Zabezpečení koncových stanic připojených do sítě WEBnet

Plánujete-li připojit nové zařízení do sítě WEBnet, je potřeba jej v souladu s Pravidly používání sítě WEBnet, čl. 4, odst. 1, patřičně zabezpečit. Tato stránka pro to představuje obecný manuál, který vesměs shrnuje následující kapitoly:
- změna výchozích hesel,
- aktivace a nastavení firewallu,
- instalace antimalwarového řešení.

Síť WEBnet není NATovaná, není v ní aplikován žádný „velký firewall“ a zařízení v ní mají veřejné IP adresy. Ačkoliv jde z hlediska vzdáleného přístupu, síťové diagnostiky a používání nespojovaných protokolů o velkou výhodu, případnému útočníkovi to významně usnadňuje útok na kterékoli zařízení v ní připojené, jelikož na něj může přímo navázat spojení. Zabezpečení každého zařízení tak závisí přímo na jeho správci a jeho nastavení.

Změna výchozích hesel, odstranění výchozích účtů

Většina zařízení je od výrobců dodávána s určitými přihlašovacími údaji. Tyto přihlašovací údaje nelze považovat za bezpečné, jelikož si je může zjistit každý, kdo do Googlu napíše „<název zařízení> default password“. Zjištění takových údajů je obvykle otázka několika vteřin, přičemž jejich znalost útočníkovi poskytne plnou kontrolu nad daným zařízením. Může se tak snadno stát, že vaše zařízení začne sloužit někomu jinému – útočník s plným administrátorským přístupem může zařízení používat prakticky stejně, jako kdyby seděl přímo u něj. O povaze aktivit, pro které se vaše zařízení rozhodne používat, rozhoduje on sám, přičemž ale případnou odpovědnost nesete vy.

Nastavení firewallu

Pravidla komunikace se zařízeními v síti WEBnet typicky leží na nastavení firewallu koncového zařízení. Z toho vyplývá, že nastavení koncového firewallu je téměř nutností.

Za obecné pravidlo, kterým by se správce měl řídit, pokud k zařízení není třeba mít žádný vzdálený přístup (typicky počítače v kancelářích), je, že všechna odchozí komunikace ven ze zařízení je povolena, zatímco všechna komunikace přicházející zvenku (tedy z veřejného Internetu) do zařízení je zahazována.

Je-li potřeba, aby k zařízení byl vzdálený přístup přes síť (typicky tiskárny a IoT zařízení), je dobré povolit příchozí komunikaci z adres, které ji někdy budou potřebovat. Například, když vím, že na tiskárnu bude potřebovat přistupovat jen naše katedra, kde mají všichni adresy z nějakého /24 rozsahu, je dobré povolit příchozí komunikaci pouze z něj a jakoukoli další zahazovat. Rozumným kompromisem, pokud máte zájem o benevolentnější pravidla, může být povolení veškeré příchozí komunikace z univerzitního rozsahu 147.228.0.0/16. V takovém případě je ale potřeba počítat s tím, že na vaše zařízení uvidí každý, kdo je v univerzitní síti, tedy nejen stroje z vašeho oddělení, ale jakýkoli stroj v síti WEBnet, tedy i mobilní telefon nebo notebook jakéhokoli studenta, který je připojen k bezdrátové síti eduroam.

Ve většině případů není dobrý nápad povolit veškerou příchozí komunikaci z celého světa (0.0.0.0/0). Pokud potřebujete ke své stanici mít vzdálený přístup, využijte raději univerzitní VPN a povolte příchozí komunikaci (ideálně jen na konkrétní porty) z VPN rozsahu (147.228.232.0/23). Povolení příchozí komunikace z celého světa dává smysl jen v případě, že zařízení poskytuje nějakou veřejnou službu, která má být přístupná komukoli bez jakýchkoli síťových restrikcí. Takovou službu ale není obvykle dobré provozovat na běžné koncové stanici, je pro ni lepší vytvořit si virtuální server.

Není-li na vašem zařízení možné implementovat žádná pravidla síťové komunikace, můžete požádat o jeho umístění za katedrální firewall.

Instalace antimalwarového řešení

Umožňuje-li to dané zařízení, je žádoucí jej vybavit antivirovým programem. Pokud máte zájem o centrálně spravovaný antimalware ze strany CIV, můžete použít Trellix (dříve McAfee). Nemáte-li o takový program zájem, neváhejte použít jakýkoli jiný, alespoň ve free verzi.