1 / 49

Výtah z přednášek

Výtah z přednášek. prednes5io - UPS prednes11site - firewally prednes6sw - antiviry prednes15bezp_na_Int - viry prednes13bez - šifrování a ostatní způsoby ochrany. Sítě - ochrana dat. Ochrana dat v síti 1. proti výpadku proudu - UPS Uninterruptible Power Source

Download Presentation

Výtah z přednášek

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Výtah z přednášek • prednes5io - UPS • prednes11site - firewally • prednes6sw - antiviry • prednes15bezp_na_Int - viry • prednes13bez - šifrování a ostatní způsoby ochrany STJ

  2. Sítě - ochrana dat • Ochrana dat v síti • 1. proti výpadku proudu - UPS Uninterruptible Power Source • záložní bateriové zdroje technologie: • off-line, proud prochází skrze UPS do poč., k přepnutí na baterii dochází v době výpadku, = kritický moment • nedokáže komunikovat s poč. STJ

  3. Hardware - ostatní I/O zař. • line-interactive, dražší, ovládání na připojeném poč., možnost monitoringu • on-line technologie , nejdražší • dodává energii všem připojeným zařízením přímo z baterií, které jsou průběžně dobíjeny • náročnost na kvalitu baterií • cena desítky tisíc • důležitý údaj - doba, po kterou je schopen zásobovat zařízení energií (= 5 - 8 minut chodu na baterie) STJ

  4. Sítě - ochrana dat • 2. jméno, heslo, práva uživatelů nastavená správcem sítě • 3. zálohování disků • zrcadlení (mirroring, pole disků RAID 1), stejný řadič pro oba disky • zdvojení disků (duplexing), každý má svůj řadič • server duplexing, spojeny spec. kabelem STJ

  5. Sítě - ochrana dat • obrazy disků (drive image)kopie disku, uloží se do 1 souboru, přenese se na jiný disk (klonování disku)s použitím image uloženého na síť. disku lze náš disk obnovitimage se dá vytvořit nebo obnovit za běhu STJ

  6. Sítě - ochrana dat • 4. Firewally širší smysl: souhrn technických opatření k řízení komunikace mezi chráněnou sítí a vnějším světem užší smysl: sw balík instalovaný na předsunutém počítači W XP - automaticky je fw aktivní u každého vytáčeného spojení STJ

  7. Sítě - ochrana dat Funkce firewallu • řízení komunikace (selektivní povolení nebo zákaz) • záznam událostí (monitorování provozu v síti) záznam úspěšných i neúsp. pokusů o přístup, + relevantní detaily (i heslo) • překlad adres (NAT - Network Address Translation) - mapování množiny vnitřních adres na 1 adresu nebo množinu vnějších adres, vnitřní adresy skryty za jednou adresou STJ

  8. Sítě - ochrana dat další fce firewallu: • vytváření dočasných bezpečných (šifrovaných) komunikačních kanálů = VPN, virtuální spojení, tunelové spojení (Virtual Private Network) • regulace přístupu interních uživatelů do Internetu • vzdálený přístup oprávněných uživatelů STJ

  9. Sítě - ochrana dat • autentizace - ověřování totožnosti partnerů • obsluha síťových služeb - zároveň může fungovat jako nameserver, poštovní server, vyrovnávací server (cache), viruswall Implementace FW různými způsoby • někdy výkonné unixové servery • někdy se nazývají proxy servery, proxy brány • jsou i osobní firewally (Kerio Personal Fw) STJ

  10. Bezpečnost - viry, antiviry • viry, největší nebezpečí - změnily svůj charakter • dříve mazaly soubory, šířily se hlavně na disketách • dnes se snaží co nejvíce rozšířit, využívají poštu a bezpečnostní chyby v softwaru(např. vir Sobig.F, není destruktivní, nemění data, ale může zahltit servery svými kopiemi, velká rychlost šíření) • 1983 - Fred. Cohen na Pensylvánské univ. použil kód, který se dokázal sám zničit - označil jej termínem virus STJ

  11. Bezpečnost - viry, antiviry Dělení virů: • podle umístění v paměti (rezidentní - je obtížnější je vytvořit; nerezidentní - hist. nejstarší) • podle cíle napadení (bootovací - napadají zaváděcí sektor; souborové - spustitelné programy .COM, .EXE, .BAT, .OVL, .SYS, .BIN; multipartitní = kombinace obou - první byl Tequila, který byl navíc ještě polymorfní a stealth) • podle způsobu chování (stealth - odviruje pgm „v letu“, tj. při kontrole antivirem se nákaza programu neprojeví - Frodo; polymorfní - vytváří nové kopie, které se neshodují, retroviry - deaktivují antiviry) STJ

  12. Bezpečnost - viry, antiviry další škodlivé kódy: • červi (worms)- nevkládají se do jiných programů, nepotřebují hostitele ke své replikaci, ale jsou ve formě samostatných souborů, které se spustí hned při startu poč., pro šíření využívají služeb sítě, používají pakety • bomby - (logické, časované, SMS bombery) • dialer - přesměruje připojení uživatele na jiné číslo s vysokým tarifem • backdoors -(zadní vrátka) umožňují vzdálenou správu počítače bez vědomí majitele = trojský kůň STJ

  13. Bezpečnost - viry, antiviry • hoax - není virus, ale e-mailová poplašná zpráva, varuje před virem a vyzývá k šíření, řetězový e-mail • makroviry - rozšířily se spolu s kancelářskými balíky, napadají datové soubory, dokumenty (Wordu, Excelu, PowerP….) - Conceptjsou nezávislé na platformě a op. systému • trojské koně - program, který vykonává obvykle očekávanou činnost, ale navíc činnost, o které uživ. nemá ponětí (např. odesílá soubory, zašifruje data a za vydání dešifrovacího klíče vyžaduje výpalné, PWS - Password stealing trojan) STJ

  14. Bezpečnost - viry, antiviry • viry využívají bezpečnostní díry v programech, např. chyba v kontrole hesla při přístupu ke sdíleným prostředkům v síti (využívá červ I-Worm/Opas) • tyto díry se vyskytují v každém softwaru • je třeba instalovat tzv. záplaty antiviry - pomoc až po nákaze firewally - je-li správně nastaven, může zabránit infekci předem, odhalí pokusy o průnik • jednodušší FW bývá i součástí antivirového programu • různé programy této kategorie se těžko snášejí STJ

  15. Bezpečnost - viry, antiviry • firewall obsažený v operač. systému (W XP) je softwarový, chrání pouze poč. na kterém je spuštěn • nejvíce virů pro W • kdyby byl na 90 % poč. Linux, žádného hackera by nenapadlo psát viry pro Windows • problémy se týkají výrazně větší komunity STJ

  16. Software - Antiviry • 5. TAPV- Antiviry Funkce: • jedna část je rezidentní skener, pracuje na pozadí, hlídá práci se soubory • (skenování = odvozeno od programu Scan) • druhá nerezidentní, spustitelná kdykoliv • prohledávání pevných disků (nyní všechny soubory) • měl by prohledávat i komprimované s. • zabránění otevření infikovaného souboru • desinfekce souborů, případný přesun do karantény STJ

  17. Software - Antiviry • odeslání varování správci • kontrola přístupových cest (pošta, Internet) • skenování i odesílané pošty - zabraňuje aut. odesílání tzv. červů všem, které máme v adresáři • heuristická analýza pro hledání nových virů hledá v programech techniky používané viry často hlásí plané poplachy ale dokáže odhalit i viry skenováním nedetekovatelné STJ

  18. Software - Antiviry • nutná aktualizace antivirového prog. • dobrý antivir aktualizuje sám sebe, update databáze virů z Internetu automaticky • problém je šifrovaná komunikace (heslo a klíč) • detekce nových typů průniků - programy, které monitorují a odesílají stisky kláves, instalovaný spyware (odesílá různé informace o uživateli, ne vždy marketingového charakteru) STJ

  19. Software - Antiviry Antiviry • AVG (firma Grisoft Sw, Brno) • AVAST 32 (Alwil Software) • VirusScan (McAfee Associates) - omezená podpora komprim. souborů, neskenuje otevřené web. stránky • Norton Antivirus (Symantec)firma ho prodává i jako součást balíků - firewallový Internet Security • PC - cillin ( Trend Micro) STJ

  20. Software - Antiviry • Kaspersky Antivirus 5.0 Personal Eugen Kaspersky - ruský antivirový odborník antivir ochrání před běžnými souborovými viry, internet. červy prohledává 700 typů komprimovaných souborů, ale vyléčí jenom 4 nejznámější typy archivů má funkci, která pošle podezřelý soubor do laboratoře výrobce antiviru na analýzu makroviry v MS Office vyhledá pouze dražší rozšířená verze produktu STJ

  21. Software - Antiviry • NOD 32 2.0 slovenský antivir (fa Eset) • (Nemocnica na okraji disku) schopnost detekovat pomocí heuristiky moderní HLL viry (High Level Languages, viry napsané v moderních vývojových prostředích - Delphi, Visual Basic, C++)konkurence zatím nemá tuto detekcinezpomaluje tak počítač Antiviry používají buď desktopové řešení nebo řešení pro rozsáhlé sítě se stanicemi rozmístěnými po celém světě (F-Secure AntiVirus, nástupce F-Prot) • aktualizace z Internetu a správa jednotlivých modulů pak probíhá šifrovaně a s el. podpisem STJ

  22. Bezpečnost na Internetu Bezpečné chování na Internetu • antivirové programy nezbytností, 1x týdně aktualizace virové databáze • uživatel by neměl spouštět neznámé soubory .COM, EXE, BAT, SCR, JS, VBS, PIFani posílat tyto soubory partnerům • neotvírat soubory v příloze se dvěma příponami - např. NAME.BMP.EXE nebo NAME.TXT.VBS • instalace nových programů - měly by pocházet od důvěryhodného zdroje, příp. od autora STJ

  23. Bezpečnost na Internetu • červi v příloze pošty často používají názvy se sex. podtextem např. PAMELA_NUDE.VBS - neotevírat • červ jako spustitelný soubor může být maskován jinou ikonou, např. jako obrázek, text • nepřijímat přílohy od cizích v online chat systémech jako: ICQ, IRC, AOL Instant Messenger • hesla - používat různá (např. pro přístup k poč., k mailové schránce) a měnit tak 1x za měsíc STJ

  24. Bezpečnost na Internetu - hesla Heslo - nejdůlež. prvek ověřovacího mechanismu • autentizační údaje uživatele (jméno a heslo) • dříve se heslo přenášelo jako otevřený text, nebo jednoduše kódované • dnes se používají metody jednosměrného kódování v souborech, kde jsou uložena hesla, těžko lze zpětně získat heslo • je třeba speciální nástroj (jako John the Ripper, nejlepší na luštění Unix. hesel, používá hrubou sílu i slovníkový útok) STJ

  25. Bezpečnost na Internetu - hesla • programy, které dokáží heslo u souboru zjistit: StarSlayer, Password Recovery Suite, ARJ Password Solver, fast Zip Cracker problém nejsou ani PDF soubory • svými programy pro luštění hesel je známá ruská firma Elcomsoft • luštění hesel hrubou silouza 1 hodinu lze louskačem vyzkoušet min. 20000 variant, je těžší, když neznáme délku heslapočet možných kombinací závisí na délce heslamělo by mít více než 8 znaků a používat i číslice a speciální znaky (% , #) STJ

  26. Bezpečnost na Internetu - hesla • slovníkově orientované útokyprogram zkouší všechna slova ve slovníku (tak 250000 slov), zkouší i různé velikosti písmenčíslice a speciální znaky v heslech neodhalitelnéna Internetu je asi 120 slovníků • Unix - síťové systémy, na nichž běží spousta služeb (hesla ke službám, delší čas na prolomení, čeká se na odpovědi) • systémový soubor s hesly všech uživatelů je častým cílem útoků • dříve bylo vše v souboru etc/passwd, nyní se používá mechanismus stínových hesel STJ

  27. Bezpečnost na Internetu - hesla • v souboru passwd jsou informace o uživatelích,hesla jsou v souboru /etc/shadow/ten je přístupný pouze správci • Windows • soubor .pwl s hesly uživatelů u starších verzík získání hesel lze použít nástroj Cainzdarma, umí zobrazit heslo pod ****zobrazí uložená hesla, atd. • u nových verzí W (2000, XP) je to bezpečnějšíhesla v souboru sami zde existuje program na luštění STJ

  28. Bezpečnost na Internetu - spam • Spam - nevyžádaná komerční nabídka • tvoří třetinu z asi 30 miliard ročně rozesílaných zprávN na rozesílání jsou minimální • problém zejména kapacitní, zatěžuje přenosové a úschovné kapacity • obtížný boj - technologie těžko rozeznává spam od regulérního mailu • filtry = blokování nevyžádaného, černá listina (80% účinnost) • opak je bílá listina, propuštění předem domluveného, do seznamu se dají ti, jejichž mail systém propustí STJ

  29. Bezpečnost dat • Možnosti ochrany - realizována na několika úrovních 1. ochrana přístupu k počítači 2. ochrana přístupu k datům 3. ochrana počítačové sítě 4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity) STJ

  30. Bezpečnost dat - hw ochrana • 1. Ochrana přístupu k počítači • hardwarová ochrana - bývá dražší, ale bezpečnější většinou přídavné bezpečnostní karty, mají vlastní modul BIOS a mohou provádět opatření ještě před startem op. systémumohou modifikovat data na disku tak, že po vyjmutí karty z počítače jsou nepřístupná • další možnost = diskové šifrování za pomoci procesoru nebo dokonce kryptoprocesoru (příp. kryptoakcelerátoru) STJ

  31. Bezpečnost dat - pojmy • Ochrana přístupu k počítači • čistě softwarová řešení - někdy též ještě před startem op. systému nebo při přihlašování do systému • Pojmy: • kryptografie tvorba šifer • kryptoanalýza jejich luštění bez znalosti klíče • kryptologie obě vědy současně • šifrovací algoritmus - mat. funkce, která provádí šifrování a dešifrování dat • šifrování - proces znečitelnění dat STJ

  32. Bezpečnost dat • 2. Ochrana přístupu k datům • kryptografická ochrana souborů (adresářů) nebo disků= šifrování, neustálé prodlužování šifrovacího klíče (např. 2048 bitů) data budou nečitelná i v případě krádeže diskusilnější než nastavení přístupových práv • šifruje se též: • elektronická pošta • komunikace - tvorba virtuální privátní sítě (VPN) • komunikace webový server - uživatel pro zabezpečení např. elektronického obchodování. STJ

  33. Bezpečnost dat • 3. Ochrana počítačové sítě • nastavena přístupová práva k serverům, adresářům, souborům, službám • patří sem i firewally • základem je dokument o bezpečnostní politicenapřed se dělá: analýza aktiv - vymezuje, co chránit (data, přenosové kapacity, čas procesoru, diskový prostor)analýza hrozeb - tj. proti čemu chránitanalýza rizik - ohodnocení aktiv a rizik, tj. nalezení zranitelných míst, výpočet očekávaných ztrát, přehled použitelných opatření a jejich cen STJ

  34. Bezpečnost dat - metody šifrování • 4. Ochrana pravosti a celistvosti dat • metodydigitálního podpisuzaložené na asymetrickém šifrování digitální podpis viz dále Metody šifrování používané v současné době: asymetrické šifrování = technika šifrování, která pracuje se dvěma nestejnými klíči - jeden je privátní (utajený), druhý je tzv. „veřejný“ (dostupný každému)každý uživatel vlastní dvojici klíčů, oba jsou na sobě matematicky závislé = kryptografie veřejnými klíči STJ

  35. Bezpečnost dat - metody šifrování jedna možnost použití: • privátní klíč se použije k zašifrování a veřejný k odšifrování nikdo jiný než autor nemůže data zašifrovat (autentizace) druhý způsob použití asymetrického šifrování : • naopak veřejný klíč příjemce se použíje k zašifrování a jeho privátní k odšifrování (určeno pro jednoho příjemce) Např.: systém RSA pracuje s asym. klíči (Rivest, Shamir, Adleman) STJ

  36. Bezpečnost dat - metody šifrování nebo řada schémat digit. podpisu symetrické šifrování • pracuje se dvěma identickými klíčikaždý lze použít jak pro zašifrování tak i pro odšifrováníobě strany klíč sdílejí předem • klíč se nesmí dostat do nepovolaných rukoujen odesilatel a příjemce • použitelné v malé skupině uživatelů • Příklad systému: DES (Data Encryption Standard) STJ

  37. Bezpečnost dat - metody šifrování • kombinace sym. a asym. šifrování • asym. kryptografie se použije k výměně a distribuci symetrického klíče, který může být při každé relaci generován nový STJ

  38. Bezpečnost dat - obecné požadavky • Obecné požadavky, které by měly být splněny • identifikace a autentizace (často zaměňováno)je třeba vždy spolehlivě zjistit kdo je kdo - např. odesilatel zprávy (zjistí se z hlaviček přijaté zprávy), autor WWW stránky, žadatel o přístup k nějakému zdroji, atd. …..někdy ještě navíc autentizace = ověření, že údaje zjištěné při identifikaci jsou správné (neboť se dají zfalšovat), ověření identity: heslem předmětem (dotykové paměti, bezpeč. karty) STJ

  39. Bezpečnost dat - obecné požadavky na bázi kontroly fyziologie osoby (otisk prstu, analýza hlasu, charakteristiky sítnice, duhovky) = biometrické systémy ochrany (např. notebook IBM ThinkPad T42 má integrovanou čtečku otisku prstu) • autorizace - ověřuje se oprávnění k přístupu ke zdroji nebo k provedení určité aktivity (spuštění programu)nebo ověření platnosti předkládaného certifikátu autentizovaného subjektu STJ

  40. Bezpečnost - obecné požadavky • Obecné požadavky, které by měly být splněny • integrita dat = pravost a celistvost - obsah původních dat by neměl být pozměněn (může dojít i k chybám při přenosu) • důvěrnost dat - data přístupná jenom úzkému okruhu subjektů, nebo jenom 1 příjemci (dosaženo symetrickým šifrováním) • neodmítnutelnost - aby autor nemohl příslušný úkon později popřít (např. zaslání objednávky) STJ

  41. Bezpečnost - zajištění požadavků • Jak různé mechanismy zajišťují ( nebo nezajišťují) tyto požadavky? • symetrické šifrování - důvěrnost, ident., autentizace, neodmítnut., integrita + + + + + • asym. šifrování - a) je-li použit veřejný klíč k odšifrování, pak se k datům může dostat kdokoliv - požadavek na důvěrnost není takto naplněn důvěrnost, ident., autentizace, neodmítnut., integrita - + + + + STJ

  42. Bezpečnost - zajištění požadavků • zašifrováno je to privátním klíčem odesilatele, ostatní požadavky splněny STJ

  43. Bezpečnost - zajištění požadavků b) je-li použit veřejný klíč příjemce k zašifrování - může to provést kdokoliv, není zajištěna např. integrita určeno jen určitému příjemci důvěrnost, ident., autentizace, neodmítnut., integrita + + - - - STJ

  44. Bezpečnost - zajištění požadavků • jednorázová hesla - (autentizace, autorizace)oprávněný uživatel by měl obdržet generátor těchto heselnapř. styk klienta s bankou první použila Expandia banka jako tzv. elektronické klíče • předává-li klient bance příkaz, klíč mu vygeneruje číslo • nyní nemají klienti el. klíč ve fyzické podoběbanka generuje jednorázové heslo sama, pošle ho klientovi jinou cestou (na mobil) STJ

  45. Bezpečnost - zajištění požadavků • jednorázová hesla - pokračováníklient údaj (tzv. certifikační údaj) použije v požadavku na transakciúdaj nelze znovu použít • kreditní karty na jedno použití - obdoba - jednorázový údaj v roli čísla kreditní kartyautorizovat se bude pouze první požadavek na platbu z této karty • od banky dostane majitel generátor jednorázových údajů (program) STJ

  46. Bezpečnost - elektronický podpis • Co umožňuje: • - identifikaci partnera • ….zda je náš partner ten za koho se vydává • - ochranu obsahu zprávy • ….el.podpis chrání obsah zprávy díky šifrovacím postupům • - nepopíratelnost zprávy • ….el.podpis prokazuje, kdy a kým byla zásilka podepsána a odeslána STJ

  47. Bezpečnost - elektronický podpis • Na straně podepisující se osoby se z napsané zprávy pomocí vzorkovací (hash) funkce vytvoří otisk zprávy • ten se šifruje pomocí zvoleného asymetrického algoritmu soukromým klíčem odesílatele • na straně příjemce zprávy se k otevřenému textu vypočte hash • pokud jsou hodnoty hash shodné, máme jistotu, že zpráva nebyla cestou změněna a že ji podepsala osoba, které přísluší data pro vytváření el. podpisu STJ

  48. Bezpečnost - elektronický podpis • Digitální podpis - určení zdroje zprávy • - privátní klíč šifruje pouze tzv. otisk dat (hash) • reprezentativní vzorek, který má určitou pevnou velikost např. 128 bitů • - přiloží se k původní zprávě v roli el. Podpisu (signatura) navíc se přiloží i veřejný klíč autora • klíče vydává certifikační autorita • samotný el.podpis nezaručuje důvěrnost zprávy (pokud není její obsah zašifrován veřejným klíčem příjemce, kterému je určena, ten jí odšifruje pomocí svého privátního klíče) - nejsou to primárně systémy pro utajení obsahu STJ

  49. Bezpečnost - elektronický podpis • Certifikát - kombinace kombinace jména a veřejného klíče podepsaná další důvěryhodnou stranou, zahrnuje i datum vypršení klíče, jméno CA, která certifikát vydala • zaručený certifikát (pro komunikaci se státní správou): 1.CA. Pošta, eIdentity • seznam neplatných certifikátů • “nezaručený” certifikát - celá řada firem STJ

More Related