Aplikovaná informatika Ochrana přístupu k volně dostupným datům, zabezpečený vzdálený přístup k datům, ochrana a zabezpečení datových úložišť. ZEMÁNEK, Z. – PLUSKAL,D. – SMETANA, B.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326
Ochrana přístupu k volně dostupným datům, zabezpečený vzdálený přístup k datům, ochrana a zabezpečení datových úložišť.
i
1. 2. 3. 4.
Metody přístupu k volně dostupným datům Zabezpečení vzdáleného přístupu k datům Datová úložiště a jejich ochrana Kontrolní otázky a úkoly do samostudia
Cíle přednášky 1. Předat studentům základní informace o metodách přístupu k volně dostupným datům. 2. Objasnit význam zabezpečení vzdáleného přístupu k datům. 3. Charakterizovat datová úložiště a jejich ochranu.
Metody přístupu k volně dostupným datům Už jak více 150 milionů uživatelů na Internetu. Viry jsou stále největší nebezpečí - ale změnily svůj charakter: dříve mazaly soubory, šířily se hlavně na disketách, dnes se snaží co nejvíce rozšířit po sítích, ch využívají poštu a bezpečnostní chyby v softwaru (např. vir Sobig.F, není www.technewsworld.com destruktivní, nemění data, ale může zahltit servery svými kopiemi, velká rychlost šíření).
Rok 1983 - Fred. Cohen na Pensylvánské univerzitě použil kód, který se dokázal sám zničit - označil jej termínem virus.
[1]
Metody přístupu k volně dostupným datům Zabezpečení vzdáleného přístupu k datům VPN - (Virtual Private Network) Název pro skupinu technologií, resp. protokolů, pro realizaci privátních datových přenosů VPN slouží jak pro: připojení vzdáleného klienta do LAN, propojení více LAN mezi sebou. VPN spojuje 2 body a bezpečně přenáší šifrovaná data, je třeba k provozu takové sítě vlastnit potřebné autentizační prostředky (digitální podpis). Cíl: zabránit změnám při přenosu - nemožnost [2] odposlechu dat.
Metody přístupu k volně dostupným datům VPN - zabezpečení vzdáleného přístupu k datům připojení vzdáleného klienta do LAN Připojení VPN pro vzdálený přístup umožňují uživatelům, kteří pracují doma nebo na cestách, pracovat se serverem v privátní síti pomocí infrastruktury veřejné sítě, například Internetu. Z pohledu uživatele lze VPN chápat jako propojení mezi dvěma body, tedy mezi počítačem (klientem VPN) a serverem organizace. Přesná infrastruktura sdílené nebo veřejné sítě není podstatná, protože logicky to vypadá, jako by data byla odesílána přes vyhrazenou privátní linku.
[2]
Metody přístupu k volně dostupným datům VPN - zabezpečení vzdáleného přístupu k datům propojení více LAN mezi sebou Připojení VPN mezi sítěmi (označované také jako připojení VPN mezi směrovači) umožňuje organizacím směrovat připojení mezi odloučenými pracovišti nebo jinými organizacemi přes veřejnou síť při zachování zabezpečené komunikace. Připojení VPN směrované přes Internet funguje logicky jako vyhrazená linka rozlehlé sítě WAN. Také VPN může propojovat dvě části privátní sítě. Server VPN poskytuje směrované připojení k síti, ve které se tento server VPN nachází.
[2]
Metody přístupu k volně dostupným datům
Obr. Slabá místa na cestě ke koncovému uzlu [1]
Slabá místa na cestě ke koncovému uzlu = Množství mezilehlých uzlů = Mohou být zavirované nebo jinak zkompromitované Přenosová média = Možnost odposlechu Hrozby = Odposlech komunikace a sniffing hesel = Veřejná wi-fi Ochrana = Šifrované spojení (HTTPS) = Šifrovaný přenos (SSL) [1] vs certifikát
Metody přístupu k volně dostupným datům HTTP komunikace
HTTP (Hypertext Transfer Protocol) je internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML.
Používá obvykle port TCP/80, verze 1.1 protokolu je definována v RFC 2616. Tento protokol je spolu s elektronickou poštou tím nejvíce používaným a zasloužil se o obrovský rozmach Internetu v posledních letech.
V současné době je používán i pro přenos dalších informací. Pomocí rozšíření MIME umí přenášet jakýkoli soubor (podobně jako e-mail), používá se společně formátem XML pro tzv. webové služby (spouštění vzdálených aplikací) a pomocí aplikačních bran zpřístupňuje i další protokoly, jako je např. FTP nebo SMTP.
Metody přístupu k volně dostupným datům HTTP komunikace Standardně není HTTP požadavek ani odpověď serveru nijak šifrovaná To se týká: Uživatelských jmen a hesel Osobních údajů, které vkládáte do formulářů: Adresa. Datum narození. Rodné číslo. Pokud má někdo přístup k síťové infrastruktuře, kudy data procházejí, může je odposlouchávat. vat To se týká i hackerů, kteří se dostali k přepínačům, směrovačům apod. po cestě…
Metody přístupu k volně dostupným datům HTTP komunikace Start/spustit/cmd Telnet www.seznam.cz 80 GET / [enter] [enter]
GET je v informatice jedna z dotazovacích metod HTTP protokolu, kterou webový prohlížeč (klient) získává webovou stránku (nebo jiný objekt – například obrázek) z webového serveru.
Metody přístupu k volně dostupným datům HTTP komunikace • • • • • Hlavičky• • • • •
GET / HTTP/1.0 Požadavek Connection: Keep-Alive User-Agent: Mozilla/4.7 [en] (X11; U; FreeBSD 3.4-STABLE i386) Host: www.rtfm.com Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Encoding: gzip Accept-Language: en Accept-Charset: iso-8859-1,*,utf-8 (blank line) Prázdný řádek
Metody přístupu k volně dostupným datům HTTP komunikace HTTP používá jako některé další aplikace tzv. jednotný lokátor prostředků (URL, Uniform Resource Locator), který specifikuje jednoznačné umístění nějakého zdroje v Internetu.
Samotný protokol HTTP neumožňuje šifrování ani zabezpečení integrity dat. Pro zabezpečení HTTP se často používá TLS spojení nad TCP. Toto použití je označováno jako HTTPS.
Metody přístupu k volně dostupným datům HTTPS komunikace HTTPS (Hypertext Transfer Protocol Secure) je v informatice nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi webovým prohlížečem a webovým serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. HTTPS používá protokol HTTP, HTTP přičemž přenášená data jsou šifrována pomocí SSL nebo TLS a standardní port na straně serveru je 443. Základy pro dnešní podobu HTTPS sahají do 90. let minulého století. Tehdy společnost Netscape Communications přišla s první verzí protokolu SSL, který vytvořila pro svůj webový prohlížeč. Tento protokol pak umožnil aplikačním protokolům možnost šifrovaného přenosu informací a ověření identity.
Metody přístupu k volně dostupným datům HTTPS komunikace HTTPS = HTTP + SSL HTTPS komunikace je zabezpečena protokolem SSL/TLS. SSL/TLS zajišťuje: Důvěrnost přenášených dat. Data jsou symetricky šifrována. Integritu přenášených dat. Data jsou zabezpečena pomocí MAC (Message Authentication Code). Autentizaci. Defaultně je povinná autentizace serveru.
Zabezpečení vzdáleného přístupu k datům Průběh SSL/TLS
Zabezpečení vzdáleného přístupu k datům SSL/TLS Protokol Transport Layer Security (TLS) a jeho předchůdce Secure Sockets Layer (SSL) jsou kryptografické protokoly, poskytující možnost zabezpečené komunikace na Internetu pro služby jako WWW, elektronická pošta, internetový fax a další datové přenosy. Mezi protokoly SSL 3.0 a TLS 1.0 jsou drobné rozdíly, ly ale v zásadě jsou stejné. SSL/TLS protokoly zajišťují bezpečnost při webových transakcích, ale rozhodně nejsou jediným řešením poskytujícím ochranu při internetovém provozu. Architektura internetu obsahuje různé protokoly a každý z těchto protokolů může být chráněný jiným principem ochrany.
Zabezpečení vzdáleného přístupu k datům Autentizace v HTTPS Standardně je povinná autentizace serveru, serveru tj. když se klient (např. webový prohlížeč) připojuje k (webovému) serveru má jistotu, že se připojil ke správnému serveru. To je důležité při zadávání hesel, čísel platebních karet… Nebezpečný Phishing …
Zabezpečení vzdáleného přístupu k datům Autentizace v HTTPS Server posílá certifikát serveru. Certifikát uvádí jméno serveru a veřejný klíč serveru. Protokol SSL/TLS dále ověří, zda server má k dispozici soukromý klíč odpovídající certifikovanému veřejnému klíči. Data se šifrují veřejným klíčem serveru, jen správný server bude umět dešifrovat.
Zabezpečení vzdáleného přístupu k datům Autentizace v HTTPS Certifikát serveru je podepsán vydávající certifikační autoritou (CA). Tato podepisující CA musí být považována za důvěryhodnou. A její certifikát musí mít uložen v seznamu důvěryhodných CA…
Zabezpečení vzdáleného přístupu k datům Autentizace v HTTPS Seznamy jsou uloženy v prohlížečích (IE bere seznam z OS). Iniciálně jsou tam i desítky CA o kterých jste nikdy neslyšeli… Tyto seznamy můžete konfigurovat. Těm všem automaticky důvěřujete. ☺
Zabezpečení vzdáleného přístupu k datům EV certifikát podepsán důvěryhodnou CA EV (extended validation) certifikát má vyšší míru důvěry ve shodu vlastníka domény s webovým serverem. Technicky ten stejný X.509 (s drobnou poznámkou), ale CA si žadatele o EV certifikát více „proklepne“.
Pokud certifikát není podepsán důvěryhodnou CA, nemusí to automaticky znamenat špatnou stránku. nku Naopak certifikát podepsaný důvěryhodnou CA nemusí znamenat, znamenat že na webové stránce nemůže být nějaký malware. Jednoduché řešení/návody pro uživatele neexistují.
Vzdálená datová úložiště a jejich ochrana Možnosti sdílení velkých souborů Ruku v ruce se stoupající rychlostí a kvalitou internetového připojení roste i velikost průměrného dokumentu. Využívání světové sítě tak tvoří i problematika sdílení velkých souborů. Fotografie z dovolené můžete v omezené míře poslat přátelům na e-mail, na velký objem dat je však elektronická pošta poměrně nevhodná. Povětšinou jste totiž omezeni nastavenou nedostatečnou velikostí přílohy a charakterem práce s poštovní schránkou. Nejpohodlnější cestou je tak anonymní sdílení dat pomocí webových úložišť.
[4]
Vzdálená datová úložiště a jejich ochrana Možnosti sdílení velkých souborů ze vzdálených úložišť Služba Ulož.to spustila společnost Nodus Technologies. Podmínky: Zcela zdarma nabízí luxusní kapacitu až 800MB bez nutnosti registrace. Pokud se ale zaregistrujete, získáte přehled nad všemi vámi nahranými soubory. Prioritou je ochrana uložených dat.
[5]
[4]
Vzdálená datová úložiště a jejich ochrana Možnosti sdílení velkých souborů ze vzdálených úložišť Služba Ulož.to spustila společnost Nodus Technologies. Podmínky: Poskytovatel neomezuje maximální velikost souboru ani konektivitu, rychlost nahrávání a stahování je tak vzhledem k připojení rovnou do páteřní sítě omezena především vaším poskytovatelem internetového připojení. Soubor vydrží v úschovně tak dlouho, jak často si jej budou uživatelé stahovat. Pokud si jej nikdo nestáhne po dobu jednoho měsíce, ce [4] přijdete o něj.
Místní datová úložiště a jejich ochrana Možnosti sdílení velkých souborů NAS (anglicky Network Attached Storage – „datové úložiště na síti“) je v informatice označení pro datové úložiště připojené k místní síti LAN. Data toho úložiště mohou být poskytována různým uživatelům. NAS nemusí mít pouze funkci souborového serveru, ale může mít i jiné specializované funkce. Většinou obsahuje nějaký vestavěný počítač, který má za úkol sdílení dat a podporu protokolů.
[6]
Např. NAS server pro až čtyři 3.5/2.5" SATA disky s maximální kapacitou na disky 4 TB, 1.6 GHz procesor, RAM 512 MB DDR3, 1x GLAN, 2x USB 2.0, Web, Print, FTP, Backup, iTunes [6] server.
Místní datová úložiště a jejich ochrana Možnosti sdílení velkých souborů NAS zařízení si získala popularitu od roku 2010, když začala být používána pro sdílení dat mezi několika počítači. V porovnání mezi jinými síťovými úložišti jsou NASy rychlejší, mají lehčí administraci a snadnější nastavení. NAS obsahuje jeden a více pevných disků, které se můžou slučovat do větších datových struktur nebo můžou vytvořit RAID pole. RAID (anglicky Redundant Array of Inexpensive/Independent Disks – vícenásobné diskové pole laciných/nezávislých disků) je v informatice metoda zabezpečení dat proti selhání pevného disku. Např. NAS server vhodný pro rozvíjející se podniky s možností osazení až 5x 3.5/2.5" SATA disků s maximální kapacitou na jeden disk 4 TB, maximálně tedy 20TB [6] úložného prostoru.
Přístup k volně dostupným datům Je nutné si vždy uvědomit: 1. 2. 3.
4.
5.
Síť Internetu je anonymní prostředí (ten s kým komunikujete, nemusí být ten, za koho se vydává - vznikají alternativní identity). Informace, ke kterým máte přístup nemusí být věrohodné, možno narazit i na dezinformace a to nejen z hlediska zastarání. Na webových stránkách nejste anonymní, jsou zde identifikační mechanismy – přes IP adresy jednotlivých uzlů je možné sledovat pohyb Internetem, ale také odchytávat přenášená data – komunikaci. Poskytovatelé mají povinnost uchovávat určitá data o činnosti svých uživatelů, v případě soudního požadavku je mohou poskytnout. Také zaměstnavatelé monitorují příjemce a odesilatele požadavků. [1]
Úkoly pro samostatnou práci Předat studentům základní informace o metodách přístupu k volně dostupným datům. Objasnit význam zabezpečení vzdáleného přístupu k datům. Charakterizovat datová úložiště a jejich ochranu.
Zdroje - doplňující studijní literatura: 1.
2. 3.
4.
5. 6.
KÁBRT, Filip. Bezpečnost na Internetu [online]. [cit. 2013-12-25]. Studijní materiály MFF UK. Dostupné z: www.liveonline.cz/docs/lol_prednaska_bezpecnost.ppt Co je VPN? [online]. © 2013 Microsoft. [cit. 2013-12-26]. Dostupné z: http://technet.microsoft.com/cs-cz/library/cc731954(v=ws.10).aspx ČEKAN, Lukáš. Podniková informatika - přednáška [online]. 2013-04-07. [cit. 2013-12-25]. Studijní materiály z FEI UPCE, obor Informační technologie. Dostupné z: http://fei.pepiczech.cz/?p=136 Přehled českých webových služeb pro snadné sdílení dat. [online]. 2013 [cit. 2013-12-16]. Dostupné z: http://www.zive.cz/clanky/prehledceskych-webovych-sluzeb-pro-snadne-sdileni-dat/sc-3-a141698/default.aspx Jak stahovat z ulozto.cz ZADARMO!! [online]. 2013 [cit. 2013-12-16]. Dostupné z: http://www.youtube.com/watch?v=SxO2O2SNosM Chytrá datová úložiště (NAS) [online]. 2013 [cit. 2013-12-16]. Dostupné z: http://www.alza.cz/servery/diskove-stanice/
