Autorizace uživatelů a monitoring přístupu

Související záležitostí je neautorizovaný přístup do školní sítě. Studenti a pedagogové se do počítačů buď nepřihlašují vůbec nebo nejsou autorizováni centrálním systémem nebo se přihlašují obecnými účty (zak1, pedagog2 a podobně). Díky tomu není možné v případě problémů zjistit, kdo je zodpovědný za zcizení dat či jiný bezpečnostní incident.

Uživatelé také většinou nebývají jednoznačně identifikovatelní v rámci Wi-Fi sítě a ani dalších síťových prvků, jako je například centrální internetová bránaRouter je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli…. More (routerRouter je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli…. More). V případě incidentu v rámci školní sítě je pak možné identifikovat zodpovědného uživatele pouze na základě fyzické adresy jeho zařízení, a to je ve většině případů naprosto nedostatečné. Mohlo to být totiž zařízení, které uživatel donesl pouze jednou (například nějaký osobní tablet studenta) nebo se jedná o školní počítač v učebně, ze kterého mohou přistupovat různí žáci. Pokud škola bude mít zájem umožnit přístup žáků k internetu z jejich soukromých zařízení (například z jejich osobních telefonů přes Wi-Fi), je filtrování internetového obsahu školou skoro povinností. Měla by totiž zamezit žákům přistupovat k potencionálně nebezpečnému obsahu a také k případnému páchání trestné činnosti. Minimálně by v případě spáchání trestného činu ze školní sítě měla být schopna poskytnout vyšetřujícím orgánům konkrétní informace.

V případě, že škola vlastní alespoň centrální Windows Server a má stanice s operačním systémem minimálně v edici Windows Professional, může nasadit centrální autorizaci uživatelů do školní sítě a mít tak alespoň základní záznamy o tom, co uživatelé v síti dělají, pro případ řešení nějakého incidentu. Windows Server totiž umožňuje spuštění role doménového řadiče a služby Active DirectoryActive Directory je v informatice název adresářových služeb LDAP implementované firmou Microsoft pro řadu systémů Windows. Databáze Active Directory je uložená na řadiči domény, který… More v ceně operačního systému. Stačí pak vyexportovat všechny pedagogy a žáky ze školní databáze (například ze systému Bakaláři), zařadit počítače do domény a autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může… More uživatelů do školní sítě je spuštěná.

Autorizaci uživatelů v rámci sítě mohou následně využívat i další síťové prvky a zařízení, které následně přidělují přístupy ke konkrétním školním či internetovým zdrojům. Jedná se například o školní server s výukovými materiály a dokumenty, centrální školní tiskárny, školní vzdělávací portály nebo internetovou bránu, která může také umožňovat kategorizaci obsahu internetu. Velmi důležitým prvkem ve škole je například centrální internetová bránaRouter je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli…. More, která umožňuje filtraci a monitoring internetového obsahu. Jedná se o funkcionalitu, která využívá databázi internetových stránek, rozdělenou do různých kategorií (např. vzdělávací portály, sociální sítě, zpravodajství, erotika a podobně). Tato databáze je neustále aktualizována a škola tak může zamezit přístupu žáků například k erotice, sociálním sítím či dalším potencionálně nebezpečným stránkám. Zařízení je většinou schopné také ukládat historii navštívených stránek dle konkrétních uživatelů a díky tomu má škola následně kompletní záznamy pro případné vyšetřování nějakého incidentu. Jedním z takovýchto zařízení je například Kernun UTMRozhraní, jímž lze kontrolovat několik bezpečnostních prvků na jednom místě – z jedné konzole (nějaká webová stránka – třeba jako náš netGuard)…. More nebo Kernun ClearWeb.

Pro velké školy může pak být velmi zajímavé podrobné logování chování celé sítě. K tomu slouží zařízení, které neustále monitoruje celý síťový provoz, ukládá si o něm záznamy a historii a někdy také v reálném čase vyhodnocuje případné problémy v síti.
Dokáže například automaticky rozpoznat napadený počítač škodlivým kódem, zjistit potencionální únik dat ze školní sítě nebo nestandardní chování uživatele. Příkladem takového zařízení je sonda Flowmon.