Information Assurance 5/2007
vychází 15. 8. 2007
Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli a partnery konference Security and Protection of Information (www.unob.cz/spi)
Jsme nejlepší pobočkou na světě Rozhovor s Daliborem Lukešem z pražské pobočky Microsoftu
Obsah Rozhovor s manažerem divize Server Platform pražské pobočky společnosti Microsoft Daliborem Lukešem _ _ _ _ _ 1–3 Úvodem – Microsoft vládne číslu _ _ _ _ _2 Pohled z dílny Microsoftu _ _ _ _ _ _ _ _ _ _3 Jak se bránit proti útokům typu DDoS _ _4 VSAT – opomíjené komunikační řešení _ _5 Ochrana dat šifrováním _ _ _ _ _ _ _ _ _ _ _6 Traffic management V _ _ _ _ _ _ _ _ _ _ _7 Recenze knihy Microsoft Windows Vista _ _ 7
V posledních letech společnost Microsoft intenzivně stírá odér pochybností nad úrovní bezpečnostních vlastností svých produktů. Na otázky týkající se změn v této oblasti odpovídá Dalibor Lukeš, manažer divize Server Platform pražské pobočky této společnosti. Jaký pokrok udělal Microsoft v oblasti bezpečnosti? V oblasti bezpečnosti produktů společnosti Microsoft došlo opravdu v posledních letech k výraznému zlepšení. Nezávislí pozorovatelé, stejně jako partneři a zákazníci, pozitivně hodnotí iniciativu „Trustworthy Computing“, kterou před čtyřmi lety odstartoval Bill Gates
a která znamenala zásadní změnu ve vývoji našich produktů, sdílení bezpečnostních informací, distribuci aktualizací a v přístupu k bezpečnosti obecně. Právě konkrétní změny v bezpečnosti našich platformových produktů a pozitivní reakce trhu na tuto situaci, umožnily a v podstatě i zapříčinily aktivní vstup společnosti Microsoft na trh s bezpečnostními nástroji a řešeními. Dle reakcí zákazníků, kteří již produkty Forefront používají či o ně projevili zájem, je společnost Microsoft schopna dodat komplexně zabezpečenou infrastrukturu. Setkal jsem se s názorem, že Forefront má budoucnost, ale že jeho zakoupení
2
Information Assurance 5/2007
Úvodem Microsoft vládne číslu
Jsme nejlepší…
Některé státní organizace nepovažují čerstvé softwarové produkty za bezpečné a čekají na jejich rozličné certifikace. Například proto dnes nakupují Microsoft Windows XP místo Microsoft Windows Visty. Nedoceňují, že bezpečnostní záruky software se základy budovanými v dávných dobách nebudou nikdy dostatečné, a to přes všechny Service Packy, protože problémy jsou obsaženy tak hluboko v jádru systémů, že je už nikdy nebude možné plně odstranit. Vezměme si například problém algoritmu RC4 s použitím pro šifrování stejného inicializačního vektoru – záležitost se táhne od roku 1993 (WfW), přes rok 1999 (WinNT Syskey) pr rok 2005 (Word, Excel). A tak tento kód, který je považováno za zadní vrátka vstřícně vytvořená pro agenturu NSA, zmizí asi až se skutečně novou generací softwaru Microsoftu.
v ranném stádiu vede k riziku prodělávání dětských nemocí. Které referenční instalace má ve světě? Označení produktové rodiny Forefront je sice nové, ale většina produktů nabízená pod touto značkou existovala již dříve pod jiným označením (například Forefront Security for Exchange pod označením Antigen) a díky tomu má u nás i ve světě již řadu spokojených zákazníků mezi všemi typy společností. Největší implementací všech Forefront produktů je samozřejmě sám Microsoft s ochranou skoro sto tisíc počítačů a serverů, ale z těch bližších naší republice jmenujme například Vídeňské letiště či společnost SAS.
Novou generací softwaru je například operační systém Microsoft Windows Vista. Odměnou pro vylosovaného autora našeho kvízu bude právě kniha Williama R. Staneka Microsoft Windows Vista Kapesní rádce administrátora, vydaná nakladatelstvím Computer Press. Kvízovou otázkou tohoto čísla je: Jak se jmenuje technologie, pomocí které Microsoft Vista využívá k urychlení počítače externí flash paměť? Naše soutěž má již první dva vítěze. Otázkou kvízu čísla 3/07 našeho Information Assurance bylo: „Spoluautor jednoho z příspěvků naší konference je i spoluautorem dnes ve světě nejpopulárnějšího šifrovacího algoritmu. O koho se jedná?“ Správná odpověď byla: Vincent Rijmen. Z odesilatelů správných odpovědí byli vylosováni Ing. Miloš Dvořák z NBÚ a Jiří Hejl z eIdentity a. s. Oba obdrží poutavou knihu Pavla Vondrušky: „Kryptologie, šifrování a tajná písma“, kterou loni vydalo nakladatelství Albatros v edici OKO. Blahopřeji. SVĚTLANA PROKSOVÁ
Information Assurance Bezplatný zpravodaj vydávaný na podporu konference Security and Protection of Information www.unob.cz/spi, e-mail:
[email protected]
Vydavatel: CNSE spol. s r. o. Zodpovědná redaktorka: Světlana Proksová Redakční rada: Martina Černá, Jaroslav Dočkal, Ivo Němeček, Petr Lasek, Jiří Unzeitig, Milan Jirsa, Josef Kaderka Grafická úprava: Omega Design, s. r. o. Registrace MK ČR E 17346 ISSN 1802-4998
(Dokončení z první strany.)
Našel si již Forefront cestu k českým zákazníkům? Ano, kromě řady menších a středních firem jej používají například i některé velké finanční instituce. A další firmy projevují velký zájem. Právě úspory díky jednotné a efektivní správě jsou jedním z pozitivních ekonomických hledisek při výběru tohoto řešení. A když k němu přidáme ještě již tak velmi konkurenčně nastavené ceny produktů, vychází nám opravdu výhodné finanční podmínky. Aktuálně navíc nabízíme zajímavé slevy zákazníkům, kteří migrují svou Exchange infrastrukturu na verzi 2007 a k tomu si pořídí Forefront jako bezpečnostní řešení, či zákazníkům, kteří již některý z produktů mají (případně i jejich starší verzi) a chtějí portfolio používaných produktů rozšířit na celou rodinu Forefront – tedy na zabezpečení rozhraní sítě, serverů a klientských stanic. Forefront je relativně nový produkt, je věnována potřebná pozornost přípravě distributorů, prodejců i zákazníků? Školení a semináře na téma produktů Forefront probíhají kontinuálně již několik měsíců, a to jak pro naše partnery, tak pro zákazníky. Kromě těchto akcí, pořádaných přímo společností Microsoft, se podílíme i na seminářích a konferencích pořádaných právě našimi partnery či třetími stranami. Kromě klasických seminářů pořádáme také takzvané „hands-on-laby“, tedy akce, kdy si účastníci mají možnost přímo na testovacím prostředí produkty vyzkoušet v různých scénářích použití. Každý zájemce o produkty Forefront, ale i další produkty z dílny Microsoft, tak má možnost poznat produkty detailněji než jen z letáků či prezentací. Přehled těchto akcí je pravidelně zveřejňován na našich stránkách či v rámci elektronických zpravodajů. Vloni si české zastoupení stanovilo ambiciózní plány na tříleté období – jak se je daří
Dalibor Lukeš, MBA Od srpna 2006 je manažerem divize Server Platform ve společnosti Microsoft, kde dříve působil jako manažer pro platformovou strategii a bezpečnost. Před příchodem do společnosti Microsoft působil 10 let ve společnosti Digi Trade, naposledy jako manažer technologické divize.
plnit? V jakém sektoru uživatelů a v jaké kategorii produktů lépe a v jakých hůře? V rámci naší stanovené tříleté strategie je celá řada ambiciózních plánů, ať již v oblasti realizovaných výnosů či posunu k větší orientaci na zákazníka a řešení. Již nyní, po prvním uplynulém roce, je možné jednoznačně říci, že ve všech oblastech naší strategie došlo ke značnému posunu vpřed. O tom nakonec svědčí i skutečnost, že české zastoupení Microsoftu je historicky první pobočkou, které se ve dvou po sobě jdoucích obdobích podařilo získat ocenění pro nejlepší pobočku na světě. Za tímto úspěchem stojí samozřejmě nejen silná strategie, ale také silný manažerský tým a velké úsilí všech zaměstnanců firmy. Největší růst podle před rokem schválené strategie se očekával v prodeji služeb pro velké firemní zákazníky. Byla splněna očekávání? V oblasti velkých firemních zákazníků dosáhla společnost Microsoft jednoznačně posunu, a to jak z pohledu růstu prodejů našich produktů a řešení, tak v oblasti vnímání naší platformy jako důvěryhodné základny pro provoz velkých a důležitých systémů v komerční i veřejné sféře. Jsem za to osobně rád a věřím, že naše očekávání a plány splníme v tomto směru i v dalších letech. Poklesl podíl nelegálně používaných produktů Microsoftu v Čechách z loňských 40 %? Ano, podíl nelegálně používaného softwaru v České republice podle poslední studie IDC poklesl ze 40 % na 38. Nejedná se však pouze o produkty Microsoft, ale o všechny softwarové produkty na trhu. OTÁZKY KLADL JAROSLAV DOČKAL
5/2007 Information Assurance
Pohled z dílny Microsoftu Podrobnější informace o produktech řady Microsoft Forefront Security poskytla čtenářům Information Assurance Margaret Dawson. Čím se produkty řady Microsoft Forefront Security liší od podobných produktů na trhu? Většina konkurenčních řešení ne zcela odpovídá potřebám zákazníků, protože se složitě spravují a často se skládají z několika různých produktů s různým ovládáním. Microsoft na tento bezpečnostní trh vstupuje s ohledem na zákazníky, kteří vyžadují produkty poskytující komplexní ochranu informační infrastruktury, jednoduché použití a správu. Naše řešení bezpečnosti se od konkurence liší v těchto vlastnostech: v integraci, jednoduchosti a úplnosti. Produkty řady Forefront tvoří kompletní portfolio produktů nabízejících ochranu klientů, serverů i perimetru sítě. Byly vyvinuty tak, aby se daly snadno integrovat s ostatními technologiemi a řešeními firmy Microsoft jako jsou Active Directory, Operations Manager, servery Windows apod. Další důležitý rozdíl
představuje též správa politik, vizualizace bezpečnostního stavu, podrobné informování a zaměření na bezpečnost aplikací a bezpečný vzdálený přístup. Naše produkty jsou zákazníky příznivě přijímány a respektovány, takže k nám od již zavedených firem přechází. Je to dáno zejména tím, že IT profesionálové oceňují jednoduchou konfiguraci, nasazení i správu našich produktů. Hodně také investujeme nejen do běžných vylepšení našich současných produktů, ale i do jejich budoucích verzí; například nově vyvíjený produkt známý pod kódovým označením Stirling, bude nabízet ještě větší integraci našich bezpečnostních produktů a jejich jednotnou správu. Mohla byste popsat platformu pro jednotnou správu (kódové označení „Stirling“), která byla uvedena do života na konferenci TechEd 2007 v Orlandu na Floridě? Tato platforma nabízí unifikované bezpečnostní řešení integrující centralizovanou správu a komplexní ochranu nejen klientů, ale i serverů a perimetru sítě. Stirling zobrazuje bezpečnostní stav organizace na virtuální
Margaret Dawson Group Product Manager, Communications, Security & Access Product Marketing, Microsoft
palubní desce (dashboard), přičemž svým hlubším pohledem a zprávami řazenými podle priority umožňuje IT profesionálům pochopit, jaký je aktuální bezpečnostní stav organizace, jaké akce je třeba provést, případně kde lze získat více informací. Platforma bude zahrnovat nové verze produktů Forefront Client Security, Server Security a Edge Security, řešení bezpečného přístupu k firemní síti, jednotný nástroj pro správu, a počítá se i se snadným přechodem ze stávajících produktů a licencí. Touto nabídkou se Microsoft stává jediným dodavatelem, který v bezpečnostním produktu integruje komplexní ochranu klientů, serverů i perimetru s jednotnou správou, konfigurací a zobrazováním zpráv. V jakém stavu se nachází vývoj nástroje pro správu produktů Forefront Server Security prostřednictvím webového rozhraní? Nástroj Forefront Server Security Management Console, který je v současnosti ve stavu druhé beta verze, představuje centralizované řešení pro správu některých produktů z řady Microsoft Forefront Server Security. Současnou beta verzi si mohou zájemci zdarma stáhnout na adrese http://www.microsoft.com/forefront/ serversecurity/mgmt/trial.mspx. Verze určená do výroby je plánována na léto 2007. Tento nástroj umožňuje firemním zákazníkům centrálně spravovat, konfigurovat, vyhodnocovat a aktualizovat několik různých instalací produktů jako je Forefront Security pro Exchange Server, Forefront Security pro SharePoint, a starších produktů z řady Microsoft Antigen. Zmíněný nástroj je součástí dlouhodobé strategie firmy Microsoft poskytovat zákazníkům technologie, které dosahují bezpečné a dobře spravované informační infrastruktury pomocí zjednodušené a integrované správy. OTÁZKY KLADL A ODPOVĚDI PŘELOŽIL MILAN JIRSA
3
4
Information Assurance 5/2007
Jak se bránit proti útokům typu DDoS Minule jsme psali o vlastnostech těchto útoků. Nyní uvedeme, jak se proti nim bránit.
Až tisíce dynamických filtrů
Fronty pro data, omezování toků
Proti čemu se vlastně bráníme? Nechceme se stát zdrojem útoku a zároveň chráníme vlastní síť. První případ představuje z velké části klasickou obranu před napadením zařízení v naší síti. Bráníme tomu, aby na naše stanice pronikl kód, který učiní tato zařízení součástí organizovaného botnetu. Zároveň bráníme tomu, aby bylo možné spustit z našich stanic útoky směrem ven na jiné cíle. Druhý případ vyžaduje poněkud jiný přístup a specializovanou obranu. Zde musíme: včas útok zjistit, přečkat dobu do zastavení útoku, zastavit útok a případně podniknout kroky, které sníží pravděpodobnost jeho opakování.
Jak útok zjistit DDoS útok prakticky vždy představuje výraznou anomálii v síti. Mohou prudce narůst některé charakteristiky přenosu, například celkový objem dat, objem dat určitého protokolu, celkový počet toků či spojení, počet nově vznikajících a zanikajících toků a spojení, počet ne zcela navázaných TCP spojení, složení zdrojových IP adres a další. Tyto parametry jsou poměrně přesně zjistitelné. Mezi technologie, které mohou zjistit DDoS útok, patří:
Data k oběti Útok+korektní
Cisco Guard XT
Korektní data Cisco Detector XT
Oběť
Servery mimo cíl
1. Zjištění útoku 2. Aktivace obrany 3. Přesměrování dat 4. Filtrování DDos útoku Obrázek 1: Zjištění a přesměrování útoku
Statické a dynamické filtry
Antispoofing
Statistická analýza
Analýza aplikační vrstvy (http, smpt)
Rate-limiting a DDos Traffic Shaping
Obrázek 2: Filtrace útoku
IDS a IPS systémy, Netflow, který zaznamenává v uzlových bodech sítě informace o tocích a efektivně je předává specializovaným aplikacím, které je vyhodnotí. Účinnost Netflow ve spojení s vhodnými aplikacemi při zjišťování DDoS útoků je velmi vysoká, specializovaná DDoS zařízení. Příkladem je Cisco Detector.
Útok můžeme také filtrovat, resp. vhodně přesměrovat podle cílových adres. Přesměrovaná data můžeme analyzovat a výsledek použít pro obranu. Pro přesměrování dat lze použít např. metody blackhole nebo sinkhole filtering. Nevýhodou uvedených metod je, že neumožňují odlišit útok od korektních dat a z pohledu uživatelů většinou dojde k odstavení služby.
Jak útok přečkat
Existují ovšem i propracovanější řešení, která reagují na útok automaticky. Příkladem takovéhoto řešení je Cisco Guard a Detector.
Je možné, že nedokážeme DDoS odhalit včas a nedovedeme ho dostatečně rychle potlačit. Pak je důležité, aby zasažená infrastruktura a stanice dokázaly útokům odolávat. K tomu přispějí: hranice sítě poskytující robustní ochranu, prvky síťové infrastruktury odolné proti útokům, aktualizované programové vybavení koncových stanice a serverů a jejich doplnění vhodnou ochranou, například personálními firewally nebo IPS systémy.
Jak útok zastavit Úplné zastavení útoku DDoS je poměrně obtížné. Často považujeme za úspěch, pokud jsme schopni útok znatelně potlačit. Jak již jsem uvedl minule, ochrana by měla začínat na straně poskytovatele služeb. Ti by měli poskytovat ochranu proti DDoS útokům jako službu. Jak se dá DDoS útok zastavit? Jednou z možností je filtrace podle zdrojových adres. Pakety nesoucí DDoS útoky často mívají podvržené IP adresy odesilatelů, mnohdy z privátních nebo rezervovaných rozsahů. Filtrace těchto adres může zřetelně zmenšit objem útoku. Pakety lze filtrovat různými typy paketových filtrů nebo metodou unicast reverse path forwarding. Tato metoda porovnává zdrojové adresy paketů se směrovacími tabulkami. Pokud zdrojová adresa paketu není ve směrovací tabulce nebo paket přijde z jiného rozhraní než by měl, je zahozen.
DDoS Guard a Detector Řešení je zajímavé tím, že za normálních okolností se do toku dat nijak nezasahuje. Útok zjišťuje specializovaný Detector (alternativně lze použít NetFlow), který je obdobou IDS systému. Pokud Detektor zjistí DDoS útok, spojí se se zařízením Guard a to pozmění směrování v síti tak, aby cesta k cíli útoku vedla přes něj. Jak „útočná“, tak i korektní data začnou procházet přes Guard. Ten útok zastaví a do cílové sítě propustí jen korektní data, viz obrázek 1. Guard rozpoznává a blokuje útok ověřováním na více úrovních, viz obrázek 2. Guard monitorováním odvodí od běžného síťového provozu typické chování sítě. Zjišťuje odchylky od obvyklého provozu, provádí statistickou analýzu dat, ověřuje, zda data pocházejí z reálných IP adres, sleduje navazování TCP spojení, analyzuje protokoly. Data, která považuje za útok, blokuje statickými a dynamickými filtry, případně pouze omezuje jejich tok. Guard je schopen účinně blokovat útoky pocházející ze statisíců stanic. Více informací o DDoS útocích najdete na http://www.cisco.com/en/US/netsol/ns615/ networking_solutions_sub_solution.html. IVO NĚMEČEK
5/2007 Information Assurance
VSAT – opomíjené komunikační řešení V oblasti širokopásmových telekomunikačních služeb v České republice se nejčastěji setkáváme s pojmy ADSL, UMTS, CDMA a Wi-Fi. Přitom přímo nad našimi hlavami existuje další alternativa širokopásmového přístupu k Internetu či Intranetu. Vysoko nad zemským povrchem se prohání či stoicky visí naši satelitní souputníci, které jsme vyslali na orbit a slouží nám nejen pro hojně využívané přenosy TV signálu a stále oblíbenější navigační služby, ale rovněž pro nespravedlivě opomíjené vysokorychlostní datové přenosy. Jednou z těchto alternativ je technologie VSAT. Technologie VSAT skýtá nejen srovnatelné možnosti s pozemním řešením telekomunikační infrastruktury, v mnohém je dokonce převyšuje. Je dokonce vhodná i v případech, kdy by výstavba klasické infrastruktury nebyla efektivní. VSAT je bezkonkurenční především v případech, kdy zákazník vyžaduje propojení i geograficky vzdálených míst pro využití datových (někdy i hlasových) služeb a to zejména tam, kde telekomunikační infrastruktura částečně nebo zcela chybí. VSAT umožňuje efektivně připojit vzdálené klienty nebo terminály k jednotnému informačnímu centru firmy, propojit počítačové sítě poboček nebo partnerů s centrálou firmy, budovat rozsáhlé sítě bankomatů, platebních terminálů či systémů čipových karet, dálkově kontrolovat a řídit technologické procesy a rovněž zálohovat pozemní spojení kritických aplikací.
Z pohledu síťové struktury se jedná o dálkovou komunikaci s jedním skokem (one hop). Takové uspořádání sítě eliminuje nepředvídatelné zpoždění přenosu, které bývá poměrně častým problémem zahlcených pozemních sítí. Přístup pomocí satelitu je rovněž méně ovlivněn místním terénem než jiné bezdrátové technologie, čímž se stává zajímavým zejména ve venkovských oblastech, kde je nákladově výhodnější i než nově nabízené pozemní bezdrátové služby. Vysokých přenosových rychlostí lze dosahovat díky výraznému pokroku, který nastal v oblasti sítí TDMA (sítě využívající pro sdílení přenosové kapacity časového multiplexu), a použitím akceleračních technik (web-caching, HTTP pre-fetching a TCP akcelerace). Nasazením těchto účinných metod přenosu a sdílením přenosové kapacity lze snížit provozní náklady pro jednotlivé uživatele na minimum. Kombinací širokopásmového přístupu a sdílení přenosové kapacity tak vzniká unikátní služba, která nabízí široké uživatelské veřejnosti výhody globálních satelitních sítí. Na rozdíl od pozemních bezdrátových služeb dnes není kvalita satelitní komunikace prakticky ovlivňována atmosférickými jevy, protože satelitní provozovatelé běžně používají opatření proti útlumu signálu a kontrolu chyb (FEC, Forward Error Correction; ale i řadu jiných) pro zvýšení spolehlivosti vysílání. Provozovatelé tak garantují dostupnost na úrovni 99,7 %, typické pro
širokopásmové přístupové služby. Neméně důležitou vlastností satelitní komunikace je i vysoká bezpečnost přenosu díky vnitřnímu šifrování mezi řídící stanicí (HUB) a vlastním terminálem. Je tudíž znemožněn odposlech či případný pokus o útok na integritu celého systému. Co uvést závěrem? Satelitní přístup se hodí nejen pro podporu skupinového vysílání a služeb typu push nebo pro aktualizaci místních pamětí cache (pro upgrade softwaru) jak bylo doposud často deklarováno, ale i pro plnohodnotný širokopásmový přístup k Internetu. A nejen to. Přes satelitní spojení je možné realizovat také streaming přenosy, jako například videokonferenční hovory nebo hlasovou službu VoIP. Hlavní devizou satelitní komunikace je všudypřítomné pokrytí signálem velké oblasti s konzistentní úrovní kvality vysílání poskytující kvalitní datový přenos prakticky odkudkoliv. V České republice má s aplikací platformy VSAT mnohaletou zkušenost společnost GiTy s více než tisícem instalací – viz obrázek 1. Získala ji při budování rozsáhlých sítí bankomatů a platebních terminálů pro nadnárodní autorizační společnosti a výstavbě rozsáhlých distribučních sítí pro přístup k intranetům a Internetu. Kromě zabezpečení vlastního připojení, dodávky a instalace zařízení vždy byla součástí realizovaných projektů i odborná konzultační podpora. LUKÁŠ HRDINA
Lokální obchodní zastoupení Dohledové Centrum GiTy
Družice Platební terminály
Spojení se opírá o geostacionární družici, je velmi spolehlivé a umožňuje nerušenou práci vzdálených uživatelů. Není závislé na pozemní infrastruktuře a případné změny, související např. se stěhováním nebo rozšiřováním sítě, lze provádět velice operativně. Při spojení do zahraničí navíc náklady dosahují zlomek ceny pronajatých mezinárodních okruhů. Nabízené přenosové rychlosti pro přenos užitečných informací se většinou pohybují v rozmezí od 256 kb/s po 2 Mb/s. Systémy VSAT umožňují jak připojení do sítě Internet (TCP/IP), tak paketové přenosy na bázi protokolu X.25 (vhodné např. pro ověřování kreditních karet) či X.75, propojují geograficky vzdálené lokální sítě LAN (G.703), vytváření virtuálních sítí typu VPN a sítí typu VAN (Value Added Network), přenášení obrazové informace a poskytují hlasové služby.
Plochá reklamní obrazovka
VSAT terminál
Lokální síť s přístupem do Intranetu
Autorizační centrum
GiTy
Datová síť G-NET Řídicí satelitní stanice (HUB)
Internet Centrální firewall Centrála zákazníka
• účetní aplikace • informační systémy • pokladní kniha • vnitřní e-mailové systémy • objednávky • vnitropodniková síť • bezpečnostní kamery
Obrázek 1: Struktura satelitních služeb společnosti GiTy
5
6
Information Assurance 5/2007
Ochrana dat šifrováním Data, resp. informace, jsou cenným bohatstvím každé organizace. Jejich odcizení a zneužití může znamenat významné finanční ztráty nebo způsobit poškození dobrého jména společnosti. Nedopusťte proto, aby se Vaše důvěrné a hodnotné informace dostaly do nepovolaných rukou. Ochranu důvěrnosti a integrity dat lze zajistit pomocí kvalitního souborového šifrování. K tomuto účelu slouží šifrovací produkty používající symetrickou kryptografii. S jejich pomocí lze zašifrovat libovolné soubory nebo celé složky kdekoliv na pracovní stanici nebo i na síťových discích. Jelikož je při symetrické kryptografii kladen velký důraz na kvalitní šifrovací klíč, který je navíc společný pro šifrování i dešifrování, je výhodné pro jeho uložení používat různé uživatelské bezpečnostní předměty, například čipové karty či USB tokeny. Po načtení klíčů z bezpečnostního předmětu pak získává uživatel zcela otevřený přístup k souborům, šifrovaným těmito klíči.
Data v bezpečí Ideální je, pokud šifrovací produkt chrání data již na úrovni jádra operačního systému. To uživateli práci s chráněnými daty výrazně usnadňuje. Umožňuje pracovat s šifrovanými daty tak, aby se na disku nikdy nevyskytovala v otevřené podobě. Kdykoliv jsou tedy citlivá data ukládána, ať na pevný disk, přenosné médium či servery, jsou vždy šifrována. Zašifrována jsou rovněž data posílaná přes LAN, WAN nebo Internet. Jejich dešifrování pak probíhá lokálně, až v cílové pracovní stanici.
Technické provedení Data souborů se šifrují resp. dešifrují při přenosu mezi operační pamětí počítače a souborovým systémem (pevné disky, sítě, výměnná média). Při pokusu o otevření souboru v šifrované složce ovladač šifrovacího produktu zkontroluje, je-li k dispozici náležitý šifrovací klíč a následně dešifruje data souboru podle potřeb aplikace, která k souboru přistupuje. V případě, že se požadovaný klíč nenachází v paměti systému, vyvolá šifrovací ovladač (volitelně) zásah uživatele – požádá o správný klíč. Uživatel může zareagovat např. vložením čipové karty, obsahující správný klíč či zapsáním hodnoty klíče z klávesnice. Vlastní šifrování probíhá v jádře operačního systému (nikoliv v aplikační vrstvě), viz obrázek 1, a to z důvodu lepší ochrany šifrovacích klíčů a šifrovacího procesu. Tento způsob rovněž nabízí vysoký šifrovací výkon.
Protect for Windows Silné transparentní šifrování poskytuje například produkt Protect for Windows od společnosti ICZ. Ten podporuje tzv. on-the-fly šifrování, což znamená, že šifrování a dešifrování probíhá automaticky a transparentně, na pozadí. Jakmile je jednou zadán šifrovací klíč pro konkrétní soubor nebo složku, všechny další operace probíhají automaticky a uživatel ani nepostřehne, že pracuje s šifrovanými daty. Šifrování se realizuje tak, že se vytvoří šifrované složky (začínají například znakem @, viz obrázek 2). Těm lze přiřadit šifrovací klíč, platný pro šifrování veškerých souborů a podsložek v nich obsažených. U těchto
Uložená data @Tajné
Protect Paměť Protectu @Práce
Veřejné
Obrázek 2: Použití Protect for Windows pro vytvoření šifrovaných složek
Uživatel (operační paměť) Aplikace
Vrstva WIN 32
SHELL rozšíření
Jádro operačního systému
Vstupně/Výstupní manažer
Šifrovací ovladač Šifrování Souborové systémy NTFS, FAT, CDFS
Obrázek 1: Umístění šifrovacího ovladače
složek lze samozřejmě nastavit individuální parametry šifrování. Pokud se v šifrované složce vytvoří, do ní zkopíruje či přesune soubor, bude tento automaticky zašifrován klíčem, platným pro danou složku (za předpokladu, že uživatel zná správný klíč). Po načtení klíčů z klávesnice nebo bezpečnostního předmětu lze se zašifrovanou složkou a v ní obsaženými soubory pracovat jako s normálními nešifrovanými soubory. Soubory jsou však ve skutečnosti stále šifrovány (nikdy nedochází k dočasnému dešifrování souborů). Není-li klíč k dispozici, soubory jsou nečitelné a navíc jsou chráněny před modifikací.
Nasazení v organizaci Hlavní zásady při typickém nasazení šifrovacího systému v organizaci s větším počtem uživatelů jsou následující: veškerá uživatelská data (např. adresáře s dokumenty) se nalézají v šifrovaných složkách; složky pro dočasné soubory aplikací jsou přesměrovány do šifrovaných složek; šifrovací klíče jsou uloženy do osobních bezpečnostních předmětů uživatelů (např. čipových karet) a jsou generovány náhodně; šifrovací klíče se načítají z uživatelských předmětů ihned po přihlášení uživatele, aby se minimalizovala interakce uživatele se šifrovacím systémem; uživateli je zamezeno pořizovat data mimo šifrované složky; pro potřeby sdílení dat jsou založeny šifrované sdílené složky na firemní síti. Přístup k nim je chráněn skupinovými šifrovacími klíči. MARTINA ČERNÁ
5/2007 Information Assurance
Traffic management V Výběr řešení Jak jsme si řekli v minulých dílech, traffic management je kontinuální proces. Jinými slovy, uživatel s takovým řešením pracuje průběžně podle toho, jak se mění podmínky v síti (přibývají uživatelé, nové aplikace apod.). Z toho logicky vyplývá první požadavek – řešení musí být jednoduché a intuitivní na používání. Změna pravidel i jejich ověření musí být otázkou minut. Uživatel se tak může soustředit na řešení svých problémů a potřeb, nikoliv na problémy s konfigurací traffic managementu. V praxi to znamená komfortní grafické rozhraní pro všechny fáze procesu a především pak pro monitoring. Na druhou stranu, pokud se jedná o velmi časté změny, například v dynamickém prostředí poskytovatelů Internetu, je nutné, aby řešení šlo snadno integrovat s jinými systémy. Znamená to podporu API, XML, skriptů, možnost integrace s DHCP, RADIUS servery, OSS atd. Dalším kritériem, a to jedním z nejdůležitějších, je výkon. DPI (deep packet inspection) pracuje s daty na L7 (aplikační vrstvě architektury OSI), což znamená mimořádné nároky na výkon zařízení. Klasické zařízení založené na standardní PC architektuře zvládne datový tok o rychlosti řádově maximálně stovky Mb/s. Bez ohledu na marketingová tvrzení různých výrobců a „objektivní‘ testy s konstantní délkou paketů a jedním spojením, PC architektura nedokáže pracovat na L7 s propustností blížící se 1Gb/s a už vůbec ne vyšší. Pro takové případy je nutné zvolit hardwarové řešení na bázi ASIC nebo NP (Network Processor).
Je dobré ověřit předem i maximální zpoždění, které může zařízení vnést do provozu, a i to, jak se zachová v případě výpadku. Zařízení je zpravidla umístěno na kritickém místě sítě – přístup na Internet, vstup do WAN sítě, peeringový bod apod. Jakýkoliv problém pak okamžitě pocítí všichni uživatelé. Spojení musí být zachováno za všech okolností, takže řešení typu bypass (zařízení při výpadku nebo vypnutí zůstává průchozí) je prakticky povinnou výbavou a možnost HA (high availability) řešení pak velkou výhodou. Otázkou je rovněž škálovatelnost. Dnešní sítě jsou zpravidla rozsáhlé a nevystačíme u nich
Mediation /Billing
s jediným boxem. Třívrstvá architektura, viz obrázek 1, s centrálním managementem nám umožní řídit celou síť, nejen jednu linku. Je dobré si uvědomit, že v takovém případě posílá sonda na management server data pro monitoring. Pokud je sond v síti více, je vhodné mít možnost použít collector, viz obrázek 1, který data z dané lokality agreguje a až pak pošle na management server. Řešení vybrané na základě popsané metodiky rozeberu v dalším díle Information Assurance. PETR LASEK
GUI klient GUI klient
OSS
RADIUS/DHCP
Subscriber NetXplorer Management Server
NetXplorer Collector
NetXplorer Data Collector
NetXplorer Data Collector
Obrázek 1: Třívrstvá architektura
Minirecenze knihy
William R. Stanek: Microsoft Windows Vista Kapesní rádce administrátora Kniha vyšla v angličtině koncem loňského roku, její český překlad se nyní dostal i na pulty našich knihkupectví. Šíře popisu Visty překvapí, text je doplněn o řadu poznámek, tipů a rad z praxe, nechybí ani rejstřík. Ocenit musím dobře provázané odkazy mezi kapitolami a důraz na novinky systému. Pár chyb se sice v knize najde, ovšem nejdou na
vrub překladu – jsou i v originálu (např. CBC je Cipher-Block Chaining a ne Cyclical Bit Check – viz tip na str. 467). Nakladateli bych vytkla jediné, a to je technologie vazby: po otevření knihy ji musí čtenář držet, aby se mu nezavřela, což je, při předpokládané současné práci s počítačem, přece jen trochu na závadu.
Výherci našeho kvízu mohu trochu závidět, obdrží výborně napsanou knihu o 528 stranách na velmi aktuální téma v ceně 499 Kč. Vydavatelem je Computer Press, a. s., 2007, ISBN 978-80-251-1670-8, prodejní kód: K1477. SVĚTLANA PROKSOVÁ
7
porážka pirátů. sna snadné.
odražení útoků spywaru. snadnější.
1. Uvažujte jako pirát!
Sta pár dní kloktat grogem, Stačí ho houpat se v ráhnoví a můžete se mu postavit jako rovný rovnému. Nejlepší způsob, jak porazit piráta, Ne je myslet jako on. A kdyby to náhodou nevyšlo, alespoň jste ná užili trochu srandy. si u
1. Zaveďte Microsoft Forefront.
2. Uplaťte je!
Oslňte je plným měšcem nebo truhlou čokoládových penízků. Piráti totiž nemyslí na nic jiného než na kořist a poklady. Budou tedy myslet jen na to, kde si pokládek potajmu zakopat, a na vás už si ani nevzpomenou.
3. Přidejte se k nim!
Naučte se tancovat námořnický ořnický rejdovák, na rameno posaďte saďte papouška a vzhůru, vstříc íc novým dobrodružstvím! Být postrachem strachem sedmi moří nemusí být zas as tak špatné. Utečte stereotypu, procestujte estujte kus světa, vyzkoušejte něco plenění a drancování – zkrátka užijte si to.
4. Pošlete je na prkno!
Obraťte jejich vlastní zbraň proti nim. Piráti ze všeho nejraději ejraději nechávají své oběti projít se po pověstném prkně. Vydávejte se za obchodního bchodního zzástupce ástupce prknařské firmy. Přesvědčte je, aby si prkno otestovali, testovali, a jakmile na ně vlezou, vllezou, lezou pravou tvář. odhalte svou prav vou tv vář. stydět, Budou se tak styd dět, utečou.. že možná utečou
5. Využijte znalosti Vousi-do! si-do!
Vousi-do je staré bojové umění. Chňapněte piráta za bradku dku anebo si pohrajte s jeho kotletami. S trochou zručnosti je tato to technika skutečně smrtící. cí. Najít opravdového mistra Vousi-do usi-do může být trochu problém, m, ale na internetu určitě něco bude.
Forefront usnadňuje ochranu všech vašich systémů. Tato uživatelsky příjemná integrovaná sestava produktů pro ochranu klientských stanic, serverů a rozhraní sítě vám pomůže řešit potíže se zabezpečením snadněji než kdykoli předtím. Případové studie, možnost vyzkoušení produktů, demoverze a novinky naleznete na www.microsoft.com/cze/forefront
