Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Školení 5.1.2007 Lektor: Pavel Vacikar.

Podobné prezentace


Prezentace na téma: "Školení 5.1.2007 Lektor: Pavel Vacikar."— Transkript prezentace:

1 Školení Lektor: Pavel Vacikar

2 Co nás v dnešním kurzu čeká
selhání hardware, rizika ztráty dat, zálohování a archivace intranet a Internet a jejich protokoly přenos informací a souborů v síti Internet a jeho služby co Internet poskytuje a jak se k informacím dostat bezpečnost viry

3 Selhání hardware, rizika ztráty dat, zálohování a archivace
možnosti eliminace výpadku hardware (RAID, redundatní zdroj, cluster) spíše než o samotný hardware nám jde o data – ta jsou to nejcennější co máme důvody poškození či ztráty dat archivace vs. zálohování média na zálohování – disketa, ZIP, CD, DVD, pevný disk, externí disk, pásková jednotka, autoloadery porovnání ceny zálohování a archivace z hlediska množství dat

4 Možnosti eliminace selhání hardware
žádný, byť sebedražší hardware nemůže být 100% odolný vůči chybám existují možnosti eliminace selhání hardware a.) redundance některých komponent (CPU, disku, paměti) b.) záložní zdroje a klimatizované místnosti c.) cluster – jedná se de facto o redundanci počítače Bohužel ani jeden bod neeliminuje ztrátu dat na přijatelné minimum! Je zapotřebí zvolit jiný postup.

5 Zálohování a důležitost dat
důsledky ztráty dat v některých případech je jejich obnova nemožná či velmi nákladná jedinou účinnou prevencí je zálohování, resp. archivace dat inverzní termín k zálohování dat (backup) je obnova dat (restore)

6 Důvody poškození či ztráty dat
lidská chyba – člověk nechtěně či úmyslně vymaže data, ke kterým má přístup virus – může smazat či poškodit data, event. trojský kůň či backdoor kriminální čin – PC či server Vám někdo i s daty odnese, hack živelná pohroma – povodeň, blesk, požár, výbuch, pád letadla, zemětřesení, ale i prasklé topení, rušivé jevy v napájecí síti poruchy hardware – nejčastěji porucha pevného disku či diskového pole

7 Archivace vs. zálohování
Zálohováním rozumíme vytváření bezpečnostní kopie dat nebo celého operačního systému tak, abychom mohli v případě havárie některé součásti počítače, obnovit stav, který existoval těsně před vznikem poruchy. Archivace představuje především shromažďování informací pro případné pozdější použití. Pro práci s archivem pak bude nejdůležitější jeho uspořádání, dlouhodobá spolehlivost a vysoká trvanlivost.

8 Média vhodná na zálohování či archivaci v pořadí dle jejich použitelnosti
magnetická média – diskety, ZIP, JAZ optická média – CD či DVD disky (CD-R, CD-RW, DVD-R, DVD+RW, DVD-RW, DVD-RAM) magneto - optické disky magnetické pásky – DDS/DAT, LTO, AIT, DLT, SLR, vícepáskové roboty, jukeboxy storage area network (SAN řešení), NAS

9 Porovnání ceny zálohování z hlediska množství dat

10 Archivace Velmi populární a levné optické technologie CD a DVD by mohly dosahovat také trvanlivosti v řádech desítek let, ale pouze v lisované podobě. Zapisovatelná a zejména přepisovatelná média zdaleka nepředstavují vhodný prostředek na dlouhodobou úschovu informací. Důvodem je především velká snaha výrobců dosahovat velkých výrobních objemů a snižování ceny v konkurenčním prostředí, ovšem na úkor trvanlivosti a odolnosti záznamu !!!

11 Kvalitní zálohování kvalitní zálohování by mělo být optimální kombinací, hardwaru, softwaru, spolehlivých médií a zálohovací strategie. Pokud není kterýkoli z těchto bodů kvalitně vyřešen, nemáte bezpečné zálohování! celosvětové průzkumy prokázaly, že 93 % firem, které utrpěly závažnou ztrátu dat, opustilo podnikání během 5 let. Alarmující je rovněž zjištění, že 30 % uživatelů IT spotřebuje v roce čas ekvivalentní jednomu týdnu na rekonstrukci ztracených dat.

12 Metodologie zálohování – II.
automatizace zálohování, komprimace záloh kontrola provedených záloh, technického stavu médií, verifikace (kontrola) dat dokumentace činností zálohování informování správce o výsledku práce zálohování zálohy by měly být umístěny na více médiích umístění záloh závisí na důležitosti dat – stejný disk, jiný oddíl, na jiném počítači v téže místnosti, na jiném počítači v jiné budově, na jiném počítači v jiném městě

13 Komprimace záloh pomocí komprimace (komprese) dokážeme na stejné zálohovací médium umístit více dat samozřejmě záleží na povaze dat (databáze vs. MP3 soubory) komprese hardwarová a softwarová kalkuluje se s 50% kompresí dat možnost použít i klasické komprimační programy (viz dále) kompresi můžeme doplnit i o šifrování dat

14 Běžné programy pro zálohování + ukázky
vhodné jsou programy umožňující ovládání z příkazové řádky (WinRAR, WinZIP i jejich free ekvivalenty 7ZIP, atp.) program ntbackup – součást OS Windows jsou k dispozici i freewarové nástroje jako např. Backup Me existují i free sofistikované programy na zálohování, např. CobianBackup – popis v poslední řadě existuje řada komerčních programů pro zálohování (Data Protection Manager, Handy Backup)

15

16 Seznam adresářů pro zálohování

17 intranet a Internet a jejich protokoly
historie Internetu význam termínů intranet, Internet a internet charakteristické rysy internetu architektura TCP/IP síťové modely komunikační protokoly

18 Historie Internetu 1969 DoD=>ARPA (Advanced Research Project Agency) => ARPANET ... experimentální síť s přepojováním paketů 1972 ARPANET demo ... cca 20 routerů a 50 počítačů, protokol NCP vývoj základní architektury TCP/IP 1980 experimentální provoz TCP/IP pod BSD UNIX 1983 zavedení TCP/IP jako standardu sítě ARPANET, rozdělení ARPANETU, přechod do komerční sféry 1987 vzniká pojem „Internet“ počítačů počítačů, komercionalizace Internetu počítačů počítačů počítačů počítačů

19 Termíny internet, Internet a intranet
Název pochází z anglického slova network (síť), podle něhož tradičně názvy amerických počítačových sítí končily „-net“, a mezinárodní (původně latinské) předpony inter- (mezi), vyjadřující, že Internet propojil Internet je celosvětová počítačová „supersíť“, která spojuje jednotlivé menší sítě, pomocí sady protokolů IP. internet je termín pro vzájemně propojené sítě u nás je trochu zmatek, v anglosaských zemích píší většinou „I“ v poslední době přešla většina médií na malé počáteční „i“

20 Charakteristické rysy Internetu
pluralita globální charakter digitální propast jazyková převaha angličtiny

21 Architektura rodiny protokolů TCP/IP
komunikační protokol je množina pravidel, které určují syntaxi a význam jednotlivých zpráv při komunikaci architektura TCP/IP je definována sadou protokolů pro komunikaci v počítačové síti síťová komunikace je rozdělena do tzv. vrstev. Výměna informací mezi vrstvami je přesně definována. Každá vrstva využívá služeb vrstvy nižší a poskytuje své služby vrstvě vyšší RFC (viz

22 Čtyři vrstvy síťového modelu TCP/IP vs. RM ISO/OSI

23 Popis vrstev síťového modelu
vrstva síťového rozhraní – umožňuje přístup k fyzickému přenosovému médiu. Je specifická pro každou síť síťová vrstva – vrstva zajišťuje vzájemnou adresaci, směrování a předávání datagramů (protokol IP) transportní vrstva – poskytuje spojované (protokol TCP) či nespojované transportní (protokol UDP) služby aplikační vrstva – vrstva aplikací, jsou to programy, které využívají přenosu dat po síti (telnet, FTP, HTTP) Aplikační protokoly používají vždy jednu ze dvou základních služeb transportní vrstvy: TCP nebo UDP, případně obě dvě (např. DNS). Pro rozlišení aplikačních protokolů se používají tzv. porty, což jsou domluvená číselná označení aplikací. Každé síťové spojení aplikace je jednoznačně určeno číslem portu a transportním protokolem (a samozřejmě adresou počítače).

24 Základní protokoly – IP protokol
IP protokol – základní protokol síťové vrstvy a celého Internetu. Provádí vysílání datagramů na základě síťvých IP adres obsažených v jejich záhlaví. Poskytuje vyšším vrstvám síťovou službu bez spojení. Každý datagram je samostatná datová jednotka, která obsahuje všechny potřebné údaje o adresátovi i odesilateli a pořadovém čísle datagramu ve zprávě. Datagramy putují sítí nezávisle na sobě a pořadí jejich doručení nemusí odpovídat pořadí ve zprávě. Doručení datagramu není zaručeno, spolehlivost musí zajistit vyšší vrstvy (TCP, aplikace). V současné době je převážně používán protokol IP verze 4. Je připravena nová verze 6, která řeší nedostatek adres v IPv4, bezpečnostní problémy a vylepšuje další vlastnosti protokolu IP.

25 Základní protokoly – ARP protokol
Address Resolution Protocol se používá k nalezení fyzické adresy MAC podle známé IP adresy. Protokol v případě potřeby vyšle datagram s informací o hledané IP adrese a adresuje ho všem stanicím v síti. Uzel s hledanou adresou reaguje odpovědí s vyplněnou svou MAC adresou. Pokud hledaný uzel není ve stejném segmentu, odpoví svou adresou příslušný směrovač. Příbuzný protokol RARP (Reverse Address resolution Protocol) má za úkol najít IP adresu na základě fyzické adresy. + příklad

26 Základní protokoly – ICMP protokol
Internet Control Message Protocol slouží k přenosu řídících hlášení, které se týkají chybových stavů a zvláštních okolností při přenosu. Používá se např. v programu ping pro testování dostupnosti počítače, nebo programem traceroute pro sledování cesty paketů k jinému uzlu.

27 Základní protokoly – TCP protokol
Transmission Control Protocol vytváří virtuální okruh mezi koncovými aplikacemi, tedy spolehlivý přenos dat. Vlastnosti protokolu: Spolehlivá transportní služba, doručí adresátovi všechna data bez ztráty a ve správném pořadí. Služba se spojením, má fáze navázání spojení, přenos dat a ukončení spojení. Transparentní přenos libovolných dat. Plně duplexní spojení, současný obousměrný přenos dat. Rozlišování aplikací pomocí portů.

28 Základní protokoly – UDP protokol
User Datagram Protocol poskytuje nespolehlivou transportní službu pro takové aplikace, které nepotřebují spolehlivost, jakou má protokol TCP. Nemá fázi navazování a ukončení spojení a už první segment UDP obsahuje aplikační data. UDP je používán aplikacemi jako je SNMP, DNS a BOOTP. Protokol používá podobně jako TCP čísla portů pro identifikaci aplikačních protokolů.

29 Aplikační protokoly (služby)
DHCP - Dynamické přidělování adres DNS - Systém doménových jmen FTP - Přenos souborů po síti HTTP - Přenos hypertextových dokumentů (WWW) WEBDAV - rozšíření HTTP o práci ze soubory IMAP (Internet Message Access Protocol) umožňuje manipulovat s jednotlivými zprávami na poštovním serveru. NNTP (News Network Transfer Protocol) umožňuje číst a umísťovat do sítě zprávy typu news. NFS (Network File System) je síťový systém souborů, který umožňuje transparentní sdílení vzdálených souborů jakoby byly lokální. NTP - synchronizace času (šíření přesného času) POP (Post Office Protocol) je protokol pro získání pošty z poštovního serveru. SMTP - odesílání elektronické pošty SNMP Simple Network Management Protokol je určen pro správu síťových uzlů. Telnet - Protokol virtuálního terminálu. SSH - bezpečný shell X11 - zobrazování oken grafických programů v *nixech XMPP - rozšiřitelný protokol pro zasílání zpráv a sledování přítomnosti (protokol Jabber)

30 Příklady použití protokolů
HTTP, HTTPS telnet, SSH, FTP nmap POP3, SMTP, IMAP NTP VNC DNS Aplikace: aplikace fport ukázka odchytávání hesel pomocí nezabezpečených protokolů ukázka analyzátoru síťového provozu nagios – ukázka ukázka správy wifi hotspotu

31 Příklad komunikace s POP3 serverem pomocí příkazů
telnet pop3.pf.jcu.cz 110 PASS xxxx USER pavac LIST RETR 1 NOOP QUIT

32 Přenos informací a souborů v síti, sdílení
chceme pracovat se souborem, který se nachází na jiném počítači v síti nechceme pracovat jako terminál a zde zpracovávat „místní“ soubor vícenásobný přístup – o náš soubor by mohlo mít zájem více uživatelů naráz, což může být velký problém Metody: zamknutí celého souboru, zamykání části souboru až po velmi propracované metody potřebujeme-li na jednom počítači zpracovávat obsah souboru, který se nachází na jiném počítači, musí dojít k přenosu souboru či jeho části tam, kde má být zpracován download vs. upload

33 Transparentní a netransparentní přístup
netransparentní přístup – uživatel si soubor stáhne, modifikuje a odešle na původní místo – musí vědět, kde soubor leží transparentní přístup se snaží vytvořit dojem, že není rozdíl mezi lokálními a vzdálenými soubory uživatel ani aplikace si nemusí uvědomovat existenci počítačové sítě Plně transparentní přístup je mnohem složitější než netransparentní přístup.

34 Problémy při přenášení souborů
přístup k souborům může být realizován i z prostředí různých operačních systémů (dále jen OS) jméno a přípony, např. OS na bázi Linuxu jsou case sensitive, OS Windows nikoli, odtud mohou pramenit problémy např. při uploadu na WWW server CR LF vs. LF rychlost a kapacita linky – přenášení změn na pomalých linkách

35 Ukázka přenášení souborů v síti
síťové disky, zabezpečení SCP NFS protokol FTP (přenášení dat na webové servery) MSIE (příloha z pošty), ukázka z URL: utilita WGET (ukázka stažení celého webu a prohlížení offline), HTTPTracker Lze přenášet nejen data z PC na PC, ale z i na mobilní zařízení (handhand, mobilní telefon, atp.)

36 Přenos informací a souborů v síti – dotaz
je přenášení hesla pomocí protokolu HTTP bezpečné?

37 Co Internet poskytuje a jaké jsou jeho služby
v úvodu této kapitoly si neodpustím filozofickou otázku: „Proč a pro koho“? Každý jste se s internetem setkali, takže si odpovíte sami  Odpovědět člověku, který se s Internetem doposud nesetkal, může být velmi obtížné. kladné versus záporné stránky internetu

38 Proč? procházení WWW stránek na Internetu
vyhledávání informací z nejrůznějších oborů využívání elektronické pošty vytváření a vystavování své WWW stránky hraní on-line her komunikační programy v reálném čase (ICQ, Jabber, ...) elektronické nakupování elektronické konference a diskusní skupiny používání moderní metody vzdělávání (e-learning) spolupráce na různých projektech stahování programů, her, hudby, filmů, melodií a nejrůznější jiná data faxování, odesílání SMS komunikace s úřady, bankami ...

39 Pro koho? ideálně pro každého, v praxi záleží na potřebě cena za hardware, připojení ani provozní náklady již dnes není tak vysoké – varianta internetová kavárna vysokoškolský student, právník, novinář se bez tohoto komunikačního média téměř neobejde internet není životní nutnost! Dovedete si představit život bez Internetu? Zkuste najít na webu, kdy se odehrál pokus o atentát na papeže Jana Pavla II.

40 Klady a přínosy Internetu
rychlost zjednodušení kontaktů přístup k informacím široká nabídka zdrojů možnost prezentovat své názory smazání vzdálenostních a časových překážek možnost prezentovat svoje názory velká příležitost pro nápadité

41 Negativa Internetu reklamní a nabídkové materiály, SPAM
nevhodné stránky pro děti prostředek k výměně informací pro teroristické a kriminální živly (Echolon) „počítačová havěť“ – spyware, viry, atd. zloděj času, závislost

42 Hledání na Internetu Internet poskytuje přístup k neomezenému množství informací a stále jich přibývá na Internetu lze najít vše, ale dá problém to najít, v řadě případů je to velmi zdlouhavá práce co jste jednou našli, příště najít nemusíte – stránky mohou být přesunuty, zrušeny či archivovány

43 Kde vyhledávat v doméně CZ
dnes jsou nejpoužívanější tzv. portály = vyhledávací servery, některé poskytují zároveň funkci katalogů Příklady českých portálů: a spoustu dalších ...

44 Kde vyhledávat v zahraničních doménách
Příklady zahraničních portálů: a spoustu dalších ... Na zahraničních portálech se setkáte s větším množstvím reklamy než na portálech českých.

45 Pokročilé vyhledávání
hledaný výraz by měl být pokud možno co nejpřesnější všechny vyhledávací servery umožňují hledat podle několika zadaných termínů, můžeme provádět operace pomocí logických operátorů AND či OR, event. NOT (negace) použití OR zvyšuje počet vybraných možností, AND naopak různé vyhledávače poskytnou různé výsledky uložení stránky(ek) pro prohlížení offline

46 Dotaz Který vyhledávač nejčastěji používáte a myslíte si, že poskytuje nejlepší výsledky vyhledávání?

47 Viry, resp. nežádoucí počítačová infiltrace (neoprávněný vstup do počítačového systému)
= škodlivý software, také malware Termín virus není správný pro všechny druhy počítačové havěti, ale hojně se používá historie virů, popis jejich škodlivosti následky – ztráta dat, finanční i lidské zdroje pro obnovu do původního stavu, přerušení práce, zpomalení počítače, šíření SPAMu, vyskakující okna ...

48 Rozdělení virů název virus pochází od biologických originálů viry
trojské koně (password stealing, destruktivní, downloader, proxy trojani, backdoors) červi (worms) spyware adware hoax phising dialery Časté jsou i kombinace těchto možností.

49 Viry virus je schopen sebe-replikace (množení sebe sama) za přítomnosti vykonavatelného hostitele hostitelem mohou být například spustitelné soubory, systémové oblasti disku, dokumenty Microsoft Office během spuštění (vykonání) hostitele se virus obvykle snaží zajistit sebe-replikaci připojením k dalším vhodným hostitelům Příklad: OneHalf, Yankee Doodle, CIH (Černobyl) ...

50 Trojské koně nejsou schopné sebe-replikace ani infekce souborů, nejsou připojené k žádnému hostiteli vystupují pod spustitelným souborem EXE, který obsahuje pouze tělo trojského koně formou „dezinfekce“ je výmaz souboru password stealing trojani destruktivní trojani dalším druhem trojských koní jsou tzv. backdoory Příklad: BankAsh-A

51 Backdoory = zadní vrátka, také zadní útok v košíkové jsou speciální skupinou trojských koní jde o aplikace klient-server, jsou podobné produktům jako pcAnyWhere, Remote Administrator, apod. slouží pro vzdálenou správu počítače klientskou část aplikace vlastní útočník, serverovou napadenýpočítač komunikace probíhá via TCP/IP => útočník může být tisíce kilometrů daleko komunikační kanál na daném portu

52 Červi (worms) pracují na nižší úrovni než klasické viry šíří se prostřednictvím síťových paketů tyto pakety jsou jsou směrovány od úspěšně infikovaného systému na další systémy v Internetu pokud takový paket dorazí k systému se specifickou bezpečností dírou, dochází k infekci a následné produkci „červích“ paketů šíření červa je postaveno na zneužívání konkrétních bezpečnostních děr červy nelze detekovat klasickou formou antivirového software Příklady: SQLSlammer, Lovsan, Blaster, Sasser, ....

53 Speciální formy infiltrace
spyware adware hoax phising dialer rootkit

54 tato informace může být zneužita
Spyware program, který odesílá data z počítače bez vědomí uživatele, obvykle pro cílenou reklamu tato informace může být zneužita spyware se úspěšně šíří společně s řadou sharewarových programů

55 Adware je program, který znepříjemňuje práci s počítačem reklamou
typickým příkladem jsou vyskakující popup okna během surfování společně s vnucováním stránek adware může být součástí některých programů, například DivX Ačkoliv nás reklama doprovází během celé činnosti s daným programem, odměnou je větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné. může využívat výsledků práce spyware

56 Hoax = mystifikace, falešná zpráva, kanadský žertík
je poplašná zpráva varující před něčím neexistujícím (např. počítačovým virem, úmrtí člověka, apod.) přehled hoaxů na šíření je závislé na uživatelích, kteří obdrží tuto zprávu em Pozor na mobil!!! Ministr vnitra upozorňuje všechny majitele mobilních telefonů: velmi často se stává, že majitel mobilu najde na displayi vzkaz, aby zavolal na číslo: URČITĚ na toto číslo nevolejte! Vaše faktury porostou do závratných výšek. Tato informace pochází z policejních zdrojů. "Podvratné živly" mají systém, kterým mohou zneužívat Vaše mobily. Zavolají Vám na Váš GSM a představují se jako zaměstnanci Vašeho mobilního operátora. Dále Vás požádají uvést kód, který začíná na 09* a zároveň Vám vysvětlí, že je to ověřování spolehlivé funkčnosti Vašeho mobilu. URČITĚ JIM NEDÁVEJTE TENTO KÓD a okamžitě zrušte hovor. Vlastní zařízení, které za pomocí tohoto kódu přečte Vaši SIM kartu a už jim nic nebrání v tom, aby vyrobili novou identickou kartu... Tento podvod je mimořádně rozšířený a proto Vás prosíme, aby jste tuto informaci rozšířili mezi co největší počet lidí.

57 Phishing a pharming z anglického fishing = rybaření
z anglického farming = farmaření podvodné y, jsou rozesílány na velké množství adres vypadají jako informace z významné instituce (např. banky), odesílatele v mailu jde snadno podvrhnout příjemce je informován o údajné nutnosti vyplnit údaje v připraveném formuláři ve skutečnosti je uživatel přesměrován na cizí server ve stejné podobě jako stránce „pravé“ instituce nástupcem phisingu je pharming => přesměrování webové stránky na jinou, podvrženou díky změně DNS

58 Dialer = číselník telefonu
program měnící způsob připojení na internet prostřednictvím modemu. žluté linky (60Kč/min) dialer se může aktivovat návštěvou nevhodné stránky či spuštěním malého EXE souboru

59 Rootkit původně jde o pojem z linuxového světa, jsou velmi těžko odhalitelné program, který v systému dokáže maskovat sebe či jiný program, slouží k zakrytí činnosti hackera uživatel prostě „nevidí“ soubory jmenovaného programu na pevném disku, ačkoliv tam ve skutečnosti jsou Druhy rootkitů: 1.) modifikace důležitých API funkcí OS 2.) kernel mode – modifikují nedokumentované systémové struktury Smutným příkladem je rootkit Sony DRM. Detekce např. programem Rootkit Revealer.

60 Základní obrana proti počítačové infiltraci
pravidelné aktualizace operačního systému, prohlížeče a aplikací nepoužívání software nelegálně staženého z Internetu návštěva důvěryhodných webových stránek, pozor na stránky z nelegálním obsahem používání alternativního prohlížeče (Mozilla, Opera) použití kvalitního a správně nastaveného firewallu, antivirového programu, vše pravidelně aktualizované použití nástroje pro detekci malware (viz dále) mějte kontrolu nad svým počítačem a nad tím, kdo jej používá (děti) obezřetnost při čtení ů, pozor na zadávané informace nikdy neotvírejte ovou přílohu, kterou jste nepožadovali použití méně rozšířeného OS, použití neadministrátorského účtu

61 Řešení problémů s malware
Doporučovaný postup: 1.) antivirový software s pravidelně aktualizovanou virovou databází (AVG, Avast, Nod32, Norton Antivirus, Kaspersky Lab) 2.) jednoúčelová utilita 3.) nástroj k detekci (Ad-aware, SpyBot, Trojan Remover, SpywareBlaster, MS AntiSpyware, Adware Away) 4.) ruční odstranění – musí ho provádět člověk znalý fungování OS a jeho principů 5.) reinstalace systému – nejspolehlivější, ale bohužel náročná metoda

62 Malware - závěr koncem roku 2006 existovalo cca druhů malware, jejich počet strmě roste – přírůstek cca druhů za měsíc malware se nikdy nepodaří vymýtit, dříve popsanými zásadami jej lze výrazně eliminovat

63 Popis obrany před malware v naší organizaci
firewall + ukázka antivirový a antispamový modul na serveru, zakázané přílohy + ukázka AVG na koncových stanicích s pravidelně aktualizovanou virovou databází + ukázka kontrola stanic na nebezpečné programy automatické aktualizace OS a programů kontrola síťového provozu

64 Dotaz Myslíte si, že Váš počítač (v práci, doma) není napaden žádným malware? Co děláte pro ochranu před počítačovou havětí?

65 Internetové odkazy o malware v češtině
...

66 Bezpečnost v IT informační technologie zpracovávají stále více a více informací s velkou hodnotou (např. daňová přiznání, elektronické platební nástroje, citlivé obchodní informace, atd.) tyto informace musí být chráněny pokud informace získá, změní, smaže, prodá nepovolaná osoba, znamená to pro organizaci či firmu obrovský problém s nedozírnými důsledky

67 Narušení bezpečnosti lze provést:
narušením soukromí či utajením informací vydáváním se za jinou oprávněnou osobu a zneužíváním jejich privilegií neoprávněným navýšením svých privilegií zařazením se jako skrytý mezičlánek v konverzaci jiných subjektů změnou funkcionality softwaru doplněním skrytých funkcí

68 Proces zabezpečování IT
tímto pojmem označujeme proces dosažení a udržení důvěryhodnosti, integrity, dostupnosti, prokazatelnosti odpovědnosti, autenticity a spolehlivosti informací a služeb na přijatelné úrovni důležitá je prevence

69 Autentizace vs. autorizace
autentizace je proces jednoznačného ověřování osoby (subjektu), který vstupuje do IS. K autentizaci je nejčastěji použito uživatelské jméno a heslo. Nedostatek této metody je v tom, že jméno i heslo může být snadno vyzrazeno, proto jsou dnes hromadně nasazovány hardwarové autentizační předměty (čipové karty, USB zařízení, otisk prstu či obraz sítnice). Tento systém se stává standardem autorizací subjektu se rozumí proces ověření přístupových práv osoby (subjektu) vstupujícího do IS. Tento proces navazuje na proces autentizace (např. doménový řadič po úspěšné autentizaci přidělí uživateli specifická oprávnění) Autorizace je separátním procesem, předchozí autentizace není podmínkou (např. znalost PINu).

70 Zranitelná místa fyzická zranitelnost – umístění IS v místě, které je snadno dostupné sabotáži, vandalizmu, výpadku napětí přírodní – záplava, požár, zemětřesení, blesk v HW či SW fyzikální – vyzařování, útoky na spoje v lidském faktoru – ten je nejrizikovější!!! – 80% četnost a.) úmyslné b.) neúmyslné c.) náhodné

71 Způsoby hrozeb neautorizovaná modifikace informací – odchytávání a modifikace zpráv zpřístupnění informace odposlechem na přenosovém médiu analýzou toku vyměňovaných zpráv, frekvencí zasílání škodlivý software odposlechy či kamery využívání bezpečnostních děr či slabin produktů

72 Útok útok = bezpečnostní incident
útokem rozumíme využití zranitelného místa v IS Útočit lze: přerušením – útok na dostupnost odposlechem – útočník si zpřístupní aktiva změnou – útočník zasáhne do aktiva, provede změnu, změní funkce programu Vhodnou formou ochrany před útoky je prevence, absolutní prevence útoků však není možná

73 Útočníci vnitřní a vnější Rozeznáváme:
a.) útočníky slabé síly – obvykle náhodné, neúmyslné útoky b.) útočníky střední síly – nejběžnější, hackeři méně zdatní, mající omezené prostředky c.) útočníky velké síly – profesionální zločinci, vysoká úroveň znalostí, mají obvykle dostatek financí i času na provedení útoku, provádějí útoky vymykající se běžné praxi. Nejméně časté, ale procentuálně dosti úspěšné. Dle povahy útočníka se volí různá bezpečností opatření a havarijní plán při výskytu bezpečnostního incidentu

74 Nejčastější problémy jednoduchost hesla, odvozenina hesla, psaní hesla na snadno přístupná místa stejná hesla do různých IS nebo jejich částí fyzický přístup k datům

75 Řešení jednoduchost hesla, odvozenina hesla, psaní hesla na snadno přístupná místa stejná hesla do různých IS nebo jejich částí fyzický přístup k datům přenášet data dostatečně zašifrovaná => použití kvalitní KRYPTOGRAFIE

76 Kryptografie – základní pojmy
kryptografie doslova znamená studium tajného písma, známe je od starověku, přes Caesarovu šifru, Enigmu ... znamená umění udržet důvěrnou zprávu utajenou = šifrování kryptoanalýza je umění rozluštit šifru a tím pádem odhalit utajenou zprávu kryptologie je matematika pro kryptografii a kryptoanalýzu šifrovací algoritmus je funkce sestavená na matematickém základě a provádí šifrování (kryptování) a dešifrování (dekryptování) dat šifrovací klíč se dá přirovnat k heslu síla šifry – čim je šifra silnější, tím více času potřebujeme na její prolomení

77 Dobrá šifra šifra by neměla být prolomitelná v reálném čase a s použitím „rozumných“ výdajů šifrování by mělo proběhnout rychle množství práce vynaložené na šifrování a dešifrování by mělo být úměrné požadovanému stupni utajení šifrovací algoritmus by neměl obsahovat zbytečná omezení implementace algoritmu by měla být co nejjednodušší chyby při šifrování by se neměly příliš šířit zprávy by se šifrováním neměly zvětšovat

78 Kryptografické metody
jednosměrné obousměrné – při znalosti správného klíče můžeme data dešifrovat a získat originál Jednosměrné nejčastěji slouží k ukládání hesel, čímž se zabrání jejich odhalení i po zpřístupnění jejich uložené verze, ale zůstává možnost ověření hesla zadané uživatelem. Jejich obdobou jsou digitální podpisy.

79 Kryptografické metody – jiné rozdělení
šifrování s privátním klíčem (symetrické) – existuje jediný klíč pro šifrování a dešifrování. Účastníci znají klíč předem. šifrování s veřejným klíčem (asymetrické) – používá dva klíče privátní a veřejný. Cokoli je zašifrováno jedním klíčem, lze dešifrovat pouze druhým a naopak. Jeden z klíčů lze zveřejnit - veřejný klíč. hybridní šifrování – kombinace obojího

80

81

82 Výtahy zpráv označujeme je jako tzv. hash kódy
správně by měly být nazývány kryptografické kontrolní kódy jedná se o jednosměrné algoritmy za celou historii lidstva nevzniknou dva dokumenty, které by měli stejný 128bitový obsah z různých serverů si můžeme stáhnout i soubor s jejich kontrolními součty - ukázka

83 Hashes - ukázka

84 Kryptografické algoritmy
DES (Data Encryption Standard) – symetrický klíč 56bitů překonaný IDEA (International Data Encryption Algorithm) – symetrický klíč 128bitů, odolnější, náhrada DES, použit v PGP RSA (Rivest, Shamir, Adleman) – asymetrický, elektronický podpis, US patent, dnes standard, použit pro digitální podpisy (ČR) DSA (Digital Signature Algorithm) – asymetrický, použit pro digitální podpisy (US) MD5, SHA (Secure Hash Algorithm) – jednocestný, 128b

85 Digitální podpisy (= elektronické)
mediálně známé digitální podpis je výtah zprávy zašifrovaný privátním klíčem autora dokumentu a je distribuován s ním. Máme-li veřejný klíč, jsme schopni dešifrovat výtah zprávy a porovnat ho s výtahem, který vytvoříme z obdrženého dokumentu. Digitální podpis zajišťuje 3 důležité fce: integritu autentifikaci (víme, kdo zprávu podepsal) nepopíratelnost (autor nemůže zapřít, že zprávu podepsal)

86 Certifikační autority (CA)
Certifikační autority mohou vydávat elektronický podpis Seznam CA: První certifikační autorita Czechia Trusport GlobeInternet .....

87 Použití šifrování v praxi
SSL (Secure Sockets Layer) – vrstva mezi aplikační vrstvou a protokolem TCP; asymetrická šifra, klíče se generují automaticky, pro přenos se použije symetrický algoritmus PGP ( Zástupci konkrétních produktů: program TrueCrypt ( - on-line kvalitní šifrování dat na disku Keypass password safe – program na bezpečné ukládání hesel

88 Rodina Windows 2000 – stručný přehled
Windows 2000 jsou následovníkem Windows NT 4.0 Windows 2003 jsou Windows 2000 v kabátě Windows XP s přídavnými funkcemi, vylepšeními a lepší podporou .NET obrovský rozdíl nastal mezi verzemi NT 4.0 a Windows 2000 mezi Windows 2000 a 2003 již takový rozdíl není

89 Windows 2000 Professional Windows 2000 Server
Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Server Windows 2003 Server Web Edition Windows 2003 Server Standard Edition Windows 2003 Server Enterprise Edition* Windows 2003 Server Datacenter Edition* Cílové využití Pracovní stanice a notebooky Soubory, tisk, síť, intranet, práce v síti Obchodní aplikace, elektronický obchod Rozsáhlé důležité aplikace, zpracování transakcí online, databáze, internetový server Webový server Soubory, tisk, síť, práce v síti Podniková infrastruktura, elektronické obchodování, zpracování transakcí v reálném čase databáze, software pro plánování podnikových zdrojů, zpracování velkého množství transakcí v reálném čase ... Počet podporovaných procesorů 2 4 8 32 minimálně 8, max, 32 pro x86, max. 64 pro Itanium Podporovaná paměť 4GB 8GB 64GB 32GB (x86), 64GB (Itanium) 64GB (x86), 128GB (Itanium) Clustery žádné Překlopení mezi dvěma uzly, vyvážení zátěže mezi 32 uzly Překlopení mezi čtyřmi uzly, vyvážení zátěže mezi 32 uzly Překlopení mezi čtyřmi uzly, vyvážení zátěže mezi 32 uzly Překlopení mezi osmi uzly, vyvážení zátěže mezi 32 uzly Minimální požadavky na systém** Kompatibilní Pentium 133MHz, 64MB RAM, 1GB místa na HDD Kompatibilní Pentium 133MHz, 128MB RAM, 1GB místa na HDD Kompatibilní Pentium 133MHz, 256MB RAM, 1GB místa na HDD Kompatibilní Pentium 233MHz, 256MB RAM, 1GB místa na HDD Kompatibilní Pentium 133MHz, 128MB RAM, 1,5GB místa na HDD Kompatibilní Pentium 133MHz, 128MB RAM, 1,5GB místa na HDD pro x86 Kompatibilní Pentium 400MHz, 1GB RAM, 1,5GB místa na HDD pro x86 * k dispozici pro 32bitové i 64bitové platformy ** doporučené požadavky jsou pro představu cca 4x vyšší Řada produktů Windows Server 2003 vychází ze systému Windows 2000 a obsahuje další vylepšení a funkce, které připraví vaši organizaci na plné využití platformy Microsoft .NET.

90 * k dispozici pro 32bitové i 64bitové platformy
** doporučené požadavky jsou pro představu cca 4x vyšší Řada produktů Windows Server 2003 vychází ze systému Windows 2000 a obsahuje další vylepšení a funkce, které připraví vaši organizaci na plné využití platformy Microsoft .NET.

91 Rysy Windows 2000 vysoká doba provozu systému zvýšená dostupnost
dynamická konfigurace systému snadné zavedení, konfigurace a použití centralizovaná správa ...

92 Výhody Windows 2000 Serveru
relativní jednoduchost, např. oproti Linuxu robustnost, vysoký výkon, škálovatelnost centrální, vzdálená administrace, průvodci existence dalších produktů od fy Microsoft i od třetích stran s integrací do samotného OS, upgrade in place jednoduché začlenění i do jiných sítí (Novell, UNIX i MacIntosh), podpora Microsoftu nízké TCO (celkové náklady na vlastnictví)

93 Nevýhody Windows 2000 Serveru
cena v porovnání s některými distribucemi Linuxu – je zdarma, ale cenově je výhodnější než Novell nejsou k dispozici zdrojové kódy vyšší nároky na hardware cena přístupových licencí – další náklady

94 Windows 2000 a sítě Windows 2000 podporují snad všechny síťové služby: DNS, FTP, WWW server (IIS), DHCP, RAS, telnet, DFS, NTP, routing, RPC, BOOTP, podpora PPP další novinkou jsou adresářové služby Active Directory (dále jen AD) Další služby: terminálové služby, vylepšená podpora tisku, clustery, vyrovnávání zátěže sítě, QoS, podpora filtrace paketů, zamezení DLL hell, podpora šifrování souborů, Kerberos, LDAP, podpora rychlých sítí a VPN. Ostatní přídavné modely lze dokoupit: SQL Server, Exchange Server, Proxy Server, System Management Server, prakticky toto všechno je obsaženo v balíku BackOffice Server, další balík produktů SBS. Existují i produkty třetích stran (např. Citrix MetaFrame)

95 Další vlastnosti Windows 2000
diskové operace: systém souborů na bázi transakcí NTFS verze 5, zabezpečení souborů, šifrování, on-line komprese, diskové kvóty, podpora velkých diskových polí (až TB), mirroring, remote storage, dohled nad bezpečností (audit), zálohování dat symetrický multiprocessing a multitasking, clustering vysoká míra stability a bezpečnosti: stupeň zabezpečení C2, po úpravě i B2, certifikace ovladačů, protokol IPSec, protokol SSL, infrastruktura veřejných klíčů, podpora karet Smart Card, zabezpečená síťová komunikace, ochrana souborů OS, nouzový režim, zotavení systému, záloha a obnovení celého systému na pásku

96 Správa sítě Windows 2000 je možná delegovaná správa pomocí AD, jemná distribuce správy Windows 2000 Serveru konzole MMC (Microsoft Management Console) je centrální konzolou pro správu systému či jiných Windows 2000 Serverů modul WSH (Windows Scripting Host) – jednoduchá správa prostřednictvím skriptů, ev. příkazového řádku koexistence a spolupráce jiných Windows NT serverů (mixed vs. native mód)

97 Základní pojmy uživatel, skupina uživatelů, lokální, globální
uživatelský účet, uživatelský profil (mandatorní, cestovní), uživatelské politiky pracovní skupina vs. doména řadič domény, PDC, BDC vs. Windows 2000 logon, logoff script vztahy mezi doménami (trusty) Active Directory

98 Active Directory – termíny I.
AD se skládá z objektů, objekty mají atributy schéma je specifická definice objektů a atributů příklad: uživatelský účet jméno titul kancelář telefon oddělení .....

99 Active Directory – termíny II.
organizační jednotka (zkr. OU) – nejnižší forma seskupování v AD skupinová politika může být implementována na úrovni OU může být vnořena až do hloubky 12-ti úrovní OU odrážejí organizaci firmy, společnosti může být zvoleno geografická nebo obchodní strategie

100 Pravidla a metody pro návrh doménové struktury
návrh je strategicky důležitou částí, věnujte mu náležitou pozornost začněte s jednou doménou vytvářejte další domény v případě, že: máte pomalé linky mezi oblastmi chcete redukovat replikace cílové lokality jsou od sebe vzdáleny některé domény jsou z bezpečnostního hlediska kritické berte v úvahu současné i budoucí potřeby, geografii a další rozšiřování organizace či firmy vytvořte více modelů (alespoň 3) a porovnejte je mějte na paměti, že nevytváříte umělecké dílo

101 Active Directory – dokončení
další pojmy: strom a les stromy a les(y) se vytváří v rozsáhlých firmách či organizacích vytvoření lesa přinese: více administrativní práce vícenásobný jmenný prostor více administrátorů pokud je společnost velmi rozmanitá, může být les tím správným řešením les umožňuje propojení více firem omezuje problémy mezi administrátory

102 Nejběžnější činnosti administrátora
vytvoření koncepce sítě, úloha serverů, dělba práce mezi servery správa skupin uživatelů (globální, lokální skupiny) správa uživatelských účtů (vytváření účtů, změna hesel) přístup ke složkám NTFS, zálohování správa tiskáren, tiskových úloh přidávání, odstraňování SW na stanicích, antivir správa a údržba pracovních stanic zabezpečení před útoky zevnitř i zvenčí, sledování potencionálních bezpečnostních děr podpora uživatelů (např. při řešení problémů)

103 Praktické ukázky základního nastavení ve Windows 2000
nástroje pro práci s diskem – mountvol, cacls, xcacls, chkdsk ... sledování systému, výstrahy a protokolování výkonu - perfmon ukázka tvorby účtů ve Windows 2000 (addusers) nastavení práv uživatelů – z příkazové řádky a pomocí dialogu vytváření sdílených složek a tiskáren diskové kvóty klonování PC zásady zabezpečení secpol.msc, gpedit.msc netsh + ukázka

104


Stáhnout ppt "Školení 5.1.2007 Lektor: Pavel Vacikar."

Podobné prezentace


Reklamy Google