Sem vložte zadání Vaší práce.
České vysoké učení technické v Praze
Fakulta informačních technologií
Katedra softwarového inženýrství
Diplomová práce
Analýza informačního zabezpečení NTK a
návrh implementace komplexních pravidel
informační bezpečnosti
Bc. Adam Pechánek
Vedoucí práce: Ing. Václav Jansa
9. května 2012
Poděkování
Rád bych poděkoval vedoucímu oddělení provozu IT, panu Ing. Václavu Jansovi, za drahocenný čas, který mi věnoval za účelem vysvětlení problematiky
ICT v tak velké organizaci, jako je NTK.
Prohlášení
Prohlašuji, že jsem předloženou práci vypracoval samostatně a že jsem uvedl
veškeré použité informační zdroje v souladu s Metodickým pokynem o dodržování etických principů při přípravě vysokoškolských závěrečných prací.
Beru na vědomí, že se na moji práci vztahují práva a povinnosti vyplývající
ze zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů,
zejména skutečnost, že České vysoké učení technické v Praze má právo na
uzavření licenční smlouvy o užití této práce jako školního díla podle § 60
odst. 1 autorského zákona.
V Praze dne 9. května 2012
.....................
7
České vysoké učení technické v Praze
Fakulta informačních technologií
c 2012 Adam Pechánek. Všechna práva vyhrazena.
Tato práce vznikla jako školní dílo na Českém vysokém učení technickém
v Praze, Fakultě informačních technologií. Práce je chráněna právními předpisy a mezinárodními úmluvami o právu autorském a právech souvisejících
s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných licencí, je nezbytný souhlas autora.
Odkaz na tuto práci
Adam Pechánek. Analýza informačního zabezpečení NTK a návrh implementace komplexních pravidel informační bezpečnosti: Diplomová práce. Praha:
ČVUT v Praze, Fakulta informačních technologií, 2012.
Abstract
The main task of this thesis is to make the ICT security analysis of the National technical library. It should also point out overview of used software, including responsible persons. The same applies to servers and security of access.
It also offers solutions to identified deficiencies, including project implementation.
Keywords Computer network, server, workstation, printer, topology, network administration, terminal system, security audit, network security, OS
security, security of access
Abstrakt
Práce má za úkol provést analýzu ICT zabezpečení Národní technické knihovny.
Součástí je vytvoření přehledu o používaném SW, včetně zodpovědných osob.
Stejně tak serverů a zabezpečení jejich přístupu. Zároveň nabídne řešení zjištěných nedostatků a to včetně návrhu projektu pro implementaci.
Klíčová slova Počítačové sítě, Server, Pracovní stanice, Tiskárny, Topologie, Správa počítačové sítě, Terminálový systém, Bezpečnostní audit, Zabezpečení sítě, Zabezpečení OS, Zabezpečení přístupu
9
Obsah
Úvod
17
1 O Národní technické knihovně
19
1.1 Základní informace . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.2 NTK z pohledu IT . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 Analýza současného stavu
2.1 Používané technologie .
2.2 Používaný software . . .
2.3 Skupiny uživatelů . . . .
2.4 Závěr analýzy . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
25
25
34
41
43
3 Praktická část
3.1 Použitý software . . . . . . . . . . . . . . . . .
3.2 Příprava na bezpečnostní analýzu . . . . . . . .
3.3 Analýza sítě z veřejně dostupných přístupových
3.4 Analýza sítě bez omezení firewallem . . . . . .
. . . .
. . . .
bodů
. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
45
45
45
46
47
4 Návrh pravidel bezpečnosti
4.1 Zabezpečení sítě . . . . .
4.2 Zabezpečení OS . . . . . .
4.3 Zabezpečení přístupu . . .
4.4 Monitorování provozu . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
49
49
53
54
60
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Závěr
69
Seznam použité literatury
71
A Detailní seznam fyzických serverů (neveřejné)
73
B Detailní seznam virtuálních serverů a hostovaných systémů
(neveřejné)
75
C Detailní seznam používaného software (neveřejné)
77
11
D Výsledek skenování sítě aplikací Nessus v5 (neveřejné)
79
E Návrh projektu „zabezpečení ICT v NTK“ (neveřejné)
81
F Obsah přiloženého CD
83
12
Seznam obrázků
1.1
1.2
1.3
1.4
Budova NTK . . . . . . . . . . . . .
Učebna ČVUT s terminály SUN . .
Terminály v NTK . . . . . . . . . .
Používané diskové pole HP Eva 6100
.
.
.
.
20
21
21
22
2.1
2.2
2.3
2.4
2.5
Topologie sítě NTK . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipping Point 2400E . . . . . . . . . . . . . . . . . . . . . . . . . .
3Com MAP 3850 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servery HP ProLinat BL680c a 460c . . . . . . . . . . . . . . . . .
Současné počítače - HP Compaq 8200(zaměstnanci) a HP xw4600
(studovny) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tenký klient HP T5540 Thin . . . . . . . . . . . . . . . . . . . . .
Veřejné tiskárny HP Color LJ CM6030MFP a HP LJ M4345 . . .
Schéma přenosu identit a autorizace uživatelů . . . . . . . . . . . .
26
27
28
29
2.6
2.7
2.8
3.1
. . . . . . .
. . . . . . .
. . . . . . .
- kontrolery
. . . . .
. . . . .
. . . . .
HSV200
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
32
33
35
36
3.2
Webové rozhraní Nessus - parametry prováděného testu (u náhodné
sítě) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Webové rozhraní Nessus - přehledný výsledek testu (u náhodné sítě) 48
4.1
4.2
4.3
4.4
4.5
4.6
4.7
Schéma ověřování 802.1x . . . . . . . . .
Princip fungování centrálního logovacího
Aplikace TeamPass . . . . . . . . . . . .
První přihlášení do aplikace TeamPass .
Nastavení zásad auditu v MS Windows
Aplikace AuditPro . . . . . . . . . . . .
Výstup monitoringu uživatele v grafech
. . . . .
serveru
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
50
52
58
60
64
65
66
13
Seznam tabulek
2.1
2.2
2.3
2.4
Rychlý seznam fyzických serverů . .
Seznam virtuálních strojů . . . . . .
Seznam OS instalovaných na servery
Pracovní stanice v NTK . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
30
31
31
32
4.1
4.2
4.3
4.4
Rozdělení pracovníků provozu IT do skupin
Nastavení DB pro TeamPass . . . . . . . .
Aktivace účtování procesů (obecně) . . . . .
Aktivace účtování procesů RedHat a SuSE .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
57
60
62
62
15
Úvod
Každá moderní a konkurenceschopná organizace by měla využívat služeb
ICT1 , a to jak pro svůj běh, tak především k poskytování vnějších služeb.
Prakticky všechny části business procesů lze spravovat a zefektivnit pomocí
různých podnikových systémů, jež jsou nedílnou součástí ICT. Avšak každá
služba může být zneužita či podrobena útoku. V případě provozování ICT
jsou největším rizikem uživatelé a administrátoři. To díky riziku prolomení či
zneužití jejich hesel a následnému přístupu k veřejně nepřístupným zdrojům.
Navíc snadná dostupnost pokročilých nástrojů (ať už k zjištění hesel či jen
monitorování infrastruktury sítě) dává dnes do rukou i obyčejným lidem mocný
nástroj k narušení sítě či bezpečnosti strategických dat.
Další potenciální hrozbou je škodlivý software. Napadnout počítačový systém viry není vůbec složité. Díky nerozvážnosti uživatelů je možné získat kontrolu nad pracovní stanicí pouhým procházením internetu, nebo například
otevíráním nevyžádané pošty obsahující škodlivý program. A tak denně může
být nesprávně zabezpečené firemní systémy napadnuty jedním (nebo rovnou
několika) z více než milionu virových mutací.
Posledním rizikem je nedodržování doporučených postupů. To se projevuje
například tak, že administrátoři nemění defaultní hesla, nebo je sdílí mezi více
zaměstnanci. Často také neodebírají přístupy zaměstnancům, kteří je již ve své
nové pracovní pozici nepotřebují a nebo dokonce už společnost opustili.
Abychom rizika co nejvíce minimalizovali, je potřeba definovat bezpečnostní pravidla a zároveň donutit administrátory a další zaměstnance se těmito pravidly řídit.
V diplomové práci se budu věnovat analýze zabezpečení Národní technické
knihovny. Výsledkem této analýzy prostředí, odpovídající dokumentace a konzultací s jednotlivými administrátory bude vytvoření metodických postupů a
návrhu projektu pro implementaci a to včetně časového plánu, personálních
nároků a kontrolních bodů realizace. Úvodní analýza rizik pak bude srovnána
s navrhovanými opatřeními. Součástí práce bude také zhodnocení časové náročnosti a míry pokrytí rizik.
1
ICT je z anglického Information and Communication Technologies zkratka pro informační a komunikační technologie, které se používají za účelem komunikace a práci s informacemi.
17
Úvod
Vzhledem k okolnostem (požadavek zadavatele) obsahuje práce neveřejné
přílohy. Tyto přílohy však v obsahu uvádím, neboť k práci patří.
18
KAPITOLA
O Národní technické knihovně
1.1
Základní informace
Národní technická knihovna (dále jen NTK) je příspěvková organizace (zřizovatelem je ministerstvo školství), která dříve pod názvem Státní technická
knihovna sídlila v pražském Klementinu. Především z kapacitních důvodů byly
v roce 2006 zahájeny stavební práce na vybudování nových prostor NTK. Dalším důvodem mělo být slučování s knihovnami ČVUT a VŠCHT 2 . V roce 2009
se pak nově postavená knihovna v areálu vysokých škol v Dejvicích otevřela
veřejnosti.
V současnosti se jedná o největší technickou knihovnu v české republice,
obsahující více než 400 tisíc publikací ve volném výběru a to především z
oblasti techniky a aplikovaných přírodních a společenských věd. Celkem zde
naleznete přes milion svazků v podobě knih, časopisů, vědeckých prací aj. To
vše rozprostírajíc se na 38 000 metrech čtverečních užitkové plochy. Budovu
mimo jiné využívají okolní vysoké školy – ČVUT i VŠCHT zde mají svou
ústřední knihovnu, učebny či přednáškový sál. Uvnitř se také nachází pobočka
městské knihovny pro Prahu 6.
1.2
NTK z pohledu IT
V národní technické knihovně bylo v roce 2011 zaměstnáno na 156 osob
pracujících v osmi různých odděleních. Lze tedy říci, že se jedná o středně
velkou organizaci. Počet uživatelů je však daleko vyšší a to díky čtenářům,
kteří mají při návštěvě možnost využít přítomných terminálů, či studentům,
jež se mohou připojit na bezdrátovou síť. Ve špičce dosahuje vytíženost bezdrátových přístupových bodů okolo 500 až 700 uživatelů. Především zvídaví
2
Zatímco u ČVUT se tak stalo jen prostorově, u VŠCHT je integrace pripravovana v
horizontu jednoho roku.
19
1
1. O Národní technické knihovně
Obrázek 1.1: Budova NTK
studenti, tvořící 60% z téměř 12 500 (aktivních) registrovaných čtenářů, mohou představovat určité nebezpečí. Ti navíc, společně se zaměstnanci ČVUT
a VŠCHT, mají přístup přes své školní karty do budovy a také do sítě přes
Eduroam.
Kromě 170 pracovních stanic, které využívá většina ze zaměstnanců, je
k dispozici 165 terminálů. Mimo ně ještě zákazníci knihovny používají i jednoúčelová zařízení (označované jako SelfCheck), jejichž uživatelské rozhraní je
čistě dotykové a slouží pouze k výpůjčkám a případně i příjmu knih. Vybaveny jsou RFID3 čtečkami (k rozpoznání přiložených knih a registrační karty)
a pokladní tiskárnou. Součástí celku SelfCheck je i robotizovaná vracečka a
třidička knih. Dále zde najdeme tiskový systém s multifunkčními tiskárnami a
cirka 70 počítačů v učebnách a studovnách. Nechybí dokonce ani 42 informačních kiosků, poskytující rychlý náhled na internet, tisk či prohlížení knihovních
zdrojů a katalogů.
Jak už bylo řečeno výše, v organizační struktuře NTK nejdeme celkem
osm oddělení, zabývající se digitalizací, projekty, marketingem a dalšími pro
chod organizace důležitými oblastmi. Ta všechna by se neobešla bez klíčových
aplikací, čítající přes 20 položek. Patří mezi ně například knihovní systém, cen3
20
RFID je technologie umožňující komunikaci s bezkontaktními kartami.
1.2. NTK z pohledu IT
Obrázek 1.2: Učebna ČVUT s terminály SUN
Obrázek 1.3: Terminály v NTK
21
1. O Národní technické knihovně
trum ISSN, rezervační a platební systém, evidence osob apod. S detailnějším
popisem se setkáme v jedné z dalších kapitol. Zde by měl být kladen důraz na
správně nastavené uživatelské skupiny, autorizace a další bezpečnostní prvky
související s přístupem.
Doba, kdy všechny aplikace byly instalovány na pracovních stanicích,
je už dávno ta tam. A tak se v takto velkých korporacích takřka všechny
aplikace instalují na aplikační servery. Tím se zajistí především jejich snadná,
centralizovaná správa. O bezproblémový chod se tak v útrobách NTK stará
více než 30 fyzických (a přibližně dvojnásobný počet virtuálních) serverů, provozovaných na různorodých operačních systémech.
Protože však ke každým aplikacím a databázím patří i data, musíme pro
ně najít vhodná, pravidelně zálohovaná úložiště. V případě NTK jsou data
ukládána na diskové pole osazené 86 disky s neformátovanou kapacitou 38
TB. Samozřejmostí je jejich pravidelná záloha.
Obrázek 1.4: Používané diskové pole HP Eva 6100 - kontrolery HSV200
Aby všechna zařízení spolu správně komunikovala, musí být mezi sebou
propojena do sítě. Primárně se v případě NTK setkáme s protokolem IPv4 a
to kvůli nekompatibilitě s některými klíčovými aplikacemi (Aleph, SFX, . . . ) a
zařízeními (IDS/IPS). Naopak zbylé webové služby i nové pracovní stanice už
dnes běžně využívají protokol IPv6. Co se týče fyzické sítě, ta je rozdělena do
několika virtuálních podsítí, oddělující od sebe jednotlivé logické celky, jako
jsou IP telefony, tiskárny, kiosky aj. Od Internetu jsou pak tyto sítě separovány
22
1.2. NTK z pohledu IT
firewally, které vytváří demilitarizovanou zónu. Ta zajistí větší bezpečí jak při
útoku z venku, tak (při vhodném nastavení) i pokusu o převzetí kontroly
nad servery zevnitř. Samotné připojení do Internetu je obstaráno pomocí sítě
CESNET. K dispozici je i několik bezdrátových sítí. Zákazníkům je poskytnuta síť NTK-simple, speciálně pro studenty je pak připravena síť Eduroam.
Zabezpečení této části se budu zabývat v dalších kapitolách.
Tímto jsem se pokusil vytvořit obecné povědomí o IT infrastruktuře
v NTK. Ačkoliv byla knihovna otevřena poprvé pro veřejnost už před třemi
lety, stále je možné narazit na místa, která si zaslouží z hlediska bezpečnosti
větší pozornost. Jak už to v praxi bývá, důležité je splnit termín a rozpočet –
ostatní věci lze v nouzi doladit za chodu. Možná i to byl ten důvod, proč jsem
dostal doporučení zabývat se zabezpečením NTK, jako bychom s budováním
IT infrastruktury teprve začínali.
23
KAPITOLA
Analýza současného stavu
2.1
Používané technologie
Obecný přehled o tom, jak NTK funguje a z jakých částí se skládá, jsme si
již vytvořili. Nyní se zaměříme na analýzu konkrétních technologických součástí. Především nás budou zajímat síťová zařízení, servery a pracovní stanice.
2.1.1
Síťové prvky
Základem každé počítačové sítě jsou síťové prvky. Jejich vhodné zabezpečení zamezí neoprávněnému přístupu do sítě, či podvrhnutí a dešifrování
bezpečnostních mechanismů během komunikace.
V NTK se setkáme se značkou 3Com a to díky nejlepší nabídce ve výběrovém řízení, kde figurovaly i značky jako HP a Cisco. Díky tehdejším podmínkám soutěže je dnes v NTK gigabitová síť, plně redundantní infrastruktura
nebo třeba sondy IDS a IPS. Nezanedbatelné jsou i náklady na spotřebu elektrické energie, jež jsou poloviční oproti řešení od HP a třetinové oproti Cisku.
Obrázek 2.1 nám zjednodušeně popisuje topologii sítě. Ta je vždy redundantní – jsou tak využity vždy minimálně dva komunikační spoje do různých
přepínačů a následně zabaleny do jednoho virtuálního.
2.1.1.1
Firewall
Prvním a nejdůležitějším článkem směrem z internetu je firewall. Ten je řešen jako dva H3C SecBlade moduly uvnitř 3com S7900E switche. K CESNETu
jsou připojeny oba moduly v režimu active standby. Obecnou úlohou tohoto
firewallu je oddělení demilitarizované zóny (vnitřní sítě) od internetové sítě.
Stejně tak zajišťuje zamčení portů, jež nejsou bezprostředně nutné k veřejné
25
2
2. Analýza současného stavu
Obrázek 2.1: Topologie sítě NTK
26
2.1. Používané technologie
Obrázek 2.2: Tipping Point 2400E
komunikaci se systémy uvnitř sítě. Firewally zajišťují také NAT a SNAT4 . Interní síť je zcela provozována na privátních adresách 10.0.0.0/8. Venkovní síť
má 1,5 C rozsahu pro potřeby knihovny a 32 adres na eduroam a konferenční
použití (to kvůli licencím na EIZ5 ).
2.1.1.2
IDS/IPS sondy
Přístup do každé větší sítě by neměl chránit pouze firewall, ale také aktivní
prvky, které pomohou detekovat útok a případně na něj i rovnou zareagovat.
K tomu slouží systém IDS (pasivně) a IPS (aktivně). Zde je použita sonda
3COM Tipping Point 2400E, která úzce komunikuje s firewallem, monitoruje
otevřené porty a snaží se tak na případný útok reagovat. Komunikace aplikací uvnitř chráněné sítě je tímto částečně zabezpečena proti spyware, virům
a „nečistému“ datovému toku. Veškerý provoz je do sondy směrován z veřejných sítí knihovny (pomocí směrovacích pravidel) a samozřejmě také z oblasti
mezi knihovnou a internetem. Na náčrtu topologie sítě (Obrázek 2.1) je vidět
konfigurační server (SMS) pro TippingPoint.
2.1.1.3
Přepínače
Hlavním přepínačem, který se stará o rozvod sítě k dalším prvkům v patrech je tzv. CoreSwitch. Jedná se o model 3Com CS7910E (obsahující 2x
řídící kartu s 10Gbit linkami) a záložní 3Com CS7903E (s jednou 2port řídící
kartou). Osazena je 2x 10Gbit optická linka. Propojení se servery je řešeno
metalickými kabely redundantně (a v případě záložního switche jednou linkou) do nezávislých karet a ideálně i switchů. Vzhledem k výše uvedenému je
patrné, že CoreSwitch je velmi důležitý prvek, kde je na bezpečnost a spolehlivost kladen velký důraz.
4
jako SNAT je většinou označován Source Network Address Translation (zdrojový překlad adres) - tedy protějšek NAT (Destination NAT)
5
EIZ neboli elektronické informační zdroje je souhrný název placených plnotextových
portálů z oborů techniky (například Springer, Wiley, Ebsco)
27
2. Analýza současného stavu
Ostatní rozvodny jsou řešeny řadou 3Com 5500G-EI a to buď v podobě
48-portových a nebo 24-portových switchů. U některých je pak z důvodů WiFi AP či kamerového systému využita varianta s Power-Over-Ethernet. Výjimečně jsou také zapojeny switche 3Com 4210, které slouží pouze k dokrytí
lokálních potřeb (režie sálu, studovny, apod.).
2.1.1.4
Routery
Další podstatnou součástí sítě jsou směrovače. Jejich funkci zastupují FireWall karty (směrem do vnější sítě). Přes ně je taky řízen loadbalancing6
pro Windows 2003 Terminálové Služby. Interní síť pak přepínají řídící karty
CoreSwitchů. Ty také provádí směrování mezi jednotlivými VLANy. Karty
jsou navíc v režime active, takže jejich celkový výkon se sčítá. Propojení jsou
řešena pomocí IRF7 do jediného virtuálního stohu s jednou IP adresou.
2.1.1.5
WiFi AP
Zázemí pro bezdrátové sítě je v NTK řešeno pomocí 130 přístupových
bodů typu 3Com MAP8 3850 podporujících standardy a / b / g. Dalších
8 přístupových bodů typu 3Com MAP 3950 je pak schopno distribuovat síť
prostřednictvím standardů a/b/g/n. V současné době je ve špičce připojeno
souběžně až 700 uživatelů. Vzhledem k tomu, že technicky je možné souběžné
připojení až 500 uživatelů na jedno AP a také díky vestavěnému loadbalancingu je toto řešení více než dostačující. Naopak kritickou částí je konstrukce
budovy, která při zajištění plošného pokrytí způsobuje zarušení centrálního
atria velkým množstvím vlastních signálů. S těmi se pak neumí vyrovnat jak
firmware wifi karet klientů, tak ani automacké nastavení kontrolerů.
Obrázek 2.3: 3Com MAP 3850
6
Load-balancing je anglický název pro rozložení zátěže. V případě 3Com MAP se jedná
o možnost předání určitého počtu klientů sousednímu přístupovému bodu, jenž není tolik
zatížen.
7
IRF vychází z anglické zkratky „Intelligent Resilient Framework“ a umožňuje pokročilé
stohování (sjednocování) na bázi virtualizace.
8
MAP je zkratka pro „víceúčelový“ přístupový bod, jenž vychází z anglického Managed
Acces Point. Oproti běžnému AP umožňuje například do režimu klient.
28
2.1. Používané technologie
2.1.2
Servery
Ačkoliv se v případě NTK jedná počtem zaměstnanců o středně velkou
firmu, tak počtem serverů se řadí spíše do vyšší kategorie. To především díky
službám, které poskytuje veřejnosti.
2.1.2.1
Fyzické servery
Fyzických serverů je k dnešnímu dni (01.4.2012) čtyřicet jedna. Většina z
nich je typu HP ProLiant BL460c ve verzi g5 a g6 a jsou využívány pro klíčové
systémy. Virtuální servery běží fyzicky na HP ProLiant BL680c g5. Dohledové
aplikace (management console) hostí servery HP ProLiant DL320 a k testování
slouží servery typu Intel Alief. O diskové pole HP EVA 6100 se stará server
HP ProLiant DL360. Služba iTV pro stream a data je k dispozici na HP
ProLiant DL380. A posledními zástupci jsou servery typu Intel SR1400 či
SR1600, jež jsou využívány k logování, anebo také jako zázemí pro Groupwise
NOVELL. Všechny servery Intel pomalu dosahujé konce své životnosti a v
rámci homogenizace prostředí budou nahrazovány virtuálními stroji. Detailní
popis fyzických serverů včetně IP adres, DNS jmen a operačních systémů
uvádí Příloha A: Detailní seznam fyzických serverů. Rychlý náhled pak
poskytne tabulka 2.1
Obrázek 2.4: Servery HP ProLinat BL680c a 460c
29
2. Analýza současného stavu
Tabulka 2.1: Rychlý seznam fyzických serverů
Fyzický server
HP ProLiant BL460c g5
HP ProLiant BL460c g6
# Běžící systémy
10 virtualbox, backupserver,
kamerový
systém, LDAP, IDM
Tomcat, OracleDB
9 KVM, safeQ, Terminálové služby
HP ProLiant BL680c g5
6
VMWare, XEN, MS
SQL
HP ProLiant DL320
3
SetTopBox, Management console
Intel Alief XX
3
HP ProLiant DL360
1
HP ProLiant DL380
Intel H1260
Intel SR1400
Intel SR1600
1
1
1
1
Dell PowerEdge XX
1
Testovací prostředí
pro systémy
Správa
diskového
pole
iTV
Logovací server
Groupwise NOVELL
Testovací prostředí
Shibboleth
Správa EKV
2.1.2.2
Operační systémy
RHEL 5 (7x), Windows 2003 (2x), Solaris 10 (1x)
Windows 2003 (4x),
RHEL 5 (3x), RHEL
6 (3x)
RHEL 5 (3x), VMWare (2x), Windows
2003 (1x)
Debian 5 (1x), Windows 2003 (1x),
RHEL 5 (1x)
RHEL 5 (3x)
Windows 2003
Debian 5
CentOS
SLES 10
RHEL 5
XX
Virtuální servery
U virtuálních serverů je situace co do počtu ještě rozmanitější. Celkem se
používá 66 virtuálních serverů a to na třech typech virtuálních strojů. Největší
zastoupení má Xen, který je rozložen na 3 nody zapojené do HA clusterů9
a hostuje 39 systémů. Dalšími jsou pak VMWare s 21 systémy. Poslední je
Kernel Virtual Machine s šesti systémy. Postupně se však na KVM migruje z
VMWare a s výhledem dvou let se na ní přesune i XEN. Přehled virtuálních
strojů ukazuje tabulka 2.2. Detailní přehled i s hostovanými systémy, jejich
operačními systémy, IP adresy apod. uvádí Příloha B: Detailní seznam
virtuálních serverů a hostovaných systémů.
9
High Availability cluster je anglický název pro skupinu počítačů, u kterých je očekávána
vysoká dostupnost (a minimální down-time)
30
2.1. Používané technologie
Tabulka 2.2: Seznam virtuálních strojů
Virtuální stroj
XEN
VMWare
KVM
2.1.2.3
Hostovaných
systémů
39
21
6
Hardware
HP ProLiant BL680c g5
HP ProLiant BL680c g5
HP ProLiant BL680c g6
Počet nodů
v clusterů
3
2
2
Serverové operační systémy
Jak nám demonstruje tabulka 2.3, klíčovou platformou je Red Hat Enterprise Linux v5. Nejenže poskytují vhodné podmínky pro virtualizaci, ale svou
roli hraje také licenční politika. Dnes je na serverech RHEL převážně ve verzi
5.6 – 5.8.
Dalším operačním systémem je MS Windows 2003 Server. Důvod, proč
tehdy již dostupné MS Windows 2008 servery nebyly použity je prostý – používané aplikace byly tehdy certifikované pro běh na Windows 2003 serverech
a také to, že Windows 2008 plně nepodporuje NT doménu, jenž je v heterogenním prostředí NTK využívána.
Ostatní OS mají spíše minoritní zastoupení a jsou použity hlavně kvůli
kompatibilitě se systémy, které jsou na nich provozovány.
Tabulka 2.3: Seznam OS instalovaných na servery
OS
Red Hat Enterprise Linux 5.X
Windows 2003
Red Hat Enterprise Linux 6.X
Debian 6
SUSE Linux Enterprise Server 11
SUSE Linux Enterprise Server 10
CentOS
Debian 5
VMWare
Windows 2008
Solaris 10
Windows XP
2.1.3
Počet
47
15
14
9
4
3
2
2
2
2
1
1
Pracovní stanice
Protože NTK je organizace ve státní správě, muselo být pro objednání
počítačů pro více než 150 zaměstnanců provedeno výběrové řízení. Jak je
patrné z předchozích kapitol, většinu těchto soutěží vyhrála v posledních pěti
31
2. Analýza současného stavu
letech společnost Hewlett-Packard. Proto i všech 253 stanic nese logo této
společnosti.
2.1.3.1
Hardware
Dodávka byla rozdělena do tří období a nahrazuje dosluhující počítače
Fujitsu-Siemens Esprimo z roku 2006. V roce 2008 společnost HP dodala 100ks
pracovních stanic HP Compaq dc7800SFF s operačním systémem Windows
XP. Ty byly určené především zaměstnancům.
V roce 2010 pak proběhla instalace 80ks počítačů HP xw4600 typu Workstation do místních studoven.
A naposledy, v roce 2011, bylo dodáno 63ks HP Compaq Elite 8200SFF a
10ks HP Compaq Elite 8200CMT s operačními systémy Windows 7. V obou
případech se jednalo o modernizace zaměstnaneckého počítačového parku, kdy
bylo možné vyřadit značně přesluhující počítače z let 2002 až 2005.
Tabulka 2.4: Pracovní stanice v NTK
HW
OS
HP
HP
HP
HP
Windows
Windows
Windows
Windows
Compaq dc7800 SFF
xw4600 workstation
Compaq Elite 8200 SFF
Compaq Elite 8200 CMT
XP
XP
7
7
Rok pořízení
2008
2010
2011
2011
#
100
80
63
10
Cílová skupina
zaměstnanci
studovny
zaměstnanci
zaměstnanci
Obrázek 2.5: Současné počítače - HP Compaq 8200(zaměstnanci) a HP xw4600
(studovny)
32
2.1. Používané technologie
2.1.3.2
Software
Základní softwarovou výbavu můžeme rozdělit do dvou kategorií – a to do
roku 2011 a od roku 2011.
Starší instalační balík obsahuje operační systém Windows XP, kancelářský
software MS Office 2003 Standard (výjimečně u 20ks MS Office 2007 Professional) a antivirový systém Kaspersky Endpoint Security 8 for Windows.
Od roku 2011 jsou pak počítače předávány s MS Windows 7, kancelářským
balíkem MS Office 2010 Professional a antivirový systém zůstává zachován,
tudíž Kaspersky Endpoint Security 8 for Windows.
V obou případech jsou počítače připojeny do Novell domény a spravovány
pomocí Novell ZENworks Suite. Mimo doménu se počítače hlásí pouze ke
službě SAMBA, která zajišťuje centrální tiskové fronty.
2.1.4
2.1.4.1
Terminály
Hardware
Ve studovnách jsou kromě plnohodnotných pracovních stanic instalovány
také terminály. Konkrétně 165ks tenkých klientů HP T5540Thin připojených
přes RDP10 k terminálové službě. Klienti podporují připojení dvou USB zařízení a obsahují také audio vstup a výstup (ten však není z důvodu možného
hluku podporován).
Obrázek 2.6: Tenký klient HP T5540 Thin
10
RDP vychází z anglického Remote Desktop Protocol a jedná se o protokol poskytující
připojení k tzv. vzdálené ploše (využíván v OS MS Windows)
33
2. Analýza současného stavu
2.1.4.2
Software
Terminálové služby jsou poskytovány pomocí MS Windows 2003 Terminal
Server se 165 licencemi DeviceCAL a několika UserCAL určených pro administrátory. Ověřovací autorita je v tomto případě Samba, jejíž server je provozán
na RHEL 5 HA clusteru. Údaje jsou uloženy ve struktuře LDAP11 , řízené systémem IDM12 . Samotná bezpečnostní politika terminálových služeb je řízena
přes Windows NT System Policy. Po přihlášení uživatele k terminálovému
serveru je k dispozici balík aplikací, který obsahuje internetové prohlížeče Internet Explorer 8 a Mozilla Firefox v aktuální verzi; kancelářský balík Open
Office; Adobe Acrobat Reader v aktuální verzi a prohlížeč obrázků IrfanView.
Samozřejmostí jsou typické součásti Windows jako poznámkový blok, kalkulačka, malování apod.
2.1.5
Tiskárny
Pro své zákazníky zřídila NTK i několik multifunkčních tiskáren, které
umožňují uživatelům po přihlášení (zadáním PINu či přiložením karty) tisknout, kopírovat či skenovat. Data o uživatelích jsou získávána přes OpenLDAP
a díky propojení platebního systému s aplikací pro správu tiskáren SafeQ, je
možné dané služby zpoplatnit.
Celkem se v NTK vyskytuje 33 multifunkčních tiskáren, z toho 15ks je
barevných typu HP Color LaserJet CM6030MFP a 18ks černobílých typu
HP LaserJet m4345. Oba typy tiskáren jsou napojeny na doménu Samba a
spravovány systémem SafeQ.
Z historických důvodů a ve výjimečných případech jsou využívány i lokální
tiskárny typu HP LaserJet 1200, 2200, 4500 a 4800. Postupně však dochází
k jejich likvidaci a přesunu tiskových úloh na nízkonákladové multifunkční
tiskárny.
2.2
Používaný software
V této kapitole nás bude zajímat Software, jenž je z hlediska bezpečnosti
mnohdy rizikovější, než samotný hardware. V NTK se využívá přes 50 softwarových produktů a mít přehled o každém z nich je pro 9 zaměstnanců z
oddělení provozu IT nelehký úkol. Zajímat nás proto bude především správa
daného SW. Obecně lze tvrdit, že u těch aplikací / systémů, kde je použit
globální účet „správa“, je bezpečnostní riziko největší. To z toho důvodu, že
je mezi celým IT týmem udržováno jedno uživatelské jméno s neměnným heslem, užívané již od roku 2009, kdy byla zprovozněna nová serverovna. A to
11
Lightweight Directory Access Protocol je protokol, který uchovává informace v adresářové struktuře.
12
IDentity Management je systém umožňující centralizovanou správu identit a následnou
distribuci těchto identit do dalších systémů.
34
2.2. Používaný software
Obrázek 2.7: Veřejné tiskárny HP Color LJ CM6030MFP a HP LJ M4345
bez ohledu na to, že se část personálního obsazení oddělení IT provozu může
měnit.
Aplikační park celkově můžeme rozdělit na robustní systémy a drobné
systémy / aplikace. V tomto duchu rozčleníme i tuto kapitolu. K operačním
systémům se už nebudeme vracet, poněvadž jsme se o nich zmínili už dříve.
Jen bych připomněl, že o serverech a operačních systémech pojednává Příloha
A: Detailní seznam fyzických serverů a Příloha B: Detailní seznam
virtuálních serverů a hostovaných systémů.
2.2.1
Systémy
Jak už bylo řečeno výše, v našem názvosloví jsou systémy robustními aplikacemi, jež ke svému běhu vyžadují napojení na jiné aplikace, databáze či
systémy. Takových najdeme v NTK celkem sedm.
2.2.1.1
Systém IDM
IDM neboli Identity Management slouží ke správě identit (dle architektury
Sun Identity Management). Jedná se tak o procesy související s vytvářením,
úpravou, smazáním nebo třeba blokací identit. Ty jsou uloženy v centrální databázi identit (CDBI). Tento systém distribuuje informace i do dalších systémů
– namátkou například platebním systémem, rezervačním systémem, Aleph,
OpenLDAP, aj. Na obrázku 2.813 je vidět systém přenosu identit a autorizace
uživatelů.
13
převzat ze zdroje [15] a to s výslovným svolením autora
35
2. Analýza současného stavu
Obrázek 2.8: Schéma přenosu identit a autorizace uživatelů
• CDBI
Popis: Jedná se o centrální databázi identit, jenž udržuje informace o
všech identitách.
Přístup správce: Je použit globální účet „správa“. Mezi skupinu správců
patří také výrobce aplikace.
36
2.2. Používaný software
• Sun IDM
Popis: Systém pro správu identit osob působících v NTK.
Přístup správce: Více správců, kde každý má svůj vlastní účet. Mezi skupinu správců patří také dodavatel aplikace.
• WA Registrace
Popis: Webová aplikace registrace slouží jako nástroj ke zdroji či změnám
dat o identitách. Ty jsou poté uloženy do CDBI.
Přístup správce: Je použit globální účet „správa“. Mezi skupinu správců
patří také výrobce aplikace.
2.2.1.2
Knihovní aplikace a systémy
Nedílnou součástí knihovny je bezesporu knihovní systém. Ten v NTK je
natolik rozmanitý, že jej tvoří celkem 6 podsystémů. Dohromady vytvářejí
zázemí pro poskytování služeb čtenářům v rámci základního smyslu činnosti
knihovny. Na jednotlivé podsystémy se nyní podíváme detailněji.
• SFX
Popis: SFX je systém, který zajišťuje koncentraci doplňujících služeb
(na základě OpenURL) k vybranému zdroji (publikace, časopis aj.).
Přístup správce: Správce této aplikace má vytvořen systémový účet s
právy „sudo14 “.
• Aleph
Popis: Aleph je hlavní část knihovního systému, jenž se stará o katalogizaci, výpůjčky a funkcionalitu akvizic. Zde je použit systém Aleph 500
ve verzi 20.
Přihlášení uživatelů: Ověření identity přes IdM, k autentizaci využit
OpenLDAP a Shibboleth.
Přístup správce: Více správců využívajících pro přihlášení systémový
účet, u kterého je možné využít práv „sudo“. Mezi skupinu správců patří
také dodavatel aplikace.
• Portal
Popis: Pod tímto názvem jsou ukryty vlastní webové stránky (resp. jejich logika).
Přihlášení uživatelů: K autentizaci využit OpenLDAP a Shibboleth.
Přístup správce: Více správců, kde každý má svůj vlastní účet.
14
Sudo je příkaz používaný u operačních systémů Linux a umožňuje vykonat následující
příkaz s administrátorským oprávněním (superuživatele)
37
2. Analýza současného stavu
• Kramerius
Popis: Jedná se o systém zpřístupňující naskenované archivní dokumenty.
Přístup správce: Více správců využívajících pro přihlášení systémový
účet.
• Katalog STM
Popis: Katalog STM je katalog informačních zdrojů (zakoupených z prostředků programu LI 2000-2003) z oborů přírodních věd, techniky a lékařství. Systém vznikl na základě projektu MŠMT.
Přístup správce: Systém v současné době nevyžaduje správu anebo není
využíván.
• EZ Proxy
Popis: EZ Proxy umožňuje čtenářům autentizaci a autorizaci za účelem
přístupu k externím či placeným zdrojům.
Přihlášení uživatelů: K autentizaci využit Shibboleth.
Přístup správce: Více správců, kde každý má svůj vlastní účet. Zároveň
je však použit i globální účet „správa“.
2.2.1.3
Platební systém
Systém pro správu peněžních účtů a provozování plateb za služby NTK, zahrnující jak vlastní evidenci, tak také rozhraní pro systém pokladem. Zároveň
umožnuje napojení na další subjekty, jako jsou banky apod. Platební systém
zastřešuje v případě NTK systém iFIS, využívající databázi typu Oracle.
• iFIS
Popis: Zajišťuje platební styk se zákazníky knihovny a je napojen na
knihovní systém aj. Obecně zajišťuje správu dat ekonomického úseku.
Přihlášení uživatelů: Ověření identity přes IdM, k autentizaci využit
OpenLDAP.
Přístup správce: Správce této aplikace má vytvořen vlastní účet. Mezi
správce aplikace patří také výrobce.
2.2.1.4
Rezervační systém
Za účelem efektivní správy rezervací fyzických zdrojů NTK slouží rezervační systém. Ten s využitím vazby na platební systém umožňuje registrovaným uživatelům provádět placené rezervace, ale také jim nastavovat vstup
například do rezervovaných učeben / místností a to díky propojení se systémem EKV.
38
2.2. Používaný software
• Verso
Popis: Základem rezervačního systému je systém Verso, obsahující modul rezervace. Verso je složeno z komponent „jádro“ a „systém“ a pro
ukládání dat využívá Oracle databázi.
Přihlášení uživatelů: Autorizaci i autentizaci zajišťuje Shibboleth.
Přístup správce: Správce této aplikace má vytvořen vlastní účet. Mezi
správce aplikace patří také výrobce.
2.2.1.5
Tiskový systém
Tiskový systém založený na aplikaci SafeQ poskytuje zákazníkům NTK
tiskové, kopírovací a skenovací služby. Vše je nastaveno tak, že uživatel přidá
svou úlohu do tiskové fronty a na dané tiskárně se úloha po přihlášení do
terminálu SafeQ vytiskne. Jelikož je využito napojení na platební systém, je
možné si za poskytovanou službu účtovat poplatek, který bude stržen uživateli
z konta.
• SafeQ
Popis: Systém SafeQ se stará o správu tiskových služeb a komunikaci s
okolními systémy.
Přihlášení uživatelů: Přihlášení probíhá v rámci OpenLDAP.
Přístup správce: Více správců využívajících pro přihlášení systémový
účet.
• Web JetAdmin
Popis: Aplikace Web JetAdmin slouží jako nástroj ke správě a údržbě
tiskáren HP.
Přístup správce: Více správců využívajících pro přihlášení systémový
účet.
2.2.2
Aplikace
Systémy používané v NTK jsme si již popsaly a nyní si ještě shrneme ty
nejzajímavější aplikace. Kompletní seznam software pak popisuje Příloha C:
Detailní seznam používaného software.
2.2.2.1
AuditPro
Popis: Jedná se o software, který je určen pro provádění především softwarového auditu. Zároveň však dokáže monitorovat činnost uživatelů, vytvářet
reporty nejčastěji používaných aplikací, poskytuje rozhraní pro službu helpdesk aj. V NTK však funguje pouze jako nástroj ke správě licencí.
Přístup správce: Správce této aplikace má vytvořen vlastní účet.
39
2. Analýza současného stavu
2.2.2.2
GroupWise
Popis: Jedná se o sadu komunikačních nástrojů a prostředků pro týmovou
spolupráci od společnosti Novell.
Přístup správce: Pro přístup na server s aplikací je použit globální účet „správa“,
k aplikaci se však používá účet administrator domény NOVELL . Mezi skupinu správců patří také dodavatel aplikace.
2.2.2.3
GWAVA
Popis: Gwava je soubor bezpečnostních nástrojů pro Novell GroupWise. Obsahuje například antispamovou ochranu či antivir.
Přístup správce: Pro přístup na server s aplikací je použit globální účet „správa“,
k aplikaci se však používá účet administrator domény NOVELL . Mezi skupinu správců patří také dodavatel aplikace.
2.2.2.4
HP DataProtector
Popis: Jedná se o nástroj pro automatickou zálohu a obnovu dat v korporátní
sféře.
Přístup správce: Správce této aplikace má vytvořen vlastní účet. Zároveň je
však použit i globální účet „správa“.
2.2.2.5
NOES
Popis: Novell Open Enterprise Server poskytuje souborové a hlavně tiskové
služby uživatelům pracovních stanic v doméně Novell.
Přístup správce: Správce se do NOES přihlásí přes administrátorský účet v
Novell eDirectory.
2.2.2.6
OpenLDAP
Popis: Jde o adresářovou službu na bázi LDAP, která eviduje lidi a karty v
NTK.
Přístup správce: Je použit globální účet „správa“. Mezi skupinu správců patří
také dodavatel aplikace.
40
2.3. Skupiny uživatelů
2.2.2.7
freeRadius
Popis: Systém freeRadius umožňuje autorizaci a ověření přístupů uživatelů k
síťovým službám.
Přístup správce: Je použit globální účet „správa“. Mezi skupinu správců patří
také dodavatel aplikace.
2.2.2.8
Shibboleth
Popis: Shibboleth je služba, která po autentizaci uživatele ke své domácí organizaci dovolí přistupovat ke zdrojům dat (například webové stránky) organizace jiné. Ta však musí tuto metodu autentizace podporovat.
Přístup správce: Je použit globální účet „správa“.
2.2.2.9
VPK
Popis: Virtuální polytechnická knihovna je distribuovaný systém, kde NTK
provozuje server a knihovny přes své klientské aplikace vytvářejí požadavky
na provedení digitalizace. Základní myšlenkou je tedy poskytování kvalitního
obsahu uživatelům bez nutnosti fyzické návštěvy knihovny.
Přístup správce: Správce této aplikace má vytvořen vlastní účet.
2.2.2.10
Web Portál
Popis: Jedná se o redakční systém, díky kterému jsou publikovány informace
i aktivní obsah a to jak na veřejné internetové stránky knihovny, tak i na ty
intranetové.
Přihlášení uživatelů: Přihlášení zajišťuje Shibboleth a údaje jsou stažena z
LDAP.
Přístup správce: Více správců, kde každý má svůj vlastní účet.
2.3
Skupiny uživatelů
V NTK se můžeme z pohledu IT setkat s několika typy uživatelů. Pro každý
druh uživatele platí jiná omezení a je tedy vhodné si tyto typy definovat. Až na
vyjímky využívají všechny aplikace informace o identitách ze systému IDM.
41
2. Analýza současného stavu
2.3.1
Anonymní uživatel (studenti a zaměstnanci vysokých
škol)
Anonymní uživatel je takový uživatel, který není veden v databázi čtenářů,
avšak má přístup do budovy na základě spolupráce s ČVUT a VŠCHT. Takoví
uživatelé používají své univerzitní identifikační karty k přístupu do prostor
NTK. Využívá se tak systémů správy identit vysokých škol, ze kterých se NTK
předá pouze minimum dat (seriové číslo karty, číslo přístupového oprávnění a
příznak "student"). Tito uživatelé nemají přístup k žádným z poskytovaných
služeb NTK. Cílem této skupiny je především návštěva univerzitních knihoven
a kanceláří v prostorách NTK. Riziko takového uživatele je tedy minimální.
2.3.2
Host (návštěva, externí spolupracovník)
Hostem je takový uživatel, kterému se oproti finanční záloze propůjčí
vstupní karta. Tím může být například externí spolupracovník nebo návštěva.
Opět je požadováno minimální množství dat - jméno, přijmení, titul, číslo
karty a její PIN, platnost karty a přístupová skupina vrámci systému elektronické kontroly vstupu. Hosté využívají především vstupů do zaměstnaneckých
zón či skladů. I u této kategorii jsou rizika minimální.
2.3.3
Zákazník (čtenář)
Po zaplacení členských poplatků a zavedením uživatele do systému přes
aplikaci Registrace, vznikne tzv. registrovaný uživatel. O něm je však potřeba
zadat údajů více - jako například uživatelské jméno a heslo, číslo osobního
dokladu, adresa bydliště aj. Narozdíl od anonymního užviatele však může
využívat všechny veřejné služby. Má možnost se připojit do sítě NTK, využívat
místní kiosky a po složení určité částky na své konto v platebním systému i
tiskové služby.
Rizik, která mohou u registrovaných uživatelů vzniknout, je hned několik. Od zatížení internetové linky (Wifi hot-spotu), přes DoS15 útok, až po
šíření škodlivého software přes kiosky. Šance na dopadení je však poměrně
vysoká, protože většina těchto systémů vyžaduje přihlášení. To nám zajistí,
že dotyčnou osoba lze poměrně snadno dohledat.
2.3.4
Zaměstnanec
Zaměstnanec je typ uživatele velmi podobný čtenáři. Rozdíl je pouze v
tom, že se dostane i ke službám, aplikacím a zdrojům, které nemusí být veřejné. Navíc je zaměstnancům ještě vytvořena identita v systému Aleph, Novell
NetWare a Novell GroupWise - u nich se totiž implementace správy identit
pro 200 zaměstnanců finančně nevyplatí.
15
DoS neboli Denny of Service je takový typ útoku, kdy se útočník pokusí daný systém
zahltit požadavky tak, aby už nemohl být obsloužen jiný klient a systém následně zkolaboval.
42
2.4. Závěr analýzy
Oproti rizikům u registrovaných uživatelů přibývá ještě nebezpečí v podobě
instalace nepovoleného software, použití prostředků k jinému než pracovnímu
účelu nebo také zneužití pravomoci v daném systému.
2.3.5
Administrátor
Jedná se o speciální typ zaměstnance pracujícího v oddělení provozu IT.
Jejich primárním úkolem je plynulý běh ICT aplikací, nástrojů a služeb, jenž
jsou denně využívány zaměstnanci a poskytovány zákazníkům. Díky superuživatelské role jsou pak daný systém či aplikaci schopni denně monitorovat
či konfigurovat.
Lidé ze skupiny administrátorů jsou většinou obezřetní a znají systém,
který spravují. Riziko však existuje v případě nasazení nového systému, kdy
administrátor není řádně proškolen. Další potenciální nebezpečí může vyvolat
(nucený) odchod zaměstnance, kdy díky získaným znalostem a přístupovým
klíčům může danou organizaci poškodit - například neoprávněným přístupem
do systému a následným zveřejněním dat. Abychom tomu zabránili, je nutné
dodržovat obecné zásady bezpečnosti.
2.4
Závěr analýzy
Po provedení komplexní ICT analýzy v NTK jsem narazil na některá slabá
místa.
2.4.1
Z pohledu technologií a OS
Co se týče síťové infrastruktury, klíčovým prvkem je coreswitch. Ten je
sice zapojen redundantně (vč. záložního spoje) a částečně tak odolný proti
selhální, avšak rozvody z něj nejsou symetricky rozděleny.
Dalším slabým místem může být neexistence seznamu serverů včetně provozovaných systémů a zodpovědných osob. Některé servery navíc dosluhují a
již u nich není platná záruka. To stejné se týká vybraných pracovních stanic.
Nejednotné jsou také aktualizace operačních systémů instalovaných na serverech. S tím mohou být spojena bezpečnostní rizika, vzniklá známými problémy v daných verzích OS.
2.4.2
Z pohledu software
Díky systému pro správu identit je z pohledu přihlašování a ověřování
uživatelů riziko minimální. Problém však nastává u přístupů, na které IdM
neplatí. To se týká především správy aplikací, u kterých je použit jeden administrátorský účet známý všem zaměstnancům oddělení provozu IT.
I v případě software bohužel neexistuje jeho detailní seznam včetně dodavatelů, odpovědných osob či serverů, na kterých běží.
43
2. Analýza současného stavu
K dalšímu problému se dostáváme po té, co se s administrátorským účtem
přihlásím do OS, ve kterém daný systém běží. Správce serveru tím totiž získá
přístup do konfiguračních souboru systému, odkud může heslo vyčíst nebo
změnit. Dojde tak k napadení aplikační vrstvy z úrovně OS.
Posledním bodem je minimální využití aplikace AuditPro, která dovoluje
monitorování pracovních stanic a jejich uživatelů. Vzhledem k ceně licence,
která se v takto velkém počtu pracovních stanic pohybuje okolo 150 000,- Kč,
je pomerně škoda, že se nevyužívá plný potenciál aplikace.
44
KAPITOLA
Praktická část
Abych se nespoléhal pouze na své zkušenosti a informace získané od vedoucího provozu IT, pana Ing. Václava Jansy, provedl jsem analýzu sítě pomocí
volně dostupného nástroje, který je pro nekomerční užití zdarma. Díky němu
jsem nalezl jak nám již známá slabá místa, tak i dříve neobjevené či zapomenuté problémy.
3.1
Použitý software
Za účelem hloubkové analýzy zabezpečení byl vyvinut nástroj Nessus od
společnosti Tenable Network Security. Tento velmi užitečný software je možné
používat pro „domácí“ účely zdarma a to stažením z následující adresy:
http://www.nessus.org/products/nessus/nessus-download-agreement.
V době psaní této diplomové práce (duben 2012) byla aktuálně k dispozici
verze 5.0.1, kterou byla i analýza prováděna.
Nástroj Nessus pracuje na principu klient-server, kdy klientem je internetový prohlížeč připojený na serverovou část, která je jádrem celé aplikace.
Zároveň je využíváno tzv. modulů, kde každý má své specifické oblasti a parametry testování. Příkladem modulů může být ten, který testuje otevřené
porty, jiný zkouší defaultní hesla, další zase testuje přístup k DNS apod. Přes
klienta tak lze ve webovém rozhraní nastavit rozsah testu, typ testu, aktivovat příslušné moduly a provádět další konfigurace. Tento síťový scanner, umí
monitorovat jak konkrétní počítač, tak i celé sítě.
3.2
Příprava na bezpečnostní analýzu
Z důvodu velkého množství zařízení v síti NTK jsem k provedení analýzy
využil dva notebooky, na které jsem nainstaloval jak klientskou, tak serverovou
45
3
3. Praktická část
část. K testování jsem využil služeb všech modulů. Jelikož jsem měl k dispozici
i kompletní seznam podsítí (VLAN), mohl jsem provádět testy v konkrétních
sítích s konkrétní maskou (tj. test neprobíhal náhodně).
3.3
3.3.1
Analýza sítě z veřejně dostupných
přístupových bodů
Průběh analýzy
Abych dosáhl co nejvěrnější pozice útočníka, použil jsem k testování veřejně dostupné přístupové body. Jednalo se tedy o bezdrátové sítě NTKSimple
a studentské sítě Eduroam. V prvním případě bylo potřeba zadat registrační
údaje do NTK, v případě Eduroam pak posloužil přednastavený účet z fakulty
informačních technologií ČVUT.
Jelikož je jednotlivých VLAN v řádech desítek, před samotným testem
nástrojem Nessus, jsem si aplikací Dude16 v4 otestoval, zda-li jsou z mé sítě
v dané VLAN vůbec nějaká zařízení viditelná. A to z toho důvodu, že i test
„prázdné“ sítě trvá za použití nástroje Nessus přibližně 20minut17 .
Ve fázi testování sítě jsem aplikaci Nessus nastavil tak, aby použila všechny
dostupné moduly. Abych dosáhl co nejkomplexnějších výsledků, spustil jsem
analýzu pojmenovanou jako „příprava na PCI-DSS audit“, jejíž test dosahuje
u téměř dvaceti stanic přibližně čtyř hodin (při připojení přes bezdrátovou
síť).
3.3.2
Výsledek analýzy
Ačkoliv jsem se dostal z veřejných přístupových bodů pouze do dvou sítí
(VLAN), jednalo se právě o ty nejzajímější - tedy takové, kde jsou servery
poskytující služby.
K mému překvapení však žádné zásadní nedostatky objeveny nebyly. Co
se týče portů, byly otevřené pouze ty, které jsou pro provoz služeb potřebné.
A z pohledu možných bezpečnostních rizik stojí za zmínku snad jen neaktualizovaná verze programu poskytující běh webových služeb či operační systém,
u něhož skončila podpora ze strany vydavetele.
Detailní výstup provedené analýzy je k dispozici jako Příloha D: Výsledek skenování sítě aplikací Nessus v5. Nejdete v něm soupis všech
nedostatků včetně míry rizikovosti, seznam hostů a všechny otevřené porty.
16
Dude je aplikace od společnosti MikroTik, která slouží k monitorování sítě. K dispozici
zdarma z adresy: http://www.mikrotik.com/thedude.php
17
V závislosti na zvoleném typu připojení - v tomto případě se jednalo bezdrátové připojení v pásmu G.
46
3.4. Analýza sítě bez omezení firewallem
Obrázek 3.1: Webové rozhraní Nessus - parametry prováděného testu (u náhodné sítě)
3.4
Analýza sítě bez omezení firewallem
Díky nabídce ze strany vedoucího provozu IT, jsem dostal možnost spustit
test i ze sítě, kam mají přístup pouze správci. Jen bych připomněl, že aby
se potenciální útočník do této sítě dostal, musela by být jeho MAC adrese
nastavena vyjímka ve firewallu. Podvrhnutí této podmínky není nikterak jednoduché, protože dostat se do této VLAN je z veřejných přístupových bodů
nemožné, natož tak provádět odsposlechy.
3.4.1
Průběh analýzy
Při provádění testu v síti neomezené firewallem jsem byl připojen metalickým gigabitovým spojem, takže testování stovek zařízení probíhalo o něco
rychleji. Navíc díky garantovanému přístupu kamkoliv již nebylo nutné dělat
počáteční průzkum aplikací Dude. Opět jsem ve fázi testování povolil všechny
moduly, tentokrát jsem však spustil analýzu pojmenovanou jako „test vnitřní
sítě“, která provádí test nejčastějších prohřešků. A to především proto, že v
této síti již nebylo potřeba testovat všechny porty a dělat hloubkovou analýzu,
která by u každé VLAN byla časově velmi náročná.
3.4.2
Výsledek analýzy
Jak už bylo řešeno výše, otestoval jsem takto všechny VLANy. Výsledky
analýzy byly daleko zajímavější. Počet kritických problémů již nebyl zanedbatelný.
47
3. Praktická část
Mezi nejčastější problémy patřilo například používání defaultních přístupových údajů, neaktualizované verze důležitých systémů, povolené účty host,
jednoduše odhadnutelné názvy SNMP, nenainstalované důležité patche aj. Naopak otevřených portů bylo opět minimum, s výjimkou testovací sítě (kde se
testuje nasazení nových systémů a aplikací).
Detailní výstup z tohoto typu analýzy není součástí této práce a to z toho
důvodu, že se jedná o testy sítí, kam nemá neautorizovaná osoba přístup.
Obrázek 3.2: Webové rozhraní Nessus - přehledný výsledek testu (u náhodné
sítě)
48
KAPITOLA
Návrh pravidel bezpečnosti
V závěru druhé a třetí kapitoly jsem zhodnotil analýzu a poukázal na některá slabá místa. V této kapitole se budu věnovat řešením těchto problematických částí. Zároveň uvedu základní předpoklady a doporučení pro zabezpečení
ICT služeb. A to z pohledu zabezpečení sítě, zabezpečení operačních systémů,
definování bezpečných přístupu a také bezpečnosti a monitorování provozu.
4.1
Zabezpečení sítě
Základním stavebním prvkem komunikace mezi více počítače je síť. Začneme tedy návrhem bezpečnostních opatření právě jí.
4.1.1
Zabezpečení síťových zařízení
Prvním předpokladem zabezpečení síťových zařízení je, že tato zařízení by
měli být vždy umístěny tak, aby nebyla lehce přístupná veřejnosti. V případě
NTK je celé serverové zázemí umístěnu v suterénu a jednotlivé přepínače v
patrech mají vlastní oddělenou místnost. Tím je garantován přístup pouze
odpovědných osob.
Jediným potenciálním problémem by mohlo být nesymetrické rozdělení na
CoreSwitchi, které bylo v minulosti narušeno nutnými úpravami za účelem
rozšíření sítě. V současnosti se však chystá nákup šasi HP 7510 (dříve také
označováno jako 3com S7910) a doplnění 48 portové karty, které opět zajistí
symetrické rozdělení sítě.
4.1.2
Zabezpečení proti neoprávněnému vniknutí do sítě
Protože je síť NTK rozdělena do jednotlivých VLAN, má potenciální záškodník přístup pouze do tří sítí – první je ta ve které se přihlásil, druhou je tzv.
49
4
4. Návrh pravidel bezpečnosti
síť DMZ (kde jsou servery poskytující část služeb) a třetí je tzv. síť DMZL, ve
které jsou servery poskytující zbývající část veřejných služeb. Lze tedy konstatovat, že z pohledu přístupu je síť zabezpečena dostatečně.
Pokusí-li se škůdce připojit do sítě nějakou jinou, neoficiální cestou (např.
připojením LAN kabelu z veřejných terminálů do svého notebooku), také neuspěje. Jednotlivým zařízením je totiž poskytována IP adresa na základě ověření
MAC adresy. A i kdyby byl použit software na klonování MAC adres, opět by
byl získán přístup pouze do sítí DMZ a DMZL. I v tomto případě jsou tedy
dodržována doporučení pro vysokou míru zabezpečení.
4.1.2.1
Zabezpečení 802.1x
Budeme-li chtít zabezpečit přístup do sítě silnějšími bezpečnostními prvky,
je vhodné použít zabezpečení typu 802.1x. Tento typ zabezpečení spočívá v
tom, že při pokusu počítače o spojení s přístupovým bodem, jej AP vyzve,
aby se autentizovalo protokolem EAP18 . Po předání pověření počítače (nebo
uživatele) přístupovému bodu dojde k jeho přeposlání na server Radius19 . Ten
následně zjistí, zda-li má daný počítač či uživatel právo na přístup do sítě a
podle toho odešle příznak přístupovému bodu. Je-li tedy klient správně autentizován, AP otevře v přepínači port, kterým povolí klientovi přístup do sítě. V
opačném případě je zařízení (uživateli) přístup do sítě zapovězen. Ověřování v
sítích 802.1x popisuje obrázek 4.1. Slabým místem tohoto zabezpečení je fakt,
že ověřování probíhá pouze na začátku komunikace - přidá-li útočník před komunikující zařízení rozbočovač, může po drobných úpravách získat přístup do
sítě také. Tomuto lze však částečně zabránit nastavením opakovaného ověřování i v průběhu komunikace. V současnosti je v NTK tato metoda ověřování
v pilotním provozu a je testováno pouze na vybraných podsítích.
Obrázek 4.1: Schéma ověřování 802.1x
18
z anglického Extensible Authentication Protocol definuje protokol umožňující rozšířené
možnosti autentifikace
19
Remote Authentication Dial-In User Service je služba umožňující vzdálené ověření uživatele či zařízení a definující přístup
50
4.1. Zabezpečení sítě
4.1.3
Zabezpečení portů
Obecně je doporučeno zakázat přístup ke všem portům, které nejsou bezpodmínečně nutné pro provoz a poskytování služeb. Se stejným přístupem
jsem se setkal i v síti NTK. Kromě portů 80, na kterém běží webové servery,
portů 443, odbavující TLS20 server a portů 993 a 995 pro POP321 a SMTP22
server, jsem nenarazil na žádné další bezdůvodně otevřené.
4.1.4
Servery
Jak už bylo řečeno dříve, v NTK je v provozu velké množství jak fyzických,
tak virtuálních serverů. Na všechny servery typu HP ProLiant je poskytována
záruka výrobcem, tedy společnosti Hewlett-Packard. Problém však nastává u
serverů typu Intel. Ty jsou svým stářím již mimo záruční krytí a je vhodné od
jejich provozování postupně ustupovat. V dalším technologickém plánu je tedy
dle doporučení naplánována migrace jejich systémů na virtuální stroje. Stejně
tak je v rámci homogenizace prostředí i v plánu sjednocení virtuálních strojů
na platformu KVM. Jen připomenu, že v současnosti jsou mimo Kernel-based
Virtual Machine využívány i virtuální stroje typu VMWare a XEN.
4.1.4.1
Logovací server
Důležitou součástí sítí, ve kterých se vyskytuje velké množství serverů, je
logovací server. Ten sbírá údaje z logů okolních serverů (či jiných klíčových
zařízení) a umožňuje s nimi přehledně pracovat. Díky němu je pak možné
vystopovat i takového útočníka, který záznamy v lokálním logu změní. Nejjednodušší variantou jak takovýto server vytvořit, je použití daemona syslogd
(nejlépe v prostředí Red Hat nebo SuSe), který bude přes UDP port přijímat
logy od ostatních klientů. Abychom však zabránili zneužití serveru útočníky,
je potřeba jej ochránit vhodným nastavením firewallu. Momentálně se v NTK
setkáme s logovacím servem, který je pouze ve stádiu implemetace.
Přesměrování logů z Unixových stanic je snadné, chceme-li však ukládat
logy na vzdálený server i z platforem MS Windows, je potřeba využit služby
NTsyslog23 , která nám tuto funkcionalitu přidá.
Dalším krokem je vytvoření souhrnu z logů. K tomu poslouží nástroj logwatch24 , jenž automaticky provádí analýzu logů a následně vygeneruje sou20
z anglického Transport Layer Security je bezpečnostní protokol, zajišťující šifrovanou
komunikaci mezi počítači
21
v angličtině Post Office Protocol verze 3 je protokol sloužící k příjmání emailové korespondence
22
Simple Mail Transfer Protocol je typ protokolu, který se stará o odeslání emailové pošty.
23
Jedná se o volně šířitelnou aplikaci. Ke stažení: http://ntsyslog.sourceforge.net
24
LogWatch je volně šířitelná aplikace. K dispozici na: http://logwatch.sourceforge.
net
51
4. Návrh pravidel bezpečnosti
hrnou zprávu. V kombinaci s aplikací Swatch25 pak můžeme logovací server
přimět k tomu, aby nás upozornil na vzniklý problém v moment, kdy k němu
dojde. Swatch je totiž program, který pravidelně sleduje logy a při výskytu
nadefinovaných situací na ně dokáže upozornit (například emailem).
Obrázek 4.2: Princip fungování centrálního logovacího serveru
4.1.4.2
Seznam fyzických serverů v síti
Abychom mohli zabránit katastrofě v případě napadení a mohli jednoduše
identifikovat postižený server, je potřeba udržovat aktualizovaný seznam serverů v síti. V době psaní této práce však žádný takový NTK neměla. Proto
jsem vytvořil komplexní seznam serverů, obsahující DNS jméno serveru, jeho
IP adresu, operační systém a typ HW. Dále je uveden dodavatel, odpovědná
osoba, účet obsahující administrátorská práva a obecný popis toho, k čemu
daný server slouží. Nejenže se tímto zlepší přehled o provozovaných zařízení v
síti, ale také je nyní jednoduché zjistit odpovědnou osobu, či jakého dodavatele
kontaktovat. Tento seznam je dostupný jako Příloha A: Detailní seznam
fyzických serverů.
4.1.4.3
Seznam virtuálních serverů v síti
Podobně jako u seznamu serverů fyzických jsem postupoval i u virtuálních.
Ani v tomto případě nebyl dostupný žádný seznam pokrývající základní údaje
o provozovaných virtuálních serverech. Až na typ HW, který jsem u virtuálních
serverů nahradil typem virtuálního stroje, jsou všechny atributy totožné se se25
Simple WATCH je volně šířitelnou aplikací. Ke stažení: http://sourceforge.net/
projects/swatch/
52
4.2. Zabezpečení OS
znamem fyzických serverů. K dispozici je jako Příloha B: Detailní seznam
virtuálních serverů a hostovaných systémů.
4.2
Zabezpečení OS
U operačních systémů je vždy potřeba dbát na pravidelné provádění aktualizací, které opravují známé bezpečnostní problémy. Čím je počet OS větší a
různorodější, tím je situace náročnější.
4.2.1
Serverové OS
V případě NTK je téměř u 50% serverů používán operační systém Red
Hat Enterprise Linux 5, který je až na nutnou výjimku (kvůli kompatibilitě
aplikace) pravidelně aktualizován. I druhý největší zástupce serverových OS,
kterým je MS Windows 2003, prochází pravidelnými aktualizacemi. Naopak u
těch minoritně používaných, jako je například SUSE Linux Enterprise (běžící
na serveru s funkcí GateWay) či Debian Linux (u serveru společnosti Suweco),
je situace horší. V obou těchto případech jsou používany neaktuální verze OS,
u kterých mimo jiné skončila podpora ze strany výrobce. Silně zde doporučuji přejít alespoň na takovou verzi, u které je výrobcem stále garantovaná
podpora v podobě aktualizací. Pro přehled používaných operačních systémů
poslouží i vytvořené seznamy v Příloze A: Detailní seznam fyzických
serverů a Příloze B: Detailní seznam virtuálních serverů a hostovaných systémů. Operační systémy, u kterých je doporučována aktualizace z
důvodu jejich zastaralosti, jsou vypsány v Příloze D: Výsledek skenování
sítě aplikací Nessus v5.
4.2.2
Klientské OS
U klientských OS, instalovaných na jednotlivých (převážně zaměstnaneckých) stanicích je situace příznivější. Všechny operační systémy, ať se jedná o
Windows XP či modernější Windows 7, jsou automaticky aktualizovány. Nevýhodou je však to, že o aktualizaci žádá a stahuje každá pracovní stanice
samostatně. S tím je spojena zvýšená zátěž internetové linky a také zbytečné
mnohanásobné stažení jednoho a toho samého souboru s aktualizací. Řešením
je instalace služby Microsoft Software Update Services, kterou lze nastavit
i v prostředí bez Active Directory26 . Ta vytvoří ve vnitřní síti server, který
opravné balíčky stáhne pouze jednou. Všechny pracovní stanice následně přesměrují své požadavky na aktualizace právě na tento server. Tím dojde k eliminaci zatížení vnější linky a také se zabrání situacím, kdy například proxy server
26
jedná se o adresářové služby implementované společnostní Microsoft, umožňující ve
skupině počítačů např. nastavovat pravidla, instalovat SW apod.
53
4. Návrh pravidel bezpečnosti
nedovolí některým stanicím stažení určitých aktualizačních balíků. Synchronizací služby automatických aktualizací navíc dosáhneme toho, že si všechny
počítače z pohledu aktualizací budou rovny.
4.3
Zabezpečení přístupu
Dalším, velmi důležitým prvkem, který zabrání mnoha pokusům o proniknutí do systémů či zneužití služeb a dat, je pečlivá konfigurace a dodržování
zásad pro vytváření, editaci a rušení přístupů. Ať už se jedná o přístup do
místností se servery, k management konzolím či administraci aplikací. Častým
problémem, ulehčující nezvaným hostům práci, je ponechání výchozího uživatelského jména a hesla, nedeaktivování uživatele guest, či nedůsledné rušení
systémových účtů v případě, kdy společnost opustí zaměstnanec. Se všemi
těmito neduhy se potýkají většiny společností, výjimkou nebyla ani NTK.
4.3.1
Zásady pro práci s hesly
Prostým dodržováním následujících zásad můžeme riziko zneužití uživatelského účtu eliminovat. Tato doporučení se týká jak uživatelských účtů zaměstnanců (běžných uživatelů), tak i systémových účtů (administrátorů).
4.3.1.1
Základní pravidla
Před samotnými zásadami pro používání hesel je dobré si zopakovat i pravidla základní, která taktéž pomohou zvýšit úroveň zabezpečení.
• Nikdy nikomu neprozrazujte své uživatelské jméno a heslo.
• Pravidelně své heslo obměňujte.
• Citlivé údaje vždy zabezpečujte.
• Ujistěte se, že při zadávání citlivých údajů nejste sledováni další osobou.
• Nikdy neodpovídejte na hromadné či řetězové emaily.
• Otestujte všechny příchozí dokumenty antivirovým programem (pokud
tak není učiněno automaticky).
• Nikdy nenechávejte paměťová média s důvěrnými daty (CD, USB flash
disky) v otevřené místnosti bez dozoru.
• Opouštíte-li své pracovní místo byť jen na krátkou dobu, vždy se nezapomeňte odhlásit (ve Windows klávesová zkratka „Windows logo +
L“).
• Počítač vždy vypínejte pomocí funkce „vypnout“ – nikoliv tlačítkem na
počítače (používá se pouze v případě „zamrznutí“ PC).
54
4.3. Zabezpečení přístupu
4.3.1.2
Pravidla pro hesla
Přimějete-li uživatele k respektování následujících pravidel pro hesla, riziko
odhadnutí hesla útočníkem (či programem) budu téměř nulové.
• Nikdy neponechávejte aktivní defaultní systémová hesla (nastavená tzv.
„od výroby“).
• První heslo by mělo být vždy generováno z náhodných znaků a uživateli
předáno bezpečným komunikačním kanálem.
• Délka hesla by měla být nejméně 8 znaků.
• Používejte alespoň dvě kombinace velkých a malých písmen, čísel a speciálních ASCII znaků27 .
• Nikdy nepoužívejte řetězec obsahující skupinu znaků z vašeho uživatelského jména.
• Nepoužívejte řetězec, který obsahuje tři a více stejných znaků za sebou.
• Nepoužívejte řetězec obsahující vaše jméno, či další osobní informace
(ID zaměstnance, datum narození, SPZ, čísla smluv, domácích mazlíčků,
rodinných příslušníků, apod.).
• Nepoužívejte slova obsažena ve slovnících (např. cizojazyčná slova, slang,
žargon, apod.)
• Nikdy si nenastavujte takové hesla, která jsou uvedena jako příklady
hesel v příručkách a manuálech.
• Heslo by nemělo být používáno déle, než 90 dnů.
• Nejméně poslední čtyři hesla by měla být naprosto odlišná.
• Hesla by se za posledních 12 měsíců neměla opakovat.
Příkladem bezpečného hesla je: guV39paL@
4.3.2
Uživatelské účty
Jak by mělo vypadat heslo jsem shrnul v předchozí kapitole a teď k vlastním uživatelským účtům. Jelikož je v NTK používána politika NOVELL eDirectory, jsou všechny předpoklady pro bezpečnou práci s uživatelskými jmény
a hesly splněny. Systém požaduje zahrnutí speciálního znaku do řetězce hesla,
obsahuje paměť minulých hesel a nutí uživatele po 180 dnech k jeho obměně.
27
R Ř, †, •. Mějte
Mezi speciální ASCII znaky patří například následující: #, &, @, ,
však na paměti, že speciální ASCII zanky v heslech nemusí být všemi systémy podporovány.
55
4. Návrh pravidel bezpečnosti
Důležitou částí je ale i to, aby při každém ukončení pracovního poměru
(nebo dlouhodobé pracovní neschopnosti) správce provedl blokaci účtu. Nebudeli tento proces striktně dodržován, může tak (například nespokojený) bývalý
zaměstnanec útočit na systémy, ke kterým měl v minulosti přístup.
4.3.3
Správcovské účty
Speciální kategorií uživatelských účtů jsou správcovské účty. Ty mají zpravidla větší pravomoce, než běžný účet a slouží ke konfiguraci software, přidávání práv uživatelům apod. Ne vždy jsou navíc napojeny na centrální správu
identit. U těchto účtů by tak dodržování výše uvedených pravidel mělo platit
dvojnásob.
4.3.3.1
Problematický účet „správa“
Již v průběhu analýzy jsem zmiňoval, že v mnoha systémech a serverových
OS je používán jednotný účet správa. Nejenže jej znají všichni správci, ale
heslo je od počátku vybudování IT infrastruktury (v nové budově NTK) stále
stejné. Asi není potřeba říkat, že takto by to být nemělo.
První otázkou by mělo být, zda-li opravdu všichni z oddělení provozu IT
potřebují tento účet znát. V současnosti je v IT zaměstnáno 9 zaměstnanců
(jak na částečný, tak plný úvazek) a dalších 7 pracují jako externisti. Od počátku působnosti NTK v nové budově již k personálním změnám v týmu došlo.
Proto je potřeba dbát na pravidelné obměně hesel a důrazně rušit účty lidí,
kteří již s NTK nemají nic společného. Celou situaci by zpřehlednilo, kdyby
se administrátoři rozdělili do skupin (podle systémů, které spravují) a té skupině správců, kteří se primárně starají o servery, by byl nastaven přístup k
systémovému účtu „správa“. Heslo tohoto účtu by se v pravidelných intervalech měnilo a pověřené osoby by se o něm dozvěděli například z elektronické
peněženky hesel.
Dalším krokem, který by pomohl zprůhlednit procesy provedené účtem
správa, by bylo auditování všech provedených činností. Například to, jestli si
daný správce nevytvořil „zadní dvířka“ do nějakého z používaných systémů,
či nenastavil oprávnění třetí osobě aj.
4.3.3.2
Skupiny administrátorů
Jelikož v době psaní této práce nebyl k dispozici žádný seznam administrátorů a ani jejich případné rozdělení do skupin, vytvořil jsem jej sám.
Jako podklady jsem použil odpovědné osoby jednotlivých systémů a serverů
(viz. Příloha A: Detailní seznam fyzických serverů, Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů a Příloha
C: Detailní seznam používaného software). Následnou diskusí s vedoucím útvaru provozu IT, panem Ing. Václavem Jansou, prošlo dané členění
validací. Detailní rozdělení správců do skupin je popsáno v tabulce 4.1
56
4.3. Zabezpečení přístupu
Tabulka 4.1: Rozdělení pracovníků provozu IT do skupin
Název skupiny
Správci serverů
Síťoví správci
DB specialisti
Správci webu
Platební systém
Rezervační systém
Tiskový systém (SafeQ)
Aplikační správci Aleph
Aplikační správci IDM
Aplikační správci Kramerius
Uživatel 1
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Jansa V.
Uživatel 2
Mazl L.
Holub P.
Heicl V.
Koh O.
Heicl V.
Kalina J.
Zmuda T.
Heicl V.
Mazl L.
Kolátor J.
Uživatel 3
Eminger T.
Vařecha J.
Uživatel 4
Holub P.
Koudelka J.
Mazl L.
Kolátor J.
Janíček M.
Řihák J.
Z výše uvedené tabulky 4.1 je vidno, že uživatel v prvním sloupci je stále
stejná osoba. Je tomu tak z toho důvodu, že se jedná o hlavního správce
(vedoucího) celého útvaru provozu IT.
4.3.4
Software pro správu hesel
Jedním z mnoha důvodů, proč byl účet „správa“ vytvořen, je administrace
nepřeberného množství používaných systémů. A aby si správci nemuseli pamatovat do každého systému odlišné přihlašovací údaje, došlo ve všech systémech
k vytvoření tohoto jednotného účtu. Jelikož chceme této situaci v budoucnosti
předejít, doporučuji využít aplikace pro správu hesel (tzv. peněženku).
4.3.4.1
Požadavky
Před výběrem vhodné aplikace pro správu hesel bylo nutné si vytyčit některá kritéria. Peněženka by měla být víceuživatelská a to nejlépe tak, že pro
různé uživatele (skupinu) bude odlišná databáze. Zároveň by měla být spustitelná na platformách Windows i Linux. A jelikož se jedná o organizaci státní
správy, tak by bylo ideální, kdyby byl celý produkt zdarma.
4.3.4.2
Aplikace splňující daná kritéria
Aplikací, které splňují všechny výše uvedené požadavky, není mnoho. Většina jich pracuje na principu, kdy na počítači spustíte klienta (psaný pro
Windows - v Linuxu se emuluje přes Wine) a ten používá databázi hesel na
vzdáleném serveru. Druhou variantou jsou programy, které jako klientskou
část používají webový prohlížeč, jež je připojen na server, kde běží jádro aplikace.
57
4. Návrh pravidel bezpečnosti
Obrázek 4.3: Aplikace TeamPass
Pro tyto účely se jako nejvhodnější jeví aplikace TeamPass (vyvíjena Nilsem Laumaillém), která je dokonce opensource28 . Ta spadá do druhé kategorie,
kdy se jako klient využívá webový prohlížeč. Tím je tedy zajištěn provoz na
všech platformách (a to dokonce i na zařízeních, jako jsou tablety či telefony).
Stejně tak je aplikace multi-uživatelská a umožnuje definování práv jednotlivým skupinám uživatelů. O tom jak je zpracováno GUI aplikace vypovídá
obrázek 4.3
Přednosti aplikace TeamPass:
• Uživatelsky přívětivá aplikace
• Přístup přes internetový prohlížeč (multiplatformní)
• Veškerý přenos dat je zašifrován algoritmem AES-256
• Zápis hesel do stromové struktury
• Hesla jsou v databázi šifrována
28
Open Source neboli otevřený software je takový program, který má otevřený (legálně
dostupný) zdrojový kód. Většinou (nemusí být pravidlem) se jedná o bezplatný software
vytvářený komunitou dobrovolníků.
58
4.3. Zabezpečení přístupu
• Součástí je i generátor hesel
• Podporuje tři druhy uživatelský rolí (Správce, manažer a pouze pro
čtení)
• Uživatelům je možné nastavit omezenou platnost i sílu hesel
• Uživatele je možné rozdělit do skupin
• Každému uživateli (skupině) lze nastavit přístup k jednotlivým (větvím)
listům stromové struktury
• Pro jednotlivé větve lze definovat, jak moc bezpečné heslo by v nich mělo
být obsaženo
• Plná lokalizace do češtiny, včetně podpory českých znaků
• Je možné provádět šifrovanou zálohu i obnovu databáze
• Aplikace je OpenSource a je pravidelně aktualizována
4.3.4.3
Instalace a konfigurace
Před samotnou instalací si musíme připravit (virtuální) počítač, který bude
sloužit jako webový server. Nezáleží přitom na operačním systému. Vzhledem
k licenční politice bude ale lepší využít systému Linux. Dále na tomto počítači
musíme připravit prostředí pro běh webových aplikací. Nejjednodušší cestou
je instalace kompletního balíku XAMPP29 (WAMPP pro Windows).
Další krok spočívá v konfiguraci webového serveru a vytvoření databáze. V
internetovém prohlížeči otevřeme adresu „localhost“ a vybereme ’PhpMyAdmin’. Zde pak vytvoříme novou databázi nazvanou „teampass“. Dále v záložce
’Privileges’ vytvoříme nového uživatele „teampass_admin“, kterému nastavíme všechna oprávnění. Na závěr složce webového obsahu přidělíme oprávnění
čtení všem (CHMOD -R 777).
Nyní se dostáváme ke stažení a instalaci samotné aplikace TeamPass. Ze
stránek vývojáře http://www.teampass.net/download/ stáhneme poslední
funkční verzi. Po rozbalení ji nakopírujeme do složky webového serveru a přes
webový prohlížeč provedeme její první spuštění. V každém kroku je nejprve
potřeba kliknout na tlačítko ’LAUNCH’ a po té pokračovat dále. V kroku 2
pak zadáme informace o databázi, jaké jsou znázorněné v tabulce 4.2.
V případě, že během instalace nedošlo k žádným problémům a konfigurace
proběhla v pořádku, měla by se po zadání adresy „localhost“ do webového
prohlížeče zobrazit stránka, jako je uvedená na obrázku 4.4.
29
Jedná se o uživatelsky přívětivý a jednoduše konfigurovatelný balík distribuce Apache,
která obsahuje i prostředí PHP a MySQL.
59
4. Návrh pravidel bezpečnosti
Tabulka 4.2: Nastavení DB pro TeamPass
Host:
Database name:
Login:
Password:
localhost
teampass
teampass_admin
vytvořené heslo
Obrázek 4.4: První přihlášení do aplikace TeamPass
V této fázi už je aplikace plně funkční a je připravena pro naplnění daty.
Primárně však doporučuji vytvořit skupiny, do kterých se pak budou přidělovat jednotliví uživatelé. Důležité je také přepnout aplikaci z režimu údržby do
plného provozu - přes ’Nastavení’ a položku ’Přepnout TeamPass do správního
režimu’.
4.4
Monitorování provozu
Součástí bezpečnostních opatření je i monitorování provozu. Může se jednat o pravidelné procházení logů jednotlivých zařízení (viz. kapitola 4.1.4.1)
nebo rovnou o monitorování samotných uživatelů. Důvodů je hned několik:
• Podezření na krádež strategických podnikových dat a jejich úmyslné
vynášení s cílem poškodit společnost
• Snížení bezpečnostního rizika počítačové sítě
• Analýza reálného využití zakoupeného hardware
60
4.4. Monitorování provozu
• Analýza reálného využití zakoupeného softwaru
• Analýza oprávněnosti přesčasů zaměstnanců
• Detekce navštívených stránek
• Komplexní personální audit zaměstnanců
• Rekonstrukce pracovního dne konkrétního uživatele / pracovní stanice
Ať už existuje podezření na některého ze zaměstnanců, nebo chceme jen
předejít případným budoucím komplikacím (například s porušováním autorského zákona), nastavením této služby zatížíme systémové prostředky jen minimálně a výstup se nám může v budoucnu více než hodit.
4.4.1
Právní opora
Z pohledu zákonů je situace leckdy nejednoznačná, avšak většinou na
straně zaměstnavatele: Zákon práce povoluje zaměstnavateli snahu chránit
svůj majetek. V jiném ustanovení se uvádí, že zaměstnavatel je povinen soustavně kontrolovat, zda zaměstnanci plní své pracovní úkoly tak, aby nedocházelo ke škodám [20]. Dále v zájmu realizace ochrany majetku umožňuje
zákoník práce zaměstnavateli, aby prováděl kontrolu věcí, které zaměstnanci
vnášejí nebo odnášejí od zaměstnavatele a to včetně prohlídek zaměstnanců (§
170 odst. 3 ZP) [20]. Z výše uvedeného je tedy zřejmé, že zaměstnavatel oporu
v zákoně má. Na druhou stranu o odposlechu telefonních hovorů či instalaci
kamerového systému už v zákoníku práce není ani zmínka. Navíc je takovéto
jednání se zaměstnancem na hraně práv lidské bytosti na ochranu její důstojnosti a soukromí. Právo na soukromí však nemůže být neomezené a tak
se akceptují případy, kdy zaměstnavatel monitoruje zaměstnance za účelem
chránění svého majetku před poškozením či zneužitím.
U zaměstnance je situace zvláštní v tom, že se zdržuje na svém pracovišti v pracovní době za jediným účelem - výkonem práce pro zaměstnavatele,
který je oprávněn mu přidělovat práci tak, aby plně využil celou pracovní
dobu zaměstnance [20]. Navíc zaměstnanec nepoužívá vlastní pomůcky, nýbrž
pomůcky zaměstnavatele. To vše upevňuje postavení zaměstnavatele.
Ze zákona však plyne povinnost, že zaměstnanci musí být informováni o
tom, že jsou takto kontrolováni. Protože monitorování, o kterém by zaměstnanec nevěděl, je potencionálním zásahem do jeho soukromí.
Co se týče monitorování emailové komunikace, mohou nastat dva případy.
Pokud se jedná o firemní schránku, pak je schránka ve vlastnictví společnosti a je možné do její korespondence nahlížet (zaměstnanec danou poštu
pouze zpracovává). Naopak, otevře-li zaměstnanec na internetu svou soukromou emailovou schránku, nesmí být v tomto případě kontrolována. Jednalo
by se však o jiný problém a to o použití (zneužití) pracovní pomůcky k soukromým účelům.
61
4. Návrh pravidel bezpečnosti
4.4.2
Protokol činností administrátorů
V případě NTK by bylo nejvhodnější aplikovat monitorování na skupinu
administrátorů „správa serverů“. Tím, že jsme administrátory rozdělili do skupin, jsme sice počet lidí používající tento účet eliminovali. Stále se však jedná
o silný „nástroj“ (účty s mnohými pravomocemi) umožňující převzetí kontroly
téměř nad jakýmkoliv systémem. Jelikož jsou prostředí v síti NTK různorodé,
je potřeba se zabývat jak OS Linux, tak OS Windows.
4.4.2.1
Operační systémy Linux
V operačním systému Linux se monitorování činnosti jednotlivých účtů
nazývá ’Účtování procesů’. Díky této funkci se nám začnou logovat informace
například o tom, jaké příkazy a v jaký čas daný uživatel spustil. To nám velice
ulehčí hledání případného viníka či člověka, který provedl poslední rekonfiguraci systému.
Aktivace tzv. účtování procesů je jednoduchá. Zadáním příkazu uvedeného
v tabulce 4.3 zapneme tuto funkci v libovolné distribuci Linuxu. Pokud je
však používán RedHat nebo SuSE a to včetně balíčku pro účtování procesů,
je možné tuto funkci aktivovat přímo ve spouštěcích skriptech. O tom, jakými
příkazy účtování procesů v tomto případě aktivovat, pojednává tabulka 4.4.
Tabulka 4.3: Aktivace účtování procesů (obecně)
# mkdir /var/account
# touch /var/account/pacct && chmod 660 /var/account/pacct
# /sbin/accton /var/account/pacct
Tabulka 4.4: Aktivace účtování procesů RedHat a SuSE
RedHat
# chkconfig psacct on
# /sbin/service psacct start
SuSE
# chkconfig acct on
# /sbin/service acct start
Jakmile je vše nastaveno, můžeme začít procházet logy. K tomu nám pomůže příkaz „ac“, který zobrazí délku přihlášení všech uživatelů na dané stanici. Dalším, a hojně využívaným, může být příkaz „lastcomm“, který umožňuje procházet logy podle vložených příkazů či uživatelského jméno. Posledním užitečným nástrojem je „sa“, který provede sumarizaci záznamů v logu a
zobrazí všechny spuštěné příkazy.
4.4.2.2
Operační systémy Windows
U operačních systému Windows je situace trochu odlišná. K přehlednému a
komplexnímu logování všech činností uživatele je totiž potřeba použít aplikací
62
4.4. Monitorování provozu
třetích stran. Já se však pokusím využít dostupných prostředků a nakonfigurovat alespoň zásady auditování. Ty zahrnují:
• Události přihlášení k účtu
• Události správy účtu
• Události přístupu k adresářové službě
• Události přihlášení
• Přístup k objektům
• Změny zásad
• Oprávněné použití
• Sledování procesů
• Systémové události
Konfiguraci jednotlivých zásad auditování spustíme přes konzoli MMC
(Microsoft Management Console) a následným výběrem ’Místní zásady zabezpečení’. Ve složce ’Místní zásady’ a ’Zásady auditu’ jsou všechny tyto moduly
připraveny k aktivaci.
Jelikož chceme monitorovat činnost správců, je vhodné aktivovat moduly
’Auditování událostí správy účtu’ (kontroluje, zda nebyly přiděleny administrátorská práva jinému účtu), ’Události přihlášení’ (abychom věděli, kdy se
kdo přihlásil), ’Přístup k objektům’ (monitoruje přístup k souborům, tiskárnám, registrům aj.), ’Změny zásad’ (zda-li uživatel nedeaktivoval například
zásady auditu), ’Auditování sledování procesů’ (aneb jaké aplikace a procesy
byly spuštěny) a ’Systémové události’ (kdy kontrolujeme, zda uživatel nevymazal logy aj.).
Zároveň můžeme využít možnosti, zda-li chceme uchovávat informace o
úspěšných pokusech, neúspěšných či obou. Výsledek by pak měl vypadat jako
na obrázku 4.5.
Výstupy z těchto logů jsou dostupné přes nástroj ’Prohlížeč událostí’, který
umí vypsat detailní informace o událostech, umožňuje jejich řazení dle různých
vlastností, filtraci apod.
4.4.3
Aplikace AuditPro
O tom, jak monitorovat činnost správců na serverech, jsem psal v předchozí kapitole. Budeme-li však chtít mít přehled i o zbylých zaměstnancích,
nejjednodušší cestou je využití již zakoupené licence AuditPro. Jen pro připomenutí, v současnosti je pouze plánováno, že aplikace bude využívána za
účelem evidence softwaru - ostrý provoz však ještě nezačal. Vzhledem k tomu,
63
4. Návrh pravidel bezpečnosti
Obrázek 4.5: Nastavení zásad auditu v MS Windows
že součástí modulu pro sběr informací o software je i monitorování činnosti
uživatelů, tak by byla škoda zaplacené licence nevyužít.
Kromě samotného auditu umožňuje AuditPro provádět inventuru počítačového vybavení či vytvářet předávací i instalační protokoly. Zároveň umí zpracovávat výsledky analýz do přehledných grafů, kde je například znázorněno
jaký čas trávil uživatel na jednotlivých internetových stránkách apod. Pro vyzkoušení je možné si stáhnout demoverzi na monitorování pěti počítačů. Celý
systém pracuje na principu třívrstvé architektury, kde datovou vrstvu tvoří
databázový server, aplikační vrstvou je soubor komponent AuditPro serveru
a prezentační částí je grafické rozhraní aplikace.
4.4.3.1
Instalace a konfigurace
Před samotnou instalací produktu si opět musíme předpřipravit počítač,
na kterém bude prostředí MS Windows (a nejlépe tak, aby bylo v doméně). Po
té stáhneme poslední dostupnou verzi aplikace AuditPro ze stránek výrobce:
http://www.auditpro.cz/ke-stazeni. Následujeme instrukce instalátoru až
do okamžiku, kdy vše bude úspěšně nainstalováno.
Při prvním spuštění aplikace AuditPro je potřeba vložit licenční klíč. Po té
se již dostaneme k samotnému nastavení. V záložce ’Struktura sítě’ vybereme
v levém sloupečku ’Průvodce sběrem dat’, který nám pomůže s vyhledáním
počítačů v síti. Dojdeme-li s průvodcem úspěšně až do konce, měli bychom
64
4.4. Monitorování provozu
Obrázek 4.6: Aplikace AuditPro
mít ve struktuře nejen všechny počítače, ale také by měla začít i automatická
instalace klienta na všech stanicích (MS Windows). Skutečnost však nemusí
být vždy tak růžová a v některých případech je potřeba distribuovat klienta
ručně (stanici po stanici) a nebo pomocí Group Policy30 . V mém případě bylo
ještě potřeba zkopírovat utilitu „psexec“ z balíku nástrojů SysInternals31 do
adresáře, ve které ja program AuditPro nainstalován.
4.4.3.2
Sběr informací o instalovaném SW
Jakmile máme klienta ve všech monitorovaných stanicích, můžeme začít
sbírat data o instalovaném software. Opět vybereme záložku ’Struktura sítě’
a v ní položku ’počítače’. V seznamu označíme všechny počítače, klikneme
pravým tlačítkem a zvolíme ’Sběr dat’. Tím se zahájí až hodinový proces
sběru dat. Zatížení koncových počítačů je však minimální a uživatele nikterak
při práci neblokuje. Stejně tak ani rapidně nevzroste síťová zátěž. Pokud z
důvodů síťových pravidel nepůjde přes daný port se serverovou částí AuditPro
komunikovat, je možné jednotlivým klientům nastavit, aby reporty ukládali
do síťové složky, odkud si je pak jádro aplikace převezme.
30
GPO je systém používaná v prostředí Microsoft Windows, umožňující definovat zásady
a pravidla pro stanice ve skupině (doméně)
31
Jedná se o balík užitečných nástrojů pro MS Windows - Ke stažení http://technet.
microsoft.com/en-us/sysinternals/bb842062
65
4. Návrh pravidel bezpečnosti
Výsledný výstup z analýzy instalovaného software je k dispozici v záložce
’Reporty’ a menu ’Software’. Při prohlížení reportu můžeme použít širokou
škálu různých druhů filtrů.
Pokud bychom však měli smysluplně využít této funkce, měli bychom si
v záložce ’Software’ vepsat všechny zakoupené licence. Díky celému tomuto
procesu bychom následně zjistili, kolik licencí máme ještě volných a nebo které
případně dokoupit. Můžeme se tímto také připravit na případný softwarový
audit a ušetřit si tak spousty problémů.
4.4.3.3
Monitorování uživatelů
Jako vedlejší funkce sběru dat je přidána možnost průběžného monitorování činnost uživatele. Zaznamenáváno je především to, jaké aplikace daný
uživatel spouští, které webové stránky navštívil, ale i to, kolik času na nich
strávil. Dokonce je pravidelně kontrolována i tisková fronta či práce se soubory
na USB disku.
Pro aktivaci této funkce opět použijeme průvodce sběrem dat, který je
dostupný pod záložkou ’Struktura sítě’. Tentokrát však ve třetím kroku vybereme i možnost monitorování - nesmíme zapomenout na zvolení vybraného
způsobu předávání dat. Po té stačí dle instrukcí průvodce dokončit.
Obrázek 4.7: Výstup monitoringu uživatele v grafech
Výsledky jsou k dispozici hned další den od aktivace této funkce. Příklad
jejich interpretace v grafech je na obrázku 4.7. Kromě výše uvedených monitorovaných oblastí také zjistíme, do jaké míry je ten či onen počítač zatížen
66
4.4. Monitorování provozu
(z pohledu procesoru) i kolik průměrně spotřebovává operační paměti. Podle
toho se pak můžeme rozhodnout, zda-li má daný uživatel oprávněný nárok na
výkonnější počítač a nebo si na rychlost počítače stěžuje proto, že si nemůže
zahrát nejnovější herní titul.
67
Závěr
Cílem diplomové práce bylo provedení analýzy zabezpečení ICT v Národní
technické knihovně a k nalezeným slabým místům navrhnout bezpečnostní
opatření.
První část, tedy analýzu, jsem prováděl osobními návštěvami pracoviště, ve
kterém jsem aktuální stav zjišťoval jak vlastním pozorováním, tak především
pravidelnými diskusemi s vedoucím provozu IT, panem Ing. Václavem Jansou,
a jeho kolegy. Vybrané problematické části jsem si mohl i prakticky ověřit.
Jelikož jsem chtěl zjistit i takové problémy, které nejsou na první pohled
zjistitelné, a zároveň jsem měl osobní zájem vyzkoušet profesionální nástroj
pro detekci slabých míst, přidal jsem do diplomové práce také praktickou část.
V ní popisuji, jaký program pro audit sítě použít a jaké testy jsem v síti NTK
prováděl. Výsledkem je pak sken veřejně přístupné sítě a sítě, kde jsem nebyl
omezen firewallem. Díky tomu jsem mohl porovnat rozdíl v zabezpečení mezi
veřejnou a neveřejnou částí sítě.
Druhou část jsem pak věnoval reakcím na nalezená problematická místa.
V oblasti sítí bylo bezpečnostních rizik minimum - to z toho důvodu, že
jejím návrhem, realizací i správou se na profesionální úrovni zabývaly společnosti Hewlett-Packard s.r.o a CompuNet s.r.o. Snad jediný větší problém byl v
neexistenci plně funkčního logovacího serveru, což je u tak velké organizace až
s podivem. Díky několika bezplatným aplikacím, uvedených v kapitole řešící
danou problematiku, můžeme vytvořit logovací server, přijímající a zpracovávající logy z heterogenních systémů.
Za zmínku stojí také fakt, že v době psaní této práce nebyl k dispozici
jak komplexní seznam serverů (včetně detailních informací), tak ani výčet
používaných aplikací a systémů. Ty jsou však již nyní dostupné v Příloze
A: Detailní seznam fyzických serverů, Příloze B: Detailní seznam
virtuálních serverů a hostovaných systémů a Příloze C: Detailní seznam používaného software (neveřejné) a to včetně jejich dodavatelů,
odpovědných osob a dalších doplňujících informací.
Co se týče zabezpečení operačních systémů, tam tvořilo největší procento
potenciálních hrozeb jejich neaktuálnost. Nejenže nebyly instalovány opravné
balíčky, ale u některých OS dokonce skončila jejich podpora ze strany výrobce.
69
Závěr
Na druhou stranu, dle získaných informací dochází k aktualizaci vybraných
systémů v pravidelných intervalech díky smlouvě s jejich dodavatelem. V Příloze D: Výsledek skenování sítě aplikací Nessus v5 (neveřejné) je
však mezi zranitelnýma ještě mnoho těch, na které se smlouva nevztahuje.
Největším slabým místem v NTK jsou přístupy. A konkrétně ty administrátorské. Tím nejzákladnějším krokem bylo vytvoření skupin administrátorů.
Donedávna totiž mohl kdokoliv kamkoliv a to z toho důvodu, že se používal
jeden uživatelský účet na všechny OS na serverech (odtud je pak velmi snadné
změnit konfigurace běžících systémů a zneužít tak poskytovaných služeb). V
dalším kroku jsem navrhl používání tzv. peněženky hesel, která by uchovávala
přihlašovací údaje na jednotlivé servery a nutila by (jednoho) správce této peněženky hesla do těchto systémů po nějaké době měnit. Navrhovaná aplikace
je samozřejmě víceuživatelská a je možné ji provozovat na libovolném systému
disponujícím internetovým prohlížečem. Navíc její používání nic nestojí, je
totiž typu OpenSource.
Poslední části pak bylo zavedení monitorování činnosti správců na serverech. Opět za pomocí (bezplatných) nástrojů operačních systémů či třetích
stran. Společně se správci je díky (v minulosti) zakoupené licenci k programu
AuditPro možné monitorovat i samotné zaměstnance. To nám dovolí jak ušetřit náklady na provoz, tak i zvýšit síťovou bezpečnost a zavést odpovídající
morálku „správného uživatele“.
Úplným závěrem tak mohu říct, že v NTK lze bez investice do nákupu nových produktů jednoduše snížit nalezená bezpečnostní rizika. A díky plnému
využití zakoupené licence k aplikaci AuditPro nejenže NTK získá přehled o
zaplacených a používaných licencích, ale bude také připravena i na případný
softwarový audit.
Samotný návrh projektu, zabývající se realizací výše uvedených bezpečnostních opatření, je k dispozici v Příloze E: Návrh projektu „zabezpečení ICT v NTK“.
70
Seznam použité literatury
[1]
Ben Smith, Brian Komar, Microsoft security team. Zabezpečení systému
a sítě Microsoft Windows . 1. vydání. Brno : Computer Press, 2006.
[2]
Andrew Lockhart. Bezpečnost sítí na maximum:[100 tipů a opatření pro
okamžité zvýšení bezpečnosti vašeho serveru a sítě]. 1. vydání. Brno : CP
Books, 2005.
[3]
Doseděl, T. Počítačová bezpečnost a ochrana dat. Brno: Computer Press,
2004.
[4]
NOVÁ, Naděžda. NÁRODNÍ TECHNICKÁ KNIHOVNA. NTK: O nás
[online]. 11.07.2011 [cit. 2012-02-03]. Dostupné z: http://www.techlib.
cz/cs/58-o-nas/
[5]
ELLEDEROVÁ, Blanka. Zpráva z odborné exkurze do NTK [online]. Filozofická fakulta Univerzity Karlovy, 25.04.2011 [cit. 2012-02-04].
Dostupné z: http://www.joomla.slamow.com/sklad/doc_download/
173-zprava-z-odborne-exkurze-do-ntk-blanka-ellederova.html
[6] Národní
technická
knihovna
–
moderní
instituce
s
tradicí
[online].
20.7.2009
[cit.
2012-02-04].
Dostupné
z:
http://www.stavebnictvi3000.cz/clanky/
narodni-technicka-knihovna-moderni-instituce-s-tradici
[7]
ICT. KISK [online]. 29.12.2010 [cit. 2012-02-06]. Dostupné z: http://
kisk.phil.muni.cz/wiki/ICT
[8]
ACTINET. Úvod do IDS/IPS [online]. 2009 [cit. 2012-03-31]. Dostupné
z: http://www.actinet.cz/bezpecnost_informacnich_technologii/
l19/cl25/st1/j1/Uvod_do_IDS/IPS.html
[9]
ENLOGIT. RHEL5 PŘINÁŠÍ ŘADU ZLEPŠENÍ, KLÍČEM JE VIRTUALIZACE [online]. 2012 [cit. 2012-04-01]. Dostupné z: http://enlogit.
com/news/rhel5-prinasi-radu-zlepseni-klicem-je-virtualizace
[10] JEDNOTNÁ INFORMAČNÍ BRÁNA. Portál STM [online]. 2012 [cit.
2012-04-08]. Dostupné z: http://tech.jib.cz/napoveda/o-projektu/
informace-o-portalu-stm
71
Seznam použité literatury
[11] LUPA. Shibboleth - identifikujte se jen jednou [online]. 2005 [cit. 2012-0410]. Dostupné z: http://www.lupa.cz/clanky/shibboleth/
[12] TECHLIB. Co to je VPK? [online]. 2010 [cit. 2012-04-10]. Dostupné z:
http://www.techlib.cz/cs/308-co-to-je-vpk/
[13] FI MUNI. LDAP [online]. 2011 [cit. 2012-04-16]. Dostupné z: http://
www.fi.muni.cz/~kas/p090/referaty/2011-jaro/ut/ldap.html
[14] IKAROS. Identity management na příkladu Národní technické knihovny
[online]. 2009 [cit. 2012-04-16]. Dostupné z: http://www.ikaros.cz/
node/5692
[15] JANSA, Václav. ČTENÁŘ, JEHO ELEKTRONICKÁ IDENTITA A
SLUŽBY KNIHOVNY. Infos, 2011.
[16] 10 triků pro vaše hesla: Bezpečnost počítače. CHIP. 2011, roč. 2011, č. 01,
s. 3.
[17] ROOT. Co je to "Open Source software" [online]. 2001
[cit.
2012-04-28].
Dostupné
z:
http://www.root.cz/clanky/
co-je-to-open-source-software/
[18] TeamPass. A Collaborative Passwords Manager [online]. 2012 [cit. 201204-29]. Dostupné z: http://www.teampass.net/
[19] PECHÁNEK, Adam. Monitorování zaměstnanců. Praha, 2011. Semestrální práce MI-IBE. ČVUT.
[20] ŠTEFKO, Martin, JUDr. Právo a zaměstnání. LexisNexis CZ, 2005. K
problému sledování vlastních zaměstnanců, s. 7-11.
[21] AuditPro. Příručka administrátora systému [online]. 2012 [cit.
2012-04-30]. Dostupné z: http://www.auditpro.cz/data/files/
auditpro70cz-96.pdf
72
PŘÍLOHA
Detailní seznam fyzických
serverů (neveřejné)
73
A
PŘÍLOHA
Detailní seznam virtuálních
serverů a hostovaných
systémů (neveřejné)
75
B
PŘÍLOHA
Detailní seznam používaného
software (neveřejné)
77
C
PŘÍLOHA
Výsledek skenování sítě
aplikací Nessus v5 (neveřejné)
79
D
PŘÍLOHA
Návrh projektu „zabezpečení
ICT v NTK“ (neveřejné)
81
E
PŘÍLOHA
Obsah přiloženého CD
(root)
text ....................................................... text práce
DP_Pechánek_Adam_2012.pdf ............ text práce ve formátu PDF
DP_Pechánek_Adam_2012.ps ............... text práce ve formátu PS
software
prakticka_cast
dude-install-4.0beta2.exe............Instalátor aplikace Dude
Nessus-5.0.1-x86_64.msi.............Instalátor aplikace Nessus
zabezpeceni_site
logwatch-7.4.0.tar.gz ............ Instalátor aplikace Logwatch
NTSyslog2.msi.......................Instalátor služby NTSyslog
swatch-3.2.3.tar.gz ................ Instalátor aplikace SWatch
zabezpeceni_pristupu
xampp-linux-1.7.7.tar.gz ........... Instalátor balíku XAMPP
wampserver2.2d-x32.exe...............Instalátor balíku WAMP
TeamPass.zip.................Zdrojové soubory aplikace SWatch
monitorovani_provozu
auditpro7-build2-102.msi.........Instalátor aplikace AuditPro
PsExec.exe.............Nástroj PSEXEC pro vzdálenou instalaci
83
F
Download

Sem vložte zadání Vaší práce.