Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

STJ Výtah z přednášek prednes5io - UPS prednes11site - firewally prednes6sw - antiviry prednes15bezp_na_Int - viry prednes13bez - šifrování a ostatní způsoby.

Podobné prezentace


Prezentace na téma: "STJ Výtah z přednášek prednes5io - UPS prednes11site - firewally prednes6sw - antiviry prednes15bezp_na_Int - viry prednes13bez - šifrování a ostatní způsoby."— Transkript prezentace:

1 STJ Výtah z přednášek prednes5io - UPS prednes11site - firewally prednes6sw - antiviry prednes15bezp_na_Int - viry prednes13bez - šifrování a ostatní způsoby ochrany

2 STJ Sítě - ochrana dat Ochrana dat v síti 1. proti výpadku proudu - UPS Uninterruptible Power Source –záložní bateriové zdroje technologie: –off-line, proud prochází skrze UPS do poč., k přepnutí na baterii dochází v době výpadku, = kritický moment nedokáže komunikovat s poč.

3 STJ Hardware - ostatní I/O zař. –line-interactive, dražší, ovládání na připojeném poč., možnost monitoringu –on-line technologie, nejdražší dodává energii všem připojeným zařízením přímo z baterií, které jsou průběžně dobíjeny náročnost na kvalitu baterií cena desítky tisíc důležitý údaj - doba, po kterou je schopen zásobovat zařízení energií (= minut chodu na baterie)

4 STJ Sítě - ochrana dat 2. jméno, heslo, práva uživatelů nastavená správcem sítě 3. zálohování disků –zrcadlení (mirroring, pole disků RAID 1), stejný řadič pro oba disky –zdvojení disků (duplexing), každý má svůj řadič –server duplexing, spojeny spec. kabelem

5 STJ Sítě - ochrana dat –obrazy disků (drive image) kopie disku, uloží se do 1 souboru, přenese se na jiný disk (klonování disku) s použitím image uloženého na síť. disku lze náš disk obnovit image se dá vytvořit nebo obnovit za běhu

6 STJ Sítě - ochrana dat 4. Firewally širší smysl: souhrn technických opatření k řízení komunikace mezi chráněnou sítí a vnějším světem užší smysl: sw balík instalovaný na předsunutém počítači W XP - automaticky je fw aktivní u každého vytáčeného spojení

7 STJ Sítě - ochrana dat Funkce firewallu –řízení komunikace (selektivní povolení nebo zákaz) –záznam událostí (monitorování provozu v síti) záznam úspěšných i neúsp. pokusů o přístup, + relevantní detaily (i heslo) –překlad adres (NAT - Network Address Translation) - mapování množiny vnitřních adres na 1 adresu nebo množinu vnějších adres, vnitřní adresy skryty za jednou adresou

8 STJ Sítě - ochrana dat další fce firewallu: –vytváření dočasných bezpečných (šifrovaných) komunikačních kanálů = VPN, virtuální spojení, tunelové spojení (Virtual Private Network) –regulace přístupu interních uživatelů do Internetu –vzdálený přístup oprávněných uživatelů

9 STJ Sítě - ochrana dat –autentizace - ověřování totožnosti partnerů –obsluha síťových služeb - zároveň může fungovat jako nameserver, poštovní server, vyrovnávací server (cache), viruswall Implementace FW různými způsoby –někdy výkonné unixové servery –někdy se nazývají proxy servery, proxy brány –jsou i osobní firewally (Kerio Personal Fw)

10 STJ Bezpečnost - viry, antiviry viry, největší nebezpečí - změnily svůj charakter –dříve mazaly soubory, šířily se hlavně na disketách –dnes se snaží co nejvíce rozšířit, využívají poštu a bezpečnostní chyby v softwaru (např. vir Sobig.F, není destruktivní, nemění data, ale může zahltit servery svými kopiemi, velká rychlost šíření) Fred. Cohen na Pensylvánské univ. použil kód, který se dokázal sám zničit - označil jej termínem virus

11 STJ Bezpečnost - viry, antiviry Dělení virů: –podle umístění v paměti (rezidentní - je obtížnější je vytvořit; nerezidentní - hist. nejstarší) –podle cíle napadení (bootovací - napadají zaváděcí sektor; souborové - spustitelné programy.COM,.EXE,.BAT,.OVL,.SYS,.BIN; multipartitní = kombinace obou - první byl Tequila, který byl navíc ještě polymorfní a stealth) –podle způsobu chování (stealth - odviruje pgm „v letu“, tj. při kontrole antivirem se nákaza programu neprojeví - Frodo; polymorfní - vytváří nové kopie, které se neshodují, retroviry - deaktivují antiviry)

12 STJ Bezpečnost - viry, antiviry další škodlivé kódy: –červi (worms)- nevkládají se do jiných programů, nepotřebují hostitele ke své replikaci, ale jsou ve formě samostatných souborů, které se spustí hned při startu poč., pro šíření využívají služeb sítě, používají pakety –bomby - (logické, časované, SMS bombery) –dialer - přesměruje připojení uživatele na jiné číslo s vysokým tarifem –backdoors -(zadní vrátka) umožňují vzdálenou správu počítače bez vědomí majitele = trojský kůň

13 STJ Bezpečnost - viry, antiviry –hoax - není virus, ale ová poplašná zpráva, varuje před virem a vyzývá k šíření, řetězový –makroviry - rozšířily se spolu s kancelářskými balíky, napadají datové soubory, dokumenty (Wordu, Excelu, PowerP….) - Concept jsou nezávislé na platformě a op. systému –trojské koně - program, který vykonává obvykle očekávanou činnost, ale navíc činnost, o které uživ. nemá ponětí (např. odesílá soubory, zašifruje data a za vydání dešifrovacího klíče vyžaduje výpalné, PWS - Password stealing trojan)

14 STJ Bezpečnost - viry, antiviry –viry využívají bezpečnostní díry v programech, např. chyba v kontrole hesla při přístupu ke sdíleným prostředkům v síti (využívá červ I-Worm/Opas) –tyto díry se vyskytují v každém softwaru –je třeba instalovat tzv. záplaty antiviry - pomoc až po nákaze firewally - je-li správně nastaven, může zabránit infekci předem, odhalí pokusy o průnik –jednodušší FW bývá i součástí antivirového programu –různé programy této kategorie se těžko snášejí

15 STJ Bezpečnost - viry, antiviry –firewall obsažený v operač. systému (W XP) je softwarový, chrání pouze poč. na kterém je spuštěn nejvíce virů pro W –kdyby byl na 90 % poč. Linux, žádného hackera by nenapadlo psát viry pro Windows –problémy se týkají výrazně větší komunity

16 STJ Software - Antiviry 5. TAPV- Antiviry Funkce: –jedna část je rezidentní skener, pracuje na pozadí, hlídá práci se soubory –(skenování = odvozeno od programu Scan) –druhá nerezidentní, spustitelná kdykoliv –prohledávání pevných disků (nyní všechny soubory) –měl by prohledávat i komprimované s. –zabránění otevření infikovaného souboru –desinfekce souborů, případný přesun do karantény

17 STJ Software - Antiviry –odeslání varování správci –kontrola přístupových cest (pošta, Internet) –skenování i odesílané pošty - zabraňuje aut. odesílání tzv. červů všem, které máme v adresáři –heuristická analýza pro hledání nových virů hledá v programech techniky používané viry často hlásí plané poplachy ale dokáže odhalit i viry skenováním nedetekovatelné

18 STJ Software - Antiviry –nutná aktualizace antivirového prog. –dobrý antivir aktualizuje sám sebe, update databáze virů z Internetu automaticky –problém je šifrovaná komunikace (heslo a klíč) –detekce nových typů průniků - programy, které monitorují a odesílají stisky kláves, instalovaný spyware (odesílá různé informace o uživateli, ne vždy marketingového charakteru)

19 STJ Software - Antiviry Antiviry –AVG (firma Grisoft Sw, Brno) –AVAST 32 (Alwil Software) –VirusScan (McAfee Associates) - omezená podpora komprim. souborů, neskenuje otevřené web. stránky –Norton Antivirus (Symantec) firma ho prodává i jako součást balíků - firewallový Internet Security –PC - cillin ( Trend Micro)

20 STJ Software - Antiviry –Kaspersky Antivirus 5.0 Personal Eugen Kaspersky - ruský antivirový odborník antivir ochrání před běžnými souborovými viry, internet. červy prohledává 700 typů komprimovaných souborů, ale vyléčí jenom 4 nejznámější typy archivů má funkci, která pošle podezřelý soubor do laboratoře výrobce antiviru na analýzu makroviry v MS Office vyhledá pouze dražší rozšířená verze produktu

21 STJ Software - Antiviry –NOD slovenský antivir (fa Eset) (Nemocnica na okraji disku) schopnost detekovat pomocí heuristiky moderní HLL viry (High Level Languages, viry napsané v moderních vývojových prostředích - Delphi, Visual Basic, C++) konkurence zatím nemá tuto detekci nezpomaluje tak počítač Antiviry používají buď desktopové řešení nebo řešení pro rozsáhlé sítě se stanicemi rozmístěnými po celém světě (F-Secure AntiVirus, nástupce F-Prot) aktualizace z Internetu a správa jednotlivých modulů pak probíhá šifrovaně a s el. podpisem

22 STJ Bezpečnost na Internetu Bezpečné chování na Internetu –antivirové programy nezbytností, 1x týdně aktualizace virové databáze –uživatel by neměl spouštět neznámé soubory.COM, EXE, BAT, SCR, JS, VBS, PIF ani posílat tyto soubory partnerům –neotvírat soubory v příloze se dvěma příponami - např. NAME.BMP.EXE nebo NAME.TXT.VBS –instalace nových programů - měly by pocházet od důvěryhodného zdroje, příp. od autora

23 STJ Bezpečnost na Internetu –červi v příloze pošty často používají názvy se sex. podtextem např. PAMELA_NUDE.VBS - neotevírat –červ jako spustitelný soubor může být maskován jinou ikonou, např. jako obrázek, text –nepřijímat přílohy od cizích v online chat systémech jako: ICQ, IRC, AOL Instant Messenger –hesla - používat různá (např. pro přístup k poč., k mailové schránce) a měnit tak 1x za měsíc

24 STJ Bezpečnost na Internetu - hesla Heslo - nejdůlež. prvek ověřovacího mechanismu –autentizační údaje uživatele (jméno a heslo) –dříve se heslo přenášelo jako otevřený text, nebo jednoduše kódované –dnes se používají metody jednosměrného kódování v souborech, kde jsou uložena hesla, těžko lze zpětně získat heslo –je třeba speciální nástroj (jako John the Ripper, nejlepší na luštění Unix. hesel, používá hrubou sílu i slovníkový útok)

25 STJ Bezpečnost na Internetu - hesla –programy, které dokáží heslo u souboru zjistit: StarSlayer, Password Recovery Suite, ARJ Password Solver, fast Zip Cracker problém nejsou ani PDF soubory –svými programy pro luštění hesel je známá ruská firma Elcomsoft –luštění hesel hrubou silou za 1 hodinu lze louskačem vyzkoušet min variant, je těžší, když neznáme délku hesla počet možných kombinací závisí na délce hesla mělo by mít více než 8 znaků a používat i číslice a speciální znaky (%, #)

26 STJ Bezpečnost na Internetu - hesla –slovníkově orientované útoky program zkouší všechna slova ve slovníku (tak slov), zkouší i různé velikosti písmen číslice a speciální znaky v heslech neodhalitelné na Internetu je asi 120 slovníků –Unix - síťové systémy, na nichž běží spousta služeb (hesla ke službám, delší čas na prolomení, čeká se na odpovědi) –systémový soubor s hesly všech uživatelů je častým cílem útoků –dříve bylo vše v souboru etc/passwd, nyní se používá mechanismus stínových hesel

27 STJ Bezpečnost na Internetu - hesla –v souboru passwd jsou informace o uživatelích, hesla jsou v souboru /etc/shadow/ ten je přístupný pouze správci Windows –soubor.pwl s hesly uživatelů u starších verzí k získání hesel lze použít nástroj Cain zdarma, umí zobrazit heslo pod **** zobrazí uložená hesla, atd. –u nových verzí W (2000, XP) je to bezpečnější hesla v souboru sam i zde existuje program na luštění

28 STJ Bezpečnost na Internetu - spam Spam - nevyžádaná komerční nabídka –tvoří třetinu z asi 30 miliard ročně rozesílaných zpráv N na rozesílání jsou minimální –problém zejména kapacitní, zatěžuje přenosové a úschovné kapacity –obtížný boj - technologie těžko rozeznává spam od regulérního mailu –filtry = blokování nevyžádaného, černá listina (80% účinnost) –opak je bílá listina, propuštění předem domluveného, do seznamu se dají ti, jejichž mail systém propustí

29 STJ Bezpečnost dat Možnosti ochrany - realizována na několika úrovních 1. ochrana přístupu k počítači 2. ochrana přístupu k datům 3. ochrana počítačové sítě 4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity)

30 STJ Bezpečnost dat - hw ochrana 1. Ochrana přístupu k počítači –hardwarová ochrana - bývá dražší, ale bezpečnější většinou přídavné bezpečnostní karty, mají vlastní modul BIOS a mohou provádět opatření ještě před startem op. systému mohou modifikovat data na disku tak, že po vyjmutí karty z počítače jsou nepřístupná –další možnost = diskové šifrování za pomoci procesoru nebo dokonce kryptoprocesoru (příp. kryptoakcelerátoru)

31 STJ Bezpečnost dat - pojmy Ochrana přístupu k počítači –čistě softwarová řešení - někdy též ještě před startem op. systému nebo při přihlašování do systému Pojmy: –kryptografie tvorba šifer –kryptoanalýza jejich luštění bez znalosti klíče –kryptologie obě vědy současně –šifrovací algoritmus - mat. funkce, která provádí šifrování a dešifrování dat –šifrování - proces znečitelnění dat

32 STJ Bezpečnost dat 2. Ochrana přístupu k datům –kryptografická ochrana souborů (adresářů) nebo disků = šifrování, neustálé prodlužování šifrovacího klíče (např bitů) data budou nečitelná i v případě krádeže disku silnější než nastavení přístupových práv –šifruje se též: elektronická pošta komunikace - tvorba virtuální privátní sítě (VPN) komunikace webový server - uživatel pro zabezpečení např. elektronického obchodování.

33 STJ Bezpečnost dat 3. Ochrana počítačové sítě –nastavena přístupová práva k serverům, adresářům, souborům, službám –patří sem i firewally –základem je dokument o bezpečnostní politice napřed se dělá: analýza aktiv - vymezuje, co chránit (data, přenosové kapacity, čas procesoru, diskový prostor) analýza hrozeb - tj. proti čemu chránit analýza rizik - ohodnocení aktiv a rizik, tj. nalezení zranitelných míst, výpočet očekávaných ztrát, přehled použitelných opatření a jejich cen

34 STJ Bezpečnost dat - metody šifrování 4. Ochrana pravosti a celistvosti dat –metody digitálního podpisu založené na asymetrickém šifrování digitální podpis viz dále Metody šifrování používané v současné době: asymetrické šifrování = technika šifrování, která pracuje se dvěma nestejnými klíči - jeden je privátní (utajený), druhý je tzv. „veřejný“ (dostupný každému) každý uživatel vlastní dvojici klíčů, oba jsou na sobě matematicky závislé = kryptografie veřejnými klíči

35 STJ Bezpečnost dat - metody šifrování jedna možnost použití: –privátní klíč se použije k zašifrování a veřejný k odšifrování nikdo jiný než autor nemůže data zašifrovat (autentizace) druhý způsob použití asymetrického šifrování : –naopak veřejný klíč příjemce se použíje k zašifrování a jeho privátní k odšifrování (určeno pro jednoho příjemce) Např.: systém RSA pracuje s asym. klíči (Rivest, Shamir, Adleman)

36 STJ Bezpečnost dat - metody šifrování nebo řada schémat digit. podpisu symetrické šifrování –pracuje se dvěma identickými klíči každý lze použít jak pro zašifrování tak i pro odšifrování obě strany klíč sdílejí předem –klíč se nesmí dostat do nepovolaných rukou jen odesilatel a příjemce –použitelné v malé skupině uživatelů –Příklad systému: DES (Data Encryption Standard)

37 STJ Bezpečnost dat - metody šifrování kombinace sym. a asym. šifrování –asym. kryptografie se použije k výměně a distribuci symetrického klíče, který může být při každé relaci generován nový

38 STJ Bezpečnost dat - obecné požadavky Obecné požadavky, které by měly být splněny –identifikace a autentizace (často zaměňováno) je třeba vždy spolehlivě zjistit kdo je kdo - např. odesilatel zprávy (zjistí se z hlaviček přijaté zprávy), autor WWW stránky, žadatel o přístup k nějakému zdroji, atd. ….. někdy ještě navíc autentizace = ověření, že údaje zjištěné při identifikaci jsou správné (neboť se dají zfalšovat), ověření identity: heslem předmětem (dotykové paměti, bezpeč. karty)

39 STJ Bezpečnost dat - obecné požadavky na bázi kontroly fyziologie osoby (otisk prstu, analýza hlasu, charakteristiky sítnice, duhovky) = biometrické systémy ochrany (např. notebook IBM ThinkPad T42 má integrovanou čtečku otisku prstu) –autorizace - ověřuje se oprávnění k přístupu ke zdroji nebo k provedení určité aktivity (spuštění programu) nebo ověření platnosti předkládaného certifikátu autentizovaného subjektu

40 STJ Bezpečnost - obecné požadavky Obecné požadavky, které by měly být splněny –integrita dat = pravost a celistvost - obsah původních dat by neměl být pozměněn (může dojít i k chybám při přenosu) –důvěrnost dat - data přístupná jenom úzkému okruhu subjektů, nebo jenom 1 příjemci (dosaženo symetrickým šifrováním) –neodmítnutelnost - aby autor nemohl příslušný úkon později popřít (např. zaslání objednávky)

41 STJ Bezpečnost - zajištění požadavků Jak různé mechanismy zajišťují ( nebo nezajišťují) tyto požadavky? –symetrické šifrování - důvěrnost, ident., autentizace, neodmítnut., integrita –asym. šifrování - a) je-li použit veřejný klíč k odšifrování, pak se k datům může dostat kdokoliv - požadavek na důvěrnost není takto naplněn důvěrnost, ident., autentizace, neodmítnut., integrita

42 STJ Bezpečnost - zajištění požadavků –zašifrováno je to privátním klíčem odesilatele, ostatní požadavky splněny

43 STJ Bezpečnost - zajištění požadavků b) je-li použit veřejný klíč příjemce k zašifrování - může to provést kdokoliv, není zajištěna např. integrita určeno jen určitému příjemci důvěrnost, ident., autentizace, neodmítnut., integrita

44 STJ Bezpečnost - zajištění požadavků –jednorázová hesla - (autentizace, autorizace) oprávněný uživatel by měl obdržet generátor těchto hesel např. styk klienta s bankou první použila Expandia banka jako tzv. elektronické klíče –předává-li klient bance příkaz, klíč mu vygeneruje číslo –nyní nemají klienti el. klíč ve fyzické podobě banka generuje jednorázové heslo sama, pošle ho klientovi jinou cestou (na mobil)

45 STJ Bezpečnost - zajištění požadavků –jednorázová hesla - pokračování klient údaj (tzv. certifikační údaj) použije v požadavku na transakci údaj nelze znovu použít –kreditní karty na jedno použití - obdoba - jednorázový údaj v roli čísla kreditní karty autorizovat se bude pouze první požadavek na platbu z této karty –od banky dostane majitel generátor jednorázových údajů (program)

46 STJ Bezpečnost - elektronický podpis Co umožňuje: - identifikaci partnera ….zda je náš partner ten za koho se vydává - ochranu obsahu zprávy ….el.podpis chrání obsah zprávy díky šifrovacím postupům - nepopíratelnost zprávy ….el.podpis prokazuje, kdy a kým byla zásilka podepsána a odeslána

47 STJ Bezpečnost - elektronický podpis Na straně podepisující se osoby se z napsané zprávy pomocí vzorkovací (hash) funkce vytvoří otisk zprávy ten se šifruje pomocí zvoleného asymetrického algoritmu soukromým klíčem odesílatele na straně příjemce zprávy se k otevřenému textu vypočte hash pokud jsou hodnoty hash shodné, máme jistotu, že zpráva nebyla cestou změněna a že ji podepsala osoba, které přísluší data pro vytváření el. podpisu

48 STJ Bezpečnost - elektronický podpis Digitální podpis - určení zdroje zprávy - privátní klíč šifruje pouze tzv. otisk dat (hash) reprezentativní vzorek, který má určitou pevnou velikost např. 128 bitů - přiloží se k původní zprávě v roli el. Podpisu (signatura) navíc se přiloží i veřejný klíč autora klíče vydává certifikační autorita samotný el.podpis nezaručuje důvěrnost zprávy (pokud není její obsah zašifrován veřejným klíčem příjemce, kterému je určena, ten jí odšifruje pomocí svého privátního klíče) - nejsou to primárně systémy pro utajení obsahu

49 STJ Bezpečnost - elektronický podpis Certifikát - kombinace kombinace jména a veřejného klíče podepsaná další důvěryhodnou stranou, zahrnuje i datum vypršení klíče, jméno CA, která certifikát vydala zaručený certifikát (pro komunikaci se státní správou): 1.CA. Pošta, eIdentity seznam neplatných certifikátů “nezaručený” certifikát - celá řada firem


Stáhnout ppt "STJ Výtah z přednášek prednes5io - UPS prednes11site - firewally prednes6sw - antiviry prednes15bezp_na_Int - viry prednes13bez - šifrování a ostatní způsoby."

Podobné prezentace


Reklamy Google