2. PragoData Consulting
Jsme certifikovaným Moodle partnerem
Jak Vám můžeme pomoci s Moodle?
• Analytické, konzultační služby, návrh řešení, řízení projektu
• Grafika, Moodle šablona, responsivní design
• Upgrade či sjednocení školního Moodle
• Customizace a vývoj rozšíření na míru
• Systémová integrace
• Školení akreditovaná MŠMT, tvorba kurzu na míru
• Hosting, provoz, uživatelská podpora, Moodle outsourcing
23. 5. 2016, EUNIS 2016 2PragoData Consulting, s.r.o.
www.moodlepartner.cz
3. Bezpečnost v LMS Moodle
LMS Moodle
• Je jedním z nejrozšířenějších LMS systémů na světě
• Uplatnění napříč organizacemi různého typu
• Obsahuje cenná aktiva
• Uživatelské údaje
• Průběh a výsledky studia, známky, odznaky
• Kurzy, jejichž obsah má mnohdy vysokou hodnotu
• Banka testových úloh
Bezpečnostní hrozby, snaha o zcizení aktiv
Potřeba začlenit LMS Moodle do ISMS
23. 5. 2016, EUNIS 2016 3PragoData Consulting, s.r.o.
www.moodlepartner.cz
4. Bezpečnost v LMS Moodle
Systém řízení bezpečnosti informací (ISMS)
• Stěžejní pro aplikaci bezpečnostní politiky v
organizaci
• Identifikace aktiv, která mají být chráněna,
• Identifikace hrozeb a zranitelností,
• Ohodnocení míry rizika,
• Analýza dopadů
• Návrh a realizace opatření
23. 5. 2016, EUNIS 2016 4PragoData Consulting, s.r.o.
www.moodlepartner.cz
5. Bezpečnost v LMS Moodle
Systém řízení bezpečnosti informací (ISMS)
• Legislativní a normativní rámec
• standard ISO/IEC 27000 (tam, kde je to účelné),
• standardy ČSN ISO/IEC 15288:2002, ČSN ISO/IEC
12207:1997, ČSN ISO/IEC 15408:2002–1.3
• zákon č. 365/2000 Sb., o ISVS,
• zákon č. 101/2000 Sb., o ochraně osobních údajů,
• zákon č. 106/1999 Sb., o svobodném přístupu k
informacím,
• zákona č. 148/1998 Sb., o ochraně utajovaných
skutečností.
23. 5. 2016, EUNIS 2016 5PragoData Consulting, s.r.o.
6. Bezpečnost v LMS Moodle
Roviny informační bezpečnosti LMS Moodle
• Bezpečnost IS je nutné chápat komplexně
• Objektová bezpečnost
• Bezpečnost provozní infrastruktury
• Zabezpečení LMS Moodle
23. 5. 2016, EUNIS 2016 6PragoData Consulting, s.r.o.
www.moodlepartner.cz
7. Bezpečnost v LMS Moodle
Objektová bezpečnost
• Nezávislost Moodle na provozní infrastruktuře
• Řešení zabezpečení objektů
• Umístění datacentra mimo zátopovou oblast
• Přístupový systémem, autorizace osob
• Protipožární a zhášecí systém
• Záložní zdroje napájení, redundance
• Bezprašnost, stálá teplota a nulová míra vlhkosti
• Chladicí systém, záložní chlazení.
23. 5. 2016, EUNIS 2016 7PragoData Consulting, s.r.o.
www.moodlepartner.cz
8. Bezpečnost v LMS Moodle
Bezpečnost provozní infrastruktury
• LMS Moodle je multiplatformní systém
• Výhody virtualizace nejen z pohledu bezpečnosti
• Zálohování
• Většinou nekritický systém
• Inkrementální zálohy/úplné zálohy
• DB, Moodledata, Zdrojové kódy
• Ukládání záloh
23. 5. 2016, EUNIS 2016 8PragoData Consulting, s.r.o.
www.moodlepartner.cz
9. Bezpečnost v LMS Moodle
Bezpečnost provozní infrastruktury
• Nastavení oprávnění k souborům a adresářům
• Adresář moodledata nesmí být dostupný přes web
• Web server nesmí mít právo zápisu do adresáře se
zdrojovými kódy
• Databáze dostupná pouze z localhost
• Na serveru běží pouze potřebné služby
• Aktualizace, záplaty, patches
• Přístup k vloženým souborům pouze skrze API
23. 5. 2016, EUNIS 2016 9PragoData Consulting, s.r.o.
www.moodlepartner.cz
10. Bezpečnost v LMS Moodle
Zabezpečení LMS Moodle
• Aktuálnost systému
• Životní cyklus a období podpory verzí
• Každého ½ roku nová verze, podpora 12 měs. + 6 měs.
• Šifrování komunikace
• Tenký klient – server => HTTPS
• Bezpečnost hesel
• Jednocestná funkce s využitím tzv. soli (64 znaků)
• Nastavení pravidel pro sílu hesla
• Eskalace snah o „hádání“ hesel
23. 5. 2016, EUNIS 2016 10PragoData Consulting, s.r.o.
www.moodlepartner.cz
11. Bezpečnost v LMS Moodle
Zabezpečení LMS Moodle
• Autentizační metody
• LDAP, MS AD, Shibboleth, RADIUS, CAS
• pluginy pro vícefaktorovou autentizaci
• SSO
• Např. nad AD - NTLM, Kerberos či Shibboleth
• Případně vývoj na míru
• Ochrana e-mailových adres
• Ochrana formulářů – Captcha
• V GUI Moodle sestava „Přehled zabezpečení“
23. 5. 2016, EUNIS 2016 11PragoData Consulting, s.r.o.
www.moodlepartner.cz
12. Bezpečnost v LMS Moodle
Monitoring
• Monitoring přes IPS / IDS
• Monitoring serverů (Zabbix, Cacti, Nagios)
• Monitoring aktivit uživatelů v LMS Moodle
• Logování změn nastavení Moodle
• Detailní log jednotlivých přístupů k Moodle
• Logy lze ukládat do jiného úložiště
23. 5. 2016, EUNIS 2016 12PragoData Consulting, s.r.o.
www.moodlepartner.cz
13. Vlastní nadstavbové moduly Moodle
Vzdělávají se nejen studenti, ale také zaměstnanci
• Integrace se studijními a personálními IS
• Personifikovaná nástěnka
• Podpora kariérních plánů a vzdělávacích programů
• Katalog kurzů a běhy kurzů
• Podpora periodických školení
• Závislosti mezi kurzy a mezi běhy kurzů
• Cílové skupiny
• Odznaky (Open Badges)
• Responsive design a mobilní grafická šablona
13PragoData Consulting, s.r.o.23. 5. 2016, EUNIS 2016
www.moodlepartner.cz
24. Proč Moodle s PDC?
• Výhody plynoucí z certifikovaného partnerství
• Silná a stabilní společnost se zkušeným týmem
• Zkušenosti s vývojem a implementací složitých řešení
(Oriflame – více než 500 tisíc uživatelů, VW SK, ČŠI,
Kraj Vysočina …)
• Závazek udržitelnosti řešení
• Zkušenosti s integrací s mnoha dalšími systémy
• Synergické využití zkušeností s dalšími aktivitami PDC
– konzultační služby a webové aplikace, webové IS,
webová grafika a 3D animace
2423. 5. 2016, EUNIS 2016 PragoData Consulting, s.r.o.
26. Díky za pozornost
Ing. Libor Soška
libor.soska@pragodata.cz
www.moodlemoot.cz
www.moodlepartner.cz
www.pragodata.cz
26
Notas del editor
Díky rozšířenosti a opensource vyšší šance na odhalení bezpečnostních problémů
nachází uplatnění v mnoha typech organizací počínaje
veřejnou správou (ministerstva, kraje, obce, jimi zřizované nebo zakládané organizace),
školství (VŠ, SŠ a ZŠ),
komerční firmy působící v nejrůznějších oborech a sektorech trhu.
ISMS - systém řízení bezpečnosti informací
LMS Moodle tak, jako každý jiný informační systém ve společnosti, obsahuje informace, data a další cenná aktiva.
Jeho začlenění do systému řízení bezpečnosti informací (ISMS), by tedy mělo být samozřejmostí.
V závislosti na typu organizace je při zavádění a aplikaci ISMS nutné vycházet z platného legislativního a normativního rámce.
O informační bezpečností LMS Moodle lze hovořit ve třech základních rovinách, přičemž všechny tyto roviny musí být součástí bezpečnostní politiky organizace, jsou jimi:
Objektová bezpečnost řeší ochranu a oprávnění k přístupu k objektu, k HW infrastruktuře – Zcizení železa jako takového
Provoz moodle jak na fyzickém železe, tak ve virtualizované infrastruktuře, tak cloudové prostředí.
Jak „In-house“ datové centra, tak specializované „serverhousingy“.
MS Windows i Linux – nutné držet v aktualizovaném stavu
DB MS SQL, MySQL, Postgre, mariaDB
virtualizace serverů - poskytuje vyšší efektivitu využití HW při současném snížení nákladů
Možnost Clusteringu
Snadné zálohování a snímkování
Provoz LMS Moodle na virtuálním dedikovaném serveru, na kterém neběží žádné jiné webové prezentace či jiné projekty, eliminuje rizika sdíleného hostingu s agregací.
zálohování jednou denně inkrementální záloha a jednou týdně úplná image celého virtuálního serveru
Ukládání záloh – jiný server, NAS, geograficky oddělená lokalita
Soubory vložené do Moodle nejsou dostupné přímo, díky tomu nikdy neexistuje URL např. k nějakému docx dokumentu, ale vždy je soubor vrácen skrze Moodle až po ověření, zda daný uživatel k souborů má mít přístup – tedy zda je autentizován a autorizován
LMS Moodle je léty prověřen silnou komunitou a dlouhodobým vývojem, stabilně testován a laděn, čímž jsou bezpečnostní rizika minimalizována. Vývojáři LMS Moodle kladou velký důraz na bezpečnost kódu. Nejen, že publikují známé bezpečnostní chyby, ale i jejich řešení a opravné balíčky.
SSL by mělo být v dnešní době standardem, veškerou komunikaci mezi klientem a aplikačním serverem Moodle lze šifrovat, zamezení Phishingu a především SSL chrání proti odposlechnutí komunikace – tedy útočník nemá možnost odchytit např. jméno/heslo uživatele, který se právě přihlašuje.
Amatéři útočí na systémy, profesionálové útočí na lidi.
Solení hesel – všechna hesla mají stejnou délku 64 znaků, dvě stejná hesla=různé hashe
Lze nastavit počet pokusů, po kterých odejde SuperAdminovi info, že se něco děje
ochrana e-mailových adres pomocí JavaScriptu znemožňujícím vyčíst emailové adresy ve zdrojovém kódu stránky.
Při SSO řešení není potřeba do Moodle zadávat jméno/heslo
Sestava „Přehled zabezpečení“ – zobrazuje základní info typu, zda je povolen výpis PHP chyb, zapisovatelný soubor config.php, registrace bez ověření, potvrzení změny e-mailové adresy, … Lze to brát jako kontrola nejzákladnějších nastavení
Intrusion Detection/Prevention Systém
Lze dohledat, kdo a jakou změnu v nastavení udělal
Z logu je vidět, kdo, kdy co + info typu IP adresa
V rámci GUI Moodle se lze dostat k logů v rámci Sestav a to konkrétně
– Protokoly – vidět jednotlivé „akce“ uživatele
Změny nastavení
Aktuální protokoly – onlinmožné e zobrazovaní přístupů
Logy se ukládají do db – je zvolit jinou db, než do které je Moodle nainstalován