 2 hodin zpět. Podstatná změna musí být ve verzi VMware ze současné verze standart na verzi VMware vsphere Essentials Plus včetně aktualizací a podpory na pět let. Změna byla podmíněná pro navrhované řešení a zálohy. Konfigurace nového Server HPE DL360 Gen9 Processor 1 x Intel Xeon E5-2620v4 (2.1GHz/8-core/20MB) Chipset Intel C610 Series Chipset Paměť 4x 16GB) HP SmartMemory Dual Rank x4 DDR ECC Sítová karta HP Ethernet 1Gb 4-port 331 Adapter (4 x 10/100/1000Gb porty) Storage Controller HP Smart Array P440ar/2GB (RAID 0/1/1+0/5/5+0/6/6+0) Pevné disky 2 x HP 300GB 12G SAS 10K 2.5in SC ENT HDD (jen na operační systém) DVD mechanika HP 9.5mm SATA DVD RW Optical Drive Power Supply 2x HP 460W Common Slot Gold Hot Plug Power Supply Management HP ilo Essentials incl 1yr TSU 1-Svr Lic. HP 1U Gen8 Smart Array Cable Kit 65

77 Operační systém VMware Essential, 2 x Windows Server 2016t Tabulka 5 - Navrhovaná sestava nových serverů Navržené diskové pole Po rozhodnutí pořídit řešení dvou serverů v režimu HA, které by se mohly vzájemně zastoupit, je nasazení diskového nutností. Je to jen další krok k zajištění vysoké dostupnosti dat, které naše firma potřebuje. Model, který jsme vybrali, disponuje místem pro osazení až pro 25 SFF disků, které zatím nevyužijeme. Prozatím máme v plánu osadit diskové pole 6 disky typu SAS o velikosti 1.2 TB a 2 kusy disku typu SAS SSD o velikosti 400 GB. Disky SSS budou vyčleněny výhradně pro umístění databáze Microsoft SQL. Celé pole bude provozováno ve verzi RAID 5. Pole k severům bude připojeno pomocí SAS Contoler, o rychlosti 12 Gbit/s. Diskové pole HP MSA 1040 využívá kontroléry čtyři, generace s novým procesorem, 2 host porty a 4 GB paměti cache na kontroler. Dále je integrovaný management tool pro využití služeb Snapshots a Volume Copy, které zajisté využijeme pro zvýšenou ochranu dat. Důležité vlastnosti diskového pole: rozšiřitelné až na 99 disků (po přidání 3 diskových polic) integrace s VMware licence pro lokální kopii dat je již v základu Operační paměť 4GB of Cache Memory per I/O Controller Diskový Úložný Prostor Mixed Use (2.5in) SSD (N9X95A) Možnosti provozování RAID 0/1/3/5/6/10/50 Formát Pevných Disků Hot Plug 2.5in Small Form Factor Hard Disk Napájecí Zdroj: 2 x 500W Hot Plug AC Redundant Power Supply pro zajištění vysoké dostupnosti Foundation Care 24x7 s podporou na 5 let. Podpora zahrnuje servis hardwaru na místě, základní podpora jiných poskytovatelů, reakce do 4 h od nahlášení poruchy, provozní doba 7 dní v týdnu, nepřetržitě, softwarová podpora plus zpětné volání do 2 h + update. 66

78 9.2.3 Zálohy NAS Současné řešení Q-NAP bychom rádi nahradili dvěma kusy zařízení Synology DS První zařízení by sloužilo pro umístění záloh ze stanic, serverů, diskového pole a na druhé zařízení by se první zařízení replikovalo. Snapshoty lze provádět každých 5 minut. Samozřejmostí je umístění obou zařízení odlišně v síti z důvodů zvýšení zabezpečení pořízených záloh. Datové úložiště může být osazeno až 5 disky. V našem případě zvolíme variantu každé zařízení osadit 3x 6TB disky určené pro zařízení NAS. Klíčové vlastnosti tohoto modelu jsou: Sada Cloud Station pro synchronizace a dostupnost dat ze všech zařízení v síti. Speciální serverový systém s intuitivním ovládáním a možností doplňování o další aplikace dostupné pro tento model Úložiště pro prostředí virtualizace (VMware, Citrix a Microsoft Server 2012 a vyšší) Nejkompatibilnější sdílení (FTP, SMB2, AFP, NFS, WebDAV, Windows AD a LDAP) Nepřetržitý síťový provoz (4 gigabitové porty s Failover a Link Aggregation), tedy možnost zvýšit kapacitu rychlosti přenášených dat. S rostoucími požadavky lze přidat až 10 dalších disků přidáním dalšího rozšiřovacího modelu (DX517) Výkonný procesor pro hladký chod a hardwarové šifrování AES-NI 67

79 10 Antivirové řešení Stávající antivirové řešení se skládá celkem ze čtyř úrovní. Když půjdeme od začátku, komunikaci a konektivitu do lokální sítě hlídá ochrana od Kasperského, poštovní server chrání řešení od společnosti Sophos, ochranu stanic, serverů od společnosti Eset a poslední úroveň je na uživateli, vždy v zabezpečení počítače hraje velkou právě on a jeho zdravý rozum Kaspersky SafeStream II. Toto antivirové řešení je tedy nasazené přímo na firewallu, a tak se snaží zabránit útoku virů ještě před samotným doručením na cílovou stanici nebo server. Pokud by teoreticky tato ochrana byla stoprocentní, pak by se k běžnému uživateli neměl dostat žádná škodlivý kód. Antivir dokáže rozpoznat a zablokovat přes virů už na vstupu do brány s využitím vysokorychlostního skenování a technologie pro skenování na bázi streamů. Kaspersky SafeStrem II. používá následující postupy pro identifikaci a včasné zablokování škodlivého kódu: Detekování adres URL zadávané adresy URL v příchozí nebo odchozí komunikaci se kontrolují v databází známých škodlivých webů, které chrání před webovými hrozbami Detekce objektů vyhledávání toku dat, které využívají viry, trojské koně, červy, škodlivé skripty Detekce podpisu pomocí podpisové databáze (speciální bajtové sekvence) pro detekci specifických malwarových typů 10.2 Sophos ovou komunikaci je dobré uživateli předat již čistou, tedy pokud zpráva obsahuje škodlivý kód, tak by tento kód měl být odstraněn již na straně serveru. Samotný Kerio mail server tuto funkci dříve nenabízel, a tak ochranu přenechával třetím stranám, kde jste měly možnost přímo do keria si doinstalovat nový plugin. Dříve jsme na tuto funkci používali Eset, ale pak došlo ke krátce výluce nepodporování s novou verzí a byli jsme nuceni přejít na integrované antivirové řešení od firmy Sophos. U tohoto řešení jsme již zůstali, a to z důvodů 68

80 bezproblémového chodu a dobrým výsledkům tohoto řešení. Nejdůležitější funkce antiviru Sophos integrovaného do KerioConnect: antimalware a antispam blokuje spamy, viry a jinou havěť důležité standardy podpora technologií SPF, DKIM, RDNS, greylisting šifrování u S/MIME, OpenPGP, SPX (Secure PDF Exchange) DLP chrání citlivá data před odcizením 10.3 Eset Secure Office Od prvopočátku implementace antivirového řešení ve firmě používáme již zmíněné řešení od Esetu. To tvoří tu nejspodnější část a touto ochranou se snažíme pokrýt stanice, servery a mobilní zařízení. Toto řešení máme opravdu ve firmě již nějakých patnáct let, kde postupně docházelo k postupnému vývoji tohoto řešení a s ním k různým obměnám názvů této ochrany. V praxi to znamená, že na každé stanci, serveru je nainstalovaný software ESET Endpoint Antivirus, který je spravován přes konzoli ESET Remote Administrator, určenou pro tuto správu. Výčet nejdůležitějších funkcí ESET Endpoint Antiviru: Antivirus a antispyware celková ochrana koncových stanic pro Microsoft Windows před všemi typy škodlivého kódu (včetně virů, rootkitů, červů a spyware) Serverové řešení důležitá je podpora virtualizace společně s kvalitní technologií detekce poskytují ochranu před hrozbami i ve virtualizovaném prostředí Nároky na hardware - nízké systémové nároky jsou zárukou k rychlému a hladkému provozu koncových stanic Ochrana dat umožňuje blokovat nebo povolit konkrétní výměnná média jako jsou CD, DVD, USB a paměťové karty. Umí vytvořit pravidla pro uživatelské skupiny v souladu s firemní politikou Detekce Technologie ESET NOD32 (dříve tak označována verze antivirového řešení) obsahuje nově Exploit Blocker, která chrání před útoky dosud neznámými hrozbami, jinak také označované Zero day útoky 69

81 Vzdálená správa Pro každého správce v rozsáhlejších síťí nutnost. V praxi se realizuje pomocí nástroje ESET Remote Administrator o kterém se zmíním ještě níže ESET Remote Administrator (ERA) Tato aplikace je poměrně mocný nástroj na kontrolu a správu stanic v síti. Jedná se přímo o sever, který máme nainstalovaný za virtualizovaném serveru se systémem Linux. U předchozích verzí byla nutnost konzoli používat se systémem Microsoft Windows, ale od verze 5 je možnost server provozovat na linuxovém řešení. V běžné praxi celý systém funguje velice jednoduše, kde se do správy konzole správce přihlásí přes webové rozhraní a okamžitě získá rychlý přehled všech počítačů umístěných v síti. Nutností je ale mít na lokální stanici nainstalovaného agenta, který zajistí konektivitu k ERA konzoli. Tohoto agenta dokáže zkušený správce do stanice nainstalovat například přes login skript po přihlášení do firemní domény. Po tomto kroku se téměř okamžitě tato stanice objeví v menu ERA konzole a správce již může s touto stanicí dále pracovat, například nainstalovat antivirový program, spustit jednorázový test a mnoho dalších užitečných procesů. Princip aktualizací je takový, že primárně nové aktualizace stahuje ERA konzole a následně je distribuují na firemní počítače. Potud je firemní počítač mimo firemní sít, aktualizace se stáhne z aktualizačních serverů eset. Přehled důležitých funkcí ERA konzole: Správa založená na rolích umožní hlavnímu správci vytvořit různé admin účty, kterým lze přiřadit různá práva. Počítače je možné spravovat na více místech a definovat práva firemní politiky pro lokální správce jednotlivých poboček. V našem případě do budoucna určitě využijeme. Chráněný přístup k ověření identity administrátora při přihlášení je možné zapnout dvoufaktorovou autentizaci přímo ve webové konzoli. Dnes stále více vyžadované pro přihlášení do různých systémů. Integrovaný ESET SysInspector správce může zpětně porovnat jednotlivé protokoly operačního systému a najít změny například při bezpečnostním 70

82 incidentu. Z tohoto systémů se dá také vyexportovat poměrně slušný log z analýzy a poslat ho například na podrobnější prozkoumání. Obrázek 8 - Princip ERA konzole, zdroj: Události administrátor může nakonfigurovat podmínky, za kterých se má spustit daná úloha. Podmínky lze párovat s dynamickými skupinami, takže se úloha spustí po zařazení klienta do skupiny. Reporty vzdálená správa sbírá pouze data potřebná k vytvoření reportu, zbývající data zůstávají na klientské straně, což má pozitivní vliv na výkon databáze. Úlohy je možné vytvořit jednoduše krok za krokem v průzkumníkovi. Zde jsou také některé úlohy již předdefinované Vzdálená správa koncových stanic. Eset [online]. [cit ]. Dostupné z: 71

83 11 Navržení firemní politiky řízení dat firmy 11.1 Úvodní informace Účel firemní politiky Tento organizační dokument stanovuje odpovědnosti a pravomoci v souvislosti s bezpečností dat a informací firmy Maso Jičín s.r.o. Informuje o postupech při řešení problémů s bezpečností a zacházení s důvěrnými daty napříč celou firmou. Rozsah platnosti Rozsah platnosti vydaného a schváleného dokumentu obecně definuje firmu, její části či jednotlivé odbory, pro které je daný dokument platný, a tedy i zaměstnance, kteří se s ním musí prokazatelně seznámit a pravidla definovaná v daném dokumentu dodržovat. Konkrétně pak lze definovat, že tento dokument je závazný pro všechny zaměstnance firmy Maso Jičín s.r.o. Důležité definice pojmů v politice jsou: nosič dat neboli datové médium CD, DVD, přenosný harddisk, externí flash paměť, paměťové karty důvěrná data dokumenty a nosiče dat obsahující informace důvěrného charakteru datové uložiště adresář na síti Maso Jičín s.r.o. obsahující soubory dat a případně další podadresáře správce sítě administrátor počítačové sítě firmy, nebo pracovník smluvní firmy 11.2 Bezpečnostní politika firmy Majitel procesu Jednatelé a majitelé firmy Maso Jičín s.r.o., kteří se podílejí na řízení celé firmy včetně všech právních důsledků, které vyplívají z pozice jednatele a majitele firmy. Uživatel procesu Zaměstnanci firmy s platnou pracovní smlouvou, kteří se zapojují do chodu celé firmy. Jedná se o zaměstnance, kteří přicházejí do přímého styku s informacemi vyplívajících z jejich pracovní činnosti. 72

84 Vstupy dat Dokumenty v papírové i elektronické podobě a komunikace zaměstnanců v jakékoliv podobě, které jsou součástí pracovních procesů jak zaměstnanců firmy Maso Jičín s.r.o., tak i jednatelů čí majitelů firmy. Výstupy dat Předávání výstupních dat bez možného rizika zneužití informací a možnému úniku těchto dat mimo firmu například směrem ke konkurenci. Jedná se v podstatě o veškerou firemní dokumentaci či komunikaci napříč celou firmou Maso Jičín s.ro Popis činností ve firmě, pravidla, odpovědnosti Pravidla pro používání firemních prostředků Obecné chování na pracovišti a mimo firmu Důvěrné firemní informace se nesmějí dostat do nepovolaných rukou. Jsou definovány tři stupně ochrany, které ve firmě Maso Jičín s.r.o. jsou zaznamenané v interních směrnicích napříč kompletní komunikací, dokumentací a dalšími daty. Zacházení s dokumenty firmy (papírové, elektronické) Dokumenty Důvěrné a Přísně důvěrné nesmí: zůstat ležet otevřené bez dozoru kdekoliv, zůstat otevřené na neuzamčené obrazovce počítače. Zabezpečení informací při telefonování, faxování Při telefonních rozhovorech mimo firmu zabránit nepovolané osobě vyslechnutí důvěrných informací. Po odeslání důležitého faxu raději ověřit jeho doručení. Důvěrné a Přísně důvěrné dokumenty není povoleno zasílat faxem. 73

85 Kopírování dokumentů v prostorách firmy a mimo firmu Po ukončení kopírování zkontrolovat, zda nějaký podklad nezůstal v kopírce. Kopírování firemních dokumentů mimo firmu je přísně zakázáno. Přístup do informačních systémů Je výslovně zakázáno obcházet bezpečnostní nastavení pro přístup do informačních systémů firmy Maso Jičín s.r.o. Ochrana před počítačovými viry Nainstalované antivirové programy nesmí být za žádných okolností vypínány. Při podezření na možnou infiltraci počítačovým virem je zaměstnanec povinen okamžitě kontaktovat správce sítě firmy Maso Jičín s.r.o. Za žádných okolností nesmí zaměstnanec sám řešit případným problém. Instalace software Je výslovně zakázáno instalovat do firemního počítače jakýkoliv software. Toto oprávnění májí pouze pracovníci IT oddělení, kteří na požádání případný software nainstalují. Ale tento software, musí být používán v souladu s pracovní pozicí zaměstnance firmy Maso Jičín s.r.o. Používání mobilních zařízení mimo firemní prostor Přenosné počítače, které zaměstnanci poskytla firma Maso Jičín s.r.o. pro výkon jeho pracovních povinností mohou být použity mimo firmu za dodržení níže uvedených pravidel: spuštěný antivirový program spuštěný firewall předcházet nebezpeční možné krádeže například z osobního automobilu 74

86 Povinnosti vedoucích pracovníků Rozeznání slabých míst Všichni vedoucí pracovníci firmy Maso Jičín s.ro. mají povinnost informovat své podřízené o způsobu a zacházení s důvěrnými informacemi a vyžadovat dodržování této směrnice v pravidelných intervalech, a to minimálně jednou ročně. Postup při přijímání nového zaměstnance Nového zaměstnance je třeba seznámit s pravidly zachování bezpečnosti informací. Toto školení provede pověřený personalista společnosti neprodleně po podepsání pracovní smlouvy a následném nástupu do pracovního procesu. Postup při rozvázání pracovního poměru Pokud zaměstnanec, který odchází, z firmy používal pro výkon své funkce jakékoliv dokumenty v různých podobách, musí být zajištěno jejich úplné předání kompetentní osobě, která je pro tento proces určena. Dále tomuto zaměstnanci bude zablokovány přístupy do firemní sítě Maso Jičín s.r.o. včetně elektronického čipu Ochrana důvěrných firemních informací Rozdělení informací podle jejich důležitosti Firemní informace (smlouvy, dokumenty, doklady) dělíme na Veřejné a Neveřejné. Veřejnými informacemi rozumíme takové, které jsou volně dostupné všem osobám napříč firmou i mimo firmu. Neveřejnými informacemi rozumíme takové, které musí být chráněny v zájmu firmy. Jsou určeny pouze omezenému okruhu uživatelů a jsou pro ně stanoveny tři stupně ochrany: Pro interní potřebu Důvěrné Přísně důvěrné 75

87 Obecně s důvěrnými informacemi se musí zacházet podle potřeby jejich ochrany. Nezáleží, jakém nosiči informací jsou zaznamenávány nebo šířeny. Autor informace musí tuto informaci zařadit do správné třídy ochrany, odpovídajícím způsobem označit a toto označení spolu s informací odpovídajícím způsobem chráněné předat dál skrze firmu. Příjemce informace musí nakládat s informací podle metodiky zařazené informace. Pokud jsou společně rozdělovány informace různé klasifikace, platí regulace vždy pro příslušné nejpřísnější existující zařazení. Po označení zprávy musí být třída ochrany pro příjemce okamžitě rozpoznatelná. U písemných dokumentů musí být dovětek klasifikace zřetelně čitelný a umístěný na dobře viditelném místě. U dokladů na papíře, případně elektronických verzích musí být nápis umístěn minimálně na titulním listě. Zakládací fólie musí být označeny na každé straně. Nosiče dat jsou označovány na obalu a nejlépe přímo na nosiči. Uložení důvěrné firemní informace nesmí být ukládány na soukromé nosiče dat. Důvěrné firemní informace nesmí být odesílány směrem do internetu (například přes soukromý ). Jakákoliv informace o obchodních partnerech nebo třetích osobách, které jsou předávány skrze obchodní vztahy, se musí nakládat jako s důvěrnou. Zacházení s informacemi stupně Pro interní potřebu Informace nesoucí označení Pro interní potřebu se používá pro důvěrné firemní informace, jejichž nežádoucí odhalení nebo předání třetím osobám může způsobit ztráty na vrub firmy. Zpravidla to mohou být informace, které jsou přístupné většímu okruhu zaměstnanců, ale nejsou určeny osobám mimo firmu, například: Interní ová komunikace mezi odděleními Interní příkazy, oběžníky Interní informace jako cenové nabídky, přehled odběrů, plány výroby Takové to podklady na papíře, nosičích datech či elektronických dokumentech musí být jasně označeny nápisem "Pro interní potřebu". 76

88 Takto označená informace zařazené do této kategorie smí být rozdělována výhradně skrze firmu Maso Jičín s.r.o. V případě potřeby odeslání obchodnímu partnerovi této informace musí být písemně stanoveny podmínky a upozornit na důležitost ochrany. V případě zasílání externí službou musí být na tento dokument použita neprůhledná obálka. Elektronická komunikace bez šifrování je povolena. Pro telefonickou komunikaci není žádné omezení. Takto označená informace může být uložena na firemním intranetu. V případě potřeby tuto zprávu vynést mimo firmu musí být zabezpečena proti nepovolaným osobám. Pro smazání elektronické informace nemusí být použito speciálních funkcí. Pro papírovou formu se musí zabránit tomu, aby se takovéto poklady nedostaly do nepovolaných rukou. Pro takovýto účel lze použít skartovací zařízení. Při vhození do koše musí být papír s dokumentem minimálně roztrhán. Nosiče dat musí být buď vymazány, nebo fyzicky zlikvidovány, například rozlomením CD nosiče nebo jeho poškrábáním. Zacházení s informacemi stupně Důvěrné Označení informace Důvěrné se používá pro důvěrné firemní informace, jejichž nežádoucí zveřejnění nebo předání třetím osobám může způsobit nemalé finanční škody, nebo dobré pověsti firmy. Zpravidla sem patří informace, které jsou důležité pro výrobní a obchodní část firmy. Zejména tak informace cenné pro přímou konkurenci firmy, například: Přehled rozvozních linek Ceníky jednotlivých odběratelů Nákupní ceny suroviny Výrobní výkazy Cenové kalkulace Smlouvy s dodavateli, odběrateli Osobní data zaměstnanců, která je třeba chránit ve smyslu národních zákonů na ochranu dat. 77

89 Kopie, zabezpečení dat a archivace důvěrných informací. Podklady, nosiče dat musí být označeny nápisem Důvěrné na titulní straně. Elektronické dokumenty musí být označeny nápisem Důvěrné na každé straně Důvěrné informace mohou být předávány pouze určitému okruhu zaměstnanců stanovené autorem, kteří v rámci pracovní náplně musí být obeznámeni těmito informacemi. Pro zlepšení evidence by měl být veden rozdělovník. Kopie těchto informací se smí provádět pouze po odsouhlasení s autorem zprávy. Pro zasílání informací v papírové podobě domácí nebo externí poštou se musí používat uzavřená a neprůhledná obálka. Interní elektronický přenos prostřednictvím elektronické pošty musí být šifrován stanovenou metodou. Pro elektronický přenos externím obchodním partnerům musí být ověřena možnost kódování. Důvěrná informace musí být archivovány a při elektronickém ukládání přiměřeně chráněny proti přístupu nepovolaných osob. Při použití informací mimo areál firmy musí být zajištěna ochrana proti nepovolaným osobám. Mobilní zařízení je třeba vybavit například šifrováním disku. Papírové podklady musí být skartovány pomocí zařízení bezpečnostního stupně 3. Elektronicky ukládané informace se mohou mazat pomocí běžných funkcí k tomu určených. Nosiče dat musí být vymazány nebo fyzicky zničeny. Vadné nosiče dat, které nemohou být vymazány, musí být zničeny. To platí i pro případy v záruční lhůtě. Pokud je nosič dat požadován výrobcem výměnou za nový zpět, musí výrobce zabezpečit důvěrné zacházení s daty na tomto nosiči. Zacházení s informacemi stupně Přísně důvěrné Označení informace Přísně důvěrné se používá pro důvěrné firemní informace, jejichž nežádoucí zveřejnění nebo předání třetím osobám může způsobit velmi těžké škody pro obchodní strategii firmy, ovlivnění kursu akcií nebo těžké poškození pověsti firmy. Tyto informace jsou obvykle informace, které mají velký význam dopad na rentabilitu a další existenci celé firmy například: Strategie firmy Inovace výroby 78

90 Plánované fúze Informace stejné důvěrnosti od obchodních partnerů Informace, které mohou ovlivnit kurz akcií Kopie, zabezpečených dat a archivace přísně důvěrných informací Podklady na papíře, nosiče dat nebo elektronické dokumenty musí být označeny nápisem Přísně důvěrné na každé straně. Přísně důvěrné informace mohou být přístupné pouze přesně stanovenému okruhu osob. Dodatečně musí být zaznamenáno: Pořadové číslo přidělené v rozdělovníku příjemci Datum a čas, kdy byla informace rozesílána Poznámka Nekopírovat" Informace tohoto druhu se nesmí za žádných okolností kopírovat. Auto této zprávy musí registrovat každý exemplář pod pořadovým číslem u papírové formy nebo na nosiči dat. Musí se vést evidence rozdělovníku a seznam přístupu, ze kterého bude patrné, jaký byl celková náklad a přiřazené příjemci této zprávy. Další šíření přísně důvěrných informací osobám mimo firmu nesmí být provedeny. Pro zasílání takových to zpráv se musí používat dvě neprůhledné obálky. - Vnitřní obálka musí nést dodatek Přísně důvěrné. Vnitřní obálka musí být uzavřena přelepkou s podpisem a razítkem. Při použití externí služby pro zaslání podkladů na papíře nebo datových nosičích se musí využít služby k tomu vhodné, jako je například zapečetěný cenný dopis. Před elektronickým přenosem externím obchodním partnerům musí být zajištěno šifrování této zprávy. Vždy se musí prověřit doručení zásilky. Přísně důvěrné informace musí ukládány a přiměřeně chráněny proti přístupu nepovolaných osob. S uloženými elektronickými informacemi musí být nakládáno jako s přísně důvěrnými nosiči dat. Jakákoliv ztráta se musí okamžitě nahlásit. Mobilní zařízení se musí výhradně používat se šifrovacími funkcemi. Při likvidaci takových to dokumentů musí být použity bezpečné metody likvidace. Zničení by se mělo provádět za osobního dozoru autorizované osoby, která o celém průběhu provede záznam. Papírová forma musí být zničena na 79

91 skartovacím zařízení bezpečnostního stupně 4. Elektronicky ukládané informace mohou být mazány pomocí klasických metod, pokud je zajištěno, že k datové paměti nemá možnost přístupu žádná neoprávněná osoba, která by tyto data mohla pomocí daných metod obnovit. Nosiče dat musí být vymazány nebo fyzicky zničeny. Vadné nosiče dat, které nemohou být vymazány, musí být zničeny v rámci firmy Zásady bezpečného používání u Použití ové komunikace je spojeno s řadou rizik a je třeba vždy dodržovat základní pravidla pro snížení těchto rizik. Především je nutné využívat pouze ke služebním účelům. Soukromá pošta bývá nejčastějším zdrojem problémů s bezpečností, jelikož soukromé y nejsou dostatečně zabezpečeny. Je výslovně zakázáno zneužívat služební poštu pro soukromé účely. Pravidla pro odesilatele u Odesílaný musí být vždy verifikován odesílatelem, aby byla identita odesilatele jasně prokazatelná. Odesílání důvěrných a přísně důvěrných informací musí být zabezpečeno archivací příloh pod heslem. Velikost přílohy by měla být vždy úměrná k přenosu dat. Pravidla pro příjemce u Přístup k ové schránce může mít pouze majitel nebo jím pro zastupování stanovená osoba. Všechny pokusy neoprávněně číst, mazat, kopírovat, měnit, dekódovat nebo přeposílat y jiných uživatelů, jsou výslovně zakázány Hesla Volba hesla a jeho utajení před zneužitím jsou základním předpokladem zabezpečení systémů firmy Maso Jičín s.r.o. Na nutnost dodržování pravidel pamatuje i vyhláška 316/2014, kde jsou tyto pravidla přesně definována a každá firma včetně jejich zaměstnanců by se jimi měla přesně řídit. 80

92 Vytvoření hesla Heslo se musí skládat z kombinace velkých nebo malých písmen, číslic a zvláštních znaků. Heslo musí mít minimálně osm znaků. Pro heslo se nesmí používat identifikace uživatele, název firmy apod. Silná hesla Silným heslem se rozumí velice složitě zjistitelné heslo. Zpravidla se jedná o kombinaci malých a velkých písmen, číslic a speciálních znaků, přičemž každý z těchto elementů musí být v hesle obsažen. Minimální délka silného hesla je 16 znaků. Ukládání hesla Záznamy o heslech musí být chráněny před zneužitím. Je výslovně zakázáno zapisovat si heslo na viditelné místo a to například, poznamenáním tohoto hesla na lístek umístěný v rohu monitoru počítače. Změna hesla Povinností uživatele je měnit si heslo jednou za 90 dní, ideálně jednou za měsíc. Heslo předdefinované správcem sítě, nebo systémem si uživatel musí změnit při prvním přihlášení do firemní sítě. Dále by heslo mělo být změněno ihned, pokud nastane některý z těchto případů: existuje-li podezření, že by heslo mohlo být zdiskreditované vlastník hesla ukončí pracovní poměr Přístup dat v počítačové síti firmy Data v elektronické podobě je možné ukládat na síťové disky (datová úložiště) v počítačové síti firmy. Správce sítě vytvořil několik míst pro bezpečné uložení dat a technicky zajistil možnost řízení přístupu k těmto datům. 81

93 Autentifikace uživatele Jednoznačná identifikace uživatele přistupující k datům na síti firmy je zajištěna nutností přihlásit se do této sítě. Žádná data nejsou na této síti přístupná bez korektního přihlášení a ověření hesla uživatele řídícím serverem DC na této síti. Síťové disky Po korektním přihlášení daného uživatele do sítě firmy se uživateli na mapují tyto síťové disky závislé na typu daného uživatele podle zařazení do daného oddělení: disk U: - domácí adresář uživatele. Do toho datového úložiště má úplný přístup pouze přihlášený uživatel. Tyto data jsou pravidelně zálohována. disk N: - sdílené datové úložiště pro konkrétní oddělení. Každé oddělení ve firmě má svůj vlastní síťový disk. Také tato data jsou každý den zálohována. Definice přístupu k datům Rozlišujeme tři druhy přístupů: přístup je zakázán uživatel nemá k těmto datům žádné oprávnění přístup jen pro čtení uživatel může data pouze číst, ale je mu znemožněno tyto data jakkoliv upravovat či kopírovat. plný přístup uživatel může data číst a měnit jejich obsah. S tímto oprávněním může uživatel v datovém úložišti vytvářet nové soubory Počítačové viry Vědomé šíření počítačových virů je přísně zakázáno. Porušení tohoto zákazu povede k pracovně právním důsledkům. Antivirové programy k detekci a odstranění počítačových virů jsou v kompetenci správce sítě. Uživatel musí být obezřetný a na možný výskyt počítačových virů včas upozornit správce sítě. Varovná upozornění spojené s počítačovou bezpečností může vydávat jen správce sítě. 82

94 Zálohování dat Zálohování síťových i lokálních dat firmy Maso Jičín s.r.o. řeší plán záloh stanovený IT oddělením firmy Maso Jičín s.r.o., který je přesně definovaný ve výše uvedené kapitole Měřítko úspěšnosti Nedochází ke zneužívání dat společnosti firmy Maso Jičín s.r.o. Data jsou dostupná pouze oprávněným osobám firmy. Dokumenty jsou označeny příslušným stupněm důvěrnosti podle výše uvedených pravidel Uživatelé mají k dispozici prostředky usnadňující utajení dat a informací bez omezení jejich pracovní činnosti. 83

95 12 Aktuální hrozby a ochrana osobních údajů Pevně věřím, že po aplikování všech výše uvedených změn budou naše data mnohem víc zabezpečena a chráněna jak proti úniku dat, tak i z hlediska napadení škodlivého softwaru. Ale ne všemu se dá zabránit a musíme čím dál více problémům jít naproti a předvídat je. Jako hlavní hrozby pro naše data vidím dva faktory. Oba jsou poměrně dost závažný a úplně 100 % se jim nedokážeme ubránit. První a hlavní nebezpečí vnímám jako možný únik dat směrem ke konkurenci. Proto se snažíme v rámci systému uživatelům zpřístupnit jen ty data, která nezbytně potřebují pro svoji práci. Druhý faktor, o kterém se zmíním, je dnes často zmiňovaný a diskutovaný útok Ransomware, proti kterému snad patří pravidlo zálohovat a být neustále ve střehu Únik na úrovni uživatele Naše firma se pohybuje v docela ostrém konkurenčním boji a každá výhoda, kterou konkurence získá pro svůj prospěch, je považovaná za začnou výhodu. Je málo pravděpodobné, aby si konkurenční firma objednala nějaký sofistikovaný hackerský útok na náš systém a tím se i pokusila získat naše data. Spíše daleko pravděpodobnější je únik dat na úrovni řídícího managementu a obchodu, kde má uživatel v ruce poměrně důležitá a lehce zneužitelná data. Zabezpečení proti těmto únikům se dle mého moc udělat nedá. Ale snažíme se udělat alespoň nějaká opatření. Úrovní máme hned několik. První a nejúčinnějším nástrojem je již zmiňovaná selekce dat na úrovni informačního systému, kde uživatel vidí jen potřebná data pro svoji pozici. Příkladem může být například obchodní zástupce. To je v našem prostředí asi nejrizikovější skupina, kde může nastat únik dat směrem ke konkurenci. Níže uvedu jako příklad výčet některých pravidel, která pro tuto skupinu obchodu spadají: Na úrovní ERP systému tento uživatel vidí jen své zákazníky, nemůže si v rámci informačního systému prohlédnout, vytisknout sestavu s daty jiných zákazníků než svých. V rámci souborového systému má práva jen k daným složkám v rámci skupiny, nedokáže se tedy dostat například k osobní složce s daty ekonoma. 84

96 Pro práci s notebookem má zakázáno v režii antivirového programu používání USB zařízení. Tato funkce se již předdefinována při instalaci antivirového programu přes konzoli Eset Remote Administrator, dále jen ERA. Toto nastavení má v sobě skryté hned dvě výhody. Za prvé uživatel nemůže infikovat osobní počítat zavirovaným přenosným diskem, který si přinese z domů. A za druhé nedokáže zkopírovat data ze svého počítače na toto přenosné datové zařízení. U obchodních zástupců je i velké riziko odcizení osobního počítače z automobilu, proto plánujeme nasadit i šifrování disku v rámci používání přenosných počítačů. Od firmy Eset nám byl nabídnut software Deslock, ale zatím ještě rozhodnuti nejsme Ztráta dat následkem útoku Další a daleko pravděpodobnější způsob, jak bychom mohli ve firmě ztratit data, je útok často v mediích zmiňovaného Ransomwaru. V této kapitole se krátce zmíním, jaká rizika z toho vyplývají a jak se tomuto útoku snažit vyvarovat Historie Kde se vůbec první Ransomware vzal? První zmínka sahá až do roku 1989 pod názvem AIDS trojan, někdy také nazývaný pod názvem PC Cyborg. Autorem viru byl Dr. Joseph Popp (nyní AMREF - Flying Doctors ). V této době se vir šířil pomocí disket. Vir se tvářil jako software, že určitému softwaru v počítači vypršela licence, zašifroval soubory na disku, a vyžadoval po uživateli platbu ve výši 189 amerických dolarů do PO boxu Panamě firmě pod názvem PC Cyborg Corporation za odemknutí systému. Autor viru byl později prohlášen za duševně chorého, aby se vyhnul soudu, zapřísáhl se věnovat tak vydělané finanční prostředky věnovat na výzkum stejnojmenné nemoci. Další zmínka stojí na nešifrovací ransomware, který se objevil v České republice také někdy nazývaný jako policejní virus. Tato událost se datuje k roku Lokalizován byl během roku Vir blokoval jen přistup do systému Windows. Důležité je, že nešifroval žádná data na disku. Jak plynul čas, postupně se 85

97 zkvalitňoval překlad, a tak se zpráva stávala stále důvěryhodnější. Dá se říci, že se v této variantě a v různých obměnách objevil po celém světě. Obrázek 9 - Screen policejní virus, zdroj Během srpna v roce 2010 zatkly ruské složky okolo deseti osob napojených na skupinu, která šířila červa WinLock. Na rozdíl od předchozího červa Gpcode, WinLock nepoužíval šifrování. Místo toho WinLock jednoduše zamezil přístupu do systému zobrazením pornografických obrázků, výhružky typu odnětí svobody za porušení práv, objevovala se i zpráva s fotkou samotného uživatele pořízené s webkamery, to samozřejmě důvěryhodnost celé zprávy umocňovalo a vyzval uživatele k zaslání prémiové SMS za cenu okolo 10 dolarů. Za tuto SMS uživatel získal kód, který mohl být použit k odemčení počítače. Podvod zasáhl velký počet uživatelů po celém Rusku a sousedních zemích. Podle zpráv získala skupina okolo 16 milionů dolarů. 41 (vložit citaci wiki). V roce 2011 se objevovala uživatelům hláška na upozornění Windows Product Activation, které informovalo uživatele systému Windows, aby si systém znovu aktivovali. Program se tvářil jako skutečná aktivace Windows. Ale on-line 41 Ransomware. Ransomware Wikipedie [online]. [cit ]. Dostupné z: 86

98 aktivace byla nefunkční, tedy uživatel musel systém aktivovat pomocí telefonní linky, která je zdarma. Ale hovor byl převeden přes dalšího operátora s vysokými tarify za mezinárodní hovory. Ten hovor zdržoval a účtoval uživateli velké částky za mezinárodní hovory. Zásadní zvrat během roku 2013, kdy se objevil první ransomwarový červ založený na systému šifrování dat. Nejznámější Cryptolocker a další. Postupnějí se stále zdokonalovaly jeho mutace. Čím dál používané lepší šifrování s daleko menšími šancemi použít po napadení decryptorů od antivirových společností. V České republice hojně šířený například přes uložto.cz, nabízející se pod zaručeným crackem pro Microsoft Office 2013 nebo pro Microsoft Windows 7. Obrázek 10 - Virus před stažením, zdroj 87

99 Obrázek 11 - Infikovaný počítač, zdroj: vlastní zpracování Časem se samozřejmě objevují další varianty jako uživateli podsunout zaručenou zprávu. Starý fígl, ale v novém kabátě. Ransomware Locky, šířené přes ovou poštu, tvářící se například jako neškodná faktura za neobjednané zboží, kde v příloze uživatel najde soubor faktura.docx, proč ho tedy neotevřít. Určitě mnozí z Vás si vzpomenou na makroviry. Červ využije autoopen makra stažení infikovaného EXE z internetu a spuštění. Následek už všichni známe. Mnoho verzí se také šířilo pomocí u se zprávou dohledání zásilky u pošty atd. Obrázek 12 - Hláška po otevření infikovaného souboru, zdroj: vlastní zpracování Problémy Ransomwaru z pohledu antivirových společností, které stále více stěžují detekci této havěti. změna viru z hlediska infekce per install / per download 88

100 horizontální granularita havěti obálky kryptik ztížit detekci (triky proti emulaci kódu, neběží na virtuálním prostředí,...) ztížit analýzu funkcionality zvýšit variabilitu proměnlivý klíč analogicky: ZIP archiv pokaždé s trochu jiným formátem a jiným heslem, nic Obrázek 13 - Hláška po otevření infikovaného souboru, zdroj: vlastní zpracování se neopakuje Ochrana osobních údajů Téměř každá firma přijde do kontaktu s osobními údaji. Ať už se jedná o zákazníky firmy, nebo o klienty či partnery hrozí riziko hackerů a prolomení ochrany. Ze strany útoků může jít buď o poškození pověsti firmy, nebo o cílenou snahu získání nejen citlivých údajů. Týká se to také databází, které jsou tvořeny za účelem oslovení potencionálních zákazníků či rozesílání e-letterů. Ze strany státu existuje dokonce zákon, který nařizuje ochranu osobních dat GDPR Zlomový moment z hlediska ochrany údajů bude květen 2018, kdy vstoupí v platnost nová legislativa schválena Evropskou unií. Konkrétně se jedná o General Data Protection Regulation (dále jen GDPR), která se zabývá zvýšením ochrany osobních dat občanů EU. Legislativa byla schválena 27. dubna 2016 a vstoupí v platnost 25. května Cílí na všechny firmy i jednotlivce, kteří pracují s osobními daty uživatelů. Větší ochrana bude zajištěna díky jednosti pravidel pro celou EU a (a Islandu, Norska a Lichtenštejnska). Celá legislativa je postavena na vysokých pokutách 89