Povolíme sdílení dokumentů a máme bezpečnostní problém. Jak zabezpečit malou domácí síť nebo síť v kanceláři proti nežádoucímu užití nebo poškození dat?
Zabezpečení sítě je poměrně komplexní záležitost. Zabezepečovat můžeme na mnoha úrovních. To, jakým způsobem a proti čemu zabepečíme data je do jisté míry dáno také tím, jaká data máme chránit.
Nyní ustoupíme od megalomanských projektů typu „Pentagon“ či „Bílý dům“ a povíme si něco o zabezpečení malé domácí či kancelářské sítě. Důvodem je to, že mnoho takových sítí má pramalé zabezpečení a data v takové síti jsou snadno zneužitelná.
Obecně zabezpečujeme síť
Síť a počítače lze zabezpečit na několika úrovních:
- Router s NAT a HW firewallem. Router je zařízení, které slouží pro připojení vaší sítě k internetu (před routerem samozřejmě může být wifi klient či jiné zařízení). Zajišťuje překlad adres (NAT – native address translation) z vnější do vnitřní sítě a naopak. To jistým způsobem zajišťuje oddělení obou sítí a určitý stupeň bezpečí před útočníky z internetu (tedy vnější sítě). Hardwarový firewall na routeru opět řeší některý nezpečnostní rizika, ale nikdy nenahradi firewall v počítači.
- Zabezpečení bezdrátové (wifi) sítě. K bezdrátové síti se teoreticky může připojit kdokoliv, kdo je v jejím dosahu. Proto je nutné vhodně nastavit její SSID (identifikátor sítě) a nastavit šifrování (WEP nebo lépe WPA). Útočník bude pro připojení do sítě potřebovat heslo.
- Nastavení síťového připojení v klientovi, PC. U síťového připojení je možné povolit či zakázat nepotřebné protokoly. Jsou to například Sdílení souborů a tiskáren. Pokud je ovšem nepotřebujeme.
- Nastavení firewallu v klientovi, PC. Firewall je nezbytná součást zabezepčení jekéhokoliv počítače. Chrání nezabezpečené porty a zajištujě tím základní a přesto velmi účinnou ochranu. Firewall na Wiki.
- Antivirová a antispywarová ochrana klienta, PC. Součástí zabezepečení PC by měl být antivirový program, nejlépe takový, který dokáže zabezepčit i proti spyware a malware.
- Přihlašování a přístupová práva. A v neposlední řadě je důležité správně definovat přístupová práva. Přístupová práva boudou hlavním tématem tohoto článku.
Přihlašování uživatelů
Úplně první, co může útočníka zastavit je přihlášení uživatele. Dostane-li se útočník do počítače bez hesla, tak není co řešit. Proto by se každý uživatel měl přihlašovat pomocí jména a hesla. Přihlašování doporučuji použít i v domácích sítích. Klidně mohou existovat uživatelé „Máma“, „Táta“, „Petr“, „Marie“ atp. Každý z uživatelů by samozřejmě měl mít heslo.
Uživatelé mohou být různých typů, neboli mohou patřit do různých skupin. Standardní nástroj umožňuje vytvářet dva typy uživatelů: Správce (Administrators) a uživatel s omezeným opravněním (Users). V NT systémech (např. Windows 2000, XP, Vista) však existuje více typů oprávnění (skupin), které lze uživatelům přiřazovat ve Správě počítače:
- Skupina Administrators. Uživatel s absolutními právy. Správce počítače. Nedoporučuje se používat pro běžné uživatele. Praxe je ovšem taková, že většina uživatelů jsou administrátoři.
- Skupina Power Users. Tento uživatel je „běžný“ uživatel, který může dělat téměř vše, ale nemůže vytvářet nové uživatele a měnit jejich práva. Může však instalovat aplikace a harwdare, což je často u bežných uživatelů nezbytné. Vhodné pro uživatele Máma a Táta.
- Skupina Users. Uživatel s omezeným oprávněním. Smí spouštět aplikace, ukládat na svoji plochu a do dokumentů a tím to končí. Nemůže např. změnit ani hodiny v počítači. Vhodné pro uživatele Petr a Marie.
Přístupová práva a oprávnění
K prostředkům počítače jako jsou soubory, složky, tiskárny atp. můžeme přistupovat různými způsoby. To, jak k prostředkům můžeme přistupovat řídí přístupová práva (access rights), jejichž souhrn tvoří oprávnění (permissions).
Přístupová práva máme:
- Úplné řízení (full control) – S prostředkem lze libovolně pracovat. Navíc lze prostředku měnit oprávnění.
- Měnit – Lze vytvořit soubor a měnit jej.
- Číst a spouštět – Soubor lze číst i spoučtět.
- Číst – Soubor lze číst, ale nelze jej spustit.
- Zapisovat – Lze vytvořit soubor a do něj zapisovat. Nelze jej však měnit.
Pokud ke složkám a souborům smí přistupovat více uživatelů, je vhodné nastavit odpovídajícím způsobem oprávnění tak, aby nemohlo dojít ke zneužití a poškození dat. Oprávnění lze nastavovat samostatně pro jednotlivé uživatele.
Aby se nemuselo oprávnění nastavovat zvlášť pro každého uživatele, je možné vytvořit skupiny uživatelů (např. Rodiče, Děti). Skupinám se nastaví oprávnění a do skupin se zařadí uživatelé. Tím se může zjednodušit správa pokud je v systému více uživatelů s podobným oprávněním.
Chceme-li použít oprávnění ke složkám a souborům, musíme použít souborový systém NTFS, který použití oprávnění umožňuje (ACL, access control list). U většiny současných počítačů s Windows XP či Windows Vista je tento souborový system již používaný. Dřívější souborové systémy FAT a FAT32 použití opravnění neumožňují. Navíc se ani nejsou vhodné pro dnešní disky s velkými kapacitami.
Sdílíme data
Prostředky (složky, soubory, tiskárny) lze sdílet dvojím způsobem:
- Mezi uživateli jednoho PC. To je zajištěno tak, že k prostředkům mají oprávnění potřební uživatelé. Sobory se mohu umístit do složky Sdílené dokumenty nebo kamkoliv jinam na disku.
- Mezi více počítači v síti. Používá-li se více poučítačů v síti, je vhodné sdílet data či tiskárny. Vyžaduje to však uvažit a vhodně nastavít oprávnění jednotlivých uživatelů. Poskytujeme data i jiným uživatelům a ti by je mohli zneužít.
Máte-li v bytě bezdrátovou síť (wifi), která není zabezpečena, a nasdílené dokumenty bez jakéhokoliv omezení, nabízíte data a svoji síť jakýmkoliv záškodníkům v dosahu vaší sítě. Je tedy nutné zabezpečit jak wifi síť (šifrování WEP nebo WPA) a také nastavit jmenovitě oprávnění ke sdíleným prostředků. Nepovolovat žádné anonymní připojování!
Pro sdílení lze též nastavovat oprávnění. Výsledná opravnění se sčítají s oprávněními složek a souborů tak, že platí vždy to přísnější. Má-li ted uživatel Petr možnost měnit Dokumenty, ale Dokumenty jsou nasdílené pouze pro čtení, přes síť Petr může pouze číst, nikoli však zapisovat.
Abychom mohli přistupovat z druhého počítače na sdílené prostředky na prvním počítači, je třeba mít na obou počítačí stejné přihlašovací jméno a heslo. Podle toho systém identifikuje uživatele a může správně interpretovat jeho oprávnění.
Pro vhodné zabezpečení nelze doporučit systém Windows XP Home Edition, protože jeho schopností v této oblasti jsou velmi velmi omezené.