Information Assurance - Bezpečnost a ochrana utajovaných informací

Information Assurance - Bezpečnost a ochrana utajovaných informací

Information
Assurance
1/2007
vychází
15. 3. 2007
Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli
a partnery konference Security and Protection of Information
V čem je Univerzita obrany jedinečná?
Rozhovor s rektorem – velitelem Univerzity obrany brigádním generálem
prof. Ing. Rudolfem Urbanem, CSc.
Obsah
Rozhovor s rektorem – velitelem
Univerzity obrany _ _ _ _ _ _ _ _ _ _ _ 1–2
Úvodem _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 2
Certifikovaná kryptoochrana _ _ _ _ _ 3
Obrana na obvodu nestačí_ _ _ _ _ _ _ _ 4
Traffic management _ _ _ _ _ _ _ _ _ _ _ 5
Moderní videokonferenční systém _ _ 6
Windows Vista na plný plyn _ _ _ _ _ _ 7
Pane rektore, jaká budoucnost čeká
Univerzitu obrany?
Nový legislativní rámec, o který usilujeme,
má přispět k zrovnoprávnění šancí státní
univerzity s veřejnými vysokými školami
na trhu vzdělávání. Mám na mysli zejména
možnost uplatnění všech tvůrčích aktivit,
jichž je státní univerzita schopna s tím, že
následně využívá i zdrojových výhod, které
z tohoto potenciálu a z těchto aktivit plynou.
Významná změna legislativního rámce by napravila omezené možnosti přijímání studentů,
protože armáda přijímá jen takový počet
studentů, kterým může nabídnout pracovní
pozici v rámci AČR. To je opět nevýhoda ve
srovnání s veřejnými vysokými školami, které
nejsou vázány limity studentů a mohou se
podstatně více a šířeji rozvíjet. Tomu rovněž
odpovídá struktura studia na naší univerzitě.
V současnosti je pyramida vysokoškolského
vzdělávání v armádě nastavena tak, že
zhruba 70 % vytváří bakalářská úroveň a asi
30 % vytváří magisterská úroveň. Takováto
struktura potřeb vzdělávání sice odpovídá
potřebám armády, ale neodpovídá potřebám
kvalitativního rozvoje vysoké školy. Neboli
legislativní změny ve vztahu k Univerzitě
obrany mají vytvořit stejnou šanci Univerzitě
obrany na trhu vzdělávání, jakou mají veřejné
vysoké školy, a umožnit zhodnotit všechny
2
Information Assurance 1/2007
Úvodem
Blíží se mezinárodní bezpečnostní konference Security and Protection of Information
(www.unob.cz/spi), která se bude konat
2.–4. května 2007 v areálu brněnského
výstaviště. Jejím pořadatelem je Univerzita
obrany, která na přípravě konference
spolupracuje s Veletrhy Brno a společností
CNSE, spol. s r.o. Tato společnost se rozhodla
doplnit aktivity konference vydáváním řady
šesti čísel specializovaného útlého měsíčníku, který bude čtenářům zasílán bezplatně
na základě jejich vyžádání. Periodikum, jehož
první číslo máte v ruce, je vydáváno ve spolupráci s Univerzitou obrany (www.unob.cz)
a některými z partnerských společností
konference – Alloit, CISCO SYSTEMS (Czech
Republic), GiTy, ICZ a Microsoft.
Toto velice útlé periodikum jsme pojmenovali
„Information Assurance“. Proč ten nezvyklý
název? Pracovně bych mohla tento název
přeložit termínem „informační záruky“.
Jde o termín, který je v současnosti velmi
diskutovaný v rámci různých výborů
a podvýborů NATO. Pokusím se zde přeložit
definici navrženou v rámci NATO podvýborem INFOSEC výboru C3 (AC/322
(SC/4)N(2006)0028): „Informační záruky
jsou sadou opatření, procedur a technik
k ochraně a obraně komunikačních, informačních a jiných elektronických systémů spolu
s informacemi, které jsou těmito systémy
ukládány, zpracovávány či přenášeny. Cílem
je dosáhnout požadované úrovně důvěrnosti,
integrity, dostupnosti, nepopiratelnosti
a autentizace informací a systémů.“
Tato definice odráží skutečnost, že mohou
být různé úrovně důvěry (např. založené
na stupni utajení) a v závislosti na tom lze
přijímat odlišná opatření. Dále je v této
definici zdůrazněno, že záruky jsou tvořeny
kombinací procedurálních a technických
opatření. V rámci tohoto „zpravodaje“ se
proto rovněž pokusíme o vyváženost mezi
procesním a technickým přístupem.
V čem je Univerzita…
(Dokončení z první strany.)
její schopnosti i v podobě peněžních nebo
finančních zdrojů.
Které problémy vás při tom nejvíce trápí?
Z hlediska legislativního rámce je to nalezení
koncenzu, jak hospodařit v rámci rozpočtového systému, který je svým způsobem
rigidní a neumožňuje vytvořit platformu pro
typ příjmů vyplývající z tvůrčích i dalších
aktivit a schopností školy. Další problémy
souvisejí s možnostmi kvalitativního rozvoje
a tento rozvoj se váže na problematiku investičních schopností a možností Univerzity
obrany. A protože armáda má krácený
rozpočet, zdrojový rámec pro investice se
snižuje i ve vztahu k Univerzitě obrany. Je zde
jediné řešení těchto problémů, a to dosažení
takových legislativních změn, aby mohla
univerzita redukci zdrojů kompenzovat svými
aktivitami na trhu, například prodejem své
produkce z oblasti vědy a výzkumu.
V čem považujete Univerzitu obrany
za jedinečnou?
Po ukončení vojenské základní služby
a vytvoření profesionální armády všechny
bezpečnostní sbory ztratily tu výhodu, že získávaly profesionály se základním výcvikem,
který vyžadovala služba pro bezpečnostní
složky. Neboli jedinečnost školy spočívá
v tom, že má schopnost zabezpečovat
přípravu osobnostních kvalit a parametrů pro
ty, kteří budou vstupovat do bezpečnostních
složek. Cílem Univerzity obrany je nabídnout
tyto jedinečné schopnosti ve prospěch všech
bezpečnostních složek, to znamená policii,
hasičům, celní správě, vězeňské službě…
Bezplatný zpravodaj vydávaný na podporu
konference Security and protection of Information
Jak je to se studiem nevojáků na Univerzitě obrany?
V současné době studují na univerzitě ve
smyslu zákona 111 o vysokých školách ti
civilní studenti, kteří jsou připravováni pro
bezpečnostní systém státu oboru Ochrana
obyvatelstva. My tyto vzdělávací tendence
hodláme posilovat, protože v současné době
otázka bezpečnosti, boje s terorismem,
začíná nabírat na celospolečenském
významu. Musím poděkovat sekci personální
i paní náměstkyni za podporu této koncepce
studia, a to včetně souhlasu se zvýšením
počtu studentů studujících jako nevojáci ve
prospěch veřejné správy.
Vydavatel: CNSE spol. s r. o.
Zodpovědná redaktorka: Světlana Proksová
Redakční rada: Martina Černá,
Jaroslav Dočkal, Ivo Němeček, Petr Lasek,
Jiří Unzeitig, Milan Jirsa, Josef Kaderka
Grafická úprava: Omega Design, s. r. o.
Registrace MK ČR E 17346
Řadu let se v našem systému hovořilo
o systému celoživotního vzdělávání, jak se
to teď promítá do úkolů školy?
Kromě bakalářského, magisterského nebo
doktorského studia plní Univerzita obrany
dva základní úkoly: zabezpečuje Kurz vyšších
důstojníků, který je rozhodujícím kvalifikač-
SVĚTLANA PROKSOVÁ
REDAKTORKA ČASOPISU
Information Assurance
ním předpokladem pro povýšení důstojníka
do hodnosti majora a podplukovníka; dále
zajišťuje Kurz generálního štábu, který je
předpokladem pro povýšení do hodnosti
plukovníka a následně generála. Neboli naše
univerzita je opět v něčem jedinečná – která
Brig. gen. prof. Ing.
Rudolf Urban, CSc.
Absolvent Vysoké vojenské školy týlového a technického zabezpečení v Žilině.
Vojenskou praxi získal na stupních divize, pluk a brigáda, pedagogickou jako
řadový učitel, náčelník skupiny, vedoucí
katedry, děkan, prorektor a rektor – dříve
VVŠ PV, nyní Univerzity obrany.
druhá škola u nás provází absolventa od
promocí až do ukončení jeho kariéry?
Jaká je na škole pozice informačních
technologií?
V současné době je tato oblast pod dikcí
prorektora pro rozvoj, který má za úkol do
konce tohoto roku nastavit vnitřní systém
výstavby komunikačního systému Univerzity
obrany a definovat koncepci dalšího rozvoje.
To je interní část procesu. Univerzita obrany
má i specializované pracoviště v podobě
Katedry komunikačních a informačních
technologií, které přispívá jak k tomuto
vnitřnímu procesu, tak k rozvoji vnitřních
otázek budování informačních systémů
v rámci rezortu obrany, především v rámci
projektu NEC.
S jakou filozofií jde univerzita na IDET?
Univerzita půjde na IDET a do všech akcí,
které lze zařadit do vnější marketingové
strategie s tím, že chce prezentovat svoji
jedinečnost a svoji nenahraditelnost.
OTÁZKY KLADL JAROSLAV DOČKAL
1/2007 Information Assurance
Certifikovaná kryptoochrana
Zabezpečení dat zajištěním jejich důvěrnosti,
integrity a dostupnosti se stává podmínkou
efektivního fungování podniků i státních institucí.
Specifickou oblast představuje ochrana utajovaných
informací. Jejich zabezpečení v informačních
systémech podléhá přísným kritériím. Při zpracování,
přenosu i ukládání utajovaných informací musí být
použita adekvátní kryptografická ochrana.
Co jsou certifikované
kryptografické prostředky
Kryptografickým prostředkem může být
jak technický prostředek, tak softwarový
produkt. To, zda jeho návrh a realizace
odpovídá platné legislativě, u nás posuzuje
Národní bezpečnostní úřad. Jím vydaný
certifikát definuje stupeň utajení utajovaných
informací, pro který byla způsobilost
kryptografického prostředku schválena.
České produkty
Jako příklady certifikovaného národního
kryptografického prostředku lze uvést
prostředky Krydec a CSP-II MicroCzech
vyvinuté společností S.ICZ, a. s., ve spolupráci
s Národním bezpečnostním úřadem.
jako kryptografický
modul CSP, nabízející
certifikovanou
implementaci řady
standardních kryptografických algoritmů.
CSP-II MC poskytuje
kryptografické služby
všem aplikacím,
které využívají subObrázek 1: Trvalá ochrana utajovaných informací (dokumentů) v rámci
systém CryptoAPI.
certifikovaného informačního systému (LAN i WAN) pomocí prostředku Krydec
Byl certifikován pro
ochranu utajovaných
informací do stupně utajení „Důvěrné”,
stanici zajišťuje trvalou ochranu systémových
„NATO Confidential” a „Restreint UE“.
souborů. (Realizuje Krydec.)
K čemu je lze použít?
Kryptografické prostředky lze použít např. pro:
Krydec je určen pro ochranu utajovaných
informací v informačních systémech
postavených na operačních systémech
Windows. Tento prostředek provádí on-line
a off-line šifrování souborů a identifikaci
a autentizaci uživatelů pomocí čipových
karet (příklad viz obr. 1). Skládá se z vlastní
karty, která vykonává všechny důležité
bezpečnostní a kryptografické operace,
a z programového vybavení, jenž implementuje veškeré bezpečnostní funkce prostředku
do operačního systému Windows. Krydec
byl certifikován pro ochranu utajovaných
informací do stupně utajení „Tajné“, „NATO
Confidential“ a „Restreint UE“.
Kryptografický hardwarový modul CSP II
MicroCzech (CSP II MC) řeší ochranu
utajovaných informací v informačních
systémech a je do systému integrován
Trvalou ochranu utajovaných dokumentů
umístěných na lokálních, síťových nebo
výměnných discích (on-line šifrování). Úroveň
ochrany je nastavitelná buď pro vybrané
adresáře nebo na logické disky. (Realizuje
například Krydec.)
Export a import utajovaných dokumentů
(off-line šifrování), při použití speciálního
datového formátu nazývaného chráněný
archiv. (Realizuje Krydec.)
Komplexní zabezpečení pracovní stanice,
kdy se kryptografický prostředek aktivuje
ihned po zapnutí pracovní stanice. Před
zavedením operačního systému i v jeho
rámci provede identifikaci a autentizaci
uživatele pomocí čipové karty. Na dané
Ochranu elektronické pošty v rámci aplikace
Microsoft Outlook. Využívá bezpečného
formátu dat S/MIME (Secure/Multipurpose
Internet Mail Extensions). Toho lze využít pro
ochranu vnitřní pošty certifikovaného IS, pro
bezpečné propojení pošty více certifikovaných IS apod. (Realizuje CSP-II MC.)
Bezpečné spojení pomocí protokolu SSL
pro aplikace Microsoft Internet Explorer
(IE) a webový server MS IIS. Tato služba je
vhodná pro použití certifikovaného informačního systému v Intranetu nebo pro využití IE
jako prezentační vrstvy pro serverové aplikace
certifikovaného IS. (Realizuje CSP-II MC.)
Aplikační ochranu dat v certifikovaných
informačních systémech nebo v distribuovaných aplikacích pro více certifikovaných IS.
(Realizuje CSP-II MC nebo Krydec.)
MARTINA ČERNÁ
Představujeme přednášející konference SPI 2007
Luděk Novák (tutoriál)
Vystudoval Vojenskou akademii
v Brně, pracoval jako odborník
na bezpečnost informací v různých pozicích na Generálním
štábu Armády České republiky.
V současnosti je vedoucím konzultantem ve společnosti ANECT a. s.
se zaměřením na řízení rizik a bezpečnosti informací a na řízení
procesů ICT. Je držitelem certifikátů CISA – Certified Information
Systems Auditor, CISSP – Certified
Information Systems Security
Professional, členem Rady odborného sdružení ISACA CRC a členem technické komise Českého
normalizačního institutu TNK 20 –
Informační technologie.
Hovořit bude v rámci jednoho
z tutoriálů na téma „Information
security standards“ Představí
v něm práci JTC1/SC27
a základní normy a standardy
určené pro návrh a prosazování
bezpečnostních principů.
Luděk Novák
3
4
Information Assurance 1/2007
Obrana na obvodu nestačí
Proč dnes nepostačuje klasické
pojetí síťové bezpečnosti, tedy
firewall na hranici sítě a antivirus
na stanici?
1. Stanice, která nevyhovuje sta-
2. Policy server získá
3. Problém je odstraněn,
noveným pravidlům, se pokouší
informace, zjistí problém, síťové
stanice může přistupovat
připojit do sítě přes směrovač.
zařízení omezí přístup stanice.
do sítě centrály. Pravidelně je
kontrolován její stav.
CTA zjistí stav stanice.
Důvodů je mnoho:
Vytrácejí se ostře definované hranice sítí.
Každý přístupový bod do sítě je potenciálním místem, odkud může být veden útok proti
síti. To platí nejenom pro vnější připojení, ale
i pro porty LAN přepínačů ve vnitřní síti a pro
komunikační rozhraní osobních počítačů.
Rychle se rozvíjejí nové aplikace a služby
sítě. Příkladem je IP telefonie, WiFi sítě,
řešení využívaná mobilními uživateli i metody
přímé komunikace stanic P2P. Všechna tato
řešení přinášejí nová rizika.
Nepřetržitě se objevují nová slabá místa
koncových zařízení, služeb i infrastruktury.
Vynořují se nové kódy a metody, které
uvedená slabá místa zneužívají. Doba mezi
objevením zranitelnosti a jejím zneužitím se
zřetelně zkracuje.
S rozvojem širokopásmových technologií
roste rychlost a počet připojení koncových
uživatelů k Internetu. Jednotlivci mají velmi
široké spektrum možností, jak se pustit do
dobývání odlehlé sítě.
Stále častěji se objevuje a roste organizovaný zločin. Útočníci jsou tvrdší, dovednější,
vytrvalejší a mají silnou motivaci k dosažení
svého cíle.
Neboli nestačí síť zabezpečit pouze na
obvodu. Bezpečnost musí prostupovat sítí
od obvodu přes infrastrukturu až po koncové
stanice, operační systémy a aplikace. Síť
musí při obraně tvořit jednotný koordinovaný
organizmus, jehož součásti spolupracují na
obraně a dokáží se přizpůsobit měnícím se
podmínkám a dosud nepoznaným hrozbám.
Hledejme řešení
Možné řešení spočívá v konceptu Cisco SelfDefending Network (SDN). Tento koncept
stojí na třech základních principech:
bezpečnostní technologie jsou integrovány
do síťové infrastruktury;
bezpečnostní systémy si navzájem vyměňují
informace a spolupracují na obraně sítě;
obranné mechanizmy pružně reagují
na nové situace v síti a dokáží rozpoznat
a zastavit doposud nepoznané hrozby.
Rozlehlá síť
Pobočka
Datové
centrum
Cisco Trust Agent (CTA)
Cisco Security Agent (CSA)
Antivirus
Policy server
(Cisco Secure ACS)
Služební
segment
Obrázek 1: Spolupráce softwarových modulů v rámci NAC
Pobočka
3. Aktualizace
signatury
CS MARS
Centrála
4. Útok
zachycen
1. Nakažený notebook
se připojuje do sítě.
HW IPS modul ve 2. Centrální IPS pošle
směrovači nebo
Cisco IPS Sensor výstrahu systému MARS.
2. IPS alarm
Internet
3. MARS rozešle
a aktivuje signatury
Pobočka
ve směrovačích.
Vzdálený
uživatel
4. Směrovače
1. Nakažený notebook
zachycují útok.
Obrázek 2: Koordinace součinnosti obranných mechanizmů sítě systémem MARS
troluje jeho počítač, vyhodnotí stav počítače
a omezí jeho přístup do sítě v případě, že
nevyhovuje stanoveným pravidlům. Poté, co
je počítač aktualizován, získává plné oprávnění pro přístup ke zdrojům sítě. V rámci NAC
spolupracují softwarové moduly na koncových stanicích, síťová zařízení, specializované
servery, ověřovací systémy, systémy pro audit
i distribuci softwaru, případně další aplikace
od různých výrobců.
Spolupráce
Do obrany sítě jsou zapojeny rovněž systémy
prevence průniku IPS (Intruder Prevention
System). Pokud IPS sonda není schopna
sama útok zastavit, připojí se ke vzdálenému
síťovému zařízení nebo firewallu a s jeho
pomocí útok zablokuje či ztlumí. Například
Cisco Incident Control System je v nepřetržitém kontaktu s laboratořemi firmy Trend
Micro a při výskytu nového malwaru zajistí
bleskovou aktivaci obrany v síťových zařízeních i rychlou aktualizaci signatur IPS sond.
Jako první příklad si uveďme Network
Admission Control (NAC), viz obr. 1. Tato
preventivní technologie snižuje rizika, která
přinášejí zanedbané koncové stanice. Uživatel
se připojí do sítě. Síť uživatele prověří, zkon-
Se síťovými IPS sondami úzce spolupracuje
software Cisco Security Agent a síťové skenery.
CSA agenti nebo skenery předávají IPS
sondám informace o operačních systémech
V tomto článku se zaměříme na ilustraci
druhého z těchto principů pomocí příkladů.
Centrální síť
na koncových stanicích. Je-li cílová stanice
zranitelná odhaleným útokem, IPS podle toho
upraví odezvu. CSA navíc podrobně vyhodnocuje aktivity, které na stanici vyvolávají jiná
zařízení. Informaci o podezřelých zařízeních pak
předá IPS sondě a ta může při zjištění útoku
zpřísnit odezvu proti těmto zařízením.
Informace o hrozbách v síti přenáší Threat
Information Distribution Protocol. Každé
zařízení, které se takto dozví o nové hrozbě,
může pak aktivovat vhodnou obranu.
Součinnost obranných mechanizmů sítě koordinuje systém MARS (Monitoring, Analysis
and Response System), viz obr. 2. Dává do
souvislosti informace o událostech z mnoha
různorodých zdrojů, odhaluje incidenty,
zobrazuje útoky v mapě sítě a navrhuje jejich
optimální blokování. Dynamicky aktivuje
a ladí IPS systémy ve směrovačích a zajišťuje
tak rozprostření účinné ochrany v síti.
Podrobněji se budeme věnovat součástem
SDN v dalších článcích. Více informaci také
najdete na http://www.cisco.com/go/sdn.
IVO NĚMEČEK
1/2007 Information Assurance
Traffic management
V dnešní době je samozřejmé, že
většina firem uchovává naprostou
většinu informací v elektronické
podobě, ať už se jedná o stav
skladu, objednávkový systém,
CRM, intranetový portál atd.
Stejně tak i většina obchodních
transakcí se odehrává
elektronicky.
Řada firem proto motivuje své zákazníky,
aby i oni preferovali tento způsob. Například
převodní příkaz v bance vyjde levněji, pokud
jej zadáte prostřednictvím internetbankingu,
než pokud jej zadáte osobně na pobočce.
Není divu, že dostupnost informací 24×7
je dnes pro řadu firem naprostou nutností.
Nedostupnost nemusí být způsobena jen
výpadkem, v mnoha případech „stačí“, když
je síť pomalá.
Asi není potřeba nikoho obzvlášť přesvědčovat, že je lépe problémům předcházet. Co
tedy může způsobit problémy provozu v síti?
Představa, že si nevytisknete fakturu v SAPu,
protože někdo rozeslal hromadný mail,
nebo že se nedovoláte pomocí VoIP, protože
někdo stahuje v P2P síti film nebo poslouchá
internetové rádio, se může zdát přehnaná.
Bohužel se však často jedná o realitu.
Internet je rovnostářský – nezletilcovo porno
může dostat přednost před informacemi
o havárii jaderné elektrárny.
Různé aplikace mají na síť různé požadavky
(viz tabulka 1). V podstatě se jedná o čtyři
parametry – pásmo (bandwith), zpoždění
(delay), proměnlivost zpoždění (jitter1)
a ztrátovost (packet loss). Stahování DVD
z internetu může trvat několik dnů, ale musí
být provedeno bez ztráty jediného znaku. Při
zpoždění přes 200 ms je telefonování přes
IP prakticky nepoužitelné, naopak ztrátovost
paketů kolem 1 % lidské ucho díky své
nedokonalosti nezaznamená.
Jak zajistit, aby síť byla natolik inteligentní
a dokázala se k jednotlivým aplikacím chovat
tak, jak vyžadují? Právě toto řeší traffic
management, česky bychom řekli řízení
provozu2.
Traffic management představuje inteligenci
sítě. Jedna z definic říká, že inteligence
je schopnost přizpůsobit se změnám.
Podmínky v síti se mění neustále, tudíž se
jedná o kontinuální proces. Pokud chceme
něco řídit, nejen v síti, musíme v prvé řadě
vědět, co se děje. V dalším kroku je nutné
definovat, co chceme, co je pro nás důležité.
Jinými slovy definovat pravidla. Ve třetím
kroku je pak za potřebí zajistit prosazení
Aplikace
Ztrátovost
Zpoždění
Jitter
Šířka pásma
Mail
Velký
Malý
Malý
Malý
Přenos souborů
Velký
Malý
Malý
Střední
IP telefonie
Malý
Velký
Velký
Malý
Videokonference
Malý
Velký
Velký
Velký
Tabulka 1: Vliv jednotlivých parametrů sítě na aplikaci
těchto pravidel. Následně vše vyhodnotíme
a případně korigujeme (zpětné vazba je
nutnou podmínkou).
De facto jsme si stručně popsali, co je to
traffic management. Jedná se o proces (viz
obrázek 1) tvořený následujícími kroky:
monitorování,
klasifikace (definování pravidel),
prosazení pravidel (akce),
dlouhodobé monitorování (sledování
trendů a záznam dat, accounting).
Blíže k jednotlivým krokům. Přesné a spolehlivé rozpoznání jednotlivých aplikací je
základem dobrého řešení. V dnešní době je
nezbytná identifikace na aplikační vrstvě.
Akce (QoS)
Monitorování:
realtime
i sledování
dlouhodobých
trendů
Klasifikace
aplikace, čas, VLAN, DSCP3. Podmínkou jsou
víceúrovňová pravidla; jen tak lze definovat
profil jednotlivých uživatelů nebo profil
provozu na jednotlivé pobočky.
Jedná se o nástroj k prosazení toho, co je důležité pro vás a vaše uživatele. V podnikovém
prostředí lze P2P nebo Skype blokovat, v síti
poskytovatele internetu naopak upřednostnit.
Lze ovšem garantovat maximální prioritu
pro přístup do SAPu pro účetní oddělení
v době účetní uzávěrky. Uživatelé VoIP budou
mít garantované minimální pásmo podle
použitého kodeku.
Monitoring v reálném čase dovolí okamžitě
odhalit problémy v síti, nesprávně definovaná
pravidla, problematické aplikace i uživatele.
Dlouhodobý monitoring a možnost definovat
reporty nám umožní sledovat trendy v síti
a předcházet problémům. V prostředí
poskytovatele internetového připojení lze
dlouhodobý záznam dat použít pro účtování
podle přenesených dat (billing).
Řada událostí v síti se děje nepředvídatelně.
Může se jednat o šíření síťového červa,
spam, 100% zatížení internetové přípojky
atd. O takových událostech je vhodné být
informován okamžitě, dříve než problémy
zaznamenají uživatelé. Způsob zasílání
výstrah si lze zvolit podle důležitosti – mail,
SNMP trap nebo SMS.
Obrázek 1: Proces traffic managementu
Proč? Důvodů je několik. Řada aplikací je
tvořena více protokoly, například přenos VoIP
(H.323, SIP) je řízen signalizačním protokolem a hlas se přenáší pomocí RTP. Mnoho
aplikací využívá HTTP protokolu, někdy se
mluví o „webifikaci“. A v neposlední řadě
přibývá aplikací, které jsou úmyslně napsány
tak, aby byly téměř neodhalitelné. P2P nebo
Skype využívají náhodně zvolené dynamické
porty, šifrování atd. Bez technologie DPI
(Deep Packet Inspection) je dnes nemožné
takový úkol úspěšně zvládnout. DPI je klíčem
k účinnému řízení provozu sítě.
V příští části si řekneme o jednotlivých
krocích traffic managementu – monitorování,
klasifikaci, prosazení QoS a accountingu.
Budeme je ilustrovat na produktech Allot
Communications (www.allot.com), která pro
tuto oblast nabízí vhodné komplexní řešení.
PETR LASEK
1 Česká terminologie je zde neujednocená
(rozkolísání, nestabilita, neklid, fázové chvění atd.),
dává se proto obvykle přednost anglickému termínu.
2 Ale ani zde není použití českého termínu obvyklé.
3 Differentiated Services Code Point – priority
rozdělující provoz do tříd v rámci koncepce
diferencovaných služeb.
Rovněž klasifikace, tj. vydělení určité části
provozu, musí být maximálně flexibilní. Čím
více kritérií lze využít, tím lépe – zdroj/cíl,
5
6
Information Assurance 1/2007
Moderní videokonferenční systém
Jak by měl vypadat?
Především by měl mít jednoduchou správu
uživatelů založenou na práci se seznamem
uživatelů a jejich skupin. Uživatel ocení, pokud
bude pracovat se jmény či jejich aliasy místo IP
adres. Dále je třeba dát mu možnost zaznamenávat probíhající relace a k záznamům
přistupovat přes webové rozhraní. Účastník
může měnit svůj profil, plánovat relace
a rezervovat prostředky z počítače, PDA či
smart-phone. S využitím javového klienta lze
navíc ovládat koncové zařízení.
Systém by měl umožnit propojování
účastníků z rozdílných privátních sítí s minimálním zásahem do konfigurace privátní
sítě. Koncepce systému by měla být řešena
modulárně s cílem jeho konfiguraci řešit
na bázi přidávání a odebírání jednotlivých
služeb. Otázku práv uživatelů pak lze snadno
zajistit pomocí povolování či zakazování
těchto služeb.
Při konferenci bez požadavku na záznam
probíhá komunikace klasickým způsobem
bod-bod. Pro komunikaci mezi klienty
různých privátních sítí je spojení zprostředkováno tunelem mezi branami (Gateway).
Při registraci uživatele do systému je pro
zajištění spolehlivosti nabízených služeb
testována kvalita jeho připojení.
uživatele krok po kroku nastavením. Na
obr. 2 v levé části je zobrazeno hlavní okno
klienta. Kromě ovládacích prvků obsahuje
seznam kontaktů reprezentovaných aliasy.
Nakonfigurovaný klient dokáže spolupracovat s konferenčními zařízeními (Tandberg,
NetMeeting). Na obr. 3 je schéma konfigurace videokonferenčního systému opírající
se o hardwarové MCU společnosti Tandberg.
Jaká je nabídka?
Pro zájemce lze zajistit dodávku
a montáž videokonferenčních zařízení,
pronajmout mu videokonfereční
místností i vytvořit místnost na jedno
použití. Pro vytvoření videokonference
lze využít nejen IP a ISDN sítě, ale
i satelitní přenosy.
Obrázek 1: Výřez částí funkcí webového klienta
JIŘÍ UNZEITIG A KOLEKTIV
I vzhledem k současnému trendu využívání
převážně paketově orientovaných sítí (IP)
by měl být systém schopen komunikovat se
zařízeními i na sítích odlišných (např. ISDN).
Je takový systém v ČR dostupný?
Softwarové řešení takového systému bylo
vyvinuto výzkumným a vývojovým útvarem
firmy GiTy, a. s., přičemž celý videokonferenční systém je platformově nezávislý.
Podstatné je, že v současnosti žádná jiná
česká firma nenabízí obdobný rozsah
videokonferenčních služeb.
Řídící částí řešení GiTy je VCF (videokonferenční) server, který zahrnuje komponenty
pro ovládání dalších zařízení systému a dále
rozhraní pro komunikaci s klientskou aplikací
(prohlížeč) pomocí protokolu HTTP či HTTPS
a rovněž pro komunikaci s javovým klientem
pomocí XML.
Obrázek 2: JAVA klient
Videokonferenční řešení vychází ze
standardu ITU-T H.323. V sítích H.323
je prvkem propojujícím jednotlivé klienty
do konferencí tzv. Multipoint Control Unit
(MCU); zde byla zvolena kombinace softwaru
a hardwaru. Hardwarový modul MCU má
v sobě implementovány veškeré dostupné
audio a video kodeky (H.261, H.263, H.264).
Při požadavku na uložení záznamu je přes
něj směrován videokonferenční přenos na
softwarový modul MCU, z něhož vycházejí
multimediální data (obraz/zvuk), která jsou
dále ukládána do datového úložiště. Dalším
prvkem řešení je Gatekeeper, což je prvek,
který koncovým zařízením (terminál, brána
nebo MCU), poskytuje službu řízení hovoru
(překlad aliasů na IP adresy, řízení přístupu,
alokace šířky pásma atd.).
Přátelské uživatelské rozhraní
Ovládání webového rozhraní je intuitivní (výřez viz obr. 1), s možností vícejazyčných verzí,
vzhled lze upravit podle přání zákazníka. Lze
zakládat nové relace, prohlížet naplánované,
proběhlé či uložené konference, přistupovat
k videoarchívu či přidruženým souborům,
vyhledávat a spravovat kontakty a zařízení,
manipulovat s oprávněními uživatelů ve
skupině a povolovat či zakazovat jim přístup
k funkcím videokonferenčního serveru.
Java klient ke svému spuštění vyžaduje nainstalovaný JVM (Java Virtual Machine). Je
platformově nezávislý, veškeré nastavování
je řešeno formou průvodců, které provedou
WEB
Interface
JAVA
Client
Ethernet
TANBERG
MCU
Gatekeeper
+ SW MCU
+ VCF Server
Videokonferenční systém
Obrázek 3: Schéma možné konfigurace
videokonferenčního systému
1/2007 Information Assurance
Windows Vista na plný plyn
Novinkám v bezpečnosti
operačního systému Windows
Vista jsem se podrobně věnoval
v časopisu Data Security
Management číslo 3/2006,
v tomto článku se proto zaměřím
na novinky ze zcela jiné
oblasti. Jedná se o technologie
ReadyBoost a ReadyDrive,
které zvyšují výkon operačního
systému pomocí flash paměti,
a také o zvláštní způsob
optimalizace operační paměti
zvaný SuperFetch.
ReadyDrive
Technologie ReadyDrive je určena zejména
pro notebooky a pro její použití je třeba
nejen nový operační systém, ale i nový
hardware, tzv. hybridní pevný disk. Hybridní
pevné disky odstraňují některé z nedostatků
klasických pevných disků, a to pomocí
přidané flash paměti. Jedním ze zmíněných
nedostatků je rychlost. K časovým ztrátám
dochází jednak na začátku práce s diskem,
při jeho roztáčení, a pak také při vystavování
magnetických hlaviček na požadované místo
pro čtení či zápis. Druhým nedostatkem je
energetická náročnost. Opakované roztáčení
pevného disku výrazně zkracuje výdrž baterie.
ReadyBoost
Windows ReadyBoost k urychlení počítače
využívá externí flash paměť, která v praxi
bude mít asi nejčastěji podobu USB flash
disku, ale může jít třeba i o paměťové karty
typu Compact Flash nebo Secure Digital. Tuto
externí paměť ReadyBoost využívá k dočasnému ukládání dat místo pevného disku.
Pevný disk je sice poměrně rychlé zařízení, ale
jen když provádí operace typu sekvenční čtení
nebo sekvenční zápis. Při náhodném čtení
a náhodném zápisu už na tom jsou některé
typy flash pamětí lépe, což může způsobit
nárůst výkonu. Kromě toho je tento způsob
rozšiřování paměti i velmi jednoduchý – místo
toho, aby uživatel lezl dovniř počítače, stačí do
USB 2.0 portu vložit vhodný typ paměti a ve
Vistě schválit jeho použití pro ReadyBoost.
Ne každá flash paměť je ale pro ReadyBoost
vhodná. Operační systém na ní má jisté
minimální požadavky (propustnost 2,5 MB/s
při náhodném čtení bloků o velikost 4 kB;
propustnost 1,75 MB/s při náhodném zápisu
bloků o velikosti 512 kB) a pokud je paměť
nesplňuje, nelze jí pro ReadyBoost použít.
Kapacita takové paměti se musí pohybovat
v rozsahu 256 MB až 4 GB (viz obr. 1),
přičemž horní hranice je dána použitým
souborovým systémem, kterým je FAT32.
Zajímavé je, co se stane, když uživatel tuto
externí paměť z počítače vyjme. ReadyBoost
s tím počítá, a proto veškerá data zálohuje
na pevný disk, takže když operační systém
zjistí, že už externí paměť nemá k dispozici,
začne místo ní pracovat s pevným diskem.
Z bezpečnostních důvodů jsou data uložená
v externí paměti šifrována, a to algoritmem
AES s délkou klíče 128 bitů.
Přírůstek výkonu, který ReadyBoost
nabízí, ovšem není nijak závratný. Jedná se
o jednotky až desítky procent, v závislosti na
velikosti operační paměti, na typu provozovaných aplikací, na jejich počtu a na způsobu
práce těchto aplikací s operační pamětí
a pevným diskem.
uživatel často pracuje, a vytváří při tom
určitý profil používání pevného disku.
Pomocí tohoto profilu SuperFetch provede
odhad, jaká data bude uživatel nejspíše
potřebovat, a dopředu je načte do paměti.
Pokud se v počítači navíc nachází i ReadyBoost zařízení, umí ho SuperFetch využít.
Pokud uživatel Windows XP spouštěl
některou aplikaci během dne opakovaně,
byla tato opakovaná spouštění díky vyrovnávací paměti rychlejší. Stačilo ale vypnout
počítač a vyrovnávací paměť byla vymazána.
SuperFetch dokáže tuto informaci přenášet
i mezi sezeními, takže aplikace, které uživatel
používá nejčastěji, dejme tomu poštovní
klient a webový prohlížeč, mohou být předem
načteny do paměti již při startu počítače.
V/V operace s nízkou prioritou
Pokud uživatel právě nepracuje s počítačem,
začnou se na pozadí provádět různé úlohy,
jako je antivirová kontrola, automatické
zálohování apod. Tyto úlohy sice běží tak, aby
uživatele co nejméně obtěžovaly, jakmile ale
zase začne pracovat, okamžitě to podle určité
prodlevy pozná.
Obrázek 1: Nastavení ReadyBoost zařízení.
Standardní pevné disky obsahují vyrovnávací
paměť, typicky 8 nebo 16 MB, která je
volatilní, tj. při vypnutí napájení ztrácí obsah.
Hybridní pevné disky, jejichž výrobu oznámily
například firmy Samsung a Seagate, používají
jako vyrovnávací paměť nonvolatilní flash
paměť o kapacitě 128 MB a 256 MB. Díky ní
ReadyDrive umožňuje rychlejší spouštění počítače, rychlejší probuzení ze stavu hibernace
a také šetří napájení, protože umožňuje číst
a zapisovat data, aniž by se disk točil.
Ve starších verzích Windows mohou mít
procesy přiřazenu různou úroveň priorit.
Vista tento princip rozšiřuje i na V/V operace
s pevným diskem. Procesy běžící na pozadí
s nízkou prioritou mohou mít navíc přidělenu
i nízkou prioritu V/V operací. Procesy běžící
na popředí tak nejen dostávají více času
procesoru, ale mají i přednost ve frontě
požadavků na V/V operace. Odezva systému
je v takovém případě rychlejší, než tomu bylo
v předchozích verzích Windows.
Mnoho systémových služeb Visty je napsáno
tak, aby využívalo V/V operace s nízkou
prioritou. Jedná se například o defragmentaci
disku, indexaci pro rychlejší vyhledávání a každodenní skenování počítače pomocí aplikace
Windows Defender. Na rozdíl od Windows XP
lze ve Vistě defragmentaci pozastavit
a pokračovat v ní později. K optimálnímu umístění souborů na disku lze použít i informaci
získanou pomocí technologie SuperFetch.
MILAN JIRSA
SuperFetch
Windows XP obsahují technologii zvanou
Prefetch, která monitoruje práci systému
a snaží se odhadnout, jaká data budou
v blízké budoucnosti zapotřebí. Data načte
předem do paměti a pokud se odhad
povedl, dojde ke zvýšení výkonu, protože
data nebude třeba číst z pevného disku.
Windows Vista obsahují vylepšenou verzi,
která se jmenuje SuperFetch. SuperFetch
sleduje programy a data, se kterými
Zdroje
Windows PC Accelerators: Performance Technology
for Windows Vista, http://www.microsoft.com/whdc/
system/sysperf/accelerator.mspx
Windows Vista: Features Explained: Performance,
http://www.microsoft.com/windows/products/
windowsvista/features/details/performance.mspx
Ed Bott, Carl Siechert, Craig Stinson: Windows Vista
Inside Out. MS Press 2007
7