ÚVOD DO OPERAČNÍCH SYSTÉMŮ. Bezpečnost. České vysoké učení technické Fakulta elektrotechnická. Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

ÚVOD DO OPERAČNÍCH SYSTÉMŮ

Bezpečnost

České vysoké učení technické Fakulta elektrotechnická Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Ver.1.00

2012

Zdroje ohrožení • • • •

Vnitřní „nepřítel“ Vnější „nepřítel“ Chyby software Chyby hardware

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

CoJak s ohrožením na to? 1) prevence – připravenost na hrozby 2) detekce – nežádoucích aktivit a slabých (skrytých, nezamýšlených) míst v systému 3) náprava – odstranění slabin

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Autentizace Žádná Jméno/heslo (politika nastavení a změn hesla, počet chybných pokusů, zablokování přihlášení a způsob jeho obnovení: prodleva vs. Admin) Token – např. čipová karta Biometrické údaje Povolená místa pro přihlášení (MAC / IP adresa) – flipování adres na portu Povolená doba přihlášení Autentizují se nejen uživatelé, ale i zařízení Kontrola aktuálnosti databáze uživatelů Nastavení mechanizmů vzniku a zániku uživatele Pokud možno automaticky AUDIT Metoda „čtyř a více očí“ Omezení administrátorského konta Přejmenování Utajení / dělení hesla Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Autorizace Místa a čas s povoleným přístupem (počítačů na síť i fyzických osob do prostor) Práva k vykonávání činností Z pohledu OS řešeno na úrovni uživatele nebo procesu Přístup k výměnným médiím Software pro odhad nebezpečnosti činnosti uživatele

Doména/objekt D1

F1

F2

číst

F3 číst

D2 Ring 0

D3

Ring 1

D4

Ring 2 D5

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

tiskárna

tisk číst spustit číst psát psát

tisk

Co je dobré hlídat Prověřovat výskyt nežádoucích údajů (heslo na monitoru) Odezírání hesel Keyloggery

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Zálohování Fyzická odlehlost uložených záloh „Bába, matka, dcera“ Přístup k záložním médiím Plná, diferenciální a inkrementální záloha Zaručení trvanlivosti uložených záloh Zvláštní zálohovací účet

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Fyzická bezpečnost • • • • • • •

Biometrie Dveřní a kamerové systémy Audit Napájecí systémy Přístup k výměnným médiím se záznamem Registrace (ÚOOÚ) Spolupráce s policií a pojišťovnou

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Bezpečnost přístupu po síti • • • • • • •

Filtrace provozu na vstupu (firewall i několikrát) Demilitarizovaná zóna Důsledné oddělení informačního a produkčního systému Spyware + malware Antivir Monitorování příchozího a odchozího provozu • Struktura (kdo, co, kdy, kam, jak moc) Prověřování zabezpečení (nessus)

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Šifrování dat •

•

•

Šifrování (šifra) • proces kódování dat takovým způsobem, aby je nebylo možné přečíst neoprávněnými osobami Šifrovací algoritmus • konkrétní metoda, kterou se kódování provádí (např. DES, RSA, DSA, ...) • považuje se za bezpečný tehdy, když je pro ostatní osoby “neproveditelné“ přečíst data bez znalosti klíče • v současnosti nelze dokázat, že nějaký algoritmus je 100% bezpečný Kryptoanalýza – pokus dešifrování dat bez znalosti klíče

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Šifrování dat •

Symetrické šifry (šifry s tajným klíčem) • k zašifrování a rozšifrování se používá tentýž klíč • výhoda: rychlost šifrování/dešifrování • nevýhoda: problém s distribucí klíče • např. Blowfish, DES, IDEA, RC4

•

Asymetrické šifry (šifry s veřejnými klíči) • používá se dvojce klíčů: veřejný a soukromý klíč • data zašifrovaná veřejným klíčem lze rozšifrovat pouze jeho soukromým klíčem • nelze odvodit soukromý klíč z veřejného • výhoda: odpadá problém s distribucí klíče • nevýhoda: pomalé šifrování/dešifrování • např. RSA, DSA, ElGamal, Elliptic Curve, … Úvod do klasických a moderních metod šifrování • http://www.karlin.mff.cuni.cz/~tuma/nciphers.html

•

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

SSH – Secure Shell • •

•

Softwarové řešení síťového zabezpečení (na aplikační úrovni). Založené na architektuře klient/server • klienti: ssh, slogin, scp (v Unixu); putty, winscp (MS Windows) • server: sshd • transportní protokol je TCP/IP a server obvykle naslouchá na portu 22 • různé implementace SSH1, SSH2, OpenSSH, ... Přehled vlastností: • Soukromí (šifrování) = ochrana dat před rozkrytím (odposloucháváním) • Integrita dat = garance, že se data nezmění během přenosu • Autentizace = ověření identity (jak serveru tak uživatele) • Autorizace = definice co smí příchozí uživatel dělat • Směrování (tunelování) = zapouzdření jiného protokolu využívající služeb TCP/IP do šifrované relace SSH

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Tunelování protokolu X11

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Údržba – aktualizace software Opravování chyb v software Testování aktualizací Updaty po ověření distribuovány lokálně

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Prověření softwaru před nasazením Ověření funkčnosti Testování chyb Zdrojový kód

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost

Redundance •

Ochrana proti vadě jedné z častí • Zdroje, disky, celé počítače • Fyzická odlehlost

Y38ÚOS Úvod do operačních systémů 10 - Bezpečnost