KARANTÉNA. Podrobný test SPASÍ VAŠI SÍŤ? Jak si žije SPARC? Novinky na platformě SUN. Longhorn Server První pohled na Windows Server 2008

Transkript

1 Vychází 1. června 2007, ročník XII, cena 79 Kč / 119 Sk KARANTÉNA SPASÍ VAŠI SÍŤ? Jak si žije SPARC? Novinky na platformě SUN Longhorn Server První pohled na Windows Server 2008 Podrobný test PODNIKOVÝCH NOTEBOOKŮ Patch management Záplatování ve Windows a v Linuxu

2 jednička integrované bezpečnosti Chytrá integrace klíčových bezpečnostních technologií pro ochranu před všemi známými i neznámými hrozbami. Fortinet se může pochlubit více než 200 tisíci inovativními UTM zařízeními instalovanými po celém světě a je tak v současnosti nejrychleji rostoucím dodavatelem bezpečnostních řešení. Zároveň jsou produkty Fortinetu často oceňovány odbornou veřejností, nejčerstvějším úspěchem je cena IT produkt 2007 pro FortiGate 224B. SkyNet, který disponuje 5 certifikacemi FCNSP (Fortinet Certified Network Security Professional), je value added distributorem produktů Fortinet pro Českou a Slovenskou republiku. Informujte se na produkty Fortinetu na u fortinet@skynet.cz nebo navštivte Value Added Distributor SkyNet, a.s., Fortinet Value Added Distributor Na Rybníčku Praha 2 tel: fax: obchod@skynet.cz Hybešova Brno tel: fax: obchod@skynet.cz

3 úvodník Vážení čtenáři, na to, že v červnu přicházejí první úmorná horka, si už několik let můžete vsadit, stejně jako na fakt, že časopis Connect! ve stejnou dobu tradičně uvádí téma bezpečnosti informačních sítí. Exponované to téma, které umí vyvolat dusno i bouřku a nedá vám ani chvíli oddychu Prosadila se za poslední rok nějaká technologie, která by dokázala změnit toto odvětví, ušetřit tu trošku zbývajících netknutých nervů? Nebo jde stále jen o věčný boj s protivníkem skrývajícím se vně hradeb lokální sítě, případně vědomého či nevědomého záškodníka ve vlastních řadách? Stejně tak bychom mohli položit i lehce rouhačskou otázku není IT bezpečnost jen neustále uměle zavlažovanou plantáží tabáku? Mají smysl všechny ty chytré sítě, IPS a karantény? Vyplatí se někomu jinému než jejich výrobcům se spoustou závislých zákazníků? Vždyť donedávna stačil antivir a firewall Ať je pravda jaká chce, oblast bezpečnosti prožívá mimořádné období, které přináší neustále novinky. Je už potom jenom na vás, zda do nich chcete investovat a zvýšit si pocit jistoty, nebo si je jednoduše nemůžete dovolit a zůstanete u osvědčených metod, případně jen postupně začnete migrovat na nové systémy. Samotný antivir na koncové stanici dnes už v podstatě nikoho nespasí. Také proto je stále častěji integrován do větších bezpečnostních balíků, které v kombinaci s personálním firewallem již leccos zabezpečí. Trend ale jednoznačně ukazuje na jednotné síťové bezpečnostní boxy, které mají za úkol na klienta již žádný škodlivý kód nepustit, což je jednoznačně přínosem. A pokud se náhodou na síť připojí zařízení, které není jejím důvěryhodným klientem se všemi náležitostmi, na které si jen vzpomeneme, prostě jej zavřeme do karantény, ze které je po důkladné očistě cesta ven, anebo také ne. Princip popsaný v předešlém odstavci je aktuálně nejvíce propagován coby bezpečnostní trend. Jeví se opravdu báječně, až s podivem, že se tak jednoduchá a účinná věc neprosadila dříve. Ale kolikrát se nám už z pohledu IT zdálo, jak jednouše za nás technologie vyřeší problémy způsobené jinými technologiemi. A na čem to uvízlo? Samozřejmě na lidech, kteří odmítli akceptovat určitá pravidla, nebo byli odrazeni složitostí celého procesu. Takže, nechť nové bezpečnostní praktiky snáze vycházejí s obyčejnými uživateli a potom se možná dočkáme pokroku. Vám všem ostatním přeji příjemné čtení nejen o bezpečnosti IT. Lukáš Honek, šéfredaktor lukas.honek@cpress.cz zdarma časopisu Connect! a navíc pro všechny nové i obnovující předplatitele (na stánku za 869 Kč) 11 časopis Connect! až do vaší schránky knihu dle vlastního výběru zdarma členství v Klubu předplatitelů. Více na klub.cpress.cz Antispam Microsoft Zabezpečení Mistrovství metody, nástroje a utility pro ochranu před spamem 397 Kč Windows Server 2000/2003 Nedokumentovaná řešení 239 Kč sítí pomocí Cisco PIX Firewalls 329 Kč Akce platí do 30. června Při vyčerpání zásob si Computer Press vyhrazuje právo nahradit vybraný titul jiným v odpovídající hodnotě. Vybranou knihu vám zašleme nejpozději do čtyř týdnů od uhrazení částky za předplatné. v zabezpečení Microsoft Windows 2000 a XP 339 Kč Microsoft Small Business Server 299 Kč Jak předplatné objednat? prostřednictvím SMS: Objednávku pošlete ve tvaru CNKN!, číslo knihy, jméno, příjmení a adresa na číslo Příklad: CNKN!,1,Jan,Cerny,Modra 14,11000 Praha na internetu: Na adrese casopisy.cpress.cz najdete objednávkový formulář pro objednání předplatného telefonicky: Zavolejte na naši předplatitelskou linku em: Pošlete s kontaktními údaji na adresu predplatne@cpress.cz

4 obsah TÉMA Připojte se! Aktuality Nepusťte si hackery k tělu Komplexní pohled na bezpečnostní trendy Poznejte svého nepřítele Nejznámějších útoky v síti Ethernet Hrozby internetových hlubin Pharming, phishing, spam a další neduhy internetu Jedničky a nuly tajemstvím opředené Co nabízí moderní kryptografie? Posuňme obranu sítě na její okraj Perimetr sítě minimální či maximální restrikce? Network Access Control Řízení přístupu do sítě s Enterasys Sentinel Jak neotevřít zadní vrátka Rizika Instant Messagingu a P2P sítí Outsourcing bezpečnostního správce Účinná posílení bezpečnosti organizace Rozumné switche Co dokáží inteligentní počítačové sítě Mějte trpělivost Úvaha o přežití bezpečnostních auditů SÍTĚ A KOMUNIKACE Tři králové přicházejí v červnu Test notebooků pro podnikovou sféru Komunikujte rychle i bez drátů Wi-Fi router a karty Linksys s podporou n SPARC software na Intelech QuickTransit technologie osvobozuje platformy Vše v jednom Recenze telefonu Nokia N95 38 Servery SPARC Enterprise Výsledek spolupráce SUNu a Fujitsu 42 Internet SYSTÉMY Performance management Cesta k úspěšné strategii Longhorn opět blíže Na co se můžeme těšit v nové verzi Windows Serveru? Inteligentní archivace Ukládání a správa ů s Exchange Práce kvapná málo platná Recenze prostředí CodeGear Delphi for PHP Cardspace a Comunication Foundation Programování na platformě.net Framework 3.0 Správa dokumentů a obsahu ECM v oblasti financí a administrativy Utility pro administrátory BEZPEČNOST Jeden nástroj na více záplat Jak se liší záplatování v Linuxu a ve Windows No Wi-Fi nic nevyřeší WIPS bezdrátový systém ochrany průniku Odposlech SSL Jak bezpečná je komunikace přes HTTPS? Poznejte bezpečnost Recenze firewallu Kernun Na spam s největším kalibrem Test IBM Proventia Network Mail Security System Automatické aktualizace a škodlivý kód Komentáře k událostem ve světě bezpečnosti Bezpečnost v GNU/Linuxu Velmi bezpečný webserver thttpd III. Stručně z oblasti bezpečnosti SERVIS 72 Servis 73 Odpojte se!

5 2006 Microsoft Corporation. Všechna práva vyhrazena. Microsoft, Visual Studio, logo Visual Studio a Windows jsou buď registrované ochranné známky, nebo ochranné známky společnosti Microsoft Corporation ve Spojených státech amerických anebo v jiných zemích. Nové Visual Studio Rozdíl na první pohled. Poznali jste ten rozdíl? Jakmile začnete programovat, uvidíte jej okamžitě. Nové Visual Studio 2005 má více než 400 nových vlastností. Komponenty pro Web, Windows i hotové části kódu redukují únavné a opakující se operace. Budete se moci plně soustředit na tvorbu skvělých programů. Více informací najdete na

6 připojte se! duben 2007 pondělí úterý středa čtvrtek pátek sobota neděle 1 květen 2007 pondělí úterý středa čtvrtek pátek sobota neděle Vlasta Burian (116) John Fitzgerald Kennedy (90) Nejlepší český Open Source je Wikipedie Od února do dubna hledala odborná porota i široká veřejnost to nejlepší z české Open Source scény, aby mohla v prostředí malebného Pivovarského klubu ocenit devět nejlepších. Na fotce jsou výherci jednotlivých kategorií, zleva: Petr Kadlec (Česká Wikipedie), Pavel Franc (CZilla), Leoš Literák, Dan Ohnesorg, v podřepu Michal Franěk (LinuxExpo). Absolutním vítězem ankety Czech Open Source 2007 se stala česká varianta známé encyklopedie Wikipedie Navigace už i v tiskárnách Stále váháte, zdali celofiremně nasadit či nenasadit barevný tisk? Po seznámení s novou řadou podnikových tiskáren od HP budete mít jasno. Modely HP CM8060/ CM8050 (odlišují se pouze rychlostí tisku 60/50 list./min.) využívající technologii HP Edgeline, zaujmou mimo jiné desetipalcovým barevným dotykovým displejem HP Easy Select či nástrojem pro navigaci HP AutoNav. Ten při tisku či problémech, prostřednictvím displeje a diod rozmístěných na komponentách zařízení, naviguje uživatele co má udělat či kam sáhnout. Jako unikum v sobě tiskový stroj integruje české OCR, jinak řečeno, dovede převést tištěný text do digitální podoby. Netradičně HP neplánuje tyto tiskárny prodávat jako hardware, ale jen jako službu, přes tři vybrané české distributory Tučňáci jásejte, Siebel 8 podporuje i Linux V rámci odborné konference Siebel CRM, společnost Oracle představila osmou verzi svého informačního systému Oracle Siebel CRM. Díky certifikaci pro Oracle Fusion Middleware nabízí Siebel 8 plnou podporu servisně orientované architektury a předpřipravených řešení postavených jako webové aplikace. To usnadňuje integraci řešení s dalšími aplikacemi a urychluje zavádění webových aplikací. Siebel navíc podporuje i řadu dalších platforem, jako jsou například IBM WebSphere, BEA Weblogic, SQL Server 2005 a IBM DB2. Vůbec poprvé ve své historii Sieble podporuje i Linuxová prostředí. Oracle neopomněl ani bezpečnost, například komponenta Siebel Universal Customer Master nabízí obchodní logiku, která umožňuje flexibilnější správu citlivých dat Vítejte v síti lidí Koncem dubna jsme navštívili již tradiční, tentokrát osmý ročník, největší české konference pro síťaře Cisco Expo To se neslo v duchu sloganu Vítejte v síti lidí, který odráží trend stále většího sžívání komunikující civilizace s technologiemi. Po efektním a názorném úvodu simulujícím využití komunikace na bázi IP v prostředí krizového řízení, následovaly dva dny plné přednášek a živých demonstrací. Z nich mimo jiné vyplynuly zajímavé posuny například zvětšující se nabídka Cisco řešení pro menší firmy, nebo pojetí moderní komunikace v širším kontextu. Technologie tak směřuje ke vstřícnějšímu přístupu k uživateli, který si může zvolit způsob komunikace, jenž mu vyhovuje nejvíce. Na vrcholu prezentovaných inovací stanul produkt zvaný TelePresence, což je nový stupeň pojetí videokonferencí. Na standardních IP sítích a ve spolupráci s CallManagerem je schopen simulovat prostředí pro osobní jednání na sebevětší vzdálenost. Mimo jiné využívá několik plazmových obrazovek, kamery pro přenos videa v rozlišení 1080p anebo prostorový zvukový systém. Od nadšeného používání TelePresence a výkřiku Sbohem zoufalé putování po D1! nás tak dělí jen několik milionů korun 6 Connect! červen 2007

7

8 aktuality AMD prodělalo více, než se čekalo Cenová válka AMD s Intelem si vybírá svou daň. V prvním čtvrtletí AMD dosáhlo čisté ztráty ve výši 611 milionů dolarů, tedy 1,11 dolaru na akcii. Pro srovnání, ve stejném období loňského roku firma vydělala 184,5 milionu, čili 38 centů na akcii. Příjmy AMD meziročně poklesly o 7,4 % na 1,23 miliardy dolarů. Vinu za současné problémy lze přičíst propadu cen a zároveň tržního podílu. Ceny procesorů se meziročně snížily o 55 %, tržní podíl na desktopech v domácnostech například v USA spadl ze 77 % na 43 %. Google stoupá, Yahoo klesá Společnost Google oznámila své hospodářské výsledky za první čtvrtletí tohoto roku. Růst příjmů překročil očekávání. Příjmy dosáhly 3,66 miliardy amerických dolarů, což je 69% nárůst oproti stejnému období loňského roku, kdy Google získal jen 2,25 miliardy. Čistý zisk dosáhl výše jedné miliardy dolarů, neboli 1,95 dolaru na akcii. Naprostá většina příjmů pochází z reklamy ve vyhledávání. Různé studie umisťují tržní podíl Google v USA mezi 40 % a 60 % tamního vyhledávacího trhu. Po oznámení dobrých hospodářských výsledků posílily akcie společnosti o 2,7 %. To je v ostrém kontrastu s výsledky konkurenčního Yahoo, jehož zisk se za první čtvrtletí meziročně snížil o 11 %, což je také hodnota, o níž poklesly jeho akcie. Lidé se JavaScriptu ani cookies nebojí Podle průzkumu drtivá většina uživatelů k prohlížení webů využívá prohlížeče s aktivovanou podporou JavaScriptu a cookies. Pouze 1,2 % návštěv zaznamenaných měřící službou Navrcholu.cz je uskutečněno s vypnutou podporou JavaScriptu. Ještě méně, necelé půlprocento, nepodporuje cookies a zabraňuje serverům ukládat k nim jakékoli informace. Intel Centrino Pro přichází Nově uvedená mobilní platforma Centrino Pro, vyvíjená pod kódovým označením Santa Rosa, má nahradit zatím poslední Centrino Napa. Novinka Intelu se skládá z procesoru Core 2 Duo s rychlejší 800MHz sběrnicí a mobilní varianty čipové sady P965. Rychlost sběrnice je možné pro snížení spotřeby dynamicky regulovat. Po spuštění náročné jednovláknové aplikace dokáže nová platforma jedno ze dvou jáder procesoru vypnout a u druhého zvýšit frekvenci tím se zamezí situacím, kdy si systém přehazuje aplikaci mezi oběma jádry. Rychlé, ale úsporné mobilní disky od Hitachi Společnost Hitachi uvedla na trh novou řadu 2,5 pevných SATA disků s názvem Travelstar 7K200. Plotny těchto disků se otáčejí rychlostí otáček/min, což se také obvykle nepříznivě projevuje na spotřebě. Hitachi ale slibuje, že tato řada bude světlá výjimka a spotřeba bude srovnatelná s pomalejšími disky (5 400 otáček/min). Pevné disky této řady se budou vyrábět v kapacitách 80, 100, 120, 160 a 200 GB, přičemž první dvě varianty obsahují pouze jednu plotnu, vyšší kapacity pak dvě. Microsoft ocenil české firmy Microsoft vyhlásil výsledky 9. ročníku soutěže Microsoft Industry Awards Ocenění Microsoft každoročně uděluje nejlepším partnerům, kteří vyvíjejí řešení a aplikace na jeho platformě. Hned dvě ocenění si odnesly společnosti AutoCont a ICZ. Všechny výsledky z Microsoft Industry Awards 2007 najdete na stránkách Součástí platformy Centrino Pro je i nový bezdrátový adaptér postavený na n, který má maximální teoretickou přenosovou rychlost 300 Mb/s. Centrino Pro zahrnuje i technologie známé z podnikové platformy vpro, například Active Management Technology 2.5, pro vzdálenou správu a diagnostiku notebooku po síti. Displayport už podporuje i optiku V současnosti se o nastupnictví obrazového rozhraní DVI usilují tři nová: Displayport, HDMI a UDI. Společnosti VESA a Luxera se spojily a do specifikací VMware Workstation 6.0 Jeden z nejpoužívanějších komerčních produktů pro virtualizaci operačních systémů dospěl do šesté verze. Zachovává si výbornou podporu virtualizace nejen linuxových distribucí a jednotlivých verzí Windows, ale přináší i mnoho zdokonalení pro operační systém Windows Vista. Nová verze přichází také s podporou více monitorů a možností připojení vysokorychlostního USB 2.0. Displayportu 1.1 přidaly podporu pro optický přenos videosignálu. Společnost Luxera stojí za technologií CMOS photonics, která zajišťuje převod a následné vysílaní takového signálu. Díky optickým kabelům lze totiž dosahovat mnohem větších vzdáleností a vyššího datového toku, než při použití klasické, léty prověřené, ale starnoucí měděné kabeláže. Částečně odpadá i rušení a šum. Pokud by se nakonec rozhraní Displayport ujalo, jednalo by se o skvělé řešení, ale nabízí se otázka, jak by to opět dopadlo s případnými ochranami, tak jako v případě HDMI a HDCP. 8 Connect! červen 2007

9 Britské kamery odezírají ze rtů Velká Británie vyvinula nové kamery, které pomocí speciálního softwaru dokáží odezírat ze rtů. Systém bude vyhledávat hlavně nebezpečná slova, názvy a jména, jako například bomba, smrt, atom a další. Univerzita, která tento systém vyvíjí, dostala grant ve výši liber, aby tento systém do tří let dovedla do konečné fáze. Do rodiny firewallů ZyXEL přibyl ZyWALL SSL 10 Firma ZyXEL připojila k nabídce firewallů ZyWALL s integrovanou podporou VPN na technologii IPSec nové zařízení ZyWALL SSL 10, které pracuje na technologii šifrovaného přenosu HTTPS. Tato technologie na rozdíl od IPSecu je určena na zabezpečené spoje klient centrála. Obchodní cestující tak může využít pohodlí při připojení do své firemní sítě, Skype for Business Společnost Skype představila v Praze inovovanou službu Skype for Business, šitou firmám přímo na míru. Díky novým funkcím nabídne Skype firmám snadnější instalaci na více počítačů pomocí balíčku Windows Installer. On-line ovládací panel umožní společnosti přidělit jednotlivým uživatelům Skype kredity, aby mohli uskutečňovat levné SkypeOut hovory na tradiční pevné linky nebo mobilní telefony a též poskytuje konsolidovaný náhled na vynakládané částky. Skenujte oboustranně 100 stran za minutu Canon představil své zatím nejvýkonnější barevné laserové multifunkční zařízení pro náročné střední a velké pracovní skupiny. Zařízení ir C5185i s podporou tisku, kopírování, faxování a přímého odesílání dokumentů nabízí rychlost tisku až 51 str./min. Tiskové rozlišení dpi zajišťuje čtyřpaprskový laser, ale nejvýraznější inovaci představuje nový duplexní skener, který při jednoprůchodovém snímání dokáže zachytit až 100 oboustranných barevných obrazů za minutu. Model ir C5185i navíc nabízí systém řízení přístupu (AMS Access Management System), který umožňuje správcům nastavit uživatelské profily, jež povolí bez nutnosti instalace složitého software a následné konfigurace. Takto se může připojit na veřejném místě (internetová kavárna, knihovna)a pracovat jako na svém pracovišti pouze pomocí webového prohlížeče. Pokročilou úroveň zabezpečení zajišťuje přihlášení s kombinací generátoru jednorázových hesel tokenu. Spolu se svými partnery vypracoval Skype řadu nových nástrojů týkajících se produktivity společností, zvaných Extras. Patří mezi ně webové konference a služby pro spolupráci Convenos, balíček s názvem Unyte, který umožňuje uživatelům sdílet pohled na pracovní plochu jejich počítače nebo call-centrum pro Skype, které nabízí automatické roztřiďování hovorů. uživatelům přístup pouze ke schváleným funkcím. Tím lze předejít nadbytečnému používání barevného tisku a faxových funkcí či nežádoucímu tisku zabezpečených dokumentů. Zelená řešení stále modernější Podle nezávislé studie začíná třetina podniků při rozhodování o investicích do IT brát v úvahu svou odpovědnost za životní prostředí. Průzkum situace v 950 firmách v celém regionu EMEA zjistil, že třetina (33 %) dotazovaných IT pracovníků s rozhodovací pravomocí počítá při nákupech IT stále častěji s ekologickými hledisky. Podle průzkumu jsou v čele evropských firem země Beneluxu, Finsko a Norsko, kde více než čtvrtina společností (28 %) vyžaduje od dodavatelů IT informace týkající se vlivu jejich produktů na životní prostředí. Naopak nejhůře si v tomto směru počínají rakouské a švýcarské firmy. Celou zprávu najdete na adrese Přírodní čipy přichází Společnost IBM poprvé aplikovala při výrobě konvenčních čipů technologii samočinného sestavení, která vychází z přírodních procesů. Firma využila přírodní proces vytváření struktur, jímž vznikají skořápky škeblí, sněhové vločky nebo zubní sklovina, k vytvoření bilionů děr s izolačním vakuem okolo kilometrů nanometrických vodičů umístěných těsně vedle sebe uvnitř každého počítačového čipu. Vědci v laboratořích IBM prokázali, že v čipech vyrobených touto technikou proudí elektrické signály o 35 % rychleji a přitom čipy spotřebovávají o 35 % méně energie než nejvyspělejší čipy vyrobené běžnými technikami. Celý článek najdete na: Asseco má v LCS majoritní podíl Producent podnikových informačních ERP systémů, společnost LCS International, se stala součástí skupiny Asseco, která se řadí mezi mezinárodní poskytovatele komplexních služeb v oblasti informačních a komunikačních technologií. Společnost Asseco Slovakia získala v LCS 55% podíl. Stávající akcionáři si ponechali ve společnosti LCS minoritní podíl a dále se budou společně podílet na rozvoji skupiny Asseco. Připravila redakce Connect! červen

10 technologie NEPUSŤTE SI HACKERY K TĚLU AUTOR Komplexní pohled na bezpečnostní trendy Zabezpečení informačních systémů se stále vyvíjí a stále přicházejí nové trendy. Jako v každé oblasti lidské činnosti se ujmou jen některé. V článku zmíněné techniky odborníci již delší dobu znají, nicméně teprve nyní zaznamenávají nárůst a začínají se skutečně používat v praxi, navíc s určitými inovacemi. V boxech potom uvádíme prozatím spící technologie. Začneme jedním z nejzákladnějších bezpečnostních mechanismů, kterým je VPN. Technologie stará a hojně používaná, která v poslední době prodělává poměrně zásadní vývoj. Zatímco existence VPN byla dříve něco extra, co si mohly dovolit jen některé společnosti, dnes je to zcela běžná součást firemní infrastruktury. VPN je zkratka odvozená ze slov Virtual Private Network. Na rozdíl od jiných případů, zde doslovný překlad (Virtuální Privátní Síť) poměrně dobře vystihuje význam tohoto pojmu. Jedná se o skutečně virtuální síť, neboť je provozována ve většině případů na fyzickém médiu, které není pod kontrolou provozovatele VPN. Typicky se může jednat například o Frame Rellay linky, které jsou pronajaty od providera. Aby byla data na těchto linkách skutečně zabezpečena a byl vyloučen i odposlech jejich provozovatelem či jinou nepovolanou osobou, která má k datům po cestě přístup, je nutné data šifrovat. Miroslav Ludvík V roce 1996 dokončil ČVUT. Podílel se na zabezpečení zasedání MMF. Ve společnosti RRC EN zastává funkci konzultanta pro oblast bezpečnosti. Druhy VPN U VPN rozeznáváme dva základní typy. Jsou to Site-to-Site a Client-to-Site. Typické použití varianty Client-to-Site je připojování zaměstnanců do firemní sítě přes internet či jiné nedůvěryhodné médium. Na straně uživatele je instalován VPN klient a veškerý provoz je šifrován zcela transparentně, aniž by se o tu uživatel musel nějak starat. Samozřejmostí je i odpovídající zařízení na straně, kam se klient připojuje. Pro tuto chvíli není důležité, zda se jedná o VPN koncentrátor či firewall, který poskytuje možnost VPN. Rozcestník strana Průvodce útoky na síti Ethernet strana Hrozby z hlubin internetu strana Co nabízí moderní kryptografie strana Obrana na perimetru sítě strana Řízení přístupu do sítě s NAC Naproti tomu varianta Site-to-Site slouží například pro bezpečné propojení poboček jedné společnosti. Pokud má organizace pobočky na různých místech a má potřebu tyto pobočky mít on-line propojené, pak se většinou k tomuto propojení používají ATM či FR linky. Využití těchto ne zrovna levných technologií si vynucuje potřeba garance určité kvality služeb, kterou při propojení přes internet z principu není možné zajistit. Z pohledu bezpečnosti se však připojení pomocí FR či ATM a internetu mnoho neliší, proto je nutné nad fyzickým médiem postavit médium virtuální, po kterém se pak komunikuje. Tím virtuálním médiem je již zmíněný šifrovaný tunel. Na obou stranách musí být odpovídající hardwarové i softwarové vybavení na straně hraničních routerů, firewallů či jiných speciálních zařízení strana Rizika Instant Messagingu a P2P komunikace strana Outsourcing bezpečnostního správce 30. strana Co dokáží inteligentní sítě 31. strana Úvaha o přežití bezpečnostních auditů 10 Connect! červen 2007

11 téma Hlavní výhodou tohoto řešení je skutečnost, že pro uživatele je zcela transparentní. Tím se vyloučí nejpravděpodobnější zdroj chyb, kterým je nepochybně lidský faktor. Pokud je tato technologie správně implementována, je vyloučeno, aby data mezi pobočkami putovala v nešifrované podobě. Stejně jako v jiných oblastech i zde existují proprietární i standardizovaná řešení, ale také řešení označovaná jako industry standard. se počítače testují na přítomnost posledních patchů, originální firemní instalaci, přítomnost a nastavení příslušné PFW, poslední verzi antiviru, zda je antivirus aktivní, či jiná nastavení a další podmínky. Pokud tyto podmínky nejsou splněny, je uživatel připojen do speciální oddělené, a pro tento účel vytvořené, části podnikové sítě, kde má možnost instalovat patche, antivir či splnit další podmínky. Pak se připojí znovu, a pokud splňuje veškeré podmínky, je připojen do podnikové sítě x 802.1x je poměrně známý standard a nejedná se o žádnou novinku. O tomto standardu se mezi odbornou veřejností mluví již delší dobu. Pokud si uvědomíme skutečný význam této věty, tak zjistíme, kde je ten Standard 802.1x je výrazným posunem v nárocích na správu a v úrovni zabezpečení. Funguje tak, že switch dříve, než nějakému počítači dovolí vysílat, ověří jeho právo komunikovat v této síti. K tomuto ověření se užívá protokol RADIUS, jenž používá jednu ze dvou metod autentizace. Jedná se o autentizaci jménem a heslem či certifikátem, který může být uložen na čipové kartě či tokenu. Z tohoto popisu je jasné, v čem spočívá posun v bezpečnosti. Domnívám se, že momentální trend bude směřovat k praktické aplikaci standardu 802.1x v kombinaci s tokeny. Uživatel bude mít jeden token, na kterém bude několik různých šifrovacích klíčů a certifikátů. Sice bude náročnější prvotní implementace infrastruktury, ale pro uživatele se vše zjednoduší a zároveň se výrazně Aplikace integrovaných bezpečnostních řešení pro klienty se může ukázat jako chybná VPN novinky Použití VPN je dnes naprostou samozřejmostí. Dříve se používalo pro autentizaci do VPN jméno a heslo, a pokud autentizace proběhla úspěšně, byl uživatel připojen do vnitřní sítě a měl zpravidla přístup ke všem zdrojům. V současné době se začíná používat vícefaktorová autentizace. Asi nejčastější formou autentizace je použití autentizačních předmětů (čipové karty a tokeny), které jsou rozumným kompromisem mezi kvalitní drahou biometrikou a jménem a heslem. Ve většině případů je uživateli umožněna autentizace autentizačním předmětem, který je chráněn heslem nebo jen jménem i heslem. Hlavní rozdíl pak spočívá v tom, že při autentizaci již zmíněným autentizačním předmětem má uživatel plný přístup ke zdrojům stejně, jako kdyby seděl v práci. Pokud se uživatel autentizuje jménem a heslem, tak má pouze omezený přístup k informačním zdrojům organizace. I zde však zůstává výhoda naprosté transparentnosti. Další podstatnou změnou v užívání VPN, která vede k výraznému zvýšení úrovně zabezpečení je skutečnost, že po úspěšné autentizaci není uživatel se svým počítačem automaticky připojen do VPN, ale je jeho počítač komplexně zkontrolován. Předmětem této kontroly můžou být různé parametry. Nejčastěji problém. Spočívá v tom, že se o něm dlouho mluví a v některých velmi specializovaných společnostech se teprve začínají dělat pilotní projekty. Fakt, že % útoků pochází z vnitřní sítě, ví už téměř každý, kdo se touto problematikou jen trochu zabývá. Metod, jak ošálit switch a tím jej donutit, aby útočníkovi posílal pakety, které si přeje, je mnoho a jsou poměrně detailně popsány a známy (ať už se jedná o zahlcení switche, nebo využití nedokonalosti ARP protokolu). Aby se předešlo k připojování nedůvěryhodných počítačů do firemní infrastruktury a zároveň odpadly rutinní úkony, které souvisejí s fixací MAC adresy na port switche, začala se používat technologie VMPS. Tato technologie zařazuje počítače do jednotlivých VLAN na základě předem vytvořeného seznamu. Nároky na administraci jsou menší a navíc tato technologie umožňuje volný pohyb počítače v síti organizace, což logicky není možné při pevné vazbě MAC adresy na port konkrétního switche. zvýší úroveň zabezpečení. Ke zvýšení úrovně zabezpečení přispěje i fakt, že uživatel bude mít jeden token a k němu jeden PIN. To, že na tokenu bude uloženo několik šifrovacích klíčů a certifikátů, uživatel v podstatě vůbec nezaznamená, a tak bude mít certifikát pro přihlášení do adresářových služeb, do pošty, na chráněné weby atd. K tomu na tokenu budou klíče pro PGP, šifrování HDD apod. Ke všemu bude používán jen jeden PIN a můžeme doufat, že uživatelé si svá hesla přestanou zapisovat do notesu mobilu či dokonce na žluté papírky, které lepí na monitor. Honeypot Myšlenka honeypots (medových hrníčků) rozhodně také není otázkou posledních měsíců. Stejně jako mnoho jiných myšlenek, i tato se začíná v praxi ujímat nyní, přestože ji odborníci znají již delší dobu. Tato myšlenka je založena na tom, že správce vytvoří systémy, které nemají řádné zabezpečení a pozorně sleduje dění na těchto systémech. inzerce MOBILITA PRO VAŠE DATA Automatická identifikace čárovými kódy i RFID WMS Accellos řízené sklady Evidence majetku Mobilní aplikace Řízení výroby a dosledovatelnost KODYS, spol. s r. o. Hošťálkova 7/520, Praha

12 téma Již v této fázi je nutné udělat první koncepční rozhodnutí. Pokud útoků na naši organizaci je dost a chceme monitorovat pouze reálné útoky, průzkumy či nové viry, vytvoříme produkční honeypot. Tento typ honeypotu se vyznačuje tím, že není veden v DNS, nevedou na něj žádné hyperlinky ani jiné odkazy. Jeho hlavní výhodou je naprosto nulové množství falešných poplachů. Pokud totiž vyjdeme z myšlenky, že systém, který neposkytuje žádné služby a nemá žádnou produkční hodnotu, nemá existovat, dojdeme logicky k závěru, že každou komunikaci s produkčním honeypotem lze chápat jako útok. Pokud však chceme studovat nové metody útočníků, virů atd., pak zvolíme studijní honeypot. Tento typ je v některých oblastech přesným protikladem produkčního honeypotu. U tohoto typu honeypotu volíme lákavé DNS jméno např. fw.firma. cz, firewall.firma.cz, mail.firma.cz apod. Ve vnitřní síti se pak použijí jména typu vyplaty, personalni atd. Takto zvoleným jménem si zajistíme dostatek materiálu pro další studium potenciálního nepřítele. Honeypots jsou systémy, které mají za úkol činit dojem, že nejsou řádně zabezpečeny a že jsou na nich zajímavá data nebo že jejich kompromitací získá útočník strategický přístup. Ve skutečnosti na těchto strojích nejsou žádná důležitá data, nebo se jedná o data záměrně změněná. Nyní je třeba si ještě říci, proč se tzv. honeypots vlastně dělají a jaké jsou jejich cíle, což se dá shrnout do několika bodů: Chceme studovat nové metody útoků, chování útočníků, virů, červů atd. Máme podezření na to, že se nás někdo snaží kompromitovat a chceme ho zjistit a mít dostatečně jasné důkazy. Kdo si hraje, nezlobí útočník, který se zabývá našimi nastraženými systémy, nemá čas hledat ty skutečné a útočit na ně. Jedná se vlastně o jakési odpoutání pozornosti útočníka. Ve skutečnosti na těchto strojích nejsou žádná důležitá data, nebo se jedná o data záměrně změněná. Honeypot je možné realizovat pomocí virtuálního stroje (UML, Wine, Wmware), který běží na dobře zabezpečeném systému, který zároveň loguje chování útočníka. Další možností je, že útočníkovi Pokud má být nasazení karet či tokenů úspěšné, musí autentizační předmět pokrývat více oblastí podstrčíme skutečně nezabezpečený systém, a veškerou síťovou komunikaci budeme monitorovat a vyhodnocovat. Asi nejpoužívanější možností jak realizovat honeypot jsou specializované SW, které simulují např. router Cisco, některý z webserverů či např. OpenRelay server. Honeypoty dělíme dále do dvou základních skupin. Jsou to tzv Low-interaction a High-interaction. Zatímco Low-interaction poskytují často pouze přihlašovací okno, či se jen tváří jako nějaká služba, a neumožňují sledovat chování útočníka po proniknutí do systému, High-interaction dávají útočníkovi k dispozici nejen službu či její část, ale celý stroj včetně operačního systému. Nevýhodou Low-interaction honeypots je skutečnost, že se dozvíme výrazně méně informací než u High-interaction, neboť tam je možné sledovat i to, co útočník dělá, jak se snaží za sebou zametat stopy atd. Low-interaction honeypots mají tu podstatnou výhodu ve zpracování nasbíraných údajů, neboť to je obvykle podstatně jednodušší. To je způsobeno tím, že sw honeyd a další podobně založené sw ukládají chování útočníka do jednoduchých textových souborů, kdežto u High-interaction honeypots je nutné použít prostředky typu tcpdump, a vyhodnocení činnosti útočníka je samozřejmě o mnoho náročnější. Personal Firewall (PWF) Nejrozšířenější OS na desktopech jsou MS Windows a i přes možnost aktualizace pomocí služby Windows Update zůstává mnoho počítačů bez potřebných a často kritických aktualizací. Problém je v tom, že uvnitř firmy je notebook chráněn firewallem, ale když se uživatel připojí pomocí mobilního telefonu či jiného nedůvěryhodného kanálu, je počítač vystaven do internetu a to i se všemi případnými chybami. Vezměme si jako příklad z poslední doby závažnou chybu v SSL, která umožňovala útočníkovi získat administrátorský shell. Tato chyba samozřejmě existovala již dříve. Jak dlouho o ní někteří lidé věděli, můžeme jen spekulovat. Personal firewall slouží mimo jiné k tomu, že řídí a zaznamenává veškerý síťový provoz. Některé personal firewally mají též tzv. Systémový modul, který řídí lokální procesy. Tímto modulem je možné eliminovat, aby jeden program spustil jiný bez vědomí uživatele, což je princip, na kterém je založena většina červů. Pokud má uživatel správně nastavena pravidla pro komunikaci, tak se bezpečí dat uložených na jeho počítači výrazně posouvá tím správným směrem. V ideálním případě by měly být personální firewally instalovány a řádně konfigurovány na všech PC s OS od Microsoftu. Je totiž velmi důležité si uvědomit, že % útoků pochází z vnitřní sítě. Podstatná je možnost centrální konfigurace všech firemních PFW nebo jejich skupin, které si administrátor definuje. Shrnutí trendů Odpovědní lidé si uvědomili, že osobní firewall je v dnešní době nutnost. Tím se trh výrazně zvětšuje a firmy vyvíjející tyto SecureARP (SARP) Slabiny ARP protokolu jsou známé a bohužel hojně zneužívané. Asi nejčastěji zneužívanou slabinou je jednoduchá možnost zahlcení switche generováním velkého množství nesmyslných ARP paketů. Switch se pak začne chovat jako hub a útočníkovi již nic nebrání v odposlechu veškeré komunikace, která často probíhá nešifrovaně. Útočník pak může odposlechnout například hesla na vnitřní i vnější FTP, WWW servery či hesla do různých aplikací, kde se nepoužívá šifrovaná autentizace. Takových je bohužel stále velké množství. Tato metoda je velmi jednoduchá a není příliš sofistikovaná. Druhá nejvíce zneužívaná metoda je výrazně sofistikovanější a také účinnější. Tato metoda neútočí na switch, ale na koncové stanice. Její využití sice klade o něco vyšší nároky na technické dovednosti, ale má tu podstatnou výhodu, že útočník si vybere dva body v síti (typicky nějaký server a PC jednoho uživatele, jehož data chce získat) a pomocí slabiny v ARP protokolu zařídí, že veškerý provoz mezi vybranými dvěma body jde přes jeho počítač a on si data ukládá a později je analyzuje a zneužije. Tato metoda je založena na faktu, že koncová stanice si uloží ARP záznam i v případě, že si ho nevyžádala. Útočník tedy posílá falešné ARP záznamy na obě stanice, pak stanice posílají data jemu místo legitimnímu partnerovi komunikace. Útočník pak jen zařídí na svém počítači přeposílání těchto paketů na správný cíl, aby se komunikace nepřerušila. Přesto, že to na první pohled vypadá složitě, je to velmi jednoduché, zvláště přihlédneme-li k faktu, že existují step-by-step návody. SARP je návrh protokolu, který si klade za cíl nahradit ARP a odstranit některé jeho neduhy. Draft je možné si prohlédnout na adrese 12 Connect! červen 2007