MASARYKOVA UNIVERZITA V BRNĚ

Transkript

1 MASARYKOVA UNIVERZITA V BRNĚ PEDAGOGICKÁ FAKULTA Katedra Technické a informační výchovy Síťová bezpečnost základních škol Diplomová práce Brno 2009 Autor práce: Bc. Lukáš Nevařil Vedoucí práce: Ing. Martin Dosedla

2 Bibliografický záznam NEVAŘIL, Lukáš. Síťová bezpečnost základních škol: diplomová práce. Brno: Masarykova univerzita, Fakulta pedagogická, Katedra technické a informační výchovy, Vedoucí diplomové práce Ing. Martin Dosedla. Anotace Diplomová práce Síťová bezpečnost základních škol pojednává o bezpečnosti počítačových sítích. Zabývá se všemi prvky, které hrají důležitou roli v otázce bezpečnosti sítí. Provádí analýzu síťové bezpečnosti na základních školách a navrhuje novou bezpečnostní politiku. Annotation Diploma thesis Network Security of Basic Schools is concerned with computer network security. It deals with all the points which play an important role in the network security. It analysis the network security at basic schools and proposes new security politics. Klíčová slova Počítačová síť, bezpečnost, paket, firewall, proxy, směrovač, VPN, bezpečnostní politika. Keywords Network, security, packet, firewall, proxy, router, VPN, security policy. 2

3 Prohlášení Prohlašuji, že jsem diplomovou práci zpracoval samostatně a použil jen prameny uvedené v seznamu literatury. Souhlasím, aby práce byla uložena na Masarykově univerzitě v Brně v knihovně Pedagogické fakulty a zpřístupněna ke studijním účelům. V Brně dne 18. dubna 2009 Bc. Lukáš Nevařil 3

4 Obsah Úvod Základy bezpečnosti Základy obvodového zabezpečení Obvod sítě Hraniční směrovač Firewall Detekční systém IDS Virtuální privátní síť VPN Filtrování paketů Filtrování paketů v protokolech TCP/IP Porty TCP a UDP Problémy s paketovými filtry Stavové firewally Proxy firewally Proxy neboli aplikační bránové firewally Rozšíření počítačové sítě Úloha směrovače Směrovač jako zařízení zabezpečovacího obvodu Směrovač jako bezpečnostní zařízení Detekce síťového narušení Signatury síťového IDS Úloha síťového IDS Virtuální privátní sítě Základní fakta o VPN Výhody VPN Nevýhody VPN Zodolnění hostitelského počítače Zodolnění proti místním útokům Zodolnění proti síťovým útokům Posílení proti útokům na aplikace Návrh koncepce zabezpečení sítě Základy návrhu sítě

5 3.1.1 Sběr požadavků na návrh Stanovení věcných požadavků Oddělení prostředků Bezpečnostní zóny Bezdrátové sítě Softwarová architektura Softwarová architektura a obrana sítě Problémy softwarové architektury Návrh obrany sítě Zálohování dat Způsoby zálohování Počítačové viry Antivirové programy Zjišťování přítomnosti virů Bezpečnost informačních systémů Sociální inženýrství Spamming v informačních systémech Základy kryptologie Kryptografie Kryptoanalýza Výzkum bezpečnosti sítí na základních školách Dotazník Analýza dotazníku Vytvoření návrhu bezpečnostní politiky sítě ZŠ Závěr Resumé Summary Použitá literatura: Elektronické zdroje:

6 Úvod Téma své diplomové práce jsem si vybral na základě svého dlouholetého zájmu o počítačové sítě a veškeré problematiky, která k ní neodmyslitelně patří. Počítačové sítě se stále více využívají jako prvek, který urychluje a zjednodušuje lidem práci. Veškeré formuláře, které se dříve tiskly stále dokola, dnes nahradila elektronická podoba, která je bezesporu mnohem úspornější a efektivnější. Tyto výhody ovšem s sebou nesou i některá rizika. Denně nacházíme zprávy o různém útoku na celosvětovou síť Internet. Ať už jde o viry, nevyžádané y nebo konkrétní útoky na osobní účty, jedná se o vážný problém, který musíme umět řešit. Podcenění těchto rizik může způsobit obrovské problémy a nejen finanční ztráty ať již v soukromé či veřejné správě. Zabezpečení počítačových sítí je tedy důležitá a bezpodmínečná součást každé sítě. Ovšem abychom kvalitně zabránili všem možným útokům, je důležité pochopit princip fungování počítačových sítí a vynaložit velké úsilí k přesvědčení lidí, aby své kroky vždy konaly podle předem daných bezpečnostních norem a tím minimalizovali riziko napadení svých počítačů v síti. Cílem diplomové práce je zmapování bezpečnosti počítačových sítí a prozkoumání všech prostředků, které nám mohou pomoci k větší síťové bezpečnosti. Provedu tedy výzkum bezpečnosti počítačových sítí na základních školách. Práce na vzorku několika základních škol zmapuje zabezpečení školní sítě a navrhne novou bezpečnostní politiku v otázce síťové bezpečnosti a ochrany dat. Výsledkem práce bude návod, resp. postup, jak zabezpečit počítačovou síť veškerá data a komunikaci před případným útokem zvenku. Tento bezpečnostní postup bude doručen zúčastněným základním školám jako doporučení pro zvýšení bezpečnosti školní počítačové sítě. 6

7 1 Základy bezpečnosti Počítačová bezpečnost označuje ochranu počítačových prostředků proti náhodnému nebo úmyslnému prozrazení důvěrných dat, neoprávněné modifikaci dat nebo programů, zničení dat, software nebo hardware a neoprávněnému zabránění v použití počítačových prostředků. Také ochrana proti jiným počítačově provedeným kriminálním aktivitám, jako je počítačem spáchaný podvod nebo vydírání. 1 Sběr údajů o zneužití počítačů zajišťoval v USA již od r Stanford Research Institute (RSI). V té době byly údaje rozděleny do 4 kategorií: vandalismus, namířený proti počítačovému HW, krádež majetku nebo informací, podvod uskutečněný pomocí počítače nebo krádež peněz, a nepřípustné použití počítače nebo krádež a prodej počítačového času. V roce 1977 dosáhl počet zaznamenaných případů 85. Statistiku vedl SRI do r Statistika amerického Národního střediska pro údaje o počítačovém zločinu ze začátku 90. let (Viz. Graf 1 Počítačová kriminalita) uvádí pronikání počítačové kriminality do 6 hlavních oblastí: nedovolený vstup 2% krádež služeb 10% změna dat 12% škody způsobené na SW 16% krádež informací nebo programů 16% krádež peněz 44% 1 HANÁČEK, P. Bezpečnost informačních systémů., s. 2 7

8 Počítačová kriminalita Nedovolený vstup Krádež služeb Krádež peněz Změna dat Škody způsobené na SW Krádež informací nebo programů Graf 1 Počítačová kriminalita 90. léta přinášejí s celosvětovým rozvojem Internetu i jeho zneužití k šíření pornografie, rasismu, propagaci výbušnin a drog, k prezentaci extremistů a kriminálních živlů. Společnost McAfee, která je největší specializovanou společností na technologickou bezpečnost se obává, že v roce 2009 budou internetoví útočníci pokračovat ve snahách o zneužití finanční krize. Podle společnosti budou letos hlavními kybernetickými hrozbami únos firemní značky a podvodná nabídka pracovních míst. Útočníci se podle společnosti v letošním roce pokusí uživatele nalákat na podvodné finanční a právní služby a investiční firmy a to prostřednictvím serverů, které předstírají, že se jedná o weby legitimních institucí. 1 Počítačová kriminalita je rozsáhlá oblast a dotýká se téměř všech částí našeho života. Počítače kontrolují dodávky energie, letecký provoz, finanční služby, na počítačích se uchovávají záznamy o našem zdraví, atd. V důsledku počítačových chyb a útoků na počítače byly ztraceny lidské životy, došlo ke krádežím peněz i ke krádežím důvěrných informací. Hrozby proti počítačovým a komunikačním systémům mohou mít mezinárodní a politický charakter. 2 1 Největší internetové hrozby roku Internet a PC [online]. 2 ČANDÍK, M. Základy informační bezpečnosti., s. 4, 5 8

9 1.1 Základy obvodového zabezpečení Nejprve uvádím společnou definici určitých základních pojmů, které můžou různí lidé chápat různými způsoby. Objasním tedy pojmy jako obvod sítě, co je hraniční směrovač, firewall a síť VPN Obvod sítě Výrazem obvod sítě rozumím opevněné neboli zabezpečené hranice sítě, do nichž mohou patřit: směrovače, firewally, detekční systémy IDS a zařízení sítí VPN Hraniční směrovač Směrovač řídí provoz vedoucí dovnitř sítě, ven z ní a také uvnitř sítí. Hraniční směrovač je pak poslední námi řízený směrovač před vstupem do Internetu. Prochází přes něj veškerý internetový provoz, a proto se svým prvotním a závěrečným filtrováním často slouží jako první a zároveň poslední obranná linie sítě Firewall Firewall může být jak softwarového typu, tak hardwarového. Je to zařízení, které pomocí jisté množiny pravidel definuje, jaký provoz bude povolovat a zamítat. Role firewallu začíná tam, kde končí role směrovače; filtrování provozu je v něm mnohem důkladnější. Firewallů existuje několik různých typů. Zde uvedu ty nejpoužívanější: statické paketové filtry, stavové firewally a proxy firewally. Pomocí statického paketového filtru můžeme blokovat určitou podsíť, pomocí stavového firewallu můžeme řídit povolené služby a proxy firewall může zajišťovat řízení či filtrování obsahu. Firewally nejsou sice úplně dokonalé, dokážou ale povolovat a blokovat síťový provoz podle námi definovaných pravidel. 2 Viz. Obrázek 1 Firewall. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s Tamtéž 9

10 Obrázek 1 Firewall Detekční systém IDS Systém detekce vniknutí IDS (Intrusion Detection System) je v síti jakýmsi poplašným systémem, který detekuje zlomyslné či nežádoucí události a upozorňuje na ně. Takovýto detekční systém se může skládat z mnoha různých senzorů umístěných ve strategických místech sítě. Senzory jsou zařízení, která monitorují podezřelé aktivity v provozu přímo uvnitř sítě. Bývají často umístěné v podsítích, přímo připojených k firewallu, nebo v kriticky důležitých místech vnitřní sítě. Společnou vlastností senzorů IDS je, že sledují předem definované projevy - nežádoucí události. Na takovou zjištěnou událost mohou upozornit několika různými způsoby, jako je odeslání u, zprávy na pager či mobil nebo prostý záznam do protokolu událostí Virtuální privátní síť VPN Síť VPN (Virtual Private Network) je chráněná relace při komunikaci v síti, vytvořená nad nechráněnými kanály, jako je Internet. K tomu zajišťuje služby důvěrnosti, integrity a nepopiratelnosti komunikace. Virtuální privátní sítě původně vznikaly jako alternativa k drahým pronajatým okruhům. Principem tohoto řešení je použití veřejné sítě jako sítě soukromé. Hlavní výhodou je relativně levné připojení. Předpokladem je samozřejmě připojení všech našich lokálních sítí do Internetu, který poslouží jako přenosové médium. Aby bylo eliminováno nebezpečí odposlouchávání takto vzniklého spojení, jsou na vstupních bodech do veřejné sítě instalována zařízení, 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

11 která šifrují data procházející mezi jednotlivými lokálními sítěmi. Tato vstupní zařízení mohou být jak hardwarová, tak softwarová a nazýváme je brána VPN. Ta sleduje všechny odcházející pakety a rozlišuje je podle toho, kam odcházejí. Pokud je to do některé spřátelené lokální sítě, zašifruje je veřejným klíčem brány této sítě, podepíše je a odešle. Pokud však pakety míří jinam do světa (např. zákazníkovi, přenos WWW stránek) odešle je nezměněné. Jednotlivé vstupní brány se vzájemně autentizují při výměně dat a veškerý tok TCP/IP paketů je šifrován pomocí šifrovacích algoritmů. 1 Viz. Obrázek 2 Virtuální privátní síť VPN. Obrázek 2 Virtuální privátní síť VPN 1.2 Filtrování paketů Filtrování paketů je jednou z nejstarších a nejrozšířenějších metod řízení přístupu k sítím. Základní myšlenka je velice jednoduchá: Podle určitých identifikačních údajů v hlavičce paketu stanovíme, jestli smí vstoupit, případně vystoupit ze sítě. Technologie filtrování paketů je součástí mnoha operačních systémů, softwarových i hardwarových firewallů a patří také mezi bezpečnostní funkce většiny směrovačů Filtrování paketů v protokolech TCP/IP Protokol je v podstatě sadou pravidel, které byly předem odsouhlaseny. To platí nejen pro síťové protokoly, ale i pro všechny ostatní protokoly. Správné fungování sítě 1 KUCHAŘ, M. Bezpečná síť: Jak zajistíte bezpečnost vaší sítě., s. 75,76 2 NORTHCUTT, S. Bezpečnost počítačových sítí., s

12 je závislé na tom, že se každé zúčastněné zařízení řídí těmito sadami pravidel. Pro konfiguraci, správu a údržbu sítě je nevyhnutelné pochopení toho, jak každý z protokolů funguje a jak spolu protokoly navzájem spolupracují. Bez této znalosti je téměř nemožné konfigurovat a řídit správně fungující síť. 1 Jedním z takovýchto protokolů je TCP/IP 2, který je nejdůležitějším dorozumívacím jazykem celého Internetu. Pro zajištění komunikace je nutné všechny přenášené informace rozdělit do menších, lépe zvládnutelných částí, takzvaných paketů. Každý paket má na začátku malý oddíl identifikačních údajů, které se označují jako hlavička paketu. Pakety se v síti odesílají nebo směřují podle informací zapsaných v hlavičce. Mezi důležité identifikační údaje patří původ paketu (neboli zdrojová adresa), jeho určení (cílová adresa), číslo portu protokolu, v němž komunikuje a další informace o typu služby, které může paket podporovat. Směrovač po příchodu paketu TCP/IP ověří jeho cíl a vyhodnotí, jestli jej sám umí odeslat do cíle. Pokud ano, odešle palet do odpovídajícího segmentu sítě. To, že směrovač sám o sobě propouští veškeré pakety, jejichž cíl je mu známý, se označuje jako pravidlo implicitního povolení. Tato metoda ovšem není ideální účinnou obranou, protože do sítě i ze sítě se dostane všechno Porty TCP a UDP Zkratka TCP v označení TCP/IP znamená protokol pro řízení přenosu, který je spolehlivým, přenosově orientovaným prostředkem pro sdělování informací. User Datagram Protocol (UDP) je oproti tomu nespolehlivý přenosový (transportní) protokol a je vhodný pro programy, u nichž není důležité, jestli se veškerá datová zátěž skutečně dostane do cíle. Jak TCP, tak i UDP sledují své komunikační relace pomocí takzvaných portů. Určité porty jsou vyhrazené pro spojení se serverem definované služby, například HTTP 4 (port 80), FTP (port 21), Telnet (port 23), DNS (port 53) nebo SMTP (port 25). Jestliže se klient potřebuje spojit se serverem, vybere nejprve pro svou komunikaci náhodný zdrojový port nad číslem Poté zavolá server na pevně daném portu, 1 BIGELOW, Stephen. J. Mistrovství v počítačových sítích: správa, konfigurace, diagnostika a řešení problémů., s Transmission Control Protocol/Internet Protokol 3 NORTHCUTT, S. Bezpečnost počítačových sítí., s Hyper Text Transfer Protocol je internetový protokol sloužící k přístupu na www stránky. 12

13 například na portu 23 u služby Telnet 1. Jakmile server odpoví, odešle požadované informace na portu 23 a vrací je klientu na onom náhodně zvoleném portu nad Toto číslo portu je jediným způsobem, podle něhož může paketový filtr zjistit filtrovanou službu. Rozhodneme-li se například blokovat veškerý provoz Telnet, vymezíme jej jako provoz na TCP portu 23. Dále můžeme povolit veškerý příchozí provoz HTTP na portu 80. Pokud ale někdo v naší síti provozuje server Telnet na portu 80, jeho provoz bude podle takto stanovených pravidel povolen. Systémy pro filtrování paketů nemají žádnou další inteligenci, která by vedle čísla portu kontrolovala další údaje a která by zjistila, jaká služba zde běží na aplikační vrstvě. Tyto principy je potřeba mít na paměti při vytváření pravidel paketového filtru, pokud blokované služba běží nad alternativním portem. Na těchto alternativních portech běží někdy webové servery, například 8000, 8080 apod. V takovém případě samozřejmě blokování portu 80 nestačí Problémy s paketovými filtry Pro paketové filtry platí z principu jejich činnosti určitá omezení, a to i přes jejich nesporná pozitiva. Není-li ochrana paketového filtru správně implementována, dá se poměrně snadno obejít pomocí falšování a fragmentace. Navíc, protože povolující statický paketový filtr je ze své podstaty otevřený, znamená ve směrovači určitou díru. A nakonec, u technologie, která nedokáže sledovat stav aktuálního toku síťového provozu, je povolení návratového provozu obtížné. Pro úspěšnou obranu sítě s filtrováním paketů je nezbytné těmto omezením správně porozumět. Falšování (spoofing) znamená odeslání paketu se záměrně nepravdivou adresovou informací, který tak zdánlivě pochází z jiného zdroje, než odkud ve skutečnosti je. Paket s falešnou adresou tak může zdánlivě pocházet například z vnitřního hostitele v cílové síti, z některé adresy v privátním intervalu, nebo dokonce z úplně jiné sítě. Něco takového nedělá samozřejmě paket sám o sobě, takový paket musí nejprve někdo sestavit pomocí speciálního softwaru. Jestliže obrana není správě postavena a paket se přes ni dostane, může se některý vnitřní hostitel domnívat, že paket pochází třeba od důvěryhodného systému, který má přístup k nějakým privátním 1 Telnet je množinou pravidel, která dovolují osobě u síťového počítače (nazývaného lokálních terminál) získat přístup k jinému počítači v síti (nazývaného vzdálený terminál). 2 NORTHCUTT, S. Bezpečnost počítačových sítí., s

14 informacím, a klidně začne s falšovanou adresou komunikovat. Když paket zdánlivě pochází z jiné stanice než od skutečného odesílatele, tak v obvyklé komunikaci TCP/IP se odpověď dostane do skutečného hostitele, který ale o ničem neví, paket neumí zpracovat, a proto jej zahodí a odešle původci zprávy signál reset (vynulování spojení). Pokud je ale povoleno zdrojové směrování, může stanice odeslat odpověď podle informací přenášených v samotném paketu. Zdrojové směrování znamená, že paket sám může nést informaci o správnější nebo lepší cestě zpět do místa svého původu, které tak ve směrovači potlačí normální, předepsaná pravidla směrování. Tímto způsobem může ale zlomyslný uživatel nasměrovat návratový provoz kamkoli. Z toho důvodu je třeba mít zdrojové směrování vypnuté. Problém ale můžeme zcela odstranit, pokud ještě před vstupem zablokujeme veškeré pakety, které tvrdí, že mají nějakou nepoužitelnou adresu. Zde vstupuje do hry příchozí filtrování. Nejlepším místem pro odstřižení takovýchto paketů je totiž místo jejich vstupu do naší vnitřní sítě, tedy to rozhraní obvodového směrovače, které je připojeno k veřejnému internetu Stavové firewally Stavové firewally jsou speciální typ firewallů, které se při filtrování paketů pokoušejí sledovat stav síťových připojení. Možnosti těchto firewallů se nacházejí mezi paketovým filtrem a proxy firewallem s vyšší inteligencí aplikační úrovně. Vzhledem k rozpoznávání protokolů aplikační úrovně dokáže stavový firewall vyřešit řadu problémů, s nimiž se potýkáme při konfiguraci paketových filtrů pro protokoly, které se chovají nestandardním způsobem. 2 Stavový firewall kontroluje v paketu především informace 4. vrstvy (transportní neboli přenosové) a nižších vrstev, přičemž na aplikační 7. vrstvě kontroluje jen zahajující paket daného spojení. Jestliže kontrolovaný paket odpovídá určitému stávajícímu firewallovému pravidlu, které jeho průchod povoluje, doplní se do tabulky stavů nová položka. Od tohoto okamžiku smí již pakety stejné komunikační relace procházet firewallem bez podrobnější inspekce, protože se shodují s definovanou položkou stavové tabulky. Tato metoda vede k celkovému urychlení činnosti firewallu (oproti proxy systémům, které kontrolují veškeré pakety), neboť rozbalení až na úroveň 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s. 43, 54 2 Tamtéž 14

15 aplikační vrstvy je nutné jen u počátečního (zahajujícího) paketu. Zároveň ale tyto firewally v komunikační relaci vzhledem k popsané metodě filtrování nepracují s příkazy příslušné aplikační vrstvy, jako to dělají proxy firewally. To znamená, že u nich fakticky nelze řídit komunikační relace podle provozu v aplikační vrstvě a jejich zabezpečení je oproti proxy firewallům slabší. Vzhledem k rychlejší činnosti a ke schopnosti zpracování jakéhokoli síťového provozu mohou být ale stavové firewally i samy o sobě velice dobrým prostředkem zabezpečení sítě, případně doplňkem složitějšího síťového prostředí. 1 Stav v TCP Protokol TCP je spojovaný (orientovaný na spojení), a proto stav jeho komunikační relace můžeme definovat docela přesně. Začátek a konec relace je ve specifikaci TCP jasně popsán a protokol sleduje stav svých spojení pomocí příznaků, proto je také nazýván spojovaným protokolem. 1 Stav v FTP Protokol FTP je velmi oblíbeným nástrojem pro přenos souborů mezi různými systémy, zejména pak na Internetu. Standardní typ FTP se ale chová podstatně jinak než většina ostatních protokolů TCP a navazuje fakticky dvě spojení, která znamenají jisté problémy také při sledování stavu. Přes firewall, který sleduje jen stav spojení TCP, nemůže procházet provoz standardního FTP. Pokud tedy firewall nezná chování protokolu FTP, nemůže ani povolit průchod paketu SYN (synchronizovat), odeslaného z druhé strany pro vytvoření datového kanálu. Má-li tedy stavový firewall plně zajišťovat činnost všech spojení TCP, musí alespoň něco málo vědět i o provozovaných aplikačních protokolech s nestandardním chováním Proxy firewally Proxy server, označovaný někdy také jako aplikační brána, je specializovaná aplikace, která zajišťuje komunikaci internetových protokolů mezi vnitřní chráněnou sítí a vnějším světem Internetem. Proxy servery pracují obvykle nad programy postavenými na TCP/IP a zpravidla v nich běží několik programových proxy 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s. 58,63. 15

16 prostředníků, které je možno snadno zabezpečit a důvěřovat jim. Tyto programy slouží vždy pro konkrétní aplikaci a každý jednotlivý podporovaný protokol musí mít samostatnou proxy službu nebo jej musí obsluhovat obecný (univerzální) proxy. Jako proxy server může pracovat také transparentní program, který předává pakety na libovolném daném portu přes hranice sítě. Proxy server přistupuje jménem klienta či uživatele k určité síťové službě a fakticky tím zakrývá přímé spojení mezi oběma partnery. Klient naváže potřebná spojení s proxy serverem a proxy se poté spojí s cílovým serverem. Dále již proxy odesílá cílovému serveru veškerá data přijatá od klienta a zpětně předává klientu data doručená od cílového serveru. Formálně vzato je proxy server současně klientem i serverem. Vůči svému klientu vystupuje jako server a vůči cílovému serveru naopak jako klient. Pro snazší srozumitelnost celé komunikace označujeme naslouchající část proxy serveru jako poslouchače (listener) a zahajující část jako iniciátora (zahajovatele). Samotné pojmy klient a server tak zůstávají vyhrazené pro skutečné koncové body celého spojení. Mezi jednotlivými kroky při navazování spojení prostřednictvím proxy serveru probíhá několik úrovní autentizace nebo několik běhů softwarového ověření důvěryhodnosti. 1 Viz. Obrázek 3 Schéma proxy firewallu. Obrázek 3 Schéma proxy firewallu Nyní představím příklady typů spojení, která se postupně navazují při komunikaci hostitele vnitřní sítě s Internetem přes proxy server: Uživatel si vyžádá určitou internetovou službu, jako například HTTP, FTP nebo Telnet. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

17 Software na klientu odesílá v souladu se zásadami zabezpečení požadavky na vlastní internetovou službu. Proxy server zajišťuje spojení se vzdálenou službou, přičemž funguje jako brána. Proxy server provádí veškerou komunikaci, nezbytnou pro navázání spojení s externím systémem, totožnost vnitřních systémů za firewallem mu ale nesdělí. Veškerý provoz směrovaný mezi vnitřním uživatelem a externími systémy prochází dále přes proxy brány Proxy neboli aplikační bránové firewally Firewally se dají rozdělit do dvou velkých kategorií, a sice firewally síťové vrstvy a firewally aplikační vrstvy. První typ představují jen paketové filtry, zatímco mezi aplikační filtry patří především proxy firewally. Výhody proxy firewallů Proxy firewally mají oproti jiným typům firewallu následující výhody: Vnitřní IP adresy jsou před vnějším světem skryté, protože proxy služba nedovoluje přímou komunikaci mezi externími servery a interními počítači. Administrátor může snadno sledovat případy narušení zásad bezpečnosti firewallu, a to v záznamech auditu generovaných z proxy služeb. Proxy firewally umožňují zavedení uživatelské bezpečnosti. Proxy služby dokážou účinně bránit užívání sítě ze strany neoprávněných uživatelů a mohou dokonce podporovat silnou autentizaci. Proxy firewally nejsou zranitelné vůči falšování IP, protože se u nich nenavazuje fyzické spojení, nýbrž konektivita orientovaná na služby. IP adresy počítačů uvnitř chráněné sítě se přes proxy firewall vůbec nepřenášejí. Proxy firewally mají lepší možnost záznamu do systémových protokolů než firewally s filtrováním a směrováním a nabízejí jednotné místo pro audit a kontrolu. Uživatel se do proxy serveru nemusí zvlášť přihlašovat a na opevněném hostiteli není nutné vytvářet žádné uživatelské účty. Proxy služby pracují vždy na žádost uživatele. 17

18 Proxy server je centrálním místem sítě a umožňuje tak snazší monitorování provozu. Takto může ale zároveň v síti vznikat úzké hrdlo. Topologie vnitřní chráněné sítě je při komunikaci přes proxy firewall skryta. Některé proxy firewally nabízejí rozšířené možnosti auditu a nástroje pro monitorování provozu. V proxy serverech může pracovat široká autentizace a záznam do protokolů. Aplikační provoz je možné autentizovat ještě před doručením k příslušnému internímu hostiteli a můžeme jej zaznamenat do protokolů efektivněji než při standardním záznamu na hostiteli. Proxy firewally nemají tak složitá filtrovací pravidla než firewally s paketovým filtrováním. Pravidla ve směrovači s filtrováním paketů jsou dále jednodušší než ve směrovači, který musí kromě filtrování aplikačního provozu, rozesílat pakety na mnoho jednotlivých systémů. Ve směrovači stačí pouze povolit aplikační provoz, určený pro aplikační bránu, a zbytek může klidně zamítnout. 1 Nevýhody proxy firewallů I když proxy firewally znamenají vyšší bezpečnost než firewally s filtrováním paketů, mají také určité nevýhody: Vzhledem k nutnosti širšího zpracování aplikačních služeb pracují aplikační proxy pomaleji než paketové filtry. Pro každou novou aplikaci nebo protokol, které mají firewallem procházet, je nutné vyvinout nový proxy server. K dispozici je jen omezený počet služeb a pro každou z nich je nutné mít zvláštní software nebo definovat zvláštní uživatelské postupy. Přístup k jiným službám, které přes proxy neprocházejí, zde není možný. Bezpečnost firewallového serveru může být negativně ovlivněna také z důvodu problémů v operačních systémech a jejich komponentách. Proxy služby jsou zranitelné vůči chybám v operačních systémech a v konkrétních aplikacích. I samotný operační systém na hostiteli s proxy serverem je vystaven riziku vnějších hrozeb a může se stát terčem útoku. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

19 Nastavení proxy služby pro veškeré aplikace procházející přes bránu může být složité. Proxy server se stává úzkým hrdlem sítě a zároveň i jediným zranitelným místem, s nímž stojí a padá celá síť. 1 2 Rozšíření počítačové sítě 2.1 Úloha směrovače Směrovač je zařízení, které vzájemně propojuje dvě nebo více sítí. Protože má za úkol působit jako brána mezi sítěmi, často se stává ústředním bodem zabezpečení sítě. A vzhledem k tomu, že se jedná o přístupový bod do zabezpečeného obvodu, musíme směrovač dostatečně zodolnit. Role, kterou směrovač hraje v bezpečnostní struktuře, značně závisí na jeho umístění a na sítích, které má vzájemně spojovat. Směrovačem může být jednoduchý hraniční směrovač, který spojuje síť s Internetem a z hlediska zajištění bezpečnosti se spoléhá na vnitřní firewall. Směrovač můžeme také použít jako samostatné bezpečnostní zařízení obvodu. Toto řešení je vhodné zejména pro malé sítě, popř. pro sítě s nízkým rizikem napadení nebo pro síťové podsegmenty. Další hlavní funkcí směrovače je přeposílání paketů z jednoho síťového segmentu do jiného. V závislosti na tom, jakou implementaci zvolíme, je důležité zajistit, aby se směrovač v rámci hloubkové ochrany zaměřil na směrování a vykonávání rutinních bezpečnostních úloh. Naopak bychom mohli směrovač realizovat také jako zařízení, které jediné zajišťuje bezpečnost sítě. Jedná se zejména o taková prostředí, která nemají žádnou další ochranu. Dané prostředí pak můžeme ještě zodolnit použitím dodatečných prvků hloubkové ochrany. 2 Viz. Obrázek 4 Směrovač. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s NORTHCUTT, S. Bezpečnost počítačových sítí., s

20 Obrázek 4 Směrovač Směrovač jako zařízení zabezpečovacího obvodu Hlavní úlohou směrovače je přeposílání paketů mezi dvěma síťovými segmenty. Při realizaci bezpečnostní struktury se na tuto skutečnost někdy zapomíná. Na směrovače se pak často přesouvá mnoho dalších povinností, což má vliv na jeho výkonnost. Směrovače mají, stejně jako jiné počítače, procesory, paměť a paměťový prostor. Tato kritéria musíme vždy zvážit, když vybíráme směrovač pro specifické síťové prostředí. Mnoho vlastností drahých a vysoce výkonných směrovačů můžeme nalézt i v méně výkonných, ale zato mnohem levnějších modelech. Nicméně je důležité směrovač důkladně přezkoušet a zjistit, zda splňuje naše požadavky. Je důležité se ujistit, že směrovač zvládne požadovanou kapacitu spoje (šířku pásma) a má dostatek paměti a paměťového prostoru pro zvládnutí všech činností, kterými jej budeme zatěžovat. Tyto zařízení obvykle nemají příliš paměťového úložného prostoru. S ohledem na prostředí návrhu musíme uvažovat o následcích implementace externího úložného prostoru pro záznamové soubory logy, zálohy konfiguračních souborů a operačních systémů. 1 Směrování Aby mohl směrovač začít v jednoduchém prostředí směrovat, musíme jej alespoň minimálně nakonfigurovat. Pokud máme například dvě oddělené podsítě, které spolu potřebují komunikovat, stačí na směrovači nastavit každé spojovací rozhraní na adresu sítě, která k němu bude připojená a ujistit se, že je směrování povoleno. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

21 Směrovač zná IP adresy svých dvou rozhraní a tuto znalost využije při předávání přenášených dat zaslaných z jedné sítě do druhé. Obtíže můžou nastat, pokud do nastavení směrovače přidáme další síťový segment, který není s tímto zařízení přímo propojen. Musíme tedy informaci o tomto segmentu přidat do směrovací tabulky. Tyto údaje může do směrovací tabulky přidat administrátor ručně (tzv. statické směrování) nebo se mohou přidávat dynamicky aktualizacemi z ostatních směrovačů Směrovač jako bezpečnostní zařízení Protože obvykle je směrovač branou do sítě, hraje také významnou roli v zabezpečení sítě. Právě z tohoto důvodu byly směrovače navrženy s mnoha vestavěnými bezpečnostními prvky, jako jsou paketové filtry, vlastnosti stateful firewallu, překlad síťových adres NAT 1 a podpora VPN. Otázkou ovšem zůstává, zda využít směrovač jako jediné bezpečnostní zařízení nebo z něj udělat pouze součást mnohem větší a hlubší bezpečnostní struktury. V perfektním (tedy naprosto bezpečném) světě by odpověď na tuto otázku měla znít: Směrovač by měl fungovat jako součást větší bezpečnostní struktury, protože pak můžeme výkon směrovače zaměřit pouze na jeho primární funkci a břemeno provádění bezpečnostních opatření a kontrol můžeme přesunout na firewally, systémy detekce síťového proniknutí a na další zařízení. 2 Směrovač jako součást hloubkové ochrany Úloha směrovače jako část hloubkové ochrany se může velice měnit v závislosti na tom, jaká propojení a souvislosti se vyskytují v celém bezpečnostním schématu. Například by nebylo příliš rozumné implementovat směrovač se stateful inspection (hloubkovou inspekcí) ve spojení s firewallem, který již tuto vlastnost obsahuje. Vhodnější je nezatěžovat směrovač dalšími úlohami a nechat jej, aby svůj výkon zaměřil na činnosti, ve kterých nejvíce vyniká. Jednou z věcí, pro něž se směrovač nejvíce hodí, je blokování přístupu z určitého rozsahu IP adres. Tuto silnou stránku směrovače s výhodou využijeme především tehdy, až budeme chtít využít směrovač ve spolupráci s hloubkovým stateful firewallem pro filtrování příchozích a odchozích paketů. Je logické, že vstupní filtry se implementují na nejvzdálenějším bodě sítě, což bude s největší pravděpodobností hraniční směrovač. 1 Network Address Translation - překlad síťových adres 2 NORTHCUTT, S. Bezpečnost počítačových sítí., s

22 Pokud bude směrovač vykonávat tuto funkci, sníží zároveň zatížení na firewallu a jeho výkon budeme moci použít pro funkce, pro které je firewall lépe přizpůsoben, jako je například hloubková inspekce definovaných protokolů. Také funkce pro filtrování odchozích paketů je vhodné přemístit na směrovač, který pracuje společně s ostatními stateful firewally. Paketové filtry jsou totiž přizpůsobeny pro blokování nebo povolování přístupu z celého rozsahu sítě. Díky členění TCP/IP paketů a díky způsobu, kterým se pakety porovnávají se standardním paketovým filtrem, stačí pro zablokování přístupu určitému rozsahu síťových adres prosté bitové porovnání, které se dá jen velmi těžko obejít. Navíc lze toto blokování poměrně snadno nastavit a můžeme tak kdykoliv blokovat (nebo povolovat) přístup z celé řady síťových adres. Směrovač jako jediné zabezpečovací zařízení V některých prostředích může směrovač sám o sobě efektivně pracovat také jako řešení zabezpečovacího obvodu. Lze jej používat jako jediný způsob ochrany například pro vzdálenou nebo domácí kancelář, pro interní síťový segment nebo jej lze využívat jako zabezpečovací řešení pro nějaké příslušenství, u kterého existuje pouze malé riziko útoku a kde by bylo zbytečně nákladné přidávat další firewall nebo jiné bezpečnostní zařízení. Bez ohledu na umístění se může správně nastavený směrovač stát dobrým základem pro ochranný obvod. Nicméně je stále důležité, aby byly za směrovačem použity a splněny principy hloubkové obrany. Pokud bychom ponechali jednoduché zařízení jako jedinou pojistku bezpečnosti, bude případné útočníky dělit od kompromitování našeho systému pouze jediný krok, a bude jim tedy stačit nalézt pouze jedinou slabinu bezpečnostního zařízení. Při rozhodování o tom, jakou dostupnou technologii pro směrovač použít, je třeba vzít v úvahu také jeho umístění, protože i z umístění směrovače mohou vyplývat nějaká bezpečnostní omezení. Hraniční směrovač, který slouží jako jediné bezpečnostní řešení, by mohl vykonávat i množství dalších funkcí. Nestačí, že směrovač funguje jako zařízení pro předávání přenosu mezi sítí a vnějším světem, ale musí také poskytovat jisté zabezpečení. Pokud bude směrovač umístěn na hranici naší sítě, bude zřejmě nezbytné, abychom jej vybavili funkcemi NAT nebo PAT 1. Mnoho hraničních směrovačů je nastaveno tak, aby bezpečně chránily interní hostitelské počítače, a přesto nejsou samy před útokem dostatečně ochráněny. 1 PAT - Port Address Translation je další variantou Network Address Translation (NAT) 22

23 Směrovač lze umístit také do vnitřních bodů podsítě. Sítě nad protokolem IP jsou rozděleny do podsítí z různých důvodů, například kvůli výkonu a bezpečnosti. Směrovače je nutno umístit do bodů, kde se pro usnadnění komunikace podsíťové segmenty spojují dohromady. V závislosti na okolnostech daných prostředím můžeme směrovač použít také pro oddělení různých síťových prostředků. 1 Výběr technologie S rozvojem výrobní technologie vzrůstá i množství funkcí, které jsou součástmi směrovačů. Pokud směrovač realizujeme jako bezpečnostní zařízení, jsou k dispozici četné možnosti nastavení, ať už bude směrovač součástí nějakého komplexního ochranného systému nebo bude pracovat osamoceně. V této části se zaměřím na technologii NAT, kterou lze použít i v případě, že je směrovač součástí hloubkové ochrany. Mechanismus NAT se již dlouho používá jako řešení problému malého rozsahu IP adres a používá se také pro zabezpečení sítě a její důvěrnosti. Tato metoda umožňuje přiřadit veřejnou vnější IP adresu zařízení ke korespondující vnitřní privátní IP adrese. Tak zůstává adresování vnitřní sítě skryto před vnějšími účastníky komunikace. Když komunikace dále pokračuje (po ustanovení spojení), zařízení NAT je zodpovědné za překládání přenosu mezi vnějším veřejným a soukromým vnitřním adresováním. Pouze zařízení s funkcí NAT zná interní adresy, ke kterým se vnější veřejné adresy vztahují. Tyto překlady se mohou přiřazovat staticky (aby se umožnila obousměrná komunikace) nebo dynamicky. Při použití dynamického přiřazení se vytvoří množina dostupných veřejných adres. Počet prvků (adres) v této množině se nutně nemusí rovnat počtu vnitřních adres a díky tomu může mnoho privátně adresovaných stanic sdílet malou skupinu adres veřejných. Nebude ale možné, aby v jednom okamžiku vytvořilo externí spojení více stanic, než kolik jich je v množině veřejných adres. Pokud k takové situaci dojde a budou použity všechny dostupné veřejné adresy z této množiny, další interní stanice už nebude moci vytvořit spojení s vnější sítí. Další stanice bude moci navázat spojení pouze v případě, že se bude jednat o variantu mechanismu NAT takzvaný overloading nebo pokud bude implementován mechanismus PAT. NAT prvek 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

24 se nachází mezi vnitřní sítí (inside) a vnější sítí (outside). Vnější síť bývá nejčastěji Internet. 1 Viz. Obrázek 5 Schéma NAT. Obrázek 5 Schéma NAT 2.2 Detekce síťového narušení Kvalitní systém pro detekci síťového narušení (IDS) může enormně zlepšit celkovou bezpečnost sítě. Hlavním úkolem detekce narušení je identifikování útoků a bezpečnostních incidentů. Systémy detekce síťového narušení jsou navrženy tak, aby ověřovali síťové přenosy a identifikovaly možné hrozby detekcí skenování, sondování a detekcí útoků. Detekce narušení nám mimo jiné pomůže zajistit, že systémy budou na eventuální hrozby vhodně reagovat. Díky detekci zákeřné aktivity nám mechanismus IDS umožňuje identifikovat a reagovat na hrozby proti našemu prostředí, stejně tak jako umožňuje reagovat na hrozby, které mohou počítače naší sítě nasměrovat do jiné sítě. Senzor síťového IDS kontroluje přenosy a analyzuje je, snaží se vyhledat různé signatury, které by mohly indikovat skenování nebo sondování, provádí průzkumnou činnost nebo zachycuje pokusy o zneužití známých zranitelností. Systémy IDS obvykle nezasahují žádným způsobem do přenosů. Na rozdíl od firewallu nebo paketového filtru, které se rozhodují, zda danému přenosu umožní průchod, pracuje senzor detekce narušení jako skutečný kontrolor paketů, který zároveň provádí analýzu. Nicméně 1 BAČA, R. Semestrální projekt do předmětu Technologie počítačových sítí: Network Address Translation - NAT [online]. 24

25 existují i takové senzory, které mohou aktivně reagovat na podezřelý přenos například podezřelá TCP spojení. 1 Kromě síťové detekce narušení existuje také samostatná oblast zabezpečení, známá jako host-based detekce narušení, čili detekce narušení pracující na hostitelských počítačích. Software pro host-based IDS se většinou zaměřuje na detekci útoků proti jednotlivým počítačům, ať už se jedná o pracovní stanice nebo o servery. Analyzátory zaznamenaných akcí monitorují operační systém a záznamové soubory aplikací a vyhledávají takové položky, které mohou souviset s útoky nebo s narušením bezpečnosti. Speciální software pro kontrolu integrity souborů nás varuje vždy, když se jednotlivé soubory změní, což může znamenat úspěšný útok Signatury síťového IDS Signaturový přístup v detekci narušení sahá až do počátku roku 1990 a oproti předešlým přístupům, stojícím na statistických metodách z roku 1980, představuje velký pokrok. Signatury jsou nejen relativně zřejmým a intuitivním přístupem v detekci narušení, ale jsou také účinné často množina pouhých několika stovek signatur může vést k rozumně vysoké detekční četnosti (ačkoli často za cenu falešných útoků). IDS založené na signaturách se osvědčily jako oblíbené a užitečné v takové míře, že se lze spolehnout na to, že budou k dispozici po ještě dlouhou dobu. 2 Detekce narušení založená na signaturách je však obklopena řadou omezení včetně následujících: Protože se útok odehrává předtím, než je identifikován jeho signatura, nelze signatury použít k odhalení nových útoků. Mnohé signatury v IDS jsou velmi zastaralé. Některé útoky nemívají jednoduše rozlišitelné signatury, ale jedná se spíše o široký rozsah možných variací. Každá taková variace by mohla být vtělena do signaturové sady, avšak to by vedlo k inflaci počtu signatur s potenciálním 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s ENDORF, Car, SCHULTZ, Ebene, MELLANDER, Jim. Detekce a prevence počítačového útoku., s

26 nepříznivým dopadem na výkonnost IDS. Navíc udržet krok s každou možnou variací je z praktického hlediska neuskutečnitelný úkol. V IDS založených na sítích, kde je provoz šifrován, jsou signatury většinou bez užitku. Nesprávné zhodnocení přenosu signaturou falešné poplachy Při vývoji signatury je třeba rozvažovat mezi přesnější (specifičtější) a obecnou signaturou. Přesná signatura může být extrémně precizní při identifikování jednotlivého útoku, avšak může při tom spotřebovat větší množství prostředků. Pokud útočník nepatrně pozmění útok, signatura již pak nemusí být schopna identifikovat všechny útoky. Na druhou stranu může být obecnější signatura rychlejší a bude vyžadovat o mnoho méně prostředků. S největší pravděpodobností také bude obecnější signatura úspěšnější při vyhledávání nových útoků a různých variant již existujících útoků. Stinnou stránkou obecných signatur je skutečnost, že často vyvolají mnoho falešných výstrah (tzv. false positives) přesněji řečeno se jedná o situace, kdy senzor klasifikuje neškodný přenos jako útok. 1 Každý systém detekce narušení generuje falešné výstrahy. Výskyt těchto výstrah můžeme redukovat vhodným výběrem produktu IDS a jeho odladěním. Nikdy ovšem nebudeme schopni jejich výskyt úplně eliminovat. Bez ohledu na to, jak precizně jsou jednotlivé signatury zapsány, obvykle stále ještě existuje šance, že se některý neškodný přenos bude náhodou rovnat zapsané signatuře. Falešné výstrahy jsou opravdu velkým problémem pro pracovníky, kteří narušení analyzují. Prokázat, že se skutečně nejedná o falešný poplach, stojí hodně času a prostředků. Falešně negativní zhodnocení (tzv. false negatives) se vyskytnou v případě, že signatura selže při generování výstrahy, i když se objevil útok související se signaturou. Vyskytují se tendence se zaměřovat především na falešné výstrahy a zapomíná se přitom na false negatives, i když se v podstatě jedná o legitimní útok nebo bezpečnostní incident, který ale nebyl systémem IDS správně zaznamenán. False negatives nevyvolávají pozornost také z jednoho prostého důvodu obvykle neexistuje žádná další metoda, jak zjistit, že se skutečně staly. Falešně negativní zhodnocení s největší pravděpodobností odhalíme pouze při úspěšném útoku, anebo když útok odhalí jiný senzor IDS nebo systém IDS umístěný na hostitelském počítači. Pokud navíc signatura 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

27 generuje mnoho falešných výstrah, analytik obvykle veškeré působení signatury zastaví nebo bude všechny příslušné výstrahy ignorovat. V tom případě to ovšem znamená, že si analytik neprohlíží ani pravé výstrahy, a tímto způsobem mohou také vznikat falešně negativní zhodnocení. 1 Je důležité vědět, co způsobuje falešné výstrahy (false positives) a falešně negativní zhodnocení (false negatives). Podle těchto informací pak můžeme zvolit vhodný produkt IDS, který bude výskyt false positives a false negatives minimalizovat Software pro detekci narušení Na trhu je dostupné velké množství různých síťových systémů IDS a každý z nich má své specifické (a odlišné) vlastnosti. Mezi nejznámější a nejpopulárnější programy patří Snort, Shadow, Cisco Secure, Enterasys Dragon, ISS RealSecure a NFR Security NID. Všechny mohou generovat výstrahy, vytvářet záznamové soubory logy a vytvářet zprávy. V závislosti na typu produktu jsou také rozdílnými způsoby dostupné sady signatur. Uživatelé některých produktů si sami napsali své signatury a ponechali je veřejně dostupné. U dalších produktů je nutno signatury zakoupit. Někteří prodejci skrývají detaily signatur, zatímco jiní umožňují uživatelům prohlédnout si signatury, a dokonce je modifikovat pro své bezpečnostní účely. Senzory síťových systémů IDS mají další užitečné funkce. Především to jsou: Síťový monitoring a analýzu přenosů. Sběr statistických dat o spojení. Rozbor používaných protokolů, apod. Tyto schopnosti jsou nedocenitelné při zjišťování narušení bezpečnostních zásad, jako je například použití nedovolených služeb, a také při zjišťování neobvyklých vlastností přenosů Úloha síťového IDS V dobrém ochranném obvodu slouží senzory IDS několika účelům. Ojediněle jsou v některých případech přizpůsobeny úloze, kterou vykonávají. Data ze systému IDS můžeme kromě identifikování útoků a podezřelých aktivit použít taky pro 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s. 153,

28 rozpoznání slabých míst a zranitelností sítě, včetně narušení bezpečnostních zásad. Data z těchto systémů jsou také neocenitelnou součástí při soudním řízení a při snaze o ošetření bezpečnostních incidentů. Síťový IDS doplňuje ostatní komponenty ochranného obvodu zejména prováděním činností, které tyto komponenty nezvládají, jako je například analýza celého protokolu nebo analýza užitečného obsahu paketů. Senzory IDS mohou také spolupracovat s ostatními ochrannými komponentami na zastavení aktivních útoků. Ve většině prostředí nelze bez síťového IDS vytvořit a udržet skutečně silné a kompaktní bezpečnostní řešení Virtuální privátní sítě V dnešním propojeném světě je často zapotřebí přesouvat informace z jednoho stanoviště na druhé. Ať už se jedná o přenos na konec světa nebo přes celou zeměkouli, základní problém zůstává stále stejný: Jak můžeme bezpečně transportovat naše data? Po mnoho let byly tyto přenosy prováděny drahými soukromými linkami, které pronajímali prodejci komunikací. Čím větší byla vzdálenost, tím dražší byla tato připojení, díky čemuž, se sítě WAN 2 staly luxusem, který si mnohé společnosti nemohly dovolit. Zároveň si ale v té době mnohé firmy nemohly dovolit bez těchto sítí existovat. A tak, jak se postupně stávalo širokopásmové připojení k Internetu dostupné pro více firem, tak se koncept používání existující struktury Internetu, jakožto kabeláže WAN, začal zdát nezajímavým. Náklady mohly být výrazně sníženy použitím tehdy již dostupných veřejně přístupných bodů. Hlavním problémem zůstávalo, jak udržet data zabezpečená. Již v první kapitole jsem se obecně zmínil o prvku VPN, který nám pomáhá s bezpečností počítačové sítě. V této podkapitole nastíním koncept virtuálních privátních sítí a jejich hlavní výhody a nevýhody Základní fakta o VPN Síť VPN je v podstatě připojení, které je pomocí šifrovacích nebo autentizačních technologií zavedeno nad existující veřejnou nebo sdílenou infrastrukturou tak, aby byl zabezpečen užitečný obsah připojení. Tím se vytvoří virtuální segment mezi 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s WAN: Wide Area Network: rozlehlá počítačová síť, např. Internet 28

29 jakýmikoliv dvěma entitami, které k sobě mají přístup. VPN lze vytvářet přes sdílenou infrastrukturu místní sítě, např. LAN, WAN nebo přes Internet. V této kapitole se zaměřím převážně na sítě VPN, které procházejí Internetem, jako na způsob, jak vytvořit bezpečný kanál přes veřejnou infrastrukturu Internetu. Těmito kanály se vytváří levné a efektivní řešení vzdáleného síťování, které může navíc využívat kdokoliv, kdo má přístup k Internetu. 1 Uvádím příklad propojení centrály a pobočky firmy VPN tunelem s možností připojení VPN klientů. Viz. Obrázek 6 VPN tunel. Obrázek 6 VPN tunel Základní metodika při zavádění sítí VPN Základní koncept, na kterém stojí technologie VPN, spočívá ve vytváření bezpečného komunikačního kanálu pomocí šifrování. Komunikace může být zabezpečena šifrováním na mnoha odlišných vrstvách síťového modelu, například na vrstvě: Aplikační: Zde může být šifrování zajištěno programově nebo pomocí zabezpečených kanálů. Navíc lze použít programy pro jedinou relaci, nebo programy, jako je například Terminal Server, společně se šifrováním a vytvořit 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

30 tak chráněné vzdálené komunikace. Většina těchto programů pracuje z hostitelského počítače na hostitelský počítač, což znamená, že nabízejí ochranu obsahu paketů, a nikoliv již paketu samotného. Transportní: V transportní vrstvě lze použít protokoly pro ochranu užitečného obsahu specifické komunikace mezi dvěma stranami. Typicky se tento způsob zabezpečení používá při komunikaci s webovým prohlížečem. Opět ale platí, že jsou chráněny pouze obsahy komunikace (tedy užitečné obsahy paketů), ale IP pakety, které tyto informace obsahují, může kdokoliv získat. Síťové: V síťové vrstvě již protokoly nešifrují pouze užitečný obsah paketu, ale šifrují také TCP/IP informace. I když jsou informace o IP adrese nutné pro správné směrování paketu, ostatní informace z vyšší vrstvy, jako je např. typ transportních protokolů a asociovaných portů, lze kompletně zašifrovat. Pokud zařízení přenosové brány (gateway), jako je např. směrovač, firewall nebo sdružovač, provádí šifrování, je možné v paketu skrýt také IP adresu koncové stanice Výhody VPN Hlavní výhodou, která z používání VPN pro vzdálený přístup vyplývá, je taková, že díky VPN můžeme využít veřejně dostupný prostředek pro přenos privátních informací tak bezpečně, jak je to jen možné. VPN může poskytovat mnoho úrovní bezpečnosti pro sdílení síťového média, včetně zlepšení důvěrnosti (utajení), integrity a autentičnosti. Protože síť VPN využívá již existujících infrastruktur, lze ji rychle realizovat bez toho, aby bylo nutno čekat na zřízení linky nebo na další potřebné procedury, kterých je obvykle zapotřebí při takových realizacích. Pokud jsou sítě VPN určeny pro užívání vzdálených uživatelů, mohou nabídnout bezpečné a cenově efektivnější řešení. Tímto způsobem mohou lidé, kteří potřebují vzdálený přístup, využít připojení k Internetu, ať už jsou kdekoliv, místo používání drahých dálkových volání. Díky kombinaci bezpečnosti, rychlého nastavení a cenové efektivity jsou sítě VPN excelentním komunikačním řešením. 1 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s. 178,

31 Bezpečnost Součástí sítí VPN je množství bezpečnostních prvků, díky nimž jsou sítě VPN efektivní metodou pro zabezpečení informací, které procházejí nezabezpečenou oblastí. Tyto prvky lze přizpůsobit vzhledem k úrovni nedůvěryhodnosti prostředí, kterým budou informace procházet. Je zřejmé, že úroveň zabezpečení musí odpovídat důležitosti přenášených dat. Bez ohledu na to, jak odolnou šifrovací technologii zvolíme pro síť VPN, měla by tato síť splňovat ještě další náležitosti, aby se mohlo jednat o skutečně zabezpečený komunikační kanál. Následující tři z nich jsou nejzásadnější: Utajení je zárukou, že nikdo jiný nebude schopen nahlédnout do našich informací (resp. nebude schopen zjistit obsah přenášených paketů). Utajení v sítích VPN zajišťují šifrovací algoritmy, které zpřeházejí utajovaná data do nesrozumitelných skupin znaků. Jestliže není šifrovací algoritmus dostatečně silný, aby naše data ochránil, pak je utajení dat ohroženo. Integrita dat je dalším problémem, který můžeme vyřešit použitím šifrování a sítě VPN. Integrita dat zaručuje, že data, která jsme obdrželi, jsou stejná jako data, která byla vyslána, tedy že je po cestě nikdo nezměnil. V dnešní době se záruky dosahuje digitálními podpisy a tzv. hashy. Autentičnost (ověření) osvědčuje, zda informace skutečně pocházejí od předpokládaného odesílatele a naopak, že jsou doručeny tomu, komu byly určeny Nevýhody VPN Navzdory všem výhodám, které nám systémy VPN poskytují, považuji za povinnost upozornit na několik úskalí této technologie. Je třeba si uvědomit, že musíme velmi kvalitně zajistit bezpečnost na klientské straně. VPN se skládají ze dvou hlavních částí, které můžeme označit jako vnější a vnitřní. Proti vnějším hrozbám jsou VPN chráněné dobře (ostatně, byly s tím i navrhované), u vnitřní části je to horší. Jinými slovy: pokud používáme silné šifrování, což je dnes fakticky samozřejmostí, pak vlastní proud dat po veřejné síti - Internetu je chráněný více než solidně. Ovšem je třeba dát pozor, pokud se útočník dokáže dostat na některý z přístupových bodů k VPN. 31

32 Musíme tedy velmi dbát na fyzickou a administrativní bezpečnost. Je zapotřebí kvalitní dohled nad klienty, nad jejich chováním a je nutné vynucovat bezpečnostní politiku. Jinak zde hrozí, že z výhod VPN nebude těžit pouze organizace, ale také útočník. Běžný je tak například požadavek, že každý zaměstnanec připojující se z domu musí instalovat hardwarový firewall. Viz. Obrázek 7 Hardwarový firewall. Obrázek 7 Hardwarový firewall Z tohoto vyplývají i další omezení: administrátor musí bedlivě sledovat (pomocí vyhodnocovacích nástrojů) veškeré logy z provozu na síti, aby zavčas odhalil pokusy o průnik nebo dokonce vlastní průnik - v oblasti VPN tato činnost výrazně nabývá na důležitosti. Každý sebemenší bezpečnostní průnik nebo incident totiž ohrožuje celou síť organizace. Zde je potřeba si také uvědomit nutnost správného vybudování celé architektury sítě, protože data předávaná pomocí VPN jsou pro ostatní prvky neviditelná (nečitelná díky šifrování). Přestože VPN v konečném důsledku zvyšuje bezpečnost při komunikaci pomocí Internetu nebo jiné nedůvěryhodné sítě, tak se při špatném navržení architektury může stát ohrožením pro bezpečnost sítě lokální. Například firewall považuje VPN komunikaci automaticky za povolenou, což znamená, že na něj nelze úplně spoléhat, ale je nutné této technologii přizpůsobit topologii systému. Ač jsou virtuální soukromé sítě docela dobře škálovatelné, přece jen se nikdy s jejich velikostí nemůžeme dostat přes kapacitu veřejné komunikační linky. Což může být v některých případech limitující faktor a některé organizace se raději uchylují k budování klasických sítí. Je třeba se věnovat také na základní nastavení. Řešení mnoha výrobců je postaveno tak, aby se s ním vypořádal i méně zkušený administrátor. Základní nastavení pochopitelně obsahuje i základní přihlašovací jména a hesla, které jsou celosvětově známá. Nicméně mnozí správci toto podceňují, protože si nechtějí přidávat práci zasahováním do fungujícího systému. 1 1 PŘIBYL, Tomáš. VPN pomocník (nejen) v bezpečnosti. Časopis IT Systems [online]. 32

33 Odstraňování problémů Odstraňování problémů, které se vyskytnou při fungování VPN, může být složité. Protože neuvidíme obsah zapouzdřených paketů dříve, než se rozšifrují, nemůžeme ani vidět, co se stane během přenosu paketu mezi dvěma přenosovými bránami. Nepomohou nám ani specializované nástroje pro sledování cesty paketu, jako je např. traceroute. I běžné systémy, kterými se sleduje tok paketu, jako jsou například síťové systémy detekce narušení IDS, jsou v případě VPN méně účinné, protože užitečný obsah paketu je nezjistitelný, dokud neprojde přes zařízení VPN, které jej dešifruje. Nejenom, že se tak ztíží odstraňování problémů, ale také se pomocí VPN může vytvořit velká slabina v jinak dobře zabezpečené síti. Pokud nemůžeme kontrolovat entity, které jsou vzdáleně připojené pomocí VPN, znamená to bezpečnostní problém Zodolnění hostitelského počítače Termínem zodolnění označuji postupy výchozí instalace operačního systému nebo aplikace a postupy, kterými se nainstalované komponenty modifikují tak, aby odolaly potenciálním hrozbám. Rozsah zásahů při zodolnění závisí na roli, kterou má hostitelský počítač v síti. Zodolněním přispějeme k vytvoření spolehlivého síťového bezpečnostního obvodu. Při zvyšování bezpečnosti hostitelských systémů se obecně snižuje úroveň pohodlí uživatelů, kteří na daných systémech pracují. Snížení úrovně pohodlí uživatelů může být také důvodem, proč jsou nám dodávány systémy, které ještě nejsou dostatečně zabezpečeny. Pro příklad uvedu společnost Microsoft, která nám dodává své produkty s výchozím nastavením, které jsou sice uživatelsky příjemné a usnadňuje nastavení a používání systému, ale z hlediska bezpečnosti takové nastavení často bývá nedostatečné. Dalším důvodem, proč jsou nám dodávány systémy méně zabezpečené, může být také rozdílnost prostředí, na kterých jsou stejné operační systémy umístěny. Požadavky na funkčnost a zabezpečení se mohou velice odlišovat v závislosti na úloze, kterou hostitelský systém plní. Jestliže má uživatelská stanice, webový sever a server spojení VPN rozdílné povinnosti v síti, musí pak také existovat rozdílný obsah 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

34 zodolnění, který je nutno na jednotlivé systémy použít. V této kapitole definuji tři úrovně zodolnění, kterými se lze chránit před místními, síťovými a aplikačními útoky. Tyto úrovně společně poskytují hloubkovou ochranu hostitelského systému. 1 Viz. Obrázek 8 Hloubková ochrana. Obrázek 8 Hloubková ochrana Zodolnění proti místním útokům Zodolnění konfigurace hostitele proti místním útokům je poměrně přímočaré. Na této úrovni se zaměřím na omezení používání vlivných utilit, jako je používání disku a správy uživatelů uživatelských účtů. Také je důležité nastavit správná oprávnění pro systém souborů, abychom pomocí metody přístupu nejmenšího možného oprávnění zajistili, že uživatelé budou mít jenom tak malé množství práv, kolik je nutno. Řádné plánování uživatelských účtů a skupin pomáhá při řízení omezení přístupu a ulehčuje úlohy systémového administrátora. Na této úrovni je důležité dodržovat několik bezpečnostních pravidel: Omezit používání nástrojů pro správu Používat správná oprávnění k souborům Řádně spravovat uživatelské účty (uživatele) Provádět efektivně správu skupin 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

35 Zaznamenávat informace související s bezpečností bezpečnostní logy Zodolnění proti síťovým útokům V úrovni síťového zabezpečení je důležité se zaměřit na praktiky, které pomáhají ochránit systémy před útoky prováděními proti celé síti. Mezi některé kroky pro zodolnění systému na této úrovni patří například eliminace nepoužívaných uživatelských účtů, ke kterým se lze vzdáleně připojit. Dále sem patří nastavení minimálních požadavků na složitost hesla a zakázání síťově dostupných služeb, které nejsou vyžadovány pro provádění úkolů podniku. Tato úroveň zodolnění je klíčová pro zajištění celkové bezpečnosti hostitelského počítače, protože hlavní systémová narušení se vyskytují nad sítí Posílení proti útokům na aplikace Po zvýšení zabezpečení lokální a síťové vrstvy hostitelského počítače se nyní můžeme zaměřit na aplikace jako koncovou vrstvu zvýšení odolnosti hostitelského PC. Každá úroveň zabezpečení je postavena na těch předcházejících. Je nutné vytvořit silné základy ze souborů, uživatelů a skupin z úrovně lokálního zabezpečení, na ně aplikovat síťové zabezpečení, a to zabezpečení hesel a vypnutí potenciálně zranitelných uživatelů a služeb. Nejvrchnější vrstva posiluje bezpečnost aplikace, ochraňuje hostitelský počítač před aplikačně-zaměřenými útoky a nemusí mít nic společného s nastavením hostitelského operačního systému. Nejběžnější slabinu aplikace lze rozpoznat docela snadno. Aplikace by například měla používat nejnovější bezpečnostní záplaty a měla by komunikovat na co nejméně portech. Slabá místa způsobená špatným implicitním nastavením umožňují, aby osoba i s malými znalostmi způsobila velké problémy. Takové slabiny právě útočníci hledají mezi nejčastější využívané vlastnosti aplikace patří slabé výchozí nastavení a přetečení paměti, tzv. buffer overflow. 1 Útok na přetečení paměti je běžný způsob, jak zneužít slabinu kódu aplikace a získat neautorizovaný přístup do systému. Přetečení paměti nastane, když program správně nekontroluje velikost dat, která obdrží, a pokusí se umístit příliš mnoho dat do vyrovnávací paměti. Nadbytečná data přetečou ven z vyrovnávací paměti a mohou 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

36 přepsat jiná paměťová místa, přičemž se spustí libovolný kód přidaný útočníkem. V důsledku toho může napadená aplikace spustit instrukce, jež poškozují soubory, zvyšují uživatelská práva nebo způsobí odmítnutí služby. Pro zamezení vlivu přetečení zásobníku je důležité udržovat aplikaci aktualizovanou s použitím dobrých metod pro přístup k aplikaci a ověření identity. 1 3 Návrh koncepce zabezpečení sítě V této kapitole objasním, jak je důležité před vlastním návrhem důkladně poznat dané síťové prostředí. Díky této přípravě si ušetříme pozdější změny v architektuře sítě, které by znamenaly velké úsilí i finanční náklady. Všechny bezpečnostní požadavky jsou v praxi odvozeny od věcných aplikačních potřeb organizace, a proto je na místě pochopení, jaké jsou kladeny požadavky a cíle. Teprve odtud odvodíme, jaký provoz je třeba na hranicích sítě blokovat a kolik firewallů vůbec potřebujeme. 3.1 Základy návrhu sítě Tato podkapitola se zaměří na vhodné a nevhodné postupy při návrhu sítě a poukáže na některé obvyklé scénáře. Před vlastním návrhem musíme mít vhodné prostředky pro rozhodování. Ve světě architektury zabezpečení sítě to znamená posbírat určité informace o konkrétním prostředí a o věcných záměrech. Je nutné zjistit: Jak prostředky potřebujeme chránit Před kým je chceme chránit Jaké máme aplikační potřeby Jaká omezení před nás staví platné zásady Rozhodování o konkrétní architektuře obrany sítě je velmi zásadní a současně komplikovaný úkol, při němž musíme vhodně vyvážit funkčnost řešení a jeho bezpečnost. Při rozhodování o návrhu zabezpečení sítě musíme řešit konflikty, které se 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

37 týkají různých stránek síťové a aplikační infrastruktury, jako je její použitelnost, spolehlivost, ovladatelnost a finanční náklady Sběr požadavků na návrh Ať už navrhujeme zcela novou síť, nebo upravujeme stávající infrastrukturu, vždy je rozumné chápat jednotlivé komponenty a požadavky prostředí společně jako prvky jednotlivé architektury zabezpečení obvodu sítě. Takto snadno zjistíme, jestli není konfigurace různých zařízení nekonzistentní, nebo dokonce konfliktní, a zároveň můžeme návrh sítě přesně doladit podle konkrétních potřeb daného prostředí. Odtud se například rozhodneme, jestli bude pro dostatečnou ochranu sítě stačit v její hraně jediný směrovač s filtrováním paketů, nebo jestli budeme muset nakoupit několik firewallů, postavit je za sebe a síť tak rozdělit do segmentů. Vhodným začátkem při návrhu architektury obvodu sítě je přitom stanovení rozsahu chráněných prostředků. 1 Ve světě síťové bezpečnosti je naším cílem zajistit důvěrnost, integritu a dostupnost informací. Samotný pojem informací je ale příliš obecný a při rozhodování o konkrétních potřebách nám příliš nepomůže. V některých organizacích podléhají ochraně například údaje z kreditních karet a data o obyvatelích, jinde to mohou být smlouvy, právní dokumenty a seznamy klientů nebo v případě škol, např. známky žáků, telefonní čísla rodičů, apod. Mezi informace může spadat také aplikační logika, zejména u webových serverů, které pracují s dynamicky generovaným obsahem. Při rozhodování o typu síťového obvodu, jenž bude poskytovat odpovídající ochranu dat, musíme proto uvážit, kde jsou informace uloženy a jak k nim přistupujeme Stanovení věcných požadavků Při návrhu infrastruktury obvodového zabezpečení musíme mít na paměti, že cílem řešení informační bezpečnosti je nakonec trvalé udržení společnosti v chodu. Bezpečnost je tedy prostředkem, nikoli cílem, a proto musíme při návrhu zvážit různé faktory, jako je okruh služeb poskytovaných uživatelům a zákazníkům, požadavky na odolnost proti chybám, očekávaná výkonnost sítě a rozpočtová omezení. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s. 274,

38 Finanční náklady Většina základních škol se potýká s problematikou financování výpočetní techniky, která vyžaduje pravidelný přísun financí jak na aktualizaci softwaru, tak hardwaru. Při posuzování nákladů na určitou bezpečnostní komponentu musíme ale uvažovat: Prvotní náklady na hardware Prvotní náklady na software Doba nezbytná k uvedení do provozu Roční náklady na podporu a aktualizaci softwaru Údržba a sledování komponenty Je tedy na místě hledat taková řešení, která budou finančně přijatelná. Alternativou k nákupu poměrně drahého komerčního produktu IDS může být například vhodný bezplatný balík typu open source, sledování bezpečnosti sítě prostřednictvím externí firmy outsourcing nebo jen další firewall. Další firewall může v některém prostředí potlačit stejná rizika jako detektor, ale za nižší cenu. I u zdánlivě bezplatného softwaru je nutné počítat s náklady na práci administrátorů, kteří jej budou instalovat a udržovat v chodu Oddělení prostředků Oddělení prostředků je důležitým principem, který posiluje vrstvy hloubkové obrany sítě. Míra nejvhodnější izolace je vždy závislá na konkrétních cílech a možnostech, které formulujeme při posuzování věcných potřeb a dokumentujeme je v bezpečnostní politice. V této kapitole se zaměřím na možnost izolace systémů a procesů podle jejich bezpečnostních požadavků. Současně se budu zabývat výhodami omezení vzájemné komunikace prostředků přes hranice bezpečnostních zón - díky tomuto postupu omezíme totiž v obvodu sítě možný dosah případného útoku. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

39 Jestliže síťové prostředky seskupíme podle podobných bezpečnostních atributů a vlastností, můžeme omezit oblast vlivu útočníka i po případném získání přístupu uvnitř obvodu. Způsob rozdělení prostředků do skupin pak závisí na jejich citlivosti, na pravděpodobnosti jejich napadení a na případných dalších kritériích. Oddělení prostředků dosáhneme nejen segmentací sítě, ale také například vyhrazením serverů pro konkrétní úkoly, a dokonce i rozdělením sítě mezi prostorově vzdálená hostitelská centra Bezpečnostní zóny Bezpečnostní zóna je logická skupina prostředků, například systémů, sítí nebo procesů, které vykazují podobný stupeň přípustného rizika. Webové servery můžeme například umístit do stejné bezpečnostní zóny jako veřejné servery pro službu DNS a poštu, protože všechny tyto servery mají být shodně přístupné z Internetu a neměly by uchovávat žádné citlivé informace. Pokud ale zjistíme, že budeme mít na poštovním serveru uložená citlivější data než veřejné webové servery a DNS, vyčlenili bychom jej do samostatné sítě a vytvořili tak další bezpečnostní zónu. Také kriticky důležité systémy, jako jsou například servery osobního oddělení s údaji o zaměstnancích nebo databáze známek univerzitních studentů, bývají umístěné za vnitřními firewally. Pojem bezpečnostní zóny není ale omezen jen na sítě jako takové. Do jisté míry ji můžeme implementovat vhodným nastavením serverů, které provozují podobné aplikace. Pro vytvoření správného návrhu je důležité vědět, jak jednotlivé prostředky do vhodných bezpečnostních zón seskupit Bezdrátové sítě Klasické pevné sítě LAN začínají stále častěji doprovázet také bezdrátové sítě, především sítě definované ve specifikacích Protože bezdrátová komunikace se dostane doslova všude, musíme při návrhu obvodového zabezpečení přehodnotit některé základní principy klasické síťové architektury. V bezdrátovém světě již 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s číselná zkratka označuje celou rodinu specifikací implementace bezdrátových sítí LAN, které vydalo sdružení IEEE (Institute of Electrical and Electronics Engineers). Popisuje protokoly a služby vrstev 2 a 1 modelu OSI a odpovídá standardu IEEE pro sítě Ethernet. 39

40 nemůžeme předpokládat, že potřebnou ochranu sítě před neoprávněným přístupem ve vrstvě 2 OSI (vrstva přístupu k médiu vrstva datových spojů) ani ve vrstvě 1 (fyzické) spolehlivě zajistí prostředky jako zdi, dveře, stráže, apod. Pro přístup k bezdrátovým prostředkům stačí útočníkovi pouhá blízkost a často ani nemusí vstoupit do budovy, kde chce útočit. Oddělování bezdrátových sítí Komponenty bezdrátové síťové infrastruktury jsou principiálně zranitelné a útočníci se poměrně snadno můžou dostat nejen do bezdrátové sítě, ale přes přístupový bod i do její pevné části. Takovéto útoky zvyšují míru ohrožení, protože díky standardu se útočník může do bezdrátové sítě připojit na spojové vrstvě i bez nutnosti fyzického vniknutí do prostoru firmy. Stačí pouze kompatibilní síťová karta a dostatečně malá vzdálenost od cílové sítě. Pokud organizace nemá v síti zapnuté šifrování WEP 1 ani jiné mechanismy řízení přístupu, má útočník ještě snazší pozici. I při zapnutém WEP nebo jiném podobném bezpečnostním mechanismu mohou ale útočníci pomocí jistého spektra útoků získat neoprávněný přístup k bezdrátové vrstvě 2 a okolním pevným sítím. 2 Z vlastní zkušenosti znám případy, kdy pouhé odposlouchávání, tedy monitorování bezdrátového přenosu v síti, poskytne útočníku spoustu informací o IP adresách stanic a různému směrování v síti. 3.3 Softwarová architektura Softwarová architektura (neboli architektura softwaru) je jedním z velice důležitých principů při zabezpečení sítě. Tento pojem vyjadřuje, na jakém místě a jakým způsobem je vhodné provozovat různé komponenty aplikací, aby byla její činnost co nejbezpečnější při současném zachování použitelnosti a udržovatelnosti. 1 WEP (Wired Equivalent Privacy) zabezpečení bezdrátových sítí a součástí standardu Umožňuje autentizaci a šifrování veškeré komunikace mezi bezdrátovými uzly. 2 NORTHCUTT, S. Bezpečnost počítačových sítí., s

41 3.3.1 Softwarová architektura a obrana sítě Hovořím-li o softwarové architektuře, mám tím na mysli, v jakém místě sítě bude která aplikační komponenta provozována. Mezi aplikační komponenty patří přitom uživatelské rozhraní, databáze a další prvky, které můžeme považovat za zadní část (back-end) aplikace, protože zajišťují funkce skryté za uživatelským rozhraním a propojují toto rozhraní s vlastní databází. Rozhodování o místě provozu jednotlivých komponent je poměrně složité. Mnohé aplikace například nefungují správně, pokud jejich provoz musí procházet firewallem. Běžným problémem je tak nekompatibilita aplikací s překladovým mechanismem NAT. Aplikace také často nezajišťují odpovídající šifrování citlivého síťového provozu. U některých aplikací je nutné pro dosažení správného a bezpečného provozu provést rozsáhlé změny v mechanismech obrany sítě podle způsobu jejich provozování a podle toho, nakolik jsou samy více či méně zabezpečené. Komunikuje-li daná aplikace s hostiteli na Internetu, bývají často obranné komponenty a softwarová architektura v jistém rozporu. Zde je třeba uvažovat dva možné pohledy: Mnohé aplikace nejsou konstruovány s ohledem na nejlepší bezpečnostní postupy a při pokusu o jejich zabezpečení mohou přestat správně fungovat. Úkolem počítačové sítě je zajištění činnosti firmy, a obrana sítě by proto neměla bránit uživatelům v přístupu k požadovaným funkcím a službám. Přijatá bezpečnostní opatření by měla být natolik flexibilní, aby dokázala zajistit odpovídající ochranu i bez vážného narušení nebo omezení aplikace. 1 Oba tyto pohledy jsou správné, protože úkolem bezpečnosti je podporovat činnost organizace a umožnit tak přístup k aplikacím a datům, ale zároveň je ochránit proti neoprávněným aktivitám. Bezpečná síť je nedostatečná, pokud nevyhovuje potřebám dané organizace. Každé rozhodování musí vycházet z potřeb dané společnosti a z platných zásad zabezpečení. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s

42 3.3.2 Problémy softwarové architektury Celá řada potenciálních problémů s nevhodnou implementací aplikace se dá vyřešit předem, pokud její zabezpečení posoudíme ještě před nákupem či programováním. Nyní uvedu základní otázky, z jejichž odpovědí můžeme lépe posoudit bezpečnost aplikační architektury: Jak bude aplikace komunikovat se zbytkem síťového prostředí? Se kterými jinými prostředky vlastní sítě i jiných sítí bude spolupracovat? Kdo bude s aplikací pracovat vnější uživatelé, vnitřní uživatelé nebo obojí? Kdo bude zajišťovat správu aplikace? Jaké protokoly bude aplikace používat a jaké porty pro ni musí být otevřené? Pokud bude síťový provoz podléhat šifrování, zajišťuje šifru sama aplikace? Dokáže tato aplikace spolupracovat se současnou konfigurací sítě a jejím zabezpečením tedy s proxy servery, firewally a překladem NAT? Dává výrobce produktu nějaká bezpečnostní doporučení nebo doporučuje nějakou konkrétní architekturu? Neporušuje tato aplikace platné zásady zabezpečení sítě bezpečnostní politiku? Návrh obrany sítě Zavést takové mechanismy obrany sítě, které zvládnou bezpečně obsloužit potřeby příslušné aplikace, je velice důležité. Uvedu několik doporučení pro návrh obrany sítě: Volit takové firewally a hraniční směrovače, které jsou dostatečně propracované, aby dokázaly bezpečně podporovat různé typy aplikací. Věcné či obchodní potřeby společnosti se často mění docela neočekávaně, zejména z pohledu pracovníků IT. Vždy je vhodné mít na firewallech rozhraní navíc, nejen kvůli rychlému obnovení provozu po případném výpadku, ale také pro vytvoření další podsítě, kterou třeba aplikace může potřebovat. Je třeba počítat také s budoucím růstem sítě. 42

43 Je důležité se dobře seznámit s různými základními oblastmi zabezpečení tedy se zabezpečením hostitelů, sítí, aplikací i databází. 1 4 Zálohování dat Zálohování dat patří mezi nejúčinnější preventivní nástroje v ochraně informací. Zálohovat data znamená uložit všechna nebo část dat umístěných na jednom záznamovém médiu (pevném disku, disku CD, disketě) na jiné médium se záměrem vytvořit nouzovou kopii pro případ, že se něco přihodí. Můžeme také vytvářet kopie nebo zrcadla souborů bez použití externího záznamového média, tj. na jiném oddílu pevného disku. Tento postup je však riskantní, protože je v případě vážnějších potíží s pevným diskem neúčinný. 2 Zálohovat data proti poškození nebo ztrátě je nutné z několika důvodů: Poškození vlivem lidského faktoru: sem patří neúmyslné smazaní a neodborné používání a manipulace s daty. Poškození způsobené selháním systému: při výpadku elektrického proudu, selhání pevných disků, apod. Poškození s úmyslem data zničit: při virové nákaze, krádeži, apod. Poškození fyzikálními a přírodními vlivy: např. kouřem, při požáru, apod. 4.1 Způsoby zálohování Zálohovat data můžeme několika způsoby. Zřejmě nejsnazším a nejlevnějším typem je vypalování dat na CD/DVD. Při dodržení správných zásad práce a skladování těchto medií nám mohou vydržet i několik desítek let. Mezi další možnosti uchování dat patří: Zálohování na pevné disky zde můžeme uchovávat poměrně spolehlivě velké množství dat, ale je třeba si dát pozor před mechanickým poškozením disku. 1 NORTHCUTT, S. Bezpečnost počítačových sítí., s GERCEK, Burçin. Zálohování dat: základní krok [online]. 43

44 Zálohování na NAS 1 zařízení - vhodná možnost jak uchovávat data díky LAN a WLAN z více počítačů v síti. Zálohování na flash paměti a paměťové karty velká výhoda v přenositelnosti. Zálohování na FTP server nesporná výhoda v dostupnosti informací ze všech PC připojených k síti. Online zálohování 2 Proces zálohování by měl splňovat následující kritéria. Mezi nejdůležitějším patří: pravidelnost systém by měl být zálohován v pravidelných, předem daných intervalech, úplnost je nutné zálohovat celý systém včetně dílčích záloh z jednotlivých stanic, kde jsou pořizovány informace a identifikovatelnost jednotlivé zálohy musí být jasně popsány. 5 Počítačové viry Počítačové viry jsou bezesporu nejznámějším bezpečnostním rizikem pro počítačové sítě a počítače jako takové. Jejich eliminace z počítačových systémů patří mezi základní prvky řešení informační bezpečnosti. Aby bylo možné se úspěšně bránit účinkům počítačových virů, je zapotřebí znát jejich základní klasifikaci, jejich vlastnosti a účinky. První počátky počítačových virů se datují kolem roku 1983, kdy Dr. Frederick Cohen experimentoval na Pensylvánské univerzitě se samo-množícím se kódem a v souvislosti s ním začíná používat označení virus. Byl to první legální pokus se šířením viru. 3 Nyní se zaměřím na jednotlivé typy virů a na principy jejich činností: BOOT viry historicky nejstarší viry. Nacházejí se v zaváděcím sektoru diskety nebo disku a čekají, až budou použity pro zavedení operačního systému. 1 NAS: Network-attached storage, sí tové úložiště dat. 2 MLEJNEK, Miroslav. Zálohování dat. SWMag.cz : Softwarový magazín [online]. 3 ČANDÍK, M. Základy informační bezpečnosti., s

45 Šíří se buď jako souborové viry nebo prostřednictvím disket při jejich zapomenutí v mechanice při startu počítače. Dnes už nejsou největší hrozbou, neboť diskety se téměř nepoužívají. Programové viry se šíří přímo prostřednictvím programového kódu, který modifikují. Jedná se o soubory s příponami EXE, COM, DLL, SYS, BIN, apod. Při jejich spuštění se zavedou do paměti a snaží se nalézt na disku dosud nenakažené spustitelné soubory, aby je infikovaly. Makroviry jsou velkým problémem dnešní doby. Jejich nositeli jsou dokumenty, které mohou obsahovat makra tj. programový kód spouštěný při práci s dokumentem. Tyto viry v současnosti napadají dokumenty programů MS Word, MS Excel, MS PowerPoint, MS Access a nově také CorelDraw nebo AutoCad. Protože dokumenty si uživatelé zasílají mnohem častěji než programové soubory, je hlavním nebezpečím rychlost jejich šíření. 5.1 Antivirové programy Programy, které monitorují běh počítače a kontrolují všechna vstupní data, patří mezi základní software každé počítačové stanice. Samozřejmostí antivirového programu bývá aktualizace produktu prostřednictvím Internetu. Mezi nejpoužívanější programy patří Avast!, Nod32, Norton AntiVirus, Kaspersky Antivirus, aj. Antivirový program se obvykle skládá z částí: vykonávající nepřetržitý dohled antivirovou kontrolu nad daty, se kterými uživatel pracuje. umožňující provést antivirový test na vybrané oblasti, test je vyvolán na základě požadavku uživatele. udržující antivirový program v aktuální podobě pomocí stahování aktualizací. vykonávající automatickou antivirovou kontrolu příchozí a odchozí pošty. 5.2 Zjišťování přítomnosti virů Existuje několik technik zjišťování přítomnosti počítačových virů. Jednou z nejstarších technik je skenování. Tato technika využívá virové databáze známých virů, které skener vyhledává v jednotlivých souborech, popř. v systémových oblastech 45

46 disku. Pokud byla informace z virové databáze totožná s nálezem v souboru, skener ho považoval za infikovaný a oznámil to uživateli. Tato metoda vyžaduje pravidelnou aktualizaci, protože skener umí najít pouze viry, které zná. Tato skutečnost je ale vyvážena jedinečnou schopností rozpoznat napadený program ještě před tím, než se nám ho podaří spustit. Mezi další neméně podstatné techniky patří: Kontrola integrity je založena na porovnávání aktuálního stavu důležitých programů a oblastí na disku s informacemi, které si o nich kontrolní program uložil při jejich příchodu do systému, nebo při své instalaci. Pokud se do tímto způsobem chráněného počítače dostane vir, tak na sebe upozorní změnou některého z kontrolovaných objektů a je záhy detekován. Heuristická analýza zde se jedná o rozbor kódu hledající postupy pro činnosti virů typické nebo nějak podezřelé. Velkou výhodou je, že lze tímto způsobem odhalit i dosud neznámé viry. Mezi nevýhody patří jednak zvýšené množství falešných poplachů a také to, že heuristická analýza dokáže detekovat pouze takové typy virů, pro které je navržena (makroviry, souborové viry, aj.) Komplexní ochrana tato ochrana kombinuje použití antiviru a firewallu. Správně nainstalovaný firewall dokáže odhalit průnik do počítače a zablokovat přístup viru k požadovaným sdíleným prostředkům. 6 Bezpečnost informačních systémů Významným aspektem informačních systémů je jejich bezpečnost. Základní části informačních systémů jsou tzv. výpočetní systémy. Výpočetní systém je systém, kde jsou zpracovávána a uchovávána data, která jsou nositeli informací, zahrnuje hardware, software a vlastní data. Tyto tři komponenty představují systémové části informačního (výpočetního) systému. Základními komponenty informačních systémů jsou počítačové jednotky a komunikační jednotky realizující přenosy dat mezi jednotlivými stanicemi. Proto je bezpečnost systémů analogicky rozdělena na následující: 46

47 počítačovou bezpečnost ochrana dat uchovaných v počítači komunikační bezpečnost ochrana dat při jejich přenosu fyzickou bezpečnost ochrana před přírodními hrozbami personální bezpečnost ochrana před vnitřními útočníky Potenciální možnost využití zranitelného místa k útoku na informační systém, ke způsobení škody, se nazývá hrozba. V oblasti bezpečnosti dat jsou specifikovány čtyři typy hrozeb namířených proti bezpečnosti informačních systémů: přerušení: Informační systém se stane nepoužitelným nebo nepřístupným. Například při zničení hardwarového zařízení, výmazu programu nebo datového souboru anebo při selhání operačního systému při vyhledávání souboru na disku. odposlech: Neoprávněná strana získá přístup do systému. Může to být osoba, program nebo výpočetní systém. Příkladem je nepovolené kopírování programů nebo datových souborů nebo tajný odposlech prováděný při datových přenosech po síti. modifikace: Neoprávněná strana nejenže získá přístup k informacím, ale také tohoto přístupu využije k jeho pozměnění. Například nelegální provedení změn v datech v databázi, pozměnění programů apod. vytvoření falsifikátu určitého objektu neoprávněnou stranou, například vložení falešných záznamů do databáze nebo vytvoření falešné zprávy a její následné odeslání po síti Sociální inženýrství Bezpečnost informačních systémů není pouze záležitostí technickou, velmi významným prvkem bezpečnosti je i lidský prvek. Lidské chování je rozmanité a lidským chybám nejde vlastně úplně zabránit. Vždy je tedy nutno počítat se selhávajícím lidským faktorem. Mezi časté netechnické způsoby útoků patří dnes tzv. sociotechniky, které využívají lidských slabin v jednání. Sociotechnika v pojetí informační bezpečnosti znamená přesvědčování a ovlivňování lidí s cílem oklamat je tak, aby uvěřili, že útočník je někdo jiný a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů. 1 ČANDÍK, M. Základy informační bezpečnosti., s 33 47

48 Při těchto metodách se útočník pokusí pomocí manipulace přesvědčit oběť, aby prozradila nějakou významnou informaci. Např. heslo je sděleno neznámému, kdo se představí jako správce systému, po telefonu nebo vloženo na podvržený formulář apod. 1 Phishing jako druh sociálního inženýrství Phishing je druh internetového podvodu, jehož cílem je vylákat z uživatele citlivé informace jako např. číslo účtu, heslo, číslo kreditní karty a podobné citlivé položky. Při phishingu je uživatel manipulován k tomu, aby svá data zadal na podvrženou stránku, a přitom je právě využito sociotechnik, které uživatele dovedou právě k využívání podvrhu. Útočník si vytvoří seznam ových adres, na které je odeslána zpráva, která se tváří jako oficiální oznámení dané organizace - většinou finanční instituce. Pro útok jsou vybírány známé banky, takže je vysoká šance, že část oslovených je klientem této banky a na útok zareaguje. Klient je vyzván k zadání svých údajů. V mailu je přímo odkaz na podvrženou stránku, která se od pravé může lišit velmi nepatrně, např. jenom v lehce odlišném URL. To, že má klient svá data zadat na podvrženou stránku, je obvykle vysvětleno nějakým proběhlým bezpečnostním incidentem, který banka dobře zvládla, ale přece jen a pro jistotu potřebuje znovu některé údaje potvrdit. A to co nejrychleji. Technické provedení tohoto útoku je bohužel nesmírně snadné. Zatím asi nejvýznamnějším útokem v České republice byl útok ze dne na Citibank, dále následoval útok na Českou spořitelnu. Viz. Obrázek 9 Útok na Českou spořitelnu. Znalost veřejnosti o tomto druhu nebezpečí je stále mizivá. Zásadní obranou je neklikat v mailu na jakékoliv odkazy. Navíc slušná banka jistě nebude na bezpečnostní incident své klienty upozorňovat em. 2 1 BRECHLEROVÁ, Dagmar. Sociální inženýrství. IT Systems [online]. 2007, č. 7 2 Tamtéž 48

49 Obrázek 9 Útok na Českou spořitelnu Většina autorů, kteří se zabývají socitechnikami, udává těchto šest základních lidských vlastností, které se dají použít pro sociotechnický útok. Je proto při jakémkoliv jednání mít podobné techniky sociotechniků na paměti a počítat s nimi. Autorita lidé mají tendenci se podřídit osobě s větší funkcí (mocí). Jedinou obranou proti tomuto je dodržování určitých bezpečnostních pravidel. Sympatie sociotechnik může získat sympatie oběti několika způsoby: stejné názory, zájmy, sport atd. Pokud sociotechnik získá sympatie případné oběti, pak od ní může získat příslušné informace. Vzájemnost je mnohem větší pravděpodobnost, že sociotechnikům oběť vyhoví, když pro ni předtím něco udělají. Například sociotechnik nejprve vyřeší problém se sítí (i třeba imaginární) a pak řekne oběti, ať si nainstaluje program, který bude síť hlídat, což přitom ve skutečnosti může být trojský kůň, atp. Obranou je opět dodržování bezpečnostní politiky ve všech situacích. 49