Ochrana a bezpečnost dat a informací

Bankovní institut vysoká škola Praha Katedra informačních technologií

Ochrana a bezpečnost dat a informací Bakalářská práce

Autor:

Petr Tesař Informační technologie, správce IS

Vedoucí práce:

Praha

Ing. Vladimír Beneš

Duben, 2009

Prohlášení:

Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury.

V Praze dne 15. 4. 2009 Petr Tesař

Poděkování: Tímto děkuji panu Ing. Vladimíru Benešovi Petrovickému, vedoucímu mé bakalářské práce, za cenné rady, odborné informace, věcné připomínky a dohled nad mojí prací.

Petr Tesař

Anotace Název mojí bakalářské práce je: Ochrana a bezpečnost dat a informací. V práci se budu věnovat objektové, počítačové a síťové bezpečnosti. Popíši různé druhy elektronických zámků na magnetické karty, jejich vlastnosti a funkce. Odhalím určité druhy virů, jejich chování a ochranu proti nim. Více prostoru věnuji zabezpečení lokálních počítačových sítí. Kde si vysvětlíme, jakými způsoby lze síť zabezpečit, jaké jsou metody útoků a jak se proti nim bránit. Odhalíme různé typy šifrování. Popíšeme si standardní a rozšířené práce firewallu. A krátce se podíváme na nové vývojové trendy v bezpečnosti.

Annotation Title of my thesis is: The protection and safety data and information. At work, I will devote object, computer and network security. Describe the various types of electronic locks on magnetic cards, their properties and functions. Reveal certain types of viruses, their behavior and protect against them. More giving security of local area computer networks. Where can explain ways you can secure network, what are the methods of attacks and how to defend against them. Discovered different types of encryption. Describe the standard and extended the work firewall. A brief look at the new trends in security.

Obsah Úvod ...................................................................................................................................... 8 1 Objektová bezpečnost ......................................................................................................... 9 1.1 Historie starších elektronických dveřních systémů CS 9520 ...................................... 9 1.2 Systém CS 9580 .......................................................................................................... 9 1.2.1 Dveřní zámek se systémem CS 9580 ................................................................. 10 1.2.2 Magnetická karta ................................................................................................ 12 1.3 Systém na bezkontaktní karty Wave mode ............................................................... 13 1.3.1 Externí jednotka systému wave mode ................................................................ 14 1.3.2 Validace .............................................................................................................. 15 1.3.3 History on card ................................................................................................... 15 1.3.4 Net on Card......................................................................................................... 15 1.3.5 Čipová karta........................................................................................................ 16 1.3.6 On-line terminály................................................................................................ 16 1.4 Programátor magnetických a čipových karet ............................................................ 17 1.4.1 Přenosný servisní počítač HHI ........................................................................... 19 1.5 Zámek se snímačem otisku prstu ............................................................................... 20 2 Počítačová bezpečnost ...................................................................................................... 23 2.1 Historie počítačových virů......................................................................................... 23 2.2 Druhy virů ................................................................................................................. 24 2.2.1 Boot viry ............................................................................................................. 24 2.2.2 Souborové viry ................................................................................................... 24 2.2.3 Makroviry ........................................................................................................... 25 2.2.4 Trojský kůň ......................................................................................................... 25

2.2.5 Počítačový červ .................................................................................................. 26 2.2.6 Jak se na internetu chránit před viry a hackery .................................................. 27 2.3 Ochrana proti virům................................................................................................... 28 2.3.1 Vyhledávání ........................................................................................................ 28 2.3.2 Skenování ........................................................................................................... 28 2.3.3 Heuristická analýza ............................................................................................ 28 2.3.4 Kontrola integrity ............................................................................................... 29 2.3.5 Rezidentní sledování .......................................................................................... 29 2.4 Antivirový program ................................................................................................... 29 2.4.1 Používané antivirové programy .......................................................................... 30 3 Zabezpečení lokálních počítačových sítí .......................................................................... 32 3.1 Bezdrátová síť WLAN............................................................................................... 32 3.2 Wi-Fi.......................................................................................................................... 32 3.2.1 Odposlech nešifrovaných zpráv.......................................................................... 33 3.2.2 Nesprávně konfigurované přístupové body ........................................................ 34 3.3 Technologie AAA ..................................................................................................... 35 3.3.1 Autentizace ......................................................................................................... 35 3.3.2 Autorizace........................................................................................................... 36 3.3.3 Účtování ............................................................................................................. 36 3.4 Protokol RADIUS ..................................................................................................... 37 3.5 Protokol EAP ............................................................................................................. 37 3.5.1 EAP-MD5 ........................................................................................................... 38 3.5.2 EAP-Cisco Wireless ........................................................................................... 39 3.6 Šifrovací protokol SSL .............................................................................................. 39 3.7 Firewall ...................................................................................................................... 40 3.7.1 Překlad síťových adres (NAT) ........................................................................... 40

3.7.2 Stavová inspekce paketů (SPI) ........................................................................... 42 3.7.3 Přehled činností firewallu ................................................................................... 43 3.7.4 Práce firewallu v reálném čase ........................................................................... 44 3.7.5 Demilitarizovaná zóna (DMZ) ........................................................................... 46 4 Zhodnocení počítačové bezpečnosti a nové vývojové trendy .......................................... 48 4.1 Zálohování dat ........................................................................................................... 48 4.2 Rozvíjející se firewall ................................................................................................ 49 4.3 TrustPort .................................................................................................................... 50 Závěr .................................................................................................................................... 53 Seznam použité literatury: ................................................................................................... 54 Seznam obrázků: ................................................................................................................. 55 Seznam tabulek:................................................................................................................... 55

Úvod Ochrana a bezpečnost dat, nás dnes zastihne na každém kroku v mnoha různých formách a podobách. Každý z nás chrání své informace a majetek, podle svého nejlepšího uvážení. V současné době je mnoho způsobů jak lze zneužít informace, proto chránit je by měla být naše povinnost. Cílem mé práce je seznámení a vyhodnocení různých možností zabezpečení a ochrany dat a informací. Seznámit čtenáře s různými typy útoků k zisku jejich citlivých informací. Jak se proti nim bránit, dále čtenáře seznámit s ochranou a zabezpečením počítače a bezdrátové sítě a poodhalit nové trendy v útocích a obrany proti nim.

Bakalářská práce se skládá ze čtyř kapitol, kde první kapitola popisuje objektovou bezpečnost, kde jsou běžné zámky na klíč nahrazeny zámky na čipovou kartu. Kde si vysvětlíme jejich funkce a programování zámku i karty.

Druhá kapitola popisuje počítačové viry od jejich historie do současnosti, jakým způsobem se viry implementují a jak se chovají. Dále se zde popisuje obrana proti virům, funkce antivirových programů a používané antivirové programy.

Třetí kapitola definuje bezpečnost počítačových sítí. Jaké hrozby nám hrozí od útočníků a jak se proti útokům bránit. Popisuje zde různé druhy firewallů a jeho činnost.

Poslední čtvrtá kapitola popisuje nové trendy v bezpečnosti.

8

1 Objektová bezpečnost Každý z nás se setkal s objektovou bezpečností. Nejznámější forma této bezpečnosti je plot, který vidíme skoro všude nebo prostý zámek na klíč. To člověk používá, aby zabránil neoprávněnému vstupu do svého prostoru. Prostor může být kontrolován také kamerovým systémem a chráněn elektronickou vstupní branou nebo vás u vstupu zkontroluje hlídač. S dveřním zabezpečovacím systémem se člověk setkává každý den jak u sebe v bytě tak i v kanceláři. V této kapitole se zaměříme na elektronické zabezpečovací systémy, od firmy CISA, které pro oprávněný vstup používají jako klíč čipovou nebo magnetickou kartu. Společnost CISA je vedoucí značkou v Evropě v přístupových systémech.

1.1 Historie starších elektronických dveřních systémů CS 9520 Jedná se o elektronický zámkový systém v jednodušší a také levnější verzi, pracující na principu prosté náhrady mechanického klíče magnetickou nebo čipovou kartou. Jeho použití se doporučuje v menších objektech s kapacitou do 60-ti dveří. Ve větších objektech je samozřejmě rovněž možné tuto verzi provozovat. V systému CS9520 se dveřní zámky otevírají pouze na ty karty, které se zámek tzv. "naučil" a které má uloženy v seznamech povolených karet ve své paměti. Proces "učení" zámku je velmi jednoduchý. K systému jsou dodávány MASTER karty s jejichž pomocí je možné vymazat celý seznam, pokud karty v něm uložené již neplatí a uložit do něj jednu nebo více nových karet, doplnit seznam platných karet o další, případně vymazat ze seznamu pouze některou kartu. Díky tomu, že v paměti zámků jsou odděleny dva seznamy povolených karet, a sice pro hosty a personál, není tedy nutné při záměně karty hosta měnit karty personálu a naopak. Dveřní jednotky zámku se mohou naučit, až 256 karet což poskytuje dostatek možností pro vytvoření přístupového systému generálního klíče libovolných úrovní. Karty jsou dodávány z výrobního závodu již před programované speciálními unikátními kódy, aby nemohlo dojít k jejich záměně, které dodává CISA.

1.2 Systém CS 9580 Funkčně výkonnější verze systému, která poskytuje uživateli nejen komfort náhrady mechanických klíčů magnetickou kartou. Pomocí systému reálného času a paměti systému 9

je možné dostatečně a spolehlivě zabezpečit kdo, kdy a kam má mít v objektu přístup, informovat se v případě potřeby kdo, kdy a kde byl. A v hotelových provozech kontrolovat práci recepčních při prodeji ubytovacích kapacit.

1.2.1 Dveřní zámek se systémem CS 9580 „Dveřní zámky systému CS9580 jsou samostatné jednotky řízené mikropočítačem. Jsou zavěšeny přímo na dveřích a díky vlastnímu napájení čtyřmi tužkovými bateriemi nepotřebují žádné propojení s okolím. Odpadá kabeláž k napájení zámku. Baterie vydrží zámek napájet až 30 měsíců. Zámky jsou osazeny snímači čipových karet, které nahrazují klasické mechanické klíče a odemykají se zasunutím čipové karty do snímače dveřního zámku. Dveřní zámek se však odemkne pouze na takovou kartu, která byla správně naprogramována na recepci objektu. Mikropočítač zámku čte po zasunutí karty, údaje z vyhrazené paměťové oblasti v čipu karty a zjišťuje, zda byla vydána správným programátorem na správné dveře, ale také na správné časové okno. Otevřou se teprve tehdy, pokud všechny údaje přečtené z karty souhlasí.

Obrázek 1: Elektronický zámek na čipové karty. 1

1

http://tencom.cz/zamkove_systemy.php [online 18. 2. 2009]

10

Zámek lze provozovat ve dvou režimech: 1) V klasickém režimu se po zasunutí karty do štěrbiny zámek odemkne na definovanou dobu cca 10 sekund a poté se opět uzamkne. V době odemknutí bliká na jeho temeni zelená LED a dveře lze otevřít klikou nebo koulí klasickým způsobem. 2) V režimu kancelář se po zasunutí platné karty zámek odemkne a zůstane odemčen. K uzamčení zámku dojde poté, co se opět zasune do jeho štěrbiny platná karta. Po celou dobu „přítomnosti „ personálu jsou tedy dveře trvale odemčeny. V paměti zámku se uchovávají informace o posledních 150 operacích, které s ním byly prováděny. Oprávněný pracovník může tedy kdykoli zjistit kdo a kdy zámek otevřel, nebo se o to pokoušel, a sice s minutovou přesností. Standardně jsou v nabídce dveřních zámků mechanické zadlabací zámky s funkcemi ANTIPANIC a jako variantní řešení za příplatek zámky AUTOMATIC DEADBOLT. Funkce ANTIPANIC poskytuje hostu možnost kdykoli otevřít dveře ze vnitř pokoje pouhým stiskem kliky, tedy i v případě, kdy je zámek uzamčen závorou. Není tedy ani v případě paniky vystaven stresu odemykání zámku. Funkce AUTOMATIC DEADBOLT představuje revoluci v bezpečnosti, neboť zajistí, že zavřené dveře pokoje jsou vždy zároveň i uzamčeny. Kdykoli se dveře zavřou, dojde automaticky k vysunutí spodní závory zámku do zárubně dveří. Běžné systémy tohoto typu lze totiž uzamknout na závoru pouze uzamčením zevnitř pokoje. Pokud host pokoj opouští a zavře za sebou dveře, spodní závore se nevysouvá a dveře zůstávají zabouchnuté. Zámky CISA se vysunutím spodní závory zamykají samy a to i v případě, kdy host zavírá dveře zvenčí. Tato skutečnost výrazně zvyšuje bezpečnost uzavření dveří a tím i bezpečnost majetku hotelu, ale i hosta“.2

2


11

1.2.2 Magnetická karta „Magnetické karty nahrazují v systému CS9580 mechanický klíč ale díky svým vlastnostem poskytují daleko větší komfort v zabezpečení objektu a v definování přístupových oprávnění. Systém rozlišuje dvě kategorie karet: • Karty personálu • Karty hostů Obě kategorie se liší v obvyklé době platnosti. Jestliže karty personálu se obvykle vydávají s platností na měsíce, karty hostů se vydávají s platností dnů, nebo týdnů. Druhou odlišností je možnost definovat u karet personálu platnost na stanovenou pracovní dobu ve dvou směnách pro každý den v týdnu. Karty personálu se navíc liší i tím, že je možno naprogramovat funkci „porušení soukromí“ tedy funkci, která zajistí, aby pokojská nemohla vstoupit do pokoje hosta v době, kdy je zajištěn zevnitř a nepřeje si být rušen. Hostům i zaměstnancům je možno připravit karty pro vsup do: -

konkrétních dveří včetně dveří přístupového koridoru.

-

všech dveří libovolně definované skupiny (podlaží, křídlo budovy.. a.p.) Systém poskytuje možnost definovat až 256 úrovní generálního klíče.

Kromě klasických klíčových karet lze v systému připravit karty speciální a sice:

1) Karty operátorů pro přihlášení k práci s programátorem (recepce) 2) Karty pohotovostní s možností otevřít kdykoliv libovolné, i zevnitř zajištěné dveře, (záložní klíč) 3) Karty servisní pro pracovníky údržby objektu 4) Karty bezpečnostní pro případ evakuace objektu např. při požáru apod. 5) Karty blokovací pro případ nutnosti zakázat libovolné kartě otevírat dveře až do odblokování

Systém CS9580 je koncipován tak, aby poskytoval maximální volbu při rozdělení objektu na sektory a zóny pro definování přístupu personálu a hostů do různých prostor hotelu s 12

daleko většími možnostmi než jaké je schopen zajistit systém mechanického generálního klíče. Pro větší flexibilitu je systém doplněn dalšími zařízeními, jako jsou zámky na dveře služeb, (fitcentra, sauny, bazén apod.) dále pak řídícími jednotkami na ovládání vjezdu na parkoviště a speciálními terminály pro identifikaci v závodním stravovacím zařízení, prodejnách apod. Programátory karet je možno provozovat jako autonomní, nebo přímo propojené s nadřízeným počítačem tak, aby data pro přípravu karet nebylo nutné vkládat z klávesnice programátoru, ale přenést po lince RS 2323 z nadřízeného software. Technicky jsou pro toto propojení programátory připraveny a vybaveny všemi potřebnými obvody a není tedy nutné doplňovat systém dalšími zařízeními jako počítači apod. Programátor se připojí k počítači kabelem přes standardní rozhraní RS 232. Propojení s počítačem poskytuje možnost při programování karet nahrát do paměti karty kromě speciálně kódovaných informací pro potřeby systému CISA rovněž další údaje ve standardním ISO formátu (např. číslo účtu majitele karty) a využít tak kartu jako identifikačního media pro další účely. Díky identifikaci číslem účtu v kódu ISO je možné použít kartu CISA i v klasických komerčních pokladnách a vytvořit tak bezhotovostní platební systém P.O.S, objednávání stravy v závodních jídelnách nakupovat v prodejnách apod. Je zřejmé, že kromě funkcí spojených s řízením přístupu, je možné využít karty i pro ovládání závor či dveří na parkoviště nebo garáž, ovládat používání zdviží a tak eliminovat pohyb hostí v objektu, dále otevírat dveře nočního vstupu a realizovat bezhotovostní nákup a objednávání stravy v jídelnách či prodejnách“4.

1.3 Systém na bezkontaktní karty Wave mode U předchozích systémů byla čtečka karet zabudována přímo v těle zámku. U systému Wave mode je čtečka karet samostatnou externí jednotkou. Součástí dveřních zámků Wave 3

RS 232 se používá jako komunikační rozhraní osobních počítačů a další elektroniky. RS-232 umožňuje propojení a vzájemnou sériovou komunikaci dvou zařízení, tzn. že jednotlivé bity přenášených dat jsou vysílány postupně za sebou (v sérii) po jediném vodiči podobně jako u síťové technologie Ethernet nebo rozhraní USB

4


13

Mode jsou snímače bezkontaktních čipových karet. Snímač karet je umístěn nad dveřním kováním. Jak vidíme na obrázku 2.

Obrázek 2: Elektronický zámek se systémem WaveMode.5

Dveřní zámky se odemykají přiložením „platné“ karty ke snímači. Platnou kartou je taková karta, které bylo naprogramováno k oprávnění otevřít v daný čas dané dveře. Mikropočítač zámku čte údaje z paměti karty a vyhodnocuje, zda souhlasí číslo budovy a číslo dveří, zda aktuální datum a čas leží v časovém okně začátku a konce platnosti karty, zda nedošlo k zakázání platnosti karty a další identifikační údaje. Mikropočítač zámku dá pokyn k otevření pouze v případě, že všechny údaje jsou vyhodnoceny jako pozitivní.

1.3.1 Externí jednotka systému wave mode Externí jednotky mají v systému WaveMode úlohu ovládání technologií. Jedná se například o řízení závor bran vjezdů do garáží nebo parkovišť, pro ovládání turniketů, rozsvěcení tenisových nebo squashových kurtů, ovládání pohybu výtahů apod. V tomto režimu plní tyto terminály takové úkoly systému, které významným způsobem rozšiřují jeho funkční a užitné vlastnosti. Zejména tyto tři funkce:

5


14

1) Validace 2) History on card 3) Net on card

1.3.2 Validace Validace je proces povolení platnosti karty pro daný den. Všechny terminály systému wave mode, tedy i pokojové dveřní zámky uvolní „svou“ službu pouze takové kartě, které byla pro daný den povolena platnost. Toto povolení provádějí on-line terminály WaveMode, které pracují v režimu Validátor. Nejčastěji to bývají externí zámky, které ovládají dveře personálního vstupu do budovy. Proces validace se pak provádí současně s uvolněním dveří pro vstup do budovy. To znamená, že zaměstnanec přijde do práce personálním vstupem, on-line terminál po přečtení jeho karty uvolní dveřní zámek, ale zároveň aktivuje její platnost tak, aby mohla být ten den normálně používána. Pokud nedojde k procesu validace, ať už z důvodu že zaměstnanec vešel jiným vchodem nebo mu má být přístup napříště zakázán, karta nebude aktualizována a žádný z terminálů WaveMode na ní nebude reagovat.

1.3.3 History on card Všechny terminály WaveMode po přečtení identifikační karty zapíší do její paměti informaci o datu a čase provedené operace. V paměti karty se tak v průběhu dne nashromažďují záznamy o pohybu držitele karty po objektu. Tato data je možné pomocí on-line terminálu přečíst a přenést do připojeného PC. Operace čtení karty probíhá stejně jako validace během operace terminálu. Bude-li touto funkcí pověřen jen terminál u personálního vstupu, bude do paměti PC přenášena historie s jednodenním zpožděním. Chceme-li obsah souboru historie aktuálnější, musí být takové terminály použity i uvnitř budovy (vstup do podlaží). V systému WaveMode je kromě klasického použití terminálu pro přečtení historie zámku možné použít i kartu tzn. že kontaktovaný zámek po přiložení karty systému WaveMode přenese do její paměti požadované záznamy. A v recepci je možné data z karty vytisknout.

1.3.4 Net on Card Každá karta systému WaveMode si vede ve své paměti informace o seznamu terminálů, kde má platnost. Změnit přístupová práva kartě znamená jenom její přeprogramování. Toto 15

pře nastavení práv jde realizovat na dálku ve Validátorech. Odpadá příprava přístupových zón včetně programování zámku, jak tomu bylo u starších systémů. Specifickou funkcí je ovládání výtahu. Obecně je možné ovládat čtečkou přivolání výtahu nebo ovládání výtahu uvnitř klece. V prvním případě je čtečka umístěna v blízkosti ovladačů výtahu na chodbě. Bez použití karty se výtah nedá přivolat a otevřít. Uvnitř kabiny je pak ovládání pohybu bez omezení. Ve druhém případě je čtečka jednotky umístěna uvnitř kabiny. Bez použití karty se pak kabina nedá uvést do pohybu, protože ovládací tlačítka jsou blokována. Výjimku tvoří například pohyb do nepokojových podlaží hotelu tedy všude tam, kam má přístup i nebydlící návštěvník.

1.3.5 Čipová karta Karta je vybavena bezpečnostními algoritmy při čtení a zápisu tak, aby ji nebylo možné zkopírovat ani klonovat. Díky strukturovanému řešení paměti, ve které jsou vyhrazeny přísně zabezpečené oblasti k ukládání dat jednak pro potřeby zámkového systému a jednak pro potřeby spolupracujících technologií, je karta Wave Mode vhodným prostředkem k budování takových služeb jako je elektronická peněženka, kdy bude možné bez obav ze zneužití používat kartu k platbě i mimo hotel ve smluvních prodejnách nebo restauracích, je možné ji využít i ke sledování plnění léčebných režimů v lázeňských provozech apod. Karty Wave mode se standardně dodávají s kapacitou paměti 512 Byte a to v několika provedeních. V podobě plastové anebo papírové karty, plastového přívěsku nebo náramku. Karta z laminovaného papíru se vyznačuje především nízkou pořizovací cenou při zachování dlouhodobé spolehlivosti. Plastová karta je odolnější proti mechanickému namáhání a vykazuje tedy delší trvanlivost. Přívěsek nebo náramek se zase více hodí pro použití v bazénech fitness nebo sportovištích. Pro realizaci funkcí History on Card a Network On Card se k systému dodávají karty s kapacitou paměti 4Kbyte.

1.3.6 On-line terminály On-line terminály systému WaveMode mohou pracovat ve dvojím režimu. 16

Základním režimem je práce ve „službách“ systému WaveMode. Druhým režimem je využití on-line terminálu WaveMode ve spolupráci s okolím tedy poskytnout možnost využít kartu WaveMode pro jiné účely než pro potřeby zámkového systému. Jedná se především o operace s reálným časem, jako jsou registrace docházky, kalkulace doby přítomnosti, dálková autorizace pro potřeby bezhotovostních služeb, rezervační systémy, systémy řízení sportovišť apod. ON-line terminály WaveMode jsou pro tyto případy vybaveny jednak celou řadou rozhraní tak, aby spolupracovat na obecně definovaných protokolech s libovolným systémem a jednak vlastní vnitřní pamětí pro potřeby aplikace, ke které jsou připojeny. Základní aplikací je provedení s protokolem TCP/IP6. V tomto režimu pracují terminály jako klasický web klient, který může komunikovat jak v rámci podnikové sítě LAN tak i prostřednictvím internetových připojení s libovolným internetovým prohlížečem z kteréhokoliv místa vybaveného internetovým připojením. Terminály jsou vybaveny protokoly, které dovolují připojení pouze autorizovaným osobám.

1.4 Programátor magnetických a čipových karet „Programátor

magnetických/čipových

karet

je

jediné

zařízení,

na

kterém

lze

naprogramovat karty tak, aby bylo možné jimi otevírat dveře objektu. Programují se na konkrétní časový úsek vymezený datem a hodinou a minutou začátku platnosti a datem, hodinou a minutou ukončení platnosti. Mimo toto okno karta neplatí a neotevře žádný zámek.

6

TCP/IP Transmission Control Protocol / Internet Protocol. Rodina protokolů TCP/IP obsahuje sadu protokolů pro komunikaci v počítačové síti a je hlavním protokolem celosvětové sítě Internet. Komunikační protokol je množina pravidel, které určují syntaxi a význam jednotlivých zpráv při komunikaci.

17

Obrázek 3: Programátor čipových karet a přenosný počítač HHI.7

Karty smí programovat pouze oprávněná osoba, která se k práci s programátorem přihlásí svou operátorskou kartou a heslem. Systém poskytuje pět úrovní přístupu k programátoru tak, aby dovolil diferencovat provádění operací podle kvalifikace nebo funkce personálu. Programátory karet je možno provozovat jako autonomní, nebo přímo propojené s nadřízeným počítačem tak, aby data pro přípravu karet nebylo nutné vkládat z klávesnice programátoru, ale přenést po lince RS 232 z nadřízeného software. Technicky jsou pro toto propojení programátory připraveny a vybaveny všemi potřebnými obvody a není tedy nutné doplňovat systém dalšími zařízeními jako například počítači apod. Programátor se připojí k počítači kabelem přes standardní rozhraní RS 232. Propojení s počítačem poskytuje možnost při programování karet nahrát do paměti karty kromě speciálně kódovaných informací pro potřeby systému CISA rovněž další údaje ve standardním ISO formátu (např. číslo účtu majitele karty) a využít tak kartu jako identifikačního media pro další účely. Díky identifikaci číslem účtu v kódu ISO je možné použít kartu CISA i v klasických komerčních pokladnách a vytvořit tak bezhotovostní platební systém P.O.S, objednávání stravy v závodních jídelnách nakupovat v prodejnách apod.

7


18

Programátor ve své paměti v souboru „HISTORIE“ uchovává informaci o provedených operacích a osoba s příslušným oprávnění může snadno zjistit kdo, kdy a jaké operace v posledních dnech na programátoru prováděl. Systém poskytuje pět úrovní přístupu k programátoru tak, aby dovolil diferencovat úroveň práce a tím i služeb, které programátor poskytuje, podle kvalifikace nebo funkce personálu. Přípravu karet je možno provádět manuálně tím, že se příslušná data vloží do programátoru prostřednictvím alfanumerické klávesnice, nebo pomocí přenosu dat z počítače resp. z recepčního systému. V tomto případě se data potřebná pro přípravu karty přenesou do programátoru prostřednictvím klasické sériové linky rozhraní RS 232. Takovéto datové propojení výrazně zjednoduší práci recepce. Pro napojení s recepčním systémem tedy není zapotřebí žádného dalšího počítače, jak tomu bývá u jiných systémů! V případě větších systémů například hotelů s více pokoji, kde je obvyklé, že recepce má více pracovišť pro check-in hostů je možné vybavit recepci více programátory, které pak pracují v režimu SERVER/MIRROR/CLIENT. Jsou logicky přiřazeny k jednotlivým terminálům recepčního systému tak, aby bylo možné nezávisle připravovat karty na více místech. Datové propojení takovéto sítě je pak řešeno připojením programátoru CISA k serveru počítačové sítě hotelu. Organizace SERVER MIRROR pak slouží k zajištění větší spolehlivosti systému. Selže-li totiž jeden z obou uvedených programátorů, přebírá druhý plně jeho funkci a systém může pracovat dál“8.

1.4.1 Přenosný servisní počítač HHI „Přenosný servisní počítač tzv. HHI slouží k propojení dveřních zámků s programátorem karet. HHI umožňuje provádět servisní činnost na zámcích (synchronizovat datum a čas, upravovat některé z parametrů apod.) ale hlavně číst informaci z paměti „HISTORIE“ zámku a poskytovat tak informaci o tom kdo a kdy zámek otevřel, nebo se o to pokusil. Získanou informaci je možno ihned prohlížet na displeji HHI, nebo vytisknout prostřednictvím programátoru na připojené tiskárně. K práci s HHI je nutné se rovněž přihlašovat podobně jako k práci s programátorem“.9

8


9


19

Obrázek 4: Přenosný počítač HHI.10

1.5 Zámek se snímačem otisku prstu Občas se stane, že ztratíme klíče a nemůžeme se dostat do firmy nebo domů, proto firma Foshan Hentech Technology Development Co. Přišla s radikálním řešením. Nepotřebujete klíče ani karty stačí vám pouze otisk prstu. Jedná se o běžný zámek kde místo klíčové dírky nebo čtečky karet je umístěn scanner s rozlišením 500 dpi. Zámek je napájen lithiovou baterií a je schopen v paměti uchovat až 500 otisků.

10


20

Obrázek 5: Zámek s čtečkou otisku prstů.11

Otvírání zámku je velmi jednoduché, přijdete k zámku, přiložíte prst na scanner, který je v evidenci zámku a zámek během 1,5 vteřiny načte a vyhodnotí váš otisk. Pokud je snímek platný, zámek se otevře, v opačném případě zůstane uzamčený. S touto technologii je úzce spjata řada otázek. Ty nejběžnější si vysvětlíme v následujícím seznamu.

„Jak se dostanu domů, když se vybije baterie a zámek nefunguje? Zámek s dostatečným předstihem pípáním signalizuje slabou baterii. Pro případ, že se baterie zcela vybije (dovolená apod.), jsou u každého zámku na otisk prstu Hentech 3 nouzové originální klíče. Co když ztratím nouzové klíče? Zašlete výrobní číslo zámku Hentech a identifikační údaje a firma Hentech vám obratem zašle novou sadu klíčů včetně zámku. Jednotlivé klíče NELZE z bezpečnostních důvodů vyrobit. Co když přiloží na scanner prst nekompetentní osoba? Otisk bude sejmut, přečten, následně vyhodnocen a současně se zvukovou signalizací a rozsvícením červené kontrolky odmítnut.

11

http://www.otisky.cz/faq/ [online 5. 3. 2009]

21

Co když mám špinavý nebo poraněný prst? Dbejte na to, aby jste na scanner nepokládali špinavý prst, (bláto, prach, apod.). Znečištěný scanner není schopen správně číst vaše otisky a bude vás odmítat. Pokud se stane, že jej zašpiníte, jemně, ale důkladně jej při otevřených dveřích vyčistěte. V případě že si poraníte prst a je změněn nebo jakkoliv znehodnocen váš otisk prstu, požádejte osobu pověřenou programováním (mastra) a naprogramujte jiný prst, případně prst z druhé ruky. Co když přestane dítěti otisk prstu odemykat? U dětí je tento stav naprosto běžný! Dítě roste a zvětšuje se tím i otisk jeho prstu, proto zařízení začne dříve nebo později jeho otisk vyhodnocovat jako nesprávný. U velmi malých dětí (3-5 let) doporučujeme otisky aktualizovat cca 2x ročně, u starších dětí postačí 1x ročně. Neaktuální otisky dětí nemusíte vymazávat, kapacita zařízení je veliká. Co když budu potřebovat něčí otisk vymazat? (bývalý zaměstnanec apod.) V tomto případě master zařízení resetuje a znovu naprogramuje kompetentní otisky“12.

12

http://www.otisky.cz/faq/ [online 5. 3. 2009]

22

2 Počítačová bezpečnost Každému kdo vlastní stolní počítač nebo notebook s připojením k internetu se stalo, že byl napadený nějakým typem počítačové infiltrace13. Proto je v našem zájmu chránit své data, proti takovým to útokům, a zamezit tak jejich zneužití a dalšímu šíření. Jistou ochranou dat je také pouhé přihlášení do systému při spuštění počítače. Pracuje-li více uživatelů na jednom počítači, každý z nich má své přihlašovací údaje (uživatelské jméno a heslo), které nikdo jiný nezná. Uživateli je doporučeno nesdělovat tyto informace nikomu jinému.

2.1 Historie počítačových virů Nejprve se seznamme s pojmy Virus. Virus je počítačový kód, který připojí sám sebe k programu nebo souboru, což bývají často spustitelné soubory s příponou .exe, .com, .scr, .vbs, atd a může se šířit mezi počítači. Při tomto šíření napadá počítače. Viry mohou poškodit váš software, hardware, ale především i soubory. V roce 1983 vyzkoušel Dr. Frederick Cohen na Pensylvánské univerzitě kód, který byl schopen se samostatně šířit. V této souvislosti označil svůj kód slovem virus. Prvním virem pro osobní počítače IBM se stal v roce 1986 Brain. Vir byl vytvořen v Pákistánu bratry se jmény Basit a Amjad Farooq Alvi. V těle viru zanechali textovou zprávu s jejich jmény, adresou a telefonním číslem. Autoři byli prodejci softwaru a chtěli zjistit rozsah počítačového pirátství v Pákistánu. Ale jejich vir překročil hranice několika států. Viry byly v minulosti poměrně jednoduché, ale s postupem času došlo k jejich velkému zdokonalení. Později mezi tvůrci virů stoupla obliba makrovirů14, jejichž tvorba byla velmi snadná, a červů, kteří se umí velmi rychle šířit pomocí e-mailů. Mezi vlastnosti virů patří: • Umí vytvářet své kopie, které se dále šíří aniž by o tom uživatel věděl. Kopie může být odlišná od originálu. • Umí se usadit v jiném programu

13

Počítačová infiltrace je jakýkoliv neoprávněný vstup do počítačového systému.

14

Makroviry jsou psány v pokročilých makrojazycích současných moderních kancelářských balíků (Microsoft Word a jiné) a ve výhledu do blízkého budoucna představují jeden z nejnebezpečnějších virových problémů vůbec.

23

• Vykonává destrukční činnost. Většinou jde o smazání souborů, přeformátování disku, modifikace dat, apod.

2.2 Druhy virů Počítačové viry se dělí do několika skupin. My si uděláme rozdělení podle toho, jakou oblast počítače napadají. Jsou to Boot viry, souborové viry, makroviry, adresářové viry a asi nejznámější jsou trojské koně.

2.2.1 Boot viry Boot viry napadají systémové oblasti a bootový sektor na HDD15, MBR16 pevného disku. Při takovým napadení je vir spuštěn po startu počítače. Vhodný pro šíření toho viru byl operační systém DoS. Nebezpečí těchto virů je v tom, že při každém spuštění systému byl vir zaveden do paměti, ale při dnešních operačních systémech (32 i 64 bitových, např. Windows) je boot sektorový virus po startu systému odhalen.

2.2.2 Souborové viry Souborové viry napadají soubory typu např. .doc (word). V zásadě napadají spustitelné soubory .com, .exe, .scr, ale i batové soubory .bat. Podle metody infekce se dále dělí na: 1. Přepisující viry - virus přepíše obsah cílového spustitelného souboru vlastním kódem. Tím zničí obsah původního kódu. Infikovaný soubor je nefunkční a nelze jej opravit. Po jeho spuštění dojde k aktivaci viru, který se rozmnoží do dalších souborů. 2. Parazitické viry - virus změní obsah cílového spustitelného souboru, ale nepoškodí ho na rozdíl od přepisujících virů. Parazitický vir upraví infikovaný soubor tak, aby při spuštěný původního souboru došlo i k aktivaci viru. 3. Doprovodné viry – „virus, který nemění soubory, ani systémové oblasti disku. Doprovodné viry „infikují“ soubory s příponou .exe tak, že vytvoří nový soubor 15

HDD z anglického Hard disk drive, tedy pevný disk počítače, který slouží k trvalému uložení většiho objemu dat.

16

MBR z anglického Master boot rekord, tedy hlavní spouštěcí záznam.MBR je boot sector, který je v IBM PC kompatibilních počítačích umístěn v prvním sektoru pevného disku (nebo obdobného média), tj. na jeho úplném začátku. Jeho velikost je 512 bajtů a je v něm umístěn:1. Zavaděč operačního systému, kterému BIOS předává při startu počítače řízení. 2. Tabulka rozdělení disku na logické části. 3. Číselný identifikátor disku

24

obsahující samotné tělo viru a to se stejným názvem, ale s příponou .com (příklad: máme soubor virus..exe., virus vytvoří virus .com). Podle priorit DoS dojde při volání daného souboru bez uvedení přípony nejprve k aktivaci toho s příponou .com. a tím i k aktivaci viru. Záleží pouze na viru, zda po vykonání vlastních činností uvolní prostor i původně žádanému programu nebo souboru s příponou .exe“.17

2.2.3 Makroviry První makroviry se začali objevovat v roce 1995. Makroviry souvisejí s dokumenty, které vzniknout při práci například s balíkem Microsoft office. Jak z názvu vyplívá makroviry jsou tvořeny makry. Chod makrovirů je závislý na automakrech. Automakra se spouštějí při určité operaci s dokumentem, třeba otevření nebo zavření dokumentu. Makrovirus dokáže tyto makra využít a tím se i šířit. Makra jsou společně uloženy s dokumentem v jednom souboru. U MS Wordu v případě makrovou hraje důležitou roli šablona, která se jmenuje Normal.dot, která se automaticky otvírá při každém spuštění. V této šabloně je uložené nastavení uživatele jako je například vzhled a rozvržení stránky. Pokud je tato šablona napadena makrovirem, tak má vir kontrolu nad celým Wordem hned od jeho spuštění. U MS Excelu je napadaný adresář XLStart.

2.2.4 Trojský kůň Trojský kůň je pro uživatele skrytá část programu nebo aplikace, která provádí škodlivou činnost. Trojský kůň může být samostatný program, který vypadá, že bude užitečný. Například hra, spořič obrazovky nebo nějaký jednoduchý nástroj. Velmi časté jsou spořiče obrazovky s erotikou nebo pornografií. Někdy se trojský kůň vydává za program k odstraňování malwaru18. Je také možné, že může fungovat a odstraňovat konkurenční malware. Tato funkce slouží, ale pouze jako maskování škodlivé činnosti, kterou v sobě trojský kůň ukrývá. „V Microsoft windows může trojský kůň využít toho, že řada programů včetně systémového správce souborů (exploreru) skrývá přípony souborů. Vypadá pak jako

17 18

http://www.eset.cz/buxus/generate_page.php?page_id=984 [online 4. 3. 2009] Malware je počítačový program který je určený k vniknutí do počítačového systému s cílem poškodit ho.

25

soubor s obrázkem, zvukem, archivem nebo čímkoliv jiným, přestože se ve skutečnosti jedná o spustitelný kód. Chce-li uživatel obrázek kliknutím zobrazit, je ve skutečnosti spuštěn program (trojský kůň). Trojský kůň může být ale také přidán do stávající aplikace. Poté je upravená verze šířena například pomocí peer–to–peer19 sítí nebo warez serverů. Uživatel stažením kopie aplikace (nejčastěji bez platné licence nebo jako volně šířený program z nedůvěryhodného serveru) může získat pozměněnou kopii aplikace obsahující část programového kódu trojského koně dodaného třetí stranou. Klíčový rozdíl mezi počítačovým virem a trojským koněm je ten, že trojský kůň nedokáže sám infikovat další počítače nebo programy svojí kopií. Existují však počítačové červy, které na napadeném počítači instalují různé trojské koně nebo vytvářejí trojské koně z programů, které se v napadeném systému nacházejí“20.

2.2.5 Počítačový červ „Červ je stejně jako virus formován tak, aby kopíroval sám sebe z jednoho počítače do jiného, ale činí tak automaticky. Nejprve převezme kontrolu nad funkcemi v počítači, které mohou přenášet soubory nebo informace. Jakmile se červ ocitne v systému, může se přenášet samostatně. Vysokým nebezpečím červů je jejich schopnost replikace ve velkých objemech. Červ může například rozesílat kopie sebe sama všem členům vašeho emailového adresáře, jejichž počítače poté provedou to stejné, což způsobí domino efekt nebo rozsáhlý síťový přenos, který může zpomalit pracovní sítě i internet jako celek. Pokud se noví červi uvolní, velmi rychle se šíří. Zahlcují sítě a mohou způsobit, že vám (i komukoli jinému) bude dlouho trvat zobrazování webových stránek na internetu“21.

„Počítače tuzemských uživatelů v únoru nejčastěji napadaly programy, které se z nich snaží ukrást data. Velmi populární je šíření škodlivých programů prostřednictvím USB klíčů a dalších přenosných médií. Uvedla to antivirová firma Eset.

19

Peer-to-peer neboli P2P, klient-klient, je označení architektury počítačové sítě, kde spolu komunikují přímo jednotliví uživatelé.

20

http://cs.wikipedia.org/wiki/Trojsk%C3%BD_k%C5%AF%C5%88_(program) [online 4. 3. 2009]

21

http://www.microsoft.com/cze/athome/security/viruses/virus101.mspx [online 4. 3. 2009]

26

Nejrozšířenějším programem v Česku byl minulý měsíc vykradač údajů Win32/Agent s podílem téměř šest procent. Prostřednictvím přenosných médií se šířil program INF/Autorun, který obsadil pomyslnou čtvrtou příčku. Ve světě nejvíce škodila rodina trojských koní OnLineGames s podílem přes sedm procent. Tyto programy nejvíce ohrožovaly hráče počítačových her, kterým se snaží ukrást virtuální identity. Na tento zločin využívají autoři hrozeb různorodé techniky sociálního inženýrství a phishingové útoky. Druhý skočil program Autorun a třetí Conficker.AA, který začal ohrožovat počítače koncem minulého roku a například vyřadil z provozu stovky počítačů v britských nemocnicích. Červ Conficker.AA se šíří sdílenými soubory a přenosnými médii jako jsou USB klíče. Na průnik do počítače využívá nezáplatovaný operační systém a automatické otevírání přenosných médií po připojení či vložení do počítače.

2.2.6 Jak se na internetu chránit před viry a hackery Lidé se na internetu neumí chovat bezpečně. Nikoho pak nepřekvapí, že zhruba polovina počítačů připojených ke světové síti je zavirována. Zatímco dříve na sebe počítačové viry upozorňovaly, například zablokovaly spuštění operačního systému, nechaly blikat monitor, smazaly data a podobně, dnes je situace naprosto opačná. „Sedmdesát procent těch nejnebezpečnějších kódů patří do kategorie trojských koňů,“ řekl Radek Smolík z bezpečnostní společnosti Symantec. Ty pracují zcela tiše, neupozorňují na sebe. Vykrádají citlivé informace z počítačů a odesílají je přes internet. Existují velké skupiny osob, které s takto získanými daty dále obchodují“22. Jednou z metod, kterou hackeři využívají je Phishing. Do češtiny se tato metoda překládá jako rybaření. Ve své podstatě hackeři čekají, která rybka se chytí. Tato technika se používá na internetu k získání citlivých údajů například hesla, čísla kreditní karty a jiné. Princip této metody spočívá v rozesílání e-mailových zpráv, které vypadají jako oficiální žádost banky nebo podobné instituce, kde vyzívají adresáta k zadání jeho údajů na adresovanou stránku. V těchto e-mailech často bývá fráze, že jde pouze o ověření platnosti účtu nebo zlepšení boje proti hackingu. Tato stránka může napodobovat přihlašovací

22

http://www.novinky.cz/internet-a-pc/software/163871-nejvetsi-hrozbou-jsou-pro-pocitace-v-cr-skodliveprogramy-ktere-kradou-data.html [online 4. 3. 2009]

27

stránku do internetového bankovnictví, kde adresát zadá své přihlašovací jméno a heslo, tímto krokem prozradil útočníkovi své údaje, který se může kdykoliv přihlásit místo něj a čerpat z jeho účtu peníze. Nejúčinnější obranou proti tomuto způsobu je naprostá ignorace těchto e-mailů a v žádném případě nezadávat svoje heslo a přihlašovací jméno. Nástupcem Phishingu je Pharming. Principem je napadení DNS a přepsání IP adresy, což způsobí přesměrování klienta na falešné stránky internetového bankovnictví, po napsání url banky do prohlížeče. Tyto stránky jsou obvykle k nerozeznání od skutečných stránek banky. Ani zkušení uživatelé nemusejí poznat rozdíl (na rozdíl od příbuzné techniky phishingu).

2.3 Ochrana proti virům Nejlepší ochranou proti virům je nainstalování nějakého antivirového programu do vašeho počítače. V dnešní době je antivirový program nezbytnou součástí každého uživatele. Antivirové programy v sobě mají naprogramované určité činnosti, které provádí hned po spuštění počítače. Mezi nejčastější činnosti patří vyhledávání, skenování, heuristická analýza, kontrola integrity a rezidentní vyhledávání.

2.3.1 Vyhledávání Antivirový program má v sobě naprogramovány všechny ukazující znaky viru. Pokud antivir najde v počítači program, který odpovídá těmto charakteristikám, označí ho jako škodlivý vir. Když je podoba viru známa, je tato metoda velmi účinná. Pokud je virus upravený nemusí tato metoda fungovat správně a úplně neznámé viry neodhalí.

2.3.2 Skenování Program porovnává obsah souboru se svojí interní databází. Je-li v souboru obsažen řetězec, který je shodný s řetězcem v této databázi, program ho označí jako zavirovaný. Tato metoda je velmi spolehlivá v závislosti na jeho aktualizaci. Doporučuje se alespoň jednou denně. Nebo použít takový antivirový program, který aktualizace stahuje automaticky.

2.3.3 Heuristická analýza Program zkontroluje soubor, zda není napaden nějakým virem. Pokud nenalezne žádný virus, zahájí logickou analýzu kódu testovaného souboru a posuzuje se, co testovaný kód znamená. Z toho vyplívá, že soubor, který je testovaný obsahuje instrukce, které nejsou 28

zcela běžné například. vyhledávání jiných souborů s příponou .exe, jejich otevření a kopírovaní vlastního kódu do těchto souborů apod. Rychlost heuristické analýzy je nižší, než je rychlost antivirového testu a proto je mnohem důkladnější. Tento test využívá vlastní virovou databázi, která obsahuje popis jednotlivých virů. Test prochází zadané zařízení, kontroluje systémové oblasti a soubory a zjišťuje, zda tyto testované objekty neobsahují kód, který by odpovídal některému ze známých virů. Heuristická analýza je tedy nezávislá na virové databázi. Jestliže se při analýze kódu testovaného souboru zjistí skutečnosti, že soubor nelze považovat z hlediska funkčnosti za normální je označen jako vir.

2.3.4 Kontrola integrity Kontrola integrity spočívá na porovnávání aktuálního stavu souborů a oblastí na disku s informacemi, které si kontrolní program zachoval při posledním spuštění daného souboru. Jestliže se do chráněného počítače dostal virus, musí na sebe nějak upozornit, a to například. změnou velikostí některého z kontrolovaných souborů a může být zachycen kontrolou integrity. Spolehlivě tak lze zachytit i nové viry, které nejsou zatím známé. Nevýhoda u této metody je, že umí pouze virus najít, ale neumí ho odstranit.

2.3.5 Rezidentní sledování Antivirový program se hned po startu počítače spustí a neustále běží na pozadí a v pravidelných intervalech se provádí kompletní kontrola souborů na pevných discích. Program kontroluje podezřelé operace se soubory a systémovými oblastmi disku. Při rezidentním sledování, spustí-li uživatel program je nejprve zkontrolován antivirovým programem, jestli není zasažen virem a po té je program spuštěn. Hodně antivirových programů kombinuje výše popsané metody a nechává na uživateli, jaké kombinace ochran si přeje použít.

2.4 Antivirový program Antivirový program je počítačový software, který slouží k identifikaci a odstranění počítačových virů a dalšího škodlivého software jako je malware. Program prohlíží soubory na lokálním disku kde má za úkol nalézt shodnou definici počítačového viru ve své databázi a označit ho jako vir. Pokud nalezne shodu, má program tři možnosti co může udělat: 29

1. Opravit nebo vyléčit soubor odstraněním viru ze souboru. 2. Smazat infikovaný soubor. 3. Umístit soubor do karantény. Pro úspěšné nalezení viru v souborech je nezbytná častá aktualizace antivirového programu respektive jeho databáze virů, která obsahuje informace o starých a nově vzniklých virech. Pokud není program aktualizován, je to stejné, jako kdyby nebyl antivir v počítači nainstalován. Antivirový program kontroluje soubory, když je operační systém počítače vytvoří, zavře, otevře, zasílá nebo přijímá e-mailem. Pokaždé je-li se souborem spojena nějaká operace. Dále zkoumá zvláštní chování počítačových programů, které mohou být virem. Oproti virovým databázím nehledají přímo vir z databáze, ale sledují chování všech programů v počítači. Pokud se program snaží zapsat svůj kód do spustitelného souboru, antivirový program označí a nahlásí toto chování uživateli. Výhoda tohoto postupu je, že virus nemusí být ve virové databázi a antivirový program ho odhalí. Nevýhoda je, že program hlásí falešné hlášení. Časem tomu uživatel nevěnuje pozornost, i když se jedná o pravé hlášení. Z důvodu těchto otravných hlášení uživatel automaticky povolí pokračování programu, tímto rozhodnutím antivirus dále nehlásí varování nákazy. Proto moderní antivirové programy tuto funkci využívají méně a méně.

2.4.1 Používané antivirové programy Často používaným antivirovým programem je avast! Home – freeware. Jeden z nejlepších antivirových programů. Výrobcem je česká společnost Alwil Software. Umožňuje hledat známé počítačové viry, trojské koně, vytvářet a kontrolovat databázi integrity, spouštěné i ukládané programy, otevírané dokumenty a elektronickou poštu. Produkt je pro domácí nekomerční použití zdarma. Po instalaci nebo do několika dnů je nutné pro trvalé použití, zdarma provést registraci. Dále je velmi často používaný antivirový program Eset NOD32, je vyrobený slovenskou společností Eset. Je určený pro pracovní stanice a domácí počítače. Nabízí nové technologie, jakými je například rozšířená heuristická analýza, která dokáže odhalit HLL WIN32 viry, které se šíří elektronickou poštou. Dále je rozšířen o složku AMON. Jedná se o skener, který se automaticky spouští po startu Windows a běží na pozadí. Z dalších 30

složek, které obsahuje antivir je DMON (Dokument Monitor) jedná se o antivirovou podporu MS Office. Objeví-li se, na internetu nová aktualizace virové databáze antivir ji okamžitě stáhne, pokud jste připojení k internetu. Osobně používám antivirový program Eset NOD32 Business Edition. Proto se na něho podíváme trochu podrobněji. Tato sada obsahuje jak antivirové, tak antispywarové nástroje a ochranu proti rootkitům23. Antispyware je program, který odstraňuje či blokuje spyware24, jež se bez vědomí uživatele natáhl do jeho počítače. Antivir má malé nároky na systém, ale lepší je provádět plánované úkoly tak zvaně mimo špičku. „Základem je rezidentní ochrana pracující v reálném čase, jejíž činnost lze s ohledem na minimalizaci nároků na systém podle požadavků optimalizovat – například pak nekontroluje již zkontrolované soubory (nedošloli mezi tím k aktualizaci virové databáze). Pro nově vytvořené soubory je z těchto důvodů prováděna hlubší kontrola než pro ty existující, a to pomocí rozšířené heuristiky. Dobré jsou také možnosti nastavení antiviru pro ochranu elektronické pošty včetně integrace s Outlookem a nechybí ani ochrana při vstupu na web, resp. protokolu http. U ní je možné definovat také seznam zakázaných adres, na něž nebude uživatel vpuštěn, a výjimek, u nichž kontrola antivirem nebude probíhat. Nastavení pro kontrolu počítače jsou dosti flexibilní a samozřejmostí je také ve třech stupních volitelná úroveň léčení dle požadavků tak, aby uživatel měl šanci vybrat si nejvhodnější akci, nebo aby naopak proběhla automaticky. Neznámé soubory lze ukládat do karantény a případně také zaslat výrobci k analýze“.25

23

Rootkit je sada počítačových programů a technologií, pomocí kterých lze maskovat přítomnost zákeřného software v počítači (například přítomnost virů, trojských koňů, spyware a podobně). Rootkit technologie maskuje přítomnost zákeřných programů skrýváním adresářů, v nichž jsou instalovány.

24

Spyware je program, který využívá internetu k odesílání dat z počítače bez vědomí jeho uživatele.

25

Computerworld , vydavatelství IDG Czech, ročník XX 13.-26.2.2009. číslo 3, strana 21.

31

3 Zabezpečení lokálních počítačových sítí Další kapitola je o zabezpečení počítačových sítí, kde budeme hovořit o bezdrátových sítích WLAN, kde si vysvětlíme základní ochranu před napadením, vniknutím a ukradením dat ze sítě. S přibývajícím časem více uživatelů využívá, bezdrátovou počítačovou sít, kde odpadá mnohdy náročná kabeláž. Lokální počítačové sítě pokrývají malé geografické území což je například domácnost, malé firmy, ale i kavárny proto je velmi důležité znát základní ochranu před napadením a předcházet útokům zvenčí a dobře chránit své soukromí.

3.1 Bezdrátová síť WLAN LAN je zkratka z anglických slov Local Area Network neboli místní síť. První sítě vznikly na konci 70. let 20. Století. Jako propojení velkých sálových počítačů. Síť LAN se používá ke snadnému sdílení prostředků, které jsou k síti připojeny, jako je například tiskárna nebo připojení na internet. Bezdrátové sítě WLAN jsou rychlejší variantou pevné sítě LAN. „Do lokální sítě tak stačí jednoduše nainstalovat přístupové body a již se do ní mohou okamžitě připojit veškeré stolní počítače a notebooky s bezdrátovou síťovou kartou, přičemž získají vysokorychlostní připojení i na vzdálenost 300m od přístupového bodu“.26 Většina WLAN sítí pracuje nad standardem bezdrátového vysílání IEEE 802.11.b. Tento standard pracuje s radiovou frekvencí 2,4GHZ. Sítě 802.11.b mají rychlost připojení až do 11Mb/s. Kde IEEE organizace (Institute of Electrical and Electronics Engineers), definuje činnosti radiových sítí a která vytvořila normu 802.11.

3.2 Wi-Fi Wi-Fi zkratka ze slov Wireless Fidelity, což znamená bezdrátová věrnost. „Zkratka Wi-Fi také označuje certifikaci, kterou uděluje organizace Wi-Fi Alliance, což je mezinárodní neziskové sdružení výrobců produktů 802.11. Produkty 802.11 s certifikací Wi-Fi prošly

26

Thomas M. Thomas, Zabezpečení počítačových sítí bez předchozích znalostí. Strana 221, 1. vydáni 2005.ISBN 80-251-0417-6

32

určitým testováním a umí tak spolupracovat s ostatními certifikovanými produkty“27. Bezdrátová síť má mnoho výhod mezi, které například patří cena. Vytvořit bezdrátovou síť je zpravidla levnější než vytvoření pevné sítě, protože odpadá mnohdy náročná kabeláž. Tato síť je nezávislá na aplikaci a to z důvodu, že WLAN je rozšíření pevné sítě, proto dokáže pracovat se všemi aplikacemi. Kde standardním protokolem v sítích je TCP/IP, který je podporován i v bezdrátových sítích. Mezi důležité hrozby u bezdrátových sítí patří fakt, že jakákoliv bezdrátová síť je radiová síť. Bezdrátové sítě 802.11 přenášejí data mezi AP (Access point neboli přístupový bod) pomocí radiových frekvencí, jaké jsou známé z radiových přijímačů. Přenos tedy probíhá vzduchem, tím je celá síť otevřená pro různé způsoby útoků. Nyní se podíváme na některé tipy útoků do bezdrátových sítí.

3.2.1 Odposlech nešifrovaných zpráv Jelikož forma komunikace probíhá vysíláním radiových vln. Je pro útočníka snadné nasloucháním přenosu, odposlechnout nešifrované zprávy. Pomocí vhodné aplikace, která slouží pro odposlech paketů (packet sniffer), není pro útočníka problém sledovat provoz, který prochází připojením. Tyto aplikace jsou na internetu volně ke stažení, jedna z těchto aplikací je Ethereal. Je to nejpoužívanější sniffer na světě, který zachytí pakety28 nebo různé informace, které dekóduje podle RFC norem29 a výsledky zaznamená. Odposlech nešifrovaných zpráv je možné používá ke krádeži identity. Například zaměstnanec přijde do práce, zapne si počítač, přihlásí se do sítě, a zkontroluje si příchozí poštu. V ten okamžik útočník s aplikací například Ethereal odchytí pakety, ve kterých po dekódování snadno přečte uživatelské jméno a heslo, tím může odcizit identitu zaměstnance. A bez jeho vědomí se kdykoliv přihlásit jako on. Nemusí ovšem jít pouze o poštovního klienta, ale i různé aplikace, do kterých je nutné se přihlásit, například: internet banking30.

27

Thomas M. Thomas, Zabezpečení počítačových sítí bez předchozích znalostí. Strana 223, 1. vydáni 2005.ISBN 80-251-0417-6 28 Paket je blok přenášených informací v počítačové síti. 29 RFC Normy jsou normy pro síťovou komunikaci. 30 Internet banking-služba, která umožňuje přístup k účtu prostřednictvím osobního počítače s připojením k internetu.

33

3.2.2 Nesprávně konfigurované přístupové body Řada přístupových bodů od tovární konfigurace otevřeně vysílá své SSDI všem oprávněným uživatelům. SSDI (Service Set IDentifier) je identifikátor bezdrátové počítačové sítě. Přístupový bod pravidelně, v rámci několika vteřin, vysílá svůj identifikátor v takzvaném majákovém rámci. Majákový rámec „(Beacon Frame) je zvláštní rámec, který je pravidelně vysílán přístupovým bodem, a přístupový bod jím inzeruje svou existenci a dostupnost. Přenáší se v něm časová značka, identifikátor sítě a další parametry významné pro potenciální klienty. Klientské stanice neustále monitorují jednotlivé kanály definované standardem IEEE 802.11b, aby v případě dostupnosti více přístupových bodů mohly optimálně zvolit přístupový bod, který budou využívat pro přenos dat“31. Parametr SSDI se skládá ze znaků ASCII tabulky32 , který může být dlouhý maximálně 32 znaků. Tento parametr je jakýmsi klíčem, při kterém dochází ke spojení jednotlivých adaptérů v bezdrátové síti. Bezdrátová zařízení, která se pokoušejí o komunikaci, mezi sebou si musí předat ten samý parametr SSDI. Je-li klíč adaptéru jiný než klíč, který je na přístupovém bodu, přístup je odmítnut. Pro povolení přístupu se musí nastavit klíč shodný jak pro adaptér, tak i pro přístupový bod. Proto nastavením různých klíčů můžeme umožnit fungování více bezdrátových sítí na jednom místě. Hodnota parametru SSDI se považuje za první úroveň zabezpečení. SSDI je automaticky nastavené od výrobce, proto není problém pro potenciálního útočníka dostat se do sítě, protože výchozí hodnoty lze zjistit na internetové adrese www.cirt.net/passwords. Ale změníme-li tuto hodnotu na složitější text, útočníci se do sítě dostanou hůře. V tabulce jsou některé z nich.

31 32

http://www.odbornecasopisy.cz/index.php?id_document=29029 [online 19. 3. 2009] ASCII tabulka-jde o kódovou tabulku, která definuje znaky anglické abecedy a jiné znaky používané v informatice. Jsou zde obsaženy písmena, číslice, interpunkční znaménka, matematické znaky a jiné znaky.

34

Tabulka 1: Přehled SSDI parametrů různých výrobců(vlastní tvorba).

Výrobce

Automatický nastavený parametr SSDI

3Com

101,comcomcom

Addtron

WLAN

Cisco

Tsunami, WaveLAN, Network

Compaq

Compaq

Dlink

WLAN

Intel

101, 195, xlan, intel

Linksys

Linksys, wireless

Lucent/Cabletron

RoamAbout

NetGear

Wireless

SMC

WLAN

Symbol

101

Teletronics

any

Zcomax

any, mello, Test

Zyxel

Wireless

Ostatní

Wireless

3.3 Technologie AAA Nyní jsme se dozvěděli různé útoky napadení bezdrátové sítě a teď si řekneme něco k jejímu zabezpečení. Každý kdo by se chtěl přihlásit do sítě, musí znát název sítě nebo své přihlašovací jméno a heslo. Při procesu přihlašování probíhají tři věci a to autentizaci, autorizaci a účtování, které se značí zkratkou AAA33.

3.3.1 Autentizace Autentizace neboli ověření totožnosti. Autentizace zajišťuje, že uživatel, který se hlásí do sítě je opravdu tím, za koho se vydává. Díky autentizaci může síťový administrátor poznat, kdo se do sítě přihlásil, protože každý ke svému vstupu do sítě musí zadat své uživatelské

33

AAA-z anglických slov authentication, authorization a accounting označované triple A.

35

jméno a heslo, které dostane od administrátora sítě. Databáze platných uživatelských jmen a hesel je uložená na lokálním směrovači nebo na vzdáleném serveru zabezpečení.

3.3.2 Autorizace S procesem autorizace úzce souvisí proces autentizace, protože bez úspěšného ověření uživatele by nemohl proběhnout proces autorizace. Po úspěšné autorizaci se rozhoduje, ke kterým operacím má uživatel oprávnění. Je jasné, že nebude mít takové jako administrátor. Administrátor může udělit různou úroveň oprávnění, která vymezuje uživateli povolené příkazy. Například máme-li úroveň omezení 0 až 10. Uživatel s oprávněním 0 nemůže zadávat žádné příkazy, ale uživatel s oprávněním 10 může provádět všechny operace. Autorizaci zajišťuje přístupový seznam ACL. “ ACL (anglicky access control list, česky doslova seznam pro řízení přístupu) je v oblasti počítačové bezpečnosti seznam oprávnění připojený k nějakému objektu (např. souboru). Seznam určuje, kdo nebo co má povolení přistupovat k objektu a jaké operace s ním může provádět. V typickém ACL specifikuje každý záznam v seznamu uživatele a operaci. Například: Záznam v ACL [Pepa, smazat] pro soubor XYZ dává uživateli Pepa právo smazat soubor XYZ. U bezpečnostního modelu používajícího ACL tak systém před provedením každé operace prohledá ACL a nalezne v něm odpovídající záznam, podle kterého se rozhodne, zda operace smí být provedena nebo ne“34. „Autorizace může stanovovat také typy komunikačních aktivit a protokolů, které má uživatel povoleny. Takto je možné povolit jen provoz FTP35 nebo HTTP36“.37

3.3.3 Účtování Účtování je poslední proces z technologie AAA. Nastupuje po úspěšném dokončení autentizace a autorizace. Díky procesu účtování administrátor uchovává informace o uživatelích a jejich provedených operacích. Takto sebrané informace mohou sloužit jako důkaz odposlechu, falšovaní nebo nabourání sítě. Tyto informace v sobě nesou i časovou

34

http://cs.wikipedia.org/wiki/Access_control_list [online 11. 3. 2009] FTP-file transfer protocol. Protokol pro přenos souborů mezi počítači na, kterých mohou běžet rozdílné operační systémy. Protokol je platformově nezávislý. 36 HTTP-hypertext transfer protocol. Internetový protokol pro výměnu hypertextových dokumentů ve formátu Html. 37 Thomas M. Thomas, Zabezpečení počítačových sítí bez předchozích znalostí. Strana 105, 1. vydáni 2005.ISBN 80-251-0417-6

35

36

stopu kdy se uživatel přihlásil, jakou operaci provedl, kolik bajtů během své relace přenesl apod. Administrátor pomocí účtování sleduje také konfigurační změny směrovačů. Informace se ukládají ve směrovači nebo vzdáleném serveru zabezpečení. Po nastavení technologie AAA může k neoprávněnému vstupu do sítě bránit externí server zabezpečení například RADIUS. Budeme-li používat tento server, musíme nastavit technologii AAA, protože informace zjištěné z procesů AAA se odesílají na server a tam jsou dále zpracovávány.

3.4 Protokol RADIUS Radius vznikl z anglických slov Remote Authentication Dial-In User Service neboli uživatelská vytáčená služba pro vzdálenou autentizaci. Úkolem protokolu Radius je zabezpečit síť proti neoprávněným vstupům do sítě. „Protokol Radius zajišťuje autentizaci, autorizaci a účtování vzdálených uživatelů vždy ve spojení s technologií AAA. Autentizace uživatele prostřednictvím serveru Radius probíhá následujícím způsobem: • Vzdálenému uživateli se vypíše výzva k zadání uživatelského jména a hesla • Zadané uživatelské jméno a heslo se zašifruje a odešle po datové síti • Server Radius přečte uživatelské jméno a heslo, a buď jej příjme, nebo zamítne. V některých případech může uživatele požádat o doplnění dalších informací“38. Pokud je uživatelské jméno a heslo v pořádku, server umožní přístup k poskytovateli internetu. Kde je vybrána IP adresa a další parametry spojení, například rychlost připojení, doba po kterou může být uživatel připojen apod. IP adresa je číslo, které identifikuje síťové rozhraní. IP je zkratka Internet Protokol, pomocí něhož komunikují všechna zařízení v internetu. Nejpoužívanější je rozhraní IPv4, kde jsou 32 bitové adresy psané dekadicky (192.168.2.1.), ale brzy se bude přecházet na IPv6, který pracuje na 128 bitové adrese.

3.5 Protokol EAP Extensible Authentication Protocol neboli rozšířený autentizační protokol. Sdružení IEEE schválilo protokol 802.1x. Tento protokol zabezpečuje fyzické připojení do počítačové sítě. Je-li do síťového portu připojeno nové zařízení, port se zablokuje, dokud nejsou 38


37

uvedeny autentizační údaje, jako je uživatelské jméno a heslo. Tento proces se aktivuje v autentizační fázi procesu zabezpečení bezdrátové sítě. „Podle protokolu 802.1x tak při žádosti zařízení o komunikaci s přístupovým bodem probíhají v protokolu EAP následující operace: • Přístupový bod si od klienta vyžádá autentizací informace. • Uživatel zadá požadované informace pro autentizaci. • Poté přístupový bod odešle autentizační informace od klienta do standardního serveru RADIUS k autentizaci a autorizaci. • Jakmile proběhne autentizace na serveru RADIUS, dostane klient povolení se připojit a vysílat data.“39

V protokolu EAP mohou probíhat tyto metody autentizace: • EAP-MD5 • EAP-Cisco Wireless (LEAP)

3.5.1 EAP-MD5 Tato metoda odesílá autentizační informace na server RADIUS, během odesílání se opírá o haš, který je vytvořený z uživatelského jména a hesla. Haš neboli otisk se používá pro kontrolu integrity dat. Kde se porovnává vstupní informace s informací výstupní. Tato metoda nenabízí žádné aplikace, kde by si klient ověřil, že vysílá informace do přístupového bodu, do kterého chce. Snadno může klient vysílat do pirátského bodu. Tato metoda nenabízí oproti standartu 802.1x funkce navíc, proto se z funkcí EAP považuje za nejméně bezpečnou.

39


38

3.5.2 EAP-Cisco Wireless Pracuje na stejném principu jako předchozí metoda autentizace. Firma Cisco doplnila tuto metodu o další podpory a tím zvýšila její bezpečnost. Jedna z podpor je ta, že pro každé klientské připojení se dynamicky generují jednorázové klíče WEP. Jde o to, že každý klient sítě pracuje s jiným vygenerovaným klíčem, který nikdo nezná ani sám klient ne. Autentizace Leap podporuje časové limity komunikačních relací protokolu RADIUS. To znamená, že se klient každých několik minut musí přihlásit znova do sítě. Spojením těch to dvou podpor se při každém připojení změní dynamický klíč, tím se budou měnit tak často, že je útočník včas neprolomí a spojení se stává bezpečnějším. Leap provádí oboustrannou autentizaci a to klienta vůči přístupovému bodu a naopak. To vytváří ochranu proti instalaci pirátských bodů.

3.6 Šifrovací protokol SSL Je zkrácení slov ze Secure Socket Layer tedy vrstva bezpečných soketů. Certifikát SSL je šifrovací klíč, kterým jsou chráněna data proti zneužití třetími osobami. Protokol SSL se nejčastěji využívá pro bezpečnou komunikaci s internetovými servery pomocí HTTPS, což je zabezpečená verze protokolu HTTP. Po vytvoření SSL spojení je komunikace mezi serverem a klientem šifrovaná a tedy zabezpečená. Spojení pomocí SSL funguje na principu asymetrické šifry, kdy každá ze spolu komunikujících stran má dvojici šifrovacích klíčů, a to veřejný a soukromý. Veřejný klíč je možné zveřejnit, pokud je tímto klíčem zašifrována nějaká zpráva, což může udělat kdokoliv, je zajištěno, že tuto zprávu bude moci rozšifrovat pouze majitel použitého klíče svým soukromým klíčem. Kde spojení SSL bude probíhat následujícím způsobem: • Klient pošle serveru požadavek na SSL spojení, spolu s různými doplňujícími informacemi (například verze SSL, jaké šifrování je nastavené atd.) • Server pošle odpověď klientovi na jeho požadavek, která obsahuje stejný typ informací, které posílal klient, a hlavně certifikát serveru. • Podle obdrženého certifikátu si klient ověří autentičnost serveru. A to díky tomu, že certifikát obsahuje veřejný klíč serveru.

39

• Na základě těchto obdržených informací vygeneruje klient základ šifrovacího klíče, kterým se bude šifrovat následující komunikace. Ten zašifruje veřejným klíčem serveru a pošle mu ho. • Server použije svůj soukromí klíč k rozšifrování základu šifrovacího klíče, který obdržel od klienta a z tohoto základu vygenerují jak klient, tak i server hlavní šifrovací klíč. • Server a klient si navzájem potvrdí, že od této chvíle bude jejich komunikace šifrována pouze tímto klíčem. • Tímto procesem se ustanovilo šifrované spojení vygenerovaným šifrovacím klíčem. SSL certifikát kromě šifrování, také zaručuje autentičnost webové stránky, protože dokáže identifikovat provozovatele. Skoro každý webový prohlížeč identifikuje připojení ke stránce zabezpečeným SSL certifikátem.

3.7 Firewall Pokud se budeme chtít připojit k internetu, tak Firewall je jedna z nejdůležitějších částí zabezpečení, ať už se do sítě připojujeme z domova nebo z firmy. Kde Firewall kontroluje síťový provoz. Slouží jako kontrolní bod, kde určuje pravidla pro komunikaci, mezi sítěmi, které spojuje. Tak jako přístupové seznamy ACL (3.3.2), může firewall filtrovat síťový provoz podle zdrojové a cílové IP adresy, podle protokolů, a podle stavu spojení. Firewall tvoří určitá pravidla nebo zásady zabezpečení. Tyto termíny se nazývají bezpečnostní politika, kde jsou zahrnuta samotná pravidla komunikace, ale u většiny dnešních produktů i globální nastavení jako je například překlad síťových adres (NAT). Ale také provádí stavovou inspekci paketů (SPI).

3.7.1 Překlad síťových adres (NAT) NAT se používají umístěné mezi vnitřní sítí s privátní IP adresou a vnější sítí (internetem) s veřejnou IP adresou. Což zajišťuje firewall. Kde jedna jeho strana je připojena k vnitřní síti a druhá k internetu, jak je znázorněno na obrázku 6.

40

Obrázek 6: Pozice mechanismu NAT v síti (vlastní tvorba).

Mechanismus NAT má několik různých variant a pracuje ve třech různých režimech: • Statický NAT • Dynamický NAT • Přetížený NAT

Statický NAT pracuje jedna k jedné. To znamená, že přesně definuje zobrazení privátních IP adres na veřejné. „Pokud má například webový server vnitřní IP adresum 10.0.0.1 a má být dostupný z internetu, musíme definovat statický překlad NAT, který zajistí trvalý a jednoznačný převod uživatelských požadavků s veřejnou adresou webového serveru na jeho vnitřní IP adresu 10.0.0.1. Právě pro zařízení dostupná z vnější sítě, jako jsou webové servery, jsou statické překlady běžné“40. Dynamický NAT zajišťuje mapování privátních IP adres na veřejnou IP adresu, která je vybrána ze skupiny registrovaných adres. I zde funguje přesné zobrazení IP adres jedna

40


41

k jedné jako u statického NAT. Například máme-li privátní IP adresu 10.0.0.1 a náš kolega 10.0.0.2 dostaneme od firewallu při komunikaci s internetem každý jinou veřejnou IP adresu. Která může být pokaždé jiná než předchozí. U tohoto typu překladu se může stát, že firewall vyčerpá všechny veřejné IP adresy a komunikace bude zamítnuta, proto byl vyvinut Přetížený NAT. Přetížený NAT je rozšířenou verzí dynamického NAT. Kde převádí skupinu privátních IP adres na jedinou veřejnou IP adresu, které rozlišuje pomocí různých portů TCP. Tento mechanismu se také označuje jako PAT (Port Address Translation). Způsob překladu spočívá v tom, že pro jedinou IP adresu je více než 64 000 portů TCP. To umožňuje efektivní přístup k internetu velkému množství uživatelů s privátní IP adresou. Tento způsob se používá nejčastěji, protože dokáže najednou obsloužit velké množství uživatelů. Dalším prvkem v zabezpečení sítě je stavová inspekce paketů.

3.7.2 Stavová inspekce paketů (SPI) Stavová inspekce paketů je v mnoha případech implementována ve firewallu. Mechanismus se spustí ihned s prvními pakety, které zahajují komunikaci ve spojení. Při inspekci spojení se v tabulce vytvoří záznam a další pakety jsou propuštěny jen tehdy, pokud patří již k povolenému existujícímu spojení. Dostanou-li se pakety přes exterrní směrovač, který provádí předběžnou kontrolu pokusů o spojení pomocí mechanismu filtrování paketů. Filtrování paketů - metoda provede kontrolu obsahu paketu a podle určitých pravidel rozhodne, bude-li paket propuštěn dále do firewallu nebo bude zahozen. Po příchodu paketů se firewall rozhodne, zdali pustí pakety dál do interní sítě. Zařízení, které provádí stavovou inspekci, v našem případě je to firewall, vezme každý paket a podle údajů, které jsou obsaženy v hlavičce, zkontroluje, jestli odpovídá množině pravidel definující povolený provoz. Při inspekci hlavičky paketu se většinou kontroluje zdrojová a cílová adresa, typ protokolu, zdrojový a cílová port. Tyto pakety se kontrolují tak dlouho, dokud není dostatek informací pro určení stavu spojení. Informace získané z hlavičky paketu se porovnávají s množinou pravidel, které určují povolený nebo zakázaný přístup. Je zde možné také nastavit průchod do webového serveru jen provoz http, kde ostatní provoz bude zamítnut. Podle stavu spojení se dále informace získané ze stavové inspekce porovnávají s údaji stavové tabulky, která s sebou nese záznam pro každé povolené 42

spojení. Dále se již povoluje nikoliv průchod paketů, které odpovídají stanovené množině pravidel, ale průchod paketů, které jsou součástí platného i navázaného spojení. V závěru se pakety podle výsledků zapsané ve stavové inspekci, kde je prováděn pouze jeden dotaz, což nijak nezpomaluje systém, povolí nebo zamítnou.

Obrázek 7: Umístění stavové inspekce paketů v síti (vlastní tvorba).

3.7.3 Přehled činností firewallu Firewall se stavovou inspekcí, sleduje veškerý provoz, který pochází od vnitřních hostitelů, kontroluje probíhající konverzaci každého hostitele s požadovaným cílem a ověřuje, jestli je odpověď namířena ke stejnému hostiteli, který celou komunikaci zahájil. Nejdůležitější činnost firewallu je filtrování a inspekce paketu, ale má i jiné činnosti než jenom tyto dvě. Na které se podíváme v následujícím odstavci. Jedna z činností, kterou firewall provádí je blokováním příchozího síťového provozu podle jeho zdroje nebo cíle. Tato funkce je jedna z nejběžnějších, kterou firewall vykonává, z toho důvodu se také instaluje. Blokuje nežádoucí příchozí provoz do vnitřní sítě. Nežádoucí provoz velmi často pochází od útočníků, proto budeme chtít tyto útoky eliminovat. Další funkcí je blokováním odchozího síťového provozu podle jeho zdroje nebo cíle. Zde firewall sleduje odchozí provoz ve směru z vnitřní sítě do internetu. 43

Tuto funkci hodně využívají firmy, které mohou blokovat svým zaměstnancům přístup na některé webové stránky. Blokování síťového provozu dle obsahu to znamená, že firewall sleduje v provozu nežádoucí obsah, což jsou například viry. Proto se s firewallem integruje i antivirový program, který brání virům ve vstupu do vnitřní sítě. Některé firewally jsou integrovány s e-mailovým klientem, kde brání a monitoruje příchod nežádoucí elektronické pošty (např. spamu). Oznamování průběhu síťového provozu a činnosti firewallu. Při monitorování síťového provozu z a do internetu je nezbytné vědět co firewall dělá, kdo se pokouší dostat do vnitřní sítě a kdo se snaží dostat na internet k nelegálním nebo nevhodným materiálům. Dobrý firewall dokáže zaznamenávat veškeré aktivity do serveru syslog. Tyto záznamy nám slouží po proběhnutém útoku jako důležitý a průkazný nástroj.

3.7.4 Práce firewallu v reálném čase

Obrázek 8: Firewall v akci (vlastní tvorba).

Nyní si obrázek popíšeme trochu podrobněji. Jako první krok uživatel otevře webový prohlížeč, ve kterém zadá jím požadovanou webovou stránku, v našem případě www.seznam.cz, požadavek je odeslán přes firewall. Na obrázku znázorněné číslem 1. 44

Firewall si zjistí, že požadavek pochází od uživatele a je směřován na server www.seznam.cz. Proto bude čekat, že odpovědi budou přicházet právě z webového serveru www.seznam.cz. V tabulce stavu relací si firewall poznamená značku, podle které bude od začátku až do konce probíhat sledování celé komunikace. Spolu se značkou se zapíše i metrika spojení. Tento krok je na obrázku znázorněn číslem 2. Dalším krokem označeným číslem 3. se z webového serveru www.seznam.cz odešle odpověď s webovou stránkou, která přejde přes firewall, pro uživatele. Firewall si otevře tabulku stavu relací a zkontroluje, jestli se zde zapsaná značka i metrika shoduje s odchozím spojením. Pokud se značky a metriky spojení, shodují s přijatou odpovědí, povolí firewall průchod příchozího provozu. Pokud si firewall udržuje kontext stavu příchozího a odchozího spojení, tak se útočníkovi snadno nepodaří dostat do sítě pomocí zfalšovaného nebo podvrženého paketu. Pokud by útočník poslal do sítě tyto pakety a firewall by zjistil, že k nim nemá žádné zapsané informace o stavu spojení nebo se informace neshodují s těmi co má firewall zapsané, relaci okamžitě ukončí a zaznamená do protokolu. V dnešní nabídce firewallů je těžké vybrat si ten pravý, aby firewall správně pracoval, je velmi důležité přesně vymezit požadavky. Proto jsou rozděleny do několika kategorií.

Osobní firewall má obvykle podobu speciálního softwaru, který chrání jediný osobní počítač, na který se instaluje. Osobní firewally jsou nejčastěji instalovány na domácí počítače s širokopásmovým připojením k internetu. Pokud jste k Internetu připojeni přímo, můžete bezpečnost svého PC a firewallu do jisté míry podrobit zkoušce použitím některých online testů, například: • http://www.auditmypc.com/firewall-test.asp • http://www.pcflank.com/about.htm

„Integrovaný firewall s tímto firewallem nejčastěji pracují uživatelé širokopásmových přípojek, kabelových nebo DSL. K síti jsou připojeni pomocí jediného zařízení, které

45

současně plní i funkci směrovače, ethernetového přepínače, bezdrátového přístupového bodu a firewallu“.41

3.7.5 Demilitarizovaná zóna (DMZ) Když připojíme webový, poštovní a FTP server k veřejnému internetu, může to být pro nás nebezpečné. Pokud má firma samostatný veřejný web, provozovaný společně s poštovním serverem, může do sítě zapojit firewall s dvěma základními rozhraními a to vnějším a vnitřním a vytvořit v něm překladová pravidla, která přesměrují příchozí provoz do správných serverů vnitřní sítě. Toto řešení se zdá na první pohled být dostatečně bezpečné, ale není to pravda. Šikovný hacker si s tím poradí a lehce se nabourá do vnější sítě. Proto je do firewallu implementováno třetí rozhraní, které se nazývá Demilitarizovaná zóna. Toto rozhraní zvyšuje bezpečnost provozu serverů a služeb dostupných z internetu jako jsou například www, e-mail atd. Demilitarizovaná zóna je rozhraní, které je umístěné mezi námi důvěryhodným segmentem sítě, to je v našem případě vnitřní síť a nedůvěryhodným segmentem sítě, tedy internetem. Toto rozhraní obě sítě fyzicky odděluje a propojuje je pouze pomocí množiny určitých pravidel, které jsou definovány ve firewallu. Rozhraní demilitarizované zóny je velmi důležité, protože z internetu je takto možné přistupovat pouze k serverům demilitarizované zóny a tím zabránit vstupu přímo do vnitřní sítě.

41


46

Obrázek 9: Topologie sítě a umístění DMZ (vlastní tvorba).

Na obrázku vidíme, kde se demilitarizovaná zóna nachází. V této zóně je umístěn webový, poštovní a FTP server. Dle pravidel, která jsou platná pro rozhraní DMZ, nesmí síťový provoz z internetu vstupovat za segment připojený k rozhraní demilitarizované zóny. Bezpochyby největší výhodou demilitarizované zóny je izolace veškerých neznámých požadavků z internetu do zvláštních serverů v zóně. Jedná se o to, že potenciálně nebezpečný provoz se již nedostane do naší vnitřní sítě.

47

4 Zhodnocení počítačové bezpečnosti a nové vývojové trendy Je zřejmé, že bez počítačové bezpečnosti se v dnešní době neobejdeme. Stále více uživatelů používá stolní počítač nebo notebook s připojením na internet, z kterého číhá nebezpečí za „každým rohem“. V dřívějších dobách, kdy internet nebyl součástí skoro každé domácnosti nebo firmy, nebyly útoky tak časté jako dnes. Pro útočníky bylo snazší se nabourat do sítě a tak odcizit nebo zneužít data. Ale s rozmachem internetu, kdy se postupně vyvíjel a připojovalo se čím dál více uživatelů, mělo za následek více počítačového pirátství a útoků na uživatele různých tipů. Počítačová bezpečnost půjde stále kupředu, protože počítačový piráti nelení a stále vymýšlejí a vynalézají mnohé způsoby jak obejít bezpečnostní prvky a nabourat se do sítě nebo do vašeho počítače. Když už se útočník dostane do vašeho počítače, může všechny data smazat a vám zůstane prázdný počítač, proto je velmi důležité data zálohovat. Tím máte jistotu, že o své data nepřijdete a máte je vždy k dispozici.

4.1 Zálohování dat Zálohování dat je velmi důležitou částí ochrany. Při napadení útočníkem vašeho počítače je dosti možné, že útočník smaže vaše uložená data. Proto vřele doporučuji zálohování dat. Následně, si vysvětíme jak, takové zálohování může probíhat. Data jsou v počítači uložena na zařízení, které se jmenuje harddisk. Je možné pořídit přídavný harddisk v externím provedení za několik tisíc korun. Já používám externí harddisk ShareDisk NDAS model: SDP 10. Princip zálohování je takový, že externí disk připojíte ke svému počítači (obvykle pomocí USB kabelu), uděláte na něj kopii dat z původního disku, odpojíte od počítače a uložíte na bezpečné místo. To můžete provádět ve vámi zvolené frekvenci. Ve Windows XP a Vista existuje program Microsoft Backup, který celý proces usnadní. Zálohování tímto způsobem je rychlé a spolehlivé. „Pokud máte rychlé připojení k internetu a neomezený přenos dat, lze vyzkoušet nejmodernější způsob zálohování. Data se v pravidelných intervalech přenesou po internetu z vašeho počítače na harddisk poskytovatele zálohovací služby, který je obvykle umístěn někde v počítačovém centru. Poskytovatel vám dodá software, jenž umožní zvolit frekvenci a rozsah zálohy. Dál se o zálohu nestaráte, stačí nechat počítač puštěný a připojený 48

dostatečně dlouho na to, aby záloha proběhla. Za službu se platí obvykle paušálně a je omezena množstvím dat. Má však nejblíže k definici ideálního zálohování. Tuto službu například poskytuje http://mozy.com, kde je pro vyzkoušení této zálohy k dispozici kapacitní prostor 2GB, který je zdarma.“42

4.2 Rozvíjející se firewall Dalším trendem v zabezpečení je rozvíjející se firewall. „Firewally se začaly implementovat v 90. letech minulého století a postupem času dosáhly téměř dokonalosti při ochraně před nebezpečím typickým v té době, tj. proti neoprávněnému přístupu do sítě. Samozřejmě tyto techniky a možnosti se využívají stále, ale v dnešní době se čím dál více útoků odehrává na sedmé tj. aplikační vrstvě. Využívá se bezpečnostních nedostatků konkrétních aplikací - IIS nebo Apache web serverů, poštovních aplikací atd. Tento typ útoků je na síťové vrstvě nedetekovatelný a ani aplikační brána nemůže vědět například o riziku přetečení zásobníku (buffer overflow) v konkrétní aplikaci. Přístup jednotlivých výrobců se v drobnostech může lišit, ale trend je obecný. První krok posílení bezpečnosti je posílení stavové inspekce tak, aby i tento typ firewallu rozuměl aplikacím. Řada aplikací navazuje spojením na jiném TCP/UDP portu než přenáší data (například FTP). Některé pak kombinují dokonce více protokolů. Pokud firewall takové aplikaci nerozumí, musí mít otevřeny veškeré možné porty, na kterých může komunikovat a těch může být tisíce. To představuje velké bezpečnostní riziko. Proto je většina současných, alespoň těch dobrých firewallů hybridních. Přesněji řečeno dokážou sledovat navazování spojení u tohoto typu aplikací a dynamicky otevřít pouze domluvené porty pro konkrétní spojení. Jedná se stále o stavovou inspekci, spojení není přerušeno, je pouze sledován jeho průběh od navázání až po ukončení. ALG (Application Level Gateway) tak kombinuje výkon a výhody stavových firewallů s porozuměním komunikace i na aplikační vrstvě. „ALG je takzvaný hlídač, umístěný v demilitarizované zóně a zajišťující kontrolovaný průchod dat skrz tuto zónu, bude mít tím větší možnosti fundovaného rozhodnutí, čím více bude rozumět tomu, co skrz něj prochází. Proto je většina takovýchto "hlídačů", umisťovaných do demilitarizované zóny a fungujících jako přestupní uzly pro průchod skrz zónu, řešena až na úrovni jednotlivých aplikací - například samostatně pro elektronickou poštu, samostatně pro

42

http://www.asistentka.cz/node/8161 [online 1. 4. 2009]

49

službu WWW, samostatně pro FTP atd. Proto se jim také obecně říká "Application-Level Gateway, neboli "brána na aplikační úrovni"“43. Jako každá aplikace není dokonalá, tak že ani „ALG nemůže v principu vědět nic o bezpečnostních nedostatcích konkrétních aplikací. „Tedy pokud příliš dlouhé URL způsobí přetečení zásobníku nebo umožní přístup k systémovým adresářům, je to z pohledu firewallu legální HTTP provoz. Před tímto rizikem dokáže ochránit samostatná kategorie produktů - jednak starší a dnes už poněkud zastaralé systémy detekce průniku (IDS - Intrusion Detection System) a novější systémy prevence průniku (IPS - Intrusion Prevention System). IDS je pasivní zařízení. Provoz je na něj zpravidla "kopírován" pomocí funkce copy port/port mirroring na přepínači. IDS naslouchá provozu a vyhledává příznaky útoků. Ty nejlepší firewally mají dnes integrovaný systém prevence průniku přímo v sobě, jedná se o deep packet inspection. Zde není zásadní rozdíl mezi IDS, IPS nebo deep packet inspection. Základní metodou je packet signatures, tj. vyhledávání známého řetězce znaků v toku dat. De facto stejně funguje antivir. Tato metoda má jednu nevýhodu a to riziko falešných alarmů, tzv. false positives. Jednoduchý příklad, pokud bude řetězec detekován během navazování spojení poštovního klienta se serverem, jedná se o útok. Pokud bude řetězec nalezen v těle mailu, může se jednat o popis útoku a alarm bude falešný. Juniper Networks tuto metodu vylepšila na statefull signatures. Příslušný řetězec je detekován výhradně v okamžiku, kdy se může konkrétní útok odehrát, například právě při navazování spojení. Přesnost metody se zvýší a pozitivně se to projeví i na výkonu. Nicméně je zřejmé, že takto lze detekovat pouze známé útoky. Z tohoto důvodu je jedna detekční metoda málo. Dobrá řešení proto podporují více metod. Nejčastěji se jedná o detekci protokolových anomálií. Tok dat je porovnán s definicí daného protokolu, a pokud se liší například délka odpovědi při navazování spojení, může takto být detekován i neznámý útok.“44

4.3 TrustPort „TrustPort uvedl na trh další novou verzi svého produktu TrustPort Antivirus, určenou k provozu na 32bitových i 64bitových operačních systémech Windows. Výrobce tak zohlednil rostoucí rozšíření počítačů s více procesory nebo s vícejádrovými procesory mezi 43

http://www.earchiv.cz/a98/a814k180.php3 [online 1. 4. 2009] http://www.actinet.cz/bezpecnost_informacnich_technologii/l19/cl44/st4/j1/Soucasnost_a_trendy_reseni_fi rewallu.html [online 1. 4. 2009]

44

50

uživateli. Nová verze přináší v případě počítačů s dvoujádrovými, čtyřjádrovými a vícejádrovými procesory výrazné zvýšení výkonu při skenování na vyžádání. Software je na vícejádrovém procesoru nebo více souběžných procesorech až o 40 % rychlejší“45. „Produkt zajišťuje spolehlivou ochranu počítače před škodlivými kódy, které se šíří elektronickou poštou, schovávají se na webových stránkách nebo čekají ve vašich archivních souborech. Nedovolí, aby došlo ke spuštění viru, a nakažený soubor opraví, přejmenuje nebo odstraní. Řešení je založeno na několika skenovacích motorech. Kombinované použití těchto motorů zajišťuje vynikající detekci škodlivých kódů. Pravidelná automatická aktualizace virových vzorků znamená připravenost na nejnovější hrozby, heuristická analýza a test virtuálním počítačem odhalí i dosud nepopsaná nebezpečí. K dispozici jsou také přenosné verze antivirového softwaru, TrustPort Antivirus USB Edition a TrustPort Antivirus U3 Edition, s jedním skenovacím motorem. Tyto produkty zajišťují nepřetržitou ochranu paměťového média, na kterém jsou instalovány. Kromě toho umožňují antivirovou kontrolu libovolného hostitelského počítače. Hlavní rysy programu: • Okamžité zastavení viru. • Skenování elektronické pošty. • Likvidace spywaru. • Odhalení viru na webové stránce. • Eliminace spamu. • Filtrování nevhodných stránek. • Prevence phishingu. • Detekce podezřelých kódů.

45

http://www.sbernice.net/520914/pocitace-internet/trustport-antivirus-pro-64bitove-systemy.html [online 9. 4. 2009]

51

Způsoby kontroly: Rezidentní ochrana Nepřetržitě dohlíží na otvírané a spouštěné soubory. Jestliže v souboru nalezne virus, zabrání jeho spuštění a naloží s ním podle uživatelského nastavení. Může se ho pokusit opravit, přejmenovat ho, přesunout ho do karantény nebo ho nevratně smazat. Kontrola na vyžádání Umožňuje provést antivirové skenování konkrétních souborů, složek nebo celých disků. Skenování lze spustit jednorázově, podle aktuální potřeby, nebo lze naplánovat opakované skenovací úlohy. Pravidelná kontrola všech dat v počítači dává uživateli jistotu, že učinil maximum pro jejich bezpečí. Mail Antivirus Kontroluje příchozí elektronickou poštu. Případné viry jsou tak zneškodněny ještě před uložením přílohy elektronické zprávy na disk počítače. Podle situace lze skenovat všechny přílohy nebo jen přílohy vybraných formátů. Mail Antispam Zajišťuje likvidaci nevyžádané elektronické pošty. Pracuje se seznamy zakázaných a povolených odesílatelů, provádí ale také heuristickou analýzu obsahu zpráv. Šetří uživateli čas, který by jinak musel trávit manuálním odstraňováním obtěžujícího spamu. Web Antivirus Chrání počítač před škodlivými kódy při surfování na internetu. Detekuje viry nejen v těle otvíraných stránek, ale rovněž ve stahovaných dokumentech. Rodičovský zámek Třídí otvírané webové stránky do definovaných kategorií nebezpečného a nežádoucího obsahu. Umožňuje blokovat vybrané kategorie, jako je například pornografie nebo násilí, a zabránit tak ohrožení mravní výchovy dětí“46. Program podporuje skoro všechny dnešní platformy od Windows 2000 po Windows Vista včetně Windows 2008 server. Je dostupný v 5 jazycích, mezi kterými nechybí čeština. 46

http://www.trustport.com/index.php?id=586,1116,0,0,1,0 [online 9. 4. 2009]

52

Závěr Cílem této bakalářské práce bylo nastínit čtenářům, různé formy a druhy zabezpečení. Se zabezpečením se setkáváme každý den ať už s objektovým nebo počítačovým zabezpečením. V práci jsem popisoval dveřní elektronické systémy, kde výhodou těchto zámků je, že k jejich obsluze nepotřebujete obyčejné klíče, na které jsme zvyklí, ale magnetickou kartu, která je ve velikosti karty kreditní. Tyto zámky většinou využívají hotelové komplexy, nebo jiná rekreační centra. Výhodou zámků oproti normálním je, že v sobě nesou časové informace o jejich použití a typu karty, která byla použita, kde jsou tyto informace uloženy v počítači. To pak například může sloužit jako důkazný materiál při vykradení pokoje nebo jiných problémech. U počítačové bezpečnosti se lidé dělí na dvě skupiny a to na skupinu lidí, kteří o data přišli a na skupinu, která o ně teprve přijde. Proto chránit své data uložené v počítači je nezbytnou součástí uživatelovi práce s počítačem. Ve druhé kapitole bylo záměrem čtenářům ukázat různé druhy virů. U virů jsem popisoval jejich základní funkce, jaké oblasti disku napadají a jaké škody mohou způsobit. Seznámil jsem čtenáře s tipy antivirových programů a s implementovanými funkcemi v nich, které slouží k odstranění viru. Z těchto skutečností vyplívá, že na každém počítači by měl být nainstalován antivirový program. V dnešní době kdy každý používá nejrozsáhlejší síť na světe (internet) a kde nebezpečí číhá na každém rohu, je nutné také počítač ochránit nejen antivirovým programem, ale také pomocí správného firewallu. S oblibou se dnes používá bezdrátová síť Wi-Fi, která v sobě ukrývá určitá nebezpečí. Proto se hackeři stále snaží vymyslet způsoby jak se do sítě dostat a odcizit citlivé informace. Ve třetí kapitole jsem se zaměřil na různé techniky, jak se dají odposlouchávat přenášená data a informace. O to více jsem popsal principy zabezpečení, různé druhy šifrování a tipy firewallů. Samotná práce mě přinesla spoustu nových informací a skutečnost, že bezpečnost a ochrana informací by neměla být brána na lehkou váhu. Doufám, že postřehy z mé práce budou užitečné a nastíní čtenářům, jak zabezpečení funguje.

53

Seznam použité literatury: MOJMÍR KRÁL: Bezpečnost domácího počítače prakticky a názorně. Grada Publishong, a.s., První vydání, 2006, ISBN 80-247-1408-6. THOMAS M. THOMAS: Zabezpečení počítačových sítí bez předchozích znalostí. CP Books, a.s., První vydání, 2005, ISBN 80-251-0417-6 PETR VELECKÝ: Zastavte šíření malwaru ve firemní síti. Computerworld , vydavatelství: IDG Czech, ročník XX 13. -26. 2. 2009. číslo 3

Internetové stránky: http://tencom.cz/zamkove_systemy.php http://www.otisky.cz/faq/ http://www.eset.cz/buxus/generate_page.php?page_id=984 http://cs.wikipedia.org/wiki/Trojsk%C3%BD_k%C5%AF%C5%88_(program) http://www.microsoft.com/cze/athome/security/viruses/virus101.mspx http://www.novinky.cz/internet-a-pc/software/163871-nejvetsi-hrozbou-jsou-pro-pocitacev-cr-skodlive-programy-ktere-kradou-data.html http://www.odbornecasopisy.cz/index.php?id_document=29029 http://cs.wikipedia.org/wiki/Access_control_list http://www.asistentka.cz/node/8161 http://www.earchiv.cz/a98/a814k180.php3 http://www.actinet.cz/bezpecnost_informacnich_technologii/l19/cl44/st4/j1/Soucasnost_a_ trendy_reseni_firewallu.html http://www.sbernice.net/520914/pocitace-internet/trustport-antivirus-pro-64bitovesystemy.html http://www.trustport.com/index.php?id=586,1116,0,0,1,0

54

Seznam obrázků: Obrázek 1: Elektronický zámek na čipové karty. ............................................................... 10 Obrázek 2: Elektronický zámek se systémem WaveMode. ................................................ 14 Obrázek 4: Programátor čipových karet a přenosný počítač HHI. ...................................... 18 Obrázek 5: Přenosný počítač HHI. ...................................................................................... 20 Obrázek 6: Zámek s čtečkou otisku prstů............................................................................ 21 Obrázek 7: Pozice mechanismu NAT v síti (vlastní tvorba). .............................................. 41 Obrázek 8: Umístění stavové inspekce paketů v síti (vlastní tvorba).................................. 43 Obrázek 9: Firewall v akci (vlastní tvorba). ........................................................................ 44 Obrázek 10: Topologie sítě a umístění DMZ (vlastní tvorba). ........................................... 47

Seznam tabulek: Tabulka 1: Přehled SSDI parametrů různých výrobců(vlastní tvorba). .............................. 35

55

Ochrana a bezpečnost dat a informací

Recommend Documents