V dnešní době globální komunikace je zabezpečení před hrozbami z internetu na předním místě mezi prioritami každé firmy. Důvodem je fakt, že jakýkoli výpadek sítě, napadení z internetu, ale také útok zevnitř podnikové sítě může citelně poznamenat fungování firmy. Navíc v případě malých a středních firem, kde je IT oddělení předurčeno spíše k řešení následků než příčin, může případný útok ohrozit i jejich samotnou existenci. Podívejme se blíže na jednotlivé hrozby a také na způsoby ochrany a prevence.


Nejčastější hrozby
Mezi nejčastější hrozby pro malé a středně velké počítačové sítě patří viry a červi. Viry jsou části počítačového kódu, který se připojí k programu či souboru tak, aby se mohl šířit z počítače do počítače a infikovat je. Červi jsou stejně jako viry určené k tomu, aby se kopírovali z počítače do počítače, ale činí tak automaticky přebíráním kontroly nad funkcemi počítače. Velkým nebezpečím červů je jejich schopnost nekontrolovaně se množit. Červi umí například odeslat kopie sebe samého komukoliv, kdo je uveden ve vašem adresáři kontaktů, a jejich počítače pak mohou učinit to samé, což způsobí dominový efekt a velmi vysoké provozní zatížení na síti. Další podstatnou hrozbou je spam. Spam je nebezpečný především z důvodu zahlcení kapacity e-mailové schránky, navíc může být nositelem virů. Nesmíme opomenou ani trojské koně. Trojský kůň, stejně jako ten mytologický, přináší "dary", které byste za "zdmi" svého počítače rozhodně neradi viděli - narušují bezpečnost a mohou způsobit mnoho škod.




Jak se bránit?
Centrální ochrana počítačové sítě
Stejně jako každý z nás chrání svůj byt či dům před zloději, měl by i každou firmu chránit síťový firewall. Základním kamenem ochrany každé firmy je tedy síťový firewall, který je umístěn na vstupu do firemní sítě a odděluje firemní PC od internetu. Primárním úkolem je centrální ochrana počítačové sítě před útoky z internetu, před napadením virů a červů a filtrování síťového provozu. Pomocí síťových firewallů můžeme také dosáhnout nejbezpečnějšího možného připojení k internetu. Dnes již nezáleží na velikosti sítě nebo na počtu počítačů připojených k internetu, je nutné chránit síť jako celek, včetně ochrany klíčových serverů, na kterých běží aplikace - mail serveru, file serveru, databázových serverů a dalších. Síťové firewally kontrolují a následně povolují nebo zamítají jednotlivé pokusy o přístupy z nebo do podnikové sítě. Firewall na základě stanovených pravidel propouští pouze některé pakety síťové komunikace a jiné odmítá, nebo rovnou odstraňuje. Například síťový firewall může automaticky povolit přijetí určitých dat jen tehdy, pokud si je předtím některý z PC v síti vyžádal. Nejlacinějším řešením v segmentu malých a středních firem bývají často malé hardwarové firewally, které v sobě integrují jednoduchý firewall a router a mohou být doplněny o další funkce, jako je vestavěný hub nebo switch, případně umožňují připojení přenosných počítačů pomocí bezdrátové technologie WiFi. Typickým zástupcem firewallů této kategorie je například 3Com OfficeConnect VPN Firewall. Cenově výhodnou možností z hlediska poměru výkon/cena jsou softwarové firewally. Označení je však značně zavádějící, protože většina hardwarových firewallů jsou jen upravené osobní počítače s operačním systémem (např. Linux, nebo čistě proprietární), na kterých pak běží vlastní aplikace firewallu. Proto bychom měli softwarové firewally označovat spíše jako firewally v podobě programů pro běžné počítače. Známé firewally pro systémy Windows jsou například Kerio WinRoute Firewall, WinGate nebo Microsoft ISA Server 2004.




Ochrana osobního počítače
Síťový firewall ochrání naši firemní počítačovou síť před hrozbou z internetu, ale stále hrozí i nebezpečí z lokální firemní sítě. Nebezpečí, která můžeme očekávat, jsou v drtivém procentu nechtěná a zaviněná uživateli. Typickým příkladem hrozby je napadení viru z vnitřku sítě z nezabezpečeného PC nebo notebooku. Podobnou hrozbou jsou pak různá přenosná média (diskety, USB paměti atd.) která mohou skrývat viry, nebo jiné škodlivé programy. Před tímto nebezpečím nás síťové firewally neochrání, řešením je nasazení osobních (personálních) firewallů. Personální firewall umožňuje uživatelům absolutní kontrolu výměny informací mezi jejich počítači a dalšími PC, jak v rámci lokální sítě, tak i na internetu. Dále nabízí celou řadu funkcí, které značně snižují riziko úniku osobních dat a velice tak zpříjemňují brouzdání po internetu. Mezi tyto vlastnosti patří například filtrování citlivých informací (např. číslo kreditní karty), blokování vyskakujících pop-up oken, filtrování reklamních bannerů, zákaz cookies a spyware, které umožňují sledovat jaké stránky uživatel navštěvuje. Dalším důležitým prvkem ochrany osobního počítače je antivirový program (antivir), který primárně zajišťuje ochranu před viry a virovým napadením. Antiviry jsou na osobních počítačích již velmi rozšířeny, ale není zcela běžné, že uživatelé osobních PC používají antivir ve spojení s personálním firewallem. Přitom jen touto kombinací zajistíte přiměřenou ochranu na osobních počítačích. Někteří výrobci (např. Symantec, McAfee, atd.) nabízejí antivirový program a firewall v jednom produktu. K nejznámějším personálním firewallům patří Kerio Personal Firewall, Zone Alarm, nebo samotný personální firewall integrovaný v MS Windows XP po instalaci SP2. K výrobcům, kteří nabízení pouze antivirový program můžeme zařadit například společnosti Grisoft, Eset atd.

Ochrana serverových stanic
Poslední dobou přichází na trh produkty určené pro speciální typ ochrany, označme je jako speciální softwarové firewally. Můžeme zmínit například Kerio ServerFirewall což je firewall speciálně navržený pro ochranu serverů s operačním systémem MS Windows. Speciálním firewallem bych také označil speciálně nastavený firewall v operačních systémech Linux. Tyto produkty vhodným způsobem doplňují síťové firewally, protože chrání před útoky zevnitř sítě a brání zneužití bezpečnostních chyb v operačním systému a aplikacích, pro které dosud neexistují záplaty.

Ochrana před spamem
Spam se stal nedílnou součástí našich e-mailových schránek a boj proti spamu je aktuálním problémem a výzvou mnoha společností vyvíjejících software. V poslední době se snaží se spamem bojovat i vlády a zákonodárci, my se ovšem budeme věnovat pouze technickým možnostem ochrany. Se spamem můžeme bojovat centrálně pomocí různých prostředků v mail serveru, lokálně pomocí funkcí v e-mailovém klientu nebo pomocí různých programů, které rozšiřují funkčnost e-mailového klienta. K účinným centrálním způsobům ochrany před spamem patří ochrana integrovaná v mail serverech. K efektivním nástrojům, které využívají, můžeme zařadit SMTP ověřování uživatele nebo IP adresy, kontrolu došlých e-mailů s veřejnými seznamy odesílatelů spamu, prověřování existence domény odesílatele, kontrolu průměrného počtu odeslaných e-mailů za hodinu a v neposlední řadě eliminátor spamů na základě analýzy samotných e-mailových zpráv v součinnosti s uživatelem, který označuje spamy. Takovou ochranu vybavenou samoučícím se filtrem nabízí například Kerio MailServer. Naopak na lokáním počítači můžete využít například Microsoft Outlook, který jednoduchým, a bohužel ne vždy dostatečně účinným, způsobem dokáže třídit spamy například na základě seznamu povolených uživatelů. Lepší lokální ochranu dosáhnete využitím programů disponujících samoučícím se filtrem (podobně jako na serveru). Příkladem může být program SpamBayes, který je možné instalovat do e-mailových klientů jako doplněk.


Závěr
Jak útoky hackerů, tak i viry, červi a spam jsou velkým problémem dnešního internetu. Žádnou síť, která je připojena k internetu, bohužel nelze zabezpečit stoprocentně. Avšak vhodným výběrem řešení a kombinací různých druhů ochrany můžete tato rizika minimalizovat.

Autor článku, Tomáš Vávra, působí jako sales & marketing manager společnosti Kerio Technologies.