prednes11site - firewally prednes6sw - antiviry

Prezentace na téma: "prednes11site - firewally prednes6sw - antiviry"— Transkript prezentace:

1 prednes11site - firewally prednes6sw - antiviry
Výtah z přednášek prednes5io - UPS prednes11site - firewally prednes6sw - antiviry prednes15bezp_na_Int - viry prednes13bez - šifrování a ostatní způsoby ochrany STJ

2 1. proti výpadku proudu - UPS Uninterruptible Power Source
Sítě - ochrana dat Ochrana dat v síti 1. proti výpadku proudu - UPS Uninterruptible Power Source záložní bateriové zdroje technologie: off-line, proud prochází skrze UPS do poč., k přepnutí na baterii dochází v době výpadku, = kritický moment nedokáže komunikovat s poč. STJ

3 Hardware - ostatní I/O zař.
line-interactive, dražší, ovládání na připojeném poč., možnost monitoringu on-line technologie , nejdražší dodává energii všem připojeným zařízením přímo z baterií, které jsou průběžně dobíjeny náročnost na kvalitu baterií cena desítky tisíc důležitý údaj - doba, po kterou je schopen zásobovat zařízení energií (= minut chodu na baterie) STJ

4 2. jméno, heslo, práva uživatelů nastavená správcem sítě
Sítě - ochrana dat 2. jméno, heslo, práva uživatelů nastavená správcem sítě 3. zálohování disků zrcadlení (mirroring, pole disků RAID 1), stejný řadič pro oba disky zdvojení disků (duplexing), každý má svůj řadič server duplexing, spojeny spec. kabelem STJ

5 Sítě - ochrana dat obrazy disků (drive image) kopie disku, uloží se do 1 souboru, přenese se na jiný disk (klonování disku) s použitím image uloženého na síť. disku lze náš disk obnovit image se dá vytvořit nebo obnovit za běhu STJ

6 užší smysl: sw balík instalovaný na předsunutém počítači
Sítě - ochrana dat 4. Firewally širší smysl: souhrn technických opatření k řízení komunikace mezi chráněnou sítí a vnějším světem užší smysl: sw balík instalovaný na předsunutém počítači W XP - automaticky je fw aktivní u každého vytáčeného spojení STJ

7 Sítě - ochrana dat Funkce firewallu
řízení komunikace (selektivní povolení nebo zákaz) záznam událostí (monitorování provozu v síti) záznam úspěšných i neúsp. pokusů o přístup, + relevantní detaily (i heslo) překlad adres (NAT - Network Address Translation) - mapování množiny vnitřních adres na 1 adresu nebo množinu vnějších adres, vnitřní adresy skryty za jednou adresou STJ

8 Sítě - ochrana dat další fce firewallu:
vytváření dočasných bezpečných (šifrovaných) komunikačních kanálů = VPN, virtuální spojení, tunelové spojení (Virtual Private Network) regulace přístupu interních uživatelů do Internetu vzdálený přístup oprávněných uživatelů STJ

9 Implementace FW různými způsoby
Sítě - ochrana dat autentizace - ověřování totožnosti partnerů obsluha síťových služeb - zároveň může fungovat jako nameserver, poštovní server, vyrovnávací server (cache), viruswall Implementace FW různými způsoby někdy výkonné unixové servery někdy se nazývají proxy servery, proxy brány jsou i osobní firewally (Kerio Personal Fw) STJ

10 Bezpečnost - viry, antiviry
viry, největší nebezpečí - změnily svůj charakter dříve mazaly soubory, šířily se hlavně na disketách dnes se snaží co nejvíce rozšířit, využívají poštu a bezpečnostní chyby v softwaru (např. vir Sobig.F, není destruktivní, nemění data, ale může zahltit servery svými kopiemi, velká rychlost šíření) Fred. Cohen na Pensylvánské univ. použil kód, který se dokázal sám zničit - označil jej termínem virus STJ

11 Bezpečnost - viry, antiviry
Dělení virů: podle umístění v paměti (rezidentní - je obtížnější je vytvořit; nerezidentní - hist. nejstarší) podle cíle napadení (bootovací - napadají zaváděcí sektor; souborové - spustitelné programy .COM, .EXE, .BAT, .OVL, .SYS, .BIN; multipartitní = kombinace obou - první byl Tequila, který byl navíc ještě polymorfní a stealth) podle způsobu chování (stealth - odviruje pgm „v letu“, tj. při kontrole antivirem se nákaza programu neprojeví - Frodo; polymorfní - vytváří nové kopie, které se neshodují, retroviry - deaktivují antiviry) STJ

12 Bezpečnost - viry, antiviry
další škodlivé kódy: červi (worms)- nevkládají se do jiných programů, nepotřebují hostitele ke své replikaci, ale jsou ve formě samostatných souborů, které se spustí hned při startu poč., pro šíření využívají služeb sítě, používají pakety bomby - (logické, časované, SMS bombery) dialer - přesměruje připojení uživatele na jiné číslo s vysokým tarifem backdoors -(zadní vrátka) umožňují vzdálenou správu počítače bez vědomí majitele = trojský kůň STJ

13 Bezpečnost - viry, antiviry
hoax - není virus, ale ová poplašná zpráva, varuje před virem a vyzývá k šíření, řetězový makroviry - rozšířily se spolu s kancelářskými balíky, napadají datové soubory, dokumenty (Wordu, Excelu, PowerP….) - Concept jsou nezávislé na platformě a op. systému trojské koně - program, který vykonává obvykle očekávanou činnost, ale navíc činnost, o které uživ. nemá ponětí (např. odesílá soubory, zašifruje data a za vydání dešifrovacího klíče vyžaduje výpalné, PWS - Password stealing trojan) STJ

14 Bezpečnost - viry, antiviry
viry využívají bezpečnostní díry v programech, např. chyba v kontrole hesla při přístupu ke sdíleným prostředkům v síti (využívá červ I-Worm/Opas) tyto díry se vyskytují v každém softwaru je třeba instalovat tzv. záplaty antiviry - pomoc až po nákaze firewally - je-li správně nastaven, může zabránit infekci předem, odhalí pokusy o průnik jednodušší FW bývá i součástí antivirového programu různé programy této kategorie se těžko snášejí STJ

15 Bezpečnost - viry, antiviry
firewall obsažený v operač. systému (W XP) je softwarový, chrání pouze poč. na kterém je spuštěn nejvíce virů pro W kdyby byl na 90 % poč. Linux, žádného hackera by nenapadlo psát viry pro Windows problémy se týkají výrazně větší komunity STJ

16 Software - Antiviry 5. TAPV- Antiviry Funkce:
jedna část je rezidentní skener, pracuje na pozadí, hlídá práci se soubory (skenování = odvozeno od programu Scan) druhá nerezidentní, spustitelná kdykoliv prohledávání pevných disků (nyní všechny soubory) měl by prohledávat i komprimované s. zabránění otevření infikovaného souboru desinfekce souborů, případný přesun do karantény STJ

17 Software - Antiviry odeslání varování správci
kontrola přístupových cest (pošta, Internet) skenování i odesílané pošty - zabraňuje aut. odesílání tzv. červů všem, které máme v adresáři heuristická analýza pro hledání nových virů hledá v programech techniky používané viry často hlásí plané poplachy ale dokáže odhalit i viry skenováním nedetekovatelné STJ

18 Software - Antiviry nutná aktualizace antivirového prog.
dobrý antivir aktualizuje sám sebe, update databáze virů z Internetu automaticky problém je šifrovaná komunikace (heslo a klíč) detekce nových typů průniků - programy, které monitorují a odesílají stisky kláves, instalovaný spyware (odesílá různé informace o uživateli, ne vždy marketingového charakteru) STJ

19 Software - Antiviry Antiviry AVG (firma Grisoft Sw, Brno)
AVAST 32 (Alwil Software) VirusScan (McAfee Associates) - omezená podpora komprim. souborů, neskenuje otevřené web. stránky Norton Antivirus (Symantec) firma ho prodává i jako součást balíků - firewallový Internet Security PC - cillin ( Trend Micro) STJ

20 Software - Antiviry Kaspersky Antivirus 5.0 Personal
Eugen Kaspersky - ruský antivirový odborník antivir ochrání před běžnými souborovými viry, internet. červy prohledává 700 typů komprimovaných souborů, ale vyléčí jenom 4 nejznámější typy archivů má funkci, která pošle podezřelý soubor do laboratoře výrobce antiviru na analýzu makroviry v MS Office vyhledá pouze dražší rozšířená verze produktu STJ

21 Software - Antiviry NOD 32 2.0 slovenský antivir (fa Eset)
(Nemocnica na okraji disku) schopnost detekovat pomocí heuristiky moderní HLL viry (High Level Languages, viry napsané v moderních vývojových prostředích - Delphi, Visual Basic, C++) konkurence zatím nemá tuto detekci nezpomaluje tak počítač Antiviry používají buď desktopové řešení nebo řešení pro rozsáhlé sítě se stanicemi rozmístěnými po celém světě (F-Secure AntiVirus, nástupce F-Prot) aktualizace z Internetu a správa jednotlivých modulů pak probíhá šifrovaně a s el. podpisem STJ

22 Bezpečnost na Internetu
Bezpečné chování na Internetu antivirové programy nezbytností, 1x týdně aktualizace virové databáze uživatel by neměl spouštět neznámé soubory .COM, EXE, BAT, SCR, JS, VBS, PIF ani posílat tyto soubory partnerům neotvírat soubory v příloze se dvěma příponami - např. NAME.BMP.EXE nebo NAME.TXT.VBS instalace nových programů - měly by pocházet od důvěryhodného zdroje, příp. od autora STJ

23 Bezpečnost na Internetu
červi v příloze pošty často používají názvy se sex. podtextem např. PAMELA_NUDE.VBS - neotevírat červ jako spustitelný soubor může být maskován jinou ikonou, např. jako obrázek, text nepřijímat přílohy od cizích v online chat systémech jako: ICQ, IRC, AOL Instant Messenger hesla - používat různá (např. pro přístup k poč., k mailové schránce) a měnit tak 1x za měsíc STJ

24 Bezpečnost na Internetu - hesla
Heslo - nejdůlež. prvek ověřovacího mechanismu autentizační údaje uživatele (jméno a heslo) dříve se heslo přenášelo jako otevřený text, nebo jednoduše kódované dnes se používají metody jednosměrného kódování v souborech, kde jsou uložena hesla, těžko lze zpětně získat heslo je třeba speciální nástroj (jako John the Ripper, nejlepší na luštění Unix. hesel, používá hrubou sílu i slovníkový útok) STJ

25 Bezpečnost na Internetu - hesla
programy, které dokáží heslo u souboru zjistit: StarSlayer, Password Recovery Suite, ARJ Password Solver, fast Zip Cracker problém nejsou ani PDF soubory svými programy pro luštění hesel je známá ruská firma Elcomsoft luštění hesel hrubou silou za 1 hodinu lze louskačem vyzkoušet min variant, je těžší, když neznáme délku hesla počet možných kombinací závisí na délce hesla mělo by mít více než 8 znaků a používat i číslice a speciální znaky (% , #) STJ

26 Bezpečnost na Internetu - hesla
slovníkově orientované útoky program zkouší všechna slova ve slovníku (tak slov), zkouší i různé velikosti písmen číslice a speciální znaky v heslech neodhalitelné na Internetu je asi 120 slovníků Unix - síťové systémy, na nichž běží spousta služeb (hesla ke službám, delší čas na prolomení, čeká se na odpovědi) systémový soubor s hesly všech uživatelů je častým cílem útoků dříve bylo vše v souboru etc/passwd, nyní se používá mechanismus stínových hesel STJ

27 Bezpečnost na Internetu - hesla
v souboru passwd jsou informace o uživatelích, hesla jsou v souboru /etc/shadow/ ten je přístupný pouze správci Windows soubor .pwl s hesly uživatelů u starších verzí k získání hesel lze použít nástroj Cain zdarma, umí zobrazit heslo pod **** zobrazí uložená hesla, atd. u nových verzí W (2000, XP) je to bezpečnější hesla v souboru sam i zde existuje program na luštění STJ

28 Bezpečnost na Internetu - spam
Spam - nevyžádaná komerční nabídka tvoří třetinu z asi 30 miliard ročně rozesílaných zpráv N na rozesílání jsou minimální problém zejména kapacitní, zatěžuje přenosové a úschovné kapacity obtížný boj - technologie těžko rozeznává spam od regulérního mailu filtry = blokování nevyžádaného, černá listina (80% účinnost) opak je bílá listina, propuštění předem domluveného, do seznamu se dají ti, jejichž mail systém propustí STJ

29 Možnosti ochrany - realizována na několika úrovních
Bezpečnost dat Možnosti ochrany - realizována na několika úrovních 1. ochrana přístupu k počítači 2. ochrana přístupu k datům 3. ochrana počítačové sítě 4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity) STJ

30 Bezpečnost dat - hw ochrana
1. Ochrana přístupu k počítači hardwarová ochrana - bývá dražší, ale bezpečnější většinou přídavné bezpečnostní karty, mají vlastní modul BIOS a mohou provádět opatření ještě před startem op. systému mohou modifikovat data na disku tak, že po vyjmutí karty z počítače jsou nepřístupná další možnost = diskové šifrování za pomoci procesoru nebo dokonce kryptoprocesoru (příp. kryptoakcelerátoru) STJ

31 Ochrana přístupu k počítači
Bezpečnost dat - pojmy Ochrana přístupu k počítači čistě softwarová řešení - někdy též ještě před startem op. systému nebo při přihlašování do systému Pojmy: kryptografie tvorba šifer kryptoanalýza jejich luštění bez znalosti klíče kryptologie obě vědy současně šifrovací algoritmus - mat. funkce, která provádí šifrování a dešifrování dat šifrování - proces znečitelnění dat STJ

32 2. Ochrana přístupu k datům
Bezpečnost dat 2. Ochrana přístupu k datům kryptografická ochrana souborů (adresářů) nebo disků = šifrování, neustálé prodlužování šifrovacího klíče (např bitů) data budou nečitelná i v případě krádeže disku silnější než nastavení přístupových práv šifruje se též: elektronická pošta komunikace - tvorba virtuální privátní sítě (VPN) komunikace webový server - uživatel pro zabezpečení např. elektronického obchodování. STJ

33 3. Ochrana počítačové sítě
Bezpečnost dat 3. Ochrana počítačové sítě nastavena přístupová práva k serverům, adresářům, souborům, službám patří sem i firewally základem je dokument o bezpečnostní politice napřed se dělá: analýza aktiv - vymezuje, co chránit (data, přenosové kapacity, čas procesoru, diskový prostor) analýza hrozeb - tj. proti čemu chránit analýza rizik - ohodnocení aktiv a rizik, tj. nalezení zranitelných míst, výpočet očekávaných ztrát, přehled použitelných opatření a jejich cen STJ

34 Bezpečnost dat - metody šifrování
4. Ochrana pravosti a celistvosti dat metody digitálního podpisu založené na asymetrickém šifrování digitální podpis viz dále Metody šifrování používané v současné době: asymetrické šifrování = technika šifrování, která pracuje se dvěma nestejnými klíči - jeden je privátní (utajený), druhý je tzv. „veřejný“ (dostupný každému) každý uživatel vlastní dvojici klíčů, oba jsou na sobě matematicky závislé = kryptografie veřejnými klíči STJ

35 Bezpečnost dat - metody šifrování
jedna možnost použití: privátní klíč se použije k zašifrování a veřejný k odšifrování nikdo jiný než autor nemůže data zašifrovat (autentizace) druhý způsob použití asymetrického šifrování : naopak veřejný klíč příjemce se použíje k zašifrování a jeho privátní k odšifrování (určeno pro jednoho příjemce) Např.: systém RSA pracuje s asym. klíči (Rivest, Shamir, Adleman) STJ

36 Bezpečnost dat - metody šifrování
nebo řada schémat digit. podpisu symetrické šifrování pracuje se dvěma identickými klíči každý lze použít jak pro zašifrování tak i pro odšifrování obě strany klíč sdílejí předem klíč se nesmí dostat do nepovolaných rukou jen odesilatel a příjemce použitelné v malé skupině uživatelů Příklad systému: DES (Data Encryption Standard) STJ

37 Bezpečnost dat - metody šifrování
kombinace sym. a asym. šifrování asym. kryptografie se použije k výměně a distribuci symetrického klíče, který může být při každé relaci generován nový STJ

38 Bezpečnost dat - obecné požadavky
Obecné požadavky, které by měly být splněny identifikace a autentizace (často zaměňováno) je třeba vždy spolehlivě zjistit kdo je kdo - např. odesilatel zprávy (zjistí se z hlaviček přijaté zprávy), autor WWW stránky, žadatel o přístup k nějakému zdroji, atd. ….. někdy ještě navíc autentizace = ověření, že údaje zjištěné při identifikaci jsou správné (neboť se dají zfalšovat), ověření identity: heslem předmětem (dotykové paměti, bezpeč. karty) STJ

39 Bezpečnost dat - obecné požadavky
na bázi kontroly fyziologie osoby (otisk prstu, analýza hlasu, charakteristiky sítnice, duhovky) = biometrické systémy ochrany (např. notebook IBM ThinkPad T42 má integrovanou čtečku otisku prstu) autorizace - ověřuje se oprávnění k přístupu ke zdroji nebo k provedení určité aktivity (spuštění programu) nebo ověření platnosti předkládaného certifikátu autentizovaného subjektu STJ

40 Bezpečnost - obecné požadavky
Obecné požadavky, které by měly být splněny integrita dat = pravost a celistvost - obsah původních dat by neměl být pozměněn (může dojít i k chybám při přenosu) důvěrnost dat - data přístupná jenom úzkému okruhu subjektů, nebo jenom 1 příjemci (dosaženo symetrickým šifrováním) neodmítnutelnost - aby autor nemohl příslušný úkon později popřít (např. zaslání objednávky) STJ

41 Bezpečnost - zajištění požadavků
Jak různé mechanismy zajišťují ( nebo nezajišťují) tyto požadavky? symetrické šifrování - důvěrnost, ident., autentizace, neodmítnut., integrita asym. šifrování - a) je-li použit veřejný klíč k odšifrování, pak se k datům může dostat kdokoliv - požadavek na důvěrnost není takto naplněn důvěrnost, ident., autentizace, neodmítnut., integrita STJ

42 Bezpečnost - zajištění požadavků
zašifrováno je to privátním klíčem odesilatele, ostatní požadavky splněny STJ

43 Bezpečnost - zajištění požadavků
b) je-li použit veřejný klíč příjemce k zašifrování - může to provést kdokoliv, není zajištěna např. integrita určeno jen určitému příjemci důvěrnost, ident., autentizace, neodmítnut., integrita STJ

44 Bezpečnost - zajištění požadavků
jednorázová hesla - (autentizace, autorizace) oprávněný uživatel by měl obdržet generátor těchto hesel např. styk klienta s bankou první použila Expandia banka jako tzv. elektronické klíče předává-li klient bance příkaz, klíč mu vygeneruje číslo nyní nemají klienti el. klíč ve fyzické podobě banka generuje jednorázové heslo sama, pošle ho klientovi jinou cestou (na mobil) STJ

45 Bezpečnost - zajištění požadavků
jednorázová hesla - pokračování klient údaj (tzv. certifikační údaj) použije v požadavku na transakci údaj nelze znovu použít kreditní karty na jedno použití - obdoba - jednorázový údaj v roli čísla kreditní karty autorizovat se bude pouze první požadavek na platbu z této karty od banky dostane majitel generátor jednorázových údajů (program) STJ

46 Bezpečnost - elektronický podpis
Co umožňuje: - identifikaci partnera ….zda je náš partner ten za koho se vydává - ochranu obsahu zprávy ….el.podpis chrání obsah zprávy díky šifrovacím postupům - nepopíratelnost zprávy ….el.podpis prokazuje, kdy a kým byla zásilka podepsána a odeslána STJ

47 Bezpečnost - elektronický podpis
Na straně podepisující se osoby se z napsané zprávy pomocí vzorkovací (hash) funkce vytvoří otisk zprávy ten se šifruje pomocí zvoleného asymetrického algoritmu soukromým klíčem odesílatele na straně příjemce zprávy se k otevřenému textu vypočte hash pokud jsou hodnoty hash shodné, máme jistotu, že zpráva nebyla cestou změněna a že ji podepsala osoba, které přísluší data pro vytváření el. podpisu STJ

48 Bezpečnost - elektronický podpis
Digitální podpis - určení zdroje zprávy - privátní klíč šifruje pouze tzv. otisk dat (hash) reprezentativní vzorek, který má určitou pevnou velikost např. 128 bitů - přiloží se k původní zprávě v roli el. Podpisu (signatura) navíc se přiloží i veřejný klíč autora klíče vydává certifikační autorita samotný el.podpis nezaručuje důvěrnost zprávy (pokud není její obsah zašifrován veřejným klíčem příjemce, kterému je určena, ten jí odšifruje pomocí svého privátního klíče) - nejsou to primárně systémy pro utajení obsahu STJ

49 Bezpečnost - elektronický podpis
Certifikát - kombinace kombinace jména a veřejného klíče podepsaná další důvěryhodnou stranou, zahrnuje i datum vypršení klíče, jméno CA, která certifikát vydala zaručený certifikát (pro komunikaci se státní správou): 1.CA. Pošta, eIdentity seznam neplatných certifikátů “nezaručený” certifikát - celá řada firem STJ