Bezpečnost sítě PODA

Otázkám bezpečnosti sítí věnujeme nemalou pozornost.

Základní informace o zabezpečení systémů, připojených společností PODA, a zároveň o některých bezpečnostních problémech obecně.

Bezpečnost sítě klienta a provozu, který se v této síti odehrává

Síť každého klienta je od zbytku sítě PODA (a tím i od zbytku internetu) primárně oddělena připojovacím routerem, který spravujeme. Router zajišťuje zejména:

  • přenos dat ze sítě klienta, určených „do zbytku světa“ a zprostředkování jejich doručení na místo určení
  • příjem dat pro počítač v síti klienta „ze zbytku světa“ a předání těmto počítačům

Připojovací router tak funguje jako účinný filtr a nepropouští žádný provoz generovaný v síti klienta, který je určen zase jen počítačům na této síti a rovněž nevpouští do sítě klienta žádný provoz, který této síti není určen. Nikdo mimo sítě klienta tedy nemá možnost „odposlouchávat“ provoz, který se v této síti odehrává a například tak zjistit uživatelská jména a hesla ke sdíleným diskům a podobně.

Připojovací routery přenášejí pouze provoz protokolem TCP/IP, nepřenášejí žádné jiné protokoly. Proto data přenášená protokolem IPX nebo protokolem NetBEUI nikdy nemohou opustit síť klienta ani do ní nemohou být vpašována.

Toto platí i v případech, že je k jednomu připojovacímu routeru připojeno více klientů (typicky například v kancelářských budovách). I zde jsou sítě jednotlivých klientů striktně odděleny a žádný z klientů nemá možnost odposlouchávat provoz na síti jiného klienta.

Znamená to, že provoz mezi systémy na klientské síti je kompletně zabezpečen a nelze jej ani odposlouchávat, ani narušit.

Bezpečnost počítačů klienta před cílenými útoky zvenčí

Dalším problémem je možnost napadení počítačů v síti klienta úmyslným útokem ze systémů vně této sítě. I proti této hrozbě nabízí společnost PODA a.s. možnost ochrany.

Základním ochranným prvkem, který chrání systémy našich klientů před eventuálním napadením z jiných sítí je připojovací router, který dokáže fungovat zároveň jako firewall. Striktně vymezuje, jaký typ provozu je do klientské sítě a z ní přenášen.

Firewall umožňuje zajistit vysokou odolnost klientských systémů proti útokům zvenčí. Nastavení nijak nelimitují běžný internetový provoz, mohou však způsobit nedostupnost některých typů internetových služeb – například různých typů chatů nebo audio služeb.

Důležité upozornění:

Firewall není automaticky aktivní. Lze jej aktivovat na přání klienta a je poskytován jako placená služba.

Bezpečnost uživatele v normálním provozu

Samostatnou kapitolou je ochrana uživatele počítače před ním samým. Ve společnosti PODA a.s. nijak nesledujeme ani neomezujeme způsoby, jakým naši klienti internet využívají, což zároveň znamená, že nemůžeme zodpovídat za škody, které si klient způsobí sám svým neopatrným chováním.

Problematice bezpečného chování na internetu je věnována celá řada odborných textů, následující seznam představuje pouze hrubý přehled doporučení, která by měl mít každý uživatel trvale na paměti:

  • Při prohlížení webových stránek není vhodné slepě otevírat všechny odkazy, které stránky nabízejí. Odkazy mohou směřovat na soubory, které mohou za určitých okolností váš počítač poškodit.
  • Nedoporučujeme otevírat soubory z neznámých zdrojů – různé programy, dokumenty a data mohou (ať už úmyslně, nebo neúmyslně) provádět i něco úplně jiného, než o nich jejich autor tvrdí.
  • Neignorujte varování prohlížeče. Vždy, když se prohlížeč na něco zeptá, je vhodné si otázku přečíst, zamyslet se nad ní a pak teprve odpovědět. Pokud nevíte, na co se vás prohlížeč ptá, je lepší celou operaci zrušit a konzultovat ji s někým, kdo vám bude schopen fundovaně poradit. Odevzdané klikání na OK může mít nedozírné následky.
  • Zvýšenou pozornost věnujte jakýmkoliv citlivým transakcím, zejména operacím, v níž uvádíte čísla svých platebních karet nebo jiné citlivé údaje. Základním pravidlem je takové informace poskytovat pouze důvěryhodným sítím a to pouze v případě, že používají zabezpečený protokol HTTPS. Pokud vzdálený systém tento protokol nepodporuje, zásadně se s ním nebavte.
  • Velké nebezpečí představuje elektronická pošta a přílohy v ní, které mohou obsahovat celou řadu různých virů. Samozřejmostí je, že na každém počítači by měl být nainstalován kvalitní antivirový program s pravidelně aktualizovanou databází virů. Doporučujeme také bez váhání a bez výjimek mazat jakékoli přílohy poštovních zpráv, které jste si explicitně od odesilatele nevyžádali a o jejichž obsahu nemáte tušení. Pokud vymažete cokoli, o co jste si neřekli, určitě tím nikomu neublížíte a sami sebe lépe ochráníte.
  • Bezpečnost jakéhokoliv systému stojí a padá s kvalitou použitých hesel. Hesla vytvářejte rozumně dlouhá (alespoň osm znaků), která kombinují velká a malá písmena, číslice a jiné znaky. Neměla by být tvořena žádnými smysluplnými slovy, jmény, číselnými sekvencemi a podobně. Heslo „abcdefg“ je stejně dobré jako žádné heslo a jen o trošičku horší, než když má uživatel „jana“ nastaveno heslo „jana“. Rovněž není vhodné používat stejné heslo v různých systémech a zejména je nevhodné používat totéž heslo na interních počítačových systémech (například na firemním serveru) a zároveň na veřejných internetových službách (například post.cz).
  • Jako samozřejmost, určenou spíše pro pobavení, připomínáme i některá další „bezpečnostní pravidla“, která fungují v normálním životě a přeneseně i ve světe internetu – nebavit se s cizími lidmi, nepsat si PIN fixem na platební kartu, nenechávat klíče v zámku a jiná.

Doporučujeme také, aby počítače, na nichž se nacházejí velmi důležitá nebo důvěrná data (například účetnictví, personální databáze a podobně) vůbec nebyly k internetu připojeny a byly zcela samostatné.

Ochrana proti virům v elektronické poště

V současné době se elektronickou poštou šíří stovky více či méně známých počítačových virů. Proti těmto virům existují v zásadě dva způsoby ochrany.

První z nich je přítomnost nějakého antivirového programu na klientském počítači. Jeho výhodou je sice to, že zároveň chrání počítač i před jinými viry než těmi, které se šíří elektronickou poštou, na druhé straně jsou zde nevýhody. Tou první je nutnosti dbát o aktuálnost virových databází a druhou cena, zejména v případě, že klient využívá více počítačů.

Druhý způsob ochrany je zabránění šíření podobných virů již v zárodku, a to přímo na poštovním serveru poskytovatele. Výhody tohoto způsobu jsou zřejmé. Poštovní server poskytovatele je v neustálém spojení s internetem – 24 hodin denně, 7 dní v týdnu. Aktualizace virových databází může probíhat velmi často a riziko nakažení některým z nejnovějších virů se tak výrazně snižuje. Další výhody mají ekonomický ráz – ušetření přímých i nepřímých nákladů klienta. Nemusí se starat o softwarovou stránku věci a protože poskytovatel tuto službu může provozovat ve velkém, zpravidla ji může nabízet za velmi výhodných podmínek nebo dokonce zdarma.

Společnost PODA a.s. nabízí svým klientům antivirovou ochranu na poštovních serverech od prosince roku 2001. V současné době na serverech běží Icewarp Mail Server s integrovanou antivirovou ochranou. Antivirová ochrana denně zadrží mnoho desítek infikovaných e-mailů, celkově průměrně zhruba desetinu všech příchozích e-mailů. Tyto e-maily nejsou nikam doručeny. Drtivá většina dnešních virů totiž posílá zprávy s nulovou informační hodnotou a zfalšovanou adresou odesílatele.

Antivirová ochrana pošty na našem serveru je poskytována zdarma.

Bezpečnost přenosu dat v síti PODA

Přenos dat mezi klientskými sítěmi a připojovacím uzlem společnosti PODA probíhá po bezdrátových linkách na volných frekvencích určených k bezdrátovému přenosu dat. Odposlouchávání provozu na těchto frekvencích je sám o sobě sice proveditelný, ale technicky poměrně náročný úkon. Přenosová zařízení používaná společností PODA navíc používají různé ochranné mechanismy proti odposlechu – náhodné přeskoky mezi nosnými kmitočty, šifrování přenosu a další. Podle údajů výrobců těchto zařízení je tak možnost odposlechu snížena na minimum.

Dalšími typy přenosových médií jsou metalické a optické rozvody. Na těchto technologiích je možnost odposlechu vázána na nutnost fyzického přístupu k samotnému kabelu, jeho přerušení v místě odposlechu a napojení odposlechového zařízení. Podobná aktivita je rovněž sice proveditelná, ale technicky poměrně náročná a často snadno detekovatelná.

Objektivně vzato je ale tento problém bezpředmětný. Data přenášená po našich páteřních sítích jsou data, která si klienti vyměňují s internetem. To znamená, že v okamžiku, kdy tato data opustí síť společnosti PODA, procházejí celou řadou dalších systémů a není v našich silách ovlivnit, zda je někdo na této cestě neodposlechne.

Můžeme tedy pouze připomenout, že internet není bezpečný a je zapotřebí přemýšlet nad tím, jaká data a kam odesíláme.

Bezpečnost sítě PODA

Bezpečnost systémů našich klientů je úzce spojena s bezpečností sítě společnosti PODA jako celku. Na všech systémech společnosti PODA se používá operační systém Linux, který je celosvětově chápán jako velmi spolehlivý a bezpečný operační systém. Velkou pozornost věnujeme i aktualizacím našich systémů a jejich ochraně.

Připojení k našim systémům za účelem správy nebo údržby je možné pouze prostřednictvím zabezpečených komunikačních protokolů, čímž je vyloučena možnost odposlechu hesel, používaných k jejich správě. Celá síť společnosti PODA je navíc od internetu oddělena firewallem, který chrání naše systémy před napadením zvenčí.

S případnými dotazy týkající se problematiky bezpečnosti se můžete obrátit na adresu [email protected].