HOME PÉČE A PODPORA DOSTUPNOST SLUŽEB O FIRMĚ KONTAKTY

ZABEZPEČENÍ


Společnost PODA věnuje otázkám bezpečnosti nemalou pozornost. Následující text by vám měl poskytnout základní informace o zabezpečení systémů připojených společností PODA a zároveň o některých bezpečnostních problémech obecně.

Bezpečnost sítě klienta a provozu, který se v této síti odehrává


Síť klienta je od zbytku sítě PODA a potažmo i od zbytku Internetu primárně oddělena připojovacím routerem, který je spravován společností PODA. Tento router v zásadě zajišťuje dvě hlavní funkce:
  1. Přenáší ze sítě klienta pouze data určená "do zbytku světa" a zprostředkovává jejich doručení na místo určení.
  2. Přijímá "ze zbytku světa" data určená pro počítače na síti klienta a předává je těmto počítačům.
Z uvedeného vyplývá, že připojovací router funguje jako účinný filtr a nepropouští žádný provoz generovaný v síti klienta, který je určen zase jen počítačům na této síti a rovněž nevpouští do sítě klienta žádný provoz, který této síti není určen. Nikdo vně sítě klienta tedy nemá možnost "odposlouchávat" provoz, který se v této síti odehrává a například tak "odchytit" uživatelská jména a hesla ke sdíleným diskům a podobně.

Za zmínku rovněž stojí, že připojovací routery přenášejí pouze provoz protokolem TCP/IP, nepřenášejí žádné jiné protokoly. Proto například data přenášená protokolem IPX (protokol používaný v sítích Novell NetWare) nebo protokolem NetBEUI (protokol používaný v sítích Microsoft) nikdy nemohou opustit síť klienta ani do ní nemohou být vpašována.

Toto chování platí i v případech, že je k jednomu připojovacímu routeru připojeno více klientů (typicky například v kancelářských budovách). I zde jsou sítě jednotlivých klientů striktně odděleny a žádný z klientů nemá možnost odposlouchávat provoz na síti jiného klienta.

Znamená to, že provoz mezi systémy na klientské síti je kompletně zabezpečen a nelze jej ani odposlouchávat, ani narušit.

Bezpečnost počítačů klienta před cílenými útoky zvenčí


Dalším problémem zůstává možnost napadení počítačů v síti klienta úmyslným útokem ze systémů vně této sítě. I proti této možnosti poskytuje společnost PODA ochranu.

Základním ochranným prvkem, který chrání systémy našich klientů před eventuálním napadením z jiných sítí, je to, že připojovací router dokáže fungovat zároveň jako přísný firewall, který striktně vymezuje, jaký typ provozu je do a z klientské sítě přenášen.

Toto restriktivní nastavení zajišťuje vysokou odolnost klientských systémů proti útokům zvenčí. Nastavení nijak nelimitují "běžný internetový provoz", mohou však způsobit nedostupnost některých typů internetových služeb - například různých typů "chatů", audio služeb a podobně.

Důležité upozornění:
Firewall není automaticky aktivní. Lze jej aktivovat na přání klienta a poskytovat jako placenou službu.

Bezpečnost uživatele v normálním provozu


Úplně samostatnou (a zřejmě i nejobsáhlejší) kapitolou je ochrana uživatele počítače "před ním samým". Společnost PODA nijak nesleduje ani neomezuje způsoby, jakým její klienti Internet využívají, což ovšem znamená, že nemůže zodpovídat za škody, které si klient způsobí sám svým neopatrným chováním.

Problematice "bezpečného chování" na Internetu je věnována celá řada vyčerpávajících dokumentů, následující seznam představuje pouze hrubý přehled doporučení, která by měl mít každý uživatel trvale na paměti:
  • Při prohlížení webových stránek není vhodné "slepě" otevírat všechny odkazy, které stránky nabízí. Odkazy mohou směřovat na různé soubory, které mohou za určitých okolností váš počítač poškodit.
  • Nikdy neotevírat soubory z neznámých zdrojů - různé programy, dokumenty a data mohou (ať už úmyslně nebo neúmyslně) provádět i něco úplně jiného, než o nich jejich autor tvrdí.
  • Neignorovat varování prohlížeče. Vždy, když se prohlížeč na něco zeptá, je vhodné si otázku přečíst, zamyslet se nad ní a pak teprve odpovědět. Pokud nevíte, na co se vás prohlížeč ptá, je lepší celou operaci zrušit a konzultovat ji s někým, kdo vám bude schopen fundovaně poradit. Odevzdané klikání na "OK" může mít nedozírné následky.
  • Zvýšenou pozornost věnujte jakýmkoliv citlivým transakcím - zejména operacím, v níž uvádíte čísla svých platebních karet nebo jiné důvěrné údaje. Základním pravidlem je takové informace poskytovat pouze důvěryhodným sítím a to pouze v případě, že používají zabezpečený protokol HTTPS. Pokud vzdálený systém tento protokol nepodporuje, zásadně se s ním nebavte.
  • Velké nebezpečí představuje elektronická pošta a přílohy v ní, které mohou obsahovat celou řadu různých virů. Samozřejmostí je, že na každém počítači by měl být nainstalován kvalitní antivirový program s pravidelně aktualizovanou databází virů. Doporučujeme také bez váhání a bez výjimek mazat jakékoliv přílohy poštovních zpráv, které jste si explicitně od odesilatele nevyžádali a o jejichž obsahu nemáte tušení. Řada společností dnes rozesílá pravidelné nabídky v podobě dokumentů Microsoft Word - samo o sobě je toto chování nepříjemné a podobné dokumenty navíc velice často obsahují různé viry. Pokud vymažete cokoliv, o co jste si neřekli, určitě tím nikomu neublížíte a sami sebe lépe ochráníte.
  • Bezpečnost jakéhokoliv systému stojí a padá s kvalitou použitých hesel. Hesla by měla být rozumně dlouhá (alespoň osm znaků), měla by kombinovat velká a malá písmena, číslice a jiné znaky a neměla by být tvořena žádnými smysluplnými slovy, jmény, číselnými sekvencemi a podobně. Heslo abcdefg je stejně "dobré" jako žádné heslo a jen o trošičku horší, než když má uživatel jana nastaveno heslo jana. Rovněž není vhodné používat stejné heslo na různých systémech a zejména je nevhodné používat totéž heslo na interních počítačových systémech (například na firemním serveru) a zároveň na veřejných internetových službách (například post.cz).
  • Jako samozřejmost, určenou spíše pro pobavení, připomínáme i některá další "bezpečnostní pravidla", která fungují v normálním životě a přeneseně i ve světe internetu - nebavit se s cizími lidmi, nepsat si PIN fixem na platební kartu, nenechávat klíče v zámku a další a další...
Doporučujeme také, aby počítače, na nichž se nacházejí velmi důležitá nebo důvěrná data (například účetnictví, personální databáze a podobně) vůbec nebyly k Internetu připojeny a byly zcela samostatné.

Závěrem musíme poznamenat, že Internet není a nikdy nebyl bezpečné médium. Jakékoliv informace, které o sobě uvedete, může při vyvinutí někdy většího někdy menšího úsilí zachytit i ten, pro nějž nejsou určeny.

Ochrana proti virům v elektronické poště


V poslední době rapidně stoupá počet nakažených počítačů některým z e-mailových virů, tzv. "červů". Tyto viry se šíří díky chybám v poštovních programech, které umožňují vykonávat některé činnosti bez vědomí a souhlasu uživatele. K tomu, aby se takový počítač nechal infikovat podobným virem, stačí pouze to, aby exemplář nakaženého dopisu dorazil do poštovního programu a uživatel jej pouze vybral kurzorem myši (dnešní viry už nepotřebují ke svému šíření spustit nějakou přílohu).

Proti těmto virům existují v zásadě dva způsoby ochrany. První je činnost nějakého antivirového programu na klientském počítači. Jeho výhodou je sice to, že zárověň chrání počítač i před jinými viry než těmi, které se šíří elektronickou poštou, na druhé straně jsou zde nevýhody zejména v nutnosti dbát o aktuálnost virových databází a také v ceně, zejména v případě, že těch počítačů má klient větší množství.

Druhý způsob je zabránění šíření podobných virů již v zárodku a to na místě k tomu nejvhodnějším - přímo na poštovním serveru poskytovatele. Výhody tohoto způsobu jsou zřejmé. Poštovní server poskytovatele je v neustálém spojení s internetem 24 hodin denně, 7 dní v týdnu. Proto aktualizace jeho virových databází může probíhat velmi často a riziko nakažení některým z nejnovějsích virů se výrazně snižuje. Další výhody jsou vesměs ekonomického rázu - ušetření přímých i nepřímých nákladů klienta. Nemusí se starat o softwarovou stránku věci a protože poskytovatel tuto službu může provozovat ve velkém, zpravidla ji může nabízet za velmi výhodných podmínek.

Společnost PODA a.s. nabízí svým klientům antivirovou ochranu na poštovních serverech od prosince roku 2001. V současné době na serverech běží Merak Mail Server společnosti IceWarp Software s integrovanou antivirovou ochranou. Antivirová ochrana denně zadrží mnoho desítek infikovaných e-mailů, celkově průměrně zhruba desetinu všech příchozích e-mailů. Tyto e-maily nejsou nikam doručeny, jsou bez náhrady zahozeny. Drtivá většina dnešních virů totiž posílá zprávy s nulovou informační hodnotou a zfalšovanou adresou odesílatele.

Antivirová ochrana pošty na našem serveru je poskytována zdarma.

Bezpečnost přenosu dat v síti PODA


Přenos dat mezi klientskými sítěmi a připojovacím uzlem společnosti PODA probíhá po bezdrátových linkách na volných frekvencích určených k bezdrátovému přenosu dat. Odposlouchávání provozu na těchto frekvencích je sám o sobě technicky poměrně náročný úkon. Přenosová zařízení používaná společností PODA navíc používají různé ochranné mechanismy proti odposlechu - náhodné přeskoky mezi nosnými kmitočty, šifrování přenosu a další. Podle údajů výrobců těchto zařízení je tak možnost odposlechu snížena na minimum.

I když se zdravou mírou cynismu nemusíme údajům výrobců důvěřovat, objektivně vzato je tento problém bezpředmětný. Data přenášená po našich páteřních sítích jsou data, která si klienti vyměňují s Internetem. Jakmile tato data opustí síť společnosti PODA, procházejí celou řadou dalších systémů a není v našich silách ovlivnit, zda je někdo na této cestě neodposlechne.

V tomto okamžiku můžeme pouze připomenout skutečnosti, které jsme uvedli již dříve - Internet není bezpečný a je zapotřebí přemýšlet nad tím, jaká data a kam odesíláme.

Bezpečnost sítě PODA


Bezpečnost systémů našich klientů je úzce spojena s bezpečností sítě společnosti PODA jako celku. Na všech systémech společnosti PODA se používá operační systém Linux, který je celosvětově chápán jako velmi spolehlivý a bezpečný operační systém. Velkou pozornost věnujeme i aktualizacím našich systémů a jejich ochraně.

Připojení k našim systémům za účelem správy nebo údržby je možné pouze prostřednictvím zabezpečených komunikačních protokolů, čímž je vyloučena možnost odposlechu hesel, používaných k jejich správě. Celá síť společnosti PODA je navíc od Internetu oddělena firewallem, který chrání naše systémy před napadením zvenčí.

Jako jistou slabinu v bezpečnosti našeho systému chápeme použití protokolu POP3 pro výběr poštovních stránek klientů. Bezpečnostní vlastnosti tohoto protokolu jsou poměrně slabé a existuje určité riziko odposlechnutí uživatelského hesla a následného výběru pošty neoprávněnou osobou. Proto na našem mailovém serveru podporujeme čtení pošty přes protokol POP3s, tedy protokol POP3 zabezpečený pomocí SSL. Pracujete-li s poštovním programem, který podporuje výběr pošty zmíněným protokolem, důrazně doporučujeme jeho použití. Pro aktivaci většinou stačí zapnout volbu "zabezpečení pomocí SSL" a odsouhlasení použití našeho serverového certifikátu. Podrobnosti k aktivaci POP3 přes SSL ve vašem poštovním programu najdete v jeho dokumentaci nebo v nápovědě. Totéž platí o protokolech IMAP a SMTP.

Bezpečnostní politika společnosti PODA

  • Ochrana soukromí
  • Veškeré údaje, které společnost PODA udržuje o svých klientech, jsou uloženy na veřejně nepřístupném počítačovém systému a manipulovat s nimi mohou pouze oprávnění pracovníci společnosti PODA.
  • Společnost PODA nesděluje třetím stranám žádné informace o svých klientech s výjimkou případů, kdy vůči třetím stranám má povinnost takto učinit.
  • V případě potřeby (například pro účely diagnostiky problémů) může společnost PODA sledovat provoz na internetové přípojce klienta. Takto získaná data jsou smazána okamžitě po jejich vyhodnocení.
  • Veřejné IP adresy
  • U adresních bloků větších než /30 (1 IP adresa) provádí PODA registraci adresního bloku u RIPE NCC, jako admin-c se uvádějí skutečné kontaktní údaje klienta.
  • U veřejných adres není standardně nastaveno blokování žádného typu provozu (firewall), tyto služby je možné sjednat dodatečně.
  • Služby elektronické pošty
  • Mailové zprávy procházející našimi SMTP servery jsou testovány na výskyt počítačových virů. V případě detekce viru dojde k zahození mailu, odesílatel ani adresát nebudou upozorněni.
  • V případě zavirovaných stanic, rozesílajících velké množství zavirovaných mailů, dojde po jejich zjištění ihned k zablokování přístupu ke službě SMTP bez upozornění. Toto omezení je realizováno limitem 180 zpráv, které je možno odeslat z jedné IP adresy za jednu hodinu.
  • V případě rozesílání nevyžádané pošty ("spamu") přes náš mailserver bude klientovi ihned po zjištění této skutečnosti zablokován přístup na náš mailserver. Bude-li zákazník poté žádat o opětovné povolení přístupu na mailserver, bude tento obnoven po ujištění, že rozesílání spamu nebude pokračovat. Při opakovaném porušení zákazu rozesílání spamu přes náš mailserver bude zákazníkovi zablokován přístup na mailserver trvale a bez náhrady.
S případnými dotazy týkající se problematiky bezpečnosti se můžete obrátit na adresu security (zavináč) poda.cz



KLIENTSKÁ ZÓNA  |  MŮJ MAIL  |  MŮJ GRAF  |  SPRÁVA MAILBOXŮ