VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ
Fakulta podnikatelská
DIPLOMOVÁ PRÁCE
Brno, 2017 Bc. Viktor Dupač
VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY
FAKULTA PODNIKATELSKÁ FACULTY OF BUSINESS AND MANAGEMENT
ÚSTAV INFORMATIKY INSTITUTE OF INFORMATICS
NÁVRH BEZPEČNOSTNÍHO ŘEŠENÍ PERIMETRU ORGANIZACE THE DESIGN OF A PERIMETER SECURITY SOLUTION OF AN ORGANIZATION
DIPLOMOVÁ PRÁCE MASTER'S THESIS
AUTOR PRÁCE Bc. Viktor Dupač AUTHOR
VEDOUCÍ PRÁCE Ing. Petr Sedlák SUPERVISOR
BRNO 2017
Zadání diplomové práce
Ústav: Ústav informatiky
Student: Bc. Viktor Dupač
Studijní program: Systémové inženýrství a informatika
Studijní obor: Informační management
Vedoucí práce: Ing. Petr Sedlák
Akademický rok: 2016/17
Ředitel ústavu Vám v souladu se zákonem č. 111/1998 Sb., o vysokých školách ve znění pozdějších předpisů a se Studijním a zkušebním řádem VUT v Brně zadává diplomovou práci s názvem:
Návrh bezpečnostního řešení perimetru organizace
Charakteristika problematiky úkolu: Úvod Vymezení problému a cíle práce Teoretická východiska Analýza současného stavu Vlastní návrh řešení Zhodnocení a přínosy práce Závěr Seznam použité literatury Přílohy
Cíle, kterých má být dosaženo: Pro vybranou společnost (organizaci) na základě analýzy navrhněte v rámci zavádění ISMS bezpečnostní řešení perimetru.
Základní literární prameny: ČSN ISO/IEC 27001, Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky. Praha: Český normalizační institut, 2014.
ČSN ISO/IEC 27002, Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Soubor postupů. Praha: Český normalizační institut, 2014.
DOUCEK, Petr. Řízení bezpečnosti informací: 2. rozšířené vydání o BCM. 2., přeprac. vyd. Praha: Professional Publishing, 2011. ISBN 978-80-7431-050-8.
Fakulta podnikatelská, Vysoké učení technické v Brně / Kolejní 2906/4 / 612 00 / Brno ONDRÁK, Viktor, Petr SEDLÁK a Vladimír MAZÁLEK. Problematika ISMS v manažerské informatice. Brno: Akademické nakladatelství CERM, 2013. ISBN 978-80-7204-872-4.
Termín odevzdání diplomové práce je stanoven časovým plánem akademického roku 2016/17
V Brně dne 28.2.2017
L. S.
doc. RNDr. Bedřich Půža, CSc. doc. Ing. et Ing. Stanislav Škapa, Ph.D.
ředitel děkan
Fakulta podnikatelská, Vysoké učení technické v Brně / Kolejní 2906/4 / 612 00 / Brno
Abstrakt: Tato diplomová práce se věnuje návrhu bezpečnostního řešení perimetru organizace. V první části práce popisuji teoretická východiska a od kapitoly šest se již věnuji hlavní tématice práce. V první logické části řešení zadání popisuji současný stav orga- nizace a začínám plánovat řešení zadání práce. Další logická část se věnuje routeru Turris Omnia, který jsem dle jeho parametrů vybral pro nasazení na perimetr. V této části práce popisuji vlastnosti zařízení z několika pohledů, jeho nastavovací rozhraní a možnosti softwarového a hardwarového rozšíření. Následující část se zabývá bez- pečnostním řešením perimetru organizace. Poté následuje část zhodnocení a přínosy práce a závěrečná část závěr práce. Abstract: This thesis describes the design of a perimeter security solution of an organisation. In the first part of this thesis I am describing some theoretical basics and since chapter six I start describing the main topic of this thesis. In the first logical part of the main topic part I am describing a present situation of an organisation and starting the plan- ning of the solution. In the second logical part of the main topic part I am describing the router Turris Omnia. In that part I am describing this device from different angles. Then next logical part describes the final solution of a perimeter security solution of an organisation. And finally after that there is the part of the evaluation and benefits of this thesis and the conclusion of this thesis. Klíčová slova: Bezpečnost, informační bezpečnost, kybernetická bezpečnost, Turris Omnia Key words: Security, information security, cybernetic security, Turris Omnia Citace: DUPAČ, V. Návrh bezpečnostního řešení perimetru organizace. Brno: Vysoké učení technické v Brně, Fakulta podnikatelská, 2017. 199 s. Vedoucí diplomové práce Ing. Petr Sedlák.
Čestné prohlášení Prohlašuji, že předložená diplomová práce je původní a zpracoval jsem ji samostatně. Prohlašuji, že citace použitých pramenů je úplná, že jsem ve své práci neporušil autorská práva (ve smyslu Zákona č. 121/2000 Sb., o právu autorském a o právech souvisejících s právem autorským). V Brně dne 24. května 2017 ……………………………… podpis studenta
Poděkování: Chtěl bych poděkovat vedoucímu této diplomové práce Ing. Petru Sedlákovi za pomoc a náklonnost při řešení této práce. Také bych chtěl poděkovat oponentu Ing. Tomáši Krejčímu z Národního centra kybernetické bezpečnosti za zhoštění se role oponenta práce. Dále bych chtěl poděkovat svým rodičům za náklonnost a umožnění studovat vysokou školu. Zvlášť bych chtěl poděkovat Mgr. Dagmar Rückerové, která mi po- mohla s jazykovou úpravou této práce. Zrovna tak i Mgr. Šárce Rujbrové, která mi dosti pomohla s výslednou verzí nazvu práce v anglickém jazyce. Můj dík patří i všem dalším, kteří mi s touto prací pomohli – zaměstnanci CZ.NIC, uživatelé oficiálního Turris fóra a další, které z důvodu rozsahu poděkování nemohu uvést.
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obsah Obsah ...... 11 Úvod ...... 19 Vymezení problému a cíle práce ...... 21 1 Vlastnosti počítačové sítě ...... 22 1.1 Pojem SOHO ...... 22 1.2 Počítačová síť ...... 22 1.2.1 Propojené systémy ...... 23 1.2.2 Propojovací software ...... 23 1.2.3 Síťový hardware ...... 23 1.2.4 Fyzické přenosové médium ...... 23 1.3 Důvody pro tvorbu sítě ...... 24 1.4 Hlavní druhy sítí ...... 25 1.5 Síťový zásobník ...... 25 1.5.1 Organizace stojící za standardy ...... 26 1.5.2 Standardizační organizace v odvětví počítačových sítí ...... 26 1.6 Referenční model OSI ...... 27 1.7 Fyzická vrstva ...... 28 1.8 Linková vrstva ...... 28 1.9 Síťová vrstva – vrstva, kde prim hrají routery (směrovače)...... 29 1.9.1 Směrovací tabulky ...... 30 1.10 Transportní vrstva ...... 30 1.11 Relační vrstva ...... 31 1.12 Prezentační vrstva ...... 31 1.13 Aplikační vrstva ...... 32 1.14 Model TCP/IP ...... 33 1.14.1 Vztahy mezi OSI a TCP/IP modely ...... 33 2 Management síťové a informační bezpečnosti ...... 34 2.1 Co je síťová bezpečnost ...... 34 2.2 Síťová bezpečnost – normy...... 34 2.2.1 ISO/IEC 27033-1 ...... 34 2.2.2 ISO/IEC 27033-2 ...... 34 2.2.3 ISO/IEC 27033-3 ...... 35 2.2.4 ISO/IEC 27033-4 ...... 35 2.2.5 ISO/IEC 27033-5 ...... 35 2.2.6 ISO/IEC 27033-6 ...... 35 2.3 Pojmy spojené s informační bezpečností ...... 35 2.4 Informační bezpečnost – normy ...... 36
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
2.4.1 ISO/IEC 27000 ...... 36 2.4.2 ISO/IEC 27001 ...... 36 2.4.3 ISO/IEC 27002 ...... 36 2.5 Zabezpečení hardwaru ...... 37 2.6 Zabezpečení na úrovni fyzické vrstvy OSI modelu ...... 37 2.7 Management pasivní vrstvy ...... 37 2.7.1 Výhody managementu pasivní vrstvy ...... 37 2.8 Management bezpečnosti pasivní vrstvy ...... 38 2.8.1 Stupeň 0 ...... 38 2.8.2 Stupeň 1 ...... 38 2.8.3 Stupeň 2 ...... 38 2.9 Zabezpečení na úrovni linkové vrstvy OSI modelu ...... 39 2.10 Zabezpečení na úrovni síťové vrstvy OSI modelu ...... 39 3 SOHO sítě ...... 40 3.1 Možné důvody pro založení SOHO sítě: ...... 40 3.2 Nejčastější prostředky pro propojení SOHO sítě...... 41 3.3 Širokopásmové spojení ...... 41 3.3.1 Výčet nejčastěji vyskytované širokopásmové technologie ...... 41 3.4 Bezdrátová spojení ...... 42 3.5 Wi-Fi sítě ...... 43 3.5.1 Historie IEE 802.11x ...... 43 3.5.2 Pásmo 2,4 GHz ...... 44 3.5.3 Pásmo 5 GHz ...... 45 3.5.4 MIMO ...... 45 3.5.5 MU-MIMO ...... 46 3.6 Zařízení v bezdrátové síti ...... 46 3.6.1 Access Point (AP) ...... 46 3.6.2 Bezdrátové brány ...... 46 3.6.3 Opakovače ...... 47 3.6.4 Bezdrátové směrovače a brány ...... 47 4 Proč a jak řešit bezpečnost sítí ...... 49 4.1 Zranitelná místa v síti ...... 50 4.2 Síťové útoky ...... 50 4.2.1 Dělení síťových útoků podle OSI modelu ...... 52 4.3 Možná obrana proti útokům ...... 53 4.3.1 Monitorování síťového provozu ...... 53 4.3.2 Remotely-Triggered Black Hole ...... 54 4.3.3 Honeypot ...... 54 4.4 Jak bezpečně navrhnout síť ...... 54
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
4.4.1 Složky profilu útočného povrchu ...... 55 4.4.2 Třináct zásad pro zajištění bezpečnosti ...... 55 5 Kybernetická bezpečnost a její zákon ...... 58 5.1 Zákon o kybernetické bezpečnosti ...... 58 5.1.1 Hlava 1 ...... 58 5.1.2 Hlava 2 ...... 59 5.2 Vyhláška o kybernetické bezpečnosti ...... 63 5.3 Další pojmy spojené s kybernetickou bezpečností ...... 64 6 Analýza současného stavu a základní návrh ...... 68 6.1 Co je třeba pro návrh znát ...... 68 6.2 Analýza rizik ...... 69 6.3 Informace o zařízení fungujícím na perimetru v organizaci ...... 69 6.4 Návrh opatření, politik, zásad a odpovědností ...... 69 6.5 Zabezpečení objektu ...... 71 6.6 Co bude tímto návrhem řešeno ...... 72 6.7 Příprava na nasazení zařízení na perimetr ...... 73 6.8 Vlastní proaktivní přístup ...... 74 6.8.1 Výsledky sběru dat ...... 75 6.8.2 Penetrační testování v restauraci ...... 79 6.8.3 Zkušenosti se zařízením ...... 81 6.9 Závěr analýzy a návrhu ...... 82 7 Projekt Turris ...... 84 7.1 Projekt Turris – jeho smysl a principy ...... 84 7.2 Triáda Turrisu – hardware, software a data ...... 85 7.2.1 Hardware původního routeru Turris ...... 86 7.2.2 Software původního routeru Turris – v čem je Turris jiný ...... 87 7.2.3 Data pro vyšší zabezpečení ...... 89 7.3 Spojení tří sil – distribuovaný adaptivní firewall ...... 90 7.4 Turris pro bezpečnou SOHO síť – souhrn ...... 91 8 Router Turris Omnia – zrození unikátu ...... 93 8.1 Turris Omnia na Indiegogo ...... 95 8.1.1 Počátek kampaně ...... 95 8.1.2 Po dvou měsících ...... 96 8.1.3 Cesta routeru k zákazníkovi...... 99 9 Základní parametry routeru Turris Omnia ...... 101 9.1 Hardware ...... 101 9.2 Software ...... 105 9.3 Tři způsoby přístupu k softwaru Omnie ...... 108 9.4 Rozhraní Foris ...... 110
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.5 Pokročilé rozhraní LuCI...... 115 9.5.1 Stav ...... 115 9.5.2 Systém ...... 118 9.5.3 Služby ...... 123 9.5.4 Síť ...... 129 9.5.5 Statistika ...... 133 9.6 SSH přístup ...... 136 9.6.1 Přístup skrz terminál ...... 136 9.6.2 Přístup prostřednictvím grafického správce souborů ...... 138 9.6.3 Závěr SSH přístupu ...... 141 9.7 Modularita routeru Turris Omnia ...... 141 9.8 Softwarové rozšíření...... 142 9.8.1 Barva LED diod podle vytížení...... 142 9.8.2 Real-time monitorovací systém Netdata ...... 143 9.8.3 Airmon-ng a aircrack-ng ...... 145 9.8.4 Pi-hole skrz Debian v LXC kontejneru ...... 148 9.8.5 Závěr softwarových rozšíření ...... 150 9.9 Hardwarové rozšíření ...... 150 9.9.1 Možnost výměny krytů ...... 150 9.9.2 Rozšiřitelnost MiniPCI-e slotů o síťové karty ...... 156 9.9.3 Rozšiřitelnost MiniPCI-e slotů o úložiště ...... 157 9.9.4 Závěr hardwarového rozšíření ...... 158 10 SWOT analýza pro router Turris Omnia ...... 159 10.1.1 Silné stránky ...... 160 10.1.2 Slabé stránky ...... 162 10.1.3 Příležitosti ...... 163 10.1.4 Hrozby ...... 164 10.1.5 Vyhodnocení a závěr SWOT ...... 165 11 Porovnání tří routerů ...... 166 11.1 TP-LINK TL-WR841N ...... 166 11.1.1 Hardwarové parametry ...... 167 11.1.2 Softwarové parametry ...... 168 11.1.3 Tabulka s parametry pro srovnání ...... 169 11.1.4 Hodnocení routeru ...... 170 11.2 Linksys WRT3200 ACM ...... 171 11.2.1 Hardwarové parametry routeru ...... 171 11.2.2 Softwarové parametry routeru ...... 172 11.2.3 Tabulka s parametry pro srovnání ...... 173 11.2.4 Hodnocení routeru ...... 174
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
11.3 Turris Omnia...... 175 11.3.1 Hardware ...... 175 11.3.2 Software ...... 176 11.3.3 Tabulka s parametry pro srovnání...... 177 11.3.4 Hodnocení routeru ...... 179 11.4 Souhrn porovnání zařízení ...... 180 12 Bezpečnostní řešení perimetru organizace...... 182 12.1 Řešení...... 182 12.1.1 Nákup a příprava na nasazení ...... 182 12.1.2 Nasazení a správa ...... 183 12.1.3 Zabezpečení objektu ...... 185 12.2 Souhrn řešení ...... 186 13 Zhodnocení a přínosy práce ...... 187 14 Závěr...... 190 Seznam literatury ...... 192
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Seznam obrázků
Obrázek 1 – Topologie páteřní sítě CESNET2 [23] ...... 42 Obrázek 2 – Kanály v pásmu 2,4 GHz [24] ...... 44 Obrázek 3 – Kanály v pásmu 5 GHz [24] ...... 45 Obrázek 4 – Infografika společnosti Malwarebytes o ransomwaru [29] ...... 67 Obrázek 5 – Mapa s útoky na router (podle IP adres útočníků) (vlastní data) ...... 75 Obrázek 6 – Graf počtů útoků v jednotlivých částech dne (vlastní data) ...... 77 Obrázek 7 – Graf zastoupení automatizovaných útoků (vlastní data) ...... 78 Obrázek 8 – Ukázka nejčastějšího útoku na můj router (vlastní data/CZ.NIC) ...... 79 Obrázek 9 – Screenshoty z penetračního testování (vlastní zdroj) ...... 81 Obrázek 10 – Graf přiměřené bezpečnosti a akceptovatelných nákladů [13] ...... 83 Obrázek 11 – Pohled do vnitřností routeru Turris 1.0 (zdroj vlastní) ...... 85 Obrázek 12 – Firewall na routeru Turris realizovaný za pomoci Turris triády...... 91 Obrázek 13 – Záběry z původní kampaně pro Turris Omnia [30] ...... 94 Obrázek 14 – Ukázka z kampaně na Indiegogo [32] ...... 97 Obrázek 15 – Pohled do vnitřností routeru Turris Omnia s NAS boxem (zdroj vlastní) ...... 103 Obrázek 16 – Princip SSH Honeypot na routerech Turris (zdroj vlastní) ...... 107 Obrázek 17 – Hlavní přístupy k nastavení routeru Turris Omnia (zdroj vlastní) ...... 109 Obrázek 18 – Karta updater v rozhraní Foris (zdroj vlastní) ...... 113 Obrázek 19 – Sběr dat (vlastní zdroj) ...... 114 Obrázek 20 – Grafy v reálném čase (vlastní zdroj) ...... 118 Obrázek 21 – Přípojné body (zdroj vlastní) ...... 122 Obrázek 22 – LXC kontejnery (zdroj vlastní) ...... 125 Obrázek 23 – Rozhraní v LuCI (zdroj vlastní) ...... 130 Obrázek 24 – řesměrování portů (zdroj vlastní) ...... 132 Obrázek 25 – Majordomo (zdroj vlastní) ...... 134 Obrázek 26 – GrafyP historických dat vykreslené přes RRDtool (vlastní zdroj) ...... 135 Obrázek 27 – SSH přístup přes PuTTY a terminál v Linuxové distribuci (vlastní zdroj) ...... 138 Obrázek 28 – Ukázka užití WinSCP, soubor s nastavením pro sambu (zdroj vlastní) ...... 140 Obrázek 29 – Otevřená okna během penetračního testování (zdroj vlastní) ...... 146 Obrázek 30 – Zjištěné heslo k AP (zdroj vlastní) ...... 148 Obrázek 31 – Pi-hole běžící na virtualizovaném Debianu v Omnii (zdroj vlastní) ...... 149 Obrázek 32 – Vnitřek routeru Linksys WRT3200 ACM [34] ...... 151 Obrázek 33 – ryty pro Omnii v nabídce [35] ...... 152 Obrázek 34 – Deska routeru Turris Omnia se zajímavými porty (zdroj vlastní) ...... 153 Obrázek 35 – KHacker kryt ve všech variantách [35] ...... 154 Obrázek 36 – Porovnání velikosti NAS krytu (žlutý) s krytem původním (zdroj vlastní) ...... 155 Obrázek 37 – TP-LINK TL-WR841N [36] ...... 167 Obrázek 38 – Linksys WRT3200 ACM [37] ...... 171 Obrázek 39 – Turris Omnia [33] ...... 176
Seznam tabulek
Tabulka 1 – OSI model – vrstvy [3] ...... 28 Tabulka 2 – Tabulka standardů IEEE 802.11 v letech [24] ...... 44 Tabulka 3 – Tabulka útoků podle vrstev modelu OSI [25] ...... 53 Tabulka 4 – Útoky jednotlivých států na router (podle IP adres útočníků) (vlastní data) ...... 75 Tabulka 5 – Zastoupení automatizovaných útoků a počty (vlastní data) ...... 78 Tabulka 6 – orovnání parametrů Turris 1.0 vs. Turris 1.1 [26] ...... 87 Tabulka 7 – Hardwarové parametry verzí Turris Omnia [33] ...... 102 Tabulka 8 – SWOTP tabulka (zdroj vlastní) ...... 160 Tabulka 9 – Parametry pro TP-LINK TL-WR841N [36] ...... 170 Tabulka 10 – Parametry pro Linksys WRT3200 ACM [37] ...... 174
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 11 - Parametry pro Turris Omnia [33] ...... 178
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Úvod Je velice nešťastné začínat jakýkoliv text špatnou zprávou, ale myslím si, že je to v tomto případě nutné. Dnešní doba je zlá. Od počátku své existence člověk, jakožto nejchytřejší obyvatel planety – alespoň on to tak vidí, neustále řeší nějaké problémy. Vyřešení jednoho problému vyvolá vznik dalších problémů, a tak se řada bude rozvíjet do skonání světa. S objevením elektřiny a jejím plošným zavedením si člověk bláhově myslel, že tento fenomén člověku samotnému přinese za pomoci elektronických zařízení odpověď na mnoho problémů a otázek. Odpovědi a řešení problémů opět vystřídaly nové otázky a problémy. Relativně nedlouho po elektřině se objevil nový fenomén – informační technologie a internet. Rozmach informačních technologií a internetu člověku opět přinesl odpo- vědi a řešení problémů. Avšak otevřel jakousi jindy v historii neviděnou Pandořinu skříňku nových problémů – problémů, které se týkají právě informačních technologií a internetu. Mezi mnoha problémy informačních technologií a internetu existují i problémy in- formační a kybernetické bezpečnosti. Tato práce se věnuje právě tématice informační a kybernetické bezpečnosti – návrhu bezpečnostního řešení perimetru. Protože díky rozmachu informačních technologií a internetu si musí každý chránit nějakou bezpeč- nost v reálném světě plném všemožných problémů, ale již i v tom elektronickém, který je možné přirovnat k divoké džungli, jež se už nějakou dobu snaží člověk zkrotit.
STRANA 19
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Vymezení problému a cíle práce V této práci se pokusím navrhnout bezpečnostní řešení perimetru organizace. Organi- zací bude kancelář (možné označit jako SOHO), kde se průměrně vyskytuje okolo dvaceti pracovníků, kteří potřebují přistupovat do lokální sítě, sdílet mezi sebou sou- bory a přistupovat k internetu. Je třeba vzít v potaz, že v rámci sítě mohou kolovat citlivá data, která se nesmí dostat ven z lokální sítě, proto je nutné perimetr sítě v hodně zabezpečit tak, by nedošlo k nevhodné komunikaci jak dovnitř lokální sítě, tak i ven z lokální sítě. Vzhledem k tomu, že se řešení kanceláře teprve plánuje, nedojde k žádnému nahra- zování starší techniky, ale k prvnímu nasazení v rámci daného prostoru. V této práci se pokusím najít takové řešení bezpečnosti perimetru organizace, které pokryje co nejlépe bezpečnostní požadavky kanceláře – potažmo lokální sítě v rámci kanceláře. Již nyní je jasné, že k tomu bude zapotřebí nalézt i zařízení, které bude na perimetr umístěno. Toto zařízení by mělo být spolehlivé, bezpečné a mělo by dispo- novat možností rozšíření.
STRANA 21
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
1 Vlastnosti počítačové sítě V prvních částech práce se pokusím shrnout všechny důležité informace, které je třeba brát na vědomí před samotným pořízením a nasazením nejen routeru. Tyto informace jsou užitečné a vlastně i nezbytné pro komplexnější porozumění smyslu funkcionality v rámci sítí. Práce se zabývá síťovými prvky, proto je zapotřebí popsat částečně i okolí, ve kte- rém se síťové prvky nacházejí, pozice okolí, v němž se vyskytují, a samotné důvody, proč se tyto prvky nasazují. Proto je zapotřebí na celou tématiku jít od prvopočátku. Již nyní upozorňuji, že se nebudu moci pokoušet ponořovat se do hloubky témat, pro- tože mi to nedovoluje rozsah této práce – každá větší kapitola podrobně rozebraná z nějakého zajímavého hlediska by s přehledem vystačila na další diplomovou práci.
1.1 Pojem SOHO V této práci několikrát zmíním zkratku SOHO, proto je nutné uvést, co tato zkratka znamená. • SOHO – znamená small office/home office. Zpravidla se jedná o kancelář, která disponuje jedním až deseti pracovníky. Tato zkratka má určitou spojitost se zkratkou LAN, která bude popsána v následujícím textu. Často se totiž používá spojení SOHO LAN, což znamená místní síť v rámci small office/home office. [1]
1.2 Počítačová síť Počítačové sítě se vytvářejí nebo vznikají za účelem výměny dat. Jedná se o jedno či více spojení mezi dvěma a více počítači za účelem výměny dat. Ovšem není to tak zcela jednoduché. Za síť je možné považovat takovou skupinu prvků, která obsahuje: propojovací software, síťové systémy a síťové prvky. [2] Podrobněji je možné síť považovat za skupinu následujících komponent: • Propojené systémy • Propojovací software • Síťový hardware • Fyzická přenosová média • Adresní systém pro všechny výše uvedené komponenty [3]
STRANA 22
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
1.2.1 Propojené systémy Výše zmíněný výčet komponent je výčtem obecnějším, tudíž je možné tento výčet vztáhnout nejen k počítačové síti, ale například i k bezdrátové síti, nebo síti, kde se vyskytují mobilní telefony. Typů sítí může být několik, stejně tak i důvodů k samot- nému vytvoření takové či oné sítě. [3]
1.2.2 Propojovací software Propojovací software je nutnou podmínkou pro vytvoření sítě. Tento software musí být přítomný ve všech systémech, po kterých se chce, aby vytvořili nějakou síť. Zna- mená to tedy, že takový propojovací software musí být v operačním systému počítače či více počítačů, v síťovém hardwaru (kam mimo jiné spadají i routery), v různých zákaznických integrovaných obvodech na míru ASIC, nebo v pamětích samotných sí- ťových karet či rozbočovačů. V dnešní době je výjimečné, že by nějaké zařízení tímto softwarem nějakým způsobem nedisponovalo. [3]
1.2.3 Síťový hardware Za síťový hardware je možné označit veškerý hardware, který nějakým způsobem par- ticipuje v síti. Mohou to tedy být síťové karty, přenosové prostředky – například kabely, rozbočovače, switche, routery a modemy. [3]
1.2.4 Fyzické přenosové médium Za fyzické přenosové médium je možné označit takové médium, které zvládne přenést elektromagnetický signál. Díky nejen předmětům Teorie Systémů či Systémy a sig- nály vím, že signálem je myšlen nějaký měnící se vzorek amplitudy napětí nebo frekvence v čase. Další informační předměty by dodaly, že tento měnící se vzorek zto- tožňuje informace v podobě dat, která se na určitou vzdálenost někudy přenáší až k přijímači, jenž je schopen data přijmout. [4] Z technického hlediska je možné signály rozdělit na analogové a digitální. Analo- gové signály jsou proměnlivé, mohou nabývat širokého spektra hodnot. Digitální signál může naopak nabýt pouze hodnoty určité. Analogové počítače existují, ale dr- tivá většina běžných počítačů pracuje s digitálními signály, konkrétněji signály binárními. [4]
STRANA 23
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Běžné počítače tedy pracují se signály, které používají binární a Booleovskou lo- giku, což znamená, že takový signál je schopen nabýt pouze dvou stavů 1 a 0, či obdobných logických variant (například Ano a Ne). Přesto je možné díky binárním signálům reprezentovat širokou paletu znaků či matematických vlastností, které jsou důležité například pro chod počítače či k řešení téměř všech matematických rovnic. [4] Další zajímavou vlastností je i fakt, že elektromagnetický signál nemusí být nutně přenášen nějakým drátem či kabelem, ale lze toho dosáhnout i vzduchem. Zde se zcela logicky nabízí standard 802.11, který se používá pro přenos radiových vln u Wi-Fi sítí. [3]
1.3 Důvody pro tvorbu sítě Jak jsem již dříve napsal, důvodů pro tvorbu sítě může být několik. Ovšem mezi jakési hlavní přednosti pro tvoru sítí patří: • Možnost sdílení dat – v rámci sítě je možné nasdílet soubor či soubory s daty, pří- stup k těmto souborům je v rámci sítě možné dále různě nastavovat. [2] • Snadné přenášení dat – v rámci sítě je možné přenášet i data, je však nutné myslet na řádné nastavení manipulace a přístupu k souborům. [2] • Sdílení hardwarových prostředků – jednou ze zásadních výhod sítě je i možnost sdílení hardwarových prostředků. V rámci sítě tak uživatelé můžou získat přístup k různým úložištím, tiskárnám, skenerům a dalšímu hardwaru, který nějakým způ- sobem operuje v rámci sítě, a proto není zapotřebí mít například u každého počítače napojenou tiskárnu pro tisk – řešit to lze po síti. Například router Turris Omnia se svým softwarem a hardwarem nabízí možnost sdílení úložiště NAS (úložiště napo- jená přes USB 3.0 nebo MiniPCI-e slot) po síti, stejně tak je možné k routeru připojit tiskárnu a nasdílet ji po síti. [2] • Komunikace v síti – je jasné, že samotné spojení zařízení může dobře posloužit i ke komunikaci mezi zařízeními samotnými. Díky některým prvkům sítě je možné do celé sítě zavést připojení k internetu. [2] • Ochrana dat – tato vlastnost souvisí s možností sdílení dat. Bezpečnost spočívá v tom, že je možné soustředit důležitá data na jednom místě, takže není třeba data ukládat na několik míst. K takto uloženým souborům je pak možné řídit přístup a
STRANA 24
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
oprávnění. Jednotliví uživatelé, případně skupiny uživatelů, mohou se soubory na- kládat – soubor nevidí, mohou soubor pouze číst, mohou soubor měnit a tak dále. Takovéto řešení má výhodu, že se ušetří místo na discích a díky systému ukládání souborů se může zamezit nějakému zmatenému hledání souborů po všech možných zařízení – soubory jsou pohromadě tam, kde mají být. Určitě se ale vyplatí zálohovat soubory, a to nejen kritické soubory, ale i někde jinde mimo síť tak, aby bylo možné soubory případně z takového místa obnovit. Router Turris Omnia vše zmíněné díky svému hardwaru a softwaru podporuje, důležité soubory sdílené přes router z úlož- ných médií navíc synchronizuji s cloudovým úložištěm pro případ, kdyby došlo k nějakému selhání softwaru, hardwaru nebo nějakému útoku. [2]
1.4 Hlavní druhy sítí Sítě je možné rozdělovat z mnoha hledisek, nejčastěji se však dělí podle své rozlehlosti následujícím způsobem: • LAN – (Local area networks) – již podle názvu je zřejmé, že se jedná o lokální sítě složené ze dříve zmíněných prvků v rámci nějakého lokálního místa – například do- mácnost, budova, kancelář, místnost. Troufám si tvrdit, že to je právě ta síť, kterou máte doma. Zde se vyskytují routery včetně zástupce, o kterém je tato práce. [1] • WAN – (Wide area networks) – tento druh sítí se posouvá o řád výše. Sítě WAN se skládají z několika navzájem propojených sítí LAN. Zde neexistují prakticky žádné velikostní limity. Za WAN je možné označit nějaký soubor LAN sítí například v rámci města, zrovna tak lze za WAN označit soubor všech LAN sítí v rámci státu. Zde si opět troufám říci, že taková nejznámější WAN síť je internet. [1] • MAN – (Metropolitan area network) – občas se někde objeví i tento typ sítí (přišlo to z USA). Jedná se o takzvanou městskou síť. Velikostí se jedná o mezistupeň mezi LAN a WAN. Udává se, že za MAN je možné označit síť, která se vyskytuje na území rozsahu jednoho amerického města, tedy do 75 kilometrů. Tato zkratka se občas objevuje i v propagačních připojení k internetu různých poskytovatelů. [1]
1.5 Síťový zásobník Za síťový zásobník je možné považovat model a architekturu, které popisují transakce mezi dvěma systémy. Vznik modelů je zřejmý – standardizace. [3]
STRANA 25
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
1.5.1 Organizace stojící za standardy S rozmachem počítačů v 70. a 80. letech 20. století vzniknul nový problém – zajistit vzájemnou kompatibilitu produktů různých výrobců. Výrobci spolu často nespolupra- covali a každý měl tendence tvořit svá řešení. K vytvoření standardu bylo a je tedy nutné, aby vzájemně spolupracovaly standardizační organizace, které fungují na ko- merční i akademické půdě. [3] Standardizační komise bývají někdy zformovány standardizační organizací, která spravuje nějakou oblast se standardy. Někdy zase naopak bývají komise zformovány průmyslovou skupinou, která je zorganizovaná za účelem vytvoření standardu pro jednu technologii nebo související sadu technologií. [3] Standardizace je nejčastěji rozčleněna do těchto fází: 1. Zformování skupiny 2. Výzva k návrhu 3. Výzva ke komentářům 4. Testování a úpravy 5. Načrtnutý standard 6. Přijatý standard [3]
1.5.2 Standardizační organizace v odvětví počítačových sítí Mezi světové hráče na poli standardizačních organizací patří: • ANSI – American National Standards Institute – což je americká nezisková organi- zace, která se zabývá standardizací produktů a služeb [5] • ISO – Intenational Organization ford Standardization – tato organizace mimo jiné tvoří i standardy a modely, které se používají na poli komunikačních technologií. [6] • ITU-T – International Telecommunications union – Telecommunications Group, ITU-R – Radiocommunications Group a ITU-D – Telecommunications Develop- ment – všechny tyto organizace mají něco společného se spojovací technologií a telekomunikací. [7]
STRANA 26
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• IETF – Internet Engineering Tisk Farce – tato organizace vytváří internetové stan- dardy, je také součástí skupiny těles, která definují protokoly TCP/IP a další protokoly na internetu používané. [8] • IEEE – Institute ov Elektrika and Elektronice Engineers – tato organizace je hlav- ním orgánem pro drátové a bezdrátové komunikační protokoly. [9] • SNIA – Stírače Networking Industrie Asociativní – tato organizace určuje síťové standardy pro ukládání dat přes optická vlákna, vysokorychlostní Ethernet, iSCI a další. [10] • W3C – World Wide Web Consortium – centrála standardizace pro web, původce standardů jako je HTML či protokolů užívaných webovými servery. [11] • ČSN – České technická norma – ačkoliv zákonem chráněné výlučné slovní označení nekoresponduje se zkratkou, jedná se o organizaci, která spadá pod Úřad pro tech- nickou normalizaci, metrologii a státní zkušebnictví a vydává vyhlášky na našem území. [12]
1.6 Referenční model OSI Model OSI (Open Systems Interconnecion) je jedním z nejpoužívanějších a nejdůle- žitějších síťových modelů. Celou síťovou komunikaci rozděluje do sedmi vrstev a v rámci těchto sedmi vrstev na každé vrstvě určuje způsob procesu výměny dat. Každá vrstva data přijme, obalí data dalšími informacemi a pošle dál. Vstupní data, která vstoupí do dané vrstvy, jsou nejdříve použita k obalení dalšími informacemi, poté smazána – odesílá se jakýsi otisk původních dat. [3]
STRANA 27
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 1 – OSI model – vrstvy [3]
1.7 Fyzická vrstva Fyzická vrstva je v rámci OSI modelu na nejnižší úrovni. Funkcí této vrstvy je odpo- vědnost za přenášení bitů informací z jednoho místa na druhé. Tato vrstva vlastně popisuje elektrické/optické, mechanické a funkční vlastnosti. Už tam se nastavuje norma pro reprezentaci booleovských hodnot 1 a 0 pomocí zmíněných vlastností. Pro tuto vrstvu je důležitá i forma přenosu, kam nejčastěji patří: • Měděné kabely a dráty – například Ethernetové kabely, kroucená dvoulinka, Ap- pleTalk a další • Optická skleněná vlákna – optické kabely • Radiová komunikace – vzduchem šířená komunikace využívající elektromagnetic- kého signálu [4] V rámci fyzické vrstvy je možné rozeznávat i další hardware, který je nějakým způso- bem (fyzicky nebo vzduchem) pospojován v rámci sítě – síťové karty, modemy, rozbočovače, switche atd. Stručně řečeno, tato vrstva řeší kabeláž a „zadrátování“. [4]
1.8 Linková vrstva Tato vrstva řeší síťovou trasu, kudy proudí datové byty mezi vysílacím a přijímacím systémem. Na této vrstvě existuje řídící mechanismus, který určí cestu dat v síti. Na této vrstvě je také důležité vyřešit určení začátku a konce úseku jednotlivých dat –
STRANA 28
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE zprávy. Data se zde dělí na datové rámce, větší zprávy se tedy dělí na menší části, nejčastěji o délce několika stovek až tisíc bajtů. [3] Dělení dat do rámců vytváří další bod, který musí linková vrstva kompletně řešit. Je totiž nutné, aby linková vrstva disponovala mechanizmem, který pořadí rámců seřadí do správného sledu na straně příjemce – aby zkrátka příjemci přišlo to, co bylo odesí- latelem posláno. Správnost je zajišťována pomocí odesílání potvrzovacích rámců příjemcem odesílateli, což slouží jako signalizace toho, co již příjemce obdržel. [3] Linková vrstva také musí řešit správu přenosové rychlosti. Rychlost přenosu nesmí být moc vysoká, aby nedošlo ke ztrátě dat, ale zase nesmí být ani moc nízká, aby ne- došlo k plýtvání šířky přenosového pásma. Optimální rychlost je zajišťována pomocí systému pro regulaci rychlosti přenášení dat, který zahrnuje vyrovnávací paměť pro rámce, které jsou přijímány. Tato vyrovnávací paměť je vyhrazena pro rámce, které do systému v nedávné době přibyly do sítě. Efektivnost a bezchybnost toku dat je za- jištěna faktem, že dříve zmíněné potvrzovací rámce obsahují aktuální informace právě o stavu vyrovnávací paměti pro rámce. Datové i potvrzovací rámce se pohybují po stejné fyzické cestě, proto je právě na linkové vrstvě i řešení v podobě schématu, které potvrzovací rámce napojuje na datové rámce. Na linkové vrstvě se také řeší podvrstva pro přístup k médiu, která se v rámci všesměrové síťové komunikace, i třeba přes TCP/IP protokol – potažmo Ethernet, používá. Zde se určuje, které rámce mají přístup k datovým kanálům. Na této vrstvě se nasazují mosty a přepínače. [3]
1.9 Síťová vrstva – vrstva, kde prim hrají routery (směrovače) Tato vrstva je zodpovědná za spojení a směrování v rámci sítě. Síťová vrstva funguje na konceptu označovaném jako relace. Zde jsou vykonávány funkce řízení a směro- vání (routování) trasy datových paketů cestujících mezi jednotlivými sítěmi. V rámci síťové vrstvy existuje i správa datového toku, která slouží k zabránění zahlcení podsítě velkým množstvím paketů v jeden okamžik. Mechanismus pro kontrolu toků je závislý na směrovacích trasách, které jsou vyústěním funkce směrování. [3] Může nastat i situace, kdy různé sítě či podsítě mohou vyžadovat rozdílné formáty dat. Při překonávání hranic států může dojít ke změně adresace, rychlosti přenosu nebo protokolu pro přenos. V některých sítích je vyžadováno nějakým způsobem evidovat
STRANA 29
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE informace o přenesených datech – například za účelem vyúčtování. Všechny tyto pro- blémy jsou řešeny právě na síťové vrstvě. U všesměrových systémů se síťová vrstva buď nevyskytuje, nebo je minimální, protože se data posílají všem systémům, které je vyžadují. [3]
1.9.1 Směrovací tabulky Pro přepínané sítě je směrování naprosto nezbytným prvkem. Jeho nezbytnost tkví v tom, že poskytuje možnost přizpůsobení se dynamicky probíhajícím změnám v síti. Router (směrovač) v případě nezískání potvrzení o doručení od dalšího směrovače na trase, může zkusit využít další nejlepší trasu. Routery v sobě uchovávají spojení a trasy v takzvaných směrovacích tabulkách, které mohou být: • Statické – adresy zůstávají zafixované – vhodné tam, kde dochází k minimálním změnám – malé sítě, nebo naopak rozlehlé vysokorychlostní sítě, kde jsou spoleh- livé a stále dostupné adresy • Dynamické – adresy se mění – vhodné všude jinde [3]
1.10 Transportní vrstva Transportní vrstva slouží jako jakýsi kontrolní most pro předávání dat mezi síťovou a relační vrstvou. Jejím účelem je rozdělit data, která patří k nějaké relaci, a správně – ve správném formátu a velikosti – je předat síťové vrstvě. Naopak pokud ze síťové vrstvy putují přijatá data právě do vrstvy transportní, je třeba, aby tato vrstva zajistila korektní seřazení přijatých paketů, rekonstrukce relačních informací a potvrzení při- jetí. Na jedno spojení u transportní vrstvy může být vytvořeno a používáno více spojení na vrstvě síťové, je-li to nutné. [3] Tato vrstva pro vyšší vrstvy síťového zásobníku, které jsou typicky softwarové po- vahy, také nabízí jakousi abstrakci vrstev pod sebou, které jsou převážně na bázi hardwaru. Tato vrstva během výměny dat mezi systémy provádí dle aktuální potřeby správu a řízení multiplexních datových spojení. Řídí se takto na této vrstvě datový tok. [3] Transportní vrstva je jedinečná v rámci OSI modelu díky spojení jedinou přímou vazbou. U ostatních vrstev OSI modelu jsou práce jednoho systému zcela nezávislé na fungování jeho protějšku v síti. Dorozumívání odesílacích a přijímacích systémů na
STRANA 30
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE transportní vrstvě probíhá přímo pomocí záhlaví a řídících zpráv. Zatímco řídící zpráva je obvykle velmi malý paket, záhlaví zprávy je speciální pole paketu, které obsahuje informace o přiložené zprávě. [3] Předešlé vrstvy hardwarové povahy – fyzická, linková, síťová – mohou vytvářet spojení pouze mezi přiléhajícími uzly, kvůli neurčitosti systémů napojených na tyto vrstvy. Jak už ale bylo zmíněno dříve, směrování na síťové vrstvě může za určitých podmínek z libovolného počtu systémů vytvořit požadované spojení. Vyšší vrstvy OSI modelu na softwarové bázi – relační, prezentační a aplikační – pak dále pracují už jen s jednotlivými komunikačními kanály vytvořenými přímo mezi koncovými body. [3]
1.11 Relační vrstva Tato vrstva řeší relace – navazuje, udržuje a ukončuje spojení, přesněji relaci. Zrovna tak řeší služby pro inicializaci výše zmíněných situací. Na této vrstvě je řešena bez- pečnost pomocí mechanismů, které slouží například k přihlašování k relaci, případně provádí další podoby dialogu s uživatelem. [3] Na této vrstvě probíhá duplexní či poloduplexní komunikace. Při poloduplexní ko- munikaci hraje důležitou roli token (identifikátor), který je v rámci relační vrstvy vysílán vlastníkem tokenu. Pokud token vlastník uvolní a předá protistraně, protistrana pak může informace posílat opačným směrem. [3] Na této vrstvě je také realizováno připojování značek pro kontrolní body či oddělo- vače. To může v případě přerušení přenosu znamenat, že po opětovném navázání přenosu nebude nutné přeposílat všechna dříve odeslaná data přerušené relace. Syn- chronizace datových toků na této vrstvě zaručuje jak spolehlivost, tak efektivitu vysílaných relací. [3]
1.12 Prezentační vrstva Tato vrstva slouží hlavně pro konverzi dat, často se totiž stává, že přenášená data mo- hou být v různých sítích různě kódována. Prezentační vrstva sjednocuje formu přenášených informací. [3] Přesněji řečeno lze i říci, že při komunikaci z aplikační vrstvy do prezentační může dojít před odesláním dat do relační vrstvy ke třem hlavním událostem: formátování, kompresi a šifrování dat. Naopak při proudění dat z relační vrstvy přes prezentační
STRANA 31
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE vrstvu do vrstvy aplikační může dojít k: formátování, dešifrování a dekomprimaci tak, aby byla data pro aplikaci srozumitelná. [3] Prezentační vrstva je schopna z aplikační vrstvy přijmout objekty v různých dato- vých typech. Ovšem podstatná je i možnost získaná data nějak předat dále v přijatelné podobě například jiným systémům, které používají standardizovaný kódovací formát. K tomu jsou používány různé protokoly pro vyřešení situací, které mohou nastat na- příklad při používání různých operačních systémů a aplikací. Díky této konverzi dat tak spolu mohou komunikovat počítače, které mají zcela rozdílnou znakovou sadu, například ASCII s Unicode. [3]
1.13 Aplikační vrstva Zde se už jedná o vrstvu, na které pracuje software, s nímž je v přímém kontaktu sa- motný koncový uživatel. Mezi softwarem operujícím na této vrstvě je spoustu různých typů aplikací od webového prohlížeče počínaje až po nějakou příkazovou řádku napří- klad pro SSL přístup k routeru. Ovšem je třeba brát na vědomí, že ne každý program operuje na aplikační vrstvě. Programy mohou operovat na několika vrstvách zároveň, pouze na jedné vrstvě, případně nemusí operovat na žádné vrstvě OSI modelu. Počí- tačová aplikace zkrátka není vždy záležitostí aplikační vrstvy OSI modelu a v některých případech ani samotného OSI modelu. [3] Nejjednodušeji lze software na aplikační vrstvě rozeznat pomocí možnosti terminá- lové relace. Terminál je aplikace, která umožní přístup k nějakému systému, slouží jako rozhraní daného systému pro interakci s uživatelem. Přes terminál je možné za- dávat a spouštět různé příkazy, které uživatelům odkryjí různé informace o systému, případně provedou nějakou změnu v rámci systému. Zahájením terminálové relace do- jde k přihlášení ke vzdálenému systému a znamená to užití aplikace na aplikační vrstvě. [3] Pro pokrytí velké škály systémových aplikací v rámci jedné relace je nezbytné, aby existoval jednotný způsob komunikace programů s terminálovou relací samotnou. Terminálové aplikace je naštěstí možné spojit prostřednictvím virtuálního síťového terminálu, který používá standardizovaný způsob interakce mezi aplikacemi a něko- lika typy terminálů [3]
STRANA 32
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Na aplikační vrstvě se objevuje velice různorodá škála aplikací. Skladba těchto apli- kací může být systém od systému velice proměnlivá. Takové aplikace pak nejčastěji nabízí tyto funkce: • Vlastnosti zobrazení • Provádění a správa vstupně výstupních operací • Přenosy souborů • E-mail • Síťový tisk • Vyhledávání informací v adresářových službách Na této vrstvě je možné rozlišovat i zdaleka největší sadu síťových protokolů, mezi které patří například HTTP pro webové prohlížeče a servery, FTP pro stahování sou- borů nebo SMTP či POP pro elektronickou poštu. [3]
1.14 Model TCP/IP Dalším ze známých modelů je model TCP/IP. Tento model a rozdíl od modelu OSI rozeznává pro formát přenosu a dat tři různé protokoly. Protokol TCP řeší zakládání a fungování spojení mezi systémy a internetem. Naopak nespojovanou komunikaci po- pisuje protokol UDP. Poslední protokol z trojice je protokol IP, který má na starost formáty paketů při přenosu sítí. Model TCP/IP na rozdíl od OSI modelu rozeznává v rámci komunikačního modelu pouze 4 vrstvy. [3]
1.14.1 Vztahy mezi OSI a TCP/IP modely • 1. a 2. vrstva modelu OSI více méně koresponduje s vrstvou Hostitelská a síťová modelu TCP/IP • 3. vrstva modelu OSI přímo odpovídá vrstvě internetová TCP/IP modelu • 4. vrstva modelu OSI si v modelu TCP/IP zachovala jméno • 5. a 6. vrstva OSI modelu v modelu TCP/IP zcela chybí • 7. vrstva OSI modelu se se stejným jménem nachází v TCP/IP modelu [3]
STRANA 33
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
2 Management síťové a informační bezpečnosti
2.1 Co je síťová bezpečnost Síťová bezpečnost je pojem, který označuje soubor norem obsahujících doporučení pro implementaci opatření, která souvisí s bezpečností sítí. K pojmu síťová bezpečnost se váže i pojem bezpečnost síťové infrastruktury, která představuje stupeň zabezpe- čení digitálního přenosového prostředí, které nějakým způsobem zajišťuje důvěrnost a neporušenost komunikace. [13] Síťovou bezpečnost má na starost otevřený soubor norem ISO/IEC 27033, který poskytuje podrobný návod pro implementaci bezpečnostních mechanismů, které jsou zmíněny v obecné normě ISO/IEC 27002. Tento soubor norem se týká bezpečnosti zařízení připojených do sítě, síťových služeb, uživatelů přistupujících do sítě, infor- mací přenášených po síti a správy bezpečnostních opatření. [13] Smyslem normy ISO/EIC 27033 je poskytnout detailní návod na zabezpečení správy a užívání datových sítí a jejich vzájemných propojení. Pojem otevřený soubor norem zároveň znamená, že norma obsahuje několik částí a je možné přidat části další dle požadavků a potřeb. [13]
2.2 Síťová bezpečnost – normy
2.2.1 ISO/IEC 27033-1 Náplň této části normy vychází z volného překladu, který je možné přeložit jako „Pře- hled a koncepty síťové bezpečnosti“. Tato konkrétní norma je revizí normy ISO/IEC 18028-1. Slouží jako výchozí bod pro celou sadu norem, poskytuje přehled principů a přístupů dalších norem sady. [14]
2.2.2 ISO/IEC 27033-2 Název je možné přeložit jako „Návody pro navrhování a implementaci síťové bez- pečnosti“. Opět se jedná o revizi starší normy, tentokrát ISO/IEC 18028-2, která má na starost bezpečnostní architekturu sítí. [15]
STRANA 34
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
2.2.3 ISO/IEC 27033-3 Název této části normy je možné chápat a přeložit jako „Referenční síťové scénáře (situace) – Hrozby, techniky návrhu a problémy řízení“. Tato část normy tedy de- finuje rizika, specifika návrhu a problematiku řízení pro nejhojněji se vyskytující se síťové scénáře. Důraz je hlavně kladen na konkrétní hrozby, zatímco různé typy rizik zde podrobně řešeny nejsou. [16]
2.2.4 ISO/IEC 27033-4 Název části normy je možné přeložit a chápat jako „Zabezpečení komunikace napříč sítěmi za pomoci bezpečnostních bran“. Náplní části normy je tedy definování rizik, technik návrhu a problémů spojených se zabezpečením datových toků mezi sítěmi za použití bezpečnostních bran, hlavně firewallů. [17]
2.2.5 ISO/IEC 27033-5 Název této části je možné přeložit jako „Zabezpečení komunikace napříč sítěmi za pomoci virtuální privátní sítě (VPN)“. Tentokrát se jedná o revizi normy ISO/IEC 18028-5, která se zabývá riziky, technikami návrhu a řešením problémů spjatých se spojením pomocí VPN. Zároveň rozšiřuje normu ISO/IEC 13335. Tato část normy v neposlední řadě poskytuje pojítko mezi obecnou problematikou bezpečnosti IT a tech- nickou implementací síťové bezpečnosti. [18]
2.2.6 ISO/IEC 27033-6 Název této části je možné přeložit jako „Zabezpečení přístupu bezdrátové IP sítě“. Tato norma popisuje hrozby, bezpečnostní požadavky, kontrolu bezpečnosti a návrh technik spojených s bezdrátovými sítěmi. Také poskytuje návody pro výběr, imple- mentaci a monitoring techniky, nezbytné pro zajištění bezpečné komunikace skrz bezdrátové sítě. [19]
2.3 Pojmy spojené s informační bezpečností Bezpečnost informací je splnění základní bezpečnostní triády, a to zachování důvěr- nosti, integrity a dostupnosti informací, přičemž jednotlivé položky triády znamenají:
STRANA 35
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Dostupnost představuje zajištění přístupu k informaci oprávněnému uživateli v po- žadovaný okamžik • Integrita znamená neporušenost informace, tedy zajištění její správnosti a úplnosti • Důvěrnost znamená, že k informaci by se měl dostat pouze oprávněný uživatel [13] Bezpečnosti je možné dosáhnout za pomoci bezpečnostního mechanizmu, což je technika, kterou je možné použít pro implementaci bezpečnosti. Bezpečnosti je také možné dosáhnout za pomoci bezpečnostních funkcí, což jsou zase funkce sytému nebo produktu, které přispívají k bezpečnosti systému nebo produktu samotného. [13] Bezpečnost informací může ohrozit událost – hrozba, která může ohrozit veškerý hmotný a nehmotný majetek – aktiva z důvodu jejich zranitelnosti – slabá místa. Snížení hrozby je možné za použití správných opatření. Je však třeba mít na mysli, že z bezpečnostního hlediska vždy bude existovat nějaké bezpečnostní riziko, což je kombinací hrozby a zranitelnosti s dopadem na jedno či více aktiv, kde jako dopad je myšlen vznik škody v důsledku působení nějaké hrozby. [13]
2.4 Informační bezpečnost – normy
2.4.1 ISO/IEC 27000 Jedná se o souhrn ISMS (Information security management system), termínů a definic běžně používaných v normách řady 27000. [20]
2.4.2 ISO/IEC 27001 Tato norma definuje požadavky potřebné pro založení, implementaci, údržbu a kon- tinuální zlepšování ISMS v rámci organizace. Norma také obsahuje návod pro hodnocení a návrh řešení pro bezpečnostní rizika v organizaci. [21]
2.4.3 ISO/IEC 27002 Tato norma dává návody pro vytvoření standardů informační bezpečnosti a praktik managementu informační bezpečnosti, včetně výběru, implementace a praktik ma- nagementu kontroly z pohledu bezpečnosti informací v rámci organizace. Norma je navrhnuta pro organizace, které plánují: • Výběr řízení bez procesu implementace ISMS založeném normě s ISO/IEC 27001 • implementovat běžně užívané (nejlepší praktiky) řízení informační bezpečnosti
STRANA 36
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• vytvořit svoje vlastní pokyny v rámci managementu informační bezpečnosti. [22]
2.5 Zabezpečení hardwaru Jak jsem již dříve psal, v rámci OSI modelu jsou první tři vrstvy (L1 až L3) složené z hardwarových komponent. To znamená, že bezpečnost těchto vrstev je třeba řešit hlavně fyzicky. [13]
2.6 Zabezpečení na úrovni fyzické vrstvy OSI modelu Tato vrstva se skládá z kabelážního sytému, který je dále složen ze síťových kompo- nent. Díky svým vlastnostem lze tedy fyzickou vrstvu nazvat vrstvou pasivní. Správou této pasivní vrstvy se zabývá Management bezpečnosti pasivní vrstvy. Je však možné využít i Management pasivní vrstvy. V následujícím textu vysvětlím rozdíly těchto dvou řešení. [13]
2.7 Management pasivní vrstvy Princip této metody spočívá v zavedení monitorovacích portů v rámci kabeláže. Aktivní zařízení pak mohou vyhodnotit signály monitorovacích portů a dále je nabíd- nout nějakému softwarovému prostředku, který je dále zpracuje do formy, jež bude vhodná pro správu síťových zařízení jako je například SNMP – Simple Network Ma- nagement Protocol. Jedná se tedy o řešení kombinující hardware a software. [13]
2.7.1 Výhody managementu pasivní vrstvy Mezi výhody tohoto řešení patří: • Hlášení změn propojení management stanici správce sítě v reálném čase • Možnost sledování a správy investic od fáze počátečního plánování až po případný upgrade infrastruktury, což znamená, že díky managementu pasivní vrstvy je možné sledovat celý životní cyklus infrastruktury S určitou nadsázkou je možné Management pasivní vrstvy označit za jednu z variant Managementu bezpečnosti pasivní vrstvy. [13]
STRANA 37
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
2.8 Management bezpečnosti pasivní vrstvy Typickým příkladem této varianty správy fyzické vrstvy je systém NISS – Network Infrastructure Security Solution. Toto řešení nabízí celkem 3 stupně zabezpečení. [13]
2.8.1 Stupeň 0 Identifikátory – největší problémy mnohdy vznikají tam, kde by to lidé čekali nej- méně. Řešení identifikátorů nezajišťuje fyzickou ochranu komunikace, ale zavádí pořádek v kabeláži a usnadňuje tak správu systému a napomáhá tak správci ke správ- nému způsobu zapojení pomocí barevného rozlišení. Toto řešení lze použít u všech možných propojovacích médií, tedy samozřejmě kromě vzduchu. Barevně je přitom možné rozlišovat: • kabely • značkovací kroužky [13]
2.8.2 Stupeň 1 Tento stupeň je realizován za pomoci blokátorů, které zajišťují fyzickou ochranu buď blokováním portů, nebo blokováním přístupu. Funkce blokování portu nabízí tyto dvě možnosti: 1. Blokování připojení – do portu nelze nic připojit 2. Blokování odpojení – připojené médium nelze odpojit Možnosti užití blokování přístupu: • Blokování datového boxu proti neoprávněnému přístupu a připojení zařízení • Blokování kabelových tras (zapouzdřené svazky kabelů) proti neoprávněnému pří- stupu ke svazkům kabelů [13]
2.8.3 Stupeň 2 Na tomto stupni je znemožněno za pomoci klíčování konektorů připojení jak meta- lických, tak optických kabelů do nesprávných portů. Principy tohoto opatření: • plug, který nemá klíč, nelze zasunout do portu s klíči • klíčovaný plug nelze zasunout do neklíčovaného portu, případně do portu s jiným klíčem
STRANA 38
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Klíč se tedy musí nacházet jak na kabelu, tak na portu. Do klíčovaného portu lze tedy zasunout pouze kabel s identickým klíčem. [13]
2.9 Zabezpečení na úrovni linkové vrstvy OSI modelu Na této vrstvě, jak jsem již dříve napsal, dochází k přepínání rámců pomocí switchů (přepínačů). Bezpečnost na této vrstvě je řešena například díky: • užitím certifikátu pro zabezpečení komunikace • užitím digitálního podpisu • užitím mechanismu AAA (Authentication, Authorization, Account) • aplikováním bezpečnostních protokolů [13]
2.10 Zabezpečení na úrovni síťové vrstvy OSI modelu Síťová vrstva je vrstvou, kde dochází ke směrování IP paketů za pomoci routerů (smě- rovačů). Bezpečnost na této úrovni je možné řešit například za pomoci: • IPsec • VPN • bezpečnost síťových služeb • systémů IDS a IPS • nasazení Firewallů [13]
STRANA 39
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
3 SOHO sítě Pojem SOHO sítě díky stále nekončícímu rozmachu počítačové techniky, různých chytrých zařízení a dalších výdobytků moderní doby nabývá stále více a více na důle- žitosti. Za posledních pár jednotek až desítek let se vybavenost organizací ale i domácností, co se týče počítačové techniky, radikálně změnila. Technologie jde stále dopředu a cena mnoha typů elektronických zařízení celkově pomalu klesá. Lidé si mo- hou dovolit pořídit stále více a více zařízení, která je možné provozovat v rámci sítě. A to už se nejedná pouze o počítače, notebooku, tiskárny a síťová úložiště. Dnes není problém pořídit si chytrou lednici, mikrovlnku, toustovač, kartáček na zuby nebo ovladač termostatu na kotli. To vše je možné dnes používat v rámci sítě. S rostoucím počtem všech možných zařízení s možností připojení na SOHO síť rostou i samotné požadavky na síť samotnou a její vlastnosti. SOHO síť již dnes není pouze o jednom počítači, tiskárně a routeru, na problémy SOHO sítí s rostoucím množstvím všeho možného hardwaru je třeba nahlížet stále komplexněji.
3.1 Možné důvody pro založení SOHO sítě: • Možnost sdílení internetového připojení v rámci sítě • Možnost sdílení prostředků – tiskárny, úložiště, scannery, kamery, různá čidla a další periferie • Možnost vzdálené zálohy • Možnost přenosu různého audiovizuálního obsahu – hudba, filmy, hry nebo napří- klad obsah pro virtuální realitu • Možnost telefonování přes internet (VOIP) • Možnost vytvoření podmínek pro přenositelnost zařízení – například možnost po- hybovat se volně po kanceláři se zařízením připojeným k síti, potažmo k internetu pomocí Wi-Fi – mobily, čidla, uklízecí roboty, notebooky, tablety a další • Možnost zajištění real time interakce mezi zařízeními – například ke hraní her po síti [3]
STRANA 40
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
3.2 Nejčastější prostředky pro propojení SOHO sítě • Ethernet • Wi-Fi 802.11x • Telefonní linky • Elektrické napěťové rozvody • Bluetooth [3]
3.3 Širokopásmové spojení Americký federální úřad pro komunikace v roce 2008 širokopásmové spojení defino- val jako takové spojení, které musí dosáhnout minimální propustnost 768 kb/s. V Evropě naopak standardizační orgán ITUSS označil širokopásmové spojení za takové spojení, které dosahuje minimální propustnosti 1,5 Mb/s, ekvivalent propustnosti ISDN linky. V obou případech se uvádí rychlosti downloadu, rychlost uploadu je nej- častěji nižší – širokopásmová spojení jsou nejčastěji asymetrická. [3]
3.3.1 Výčet nejčastěji vyskytované širokopásmové technologie • DSL (Digital Subscriber Line) – tuto službu nejčastěji poskytují mobilní operátoři skrz telefonní linku, která poskytne i připojení k internetu. DSL se nejčastěji vysky- tuje v asymetrické formě známé pod zkratkou ADSL. [3] • Kabelové modemy – tuto službu poskytují nejčastěji poskytovatelé tzv. „kabelové televize“. Kabelové modemy zastávají funkci síťových mostů. [3] • Satelitní spojení – v místech, kde se nevyskytují kabelové linky, je velice populární satelitní připojení. Toto spojení nejčastěji nabízí poskytovatelé satelitních televiz- ních programů. Spojení probíhá za pomoci antény nasměrované na družice, které jsou od země vzdáleny přes 30 tisíc kilometrů, což vede k relativně vysoké odezvě v řádu stovek milisekund. Downova rychlost tohoto řešení je srovnatelná s ostatními možnostmi v tomto přehledu, ale upload je znatelně pomalejší. [3] • Připojení přes optická vlákna – připojení přes optické kabely nabízí v dnešní době to nejlepší řešení. Přes optiku je možné dodávat přístup k internetu, televizní a tele- fonní služby. Rychlost downloadu a uploadu je v rámci tohoto přehledu nadprůměrná. Bohužel dostupnost tohoto řešení na území ČR není stále 100%, v
STRANA 41
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
tomto ohledu dost záleží na lokálních poskytovatelích připojení k internetu a jejich schopnostech pokrýt dané lokality v rámci měst a obcí. [3]
Obrázek 1 – Topologie páteřní sítě CESNET2 [23]
3.4 Bezdrátová spojení Bezdrátová spojení se v SOHO velice často objevují. Jedná se o velice pohodlnou me- todu připojení tam, kde je problém nebo nelze propojovat pomocí kabeláže. Jednotlivá zařízení tak nemusí být připojena fyzicky, ale mohou být připojena vzduchem napří- klad pomocí routerů nebo různých Access Pointů, které jsou založeny na jednom ze standardů IEEE 802.11. [3] V současné době je nerozšířenější pásmo pro bezdrátovou komunikaci věhlasné pásmo 2,4 GHz, které je v dnešní době zatížené vším možným signálem. Již nějakou dobu je možné komunikovat i na pásmu 5 GHz, ale rozšířenost na tomto pásmu není tak veliká – je to dáno hlavně hardwarem, kdy toto pásmo nepodporují starší síťové prvky pro šíření/příjem signálu, které byly nasazeny v minulosti. Je třeba myslet na to, že ke spojení na 5 GHz je třeba mít zařízení, které bude vydávat/přijímat signál – ty- picky router nebo Access Point, a dále je třeba mít zařízení, které je schopné na 5 GHz v rámci sítě operovat – typicky například mobil, notebook či různá čidla. [3]
STRANA 42
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
V SOHO se z pohledu bezdrátových sítí nejčastěji vyskytují takzvané infrastrukturní sítě. Jedná se o takové sítě, kde několik stanic komunikuje s jedním vysílačem/přijí- mačem – Access Pointem, routerem. V této síti se vyskytuje jak základní sada služeb BSS – Basic Service Set, tak přiřazený identifikátor BSS (BSSID). Taková síť musí mít i SSID – Service Set Identifier, který reprezentuje název sítě a je jakýmsi ekviva- lentem síťové domény. Bez SSIDu – názvu sítě, není možné síť založit ani se k ní připojit. [3]
3.5 Wi-Fi sítě Wi-Fi je obchodní známkou Wi-Fi Alliance a obecně se používá pro označení sady technologií založených na standardech 802.11x. Tento typ bezdrátového připojení je zdaleka nejrozšířenější i díky standardizaci organizací IEEE. [3]
3.5.1 Historie IEE 802.11x Před zavedením standardu IEEE 802.11 existovalo několik nestandardizovaných, pro- prietárních řešení pro přenos vzduchem. Ke standardizaci přenosu vzduchem došlo v roce 1997 s příchodem standardu IEEE 802.11. Následující tabulka znázorňuje průběh vydávání jednotlivých standardů IEEE 802.11x v letech. [24]
STRANA 43
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 2 – Tabulka standardů IEEE 802.11 v letech [24]
IEEE standard Rok Frekvenční Teoretická Přínosy pásmo propustnost Předchůdci 802.11 1995 2,4 GHz < 1 Mb/s 802.11 1997 2,4 GHz 1 Mb/s 802.11b 1999 2,4 GHz 11 Mb/s 802.11g 2002 2,4 GHz 54 Mb/s 802.11a 2002 5 GHz 54 Mb/s 802.11n 2007 2,4 (5) GHz 300 (600) Mb/s MIMO 802.11ad 2011 60 GHz 7 Gb/s 802.11ac-Wave1 2012 5 GHz 1,3 Gb/s 802.11ac-Wave2 2014 5 GHz 3,6 Gb/s MU-MIMO 802.11ah 2016 900 MHz 40 Mb/s 802.11ax 2019 5 GHz 10 Gb/s
3.5.2 Pásmo 2,4 GHz V pásmu 2,4 GHz existují pouze 3 vzájemně se nepřekrývající kanály 1, 6 a 11. Na tomto pásmu funguje standard IEEE 802.11x již od svého počátku. Ovšem nejnovější verze tohoto standardu již operují na jiných frekvencích. Nevýhodou tohoto pásma je fakt, že v něm operuje nejen Wi-Fi, ale i Bluetooth, bezdrátové telefony, bezdrátové kamery, mikrovlnné trouby, modely na dálkové ovládání a spoustu dalších zařízení – na tomto písmu je již těsno. [24]
Obrázek 2 – Kanály v pásmu 2,4 GHz [24] V rámci EU jsou dostupné kanály 1 – 13, přičemž šířka kanálu je 22 MHz a odstup mezi třemi nepřekrývajícími se kanály (1, 6, 11) je 5 MHz. [24]
STRANA 44
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
3.5.3 Pásmo 5 GHz V tomto pásmu panuje určitá roztříštěnost, napříč světem jsou k dispozici pouze dílčí části tohoto pásma. Globálně dostupná část pásma je pouze část UNI-1 z grafu dále (kanály 36 až 48). V tomto pásmu jako první fungoval standard IEEE 802.11a, může v něm fungovat i standard IEEE 802.11n, 802.11ac Wave-1, 802.11ac Wave-2 a nej- spíše i další zatím nevydané standardy. Na tomto pásmu také fungují meteoradary, vojenská zařízení, zařízení pro televizní a rozhlasové vysílání a další různá spojení. [24]
Obrázek 3 – Kanály v pásmu 5 GHz [24] Současný standard IEEE 802.11ac může nabídnout šířku pásma 20 MHz, 40MHz, 80 MHz, 160 MHz nebo 160 MHz (80+80 MHz). [24]
3.5.4 MIMO MIMO znamená – Multiple Input Multiple Output. Je to technologie, která dovoluje užití více antén pro přenos. Technologie se poprvé objevila u normy IEEE 802.11n. Za pomoci prostorového multiplexování je možné vytvořit několik datových toků na- ráz ve stejném pásmu. Tato technologie má potenciál až ztrojnásobení datové propustnosti (v případě MIMO 3x3). [3] Může to tedy být situace, kdy je n antén na vysílači a n antén na přijímači. Za pomoci časové analýzy signálů se přenáší vzduchem více toků dat paralelně. Díky časovým rozdílům toků je potom možné určit kam jaká data patří. Nevýhoda této technologie nastává v situaci, kdy se například na AP připojí jeden klient s MIMO 1x1. V tom
STRANA 45
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE případě se musí všechna zařízení na AP připojená automaticky přepnout do módu 1x1, i když podporují mód 2x2 nebo 3x3 – volné streamy nelze využít. [24]
3.5.5 MU-MIMO MU-MIMO znamená Multi User – Multiple Input Multiple Output. Tato technolo- gie rozšiřuje technologii MIMO a přichází s možností podělení streamů pro více klientů. [24] Například v případě MU-MIMO 4x4 je tedy možné obsluhovat zařízení 3x3 (např. notebooky) a vedle toho obsluhovat zařízení 1x1 (např. mobily). V daném čase se ob- slouží více klientů a ušetří to pásmo, což vede k zefektivnění využití přenosů a může tak dojít k samotnému zrychlení oproti MIMO. Eliminuje se tedy dříve popsaná nevý- hoda MIMO. [24]
3.6 Zařízení v bezdrátové síti
3.6.1 Access Point (AP) AP zařízení je uzlem bezdrátové sítě, které přijímá a vysílá signál. Jednou z hlavních vlastností a předností AP je fakt, že spojuje kabelovou a bezdrátovou síť. AP v dnešní době většinou podporují 1 bezdrátovou podsíť a podporují standardy 802.11b a výše včetně 802.11n a 802.11ac, což znamená, že operují i na frekvenci 5 GHz. [3]
3.6.2 Bezdrátové brány Bezdrátové brány se do SOHO nejčastěji dostávají skrz dodavatele širokopásmového připojení k internetu, případně si jej SOHO kupují sami. Na rozdíl od AP bezdrátové brány nabízí větší funkcionalitu, která se pomalu blíží funkcionalitě bezdrátových routerů. Bezdrátové routery ale nabídnou větší funkcionalitu hlavně na poli směrování a firewallu. [3] Obvyklé funkce bezdrátových bran • Možnost vytvoření bezdrátového připojení 802.11x • Možnost asociace zařízení, nastavení a konfigurace • Možnost funkcionality směrovače podle 802.3 a technologie NAT traversal • Možnost užití serverů DHCP a DNS, případně připojení IPv6 • Možnost zabezpečení přes WEB či WPA
STRANA 46
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Možnost objevování zařízení s funkcionalitou UpnP • Možnost diagnostiky a dalších utilit [3]
3.6.3 Opakovače Opakovače slouží jako takzvané extendery – rozšiřovače signálu, někdy je možné narazit na označení zesilovače signálu. V principu je to zařízení, které přijme signál a odešle ho dále zesíleně. Tato zařízení mají stejná nastavení jako zařízení, jejichž signál zesilují. Používají se hlavně k rozšíření signálu po prostoru – například pro rozšíření Wi-Fi signálu v rámci celého domu tam, kam signál vysílacího/přijímacího zařízení jako je například AP bez zesílení nedosáhne. Nevýhodou opakovačů je fakt, že snižují propustnost, takže jejich využití ve větších sítích nebo hustém síťovém provozu není ideální – což většinou nejsou případy SOHO, na které výrobci opakovačů nejvíce cílí. [3]
3.6.4 Bezdrátové směrovače a brány V předešlých kapitolách jsem zmínil, že routery (směrovače) jsou zařízení, která ope- rují na 3. (síťové) vrstvě modelu OSI. Routery fungují na logice zabudované ve směrovacích tabulkách a algoritmech přesměrování provozu na preferované trasy. Bezdrátový směrovač má stejnou funkcionalitu jako směrovač známý z OSI modelu, na rozdíl od tohoto směrovače však nabízí navíc bezdrátové rozhraní, které dovoluje vytvořit přístupový bod. Do této kategorie zařízení patří i router Turris Omnia. [3] Rozdíl mezi routerem a klasickým přístupovým bodem, jako je například AP, je, že AP může komunikovat pouze s jednou sítí. Router díky směrovací tabulce nabízí mož- nost připojení do dvou a více různých sítí, kdy zkoumá cílovou IP adresu paketů, a právě díky své tabulce je pak směruje dál. [3] Situace, kdy už AP nestačí a je třeba použít router • Situace, kdy je k dispozici pouze jedna IP adresa pro sdílení. Routery disponují ser- very protokolů DHCP, DNS, NAT a sdílení IP adres, které tento problém řeší • Situace, kdy je zapotřebí propojit více sítí – viz. směrovací tabulky • Situace, kdy je v bezdrátové síti silný provoz a je třeba vyřešit propustnost, se kterou má AP problém
STRANA 47
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Situace, kdy jsou vyžadovány komplexnější nástroje pro správu, diagnostiku, ovlá- dání, případné monitorování sítě, než které nabízí většina AP • Situace, kdy je třeba řešit bezpečnost. Routery nabízí mnoho možností, jak zabez- pečení řešit, nastavením WEP/WPA hesla počínaje až po tvorbu různých white nebo black listů na základě MAC adres zařízení pro povolení přístupu do sítě [3]
STRANA 48
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
4 Proč a jak řešit bezpečnost sítí Z předešlých částí práce je jasné, že pohled na sítě může být daleko komplexnější, než se může na první pohled zdát, a to jsem byl nucen kvůli rozsahu práce mnoho témat vynechat. Bezpečnost sítí jde ruku v ruce se sítěmi samotnými. Jak jsem již dříve napsal, síť může být vytvořena z mnoha různých důvodů a lze předpokládat, že na každé takové síti dochází k výskytu dat. Tato data mají zpravidla nějakou hodnotu pro svého vlastníka, avšak mohou mít ještě větší hodnotu pro někoho, kdo není jejich vlast- níkem a má s nimi nekalé úmysly. To samé lze dnes říci i o hardwaru, případně softwaru, který se na síti nachází. Vlast- ností hardwaru připojeného v síti lze použít i k nějakému DDoS útoku tak, že například zotročený počítač v síti bude jednat na povely zadávané od hackera, který zotročený počítač nějak infikoval. Správce sítě přitom o tom všem ani nemusí vědět. Dnešní hardware má výkonu na rozdávání, k DDoS útokům lze použít i zařízení, do kterých by to mnozí neřekli – routery, ledničky, mobily, počítače, chytré hodinky, různé bez- drátové kontrolery a další zařízení, která disponují výpočetním výkonem – zařízení přitom nemusí být extrémně výkonná. Když při DDoS útoku zaútočí několik jednotek až stovek tisíc zařízení, tak je jedno, jak je výkonné jedno zařízení z mnoha. Zabezpečení sítě nebude vždy 100%, protože útočníci musí být již z principu o krok napřed před zabezpečením – musí najít tu slabinu, kudy zaútočí, vždy nějaká bude existovat. Ze strany správců je těžké jednoznačně určit, kde a kdy dojde k tomu a tomu napadení. Důležité je vytvořit takovou kombinaci řešení, která odradí co nejvíce potenciálních útočníků, stane se nepřekonatelnou, a pokud nakonec přeci jen dojde k prolomení bezpečnosti, tak je důležité správně a rychle zareagovat, aby došlo k co nejmenším škodám. Rozhodně by se také nemělo zapomínat na fakt, že ne všechny útoky chodí pouze zvenčí, mělo by se myslet i na zabezpečení zevnitř – vhodně například nastavit práva přístupu jednotlivých uživatelů k prostředkům. Bezpečnost sítí bude zapotřebí řešit vždy, a to se vzrůstajícím počtem zařízení, no- vých technologií, vlastnostmi, funkcemi a kdo ví, čím ještě, daleko více než kdy jindy.
STRANA 49
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
4.1 Zranitelná místa v síti Zranitelné místo v síti je možné označit za takové místo v síti, přes které je možné získat neoprávněný přístup do sítě. K tomu může dojít hned několika způsoby počínaje uhodnutím/prolomením nějakého přístupového hesla až po využití nějaké softwarové nebo hardwarové chyby zařízení v síti. [3] S pojmem zranitelnosti souvisí i pojem zneužití (exploit). Toto zneužití má zpravi- dla dvě varianty: • Exploit – situace, kdy se zranitelnost stane veřejně známou a je díky tomu použí- vána k útokům na několika místech podobných systémů – např. se bude vědět, že routery mají od výrobce určité přihlašovací údaje k jejich správě a obecně se ví, že tyto údaje moc uživatelů nemění, tudíž se využije těchto znalostí ke slovníkovým útokům na ovládací rozhraní routerů a v případě úspěchu pak útočník získá kontrolu nad zajímavým zařízením v rámci sítě, které bude mít plně pod kontrolou. • Zero Day Exploit – neboli zneužití prvního dne, jedná se o zákeřnou formu zneu- žití, která využívá chyb nově vydaného softwaru, jenž obsahuje bezpečnostní chyby a útočník si dá tu práci a vyhledá bezpečnostní díry v softwaru a skrz ně zaútočí. Tyto problémy nejčastěji opravují různé bezpečnostní záplaty, které mohou však vytvořit jiné bezpečnostní trhliny. Jako příklad může posloužit uvedení nové verze nějakého operačního systému, útočník hodně brzo zjistí, že je možné například zís- kat administrátorský účet tím, že se přihlásí do běžně v systému neviditelného účtu, který má od výrobce softwaru „tajné“ přihlašovací údaje a využije toho k nekalým praktikám. Výrobce softwaru pak dostane na tento problém upozornění a vydá up- date s opravou, která problém vyřeší. Ovšem chyba je v původní verzi softwaru, takže pokud někdo tento software v původní verzi nainstaluje a rozhodne se z něja- kých důvodů, že nebude aktualizovat, tak bude software právě přes Zero Day Exploit zranitelný. [3]
4.2 Síťové útoky Útoky, které směřují zvenku sítě směrem dovnitř nejčastěji probíhají skrz slabá místa softwaru nebo hardwaru sítě. Tento způsob útoků je velice efektivní, protože k útoku a následnému prolomení bezpečnosti může dojít zcela nepozorovaně, a tak se útočník
STRANA 50
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE dostane dovnitř sítě, kdy se mu mnohdy povede i získat kontrolu nad částmi sítě nebo dokonce sítí celou. Mezi nejčastěji zneužívaná slabá místa patří: • Bombing – při tomto útoku dochází k zahlcení sítě pakety, nejčastěji se používá na lokálních sítích. [25] • DoS – Denial of Service – jedná se o útok, která je založený na zahlcení serveru falešnými požadavky na poskytnutí nějaké konkrétní služby nebo informace. V dnešní době jsou velice populární útoky typu DDoS – Distributed Denial o Ser- vicie), jež spadají do této kategorie. Dodus útok je založen na útoku několika zařízení současně, která se serveru ptají na službu nebo konkrétní informaci – obrana je možná pouze nasazením výkonného hardwaru, který dokáže všechny požadavky zpracovat a nezhroutit se z toho. [25] • MiM – The Man in the Middle – tento typ útoku se zaměřuje na konkrétní komuni- kaci mezi dvěma uzly. Do komunikace vstupuje nezvaný host, přes kterého proudí komunikaci, a tak dochází k odposlechu informací. [25] • Sniffing – tento typ útoků využívá metody odposlouchávání paketů. A protože ope- ruje s pakety, tak jsou k těmto útokům využívány špatně zabezpečené routery, které zpracovávají nešifrovanou komunikaci. Tato metoda je také efektivní u FTP ser- verů. [25] • Spoofing – tento typ útoků je založen na falšování imunity. Nejčastěji je tato metoda spojována se sniffingem, kdy na základě odposlechu dochází i k přístupu k datům další – třetí osoby. • Autentizace – útok zvenku i zevnitř, při kterém dochází k podvržení autentizačních údajů, kdy se útočník vydává za jiného uživatele – hacknutí účtu. [25] • Červi, trojské koně a zadní vrátka – tento typ útoku probíhá zevnitř, zmíněné prostředky umožní útočníkovi ovládat systémy uvnitř sítě, a tak získat spící agenty pro další útoky. Tento způsob je nejčastěji realizován za pomoci spustitelných pro- gramů nebo algoritmů, které obejdou autentizaci v síti, napáchají škodu, a přitom zůstanou neodhalené. Hůře dohledatelné jsou takzvané rootkity, které se schovávají v systémových adresářích v podobě různých falešných ovladačů nebo modulů sa- motných operačních systémů. Tyto rootkity se pak tváří jako běžné součásti systému a páchají tak nepozorovaně škody. [25]
STRANA 51
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Přímý přístup – útok probíhající zevnitř, dochází k němu po připojení infikovaných médií, jakými jsou různá USB úložiště, CD, DVD, paměťové karty a další. [25]
4.2.1 Dělení síťových útoků podle OSI modelu Útoky na síť je možné rozdělit i podle modelu OSI, který jsem popsal v jedné z prvních kapitol této práce. Jednotlivé typy útoků přímo vychází z podstaty jednotlivých vrstev OSI modelu a útočníci útočící na jednotlivé vrstvy vědomě užívají principů jednotli- vých vrstev pro své nekalé záměry. Asi největším problémem, co se týče zabezpečení, je Aplikační vrstva, kde funguje velké množství všech možných protokolů, které ob- sluhuje koncový uživatel, jehož chování je nevyzpytatelné a útočníci ho napodobují. [25]
STRANA 52
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 3 – Tabulka útoků podle vrstev modelu OSI [25]
Vrstva OSI Prostředek Příklad techniky útoku Příklad odbourání útoku zneužití Aplikační FTP, DNS, DHCP, http get/post – přihlašování Zde se doporučuje monito- POP3, SMTP, SSH, do aplikace, upload videa, rování a různé mechanismy Telnet, TFTP zasílání komentářů pro ověření. Obrana na této vrstvě je komplexní, pro- tože je zde napodobováno nevyzpytatelné lidské cho- vání. Prezentační Komprimace, šifro- Útok pomocí upravených Přesměrování SSL dotazů vání, konvertování SSL dotazů z původní infrastruktury přes jiný zdroj Relační Zahájení a ukončení Omezení služeb jinak pří- Toto je důsledek zranitel- relačního spojení stupných přes Telnet nosti zařízení, řešením je softwarová záplata Transportní TCP, UDP SYN flood, Smurf asttack. Informování oblackholingu Omezení počtu síťových u svého poskytovatele při- připojení na zařízeních pojení Síťová Směrování a síťové ICMP flooding Nastavení limitu pro počet adresování odesílaných hlášek ICMP Linková Switche a přepínače MAC flooding Tvorba různých black a white listů MAC adres pro porty Fyzická Síťové kabely Fyzická manipulace s vede- Omezení fyzického pří- ním stupu – např. pomocí blokátorů
4.3 Možná obrana proti útokům
4.3.1 Monitorování síťového provozu K monitorování síťového provozu lze přistupovat dvěma způsoby: • Pasivní ochrana – správcům sítí je velice doporučováno alespoň takto (pasivně) sledovat provoz na svých směrovačích, v ideálním případě s možností exportu Net- Flow/sFlow. Nasbíraná data poskytnou informace o provozu, jakými jsou zdrojová a cílová adresa, zdrojový a cílový port, využitý protokol nebo časové údaje. Tato data pak mohou posloužit pro zpětnou identifikaci útoku a správce na jejich základě může podniknout nějaké kroky. [25]
STRANA 53
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Aktivní ochrana – k aktivní ochraně se přistupuje v situaci, kdy je třeba nějaký podezřelý tok dat odfiltrovat. Za tímto účelem je třeba znát alespoň zdrojovou a cílovou IP adresu a TCP/UDP porty, což nám může poskytnout právě monitorování. [25]
4.3.2 Remotely-Triggered Black Hole Tato metoda využívá možností BGP protokolu, což je dynamický směrovací protokol, který umožňuje směrovačům automaticky reagovat na změny topologie. A to sice tak, aby omezila pakety na rozsah oběti ze směru, jenž daná relace obsluhuje. Tato technika filtrace podezřelého nebo škodlivého provozu je možná mezi těmi sítěmi, které se do- předu na tento stav připravily, či přes piercingový uzel, jenž touto technikou disponuje. [25]
4.3.3 Honeypot Honeypot je emulovaná služba, která úmyslně pustí útočníka „dovnitř“ a sleduje jeho postup při útoku. V honeypotu se sleduj vše možné, co s útočníkem souvisí, počínaje IP adresou jako počátku místa útoku, konče všemi příkazy, které během útoků použije včetně jeho pomocných skriptů. Možnost realizace honeypotu může být následující • Kompletně na 1 zařízení – honeypot běží kompletně na jednom zařízení (například na routeru). Ovšem existuje šance, že by se útočník teoreticky mohl dostat z emulo- vaného prostředí do skutečného systému běžícího na zařízení. • Za pomoci přesměrování – aby nedošlo k možnému problému z předešlé varianty, je možné přesměrovat komunikaci jinam. Původní zařízení tak poslouží jako jakási návnada a útočník při pokusu o útok na zařízení (např. zmíněný router) bude nevě- domky přesměrován na honeypot běžící na úplně jiném zařízení, které bylo za tímto účelem nastaveno. Této metody využívá i router Turris Omnia se svým SSH honey- potem. [26]
4.4 Jak bezpečně navrhnout síť Důležitým bodem bezpečného návrhu sítí je minimalizace útočného povrchu – At- tack Surface – systému nebo sítě. Profil útočného povrchu ukazuje, jak moc je systém vystaven nebezpečí tím, že je přístupný uživatelům a potenciálním útočníkům. [3]
STRANA 54
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
4.4.1 Složky profilu útočného povrchu Bezpečnostní riziko klesá s eliminací možných cest, kudy vést útok. Omezení vypsa- ných položek může dojít ke snížení prostoru, kde může útočník operovat, kudy může zaútočit, a tak se zvýší bezpečnost sítě. Mezi složky profilu útočného povrchu patří: • Protokoly běžící v síti nebo systému • Síťová rozhraní, která odpovídají na nějaké dotazy nebo zprávy • Otevřené porty • Dostupné služby běžící na počítači • Položky, které vkládají nebo vyplňují uživatelé [3]
4.4.2 Třináct zásad pro zajištění bezpečnosti Krom zvýšení zabezpečení za pomoci eliminace složek profilu útočného povrchu exis- tují i další způsoby, jak různým útokům předejít. Mezi takové způsoby patří i dodržování těchto 13 zásad: 1. Použití firewallu – je důrazně doporučováno používat firewall. Účinnější je hard- warový firewall, mezi vlastnostmi firewallu by měla být fyzická i protokolová izolace. Napojení na internet bez firewallu je sázkou na problém. [3] 2. Silná hesla – nikdy se nedoporučuje zůstat u původního hesla např. od výrobce – to už uživatel může přihlašovací údaje rovnou rozeslat emailem do celého světa. Při tvorbě hesla je doporučovaná kreativnost s velikostí písmen, užití čísel a růz- ných dalších znaků – heslo se pak dá hůře zjistit. Je třeba mít na vědomí, že útočníci nejčastěji využívají slovníkové útoky, takže se nedoporučuje zadávat veřejně známé kombinace hesel a přihlašovacích účtů ani slovníkově dohledatelné výrazy. Ovšem různé statistiky analýzy hesel ukazují, že tendence uživatelů jsou stále ne- měnné a hesla typu password nebo 12345678 vedou několik let hrdě žebříčky. [3] 3. Užití antivirových a anti-spywarových skenerů – k tomuto není snad co dodat, nejnovější systém Microsoft Windows 10 v sobě má zabudovaný Windows Defen- der, osobně doporučuji i nějaký anti-spyware software jako je například řešení od Malwarebytes, které je schopno blokovat i různé škodlivé stránky na internetu či vyhledávat dříve zmíněné rootkity. [3] 4. Zálohování – na tuto tématiku je možné nahlížet několika způsoby. Možné je zá- lohovat celé systémy nebo různé části. Je třeba mít na mysli, že zálohu je dobré
STRANA 55
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
dělat na takové místo, na kterém bude bezpečně uložená a pro uživatele dobře do- stupná. Velice důležitá data není na škodu uchovávat zálohovaná i na úložištích, která se nachází mimo síť, či dokonce mimo geografickou polohu uživatele. Při určitých útocích může totiž dojít k napadení úložišť na celé síti, takže záloha na síťovém disku bude uživateli ve výsledku úplně k ničemu. Není tedy na škodu něco zálohovat například v cloudu. Až se vám objeví po spuštění počítače okno s údaji pro zaplacení výkupného za obnovu dat na vašem disku, tak se tomu v případě dobré zálohy dat můžete vysmát. [3] 5. Aktualizace softwaru – v současnosti neexistuje moc důvodů pro to neaktualizo- vat. Aktualizace jakéhokoliv softwaru přináší různé bezpečnostní opravy, případně i rozšíření funkcionality softwaru. V době internetu je navíc velice příhodné aktu- alizovat software s ním spojený – internetové prohlížeče, Flash player – který za svojí historii poskytnul několik bezpečnostních děr a další software spojený s ne- zabezpečeným internetem. [3] 6. Rozdělení sítě na segmenty a podsítě – tento krok vytvoří fyzickou izolaci na úrovni IP adres. Každá podsíť může mít jiné vlastnosti – například různé přístupy k prostředkům a práva. [3] 7. Šifrovat a používat bezpečnostní protokoly – používat šifrování a různé bezpeč- nostní protokoly kdykoliv je to možné. [3] 8. Zvýšená pozornost při stahování a spouštění souborů – je třeba dávat pozor, co uživatelé stahují a co spouštějí. Přes e-maily stále chodí různé hrozby, po restartu počítače to může překvapit nejednoho uživatele. Proto je důležité dbát zvýšenou pozornost na stahování a otvírání podezřelých souborů. Ideálně je vhodné nasadit různé spam filtry, případně zakázat skupinám uživatelů z administrátorské pozice, aby mohli spouštět a instalovat nové aplikace. [3] 9. Zmenšení útočných povrchů – eliminace bodů z první části této podkapitoly. [3] 10. Korigování přístupu k souborům v rámci sítě – je třeba si dobře rozmyslet, zda je vhodné něco v rámci sítě sdílet – je to pak cílem možného útoku, síťová úložiště pak díky možnosti přístupu několika uživatelů poskytují ideální prostředek pro ší- ření škodlivého softwaru. Pokud se uživatel rozhodne sdílet něco po síti, měl by mít na mysli, že je třeba spravovat i přístup k těmto datům – kdo data uvidí, kdo je může otvírat, kdo je může měnit. [3]
STRANA 56
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
11. Obezřetnost vůči mobilním a přenosným médiím – zařízení používaná i na ji- ných sítích mohou být různě infikovaná, je proto doporučováno chovat vůči takovýmto zařízením obezřetnost. Nebezpečná mohou bít i různá USB zařízení, která mohou napáchat obrovské škody. Je třeba se vyvarovat zapojení takovýchto zařízení, k tomu mohou sloužit například různé blokátory nepoužívaných portů. Dnes lze za 50 euro pořídit tzv. USB killer, který po zasunutí do USB portu vyšle extrémně silný přepěťový signál do zařízení, které, pokud neobsahuje zabudova- nou přepěťovou ochranu, odejde do sekundy do křemíkového nebe. [3] 12. Bezpečnost nade vše – je důležité uvažovat „bezpečně“. Kdykoliv je to možné, je doporučováno používat všechny dostupné bezpečnostní prostředky. Je to ale také o tom nepoužívat různé možnosti počítače zbytečně nazmar tak, kdy se to z bez- pečnostního hlediska může otočit proti uživateli samotnému – např. nenechávat puštěný internetový prohlížeč, když ho uživatel aktivně nevyužívá, může dojít k řadě zneužití. [3] 13. Bezpečnostní důslednost a nekompromisnost – jedná se vlastně o kombinaci všeho dříve zmíněného. Je třeba na vše myslet a vhodně to realizovat. Moderní operační systémy a různé softwarové a hardwarové produkty dnes nabízí celou škálu možností, jak celkové bezpečnosti dosáhnout. Je pak jen na uživatelích, pří- padně správcích, jak se s bezpečností poperou. Jak jsem u některých bodů zmínil, je možné zavést různá pravidla pro přístup různých skupin uživatelů, je možné nastavit spoustu dalších pravidel. Chce se to jen zamyslet, podívat se na problema- tiku kriticky a rázně zavést bezpečnostní pravidla, která zamezí různým možným problémům, jež nechce žádný uživatel ani správce zbytečně řešit. [3]
STRANA 57
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
5 Kybernetická bezpečnost a její zákon V předešlém textu jsem se věnoval informační bezpečnosti, nesmí se ovšem zapomínat i na složku kybernetické bezpečnosti, jíž je informační bezpečnost součástí, přičemž je důležité zajistit i tento typ bezpečnosti. Kybernetická bezpečnost se týká kybernetického prostoru. Jedná se o souhrn práv- ních, organizačních, technických a vzdělávacích prostředků, které směřují k zajištění ochrany kybernetického prostoru.
5.1 Zákon o kybernetické bezpečnosti Nějakou dobu jsem přemýšlel, jak tuto otázku vyřeším, nakonec jsem si vzal na pomoc část ze Zákonu o kybernetické bezpečnosti, zákon číslo 181 ze sbírky zákonů vytvo- řené v roce 2014. Následující text bude buď vycházet, nebo doslova kopírovat text z tohoto zákona (nemá cenu znovu objevovat něco, co je již správně, a hlavně celkem jasně napsané). Pro obsah této práce jsem shledal nejdůležitějšími první dvě hlavy zákona. První hlava řeší základní ustanovení a druhá hlava se věnuje systému zajištění kybernetické bezpečnosti. Další části zákona se již věnují oblastem, které se netýkají mé práce. Pokud nějaký takový zákon na našem území existuje, měl by ku prospěchu, a hlavně by měl danou problematiku – bezpečnost v kybernetickém prostředí - řešit, proto tato volba. Nyní již k obsahu.
5.1.1 Hlava 1 • § 1 – první paragraf se věnuje pouze předmětu úprav. Hovoří takříkajíc stručně o tom, o čem celý tento zákon je. Je zde také jasně vymezeno, že se nevztahuje na informační a komunikační systémy, které nakládají s utajovanými informacemi. [27] • § 2 – v tomto paragrafu dochází k vymezení pojmů. Je zde popsáno sedm pojmů, které jsou v souvislosti s kybernetickou bezpečností podstatné. Abych předešel zby- tečnému kopírování textu ze zákona, uvedu následující tři nejdůležitější definice z tohoto seznamu pro tuto práci:
STRANA 58
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
▪ Kybernetická prostor – „je digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, službami a sítěmi elektronic- kých komunikací.“ [27, str. 1926] ▪ Bezpečnost informací – „je zajištění důvěrnosti, integrity a dostupnosti infor- mací.“ [27, str. 1926] ▪ Významná síť – „síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.“ [27, str. 1926] Chtěl bych dodat, že i další – mnou nezmíněné body tohoto paragrafu – jsou neméně důležité. Třeba taková definice pojmu kritická informační infrastruktura a další. • § 3 – tento paragraf popisuje orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti. Tyto orgány a osoby lze rozdělit do dvou logických sku- pin: ▪ První skupinu tvoří poskytovatelé služeb elektronických komunikací, subjekty zajišťující sítě elektronických komunikací vymezené v zákoně o elektronických komunikacích a subjekty zajišťující takzvané významné sítě. ▪ Druhá skupina se skládá ze správců informačních systémů kritické informační infrastruktury, správců komunikačních systémů kritické informační infrastruk- tury a správců významných informačních systémů. [27]
5.1.2 Hlava 2 • § 4 – paragraf 4 se věnuje pojmu bezpečnostní opatření. Je zde samotná definice pojmu bezpečnostní opatření: ▪ Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru. [27, str. 1927] ▪ Dále je zde řečeno, že orgány a osoby z paragrafu 3 jsou povinny bezpečnostní opatření zavádět a také o nich vést řádnou dokumentaci. Je zde také uvedeno to, že orgány a osoby z paragrafu 3 by měly při výběru dodavatelů myslet právě i na požadavky vyplývající z bezpečnostních opatření. [27]
STRANA 59
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• § 5 – tento paragraf již zcela konkrétně říká, co je bezpečnostní opatření. Podle tohoto paragrafu jsou bezpečnostní opatření rozdělena na organizační opatření a technická opatření. Toto pokládám za velice důležitý výčet, proto jej zde v plném znění uvedu. [27] Mezi organizační opatření patří: ▪ systém řízení bezpečnosti informací, ▪ řízení rizik, ▪ bezpečnostní politika, ▪ organizační bezpečnost, ▪ stanovení bezpečnostních požadavků pro dodavatele, ▪ řízení aktiv, ▪ bezpečnost lidských zdrojů, ▪ řízení provozu a komunikací kritické informační infrastruktury nebo význam- ného informačního systému, ▪ řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému, ▪ akvizice, vývoj a údržba kritické informační infrastruktury a významných infor- mačních systémů, ▪ zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnost- ních incidentů, ▪ řízení kontinuity činností ▪ kontrola a audit kritické informační infrastruktury a významných informačních systémů [27, str. 1927] Mezi technická opatření patří: ▪ fyzická bezpečnost, ▪ nástroj pro ochranu integrity komunikačních sítí, ▪ nástroj pro ověřování identity uživatelů, ▪ nástroj pro řízení přístupových oprávnění, ▪ nástroj pro ochranu před škodlivým kódem, ▪ nástroj pro zaznamenávání činnosti kritické informační infrastruktury a význam- ných informačních systémů, jejich uživatelů a administrátorů, ▪ nástroj pro detekci kybernetických bezpečnostních událostí,
STRANA 60
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
▪ nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, ▪ aplikační bezpečnost, ▪ kryptografické prostředky, ▪ nástroj pro zajišťování úrovně dostupnosti informací ▪ bezpečnost průmyslových a řídících systémů [27, str. 1927 - 1928] • § 6 – tento paragraf se týká prováděcího právního předpisu, jeho obsahu a rozsahu. [27] • § 7 – paragraf popisuje, co je to kybernetická bezpečnostní událost, kybernetický bezpečnostní incident a uvádí, že osoby a orgány z paragrafu 3 jsou povinny dete- kovat kybernetické bezpečnostní události. Zde je dle mého názoru také nezbytné uvést definici dvou dříve zmíněných položek: ▪ Kybernetická bezpečnostní událostí – je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti slu- žeb anebo bezpečnosti a integrity sítí elektronických komunikací. [27, str. 1928] ▪ Kybernetický bezpečnostní incident – je narušení bezpečnosti informací v in- formačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. [27, str. 1928] • § 8 – tento paragraf rozvíjí paragraf předešlý. Věnuje se právě hlášení kybernetic- kého bezpečnostního incidentu. V paragrafu je uvedeno, kdo ze jmenovaných v paragrafu 3 je povinný hlásit tento bezpečnostní incident, také je v paragrafu uve- deno, komu je nutné incident hlásit – buď CERT nebo Národní bezpečnostní úřad (dle orgánu nebo osoby) a co prováděcí právní předpis stanoví. [27] • § 9 – paragraf 9 řeší evidenci kybernetických bezpečnostních incidentů. Tato evi- dence obsahuje: ▪ hlášení kybernetického bezpečnostního incidentu, ▪ identifikační údaje systému, ve kterém se kybernetický bezpečnostní incident vyskytl, ▪ údaje o zdroji kybernetického bezpečnostního incidentu, ▪ postup při řešení kybernetického bezpečnostního incidentu a jeho výsledek, ▪ paragraf dále řeší vlastnosti informacích spojených s incidenty a možnosti po- skytování těchto informací. [27]
STRANA 61
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• § 10 – tento paragraf řeší otázku zaměstnanců Národního bezpečnostního úřadu a jejich mlčenlivosti o informacích spojených s řešení kybernetického bezpečnostního incidentu. [27] • § 11 – tento paragraf řeší otázku opatření. Je v něm samotná definice opatření: ▪ Opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kyberne- tické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu. [27, str. 1929] Dále je v paragrafu uvedeno, co je možné pokládat za opatření: ▪ varování, ▪ reaktivní opatření, ▪ ochranné opatření. [27] Kdo je konkrétně povinen provádět tato opatření a za jakých okolností. • § 12 – tento paragraf navazuje na předešlý paragraf a věnuje se varování. Úřad vydá varování, pokud dojde k objevení kybernetické bezpečnostní hrozby za své pomoci, pomoci CERT nebo zahraničních bezpečnostních organizací či institucí s podobným smyslem. Úřad varování musí zveřejnit na svém webu a dát vědět o situaci osobám z paragrafu 3, na které má kontaktní údaje. [27] • § 13 až 15 – tyto paragrafy se detailněji věnují reaktivním a ochranným opatřením. V paragrafech je rozebráno, jak dochází k uložení opatření, za jakých podmínek, kdo je za co odpovědný, případně jaké jsou lhůty. Zde bych se musel uchýlit k do- slovnému opisování, avšak zde se již tématika vzdaluje od náplně práce. • § 16 – tento paragraf definuje pojem kontaktní údaje a nakládání s nimi. [27] • § 17 – tento bod definuje instituci národního dohledového pracoviště, pro které je použito legislativní zkratky národní CERT a vymezuje jeho činnost. [27] • § 18 – paragraf definuje provozovatele národního dohledového pracoviště, pro které je použito legislativní zkratky národní CERT a vymezuje jeho činnost. [27] • § 19 – paragraf definuje pojem veřejnoprávní smlouva a její obsah. [27] • § 20 – paragraf definuje vládní CERT jako součást NBÚ. [27] • § 21 – paragraf definuje stav kybernetického nebezpečí. [27] • § 22 – popis výkonu státní správy v oblasti kybernetické bezpečnosti. [27] • § 23 – popis kontroly v oblasti kybernetické bezpečnosti. [27]
STRANA 62
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• § 24 – paragraf upravuje podmínky, za nichž lze uložit povinným osobám při vý- konu kontroly nápravná opatření. [27] • § 25 – paragraf formuluje jednotlivé skutkové podstaty správních deliktů právnic- kých a podnikajících fyzických osob v oblasti kybernetické bezpečnosti. [27] • § 26 – Vzhledem ke skutečnosti, že neexistuje obecná právní úprava odpovědnosti právnických, respektive podnikajících fyzických osob za správní delikty, zákon v tomto ustanovení formuluje obecný liberační důvod z jejich odpovědnosti za jimi spáchané správní delikty. [27] • § 27 – paragraf popisuje odpovědnosti právnických osob za správní delikty. [27] • § 28 – paragraf popisuje zmocňovací ustanovení. [27] • § 29 – jedná se o přechodné ustanovení k plnění lhůt s povinností hlásit kontaktní údaje v návaznosti na počátek účinnosti zákona. [27] • § 30 – popisuje lhůty ke splnění povinností správců informačních a komunikačních systémů kritické informační infrastruktury oznámit kontaktní údaje a hlásit kyber- netické bezpečnostní incidenty. [27] • § 31 – popisuje lhůty k přizpůsobení se novým zákonným povinnostem u správců významných informačních systémů. [27] • § 32 – paragraf popisuje dobu činnosti národního CERT. [27] • § 33 – paragraf popisuje společná ustanovení pro informační a komunikační systémy zpravodajských služeb a Policie ČR. [27] • § 34 – paragraf řeší změnu zákona o ochraně utajovaných informací a o bezpeč- nostní způsobilosti. [27] • § 35 – paragraf popisuje změnu zákona o elektronických komunikacích. [27] • § 36 – paragraf popisuje změnu zákona o svobodném přístupu k informacím. [27] • § 37 – paragraf popisuje změnu zákona provozování rozhlasového a televizního vy- sílání. [27] • § 38 – informace o účinnosti předmětného zákona, která začala dnem 1. ledna 2015. [27]
5.2 Vyhláška o kybernetické bezpečnosti Tato vyhláška rozšiřuje dříve představený Zákon o kybernetické bezpečnosti. Tato vy- hláška se skládá z velkého množství informací, je zde konkretizovaná tématika ze
STRANA 63
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE zmíněného zákona, přidáno je i několik dalších informací, například ohledně řízení rizik, informací o kryptografii a dalších dle mého názoru hodně zajímavých oblastí. Rozebrání tohoto dokumentu do detailu by vydalo na celou práci, proto v této práci pouze existenci a vztah této vyhlášky k zákonu zmiňuji.
5.3 Další pojmy spojené s kybernetickou bezpečností Přestože jsem zde stručně popsal obsah kybernetického zákona, rozhodl jsem se jít ještě trochu dále a využiji další zdroje. Pojem kybernetické prostředí celkem jasně a srozumitelně vysvětluje část zákona. Je ovšem nutné uvést na pravou míru i další pojmy, které jsou pro tuto práci také důležité: • Kybernetický útok – tímto pojmem je možné označit nějaké protiprávní jednání útočícího jedince v rámci kyberprostoru, které jde proti zájmům osoby jiné. Tím důležitým je i fakt, že ne vždy se musí jednat o trestný čin. Zde je třeba totiž rozli- šovat kybernetický trestný čin, který je roven kybernetickému úroku, ale nemusí se vždy rovnat trestnímu činu (bez toho slovíčka „kybernetický“). [28] • Projevy kyberkriminality – toto není úplně regulérní pojem. Jedná se spíše o ja- kousi skupinu činností, které jsou pokládány za kyberkriminální. Sem mohou patřit i činnosti, které jsem popsal dříve DDoS, Sniffing a další. Já zde uvedu dalších pár zástupců: ▪ Botnet – jedná se o síť softwarově propojených botů, které vykonávají dle pří- kazů vše, co jim vlastník přikáže. [28] ▪ Malware – tímto pojmem je možné označit veškerý software, který nějak naruší zařízení, nejčastěji počítač (ale klidně i mobil či tablet). Tímto prostředkem může být narušena funkčnost zařízení, mohou být zcizena data, nebo dosažen přístup k zařízení a nadvláda nad ním. [28] ▪ Ransomware – tento pojem je strašák nejedné firmy, ale i běžných smrtelníků. Jedná se o typ malwaru, který útočník aplikuje na zařízení oběti. Pokud se mu to podaří, tak oběti často díky omezení funkčnosti zařízení nebo zašifrování dat nezbyde nic jiného než zaplatit útočníkovi výkupné, které útočník požaduje (útočník je schopen zařídit, aby se k oběti požadavky dostaly – nejčastěji pomocí nějakého vyskakovacího okna), nebo kompletně přeinstalovat softwarové řešení na zařízení (ne vždy to ale musí jít). Tento typ útoků je poslední dobou celkem
STRANA 64
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
diskutovaný, přesto z vlastní (spíše nevlastní) zkušenosti vím, že to není žádná novinka. Na starší ransomware naletěl můj bývalý spolužák z gymnázia někdy okolo roku 2010 – 2011. Tenkrát se jednalo o výhružnou stránku se znaky poli- cie a nutností zaplacení několika tisíc Kč (tuším, že asi 5 tisíc Kč). Problém se tenkrát dal relativně snadno řešit, ne jako dnes (i když také existují nějaká řešení např. v podobě klíčů na známé a již „rozluštitelné“ útoky). Osobně jsem se s úplně prvním ransomwarem setkal někdy okolo roku 2005, kdy bratr mého kamaráda klikl na něco, na co neměl, a bylo mu po spuštění počítače nuceno pořídit si „levný“ antivir za asi 100 dolarů. Počítač byl zatížen – zpomalen a nešlo na něm skoro nic dělat. Situaci jsem tenkrát zdlouhavě vyřešil nalezením škodlivého softwaru na disku podle návodu a následným výmazem. [28] ▪ Identity theft – zde se jedná o útok, při kterém dojde k odcizení virtuální iden- tity oběti. Zde je asi všem jasné k čemu může dojít – získání informací, vyhrožování a dalším nekalým věcem. [28] Existuje ještě mnoho dalších projevů kriminality, opět je to tématika natolik zají- mavá a obsáhlá, že by vydala na celou knihu (byla už vydána). • Digitální stopa – digitální stopa je nějaký digitální otisk, který za sebou každý ne- chává při pohybu v digitálním světě – stejně jako v reálném životě. Digitální stopy je možné dělit na: ▪ Neovlivnitelné – informace z počítačového systému, připojení počítačovým sí- tím včetně internetu, využívání poskytovaných služeb a další. [28] ▪ Ovlivnitelné – vědomé využití služeb a dobrovolné zveřejňování informací všeho druhu na různých místech – sociální sítě, blogy, fóra, e-maily a další. [28] • Kyberterorismus – je také jeden z pojmů, který buď již někomu nahání hrůzu, pří- padně by hrůzu nahánět měl. Prakticky se jedná o formu terorismu, která se vyskytuje v rámci kybernetického prostoru. Většinou jde o nějaké ovlivňování ur- čité skupiny uživatelů za účelem jednání pro nějakou skupinu, která praktiky kyberterorismu využívá pro své, většinou nekalé, praktiky. Dle mého názoru nejlep- ším místem pro pozorování kyberterorismu jsou dnes sociální sítě v čele s Facebookem. Občas je problém určit, co je a není kyberterorismus. V době, kdy se všude šíří různá propaganda úplně čehokoliv, kdy nikdo není ochoten podávat věci věrohodně a nezaujatě, jsme vlastně všichni až po uši ponořeni na dno jakéhosi
STRANA 65
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
oceánu plného kyberterorismu, kdy pouze záleží na tom, kdo jaké skupině lidí s ne- kalými úmysly uvěří. [28] • Mediální terorismus – je do jisté míry obdobou kyberterorismu. Tento pojem uvá- dím z důvodu jisté spojitosti s kyberterorismem – kyberterorismus je do jisté míry možné brát jako součást mediálního terorismu. Mediální terorismus je hromadné a plánované zneužívání hromadných sdělovacích prostředků a dalších psychologic- kých prostředků za účelem ovlivnění nějaké skupiny lidí – v horším případě populace. Osobně mám podezření, že to je ve světě naprosto běžná věc, a to nemu- síme ani chodit za hranice naší země. Kdekdo výřečný s určitou mocí, prostředky, kontakty, odvahou a přístupem ke sdělovacímu prostředku může doslova pobláznit davy, jako se to například v minulosti podařilo Hitlerovi (tomu by se dnešní doba z tohoto pohledu určitě líbila), měl by to možná snazší. Člověk ke zmanipulování davů dnes ani nemusí být chytrý – stačí ze sebe udělat blbce a lidi ho budou násle- dovat (viz. někteří YouTubeři a tzv. Let’s playeři, tím nechci urazit ty, kteří ze sebe nedělají jen blbce a jejich práce má nějaký smysl). Zde je asi nejvíce cítit fakt, že dnešní člověk je dost náchylný na zmanipulování a ani o tom neví – nevědomost je občas to lepší řešení. [28] Na závěr tohoto výpisu a vlastně i celé části kybernetické, ale i informační bezpečnosti bych chtěl říci jen toto. Největší problém většinou opravdu skoro vždy sedí mezi klá- vesnicí a monitorem. Pro dosažení co nejvyšší úrovně zabezpečení je nutné tento „problém“ co nejvíce omezit v oblasti páchání činnosti, která působí přímo proti bez- pečnosti. Člověk je velice zranitelným tvorem v běžném světě. Po tom, co si vymyslel i svět kybernetický, se jeho zranitelnost mnohonásobně zvýšila. Je dnes velice nesnadné být něčím neovlivněn a myslet nezaujatě. Proto je nutné brát veškerou informační a ky- bernetickou bezpečnost opravdu vážně – může se tak předejít různým problémům, které mohou nastat. A to ať už to jsou problémy známé z minulosti, současnosti, nebo problémy, o který zatím ani nemáme tušení, že snad existují, mohou existovat nebo budou existovat.
STRANA 66
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 4 – Infografika společnosti Malwarebytes o ransomwaru [29]
STRANA 67
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
6 Analýza současného stavu a základní návrh Jak jsem již na počátku práce v rámci vymezení a cíle práce uvedl, tato práce řeší návrh bezpečnostního řešení perimetru organizace. Organizací je nově vznikající kancelář (SOHO), kde se bude vyskytovat v průměru okolo dvaceti uživatelů, kteří budou po- třebovat drátový i bezdrátový přístup do místní sítě i s možností sdíleného úložiště a drátový i bezdrátový přístup k internetu. Bude nutné zavést takové zařízení, které bude spolehlivé a bude běžet 24/7 několik let (bude-li to možné). O faktoru bezpečnosti jsem se také zmínil – je třeba brát v potaz kolování citlivých dat, nějaký únik dat by v budoucnu mohl znamenat opravdu veliký problém (viz. GDPR).
6.1 Co je třeba pro návrh znát Osobně jsem shledal, že pro návrh co nejefektivnějšího řešení je třeba znát následující parametry, které nějak mohou ovlivnit bezpečnostní řešení nejen perimetru: • Procesy – je třeba znát procesy, které v rámci kanceláře budou probíhat. Díky této znalosti se může vytvořit návrh řešení na míru procesům v rámci kanceláře tak, že bude zajištěno maximální zabezpečení jak po stránce informační, tak po té kyberne- tické. • Prostředky – při návrhu je třeba také znát, jaké prostředky budou v kanceláři do- stupné – kolik a jaké počítače, notebooky, tiskárny, lidé a další. • Obsluha – neméně důležité také je, jací uživatelé budou danou techniku ovládat, jaký budou potřebovat přístup k prostředkům a kterých procesů se bude kdo účast- nit. • Prostor kanceláře – je třeba znát i samotný prostor kanceláře pro nějaké fyzické řešení kabeláže a umístění dalších prostředků. • Vztahy odpovědnosti – dosti podstatná je i znalost toho, kdo bude v rámci kance- láře za co zodpovědný – je třeba nastavit dobře pravidla odpovědnosti. • Zabezpečení objektu – od předešlého bodu se může odvíjet i zabezpečení objektu. Je třeba vědět, případně jasně vymezit, kdo nese odpovědnost za zabezpečení ob- jektu, což je chápáno jako zabezpečení budovy a jejího přilehlého okolí, kde se kancelář bude nacházet.
STRANA 68
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Všechny body zde zmíněné budou popsány v následujícím textu.
6.2 Analýza rizik Z důvodu rozsahu této práce k větší a nějaké opravdu promyšlené analýze rizik nepři- stoupím. Funkci analýzy rizik se pokusím nahradit právě celou touto kapitolou číslo 6. Tato kapitola bude jakousi kvalitativní analýzou rizik za pomoci využití některých z nejlepších praktik. Osobně jsem toho názoru, že plnohodnotnou analýzu rizik, za pomoci například metody RIPRAN, bude vhodnější provést po nějaké době ostrého provozu – tak bude mít dle mého názoru větší smysl a účinnost. Zde tedy provedu jakousi vlastní analýzu rizik spojenou se samotným návrhem a nějakými vlastními myšlenkami.
6.3 Informace o zařízení fungujícím na perimetru v organizaci V organizaci bude regulérně pět stolních a dva přenosné počítače připojené k síti (drá- tově/bezdrátově). K síti stejně tak budou připojeny dvě tiskárny se skenery. Pracovníci s vysokou pravděpodobností budou používat několik mobilních zařízení (tablety, smartphony). Zapomínat by se nemělo i na návštěvníky kanceláře a hosty. V rámci návrhu je tedy nutné vytvořit vhodné politiky, opatření, zásady, a také vy- brat vhodné zařízení pro nasazení na perimetr. Kombinace zmíněných položek zajistí co nejvyšší úroveň informační a kybernetické bezpečnosti.
6.4 Návrh opatření, politik, zásad a odpovědností V následujícím seznamu se vyskytují závazná opatření, politiky a zásady, které je třeba v rámci místní sítě z bezpečnostních důvodů dodržovat, jejich porušení musí být nále- žitě potrestáno, protože by mohlo vést k bezpečnostnímu ohrožení organizace: • Regulérní počítače/laptopy a tiskárny – musí být připojeny do označených portů (buď pomocí popisek nebo barevných značek). V případě neoprávněného přepojení dojde k postihu. • Regulérní počítače/laptopy – musí obsahovat firewall a antivirový program. Musí také disponovat přihlášení za pomoci účtu a nějakého hesla. • Běžné uživatelské účty – běžné uživatelské účty zaměstnanců (mimo administrá- tora) na regulérních počítačích a laptopech musí mít omezený přístup k nastavení
STRANA 69
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
počítače, zákaz instalace softwaru a zakázané veškeré pokročilejší interakce, které by mohly ohrozit chod počítače nebo celkovou bezpečnost v rámci organizace. • VLANy – je vhodné vytvořit a aktivně využívat několik VLAN, které budou mít různé přístupy k internetu, síťovým úložištím, tiskárnám a dalším zařízením a pro- středkům. • Mobilní telefony a tablety – budou mít svoji bezdrátovou síť pro přenosná zařízení na principu guest, tak aby měly přístup pouze k internetu, ale ne do lokální sítě LAN a nastavovacího rozhraní zařízení na perimetru. Výjimku mohou dostat pouze zaří- zení schválená administrátorem – zařízení musí být zabezpečeno pomocí hesla nebo otisku prstů, kterým disponuje pověřená osoba, což je osoba, která za případnou škodu napáchanou zařízením zodpovídá. Proces povolení zařízení k připojení do sítě LAN pomocí bezdrátového připojení bude pospán dále. • Hosté – hosté se smí připojit pouze do bezdrátové Guest sítě pro hosty, která dispo- nuje stejnými parametry jako bezdrátová síť pro mobilní telefony a tablety (tentokrát s jiným názvem a bez výjimek pro připojení do sítě LAN). • Zásuvky RJ-45 – nevyužité zásuvky musí být z bezpečnostních důvodů opatřeny záslepkami proti nepovolenému připojení do sítě. • White list – připojení k bezdrátovým sítím bude, až na výjimku sítě pro hosty, rea- lizováno za pomoci takzvaných white listů. K dané síti se připojí pouze zařízení, které disponuje MAC adresou z povoleného seznamu a správným přístupovým hes- lem. • Uložení zařízení – zařízení na perimetru musí být uloženo na takovém místě, aby k němu měla přístup pouze osoba k tomu povolená – správce. • Správce – správce je taková osoba, která na zařízení provádí veškerá nastavení, stará se o správný a plynulý chod zařízení na perimetru, lokální sítě a zařízení v rámci této sítě. Musí být informován o všem, co se ve spojitosti se sítí v organizaci děje (k tomu mu slouží různé statistiky, sledovací software v reálném čase i grafy s historickými hodnotami, různé logy, záznamy z kamer a další). Je také zodpo- vědný za aktualizování zařízení na perimetru. Je povinen zaznamenávat veškeré incidenty do deníku (datum, čas, zařízení, popis, závažnost, spojená osoba s inci- dentem, případné opatření).
STRANA 70
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Správcovský přístup – správcovskými přístupovými údaji k zařízení musí dispo- novat pouze správce a vedoucí kanceláře (pro případ například nemoci administrátora). • Nepovolený přístup – jakékoliv neoprávněné vniknutí do nastavovacího rozhraní zařízení na perimetru musí být považováno za závažný bezpečnostní incident. • Síťová úložiště a tiskárny – k síťovým úložištím a tiskárnám smí mít přístup pouze osoby s vyhovujícími přihlašovacími údaji (jméno a heslo). Případné nepovolené přihlášení pod cizím účtem je nutné potrestat. • Zálohování důležitých dokumentů – zálohování důležitých dokumentů by mělo být prováděno i do příslušné složky na síťovém úložišti, které je nastaveno pro syn- chronizaci s privátním cloudem. Dodržení těchto zásad by mělo vést k maximálně bezpečnému a bezproblémovému chodu celé vnitřní sítě v organizaci.
6.5 Zabezpečení objektu Z důvodu možných nejasností, případně doplnění, je nutno dodat, že veškerou činnost spojenou se zabezpečením objektu (budovy a přilehlého okolí), včetně kanceláře, bude mít na starost organizace (vlastník) budovy, ve které se bude kancelář nacházet. Toto zabezpečení bude obnášet: • Kamerový systém – zapojení kamerového systému v celém objektu (s vymezenou možností náhledu do záznamů v případě vyžádání). • Pohybové senzory – nasazením pohybových senzorů, nejen do budovy, může dojít ke zjištění pohybu v místech, kde v daný moment nemá nikdo být. • Recepce – přímo v budově bude recepce, kde se bude vyskytovat recepční obsluha a člen ochranky. Tito pracovníci jsou povinni vést knihu návštěv, různých bezpeč- nostních incidentů (jako třeba pokus o přelezení plotu zvenku nebo neoprávněný vnik do budovy či její části) a zaznamenávat informace o telefonátech na recepci budovy. • Ochranka – výskyt ochranky na recepci přes den a v blízkosti objektu v nočních hodinách či o víkendech a svátcích. • Přístup za pomoci karet/čipů do určitých prostor – přístup do jednotlivých pro- stor budovy bude umožněn pouze osobám disponujícím kartou/čipem, který bude
STRANA 71
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
disponovat přístupovými právy pouze do určitých částí objektu. Veškeré záznamy ze čteček karet/čipů na vchodech do částí budovy budou zaznamenávány do data- báze tak, aby byly dohledatelné veškeré povolené i nepovolené pokusy o vstup do jednotlivých částí budovy. • Oplocení budovy a jejího okolí – budova a její okolí bude přiměřeně oplocena tak, aby se v její blízkosti nepohybovala pochybná a nebezpečná individua. Přístup k bu- dově bude realizován za pomoci vchodu v rámci oplocení, který bude disponovat na dálku otevíratelnými a zamykatelnými dveřmi, kamerovým systémem pro identifi- kaci osob u vstupu, čtečkou karet/čipů pro vstup a zvonkem s možností hlasové komunikace s recepcí v budově. Je jasné, že díky těmto službám ze strany vlastníka budovy (a pronajímatele prostor) bude cena nájmu kanceláře o to vyšší. Na druhou stranu toto řešení nabídne zabezpe- čení objektu na vysoké úrovni a organizace provozující kancelář nemusí tuto problematiku prakticky řešit – zajištění tohoto řešení vlastními silami na obdobné úrovni by se organizaci provozující kancelář značně prodražilo.
6.6 Co bude tímto návrhem řešeno Díky řešení, které představím v této práci, budou vyřešeny následující body: • Důvěrnost – bude zajištěn přístup k informacím s tím, že k informacím se dostanou pouze oprávněné osoby. • Integrita – bude zajištěna správnost a úplnost informací. • Dostupnost – bude zajištěna dostupnost informací pro oprávněné uživatele v oka- mžik potřeby. • Bezpečnostní mechanismus – bude zajištěna technika pro implementaci bezpeč- nostních funkcí nebo jejich částí. • Bezpečnostní funkce – tyto funkce systému budou přispívat k bezpečnosti systému. Sem může patřit například řízení přístupů, prokazatelnost operací a odpovědnost za ně. Bude tedy nutné do kanceláře nasadit i zařízení, které bude umístěné na perimetru a pomůže tvořit bezpečnost nejen na perimetru.
STRANA 72
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
6.7 Příprava na nasazení zařízení na perimetr Před samotným nasazením zařízení na místo svého působení je třeba také vědět, do jakého prostředí bude zařízení nasazeno. Je třeba si uvědomit, že zařízení bude právě na perimetru – hranice mezi nezabezpečeným internetem a LAN sítí, kterou je zapo- třebí co nejvíce zabezpečit. Samotná příprava může mít různé formy a pravděpodobně nemusí být vůbec reali- zována, nicméně ne nadarmo se říká „těžce na cvičišti, lehce na bojišti“, přestože to zde úplně doslovně neplatí. Touto přípravou mám na mysli prakticky několik jedno- duchých věcí, jejichž poznatky mohou pouze pomoci a rozhodně ne uškodit. Zde je můj vlastní seznam toho, co je dle mého názoru vhodné udělat před nasazením zařízení na perimetr tak, aby potom z výsledku nebyl někdo příliš zaskočen: • Sledovat dění z pohledu informační a kybernetické bezpečnosti – bod, který může vyznít rozporuplně, ale dle mého názoru je to velmi zásadní bod. Ten, kdo se nezajímá, zkrátka neví a pak se jenom diví. Rozhodně bych doporučoval sledovat například web https://www.csirt.cz/ nebo https://www.govcert.cz/, případně další podobné weby, a to nejen v českém jazyce. Nejen správci a počítačoví nadšenci se zde mohou dozvědět o různých hrozbách a zajímavostech na poli informační a ky- bernetické bezpečnosti, informace se zde mohou dozvědět i ti, kterých se tyto problémy mohou týkat nejvíc – běžní uživatelé. Průběžné „studování“ dění může ve výsledku ušetřit všem hodně práce, nervů i peněz. • Sledování a sdílení zkušeností – tato položka dost souvisí s předchozím bodem, přímo na něj navazuje. Mnoho uživatelů se denně potýká s různými problémy a díky internetu je dnes možné sdílet informace o problémech – je možné snadněji najít jejich řešení, případně na tyto problémy upozornit tak, aby se jim druhý vyvaroval. Takto to může fungovat oboustranně – uživatel může být v pozici rádce, ale klidně i toho postiženého. • Vlastní proaktivní přístup – jedná se o jakýsi svůj vlastní proaktivní přístup pro danou věc. Pokud například vím, že budu vybírat zařízení do organizace, mám na to čas a prostředky, tak si můžu provést nějaký vlastní průzkum, který mi ukáže tzv. „do čeho jdu a co mě čeká“. Slovo průzkum jsem úplně nechtěl použít, ale ono se zrovna hodí, protože i kvalitní a seriózní průzkum má svoji pilotní fázi – a právě
STRANA 73
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
jakási pilotní fáze může být považována jako vlastní proaktivní přístup. Tento bod jsem právě také realizoval a v následujícím textu se o jeho obsah podělím. V neposlední řadě by se také mělo myslet na zkušenosti realizátora, nicméně zkuše- nosti se opírají o něco, co člověk prožil, byl schopen to vidět a snad se z toho i nějak poučit. Každý člověk se tedy neustále učí, a tak právě tyto tři a pravděpodobně i něko- lik dalších bodů mohou realizátorovi dosti pomoci při předcházení a řešení nepříznivých situací.
6.8 Vlastní proaktivní přístup Můj vlastní proaktivní přístup spočíval v tom, že jsem se systematicky snažil sledovat trh se zařízeními, která jsou vhodná pro nasazení na perimetr. Objevil jsem zajímavé zařízení, díky kterému dokáži analyzovat, jak mohou vypadat takové útoky na zařízení nasazení na perimetru. Shodou okolností se z tohoto zařízení stalo i řešení na problém této práce, ale nemá cenu předbíhat. Chtěl jsem jako ne zcela zkušený smrtelník vědět, jestli všechny ty informace o úto- cích na síťové prvky jsou pravdivé – dokud se Vám to nestane, tak prostě nevěříte. Díky funkci SSH honeypot jsem od úterý 31. ledna 2017 (včetně) s drobnými výpadky (připojení k internetu a další testovací důvody) do pondělí 3. dubna 2017 systematicky sbíral z této pasti na hackery údaje. Za tuto dobu na můj router bylo provedeno 159 útoků. Dělal jsem si z dostupných dat svoje vlastní statistiky o tom, z jakého státu byl dle IP adresy útok prováděn (zobrazil jsem si to i na mapě států), jaké a kolik příkazů útočník zadal, na jaký účet útočil a jaké použil heslo. Po nějaké době se začaly obje- vovat v útocích podobnosti – stejné množství příkazů (občas v lehce pozměněném pořadí) prováděných na stejnou kombinací účtu a hesla. Tyto útoky často trvaly pode- zřele krátkou dobu (14 příkazů za jednu vteřinu), proto jsem takové útoky označil za automatizované. Další souvislosti jsem hledal i v dobách, kdy útočníci útočili z pohledu času našeho časového pásma. Z celé této záležitosti bylo vykresleno několik grafů, které zde zmí- ním a popíši. Díky funkci v MS Excel jsem byl schopen i vytvořit časový graf, který zobrazuje útoky a jejich některé vlastnosti v čase.
STRANA 74
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Vlastním proaktivním přístupem může být i fyzická práce s daným zařízením.
6.8.1 Výsledky sběru dat Prvním grafem je mapa počtu útoků států, přes které na mě byly útoky prováděny. Tento graf vycházel z tabulky níže, ve které jsem žlutě až červeně vyznačil hodnoty s hodnotou vyšší nebo rovnou pěti procentům zastoupení z celkového počtu útoků, což jsem si stanovil jako hranici pro tvrzení, že už se asi opravdu nebude jednat o úplnou náhodu, když na mě z tohoto státu někdo útočí.
Obrázek 5 – Mapa s útoky na router (podle IP adres útočníků) (vlastní data)
Tabulka 4 – Útoky jednotlivých států na router (podle IP adres útočníků) (vlastní data) Země Počet útoků Zastoupení Hrozba Argentina 6 3,77 % 3,77 % Austrálie 1 0,63 % 0,63 % Brazílie 1 0,63 % 0,63 % Čína 11 6,92 % 6,92 % Dánsko 3 1,89 % 1,89 % Chile 1 0,63 % 0,63 % Indie 2 1,26 % 1,26 % Írán 1 0,63 % 0,63 % Itálie 1 0,63 % 0,63 %
STRANA 75
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Jižní Korea 19 11,95 % 11,95 % Maďarsko 3 1,89 % 1,89 % Malajsie 3 1,89 % 1,89 % Německo 5 3,14 % 3,14 % Nizozemsko 8 5,03 % 5,03 % Norsko 6 3,77 % 3,77 % Rakousko 1 0,63 % 0,63 % Rumunsko 4 2,52 % 2,52 % Rusko 18 11,32 % 11,32 % Singapur 9 5,66 % 5,66 % Španělsko 7 4,40 % 4,40 % Švédsko 12 7,55 % 7,55 % Ukrajina 10 6,29 % 6,29 % USA 7 4,40 % 4,40 % Slovensko 1 0,63 % 0,63 % Spojené arabské emiráty 1 0,63 % 0,63 % Ekvádor 1 0,63 % 0,63 % Polsko 2 1,26 % 1,26 % Indonésie 3 1,89 % 1,89 % Nový Zéland 1 0,63 % 0,63 % Jižní Afrika 2 1,26 % 1,26 % Thajsko 4 2,52 % 2,52 % Hongkong 1 0,63 % 0,63 % Slovinsko 1 0,63 % 0,63 % Kanada 1 0,63 % 0,63 % Francie 1 0,63 % 0,63 % Belgie 1 0,63 % 0,63 %
Dle tabulky a grafu je patrné, že podle sesbíraných dat vede Jižní Korea s 11,95 %, poté následuje Rusko s 11,32 % a Švédsko s 7,55 %. Další graf znázorňuje počet útoků ve vztahu k tomu, kdy byl proveden.
STRANA 76
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 6 – Graf počtů útoků v jednotlivých částech dne (vlastní data) Prokazatelně nejvíce útoků bylo na mě provedeno, když byl večer a noc. Vzhledem k povaze této práce sem nemohu umístit video, ale dle interaktivního grafu v čase je patrné, že největšími skokany – rychlý nárůst počtu útoků byly východní národy Čína, Jižní Korea a Rusko, ostatní státy útočily po malých dávkách, ale pravidelně (viz. třeba Švédsko). Zajímavostí je i poměr mnou označených automatizovaných útoků, zastoupení těchto útoků je patrné z následujícího grafu a tabulky
STRANA 77
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Typ útoků
33,33%
66,67%
Automatické Neautomatické
Obrázek 7 – Graf zastoupení automatizovaných útoků (vlastní data)
Tabulka 5 – Zastoupení automatizovaných útoků a počty (vlastní data)
Celkem 159 100,00 %
Automatické 106 66,67 %
Neautomatické 53 33,33 % Z dat vychází, že přesně dvě třetiny útoků byly dle mé metody popisu útoku automa- tizované (bylo několik variant automatizací, kdy se lišil počet příkazů a cílový účet s heslem). Tyto útoky nejčastěji byly prováděny na účet root s heslem cisco. Na tuto kombinaci byla poslána tato sada 14 příkazů (občas v pozměněném pořadí):
STRANA 78
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 8 – Ukázka nejčastějšího útoku na můj router (vlastní data/CZ.NIC) V další části práce bude na pravou míru uveden princip SSH honeypotu, útoky naštěstí nebyly reálně provedeny na mém zařízení, ale komunikace byla odkloněna na servery k tomu určené (v CZ.NIC) tak, že o tom útočník vůbec nevěděl.
6.8.2 Penetrační testování v restauraci Také těsně před odevzdáním této práce jsem narazil na zajímavý incident, který je nutné zveřejnit i zde (stalo se 20.5 2017). Při čekání na jídlo v jedné z brněnských restaurací se mi podařilo získat další podklad pro tuto práci. Přes svůj mobil jsem ob- jevil ve svém okolí síť ASUS, a tak jsem si při čekání na jídlo chtěl zkrátit dlouhou
STRANA 79
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE chvíli jakýmsi penetračním testováním. Pro přihlášení do této sítě jsem zkusil pár „slo- žitějších“ hesel. Nakonec jsem zkusil heslo 12345678, a byl jsem přihlášen. Adres pro přihlášení do nastavovacího rozhraní routerů není mnoho, a tak jsem zkusil adresu 192.168.1.1 a hle, router mě požádal o přihlašovací údaje. Zkusil jsem tedy od pasu zadat přihlašovací jméno admin a heslo admin. Nejen k mému překvapení tato kombinace zabrala, a od toho momentu jsem si mohl s routerem dělat, co se mi zachtělo (aspoň jsem si prošel možnosti nastavení tohoto routeru). Protože jsem však nevěděl, čí tato síť byla, nechtěl jsem měnit IP adresu routeru a všechny přihlašovací údaje s hesly, tak jsem se rozhodl síť přejmenovat z „ASUS“ na „ASUS – hacked network!“, aby z toho majitel taky měl nějaké pona- učení. Před restartováním zařízení jsem ještě zkontroloval verzi firmwaru, pro případ nutnosti aktualizace. Router byl aktualizován na nejnovější verzi firmwaru, která byla vydána někdy v roce 2015, tak jsem si povzdechl, jídlo dojedl, síť přejmenoval, router restartoval a šel pryč. Nechtěl jsem někomu škodit, jen jsem chtěl upozornit na veliký bezpečnostní pro- blém – denně tuto restauraci navštíví několik stovek lidí. Kdybych to neudělal já, tak by to mohl udělat někdo jiný, a nemusel by být tak hodný. Je třeba dodat, že restaurace samotná má svoji síť, která je pojmenována podle restaurace, a u této sítě se mi nic nepovedlo. Ponaučení z tohoto incidentu je jasné. Nikdy se nevyplácí nechávat to- vární přihlašovací údaje, a rozhodně se nevyplácí nastavovat veřejně známá hesla.
STRANA 80
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 9 – Screenshoty z penetračního testování (vlastní zdroj)
6.8.3 Zkušenosti se zařízením Se všemi ze tří routerů, o kterých se zmíním, jsem se fyzicky setkal a buď delší dobu, nebo alespoň kratší dobu jsem s nimi pracoval. Takováto zkušenost doplní informace o pohled na papírové parametry zařízení, jehož skutečné vlastnosti vůbec nemusí, na rozdíl od těch papírových, odpovídat potřebě. Opět připomínám, že dokud se to nevy- zkouší, nemusí to být pravda. Tyto zkušenosti také pomohly při výběru zařízení.
STRANA 81
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
6.9 Závěr analýzy a návrhu Již z této části je celkem pěkně vidět, že mnohdy nejvíce práce je zapotřebí provést před samotným nasazením čehokoliv kamkoliv (tedy pokud chce člověk jít alespoň trochu na jistotu). Několik dalších stránek toto mé tvrzení potvrdí, protože zde budu popisovat vlast- nosti vybraného zařízení. Uvedu, jak funguje, co je na něm možné nastavit, jak ho rozšířit a další informace. Samotné nasazení zařízení a jeho nastavení bude pak pouze třešničkou na dortu. Je však z dosavadního textu vidět, že informační a kybernetická bezpečnost by se neměla brát na lehkou váhu. Zajištění této bezpečnosti neznamená pouhá koupě zaří- zení, ale i jeho vhodné nastavení, vlastnosti a nastavení bezpečnostních politik v rámci organizace. Samotné bezpečnostní řešení perimetru bude tedy realizováno pomocí nastavení ně- kolika pravidel, zásad, politik, určení odpovědností a zařízení. Tyto složky budou ve vzájemné kombinaci napomáhat při zajišťování jak informační, tak kybernetické bez- pečnosti na takové úrovni, která nabídne ideální kombinaci akceptovatelných nákladů na bezpečnostní opatření, a úrovně dopadů bezpečnostních rizik, jak je možné vidět na následujícím grafu.
STRANA 82
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 10 – Graf přiměřené bezpečnosti a akceptovatelných nákladů [13]
STRANA 83
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
7 Projekt Turris V této práci jsem se rozhodl pokračovat velice netradičním způsobem. Napřed totiž podrobněji popíši informace o zařízení, které jsem nakonec vybral za účelem zabez- pečení perimetru sítě organizace – zařízení, které se na perimetr nasadí. Toto zařízení svými vlastnostmi a parametry porazilo další dva routery, které jsem proti zařízení postavil v kapitole 11. K tomuto kroku jsem se uchýlil z jasného důvodu, a to v návaznosti na závěr práce. Pokud bych totiž nyní provedl porovnání tří kandidátů pro nasazení na perimetr orga- nizace, tak by po delším popisu zařízení, který zabírá několik desítek stran, čtenář zcela jistě ztratil orientaci v celé práci. Takto napřed popíši „vítězné“ zařízení a až teprve potom důvod, proč bylo vybráno právě toto zařízení. Z těchto všech faktů pak vzejde samotný závěr. A protože jsem studentem Fakulty podnikatelské VUT v Brně, uvedu u vítězného zařízení i zajímavosti z ekonomického pohledu. Není jich úplně málo, zařízení totiž vznikalo velice netradičním způsobem, a to dokonce v ČR.
7.1 Projekt Turris – jeho smysl a principy Router Turris Omnia od CZ.NIC se mezi jeho uživateli neobjevil jako blesk z čistého nebe. Turris Omnia není úplně první počin CZ.NIC o bezpečný router. Příběh tohoto routeru začíná někdy během roku 2013, kdy CZ.NIC představil projekt distribuované kybernetické bezpečnosti v podobě routeru s názvem Turris. V této kapitole se poku- sím shrnout všechny důležité poznatky spojené s původním projektem Turris, který má na starost CZ.NIC a z něhož vzešel samotný router Turris Omnia. Projekt Turris vznikl za účelem zlepšení bezpečnosti SOHO uživatelů. Konkrétně se jedná o použití routerů, které zároveň slouží jako sondy, jenž jsou schopné analy- zovat protékající síťový provoz a nějakým způsobem identifikovat a reagovat na nebezpečné datové toky. Jak jsem již dříve napsal, router je zařízení, přes které pro- chází komunikace v rámci sítě. V drtivé většině případů se jedná o bránu mezi SOHO sítí a internetem, tudíž všechny útoky z internetu musí projít právě routerem. Tato vlastnost routeru z něj dělá ideální cíl nějakého útoku, ale zároveň i zařízení, které slouží ke zvýšení bezpečnosti v síti. Zde si opět dovolím upozornit na to, že nezaběhnu
STRANA 84
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE do úplných detailů, protože tato část se nevěnuje přímo routeru Turris Omnia a po- drobnější rozbor tématiky by neměl pro celkový záměr velký přínos.
Obrázek 11 – Pohled do vnitřností routeru Turris 1.0 (zdroj vlastní)
7.2 Triáda Turrisu – hardware, software a data Triáda Turris je pojem, který jsem si nejspíš vymyslel, ale krásně odráží hlavní rys projektu Turris. Projekt Turris je pro mě zajímavý z následujícího pohledu. Již pů- vodní router disponoval jakousi triádou, která zajišťuje výslednou bezpečnost. Mezi tuto triádu patří: • Výkonný hardware – díky této vlastnosti je router schopen zvládat činnosti, jež si pro něj nachystá softwarové řešení routeru.
STRANA 85
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Softwarové řešení s důrazem na bezpečnost sítě – pokročilejší softwarové řešení může nabídnou širokou škálu možností a nastavení. V kombinaci s výkonným hard- warem se může jednat o velice přínosnou záležitost pro uživatele. • Data pro vyšší zabezpečení – real-timová a historická data mohou napomoci při zvýšení úrovně bezpečnosti nejen u routerů.
7.2.1 Hardware původního routeru Turris Již původní router Turris byl zajímavý po hardwarové stránce. V roce 2013 (proto- typy) totiž disponoval dvoujádrovým procesorem Freescale P2020, který byl taktovaný na frekvenci 1,2 GHz, nabídl v základu 2 GB RAM v SO-DIMM slotu, 16 MB NOR a 256 MB NAND flash, síťové karty připojené přes MiniPCI-e sloty. Tyto parametry jsou i dnes, v roce 2017, u běžných routerů nevídané. Je tedy možné vymě- ňovat ve slotech různé karty, ať už ty síťové nebo ostatní, mezi které může patřit třeba řadič pro SATA disky. Zařízení je tedy do určité míry modulární, což se u běžných routerů i za několika tisícové i deseti tisícové částky ani dnes stále nevidí. Další ne zcela běžnou vlastností routerů Turris je i fakt, že jejich kryt není z plastu, nýbrž z ple- chu – tudíž může odvádět teplo. Původní router Turris začal být distribuován mezi vybrané uživatele začátkem roku 2014. V roce 2015 začala být distribuovaná lehce upravená verze routeru s názvem Turris 1.1, která navíc disponovala USB 3.0 portem a SIM slotem pro různé 3G nebo 4G karty do slotu MiniPCI-e.
STRANA 86
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 6 – Porovnání parametrů Turris 1.0 vs. Turris 1.1 [26]
Turris 1.0 Turris 1.1 Procesor Procesor Freescale P2020, 2x 1200 MHz RAM 2 GB DDR3 RAM v SO-DIMM slotu Úložiště 16 MB NOR a 256 MB NAND flash paměti Ethernet Samostatný gigabitový WAN a 5 gigabitových LAN portů Wi-Fi 802.11a/b/g/n 3x3 MIMO s odnímatelnými anténami USB 2.0 2x na zadní straně USB 3.0 ne 1x na přední straně + 2x interně MiniPCI-e 1 volný slot, 1 slot obsazený Wi-Fi kartou Další rozhraní UART, SPI a I2C připojené na pin-header pro snadnou rozšiřitelnost, debug konzole přes interní microUSB port SIM slot ne ano Napájení 7,5 V 12 V Spotřeba 9.5 W bez zátěže, 12.5 W při vytížení CPU a 14 W při maximální zátěži ether- netu i Wi-Fi. Uváděná spotřeba je včetně dodávaného napájecího adaptéru.
7.2.2 Software původního routeru Turris – v čem je Turris jiný To, co projekt Turris odlišuje od běžných routerů, je i softwarové řešení. Na routerech Turris totiž běží upravený open-source operační systém OpenWrt, jehož historie sahá až do roku 2004, kdy byl tento systém vytvořen pro dnes již legendární router Linksys WRT54G. Pracovníci CZ.NIC operační systém OpenWrt upravili tak, aby splňoval jejich požadavky pro chod bezpečného routeru a zároveň pro sondy provozu na sítích. Na routerech Turris, tedy neběží běžná verze OpenWrt, ale upravená verze s názvem Turris OS, která rozšiřuje základní funkcionalitu OpenWrt a která hlavně přidává různé bezpečnostní a s bezpečností spojené funkce. Softwarové výhody routerů Turris nyní uvedu na běžném příkladu, který si asi každý umí představit. Po nákupu nového routeru dochází k jeho zapojení tam, kdy byl jeho předchůdce. Po zapojení vzniká ale několik scénářů, jak se jednotliví uživatelé o router starají. Pro zjednodušení uvedu takové kompromisní řešení, jež bude velice blízko k realitě.
STRANA 87
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Uživatel se přihlásí do nastavovacího rozhraní přes webový prohlížeč, ve kterém zadá nějakou IP adresu jako je například 192.168.0.1. Pokud je router nový, tak nejspíš použije přihlašovací jméno admin a heslo admin. Když bude uživatel důslednější, tak v rozhraní nakliká pár možností, které mu nějaký známý doporučil a nastaví si heslo na svou Wi-Fi síť, s vysokou pravděpodobností by to mohlo být heslo 12345678, aby to nebylo pro všechny moc složité. Zde již pro takového uživatele správa routeru končí. Ano, najdou se i jiní uživatelé, kteří si změní i ty přihlašovací údaje do nasta- vovacího rozhraní (v celkovém měřítku jich ale zase tolik nebude) a pár uživatelů software v routeru aktualizuje, takže je „aktuální“. Abych pravdu řekl, tak ano, chyba je v tomto případě hlavně na straně uživatele. Na druhou stranu ale ani výrobce toho také moc neudělal pro to, aby uživatel mohl mít bezpečnou síť. Podle mě nelze za to, co se dnes děje, vinit jenom uživatele. Výrobci by měli podle mě dát možnost automa- tické aktualizace routerů, a hlavně by se mnohdy měli o podporu svých výrobků daleko více starat. Router Turris přišel s jiným konceptem. Od prvního zapnutí svého uživatele nutí být trochu aktivnější a na oplátku to uživateli přinese něco, co běžné routery většinou ne- mají – zvýšené zabezpečení. Hned po zapnutí je uživatel nucen zadat svoje heslo do nastavovacího rozhraní, přitom odpadá hacknutí routeru pomocí přihlašovacího jména admin a hesla admin. Dále následuje rychlé deseti krokové nastavení, kde mimo jiné dojde k automatickému stažení aktualizací nebo třeba nastavení hesla k Wi-Fi síti. Celé to lze absolvovat opravdu v řádu jednotek minut (dost záleží hlavně na těch ak- tualizací – rychlost připojení k internetu). Router je v případě úspěšného průchodu nastavením plně schopen provozu a uživatel se o něj opravdu již nemusí starat, tedy pokud nemá potřebu využívat dalších možností, které router nabídne. Ano, nezapo- mněl jsem na další aktualizace, router se totiž aktualizuje automaticky. Uživatel nikde nemusí nic dlouho hledat, studovat a stahovat. Software na routerech Turris je tedy propracovanější než na běžných routerech, úvodní nastavení je snadné a jednoduché. To ovšem neznamená, že routery Turris ne- poskytnou různé možnosti pokročilejších nastavení, možné to je, tomu se však budu věnovat až v kapitolách spojených přímo s routerem Turris Omnia, který nabízí stejné
STRANA 88
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE možnosti. Na závěr této části bych snad ještě dodal, že pro původní router Turris dod- nes vychází aktualizace (a budou ještě minimálně dalších 5 let dle vyjádření CZ.NIC), na routeru dokonce běží stejná verze OS jako na routeru Turris Omnia. Aktualizace vychází asi jednou za měsíc a zpravidla v každé verzi je rozšiřována funkcionalita rou- teru o nové funkce.
7.2.3 Data pro vyšší zabezpečení Ovšem to, co routery Turris podle mého názoru dělá jedinečnými, není ani tak hard- ware a software jako spíš data, se kterými je hardware a software spojený tak, že celá tato triáda funguje jako dokonalý celek. Za pomoci nasbíraných dat je možné vhodně nastavit software na výkonném hardwaru – v tom je síla projektu Turris a v tom dodnes nemá na poli běžných routerů konkurenci ani mezi společnostmi, které se routery za- bývají několik let, a je to jejich hlavní činnost podnikání. Je třeba také upozornit, že přitom CZ.NIC není primárně výrobcem softwaru a hardwaru. K zajištění bezpečnosti na SOHO sítích tedy nestačí disponovat pouze výkonným hardwarem a nějakým základně nastaveným softwarem bez důležitých informací. K tomu, aby bylo nějaké bezpečnostní opatření vhodně nasazeno, je třeba znát síťový provoz SOHO sítí. Zde nastupuje ta pro mnohé nepříjemná část. Asi nejlepším způso- bem, jak lze získat informace o provozu na sítích, je jejich analýza aktuálního provozu. Je tedy zapotřebí nasadit sondy do co nejvíce SOHO sítí a monitorovat jejich veškerý provoz. Z přijatých dat je potom možné vyvozovat různé závěry, případně je možné podle nich jednat. Pokud se posbíraná data spojí s daty, kterými disponuje CSIRT tým operující pod CZ.NIC, tak je možné získat unikátní informace o různých bezpečnost- ních hrozbách, jež mohou nějakým způsobem SOHO sítě ohrozit. Je možné vytvořit taková bezpečnostní opatření, která případné bezpečnostní hrozby mohou odvrátit. K této části ještě dodám, že na začátku roku 2014 CZ.NIC vybral 1000 zájemců na základě potřebných parametrů pro sběr dat a rozeslal 1000 routerů Turris mezi zá- jemce, kteří o nasazení routeru v jejich síti měli zájem. Router uživatelům pronajal na 3 roky s možností odkupu routeru za 1 Kč po uplynutí zmíněných 3 let. V době, kdy tuto práci píšu, právě dochází k ukončení této smlouvy a routery již většinou pře- stávají patřit CZ.NIC. Sběr přesto pokračuje nadále i díky novější verzi Turris 1.1
STRANA 89
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
(dalších 1000 kusů rozeslaných mezi další uživatele) a routeru Turris Omnia, na kte- rém je možné se dobrovolně přihlásit do projektu Turris. Tomu se budu věnovat dále.
7.3 Spojení tří sil – distribuovaný adaptivní firewall Získaná data je možné propojit se softwarem a hardwarem v případě distribuovaného adaptivního firewallu. Tento firewall je schopen se přizpůsobit novým hrozbám, které mohou vyplynout právě ze sběru dat. K samotnému sběru dat tento firewall používá distribuovanou síť sond v podobě sítě routerů Turris. V samotném routeru Turris je tedy firewall, který disponuje programovým vybave- ním pro sběr a analýzu dat. Firewall v routeru je schopen pomocí softwaru komunikovat s centrálním serverem, jenž je zřízen za účelem sběru důležitých dat z jednotlivých routerů. Nabíraná data na serveru jsou následně za pomoci systému vy- hodnocována a na základě vyhodnocení jsou vytvářena firewallová pravidla, která jsou pak za pomoci systému distribuována zpět na routery.
STRANA 90
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 12 – Firewall na routeru Turris realizovaný za pomoci Turris triády
7.4 Turris pro bezpečnou SOHO síť – souhrn Router lze označit za klíčové zařízení v SOHO infrastruktuře, které má za úkol chránit, proto je třeba se o něj starat. CZ.NIC za pomoci projektu Turris zatím v rámci relativně uzavřené komunitě uživatelů ukázal, jak lze řešit SOHO bezpečnost za pomoci rou- terů. Takový router musí být hardwarově výkonný, musí obsahovat bezpečnostně a uživatelsky nenáročně orientovaný software. Tyto dvě složky (hardware a software) musí navzájem spolupracovat s relevantními daty o SOHO sítích, která byla nasbírána v rámci analýzy sítí, a která obsahují informace o bezpečnostních ohroženích. Pouze
STRANA 91
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE takto lze dnes plošně a automatizovaně dosáhnout vyššího zabezpečení na SOHO rou- teru. CZ.NIC také ukazuje, že automatické aktualizace a vynucení nastavení některých parametrů při prvním zapnutí routeru může ve výsledku velice zásadně zvýšit bezpeč- nost takového kritického zařízení, jakým je router, protože skoro každý ho doma má, ale už málokdo o něm něco ví a pak se diví.
STRANA 92
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
8 Router Turris Omnia – zrození unikátu A nyní se již konečně dostávám k routeru Turris Omnia, který na mě přes půl roku bliká opodál. Tento router je možné spojit prakticky se vším, co bylo doposud napsáno. Počínaje třetí síťovou vrstvou (routing) a konče projektem Turris z předešlé kapitoly. Příběh tohoto konkrétního modelu je silně spjat s projektem Turris. Jak jsem již dříve napsal, sdružení CZ.NIC chtělo nějakým způsobem monitorovat SOHO sítě a řešit jejich zabezpečení, přičemž neexistovalo vhodné zařízení, které by bylo schopné všechny požadavky najednou uspokojit – tak vznikl unikátní router Turris, který bez- pochyby změnil pohled na běžně dostupné routery. Ovšem routery Turris 1.0 a 1.1 nebyly určeny pro obrovské masy uživatelů. Šlo hlavně o monitorování sítí – sdru- žení CZ.NIC prostě potřeboval nějak mezi uživatele nasadit sondy pro monitorování sítí, proto bylo vytvořeno omezené množství routerů, a ještě k tomu rozesláno mezi uživatele tak, aby zastoupení uživatelů tohoto routeru modelově odpovídalo zastou- pení uživatelů dle různých parametrů (například rychlost připojení, geografické údaje – kraj, velikost města atd.) v rámci českého internetu. A protože šlo hlavně o sběr dat, tak každý uživatel routeru musel souhlasit s tříletou smlouvou o zasílání dat o provozu v rámci své sítě. Bez sběru dat by projekt Turris nedával smysl. Navíc s možností, že po uplynutí tříleté smlouvy může uživatel router odkoupit za dnes celkem známou symbolickou 1 Kč, přičemž náklady na výrobu jednoho routeru se pohybovaly okolo 12 tisíc Kč.
STRANA 93
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 13 – Záběry z původní kampaně pro Turris Omnia [30] Na mnoho uživatelů se nedostalo a zájem o router byl relativně vysoký, a to nejen ze strany uživatelů na našem území. Mnoho uživatelů mělo zájem o výkonný, bezpečný, rozšiřitelný, otevřený router. Navíc CZ.NIC bude jednou muset řešit, co bude po těch 3 letech prvních vln projektu Turris. Proto se někdy v druhé půlce roku 2015 vážně začalo mluvit o novém zařízení s původním názvem Turris Lite, což měla být původně jakási očesaná verze Turrisu, která měla být mířena mezi „levné“ routery. Tak se o tom mluvilo a psalo v období léto až podzim 2015. A tím hlavním rozdílem oproti routerům Turris 1.0 a 1.1 měl být fakt, že tento router bude veřejně dostupný za něja- kou cenu (již ne se smlouvou a s možností odkoupení za 1 Kč) a bude na něm možné
STRANA 94
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE povolit odesílání dat stejně jako u předešlých generací, ovšem nebude to nutnou pod- mínkou a bude to zcela na vůli uživatelů. Jenomže během vývoje se takzvaná odlehčená verze stávala méně a méně odlehčenější až vznikla neodlehčená verze. Po technické stránce během vývoje došlo k několika změnám – pro mě asi nejviditelnější změna bylo nahrazení původního plastového krytu za plechový tak, že kryt samotný slouží k odvádění tepla, tedy jako jeden velký chladič tak, jak je to známé například z průmyslových síťových prvků. Tím, že se tedy mělo jednat o jakýsi „relativně ko- merční“ produkt, byla nakonec jako způsob financování zvolena crowdfundingová kampaň na webu Indiegogo. Tato kampaň byla velice úspěšná, ale samotný router se k většině uživatelů dostal oproti původnímu plánu se zpožděním. Router se dnes pro- dává na zavedených internetových obchodech nejen v ČR (CZC, Alza, Mironet a další), ale i v zahraničí (např. Amazon). V následující části blíže popíši průběh crow- dfundingové kampaně, parametry routeru a cestu routeru k uživatelům.
8.1 Turris Omnia na Indiegogo Kampaň CZ.NIC pro router Turris Omnia byla velice zajímavá záležitost, protože se z ní dá velice poučit. Mne, jakožto studenta s různými ekonomickými předměty, to celé opravdu hodně oslovilo, ba dokonce mnohem více než některé věci, které jsem za těch několik let, co studuji, slyšel nejen na FP VUT. Zcela vážně si myslím, že by nebylo na škodu shrnout poznatky z této kampaně do nějaké publikace. Jsem přesvěd- čen, že by to mnoho lidem v budoucnosti pomoci, mnohé něco naučit a ty ostatní by se alespoň mohli zamyslet nad tím, jak to všechno může také dopadnout, a udělat si představu.
8.1.1 Počátek kampaně Kampaň byla papírově úspěšná, avšak s velkým ale. Původně se rozhodovalo mezi několika crowdfundingovými weby, ale Indiegogo vyhrálo hlavně kvůli své velikosti platformy a možnosti jednoduché tvorby kampaně přímo z ČR, což například konku- renční Kickstarter neumožňuje. Tam by bylo nutné, aby si CZ.NIC pro tuto kampaň vytvořil nějakou dceřinou společnost v zahraničí, což zní velice šíleně. Oficiálně kam- paň započala 12. listopadu 2015 s cílem 100 000 dolarů na Indiegogo. Tato suma byla
STRANA 95
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE záměrně zvolena takto „nízko“ z opatrnosti, původně padaly i několikanásobné ná- vrhy. Dnes již víme, že tato částka byla překonána během prvního dne (asi 21 hodin) a celý tento ne úplně chtěný „trik“ měl za následek nečekaný mediální ohlas po celém světě. Základní část kampaně – nutná pro výrobu původního plánu – měla trvat do 12. ledna 2016. Do té doby šlo všechno z pohledu kampaně dobře, ba dokonce, jak lze podle vybraných asi 857 000 USD usuzovat, nad očekávání. Za tu dobu bylo prodáno cca 3 700 routerů a cca 2 200 upgradů (i tato možnost byla, například takzvaná hacker varianta), jako plus je nutné započíst příspěvky, za které nebyla žádná fyzická odměna a různé extra příspěvky. Ovšem v další části kampaně to již tak růžové nebylo. [31] Zde snad jen dodám, že v této fázi byla cena základní verze routeru 189 USD a samotné desky routeru 99 USD.
8.1.2 Po dvou měsících Po dobu trvání kampaně bylo třeba relativně rychle udělat mnoho rozhodnutí. Po prv- ních 2 měsících skončila jakási první – základní – část kampaně a následovala takzvaná InDemand část – část, kde prim hrály takzvané „stretch goaly“. Jednalo se o jakási vylepšení nabídky, těchto stretch goalů byla vytvořená celá řada. V této části již došlo ke zvýšení ceny jednotlivých položek tak, jak již bylo předem deklarováno. InDemand část byla tedy celá o motivování potenciálních zájemců tak, aby přispěli a prostě si něco koupili. Proto vzniklo několik stretch goalů.
STRANA 96
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 14 – Ukázka z kampaně na Indiegogo [32] Vzhledem k tomu, že lidé z CZ.NIC nebyli žádní PR manageři, velcí project manageři či marketingoví mágové, bylo vytvořeno i mnoho rozhodnutí, kterých tito lidé záhy litovali. Z těchto rozhodnutí se dá dnes poučit. Dnes už lze prohlásit, že organizačně bylo velkou chybou vytvoření velkého množství různých „akčních nabídek“. Během této fáze bylo nabízeno několik variant jako například nějaké časové omezení určité nabídky, speciální edice v omezeném počtu kusů, přidání různých předmětů – triček,
STRANA 97
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE plakátů, samolepek a dalších do balení. Ano, jednalo se relativně o pár kusů a mnohdy relativně nevýznamných rozšíření – například přidat do krabice s routerem nálepku a obrázek. Existovaly ale i barevné varianty nebo LTE pack, kde byla LTE karta pro Omnii a tento zdánlivě nevinný pack v sobě ale skrýval fakt, že na každém území ne- běží stejné LTE, takže je nutné řešit frekvence LTE karet podle objednávek (3 varianty). Zkrátka nakonec se to všechno nějak nahromadilo, a to ještě bylo nutné řešit přepravu. Abych tuto situaci troch dokreslil, tak uvedu, že samotný router bylo možné koupit v 3 barvách s možností Wi-Fi a no-Wi-Fi a dále s možností 1 GB a 2 GB RAM, což je 3 * 2 * 2 = 12 variant. Nakonec byly zvoleny „pouze“ 4 varianty napájení (kvůli geo- grafickým polohám zákazníků), což už je zmíněných 12 variant krát 4 varianty pro napájení, což je 48 variant celkem. Poté se přidávaly nálepky, fotka, wall mount, LTE v několika variantách. Výpočet tedy pokračuje 48 (mezivýpočet) * 2 (variant nálepek) * 2 (varianty s fotkami) * 2 (varianty s fotkami) * 3 (varianty s LTE), což dává 1 152 variant. Oblíbená byla i trička od velikosti S po 3XL pro muže a S po XL pro ženy ve 2 barvách, což už nám dává 1 152 * 2 * (6 + 4) = 23 040 variant. Tady si to dovolím skončit, přitom zdaleka nejsem u konce výpočtu všech variant. [31] Objevil se však i další problém. Ačkoliv vše bylo dobře zdokumentováno, hardware zdárně navrhnut a vše krásně naplánováno, tak došlo ke komplikacím u prototypů. U výrobce v ČR byla objednána první série desek pro prototypy. Bylo objednáno 60 de- sek, z toho včas bylo dodáno 44 a později 16. U těchto desek však nebyly řádně dodrženy pracovní postupy, což vedlo k tomu, že po osazení desky komponentami ce- lek nefungoval tak, jak měl. Výsledek byl takový, že z 60 objednaných kusů desek fungovalo pouze 27 kusů, a to ještě jenom chvíli – desky postupně odešly do křemí- kového nebe. V rámci testování by to nebyl zas až takový extrémní problém, vyřeší se to v budoucnu jinak, jenže v rámci kampaně byla i nabídka prototypu za vysokou částku, a to už je problém, protože se prototypy lidem z CZ.NIC rozpadají pod rukama, a ještě je mají poslat někomu, kdo za ně v rámci kampaně zaplatil, nemalé peníze. Takže problém bylo nutné vyřešit, výrobce vadných desek se nakonec zachoval zod- povědně a v rámci dohody o náhradě bylo CZ.NIC vyhověno. [31]
STRANA 98
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Výroba druhé série desek byla zadána prověřenému výrobci do UK, kde byla zadána výroba 10 ks desek. Výrobce pozdě dodal jen 6 ks z důvodu poruchy výrobních strojů. Desky měly velice špatnou povrchovou úpravu, takže nebyly nikdy ani fyzicky osa- zeny a opět proběhla dohoda o náhradě. Mezitím proběhlo několik malých a spíše nezávazných zadání k výrobě desek, které občas fungovaly, až nakonec proběhla výroba finální série prototypových desek u re- nomovaného výrobce v Číně. Bylo objednáno 30 ks, které všechny přišly v předtermínu. Ovšem byl tam menší problém. Desky byly po bližším prozkoumání vyrobeny nepřesně. Konkrétně šířka spojů na deskách neodpovídala zadané šířce spojů. Vysokofrekvenční signál tak neměl vlivem této chyby správnou impedanci – došlo tedy k přeslechům u WAN signálu. To už dávno nebyl avizovaný duben až kvě- ten, ale červen. Nakonec se problémy zdárně vyřešily a výroba desek byla zadána v Číně s tím, že se již problémy nevyskytly. Mezitím stále probíhala InDemand část kampaně, která se nakonec protáhla až do 20. listopadu 2016. Od počátku až do konce kampaně se vybralo 1 223 230 USD. V rámci InDemand kampaně bylo pak prodáno 2 634 routerů s 2 GB RAM a 1 778 routerů s 1 GB RAM. [31] Nejvíce přispěli lidé z ČR, USA a Německa. Zajímavý národ byli Švýcaři, kdy in- terním monitorováním během kampaně bylo zjištěno, že když Švýcar navštívil stránku kampaně, tak koupil router, většinou i se všemi možnými upgrady – zákazník, kterého chce každý. [31] Jako zajímavost je možné uvést, že v této fázi vznikla vylepšení, jako je kovový kryt, byly přidány různé hardwarové upgrady, možnost 2 GB RAM, GPIO, záruka 3 roky, možnost aktivního měření pásma, zálohování konfigurace, EMMC flash paměť vzrostla ze 4 GB na 8 GB a vznikla různá edukativní videa pro uživatele Omnie.
8.1.3 Cesta routeru k zákazníkovi Distribuce prvních kusů routerů Turris Omnia ke svým majitelům započala 27. září 2016. Zde nastaly různé komplikace s doručením, někomu to zkrátka přišlo dost pozdě, za což mohly hlavně různé doručovací služby, problémy byly vesměs hlavně v ČR a pro nás exotických zemích. Objevil se i problém se samotným Indiegogo, kdy sdružení CZ.NIC relativně dlouho čekalo na platby, které byly v rámci kampaně pro- vedeny. V této části tedy selhali hlavně dodavatelé (Indiegogo a dopravní služby),
STRANA 99
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE navíc se dá hovořit o tom, že došlo k selhání v rámci plánování uvnitř CZ.NIC – měli s tím počítat. Nastal i paradox s naskladněním routerů, takže hlavně ke konci InDe- mand části kampaně bylo lepší router objednat přes Alzu, protože se ve skutečnosti objevil u uživatele asi o 1 – 2 týdny dříve než přes samotnou kampaň. Toto vše díky faktu, že se routery nakonec podařilo „relativně rychle“ vyrobit a naskladnit, plus do- šlo ke zmíněnému selhání buď v rámci plánování, či na straně dodavatelů (dopravci + finance z Indiegogo). Na druhou stranu přes kampaň to mohlo vyjít asi o 1 000 Kč levněji oproti ceně na Alze v případě 2 GB verze. Když jsem byl začátkem prosince na konferenci Internet a technologie 16.2 na FIT ČVUT v Praze, tak nám bylo ře- čeno, že ještě ne všichni z kampaně mají svůj router v rukou – hlavně kvůli zmíněným problémům s Indiegogo a doručovacím společnostem. Po ukončení kampaně se router ve 3 variantách začal prodávat prostřednictvím několika internetových obchodů. [31] Za sebe snad jen dodám to, že jsem stihl objednat 2 GB verzi ještě v rámci InDe- mand kampaně, konkrétně 18. října a router samotný mi přivezla společnost GLS přímo před vchod FP VUT 29. listopadu 2016.
STRANA 100
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9 Základní parametry routeru Turris Omnia Zatím jsem psal pouze o tom, jak se router Turris Omnia dostal mezi lidi. Nyní se pokusím shrnout, co se to vlastně mezi ty lidi dostalo za zařízení. Opět se odkáži na kus textu, který jsem napsal již dříve. Router Turris Omnia konceptem vychází ze svých předchůdců Turris 1.0 a 1.1 jen s tím rozdílem, že byl vytvořen pro „masy“ – což prosím berte obrazně, protože masy si nekoupí router za cenu přes 7 tisíc Kč. Pri- márně to již není sonda. Hned takhle na úvod této části musím předznamenat, že CZ.NIC není typický výrobce routerů jako například TP-LINK, Linksys, Netgear a další. To má samozřejmě svá pozitiva, ale i negativa. O tom všem se jistě v této práci ještě zmíním. I zde platí Turris triáda, tedy že síla tohoto routeru je ve spojení hard- waru, softwaru a dat o provozu sítí.
9.1 Hardware Stručně řečeno úkol zněl nakonec jasně, vytvořit modernizovaný router Turris, tedy výkonný, bezpečný a otevřený router, který bude moci obsluhovat i méně zkušený uživatel. Turris Omnia tedy přejímá hlavní prvky od svých předchůdců, něco bylo zdokonaleno, něco přidáno, něco zase zjednodušeno (RAM je například na desce, a ne ve slotu). Základní hardwarové parametry tří dnes prodávaných variant jsou pro pře- hlednost uvedeny v následující tabulce:
STRANA 101
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 7 – Hardwarové parametry verzí Turris Omnia [33]
Turris Omnia Turris Omnia 1 GB Turris Omnia 2 GB No Wi-Fi CPU 1,6 GHz dvou- 1,6 GHz dvou- 1,6 GHz dvou- jádrový procesor jádrový procesor jádrový procesor Marvel Armada 385 Marvel Armada 385 Marvel Armada 385 RAM 1 GB DDR3 1 GB DDR3 2 GB DDR3 Úložiště 8 GB flash 8 GB flash 8 GB flash LAN 5 x Gbit port 5 x Gbit port 5 x Gbit port WAN 1 x Gbit port 1 x Gbit port 1 x Gbit port SFP ano ano ano USB 2 × USB 3.0 2 × USB 3.0 2 × USB 3.0 MiniPCI-e 2 x 2 x 2 x mSATA/MiniPCI-e 1 x 1 x 1 x Wi-Fi moduly 3×3 MIMO 802.11ac 3×3 MIMO v MiniPCI-e slotech 2×2 MIMO 802.11ac 802.11b/g/n 2×2 MIMO 802.11b/g/n
V kostce tedy došlo ke změně procesoru se zvýšením taktu na jádro, snížení RAM u základní varianty (1 GB oproti 2 GB u Turris 1.0 a 1.1), zvýšení kapacity flash paměti na 8 GB a změně síťových karet. V tabulce není zmíněn slot pro SIM kartu, 12 barevně svítících a plně konfigurovatelných LED diod, baterie pro zálohu, kryptočip, pin-hea- dery s GPIO, I²C, SPI a další HW, který má uživatel k dispozici (dále se jedná o hardware, jehož si všimnou pouze opravdoví „rýpači v hardwaru“). Jak jsem již dříve napsal, šasi routeru je plechové a je toho využíváno při chlazení routeru, stačí si na kryt sáhnout. V rámci kampaně bylo možné objednat modrou, stříbrnou a černou va- riantu. Dostupný byl i hacker pack, který obsahoval upravený kryt s otvory pro snadné napojování různých kabelů na piny přímo na desce routeru. Poslední úpravou krytu byla NAS varianta, jež z mého pohledu nabízela mnoho zajímavých vlastností. Šasi routeru bylo totiž zvětšeno a vnitřek byl upraven tak, aby pojal 2 disky pro NAS použití. Router tak nakonec nabyl na rozměrech – což má výhody a nevýhodu. Nevý- hoda může spočívat v rozměrech. Výhody spočívají v tom, že je tam zaprvé možné umístit ty disky a zadruhé se zvyšuje právě jak objem (vnitřek routeru), tak jeho obsah
STRANA 102
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
(plocha krytu routeru). A to znamená jedno – lepší chlazení, zvýší se chladící plocha a pozor, objeví se prostor pro namontování ventilátoru do vnitřku routeru, který je možné zapojit přes piny k tomu určené na desce routeru. Tato tématika mě natolik zaujala, že jsem si ve firmě EMKO Case a.s., sídlící v Brně (tyto a další kryty pro CZ.NIC dělala), jeden takový kryt objednal a v jedné z dalších částí tuto možnost up- gradu rozeberu.
Obrázek 15 – Pohled do vnitřností routeru Turris Omnia s NAS boxem (zdroj vlastní) Dále je krom No-Wi-Fi varianty router dodáván se 3 anténami, kryt však nabízí použití až 5 antén – zde to může mít využití, jak dále napíši. Router je napájen 40 W trafem, jenž dodává DC napětí 12 V. Hardwarovou výhodou tohoto routeru oproti běžným routerům jsou MiniPCI-e sloty. Ano dnes je možné koupit router od Netgearu za 13
STRANA 103
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE tisíc Kč, kde výrobce kupujícího zmate neuvěřitelnou hodnotou Gbps, kterou ale router ve skutečnosti mezi sebou a jedním zařízením není schopný poskytnout (oni sčítají Gbps několika karet, což je dnes nerealizovatelné), ano bude mít již v základu IEEE 802.11ac-Wave2 a IEEE 802.11ad, bude mít čtyř jádrový procesor, bude to plasťák, ale síťové karty jsou rovnou na desce, takže je nelze vyměnit, případně instalovat jiný modul. To pro Omnii znamená jediné, pokud nějaký výrobce vytvoří kompatibilní kartu – jak hardwarově, tak softwarově – je možné tuto kartu do Omnie instalovat a v klidu ji používat. V současné době je možné do Omnie instalovat různé SATA controllery, například Bluetooth, LTE modem či různé síťové karty MiniPCI-e, kde bych hlavně vypíchnul výrobce Mikrotik a Compex. Konkrétně Compex již nabízí karty se standardem IEEE 802.11ac-Wave2, problém je však s ovladači pro tyto karty. Toto téma v rámci nejen Turris fóra sleduji, ale v dohledné době to na změny moc nevypadá, dost totiž záleží na samotném výrobci a několika okolnostech. Compex je vlastně jediný výrobce, který zatím něco takového jako MiniPCI-e karta se standardem IEEE 802.11ac-Wave2 ve standardním rozměru nabízí. Dle informací, jež se ke mně dostaly přes různé uživatel- ské postřehy z oficiálního fóra výrobce, je podpora ovladačů zatím jediného vydaného zástupce těchto karet na referenční desce výrobce, kterou je možné pořídit na webu výrobce, také mizerná. Na druhou stranu ta karta je k dostání teprve pár měsíců, čas nakonec ukáže, jak to bude s možností rozšíření routeru Turris Omnia o další síťové karty s novými standardy IEEE 802.11x. Co se týče MiniPCI-e karet, tak v routeru Turris Omnia jsou konkrétně karty: • Compex WLE200N2 (poloviční velikosti), která zvládá „starší“ standardy 802.11b, 802.11g a 802.11n v pásmu 2,4 GHz a podporuje 2× MIMO (z karty vedou 2 kabely pro 2 antény). Maximální přenosová rychlost, uváděná výrobcem, je 300 Mbit/s. • Compex WLE900VX-7A (standardní velikost), která funguje v pásmech 2,4 nebo 5 GHz (ne současně) a zvládá už i novější standard 802.11ac. Podporuje 3×3 MIMO (z karty vedou 3 kabely do 3 antén), teoreticky by karta mohla dosahovat přenosové rychlosti až 1,3 Gbit/s. Je mimo jiné i zpětně kompatibilní se standardy 802.11a/b/g/n.
STRANA 104
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Zde navazuji na myšlenku z předcházejících částí, že kryt poskytuje výstup až pro 5 antén, což by mohlo jednou mít i smysl. V současné konfiguraci je to nastavené tak, že obě karty využívají 3 dodávané antény. Ale jak jsem psal, možný budoucí upgrade by si mohl vyžádat další antény, například IEEE 802.11ac-Wave2 může operovat v po- době 4x4 MU-MIMO, což by si vyžádalo 4 antény a tak dále. Vzhledem k povaze routeru by v extrému mohlo teoreticky třeba za deset let dojít i k tomu, že by bylo možné na Omnii provozovat kartu, která si vyžádá víc jak 5 antén. V tomto případě by bylo nutné upravit konstrukci šasi pro takovéto sci-fi řešení tak, aby bylo možné an- tény zapojit. Ano, je to trochu divoká budoucnost, ale píši to v době, kdy je stále možné zakoupit nový router Linksys WRT54GL z roku 2005, modernizovanější variantu le- gendy, a to za 1 400 Kč! Abych to tedy trochu shrnul. Po hardwarové stránce je router Turris Omnia jedi- nečný router, který nemá obdoby. Ano, je možné pořídit routery s novějšími technologiemi, možná i silnějším hardwarem. Ovšem Omnia nabízí bezkonkurenční rozšiřitelnost a jakési možnosti do budoucna. Není to ten typ hardwaru, který si uživa- tel pořídí s tím, že už má jasně určené to, v jaké konfiguraci jednou router jednou skončí. Zde se Turris Omnia lehce svými vlastnostmi přibližuje vlastnostem síťových prvků užívaných v průmyslu, pokud se pominou speciální porty. Díky MiniPCI-e zde funguje jistá modularita, chlazení je realizováno za pomoci plechového krytu, router obsahuje různé piny pro možnou modifikaci a ovládání, v případě poruchy jedné sí- ťové karty je možné použít druhou kartu (redundance) a DC napájení je realizováno za pomoci trafa. Jediné, co mi po hardwarové stránce trochu vadí, je absence fyzického vypínače routeru – lze to ovšem řešit softwarově, nebo barbarským vypojením napá- jecího adaptéru. Na druhou stranu router je to zařízení, které pracuje 24/7.
9.2 Software Na routeru Turris Omnia je nahrán operační systém Turris OS, který vychází z Linu- xového systému OpenWrt a který byl již nasazen na routerech Turris 1.0 a 1.1. Historie systému OpenWrt sahá až do roku 2004, kdy tento systém vznikl díky uvol- nění zdrojových kódů pro router Linksys WRT54G. Kolem tohoto systému se za několik let vytvořila celkem velká komunita uživatelů a tento operační systém byl por- tován na kdejaký router – včetně těch nejrozšířenějších. Tento systém byl týmem
STRANA 105
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Turris dále modifikován. Došlo hlavně k rozšíření základní funkcionality OpenWrt a zajištění větší bezpečnosti. Pro běžného uživatele asi nejzásadnější změnou bylo za- vedení automatických aktualizací systému. Systém byl upraven tak, aby byla zabezpečena bezpečnost již ve výchozím nastavení – neexistuje například nezaheslo- vané otevřené rozhraní pro administrátora. A protože je CZ.NIC podporovatelem IPv6, tak byla na tomto systému zajištěna výborná podpora IPv6 i na firewallu a přechodo- vých mechanismech. Software nabízí i podporu pro DNSSEC v rekurzivním resolveru a možné je zobrazovat například i statistiky o provozu. Součástí softwarového vybavení je i již dříve zmíněný jedinečný distribuovaný adaptivní firewall, který se nastavuje „automaticky“ podle sesbíraných dat (princip tohoto firewallu byl popsán v kapitole spojené s projektem Turris). S příchodem Omnie do programu Turris se objevily i dvě novinky: • Možnost vytvoření virtuálního serveru – router díky svému operačnímu systému Turris OS a hardwaru umožňuje tvorbu a spouštění virtuálních serverů v rámci za- řízení. Tato funkce je realizována za pomoci kontejnerů LXC a je možné provozovat virtuální servery jako Ubuntu, Debian, OpenSUSE a další. Kontejner se po spuš- tění chová jako další počítač připojený v síti a je možné do něj přistoupit a ovládat jej skrz SSH. Tato funkce má několik výhod – je možné na routeru provozovat různé aplikace, které fungují například v Debianu a pro OpenWrt tyto aplikace ještě nejsou portované, což může rozšířit funkcionalitu. Možné je na virtualizovaném serveru testovat různé aplikace s tím, že když dojde k nějakému problému, tak je možné tento server odstranit a router bez problémů poběží dál. Této tématice se budu ještě věnovat i v dalších kapitolách. • Honeypoty – router umožňuje funkci Honeypot. Jedná se o jakousi léčku pro útoč- níky chtějící napadnout hardware na sítích. Z bezpečnostního hlediska se jedná o velice zajímavou a u běžných routerů nevídanou funkci. Útočník je prakticky nalá- kán na falešnou kořist a uživatel se pak může pobavit nad tím, o co se útočník na router při útoku pokoušel. Nasbíraná data potom mohou být velice poučná. Snad jen dodám, že za půl měsíce, kdy jsem měl tuto funkci zapnutou na můj router, bylo namířeno několik desítek útoků. Útoky byly většinou hodně podobné, útok na účet admin s heslem cisco a následovalo 14 příkazů. K útokům samozřejmě „fyzicky“ na routeru nedošlo, vše proběhlo v rámci pasti Honeypotu na serverech CZ.NIC.
STRANA 106
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 16 – Princip SSH Honeypot na routerech Turris (zdroj vlastní) Součástí softwaru routeru Turris Omnia je i sonda známá z předchozích Turrisů 1.0 a1.1, která sbírá informace na úrovni netflow, což tedy znamená, že sbírá informace o adresách, portech, času a množství dat přenesených při jednotlivých podezřelých se- zeních. Sběr dat je spuštěn v případě anomálií, komunikace s podezřelou adresou nebo v případě, kdy nastane provoz, který je typický pro nějakou podezřelou aktivitu. Zapomínat by se nemělo ani na fakt, že na routeru běží opravdu plnohodnotný ope- rační systém v podobě upraveného OpenWrt, což znamená možnost instalování různých balíků. A zde se již dostávám k tomu, že je hrozně moc složité popsat všechny vlastnosti softwarové výbavy, možnosti jsou nekonečné. I opravdu zkušení uživatelé
STRANA 107
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE dodnes objevují nové věci. V dalších částech tedy popíši hlavní tři způsoby, jak při- stupovat k softwaru routeru. Na závěr tohoto úvodu do softwaru na routeru Turris Omnia bych chtěl podotknout, že softwarové řešení routeru je stále ve vývoji, takže se může leccos změnit a něco, o čem budu psát, už za rok teoreticky nemusí být pravda. Rozhodně lze prohlásit, že funkcionalita routerů Turris v čase narůstá, někdy i dramaticky – viz. například možnost spouštění a tvorby virtualizovaných serverů. V současnosti (únor) mám k dis- pozici rané testovací nightly verze Turris OS 3.6, mé zkušenosti tedy budou popisovány plus mínus na verzi Turris OS 3.6 a lehce výše, zároveň přidám postřehy z předchozích verzí. Od konce dubna do koncem května jsem testoval testovací verzi 3.7.
9.3 Tři způsoby přístupu k softwaru Omnie Jak jsem již dříve několikrát psal, Turris Omnia nabízí výkonný hardware a pokročilé softwarové řešení. K softwaru na routeru je možné přistoupit třemi hlavními způsoby: • Přes jednoduché webové rozhraní Foris – toto rozhraní slouží k základnímu na- stavení routeru. Uživatel se s tímto rozhraním setká již po prvním připojení routeru do sítě, kdy je nutné povinně projít úvodním nastavením a aktualizací routeru, což probíhá právě v rámci rozhraní Foris. Přístup do tohoto rozhraní probíhá defaultně přes webový prohlížeč a zadání adresy http://192.168.1.1 do adresního řádku. Pro- středí naběhne automaticky a uživatel se přihlašuje pomocí hesla, která si nastavil při prvním spuštění. • Přes pokročilé webové rozhraní LuCI – toto rozhraní je již důkaz OpenWrt zá- kladu. Rozhraní nabízí oproti Forisu podstatně větší možnosti nastavení a různé možnosti pro zobrazení různých statistik. Je to takový typ rozhraní, kam by neměl zabloudit nepovolaný uživatel. Přístup do LuCI probíhá opět přes webový prohlížeč, tentokrát defaultně přes adresu http://192.168.1.1/cgi-bin/luci. Heslo pro root pří- stup v rámci tohoto rozhraní je možné nastavit již při úvodním nastavením routeru, případně později ve Forisu. • SSH přístup – tento přístup je nezbytný pro pokročilejší uživatele a pro různé kom- plikovanější úkony. Defaultně se přistupuje přes adresu 192.168.1.1 a port 22 s přihlašovacími údaji pro LuCI, tedy root a zvolené heslo. Možné je ale zřízení
STRANA 108
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
dalších účtů přes root účet, takže si uživatel může vytvořit pomocí pár příkazů účet se jménem například viktor a nějakým heslem. Zde mají možná výhodu uživatelé Linuxových distribucí, protože je možné do SSH přistoupit skrz Terminál po zadání jednoduchého příkazu. V rámci Windows je možné zajistit SSH přístup za pomoci aplikací jako jsou PuTTY a WinSCP. K souborům je možné se dostat i přes běžného správce souborů v systému Windows, jen je třeba vhodně nastavit sdílení úložišť routeru v rámci sítě, případně vhodně nastavit přístupová práva ke složkám a sou- borům.
Obrázek 17 – Hlavní přístupy k nastavení routeru Turris Omnia (zdroj vlastní) Tyto tři přístupy a jejich vlastnosti, zajímavosti a možnosti podrobněji rozeberu v ná- sledujících 3 kapitolách.
STRANA 109
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.4 Rozhraní Foris Jak jsem již v předešlé kapitole napsal, rozhraní Foris je jednoduché nastavovací roz- hraní, ke kterému se přistupuje přes webový prohlížeč a adresu http://192.168.1.1. Uživatel se s tímto prostředím díky úvodnímu nastavení routeru setká již od začátku nasazení routeru do sítě. Po zadání zmíněné adresy do adresního řádku ve webovém prohlížeči je uživatel na vstupní stránce nastavení vyzván k zadání předem zvoleného hesla, které si uživatel nastavil během úvodního nastavení routeru. Po úspěšném za- dání se zobrazí stránka s nastavením. V základu toto rozhraní nabízí těchto 11 oken: • Hlavní strana – tato karta slouží jako jakási domovská stránka, kde se v případě nějaké události, jako je například nutnost restartu po aktualizaci OS, objeví zpráva s touto skutečností v barevném poli. Barva pole je volena dle důležitosti a charak- teru zprávy. Například informace o doinstalování nějakých balíků mají zelené pozadí, naopak zpráva upozorňující o nutnosti restartu routeru po instalaci aktuali- zace má červené zbarvení. Takováto zpráva, která vyžaduje i nějakou interakci uživatele (případně k interakci dojde po nějaké době automaticky, dle znění zprávy) vždy obsahuje i tlačítko pro okamžité provedení. Pokud uživateli tedy vyskočí hláška s tím, že je router třeba restartovat, tak je u hlášky přiloženo tlačítko, které po kliknutí na něj router restartuje. • Heslo – tato karta slouží pro nastavení nového hesla do rozhraní Foris. Stačí zadat původní heslo a dvakrát nové heslo, z čehož druhé zadání slouží pro kontrolu. Zde je také možnost zaškrtnout možnost použít stejné heslo pro pokročilé nastavení LuCI. • WAN – na této kartě má uživatel možnost specifikovat nastavení k vnější síti WAN. Mnohdy se zde nic nenastavuje. Možnost je zde pro nastavení pro protokol IPv4 s možností volby DHCP (automatická konfigurace), statická IP adresa (manuální konfigurace), PPPoE pro DSL bridge, modem Turris a další. Možnost nastavení je i pro protokol IPv6, kde jsou možnosti DHCPv6 (automatická konfigurace), statická IP adresa (manuální konfigurace) a nepoužívat IPv6. Nakonec toto okno poskytne i možnost nastavení vlastní MAC adresy routeru pro případ, kdy například poskyto- vatel připojení vyžaduje konkrétní MAC adresu zařízení.
STRANA 110
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• DNS – tato karta nabízí nastavení DNS. V router Turris Omnia běží vlastní DNS resolver s podporou DNSSEC. DNSSEC může pracovat buď naprosto samostatně nebo s využitím DNS resolveru poskytovatele, přes který je prováděno forwardo- vání. Možné je zde pouze vypnout a zapnout forwardování a vypnout a zapnout DNSSEC. Na kartě je dále test připojení, který slouží hlavně k ověřené funkčnosti po nastavení dvou zmíněných možností. • LAN – tato karta slouží k opravdu základnímu nastavení lokální sítě. Možné je zde manuálně nastavit IP adresu routeru, zapnout DHCP, začátek DHCP rozsahu a počet přidělovaných adres. • Wi-Fi – tato karta slouží pro nastavení Wi-Fi na routeru. Jak jsem již psal, router v základu obsahuje dvě síťové karty, které mohou fungovat současně. Na této kartě nastavení je tedy možné vypnout a zapnout jednotlivé síťové karty a potom dále nastavovat základní parametry pro Wi-Fi 1 a Wi-Fi 2. Wi-Fi 1, kromě možnosti vypnutí a zapnutí nabízí možnost nastavení jména sítě (SSID), možnost skrytí SSID, možnost volby režimu Wi-Fi (2,4 GHz nebo 5 GHz), možnost volby šířky kanálu podle zvoleného režimu (výběr z parametrů pro 802.11n/ac), možnost volby kanálu Wi-Fi a konečně možnost nastavení hesla, zde se ale nedá nastavit typ šifro- vání hesla, nicméně v základu je nastaveno WPA2-PSK s vynucenou šifrou TKIP a CCMP (AES) – tuto informaci je možné zjistit v LuCI. Wi-Fi 2, kromě možnosti vypnutí a zapnutí, nabízí možnost nastavené jména sítě SSID, možnost skrytí SSID, možnost nastavení šířky kanálu – síťová karta obsluhující Wi-Fi 2 podporuje pouze 2,4 GHz, takže již nelze vybírat mezi 2,4 GHz a 5 GHz, a také není možné vybírat šířku odpovídající 5 GHz parametrům, dále je možné zvolit kanál a nakonec heslo, kde opět nelze zvolit typ šifrování, zde je v základu opět zvolena varianta WPA2- PSK s vynucenou šifrou TKIP a CCMP (AES). U každého nastavení Wi-Fi je QR kód, který obsahuje informace pro připojení na danou Wi-Fi. S novou verzí Turris OS 3.7 také přichází nová funkce, takzvaná Guest Wi-Fi. Tato funkce umožní vy- tvoření Wi-Fi sítě pro hosty na dané kartě s možností připojení k internetu za pomoci hesla. Zařízení připojena na této síti nemají přístup k LAN a nastavovacím rozhra- ním síťových prvků. • Pokročilé nastavení – tato karta slouží k nastavení přístupového hesla pro pokročilé nastavení LuCI, do kterého se dá dostat přes na této kartě zmíněný odkaz (odkaz na
STRANA 111
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
přístup do tohoto rozhraní se nachází na více kartách, prakticky vždy, když je o pokročilém nastavení nějaká zmínka). • Údržba – tato karta je pro mě osobně velice cenná. Je zde možné nastavit zasílání upozornění o důležitých událostech na email (hodí se, když jsem na druhém konci republiky a chci vědět, co se děje s routerem). Tuto funkci je zde možné vypnout a zapnout, je zde možné nastavit poskytovatele SMTP pro email s upozorněním (Turris nebo vlastní), adresáta upozornění, jméno odesílatele (v základu Turris), na- stavení důvodů pro odesílání zpráv – „vyžadován restart“, „vyžadován restart nebo pozornost“, anebo „vyžadován restart, pozornost nebo byla nainstalována aktuali- zace“. Pod nastavením upozornění je také možnost zaškrtnout zasílání novinek, kdy uživateli chodí informace o nových funkcích routeru. V případ nutnosti je zde možné nastavit i automatický restart, kde je možné nastavit prodlevu ve dnech, a čas, kdy má k restartu dojít. V základu je prodleva nastavena na 3 dny a čas na 3:30. To znamená, že když dojde k aktualizaci OS a bude nutné restartovat router, tak nejdříve uživateli přijde upozornění emailem, že došlo k updatu routeru na tu a tu verzi OS a že došlo ke změně u toho a toho seznamu balíků, a poté přijde uživateli email (a zobrazí se to i na hlavní stránce ve Forisu), že je nutné router po aktualizaci restartovat. Pokud tak neučiní sám, tak se sám router restartuje v ten a ten konkrétní den přesně ve 3:30 ráno, což je přesně za tři dny. Na této kartě je možné vytvořit a načíst soubor pro zálohu nastavení routeru, takže uživatel po factory resetu nemusí složitě úplně vše znovu nastavovat, jen nahraje soubor (pokud ho má) a zbytek do- nastaví. Z této karty je také možné provést restart routeru. • Updater – tato karta má velice zavádějící název. Zde si totiž uživatel může vybrat, jaké funkce navíc oproti základnímu softwaru OS chce používat. S updaterem to souvisí tak, že aplikace na tomto seznamu jsou jím spravovány, takže když vyjde aktualizace pro vybraný balík ze seznamu, tak updater aktualizuje i balík na routeru. Pokud si uživatel nainstaluje nějaký balík z jiného zdroje, tak se o jeho aktualizace nebude tento updater starat. Zde je možností zvolení několik. Zvolení funkce se pro- jeví buď v LuCI nebo přímo ve Forisu, jak je možné vidět na obrázku (já používám testovací nightly verzi Turris OS, takže tam mám o něco víc karet, někdy i mož- ností):
STRANA 112
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 18 – Karta updater v rozhraní Foris (zdroj vlastní) • Sběr dat – zde je možné povolit sběr dat – udělat z Omnie sondu pro projekt Turris. Pro sběr je nutné se registrovat, po registraci stačí zadat emailovou adresu a povolit sběr dat. Na kartě je také možné zapnout emulaci některých často zneužívaných slu- žeb. V současnosti je možné nastavit emulaci: Telnet (23/TCP), Telnet – alternativní port (2323/TCP), HTTP (80/TCP), Squid HTTP proxy (3128/TCP), Polipo HTTP proxy (8123/TCP) a HTTP proxy (8080/TCP). Možné je také povolení ukládání jmen a hesel, kdy jsou krom připojujících se klientů zaznamenávána zadaná přihla- šovací jména a hesla. Takže, když někdo bude útočit na Telnet, tak to zaznamená jeho IP adresu účet a heslo, na které to zkusil.
STRANA 113
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 19 – Sběr dat (vlastní zdroj) • OpenVPN – na této kartě se nachází jednoduchý průvodce pro snadné nastavení OpenVPN. • O routeru – tato karta poskytuje základní informace o routeru nezbytné například i pro technickou podporu. Jsou zde informace o zařízení – Turris Omnia – RTROM01 (model), sériové číslo, verze Turris OS, veze jádra a informace o odesílání dat z uCollectu a odesílání firewallových záznamů (zda se data odesílají, kdy byl stav naposled aktualizován). K tomuto rozhraní bych dodal snad jen to, že jeho existence má smysl. Je jednoduché, relativně přehledné a je možné v něm nastavit všechny parametry nezbytně nutné pro chod routeru (i díky úvodnímu nastavení). Rozhraní nenabízí uživateli zbytečně moc složitých položek k nastavení, což má z určitého pohledu i bezpečnostní význam. Každá karta obsahuje popis jednotlivých nastavení, takže se v nastavení může vyznat i méně zkušený uživatel a jen tak bezhlavě nezakliká vše, co uvidí.
STRANA 114
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Díky existenci tohoto rozhraní méně zkušení uživatelé nenapáchají na routeru ta- kové škody, jako by napáchali, kdyby rozhraní Foris obsahovalo všechny možnosti jako pokročilé rozhraní LuCI. Takto by to podle mě mělo být u všech běžných routerů. Sice většinou nemají takové možnosti nastavení jako má Turris Omnia, ale na druhou stranu relativně zmatečná, mnohdy ne plně lokalizovaná nabídka nastavení může běž- nému člověku, který se ve volném čase nevěnuje běžně IT, pěkně zamotat hlavu a mnohdy ruce nasměrovat do peněženky.
9.5 Pokročilé rozhraní LuCI Toto rozhraní nemá s Forisem prakticky nic společného. Jedná se klasické nastavovací rozhraní známé z routerů s OpenWrt. Do rozhraní se opět přistupuje přes webový pro- hlížeč, tentokrát přes adresu http://192.168.1.1/cgi-bin/luci. Přihlašování do rozhraní probíhá přes úvodní obrazovku, kde je třeba zadat uživatelské jméno root a zvolené heslo vytvořené ve Forisu. Rozhraní na mě již nepůsobí tak přehledně jako Foris. Na druhou stranu vzhledem k tomu, co vše nabízí a na koho je mířené (pokročilejší uži- vatel, který ví kde a co hledat), nemůže být již moc přehlednější. Navigační lišta se oproti řešení z Forisu přesunula nahoru, kde je úplně vlevo název zařízení, pět katego- rií pro správu a nastavení a tlačítko pro odhlášení. Kategorie jsou rozděleny do stav, systém, služby, síť a statistiky. V každé z těchto kategorií je několik položek, po kliknutí na položku se otevře okno s nastavením. Toto okno může mít několik karet. Je zde tedy složitější uspořádání. Pokud tedy jako uži- vatel chci například přesměrovat porty, tak musím do kategorie síť, tam kliknu na možnost firewall a v rámci okna firewall ještě musím překliknout na kartu přesměro- vání portů a můžu zadat svůj požadavek. Někdy naopak stačí kliknout pouze na volbu v kategorii a vše je na jednom místě. Nyní se tedy pokusím nějak srozumitelně a bez zbytečných odboček popsat prostředí tohoto rozhraní za pomoci zmíněných pěti kate- gorií.
9.5.1 Stav V kategorii Stav se nachází následujících sedm možností, které mají jakýsi informační prvokontaktní charakter. Když bude něco v nepořádku, tak je to možné v jedné z těchto možností vidět:
STRANA 115
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Přehled – je to první, co uživatel vidí po přihlášení do LuCI. Nabízí základní infor- mace o zařízení (slovo základní má zde oproti Forisu naprosto jiný rozměr). Pod skupinou informací Systém je možné vidět informace o jménu hostitele, názvu mo- delu routeru, verzi firmwaru, verzi jádra, informaci o místním čase, době provozu routeru a průměrné zátěži v desetinném čísle. Pod skupinou informací Paměť je možné vidět progress bary s dostupnou pamětí RAM, volnou pamětí RAM a infor- maci o velikosti bufferování. Informace se skupinou Síť ukazují stav IPv4 WAN, kde jsou informace o připojeném rozhraní (například eth1), typ (například DHCP), adresa, síťová maska, brána, DNS 1, DNS 2, za jak dlouho vyprší a jak dlouho je rozhraní připojeno. Pro stav IPv6 WAN jsou uvedeny informace o připojeném roz- hraní, adresa, brána a informace o tom, jak dlouho je rozhraní připojeno. V rámci této skupiny je také progress bar s počtem aktivních spojení a procentním vyjádře- ním, například 269/65536 (0%). Další skupina informací se jmenuje DHCP výpůjčky, zde jsou připojená zařízení v tabulce a je možné vidět jejich jméno hosti- tele, IPv4 adresu, MAC adresu a zbývající dobu trvání zápůjčky. Další skupina informací se jmenuje DHCPv6 přidělené IP, která je podobné koncepce jako přede- šlá skupina – opět seznam zařízení, kde jsou tentokrát údaje o jménu hostitele, IPv6 adrese, DUID a zbývající době trvání zápůjčky. Další skupina informací nese název bezdrátová síť, zde jsou informace o dvou síťových kartách a jejich nastavení. Jsou tam informace o názvu rozhraní (radio0 a radio1), síle signálu v procentech, SSID, módu (možné nastavit jako přístupový bod, klient, sledování atd.), kanál (číslo a frekvence), přenosová rychlost, BSSID a šifrování. Takto je to uvedeno pro obě karty, pro každou zvlášť. Další skupina informací je Připojení klienti, kde je seznam zařízení připojených pomoci Wi-Fi 1 nebo Wi-Fi 2. Jedná se opět o tabulku, kde jsou informace o tom, na jakou síťovou kartu je zařízení připojené, v rámci jaké sítě to připojení je, MAC adresa zařízení, hostitel, informace o signálu a šumu v dBm, přenosová rychlost v Mbit/s a šířka kanálu v MHz. Dále jsou v přehledu skupiny informací Dynamické DNS, Stav miniDLNA, Aktivní AHCP zapůjčení, Aktivní přesměrování UPnP. Nic z toho neprovozuji, takže se mi tam ani nezobrazují infor- mace. Toto okno tedy nabízí nemálo mnohdy užitečných informací pro začátek. • Firewall – tato možnost obsahuje okno s dvěma kartami, kde je možné nahlédnout do tabulek s informacemi o firewallu. Karta IPv4 firewall a karta IPv6 firewall.
STRANA 116
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Každá karta obsahuje několik tabulek, které mají v záhlaví názvy sloupců Paketů (počet), Provoz (v MB), Cíl, Protokol, Dovnitř (údaje o rozhraní), Ven (údaje o roz- hraní), Zdroj, Cíl a Možnosti. Zde je také možné kliknout na ikonky s možností resetování čítače a restartování firewallu. • Trasy – tato možnost obsahuje několik směrovacích tabulek s informacemi. První je tabulka ARP, kde jsou sloupce IPv4 adresa, MAC adresa a Rozhraní. Následuje tabulka Aktivní záznamy ve směrovací tabulce IPv4, kde se data třídí podle Síť, Cíl, IPv4 brána, Metrika a Table. Poté logicky pokračuje tabulka Aktivní záznamy ve směrovací tabulce IPv6, kde se data třídí podle stejných parametrů. Na konci je tabulka IPv6 neighbours, která obsahuje 3 sloupce IPv6 adresa, MAC adresa a Roz- hraní. • Systémový log – zde asi není co dodat, vše, co se stane, je zde zaznamenáno. • Záznam jádra – obdobný princi jako předešlá možnost, jen zaměřené na jádro. • Procesy – jedná se o jednoduchý seznam aktuálně běžících procesů na routeru. Ta- bulka procesů má v záhlaví PID (ID procesu – číslo), Vlastník (root a další) a Příkaz procesu. • Grafy v reálném čase – tato možnost zobrazuje různé grafy různých rozhraní v re- álném čase (obsahuje několik karet, kde je možné zobrazovat grafy například podle rozhraní). Pod grafy jsou jak konkrétní hodnoty v daný moment, tak i průměrné hodnoty a hodnoty špiček.
STRANA 117
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 20 – Grafy v reálném čase (vlastní zdroj) Všechny položky této kategorie tedy uživateli nabízí takzvaně možnost „kouknu a vi- dím“, kde jsou základní údaje o provozu routeru (často i v reálném čase) k dispozici.
9.5.2 Systém V kategorii systém se nachází deset položek. Tyto položky slouží k nějaké interakci s operačním systémem nahraným v routeru. Jde vesměs o nějaká automatizovaná nasta- vení jako je například nastavení barev pro jednotlivé LED diody či nastavení přípojných bodů pro funkci NAS v rámci routeru. Položky jsou následující: • Systém – za zavádějícím názvem se skrývá nastavení základních vlastností. Jsou zde tři karty. Obecné nastavení je karta, kde je možné synchronizovat místní čas s prohlížečem. Možné je zde nastavit i jméno hostitele – jméno zařízení a zvolit
STRANA 118
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
časové pásmo. Logování je druhá karta. Zde je možné nastavit základní parametry logování, jako je velikost bufferu systémového logu, externí protokolovací server, port externího protokolovacího serveru, protokol pro externí protokolovací server (TCP/UDP), cestu k souboru s logy, úroveň logování – zde se může vybrat jedna z osmi možností, mezi které patří například chyba, varování, záchrana a další. Po- slední položkou na kartě logování je nastavení úrovně protokolování Cronu, kde jsou možnosti normální, ladění a varování. Jazyk a styl je poslední karta, zde je možné vybrat jazyk prostředí (angličtina/čeština) a vzhled – nativně Bootstrap. Mimo tyto tři karty je pod touto položkou i možnost nastavení synchronizace času, kde je možné povolit NTP klienta, poskytování NTP serveru a nastavit adresy kan- didátů NTP serveru. • Správa – opět zavádějící název. Pod touto položkou je možné pouze změnit admi- nistrátorské přístupové heslo k zařízení (pro rozhraní LuCI). Heslo je nutné zadat dvakrát. • Rainbow – je položka, pod níž je možné přidělit jednotlivým LED diodám barvu, kterou mají svítit. Lze použít jak přednastavené možnosti, tak různé kódy barev, jako je například FFFFFF pro bílou a tak dále – paleta „zobrazení“ barev je široká. Druhá možnost nastavení je určení stavu. Je tedy možné LED diodu natvrdo zhas- nout, rozsvítit, případně nastavit stav auto, který například zapříčiní automatické rozsvícení přidělené diody v případě, že dojde k připojení kabelu do konkrétního LAN portu. • Software – zde je možné instalovat a odinstalovávat balíčky. U této položky jsou celkem čtyři karty. Akce je karta, kde se nachází graf s informací o volném místě na zařízení, pole pro přímé stažení a nainstalování balíčku a filtr pro vyhledávání. Tato karta se dále dělí na další dvě karty. Nainstalované balíčky, kde je seznam nainstalovaných balíčků s možností odinstalování a informací o verzi, je jedna z nich. Dostupné balíčky je karta, kde je zase seznam se všemi balíčky, které si může uživatel stáhnout. Zde je možné vyhledávat přes dříve zmíněné pole nebo filtr, případně podle odkazů s písmenky abecedy. V seznamu je odkaz pro nainstalování (po kliknutí), název balíčku, verze balíčku, velikost balíčku a stručný popis balíčku. Konfigurace je karta, kde je možné nastavit zdroje balíčků. Je zde okno pro gene- rální nastavení OPKG (OPKG je obdoba apt-get, yum či aptitude z linuxových
STRANA 119
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
distribucí – jedná se o jednoduchý balíkový management systém, který je schopen stahovat a instalovat balíky z lokálních balíkových repositářů), okno pro zdroje dis- tribuce systému (balíčky, které jsou dodávány v základu vedle systémových balíčků – to, co přidává navíc CZ.NIC) a tabulka pro vlastní zdroje. • Po spuštění – zde je možné nastavit automatické spuštění procesů po zapnutí/re- startu routeru. Procesy jsou řazeny v seznamu podle priority pro spuštění od 0 po 99 (kdy 0 je nejvyšší priorita). Seznam je složen ze statických i interaktivních (klika- cích) položek. Statické informace jsou informace o prioritě spuštění, názvu procesu a povolení/zakázání automatického spuštění. Další položky seznamu jsou již inter- aktivní, takže je možné každý proces buď spustit, restartovat, nebo zastavit. Pod seznamem procesů je okno, do kterého může uživatel zadat vlastní příkazy pro spuš- tění po zapnutí/restartu zařízení. • Naplánované úlohy – zde je možné nastavit naplánování úloh v rámci Crontab. • Přípojné body – toto je položka pro nastavení všech přípojných bodů. Je zde tla- čítko pro automatické nastavení (lepší je to ale nastavit manuálně). Zde je to komplikovanější na popis. Nejdříve je zde možné zaškrtnout pět položek. Anonymní swap – připojení nespecificky nastaveného swapu (lze nastavit přímo dále), ano- nymní připojení – připojení nespecificky nastaveného zařízení (opět je možné přímo nastavit dále), automaticky připojit swap, automaticky připojit systém skrz hotplug (nic takového se za běžných okolností nekoná), automaticky kontrolovat systémové soubory před připojením. Ovšem to úplně hlavní této položky jsou tři následující tabulky. Připojené souborové systémy je tabulka, která informuje o vlastnostech již připojených úložišť. V tabulce je pět sloupců, mezi ně patří souborový systém – ukazuje kudy je úložiště napojeno (typicky /dev/sda1), přípojný bod – je cesta, pod kterou se uživatel k souborům na úložiště dostane (pro přípojná zařízení je typický formát ve tvaru /mnt/sda1 – zde jako uživatel najdu soubory, které jsou například na flashdisku, která je napojena prostřednictvím/dev/sda1), dostupné – informace o volném místě z celkové kapacity jednotlivých úložišť, použit – procentní vyjádření užití úložiště, unmount – možnost odpojení úložiště. Přípojné body je důležitá ta- bulka, která obsahuje informace o napojených úložištích, případně je možné přes tuto tabulku úložiště napojit. Po kliknutí na přidat se zjeví dvě karty. Obecné na- stavení, kde je možné vůbec povolit přípojný bod, nastavení připojení pomocí
STRANA 120
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
UUID (výběr ze seznamu připojených zařízení, případně vlastní), nastavení popisu (výběr ze seznamu, případně vlastní), nastavení zařízení – výběr pomocí místa na- pojení (opět /dev/sda1 atd.) a přípojný bod, kde je možné nastavit přípojný bod (opět typicky /mnt/sda1 a další). Pokročilé nastavení je karta, kde je možné nastavit typ souborového systému úložiště – buď auto, nebo vybrat konkrétní formát. Zde bych podotkl, že Turris OS je linuxová distribuce, takže NTFS a FAT32 moc dobře ne- chodí – prakticky vůbec, důrazně doporučuji formáty typu ext2 a ext4 známé z linuxových distribucí – funkčnost v tomto formátu je bezchybná. Dále je možné nastavit volby připojení a zaškrtnutí položky spustit kontrolu souborového systému. Po úspěšném nastavení se v tabulce objeví položka připojeného bodu. Tabulka má sedm sloupců. První sloupec je označitelná možnost povolit úložiště, druhý sloupec poskytuje informace o zařízení UUID, místo napojení a velikost úložiště, třetí slou- pec popisuje cestu přípojného bodu, čtvrtý sloupec popisuje souborový systém (vfat, ext4 atd.), pátý sloupec možnosti připojení, šestý sloupec informaci o root (ano/ne), sedmý sloupec informaci o kontrole souborového systému (ano/ne). Vedle těchto položek jsou odkazy pro nastavení a smazání přípojného bodu. Po úspěšném přidání přípojného bodu se zařízení objeví i v tabulce připojené souborové systémy. SWAP je poslední tabulka na této položce. Úložiště je opět možné přidat přes tlačítko. Opět vyskočí dvě karty obecné nastavení s možností zaškrtnutí povolení a výběrem zaří- zení ze seznamu – tentokrát jsou v seznamu i úložiště přímo na routeru (nepřipojená přes rozšiřující porty), karta pokročilé nastavení obsahuje možnost nastavení UUID a popisu. Po úspěšném nastavení se v tabulce SWAP objeví položka ve dvou sloup- cích, první sloupec je opět označitelná možnost povolit a druhý sloupec popisuje cestu napojení (například /dev/sda1) a velikost. Údaje je opět možné upravit nebo zcela odstranit. V tomto případě se údaj nezobrazuje v tabulce připojené souborové systémy. Správné nastavení přípojných bodů je nezbytné pro fungování funkce NAS v rámci routeru, bez toho nastavení NAS nelze realizovat a samotné sdílení úložišť se přímo odkazuje na vazby, které je možné vytvořit právě takto přes grafické pro- středí LuCI, nebo možná složitěji přes příkazovou řádku.
STRANA 121
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 21 – Přípojné body (zdroj vlastní) • LED konfigurace – tato možnost přidává ke zvoleným barvám v Rainbow nějakou funkci/chování. Zde se přidávají pravidla pro LED diody. Možné je nastavit název chování, LED název je položka, kde je možné vybrat konkrétní diodu, pro kterou má pravidlo platit. Možné je zaškrtnout nastavení jako výchozí stav a položka spuš- tění určí impulz, jenž povede k nějaké interakci – například rozsvícení LED diody v případě nějaké interakce s připojeným USB diskem (když dojde ke čtení nebo zá- pisu na flash disk, příslušná naprogramovaná LED dioda začne blikat dle provozu). Některé interakce nabízí i další možnosti – interakce je možné zcela naprogramovat, případně použít interakci, kterou někdo navrhl skrz její instalaci přes příkazy skrz SSH. Takto je tedy možné, například za pomoci zbarvení LED diod (zelená až čer- vená) a nastavení hodnot ve scriptu, sledovat užití downloadu a uploadu, aniž by uživatel musel neustále 24/7 sledovat okno monitorovacího systému s obavou, že se děje něco podezřelého a on o tom neví. Když dojde k vytížení, tak začne LED dioda blikat červeně a uživatel buď ví, že něco například zrovna stahuje, nebo je právě čas podívat se do dohledového systému, odkud vítr vane.
STRANA 122
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Vlastní příkazy – tato položka je dobrá pomůcka pro línější uživatele. Má dvě karty. Řídící panel, kde jsou již nakonfigurované příkazy, které je možné buď spus- tit, stáhnout nebo získat odkaz. Konfigurovat je karta, kde se příkazy specifikují. Každý příkaz má své jméno, znění příkazu, možnost povolení přidání parametru (například h pro pomoc atd.) a veřejný přístup (možnost přeskočení autentizace). Uživatel si tak může vytvořit například příkaz s názvem „Vypnout router“, zadá do příslušného pole poweroff a například i zaškrtne veřejný přístup. Po uložení se pří- kaz „Vypnout router“ objeví na řídícím panelu a po kliknutí na ikonku spustit se provede daný příkaz, aniž by se musel uživatel přihlašovat například přes PuTTY na SSH příkazový řádek – vše z pohodlí grafického prostředí LuCI. V řídícím pa- nelu se objeví i výpis odpovědi po příkazu. Například když uživatel klikne vlastní příkaz s názvem Popis, který obsahuje příkaz uname, má povolené dodatečné para- metry a veřejný přístup, zadá parametr a spustí tento příkaz, tak se mu v okně pod uživatelskými příkazy objeví odpověď na jeho dotaz (v plném znění i s parametrem -a, tedy něco jako tento výpis na daný dotaz: Linux DangerZone 4.4.51- b0cc75e71f81ebf1134376dc8e91b966-3 #1 SMP Fri Mar 3 23:41:21 CET 2017 armv7l n). • Reboot – po kliknutí na položku se objeví karta s ověřením, zda chce uživatel opravdu router restartovat. Tato kategorie nastavení tedy obsahuje mnoho nastavení, hlavně rutinního charakteru, která souvisí s provozem systému na routeru.
9.5.3 Služby Kategorie služby může obsahovat různé množství položek dle zaškrtnutí položek v kartě Updater v rámci rozhraní Foris, případně dle doinstalovaných balíků. U této kategorie lze prohlásit, že je zde možné již nastavit zajímavé parametry. V následují- cím textu, tentokrát stručněji a pro širokou škálu možností nastavení, popíši jedenáct položek, které se v této kategorii zobrazují mně. • Dynamické DNS – tato položka umožňuje, aby mohl být router Turris Omnia do- stupný pod pevným hostname, zatímco se jeho IP adresa dynamicky mění. K této položce bych dále snad jen uvedl to, že ne úplně každý tuto funkci potřebuje využí- vat, tudíž je tato možnost nastavení pro mnoho uživatelů nepotřebná. Vzhledem
STRANA 123
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
k tomu, že správné nastavení této funkce není úplně snadné, vyskytuje se v rámci této položky i odkaz na OpenWrt Wiki, kde je postup pro nastavení této položky podrobně popsán v angličtině, rozhodně to není záležitost pár kliknutí a napsání pár standardizovaných adres nebo příkazů. Každé nastavení má svá specifika a je při něm třeba umět pracovat skrz SSH, kde je nutné zadat několik příkazů a pozměnit obsah pár souborů. Některé typy a triky pro ovládání skrz SSH podrobněji popíši v jedné z následujících kapitol. • p910nd tiskový server – router nabízí možnost vytvoření tiskového serveru. Zde je možné nastavit jeho parametry. Server je možné povolit/vypnout, nastavit cestu k zařízení (tiskárně), nastavit rozhraní, které bude naslouchat, nastavit naslouchající TCP port a konečně povolit obousměrný režim. • hd-idle – je jednoduché rozšíření, které umí vypnout externí disková úložiště po určité době nečinnosti. Zde je možné funkci povolit, vybrat pro jaký disk tato funkce platí, nastavit hodnotu doby nečinnosti a časovou jednotku, ve které je hodnota doby nečinnosti (minuty/hodiny). Tato funkce se může hodit v případě, že má uživatel na router napojený jeden či více externích disků a router používá jako NAS. K routeru samotnému je možné pořídit i speciální box, který z routeru po připojení SATA řa- diče do MiniPCI-e slotu a nezbytnému propojení jednoho či více disků skrz napájecí a datovou kabeláž, udělá plnohodnotný NAS. Tuto tématiku také podrobněji pro- beru v jedné z dalších kapitol. • LXC Containers – je položka, která nemá moc obdoby. Jedná se o plnohodnotný virtualizační nástroj v rámci routeru. Tato položka umí vytvořit LXC kontejnery, které mohou obsahovat buď virtualizovaný Turris OS nebo jednu z populárních li- nuxových distribucí (Alpine 3.4, Debian, Gentoo, OpenSUSE, Ubuntu). V rámci této položky je tedy možné vytvořit kontejner s virtuálním systémem. Kontejnerů je možné vytvořit několik, uživatele limituje pouze výkon routeru (který není špatný), stejně tak je možné spustit několik virtualizovaných mašin vedle sebe (opět může limitovat výkon). Kromě tvorby kontejnerů je zde možné kontejnery spouštět, vypí- nat, mazat, různě nastavovat, zmrazovat, rozmrazovat a restartovat. V základu jsou dostupné jen některé verze OS, v rámci této položky je možné změnit adresu repo- sitáře, ze kterého se systémy čerpají. V základu to je repo.turris.cz/lxc. Zde dále dodám, že díky této funkci se pole možností tohoto routeru opět rozšiřuje. To, co
STRANA 124
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
nezvládne samotné OpenWrt, může zase zvládnout právě virtualizovaný systém na- příklad Debian. Virtualizovaný systém se po spuštění v rámci sítě tváří jako další počítač v síti se svojí MAC adresou. Já osobně jsem prostřednictvím této virtualizaci zkusil nainstalovat pár balíků a něco spustit a výsledek byl příjemný. Samotné ovlá- dání jednotlivých kontejnerů s virtualizovaným systémem je možné opět pouze přes SSH (Terminal nebo PuTTY). Abych nepředbíhal a nevytvářel zmatek, tak tuto část opět osvětlím v kapitole věnující se SSH přístupu.
Obrázek 22 – LXC kontejnery (zdroj vlastní) • MJPG-streamer – je rozšíření pro webkamery. Zde je možné toto rozšíření povolit, nastavit parametry pro http výstup (co musí uživatel zadat do adresního řádku ve svém webovém prohlížeči, aby viděl výstup), souborový výstup (kam a za jakých podmínek se bude ukládat obraz), parametry vstupu (cesta k zařízení, rozlišení ob- razu atd.). • miniDLNA – je serverový software plně kompatibilní s DLNA / UPnP-AV klienty. Zde je tedy možné sdílet multimediální obsah (audio, video, grafiku) v rámci sítě. Jsou zde dvě karty k nastavení. Ovšem z těch všech údajů je nutné přenastavit prak- ticky pouze cestu k médiu, ze kterého se má sdílet (cesta například k USB disku), název DLNA Serveru a samotné povolení služby. To ostatní může být ponecháno v základním nastavení. Možné je tam pak nastavit rozhraní pro sdílení, port pro zob- razení informací a různé upřesňující parametry, jako je adresář databáze, které
STRANA 125
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
většinou nemá cenu měnit, protože by to přineslo víc starostí než užitku, tedy pokud tuto funkci má vůbec cenu pro uživatele spouštět. Po tomto snadném nastavení se namapovaný disk proskenuje a multimediální soubory se v rámci sítě nasdílí. Na počítači připojeném do sítě pak stačí pouze přes „Tento počítač“ kliknout na „Síť“, kde se v seznamu „Multimediální zařízení“ objeví „zařízení“ s názvem, který si uži- vatel zvolil. Na toto zařízení stačí kliknout pravým tlačítkem myši a zvolit „Otevřít program Media Player“ a v otevřeném programu je již možné prohlížet a spouštět soubory. Zde bych chtěl upozornit na jeden možný problém. Já jsem to pokusně zkoušel a narazil jsem na mé zabezpečení. V rámci sdílení NAS jsem si totiž přes příkazovou řádku nastavil přístup k úložišti pouze skrz jeden vlastní účet zabezpe- čený heslem – úložiště zkrátka nemám volně přístupná, takže se k nim někdo, kdo nezadá přihlašovací jméno a heslo nedostane. Protože jsem se v rámci systému Win- dows ke svým diskům již přihlásil, tak se mi sdílené multimediální soubory a vlastně i samotný DLNA Server v seznamu „Multimediální zařízení“ zobrazil. Je to dáno tím, že jsem v rámci systému přihlašovací údaje k úložišti již zadal, takže je celý systém zná a má k nim přístup náležící k přihlášenému účtu. Proč to takto popisuji. Toto neplatí pro aplikace, které nejsou v základu dodávané Microsoftem se systé- mem Windows, tudíž například můj oblíbený VLC přehrávač mé zařízení nebyl schopen najít, proto jsem popsal postup skrz Media Player. Počítám, že tento pro- blém by nenastal v případě, kdy by úložiště bylo přístupné bez nutnosti zadávat uživatelské jméno a heslo pro přístup – jak je to ve většině případů, já jen nechci, aby si lidé v rámci kolejní sítě nestahovali mé soubory, jak je napadne. • UPnP (Univerzální Plug & Play) – umožňuje klientům v místní síti automaticky nakonfigurovat router. U této položky je tabulka s aktivními přesměrováními UPnP. Dále jsou zde dvě karty pro nastavení MiniUPnP. Pokud však není vyžadováno ně- jaké specifické nastavení, je doporučováno ponechat všechna nastavení s továrními parametry. • Transmission – je torrentový klient v rámci routeru. Stahování torrentů nebylo snadnější. U této položky je opět možné nastavit mnoho parametrů, já opět vyberu pouze ty nezbytně nutné pro funkčnost. Funkci je napřed nutné povolit zaškrtnutím políčka. Možné je nastavit limity pro upload a download. Zásadní položka nastavení
STRANA 126
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
je adresář pro stahované soubory, kde je nutné namapovat úložiště, kam chce uživa- tel stahovat soubory. Doporučoval bych mít zaškrtnutou položku začít stahovat nové torrenty. Dále se tam vyskytuje mnoho položek pro nastavení, důležité pro zvýšenou pozornost je nastavení RPC. RPC je nutné mít povolené, port si může uživatel na- stavit dle libosti, v základu je to 9091, RPC URL je v základu /transmission/, a konečně RPC whitelist je 127.0.0.1,192.168.1.*. Nakonec je možné nastavit maxi- mální počet aktivních stahování. Po potvrzení nastavení se klient spustí v pozadí. Díky nastavení RPC je možné tento torrentový klient spustit pomocí zadání adresy 192.168.1.1:9091 do webového prohlížeče a uživateli se zobrazí grafické prostředí Transmissionu. Přes toto prostředí je možné stahovat torrenty na předem definované úložiště. Po kliknutí na přidání torrentu stačí vybrat soubor nebo zadat URL torrentu, případně přenastavit cestu uložení souboru, také je možné zaškrtnout možnost spus- tit stahování hned po přidání. V tomto grafickém prostředí je možné i pár parametrů nastavit, mazat torrenty, případně pozastavovat stahování nebo jej opět spouštět. Jedná se zkrátka o plnohodnotný torrentový klient se vším všudy. Celé řešení má výhodu, že běží nezávisle na počítačích v síti. Tedy pokud se nebere v potaz ovlá- dání klienta – přidávání torrentů atd., potom vše již probíhá jen v rámci routeru a není nutné, aby byl jakýkoliv počítač v síti zapnutý. • Tinyproxy – je malý a rychlý necachující HTTP(S)-Proxy server. Jedná se o rozší- ření, které je schopné nastavit proxy server. Prostřednictvím správného nastavení v rámci této položky je prakticky možné obejít různé blokování webů, jako je napří- klad i blokování nelegálních heren. Pokud se to tedy nastaví „dobře“, tak zařízení v síti za tímto routerem o žádném blokování nebudou vůbec vědět. Jsou zde dvě karty, jedna popisující stav proxy serveru a druhá s nastavením. Karta s nastavením obsa- huje další čtyři karty pro podrobnější nastavení. Opět se jedná o nastavení, ke kterému se běžný smrtelník moc nedostane, a pokud ano, tak k tomu musí mít dost velký důvod. • Síťová sdílené – je vlastně realizace funkce NAS za pomoci Samby. Tato položka má přímou návaznost na několik nastavení. Za prvé je to nastavení přístupových bodů, o kterém jsem již poměrně detailně psal a za druhé je to nastavení přístupo- vých účtů pro Sambu, které je nutné provést přes SSH a o kterém jsem se v této podkapitole již lehce zmínil ve spojitosti s DLNA. V síťovém sdílení se nastavuje
STRANA 127
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
jméno hostitele (jméno, které se zobrazí na počítači pod položkou „Síť“), popis, skupina, sdílet domácí adresáře a jednotlivé adresáře ke sdílení. U sdílených adre- sářů je možné nastavit název adresáře, jeho cestu (kterou je možné zjistit ve dříve zmíněné položce přístupové body), povolené uživatele, možnost pouze pro čtení, povolení hostů, vytvoření masky pro soubory, vytvoření masky pro adresáře a mož- nost odstranění adresáře. V tomto zmíněném výčtu parametrů je nezbytné nastavit jméno, cestu k úložišti a přístup – to ostatní je doplňující. Po správném nastavení se NAS úložiště zobrazí zařízením v síti a dostanou se k adresářům a souborům dle nastavených parametrů. Je možné nastavit možnost povolení hosté, takže se každý dostane se všemi právy ke všemu, co je v daných adresářích. To není vždy úplně šťastné řešení, proto je vhodné vytvořit nějaký účet s heslem v rámci Samby. To není úplně tak jednoduché. Je třeba pomocí SSH otevřít soubor /etc/passwd a přidat nový řádek, kde je třeba zadat jméno uživatele, číslo pro user ID, ID číslo skupiny a nastavit /var:/bin/false. Takto se vytvoří nový uživatel, jemuž je vhodné přidat heslo, které je nutné zadat již skrz příkazový řádek např. PuTTY za pomoci příkazu smbpasswd a jméno uživatele. Po zadání hesla není stále vyhráno. Je třeba upravit poslední soubor /etc/samba/smb.conf.template, což je šablona pro přístup k Sambě. V té šabloně je třeba buď pozměnit nebo přidat řádek do znění „null passwords = yes“ (bez uvozovek). Poté je možné do dříve popsané možnosti povolení uživatelé napsat jméno uživatele, který byl takto vytvořen. V praxi to dále probíhá tak, že se v síti objeví NAS se zvoleným názvem, a v případě žádosti zařízení o přístup do sdílených adresářů NASu jsou uživatelé vyzváni k tomu, aby zadali přístupové jméno a heslo k adresářům a souborům v nich obsažených. Pokud údaje zadají správně, tak mohou se soubory nakládat dle nastavených pravidel, v opačném pří- padě se k souborům vůbec nedostanou. Tato funkce se může leckde hodit. • CUPS – je jakýsi dohledový správce tisku pro dříve zmíněný tiskový server. Je zde místo pro seznam nastavených tiskáren a seznam probíhajících úloh. Jedná se prak- ticky o obdobu ikonek z pravého rohu panelu nástrojů ve Windows. Celou tuto kategorii lze shrnout tak, že obsahuje ne zcela pro router běžné položky, které mohou uživatelům ulehčit život. Ať už je to proxy serve, tiskový server nebo třeba nastavení NAS.
STRANA 128
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.5.4 Síť Nyní se již dostáváme k typu nastavení, které bych označil jako „funkční“. Kategorie síť totiž obsahuje několik položek, kde je možné vidět informace o různých sítích (ať už drátových či bezdrátových), firewallu a dalších položkách, kvůli kterým má vůbec smysl router také provozovat. Tuto část také vezmu stručněji, protože možnosti nasta- vení v této kategorii jsou obrovské a samotné nastavení se může dost lišit, a to kvůli potřebám jednotlivých správců sítí a jejich představám o fungování routeru. • Rozhraní – tato položka je velice důležitá. Obsahuje informace o jednotlivých roz- hraních s možností nastavení a nabízí tvorbu ATM mostů. Jednotlivá rozhraní na zobrazeném seznamu je možné připojovat, odpojovat, nastavovat, odstraňovat a vy- tvářet. Po kliknutí na vytvoření nebo úpravu se zobrazí několik karet. Obecné nastavení, kde je možné nastavit protokol DHCP a další, případně DHCP server. Pokročilá nastavení umožní povolení automatického zapnutí rozhraní po startu, zapnutí zabudovaného IPv6 managementu a dále nastavení vlastní MAC adresy (router lze použít i např. k připojení k internetu u poskytovatelů, kteří dodávají mo- demy s konkrétními MAC adresami, právě možnost změny MAC adresy umožní uživateli používat router Turris Omnia na perimetru tak, aby mu připojení k inter- netu fungovalo – bude se dle MAC adresy tvářit jako modem, který dříve dodal poskytovatel připojení), MTU a gateway metric. Fyzické nastavení je klikací roz- hraní, kde je třeba zakliknout, ke kterému fyzickému adaptéru má být rozhraní přiřazeno (např. WAN a WAN6 náleží ethernetovému adaptéru eth1), nastavit lze přiřazení buď jen k jednomu adaptéru, případně lze vytvořit síťové mosty. Poslední kartou je Nastavení firewallu (pro rozhraní). Zde se vlastně vytvářejí zóny, a to velice snadno za pomoci grafického rozhraní, stačí zadat vlastní název. Nicméně v základu existují 2 zóny. Lan, kde jsou přiřazené všechny LAN porty (ne WAN) a regulérní Wi-Fi sítě. A druhá zóna je wan, kde jsou logicky přiřazená rozhraní typu wan (WAN, WAN6). Uživatel si zde může vytvořit i další zónu. Například čerstvě nová funkcionalita (zatím v testovací verzi OS) nabízí snadné nastavení pomoci roz- hraní Foris, kdy je možné vytvořit tzv. Guest přístupový bod – připojení uživatelé na tuto síť nemají přístup k LAN, nastavovacím rozhraním, pouze se mohou dostat na internet, což může být praktické. Toto nastavení právě vytvoří další zónu.
STRANA 129
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 23 – Rozhraní v LuCI (zdroj vlastní) • Bezdrátová síť – zde je možné nastavit úplně vše související s Wi-Fi. Je zde Pře- hled bezdrátových sítí pro každou síťovou kartou (sítí může být na seznamu několik). Je zde také možné vidět seznam připojených klientů s informacemi, k jaké kartě, jaké síti, s jakou MAC adresou, názvem hostitele, informacemi o sig- nálu/šumu a RX rychlost a rychlost TX. Samotné bezdrátové sítě, je možné zakázat/povolit, upravit, odstranit, přidat a skenovat (tuto variantu vysvětlím dále). Po kliknutí na upravit se objeví několik karet. První blok jsou nastavení zařízení, které se skládá z následujících položek. Obecné nastavení, kde je možné vidět zá- kladní informace o síti (mód, BSSID, šifrování, kanál, Tx power, signál, šum, přenosová rychlost a země). Dále je zde možné síť vypnout, nastavit mód – 802.11x (dle potřeby), frekvenci (pokud karta nabízí jak 2,4 GHz, tak 5 GHz), kanál a spe- cialitou je i vysílací výkon v dBm/mW. Výkon je opravdu možné nastavit a změny jsou znatelné. Pokročilá nastavení nabízí možnost nastavení kódu země, optimali- zace na vzdálenost, hranice fragmentace a práh RTS/CZS. Konfigurace rozhraní je druhý blok karet s nastavením, kde jsou následující karty. Obecné nastavení, zde je možné nastavit ESSID, mód – síťová karta může sloužit v několika módech (pří- stupový bod, sledování, klient a další). O sledování se zmíním dále, ale klient je ten důvod, proč jsem dříve zmínil možnost skenování. Router je totiž možné za pomoci
STRANA 130
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
jedné z karet připojit k jakékoliv síti (2,4 GHz a 5 GHz), nastavit a díky druhé kartě šířit vlastní připojení dál (celkem nevídaná záležitost). Pod možností nastavení módu je zaklikávací seznam, kde je nutné označit, pod kterou síť rozhraní patří (LAN, ale záleží na módu, v případě klienta to bude WAN), nakonec je možné za- kliknout skrývat ESSID a WMM mód. Zabezpečení bezdrátové sítě nabízí možnost nastavení šifrování, kde jsou možnosti jako WPA2-EAP či WPA2-PSK. Dále je možné nastavit další parametry dle zvoleného typu šifrování, vždy (až na bez zabezpečení) je třeba zadat heslo. Další karta je Filtr MAC adres. Zde se zasta- vím trochu více. Možné je dělat black listy – seznam zakázaných zařízení (ty se nepřipojí, leda by došlo ke změně MAC adresy na adresu povoleného zařízení). Také je možné dělat white listy – tuto variantu doporučuji, povolí se připojení pouze zařízením na seznamu povolených MAC adres (opět nikdo jiný se nepřihlásí, leda by zfalšoval MAC adresu zařízení z white listu a znal by přístupové heslo). Pokro- čilé nastavení nabízí pouze možnost nastavení interface name. • Směrovač – asi nejhloupěji pojmenovaná položka v celém rozhraní. Jde o položku, kde je možné nastavovat VLANy za pomoci grafického rozhraní. • DHCP a DNS – a nyní dochází k jedné z těch položek, které budu muset popsat velice krátce, protože většina nastavení je buď provedeno automaticky, nebo je nutné tato nastavení realizovat individuálně dle potřeb. Jedná se o kombinaci DHCP serveru a DNS forwarderu pro použití v NAT firewallech. Jsou zde možnosti po- měrně rozsáhlého nastavení, ať už různé zaklikání funkcí nebo nastavení cest pro například soubor se zápůjčkami. Jsou zde také informativní seznamy, které jsem již zmínil dříve (např. v položce Přehled pod kategorií Stav): Aktivní propůjčené DHCP adresy (leases), Aktivní propůjčené DHCPv6 adresy (leases) a další. Roze- psání o této položce by zabralo hodně stran již tak obsáhlé práce a asi by to nic nepřineslo. • Jména hostitelů – zde je pouze seznam se záznamy hostitelů, který je možné vy- tvářet – jméno hostitele a IP adresa. • Statické trasy – trasy zde určují, přes jaké rozhraní a bránu může být konkrétního hosta dosaženo. Toto má smysl v případě statických IP adres. • Firewall – a nyní se dostáváme k jedné z hlavních položek (přitom ne často navště- vovaných). Jsou zde 4 karty. Obecné nastavení je složeno z nastavení zón, kdy
STRANA 131
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
firewall vytváří zóny přes síťová rozhraní za účelem řízení síťového provozu. Je zde možné povolit ochranu SYN-flood, zahazování neplatných paketů a nastavení vstupu, výstupu a přesměrování (přijmout, odmítnout, zahodit). Ve spodní části je seznam známý z Rozhraní, kde jsou jednotlivé zóny, které je nyní možní rychle upravit o vstup, výstup, přesměrování (vše opět přijmout, odmítnout, zahodit), maš- karádování a MSS clamping. Zóny je možné přidávat, upravovat (dojde k otevření podrobného nastavení) a mazat. Po kliknutí na nastavení se zobrazí prakticky stejné položky, jako popíši dále, pouze pro konkrétní zónu, navíc jsou přidány klikací mož- nosti pro různá přesměrování (hodí se právě pro funkci host Wi-Fi). Další karta je přesměrování portů, kde je možné přidávat vlastní pravidla. Je třeba zadat název, protokol, vnější zónu, vnější port, vnitřní zónu, případně vnitřní ID adresu a vnitřní port. Pravidla je možné upravovat – jsou tam i další možnosti a je možné měnit jejich pořadí, protože při větším počtu pravidel na pořadí záleží. Pravidla síťového pro- vozu jsou další karta. Pravidla síťového provozu definují politiky pro cestování paketů mezi různými zónami, například pro odmítnutí provozu mezi jistými hostiteli nebo pro otevření WAN portů na routeru. Pravidla je opět možné upravovat, mazat, vytvářet a měnit pořadí. Je zde i zdrojový NAT, což je specifická forma maškarádo- vání, která umožňuje jemnozrnnou kontrolu nad zdrojovými IP, použitými pro odchozí provoz. Využívá se například pro mapování množství WAN adres do vnitř- ních podsítí. Poslední karta jsou vlastní pravidla, která umožňují spustit libovolné iptables příkazy, které nejsou jinak pokryté frameworkem firewallu. Příkazy jsou spuštěny po každém restartu firewallu, právě po načtení výchozí sady pravidel.
Obrázek 24 – Přesměrování portů (zdroj vlastní) • Diagnostika – zde je pouze klikací tlačítko pro zjištění odezvy Ping.
STRANA 132
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• AHC server – je autokonfigurační protokol pro IPv6 a dual-stack IPv6/IPv4 sítě, vytvořený pro použití vedle funkcí router discovery (Vyhledávání směrovačů po- mocí ICMP zpráv) a DHCP na sítích, kde je obtížné či nemožné nakonfigurovat server v každé vrstvě broadcast domény, například mobilní ad-hoc sítě. • Wake on LAN – funkce "Wake on LAN" umožňuje vzdáleně spouštět počítače v místní síti. • SQM QoS – položka, pomocí které je možné nastavit QoS. Tato kategorie tedy nabízí široké množství nastavení, jehož podoba se může lišit (a nejspíš i bude lišit) případ od případu. Je zde možné provést pro síť kritická nastavení – jako je nastavení firewallu, rozhraní a Wi-Fi.
9.5.5 Statistika Poslední kategorií v LuCI je statistika, podoba této kategorie je dosti individuální, zá- leží dost na tom, zda si tuto funkcionalitu uživatel povolil ve Forisu v kartě Updater a jaká rozšíření si uživatel pro statistiku doinstaloval. • Majordomo – je velice jednoduchý, přitom přehledný a efektivní „dozorce“. Je to seznam se zařízeními na síti, který ke klientům ukazuje informace o počtu (down- load), packet size download (v GB nebo MB), velikost dat download (opět GB nebo MB), počet upload, packet size upload (v GB nebo MB), velikost dat upload (v GB nebo MB) a možnost na detailní náhled ke každému zařízení. Tam jsou cílové ad- resy, porty a zmíněné údaje pro konkrétní přenosy. Majordomo má i nastavení, kde je možné nastavit parametry pro sběr informací – kam a kolik. K jednotlivým MAC adresám je také možné přidat jména zařízení pro lepší orientaci.
STRANA 133
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 25 – Majordomo (zdroj vlastní) • Grafy – zde se vyskytuje několik karet s grafy (záleží na nastavení každého uživa- tele). Data se sbírají pomocí Collectd a vykreslují pomocí RRDtool, navíc je možné doinstalovat různá rozšíření, která sledují různé parametry. Může tu tedy být graf s využitím výkonu procesoru, disků, rozhraní, bezdrátových sítí atd. Například u bezdrátových sítí graf v čase zobrazuje sílu signálu v porovnání se šumem, další graf ukazuje kvalitu signálu v čase, další rychlost připojení, a to samé se zobrazuje i pro druhou kartu. Je třeba si uvědomit, že tyto grafy se nevykreslují v reálném čase, ale po nastavených časových intervalech je možné zobrazit data např. za hodinu nebo až rok (zde se to dá nastavit i individuálně). Zde je tedy možné zpozorovat nějakou anomálii díky velkému množství posbíraných dat, ale nedojde k žádné výstraze – proto je třeba ještě provozovat nějakou komponentu, která sleduje v reálném čase. Tyto grafy však nabízí velice dobrá historická data, jež mohou také vypovědět o různých věcech.
STRANA 134
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 26 – Grafy historických dat vykreslené přes RRDtool (vlastní zdroj) • Setup – toto je nastavení Collectd, tedy sběru dat. Je zde možné nastavit různé cesty k souborům s nastavovacími parametry a časový interval pro sběr. Nahoře jsou tři karty, ve kterých je možné nastavit parametry jednotlivých rozšíření. Zde nemá cenu se moc o něčem rozepisovat, protože záleží na tom, jaká rozšíření jsou nainstalo- vána, co che uživatel sledovat, kam a za jakých podmínek chce sbíraná data ukládat. Kategorie statistika dává uživateli historická data – to je třeba si uvědomit. Tato histo- rická data mohou sloužit k různým účelům. Pokud administrátor v Majordomovi uvidí, že mu někdo podezřele moc stahuje data z internetu, nebo naopak uploaduje, tak se podle toho může zachovat. To samé může udělat, pokud nedej bože zjistí, že na síti
STRANA 135
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE působí někdo, kdo tam nemá co dělat. Grafy vykreslené RRDtoolem zase mohou pro- zradit nějaké problémy v čase. Například, že od určitého dne se zhoršila kvalita signálu z Wi-Fi karty, za pomoci časového údaje může pak administrátor zjistit, zda tomu tak je kvůli aktualizaci, nebo zda tomu tak je kvůli tomu, že si soused pořídil zařízení, které signál ruší.
9.6 SSH přístup Jak jsem již dříve uvedl, další možností, jak něco v routeru změnit, je SSH přístup. Tento přístup vyžaduje již nějakou uživatelskou vyspělost nebo uživatelský důvtip, avšak nabízí zdaleka největší možnosti ke změnám – vše, co umí obě grafická rozhraní (Foris, LuCI) a mnohem víc. Obecně lze říci, že přístup přes SSH lze realizovat dvěma způsoby, ačkoliv se fakticky jedná stále o jeden a tentýž způsob, rozdíl je pouze v zob- razení. Prvním způsobem je přístup přes terminál (příkazová řádka) a druhý způsob je přístup přes nějaký grafický správce souborů. Každá varianta má své pro a proti, oba přístupy v následujícím textu popíši.
9.6.1 Přístup skrz terminál Přístup skrz terminál je možné realizovat dvěma způsoby (opět se jedná o jedno a totéž, jen za jiných podmínek). Uživatel má na svém počítači nainstalovaný operační systém od Microsoftu, což znamená, že uživatel musí použít aplikaci typu PuTTY, aby mohl router ovládat. Uživatelé linuxových distribucí a macOS to mají trochu snazší, protože v jejich případě lze přistoupit skrz vestavěný terminál za pomoci příkazu ssh [email protected] (v případě, že se chce uživatel přihlásit k root účtu a nezměnil si IP adresu pro přihlášení k routeru). Tak či onak, před samotným připojením skrz SSH je tedy potřeba zadat správnou IP adresu pro přístup k routeru, přístupový port (22) a uživatelské jméno pro přístup. Uži- vatel je poté požádán o zadání hesla k danému účtu. Následně je již možné zadávat příkazy dle libosti a dle možností připojeného účtu. Mezi nejzákladnější příkazy mo- hou patřit následující příkazy: • opkg install jméno balíčku – tento příkaz nainstaluje daný balíček • opkg update – dojde k aktualizaci opkg balíčků.
STRANA 136
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• updater.sh – dojde k vynucenému spuštění updateru – kontrole, případně stažení nové verze OS. • /etc/init.d/setup_led restart – dojde k jakémusi refreshi nastavení LED diod, občas se to hodí pro správnou funkčnost. Například lze v LuCI nastavit diodu tak, aby svítila zeleně a blikala dle zadaného textu v Morseově abecedě. Mnohdy se stane, že k žádnému blikání nedojde, proto je zapotřebí provést právě refresh za pomoci tohoto příkazu. • /etc/init.d/jméno balíčku enable – tento příkaz nastaví automatické spuštění ba- líčku po restartu zařízení. • lxc-start -n jméno kontejneru – tento příkaz spustí virtuální kontejner. • lxc-stop -n – tento příkaz vypne virtuální kontejner. • lxc-info -n jméno kontejneru – tento příkaz zobrazí informace o stavu kontejneru (je vypnut/zapnut). Touto cestou lze dělat veškeré činnosti jako skrz jiné příkazové řádky. Je tedy možné zobrazovat informace, instalovat, nastavovat, spouštět, vypínat, zapínat a mnoho dal- ších úkonů.
STRANA 137
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 27 – SSH přístup přes PuTTY a terminál v Linuxové distribuci (vlastní zdroj) Příkazový řádek je tedy tak mocný jak jeho obsluha. Ovšem ne vždy je příkazový řá- dek to nejpohodlnější řešení i pro zkušeného uživatele, proto existuje možnost, kterou popíši v následující části.
9.6.2 Přístup prostřednictvím grafického správce souborů Asi každý dnes zná správce souborů jako jsou Total Commander nebo Altap Salaman- der. Grafické rozhraní těchto správců souborů ulehčily za léta své existence práci nejednomu uživateli počítače. Přístup skrz SSH k routeru Turris Omnia je možné rea- lizovat i pomocí grafických správců souborů tohoto typu. Asi nejznámější aplikací tohoto typu pro SSH přístup nejen k Omnii je WinSCP.
STRANA 138
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Úvodní „nastavení“ probíhá obdobně jako v případě PuTTY. Je třeba zadat IP ad- resu routeru, port (22), uživatelské jméno, heslo, a navíc protokol přenosu pro soubory SFTP. Po přihlášení se uživateli zobrazí klasické dvoupanelové rozhraní, kdy na jedné straně jsou složky a soubory z lokálního počítače a na druhé složky a soubory na rou- teru. Uživatel má k souborům na routeru přístup dle práv uživatele, na kterého se přihlásil. Uvedu důvody, proč je tato metoda tak zvláštní a pro mě osobně daleko pohodlnější a rozhodně účinnější než přes příkazová řádek. Hlavním kladem je pro mě snadnější orientace. Pokud uživatel ví, co kde hledat, tak se může k danému cíli celkem dobře proklikat, případně něco poupravit. Krásně to lze vysvětlit na již zmíněném přidělení nějaké funkce k LED diodě. V LuCI si nastavím pro PCI1 diodu červenou barvu a blikání dle zadaného textu v Morseově abecedě. V terminálu bych musel znát všechny povely pro zprovoznění. Takto mi stačí nastavit barvu a funkci v LuCI a následně spustit WinSCP. Tam si stačí pamatovat pouze cestu k souboru s nastavovacími para- metry pro diodu PCI1, která je /sys/class/leds/omnia-led:pci1/ a vybrat soubor message, do něhož pak už jen stačí napsat text pro LED diodu, uložit a refreshnout. Dioda na uživatele záhy začne blikat zadaný text v Morseově abecedě.
STRANA 139
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 28 – Ukázka užití WinSCP, soubor s nastavením pro sambu (zdroj vlastní) Toto byl pouze ilustrativní příklad, uplatnění tohoto řešení lze najít mnohem vážnější. Lze takto nastavovat například i limity pro funkci LED diod, která zbarvuje led diody dle zatížení sítě (nastaví se horní hranice pro upload a download), diody pak v případě stahování změní barvu ze zelené na žlutou nebo červenou dle využití sítě podle zada- ných parametrů. Stejně tak lze celkem elegantně přistupovat k souborům uvnitř LXC kontejnerů s virtuálními systémy. Cesta k těmto souborům je /srv/lxc/jméno kontej- neru a opět je tam možné měnit nastavení.
STRANA 140
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.6.3 Závěr SSH přístupu Nastavení skrz SSH nabízí daleko větší možnosti nastavení než obě grafická rozhraní (Foris, LuCI). Přesto to neznamená, že je uživatel odkázán pouze na příkazový řádek. SSH komunikaci je možné zajistit i přes grafického správce souborů jako je například WinSCP. Systém Turris OS je založen mimo jiné i na tom, že údaje o různých nasta- vení pro různé aplikace jsou uloženy v souborech na různých lokacích v rámci nějakého adresáře. Proto se užití WinSCP jeví jako dobrá volbou pro přístup a editaci těchto souborů. Kombinace obou nástrojů může být velice efektivní, ovšem velice zkušený uživatel si vystačí pouze s příkazovým řádkem.
9.7 Modularita routeru Turris Omnia Jak jsem v předešlém textu již několikrát naznačil, router Turris Omnia je možné různě rozšiřovat jak softwarově, tak hardwarově. Touto vlastností se běžné routery nepyšní. Některé případy, které také fungují na nějaké verzi OpenWrt disponují rozšiřitelností po té softwarové stránce, avšak brzdí je většinou málo výkonný hardware, který prak- ticky nějakou větší softwarovou rozšiřitelnost zamezuje. Router Turris Omnia disponuje výkonným hardwarem, takže je možné software pro OpenWrt v klidu insta- lovat bez obav, že by hardware nedodal požadovaný výkon. Může existovat situace, že uživatel vyžaduje nějakou aplikaci, která funguje napří- klad na Debianu a na OpenWrt ještě nebyla portována. V tom případě může uživatel použít již zmíněné kontejnery s virtuálními systémy a je vysoce pravděpodobné, že danou aplikaci ve virtuálním systému rozběhne – o tom si veškerá konkurence může nechat zdát. Když už jsem psal o hardwaru, tak nejen že je výkonný, ale je řešen i tak, aby byly některé komponenty vyměnitelné. To opět není u běžných routerů zcela běžné. V ná- sledujících dvou podkapitolách popíši možnosti rozšíření a nějaké modularity, se kterými jsem se za ten půl rok u Omnie setkal. Zde bych si dovolil přidat poznámku, že většina těchto rozšíření přináší uživateli Omnie výhody, případně vyšší úroveň bez- pečnosti.
STRANA 141
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.8 Softwarové rozšíření
9.8.1 Barva LED diod podle vytížení Asi úplně první věc, která mi v routeru Turris Omnia chyběla, bylo nějaké relativně jednoduché, a přitom efektivní monitorování toho, co se děje nejen na síti, ale i uvnitř routeru – využití procesoru, teplota na desce, využití RAM atd. Situace se zřejmě již brzy začne měnit, v rámci kampaně na Indiegogo bylo řešení tohoto problému mezi cíli CZ.NICu, ale ještě se k tomu vývojáři nedostali. Nicméně jsem se dostal k interním informacím, že od počátku června budou vypouštěny v nových verzích operačního systému Turris OS nové funkce, mezi nimiž bude i právě nějaká monitorovací apli- kace. Ovšem v současné době nic takového nativně neexistuje, proto jsem se začal zajímat a narazil jsem na dvě zajímavé aplikace/rozšíření, které mé touhy dokázaly ukojit, nicméně není to nativní řešení a je třeba něco doinstalovávat – proto je to také v této části. První rozšíření, které na mojí Omnii zavítalo byla funkce, která přidává LED dio- dám barvu dle vytížení pásma. Je to rozšíření, které vytvořil jeden z uživatelů (dpdrown, vlastním jménem Dan Drown) a zveřejnil ho na oficiálním fóru. Instalace této aplikace je velice jednoduchá, za pomoci následujících příkazů: opkg update opkg install git git clone git://github.com/ddrown/omnia-led-colors.git cd omnia-led-colors ./install
Napřed je nutné nainstalovat aplikaci schopnou komunikovat s GitHubem, ve kterém je aplikace pro LED diody vytvořená a následně již stačí nainstalovat samotnou apli- kaci. Nastavení aplikaci je opět možné měnit v jednom ze souborů například skrz WinSCP. Cesta k nastavovacímu souboru je /etc/config/omnia-led-colors. V tomto souboru je několik parametrů, nastavení je teoreticky možné nechat v původním nastavení (jen je
STRANA 142
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE třeba myslet na to, že horní meze asi budou nepoužitelné). Parametry fyzických roz- hraní není rozhodně třeba měnit a jediné, co je vlastně vhodné změnit, jsou horní limity pro upload a download. Pokud tedy nastavím horní limit pro download dejme tomu na 70 Mbps, tak pokud se k této hodnotě reálný provoz přiblíží, začne se barva LED diody měnit z jasně zelené na nažloutlou barvu, žlutou barvu, oranžovou barvu, až na červe- nou. Pro příklad, 40 Mbps bude znamenat žlutou barvu LED diody a čím víc se hodnota bude blížit k hodnotě 70 Mbps, tím více bude červená. To samé platí i pro upload. Nyní uvedu, jak nastavit hranice. To je celkem obecná otázka, neexistuje univerzální odpověď – záleží, co chce uživatel sledovat. Já jsem si například provedl několikrát měření svého připojení k internetu a dle nějakého průměru hodnot, sníženého asi o 5 % jsem hranice nastavil. V mém případě to znamená, že příslušná LED dioda se začne zbarvovat do ruda, když stahuji z internetu nějaké soubory v plné rychlosti (záleží na poskytovateli), u mě je to například cca 2 – 10 MB/s. Co mně jako uživateli toto rozšíření přináší? Přináší mi orientační dohled nad pro- vozem v síti. Když se zkrátka začne dít něco dle nastavených hodnot podezřelého, tak se LED dioda zbarví do ruda a uživatel na tento fakt může nějak zareagovat, aniž by před sebou musel mít spuštěný nějaký dohledový systém. Díky tomuto rozšíření uži- vatel takříkajíc „koukne a vidí“, pokud se mu něco nezdá, může se podívat někam do historických hodnot zaznamenaných v grafech, logů, případně nějakého monitorova- cího systému, který danou aktivitu zcela jistě zaznamenal a je možné z toho vyvodit nějaký další postup. Na toto rozšíření právě může navazovat další aplikace, kterou popíši.
9.8.2 Real-time monitorovací systém Netdata Po instalaci předešlého rozšíření pro LED diody jsem tedy měl k dispozici upozornění za pomoci LED diod a grafy z LuCI, které ovšem nejsou v reálném čase, ale vykreslují se po 5 minutách. Opět jsem hledal, co by tedy zastalo dobře funkci monitorovacího systému v reálném čase a narazil jsem na Netdata. Instalace byla ještě snadnější než v předešlém případě a ani jsem nemusel vůbec nic nastavovat (tedy krom příkazu, který nastavil spuštění aplikace automaticky po restartu).
STRANA 143
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE opkg update opkg install netdata netdat
K samotnému zobrazovacímu rozhraní Netdata se uživatel dostane přes zadání IP ad- resy 192.168.1.1:19999 do adresního řádku v internetovém prohlížeči. Netdata nabízí možnost zobrazení grafů v reálném čase hned několika položek. Lze říci, že umí zobrazit vše, co dříve zmíněné grafy v LuCI, které ale na rozdíl od Net data nezobrazují v reálném čase, ale po pěti minutových intervalech. Tento monitoro- vací systém je schopný zobrazit: • Jakýsi základní přehled – využití výkonu procesoru v procentech, RAM v procen- tech, disků, počty spuštěných procesů, průtok v IPv4 a další. Informace jsou kromě grafů i v tzv. budíkách, které zobrazují hodnoty na ciferníku v reálném čase. • Paměť – další skupina grafů zobrazuje informace o paměti RAM. • CPU – tento soubor grafů zobrazuje informace o využití výkonu procesoru – zob- razují i kolik procent využívá samotný systém a kolik uživatel. • Firewall (Netfilter) – tento soubor grafů může být zajímavý. Prakticky zobrazuje počet spojení skrz firewall v reálném čase. • Disky – zde jsou grafy, které zobrazují využívání disků na routeru – i těch připoje- ných skrz USB nebo MiniPCI-e slot. Pro každé úložiště existuje několik grafů, které například ukazují rychlost čtení nebo zápisu v jednotce za sekundu. • IPv4 Networking – tento soubor grafů zobrazuje informace o IPv4 síti. Informace o počtu TCP spojení, počtu TCP paketů za sekundu, informace o chybných paketech za sekundu, informace o počtu eventů za sekundu. Dále pak informace o UDP, bro- adcastu a multicastu. • IPv6 Networking – zde se jedná o obdobu předešlé položky, pouze pro IPv6. • Network interfaces – tato položka je přesně to, co jsem původně hledal. Je zde znázorněn provoz pro jednotlivá rozhraní (br-lan, eth0, eth1, eth2, wlan0, wlan1). Je zde provoz v grafech i na budíkách zobrazen provoz upload a download v kilobi- tech za sekundu a stejně tak počet přijatých a odeslaných paketů za sekundu u daného rozhraní. Zde prostě mohu vidět, co se děje na každém rozhraní v reálném čase.
STRANA 144
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Netdata monitoring – tato skupina grafů zobrazuje informace o komunikaci mezi routerem a aplikací Netdata – využití procesoru aplikací, časové zatížení dotazů a například i datové využití při posílání/přijímání dat pro Netdata. V aplikaci lze nastavit opět pomocí nastavovacího souboru (např. přes WinSCP) ně- kolik parametrů, je možné mimo jiné nastavit odesílání upozornění o neobvyklých událostech za pomoci emailů. Přínos této aplikace může být obrovský – výhoda tohoto řešení tkví v tom, že kompletně běží na routeru samotném a nemusí se instalovat na jiné zařízení – router Turris Omnia je pak tím pádem soběstačný. Kombinací aplikace Netdata a dříve zmíněného rozšíření pro LED diody vznikne dle mého názoru dosti podstatné navýšení úrovně z pohledu bezpečnosti – je zkrátka možné nějaké anomálie relativně snadno zaznamenat a učinit nějaké opatření. U této položky bych ještě dodal, že v budoucnosti bude toto řešení již nepotřebné, protože vývojáři Turrisu plánují nějaký monitorovací systém v reálném čase do Turrisů přidat nativně, zpráva z interních zdrojů hovoří o tom, že by k tomu mělo dojít již během léta 2017. Tímto krokem by zase celkové softwarové prostředí Turrisů bylo celistvější, a hlavně by přineslo vše potřebné „pod jednou střechou“. Přeci jen je znát, když je nějaká softwarová komponent tzv. „přilepená“ k nějakému relativně dobře fungujícímu ekosystému.
9.8.3 Airmon-ng a aircrack-ng S bezpečností souvisí i penetrační testování. Turris Omnia se pyšní třemi MiniPCI-e sloty, kde jsou nativně dvě síťové karty. To je ideální příležitost pro nějaké další vyu- žití. Mezi balíčky OpenWrt jsem objevil pro mě dva známé balíčky, které jsem znal z Kalí Linuxu. Je to konkrétně Airmon-ng a Aircrack-ng. Ve stručnosti, tyto dva ná- stroje v kombinaci dokáží provést penetrační test na Wi-Fi síť pomocí slovníku. Z routeru, který má tedy celkem solidní výkon, se tedy může stát prostředek pro pene- trační testování, neváhal jsem a tuto možnost jsem úspěšně vyzkoušel, v následujícím textu popíši postup.
STRANA 145
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 29 – Otevřená okna během penetračního testování (zdroj vlastní) Je několik možností, jak penetrační testování za pomoci dvou zmíněných balíčků rea- lizovat. Buď je možné instalovat balíčky pomocí příkazu opkg install jméno balíčku, nebo je možné balíčky nainstalovat na virtuální systém v kontejneru LXC (lze virtua- lizovat jak OpenWrt, tak např. Debian, na kterém je třeba založen zmíněný Kali Linux). To bylo pouze na úvod. Omnia je po instalaci těchto dvou balíčků na tento penetrační test dobře připravena. Stačí již pouze zavítat do LuCI a zvolit si jednu ze dvou síťových karet pro monitoring. V kategorii síť se zvolí položka bezdrátová síť, vybere se jedna ze dvou karet a dá se upravit. Zde již stačí pouze změnit mód u konfigurace rozhraní z „přístupový bod“ na „sledování“ a nastavení potvrdit. Zde je třeba myslet na to, že Omnia má 2 karty, to znamená wlan0 a wlan1. Dejme tomu, že si zvolím kartu wlan1, takže v následujících krocích musím pracovat právě s tímto parametrem. Nyní stačí spustit SSH příkazový řádek a zadat příkaz airmon-ng start wlan1 (pro- tože ke sledování používám kartu wlan1) – tento příkaz zahájí monitorování sítě. Na příkazovém řádku se objeví výpis o zprovoznění – objeví se i zpráva, že adaptér wlan1 byl přejmenován na mon0. Dále je třeba spustit příkaz, který začne odposlouchávat provoz airodump-ng mon0. Po zadání tohoto příkazu se objeví tabulka, kde jsou MAC
STRANA 146
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE adresy jednotlivých přístupových bodů, údaje o signálu, kanálu, šifrování, přenese- ných datech a ESSID. Všechny údaje jsou zobrazovány v reálném čase a všechny jsou do jisté míry podstatné. Nyní přichází čas pro otevření dalšího příkazového řádku. Tester si z dříve zmíněné tabulky vybere zařízení, na kterém chce provést testování. V tomto bodě jsou důležité tři údaje. Hlavní údaj je o datech, testovat se totiž může cíl, ke kterému proudí nějaká komunikace, pokud tomu tak není, nelze provést test (#Data nesmí být 0). Další neméně důležitou položkou je MAC adresa zařízení, tu je třeba zaznamenat. A rovněž i kanál, na kterém zařízení funguje. Já si pro příklad vyberu zařízení Limonáda s MAC adresou D2:7E:35:24:68:8C, fungující na kanálu 11. Nyní mohu provést následující příkaz airodump-ng --bssid D2:7E:35:24:68:8C -c 11 --write WPAlimonada mon0. Tento příkaz udělal to, že začal sledovat dané zařízení (bssid) na daném kanále (c 11) a údaje z monitorování ze sondy (mon0) uloží do souboru (WPAlimonada), dle uživa- telova názvu. Komunikace je nyní odposlouchávána. Opět přichází čas pro otevření dalšího okna terminálu. Nyní je potřeba zadat příkaz aireplay-ng --deauth 100 -a D2:7E:35:24:68:8C mon0. Tento příkaz provede to, že 100 krát (deauth 100) vynutí ověření mezi klientem a přístupovým bodem. Fakticky to znamená, že tester vynutí ověření, během kterého potřebuje zachytit heslo během 4-way handshaku. Zda se to povedlo, to se tester dozví podle pravého horního rohu v tabulce terminálu, ve kterém zadal příkaz airodump-ng mon0, nyní tam je hláška „WPA handshake: D2:7E:35:24:68:8C“ (MAC adresa Limonáda). Nyní přichází čas pro otevření posledního terminálu. Je nutné provést samotný slov- níkový test na sebraná data. A zde se to celé může zadrhnout. Slovníkový test je tak účinný jako slovník, který je použit a hardware, který test provádí. Nebudu zde uvádět, kde jsem slovník vzal, mnoho slovníků je dohledatelných na internetu, doslova na růz- ných místech – slovníky se nachází i v linuxových penetračních distribucích. Nyní je potřeba zadat poslední příkaz, v mém případě aircrack-ng WPAlimonada-01.cap -w /root/14mil.txt. Příkaz provede porovnání posbíraných dat airodump-ng ze souboru (WPAlimonad-01.cap) se slovníkem, jenž je v mém případě uložen na routeru ve složce root a jmenuje se 14mil.txt.
STRANA 147
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Po potvrzení příkazu začíná proces porovnávání, který může být buď hodně rychlý a úspěšný, nebo pomalý a neúspěšný. Záleží, zda heslo ve slovníku je a na jaké pozici, a jak moc je výkonný hardware, který porovnání provádí. Turris Omnia nějaký výkon má, nicméně to není žádný zázrak pro tuto činnost. Výhodou je, že může běžet neu- stále. Během testování jsem si všiml dvou věcí. Využití procesoru vzrostlo z běžných cca 10 % na 100 % a teplota na desce vzrostla o cca 20°C. První mnou použitý slovník byl neúspěšný, porovnání probíhalo celou noc a bez úspěchu. Ovšem druhé testování se zde zmíněným slovníkem trvalo pár sekund a bylo mi zobrazeno heslo 1234567890 jako heslo, které slouží pro přihlášení do sítě limo- náda, zkusil jsem to a opravdu jsem se připojil.
Obrázek 30 – Zjištěné heslo k AP (zdroj vlastní)
9.8.4 Pi-hole skrz Debian v LXC kontejneru Jako příklad využití virtualizace za pomoci LXC kontejnerů je možné uvést zprovoz- nění adblocku (blokátoru reklam) Pi-hole na virtualizovaném Debianu. Instalace je celkem jednoduchá, stačí na Omnii vytvořit virtuální stroj s Debianem a na Debian nainstalovat komponenty nezbytné pro instalaci Pi-hole (v mém případě jsem pouze provedl apt-get update, apt-get upgrade, a ještě jsem nainstaloval curl).
STRANA 148
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Potom stačí nainstalovat samotné Pi-hole, držet se běžného instalačního návodu pro Debian, a vše funguje, jak má. Vhodné je nastavit i automatické spuštění LXC kontej- neru po restartu routeru, takže adblock se Pi-hole bude spouštět i po restartu routeru. Díky tomuto řešení budou všechna zařízení připojena k routeru využívat funkci adblocku, která běží na routeru.
Obrázek 31 – Pi-hole běžící na virtualizovaném Debianu v Omnii (zdroj vlastní)
STRANA 149
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.8.5 Závěr softwarových rozšíření V této části práce jsem představil čtyři zajímavá softwarová rozšíření, která nějak sou- visí s bezpečností na routeru, ale i na síti. Možností rozšíření je a bude daleko více. Nicméně se ukazuje, že je router Turris Omnia schopen velikých věcí.
9.9 Hardwarové rozšíření Router Turris Omnia se pyšní i jednou zvláštností, kterou disponují routery s cenou několika desítek tisíc Kč bez DPH. Router je totiž modifikovatelný i hardwarově. Ano, existují různé stavebnice, ze kterých je možné poskládat router, nicméně v podobné cenové hladině ani zdaleka neexistuje takové řešení se srovnatelnými parametry, a hlavně složené do celku – je třeba pořídit komponenty na několika místech. V jistém smyslu lze říci, že tak uživatel při pořízení routeru Turris Omnia dostává jakousi složenou stavebnici, jejíž komponenty může měnit – takové řešení je možné vidět až u síťových prvků s několikanásobnou cenou. Navíc veškerá dokumentace hardwaru i softwaru u routeru Turris Omnia je kompletně open source, tudíž si router může postavit a zprovoznit každý, kdo je ochoten nakoupit a smontovat všechny kom- ponenty dle dokumentace, a zároveň nahrát software na sestavený hardware. Hardwarovou rozšiřitelností tohoto routeru se zabývám již od prosince minulého roku (2016). Tento směr mě fascinuje, protože je to naprosto ojedinělá záležitost. V dnešní době je zcela běžné, že si uživatel pořídí nějaký výrobek a musí se s jeho parametry spokojit do konce jeho životnosti, aniž by mohl cokoliv v zařízení měnit. Router Turris Omnia nabízí několik možností změn. V následujícím textu popíši tři hlavní možnosti změny, kterými jsem se zabýval v rámci oficiálního fóra buď jako úplně první, nebo mezi prvními.
9.9.1 Možnost výměny krytů Kryt pro router Turris Omnia je z plechu. Je to takto řešeno z hlavního důvodu. Stejně jako u mnohonásobně dražších síťových prvků (s průmyslovým zaměřením), i u rou- teru Turris Omnia dochází k pasivnímu chlazení za pomoci krytu. Teplo z desky je odváděno do samotného krytu, který celý slouží jako velký chladič. V podobně vý- konných routerech značek typu Linksys (Linksys WRT3200 ACM) je to řešené
STRANA 150
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE trochu jinak. Tam je kryt routeru plastový, ale na síťových kartách a čipech, které vy- zařují teplo, jsou umístěny kovové pasivní chladiče, avšak veškeré vnitřnosti routeru jsou v plastu, což podle mého názoru není zcela šťastné řešení.
Obrázek 32 – Vnitřek routeru Linksys WRT3200 ACM [34] Již během kampaně na Indiegogo byly nabídnuty 3 varianty krytu pro Omnii. Základní varianta, hacker varianta a NAS varianta. Množství nabízených kusů bylo omezené. Dlouhou dobu se v rámci komunity na internetu spekulovalo, zda je vůbec nějaká šance pořídit někde kryty NAS nebo hacker pro majitele Omnií, kteří mají základní kryt. Občas někdo tyto kryty prodával, když je již nepotřeboval, ale nakonec se v rámci oficiálního fóra objevila informace, že kryty pro Omnii i původní routery Turris vyrábí společnost EMKO Case a.s. z Brna. Já jsem byl mezi pár prvními uživateli, kteří do této společnosti napsali žádost o vyrobení NAS krytu, následně mi bylo odepsáno, že to není problém. Dokonce jsem si požádal o upravenou verzi ve žluté barvě a bylo mi vyhověno. V rámci fóra jsem napřed vytvořil postup s informacemi k pořízení NAS krytů, této možnosti využilo zřejmě mnoho uživatelů, mělo to i celkem dobrou odezvu, proto nejspíš nastalo násle- dující.
STRANA 151
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Asi v půlce března – v době, kdy jsem si do firny EMKO Case a.s. šel vyzvednout svůj NAS kryt, se na oficiálním webu EMKO Case a.s. objevily ve stálé nabídce spe- ciální kryty pro router Turris Omnia. A to sice NAS a hacker. Jakmile jsem toto zjistil a při návštěvě společnosti informace ověřil, vytvořil jsem příspěvek v rámci uživa- telské dokumentace jak v českém jazyce, tak v anglickém jazyce. V těchto příspěvcích jsou základní informace o tom jak, kde a za kolik pořídit dva zmíněné typy krytů pro router Turris Omnia. NAS kryt vyjde na 944 Kč s DPH (černá barva, s vlastní barvou za 1 888 Kč) a hacker kryt vyjde na 191 Kč s DPH (černá, stříbrná, modrá barva) plus náklady na dopravu.
Obrázek 33 – Kryty pro Omnii v nabídce [35] Nyní se pokusím vysvětlit, proč je dobré, že jsou dostupné i jiné varianty krytů než jen základní kryt, se kterým se router Turris Omnia běžně prodává: • Hacker kryt – je lehce modifikovaný základní kryt. Na rozdíl od základního krytu se v krytu nachází několik větších otvorů. Tyto otvory v krytu nejsou pro srandu. Kryt je upraven pro řekněme aktivnější uživatele nebo testery, jež potřebují mít
STRANA 152
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE rychlý přístup k portům nebo kartám, které jsou s běžným krytem nebo NAS krytem nedostupné (UART, GPIO, MiniPCI-e slot).
Obrázek 34 – Deska routeru Turris Omnia se zajímavými porty (zdroj vlastní) To má samozřejmě své výhody, protože se může uživatel dostat k těmto portům bez nutnosti rozmontování krytu. Na obrázku výše jsou označené tři porty. Červeně je označen UART port pro sériovou komunikaci mezi routerem a počítačem za pomoci přiloženého kabelu. Zeleně je označen 5 pinový port pro napájení disků a větráčku (toto popíši u NAS krytu). Ve žlutém kolečku jsou GPIO porty. Za zmínku rozhodně stojí zmíněný UART sériový port, na který lze napojit kabel, na jehož druhém konci je klasický USB výstup, který je možné napojit na počítač a router je možné přes příkazovou řádku a tento port přímo ovládat (po zadání příkazů ls /dev/ttyUSB0 a sudo minicom -D /dev/ttyUSB0 v linuxové distribuci založené na Debianu). Tyto kryty používá CZ.NIC při testování a na svých workshopech.
STRANA 153
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 35 – Hacker kryt ve všech variantách [35] • NAS kryt – tento kryt je mnohem větší než klasický kryt pro Omnii (možné vidět na obrázku). Má však několik pozitiv. Kryt se jmenuje NAS, protože pro svou veli- kost nabízí možnost instalace až dvou 3,5" disků dovnitř routeru. Samotný kryt se skládá ze tří částí: jakási podsada, držák disků a desky routeru a dekl. Uživatel tak může využít volný MiniPCI-e slot, do kterého umístí SATA controller, s nímž pro- pojí až dva disky pomocí datových kabelů. I na napájení je myšleno, na desce je 5 pinový výstup pro napájení, které je schopno dodat napájení dvěma diskům a ještě větráčku. Je však třeba mít vhodný kabel. A větráček je dalším pozitivem tohoto krytu. V krytu samotném jsou z boku otvory pro instalaci 8x8 cm větráčku. Ne, že by chlazení routeru bylo neúčinné, ale obzvláště v létě, a ještě s dvěma disky uvnitř, by se mohl větráček hodit. Já osobně jsem voli tento kryt jak kvůli možnosti rozší- ření až o dva 3,5" disky, tak kvůli možnosti rozšíření o větráček. Teoreticky, ale opravdu teoreticky, by měl mít tento kryt trochu lepší chladící vlastnosti, protože plocha tohoto krytu je větší než plocha původního krytu, nicméně změnu jsem za- znamenal ve snížení teploty asi o 1 – 2°C.
STRANA 154
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 36 – Porovnání velikosti NAS krytu (žlutý) s krytem původním (zdroj vlastní) Kryty, které je tedy dnes možné relativně snadno dokoupit, přináší uživatelům routeru Turris Omnia nové možnosti, jež původní kryt nenabízel. Pokud se budeme bavit o nějakém konkurenčním produktu z tohoto hlediska, tak v dané cenové relaci žádná konkurence neexistuje – nikdo nenabízí router, který by nabídl možnost výměny ně- kolika typů krytů s různými vlastnostmi pro uživatele za cenu do 9 tisíc Kč.
STRANA 155
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.9.2 Rozšiřitelnost MiniPCI-e slotů o síťové karty Do MiniPCI-e slotů je možné připojit mnoho zařízení. Mohou to být síťové karty, Bluetooth karty, disky nebo SATA controllery. V této části se nebudu věnovat úložiš- tím, protože se jim budu věnovat v další části. Zbývají nám tedy hlavně síťové karty. Všechny tyto možnosti rozšíření mohou zajistit větší dostupnost zařízení. O síťových kartách v routerech jsem se již několikrát vyjádřil. Tento router nabízí jedinečnou možnost rozšíření. Tématice rozšíření se doteď věnuji. Za dobu, kterou se o tuto tématiku zajímám, jsem narazil na dva zajímavé výrobce nabízející síťové karty s Omnií kompatibilní. Prvním výrobcem je Mikrotik. Zajímavé jsou hlavně tyto dvě síťové karty: R11e- 2HPnD a R11e-5HacT. První zmíněná karta R11e-2HPnD funguje pouze v pásmu 2,4 GHz, avšak nabízí maximální výstupní výkon až 30 dBm, výstup na 2 antény, přenos okolo 300 Mbps, citlivost -96 dBm a schopnost fungovat v teplotách od -40 po 65 °C. Cena této karty na českém trhu se pohybuje od 900 – 1300 Kč. Karta má navíc na sobě přidělaný pasivní chladič, což je výhoda. Druhá karta R11e-5HacT je taková obdoba karty předešlé, má výstupní výkon až 28 dBm, výstup na 3 antény, podporuje již 802.11ac (funguje jen na 5 GHz, takže 802.11a/n/ac) a nabízí přenos okolo 1,3 Gbps. Karta je opět osazena pasivním chladičem. Tyto karty jsou plně kompatibilní a funkční s routerem Turris Omnia, funkci těchto karet potvrdilo i několik uživatelů v rámci fóra. Druhý výrobce produkující zajímavé síťové karty kompatibilní s Omnií je Compex. Tento výrobce jako jediný vyrábí/vyvíjí MiniPCI-e síťové karty s 802.11ac-Wave2 v běžných rozměrech. Zatím je v prodeji pouze pár modelů, ovšem je zde jeden pro- blém. Tyto karty jsou zatím kompatibilní pouze hardwarově, Compex totiž zatím k těmto kartám nevydal ovladače a dle informací různých zahraničních testerů, kteří karty testují přímo na deskách od Compexu vytvořených přímo pro tyto produkty, existují problémy s ovladači i na deskách Compexu (ovladače jsou, ale problémové). Zde tedy bude dosti záležet na to, kdy se objeví pro tyto karty nějaký ovladač – buď se toho zhostí samotný Compex, nebo někdo z komunity – lidé z CZ.NIC o situaci ví a v rámci fóra bylo řečeno, že k testování těchto karet určitě dojde.
STRANA 156
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Zajímavou možností rozšíření může být i rozšíření o 4g kartu do MiniPCI-e slotu a využití zabudované čtečky SIM karet. V úvahu dnes připadají karty jako Huawei ME909u-521 a Quectel EC25 MiniPCI-e (cenově vychází okolo 2500 Kč). Použití těchto karet a jejich zprovoznění s nastavením by znamenalo zajištění funkce failo- ver, kdy by v případě nedostupnosti připojení k internetu (z WAN nebo SFP portu) bylo využito možností právě 4g karty, která by přebrala funkci WAN nebo SFP portu.
9.9.3 Rozšiřitelnost MiniPCI-e slotů o úložiště Úložiště je možné do routeru Turris Omnia nainstalovat dvěma způsoby. Buď jako disk do MiniPCI-e slotu, nebo přes SATA controller v MiniPCI-e slotu. Obě varianty mají své výhody. Jednodušší řešení připojení disku přímo do MiniPCI-e slotu je vhodné pro někoho, kdo nepožaduje velké úložiště a potřebuje rychlý přístup k souborům. Má to ovšem jeden háček, produktů v této kategorii moc není, nabízí zpravidla menší kapacity oproti klasickým 2,5‘‘ a 3,5‘‘ diskům a cena také není zcela příznivá. Takový Kingston SSDNow mS200 s 240 GB vyjde asi na 2500 – 3000 Kč. Ten samý disk s vyšší kapa- citou 480 GB vyjde na částku okolo 7000 Kč, což není málo. Toto řešení tedy není zcela ideální a řekněme, že do těch 240 GB to nějaký smysl asi pořizovat má, poté je to dost na pováženou. Druhé řešení je za pomoci MiniPCI-e SATA controlleru a pořízení dříve zmíněného NAS boxu. Tyto controllery je možné pořídit (převážně v zahraničí) za cenu 300 – 1000 Kč, dle parametrů a počtu portů – zde postačuje 1 – 2. Nejen u uživatelů Omnií se osvědčily řadiče značky Innodisk. Po instalaci řadiče poté stačí pouze pořídit disk/disky, NAS box od EMKO case a.s., datové kabely a kabel pro napájení disků z desky routeru, a je hotovo. Jeden disk Western Digital Red Pro s kapacitou 2 TB, který je určen primárně pro NAS vyjde asi na 4000 Kč. Pokud by tedy došlo ke koupi SATA controlleru, NAS boxu, kabeláže a tohoto disku, tak by se pořizovací cena vy- šplhala cca k 7000 Kč maximálně. Vyšlo to krásně pro porovnání, za tuto cenu tedy uživatel dostane 2 TB oproti 480 GB a ještě možnost pro další rozšíření díky vlastnos- tem SATA controlleru a NAS boxu.
STRANA 157
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
9.9.4 Závěr hardwarového rozšíření V této části práce jsem uvedl tři možná rozšíření routeru Turris Omnia, která mohou sloužit pro dobro věci. Možnost změny krytu může pomoci při řešení síťového úložiště či při testování hranic routeru. Možnost rozšíření pomocí MiniPCI-e slotů může po- moci při držení kroku s novými standardy 802.11x a při řešení síťového úložiště s vyššími kapacitami za pomoci routeru. Hardwarová rozšiřitelnost routeru má smysl, může ušetřit spoustu starostí, peněz a je pro mě dost nepochopitelné, že je router Turris Omnia jediným zařízením v dané cenové kategorii, které něco takového nabízí.
STRANA 158
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
10 SWOT analýza pro router Turris Omnia Do této práce jsem se nakonec rozhodl zařadit i SWOT analýzu, protože se to ukázalo jako další logický krok, který i do jisté míry shrne mnou představené poznatky. SWOT analýza V této části provedu SWOT analýzu pro router Turris Omnia, napřed vyhotovím SWOT tabulka, a následně vypracuji slovní komentář k bodům v tabulce.
STRANA 159
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 8 – SWOT tabulka (zdroj vlastní)
SILNÉ STRÁNKY SLABÉ STRÁNKY • Výkonný hardware • Prostředí v pár jazycích • Propracovaný a rozšiřitelný software • Dostupnost v zahraničí • Automatické aktualizace • Složitost ovládání pokročilého rozhraní • Bezpečnostní aktualizace¨ • Funkce SSH Honeypot • Nadstandardní bezpečnost • Přístup přes SSH • Rozšiřitelný hardware • Dobrá podpora • Dobrá dokumentace • Funkční diskusní fórum • Sběr dat • Optický vstup • Funkce NAS • Nezaujatost CZ.NIC • Vyrobeno v ČR, potažmo EU PŘÍLEŽITOSTI HROZBY • Neustálý vývoj • Konkurence • Napojení na bezpečnostní organizace, • Problémy v CZ.NIC nejen český CSIRT • Problémy v rámci ČR • Smlouvy s novými prodejci • Náhlé ukončení podpory • Zjednodušené prostředí Foris • Zdražení • Bezpečnostní vlastnosti • Spolupráce s komunitou • Možnost rozšíření
10.1.1 Silné stránky S hledáním silných stránek routeru jsem neměl problém, otázka je, co to znamená, v následujícím výčtu popíši každý bod z tabulky silných stránek. • Výkonný hardware – tuto tématiku jsem v této práci již řešil. Výkonný hardware může nabídnout uživateli další funkce, které se mu pravděpodobně budou hodit. Výkonný hardware také znamená, že je možné nasadit kvalitní software, který tento hardware dokáže k něčemu dobrému využít. • Propracovaný a rozšiřitelný software – je vlastně pokračování myšlenky z před- chozího případu. Rozšiřitelnost softwaru je výhoda oproti běžně dostupným,
STRANA 160
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
v každém směru uzavřeným produktům. Propracovanost softwaru zase přidává možnosti funkcí a nastavení, která se také běžně nevidí. • Automatické aktualizace – toto je položka, která možná vyzní nezajímavě, nicméně router jakožto zařízení na perimetru sítě, zařízení, u něhož se předpokládá konektivita k síti, případně internetu 24/7, je velice důležité a zároveň zranitelné zařízení. Proto je třeba držet softwarové řešení takového zařízení stále aktuální, mnoho výrobců sice aktualizace vydává, ale uživatel je musí někdo složitě hledat, stáhnout, a ne úplně snadno nainstalovat. Automatické aktualizace jsou jedním z prvních kroků k nějakému bezpečí. • Bezpečnostní aktualizace – se částečně opírají o předešlý bod. Díky postavení vý- robce CZ.NIC tento pojem ale nabývá další dimenze. Nejen že dochází k nějakým aktualizacím softwaru, dochází i k aktualizacím bezpečnostních politik routeru, fire- wallu a různých slabých míst. Mezi naprosto unikátní výhody patří i napojení na know-how českého CSIRTu, který s týmem Turris spolupracuje a v případě něja- kého nebezpečí bývá opatření velice rychle dodáno za pomocí rychlé aktualizace do Turrisů. Samotný CSIRT spolupracuje i s dalšími organizacemi podobného ražení, uživatel tak nemusí neustále sedět u prohlížeče a čekat na to, až si výrobce všimne hrozby a vydá záplatu několik dní nato. Zde informace putuje k výrobci velice krát- kou dobu a záplata je vytvořena také rychle a automaticky rozeslána mezi zařízení tak, že uživatel nemusí nic řešit. • Funkce SSH Honeypot – tuto funkci jsem popsal již dříve, slouží hlavně ke zvýšení zabezpečení. • Nadstandardní zabezpečení – zde bych uvedl, že se prakticky jedná o kombinaci předešlých položek plus několika dalších na tomto seznamu. Bezpečnost, ať už jaká- koliv, by neměla být založena pouze na jedné komponentě. Bezpečnost by se měla skládat z kombinace několika opatření, vlastností a dalších parametrů. Pokud by ne- byl výkonný hardware, bylo by složité nebo nereálné takové řešení realizovat. Pokud by nebyl vyspělý software, tak také nebude bezpečnostní úroveň na takové hladině. • Přístup přes SSH – tento přístup znamená větší možnosti nastavení i mimo rámec grafických rozhraní. Tento přístup také není běžný u všech zařízení. Omnia nabízí přístup i přes sériový port.
STRANA 161
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Rozšiřitelný hardware – tomuto tématu byla věnována část práce. • Dobrá podpora – pokud je s něčím problém, tak podpora funguje. Podpora reaguje i na podněty v rámci oficiálního fóra. • Dobrá dokumentace – o dokumentaci jsem se také zmínil. Na webu Turris jsou zveřejňovány jak různé návody přímo od CZ.NICu, tak od samotných uživatelů, a to jak v češtině, tak v angličtině. • Funkční diskusní fórum – v této práci jsem se několikrát odkázal na oficiální fó- rum. V normálním případě bych se k tomuto kroku nikdy neuchýlil, ale v případě, že něco dobře funguje, lze tam získat informace prakticky z první ruky, naučí se tam zajímavé věci, nemá cenu hledat jiný – spíše spekulativní zdroj. Fórum v tomto pří- padě funguje jako jeden z primárních zdrojů informací pro pokročilé uživatele. • Sběr dat – toto téma jsem také již několikrát zmínil. Sběr dat má zkrátka výhody pro několik skupin lidí. • Optický vstup – ani dnes touto funkcí nedisponuje každý router. • Funkce NAS – toto téma jsem již také řešil, a to nejednou. Řešení skrz Turris Omnia má své nesporné výhody. • Nezaujatost CZ.NIC – jedná se nejspíš o světový unikát. CZ.NIC není velkým vý- robce hardwaru a nemá zájem zbohatnout na prodeji routerů, navíc dokáže uživateli předat nějakou přidanou hodnotu v podobně vyššího zabezpečení. • Vyrobeno v ČR – tento produkt byl navrhnut a sestaven v ČR. Ne každý produkt na trhu se může pyšnit těmito body, proto je velice pozitivní, že se jedná o produkt vyrobený na našem území.
10.1.2 Slabé stránky V následujícím výčtu jsou slabé stránky z tabulky a jejich vysvětlení. • Prostředí v pár jazycích – nastavovací rozhraní bylo do nedávna pouze ve 3 jazy- cích: čeština, němčina, angličtina. To se v posledních verzích změnilo, ale stále to není žádná sláva. Málo jazyků v prostředí může působit nezájem o Omnie, protože složitějším nastavením je třeba opravdu rozumět (co se tam píše). • Dostupnost v zahraničí – to může být dáno mnoha faktory. Mnoho lidí v zahraničí má stále strach ze zařízení, které někdo vyrobil na území bývalého východního
STRANA 162
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
bloku, další o zařízení vůbec neví a zbytek nevěří tomu, že by o toto zařízení byl dostatečný zájem. Předsudky a nejistota – to je problém dostupnosti v zahraničí. • Složitost ovládání pokročilého nastavení – parametr, který odradil mnoho lidí. Na tomto problému se již aktivně pracuje, nicméně router Turris Omnia asi nikdy ne- bude pro úplně nezdatné uživatele. Slabých stránek jsem nakonec neshledal mnoho, většinou jde o řešitelné problémy, na kterých je ale třeba pracovat.
10.1.3 Příležitosti V následujícím výčtu jsou příležitosti z tabulky a jejich vysvětlení. • Neustálý vývoj – s každou novou verzí Turris OS se funkcionalita router Turris Omnia rozšiřuje, byť o malé krůčky. Již nyní je k dispozici jedinečné řešení. Pokud se vezmou v potaz cíle z kampaně na Indiegogo, tak se máme opravdu na co těšit, v následujících měsících a letech by mělo vzniknout celkem zajímavé a komplexní řešení – zatímco konkurenci jde hlavně o prodej. • Napojení na bezpečnostní organizace – napojení na další bezpečnostní organizace (nejen CSIRT) by přineslo dodatečnou jistotu. • Smlouvy s novými prodejci – Turris se začíná prodávat na několika nových mís- tech, ovšem ještě to není dostatečné. Například v USA by zájem byl, ale nikdo tam tyto routery neprodává, proto je to výzva do budoucna. • Zjednodušené prostředí Foris – v tomto prostředí je budoucnost, protože je to ře- šení CZ.NICu a umožňuje dobrou orientaci ve složitém routeru i méně zdatnému uživateli. V budoucnu se možnosti tohoto rozhraní rozšíří o další funkcionality, které bude možné snadno ovládat, jak bylo slíbeno. • Bezpečnostní vlastnosti – v bezpečnosti sítě bude vždy budoucnost. Routery Turris jsou jedny z prvních, které to řeší v rámci SOHO vážně. • Spolupráce s komunitou – je vždy důležitá, natož u relativně malého projektu, který razí svou cestu. Komunita může dost znatelně pomoci při vývoji a cestě za úspěchem. • Možnost rozšíření – je další okno do budoucnosti. Na rozdíl od drtivé většiny rou- terů na trhu je router Turris Omnia rozšiřitelný jak hardwarově, tak softwarově. Díky
STRANA 163
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
této vlastnosti se tento router stává zajímavým nejen pro současnost, ale i do bu- doucna, kdy bude možné router rozšířit například o síťové karty s novými standardy 802.11x, zatímco dnes stejně drahé routery se budou muset spokojit pouze s tím, s čím je dodal výrobce. Jediným možným upgradem těchto routerů bude hození do koše a pořízení nového routeru. Ostatně původní router Turris 1.0 je na tom hodně podobně, zatímco routery z jeho doby jsou prakticky na konci svého životního cyklu, co se týče podpory od výrobce, někteří uživatelé dnes zcela vážně uvažují o upgradu síťové karty s podporou 802.11ac-Wave2, až budou dostupné ovladače. • Konkurence – konkurence není vždy pouze negativní záležitost. Pořádná konku- rence pro routery Turris dnes stále není. Pokud by byla, znamenalo by to dvě věci – a obě pozitivní. V prvním případě by to znamenalo, že projekt měl smysl a někoho ovlivnil v dobrém duchu a nasměroval ho. V druhém případě by to mohlo znamenat jakýsi „konkurenční střet“, který by CZ.NIC motivoval k ještě lepší práci. Takto si zatím CZ.NIC hraje na obrovském pískovišti v klidu a nerušeně sám, otázka je, jak dlouho to ještě vydrží. Příležitostí je také relativně mnoho, často se opírají o něco, co již nějak funguje, ale je třeba to dál rozvíjet a držet se toho trendu dál.
10.1.4 Hrozby V následujícím výčtu jsou hrozby z tabulky a jejich vysvětlení. • Konkurence – zde jsem se nechal trochu unést. Konkurence nemusí být hrozbou úplně vždy. Zatím totiž žádná pořádná není. Horší by bylo, kdyby konkurence začala projektu Turris takzvaně házet klacky pod nohy a projekt nějak sabotovala. Konku- rence jako taková by mohla být i příležitostí, a to pro ještě větší zlepšení (jakási motivace). Konkurence může být dotěrná a přes různá lana může při hodně velkém štěstí celý projekt Turris pohřbít (nevím sice jak a proč, ale možné to je – lidé jsou zvláštní tvorové). • Problémy v CZ.NIC – nějaké větší problémy v CZ.NIC by mohly znamenat ukon- čení projektu Turris. • Problémy v rámci ČR – například obsazení ČR ruskou armádou nebo selhání poli- tického systému na našem území by pravděpodobně zhoršilo pověst celého projektu, případně by ho i ukončilo.
STRANA 164
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Náhlé ukončení podpory – jev, ke kterému by mohlo dojít z mnoha důvodů, by byl velice nepříjemný. Asi by dost záleželo na okolnostech, ale jsem přesvědčen, že by další vývoj přešel pod komunitu a mnoho lidí z Turris týmu (pokud by tedy nezahy- nuli) by na projektu dělalo dál, asi by to ale nebylo na takové úrovni jako dnes. • Zdražení – ke zdražení by mohlo dojít dvěma cestami. Buď díky zdražení komple- tace, což by znamenalo zdražení dílů, kompletace nebo obojího, nebo díky kurzu koruny vůči cizí měně, koruna by znatelně posílila. Všechny vyjmenované hrozby jsou hůře ovlivnitelné a většinou se jedná o hrozby, proti kterým nelze prakticky nic dělat. Je ale třeba o nich někde v podvědomí vědět a mít na ně nějakou reakci.
10.1.5 Vyhodnocení a závěr SWOT Ze SWOT analýzy je patrné, že převládají pozitivní faktory. Mezi silné stránky patří hlavně parametry routeru a nějaká přidaná hodnota a vystupování CZ.NIC. Mezi slabé stránky patří spíše jakési „soft“ problémy (myšleno jako reálně, ale ne zas tak moc složitě řešitelné), které lze vyladit. Příležitosti se opírají o silné stránky a jaksi rozvíjí jejich přednosti ještě dále. Hrozby mohou být pro projekt naprosto katastrofické, nicméně je třeba si uvědomit pravděpodobnost jejich vzniku, která nejspíš nebude zas tak velká. Na závěr SWOT analýzy bych chtěl uvést, že jsem ji prováděl sám bez konzultace s kýmkoliv jiným. Charakteristika SWOT, výběr a popis jednotlivých položek je tedy subjektivní. Odráží nějakou moji zkušenost, posbírané informace a myšlenky, které jsem vytvořil během psaní této práce.
STRANA 165
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
11 Porovnání tří routerů Z většiny textu této práce je celkem jasné, že zařízení, které nakonec umístím na peri- metr sítě v organizaci, bude router Turris Omnia, proto jsem tomuto zařízení věnoval tolik stránek. Tuto volbu jsem však neučinil náhodně nebo za doprovodu nějakého emočně ovlivněného zkratu v hlavě. Na výběr zařízení jsem se snažil jít systematicky a snažil jsem se najít takové zaří- zení, které splní co nejvíce požadavků z části této práce, jež se týká bezpečnosti – ať již té informační, tak i té kybernetické. Ne nadarmo se již nějakou dobu říká, že infor- mace a různá data dnes hýbou světem a pro nejednu organizaci jsou prakticky tím nejcennějším, čím organizace disponuje. Ostatně obecné nařízení GDPR, které vejde příští rok v platnost, tato tvrzení dokonale potvrzují. Také jsem se snažil najít zařízení, které nabídne i nějakou perspektivu do budoucna, neboť to bude jistota, že bude spolehlivě fungovat i za několik let, případně nabídne něco navíc, co bude možné buď hned, nebo později využít. A stejně, jako snad při každém výběru, jedním z důležitých faktorů je i pořizovací cena. Při svých úvahách jsem faktor ceny nebral pouze jako porovnání cen, ale jako porovnání ceny s výkonem. Pokud bych porovnával mezi sebou pouze ceny, mohlo by dojít k nežádoucímu ovliv- nění při výběru a byť by bylo vybráno levnější zařízení během tohoto výběru, jsem přesvědčen, že by se v budoucnu objevily další náklady, jejichž součet by nakonec převýšil celkové náklady na pořízení dražšího, přesto vhodnějšího zařízení – jak jed- nou řekl Rothschild: „Nejsem tak bohatý, abych si mohl kupovat levné věci“. Na následujících stranách tedy popíši i z předešlého textu připomenu, proč došlo k výběru právě routeru Turris Omnia. Tento router také porovnám s dvěma konku- renčními produkty TP-LINK TL-WR841N a Linksys WRT3200 ACM.
11.1 TP-LINK TL-WR841N Tento router jsem vybral zcela záměrně ze dvou důvodů. Při procházení několika vel- kých internetových obchodů se jasně ukázalo, že je tento router skoro ve všech obchodech (až na čestné výjimky) nejprodávanější položkou v sekci síťových prvků. Druhým důvodem je i fakt, že tento router nějaký rok provozují členové naší rodiny ve své síti, takže informace o tomto routeru mohu popisovat i z vlastní zkušenosti.
STRANA 166
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Obrázek 37 – TP-LINK TL-WR841N [36]
11.1.1 Hardwarové parametry Router TP-LINK TL-WR841N je zařízení, které funguje pouze v pásmu 2,4 GHz. To znamená, že funguje pouze se standardy 802.11 b/g/n. Teoretická přenosová rychlost tohoto zařízení je až 300 Mbps. Router nemá vstup pro optický kabel a disponuje čtyřmi LAN porty pro RJ-45 a jedním WAN portem též pro RJ-45. Čtyři zmíněné LAN porty slouží jako 10/100 Mbps switch, to samé platí i port WAN. Router dispo- nuje dvojicí antén. Tento router se vyskytuje v několika verzích, každá verze se trochu hardwarově liší, výrobci jde nejspíš o náklady při výrobě a mnohdy některé starší komponenty nejsou již k dispozici, tudíž je nutné součástky uvnitř routeru sladit podle dostupných kom- ponent. Verze 3 tohoto routeru je vybavena procesorem Qualcom Atheros AR9130, který disponuje taktem 400 MHz, zatímco verze 12 disponuje již procesorem Qualcom Atheros QCA9533-AL3A s taktem 650 MHz. Flash paměť je u všech verzí stejná – 4 MB, liší se pouze modely čipů (nemá cenu zabíhat do detailů). Paměť RAM je 32 MB,
STRANA 167
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE kde se u jednotlivých verzí opět mění čipy – nejspíše dle dostupnosti a ceny. Do verze 8 router disponoval USB portem (1.1 nebo 2.0), novější verze port již nemají. Napájení je realizováno za pomoci 9 VDC a 0,6 A. Router až na flash paměť disponuje tedy výkonem, který byl známý z PDA zařízení před vydáním iPhonu.
11.1.2 Softwarové parametry Software na tomto routeru se odvíjí i od hardwarových parametrů. Procesor u poslední verze je relativně výkonný, ale zbylé parametry nejsou oslnivé. Proto nelze od routeru očekávat žádné zázraky. Přesto router nabízí poměrně velkou škálu nastavení, ovšem do omezené míry, a to jsou právě ty funkce, za které se u dražších routerů také připlácí (kromě hardwaru). Pokud bych možnosti nastavení porovnal s routerem Turris Omnia, tak se mohou na první pohled zdát dosti podobné. Nicméně tam, kde Turris Omnia nabídne například deset parametrů k nastavení, tam TP-LINK nabídne nastavení na- příklad 4 – to je první „detail“, který je podstatný. Tento router disponuje grafickým prostředím, ke kterému lze přistoupit prostřednic- tvím zadání IP adresy 192.168.0.1 do řádky v internetovém prohlížeči. Toto prostředí se na první pohled jeví jako přehledné, je zde několik kategorií nastavení a vpravo se objevují vysvětlivky k vybraným položkám. Jedná se o jakousi kombinaci LuCI a Fo- risu z Omnie. Nicméně po rozkliknutí kategorií začne být prostředí v některých případech méně přehledné. Prostředí je kompletně v anglickém jazyce, což může být pro někoho problém. Z pohledu nějaké statistiky – existuje zde jakási obdoba Major- doma z Omnie (což je fajn). Z pohledu zabezpečení tento router rozhodně nenabízí takové možnosti jako Omnia. Poslední aktualizace pro router byla vydána někdy v roce 2015. Router nenabízí stejné možnosti zabezpečení bezdrátové sítě jako Turris Omnia (méně šifrovacích protokolů a další). LuCI v Omnii mi dokonce přijde uživatelsky přijatelnější na ovládání než prostředí TP-LINKu (pouze osobní postřeh). Na druhou stranu prostředí TP-LINKu působí celkem „blbuvzdorně“ a jakási kostrbatost prostředí může případného parazita v prostředí odradit od jakékoliv činnosti. Softwarové řešení tohoto routeru je nerozši- řitelné.
STRANA 168
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Mezi zajímavosti patří fakt, že router je možné aktualizovat pouze přes USB port za pomoci flash disku (skrz rozhraní pod zmíněnou adresou) – nové verze jsou již aktua- lizované na poslední vydanou verzi (nebude další). Verze disponující USB portem mají oproti novějším zásadní výhodu. Je na ně možné nahrát operační systém OpenWrt, na němž je založen operační systém Turris OS. Díky tomuto kroku se může funkcionalita a zabezpečení routeru posunout na vyšší úroveň. Nicméně je to zásah do původní konfigurace. V tomto případě se stane limitou i nevýkonný hardware, takže tento router již z principu nemůže konkurovat několikanásobně dražším routerům.
11.1.3 Tabulka s parametry pro srovnání V následující tabulce jsou údaje, které mají vliv na výběr routeru.
STRANA 169
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 9 – Parametry pro TP-LINK TL-WR841N [36]
Název routeru TP-LINK TL-WR841N Počet WAN a LAN portů (RJ-45) 1x WAN, 4x LAN Rychlost WAN a LAN portů 10/100 Mbps Fungování v pásmu 2,4 GHz Ano, 802.11 b/g/n Fungování v pásmu 5 GHz Ne Procesor Jedno jádrový dle verze 400 – 650 MHz Flash paměť 4 MB RAM paměť 32 MB USB porty (počet a typ) Dle verze 0 nebo 1, Dle verze 1.1 nebo 2.0 Další porty Ne Softwarová podpora od výrobce Ne Softwarová rozšiřitelnost U některých verzí možné nahrát OpenWrt nebo DD-WRT Automatické aktualizace Ne Bezpečnostní funkce Firewall, VPN, zabezpečení Wi-Fi (WEP, WPA, WPA2 AES/TKIP), rodičovský dohled, filtr MAC adres Bezpečnostní aktualizace Ne Sledovací funkce Připojená zařízení a jejich upload a download Hardwarová rozšiřitelnost Ne Funkce sdílení úložišť a tiskáren Ne Maximální přenosová rychlost 300 Mbps Cena 489 Kč s DPH (czc.cz)
11.1.4 Hodnocení routeru Tento router je dle několika internetových obchodů nejprodávanějším produktem ve své kategorii. Při ceně okolo 500 Kč nabízí zajímavé funkce – to je třeba uznat, když se to porovná s dražšími zařízeními. Nicméně hlavní problém tohoto routeru vidím v několika bodech. Router funguje pouze v pásmu 2,4 GHz – pásmu, které je dnes velice vytížené vším možným (viz. dřívější text v této práci). Router není možné v zá- kladu nějak rozšířit – jak softwarově, tak hardwarově (tedy běžnou cestou). Softwarová podpora pro tento router byla ukončena před dvěma roky – přesto se stále ve velkém množství prodává dál. To a několik dalších vlastností dělá z tohoto zařízení
STRANA 170
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE potenciálně zranitelný cíl v rámci sítě. Mezi slabiny tohoto zařízení v dnešní době jistě patří i parametry RJ-45 portů, které disponují pouze rychlostí 10/100 Mbps, to samé lze říci i o 300 Mbps bezdrátové rychlosti. V dnešní době se běžně hodnoty pohybují trochu jinde a je třeba myslet spíše dopředu. Tento router bych pro nasazení na perimetr sítě jakékoliv organizace rozhodně ne- doporučil, a to hlavně díky zmíněným bezpečnostním a některým hardwarovým vlastnostem tohoto zařízení. Na pováženou je to i v domácím nasazení právě i díky chabému zabezpečení a rozmachu všech možných bezdrátových zařízení – perimetr je třeba opravdu zabezpečit.
11.2 Linksys WRT3200 ACM Tento router již patří mezi ty dražší routery, které si úplně běžný smrtelník nepořídí. Jedná se o jednoho z nástupců legendárního routeru Linksys WRT54G. Tento router se v zahraničí prodává za cenu okolo 280 dolarů, v ČR za asi 6300 Kč. Cenově se tedy blíží k ceně routeru Turris Omnia.
Obrázek 38 – Linksys WRT3200 ACM [37]
11.2.1 Hardwarové parametry routeru Oproti předešlému TP-LINKu Linksys u modelu WRT3200 ACM nabízí solidní vý- kon. Router disponuje dvoujádrovým procesorem Marvell o taktu 1,8 GHz, 512 MB RAM a 256 flash paměti. Router podporuje technologii TRI-STREAM 160, která je
STRANA 171
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE schopná rychlejšího přenosu dat. Dále také již jako jeden z prvních routerů podporuje technologii MU-MIMO a je schopen provozovat 2,4 GHz a 5 GHz komunikaci záro- veň. Router disponuje jedním USB 3.0 a eSATA/USB 2.0 portem na zádi šasi. Router také disponuje čtyřmi LAN a jedním WAN portem o rychlosti 1000/100/10 Mbps. Podporuje standardy 802.11 a/g/n/ac-Wave1/ac-Wave2. Maximální přenosová rychlost je 2600 Mbps pro 5 GHz a 600 Mbps pro 2,4 GHz. Router disponuje čtyřmi dualband anténami. Šasi je platové, nicméně precizně zpracované. O dalších hardwa- rových vlastnostech jsem se zmínil již v předešlých částech práce (hlavně chlazení a řešení desky).
11.2.2 Softwarové parametry routeru To, co z tohoto routeru dělá zařízení v tomto porovnání, je i softwarové řešení. Linksys se na rozdíl od několika výrobců o své zákazníky stará a nabízí dobrou podporu. Rou- ter se na trhu objevil koncem roku 2016. Tento router v základu disponuje nastavovacím rozhraním od Linksysu, které je přístupné po zadání adresy 192.168.1.1 do řádku internetového prohlížeče. Toto rozhraní je poměrně přehledné a dobře udě- lané. Při prvním spuštění routeru uživatel musí projít několika kroky základního nastavení, kde si může nastavit bezdrátové sítě, přístupové údaje k nastavovacímu roz- hraní samotného routeru a možnost automatických aktualizací. Až poté je uživatel puštěn do nastavovacího rozhraní. Možnosti nastavení jsou oproti TP-LINKu na lehce vyšší úrovni – je možné nasta- vovat do větších detailů, a hlavně v příjemnějším prostředí. Je třeba si uvědomit, že tento router je nástupce Routeru WRT54G, toho routeru, z jehož softwarového řešení vzniklo OpenWrt. Když je již řeč o OpenWrt, řada WRT od Linksysu nabízí právě možnost snadného nahrání OpenWRT a DD-WRT do těchto routerů. Běžné prostředí Linksysu není rozšiřitelné, funkcionalita prostředí je závislá na Linksysu (který ale s aktualizacemi nabízí větší možnosti), řešením této záležitosti může být právě OpenWrt nebo DD-WRT. Rozhraní od Linksysu v základu nabízí i různé funkce sta- tistiky a sběru informací o některých parametrech. Zajímavou funkcí je network map, která orientačně a graficky ukáže, jaká zařízení jsou k routeru připojena, kolik dané zařízení stáhlo dat atd. Router nabízí stejně jako Omnia možnost sítě pro hosty, sdílení úložišť a další možnosti nějakého sdílení obsahu po síti.
STRANA 172
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Oproti konkurenci jako je ASUS nebo třeba Netgear tento router nenabízí takové možnosti nastavení a zobrazení (v základu). Nicméně nabízí dobré zabezpečení (oproti konkurenci), dobrou podporu a vše opravdu funguje. Linksys navíc funkčnost zařízení rozšiřuje a nabízí automatické aktualizace, které mimo jiné zvyšují i zabezpečení rou- teru. Pokud se uživatel nespokojí se základním rozhraním od Liksysu, může do routeru snadno nahrát například OpenWrt, jež s použitým hardwarem vytvoří zajímavé řešení. Nicméně na druhou stranu je škoda zahazovat možnosti, které nabízí softwarové řešení Linksysu – snadnost ovládání, bezpečnost díky aktualizacím a nenáročnost na uživa- tele.
11.2.3 Tabulka s parametry pro srovnání V následující tabulce jsou údaje, které mají vliv na výběr routeru.
STRANA 173
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 10 – Parametry pro Linksys WRT3200 ACM [37]
Název routeru Linksys WRT3200 ACM Počet WAN a LAN portů (RJ-45) 1x WAN, 4x LAN Rychlost WAN a LAN portů 10/100/1000 Mbps Fungování v pásmu 2,4 GHz Ano, 802.11 g/n Fungování v pásmu 5 GHz Ano, 802.11 a/ac-Wave1/ac-Wave2 Procesor Dvou jádrový 1,8 GHz na jádro Flash paměť 256 MB RAM paměť 512 MB USB porty (počet a typ) 1x USB 3.0 Další porty eSATA/USB 2.0 Softwarová podpora od výrobce Ano Softwarová rozšiřitelnost Možné nahrát OpenWrt nebo DD-WRT Automatické aktualizace Ano Bezpečnostní funkce Firewall, VPN, zabezpečení Wi-Fi (WEP, WPA, WPA2 AES/TKIP), rodičovský dohled, filtr MAC adres, Guest access, VLAN, OpenVPN, automatické aktualizace, Network Map Bezpečnostní aktualizace Ano, v případě objevení zranitelnosti Sledovací funkce Network Map – informace o připojených zařízeních Hardwarová rozšiřitelnost Ne Funkce sdílení úložišť a tiskáren Ano Maximální přenosová rychlost 600 Mbps (2,4 GHz) 2,6 Gbps (5 GHz) Cena 6 379 Kč s DPH (ab-com.cz) Je třeba také dodat, že softwarová vybavenost se může odvíjet od rozhodnutí uživatele, zda zůstane u původní softwarové výbavy či do routeru nahraje OpenWrt nebo DD- WRT. Také je třeba okomentovat maximální přenosové rychlosti. Těchto hodnot může být dosaženo díky Tri-Stream 160 technologii, pro plné využití je také třeba mít nějaké zařízení, které vůbec tyto vlastnosti nějak zužitkuje.
11.2.4 Hodnocení routeru Tento router nabízí výkonný hardware, novou technologii MU-MIMO, možnost při- pojení úložišť, dobré softwarové řešení s automatickými aktualizacemi a možnost
STRANA 174
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE nahrání OpenWrt. Oproti v této práci zmíněnému TP-LINKu je sice asi 12 -13x dražší, ale na druhou stranu nejen v organizaci daleko použitelnější. Ovšem s vyšší utracenou částkou se více a více hledí na detaily. Tento router má pouze jeden USB 3.0 port (existuje tam i jeden eSATA/USB 2.0 port), což je dle mého názoru málo, potenciál hardwaru je nevyužit. Možným nedostatkem je i vlastnost LED diod, které svítí pouze jednou barvou – více barev by mohlo nabídnout možnost využití při sledování provozu. Router také není možné hardwarově rozšířit. Dodávané pro- středí od Linksysu nabízí sice uživatelsky přívětivé prostředí, ale oproti levnějším routerům zatím nenabízí nic moc navíc (ale stále lepší než zde zmíněný TP-LINK). Nejedná se tedy o špatný router. Oproti konkurenci nabízí výkonný hardware, dob- rou podporu včetně automatických aktualizací a alespoň snadnou softwarovou rozšiřitelnost za pomoci OpenWrt a DD-WRT. Nicméně router Turris Omnia, za částku nepatrně vyšší, nabídne ještě něco navíc. Nasazení nejen do organizace je tedy díky představeným vlastnostem možné, ale s určitými limitami, které mohou znamenat i další finanční investice v budoucnu.
11.3 Turris Omnia
11.3.1 Hardware O hardwaru tohoto routeru pojednává jedna z dřívějších kapitol této práce. Obecně lze říci, že routery v cenové relaci, ve které se pohybují všechny verze routeru Turris Omnia, disponují v kombinaci o něco slabším hardwarem – co se týče flash paměti, RAM a procesoru (někteří mají vyšší takt na jádro). Některé routery dnes disponují technologií MU-MIMO, jež je úspornější na spotřebu a disponuje vyšší přenosovou rychlostí. Nicméně všechny tyto routery jsou v plastových krytech bez jakékoliv mož- nosti rozšíření hardwaru. To v případě routeru Turris Omnia neplatí, takže je otázkou času, kdy se objeví na trhu funkční síťová karta, která nabídne stejné možnosti, ne-li lepší, jako dnes mají síťové karty routery s podporou MU-MIMO. Další hardwarovou výhodou oproti konkurenci je kryt samotný, který je vyměni- telný za několik variant. Díky dobré dokumentaci je případně možné vytvořit kryt
STRANA 175
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE vlastní. NAS box nabídne místo až pro dva 3,5‘‘ disky a větráček. Rozšiřující Mi- niPCI-e sloty zase nabídnou možnost připojení nejen síťových karet, ale i SATA controlleru, úložišť a dalších karet.
Obrázek 39 – Turris Omnia [33] Router Turris Omnia také disponuje dvěma USB 3.0 porty (možné navýšit počet USB portů díky MiniPCI-e slotům), několika různými porty na samotné desce a dvanácti barevnými LED diodami, kterým je možné přiřadit nějaké funkce.
11.3.2 Software Softwarové řešení routeru Turris Omnia není zcela dokonalé, nabídne však něco, co konkurence nenabídne. Tato tématika byla již také rozebrána v rámci dřívějších kapi- tol této práce, zde vyzvednu jen to nejdůležitější. Turris Omnia již v základu nabízí SSH přístup a možnost přístupu přes sériové roz- hraní. Řešení je zaměřené na bezpečnost, takže router nabízí v dané cenové kategorii
STRANA 176
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE naprosto bezkonkurenční úroveň bezpečnosti. Softwarové řešení je postaveno na OpenWrt, takže již v základu je řešení rozšiřitelné o užitečné funkce. Turris OS nabízí široké možnosti nastavení všech možných parametrů v grafických prostředích, pří- padně skrz příkazovou řádku. Prostředí Turris OS jsou stále ve vývoji a s každou novou verzí se rozšiřuje jejich funkcionalita. Router nabízí i široké možnosti sdílení souborů v rámci sítě, stejně tak nabízí například možnost zajištění přístupu na síť Tor v rámci celé LAN sítě. Mezi přednosti routeru patří i distributivní adaptivní firewall, funkce SSH honeypot a sběr dat pro vyšší bezpečnost na internetu. Rozšiřitelnost softwaru, i díky virtualizaci skrz LXC kontejnery, nabídne možnost instalace různých sledovacích a dohledových aplikací, které je možné provozovat přímo na routeru, a přitom využít vlastnosti ba- revných LED diod. Díky všem zmíněným softwarovým a hardwarovým parametrům může být router bezpečný.
11.3.3 Tabulka s parametry pro srovnání V následující tabulce jsou údaje, které mají vliv na výběr routeru.
STRANA 177
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Tabulka 11 - Parametry pro Turris Omnia [33]
Název routeru Turris Omnia (no Wi-Fi, 1 GB, 2 GB) Počet WAN a LAN portů (RJ-45) 1x WAN, 5x LAN Rychlost WAN a LAN portů 10/100/1000 Mbps Fungování v pásmu 2,4 GHz Ne (varianta No Wi-Fi) * Ano, 802.11 b/g/n * Fungování v pásmu 5 GHz Ne (varianta No Wi-Fi) * Ano, 802.11 a/ac * Procesor Dvou jádrový 1,6 GHz na jádro Flash paměť 8 GB RAM paměť 1 GB 2 GB USB porty (počet a typ) 2x USB 3.0 * Další porty/sloty 1x SFP, 3x MiniPCI-e, slot na SIM, pin-headery s GPIO, I²C, SPI, UART pro sériové připojení, 5pin pro napájení disků a větráčku Softwarová podpora od výrobce Ano Softwarová rozšiřitelnost Ano, již v základu díky Turris OS (upravené OpenWrt), další rozšiřitelnost díky virtualizaci za pomoci LXC kon- tejnerů, * Automatické aktualizace Ano, každý měsíc s novými funkcemi Bezpečnostní funkce Firewall, VPN, zabezpečení Wi-Fi (WEP, WPA, WPA2 AES/TKIP), rodičovský dohled, filtr MAC adres, Guest access, VLAN, tvorba účtů s různými přístupy v rámci routeru, barevné LED diody pro signalizaci, SSH honey- pot, sběr dat, OpenVPN, přístup k pokročilejšímu nastavení, automatické aktualizace OS i bezpečnostních politik dle nasbíraných dat či poznatků CSIRTu, sledo- vací funkce (grafy, tabulky) * Bezpečnostní aktualizace Ano, s minimální prodlevou Sledovací funkce Majordomo – upload a download připojených zařízení, vykreslování grafů z historických dat za pomoci RRD- tool, informace o rychlosti, síle signálu a šumu připojených zařízení skrz Wi-Fi, jednoduché grafy o zá- těži, provozu, bezdrátové síti a připojení v reálném čase a další možnosti díky možnosti rozšíření
STRANA 178
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Hardwarová rozšiřitelnost Ano – možnost instalace více antén, možnost výměny sí- ťových karet (i s podporou LTE), možnost výměny krytů, možnost instalace disků, možnost instalace větráčku 8x8 cm pro chlazení, možnost rozšíření skrz GPIO Funkce sdílení úložišť a tiskáren Ano, podpora tiskového serveru přímo v routeru, možnost instalovat disk přímo do volných MiniPCI-e slotů, mož- nost vytvoření plnohodnotného vysokokapacitního NAS po připojení SATA controlleru do MiniPCI-e slotu a při- pojení několika 3,5‘‘ nebo 2,5‘‘ disků skrz datové a napájecí kabely Maximální přenosová rychlost 300 Mbps (2,4 GHz) * 1,3 Gbps (5 GHz) * Cena 6 399 Kč s DPH 7 929 Kč s DPH 9 149 Kč s DPH * tyto údaje platí pro původní konfiguraci, parametry se mohou s upgradem rapidně změnit, tyto pa- rametry jsou tedy ovlivněné dostupným hardwarem či softwarem pro rozšíření
11.3.4 Hodnocení routeru Router Turris Omnia nabídne za danou cenu u běžných routerů nevídané vlastnosti. Mezi přednosti routeru patří nesrovnatelně vyšší bezpečnost zařízení, možnost softwa- rové a hardwarové rozšiřitelnosti, možnost instalace více vysokokapacitních disků a jejich využití jako NAS v rámci sítě, pravidelné aktualizace, možnost využívání virtu- alizace skrz LXC kontejnery, napojení CZ.NIC na CSIRT a další položky, o kterých jsem se v této práci zmínil. Na druhou stranu nic není dokonalé a je možné polemizovat o tom, že Turris OS v základu nedisponuje zatím všemi funkcemi slíbenými v rámci kampaně na In- diegogo. Nicméně s každou aktualizací se funkcionalita routeru rozšiřuje, vše již naimplementované funguje bezchybně a pro někoho důležité komponenty, jako je na- příklad nějaká statistika nebo sledování v reálném čase, je možné snadno doinstalovat. V budoucnu uživatel nebude muset dělat ani to. Router disponuje již v základu mož- nostmi, kterými zkrátka žádná konkurence nedisponuje. Router i v této „vývojové fázi“ je možné použít na perimetru v organizaci. A to hlavně díky bezkonkurenčnímu zabezpečení a bezkonkurenčním možnostem rozší- ření. Pořizovací cena všech verzí routeru Turris Omnia je sice vyšší než v případě obou představených konkurentů, ale za danou cenu uživatel získá i možnost volby v bu- doucnu, dlouhou podporu od CZ.NICu a další výhody, které běžní výrobci nenabízí.
STRANA 179
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Investice do tohoto routeru se zkrátka časem vrátí, na rozdíl od investice do konku- rence, která zatím nenabízí tak komplexní řešení v jednom zařízení. V dané cenové kategorii, ba i dokonce o něco vyšší cenové kategorii není zařízení, které by nabídlo stejné parametry a hlavně možnosti – to z tohoto zařízení dělá prakticky jediného mož- ného a rozumného kandidáta pro nasazení na perimetr organizace.
11.4 Souhrn porovnání zařízení V porovnání zařízení jsem se snažil porovnat tři zařízení. Zařízení, které je jakýmsi zástupcem v SOHO běžně nasazovaných routerů (TP-LINK TL-WR841N). Dále pak zařízení, které hrdě reprezentuje dražší a výkonnější routery (Linksys WRT3200 ACM). A nakonec zařízení, které se vymyká zajetým standardům na poli SOHO rou- terů a je vyráběno v ČR (Turris Omnia). Během porovnání jsem se snažil hledat jak dobré stránky každého routeru, tak ty špatné. Asi lze říci, že neexistuje žádné zařízení, které by bylo naprosto dokonalé a bez chyb. U těchto zástupců se projevil efekt, že s narůstající cenou jsem měl větší tendenci hledat větší a větší detaily, které by hrály v prospěch či neprospěch daného routeru. Zajímal jsem se tedy o jakési tři skupiny routerů. Někdo by mohl namítnout, že kdybych vybral z každé kategorie ještě jiného zástupce, tak by mohl výsledek dopad- nout jinak, případně kdybych vybral zástupce z cenové kategorie dejme tomu od 2500 – 5000 Kč. Jsem toho názoru, že by k žádné změně nedošlo, protože jiní výrobci s je- jich produkty mají zase jiné nedostatky. Například v kategorii routeru od Linksysu jsem mohl vybrat zařízení od Netgearu nebo Asusu. U těchto zařízení je zase třeba problém, že bývají častým cílem různých útoků, takže tam, kde by Linksys porazily, by měly navrch, naopak z pohledu bezpečnosti by je Linksys předčil a výsledek by mohl být buď stejný, nebo ještě horší (a tím nemá cenu ztrácet čas). To, co ovšem z porovnání vzešlo, je fakt, že ačkoliv všechny zmíněné routery jsou něčím zajímavé, jediný router Turris Omnia je schopen nabídnout něco navíc, co ostatní neumí, nebo je s tím nějaký problém. Router Turris Omnia tedy jako jediný ze třech porovnávaných routerů splnil všechny důležité požadavky pro nasazení na perimetr sítě v rámci organizace. Splnil
STRANA 180
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE bezpečnostní požadavky, plnohodnotnou možnost sdílení dat v rámci sítě, možnost softwarové i hardwarové rozšiřitelnosti a dlouhodobou softwarovou podporu výrobce. Ačkoliv se jedná v rámci tří porovnávaných routerů o nejdražší zařízení, má smysl do tohoto routeru investovat, protože je to především investice do bezpečnosti a bu- doucna. Je to také zařízení, které je schopno spolehlivě a kvalitně zastat funkce několika zařízení, a to za zlomkové náklady.
STRANA 181
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
12 Bezpečnostní řešení perimetru organizace Tato kapitola slouží jako jakési vyústění všech podstatných myšlenek ohledně návrhu bezpečnostního řešení perimetru organizace. Vybral jsem tedy zařízení – Turris Omnia – které bude umístěno na perimetr SOHO sítě organizace. Volbu, přednosti a vlastnosti tohoto zařízení jsem popsal na několika předchozích stranách. Volbou zařízení však celý návrh nekončí. Samotné zařízení je nutné nějak zprovoz- nit a nastavit. Kromě toho je také nutné nastavit i různá pravidla chování na vnitřní síti a další omezení, která povedou k zajištění co nejvyšší informační a kybernetické bez- pečnosti v dané organizaci.
12.1 Řešení
12.1.1 Nákup a příprava na nasazení Router je třeba pořídit u jednoho z internetových dodavatelů. V úvahu dle potřeb při- padá spíše verze s 2 GB RAM za cenu 9 149 Kč s DPH. Nutné je provést i další kroky: • Pořízení kabeláže – je nutné pořídit datové kabely s RJ-45 koncovkami. • Bezpečné zásuvky – z bezpečnostních, ale i praktických důvodů je vhodné vytvořit v místnosti kanceláře zásuvky nejen pro datovou kabeláž tak, aby kabely do počí- tačů/laptopů nešly přímo z routeru, ale ze zásuvek poblíž zařízení. Díky tomuto kroku se předejde různému zakopávání o kabely, možnému přerušení spojení, pří- padně dalším nežádoucím událostem. • Záslepky portů/zásuvek – nezbytné je i pořízení záslepek pro nevyužívané porty RJ-45 (doporučoval bych i pro zásuvky s elektrickým proudem) kvůli eliminaci ne- povoleného připojení do portů/zásuvek. • Značkování kabelů, portů a zásuvek – pro ještě vyšší bezpečí a jistotu je vhodné také pořídit nějaký typ značkovačů kabelů a zásuvek tak, aby bylo jasné, do které zásuvky kabel patří. Díky tomuto řešení bude možné snadněji dohledat nějaká bez- pečnostní ohrožení, případně najít pochybení v propojení. • Antivandal skříň pro router – minimálně za úvahu také stojí pořízení nějaké za- mykatelné skříně s větracími otvory (případně i větráky), do které by bylo možné
STRANA 182
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
router umístit tak, aby se k routeru dostala pouze osoba k tomu povolená – správce/administrátor. Tato skříň musí být na pro administrátora viditelném a dobře dostupném místě, čelní strana musí být průhledná tak, aby administrátor mohl do- hlížet na signalizaci LED diod na routeru.
12.1.2 Nasazení a správa Po pořízení všech zmíněných položek musí přijít další fáze, a to neméně důležitá. I pro takto malou organizaci je nutné vytvořit funkční, a hlavně závazná pravidla pro fun- gování – bez nastavení pravidel to celé nemá smysl. Následující body jsem již zmínil dříve v této práci. Tyto body jsou jakousi směsicí pravidel, postupů a vodítek, která je nutno dodržovat, podle kterých je nutno se řídit. Tato pravidla jsou užitečná jak pro běžné (netechnicky orientované) pracovníky, kteří pravidla musí dodržovat, tak i pro administrátora, který krom dodržování může podle těchto pravidel celou síť v rámci organizace nastavit. Lze tedy říci, že tyto body může administrátor brát jako jakousi kuchařku při tvorbě sítě. Nyní již ke konkrétním bodům: • Regulérní počítače/laptopy a tiskárny – musí být připojeny do označených portů/zásuvek (buď pomocí popisek, nebo barevných značek). V případě neopráv- něného přepojení dojde k postihu. • Regulérní počítače/laptopy – musí obsahovat firewall a antivirový program. Musí také disponovat přihlášení za pomoci účtu a nějakého hesla. • Běžné uživatelské účty – běžné uživatelské účty zaměstnanců (mimo administrá- tora) na regulérních počítačích a laptopech musí mít omezený přístup k nastavení počítače, zákaz instalace softwaru a zakázané veškeré pokročilejší interakce, které by mohly ohrozit chod počítače nebo celkovou bezpečnost v rámci organizace. • VLANy – je vhodné vytvořit a aktivně využívat několik VLAN, které budou mít různé přístupy k internetu, síťovým úložištím, tiskárnám a dalším zařízením a pro- středkům. • Mobilní telefony a tablety – budou mít svoji bezdrátovou síť pro přenosná zařízení na principu Guest tak, aby měly přístup pouze k internetu, ale ne do lokální sítě LAN a nastavovacího rozhraní zařízení na perimetru. Výjimku mohou dostat pouze zaří- zení schválená administrátorem – zařízení musí být zabezpečeno pomocí hesla nebo otisku prstů, kterým disponuje pověřená osoba, což je osoba, která za případnou
STRANA 183
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
škodu napáchanou zařízením zodpovídá. Proces povolení zařízení k připojení do sítě LAN pomocí bezdrátového připojení bude pospán dále. • Hosté – hosté se smí připojit pouze do bezdrátové Guest sítě pro hosty, která dispo- nuje stejnými parametry jako bezdrátová síť pro mobilní telefony a tablety (tentokrát s jiným názvem a bez výjimek pro připojení do sítě LAN). • Zásuvky RJ-45 – nevyužité zásuvky musí být z bezpečnostních důvodů opatřeny záslepkami proti nepovolenému připojení do sítě. Násilné nebo nepovolené odstra- nění záslepky bude potrestáno postihem, stejně tak jako nedovolené připojení do zásuvky. • White list – připojení k bezdrátovým sítím bude, až na výjimku sítě pro hosty, rea- lizováno za pomoci takzvaných white listů. K dané síti se připojí pouze zařízení, které disponuje MAC adresou z povoleného seznamu a správným přístupovým hes- lem. • Uložení zařízení – zařízení na perimetru musí být uloženo na takovém místě, aby k němu měla přístup pouze osoba k tomu povolená – správce. • Správce – správce je taková osoba, která na zařízení provádí veškerá nastavení, stará se o správný a plynulý chod zařízení na perimetru, lokální sítě a zařízení v rámci této sítě. Musí být informován o všem, co se ve spojitosti se sítí v organizaci děje (k tomu mu slouží různé statistiky, sledovací software v reálném čase i grafy s historickými hodnotami, různé logy, záznamy z kamer a další). Je také zodpo- vědný za aktualizování zařízení na perimetru. Je povinen zaznamenávat veškeré incidenty do deníku (datum, čas, zařízení, popis, závažnost, spojená osoba s inci- dentem, případné opatření). • Správcovský přístup – správcovskými přístupovými údaji k zařízení musí dispo- novat pouze správce a vedoucí kanceláře (pro případ například nemoci administrátora). • Nepovolený přístup – jakékoliv neoprávněné vniknutí do nastavovacího rozhraní zařízení na perimetru musí být považováno jako závažný bezpečnostní incident. • Síťová úložiště a tiskárny – k síťovým úložištím a tiskárnám smí mít přístup pouze osoby s vyhovujícími přihlašovacími údaji (jméno a heslo). Případné nepovolené přihlášení pod cizím účtem je nutné potrestat.
STRANA 184
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Zálohování důležitých dokumentů – zálohování důležitých dokumentů by mělo být prováděno i do příslušné složky na síťovém úložišti, které je nastaveno pro syn- chronizaci s privátním cloudem. Dále je pak vhodné využívat filozofie neustálého zdokonalování a nemyslet si, že něco, co bude fungovat dnes, bude fungovat i za rok. Je třeba hledat stále nové skuliny vy- tvářet stále dokonalejší a dokonalejší řešení. Zde je možné uplatnit například model PDCA či jinou obdobu.
12.1.3 Zabezpečení objektu Pro úplně kompletní řešení zabezpečení je třeba připomenout i samotné zabezpečení objektu, které jsem také již dříve zmínil. Připomínám, že zabezpečení objektu a při- lehlého okolí má na starost vlastník (a pronajímatel) objektu, toto zabezpečení bude obnášet: • Kamerový systém – zapojení kamerového systému v celém objektu (s případnou možností náhledu do záznamů v případě vyžádání). • Pohybové senzory – nasazením pohybových senzorů, nejen do budovy, může dojít ke zjištění pohybu v místech, kde v daný moment nemá nikdo být. • Recepce – přímo v budově bude recepce, kde se bude vyskytovat recepční obsluha a člen ochranky. Tito pracovníci jsou povinni vést knihu návštěv, různých bezpeč- nostních incidentů (jako třeba pokus o přelezení plotu zvenku nebo neoprávněný vnik do budovy či části budovy) a zaznamenávat informace o telefonátech na recepci budovy. • Ochranka – výskyt ochranky na recepci přes den a v blízkosti objektu v nočních hodinách či o víkendech a svátcích. • Přístup za pomoci karet/čipů do určitých prostor – přístup do jednotlivých pro- stor budovy bude umožněn pouze osobám disponujícím kartou/čipem, který bude vybaven přístupovými právy pouze do určitých částí objektu. Veškeré záznamy ze čteček karet/čipů na vchodech do částí budovy budou zaznamenávány do databáze tak, aby byly dohledatelné veškeré povolené i nepovolené pokusy o vstup do jed- notlivých částí budovy.
STRANA 185
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
• Oplocení budovy a jejího okolí – budova a její okolí bude přiměřeně oplocena tak, aby se v její blízkosti nepohybovala pochybná a nebezpečná individua. Přístup k bu- dově bude realizován za pomoci vchodu v rámci oplocení, který bude disponovat na dálku otevíratelnými a zamykatelnými dveřmi, kamerovým systémem pro identifi- kaci osob u vstupu, čtečkou karet/čipů pro vstup a zvonkem s možností hlasové komunikace s recepcí v budově. Toto řešení je realizováno vlastníkem objektu, náklady na jeho realizaci se promítají v ceně nájmu prostor. Nájemci prostor tak nemusí sami tuto otázku řešit vlastní cestou a díky tomuto řešení mohou ušetřit a nemusí tuto problematiky příliš řešit.
12.2 Souhrn řešení Toto řešení je kombinací použití nějakého hardwaru odpovídajícího potřebám organi- zace (který disponuje softwarovou výbavou) a pravidel, zásad, politik, určení odpovědností a nějaké filozofie. Mezi jednotlivými zmíněnými položkami funguje multiplikační efekt. Zapomínat by se nemělo ani na zabezpečení objektu. K zajištění vysoké úrovně kybernetické a informační bezpečnosti nestačí pouze po- řídit vhodné zařízení. Také úplně nestačí jenom dobře vytvořit nějaká dobře fungující závazná pravidla. Zrovna tak nestaří okolo budovy postavit pouze plot. Právě kombi- nace výše zmíněného může dát vzniknout vysoké úrovni informační a kybernetické bezpečnosti v rámci organizace. Na závěr je třeba uvést, že bezpečnost je možné chápat jako relativní pojem. Tudíž co je bezpečné dnes, nemusí být bezpečné zítra. Proto je třeba o bezpečnosti přemýšlet a plánovat ji co nejvíce dynamicky, ne staticky.
STRANA 186
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
13 Zhodnocení a přínosy práce V této práci jsem se snažil navrhnout bezpečnostní řešení perimetru organizace. Toto bezpečnostní řešení perimetru organizace jsem nakonec našel za pomoci nastavení pravidel, zásad, politik, odpovědností. Také jsem shledal za nutné popsat zabezpečení objektu ze strany majitele (pronajímatele). Samotné řešení jsem našel i v realizaci s po- mocí českého routeru Turris Omnia. O routeru Turris Omnia jsem se nakonec rozepsal nejvíce. Tento router totiž nabízí velice dobrý poměr pořizovací ceny, bezpečnosti a funkčnosti. Během doby, po kterou jsem se touto tématikou zabýval, se z tohoto rou- teru, který byl pro mě nejdříve pouze zajímavým kandidátem, stal prakticky jedinou možnou volbou pro nasazení na perimetr popsané organizace. Ostatní zařízení (tedy krom těch za několik desítek tisíc korun, ke kterým se běžný smrtelník nedostane) v základu nenabízí takovouto kombinaci funkcí, bezpečnosti a možností, jako router Turris Omnia. Přínosů v této práci osobně vidím několik. Jsou to přitom přínosy jak osobní, tak i přínosy pro veřejnost, která se o tématiku a obsah této práce může zajímat. Prvním přínosem může být samotné, relativně neobvyklé, bezpečnostní řešení peri- metru, které se skládá z kombinace vybraného zařízení a nastavení několika pravidel, zásad, politik a určení odpovědností. Další hlavní přínos pro veřejnost také vidím v tom, že konečně někdo mimo zaměst- nance a spřízněné duše CZ.NICu napsal delší a souvislý text o některém z routerů Turris. V této práci jsem se snažil nějak zužitkovat veškeré své postřehy ohledně zaří- zení Turris Omnia (technického i ekonomicky zaměřeného charakteru). Často jsem zabíhal i do oblastí, které úplně přímo s tímto routerem nesouvisí, ale napomáhají k po- chopení při nahlížení na tento router nejen z technického pohledu. Snažil jsem se naznačit, jak by mohl být router Turris Omnia (a vůbec jeden z routerů Turris) použit v organizaci, což jsem se zatím nikde nedočetl. Tato práce se také nezabývá pouze hardwarovými vlastnostmi daného zařízení či jinou částí. Práce rozebírá několik témat spojených nejen s tímto routerem. A všechna tato téma se snaží dát nějak do souvislosti s návrhem bezpečnostního řešení perimetru organizace.
STRANA 187
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Návrh bezpečnostního řešení perimetru organizace se tedy nakonec vyvinul v to, že jsem podrobněji popsal zajímavé zařízení, pomocí kterého je možné toto zabezpečení zajistit. Dal jsem ovšem i najevo, že bezpečnostní řešení se musí skládat právě z tohoto zařízení a vhodných pravidel, zásad, politik a odpovědností, které jsem v této práci také zmínil. Osobních přínosů vidím také několik. Díky této práci, která se měla zabývat úplně jinou tématikou (chtěl jsem řešit bezpečnost v nemocničním prostředí), jsem se dostal k zajímavým zařízením, lidem a mohl jsem si mnoho zajímavých věcí reálně vyzkou- šet. Díky routeru Turris Omnia a vlastně i týmu za Turris Omnia zodpovědnému jsem si reálně mohl vyzkoušet, případně vidět, věci, o kterých jsem jen buď slyšel, nebo ani vůbec neslyšel na přednáškách. Osobní zkušenost je dle mého názoru nejlepší způsob učení. Z původně testovacího exempláře routeru Turris Omnia se pro mě stalo zařízení, které rozhodně neprodám, jak jsem se před jeho pořízením kvůli této práci domníval. Router si ponechám a budu s ním i nadále rozšiřovat své obzory a objevovat nové a zajímavé možnosti (pokud budu mít čas a peníze). Router mě dokonce o svých kvalitách přesvědčil natolik, že jsem se rozhodl pořídit si z druhé ruky (člověka, který byl v původním programu Turris) i původní router Turris 1.0, který jsem nasadil do sítě mých rodičů. Před samotnou realizací řešení ná- vrhu této práce jsem tedy stihl nasadit již dva routery (Turris 1.0 a Turris Omnia) do rodinných SOHO sítí. Změna k lepšímu se projevila prakticky okamžitě – nejenže rou- tery mají lepší hardware než jejich předchůdci, ale disponují i lepší softwarovou výbavou, která disponuje například Majordomem, statistikami a tiskovým serverem (otec již nemusí pokaždé, když chce tisknout, zapínat další počítač, tiskárna je nyní připojena k routeru a vše funguje, jak má). Opravdu jsem přesvědčen, že neexistuje zařízení, které by v rámci SOHO sítí a dané cenové kategorii mohlo routerům Turris konkurovat. Rozhodně také nechci opomenout i části, které se netýkaly routeru Turris Omnia, protože ty byly neméně důležité. I části práce, kde jsem řešil politiky, pravidla zabez- pečení sítě v kanceláři a objektu byly pro mě dosti zajímavé. Ačkoliv tato tématika
STRANA 188
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE v rámci celé práce nezabrala tolik stran jako tématika spojení s routerem Turris Omnia, vše v těchto částech napsané má pro organizaci hodně vysokou hodnotu – tam je po- psaná bezpečnost pro organizaci, Turris Omnia je pouze jeden z možných prostředků k dosažení celkové bezpečnosti v rámci organizace. Při řešení této části jsem se nechal inspirovat mnoha zdroji. Pozoroval jsem řešení zabezpečení několika objektů – jak je toto zabezpečení řešeno v několika firmách. Velice inspirativní byly „náhodné pro- cházky“ kolem Národního centra kybernetické bezpečnosti, které má naprosto vzorové řešení zabezpečení objektu (umístění budovy na kopci, ploty, kamery atd.). Navštěvo- val jsem různé přednášky o této tématice, zapojil jsem také svůj selský rozum. Pří řešení této tématiky jsem pak veškeré poznatky nakombinoval do vhodného řešení, které jsem představil. O zájmu o celou tématiku této práce konec konců vypovídá i výsledný počet stran této práce, který je asi dvojnásobný oproti mému původnímu plánu. Nechtěl jsem v této práci vynechat nic důležitého.
STRANA 189
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
14 Závěr V této práci jsem na základě znalosti procesů organizace provedl návrh bezpečnost- ního řešení perimetru organizace pro menší (SOHO) organizaci. Došel jsem k závěru, že samotný návrh se skládá z dvou důležitých souborů s jed- notlivými komponentami, které ve vzájemné kombinaci napomáhají při zajišťování jak informační, tak kybernetické bezpečnosti na takové úrovni, jež nabídne ideální kombinaci akceptovatelných nákladů na bezpečnostní opatření a úrovně dopadů bez- pečnostních rizik. Prvním důležitým souborem je vhodně zvolená kombinace několika pravidel, zásad, politik a určení odpovědností tak, aby byla v rámci organizace zajištěna co nejvyšší informační a kybernetická bezpečnost. Zajištěním tohoto souboru komponent dojde k zamezení vzniku, snížení dopadu, případně k odhalení nějakého hrozícího nebez- pečí. Do tohoto souboru komponent je také nutné zahrnout kombinaci pravidel, zásad, politik a odpovědností pro zabezpečení objektu, tedy budovy a přilehlých pozemků. Stručněji řečeno se jedná o vymezení pravidel v rámci nějakého prostoru. Druhým důležitým souborem komponent jsou pak prostředky, pomocí kterých je možné první soubor komponent podpořit ve fungování. Bez vhodných prostředků jsou daná pravidla, zásady, politiky a odpovědnosti zbytečné. Sem je možné zahrnout různá zařízení, ale i osoby, které mají nějakou funkci – například administrátor, jenž dohlíží na dodržování pravidel (v případě zařízení se může jednat o router, který plní na peri- metru různé funkce). Tato komponenta obsahuje i prostředky spojené se zabezpečením budovy a přilehlých pozemků – kamery, ostraha, ploty a další. Stručněji řečeno, zde se jedná o prostředky, které napomáhají při fungování vymezených pravidel v rámci nějakého prostoru. V této práci jsem také došel k závěru, že router Turris Omnia je vhodným zařízením, které je schopno dobře zastat mnoho funkcí, a díky tomu podpořit dodržování a reali- zaci několika nastavených pravidel, zásad, politik a odpovědností v rámci organizace. Zařízení dokáže nabídnout mnoho nejen bezpečnostních funkcí a možností, které za- řízení v podobné ani vyšší cenové kategorii běžně nenabízí.
STRANA 190
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Router Turris Omnia je také vhodným zařízením pro nasazení na perimetr organi- zace ze tří důvodů. Prvním důvodem je podpora od CZ.NICu s možností využití informací ze sběru dat, což je naprosto unikátní vlastnost. Druhým důvodem je mož- nost softwarového a hardwarového rozšíření – na této vlastnosti je možné dobře stavět informační a kybernetickou bezpečnost i v budoucnu, takže bude možné rychle zarea- govat na nějakou situaci, požadavky a změnu bez nutnosti pořizování dalšího zařízení. Třetím důvodem je fakt, že router Turris Omnia byl navrhnut a sestaven v ČR nezis- kovou organizací CZ.NIC, proto je celkem vhodné, aby české organizace využily této vlastnosti a tento router nasadily, kde to bude možné, protože opravdu nabízí za danou cenu nevídané vlastnosti a zároveň reprezentuje produkty Made in Czech Republic.
STRANA 191
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
Seznam literatury [1] GÁLA, Libor, Jan POUR a Zuzana ŠEDIVÁ. Podniková informatika: Počítačové aplikace v podnikové a mezipodnikové praxi [online]. třetí vydá. praha: Grada Publishing a.s., 2015 [vid. 2017-05-18]. ISBN 978-80-247-9918-6. Dostupné z: https://books.google.cz/books?id=acxuCwAAQBAJ&pg=PA35&dq=lan+wAN+ MAn&hl=cs&sa=X&ved=0ahUKEwigjYyrqvnTAhUF1BoKHepeBlgQ6AEIOjAD# v=onepage&q=lan wAN MAn&f=false [2] HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce [online]. 5. vyd. B.m.: Computer Press, 2013 [vid. 2017-01-21]. ISBN 9788025131763. Dostupné z: http://knihy.cpress.cz/pocitacove-site-pro- zacinajici-spravce-d4.html [3] SOSINSKY, Barrie. Mistrovství – počítačové sítě [online]. 2. vyd. B.m.: Computer Press, a.s., 2013. ISBN 9788025139165. Dostupné z: https://play.google.com/store/books/details?id=qwbqCwAAQBAJ [4] KŘÍŽ, Jiří a Petr SEDLÁK. Audiovizuální a datové konvergence. první. Brno: CERM, 2012. ISBN 978-80-7204-784-0. [5] ANSI. ANSI [online]. 2017 [vid. 2017-05-18]. Dostupné z: https://www.ansi.org/about_ansi/overview/overview?menuid=1 [6] ISO. ISO [online]. 2017 [vid. 2017-05-18]. Dostupné z: https://www.iso.org/about-us.html [7] ITU-T. ITU-T [online]. 2017 [vid. 2017-05-18]. Dostupné z: http://www.itu.int/en/ITU-T/about/Pages/default.aspx [8] IETF. IETF [online]. 2017 [vid. 2017-05-18]. Dostupné z: https://www.ietf.org/about/ [9] IEEE. IEEE [online]. 2017 [vid. 2017-05-18]. Dostupné z: https://www.ieee.org/about/index.html [10] SNIA. SNIA [online]. 2017 [vid. 2017-05-18]. Dostupné z: https://www.snia.org/about [11] W3C. W3C [online]. 2017 [vid. 2017-05-18]. Dostupné z: https://www.w3.org/Consortium/
STRANA 192
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
[12] ÚNMZ. ÚNMZ [online]. 2017 [vid. 2017-05-18]. Dostupné z: http://www.unmz.cz/urad/o-uradu [13] ONDRÁK, Viktor, Petr SEDLÁK a Vladimír MAZÁLEK. Problematika ISMS v manažerské informatice. 1. vyd. Brno: CERM, 2013. ISBN 978-80-7204- 872-4. [14] ISO/IEC. ISO/IEC 27033-1:2015 - Information technology -- Security techniques -- Network security -- Part 1: Overview and concepts [online]. 27033– 1:2015. 2015. [vid. 2017-05-18]. Dostupné z: https://www.iso.org/standard/63461.html [15] ISO/IEC. ISO/IEC 27033-2:2012 - Information technology -- Security techniques -- Network security -- Part 2: Guidelines for the design and implementation of network security [online]. 27033–2:2012. 2012. [vid. 2017-05- 18]. Dostupné z: https://www.iso.org/standard/51581.html [16] ISO/IEC. ISO/IEC 27033-3:2010 - Information technology -- Security techniques -- Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues [online]. 27033–3:2010. 2010. [vid. 2017-05- 18]. Dostupné z: https://www.iso.org/standard/51582.html [17] ISO/IEC. ISO/IEC 27033-4:2014 - Information technology -- Security techniques -- Network security -- Part 4: Securing communications between networks using security gateways [online]. 27033–4:2014. 2014. [vid. 2017-05-18]. Dostupné z: https://www.iso.org/standard/51583.html [18] ISO/IEC. ISO/IEC 27033-5:2013 - Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs) [online]. 27033–5:2013. 2013. [vid. 2017- 05-18]. Dostupné z: https://www.iso.org/standard/51584.html [19] ISO/IEC. ISO/IEC 27033-6:2016 - Information technology -- Security techniques -- Network security -- Part 6: Securing wireless IP network access [online]. 27033–6:2016. 2016. [vid. 2017-05-18]. Dostupné z: https://www.iso.org/standard/51585.html [20] ISO/IEC. ISO/IEC 27000:2016 - Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
STRANA 193
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
[online]. 27000:2016. B.m.: ISO/IEC. 2016 [vid. 2017-05-18]. Dostupné z: https://www.iso.org/standard/66435.html [21] ISO/IEC. ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems -- Requirements [online]. 27001:2013. 2013. [vid. 2017-05-18]. Dostupné z: https://www.iso.org/standard/54534.html [22] ISO/IEC. ISO/IEC 27002:2013 - Information technology -- Security techniques -- Code of practice for information security controls [online]. 27002:2013. 2013. [vid. 2017-05-18]. Dostupné z: https://www.iso.org/standard/54533.html [23] CESNET. CESNET [online]. 2016 [vid. 2017-01-01]. Dostupné z: https://www.cesnet.cz/ [24] SAMEK, Martin. Wi-Fi dnes a zítra - přednáška na LinuxDays 2015. In: . Praha. 2015. [25] SEDLÁK, Petr. Management informační bezpečnosti - přednášky. In: . Brno. 2016. [26] CZ.NIC. Project Turris [online]. 2016 [vid. 2017-01-01]. Dostupné z: https://www.turris.cz/cs/ [27] PARLAMENT ČESKÉ REPUBLIKY. Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) [online]. č. 181/2014 Sb. 2014. [vid. 2017-05-19]. Dostupné z: https://www.nbu.cz/cs/pravni-predpisy/1091-zakon-o-kyberneticke-bezpecnosti-a- o-zmene-souvisejicich-zakonu-zakon-o-kyberneticke-bezpecnosti/ [28] KOLOUCH, Jan. Cybercrime [online]. první vydá. Praha: CZ.NIC, z. s. p. o, 2016. ISBN 978-80-88168-18-8. Dostupné z: https://knihy.nic.cz/files/edice/cybercrime.pdf [29] MALWAREBYTES. Malwarebytes Labs - The Security Blog From Malwarebytes [online]. 2017 [vid. 2017-05-19]. Dostupné z: https://blog.malwarebytes.com/ [30] CZ.NIC. Turris Omnia (ad) [online]. CZ.NIC. 2016 [vid. 2017-05-22]. Dostupné z: https://www.youtube.com/watch?v=3ATAFufg_pY
STRANA 194
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
[31] FILIP, Ondřej. Internet a technologie 16.2 - Turris Omnia update. In: [online]. Praha. 2016. Dostupné z: https://www.nic.cz/konference- it/#Photo[it16.2]/25/ [32] INDIEGOGO a CZ.NIC. Turris Omnia: hi-performance & open-source router | Indiegogo [online]. 2016 [vid. 2017-05-22]. Dostupné z: https://www.indiegogo.com/projects/turris-omnia-hi-performance-open-source- router-security-network#/ [33] CZ.NIC. Turris Omnia [online]. 2016 [vid. 2017-05-22]. Dostupné z: https://omnia.turris.cz/cs/ [34] TIM HIGGINS. Linksys WRT3200ACM AC3200 MU-MIMO Gigabit Wi-Fi Router Reviewed - SmallNetBuilder [online]. 2016 [vid. 2017-05-22]. Dostupné z: https://www.smallnetbuilder.com/wireless/wireless-reviews/33030-linksys- wrt3200acm-ac3200-mu-mimo-gigabit-wi-fi-router-reviewed [35] EMKO CASE A.S. EMKO Case a.s. [online]. 2017 [vid. 2017-05-22]. Dostupné z: http://www.emko.cz/ [36] TP-LINK. TP-Link Česká republika – síťová Wi-Fi zařízení pro domácnost a podnikání [online]. 2017 [vid. 2017-05-22]. Dostupné z: http://cz.tp-link.com/ [37] LINKSYS. Linksys - Wireless Routers, Range Extenders and IP Cameras [online]. 2017 [vid. 2017-04-08]. Dostupné z: http://www.linksys.com/us/
STRANA 195
FAKULTA PODNIKATELSKÁ VUT BRNO DIPLOMOVÁ PRÁCE
STRANA 197