Školení 5.1.2007 Lektor: Pavel Vacikar

Co nás v dnešním kurzu čeká selhání hardware, rizika ztráty dat, zálohování a archivace intranet a Internet a jejich protokoly přenos informací a souborů v síti Internet a jeho služby co Internet poskytuje a jak se k informacím dostat bezpečnost viry

Selhání hardware, rizika ztráty dat, zálohování a archivace možnosti eliminace výpadku hardware (RAID, redundatní zdroj, cluster) spíše než o samotný hardware nám jde o data – ta jsou to nejcennější co máme důvody poškození či ztráty dat archivace vs. zálohování média na zálohování – disketa, ZIP, CD, DVD, pevný disk, externí disk, pásková jednotka, autoloadery porovnání ceny zálohování a archivace z hlediska množství dat

Možnosti eliminace selhání hardware žádný, byť sebedražší hardware nemůže být 100% odolný vůči chybám existují možnosti eliminace selhání hardware a.) redundance některých komponent (CPU, disku, paměti) b.) záložní zdroje a klimatizované místnosti c.) cluster – jedná se de facto o redundanci počítače Bohužel ani jeden bod neeliminuje ztrátu dat na přijatelné minimum! Je zapotřebí zvolit jiný postup.

Zálohování a důležitost dat důsledky ztráty dat v některých případech je jejich obnova nemožná či velmi nákladná jedinou účinnou prevencí je zálohování, resp. archivace dat inverzní termín k zálohování dat (backup) je obnova dat (restore)

Důvody poškození či ztráty dat lidská chyba – člověk nechtěně či úmyslně vymaže data, ke kterým má přístup virus – může smazat či poškodit data, event. trojský kůň či backdoor kriminální čin – PC či server Vám někdo i s daty odnese, hack živelná pohroma – povodeň, blesk, požár, výbuch, pád letadla, zemětřesení, ale i prasklé topení, rušivé jevy v napájecí síti poruchy hardware – nejčastěji porucha pevného disku či diskového pole

Archivace vs. zálohování Zálohováním rozumíme vytváření bezpečnostní kopie dat nebo celého operačního systému tak, abychom mohli v případě havárie některé součásti počítače, obnovit stav, který existoval těsně před vznikem poruchy. Archivace představuje především shromažďování informací pro případné pozdější použití. Pro práci s archivem pak bude nejdůležitější jeho uspořádání, dlouhodobá spolehlivost a vysoká trvanlivost.

Média vhodná na zálohování či archivaci v pořadí dle jejich použitelnosti magnetická média – diskety, ZIP, JAZ optická média – CD či DVD disky (CD-R, CD-RW, DVD-R, DVD+RW, DVD-RW, DVD-RAM) magneto - optické disky magnetické pásky – DDS/DAT, LTO, AIT, DLT, SLR, vícepáskové roboty, jukeboxy storage area network (SAN řešení), NAS

Porovnání ceny zálohování z hlediska množství dat

Archivace Velmi populární a levné optické technologie CD a DVD by mohly dosahovat také trvanlivosti v řádech desítek let, ale pouze v lisované podobě. Zapisovatelná a zejména přepisovatelná média zdaleka nepředstavují vhodný prostředek na dlouhodobou úschovu informací. Důvodem je především velká snaha výrobců dosahovat velkých výrobních objemů a snižování ceny v konkurenčním prostředí, ovšem na úkor trvanlivosti a odolnosti záznamu !!!

Kvalitní zálohování kvalitní zálohování by mělo být optimální kombinací, hardwaru, softwaru, spolehlivých médií a zálohovací strategie. Pokud není kterýkoli z těchto bodů kvalitně vyřešen, nemáte bezpečné zálohování! celosvětové průzkumy prokázaly, že 93 % firem, které utrpěly závažnou ztrátu dat, opustilo podnikání během 5 let. Alarmující je rovněž zjištění, že 30 % uživatelů IT spotřebuje v roce čas ekvivalentní jednomu týdnu na rekonstrukci ztracených dat.

Metodologie zálohování – II. automatizace zálohování, komprimace záloh kontrola provedených záloh, technického stavu médií, verifikace (kontrola) dat dokumentace činností zálohování informování správce o výsledku práce zálohování zálohy by měly být umístěny na více médiích umístění záloh závisí na důležitosti dat – stejný disk, jiný oddíl, na jiném počítači v téže místnosti, na jiném počítači v jiné budově, na jiném počítači v jiném městě

Komprimace záloh pomocí komprimace (komprese) dokážeme na stejné zálohovací médium umístit více dat samozřejmě záleží na povaze dat (databáze vs. MP3 soubory) komprese hardwarová a softwarová kalkuluje se s 50% kompresí dat možnost použít i klasické komprimační programy (viz dále) kompresi můžeme doplnit i o šifrování dat

Běžné programy pro zálohování + ukázky vhodné jsou programy umožňující ovládání z příkazové řádky (WinRAR, WinZIP i jejich free ekvivalenty 7ZIP, atp.) program ntbackup – součást OS Windows jsou k dispozici i freewarové nástroje jako např. Backup Me existují i free sofistikované programy na zálohování, např. CobianBackup – popis v poslední řadě existuje řada komerčních programů pro zálohování (Data Protection Manager, Handy Backup)

Seznam adresářů pro zálohování

intranet a Internet a jejich protokoly historie Internetu význam termínů intranet, Internet a internet charakteristické rysy internetu architektura TCP/IP síťové modely komunikační protokoly

Historie Internetu 1969 DoD=>ARPA (Advanced Research Project Agency) => ARPANET ... experimentální síť s přepojováním paketů 1972 ARPANET demo ... cca 20 routerů a 50 počítačů, protokol NCP 1977-1979 vývoj základní architektury TCP/IP 1980 experimentální provoz TCP/IP pod BSD UNIX 1983 zavedení TCP/IP jako standardu sítě ARPANET, rozdělení ARPANETU, přechod do komerční sféry 1987 vzniká pojem „Internet“ 1992 727.000 počítačů 1993 1.500.000 počítačů, komercionalizace Internetu 1996 55.000.000 počítačů 2000 250.000.000 počítačů 2003 600.000.000 počítačů 2006 930.000.000 počítačů

Termíny internet, Internet a intranet Název pochází z anglického slova network (síť), podle něhož tradičně názvy amerických počítačových sítí končily „-net“, a mezinárodní (původně latinské) předpony inter- (mezi), vyjadřující, že Internet propojil Internet je celosvětová počítačová „supersíť“, která spojuje jednotlivé menší sítě, pomocí sady protokolů IP. internet je termín pro vzájemně propojené sítě u nás je trochu zmatek, v anglosaských zemích píší většinou „I“ v poslední době přešla většina médií na malé počáteční „i“

Charakteristické rysy Internetu pluralita globální charakter digitální propast jazyková převaha angličtiny

Architektura rodiny protokolů TCP/IP komunikační protokol je množina pravidel, které určují syntaxi a význam jednotlivých zpráv při komunikaci architektura TCP/IP je definována sadou protokolů pro komunikaci v počítačové síti síťová komunikace je rozdělena do tzv. vrstev. Výměna informací mezi vrstvami je přesně definována. Každá vrstva využívá služeb vrstvy nižší a poskytuje své služby vrstvě vyšší RFC (viz http://www.ietf.org/rfc.html)

Čtyři vrstvy síťového modelu TCP/IP vs. RM ISO/OSI

Popis vrstev síťového modelu vrstva síťového rozhraní – umožňuje přístup k fyzickému přenosovému médiu. Je specifická pro každou síť síťová vrstva – vrstva zajišťuje vzájemnou adresaci, směrování a předávání datagramů (protokol IP) transportní vrstva – poskytuje spojované (protokol TCP) či nespojované transportní (protokol UDP) služby aplikační vrstva – vrstva aplikací, jsou to programy, které využívají přenosu dat po síti (telnet, FTP, HTTP) Aplikační protokoly používají vždy jednu ze dvou základních služeb transportní vrstvy: TCP nebo UDP, případně obě dvě (např. DNS). Pro rozlišení aplikačních protokolů se používají tzv. porty, což jsou domluvená číselná označení aplikací. Každé síťové spojení aplikace je jednoznačně určeno číslem portu a transportním protokolem (a samozřejmě adresou počítače).

Základní protokoly – IP protokol IP protokol – základní protokol síťové vrstvy a celého Internetu. Provádí vysílání datagramů na základě síťvých IP adres obsažených v jejich záhlaví. Poskytuje vyšším vrstvám síťovou službu bez spojení. Každý datagram je samostatná datová jednotka, která obsahuje všechny potřebné údaje o adresátovi i odesilateli a pořadovém čísle datagramu ve zprávě. Datagramy putují sítí nezávisle na sobě a pořadí jejich doručení nemusí odpovídat pořadí ve zprávě. Doručení datagramu není zaručeno, spolehlivost musí zajistit vyšší vrstvy (TCP, aplikace). V současné době je převážně používán protokol IP verze 4. Je připravena nová verze 6, která řeší nedostatek adres v IPv4, bezpečnostní problémy a vylepšuje další vlastnosti protokolu IP.

Základní protokoly – ARP protokol Address Resolution Protocol se používá k nalezení fyzické adresy MAC podle známé IP adresy. Protokol v případě potřeby vyšle datagram s informací o hledané IP adrese a adresuje ho všem stanicím v síti. Uzel s hledanou adresou reaguje odpovědí s vyplněnou svou MAC adresou. Pokud hledaný uzel není ve stejném segmentu, odpoví svou adresou příslušný směrovač. Příbuzný protokol RARP (Reverse Address resolution Protocol) má za úkol najít IP adresu na základě fyzické adresy. + příklad

Základní protokoly – ICMP protokol Internet Control Message Protocol slouží k přenosu řídících hlášení, které se týkají chybových stavů a zvláštních okolností při přenosu. Používá se např. v programu ping pro testování dostupnosti počítače, nebo programem traceroute pro sledování cesty paketů k jinému uzlu.

Základní protokoly – TCP protokol Transmission Control Protocol vytváří virtuální okruh mezi koncovými aplikacemi, tedy spolehlivý přenos dat. Vlastnosti protokolu: Spolehlivá transportní služba, doručí adresátovi všechna data bez ztráty a ve správném pořadí. Služba se spojením, má fáze navázání spojení, přenos dat a ukončení spojení. Transparentní přenos libovolných dat. Plně duplexní spojení, současný obousměrný přenos dat. Rozlišování aplikací pomocí portů.

Základní protokoly – UDP protokol User Datagram Protocol poskytuje nespolehlivou transportní službu pro takové aplikace, které nepotřebují spolehlivost, jakou má protokol TCP. Nemá fázi navazování a ukončení spojení a už první segment UDP obsahuje aplikační data. UDP je používán aplikacemi jako je SNMP, DNS a BOOTP. Protokol používá podobně jako TCP čísla portů pro identifikaci aplikačních protokolů.

Aplikační protokoly (služby) DHCP - Dynamické přidělování adres DNS - Systém doménových jmen FTP - Přenos souborů po síti HTTP - Přenos hypertextových dokumentů (WWW) WEBDAV - rozšíření HTTP o práci ze soubory IMAP (Internet Message Access Protocol) umožňuje manipulovat s jednotlivými e-mail zprávami na poštovním serveru. NNTP (News Network Transfer Protocol) umožňuje číst a umísťovat do sítě zprávy typu news. NFS (Network File System) je síťový systém souborů, který umožňuje transparentní sdílení vzdálených souborů jakoby byly lokální. NTP - synchronizace času (šíření přesného času) POP (Post Office Protocol) je protokol pro získání pošty z poštovního serveru. SMTP - odesílání elektronické pošty SNMP Simple Network Management Protokol je určen pro správu síťových uzlů. Telnet - Protokol virtuálního terminálu. SSH - bezpečný shell X11 - zobrazování oken grafických programů v *nixech XMPP - rozšiřitelný protokol pro zasílání zpráv a sledování přítomnosti (protokol Jabber)

Příklady použití protokolů HTTP, HTTPS telnet, SSH, FTP nmap POP3, SMTP, IMAP NTP VNC DNS Aplikace: aplikace fport ukázka odchytávání hesel pomocí nezabezpečených protokolů ukázka analyzátoru síťového provozu nagios – ukázka https://nagios.jcu.cz/ ukázka správy wifi hotspotu

Příklad komunikace s POP3 serverem pomocí příkazů telnet pop3.pf.jcu.cz 110 PASS xxxx USER pavac LIST RETR 1 NOOP QUIT

Přenos informací a souborů v síti, sdílení chceme pracovat se souborem, který se nachází na jiném počítači v síti nechceme pracovat jako terminál a zde zpracovávat „místní“ soubor vícenásobný přístup – o náš soubor by mohlo mít zájem více uživatelů naráz, což může být velký problém Metody: zamknutí celého souboru, zamykání části souboru až po velmi propracované metody potřebujeme-li na jednom počítači zpracovávat obsah souboru, který se nachází na jiném počítači, musí dojít k přenosu souboru či jeho části tam, kde má být zpracován download vs. upload

Transparentní a netransparentní přístup netransparentní přístup – uživatel si soubor stáhne, modifikuje a odešle na původní místo – musí vědět, kde soubor leží transparentní přístup se snaží vytvořit dojem, že není rozdíl mezi lokálními a vzdálenými soubory uživatel ani aplikace si nemusí uvědomovat existenci počítačové sítě Plně transparentní přístup je mnohem složitější než netransparentní přístup.

Problémy při přenášení souborů přístup k souborům může být realizován i z prostředí různých operačních systémů (dále jen OS) jméno a přípony, např. OS na bázi Linuxu jsou case sensitive, OS Windows nikoli, odtud mohou pramenit problémy např. při uploadu na WWW server CR LF vs. LF rychlost a kapacita linky – přenášení změn na pomalých linkách

Ukázka přenášení souborů v síti síťové disky, zabezpečení SCP NFS protokol FTP (přenášení dat na webové servery) MSIE (příloha z pošty), ukázka z URL: http://www.tenzor.cz/favo/Silvercrest/Fw/Win1250v09/saman_1250_v5_r6.zip utilita WGET (ukázka stažení celého webu a prohlížení offline), HTTPTracker Lze přenášet nejen data z PC na PC, ale z i na mobilní zařízení (handhand, mobilní telefon, atp.)

Přenos informací a souborů v síti – dotaz je přenášení hesla pomocí protokolu HTTP bezpečné?

Co Internet poskytuje a jaké jsou jeho služby v úvodu této kapitoly si neodpustím filozofickou otázku: „Proč a pro koho“? Každý jste se s internetem setkali, takže si odpovíte sami  Odpovědět člověku, který se s Internetem doposud nesetkal, může být velmi obtížné. kladné versus záporné stránky internetu

Proč? procházení WWW stránek na Internetu vyhledávání informací z nejrůznějších oborů využívání elektronické pošty vytváření a vystavování své WWW stránky hraní on-line her komunikační programy v reálném čase (ICQ, Jabber, ...) elektronické nakupování elektronické konference a diskusní skupiny používání moderní metody vzdělávání (e-learning) spolupráce na různých projektech stahování programů, her, hudby, filmů, melodií a nejrůznější jiná data faxování, odesílání SMS komunikace s úřady, bankami ...

Pro koho? ideálně pro každého, v praxi záleží na potřebě cena za hardware, připojení ani provozní náklady již dnes není tak vysoké – varianta internetová kavárna vysokoškolský student, právník, novinář se bez tohoto komunikačního média téměř neobejde internet není životní nutnost! Dovedete si představit život bez Internetu? Zkuste najít na webu, kdy se odehrál pokus o atentát na papeže Jana Pavla II.

Klady a přínosy Internetu rychlost zjednodušení kontaktů přístup k informacím široká nabídka zdrojů možnost prezentovat své názory smazání vzdálenostních a časových překážek možnost prezentovat svoje názory velká příležitost pro nápadité

Negativa Internetu reklamní a nabídkové materiály, SPAM nevhodné stránky pro děti prostředek k výměně informací pro teroristické a kriminální živly (Echolon) „počítačová havěť“ – spyware, viry, atd. zloděj času, závislost

Hledání na Internetu Internet poskytuje přístup k neomezenému množství informací a stále jich přibývá na Internetu lze najít vše, ale dá problém to najít, v řadě případů je to velmi zdlouhavá práce co jste jednou našli, příště najít nemusíte – stránky mohou být přesunuty, zrušeny či archivovány

Kde vyhledávat v doméně CZ dnes jsou nejpoužívanější tzv. portály = vyhledávací servery, některé poskytují zároveň funkci katalogů Příklady českých portálů: www.seznam.cz, www.atlas.cz, www.centrum.cz, www.quick.cz, www.google.com, www.yahoo.com, www.altavista.com, www.tiscali.cz, http://jyxo.cz, www.volny.cz, http://www.caramba.cz, www.katedrala.cz, www.redbox.cz, www.zdroj.cz, www.opendir.cz, http://www.kudy.cz, http://katalog.pcsvet.cz, http://klikni.idnes.cz/, http://www.zacatek.cz a spoustu dalších ...

Kde vyhledávat v zahraničních doménách Příklady zahraničních portálů: www.yahoo.com, www.altavista.com, www.google.com, http://www.excite.com, www.lycos.com, www.go.com, www.msn.com, www.aol.com, www.go2net.cz, www.iwon.com, www.myway.com, www.sify.com, www.ntlworld.com a spoustu dalších ... Na zahraničních portálech se setkáte s větším množstvím reklamy než na portálech českých.

Pokročilé vyhledávání hledaný výraz by měl být pokud možno co nejpřesnější všechny vyhledávací servery umožňují hledat podle několika zadaných termínů, můžeme provádět operace pomocí logických operátorů AND či OR, event. NOT (negace) použití OR zvyšuje počet vybraných možností, AND naopak různé vyhledávače poskytnou různé výsledky uložení stránky(ek) pro prohlížení offline

Dotaz Který vyhledávač nejčastěji používáte a myslíte si, že poskytuje nejlepší výsledky vyhledávání?

Viry, resp. nežádoucí počítačová infiltrace (neoprávněný vstup do počítačového systému) = škodlivý software, také malware Termín virus není správný pro všechny druhy počítačové havěti, ale hojně se používá historie virů, popis jejich škodlivosti následky – ztráta dat, finanční i lidské zdroje pro obnovu do původního stavu, přerušení práce, zpomalení počítače, šíření SPAMu, vyskakující okna ...

Rozdělení virů název virus pochází od biologických originálů viry trojské koně (password stealing, destruktivní, downloader, proxy trojani, backdoors) červi (worms) spyware adware hoax phising dialery Časté jsou i kombinace těchto možností.

Viry virus je schopen sebe-replikace (množení sebe sama) za přítomnosti vykonavatelného hostitele hostitelem mohou být například spustitelné soubory, systémové oblasti disku, dokumenty Microsoft Office během spuštění (vykonání) hostitele se virus obvykle snaží zajistit sebe-replikaci připojením k dalším vhodným hostitelům Příklad: OneHalf, Yankee Doodle, CIH (Černobyl) ...

Trojské koně nejsou schopné sebe-replikace ani infekce souborů, nejsou připojené k žádnému hostiteli vystupují pod spustitelným souborem EXE, který obsahuje pouze tělo trojského koně formou „dezinfekce“ je výmaz souboru password stealing trojani destruktivní trojani dalším druhem trojských koní jsou tzv. backdoory Příklad: BankAsh-A

Backdoory = zadní vrátka, také zadní útok v košíkové jsou speciální skupinou trojských koní jde o aplikace klient-server, jsou podobné produktům jako pcAnyWhere, Remote Administrator, apod. slouží pro vzdálenou správu počítače klientskou část aplikace vlastní útočník, serverovou napadenýpočítač komunikace probíhá via TCP/IP => útočník může být tisíce kilometrů daleko komunikační kanál na daném portu

Červi (worms) pracují na nižší úrovni než klasické viry šíří se prostřednictvím síťových paketů tyto pakety jsou jsou směrovány od úspěšně infikovaného systému na další systémy v Internetu pokud takový paket dorazí k systému se specifickou bezpečností dírou, dochází k infekci a následné produkci „červích“ paketů šíření červa je postaveno na zneužívání konkrétních bezpečnostních děr červy nelze detekovat klasickou formou antivirového software Příklady: SQLSlammer, Lovsan, Blaster, Sasser, ....

Speciální formy infiltrace spyware adware hoax phising dialer rootkit

tato informace může být zneužita Spyware program, který odesílá data z počítače bez vědomí uživatele, obvykle pro cílenou reklamu tato informace může být zneužita spyware se úspěšně šíří společně s řadou sharewarových programů

Adware je program, který znepříjemňuje práci s počítačem reklamou typickým příkladem jsou vyskakující popup okna během surfování společně s vnucováním stránek adware může být součástí některých programů, například DivX Ačkoliv nás reklama doprovází během celé činnosti s daným programem, odměnou je větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné. může využívat výsledků práce spyware

Hoax = mystifikace, falešná zpráva, kanadský žertík je poplašná zpráva varující před něčím neexistujícím (např. počítačovým virem, úmrtí člověka, apod.) přehled hoaxů na www.hoax.cz šíření je závislé na uživatelích, kteří obdrží tuto zprávu emailem Pozor na mobil!!! Ministr vnitra upozorňuje všechny majitele mobilních telefonů: velmi často se stává, že majitel mobilu najde na displayi vzkaz, aby zavolal na číslo: 607 745 241. URČITĚ na toto číslo nevolejte! Vaše faktury porostou do závratných výšek. Tato informace pochází z policejních zdrojů. "Podvratné živly" mají systém, kterým mohou zneužívat Vaše mobily. Zavolají Vám na Váš GSM a představují se jako zaměstnanci Vašeho mobilního operátora. Dále Vás požádají uvést kód, který začíná na 09* a zároveň Vám vysvětlí, že je to ověřování spolehlivé funkčnosti Vašeho mobilu. URČITĚ JIM NEDÁVEJTE TENTO KÓD a okamžitě zrušte hovor. Vlastní zařízení, které za pomocí tohoto kódu přečte Vaši SIM kartu a už jim nic nebrání v tom, aby vyrobili novou identickou kartu... Tento podvod je mimořádně rozšířený a proto Vás prosíme, aby jste tuto informaci rozšířili mezi co největší počet lidí.

Phishing a pharming z anglického fishing = rybaření z anglického farming = farmaření podvodné emaily, jsou rozesílány na velké množství adres vypadají jako informace z významné instituce (např. banky), odesílatele v mailu jde snadno podvrhnout příjemce je informován o údajné nutnosti vyplnit údaje v připraveném formuláři ve skutečnosti je uživatel přesměrován na cizí server ve stejné podobě jako stránce „pravé“ instituce nástupcem phisingu je pharming => přesměrování webové stránky na jinou, podvrženou díky změně DNS

Dialer = číselník telefonu program měnící způsob připojení na internet prostřednictvím modemu. žluté linky (60Kč/min) dialer se může aktivovat návštěvou nevhodné stránky či spuštěním malého EXE souboru

Rootkit původně jde o pojem z linuxového světa, jsou velmi těžko odhalitelné program, který v systému dokáže maskovat sebe či jiný program, slouží k zakrytí činnosti hackera uživatel prostě „nevidí“ soubory jmenovaného programu na pevném disku, ačkoliv tam ve skutečnosti jsou Druhy rootkitů: 1.) modifikace důležitých API funkcí OS 2.) kernel mode – modifikují nedokumentované systémové struktury Smutným příkladem je rootkit Sony DRM. Detekce např. programem Rootkit Revealer.

Základní obrana proti počítačové infiltraci pravidelné aktualizace operačního systému, prohlížeče a aplikací nepoužívání software nelegálně staženého z Internetu návštěva důvěryhodných webových stránek, pozor na stránky z nelegálním obsahem používání alternativního prohlížeče (Mozilla, Opera) použití kvalitního a správně nastaveného firewallu, antivirového programu, vše pravidelně aktualizované použití nástroje pro detekci malware (viz dále) mějte kontrolu nad svým počítačem a nad tím, kdo jej používá (děti) obezřetnost při čtení emailů, pozor na zadávané informace nikdy neotvírejte e-mailovou přílohu, kterou jste nepožadovali použití méně rozšířeného OS, použití neadministrátorského účtu

Řešení problémů s malware Doporučovaný postup: 1.) antivirový software s pravidelně aktualizovanou virovou databází (AVG, Avast, Nod32, Norton Antivirus, Kaspersky Lab) 2.) jednoúčelová utilita 3.) nástroj k detekci (Ad-aware, SpyBot, Trojan Remover, SpywareBlaster, MS AntiSpyware, Adware Away) 4.) ruční odstranění – musí ho provádět člověk znalý fungování OS a jeho principů 5.) reinstalace systému – nejspolehlivější, ale bohužel náročná metoda

Malware - závěr koncem roku 2006 existovalo cca 160.000 druhů malware, jejich počet strmě roste – přírůstek cca 3.300 druhů za měsíc malware se nikdy nepodaří vymýtit, dříve popsanými zásadami jej lze výrazně eliminovat

Popis obrany před malware v naší organizaci firewall + ukázka antivirový a antispamový modul na serveru, zakázané přílohy + ukázka AVG na koncových stanicích s pravidelně aktualizovanou virovou databází + ukázka kontrola stanic na nebezpečné programy automatické aktualizace OS a programů kontrola síťového provozu

Dotaz Myslíte si, že Váš počítač (v práci, doma) není napaden žádným malware? Co děláte pro ochranu před počítačovou havětí?

Internetové odkazy o malware v češtině www.viry.cz http://www.spyware.cz/ http://www.rootkit.cz/ www.hoax.cz http://www.anti.unas.cz/data/index.php http://www.microsoft.com/cze/security/home/devioussoftware.mspx ...

Bezpečnost v IT informační technologie zpracovávají stále více a více informací s velkou hodnotou (např. daňová přiznání, elektronické platební nástroje, citlivé obchodní informace, atd.) tyto informace musí být chráněny pokud informace získá, změní, smaže, prodá nepovolaná osoba, znamená to pro organizaci či firmu obrovský problém s nedozírnými důsledky

Narušení bezpečnosti lze provést: narušením soukromí či utajením informací vydáváním se za jinou oprávněnou osobu a zneužíváním jejich privilegií neoprávněným navýšením svých privilegií zařazením se jako skrytý mezičlánek v konverzaci jiných subjektů změnou funkcionality softwaru doplněním skrytých funkcí

Proces zabezpečování IT tímto pojmem označujeme proces dosažení a udržení důvěryhodnosti, integrity, dostupnosti, prokazatelnosti odpovědnosti, autenticity a spolehlivosti informací a služeb na přijatelné úrovni důležitá je prevence

Autentizace vs. autorizace autentizace je proces jednoznačného ověřování osoby (subjektu), který vstupuje do IS. K autentizaci je nejčastěji použito uživatelské jméno a heslo. Nedostatek této metody je v tom, že jméno i heslo může být snadno vyzrazeno, proto jsou dnes hromadně nasazovány hardwarové autentizační předměty (čipové karty, USB zařízení, otisk prstu či obraz sítnice). Tento systém se stává standardem autorizací subjektu se rozumí proces ověření přístupových práv osoby (subjektu) vstupujícího do IS. Tento proces navazuje na proces autentizace (např. doménový řadič po úspěšné autentizaci přidělí uživateli specifická oprávnění) Autorizace je separátním procesem, předchozí autentizace není podmínkou (např. znalost PINu).

Zranitelná místa fyzická zranitelnost – umístění IS v místě, které je snadno dostupné sabotáži, vandalizmu, výpadku napětí přírodní – záplava, požár, zemětřesení, blesk v HW či SW fyzikální – vyzařování, útoky na spoje v lidském faktoru – ten je nejrizikovější!!! – 80% četnost a.) úmyslné b.) neúmyslné c.) náhodné

Způsoby hrozeb neautorizovaná modifikace informací – odchytávání a modifikace zpráv zpřístupnění informace odposlechem na přenosovém médiu analýzou toku vyměňovaných zpráv, frekvencí zasílání škodlivý software odposlechy či kamery využívání bezpečnostních děr či slabin produktů

Útok útok = bezpečnostní incident útokem rozumíme využití zranitelného místa v IS Útočit lze: přerušením – útok na dostupnost odposlechem – útočník si zpřístupní aktiva změnou – útočník zasáhne do aktiva, provede změnu, změní funkce programu Vhodnou formou ochrany před útoky je prevence, absolutní prevence útoků však není možná

Útočníci vnitřní a vnější Rozeznáváme: a.) útočníky slabé síly – obvykle náhodné, neúmyslné útoky b.) útočníky střední síly – nejběžnější, hackeři méně zdatní, mající omezené prostředky c.) útočníky velké síly – profesionální zločinci, vysoká úroveň znalostí, mají obvykle dostatek financí i času na provedení útoku, provádějí útoky vymykající se běžné praxi. Nejméně časté, ale procentuálně dosti úspěšné. Dle povahy útočníka se volí různá bezpečností opatření a havarijní plán při výskytu bezpečnostního incidentu

Nejčastější problémy jednoduchost hesla, odvozenina hesla, psaní hesla na snadno přístupná místa stejná hesla do různých IS nebo jejich částí fyzický přístup k datům

Řešení jednoduchost hesla, odvozenina hesla, psaní hesla na snadno přístupná místa stejná hesla do různých IS nebo jejich částí fyzický přístup k datům přenášet data dostatečně zašifrovaná => použití kvalitní KRYPTOGRAFIE

Kryptografie – základní pojmy kryptografie doslova znamená studium tajného písma, známe je od starověku, přes Caesarovu šifru, Enigmu ... znamená umění udržet důvěrnou zprávu utajenou = šifrování kryptoanalýza je umění rozluštit šifru a tím pádem odhalit utajenou zprávu kryptologie je matematika pro kryptografii a kryptoanalýzu šifrovací algoritmus je funkce sestavená na matematickém základě a provádí šifrování (kryptování) a dešifrování (dekryptování) dat šifrovací klíč se dá přirovnat k heslu síla šifry – čim je šifra silnější, tím více času potřebujeme na její prolomení

Dobrá šifra šifra by neměla být prolomitelná v reálném čase a s použitím „rozumných“ výdajů šifrování by mělo proběhnout rychle množství práce vynaložené na šifrování a dešifrování by mělo být úměrné požadovanému stupni utajení šifrovací algoritmus by neměl obsahovat zbytečná omezení implementace algoritmu by měla být co nejjednodušší chyby při šifrování by se neměly příliš šířit zprávy by se šifrováním neměly zvětšovat

Kryptografické metody jednosměrné obousměrné – při znalosti správného klíče můžeme data dešifrovat a získat originál Jednosměrné nejčastěji slouží k ukládání hesel, čímž se zabrání jejich odhalení i po zpřístupnění jejich uložené verze, ale zůstává možnost ověření hesla zadané uživatelem. Jejich obdobou jsou digitální podpisy.

Kryptografické metody – jiné rozdělení šifrování s privátním klíčem (symetrické) – existuje jediný klíč pro šifrování a dešifrování. Účastníci znají klíč předem. šifrování s veřejným klíčem (asymetrické) – používá dva klíče privátní a veřejný. Cokoli je zašifrováno jedním klíčem, lze dešifrovat pouze druhým a naopak. Jeden z klíčů lze zveřejnit - veřejný klíč. hybridní šifrování – kombinace obojího

Výtahy zpráv označujeme je jako tzv. hash kódy správně by měly být nazývány kryptografické kontrolní kódy jedná se o jednosměrné algoritmy za celou historii lidstva nevzniknou dva dokumenty, které by měli stejný 128bitový obsah z různých serverů si můžeme stáhnout i soubor s jejich kontrolními součty - ukázka

Hashes - ukázka http://tidy.sourceforge.net/

Kryptografické algoritmy DES (Data Encryption Standard) – symetrický klíč 56bitů překonaný IDEA (International Data Encryption Algorithm) – symetrický klíč 128bitů, odolnější, náhrada DES, použit v PGP RSA (Rivest, Shamir, Adleman) – asymetrický, elektronický podpis, US patent, dnes standard, použit pro digitální podpisy (ČR) DSA (Digital Signature Algorithm) – asymetrický, použit pro digitální podpisy (US) MD5, SHA (Secure Hash Algorithm) – jednocestný, 128b

Digitální podpisy (= elektronické) mediálně známé digitální podpis je výtah zprávy zašifrovaný privátním klíčem autora dokumentu a je distribuován s ním. Máme-li veřejný klíč, jsme schopni dešifrovat výtah zprávy a porovnat ho s výtahem, který vytvoříme z obdrženého dokumentu. Digitální podpis zajišťuje 3 důležité fce: integritu autentifikaci (víme, kdo zprávu podepsal) nepopíratelnost (autor nemůže zapřít, že zprávu podepsal)

Certifikační autority (CA) Certifikační autority mohou vydávat elektronický podpis Seznam CA: První certifikační autorita http://www.ica.cz Czechia http://www.caczechia.cz Trusport http://www.trustport.cz GlobeInternet .....

Použití šifrování v praxi SSL (Secure Sockets Layer) – vrstva mezi aplikační vrstvou a protokolem TCP; asymetrická šifra, klíče se generují automaticky, pro přenos se použije symetrický algoritmus PGP (www.pgp.cz) Zástupci konkrétních produktů: program TrueCrypt (http://www.truecrypt.org) - on-line kvalitní šifrování dat na disku Keypass password safe – program na bezpečné ukládání hesel

Rodina Windows 2000 – stručný přehled Windows 2000 jsou následovníkem Windows NT 4.0 Windows 2003 jsou Windows 2000 v kabátě Windows XP s přídavnými funkcemi, vylepšeními a lepší podporou .NET obrovský rozdíl nastal mezi verzemi NT 4.0 a Windows 2000 mezi Windows 2000 a 2003 již takový rozdíl není

Windows 2000 Professional Windows 2000 Server   Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Server Windows 2003 Server Web Edition Windows 2003 Server Standard Edition Windows 2003 Server Enterprise Edition* Windows 2003 Server Datacenter Edition* Cílové využití Pracovní stanice a notebooky Soubory, tisk, síť, intranet, práce v síti Obchodní aplikace, elektronický obchod Rozsáhlé důležité aplikace, zpracování transakcí online, databáze, internetový server Webový server Soubory, tisk, síť, práce v síti Podniková infrastruktura, elektronické obchodování, zpracování transakcí v reálném čase databáze, software pro plánování podnikových zdrojů, zpracování velkého množství transakcí v reálném čase ... Počet podporovaných procesorů 2 4 8 32 minimálně 8, max, 32 pro x86, max. 64 pro Itanium Podporovaná paměť 4GB 8GB 64GB 32GB (x86), 64GB (Itanium) 64GB (x86), 128GB (Itanium) Clustery žádné Překlopení mezi dvěma uzly, vyvážení zátěže mezi 32 uzly Překlopení mezi čtyřmi uzly, vyvážení zátěže mezi 32 uzly Překlopení mezi čtyřmi uzly, vyvážení zátěže mezi 32 uzly Překlopení mezi osmi uzly, vyvážení zátěže mezi 32 uzly Minimální požadavky na systém** Kompatibilní Pentium 133MHz, 64MB RAM, 1GB místa na HDD Kompatibilní Pentium 133MHz, 128MB RAM, 1GB místa na HDD Kompatibilní Pentium 133MHz, 256MB RAM, 1GB místa na HDD Kompatibilní Pentium 233MHz, 256MB RAM, 1GB místa na HDD Kompatibilní Pentium 133MHz, 128MB RAM, 1,5GB místa na HDD Kompatibilní Pentium 133MHz, 128MB RAM, 1,5GB místa na HDD pro x86 Kompatibilní Pentium 400MHz, 1GB RAM, 1,5GB místa na HDD pro x86   * k dispozici pro 32bitové i 64bitové platformy ** doporučené požadavky jsou pro představu cca 4x vyšší Řada produktů Windows Server 2003 vychází ze systému Windows 2000 a obsahuje další vylepšení a funkce, které připraví vaši organizaci na plné využití platformy Microsoft .NET.

* k dispozici pro 32bitové i 64bitové platformy ** doporučené požadavky jsou pro představu cca 4x vyšší   Řada produktů Windows Server 2003 vychází ze systému Windows 2000 a obsahuje další vylepšení a funkce, které připraví vaši organizaci na plné využití platformy Microsoft .NET.

Rysy Windows 2000 vysoká doba provozu systému zvýšená dostupnost dynamická konfigurace systému snadné zavedení, konfigurace a použití centralizovaná správa ...

Výhody Windows 2000 Serveru relativní jednoduchost, např. oproti Linuxu robustnost, vysoký výkon, škálovatelnost centrální, vzdálená administrace, průvodci existence dalších produktů od fy Microsoft i od třetích stran s integrací do samotného OS, upgrade in place jednoduché začlenění i do jiných sítí (Novell, UNIX i MacIntosh), podpora Microsoftu nízké TCO (celkové náklady na vlastnictví)

Nevýhody Windows 2000 Serveru cena v porovnání s některými distribucemi Linuxu – je zdarma, ale cenově je výhodnější než Novell nejsou k dispozici zdrojové kódy vyšší nároky na hardware cena přístupových licencí – další náklady

Windows 2000 a sítě Windows 2000 podporují snad všechny síťové služby: DNS, FTP, WWW server (IIS), DHCP, RAS, telnet, DFS, NTP, routing, RPC, BOOTP, podpora PPP další novinkou jsou adresářové služby Active Directory (dále jen AD) Další služby: terminálové služby, vylepšená podpora tisku, clustery, vyrovnávání zátěže sítě, QoS, podpora filtrace paketů, zamezení DLL hell, podpora šifrování souborů, Kerberos, LDAP, podpora rychlých sítí a VPN. Ostatní přídavné modely lze dokoupit: SQL Server, Exchange Server, Proxy Server, System Management Server, prakticky toto všechno je obsaženo v balíku BackOffice Server, další balík produktů SBS. Existují i produkty třetích stran (např. Citrix MetaFrame)

Další vlastnosti Windows 2000 diskové operace: systém souborů na bázi transakcí NTFS verze 5, zabezpečení souborů, šifrování, on-line komprese, diskové kvóty, podpora velkých diskových polí (až 17.000 TB), mirroring, remote storage, dohled nad bezpečností (audit), zálohování dat symetrický multiprocessing a multitasking, clustering vysoká míra stability a bezpečnosti: stupeň zabezpečení C2, po úpravě i B2, certifikace ovladačů, protokol IPSec, protokol SSL, infrastruktura veřejných klíčů, podpora karet Smart Card, zabezpečená síťová komunikace, ochrana souborů OS, nouzový režim, zotavení systému, záloha a obnovení celého systému na pásku

Správa sítě Windows 2000 je možná delegovaná správa pomocí AD, jemná distribuce správy Windows 2000 Serveru konzole MMC (Microsoft Management Console) je centrální konzolou pro správu systému či jiných Windows 2000 Serverů modul WSH (Windows Scripting Host) – jednoduchá správa prostřednictvím skriptů, ev. příkazového řádku koexistence a spolupráce jiných Windows NT serverů (mixed vs. native mód)

Základní pojmy uživatel, skupina uživatelů, lokální, globální uživatelský účet, uživatelský profil (mandatorní, cestovní), uživatelské politiky pracovní skupina vs. doména řadič domény, PDC, BDC vs. Windows 2000 logon, logoff script vztahy mezi doménami (trusty) Active Directory

Active Directory – termíny I. AD se skládá z objektů, objekty mají atributy schéma je specifická definice objektů a atributů příklad: uživatelský účet jméno titul kancelář telefon oddělení .....

Active Directory – termíny II. organizační jednotka (zkr. OU) – nejnižší forma seskupování v AD skupinová politika může být implementována na úrovni OU může být vnořena až do hloubky 12-ti úrovní OU odrážejí organizaci firmy, společnosti může být zvoleno geografická nebo obchodní strategie .....

Pravidla a metody pro návrh doménové struktury návrh je strategicky důležitou částí, věnujte mu náležitou pozornost začněte s jednou doménou vytvářejte další domény v případě, že: máte pomalé linky mezi oblastmi chcete redukovat replikace cílové lokality jsou od sebe vzdáleny některé domény jsou z bezpečnostního hlediska kritické berte v úvahu současné i budoucí potřeby, geografii a další rozšiřování organizace či firmy vytvořte více modelů (alespoň 3) a porovnejte je mějte na paměti, že nevytváříte umělecké dílo

Active Directory – dokončení další pojmy: strom a les stromy a les(y) se vytváří v rozsáhlých firmách či organizacích vytvoření lesa přinese: více administrativní práce vícenásobný jmenný prostor více administrátorů pokud je společnost velmi rozmanitá, může být les tím správným řešením les umožňuje propojení více firem omezuje problémy mezi administrátory

Nejběžnější činnosti administrátora vytvoření koncepce sítě, úloha serverů, dělba práce mezi servery správa skupin uživatelů (globální, lokální skupiny) správa uživatelských účtů (vytváření účtů, změna hesel) přístup ke složkám NTFS, zálohování správa tiskáren, tiskových úloh přidávání, odstraňování SW na stanicích, antivir správa a údržba pracovních stanic zabezpečení před útoky zevnitř i zvenčí, sledování potencionálních bezpečnostních děr podpora uživatelů (např. při řešení problémů)

Praktické ukázky základního nastavení ve Windows 2000 nástroje pro práci s diskem – mountvol, cacls, xcacls, chkdsk ... sledování systému, výstrahy a protokolování výkonu - perfmon ukázka tvorby účtů ve Windows 2000 (addusers) nastavení práv uživatelů – z příkazové řádky a pomocí dialogu vytváření sdílených složek a tiskáren diskové kvóty klonování PC zásady zabezpečení secpol.msc, gpedit.msc netsh + ukázka