Práce z domova – noční můra pro správce podnikové sítě?

Práce z domova mnohým zaměstnavatelům může činit potíže, ale asi největší starosti s její realizací mají manažeři IT a bezpečnosti, přesněji správci sítí. Jak zabezpečit vzdálený přístup a přitom umožnit uživateli vše, co pro svou práci potřebuje, i když není připojen přímo k podnikové LAN?

Posledně (článek Práce z domova - šťastnější rodina) jsme si připomněli výhody, které v řadě případů může přinášet práce z domova, tedy omezená nutnost pobývat na pracovišti a realizovat pracovní úkoly v klidu domova, v době pro pracovníka pro daný úkol nejvhodnější (samozřejmě tak, aby se stihl stanovený termín). Rovněž jsme se navnadili na legislativně lepší situaci, která by od příštího roku již mohla uvolnit pracovněprávní vztahy tak, aby i tento druh práce po právní stránce nebyl noční můrou – pro zaměstnavatele a/nebo zaměstnance.

Nicméně jedna noční můra přetrvává pro správce sítě: jak má zajistit plnohodnotný vzdálený přístup k podnikové síti (k datům a aplikacím), a to tak, aby zamezil bezpečnostním útokům na uživatele (např. krádež identity) a zejména neotevřel cestu vetřelcům do celé podnikové sítě a neohrozil síťové prostředky, uživatele, citlivá data ani běh kritických aplikací. I když se tento úkol zdá být téměř sisyfovský (v každém případě nikdy nekončící), při stávajících technických možnostech a při pečlivé implementaci nemusí představovat pro správce ani strážce bezpečnosti žádnou noční můru.

Vzdálený přístup

Než se pustíme do technických zákoutí bezpečnostních řešení, na úvod ještě pár statistik o vzdáleném přístupu v našich končinách. Podle průzkumu provedeného počátkem roku společností Markent (zadanou IDG Czech) na zhruba třech stovkách českých podniků (reprezentativním vzorku společností představujících téměř polovinu investic do IT v České republice) jen dvě třetiny z nich implementují technologie pro vzdálený přístup do svých sítí. Přitom vzdáleně se k síti připojují nejen pracovníci z domova (homeworkers), ale také mobilní pracovníci z terénu. Mobilní uživatelé převažují ve finančním sektoru, opačným extrémem jsou sektory zdravotnictví a vzdělávání, kde převažují pracovníci z domova.

Zhruba polovina společností (53 %), která umožňuje zaměstnancům vzdálený přístup z domova, tuto službu poskytuje již delší dobu. Další firmy (zhruba 20 % dotázaných) s potřebnými implementovanými technologiemi se chystají rozšířit tyto možnosti na větší počet svých pracovníků a dalších 13 % se chystá v nejbližší době tuto možnost pro své zaměstnance konečně otevřít. Pouze 14 % společností vzdálený přístup neumožňuje, ani nechystá.

Podle vazby výdajů na IT ve společnostech vypadají výsledky tak, že čím vyšší výdaje, tím vyšší podíl poskytování vzdáleného přístupu (100 % pro společnosti s výdaji na IT nad 50 miliónů korun). Ovšem vliv na to má také skutečnost, že řada těchto velkých společností působí distribuovaně a potřebuje k síti připojovat množství svých poboček.

Bez ohledu na to, zda se jedná o mobilní nebo stacionární pracovníky pobývající doma, v naší zemi jako přístupový prostředek převažuje mobilní síť (s 65 % podílu všech přístupových technologií). S rostoucí penetrací mobilních sítí třetí generace také stojí za zmínku, že nejen každý desátý mobilní pracovník, ale dokonce víc jak desetina pracovníků z domova využívá toto rychlé „mobilní“ připojení. Důvodem je nejen popularita a možnosti mobilní komunikace u nás, ale také fakt, že tímto způsobem pracovníci využívají firemní zařízení a náklady na připojení jdou jednoznačně za zaměstnavateli. Při volbě jiného technického řešení může být proúčtování nákladů, které se týkají práce z domova, obtížněji realizovatelné.

Jistě není s podivem, že pro práci z domova se využívá rychlý přístup: ve skutečnosti ale pouze polovina zaměstnanců volí širokopásmové připojení, zbytek stále závisí na vytáčeném spojení. Samozřejmě v této oblasti mají náskok telekomunikační společnosti, jejichž pracovníci mohou doma ve větší míře využít rychlých přípojek.

Necelá čtvrtina pracovníků z domova dotázaných firem využívá pro připojení IP síť poskytovatele přístupu. Pětina pak spoléhá na vytáčené spojení přímo na přístupový server podnikové sítě. Pro přístup se nejčastěji používá notebook (v 91 % případech), přes polovinu zařízení pro práci doma tvoří stolní počítač. PDA a chytré telefony využívají především mobilní pracovníci (zhruba čtvrtinový podíl), a to především zaměstnanci velkých telekomunikačních a distribučních (plynárenských, elektrorozvodných apod.) společností.

Bezpečnost především

Pro české IT manažery je bezpečnost podniku a dat na prvním místě (podle průzkumu analytiků Coleman Parks zadaného společností Intel); současně pro většinu z nich představují největší problém právě zaměstnanci (z 80 %), nikoli útočníci zvnějšku. Bezpečnostní problém u nás překvapivě nepředstavují zastaralé technologie. Nicméně s novými technologiemi je u nás problém jiného druhu: IT manažeři z 85 % neumí vedení svých společností doložit jejich význam a přínos. Problém využívání IT prostředků pro soukromé účely trápí tři čtvrtiny našich IT manažerů, z čehož zase plyne problém pro proúčtování komunikačních výdajů na práci z domova.

Dalším tíživým problémem je ochrana uložených dat, zejména pokud se týkají zákazníků a občanů. Jejich zabezpečení se musí provádět pečlivě i v případě, kdy žádný vzdálený přístup do sítě (potažmo k nim) povolen není. Musí existovat politika specifikující zodpovědnost za data i nosiče, na nichž jsou uložena. Práce s daty musí být dobře zdokumentovaná, včetně záznamu o přístupu k nim, kdo a kdy. Pohyb dat, jejich přesuny, vše musí být zaznamenáno. Na specifikaci zodpovědností musí navazovat i represivní opatření: pokud zaměstnanec pravidla poručí, následuje disciplinární řízení.

Veškerá citlivá data je třeba šifrovat, minimálně při jejich opuštění prostor majitele těchto dat na nějakém médiu. Opravdu citlivá data (údaje o osobách) se nesmí ukládat na laptopy, pouze ve výjimečných případech, a to jen v případě silného zabezpečení (zařízení, přístupu k datům i dat samotných).

Pro práci z domova se v souvislosti s citlivostí dat mnohde dává přednost před zabezpečením zařízení přímo neukládání jakýchkoli dat, tedy i jejich rutinního mazání po skončení práce na vzdáleném zařízení. Opravdu citlivá data pak zůstávají skutečně hermeticky uzavřená v podnikových prostorách, v datovém centru, za firewall. Žádná citlivá data by se neměla také objevit v DMZ (DeMilitarized Zone) nebo jiné oblasti veřejně přístupné z internetu. Měl by existovat nejen zákaz jejich ukládání na přenosná zařízení, ale také jejich odesílání např. ve formě příloh elektronické pošty. Za tímto účelem se může uplatnit také blokování USB portů.

Zaměstnanci by při práci s daty občanů neměli mít najednou k dispozici příliš velký počet záznamů, ale jen skutečně potřebnou část. Tato část by měla být dostupná jen po omezenou dobu na vyhrazeném serveru a každý přístup musí být i s časovým údajem zaznamenán. Pro přístup k těmto datům pak správce sítě musí vytvořit dočasné skupiny uživatelů, k nimž se autorizovaní uživatelé přidávají na základě potřeby. Uživatel, který už pro svou práci data nepotřebuje, musí být ze skupiny vymazán a heslo znehodnoceno, aby se zamezilo dalšímu přístupu. Práva uživatelů a jejich příslušnost k různým skupinám s ohledem na přístup se musí pravidelně prověřovat.

Pro komplexní řízení přístupu (autentizaci, autorizaci a účtování) se využívá RADIUS a 802.1x, populární zejména ve Wi-Fi. Vzdálený přístup by měl být realizován tunely v rámci VPN a zabezpečen šifrováním. U těchto technologií se podrobněji zastavíme později.

NAC

Řízení přístupu k síti (NAC, Network Access Control) zajišťuje ověření uživatele připojujícího se k síti (bez rozdílu odkud) a uplatní příslušnou politiku pro jeho přístup (přístup k autorizovaným prostředkům a datům), která závisí nejen na jeho individuálních nastavených právech, ale také na způsobu připojení (pro bezdrátové připojení může přístup kvůli zvýšené obavě o bezpečnost omezit). NAC jde ale ještě dál: kontroluje, zda je zařízení žádající o připojení dostatečně zabezpečené samo o sobě (s aktuálními bezpečnostními záplatami a antivirovou ochranou) a zda vyhovuje informační bezpečnostní politice.

Prostředky specializované na NAC (např. Safe Access od StillSecure, produkty NetClarity, Nevi Networks) musí spolupracovat se síťovou infrastrukturou, tedy se směrovači a přepínači od Cisco, 3Com, Foundry, Extreme, HP apod.

Základní prostředky řízení přístupu

Správa přístupu uživatelů do sítě se neomezuje pouze na jejich autentizaci. Zahrnuje také autorizaci a účtování (AAA, Authentication, Authorization and Accounting). Autentizace znamená ověřování a potvrzování totožnosti uživatelů (komunikujících stran). Autentizace může vést buď k jednoznačné identifikaci (zjištění identity uživatele: Kdo je?), nebo (častěji) k verifikaci uživatele (potvrzení identity uživatele: Je ten, kdo tvrdí, že je?) na základě zadaných údajů uživatele do autentizačního systému.

Totožnost uživatele lze ověřit třemi možnými způsoby, jichž se využívá pro kontrolu oprávněnosti jejich přístupu k síti a ověření jejich práv vykonávat určité úkony podle toho:

·      kdo jsou - identifikace podle globálně jednoznačných ukazatelů (otisky prstů, dlaní apod.),

+ lze obtížně zfalšovat,

- zařízení pro identifikaci nejsou levná,

·      co mají - identifikace podle vlastnictví určitých předmětů (klíčů, karet apod.),

+ jednodušší možnost ověření autorizace,

- náchylné ke ztrátám, kopiím, krádežím.

·      co znají - identifikace pomocí přístupových hesel, číselných kombinací, osobních identifikačních čísel apod.

+ nejjednodušší způsob zabezpečení,

-         náchylné k zapomenutí, zneužití v případě jejich záznamu na jakémkoli médiu, vyžadují pečlivý výběr (sestavení) pro minimalizaci uhádnutí, a někdy pravidelnou obměnu.

Autentizace může probíhat jednosměrně, kdy se autentizuje pouze jedna strana vůči druhé, nebo obousměrně, kdy se autentizují obě strany vzájemně, a obě proto musí sdílet určitou tajnou informaci. Každý pár komunikujících stran má tuto informaci samozřejmě odlišnou. Vzhledem k narůstající potřebě autentizace komunikujících stran na internetu může být tento způsob postupně stále obtížnější z hlediska tvorby, ukládání a přenosu těchto informací. Proto se stále častěji využívá autentizace za pomoci třetí důvěryhodné strany (trusted third party), která může ověřovat identitu uživatelů nebo může poskytovat informace potřebné pro autentizaci. Tento systém autentizace může využívat jak symetrické šifrování (např. Kerberos, RFC 1510, RFC 3279-3281), tak šifrování veřejným klíčem (PKI, Public Key Infrastructure).

Příště se podíváme na mechanizmy RADIUS, 802.1x a poté na VPN.

29. 8. 2006

Autor: Ing. Rita Pužmanová, CSc., MBA