dostupným datům k datům, ochrana a zabezpečen ení datových i k volně dostupným datům, 2. Zabezpečen

Transkript

1 Aplikovaná informatika Ochrana přístupu k volně dostupným datům, zabezpečený vzdálený přístup k datům, ochrana a zabezpečení datových úložišť. ZEMÁNEK, Z. PLUSKAL,D. SMETANA, B. Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky amanagementu Registrační číslo projektu: CZ.1.07/2.2.00/

2 Ochrana přístupu p k volně dostupným datům, zabezpečený ený vzdálený přístup p k datům, ochrana a zabezpečen ení datových úložišť. i 1. Metody přístupu p k volně dostupným datům 2. Zabezpečen ení vzdálen leného přístupu p k datům 3. Datová úložiště a jejich ochrana 4. Kontrolní otázky a úkoly do samostudia

3 Cíle přednášky 1. Předat studentům m základnz kladní informace o metodách přístupu p k volně dostupným datům. 2. Objasnit význam zabezpez abezpečení vzdálen leného přístupu k datům. 3. Charakterizovat datová úložiště a jejich ochranu.

4 Metody přístupu p k volně dostupným datům Už jak více 150 milionů uživatelů na Internetu. Viry jsou stále největší nebezpečí -ale změnily svůj charakter: dříve mazaly soubory, šířily se hlavně na disketách, dnes se snaží co nejvíce rozší šířit po sítíchs ch, využívají poštu a bezpečnostní chyby v softwaru (např. vir Sobig.F, není destruktivní, nemění data, ale může zahltit servery svými kopiemi, velká rychlost šíření). Rok Fred. Cohen na Pensylvánské univerzitě použil kód, který se dokázal sám zničit -označil jej termínem virus. [1]

5 Metody přístupu p k volně dostupným datům Zabezpečen ení vzdálen leného přístupu p k datům VPN - (Virtual Private Network) Název pro skupinu technologií, resp. protokolů, pro realizaci privátních datových přenosů VPN slouží jak pro: připojení vzdáleného klienta do LAN, propojení více LAN mezi sebou. VPN spojuje 2 body a bezpečně přenáší šifrovaná data, je třeba k provozu takové sítě vlastnit potřebné autentizační prostředky (digitální podpis). Cíl: zabránit změnám při přenosu - nemožnost odposlechu dat. [2]

6 Metody přístupu p k volně dostupným datům VPN - zabezpečen ení vzdálen leného přístupu p k datům připojení vzdáleného klienta do LAN Připojení VPN pro vzdálený přístup umožňují uživatelům, kteří pracují doma nebo na cestách, pracovat se serverem v privátní síti pomocí infrastruktury veřejné sítě, například Internetu. Z pohledu uživatele lze VPN chápat jako propojení mezi dvěma body, tedy mezi počítačem (klientem VPN) a serverem organizace. Přesná infrastruktura sdílené nebo veřejné sítě není podstatná, protože logicky to vypadá, jako by data byla odesílána přes vyhrazenou privátní linku. [2]

7 Metody přístupu p k volně dostupným datům VPN - zabezpečen ení vzdálen leného přístupu p k datům propojení více LAN mezi sebou Připojení VPN mezi sítěmis (označované také jako připojení VPN mezi směrovači) umožňuje organizacím směrovat připojení mezi odloučenými pracovišti nebo jinými organizacemi přes veřejnou síť při zachování zabezpečené komunikace. Připojení VPN směrované přes Internet funguje logicky jako vyhrazená linka rozlehlé sítě WAN. Také VPN může propojovat dvě části privátn tní sítě. Server VPN poskytuje směrované připojení k síti, ve které se tento server VPN nachází. [2]

8 Metody přístupu p k volně dostupným datům Obr. Slabá místa na cestě ke koncovému uzlu [1] Slabá místa na cestě ke koncovému uzlu = Množství mezilehlých uzlů = Mohou být zavirované nebo jinak zkompromitované Přenosová média = Možnost odposlechu Hrozby = Odposlech komunikace a sniffing hesel = Veřejná wi-fi Ochrana = Šifrované spojení (HTTPS) = Šifrovaný přenos (SSL) vs certifikát [1]

9 Metody přístupu p k volně dostupným datům HTTP komunikace HTTP (Hypertext Transfer Protocol) je internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML. Používá obvykle port TCP/80, verze 1.1 protokolu je definována v RFC Tento protokol je spolu s elektronickou poštou tím nejvíce používaným a zasloužil se o obrovský rozmach Internetu v posledních letech. V současné době je používán i pro přenos dalších informací. Pomocí rozšíření MIME umí přenášet jakýkoli soubor (podobně jako ), používá se společně formátem XML pro tzv. webové služby (spouštění vzdálených aplikací) a pomocí aplikačních bran zpřístupňuje i další protokoly, jako je např. FTP nebo SMTP.

10 Metody přístupu p k volně dostupným datům HTTP komunikace Standardně není HTTP požadavek ani odpověď serveru nijak šifrovaná To se týká: Uživatelských jmen a hesel Osobních údajů, které vkládáte do formulářů: Adresa. Datum narození. Rodné číslo. Pokud má někdo přístup k síťové infrastruktuře, kudy data procházejí, může je odposlouchávat vat. To se týká i hackerů, kteří se dostali k přepínačům, směrovačům apod. po cestě

11 Metody přístupu p k volně dostupným datům HTTP komunikace Start/spustit/cmd Telnet 80 GET / [enter] [enter] GET je v informatice jedna z dotazovacích metod HTTP protokolu, kterou webový prohlížeč (klient) získává webovou stránku (nebo jiný objekt například obrázek) z webového serveru.

12 Metody přístupu p k volně dostupným datům HTTP komunikace GET / HTTP/1.0 Požadavek Connection: Keep-Alive User-Agent: Mozilla/4.7 [en] (X11; U; FreeBSD 3.4-STABLE i386) Host: Hlavičky Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Encoding: gzip Accept-Language: en Accept-Charset: iso ,*,utf-8 (blank line) Prázdný řádek

13 Metody přístupu p k volně dostupným datům HTTP komunikace HTTP používá jako některé další aplikace tzv. jednotný lokátor prostředků (URL, Uniform Resource Locator), který specifikuje jednoznačné umístění nějakého zdroje v Internetu. Samotný protokol HTTP neumožňuje šifrování ani zabezpečení integrity dat. Pro zabezpečení HTTP se často používá TLS spojení nad TCP. Toto použití je označováno jako HTTPS.

14 Metody přístupu p k volně dostupným datům HTTPS komunikace HTTPS (Hypertext Transfer Protocol Secure) je v informatice nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi webovým prohlížečem a webovým serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. HTTPS používá protokol HTTP, přičemž přenášená data jsou šifrována pomocí SSL nebo TLS a standardní port na straně serveru je 443. Základy pro dnešní podobu HTTPS sahají do 90. let minulého století. Tehdy společnost Netscape Communications přišla s první verzí protokolu SSL, který vytvořila pro svůj webový prohlížeč. Tento protokol pak umožnil aplikačním protokolům možnost šifrovaného přenosu informací a ověření identity.

15 Metody přístupu p k volně dostupným datům HTTPS komunikace HTTPS = HTTP + SSL HTTPS komunikace je zabezpečena protokolem SSL/TLS. SSL/TLS zajišťuje: Důvěrnost přenp enášených dat. Data jsou symetricky šifrována. Integritu přenp enášených dat. Data jsou zabezpečena pomocí MAC (Message Authentication Code). Autentizaci. Defaultně je povinná autentizace serveru.

16 Zabezpečen ení vzdálen leného přístupu p k datům Průběh SSL/TLS

17 Zabezpečen ení vzdálen leného přístupu p k datům SSL/TLS Protokol Transport Layer Security (TLS) a jeho předchůdce Secure Sockets Layer (SSL) jsou kryptografické protokoly, poskytující možnost zabezpečen ené komunikace na Internetu pro služby jako WWW, elektronická pošta, internetový fax a další datové přenosy. Mezi protokoly SSL 3.0 a TLS 1.0 jsou drobné rozdíly ly, ale v zásadě jsou stejné. SSL/TLS protokoly zajišťují bezpečnost při webových transakcích, ale rozhodně nejsou jediným řešením poskytujícím ochranu při internetovém provozu. Architektura internetu obsahuje různé protokoly a každý z těchto protokolů může být chráněný jiným principem ochrany.

18 Zabezpečen ení vzdálen leného přístupu p k datům Autentizace v HTTPS Standardně je povinná autentizace serveru, tj. když se klient (např. webový prohlížeč) připojuje k (webovému) serveru má jistotu, že se připojil ke správnému serveru. To je důležité při zadávání hesel, čísel platebních karet Nebezpečný Phishing

19 Zabezpečen ení vzdálen leného přístupu p k datům Autentizace v HTTPS Server posílá certifikát serveru. Certifikát uvádí jméno serveru a veřejný ejný klíč serveru. Protokol SSL/TLS dále ověří, zda server má k dispozici soukromý klíč odpovídající certifikovanému veřejn ejnému klíči. Data se šifrují veřejným klíčem serveru, jen správný server bude umět dešifrovat.

20 Zabezpečen ení vzdálen leného přístupu p k datům Autentizace v HTTPS Certifikát serveru je podepsán vydávající certifikační autoritou (CA). Tato podepisující CA musí být považována za důvěryhodnou. A její certifikát musí mít uložen v seznamu důvěryhodných CA

21 Zabezpečen ení vzdálen leného přístupu p k datům Autentizace v HTTPS Seznamy jsou uloženy v prohlížečích (IE bere seznam z OS). Iniciálně jsou tam i desítky CA o kterých jste nikdy neslyšeli Tyto seznamy můžete konfigurovat. Těm všem automaticky důvěřujete.

22 Zabezpečen ení vzdálen leného přístupu p k datům EV certifikát t podepsán n důvěryhodnou d CA EV (extended validation) certifikát má vyšší míru důvěry ve shodu vlastníka domény s webovým serverem. Technicky ten stejný X.509 (s drobnou poznámkou), ale CA si žadatele o EV certifikát více proklepne. Pokud certifikát není podepsán důvěryhodnou CA, nemusí to automaticky znamenat špatnou stránku nku. Naopak certifikát podepsaný důvěryhodnou CA nemusí znamenat, že na webové stránce nemůž ůže e být nějaký n malware. Jednoduché řešení/návody pro uživatele u neexistují.

23 Vzdálen lená datová úložiště a jejich ochrana Možnosti sdílen lení velkých souborů Ruku v ruce se stoupající rychlostí a kvalitou internetového připojení roste i velikost průměrného dokumentu. Využívání světové sítě tak tvoří i problematika sdílení velkých souborů. Fotografie z dovolené můžete v omezené míře poslat přátelům na , na velký objem dat je však elektronická pošta poměrně nevhodná. Povětšinou jste totiž omezeni nastavenou nedostatečnou velikostí přílohy a charakterem práce s poštovní schránkou. Nejpohodlnější cestou je tak anonymní sdílení dat pomocí webových úložišť. [4]

24 Vzdálen lená datová úložiště a jejich ochrana Možnosti sdílen lení velkých souborů ze vzdálených úložišť Služba Ulož.to spustila společnost Nodus Technologies. Podmínky: Zcela zdarma nabízí luxusní kapacitu až 800MB bez nutnosti registrace. Pokud se ale zaregistrujete, získáte přehled nad všemi vámi nahranými soubory. Prioritou je ochrana uložených dat. [5] [4]

25 Vzdálen lená datová úložiště a jejich ochrana Možnosti sdílen lení velkých souborů ze vzdálených úložišť Služba Ulož.to spustila společnost Nodus Technologies. Podmínky: Poskytovatel neomezuje maximální velikost souboru ani konektivitu, rychlost nahrávání a stahování je tak vzhledem k připojení rovnou do páteřní sítě omezena především vaším poskytovatelem internetového připojenp ipojení. Soubor vydrží v úschovně tak dlouho, jak často si jej budou uživatelé stahovat. Pokud si jej nikdo nestáhne po dobu jednoho měsícem ce, přijdete o něj. [4]

26 Místní datová úložiště a jejich ochrana Možnosti sdílen lení velkých souborů NAS (anglicky Network Attached Storage datové úložiště na síti ) je v informatice označení pro datové úložiště připojené k místnm stní síti LAN. Data toho úložiště mohou být poskytována různým uživatelům. NAS nemusí mít pouze funkci souborového serveru, ale může mít i jiné specializované funkce. Většinou obsahuje nějaký vestavěný počíta tač, který má za úkol sdílení dat a podporu protokolů. [6] Např. NAS server pro až čtyři 3.5/2.5" SATA disky s maximální kapacitou na disky 4 TB, 1.6 GHz procesor, RAM 512 MB DDR3, 1x GLAN, 2x USB 2.0, Web, Print, FTP, Backup, itunes server. [6]

27 Místní datová úložiště a jejich ochrana Možnosti sdílen lení velkých souborů NAS zařízení si získala popularitu od roku 2010, když začala být používána pro sdílení dat mezi několika počítači. V porovnání mezi jinými síťovými úložišti jsou NASy rychlejší, mají lehčí administraci a snadnější nastavení. NAS obsahuje jeden a více pevných disků, které se můžou slučovat do větších datových struktur nebo můžou vytvořit RAID pole. RAID (anglicky Redundant Array of Inexpensive/Independent Disks vícenásobné diskové pole laciných/nezávislých disků) je v informatice metoda zabezpečení dat proti selhání pevného disku. Např. NAS server vhodný pro rozvíjející se podniky s možností osazení až 5x 3.5/2.5" SATA disků s maximální kapacitou na jeden disk 4 TB, maximálně tedy 20TB úložného prostoru. [6]

28 Přístup k volně dostupným datům Je nutné si vždy v uvědomit: 1. Síť Internetu je anonymní prostředí (ten s kým komunikujete, nemusí být ten, za koho se vydává - vznikají alternativní identity). 2. Informace, ke kterým máte přístup nemusí být věrohodné, možno narazit i na dezinformace a to nejen z hlediska zastarání. 3. Na webových stránkách nejste anonymní, jsou zde identifikační mechanismy přes IP adresy jednotlivých uzlů je možné sledovat pohyb Internetem, ale také odchytávat přenášená data komunikaci. 4. Poskytovatelé mají povinnost uchovávat určitá data o činnosti svých uživatelů, v případě soudního požadavku je mohou poskytnout. 5. Také zaměstnavatelé monitorují příjemce a odesilatele požadavků. [1]

29 Úkoly pro samostatnou práci Předat studentům m základnz kladní informace o metodách přístupu p k volně dostupným datům. Objasnit význam zabezpez abezpečení vzdálen leného přístupu k datům. Charakterizovat datová úložiště a jejich ochranu.

30 Zdroje - doplňující studijní literatura: 1. KÁBRT, Filip. Bezpečnost na Internetu [online]. [cit ]. Studijní materiály MFF UK. Dostupné z: 2. Co je VPN? [online] Microsoft. [cit ]. Dostupné z: 3. ČEKAN, Lukáš. Podniková informatika - přednáška [online] [cit ]. Studijní materiály z FEI UPCE, obor Informační technologie. Dostupné z: 4. Přehled českých webových služeb pro snadné sdílení dat. [online] [cit ]. Dostupné z: ceskych-webovych-sluzeb-pro-snadne-sdileni-dat/sc-3-a /default.aspx 5. Jak stahovat z ulozto.cz ZADARMO!! [online] [cit ]. Dostupné z: 6. Chytrá datová úložiště (NAS) [online] [cit ]. Dostupné z: