Komplexní zabezpečení PC

Transkript

1 Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod Komplexní zabezpečení PC Bakalářská práce Autor: Martin Šašek Informační technologie, správce informačních systémů Vedoucí práce: Ing. Vladimír Beneš, Ph.D. Praha Červen, 2014

2 Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu jsem uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze, dne 30. června 2014 Martin Šašek

3 Poděkování: Rád bych poděkoval panu Ing. Vladimíru Benešovi, Ph.D., vedoucímu bakalářské práce, za odborné vedení práce a cenné rady, které mi pomohly tuto práci zpracovat.

4 Anotace Cílem této práce je analýza moţnosti komplexního zabezpečení osobního počítače s důrazem na maximální moţnou ochranu dat. V této práci jsou rozebrána základní témata ochrany, jako jsou především fyzická a personální bezpečnost, zabezpečení samotného operačního systému Microsoft Windows v souvislosti s potenciálními hrozbami, analýza moţnosti zabezpečení počítačové sítě a v neposlední řadě je zde navrţena optimální konfigurace zabezpečení osobního počítače s ohledem na jeho umístění v počítačové síti, nastavení OS a instalaci základních bezpečnostních aplikací. Klíčová slova: fyzická a personální bezpečnost, škodlivý program, neoprávněný uţivatel, antivirový systém, firewall Anotation The goal of this thesis is to analyze the possibilities of comprehensive security of personal computer, especially maximal potential data protection. This thesis discusses basic topics of protection, like physical and personnel security, security of operational system Microsoft Windows itself in context of potential threats, possible securing of computer network and, last but not least, an optimal security configuration of a personal computer in context of its placement in computer network, OS settings and installation of basic security applications. Key words: physical and personnel security, malware, unauthorized user, antivirus system, firewall

5 ÚVOD FYZICKÁ A PERSONÁLNÍ BEZPEČNOST Fyzická bezpečnost Ochrana počítačového systému před neoprávněným přístupem Zabezpečení na fyzické úrovni Realizace fyzického zabezpečení počítačových systémů Doporučení fyzického zabezpečení počítačového systému Personální bezpečnost Cíle personální bezpečnosti Základní prvky personální bezpečnosti Screening Smlouvy Srozumění s bezpečnostní politikou Vzdělávání Monitorování Ukončení pracovního poměru Shrnutí otázky personální bezpečnosti ZABEZPEČENÍ OPERAČNÍHO SYSTÉMU MICROSOFT WINDOWS Hrozby v zabezpečení osobních počítačů Škodlivý software Počítačový virus Červ Trojský kůň Spyware Adware Běţné typy útoků Možnosti zabezpečení samotného operačního systému Microsoft Windows Přihlášení k systému Účet Microsoft Místní účet Nastavení moţnosti přihlášení Doporučené postupy pro práci s přístupovými hesly Jedinečné heslo Sloţitost hesla

6 Nastavení hesel ve Windows Správa účtů Uţivatelské skupiny Zabezpečení rodiny Filtrování webů Protokolování aktivity Omezení času Doba zákazu pouţívání Omezení aplikací Aplikace a síťová bezpečnost Digitální podpisy Řízení uţivatelských účtů (UAC) SmartScreen Windows Defender Windows Firewall Ochrana souborů Oprávnění Šifrování Aktualizace Aktualizace operačního systému Windows Obecné možnosti softwarového zabezpečení třetích stran proti nežádoucí infiltraci počítačového systému s platformou Microsoft Windows Antivirové systémy Obecně o kvalitě antivirových systémů Analýza kvality dostupných antivirových systémů Softwarové firewally Analýza kvality dostupných softwarových firewallů AKTIVNÍ PRVKY V MALÉ POČÍTAČOVÉ SÍTI Firewally Vlastnosti firewallů Firewally ve směrovačích Hardwarové firewally Hardwarové firewally niţší kategorie Hardwarové firewally vyšší kategorie Serverové firewally Bezpečnostní brány

7 3.3. Proxy servery Transparentní proxy servery a bezpečnostní léčky Reverzní proxy servery NÁVRH OPTIMÁLNÍ KONFIGURACE ZABEZPEČENÍ Bezpečná počítačová síť Síťové zóny Shrnutí bezpečnosti sítě Konfigurace operačního systému Microsoft Windows Instalace bezpečnostních aplikací třetích stran Instalace Kaspersky Internet security multi device Instalace Comodo Firewall ZÁVĚR BIBLIOGRAFIE SEZNAM OBRÁZKŮ, TABULEK A GRAFŮ SEZNAM ZKRATEK

8 Úvod V současné době je uţ jen těţko představitelné, ţe na raném počátku rozvoje počítačové techniky téměř neexistovaly ţádné počítačové viry a jim podobné bezpečnostní hrozby. Uţivatele tenkrát jistě nezajímalo, ţe jejich počítače mohou být napadeny s úmyslem poškodit či zneuţít data. Naproti tomu, v dnešní době jiţ drtivá většina uţivatelů je s přítomností počítačových virů a různých jiných druhů škodlivých programů obeznámena, ale přesto mnohdy taková rizika zásadním způsobem podceňují. Ve většině případů začnou tento problém řešit, aţ kdyţ uţ je příliš pozdě a dojde k ohroţení jejich dat nebo je jejich operační systém nějakým způsobem infiltrován. Tato práce je proto zaměřena na moţnosti zabezpečení počítačových systémů a sítí s důrazem na maximální moţnou ochranu dat v souvislosti s nejpouţívanější počítačovou platformou Microsoft Windows. První kapitola této práce se stručně zaobírá moţnostmi zabezpečení organizací a to zejména z pohledu fyzické a personální bezpečnosti. Popisuji zde základní stavební kameny zabezpečení firemních aktiv proti jejich napadení a to hlavně s úmyslem tyto citlivá aktiva poškodit nebo zneuţít za účelem získání konkurenčních výhod. V druhé kapitole se zaměřuji na identifikaci moţných bezpečnostních hrozeb a na moţné způsoby obrany proti nim. Následně je zde analyzován dostupný bezpečnostní software a to za pomoci v této oblasti renomovaných organizací s důrazem na výběr nejspolehlivějších produktů. Další část práce je věnována především moţnostem zabezpečení počítačových sítí. Jsou zde analyzovány schopnosti jednotlivých konfigurovatelných aktivních prvků sítě a to zejména hardwarových firewallů. V závěrečné části práce konkrétně popisuji optimální zabezpečení počítačového systému s důrazem na zabezpečení sítě a konfiguraci operačního systému Microsoft Windows 8, a to především na ochranu tohoto systému proti zneuţití neoprávněnou osobou. Na úplný závěr jsem vybral, dle mého názoru, ty nejlepší na trhu dostupné bezpečnostní aplikace a stručně zde popisuji jejich hlavní přednosti. Zvolená metoda zpracování Sepsání této práce předcházela důkladná analýza oblasti zabezpečení počítačových systémů. Následně jsem zde rozebral nejdůleţitější otázky moţnosti zabezpečení počítače a navrhl optimální konfiguraci ochrany před neţádoucí infiltrací neoprávněnými uţivateli. 8

9 1. Fyzická a personální bezpečnost V současné době, v souvislosti s implementací informačních systémů (IS) do podnikových prostředí, se stále častěji setkáváme s potřebou ochrany firemních aktiv. Nezřídka kdy dochází k napadání informačních systémů podniku kybernetickými zločinci a zcizená data či informace, to nejcennější z aktiv společnosti, bývají zneuţívána pro získání konkurenční výhody na trhu. Proto je nutné taková aktiva proti napadení neoprávněnými uţivateli chránit a společně s tímto trendem se v praxi setkáváme s důleţitými pojmy, jako jsou například počítačová bezpečnost, informační bezpečnost, bezpečnost sítí a datová bezpečnost. Z těchto pojmů je nejobsáhlejším termínem informační bezpečnost a to zejména proto, ţe kromě počítačové bezpečnosti také zahrnuje další jiné druhy ochrany informací, jakými jsou bezpečnost fyzická a personální. V této souvislosti personální bezpečnost (Personnel Security) zajišťuje, aby osobám, které s citlivými informacemi manipulují, byla jasně stanovena určitá pravidla. Dále aby byli tito uţivatelé pravidelně školeni z dodrţování daných zásad při ochraně takovýchto informací a v neposlední řadě, aby byla prověřována a kontrolována spolehlivost a důvěryhodnost odpovědných pracovníků společnosti. Oproti tomu si bezpečnost fyzická klade za svůj hlavní cíl zamezení neautorizovanému přístupu k fyzickým nosičům informací a informačním systémům, které tyto chráněná data zpracovávají. Mezi dílčí aspekty fyzické bezpečnosti však patří také různá opatření k minimalizaci rizik spojených s ţivelnými pohromami a jinými neočekávanými událostmi. Physical Security, termín převzatý z anglického jazyka, který bývá v profesionální praxi označením pro fyzickou bezpečnost, zahrnuje zejména různá reţimová opatření, kontroly vstupu, instalace poţárních hlásičů a elektronických bezpečnostních systémů Fyzická bezpečnost Pojem fyzická bezpečnost je často opomíjenou součástí zabezpečení informačních systémů [1]. Zpravidla bývá do značné míry přehlíţena s ohledem na přílišnou fixaci na běţné prvky zabezpečení informačních systémů, jako jsou zejména jeho ochrana před počítačovými viry a dalším škodlivým softwarem nebo zabezpečení systému vyuţitím sloţitých hesel či uţití autentizačních prostředků pro identifikaci oprávněných uţivatelů. V návaznosti na tuto skutečnost se tak fyzická bezpečnost uvaţovaného informačního systému dostává do ústraní. U počítačových serverů je jiţ v dnešní době vcelku běţná jejich ochrana uloţením v oddělených prostorech (z důvodu například chlazení nebo zajištění ochrany daného prvku 9

10 síťové infrastruktury), u běţných pracovních stanic IS je jejich fyzická ochrana ve většině hudbou budoucnosti. Hlavním ze základních hledisek fyzické bezpečnosti IS je jeho dostupnost poţadovanému mnoţství uţivatelů. Zatímco v domácím prostředí je ochrana osobního počítače vcelku jednoduchou záleţitostí, která se týká jen členů rodiny, popřípadě několika přátel (přístupová hesla nebývají zpravidla pouţívána), ve firemním prostředí by se zabezpečení pracovní stanice mělo diametrálně lišit. Hesla k uţivatelským účtům systému jsou jiţ dnes běţně zavedenou praxí a sloţitost hesel bývá zpravidla jasně definována, stejně tak jako periodicita jejich obměny. Z tohoto by se na první pohled dalo usoudit, ţe firemní IS jsou mnohem lépe zabezpečeny neţ zmiňované domácí počítače, avšak to nemusí být zdaleka pravdivý výrok s ohledem na nedostatečné fyzické zabezpečení takového IS Ochrana počítačového systému před neoprávněným přístupem Bezpečnost počítačového systému, ať jiţ se jedná o osobní počítač nebo server, je závislá na určitých faktorech, které korespondují s primárními oddíly zabezpečení uvaţovaného systému. Dříve neţ řešení samotného zabezpečení, je nezbytně nutné provést analýzu rizik pro konkrétní systém. Je zřejmé, ţe server s chráněnými daty společnosti je pro potenciálního útočníka daleko lákavějším cílem neţ osobní počítač řadového uţivatele, coţ mnoha případech skutečně neplatí a rozhodně to neznamená, ţe selektivně zabezpečíme několik kritických systémů a zbytek nikoliv. V tomto případě zpravidla dochází k jevu řetěz je tak pevný, jak pevný je jeho nejslabší článek a zranitelný prvek v mnoha případech znamená vstupenku do podnikové sítě a i malá chyba v nastavení sítě poté přístup do dalších IT systémů apod. V běţné praxi se tedy vţdy musíme potýkat se všemi moţnými aspekty oblasti zabezpečení. Bez ohledu na uvaţovaný počítačový systém, lze tedy nastavit různé prvky ochrany na poţadované úrovně v souladu s mírou pravděpodobnosti fyzického ohroţení takového systému Zabezpečení na fyzické úrovni Předmětem takového bezpečnostního prvku je znemoţnění přístupu nepovolaným osobám k jednotlivým prvkům infrastruktury IT a to zejména na pracoviště administrátorů IS, do serveroven, datových skladů apod. Tímto lze téměř vyloučit odcizení aktiv, které přímo nebo nepřímo souvisí s informačním systémem, popřípadě znemoţnit poškození hmotného a nehmotného vybavení či prostor a v tom nejpodstatnějším případě zamezit úniku informací 10

11 a dat. Takto popsané fyzické zabezpečení však nelze chápat pouze jako znemoţnění přístupu neautorizovaným osobám do prostor, které obsahují prvky informačního systému, ale je také třeba na něj pohlíţet jako na kompletní fyzické zabezpečení HW a SW komponent infrastruktury IT. Je tedy nezbytné přesunout servery a takové prvky IS, které nevyţadují neustálou interaktivní práci s uţivateli do uzamčených prostor s omezeným pohybem oprávněných zaměstnanců firmy, ale i v tomto případě zabezpečení se důrazně doporučuje umístit servery a další důleţitá aktiva IS do uzamykatelných racků. Tyto zabezpečené prostory v neposlední řadě také umoţňují efektivnější způsoby chlazení, případně záloţní napájení systémů externími zdroji pro případ přerušení dodávky elektrické energie. Ve výčtu předešlého by tedy měl být vedením organizace jasně stanoven seznam osob, které jsou oprávněny ke vstupu do těchto reţimových prostor Realizace fyzického zabezpečení počítačových systémů Cílem tohoto způsobu zabezpečení je tedy zamezení neoprávněného přístupu do prostor, ve kterých jsou situovány prvky IS a IT infrastruktury. Náleţí sem především omezení či absolutní zamezení přístupu osobám do místností s prvky informačního systému. Těmito místnostmi chápeme především: kanceláře, datové sklady a serverovny, technické prostory s rozvody síťové konektivity a s rozvody energií. Přístup k výpočetní technice, která je umístěna v kancelářských prostorách, je povolen pouze pracovníkům, kteří mají v dané místnosti dislokované své pracoviště. Přístup do serveroven a dalších prostor se zvláštním určením pro umístění prvků informačního systému by měl podléhat vysokému stupni zabezpečení. Přístup do takovýchto místností bývá povolen pouze oprávněným osobám. Další omezení bývají vztaţena na zaměstnance údrţby, popřípadě úklidových sluţeb a ostatního nekvalifikovaného personálu. Omezení je moţno chápat jako znemoţnění samotného vstupu do kritických prostor, které souvisejí s provozem IS. Tyto kritické prostory tvoří především: serverovny, datová úloţiště, 11

12 pracoviště správců IT, prostory s důleţitými prvky infrastruktury IT (aktivní prvky sítí apod). Hlavním cílem tohoto zabezpečení je tedy zamezení rizik spojených se vznikem kritických událostí při neodborné manipulaci s prvky IT infrastruktury či s cílenou činností s úmyslem zcizení nebo poškození dat. Jako předběţné opatření zamezení vstupu neoprávněným osobám lze také oddělit zámky kritických prostor, tj. pouţít speciální klíče pro takové místnosti a nepouţívat tak univerzální klíče k ostatním prostorám budovy Doporučení fyzického zabezpečení počítačového systému. Při analýze poţadavků na fyzické zabezpečení systémů doporučuji komponenty IT zabezpečit přinejmenším v takové míře, aby bylo co nejvíce minimalizováno riziko spojené s přerušením dodávky sluţeb IT a byla v dostatečné míře zabezpečena ochrana citlivých dat. Při fyzickém zabezpečení komponent tedy doporučuji postupovat následovně: Uzamknout počítačové skříně zámkem nebo umístit tyto skříně do uzamykatelných prostor v pracovním stole. Pouţívat dostatečně sloţitá přístupová hesla. Uzamknout serverovny a jasně definovat přístup oprávněných a kvalifikovaných osob. Serverové rozvaděče dislokovat pouze do uzamykatelných oddílů, klíče svěřit pouze správcům, kteří manipulují s hardwarovými komponenty serverů. Kompletně separovat datová úloţiště, optimálně do jiné místnosti či budovy a v ideálním případě povolit přístup jiným oprávněným osobám neţ do serveroven. Nainstalovat kamerový systém ke sledování provozu kritických částí infrastruktury IT Personální bezpečnost Jak jsem se jiţ dříve zmínil, informační bezpečnost není jen o technických otázkách aplikace bezpečnostních pravidel, ale její nedílnou součástí je také bezpečnost personální, označována téţ jako humanware [2]. U personální bezpečnosti jde tedy vţdy o systematicky prováděný výběr zaměstnanců a kontraktorů a následně o uplatňování zásad, které v co moţná 12

13 nejširší míře sníţí riziko, ţe staneme tváří v tvář tzv. vnitřnímu nepříteli. Tento insider (označení pro vnitřního nepřítele) má informace o počítačovém systému, které externí útočník můţe získat jen velice těţko. Takový zaměstnanec se v mnoha případech podílí na vytváření podnikových systémů a denně s nimi pracuje. Je obeznámen se slabinami a silnými stránkami systému, ví jak má informační bezpečnost dané firmy fungovat a jak reálně funguje. Kromě znalostí uvaţovaného systému má ovšem tento zaměstnanec často i silnou motivaci, jako jsou například spory s nadřízenými nebo kolegy, neuznávání, potřeba stát se důleţitým či ukončení pracovního poměru. Pro srovnání, externí útočník bývá zpravidla motivován jen svou zvědavostí nebo finanční odměnou Cíle personální bezpečnosti Personální zabezpečení je velmi náročná oblast bezpečnosti [3]. Aby organizace řádně fungovala, je nezbytně nutné umoţnit svým zaměstnancům přístup k citlivým datům. Během chvíle se však z patřičně motivovaného důvěryhodného zaměstnance můţe stát útočník, který je rázem schopen takové informace či data zneuţít. Jaké jsou tedy cíle personální bezpečnosti, které by měly takovýmto ohroţením předcházet? Ve skutečnosti můţeme uvaţovat dva hlavní cíle. Prvním z nich je chránit citlivé informace organizace bezpečným řízením ţivotního cyklu zaměstnání jejich zaměstnanců. Obecně platí, ţe tento ţivotní cyklus má tři fáze a to před zaměstnáním, období pracovního poměru a doba po jeho ukončení. Druhým neméně důleţitým cílem personální bezpečnostní politiky je stanovení klíčových bodů týkajících se správy a řízení informační bezpečnosti. Stručně řečeno, organizace musí klást důraz na ujištění, ţe její bezpečnostní politika je nejen uskutečnitelná, ale také vymahatelná. To znamená, ţe uvaţovaná organizace musí své zaměstnance vzdělávat nejen v otázkách obecných pravidel informační bezpečnosti, ale také v daných organizačních postupech, jakými jsou například ohlašování bezpečnostních incidentů Základní prvky personální bezpečnosti Jaké jsou tedy hlavní klíčové oblasti, které by měly být zahrnuty v politice personální bezpečnosti organizace, aby ji dokázaly proti vnitřnímu nepříteli co nejlépe ochránit? Na základě analýzy kombinací osvědčených postupů (tzv. best practise), skutečných událostí a regulačních poţadavků vyvstává několik klíčových oblastí personálního zabezpečení, které se svou závaţností jeví jako kritické. Navzdory tomu, ţe existuje nespočetná řada prvků zabezpečení na personální úrovni, rozhodl jsem se uvést několik zcela zásadních. 13

14 14

15 Screening Screening je proces ověřování perspektivnosti zaměstnance vzhledem k vhodnosti jeho zaměstnání v dané organizaci. Nejčastěji to bývá ve formě kontrol jeho pracovní i soukromé minulosti. Hlavní myšlenkou těchto kontrol bývá ujištění, ţe usvědčení zločinci nebo nedůvěryhodné osoby nejsou obsazováni na systemizovaná místa s relativně velkou mírou zodpovědnosti. Screening zaměstnance můţe být prováděn na různých úrovních v závislosti na povaze organizace a zastávané pozice. Dalšími důleţitými úrovněmi screeningu mohou tedy být například emociální zkoušky stability, kontroly výpisů z rejstříku trestů nebo komunikace s bývalými zaměstnavateli, jelikoţ mnoho tzv. insiderů, kteří jiţ páchali nekalé praktiky v minulosti, mají u těchto zaměstnavatelů záznam o takové skutečnosti Smlouvy Tato oblast personální bezpečnosti je neméně důleţitá, tedy pokud jde o zabezpečení schopnosti organizace podniknout kroky proti takovým zaměstnancům, kteří porušují její bezpečnostní politiku nebo dokonce páchají zločiny. Kontroly týkající se smluv zahrnují pracovní smlouvy, dohody o nesoutěţení, dohody o mlčenlivosti a dohody o ochraně duševního vlastnictví. Dohody o ochraně duševního vlastnictví bývají obvykle koncipovány tak, aby bylo znemoţněno takové vlastnictví zneuţít nebo zcizit Srozumění s bezpečnostní politikou Kaţdý zaměstnanec nebo dodavatel s přístupem k citlivým informacím organizace si musí být vědom pravidel bezpečnosti informací, které se na něj vztahují. Ve většině dnešních organizací proto bývají její zaměstnanci a dodavatelé seznamováni s tzv. etickým kodexem chování, stejně tak jako s politikou uţívání počítačových systémů jako je například moţné uţívání Internetu, periferií apod. Podstatné ovšem je vést o takovém srozumění s bezpečnostní politikou písemný záznam stvrzený podpisem odpovídajícího uţivatele, coţ je velmi důleţité pro vymáhání práva při porušení informační bezpečnosti. Bez písemného potvrzení se bude organizace bránit jen velice obtíţně, neboť by to bylo pouhé tvrzení proti tvrzení Vzdělávání Jeden z nejčastěji opomíjených aspektů personální bezpečnosti je osvěta a vzdělávání. Zaměstnanci musí být proškolováni o základních principech dodrţování pravidel v oblasti bezpečnosti informací, aby byli schopni rozpoznat potenciální hrozby, jako jsou například 15

16 útoky typu phishing (tento pojem bude vysvětlen později). Studie za studií neustále prokazuje, ţe lidský faktor je příčinou většiny úniků dat a informací. Ruku v ruce s proškolením o základních pravidlech dodrţování bezpečnosti, by zaměstnanci měli být také školeni v oblasti informační bezpečnosti dané organizace Monitorování Přestoţe jsou zaměstnanci po absolvování předešlého povaţováni organizací za důvěryhodné, jejich chování musí být do patřičné míry neustále sledováno. Typ a úroveň kontroly chování závisí na mnoha faktorech, včetně citlivosti pouţitých dat, celkové bezpečnostní situaci organizace nebo státních poţadavcích. Minimálně by organizace měly sledovat všechny aktivity uţivatelů souvisejících se zabezpečenými systémy, následně poté mohou sledovat provoz vyuţívání například Internetu či webových sluţeb. Bez ohledu na zastávané pozice bývá zpravidla nejlepší všechny zaměstnance informovat o tom, jakým způsobem jsou sledováni. Na druhou stranu snad ani samotní zaměstnanci nemohou očekávat, ţe na ně nebude nikdo dohlíţet při vyuţívání firemních zdrojů. Pokud tato politika není se zaměstnanci komunikována, nemohou být tito uţivatelé obeznámeni se sankcemi, které jim při nedodrţení pravidel hrozí Ukončení pracovního poměru Konečnou podstatnou součástí personální politiky jsou správné postupy při ukončování pracovního poměru. Jakmile zaměstnanec jiţ není u organizace zaměstnán (nebo uvedl, ţe se chystá organizaci opustit), tak jak jeho uţivatelský, tak i fyzický přístup k počítačovým systémům by měl být neprodleně ukončen. Navíc proces ukončení pracovního poměru obvykle zahrnuje také navrácení majetku zapůjčeného organizací, jako jsou například notebooky, mobilní telefony, ale také i přístupové ID karty. To je také důvod, proč proces ukončování pracovního poměru je povinně zahrnut v téměř kaţdém metodickém rámci, týkající se informační bezpečnosti, poněvadţ v mnoha případech jsou bývalí zaměstnanci schopni přístupu k firemní síti a to pomocí vlastních nebo sdílených přihlašovacích ID a mohou tak odcizit data nebo popřípadě umístit do systému škodlivý software Shrnutí otázky personální bezpečnosti Bohuţel, v dnešním reálném světě obvykle platí, ţe mnoho organizací je obecně rádo, ţe jsou vůbec schopné některé pozice obsadit a případný důsledný výběr kandidátů s ohledem na personální bezpečnost by pro ně znamenala nezanedbatelné časové prodlevy a mnoho 16

17 práce navíc [2]. V tomto případě by však neměly zapomínat na staré dobré pravidlo, ţe kaţdý systém je tak silný, jak je silný jeho nejslabší článek. Jinými slovy by se tedy měly rozhodnout, zda dají přednost krátkodobému přínosu před dlouhodobými problémy. 17

18 2. Zabezpečení operačního systému Microsoft Windows Problematika zabezpečení počítačů s platformou Microsoft Windows je velmi rozsáhlým tématem a vystihnout některé méně běţné oblasti nezřídka kdy vyţaduje hlubší studium dokumentace a dalších dílčích materiálů. Oproti tomu je zde však řada základních témat, kterým by měl porozumět snad opravdu kaţdý pokročilý uţivatel, správce systému, postaveného na této platformě a o návrhářích počítačových sítí či rozsáhlejších řešeních na bázi systému Windows ani nemluvě. V následujících odstavcích popíši moţné hrozby infiltrace osobního počítače s tímto operačním systémem a následně moţné způsoby ochrany proti tomuto riziku Hrozby v zabezpečení osobních počítačů Škodlivý software Ne veškerý software, který se můţe vyskytovat v osobních počítačích, slouţí k vyuţití jejich uţivateli. Existuje i software, který má dokonce úplně jiné zaměření, a to takovému uţivateli můţe uškodit. Odtud pochází i označení pro takovéto programy, které je zkratkou slov z anglického označení pro škodlivý software: malicious software, tedy malware, který se dále dělí do těchto několika základních skupin Počítačový virus Počítačovým virem je míněn takový program, který se dokáţe dále šířit bez vědomí uţivatele [4]. Pro své mnoţení vyuţívá vkládání sebe sama do jiných spustitelných souborů či dokumentů různých formátů. Napadení takovýchto souborů se nazývá nakaţení nebo také infekce a napadenému souboru tedy hostitel. Zatímco určitá skupina virů je cíleně ničivá (např. poškozuje nebo dokonce maţe data na úloţišti, další skupiny virů jsou relativně neškodné nebo pouze uţivatele nějakým způsobem obtěţují. U dalších skupin virů se jejich ničivý kód spouští se zpoţděním nebo při splnění určitých nastavených podmínek (např. v určitém čase nebo po nakaţení daného počtu jiných souborů). Jedním z nejpodstatnějších negativních důsledků jejich šíření je však samotná činnost jejich reprodukce, která do jisté míry zatěţuje počítačové systémy a tak plýtvá jejich zdroji. Některé viry mohou být také tzv. polymorfní, coţ znamená, ţe kaţdý potomek se určitým způsobem liší od svého rodiče, coţ znesnadňuje jeho odhalení. 18

19 19

20 Červ V definici pro síťového červa existuje mnoho rozporů a různých názorů i mezi odborníky [5]. Základním rozdílem mezi počítačovým virusem a červem je jeho šíření, způsob infiltrace a soběstačnost. Červ je softwarový program, který se samostatně a aktivně šíří, přičemţ k jeho šíření není zapotřebí aktivita uţivatele. Co se týče infiltrace do počítačového systému, je třeba brát v úvahu dvě hlavní skupiny tohoto škodlivého softwaru. A to oví červi a síťoví (internetoví) červi. oví červi se šíří samostatně, ale k jejich spuštění uţ je většinou zapotřebí akce ze strany uţivatele, jako je například spuštění souboru uţivatele nebo kliknutí na link, který útočný obsahuje. ové červy tedy nelze povaţovat za zcela soběstačné. Naproti tomu síťoví červi se šíří sítí (Internetem) a zneuţívají zranitelnost aplikací a systému, pro svoje šíření vyuţívají infikované datové pakety. Tito červi po napadení počítače hledají nové moţnosti šíření scanováním dalších systémů v síti, aby na dalších potenciálních obětech zjistili, zda je na nich spuštěna poţadovaná sluţba (resp. zda obsahuje zranitelný software nebo specifickou díru v zabezpečení určitého systému). Po úspěšném identifikování zranitelného místa v systému, síťový červ vyuţije jeden z moţných způsobů infikování. Velmi častý je způsob přetečení tzv. bufferů. Mezi další techniky patří injektáţ kódu do infiltrovaného počítače prostřednictvím sítě Trojský kůň Trojským koněm je v oblasti výpočetní techniky označována skrytá část programu nebo aplikace s takovou funkcí, která bývá uţivateli skryta a povětšinou bývá jeho činnost škodlivá [6]. Trojským koněm tedy můţe být samostatný program, který se na první pohled tváří uţitečně, obvykle bývá skryt v nějaké počítačové hře, spořiči obrazovky nebo nějakém jednoduchém nástroji. V některých případech se tento trojský kůň vydává za program k odstraňování malware (dokonce i tak můţe tento program reálně fungovat a odstraňovat konkurenční škodlivý software). Tato funkcionalita avšak slouţí pouze k zamaskování škodlivé činnosti, kterou v sobě trojský kůň ukrývá. V systémech na platformě Microsoft Windows trojský kůň vyuţívá toho, ţe řada softwarových produktů v čele se systémový správcem souborů skrývá přípony souborů. Tento trojský kůň poté vypadá jako například soubor s obrázkem, zvukem, videem nebo čímkoliv jiným, ačkoliv se reálně jedná o spustitelný kód. Trojský kůň však můţe být i přidán do existující aplikace, přičemţ je tato upravená verze šířena například pomocí peer-to-peer sítí, torrentových souborů nebo warezových serverů. Nic 20

21 netušící uţivatel poté staţením aplikace (velmi často bez platné licence) získává pozměněnou kopii softwaru, která obsahuje programový kód trojského koně. Zásadní rozdíl mezi trojským koněm a počítačovým virem je ten, ţe trojský kůň není schopen sám napadat další počítačové systémy nebo aplikace svojí kopií Spyware Pojmem spyware se označuje takový počítačový program, který vyuţívá webové stránky k odesílání poţadovaných dat z počítače nic netušícího uţivatele [7]. Někteří autoři tohoto škodlivého softwaru se neustále hájí tím, ţe jejich dílo je vytvářeno za účelem zjištění potřeb nebo zájmů uţivatelů a tyto informace se nadále vyuţívají pro cílenou reklamu. Existují však takové spyware, které odesílají přístupová hesla nebo čísla kreditních karet, ale také jako spyware, které fungují jako zadní vrátka. Spyware je často šířen jako součást shareware, a to hlavně jako adware bez jakéhokoliv povědomí uţivatelů. Jakmile je takový program nainstalován a spuštěn, infiltruje se do systému jako spyware. Tento škodlivý druh softwaru představuje z hlediska bezpečnosti dat obrovskou hrozbu, neboť odesílá z napadeného počítače citlivé informace neoprávněným uţivatelům, kteří tyto informace dále zpracovávají Adware Pojem adware vyjadřuje označení pro softwarové produkty, které do jisté míry znepříjemňují práci určitou zobrazovanou reklamou [8]. Tyto reklamy mohou být součástí různých úrovní agresivity těchto škodlivých programů, a to od běţných zobrazovaných bannerů aţ po donekonečna vyskakujících pop-up oken nebo ikon v zobrazovací oblasti. Podstatnou nepříjemnou skutečností je také trvalé nastavení jiné domovské stránky internetové prohlíţeče. Většinou ale nejsou tyto nepříjemné programy přímo škodlivé z hlediska bezpečnosti systému, proto se o nich nebudu déle rozepisovat Běžné typy útoků Nyní si rozeberme rizika v zabezpečení, která jsou hrozbou v typické datové síti. Útoky na zabezpečení počítačových systémů se zcela liší závaţností a sloţitostí jejich hrozby. Pro představu o způsobech provedení, jejich sloţitosti a v neposlední řadě také moţnými dopady těchto napadení si následně popíšeme jednotlivé typy útoků [9, s ]: 21

22 Útoky na aplikační vrstvě jsou takové útoky, které se zaměřují na bezpečnostní díry softwarových produktů, které jsou obvykle instalovány na serverech. K hlavním cílům takovýchto útoků patří především protokoly FTP, HTTP a sandmail. Z důvodu privilegovaných oprávnění k příslušným účtům mohou útočníci získat přístup ke koncovým stanicím, kde jsou spuštěny tyto serverové aplikace. Autorooters jsou de facto hackerští roboti, které často útočníci pomocí tzv. rootkitu pouţívají k zachytávání dat v strategicky umístěných počítačích, které jim umoţňují zcela automaticky nahlíţet do celé sítě. Zadní vrátka jsou cesty vedoucí do osobních počítačů nebo počítačových sítí. Za pomoci jednoduchých průniků nebo komplikovanějších počítačových kódů tzv. trojských koní jsou útočníci schopni uţít implementovaných tras ke konkrétním hostitelům nebo dokonce k celé síti prakticky kdykoliv. Útoky DoS a DDoS jsou závaţné útoky s velmi obtíţnou moţností obrany. I přes jejich rozsáhlou moţnost působit značné škody je jejich provedení poměrně snadné. Princip takovéhoto útoku je zaloţen na úplném zahlcení systému poskytujícího určitou sluţbu. Existuje několik moţných druhů takovýchto útoků: Záplava TCP SYN klient zprvu inicializuje na první pohled zcela běţné připojení protokolu TCP a zašle serveru zprávu SYN. Server očekávaným způsobem reaguje a odešle nazpět klientskému počítači zprávu SYN-ACK. Tento počítač poté naváţe spojení tak, ţe navrátí zprávu ACK. I kdyţ tato akce vypadá prakticky bez problému, reálně je během tohoto napůl otevřeného spojení cílový počítač napaden záplavou takto otevřenými připojeními a je tímto de facto vyřazen z provozu. Útoky typu ping of death jsou takové útoky, při kterých jsou jednoduše odesílány příliš rozsáhlé pakety příkazu ping a tím napadený počítač zamrzá, neustále se restartuje nebo zcela havaruje. TFN a TFN2K jsou praktiky, které jsou mnohem sloţitější a to z důvodu inicializace synchronizovaných útoků DoS z více zdrojů s moţností zaměření na více terčů takového útoku, na kterém se podílí mimo jiné tzv. falšování IP. Stacheldraht je kombinace metod útoků TFN a DoS. Název tohoto útoku má původ v německém jazyce a znamená ostnatý drát. Útok TFN je doplněn 22

23 šifrováním a způsobuje mohutnou invazi na kořenové úrovni, která je následována závěrečným útokem typu DoS. Falšování IP jak je jiţ z názvu patrné, útok se odehrává uvnitř nebo vně sítě, kde je útočník zamaskován jako hostitelský počítač, přičemţ buď předloţí jednu z IP adres v rozsahu povolených síťových adres, nebo aplikuje povolenou a důvěryhodnou externí adresu IP. Tímto se však pouze zakryje skutečná identita útočníka za falšovanou adresu a je zřejmé, ţe skutečné problémy na sebe nenechají dlouho čekat. Útoky prostředníka viníky těchto útoků jsou obvykle zaměstnanci internetových providerů, kteří vyuţívají sledovací nástroje, tzv. sniffery, které jsou aplikovány na směrovací a transportní protokoly za účelem zachycení cenných paketů. Průzkum sítě spočívá ve shromaţďování veškerých dostupných dat před narušením počítačové sítě. Útočníci si za pomoci skenování portů, hromadných pingů a dotazů DNS rozšiřují své moţnosti nabourání sledované sítě. Sledování paketů k tomuto způsobu zneuţití počítačových sítí slouţí speciální software, kterému jsou zasílány veškeré pakety zachycené na fyzické síťové vrstvě. Aplikace poté došlé pakety analyzuje a třídí, přičemţ je tento nástroj schopen odposlechnout některá velice citlivá data jako jsou například uţivatelská jména respektive hesla k nim. Útočníci jsou tedy schopni pomocí takovýchto aplikací neoprávněně zcizit identitu obětí útoku. Útoky na hesla existuje mnoho variant způsobů takovýchto útoků. Lze je provádět mnoha propracovanými metodami jako je sledování paketů, falšování IP nebo trojskými koňmi, avšak jejich hlavním významem je zjištění uţivatelského hesla za účelem vydávání se za oprávněného uţivatele a s tím spojenými moţnostmi vyuţití jeho prostředků a privilegií. Útok hrubou silou je další typ útoku, kde dochází k uţití softwarového nástroje spuštěného v napadené síti, který neustále usiluje o přihlášení k určitému typu sdíleného prostředku v této síti, jako je například server. Pro útočníka je ideální situace, kdy má napadený účet rozsáhlá oprávnění, neboť je poté schopen vytvoření zadních vrátek pro opakovaný přístup a je tak dále schopen zcela obejít nutnost zadávání poţadovaných hesel. Útoky s přesměrováním portu pro tento typ útoku je nezbytné, aby byl útočník schopen se přihlásit do hostitelského počítače jako oprávněný uţivatel s dostatečným oprávněním. Následně je mu umoţněno přenášet přes firewall zakázaný provoz. 23

24 Útoky trojských koní a virů tyto dva typy útoků jsou si navzájem velmi podobné. Oba infikují zařízení uţivatelů škodlivým kódem a do jisté míry tak škodí ničením, paralýzou, omezeními či dokonce likvidací. Rozdílem mezi těmito druhy útoků je ten, ţe počítačové viry jsou jen nepříjemné programy, které jsou připojeny ke kódu command.com, coţ je hlavní příkazový interpret systémů Microsoft Windows. Tyto viry odstraňují soubory a napadají všechny typy souborů command.com, které lze najít v napadeném počítači. Trojské koně jsou naproti tomu kompletní aplikace implementované v kódu, díky kterému se na první pohled jeví jako zcela odlišné entity. Tyto destruktivní nástroje se například maskují jako neškodná hra. Útoky se zneužitím důvěryhodnosti k těmto útokům dochází zpravidla v situacích, kdy hacker zneuţije důvěryhodnosti v oblasti lokální sítě. Struktura firemní sítě kupříkladu často zahrnuje důleţité servery typu HTTP, DNS nebo SMTP. Jelikoţ se tyto servery většinou nacházejí ve stejném segmentu sítě, jsou kvůli této skutečnosti do značné míry velmi zranitelné. Phishing je technika pouţívaná především na Internetu a slouţí rovněţ ke zneuţití důvěry uţivatelů prostřednictvím napodobování oblíbených sociálních sítí, platebních portálů, aukčních webů či úřadů státní správy a k následnému vylákání přístupových hesel, čísel platebních karet či dalších citlivých údajů Možnosti zabezpečení samotného operačního systému Microsoft Windows 8 V následujících podkapitolách popíši obecné zásady, které by měly být brány v úvahu při optimálním nastavení tohoto operačního systému od manipulace s uţivatelskými účty a zásad pro práci s hesly aţ po nastavení samotných bezpečnostních aplikací. Moţností těchto nastavení je opravdu mnoho a určitě by mohly být tématem pro celou samostatnou práci, proto se je budu snaţit popsat co moţná nejstručněji [10, s ] Přihlášení k systému Ve Windows 8 se uţivatelé standardně přihlašují ke svému účtu pomocí účtu Microsoft, který je napojen na poskytované internetové sluţby tohoto softwarového giganta. Avšak lze se přihlásit i pomocí místního účtu, jakým se uţivatelé připojovali ke starším verzím Windows. Dále popisuji funkcionalitu, výhody a nevýhody těchto dvou typů účtů Účet Microsoft 24

25 Při uţívání tohoto typu účtu se uţivatel přihlašuje pomocí ové adresy a hesla. Tento účet se autentizuje ve sluţbě Microsoft v Internetu, ale k přihlášení není nutné být k Internetu neustále připojen. K výhodám tohoto typu účtu patří zálohování důleţitých nastavení na serverech Microsoftu. Mezi další výhody tím pádem patří moţnost přihlášení k více stanicím pomocí stejných přihlašovacích údajů a tyto počítače budou mít automaticky stejná nastavení. Tato volba rovněţ umoţňuje spravovat účet pomocí webového prohlíţeče (např. při změně hesla) a to na adrese Z uvedeného však je zřejmá hlavní nevýhoda a to taková, ţe v případě, kdy moţný útočník získá přístup k tomuto typu účtu, je schopen vyuţít jednoduché nástroje ke změně hesla a odřízne tímto oprávněného uţivatele od přístupu k počítači. Z důvodu minimalizace této hrozby však Microsoft povoluje změnu hesel pouze z důvěryhodných počítačů. Při zaloţení účtu systém Windows vytvoří na pozadí účty dva a to účet Microsoft a lokální účet. Ten druhý z důvodu moţnosti přihlášení k systému pomocí posledního pouţitého hesla v případě, kdy počítač není připojen k Internetu Místní účet Jak jiţ vyplývá z názvu, místní účty jsou uloţeny přímo v počítači. Nesynchronizují se se servery na Internetu a nelze obnovit heslo z jiných počítačů. Jestliţe uţivateli z různých důvodů účet Microsoft nevyhovuje (např. zmíněná moţnost změny hesla útočníkem), měl by vyuţít této moţnosti, neboť obstála v testu času Nastavení možnosti přihlášení OS Windows 8 oproti starším verzím přináší ještě další dvě moţnosti přihlášení a to obrázkové heslo a PIN. Obrázková hesla jsou většinou vyuţívána na tabletech, zatímco PIN se pouţívá v případech, kdy je obtíţné psát. Oba tyto typy však sniţují zabezpečení počítače, proto se o nich nadále nebudu rozepisovat, poněvadţ je tato práce zaměřena spíše na maximální moţnosti ochrany Doporučené postupy pro práci s přístupovými hesly Přístupová hesla slouţí k ochraně soukromí uţivatele a k ochraně citlivých dat. Pokud heslo padne do nesprávných rukou, důsledky mohou být nedozírné. Mnohdy dochází především ke zneuţití identity, nákupům pomocí zcizeného čísla kreditní karty a tím pádem ke ztrátě peněz nebo se osobní údaje mohou dostat na Internet. Tato rizika lze výrazně omezit 25

26 a potenciální škody tak sníţit na přijatelné minimum dodrţováním následujících základních pravidel pro správné nakládání s hesly. 26

27 Jedinečné heslo Pokaţdé, kdy je na nějakém webovém portálu vytvářen uţivatelský účet, je tomuto portálu svěřováno přístupové heslo. Pokud kdokoliv, kdo daný web spravuje, není důvěryhodnou osobou, je schopen toto heslo zneuţít. V případě, kdy jsou stejné přístupové údaje pouţívány na vícero internetových stránkách, je schopen nedůvěryhodný administrátor se na stránky s těmito údaji přihlásit. Je také nutné mít důvěru ke všem zainteresovaným osobám daného portálu, ţe jsou schopni tento web důsledně zabezpečit kvůli moţnosti napadení těchto údajů zvenčí. V návaznosti na uvedené moţnosti zneuţití je doporučeno pro jednotlivé účty pouţívat různá přístupová hesla Složitost hesla Existuje několik osvědčených způsobů, kterými útočníci odhadují hesla k uţivatelským účtům. Jedním z nich je případ, kdy útočník zná uţivatele osobně nebo má přístup k osobním údajům (např. prostřednictvím sociálních sítí) a pokusí se odhadnout heslo na základě oblíbených aktivit uţivatele, jména domácího mazlíčka, jmen partnera či dětí apod. Další způsob, který můţe útočník vyuţít, je tzv. slovníkový útok, který vyuţívá databáze běţných hesel (slovník hesel). Pokud je heslo běţným pojmem nebo jménem, popřípadě jde o heslo, které je často uţíváno, bude v tomto slovníku a uţivatelský účet bude dobyt. Nejlepší způsob, jak heslo před podobným uhodnutím ochránit, je pouţívat náhodné a sloţité heslo, protoţe toto heslo poté nebude obsahovat ţádné osobní informace nebo se nebude objevovat ve slovníku hesel. Sloţitá hesla obsahují malá i velká písmena, číslice a symboly Nastavení hesel ve Windows 8 Windows 8 lze také nastavit tak, aby bylo při nastavení hesla k účtu pomocí nástroje Nastavení počítače (vyvoláním příkazu secpol.msc na úvodní obrazovce) poţadováno dostatečně sloţité heslo. Při zapnutí tohoto poţadavku bude tento systém vyţadovat, aby hesla: Neobsahovala části názvu účtu uţivatele nebo části jména. Obsahovala minimálně šest znaků (lze zvětšit pomocí parametru Minimální délka hesla). Obsahovala alespoň tři z moţných čtyř následujících variant: 27

28 o velká písmena bez diakritiky; o malá písmena bez diakritiky; o číslice; o speciální znaky (např.!,?,%,*). Po zváţení moţných výhod či nevýhod lze pomocí stejného nástroje také vyuţít moţnosti maximální doby platnosti hesla, po jejímţ uplynutí je uţivatel vyzván ke změně tohoto hesla. Tato moţnost bývá obvykle vyuţívána ve firmách ke zvýšení bezpečnosti Správa účtů Obrázek 1 - Nastavení úrovně bezpečnosti hesla Základní správu účtů lze provádět uţitím nástroje Uţivatelské účty přístupného z Ovládacích panelů, kde lze například měnit hesla a přidávat nové uţivatele. Sloţitější úkoly, jako je přiřazování uţivatelů do uţivatelských skupin nebo poţadované účty zakazovat, se provádějí v konzole Správa počítače. Tuto konzoli lze vyvolat kombinací kláves Windows + X na klávesnici nebo kliknutí pravým tlačítkem myši na levý dolní roh obrazovky a zvolením této volby. Vytvoření účtu je velmi jednoduché, stačí v záloţce Místní uţivatelé a skupiny v podsloţce Uţivatelé zaloţit nového uţivatele kliknutím pravého tlačítka myši a vybrat odpovídající poloţku z kontextového menu. Lze zde také uţivatele přiřazovat do Uţivatelských skupin a obdobným způsobem je také odstraňovat. 28

29 Uživatelské skupiny V podsloţce Skupiny lze vytvářet uţivatelské skupiny, přidávat uţivatele do jedné nebo více skupin a jednotlivým skupinám přiřazovat různá oprávnění. Systém Windows 8 obsahuje ve výchozím stavu po instalaci celkem 19 různých skupin. Většina těchto skupin je určena pro firemní prostředí a umoţňují IT oddělením delegovat konkrétní odpovědnosti na různé lidi v organizaci. Pro názornost popisuji jen tři hlavní a nejpouţívanější skupiny: Administrators je uţivatelská skupina, ve které mohou uţivatelé, jsou-li do ní přiřazeni, na počítači dělat prakticky cokoliv. Instalovat aplikace, měnit nastavení systému, přiřazovat uţivatele do skupin, ale také infikovat počítač malwarem (samozřejmě nikoliv záměrně). Administrátoři mají všechna oprávnění uvedená u ostatních skupin, tj. nemusí být jiţ do dalších skupin přiřazováni. Users je nejčastěji pouţívaná skupina uţivatelů, která zaručuje svým členům provádění kaţdodenní úkony ve Windows, jakými jsou ukládání souborů v příslušném profilu, procházení Internetu a spouštění aplikací. Power Users je uţivatelská skupina, která deleguje více oprávnění, neţ mají běţní uţivatelé (Users), ale méně oprávnění neţ má skupina Aministrators. Obrázek 2 - Správa uživatelských účtů 29

30 Zabezpečení rodiny Sluţba Zabezpečení rodiny existující v operačních systémech Windows 7 a Windows 8 umí sledovat, co daný uţivatel na počítači a na Internetu dělá. Dokáţe rovněţ omezit, co tento uţivatel dělat smí, kam můţe na Internetu zavítat a jak dlouho to smí dělat. Zabezpečení rodiny lze nastavit lokálně (za pomoci Ovládacích panelů) nebo na webu Zabezpečení rodiny. Oba nástroje fungují obdobně. Pomocí webu lze tuto sluţbu nastavit, pokud se administrátor nachází mimo dosah nastavovaného počítače. K zapnutí Zabezpečení rodiny pomocí Ovládacích panelů je třeba vyhledat tuto sluţbu v Nastavení. Poté se otevřou Ovládací panely a vypíší se uţivatelé daného systému. Následně se vyhledá cílový uţivatel a zvolí se poloţka Zapnuto. Jakmile je tato sluţba zapnuta, je potřeba ji také nastavit dle poţadovaných potřeb. Obrázek 3 - Nastavení parametrů služby Zabezpečení rodiny Filtrování webů Tato sluţba umoţňuje kontrolovat, jaké stránky bude daný uţivatel moci navštěvovat. Principiálně existují tři moţná řešení s moţností zapnutí volby Blokovat stahování souborů: Blokovat vše s výjimkou umoţňuje uţivateli navštěvovat pouze výslovně stanovené weby. Povolit vše s výjimkou umoţňuje uţivateli navštěvovat všechny weby s výjimkou výslovně stanovených. Povolit na základě hodnocení obsahu znamená kompromis mezi předchozími dvěma řešeními. Je moţné stanovit typy webů, které uţivatel smí navštěvovat. 30

31 Internetový prohlíţeč povolí či zablokuje weby dle systému hodnocení, který je stanoven. Blokovat stahování souborů je moţné zvolit společně s libovolnou z předchozích moţností a zabrání se tím uţivateli stahovat soubory, coţ je obecně dobrá volba zabezpečení Protokolování aktivity Tato sluţba zaznamenává všechny weby, které sledovaný uţivatel navštíví, veškeré vyhledávání na Internetu a dobu pouţívání počítače i různých aplikací. Je to perfektní způsob slouţící ke zjištění, co uvaţovaný uţivatel na počítači dělá. Karta Aktivita webu zobrazuje seznam všech stránek, které se uţivatel pokusil navštívit, kdyţ byla daná stránka zablokována sluţbou Zabezpečení rodiny. Lze také otevřít záznamy pro jednotlivé weby a prohlídnout si konkrétní stránky, které uţivatel navštívil a rovněţ lze dohledat, kolikrát tyto stránky navštívil. Ve výsledku lze tedy kontrolovat, jak dlouho byl uţivatel přihlášen, které aplikace stahoval nebo spouštěl a jak dlouho jednotlivé aplikace pouţíval Omezení času Sluţba Zabezpečení rodiny umí rovněţ omezit čas strávený uţivatelem u počítače. Naneštěstí nelze dále omezovat jednotlivé činnosti, které daný uţivatel u počítače provádí. Proto lze jen nastavit maximální délku práce ve Windows a následně sledovat protokolování aktivit, odkud je zřejmé, jakým způsobem tento uţivatel svůj čas při práci tráví. Obrázek 4 - Omezení času 31

32 Doba zákazu používání Sluţba Zabezpečení rodiny je dále schopna nastavení zákazu pro určitou dobu, po kterou uvaţovaný uţivatel nesmí počítač pouţívat vůbec. Lze tedy nastavit různá časová omezení pro jednotlivý den v týdnu, po kterou bude uţivateli přístup do systému zakázán Omezení aplikací Další a důleţitou součástí sluţby Zabezpečení rodiny je omezení aplikací, kterou uţivatelé mohou spouštět. Sluţba uţivateli zobrazí zprávu, ţe je aplikace blokována. Bohuţel ale tato sluţba neodstraní dlaţdice (příp. ikony z plochy), proto je vhodné tyto aplikace z úvodní obrazovky nebo plochy odstranit Aplikace a síťová bezpečnost Microsoft v současné době vytváří veškerý svůj software podle bezpečnostního principu automatická bezpečnost. Jednoduše řečeno, tento software je navrţen takovým způsobem, aby nové instalace byly ve stavu, který je ochrání před běţnými hrozbami. Tato ochrana přináší určitý kompromis mezi ochranou a pohodlím. Systém Windows 8 obsahuje spoustu bezpečnostních prvků, které jsou ve výchozím nastavení vypnuté z důvodu nepohodlnosti pro větší mnoţství uţivatelů, neţ které by ochránily. V následující části se tedy budu věnovat základním a nejvýznamnějším bezpečnostním funkcím Windows Digitální podpisy Některé softwarové společnosti, jako jsou například Microsoft, Adobe a Apple, mají pověst, ţe chrání své uţivatele, a opravdu se snaţí udělat téměř vše, aby předešli neţádoucím útokům proti uţivatelům jejich aplikací. Digitální podpisy, které jsou určitou formou šifrování, umoţňují těmto organizacím podepisovat své aplikace soukromým klíčem. Windows 8 umí poté rozpoznat tyto digitální podpisy, coţ uţivateli usnadňuje rozhodování, zda můţe vydavateli důvěřovat. Pokud dojde ke spuštění aplikace od společnosti, kterou OS Windows není schopen ověřit, nahlásí tuto skutečnost varovnou zprávou Řízení uživatelských účtů (UAC) Bez ohledu na to, zda je aplikace digitálně podepsána či nikoliv, systém Windows 8 varuje před spuštěním aplikace, která vyţaduje administrátorská oprávnění, přičemţ tato 32

33 oprávnění vyţadují pouze aplikace, které určitým způsobem mění nastavení systému. OS Windows zobrazí výzvu UAC v takovém případě, kdy se uţivatel pomocí této aplikace pokusí provést zásah do systému. Pokud neexistuje důvěra k takové aplikaci, mělo by se její spuštění pomocí tohoto nástroje odmítnout. V opačném případě je aplikace schopna v systému provést téměř cokoliv, včetně instalace malwaru SmartScreen Tato sluţba poskytuje ochranu před soubory staţenými z Internetu. Jestliţe SmartScreen uzná, ţe stahovaný soubor představuje hrozbu zabezpečení, tak jej zablokuje. Moţnost staţený soubor i přes varování spustit je v základním zobrazení výstrahy skryta. Pokud je i přes tuto výzvu poţadováno soubor spustit, je třeba tak učinit přes volbu Více informací. Tento filtr se rovněţ objeví, kdyţ dojde k pokusu o navštívení stránky, která se jeví jako potenciálně nebezpečná. Phishingový server můţe například předstírat portál elektronického bankovnictví a nalákat uţivatele k vloţení přihlašovacích údajů. SmartScreen sice neodhalí veškeré phishingové útoky, ale je schopen ubránit počítačový systém před mnoha z nich Windows Defender OS Windows 8 také obsahuje antivirový systém, který se nazývá Windows Defender, který je ve výchozím nastavení zapnutý a sleduje stahované nebo kopírované soubory a porovnává je s databází signatur, jestli nejsou nebezpečné. Pokud tento antivir odhalí nebezpečný soubor, automaticky jej umístí do vymezeného prostoru disku, kterému se říká karanténa, ve které jiţ nemůţe způsobit ţádné škody. Windows Defender běţí standardně na pozadí v reţimu rezidentního štítu a automaticky, a jak jsem se jiţ zmínil, monitoruje veškerou manipulaci se soubory. Pokud však je tento antivirový systém vypnut nebo je určitá moţnost výskytu škodlivého softwaru v počítači, lze jej zapnout i ručně. Windows Defender tak nabízí tři moţné úrovně kontroly: Rychlá je kontrola, která prochází pouze nejkritičtější součásti systému počítače. Úplná je kontrola, která prochází prakticky vše na úloţištích počítače. Vlastní je kontrola, ve které lze nastavit skenování konkrétních sloţek. Stejně jako většinu antivirových systémů je nutné i Windows Defender pravidelně aktualizovat. Microsoft dodává tomuto systému informace pomocí sluţby Windows Update. To znamená, ţe v případě výchozího nastavení, které znamená automatickou instalaci všech aktualizací, nebude potřeba pro Windows Defender instalovat tyto aktualizace ručně. 33

34 Obrázek 5 - Windows Defender Windows Firewall Jednou z klíčových oblastí zabezpečení OS Windows je zabezpečení obousměrné síťové komunikace. O tuto oblast se ve Windows 8 implicitně stará Windows Firewall, který neustále sleduje příchozí i odchozí spojení a dělá vše proto, aby zablokoval všechna nechtěná i potenciálně nebezpečná připojení. V případě připojení k veřejné síti, tato sluţba zablokuje téměř všechny příchozí spojení a díky tomu je systém téměř imunní vůči útokům z takové sítě. I proto se Windows dotazuje, zdali je aktuálně připojen k domácí, firemní nebo veřejné síti. Jestliţe je zvolena veřejná síť nebo není zvoleno nic, Windows Firewall ostraţitě zablokuje většinu příchozích připojení. Jestliţe je poţadováno sdílet soubory a tiskárny v domácí nebo firemní síti, tento bezpečnostní prvek Windows musí některá příchozí spojení povolit. Z tohoto důvodu je velmi důleţité povolit připojení z těchto sítí jen skutečně lidem a zařízením, ke kterým panuje plná důvěra. I proto je samozřejmě důleţité chránit takovou bezdrátovou síť skutečně silným heslem a neposkytovat ho nedůvěryhodným osobám. Konfigurace Windows Firewallu obvykle probíhá automaticky, jestliţe je instalována nová aplikace, která ke své činnosti potřebuje naslouchat příchozím spojením, aplikace nakonfiguruje Windows Firewall automaticky, aby tato připojení povolil. V případě, ţe se některá aplikace pokusí naslouchat příchozím spojením bez konfigurace této sluţby, je uţivatel poţádán o povolení takovéto komunikace. 34

35 Windows Firewall lze také nastavovat i ručně, a to zejména při povolování aplikacím naslouchat příchozím spojením, stejně tak jako tyto připojení zakázat, povolovat či blokovat různé IP adresy či jejich rozsahy a v neposlední řadě také konfigurovat čísla portů. Bránu Windows Firewall lze také samozřejmě vypnout nebo dočasně zakázat Ochrana souborů Obrázek 6 - Správa aplikací v nástroji Windows Firewall Systém Windows 8 nabízí dva způsoby ochrany souborů a sloţek, a to oprávnění a šifrování Oprávnění Kaţdý soubor nebo sloţka v systému má svou vlastní mnoţinu oprávnění [10, s ]. Tato oprávnění určují, kteří uţivatelé případně uţivatelské skupiny mohou soubory otevírat, upravovat nebo mazat. Tato oprávnění se přidělují ve Vlastnostech k odpovídající sloţce nebo souboru v záloţce Zabezpečení, kde je moţné oprávnění přidělovat v tzv. seznamu řízení přístupu (access control list, ACL). 35

36 Tato volba zabezpečení je vhodná pro ochranu soukromí v případě, kdy se pokusí se soubory manipulovat jiný přihlášený uţivatel, který nemá nastavena dostatečná oprávnění. Oprávnění lze však na uvaţované stanici snadno obejít spuštěním jiného operačního systému neţ je Windows Šifrování Šifrování zcela mění způsob, jakým systém Windows ukládá soubory, avšak nemění se způsob přístupu k nim. Tento proces, který nahrazuje soubory zdánlivě náhodnými daty, lze však za pomoci šifrovacího klíče dešifrovat a následně procházet jejich obsah. Zatímco oprávnění lze lehce obejít, šifrované soubory jsou zcela nečitelné i v ostatních operačních systémech. Windows 8 nabízí moţnost šifrování obsahu prostřednictvím funkce Systém souborů EFS, který šifruje kaţdý soubor uţivatele za pomoci jedinečného klíče. V případě, kdy dojde k přihlášení k systému, soubory se při pouţití automaticky dešifrují a není nutné dělat cokoliv navíc Aktualizace Jednou z nejpodstatnějších vlastností novodobých softwarových produktů je moţnost po vydání původní verze stahovat a instalovat jejich aktualizace. Tyto aktualizace mohou opravovat problematická chování softwaru, přidávat nové funkce a zajisté také zablokovat bezpečnostní slabiny [10, s ]. Zejména proto jsou aktualizace velice důleţité, neboť lidové rčení dokud se to nepokazí, tak to nespravuj prostě v softwarovém světě neplatí. Počítačový systém můţe fungovat spolehlivě, ale nově odhalené slabiny mohou ohrozit bezpečnost a integritu vašich dat v případě, ţe nově vydanou bezpečnostní záplatu nenainstalujete. Stejným způsobem mohou tyto aktualizace opravit relativně neznámé chyby, které mohou potenciálně ohrozit chod aplikace nebo systému někdy v budoucnosti, i kdyţ zůstaly prozatím nepovšimnuty. Automatické aktualizace operačního systému jsou jistě naprostým základem, ale v souvislosti s bezpečností systému je také potřeba aktualizovat i ostatní programové vybavení počítače, jako jsou například kancelářské balíky, aplikace Adobe Flash Player slouţící k přehrávání multimédií na Internetu, Adobe Acrobat Reader, aplikaci Java a další. 36

37 Aktualizace operačního systému Windows 8 Společností Microsoft jsou pravidelně vydávány aktualizace tohoto operačního systému. Jde o těchto několik typů aktualizací: Bezpečnostní aktualizace je aktualizace, která počítač chrání před nově objevenými bezpečnostními hrozbami. Kritická aktualizace je významná aktualizace, která však nemá souvislost s bezpečností. Tyto aktualizace převáţně řeší problémy, které souvisejí se spolehlivostí OS a integritou dat. Aktualizace nástroje Windows Defender je aktualizací definicí hrozeb v nástroji Windows Defender, které tato aplikace vyuţívá k odhalování nejnovějších typů škodlivého softwaru. Servisní balíky jsou velkou aktualizací, která obsahuje větší mnoţství dílčích aktualizací. Servisní balíky (tzv. Service Packs) mohou obsahovat téţ nové funkcionality systému. Všechny tyto uvedené aktualizace je vhodné instalovat co nejdříve, přičemţ po většině těchto aktualizacích je nutný restart systému. Avšak relativně malá chvíle, ztracená při tomto restartu, dokáţe ušetřit hodiny nebo dny, které obvykle způsobí zneuţití zranitelného místa v počítači. Obrázek 7 - Nastavení automatických aktualizací 37

38 2.3. Obecné možnosti softwarového zabezpečení třetích stran proti nežádoucí infiltraci počítačového systému s platformou Microsoft Windows V následující kapitole popisuji hlavní moţnosti zabezpečení proti neţádoucí infiltraci počítačových systémů postavených na platformě Microsoft Windows dodávaných softwarovými společnostmi. Mezi základní prvky této ochrany patří zejména antivirové systémy a softwarové firewally Antivirové systémy Antivirové systémy jsou takové počítačové programy, které detekují, zabraňují spuštění či odstraňují počítačové viry a další škodlivé programy obecně označovaných jako malware. Tyto systémy prohledávají soubory na úloţištích a detekují podezřelé chování aplikací. Podstatnou součástí antivirových systémů je také rezidentní štít, který monitoruje právě probíhající činnost aplikací a je tak schopen v reálném čase odhalovat podezřelé operace. Nezbytné je taktéţ pravidelně tento systém aktualizovat, neboť počítačoví zločinci jsou při vývoji škodlivého softwaru vţdy o několik kroků napřed. K vyhledávání škodlivých programů pouţívají antivirové systémy tyto základní metody. První metodou k vyhledání viru je tzv. test signatur [11, s ]. Tato metoda vychází z předpokladu, ţe počítačový virus obsahuje jistý unikátní řetězec signaturu, kterým lze virus jednoznačně identifikovat. Pokud je tento řetězec přítomen v určitém souboru, je tento soubor napaden virem. Aby nebyly hlášeny falešné poplachy při kontrole těchto antivirových systémů, je zapotřebí databázi signatur alespoň jednoduchým způsobem šifrovat. Tato technika si zpočátku neuměla poradit s mutujícími viry, ale v současnosti je schopna detekce virů, které své tělo v průběhu jejich reprodukce upravují. Databáze zmíněných signatur můţe být navíc doplněna postupy, které umoţňují napadené soubory léčit. Druhou metodou detekce malware je heuristická analýza, která dokáţe odhalit i takový škodlivý software, pro který nebyly dosud vytvořeny signatury. Základem této analýzy je vyhledávání nestandardních projevů programů, které bývají počítačovými viry pouţívány. Například zápisy do bootovacích sektorů disku není příliš standardní operace, které by měla být prováděna ze strany běţného softwaru. Antivirový systém tyto podezřelé jevy zjišťuje pomocí postupného provádění jednotlivých instrukcí programu, který je testován. Je zřejmé, ţe takto důsledné testování je prováděno na úkor rychlosti. Tato analýza také není absolutně přesná, proto se stává, ţe antivirový systém nahlásí planý poplach. Mezi nevýhody také patří 38

39 neschopnost této analýzy virus pojmenovat, neboť k tomu je zapotřebí porovnání existující signatury potenciálního škodlivého programu s databází signatur. I z tohoto důvodu není heuristická analýza schopna ve většině případů takto napadené soubory léčit. Kromě těchto dvou základních metod existují i další, které dokáţí potenciálně škodlivý software odhalit a mají vesměs stejné nevýhody. Jednou z nich je kontrola dle kontrolních součtů (CRC Check). U všech moţných napadnutelných souborů na úloţištích je vypočítán kontrolní součet. Při opakovaných testech je tento součet vypočten znovu a srovnán s údaji uloţenými v archivu. Pokud se tyto součty liší, je vyhlášen poplach. Z pochopitelných důvodů se tato metoda dá jen těţce vyuţít ke kontrole například dokumentů a podobných souborů, protoţe jejich obsah se v závislosti na čase velmi často mění. Velmi efektivní metodou při odhalování malwaru jsou zabudované rezidentní štíty a scannery. Jedná se o části antivirových systémů, které jsou nahrávány přímo do operační paměti. Tyto štíty mají na starosti testování všech otevíraných souborů a testování boot sektorů všech vkládaných médií stejně jako monitorování chování spuštěných aplikací. Jestliţe některý z programů provádí podezřelé operace, rezidentní štít mu v tom zabrání a například si vyţádá autorizaci takové operace. Ţe uţivatel takovou operaci autorizuje, aniţ by si přečetl, oč se vlastně jedná, je věc druhá Obecně o kvalitě antivirových systémů V současnosti se na trhu nachází nepřeberné mnoţství různých řešení antivirových systémů. Pro běţné uţivatele se tak stává takřka nemoţné se v této nabídce optimálně zorientovat a vybrat si pro zabezpečení systému s platformou Windows adekvátní produkt. Mnohem více softwarových společností, zabývajících se problematikou bezpečnosti počítačových systémů, si uvědomují rizika, která jsou spojena s potenciální infiltrací systému a s ní spojeným únikem citlivých dat a souvislosti s touto skutečností mají snahu zákazníkům nabízet stále větší počet bezpečnostních produktů. Převáţná většina antivirových systémů se v dnešní době distribuuje ve formě komplexních balíků, které obsahují většinu bezpečnostních řešení v souvislosti s moţnostmi napadení osobního počítače. V široké škále případů tedy zahrnují antimalware, antispyware, antispam s podporou běţných ových klientů a v neposlední řadě také softwarový firewall. Bezplatné licence těchto systémů však převáţně obsahují pouze antimalware, proto pro komplexnější řešení zabezpečení, které obsahuje zmíněné součásti, je tedy potřeba si připlatit. 39

40 Pro posouzení kvality určitého antivirového řešení se zpravidla vyuţívá databáze škodlivých kódů, které bývají organizacemi zabývajícími se testováním antivirových programů, pravidelně aktualizovány. Jednotlivé antivirové systémy jsou pouţívány k testování úloţišť s těmito databázemi a tím lze objektivně zjistit, kolik škodlivých kódů z celkového mnoţství odhalí. Součástí těchto databází jsou samozřejmě i neškodlivé kódy, při jejichţ ohlášení se sniţuje spolehlivost detekce antivirů (tzv. planý poplach). Při posuzování kvality antiviru se rovněţ testuje úroveň schopnosti odhalené viry odstranit a nadále tak pro napadený systém nepředstavují ţádné ohroţení. Dále se také testují zmíněné rezidentní štíty antivirových systémů a skenují se nebezpečné webové stránky obsahující škodlivé kódy. Při podrobnějších testech antivirových balíků se rovněţ hodnotí zatíţení hardwarového vybavení počítače, vytíţení počítačového systému během kontroly úloţišť, časová délka kompletních testů, uţivatelská náročnost ovládání, periodicita a dostupnost aktualizací, obsah balíku antivirové distribuce a u komerčních produktů hraje samozřejmě velkou roli i jejich cena Analýza kvality dostupných antivirových systémů Pro zhodnocení kvality jednotlivých antivirových systémů jsem po prozkoumání několika webových portálů zabývajících se danou problematikou zvolil porovnávací testy organizace AV-Comparatives. Testy této organizace se skládají z několika typů dílčích testů pokrývajících nejširší spektrum moţných hrozeb, proto se mi jeví, co se týče nabízených antivirových produktů, jako nejobjektivnější. Dle dostupných materiálů bylo v posledním testu organizace AV-Comparatives podrobeno detailnímu zkoumání celkem 22 antivirových produktů [12]. Všechny tyto antivirové systémy byly testovány na jejich schopnost počítačový systém ochránit před reálnými internetovými hrozbami, identifikovat tisíce nejnovějších škodlivých programů a také na schopnost ochrany počítače ohledně poţadavků na zatíţení jeho hardwarových komponent. Kromě těchto testů, byla tato bezpečnostní řešení testována také na schopnost odstranění malware z infikovaných počítačů, blokovat nové a tudíţ neznámé hrozby a také na schopnost ochránit uţivatele na útoky typu phishing. Tato organizace provádí jednotlivá testování přibliţně jednou za tři měsíce [13]. Uţívané vzorky různých škodlivých kódů jsou z důvodu nezávislosti vytvářeny a sestavovány za pomoci vlastní analýzy. Tyto vzorky jsou sice analyzovány speciálními nástroji AV- Comparatives, ale také nástroji antivirové komunity, nefunkční vzorky jsou odstraňovány a obecně známé vzorky se v hlavním testu nepouţívají vůbec. Počítačové viry jsou prověřeny 40

41 jejich replikací, při které se odhaluje, zda se analyzovaný soubor skutečně chová jako virus. Po otestování dochází k analýze zpracování vzorků a ty jsou poté porovnávány s výsledky testovaných antivirů. Tato provedená analýza má následně vliv na sloţení budoucích testovaných vzorků. Uvedené testy této organizace byly prováděny na počítači Lenovo ThinkPad Twist 3347 s operačním systémem Windows 8 64-bit. Jedná se o hybridní zařízení, které je v podstatě normální ThinkPad notebook s dotykovým displejem, který lze otočit o 180 přes klávesnici a transformovat tak notebook do tabletu, coţ umoţnilo otestovat vhodnost programů pro pouţití s dotykovou obrazovkou. Obrázek 8 - Přehled antivirových systému podrobených testům AV-Comparatives (převzato z Přehled sumáře provedených testů dle AV-Comparatives za rok 2013 uvádím v následující tabulce. 41

42 Výrobce Detekce souborů Proaktivní test Test výkonnosti Test "ze skutečného světa" Antiphishing Detekce souborů ADV+ - (Advanced Plus) je udělené nejvyšší hodnocení, testovaný antivir prošel prakticky bez chyby. ADV - (Advanced) je druhé udělené nejvyšší hodnocení, antivir prošel jen s malými nedostatky. STD - (Standard) je v pořadí třetí udělované hodnocení, antivir prošel většími nedostatky. TESTED - Tento antivir byl testován, ale nebyl z určitých důvodů hodnocen. Nevyplněné pole - Antivir se do daného testu nepřihlásil. Tabulka 1 Portfolio testů za rok 2013 Test výkonnosti Test odstranění malware (upraveno z Test "ze skutečného světa" Březen/13 Březen/13 Duben/13 Červen/13 Červenec/13 Září/13 Říjen/13 Říjen/13 Listopad/13 Kaspersky ADV+ ADV+ ADV+ ADV+ ADV+ ADV+ ADV+ ADV+ ADV+ BitDefender ADV+ ADV+ ADV+ ADV ADV+ ADV+ ADV+ ADV+ ADV+ ESET ADV ADV+ ADV+ ADV+ ADV+ ADV ADV ADV+ ADV+ F-Secure ADV+ ADV+ ADV+ ADV ADV ADV+ ADV+ ADV ADV Avast! ADV ADV ADV+ ADV+ ADV ADV ADV+ ADV+ ADV+ BullGuard ADV+ ADV+ ADV ADV ADV+ ADV+ ADV ADV ADV Fortinet ADV ADV+ STD ADV ADV+ ADV+ STD ADV+ ADV+ Avira ADV+ ADV+ ADV ADV ADV ADV+ ADV+ ADV+ Emsisoft ADV ADV ADV ADV+ ADV ADV+ STD ADV ADV+ Sophos ADV ADV+ ADV ADV ADV+ ADV+ ADV ADV+ Panda ADV STD ADV ADV ADV+ ADV ADV ADV+ ADV escan ADV ADV STD ADV+ ADV ADV ADV ADV ADV G DATA ADV ADV STD ADV+ ADV ADV STD ADV ADV TrendMicro STD ADV ADV+ ADV+ ADV+ STD ADV Qihoo 360 ADV+ STD ADV+ STD ADV+ ADV+ STD Tencent QQ ADV+ ADV+ ADV+ ADV ADV ADV McAfee ADV STD ADV ADV+ ADV STD ADV Vipre STD TESTED ADV STD ADV ADV ADV STD STD Kingsoft ADV+ ADV+ TESTED STD ADV ADV TESTED AVG STD ADV ADV ADV ADV+ STD AhnLab TESTED TESTED TESTED STD ADV ADV TESTED V uvedeném přehledu jsou zahrnuta průběţná hodnocení jednotlivých dílčích testů, na které se zúčastnění zástupci antivirových systémů přihlásili. Jednotlivé antiviry jsou zde seřazeny sestupně a to v pořadí, v jakém se umístily s ohledem na výsledky všech druhů prováděných testů. Jednotlivé testy byly prováděny v různých oblastech moţnosti reálné hrozby a některé také opakovaně v různých časových odstupech. Proto je toto hodnocení společnosti AV-Comparatives z mého pohledu dostatečně objektivní. K vytvoření souhrnného hodnocení zmiňovanou organizací byla provedena široká škála testů a různých recenzí [12]. Udělování výročních ocenění AV-Comparatives pro rok 2013 je zaloţeno na skladbě testů pro tento rok a to zejména na testech ze skutečného světa, testech výkonu, testech detekce napadených souborů, testech planých poplachů (pro všechny povinné) a testech úspěšnosti odstraňování malware, proaktivních testech a antiphishingovych testech (nepovinné). Dodavatelé antivirových řešení, kteří se nezúčastnili 42

43 některých volitelných testování, jsou dále způsobilí pro získání nejvyšších ocenění, ale samozřejmě mají moţnost získat o to menší počet bodů. Jasným vítězem pro rok 2013 se dle této organizace stal antivirový systém od softwarové společnosti Kaspersky Lab, který získal ocenění Product of the year. Antivirové řešení od této společnosti získalo ve všech hlavních testech prováděných v minulém roce ojediněle ocenění Advancved+. Ačkoli toto hlavní ocenění můţe získat produkt jen jeden, je také organizací AV- Comparatives udělováno ocenění označované jako Top Rated. Toto ocenění získaly takové antivirové systémy, které získaly minimálně 105 bodů při udělování bodů dle následujícího modelu: Tested = 0 bodů, Standard = 5 bodů, Advanced = 10 bodů a Advanced+ = 15 bodů. Tuto cenu získala antivirová řešení od společností Avast, AVIRA, Bitdefender, BullGuard, ESET, Fortinet a F-Secure. Pro široké spektrum uţivatelů je určitě také velmi důleţité zatíţení na systém, které při svých operacích antivirový systém vyvolává. Jednotlivá vytíţení operačního systému Windows 8.1 se zapnutou funkcí Microsoft Windows Defender pro konkrétní antivirová řešení, která společnost AV-Comparatives naměřila za uţití vlastních nástrojů a softwaru PC Mark 8, uvádím v následujícím grafu [14]. Graf 1 - Test výkonnosti (zatížení systému) (převzato z 43

44 Stěţejní pro komplexní hodnocení zatíţení počítačového systému antivirovým programem byly jednotlivé dílčí testy zaměřené především na přidání/rozbalení do/z archivu, instalace a uninstalace aplikací, kódování či překódování, otevírání dokumentů Office a PDF a to jak při prvním, tak i opakovaným spuštění příslušných aplikací a také na stahování souborů z Internetu. Dle květnového testu z roku 2014 se vítězi v této oblasti hodnocení antivirových systémů staly produkty společností Baidu, Bitdefender, Kaspersky Lab, Avira, Fortinet, ESET, Lavasoft, Qihoo, AVG, Avast a Sopshot, které dosáhly v této kategorii hodnocení Advanced+ a v uvedené grafu se nacházejí pod bílou přerušovanou čarou Softwarové firewally Mnohdy také označované jako personální firewally mají za úkol v rámci své základní funkce kontrolovat jednotlivé pakety síťové komunikace. Jejich instalace na cílové počítače skýtá zajímavé moţnosti zabezpečení [11, s ]. Předně je moţné věnovat analýze přenášených dat prostřednictvím sítě o mnoho více strojového času, poněvadţ se kontroluje vţdy komunikace spojení s jedním cílovým počítačem, nikoliv obecně nespočetné mnoţství, jako je tomu u síťových firewallů. Dále je moţné nakonfigurovat personální firewall přímo podle poţadavků konkrétních uţivatelů. Například pokud jeden uţivatel v celé síti pouţívá protokol FTP, je moţné příslušné porty povolit jen jemu na lokálním personálním firewallu. Další výhodou softwarového firewallu je jeho nezměněná funkčnost i v případě, ţe se daný počítač ocitne mimo zabezpečenou firemní síť. Konfigurace softwarového firewallu není nikterak sloţitá, ale vyţaduje zásah patřičně kvalifikovaného uţivatele. V počátečním nastavení bývá obvykle veškerý síťový provoz zakázán. Při kterémkoliv pokusu o navázání spojení relace je uţivatel upozorněn zobrazením s výzvou o povolení nebo zakázaní takového spojení. Ve většině případů lze také přímo vytvořit pravidlo, které obdobná spojení povolí či zakáţe v budoucnosti. Mezi další funkcionality takovýchto firewallů patří také blokování podezřelých IP adres, monitorování pokusů o změnu systémových souborů, sledování vstupních údajů z klávesnice a zabraňuje pokusům o jejich následné odeslání apod Analýza kvality dostupných softwarových firewallů V rámci analýzy personálních firewallů jsem se rozhodl vycházet z mezi odborníky nejuznávanějšího webového portálu, který se testováním firewallů pro OS Windows zaobírá, a to portálu 44

45 Tento uznávaný projekt zkoumá softwarová bezpečnostní řešení na trhu většinou dostupných jako Internet Security Suites, personální firewally, HIPS (Host-based Intrusion Prevention System), monitory blokující podezřelé chování, tzv. behaviour blockers a další podobné produkty [15]. Pro zahrnutí do projektu musí tato řešení splňovat určitá stanovená kritéria. Pro tuto práci jsem si vybral kompletní test bezpečnostních řešení vytvořených pro 64- bitový operační systém, neboť v dnešní době je jiţ takovýto OS povaţován na standard. Cílem je vyhodnocení různých schopností těchto bezpečnostních produktů k ochraně operačního systému a citlivých dat uţivatele. Produkt, který uspěl v hodnocení Proactive Security Challenge 64, které je organizací matousec.com prezentováno, je schopen blokovat známé techniky pouţívané škodlivými programy k odcizení nebo poškození identity uţivatele či dat, infikování a setrvání v systému a obejití ochrany implementované v samotných bezpečnostních produktech. Testované výrobky jsou instalovány na virtuální počítač s operačním systémem Microsoft Windows 7 64-bit Service Pack 1 s vypnutým řízením uţivatelských účtů a s výchozím prohlíţečem Internet Explorer 9. Instalované produkty jsou nakonfigurovány na nejvyšší moţné pouţitelné zabezpečení a testované pouze s touto konfigurací. Produkty během testu Proactive Security Challenge 64 prochází několika zkušebními úrovněmi testování. Kaţdá taková úroveň obsahuje vybranou sadu testů a během nich jsou aplikace bodovány a pro splnění dané úrovně musí dosáhnout konkrétní bodové hranice. Bezpečnostní produkty, které dosáhnou bodové hranice úrovně 1, jsou následně testováni na úroveň 2 a tak dále, dokud nedosáhnou nejvyšší úrovně nebo v testech dané úrovně neuspějí. Všechny testy v této sadě jsou k dispozici se zdrojovými kódy. Pouţití otevřených sad testů je nezbytné pro transparentnost těchto testů v co nejširší moţné míře. V kaţdé úrovni testů můţe testovaný výrobek dosáhnout 0 aţ 100 bodů, čili absolvuje daný level se skóre 0% aţ 100%. Je také třeba poznamenat, ţe tyto zkušební programy nejsou dokonalé a v mnoha případech se pouţívají metody, které nezaručují zcela objektivní rozpoznání, zda daný produkt v testu prošel nebo naopak selhal. Oficiální výsledek testu je vţdy podstoupen k posouzení zkušenému testerovi k odfiltrování falešných pozitivních výsledků. Tyto výsledky jsou však zcela ojedinělé a jsou eliminovány lidským faktorem. Aktualizované výsledky testování Proactive Security Challenge 64 dostupných firewallových řešení z května 2014 jsou znázorněny v tabulce uvedené níţe. 45

46 Produkt Hodnocení produktu Dosažená úroveň Úroveň ochrany Comodo Internet Security Premium % 11+ Výborná Outpost Security Suite Pro % 11 Výborná Kaspersky Internet Security % 11 Velmi dobrá Privatefirewall % 11 Velmi dobrá SpyShelter Firewall % 11 Velmi dobrá Outpost Security Suite Free % 11 Dobrá VirusBuster Internet Security Suite % 10 Dobrá Jetico Personal Firewall % 10 Špatná ESET Smart Security % 9 Špatná ZoneAlarm Extreme Security % 6 Velmi špatná ZoneAlarm Free Antivirus + Firewall % 6 Velmi špatná Total Defense Internet Security Suite % 6 Velmi špatná Dr.Web Security Space % 4 Ţádná Webroot SecureAnywhere Complete % 4 Ţádná BullGuard Internet Security % 3 Ţádná escan Internet Security Suite % 3 Ţádná K7 TotalSecurity % 2 Ţádná Norton Internet Security % 2 Ţádná avast! Internet Security % 2 Ţádná TrustPort Total Protection % 2 Ţádná AVG Internet Security % 2 Ţádná Bitdefender Total Security % 2 Ţádná Avira Internet Security % 2 Ţádná PC Tools Internet Security % 2 Ţádná FortKnox Personal Firewall % 2 Ţádná F-Secure Internet Security % 2 Ţádná ThreatFire % 2 Ţádná Arcabit Internet Security % 1 Ţádná G Data TotalProtection % 1 Ţádná Norman Security Suite PRO % 1 Ţádná Ad-Aware Total Security % 1 Ţádná McAfee Total Protection % 1 Ţádná Panda Global Protection % 1 Ţádná Rising Personal Firewall v % 1 Ţádná UnThreat Internet Security % 1 Ţádná AhnLab V3 Internet Security % 1 Ţádná VIPRE Internet Security % 1 Ţádná Tabulka 2 - Vyhodnocení "Proactive Security Challenge 64" (upraveno z 46

47 47

48 V uvedené tabulce jsou jednotlivé produkty seřazeny sestupně dle jejich dosaţeného hodnocení. V této tabulce jsou také uvedeny přesné verze testovaných firewallů. Je zde také uveden sloupec Dosaţená úroveň, ve které je uvedena nejvyšší dosaţená úroveň produktu v hodnocení Proactive Security Challenge 64. Jasným vítězem tohoto klání je Comodo Internet Security Premium ve verzi Distribuce Comodo Firewall je navíc dostupná zcela zdarma. 48

49 3. Aktivní prvky v malé počítačové síti Jelikoţ je tato práce věnována moţnostem zabezpečení osobních počítačů, nebudu se v této kapitole věnovat popisu všech moţných aktivních prvků sítí, jejími topologiemi a podobně, nýbrţ se převáţně zaměřím na takové prvky sítě, které jsou přímo určeny k ochraně interní firemní sítě a je tedy moţné je dle poţadavků na bezpečnost jasně konfigurovat. V této kapitole popíši tedy moţnosti zabezpečení hardwarovými prvky, jako jsou firewally, brány a proxy servery [16, s ]. Jejich zapojení a vyuţití chrání firemní počítačovou síť tak, ţe pro útočníka nacházejícího se mimo tuto síť je získávání autorizovaného přístupu k privátní síti o poznání těţší. Firewally monitorují síťový provoz, který jimi prochází a řídí tak povolení a blokaci té které komunikace, přičemţ rozhodujícím faktorem rozhodnutí o povolení či blokaci je filtr. Zadání pro tento filtr je zaloţené na informacích v záhlaví paketu a to převáţně na zdrojové a cílové adrese, protokolu a dalších. Sloţitější firewally dále nabízejí moţnost analyzovat pakety na aplikační vrstvě (hluboká inspekce paketů, DPI). Firewall dále provádí překlad síťových adres (NAT), který přebírá poţadavky od klientů z veřejné sítě a předává je do sítě privátní. Díky tomu je počítačový systém v privátní síti schopen si zachovat anonymitu, přičemţ na něj lze směrovat síťový provoz. Brány jsou systémy, které jsou umísťovány mezi dvě různé sítě jako jejich rozhraní, přičemţ operují na aplikační vrstvě, a jsou zde instalovány za účelem zabezpečení komunikace. Proxy servery jsou de facto hybridy firewallů a bran. Zastupují systémy v privátní síti, od kterých přijímají různé poţadavky a vrací jim na ně odpovědi. Mnohé z nich lze také nastavit jako reverzní proxy, které odlehčují aplikačním a síťovým sluţbám, před něţ jsou instalovány Firewally Míněné jako hardwarové prvky sítě jsou skupinou ochranných opatření, které izolují a chrání systémy interní sítě před útoky zvenčí. Základní myšlenkou firewallů je oddělení počítačových sítí prostřednictvím hardwarového zařízení (fyzických síťových rozhraní) v jednom počítači, přičemţ se jedná o tzv. fyzickou izolaci sítí. Firewall navíc můţe tento prvek komunikovat do externí sítě jedním protokolem a do vnitřní sítě protokolem zcela odlišným. Tato izolace je nazývá izolace protokolová. V současné povaze moderních 49

50 počítačových sítí je takřka nemyslitelné připojení jakéhokoliv systému do Internetu bez instalace zmiňovaného bezpečnostního prvku. Na trhu jsou dostupné velmi jednoduché i zcela komplexní řešení hardwarového firewallu. Obecně lze hardwarové firewally rozdělit do několika následujících skupin: firewally ve směrovačích (routerech), hardwarové firewally niţší kategorie, hardwarové firewally vyšší kategorie, proxy firewally, serverové firewally. Při výběru vhodného firewallu je v souvislosti s aktuálními potřebami nutné uvaţovat tři tyto rozhodující faktory: jejich vlastnosti, výkonnost (měřená propustností), cena. V současnosti však neexistuje ţádný standardní test výkonnosti a samotní výrobci velmi neradi prozrazují metriky, kterými propustnost svých výrobků měří Vlastnosti firewallů Fungování firewallů je zaloţeno na sadě pravidel uplatňovaných na veškerý provoz, který skrze ně prochází. Buď tedy předá komunikaci dále, nebo pakety zablokuje. V závislosti na konkrétním modelu, firewally jsou filtry, které pracují na síťových vrstvách a to od druhé (síťové) aţ po sedmou (aplikační) vrstvu modelu OSI. Při analýze a hodnocení firewallů lze jasně identifikovat tyto následující vlastnosti: Filtrování paketů je činnost, při které se čtou data ze záhlaví IP paketu a na základě definovaných pravidel je komunikace povolena nebo zamítnuta. Toto filtrování můţe být aplikováno na příchozí i odchozí provoz. Vstupní filtry na síťovém rozhraní jsou filtry blokující data na základě rozsahu IP adres, čísel protokolů a portů. Překlad síťových adres (NAT) je konverzí provozu, který přichází z jedné sítě, a změnou adresace před jeho předáním některému systému v síti druhé. Tento překlad je zaloţen na tabulce předepisující pravidla pro překlad a je schopna pracovat 50

51 i s privátními sítěmi, které nelze jinak směrovat. Překlad síťových adres není vlastností charakteristickou pro firewally (častěji bývá spojována s routery a proxy servery), ale nabízí funkci, která skrývá IP adresy interních počítačů, coţ je z hlediska bezpečnosti velmi důleţité. Stavová inspekce je vlastnost firewallů, která kontroluje odchozí pakety a zaznamenává je do stavové tabulky. V případě, ţe komunikace přichází zpět a je odpovědí jiného systému mimo firewall, analyzuje se aktuálně platná stavová tabulka a dojde k rozhodnutí o předání či nepředání paketu dále. Tyto stavové filtry jsou sice účinnější, ale vyţadují více reţijních nákladů a jsou tudíţ pomalejší neţ statické filtry. Inspekce okruhů je filtr, který se místo pakety nebo spojeními ve stavové tabulce zabývá celými relacemi. Je očekávána relace spuštěná uzlem uvnitř za firewallem, přičemţ jsou podporované aplikace, které v rámci relace zakládají více spojení. Toto se týká převáţně protokolů HTTP, FTP a multimediálního streamování. Tento filtr ztěţuje útoky, jakými jsou falšování IP (spoofing), odmítnutí sluţby DoS a rozpoznávání. Odpovídající stavové inspekční filtry nejsou převáţně proti útokům DoS příliš účinné. Proxy firewally slouţí jako prostředník mezi uţivatelem vně firewallu a počítačovým systémem uvnitř. Tyto prvky zavádějí dvě oddělená spojení, kaţdé na jedné straně firewallu. Vnější klient z jeho pohledu komunikuje pouze s proxy serverem, který můţe tuto komunikaci zefektivnit zapojením mezipaměti (cache) pro často nebo nedávno pouţívaná data nebo ověřováním platnosti protokolů. Je schopen také zavést autentizaci na základě identifikace uţivatelů či skupin a pro ně řídit provoz zcela individuálně. V komunikaci navíc lze kontrolovat viry, červy a trojské koně a v neposlední řadě proxy firewally také nabízejí omezenou ochranu na aplikační vrstvě. Aplikační filtry jsou technologií hloubkové inspekce paketů (DPI). Tyto filtry jsou nejkomplexnější, ale zároveň také nejpomalejší z hlediska výkonnosti ze všech filtrovacích technik. Tyto filtry zkoumají nejen pakety, ale i data, která obsahují a jsou dokonce schopny je i modifikovat Firewally ve směrovačích V routerech se často nacházejí základní funkce firewallu. Většinou podporují blokování adres a portů a poskytují sluţbu NAT, z důvodu zakrytí privátních síťových adres. Základní routery zpravidla bývají nabízeny poskytovateli připojení k Internetu (tzv. Internet providery). 51

52 Tyto směrovače však mají jen minimum konfigurovatelných voleb, proto je důleţité, aby byly pro domácí uţivatele od výrobců či dodavatelů nakonfigurované tak, aby efektivně blokovaly neţádoucí internetový provoz. Obvykle je ale nutné alespoň změnit přihlašovací údaje správce. I dalších konfiguračních zásahů je schopen obvykle i méně zkušený uţivatel prostřednictvím webového prohlíţeče. Kombinace routerů s firewally jsou pro administrátory velice pohodlné z důvodu řízení obou prvků z jednoho místa a některé z nich mají i příznivou cenu. Takové levné routery niţší kategorie mají však omezenou funkčnost, poskytují jen základní kontroly, vyţadují velké konfigurační zásahy z důvodu jejich efektivnosti a mají omezenou propustnost a to hlavně se zapnutou funkcí zaznamenávání provozu Hardwarové firewally Jsou jednoúčelová zařízení s funkcí firewallu. Soustředí se především na oblast bezpečnosti, zatímco schopnosti směrování jsou poněkud omezené. Základní skupinou hardwarových firewallů jsou jednoduché prvky, které po zapojení ihned fungují a jsou určené pro segment malých a domácích sítí, eventuelně pro sítě malých společností Hardwarové firewally nižší kategorie Při pohledu na levnější řešení v této kategorii, nalezneme v něm statické filtrování paketů, funkci NAT, filtrování adres a portů, vzdálené filtrování a podporu deseti aţ několika tisíc souběţně připojených uţivatelů, ale přičemţ se obvykle uplatňuje omezení do padesáti uţivatelů. Tyto prvky nabízí jen malou výkonnost a slabé moţnosti upgradu, proto jsou kombinace směrovače a firewallu oblíbenější, poněvadţ nabízejí více funkcí v zásadě za stejnou cenu Hardwarové firewally vyšší kategorie Firewally této kategorie jsou zcela odlišné. Jejich hlavními kritérii jsou neproniknutelnost, vysoký výkon a vysoká míra dostupnosti. Zpravidla bývají instalovány ve velkých podnikových sítích a u poskytovatelů připojení. Do velké skupiny z nich je zabudována odolnosti vůči výpadku ve formě moţnosti nasazení záloţního systému. Nejvýkonnější firewally v této kategorii mívají obvykle některé z pokročilejších funkcí pro zvýšení výkonnosti. Při jejich výběru je třeba uvaţovat zejména tyto jejich vlastnosti: 52

53 Počet gigabitových ethernetových nebo vysokorychlostních optických rozhraní vyšší rychlost vstupních a výstupních síťových rozhraní vede k lepší propustnosti. Robustní ukládání dat do mezipaměti (cache) tato podpora zásadně ovlivňuje výkonnost, ale pro svou činnost potřebuje vyhrazené diskové zdroje. Služby webové proxy a reverzní proxy tyto sluţby fungují jako zástupci jiné sluţby nebo aplikace. Chovají se, jako kdyby příslušné sluţby poskytoval proxy server. Odlehčení při šifrování a dešifrování protokolem IPsec vyhrazenými subsystémy toto šifrování se pouţívá pro virtuální privátní sítě (VPN) a pro vystavení sluţeb interní sítě na Internetu. Odlehčení SSL šifrování protokolem TLS/SSL je velmi náročná na výpočetní moţnosti procesoru. SSL akcelerátor, který odlehčuje zpracování na hlavním procesoru, sniţuje nároky na systémy, které jsou předřazeny před webové servery a zakončují místo nich SSL spojení přímo na firewallu. Celková výkonnost webového serveru se díky SSL akcelerátoru můţe rapidně zvýšit. Modularita a škálovatelnost důleţitá je také moţnost přidání dodatečných funkcí subsystému dle potřeby. Vlastnosti, které odlišují tyto firewally od ostatních zařízení, zahrnují podporu filtrování na aplikační vrstvě, zdokonalené záznamy provozu a alarmy, schopnost upgradu, silnou podporu od výrobce a hlavně také vysokou cenu. Hardwarové firewally nejvyšší řady podporují aţ souběţně připojených uţivatelů. Z důvodu náročných schopností těchto prvků by organizací měla být vyškolena jejich obsluha nebo zabezpečena administrace outsourcingem Serverové firewally Jeden z hlavních rozdílů mezi serverovými firewally a hardwarovými firewally vyšší kategorie, které jsou dodávány se speciálně upraveným hardwarem, a vlastním operačním systémem, je, ţe serverové firewally jsou implementované jako software pracující nad standardním serverovým operačním systémem. Výhodou tohoto řešení je, ţe personál koncového uţivatele zná tento operační systém lépe (není taková nutnost školení a podpory), hardware lze lépe přizpůsobit aktuálním potřebám a k dispozici je vícero moţných řešení. Z hlediska funkcionality jsou mezi těmito typy firewallů jen malé rozdíly. Serverové firewally se však snadněji integrují do sítě a jsou lépe škálovatelné. Nevýhodou je však fakt, 53

54 ţe serverové firewally potřebují vyšší řadu hardwaru, aby zvládly stejný výkon jako hardwarové firewally. Navíc díky dobře známému operačnímu systému a prostředí jsou serverové firewally mnohem náchylnější na útoky neţ jejich hardwarové protějšky. 54

55 3.2. Bezpečnostní brány Bezpečnostní brány jsou zařízení pracující na aplikační vrstvě. Jsou to v podstatě rozhraní mezi různými sítěmi a mohou mít podobu hardwarových zařízení nebo softwaru instalovaného na servery, přičemţ se v nich odehrává jistá forma konverze protokolů. Na zmíněné aplikační vrstvě můţe brána převádět jeden typ souboru na druhý, na prezentační vrstvě můţe konverze spočívat v nahrazení jednoho druhu šifrování za jiný, popřípadě můţe provádět i jiné funkce. Brány jsou také schopny převodu na transportní či síťové vrstvě. Faktem tedy je, ţe brána je obecný termín pro zařízení fungující na libovolné vrstvě modelu OSI. Aby brána byla schopna plnit svou roli v překladu komunikace mezi dvěma sítěmi, musí často fungovat jako router i jako switch (přepínač). Brány tedy obvykle hrají i roli proxy serveru nebo firewallu. Odtud také pojem bezpečnostní brány pochází Proxy servery Proxy server je počítač nebo aplikace, která slouţí jako prostředník mezi klientem a nějakou síťovou sluţbou. Poţadavky klienta jsou přejímány sluţbou proxy a dále jsou předávány serveru. Následně je výsledek zaslán zpět, opět přes proxy, klientovi. Proxy tak provádí funkci přesměrování, ale samotné zpracování poţadavku neprovádí. Zároveň je však jediným systémem, který je v komunikaci vidět jak ze strany klienta, tak ze strany serveru. Aplikační proxy server předává poţadavky s určitými úpravami (typické pro brány), tudíţ je moţné spojit se zpracováním poţadavku nějaké další akce. Proto se proxy server jeví jako jakýsi kříţenec mezi firewallem a bránou. Je schopen komunikovat protokolem HTTP s webovým serverem i prohlíţečem klienta, stejně tak jako protokolem SMTP se serverem elektronické pošty nebo protokolem FTP s FTP serverem. Proxy servery se vyskytují v podobě hardwarových zařízení i softwarových aplikací. Zároveň mají hodně funkcí, které lze nalézt na zařízeních typu firewall. Mají však zásadní nedostatek a tím je jejich neschopnost ošetřit zašifrovaný provoz, který je obvykle předáván dále, aniţ by na něj byly uplatněny filtry pro datový obsah Transparentní proxy servery a bezpečnostní léčky Proxy servery je moţné vyuţít také jako prostředek ke zkoumání provozu mezi dvěma koncovými body. Jedním z důvodů je zachytávání provozu a uvalovat na něj jisté 55

56 bezpečnostní zásady. Tomuto systému se říká záchytný (intercepting) proxy server. V jiném případě se jedná o bránu, která můţe být vůči uţivateli zcela neviditelná (transparentní). Další vyuţití proxy serverů spočívá v jejich nastavení na tzv. bezpečnostní léčky (honeypots). Jedná se o návnady pro neautorizované uţivatele sítě, kteří jsou nalákáni do pasti, která se tváří jako významný síťový systém. Aktivity těchto uţivatelů jsou sledovány a v ideálních případech dochází k odhalení těchto osob. Bezpečnostní léčka by neměla ve skutečnosti obsahovat ţádná hodnotná data, poněvadţ jejím hlavním cílem je umoţnit útočníkovi průnik a tak musí být pečlivě izolována od skutečně podstatných systémů Reverzní proxy servery Ve všech uvedených případech slouţí proxy server klientům, kterým zprostředkovává nějakou sluţbu. Existuje však ještě jiná forma proxy serveru, která se nazývá reverzní a slouţí naopak serveru, kterému je uvaţovaný proxy server předřazen, a přijímá místo něho poţadavky od klientů zvenčí. Nejčastěji se pouţívá reverzní proxy server v kombinaci s webovým serverem za účelem dodatečného zpracování, zabezpečení nebo odlehčení hlavního systému. 56

57 Interní síť 4. Návrh optimální konfigurace zabezpečení V této kapitole se zaměřím na optimální konfiguraci zabezpečení. Stručně popíši návrh zabezpečené počítačové sítě imaginární organizace provozující určitý IS, aby bylo zřejmé, kde se uvaţovaný osobní počítač nachází. Následně se budu věnovat konfiguraci samotného operačního systému a dále instalaci bezpečnostních aplikací dodávaných softwarovými společnostmi k zajištění komplexní ochrany PC Bezpečná počítačová síť Bezpečná počítačová síť je základním stavebním kamenem v oblasti zabezpečení osobních počítačů proti přístupu neoprávněných uţivatelů zvenčí. Na následujícím obecném příkladu popíši návrh struktury zabezpečené firemní sítě s ohledem na uţití určitého IS. Tuto uvaţovanou strukturu počítačové sítě lze dle Obrázek 9 - Struktura zabezpečené počítačové sítě rozdělit do několika síťových zón s různými úrovněmi bezpečnosti, které následně popíši. Hraniční síť Demilitarizovaná zóna (DMZ) INTERNET Hraniční router Hraniční switch Hraniční firewall Switch Webový server Switch Interní Firewall Interní router Přístupový bod WI-FI Podsíť s osobními počítači Server elektronické pošty Databázový server Aplikační server Obrázek 9 - Struktura zabezpečené počítačové sítě (vytvořeno v aplikaci Microsoft Visio 2013) 57

58 Síťové zóny Jak je patrné z uvedeného obrázku, jednotlivé hardwarové firewally oddělují oblasti podnikové sítě do zón s různými úrovněmi důvěryhodnosti [16, s ]. Tato třívrstvá podniková síť se tedy skládá z těchto síťových zón: Internet zde se jedná především o síťové zóny bez jakékoliv důvěryhodnosti. Veškeré příchozí pakety jsou podezřelé, dokud nejsou podrobně zanalyzovány. Hraniční síť se skládá především z routeru, který je viditelný z Internetu. Hraniční směrovač má jedno rozhraní směrem do Internetu a druhé interní rozhraní s první z řady privátních síťových adres, kterými je očíslována interní síť. Tato zóna končí na odchozím rozhraní hraničního firewallu chránícího perimetr. Hraniční router provádí překlad adres. Jeho dvě rozhraní obstarávají vzájemnou fyzickou izolaci sítí. To také platí pro ostatní směrovače a firewally uvedené v tomto příkladu. Při kaţdé změně příslušenství v dané síti, zvláště pokud se jedná o síť interní, roste úsilí nutné pro překonání firewallu exponenciálně. Hraniční firewall je firewall označovaný také jako firewall na perimetru a jeho hlavním úkolem je komunikace s demilitarizovanou zónou (DMZ). Obecně platí, ţe jediný druh provozu, který můţe projít skrze hraniční směrovač, je HTTP na portu 80 a HTTPS na portu 443. Jestliţe je v DMZ umístěn FTP server, měly by být otevřeny porty 21 a 20 stejně tak, jako by měly být povelené všechny porty nutné pro provoz sluţeb v síti DMZ. Demilitarizovaná zóna (DMZ) je oblast se střední úrovní důvěryhodnosti, která obsahuje většinou do Internetu vystavené webové servery a brány elektronické pošty. Systémy v DMZ by měly obsahovat pouze veřejné informace. Komunikace do DMZ má jistá volnější pravidla, přičemţ se zde mohou například spouštět skripty v prostředí webových serverů, ale většina aktivit bývá zakázána. Demilitarizovaná zóna sahá od příchozího rozhraní hraničního firewall po odchozí rozhraní interního firewallu. Interní firewall tento firewall provádí další překlad adres, který zahrnuje další interní privátní síť. Provoz z demilitarizované zóny do interní sítě podléhá jiné sadě pravidel, která je méně restriktivní, neţ jakou má hraniční firewall. Komunikace je poté předávána dále internímu směrovači. 58

59 Interní síť LAN se skládá z důvěryhodných počítačů, zařízení a dalších systémů. Ty jsou analogicky předmětem nejmenšího počtu omezení ze všech sítí uvedených na Obrázek Shrnutí bezpečnosti sítě Uvedený příklad je dostatečně komplexním řešením. Je zde patrné umístění firewallů a dalších komponent, které se v malé nebo domácí síti nenachází. Ve většině případů je připojení k Internetu zakončeno ve směrovači (formou kabelového nebo DSL modemu) a tento směrovač je dále propojen s firewallem, který má přímou linku do interní sítě. Pokud má firewall tři nebo více rozhraní, lze síť nakonfigurovat tak, ţe směrovač interní síť LAN a vyňatá DMZ jsou připojeny do různých síťových rozhraní. Nejčastější konfigurace v malých a domácích sítích obnáší připojení do Internetu přes kabelový modem, který navíc hraje roli rozbočovače, přepínače i přístupového bodu WI-FI, zatímco postrádá funkce směrovače a firewallu, avšak tuto konfiguraci nepovaţuji z hlediska bezpečnosti za dostatečnou Konfigurace operačního systému Microsoft Windows 8 V této podkapitole popíši optimální konfiguraci operačního systému Microsoft Windows 8 s ohledem na dodrţování základních bezpečnostních pravidel. Bod po bodě projdu kompletní nastavení systému od konfigurace účtů pro přístup do OS, nastavení místních zásad zabezpečení, zásad hesel, nastavení zásad auditu aţ po konfiguraci zabezpečení spořičem obrazovky a zákazu automatického spouštění vloţených médií. Při konfiguraci zabezpečení operačního systému Microsoft Windows 8 doporučuji v zásadě postupovat takto: 1. V BIOSu počítače nastavit heslo pro provádění změn SUPERVISOR PASSWORD s ohledem na dodrţování zásad sloţitosti hesla (alespoň 12 znaků, malá a velká písmena bez diakritiky, číslice, speciální znaky). 2. Přihlásit se jako správce počítače člen skupiny Administrators. 3. Spustit nástroje pro správu počítače (ukazatelem myši sjet do levého dolního rohu plochy kliknout pravým tlačítkem zvolit Správa počítače. 4. V odráţce Místní uživatelé a skupiny Uživatelé nastavit účet pro správu OS Administrator pravým tlačítkem myši: 59

60 a) Nastavit platné heslo s ohledem na dodrţování zásad sloţitosti hesla (alespoň 12 znaků, malá a velká písmena bez diakritiky, číslice, speciální znaky). b) Ve vlastnostech zrušit veškerá zaškrtnutí, kromě Heslo je platné stále. Obrázek 10 - Nastavení účtu Administrator 5. Nastavit uţivatelské účty do OS: a) Zřídit uţivatelské účty a ve vlastnostech, záloţce Je členem přiřadit do skupiny Users. b) Ve vlastnostech zrušit veškerá zaškrtnutí. Obrázek Nastavení uživatelského účtu Obrázek Přiřazení do skupiny Users 60

61 6. Nastavit moţnost přihlášení a odhlášení spuštěním konzole pro editaci zásad skupiny příkazem gpedit.msc a vybrat poloţku Místní počítač zásady Konfigurace počítače Šablony pro správu Systém Přihlášení. Zde nastavit hodnotu Povoleno u poloţek Skrýt vstupní body pro Rychlé přepínání uživatelů a Vždy povolit klasické přihlašování. Obrázek 13 - Navigace na položku Přihlášení Obrázek 14 - Zásady přihlášení 61

62 62

63 7. Nastavit log Zabezpečení takto: a) Spustit Prohlíţeč událostí (Ovládací panely Nástroje pro správu Prohlížeč událostí Protokoly systému Windows Zabezpečení). b) Nastavit velikost logu Zabezpečení na hodnotu a zaškrtnout volbu Archivovat protokol, nepřepisovat události (pravým tlačítkem na odráţce Zabezpečení a zvolit Vlastnosti ). Obrázek 15 Prohlížeč událostí Obrázek 16 - Nastavení protokolu Zabezpečení 63

64 8. Nastavit Zásady účtů takto: a) Spustit konzolu pro nastavení místních zásad příkazem secpol.msc /s. b) Konfigurovat Zásady hesla : Heslo musí splňovat požadavky na složitost Povoleno, Maximální stáří hesla 90 dnů, Minimální délka hesla 10 znaků, Vynutit použití historie hesel 3 hesel zapamatováno. c) Konfigurovat Zásady uzamčení účtu : Doba uzamčení účtu 10 min., Prahová hodnota pro uzamčení účtu 3 chybných pokusů, Vynulovat čítač pro uzamčení účtu po 10 min. Obrázek 17 - Zásady hesla Obrázek 18 Zásady uzamčení účtu 64

65 9. Nastavit Místní zásady takto: a) Konfigurovat Zásady auditu : Auditovat používání oprávnění Neúspěšné pokusy, Auditovat správu účtů Úspěšné, Neúspěšné pokusy, Auditovat systémové události Úspěšné, Neúspěšné pokusy, Auditovat události přihlášení Úspěšné, Neúspěšné pokusy, Auditovat události přihlášení k účtu Úspěšné, Neúspěšné pokusy, Auditovat změny zásad Úspěšné, Neúspěšné pokusy. Obrázek 19 - Zásady auditu b) Konfigurovat Možnosti zabezpečení : Interaktivní přihlašování: Nevyžadovat stisknutí kláves Ctrl+Alt+Del Zakázáno, Interaktivní přihlašování: Nezobrazovat naposledy použité uživatelské jméno Povoleno, Účty: Přejmenovat účet hosta Guest_anonymous, Účty: Stav účtu hosta: Zakázáno. Obrázek 20 - Možnosti zabezpečení Interaktivní přihlašování 65

66 Obrázek 21 - Možnosti zabezpečení - Účty 10. Vypnout automatické přehrávání tímto způsobem: a) Spustit konzoli pro editaci zásad skupiny příkazem gpedit.msc. b) V odráţce Místní počítač zásady Konfigurace počítače Šablony pro správu Součásti systému Windows Zásady automatického přehrávání nastavit poloţku Vypnout automatické přehrávání na Povoleno. Obrázek 22 - Vypnutí automatického přehrávání 11. Nastavit ochranu spořičem obrazovky takto: a) Přihlásit se jako uţivatel skupiny Users. b) Konfigurovat spořič obrazovky: Při obnovení zobrazit přihlašovací obrazovku, časový interval stanovit na 15 minut. c) Odhlásit uţivatele a následně se přihlásit jako Administrátor. d) Spustit konzoli pro editaci zásad skupiny příkazem gpedit.msc. e) V odráţce Místní počítač zásady Konfigurace uživatele Šablony pro správu Ovládací panely Přizpůsobení nastavit poloţku Zabránit změnám spořiče obrazovky. 66

67 Obrázek 23 - Ochrana změn spořiče obrazovky 4.3. Instalace bezpečnostních aplikací třetích stran Nedílnou součástí zabezpečení osobních počítačů je také instalace bezpečnostních aplikací, které jsou přímo pro ochranu počítačových systémů vytvářeny. Je zřejmé, ţe tyto produkty budou o poznání lepší, neţ aplikace integrované ve Windows, jelikoţ firmy, které tyto produkty nabízejí, se převáţně specializují pouze na oblast bezpečnosti. Při analýze kvality dostupných bezpečnostních produktů jsem dospěl k závěru, ţe nejlepšími ochrannými prostředky pro osobní počítač jsou produkty od společností Kaspersky Lab a Comodo. Konkrétně jsem tedy pro 64-bitový operační systém Windows 8 vybral instalaci aplikací Kaspersky Internet security 2014 a Comodo Firewall Instalace Kaspersky Internet security multi device 2014 Dle analýzy hodnocení organizace AV-Comparatives byl tento produkt společnosti Kaspersky Lab vyhlášen jako jasně nejlepší způsob zabezpečení osobního počítače. Kaspersky Internet Security multi-device 2014 je snadno pouţitelné řešení pro více platforem, neţ je jen Windows, které vyţaduje jedinou licenci a ochrání prakticky jakoukoli kombinaci počítačů se systémy Windows, Mac a Android [17]. Například s licencí pro pět zařízení je uţivatel schopen zabezpečit: 1 stolní počítač, 2 notebooky a 2 smartphony se systémem Android nebo 2 smartphony se systémem Android, 1 tablet se systémem android a 2 notebooky se systémem Windows apod. 67

68 Zároveň lze během licenčního období měnit chráněná zařízení a přesouvat ochranu z jednoho zařízení na druhé. Tento bezpečností balíček samozřejmě zajišťuje okamţité sledování všech aplikací a souborů, se kterými je manipulováno, a také sledování a analýzu potenciálních hrozeb v reálném čase a zabránění nebezpečným akcím ještě předtím, neţ jsou schopny napáchat nějakou škodu. Licence tohoto softwaru je například pro 5 zařízení na 2 roky, dle informací dostupných na webu shop.kaspersky.cz, dostupná za 2,915,10 Kč s moţností platby platebními kartami nebo přes portál PayPal. Instalace tohoto produktu zabere jen málo času a je vcelku intuitivní. Po instalaci je produkt spuštěn v implicintním nastavení, které zajišťuje maximální moţnost ochrany, lze však jej pohodlně měnit díky uţivatelsky přátelskému rozhraní. Je moţno zde nastavit prakticky vše, přičemţ lze i jednotlivě vypínat a znovu zapínat všechny funkce antivirového balíku. V návaznosti na dlouhodobé pouţívání tohoto softwaru v souladu s předešlými analýzami úrovní ochrany mohu tento produkt doporučit. Obrázek 25 - Instalace KIS 68 Obrázek 24 - Kaspersky Internet Security

69 Instalace Comodo Firewall Tento firewall ve verzi 7 je dostupný samostatně ke staţení z webu nebo jako součást balíku Comodo Internet Security. V testech společnosti matousec.com se umístil jako nejlepší, proto jej zahrnuji jako součást optimálního zabezpečení osobního počítače. Kromě klasické detekce útoků na porty a kontroly souborů běţící na pozadí obsahuje také základní monitorování malwaru pomocí DDP (Default Deny Protect) databáze potenciálně nebezpečných PC, které jsou blokovány automaticky. Dále obsahuje technologii Auto SandBox, která spouští nebezpečné soubory v omezeném virtuálním prostředí. Pokročilý uţivatel je schopen také vyuţít analýzy chování podezřelých aplikací, neboť tento firewall zaznamenává pokusy o změny DLL knihoven, změny operační paměti a DNS dotazy. Tyto dílčí funkce jsou v implicitním nastavení aktivní. Dále je také tento uţivatel schopen omezit počet paketů přenášených za jednotku času a při zavádění systému je moţné vypnout veškerou odchozí komunikaci. V neposlední řadě Comodo Firewall přehledně zaznamenává výpisy síťové komunikace, které mnohdy mohou pomoci při řešení problémů s touto komunikací spojených. Při manipulaci s tímto softwarem, se mi uţivatelské prostředí jevilo jako vcelku příjemné a neměl jsem sebemenší problémy si tento firewall přizpůsobit k obrazu svému. Při prvním spuštění firewall analyzoval připojení k síti, spuštěné programy a poţadavky na odchozí a příchozí připojení a během chvíle se dal celkem intuitivně nakonfigurovat. Proto mohu tento freewarový produkt bez menších připomínek doporučit. Obrázek 27 - Instalace COMODO Firewall Obrázek 26 - Ovládací panel COMODO Firewall 69