Zabezpečení počítačových sítí

Michal Kos
1
2





Man-in-the-middle (Muž uprostřed) se používá pro označení typu útoku, kde útočník je schopen
zachytávat, číst a upravovat komunikaci mezi dvěma komunikujícími uzly, aniž ty by toto
poznaly.
Možná obrana je používat šifrované protokoly, ale ani tím ještě není zaručena bezpečnost,
protože i šifrované spojení můžeme navázat s útočníkem (při výměně veřejných klíčů)
Proto je při navazování spojení důležitá kontrola certifikátu (nejlépe podepsaného nějakou
důvěryhodnou certifikační autoritou)
Na lokální síti je k útoku nejčastěji zneužit protokol ARP, pokud si nejsme jisti bezpečností ani na
lokální síti, je vhodné kontrolovat veškerou ARP komunikaci na síti, jestli se někdo někomu
nesnaží podstrčit svou MAC adresu s cizí IP adresou. Druhá možnost je nastavit statické ARP
tabulky.
Důležitou věcí je také aktualizace OS.
3

Malware je počítačový program určený ke vniknutí nebo poškození počítačového systému.
Nejvíce se šíří internetem. Patří sem počítačové viry, trojské koně, spyware a červi

Počítačové viry




Trojské koně



Skrytá část programu/aplikace, s kterou uživatel nesouhlasí. Př. ve hře, spořiči obrazovky
Příklady trojských koňů

Sniffer – odposlouchávání přístupových jmen, hesel, čísel kreditních karet

Spam server – rozesílání nevyžádané elektronické pošty (e-mail) z napadeného počítače

Backdoor – síťová služba pro získávání přístupu do systému
Spyware



Program, který se dokáže šířit bez vědomí uživatele. Vkládá se do spustitelných souborů (exe, com, dat aj)
Některé viry můžou mazat soubory na disku, některé třeba jen obtěžují uživatele a to například tak, že zatěžují procesor nebo
operační paměť
Program, který sleduje uživatele a jeho zvyklosti při surfování na Internetu a posílá o tom zprávy
Typy spyware

Adware - obtěžují při práci na počítačí reklamou

Browser helper object - dll knihovna, která umožňuje programátorům změnit a sledovat Internet Explorer

Hijacker - mění domovskou stránku

Keystroke Logger - sleduje každý pohyb na klávesnici, některé druhy odesílají uživatelova hesla

Remote Administration - umožní vzdálenému uživateli ovládat PC
Červi

Šíří se ve formě síťových paketů, jsou směrovány již od úspěšně infikovaného. Paket dorazí do systému pomocí bezpečnostních děr
OS. Může dojít k infekci a následní k další produkci červích paketů. Může dojít až k zahlcení LAN sítě.
4
5

Je to počítačový software, který nás ochrání před nežádoucími viry, či jiným mallware.

Prohledavá soubory na lokálním disku

Detekuje podezřelé aktivity programů.

Provádí analýzu zachytávaných dat

Sleduje aktivitu na portech

Tzv. Sandbox napodobuje systém a spouští .exe soubory v simulaci. Po ukončení se program analyzuje

Když antivir nalezne soubor, který souhlasí s jeho databází virů, tak

Se pokusí soubor opravit/vyléčit odstraněním viru ze souboru

Umístí soubor do karantény (nelze jej dále používat, ale můžeme jej obnovit)

Smaže infikovaný soubor.

ESET NOD32 – již mnohokrát oceněn jako nejlepší antivir (1000 Kč)

AVG Anti-Virus – český antivir, také mnohokrát oceněný (860 Kč)

Kaspersky Anti-Virus – také z řady lepších antivirů (800 Kč)

Avast! – český antivir, který je pro nekomerční použití jako freeware

ClamAV – antivir pod GNU GPL licencí
6

Firewall je hardware nebo software, který slouží k řízení a zabezpečování síťového provozu mezi sítěmi.
Kontroluje informace přicházející z internetu nebo ze sítě, a v závislosti na svém nastavení je buď zablokuje nebo jim umožní projít do
počítače.
Tím pomáhá zabránit počítačovým podvodníkům nebo mallwaru (například červům) v získání přístupu k počítači prostřednictvím sítě
nebo internetu. Může rovněž zabránit tomu, aby počítač odesílal mallware do jiných počítačů
Hardwarový firewall může být součástí třeba routeru.
Nejlepší je z hlediska bezpečnosti použití HW firewallu spolu se SW firewallem.

Paketové filtry






Aplikační brány





ukládají informace o povolených spojeních, které pak mohou využít při rozhodování, zda procházející pakety patří do již
povoleného spojení a mohou být propuštěny, nebo zda musí znovu projít rozhodovacím procesem
Stavové paketové filtry s kontrolou protokolů a IDS (systémy pro detekci útoků)


Veškerá komunikace přes aplikační bránu probíhá formou dvou spojení – klient (iniciátor spojení) se připojí na aplikační bránu
(proxy), ta příchozí spojení zpracuje a na základě požadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána.
Data, která aplikační brána dostane od serveru, pak zase v původním spojení předá klientovi. Kontrola se provádí na sedmé
(aplikační) vrstvě OSI. Nevýhodou je vysoká náročnost na HW
Stavové paketové filtry


pravidla přesně uvádějí, z jaké adresy a portu na jakou adresu a port může být doručen procházející paket
firewally jsou schopny kontrolovat procházející spojení až na úroveň korektnosti procházejících dat známých protokolů i aplikací.
Mohou tak například zakázat průchod http spojení, v němž objeví indikátory, že se nejedná o požadavek na WWW server, ale
tunelování jiného protokolu
Firewall obsažený v OS – ve Vista dokonce již i použitelný
ESET Smart Security – obsahuje antivirus, firewall, antispyware a antispam v jednom (1250 Kč)
AVG Internet Security – antivirus, antispyware, antispam, firewall (1333 Kč)
Sunbelt Kerio Personal Firewall – bezplatná verze neobsahuje užitečné funkce pro surfování (placená 600Kč)
7

Používat antispywarový program

například Spybot - Search & Destroy, Ad-Aware

Při surfování používat bezpečnější prohlížeč

Neotvírat nebo nestahovat podezřelé soubory, či internetové stránky

Neprohlížet stránky s xxx, warez, cracky


Provádět aktualizace operačního systému a instalovat opravné balíčky pro
díry v systému
Email server s filtrací nebezpečných příloh
8
9

Povolení jen MAC adres, které chceme, aby měli do sítě přístup

Access listy

Nastavení zabezpečení Wifi na AP

Používat NAT

Použití NAC/NAP
◦
Připojení se do sítě je klientovi dovoleno jen když splňuje nastavené podmínky. Například použití určitého antivirového
programu, aktualizovaný OS a jeho nastavení. Pro zjišťování těchto podmínek je zapotřebí u klienta software agent.
NAC/NAP se používá například u IPsec, VPN nebo DHCP
10

Nepoužívat neověřené proxy servery
Vypnout zneužitelné služby OS (např. vzdálená plocha, telnet)
Dávat si pozor, co máme ve sdílených složkách
Používat bezpečnou komunikaci pomocí SSL, TSL

Při registracích zvážit, jestli uvádět své osobní údaje a čísla kreditních karet




Používat bezpečné heslo. Takové, které není uhodnutelné nebo jinak snadno
zjistitelné. Aby obsahovalo minimálně 8 znaků, velká a malá písmena, číslice a
speciální znaky, pokud to podmínky dovolují.

Například: tZm.2ps#R!

Nepoužívat stejná hesla.
Hesla nikomu nesdělovat nebo je na něco psát.

Šifrování emailové komunikace například pomocí OpenPGP

◦
PGP podpis zaručí identifikaci skutečného odesílatele. Šifrování znemožní komukoliv nežádoucímu
zprávu číst. Princip je podobný jako u SSL pomocí veřejného a privátního klíče.
11


Získání dat bez šifrování disku je opravdu jednoduché a heslo administrátora vás neochrání. To
se dá změnit během 10ti sekund.
Jak šifrování disku funguje
◦
◦
◦

Šifrovací program vytvoří novou virtuální diskovou jednotku, kterou je ve skutečnosti odkazem
na zašifrovaný soubor na disku nebo zašifruje celou partition.
Pokud při startu počítače nezadáte správné heslo, daný disk není vůbec vidět nebo není
přístupný.
Existuje celá řada šifrovacích algoritmů. Liší se v rychlostech kódování a rozkódování obsahu.
Programy na šifrování disku
◦
TrueCrypt

◦
DriveCrypt (€60)

◦
opensource program o velikosti 3MB s podporou mnoha šifrovacích algoritmů s podporou zašifrování i
USB klíčenky.
Jeden z nejlepších programů pro šifrování disku i souborů. Dokáže uchovávat data i do hudebních souborů
PGP Desktop Professional (€183)

Šifrování disku, šifrování emailu a výmaz dat z disku
12









Nastavení práv uživatele
Použití čipových karet
Použití čtečky otisků prstů
Detekce obličeje
Rozpoznání hlasu a jiné biometricé metody
Dnes již některé notebooky využívají přímo zabezpečení pomocí otisků prstů a detekce obličeje. Vše se dá ale obejít (třeba
změnou administrátorského hesla)
Příklady fyzického zabezpečení počítače (např. serveru)
◦
Zamčené okna a dveře
◦
Poplašné zařízení a kamerový systém
◦
Dobře klimatizovaná místnost
Legálnost software
◦
S legální licencí si ušetříme čas a máme k dispozici technickou podporu
◦
Nemusíme mít obavy z postihu (jak se říká, na každého jednou dojde)
◦
Výhoda aktualizace softwaru
◦
Cracky či keygeny můžou obsahovat viry, spyware nebo nám třeba obejitím ochrany zbytečně zatěžují systém
Zálohovat data nebo mít stínovou kopii disku. Zálohy citlivých dat zašifrovat.
13



zneužití jeho důvěry
neznalost
psychologické aspekty
14

wikipedia.org, google, různé dokumenty

Více k tématu




http://cs.wikipedia.org/wiki/Malware

http://cs.wikipedia.org/wiki/Počítačový_virus

http://cs.wikipedia.org/wiki/Trojský_kůň_(program)

http://cs.wikipedia.org/wiki/Spyware
http://cs.wikipedia.org/wiki/Man_in_the_middle
http://cs.wikipedia.org/wiki/Antivirový_program
http://en.wikipedia.org/wiki/Network_Access_Control
15