Shrnutí na Zabezpečení počítačových sítí

## Úvod Počítačové sítě propojují zařízení tak, aby mezi nimi mohla probíhat výměna dat. Tento materiál shrnuje základní pojmy, praktické příklady a doporučení pro porozumění síťovým technologiím, segmentaci a nástrojům pro dohled nad sítí. Materiál je určen pro samostudium a přípravu na maturitu. > Definice: Počítačová síť je soubor propojených zařízení (počítače, servery, tiskárny, směrovače), které umožňují sdílení dat a služeb. ## Základní pojmy a rozdělení ### Co dělá síť - Přenáší data mezi zařízeními. - Umožňuje sdílení zdrojů (soubory, tiskárny, aplikace). - Poskytuje přístup k internetu a vzdáleným službám. ### Typy připojení (stručně) - Drátové (Ethernet) – spolehlivé, nízká latence. - Bezdrátové (Wi‑Fi) – pohodlné, ale citlivé na rušení. > Definice: VLAN (Virtual LAN) je logické rozdělení fyzické sítě na oddělené broadcast domény. ## VPN (virtuální privátní síť) > Definice: VPN je technologie pro vytvoření šifrovaného a ověřeného spojení přes veřejnou síť. - Hlavní účel: zabezpečit přenos dat a ověřit účastníky komunikace; VPN není samostatně anonymizační nástroj. - Typické technologie: IPsec, SSL VPN, WireGuard, OpenVPN. Tabulka: Porovnání typů VPN | Typ VPN | Popis | Příklad použití | |---|---|---| | Remote access VPN | Vzdálené připojení jednotlivého uživatele do sítě | Zaměstnanec z domova se připojí do firemní sítě | | Site-to-site VPN | Propojení dvou sítí přes internet | Propojení poboček společnosti | | Client-to-site VPN | Připojení koncového zařízení k firemní síti | Notebook nebo telefon připojený do sítě firmy | ### Praktický příklad VPN Zaměstnanec se připojí z domova přes VPN klienta do firemní sítě. Veškerá komunikace mezi jeho zařízením a firemním síťovým bodem je šifrována. ## Segmentace sítě a VLAN > Definice: Segmentace sítě znamená rozdělení sítě na menší části, aby se omezuje šíření broadcastů a lépe se řídila komunikace. - Důvody pro segmentaci: - Zlepšení bezpečnosti (omezit přístup mezi segmenty) - Zvýšení efektivity (menší broadcast domény) - Jednodušší správa (oddělení trafficu podle funkcí) Praktický příklad: Ve škole jsou oddělené VLAN pro učitele, studenty, servery, Wi‑Fi hosty a tiskárny. Firewall nebo L3 switch určí, kdo s kým smí komunikovat. Tabulka: Příklady VLAN a účel | VLAN | Účel | |---|---| | Učitelé | Přístup k školním systémům a administraci | | Studenti | Přístup k výukovým zdrojům s omezením k interním službám | | Servery | Izolované služby, zálohy, databáze | | Guest | Dočasný přístup pouze k internetu | | Tiskárny | Sdílení tiskáren bez přístupu k citlivým serverům | ## Honeypot > Definice: Honeypot je falešný systém určený k lákání a sledování útoků bez obsahování skutečných citlivých dat. - Účel: sledovat techniky útočníků, získat indikátory kompromitace a vylepšit obranu. - Důležité: honeypot musí být správně izolovaný, aby nezačal sloužit jako vstupní bod pro útok do produkční sítě. Věděli jste, že honeypoty mohou pomoci odhalit nové druhy malware a techniky útoků dříve, než se rozšíří do reálných systémů? ## SEM/SIEM a monitoring > Definice: SIEM (Security Information and Event Management) sbírá, ukládá a vyhodnocuje bezpečnostní události z různých zdrojů. - Co sbírá SIEM: logy ze serverů, firewallů, switchů, antivirů a dalších systémů. - Funkce: koreluje události (např. opakované neúspěšné přihlášení následované přihlášením z neobvyklé země) a generuje upozornění. - Monitoring sítě: sleduje dostupnost serverů, vytížení linek, chybovost portů, výpadky zařízení, zaplnění disků. Praktický scénář: SIEM upozorní na opakované neúspěšné přihlášení z určité IP a po čase i na úspěšné přihlášení; tým následně provede vyšetřování. ## Základní bezpečnostní opatření (stručně) - Pravidelné aktualizace operačních systémů a síťových zařízení. - Silná hesla a vícefaktorové ověřování. - Zálohování důležitých dat. - Oddělení hostovské Wi‑Fi od interní sítě. - Princip nejmenších oprávnění – uživatel má mít jen práva, která opravdu potřebuje. - Vypnutí nepouží