Základy vzdáleného přístupu

Z HelpDesk

Snad každý se už setkal s tím, že potřebuje přistupovat k univerzitním službám i mimo univerzitní síť. Ať už ze svého počítače doma, notebooku na cestách nebo dokonce z cizích počítačů v internetových kavárnách nebo na letištích. Potřeba vzdáleného přístupu je pochopitelná a na ZČU je proto také patřičně podporována. Na této stránce jsou shromážděny informace, které byste měli znát předtím než se do vzdáleného přístupu pustíte.

Co je to vzdálený přístup?

Pod tímto pojmem se rozumí používání univerzitních služeb (e-mail, informační systémy, apod.) z počítačů, které nejsou připojeny přímo do univerzitní sítě WEBnet. Tj. prakticky vždy, když se nacházíte mimo univerzitní budovy. Ohledně bezdrátových sítí je situace složitější - jednak nejsou jednoznačně ohraničeny a jednak je síť eduroam poskytována řadou organizací, nejen ZČU.

Z technického hlediska se o vzdálený přístup jedná vždy, když je Vaše IP adresa jiná než 147.228.?.?. Nejste-li si jisti, stačí navštívit stránku mojepc.zcu.cz, kde se Vám zobrazí Vaše aktuální IP adresa i s informací, zda se nacházíte v síti WEBnet.

Typické prostředí, ze kterého je vzdálený přístup prováděn: domácí síť, internetové kavárny, letiště, notebook připojený v hotelu apod.

Nebezpečí vzdáleného přístupu

Základním problémem vzdáleného přístupu je nemožnost garantovat důvěrnost dat než doputují od Vás do sítě WEBnet. Síťovou infrastrukturu totiž vlastní a provozuje někdo jiný a nelze ovlivnit jak se s přenášenými daty zachází. Tj. cestou mohou být informace odchyceny třetí stranou a případně zneužity.

Další hrozbou je používání cizích počítačů - zejména v internetových kavárnách, kiosků na letištích, učebnách na cizích univerzitách apod. Zde totiž nemáte kontrolu nad zabezpečením těchto počítačů, které mohou být zavirované, a ani nemůžete vědět, zda jejich provozovatel nemá nainstalovány špionské programy, které budou zaznamenávat například vše, co napíšete na klávesnici (tzv. keyloggery).

Jak minimalizovat riziko vzdáleného přístupu?

Jak už bylo naznačeno, vzdálený přístup ke službám je dnes běžně používán a při dodržení několika základních pravidel tak lze činit s minimálním rizikem.

VPN

Základním pravidlem pro bezpečný vzdálený přístup je striktní používání VPN (Virtual Private Network). Principem je vytvoření šifrovaného kanálu mezi Vaším počítačem a univerzitou, takže nikdo cizí nemá k Vaším datům během jejich přenosu přístup. Navíc se mu vše jeví jako jedna jediná komunikace, tj. nezná detaily - které služby používáte, jaké stránky navštěvujete apod. Prakticky vše pak funguje úplně stejně jako byste měli počítač připojený do zásuvky v univerzitní budově.

Seznamte se s návody na instalaci VPN.

Upozornění: V internetových kavárnách a cizích univerzitních učebnách nejspíš nebudete mít potřebná práva k instalaci VPN, takže je její používání v podstatě omezeno pouze na počítače ve Vaší správě (nebo ve správě Vámi zvoleného správce).

Zabezpečený počítač

Používání nezabezpečeného počítače je rizikové kdekoliv, tedy i v případě vzdáleného přístupu. Například služební počítač, o který se stará odpovědný správce, je bezpečnější než vlastní, nikým neopečovávaný, notebook. A tento může být zase bezpečnější než počítačový kiosek na letišti, o jehož zabezpečení není nic známo a navíc je používán velkým množstvím lidí.

Je-li to možné, používejte pouze počítače, které jsou vhodně zabezpečené a spravované důvěryhodnou osobou/oragnizací. Je-li bezpodmínečně nutné nějakou službu použít i z nezapezpečeného počítače, změňte si přístupové údaje bezpečnou cestou hned jak to bude možné.

Vzdálená změna hesla

Může se stát, že během svého pobytu mimo univerzitu budete potřebovat změnit heslo, protože např. bylo zadáno na nezabezpečeném počítači nebo vypršela jeho platnost. Případně se vám jej podaří zapomenout. Proto si před odjezdem mimo univerzitu zkontrolujte platnost hesla, připomeňte si možnosti jak změnit heslo a včas si aktivujte možnost změna hesla po telefonu.

Odhlášení od WebAuthu

Použijete-li službu, která je zapojena do systému jednotného přihlašování, je potřeba se před odchodem také řádně odhlásit. Jinak by se, v případě veřejného počítače (letištní kiosek, internetová kavárna, ...), mohl následující uživatel přihlásit Vaši identitou, protože Vaše přihlášení je platné 8 hodin.

Uzavřením internetového prohlížeče se odhlašte od systému jednotného přihlašování. Pokud prohlížeč není možné zavřít pro technická omezení (typicky letištní kiosky), pak je potřeba se odhlásit od všech služeb, které jste používali - ano od každé zvlášť.

A pokud si chcete být ještě jistější a je-li to technicky možné, restartujte po ukončení své práce celý počítač.

Řešení typických situací

Vzdálený přístup je prakticky používán ve dvou typických situacích, které jsou, spolu s návodem jak postupovat, představeny v této kapitole.

Vzdálený přístup z vlastního PC

Případ, kdy své vlastní zařízení - obvykle notebook - připojujete do cizí sítě. Prakticky můžete věřit svému počítači, ale už síti, do které je připojen. Typicky se jedná o přístup z domova, z konference, hotelové sítě apod.

  • Co mít připraveno předem?
    • Udržovat počítač řádně zabezpečený.
    • Nainstalovat VPN klienta.
    • Ověřit si znalost a platnost svého hesla.
    • Mít aktivováno vzdálenou změnu hesla.
  • Jak postupovat?
    • Spustit VPN.
    • Přistoupit k požadované službě.

Po spuštění VPN se můžete chovat stejně jako ve Vaší kanceláři na univerzitě, tj. přistupovat ke všem službám bez rozdílu.

Vzdálený přístup z cizího PC

Případ, kdy zrovna nemáte vlastní notebook a přesto potřebujete použít některou ze služeb ZČU. Pokud se účastníte konference, školení apod., jsou pro účastníky obvykle připraveny veřejně přístupné stanice s připojením na internet. Obecně pak jsou k dispozici počítače v internerových kavárnách. Znamená to, že používáte počítač, kterému nemůžete věřit, a tento je připojen k síti, které také nemůžete věřit.

  • Co mít připraveno předem?
    • Ověřit si znalost a platnost svého hesla.
    • Mít aktivováno vzdálenou změnu hesla.
  • Jak postupovat?
    • Přistoupit pouze k nutným službám.
    • Po návratu do bezpečného prostředí změnit přístupové údaje (heslo).

Vzhledem k tomu, že v tomto případě nelze zaručit bezpečný přenos přístupových údajů, resp. všech přenášených údajů, není doporučováno používat služby zásadního významu. Následná změna hesla - ať už telefonicky nebo jiným bezpečným způsobem - je naprosto nezbytná.

Odkazy