UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE. Bezpečnost sítí. Katedra informačních technologií. Autor BP: Jan Svoboda Vedoucí BP: Ing. Petr Bůva.

Rozměr: px
Začít zobrazení ze stránky:

Download "UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE. Bezpečnost sítí. Katedra informačních technologií. Autor BP: Jan Svoboda Vedoucí BP: Ing. Petr Bůva."

Transkript

1 UNICORN COLLEGE Katedra informačních technologií BAKALÁŘSKÁ PRÁCE Bezpečnost sítí Autor BP: Jan Svoboda Vedoucí BP: Ing. Petr Bůva 2014 Praha

2

3

4

5 Poděkování Děkuji vedoucímu bakalářské práce Ing. Petru Bůvovi za účinnou metodickou, pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce.

6 Bezpečnost sítí Network security 6

7 Abstrakt Tato bakalářská práce se zabývá problematikou bezpečnosti počítačových sítí. Probírány jsou především témata jejich slabých míst, nejčastějších chyb v zabezpečení, frekventované útoky a možná protiopatření. Stěžejní kapitoly dále řeší moderní hrozby APT a DDoS, včetně aktuálních poznatků a statistik. Práce řeší zabezpečení z pohledu útočníka pokoušejícího se o průnik do firemního prostředí z internetu i vnitřní sítě. Bakalářská práce také obsahuje rešerši konkrétních možností zabezpečení běžných podnikových aktivních prvků sítě, včetně praktického popisu hypotetického scénáře. Práce také obsahuje kapitoly stručně se věnující historii internetových sítí a rozlišením mezi datovou a síťovou bezpečností. Cílem práce bylo prostudovat a popsat aktuální problematiku zabezpečení sítí se zaměřením na moderní prostředky a metodiky. Klíčová slova: sítě, bezpečnost, počítačová kriminalita, firewall, UTM, DDoS, APT 7

8 Abstract This bachelor s thesis aims on the topic of the computer network security. Especially the vulnerabilities, most common mistakes, frequent types of attacks and countermeasures are discussed. Main topics of this thesis focus on modern threats such as APT and DDoS, including recent knowledge and statistics. The network security is being considered as from the point of view of an internet attacker so as from the intranet. Bachelor s thesis comprises the research of particular possibilities of securing common network active network devices used in business, including description of a hypothetical security scenario. This work also contains chapters about internet networks history and considerations about differentiation between data and network security. The aim of this thesis was to study and describe current network security topics emphasizing modern resources and methodics. Keywords: network, security, cybercrime, firewall, UTM, DDoS, APT 8

9 Obsah 1. Teoretický úvod - sítě a význam zabezpečení Omezující podmínky Síťová bezpečnost Historie internetových sítí a bezpečnosti Packet switching network TCP/IP Reference Model ARPANET Referenční OSI model Historie zabezpečení sítí Rozlišení mezi datovou a síťovou bezpečností Datové a synchronní sítě Architektura internetových sítí Architektura internetu Frekventované metody útoků a protiopatření Deset nejčastějších chyb způsobujících slabá místa bezpečnosti sítě Slabá hesla Chybějící aktualizace Nezabezpečené body pro vzdálený přístup Únik informací Spuštěné nepotřebné služby Špatně nakonfigurované firewally Špatně nakonfigurované webové servery Neadekvátní logování a monitoring Špatný systém sdílených souborů a adresářů

10 Nedostatečná dokumentace či neexistující bezpečnostní politika Nezabezpečené mobilní technologie Frekventované metody útoků Odposlouchávání (zachytávání) síťové komunikace Modifikace dat Zcizení identity Prolamování hesel Man-in-the-middle útok Útok na aplikační vrstvě Moderní typy útoků (APTs a DDoS) a protiopatření APT (Advanced Perstistent Threath) Detekce a možná protiopatření DDoS Distributed Denial of Service Historie Historické dělení útoků DDoS Aktuální dělení DDoS útoků a jejich podíl na celkovém počtu TOP 10 zemí, ze kterých přicházejí DDoS útoky Shrnutí možných opatření proti DDoS Firewally Paketové filtry Stateful Packet Inspection (SPI Firewally) Aplikační firewally Next Generation Firewally (NGFW) a UTM Rizika nezabezpečených aktivních prvků LAN Přepínače a směrovače Přístupové body bezdrátové sítě (WiFi AP) Možnosti zabezpečení aktivních prvků LAN

11 9.1 Přepínače a směrovače Port security Wifi AP Praktická ukázka nastavení switche/wifi AP Postup pro zabezpečení - přepínače Postup pro zabezpečení Wifi AP Závěr Seznam použitých zdrojů Seznam obrázků Seznam tabulek

12 1. Teoretický úvod - sítě a význam zabezpečení Hlavním cílem této práce je prostudování a popsání nejběžnějších slabých míst, nejfrekventovanějších typů útoků a ukázka možných opatření, jak se proti nim bránit. Zabezpečení sítě bude zkoumáno z pohledu vnějších rizik (zpravidla úmyslným útokům z internetu, s cílem získat data, či způsobit jinou škodu, například odstavení služeb), tak i vnitřních (úmyslným, kdy útočník získá fyzicky přístup k LAN, nebo neúmyslným/nedbalým zneužitím podnikové sítě zaměstnanci). Vedlejší cíle práce by měly přinést dostatek informací o technologiích klíčových k porozumění tématu bezpečnosti moderních sítí, tedy historii jejich vývoje a teoretický základ k používaných technologiím. Zároveň je jedním z cílů ukázat na praktickém příkladu hypotetické firemní infrastruktury best-practices postupy k jejímu zabezpečení. Téma bezpečnost informací v ICT je jistě velmi aktuální a s přibývajícími možnostmi, ať už jsou dané hardwarovým pokrokem, či výrazně vyšším stupněm využívání softwaru pro podporu veškerých procesů podnikání nehledě na odvětví, nabývá na důležitosti. V neposlední řadě se toto téma stává mimořádně důležité kvůli velkému navýšení propojenosti všech systémů skrze internet. Samotná struktura a principy, na kterých je internet postaven, přináší řadu rizik a hrozeb. Z historie lze vypozorovat, jak se na základě analýzy úspěšných metod útoků začaly objevovat metodiky a prostředky pro zlepšení zabezpečení sítí. Firmy začaly používat firewally a šifrování pro oddělení a zabezpečení internetové a intranetové komunikace. Stále důmyslnější metody útoků a stále větší závislost všech subjektů na informačních technologiích nevyhnutelně vede k rozvoji nástrojů, služeb i strategií, jak jim čelit. Převážné většině oblastí rozsáhlého tématu síťová bezpečnost je možné porozumět prozkoumáním těchto hlavních aspektů: 1. Historie bezpečnosti sítí 2. Architektura sítě internet a její slabá místa 3. Typy internetových útoků a bezpečnostních metod 4. Bezpečnost sítí připojených na internet 5. Trendy vývoje v oblasti bezpečnosti sítí (hardware a software) 12

13 Na základě analýzy těchto bodů popíšeme současný stav v oblasti bezpečnosti sítí a směřování trendů na tomto poli ICT technologií. Téma zabezpečení podnikového ICT je samozřejmě mnohem rozsáhlejší a neomezuje se pouze na vyjmenované oblasti, řešit se dá zabezpečení konkrétních používaných aplikací, autentizace a autorizace uživatelů vůči aplikacím, službám, šifrování dat, fyzické zabezpečení a další. V této práci se kvůli rozsáhlosti tématu budu věnovat pouze konkrétním rizikům a potenciálním hrozbám, které je potřeba řešit v běžném podnikovém prostředí a to z hlediska zabezpečení komunikace firemní sítě s internetem a v rámci samotné LAN. 1.1 Omezující podmínky Práce se zabývá problematikou zabezpečení běžných firemních počítačových sítí standardu a Práce omezuje rozsah metodik a popisu primárně na platformy Microsoft a nevěnuje se žádným konkrétním způsobem jiným platformám. Rešerše zabezpečení sítí se týká pouze IPv4 protokolu. 1.2 Síťová bezpečnost Bezpečnost je dnes klíčový faktor pro sítě i aplikační systémy a i přesto, že je jedním z hlavních požadavků na vznikající a vyvíjející se sítě, existuje stále značný nedostatek snadno implementovatelných metod a strategií zabezpečení. Tento stav je dán především dříve neexistující řízenou kooperací mezi organizacemi tvořící nové síťové standardy (především organizace IETF Internet Engineering Task Force) a subjekty tvořící bezpečnostní prostředky (HW/SW). Návrh sítí je dobře vyvinutý proces, založený na Open System Interconnection (OSI) modelu. OSI model disponuje několika výhodami pro tvorbu sítí. Nabízí modularitu, flexibilitu, jednoduchost a standardizaci protokolů. Protokoly jednotlivých vrstev modelu mohou být snadno stohovány, což umožňuje modulární vývoj. Implementace po vrstvách umožňuje nad jednotlivými vrstvami provádět změny bez ovlivnění funkčnosti ostatních vrstev vývoj je pružnější. Naproti tomu návrh zabezpečené sítě postrádá jednoznačnou metodiku, jak spravovat komplexní požadavky na zabezpečení sítí. [1] 13

14 2. Historie internetových sítí a bezpečnosti Historie internetových sítí sahá až na přelom padesátých a šedesátých let 20. století. V této době došlo k průlomu vědy v oblasti digitální komunikace, vynálezu přepínané paketové sítě a vytvoření standardů pro návrh robustních sítí, odolných proti výpadku jednotlivých komunikačních uzlů. Díky rozvoji komunikačních možností, především rádiových a satelitních přenosů, vznikla potřeba integrované komunikace, která by fungovala napříč používanými technologiemi přenosu. Odpověď na tuto potřebu přineslo vytvoření TCP/IP protokolů a modelu. Na základě poznatků z těchto domén vznikly první sítě podobné dnešnímu internetu, jako byla síť ARPANET, či NSFNET. [3] Po uvolnění pravidel pro připojování subjektů do těchto sítí, a zároveň s rychlým rozvojem osobních počítačů a komunikačních technologií, došlo k rapidnímu nárůstu propojenosti počítačových systémů a rozvoji WAN sítí až do podoby dnešního internetu. 2.1 Packet switching network Koncept přepínání paketů byl převzat z práce vědců a inženýrů Paula Barana a Donalda W. Daviese. Paul Baran již v roce 1964 publikoval myšlenku, že brzy bude svět potřebovat komunikační prostředek, jenž bude natolik robustní, aby fungoval při ničení jeho uzlů. Predikoval, že při dostatečně vysokém počtu uzlů n, půjde vybudovat takovou síť, že k jejímu zničení bude nutné zničit právě n uzlů. Paul Baran dostal počátkem šedesátých let od US Air Force za úkol prozkoumat možnosti robustních komunikačních sítí. Během výzkumu vybudoval první síť širokého rozsahu (WAN), která sloužila k propojení obranného radarového systému SAGE. Poznatky získané výzkumem a budováním sítě publikoval v díle On Distributed Communications (1964). [4][5] Zcela odděleně a nezávisle na Baranovi přišel s tímto konceptem přepínané paketové sítě i Donald W. Davies. Davies pracoval pro britský ústav NPL (National Physical Laboratory), kde byl v té době součástí týmu, vedeného Alanem Turingem, vyvíjejícího počítač Pilot ACE. [4][5] Přelomovým se stal rok 1965, kdy byl Daviesovi přidělen projekt mající za cíl vytvořit nový způsob rychlé a robustní komunikace mezi počítači. K vyřešení problému zahlcování příjemce, což byl vzhledem k možnostem tehdejší technik jeden z hlavních problémů, zavedl rozdělování dlouhých zpráv na menší části (pakety) a jejich oddělené 14

15 zasílaní příjemci. Topologie sítě byla kvůli požadavku na robustnost navržena tak, že každý host bude připojen na svůj router, řešící směrování paketů do dalších sítí až k cílové stanici. [4][5] Vzhledem k oddělenosti výzkumu obsahuje jeho práce neuvěřitelné podobnosti, jako je například velikost paketu 1024 bitů. Samotný pojem packet switching pochází právě od Donalda Daviese. Baranova práce pomohla přesvědčit americké ministerstvo obrany o převratnosti digitálních počítačových sítí širokého rozsahu, které se poté rozhodlo financovat navazující projekt pod záštitou organizace ARPA. [4][5] 2.2 TCP/IP Reference Model Mezi další požadavky ministerstva obrany, které byly podníceny obavami z výpadků komunikace při napadení důležitých uzlů sítě, patřilo zejména zajištění fungování sítě i v případě, že dojde ke zničení částí přenosové sítě mezi zdrojovou a cílovou stanicí. V neposlední řadě musela být architektura dostatečně flexibilní, kvůli předpokládaným požadavkům na různorodé využití od přenosu souborů až po real-time přenos hlasu. [3][4][6] Tato architektura byla až později pojmenována jako TCP/IP Reference Model, podle 2 primárních protokolů, které využívá. Poprvé byla architektura popsána vědci Robertem Kahnem a Vintonem Cerfem (1974) a později vylepšena a dodefinována jako standard (Branden, 1989). [2] TCP/IP model je na rozdíl od modelu OSI velmi konkrétní a proto se často ani nepovažuje za model, naopak protokoly, které implementuje, jsou široce rozšířené a tvoří dnešní internet i většinu dalších WAN/MAN/LAN sítí. [2] 15

16 TCP/IP model je podobný modelu ISO/OSI především v pojetí vertikálně oddělených vrstev a zodpovědnosti každé vrstvy za své služby a rozhraní. Model byl poprvé implementován v pozdější fázi vývoje sítě ARPANET a NSFNET. Obrázek 1 znázorňuje rozdíly mezi návrhem vrstev OSI modelu a modelu TCP/IP. Transportní vrstvy si odpovídají, aplikační u TCP/IP odpovídá aplikační, prezentační a relační u ISO/OSI. [2] Obrázek 1Porovnání modelů Zdroj: Vrstva síťového rozhraní (Network Access, či Data link), definuje požadavky na přenosová média (Ethernet, sériový kabel, Wi-Fi atd.), aby splňovala požadavky na nespojovanou, přepínanou síť. Linková vrstva v přesném smyslu slova ani tak vrstva, jakožto interface mezi hostem a přenosovým mediem. [2] Vrstva internet (síťová) je základní stavební kámen, který drží celou architekturu pohromadě. Úkolem internetové vrstvy je umožnit zdrojovému komunikačnímu uzlu posílat pakety do libovolné sítě a zajistit jejich doručení k cíli. Na internetové vrstvě nezáleží na vybrané cestě, ani na pořadí doručení paketů, pokud je pořadí pro komunikaci důležité, je úkol vyšších vrstev seřadit příchozí komunikaci dle potřeby. Internetová vrstva proto definuje přesný popis paketu, protokolu IP (Internet Protocol) a doprovodných protokolů ICMP a IGMP, sloužících pro servisní respektive konfigurační účely. Zásadním pro tuto vrstvu je tedy směrování - doručování IP paketů na místo určení. [2] 16

17 Transportní vrstva nacházející se nad síťovou slouží primárně k udržování komunikace mezi 2 stranami. K tomu slouží 2 transportní protokoly TCP (Transmission Control Protocol) a UDP (User Datagram Protocol). Protokoly se zásadním způsobem liší především ve spolehlivosti doručování. TCP protokol je spojově orientovaný protokol, který umožňuje kontrolu neporušenosti dat mezi odesílatelem a příjemcem. Protokol TCP na straně odesílatele rozděluje odesílaný bajtový tok na segmenty samostatných zpráv a na straně příjemce je opět skládá a kontroluje jejich integritu. TCP protokol rovněž disponuje funkcionalitou pro kontrolu datového toku, což slouží o k ochraně příjemce před zahlcením na vstupu. Naproti tomu UDP protokol je nespolehlivý a nespojovaný protokol. Používá se především v aplikacích, kde je rychlost doručení zprávy důležitější, než její přesnost. Typicky nachází využití v multimédiích (video, hlas) nebo v aplikacích požívajících request-reply technologii. [2] Příklady spojovaných a nespojovaných typů komunikace, rozdělených i podle spolehlivosti přenosu na obrázku 2. Obrázek 2 Spojované a nespojované služby Zdroj: My IT Tutors web Aplikační, prezentační a relační vrstvy byly sjednoceny především kvůli vývoji v oblasti počítačů. Přesunem použití sítí od mainframe počítačů k osobním pracovním stanicím přestaly být do jisté míry důležité především protokoly relační a prezentační vrstvy. TCP/IP model, i na základě zkušeností z OSI modelu, spoléhá na implementaci všech relačních a prezentačních funkcí, které dříve poskytovaly samostatné protokoly na svých vrstvách, v rámci aplikačních protokolů. 17

18 2.3 ARPANET Síť ARPANET vznikla na základě iniciativy a dotací amerického ministerstva obrany (U.S. DoD). Jednalo se o jednu z prvních sítí přepínajících pakety a později jednu z prvních sítí, implementující TCP/IP protokoly a samozřejmě to byla síť předcházející dnešnímu internetu. [3][4] Vědci Kleinrock a Roberts, kteří dostali práci na projektu v rámci vládní organizace ARPA na starost, se inspirovali právě vědeckými pracemi Donalda W. Daviese a Paula Barana. Implementovali je právě při budování ARPANET. Síť vznikla za účelem propojení univerzit a výzkumných ústavů v USA, které v té době měly uzavřeny výzkumné kontrakty s organizací ARPA. Síť postupně propojila stovky univerzit a vládních zařízení pomocí pronajatých telefonních linek, ale stále se jednalo o omezenou síť, jelikož do ní měly přístup právě pouze subjekty spolupracující s americkým ministerstvem obrany (DoD). [6] Následně se díky rozvoji satelitní a rádiové komunikace objevily problémy s integrací komunikace napříč různorodými přenosovými technologiemi. Do té doby celá síť ARPANET fungovala na pronajatých telefonních linkách, či vytáčených spojeních. Díky tomu bylo zřejmé, že je nutné vytvořit a implementovat nový model a protokoly, které by dokázaly komunikaci zajistit napříč různými platformami. Zároveň s rozvojem komunikačních technologií si na konci sedmdesátých let uvědomila organizace NSF (U.S. Nationaonal Science Foundation), jak obrovský přínos má ARPANET pro podporu výzkumu na univerzitách do něj připojených. Vznikla iniciativa NSF o vytvoření nezávislého paralelního back-bone, připojeného k ARPANET, do kterého by se mohli libovolně připojovat i vědecké a akademické subjekty, které nemají smlouvy s agenturou ARPA. Prvním krokem tak bylo vybudování sítě CSNET (Computer Science Network) v roce 1981, ta propojovala 6 tehdejších superpočítačů napříč USA, byla propojena s ARPANET a umožňovala připojování libovolným akademickým subjektům a později i zájemcům ze soukromého sektoru. [3][4] Podstatnou vlastností této sítě byla implementace TCP/IP protokolu, tudíž možnost využití různých komunikačních prostředků. 18

19 2.4 Referenční OSI model OSI model, jak je zobrazen na obrázku 3, byl vytvořen Mezinárodní standardizační organizací (ISO) v roce 1983 a revidován v roce Model vznikl na základě iniciativy sjednotit protokoly používané v jednotlivých vrstvách otevřených systémů (proto zkratka OSI Open Systém Interconnection). Pánové Day a Zimmermann, kteří standard vytvořili, vycházeli z následujících premis, na jejichž základě vzniklo právě 7 vrstev modelu[2]: 1. Vždy když je potřeba nová úroveň abstrakce, je nutné vytvořit další vrstvu. 2. Každá vrstva by měla provádět dobře definovanou funkci. 3. Funkce každé vrstvy by měla být zvolena s ohledem na mezinárodně standardizované protokoly. 4. Hranice každé vrstvy by měly být stanoveny tak, aby se minimalizoval datový tok přes rozhraní vrstev. 5. Počet vrstev by měl být dostatečně vysoký tak, aby různé funkce nemusely být sdružovány v jedné vrstvě, ale zároveň tak malý, aby se architektura nestala nepraktickou. Obrázek 3 OSI reference model Zdroj: 19

20 Samotný OSI model ale není předpis pro žádnou síťovou architekturu, jelikož neobsahuje přesné specifikace služeb a protokolů, které mají být použity v daných vrstvách. Model pouze říká, co má jaká vrstva dělat. Přesnou specifikaci vydalo ISO pro každou vrstvu zvlášť jakožto samostatný standard. 2.5 Historie zabezpečení sítí Počítačové sítě a jejich historie, jak jsme si přiblížili, vznikaly především na akademické půdě, měly usnadnit výměnu poznatků a zjednodušit komunikaci vědců nad projekty. V této době se bezpečnost těchto sítí netěšila téměř žádné pozornosti. Nyní ale počítačové sítě používají stovky miliónů lidí nejen pro posílání ů, ale pro nakupování, internetové bankovnictví. Firmy uchovávají své duchovní vlastnictví na počítačích a v datových centrech připojených k internetu. V historii lze najít několik klíčových událostí, které přispěly ke vzniku počítačové a síťové bezpečnosti a první z nich se datuje až do 30. let dvacátého století. V roce 1918 vytvořili němečtí odborníci na kryptografii stroj Enigma, který konvertoval prostý text na šifrovaný. V roce 1930 však tuto šifru prolomil geniální matematik Alan Turing a zajistil tím spojencům jednu z klíčových výhod pro druhou světovou válku. [1] V šedesátých letech, v době tvorby sítě ARPANET, se na MIT univerzitě začalo používat pojmenování hacker. V sedmdesátých letech byl vytvořen protokol TELNET, sloužící k vzdálenému ovládání terminálů (počítačů). V osmdesátých letech se začali hackeři a počítačová kriminalita objevovat ve větší míře. Jeden z prvních případů z USA, z počátku 80. let, je případ takzvané skupiny 414 Gang. Jednalo se o skupinu šesti mladíků, kteří se bavili pronikáním do počítačů velkých organizací, jako Los Alamos National Laboratory, Sloan-Kettering Cancer Center a Security Pacific Bank. Využívali k tomu většinou dobře známá slabá místa nezáplatovaných operačních systémů, či ponechaná výchozí či jinak standardní administrátorská hesla. Po odhalení účastníků bylo zjištěno, že stávající legislativa je zcela nepřipravena se vypořádat s počítačovými zločiny. [1] 20

21 V roce 1986 vznikl v USA zákon The Computer Fraud and Abuse Act of 1986, poté co se Ian Murphy naboural do počítačů americké armády a ukradl z nich data. V roce 1988 vytvořil univerzitní student Robert Morris prvního počítačového červa (Morris Worm). Vypustil ho 2. listopadu 1988 z jednoho z počítačů univerzity MIT. Bobert Morris se stal prvním hackerem odsouzeným na základě zákona The Computer Fraud and Abuse Act of 1986 a díky obavám, způsobeným rychlým rozšířením tohoto viru vznikla organizace CERT (Computer Emergency Response Team), která si vytyčila za úkol upozorňovat uživatele počítačů na hrozící bezpečnostní slabiny. [2][8] Obrázek 4 Nárůst uživatelů internetu Zdroj: [5] 21

22 V devadesátých letech, kdy se internet stal veřejným, došlo k dramatickému nárůstu (Obrázek 2-4) bezpečnostních rizik. Na základě statistiky z roku 2012 je k internetu nyní připojeno 2,4 miliardy uživatelů, každý den dochází ke stovkám zásadních bezpečnostních incidentů, které mohou končit značnými ztrátami a to jak nehmotnými, tak i hmotnými. Investice do patřičného zabezpečení je tak jistě na místě jak pro velké organizace, tak i pro běžné uživatele.[7] 22

23 3. Rozlišení mezi datovou a síťovou bezpečností Pokud v rámci ICT oboru hovoříme o počítačové bezpečnosti, je potřeba rozlišovat o jakou bezpečnost se jedná. V současnosti oddělujeme datovou a síťovou bezpečnost. Datová bezpečnost, neboli též zabezpečení dat, se zabývá především kryptografií, tedy oborem, ve kterém nám jde o transformaci čitelného textu do formy, nečitelné pro neautorizované subjekty. Kryptografie je velmi starý obor, jehož počátky sahají až do antického starověku. Napříč dějinami kryptografie lze však vypozorovat stále se opakující problémy s trvanlivostí šifrovacích algoritmů. Algoritmus považovaný v dané době za silný a neprolomitelný většinou dokázali odborníci na kryptoanalýzu prolomit během následujících období. Tyto intervaly se samozřejmě s nárůstem dosažitelného výpočetního výkonu zkracují. [8] Dnes je proto velmi důležité se soustředit nejen na silné šifrování samotného přenášeného obsahu, ale i na zabezpečení přenosových kanálů (sítí) jako takových. Vzhledem k dostupnosti širokopásmového připojení k internetu je dnes převážná většina informací předávána elektronicky. Nezabezpečená síť je však velkým rizikem i v případě, že přes ni posíláme zašifrovaná data. Útočník, který má k nezabezpečenému médiu přístup, dokáže zachytávat komunikaci (šifrované zprávy) a pokoušet se analyzovat a prolamovat šifru. V případě nevhodně zvolené metodiky dochází často k odchycení přímo privátních klíčů a tím zkompromitování bezpečnosti. V takovém případě může útočník nejen data číst, ale i modifikovat a podstrčit do komunikace vlastní obsah. V případě nezabezpečeného média však nemusí útočníkovi jít pouze o extrakci či modifikaci komunikace, ale například o narušení funkce služeb. Vzhledem k volně přístupnému kanálu lze na požadované cílové stanice směrovat jakýkoli provoz a tím například provádět útoky typu DoS (Denial of Service). [8] Z toho je již zřejmé, že dnes je nutné zabezpečovat proti neautorizovanému přístupu nejen data, ale mělo být vynaloženo úsilí a prostředky i na zabezpečení přenosových sítí by mělo být vynaloženo úsilí a prostředky. 23

24 3.1 Datové a synchronní sítě V současnosti tvoří většinu počítačových sítí sítě dvojího typu datové sítě složené z routerů (Internet) a synchronní počítačové sítě, složené z přepínačů. U sítí složených ze směrovačů je v případě nezabezpečení daleko vyšší riziko napadení, protože směrovače jsou zařízení pracující s pakety systémem store and forward. Tedy ke svojí činnosti potřebují buffer k uchovávání dat mezi přijetím zpracováním a odesláním. [8] Tento způsob činnosti však přímo vybízí k napadení. V případě, že je útočník schopen nakazit router škodlivým kódem nebo získat dokonce nad routerem kontrolu, není již problém získávat, či manipulovat s daty z bufferu. Naopak switch data neukládá (bavíme-li se o klasických Layer 2 přepínačích), a proto jsou výrazně méně zajímavým cílem útoků z internetu. Přepínače mají svá slabá místa, která lze využít při útocích vedených z vnitřní sítě, tomuto tématu se věnujeme v kapitole 5, 8 a 9. [8] 24

25 Za předpokladu, že máme zabezpečená data (používáme šifrování na aplikační vrstvě), máme implementovanou autentizaci, je stále potřeba vyřešit zabezpečení na první (PHY) a druhé (DATA-LINK) vrstvě. Z tohoto důvodu je důležité jak použití silných šifer, tak i robustních a těžko napadnutelných přenosových sítí. [8] Obrázek 5 Datová a síťová bezpečnost Zdroj: [8] Konkrétní metody zabezpečení spodních vrstev synchronních sítí probírá kapitola 8 Rizika nezabezpečených aktivních prvků LAN a 9 Možnosti zabezpečení aktivních prvků LAN. 25

26 4. Architektura internetových sítí Obor počítačové sítě pokrývá širokou škálu různých typů sítí. Různé typy sítí byly vyvinuty a jsou používány s různými cíli. My se zde hodláme zabývat počítačovými sítěmi připojenými k internetu, a proto se pojďme podívat blíže na architekturu internetu jako takového. 4.1 Architektura internetu Architektura internetu se značným způsobem změnila během uplynulé doby extrémního rozšíření jeho pokrytí. V posledních letech za tyto změny v architektuře mohou především telekomunikační operátoři a další společnosti (kabelové a IP poskytovatelé TV vysílání atd.) s jejich nabídkou konvergovaných služeb. Dříve bylo k poskytování různých typů služeb zapotřebí různých přenosových sítí, které měly své architektury, své protokoly a svou šířku pásma. Pokud jste chtěli telefonovat a sledovat televizi, potřebovali jste pevnou linku a telefonního operátora, anténu či satelit pro příjem televizního vysílání a poskytovatele zastřešujícího vysílání. Dnes dostanete od jednoho poskytovatele hlasové, datové i obrazové služby najednou a navíc pomocí jednoho sdíleného přenosového média.[2] Internet není vlastně síť v pravém slova smyslu, je to spíše spojení obrovského množství různých sítí, používajících společné protokoly a služby. Původ internetu je právě v propojování nezávislých subjektů na nosné technologii internetu sadě protokolů TCP/IP. Masivní růst zažil internet po roce 1990, kdy se do něj začali připojovat soukromé subjekty a začalo šíření domácího připojování. [32] 26

27 Internetová architektura stojí na IP směrování a DNS překladech. Routování umožňuje zprostředkovat komunikaci mezi oddělenými sítěmi a to jak na stejné úrovni hierarchie, tak i mezi úrovněmi. Jednotlivé úrovně se liší především geografickým rozsahem a množstvím připojených uzlů. Tier 1 tvoří sítě a infrastruktura největších telekomunikačních operátorů. Ty jsou propojené mezi sebou a tvoří tak páteřní spoje internetu. Spojená konektivita je většinou ošetřena na základě smluv o spolupráci. Tier 2 sítě jsou většinou doménou národních poskytovatelů služeb, ty nakupují přístup od Tier 1 poskytovatelů a prodávají dále lokálním poskytovatelům úrovně Tier 3, kteří již připojují přímo jednotlivé domácnosti a další subjekty. To samozřejmě mohou dělat i poskytovatelé vyšších úrovní, ale není to běžné. ISP Tier 2 ale často připojují k internetu velké korporace či státní správy. [32] Obrázek 6 Úrovně internetových sítí Zdroj: Systém DNS umožňuje překlad lidsky čitelných názvů na IP adresy. Je zřejmé, že tato služba je zcela klíčová pro fungování internetu, jelikož bez překladu není ani směrování, tudíž žádná komunikace založená na DNS jménech. DNS překlady fungují na principu ověřování dotazu. Nejprve se DNS server pokusí název vyhledat v lokální cache, pokud se tam nenachází, prohledává zónovou databázi a pokud ani tam neuspěje, předá dotaz nadřazenému serveru. Celou architekturu zastřešuje 13 root DNS serverů, které obsahují databázi všech autoritativních DNS serverů domén nejvyššího řádu, takzvaných Top-level Domain (.com,.cz,.info,.gov atd.). [32] 27

28 5. Frekventované metody útoků a protiopatření Pokud se zabýváme síťovou bezpečností, je potřeba zdůraznit fakt, že celá síť je tak zabezpečená, jako je zabezpečené nejslabší místo této sítě. To znamená, že nestačí mít zabezpečené pouze komunikující koncové stanice a zašifrovaná posílaná data, ale i již zmiňované komunikační kanály, a to jak z pohledu logického, tak fyzického. Zabezpečení sítě by mělo vycházet z předem připraveného plánu. Tvorba plánu zabezpečené sítě by měla zohlednit především[1]: 1. Přístup pouze autorizovaní uživatelé mají přístup ke komunikaci v dané síti 2. Důvěrnost informace v rámci sítě zůstávají soukromé 3. Autentizaci zajištění identifikace uživatelů (ověření, že uživatel je ten, za koho se vydává) 4. Integritu kontrola proti modifikaci dat během transportu po síti 5. Nepopiratelnost uživatel, který provedl na síti nějakou akci ji nemůže popřít Efektivní bezpečnostní strategie musí vycházet z pochopení potenciálních hrozeb, útočníků a faktorů, které dělají síť zranitelnou. Pochopení těchto faktorů usnadňuje stanovení optimální úrovně požadovaného zabezpečení vzhledem k informacím, které síť uchovává a prostředí, ve kterém je síť provozována. Zároveň je nutné vzít v potaz charakter dat a komunikace, jež má být předmětem zabezpečení. Vedení firmy musí vyhodnotit poměr mezi úrovní zabezpečení, náklady, uživatelským komfortem a potenciálním rizikem či ztrátami v případě prolomení bezpečnosti. [1] 28

29 Na následujících grafech je názorně vidět několik důležitých statistik. Obrázek 7 ukazuje státy s největším počtem detekovaných útoků (data jsou platná k srpnu 2013). Obrázek 7 Počet útoků podle zemí uskutečnění Zdroj: Obrázek 8 znázorňuje proporce útoků podle motivace útočníků. Jednoznačně vede počítačová kriminalita, tedy útoky vedené za účelem krádeží dat, osobního obohacení nebo destrukce na straně cílového subjektu. Obrázek 8 Motivace útočníků Zdroj: 29

30 Obrázek 9, ukazuje rozložení útoků podle typu využívaného slabého místa nebo techniky. Majoritu tvoří útoky, u kterých se nepodařilo zjistit techniku. Druhé v pořadí jsou útoky DDoS, následují útoky pomocí zcizené identity, změna obsahu webových stránek a SQL Injection. Obrázek 9 Rozložení útoků podle typu Zdroj: 5.1 Deset nejčastějších chyb způsobujících slabá místa bezpečnosti sítě Slabá hesla Ačkoli je to s podivem, stále se jedná o jeden z největších problémů, způsobující trhliny v zabezpečení. Slabá, snadno odhadnutelná a znovu používaná hesla jsou zároveň pro útočníka nejsnazším způsobem, jak prolomit zabezpečení cílového systému. [9] Doporučená opatření: V bezpečnostní politice by měla být jasně definována pravidla pro komplexnost a periodicitu změny hesel. Tato pravidla by měla být následně implementována na úrovni vynucení pomocí GPO nebo obdobných nástrojů a systematicky dodržována a to bez výjimek na straně IT, což je velmi častý jev Chybějící aktualizace Software i firmware ponechaný v základní konfiguraci a bez pravidelného aplikování bezpečnostních záplat je stejně jako slabá hesla jedním z nejčastěji vyskytujícím se 30

31 bezpečnostním rizikem. Většině útoků lze přitom snadno zabránit právě včasným nasazováním otestovaných aktualizací. [9] Doporučená opatření: Pravidelné kontrolování aktuálnosti nasazených operačních systémů, uživatelského i serverového software, nastavení automatických aktualizací antivirových programů na koncových stanicích i klíčových serverech (například mail server), kontrola bezpečnostních aktualizací firmware síťových prvků a firewallů. Veškeré nasazované aktualizace by měly projít otestováním, než dojde k nasazení do produkčního prostředí a v případě firmware v síťových prvcích je vhodné nasazovat pouze nezbytně nutné záplaty, či kritické opravy chyb. U síťových prvků bývá často značný problém vrátit se k předchozí verzi, pokud dojde k neočekávanému chování po provedení aktualizace. Ve větších podnicích je nezbytná implementace software pro konfigurační management, jako jsou nástroje HP ProCurve Managers Plus (PCM+) nebo Cisco IOS XE. Tyto nástroje umožňují centrální evidenci konfigurací síťových prvků, vzdálenou konfiguraci, zálohování i aktualizace zařízení Nezabezpečené body pro vzdálený přístup Nezabezpečené a nemonitorované způsoby vzdáleného přístupu do podnikové sítě jsou opět velmi častým problémem zabezpečení a zároveň jedním z nejsnadnějších prostředků, jak získat přístup k síti. Nejčastějším problémem jsou nezablokované či nezrušené účty bývalých zaměstnanců s povoleným vzdáleným přístupem k podnikovým IS. [9] Doporučená opatření: Součástí bezpečnostní politiky či firemních směrnic by měla být jasně nedefinovaná pravidla související s povinnostmi zainteresovaných zaměstnanců v souvislosti se zaváděním i odstraňováním zaměstnanců z pohledu IT. Tvorba účtů, autorizace k různým částem IS, vzdálený přístup do podnikové sítě a další. Zároveň musí být jasně definovány postupy navazující na odchod zaměstnance z firmy, jako je blokování účtu či jeho úplné zrušení a smazání dat. V případě účtů s povoleným vzdáleným přístupem je rovněž vhodné pravidelné auditování logů terminačních bodů vzdáleného přístupu, za účelem zjištění neautorizovaného přístupu Únik informací Únik informací je široký pojem, který pokrývá neúmyslné prozrazení citlivých údajů o zabezpečení zaměstnancem (například na sociálních sítích), úmyslné vynášení informací 31

32 za účelem poškození zaměstnavatele (případně bývalého), či osobního obohacení až po špatné zabezpečení citlivých dat. Jakýkoli únik citlivých dat (v konkrétním případě bezpečnostních), jako jsou verze a typy používaného software, uživatelská pověření, sdílné prostředky atd. může útočníkovi značně usnadnit prolomení bezpečnostních opatření. [9] Doporučená opatření: Riziko úniku informací je jedním z nejobtížněji řešitelných hrozeb. Neúmyslné úniky způsobené většinou nedbalostí zaměstnanců často nevedou k závažným bezpečnostním incidentům a jako protiopatření je vhodné především pravidelné zaškolování zaměstnanců v oblasti bezpečnostní politiky firmy a celkové osvěty v chování v prostředí internetu, především na sociálních sítích. Úmyslnému vynášení citlivých dat z firmy se zabraňuje velmi obtížně a většinou ho nelze zcela vyloučit. Snížení rizika docílíme pouze kombinací více bezpečnostních pravidel a postupů. Nejzásadnějším faktorem snižujícím toto riziko je komplexně připravená, nasazená a managementem podniku podporovaná bezpečnostní politika. Politika musí řešit zevrubně problematiku autorizace uživatelů vůči různým stupňům citlivosti informací dostupných pomocí IS. Citlivá data musejí být zabezpečena proti tisku/kopírování, případně je nutné omezení přístupu k nejcitlivějším datům pouze z vybraných koncových stanic, které například budou připojeny pouze do zabezpečeného VLAN, nebudou mít přístup na internet ani do zbytku firemní LAN a nepůjde k nim připojit žádné přenositelné medium. Takové stanice je nicméně nutné adekvátně zabezpečit i fyzicky, aby nemohlo dojít k rozebraní, či přímo odcizení celého stroje. Vhodným řešením pro takto kritické nasazení je použití VDI (virtuálních desktopů), kdy koncový terminál neobsahuje žádná data mimo RAM, protože zabezpečení dat na serverové straně je většinou jak po fyzické, tak po logické stránce jednodušší a silnější Spuštěné nepotřebné služby U koncových stanic i serverů se velmi často stává, že po nasazení a konfiguraci požadovaných služeb zůstávají spuštěné i výchozí služby, které ale pro daný účel stanice nejsou potřebné. Nepotřebné služby, zejména ty komunikující po síti, jsou velkým rizikem a často slabým místem systému, protože bývají ponechány bez konfigurace a především bez monitoringu. Poskytují tak útočníkovi zcela zbytečně další možnosti jak získat přístup k systému. [9] 32

33 Doporučená opatření: V tomto případě je řešení jednoznačné a snadné, nepotřebné služby je dobré v systému zakázat nebo minimálně zabezpečit firewallem, pokud je například na službě závislá nějaká další lokální služba Špatně nakonfigurované firewally Nezřídka dochází k tomu, že velmi mnoho pravidel či jejich přílišná komplexnost vede ke kolizím v nich a následně neočekávanému chování firewallu. Velkým problémem je zřizování dočasných či testovacích pravidel, která ale po uplynutí relevantního času již nikdo nezruší a tím vznikají slabá místa zabezpečení. Špatně nakonfigurovaný firewall je velkým rizikem a slabým místem, jelikož útočníkovi potenciálně nabízí přímý přístup do DMZ nebo dokonce přímo do vnitřní sítě firmy. [9] Doporučená opatření: Je vhodné vyvarovat se přílišné komplexnosti pravidel, pravidla by měla být přímočará a snadno pochopitelná. Pokud je to možné, je lepší vytvořit více jednoduchých pravidel, než jedno komplexní. Při vytváření nových pravidel je dobré revidovat současný stav kvůli potenciálním kolizím či duplicitě starších pravidel. Pravidelná kontrola validity pravidel často vede k pročištění a zpřehlednění firewallu. Monitoring a pravidelné auditování logů firewallu pomáhá zjišťovat nečekané chování a odhalovat nepotřebná pravidla Špatně nakonfigurované webové servery Servery publikované do internetu (v lepším případě v DMZ, v horším přímo v LAN) obsahující špatnou konfiguraci, nezáplatovaný software, používající známá slabá místa (cross-site scripting, SQL injection díry), jsou častou a velkou hrozbou. Takto nezabezpečené servery jsou lákavým cílem útočníků, jelikož jsou přímo viditelné (z principu) na internetu a útočník tak nemusí překonávat firewally, ale rovnou se snaží získat přístup k informacím pomocí výše zmíněných známých slabých míst. [9] Doporučená opatření: U webových serverů je velmi důležité znát správnou konfiguraci pro daný účel nasazení a tu striktně vyžadovat. Obecné platné doporučení je nastavit bezpečnostní volby u publikovaných služeb na výchozí stav vše zakázáno a následně povolit přímo jen služby a rozšíření, která jsou nezbytně nutná pro chod webové služby. Často to bývá přesně naopak a dochází potom k opomenutí některých povolených služeb a rozšíření, které oslabují bezpečnost služby. Důležité je sledování bezpečnostních záplat a nově objevených hrozeb a adekvátně na tyto situace reagovat 33

34 (aktualizace, rekonfigurace). Webové aplikace běžící na publikovaných serverech by měly být kódovány na základě moderních principů a za použití ověřených a bezpečných technologií a kód by měl být udržován aktualizovaný po zjištění bezpečnostních děr Neadekvátní logování a monitoring Pokud už se útočníkovi podaří prolomit zabezpečení a dostat se do sítě, je nanejvýš důležité ho co nejdříve odhalit. Bez správně nastavené úrovně logování, monitoringu a reportingu (notifikací) to však není možné. [9] Doporučená opatření: Na přístupových bodech sítě (brány do internetu, NAT firewally atd.) je nutné mít nastavené adekvátní logování a pravidelně logy sledovat. Pokud jsou dostupné technologie pro automatické vyhodnocování podezřelého chování (IDS Intrusion Detection Systém), je nutné jich využít, ať již k včasnému informování správce o podezřelém provozu na síti, či aplikování automatizovaných akcí, které zabrání útočníkovi v pokračování. Logování je dobré využívat nejen na přístupových bodech sítě, ale i na serverech a koncových stanicích v rámci vnitřní sítě. V tomto ohledu může správci opět velmi pomoci technologie pro hromadnou správu a monitorování stanic (například Microsoft System Center Operations Manager), který dokáže sofistikovaně procházet koncentrované logy a na základě předdefinovaných kritérií notifikovat správce Špatný systém sdílených souborů a adresářů Operační systémy Windows (klientské i serverové) i Unix/Linux, jsou známy špatnými implementacemi funkcí pro práci se sdílenými zdroji. Nedostatečná úroveň granularity zabezpečení a problémy způsobené nemožností řešit odděleně autorizace pro vnořené soubory a adresáře často vede k zjednodušení nastavení bezpečnosti a vznik potenciálních slabých míst. Špatně nastavená oprávnění pro přístup ke sdíleným zdrojům, případně kombinace se zmíněnými riziky slabých hesel a ponechaných nepotřebných uživatelských účtů, jsou přímou pozvánkou pro získání dat neautorizovanou osobou. Velkým problémem jsou často slabá hesla výchozích uživatelů (administrator, root) v kombinaci s povoleným výchozím sdílením systémových zdrojů (C$, IPC$). [9] Doporučená opatření: Systém sdílených zdrojů by měl být co možná nejtransparentněji navržený. Adresářová struktura by neměla být příliš hluboká a měla 34

35 by být pravidelně auditována kvůli potenciálním chybám v nastavení autorizace jednotlivých uživatelů k patřičným datům. Doporučení lze také sjednotit s bodem 5.1.1, jelikož kombinace přidělené autorizace ke sdíleným datům a slabého hesla je opět významným rizikem ztráty dat. V případě použití uživatelských skupin pro přidělování autorizací většímu množství uživatelů naráz, je nutné pravidelně kontrolovat obsazení skupin z pohledu aktuálnosti. Pokud je systém sdílených zdrojů provozován na dedikovaném souborovém serveru, je dobré využít integrované funkce pro auditování obsahu, stanovování kvót a restrikcí pro uživatele. V případě, že nasazení neovlivní dramatickým způsobem výkon služby, je dobré využít na straně souborového serveru specializovaný antivirový program. Sdílení zdrojů je vhodné integrovat do sofistikovanějších systémů (například Content Management System), který nám umožní daleko větší kontrolu nad správou těchto zdrojů. V neposlední řadě je dobré data ve sdílených úložištích (a nejen tam) šifrovat. [9] Nedostatečná dokumentace či neexistující bezpečnostní politika Nedostatečná, neexistující nebo sporadicky tvořená dokumentace procesů spojených s bezpečností ICT a nezdokumentované postupy řešící krizové situace nejsou přímou bezpečnostní slabinou ve smyslu slabého místa pro útočníka, ale každopádně přispívají k navýšení rizika, že ztráty po potenciálním úspěšném útoku budou daleko větší, než by bylo nutné. Neexistence jednoznačných postupů v IT procesech ale neznamená riziko jen při potenciálním útoku. Nedodržování standardních kroků při běžných procesech, jako je zavádění či rušení uživatelských účtů, nových služeb, nasazování nových serverů atd., vede k zanedbání či opomenutí často kritických nastavení, jež vedou do budoucna k potenciálním hrozbám kteréhokoli z výše vyjmenovaných typů. [9] Doporučená opatření: Systematická tvorba dokumentace a především srozumitelně sepsaná a dodržovaná bezpečnostní politika, vytvořená na základě výše zmíněných bodů významně přispívá k udržitelnosti zabezpečení podnikového ICT. Zároveň veškerá dokumentace pozitivně ovlivňuje zastupitelnost zaměstnanců ICT oddělení a odstraňuje tím slabá místa v podobě často se vyskytujícího vzniku potenciálně nenahraditelných zaměstnanců. Dodržování standardizovaných postupů eliminuje do značné míry nečekané bezpečnostní incidenty, které vznikají nestandardními konfiguracemi nebo opomenutími při konfiguraci ICT prostředků. 35

36 Nezabezpečené mobilní technologie Bodem navíc v tomto TOP 10 se stává problematika zabezpečení mobilních zařízení, která jsou čím dál více začleňována do podnikového ICT. Chytré telefony, tablety, notebooky a další zařízení schopná připojovat se do firemních sítí jsou samozřejmě také rizikem, slabým místem a cílem potenciálních útoků. Moderní pracovní systém BYOD je dalším zdrojem rizik spadajících do této kategorie. [12] Doporučená opatření: U mobilních zařízení, na rozdíl od serverů a klientských stanic nacházejících se ve firmě, lze jen velmi těžko zajistit fyzické zabezpečení zařízení (proti odcizení, pozměnění SW), proto je o to důležitější věnovat se zabezpečení samotného přístupu těchto zařízení do sítě. U chytrých telefonů a tabletů je vhodné s požadovanou úrovní zabezpečení počítat již při nákupu těchto přístrojů a vyhodnotit možnosti zařízení v oblasti šifrování lokálních dat, nabídky VPN připojení a kooperaci se vzdáleným řízením bezpečnosti. Přístroje, které umožňují vzdálené řízení bezpečnosti je možné pomocí specializovaných nástrojů nebo pomocí mail serveru vzdáleně resetovat do továrního nastavení a dokonce i naformátovat vložené paměťové karty. Tím je v případě odcizení nebo ztracení přístroje možné předejít zneužití dat či předkonfigurovaných účtů ( , VPN atd.). Pokud firma podporuje program BYOD, je velmi důležité pokrýt použití těchto přístrojů směrnicemi v bezpečnostní politice a v ideálním případě použít nástroje NAP, které významné přispívají k zabezpečení zařízení, které nemá firma zcela ve své správě. Nástroje NAP dokáží na základě monitorování vyhodnotit, zda je zařízení po stránce konfigurace, aktualizací a stavu například antivirového programu v souladu s požadavky pro povolení přístupu do sítě. Pokud tomuto stavu nevyhovuje, je mu buďto odmítnut přístup nebo je umístěno do karanténní zóny, ze které je možné se dostat k prostředkům napravujícím tento stav. NAP lze využít jak na serverech pro přístup k podnikové síti zvenčí (u MS je k dispozici například jako součást služby Směrování a vzdálený přístup), tak i pro zajištění stavu desktopových systémů v síti LAN, připojených přes ověřování 802.1X nebo NAP IPsec. 36

37 5.2 Frekventované metody útoků Bez stanovené bezpečnostní politiky, nasazených a dodržovaných pravidlech politikou daných, jsou data v jakékoli síti vystavena značnému riziku. V následující části si přiblížíme nejčastěji se vyskytující techniky, které jsou využívány útočníky k získání přístupu do sítě či přímo k datům. Útoky můžeme rozdělit na pasivní a aktivní. Pasivní útok znamená většinou monitorování komunikace a odchytávání pro útočníka zajímavých informací, které buďto vedou k získání údajů potřebných pro pokračování útoku nebo přímo zachycení chtěných dat. Aktivní útok naopak přímo modifikuje přenášená data za účelem manipulace s účelem pozměněných informací nebo za účelem destrukce komunikace či celé sítě Odposlouchávání (zachytávání) síťové komunikace Většina síťové komunikace probíhá i v dnešní dobé stále v nezašifrované (plaintext) podobě. To umožňuje útočníkům, kteří mají přístup ke komunikačnímu kanálu, přes který probíhá daná výměna informací, zachytávat pakety probíhají komunikace a snad se dostat k obsahu. Pro odposlouchávání komunikace existují 2 termíny sniffing a spoofing. Odposlouchávání sítě je jedním z největších a nejčastějších problémů, s jakým se administrátoři ve firemních sítích střetávají. [11] Doporučená opatření: V první řadě by mělo být snahou správce znemožnit útočníkovi fyzický přístup k síťové infrastruktuře. Datové rozvaděče a servery by měly být dobře fyzicky zabezpečeny proti přístupu neautorizovaných osob, v případech vyžadujících vysoký stupeň zabezpečení je vhodné zabezpečit i optické páteřní linky například mechanismem hlídajícím tlak plynu v uzavřeném vedení pro optické vlákno. Při narušení vedení dojde k poklesu tlaku v systému a okamžitému varování o možném útoku. Kromě datových center a rozvodů je potřeba zajistit, aby se do sítě nemohlo připojit cizí zařízení a to ani v případě naklonování důvěryhodné MAC adresy stanice nebo periferie. Vhodné řešení nabízí například PKI infrastruktura ve spojení s výše zmíněnou službou NAP. V případě, kdy je do sítě připojeno zařízení, které není ověřeno pomocí certifikátu, případně nesplňuje další kritéria NAP politik, je buďto přesunuto do karanténního prostoru nebo dojde přímo na přepínači k deaktivaci síťového portu a tím zamezení další komunikace. [2][9][10] 37

38 Pokud máme zabezpečenou fyzickou vrstvu komunikace, je potřeba se soustředit na samotný obsah komunikace. Pokud by se útočníkovi podařilo proniknout opatřeními na fyzické vrstvě, stále bude mít k dispozici čitelný text. K zabezpečení obsahu komunikace je možné použít prostředky na různých vrstvách TCP/IP modelu. Na linkové vrstvě lze použít šifrování (link layer encryption) k zajištění nečitelnosti obsahu komunikace. Tato metoda zabezpečení má své výhody i nevýhody a je potřeba obě strany zvážit podle prostředí nasazení. Výhody linkového šifrování jsou především rychlost, nízká režie v síťovém provozu i na straně šifrujících zařízení, nezávislost na protokolech vyšších vrstev a v neposlední řadě i minimální riziko lidské chyby, jelikož linkové šifrování prostě šifruje vše, co je odesílá po zabezpečeném rozhraní. Nevýhody plynou především z toho, že se jedná o hop-to-hop šifrování, tedy v každém bodě (přepínači, směrovači, hostu) je zprávu nutné dešifrovat a při odesílání dál, znovu zašifrovat, což především u routerů (vzhledem k dříve zmíněnému riziku bufferování dat) znamená zvýšené riziko infiltrace a získání dat přímo ze směrovače. [13] Řešením tohoto problému je použití šifrování na síťové vrstvě. Technologie IPsec, která řeší toto zabezpečení, funguje na principu end-to-end tunelu a je tedy odolná vůči napadení prvků mezi koncovými body komunikace. IPsec je skupina protokolů vytvořená po dlouhých debatách IETF o tom, jak by měla vypadat zabezpečená internetová komunikace. Konkrétní specifikace a popis implementace je obsažen v dokumentech RFC 2401, 2402, 2406 a dalších. Sada protokolů obsahuje kromě šifrování ještě prostředky pro autentizaci, kontrolu integrity dat a ochranu proti útokům opakováním komunikace. Pomocí IPsec je možné zabezpečit komunikaci mezi 2 koncovými stanicemi (host-to-host), 2 internetovými bránami spojujícími například 2 geografický oddělené firemní sítě (network-to-network) nebo mezi bránou a koncovou stanicí (network-to-host). Technologie IPsec je navzdory umístění v síťové vrstvě spojovaná. Vzhledem k nutnosti výměny šifrovacích klíčů mezi koncovými body komunikace a následnému vytvoření šifrovaného spojení je to však logické. Navázané IPsec spojení se nazývá SA (Security Association) a každé spojení je označeno bezpečnostním identifikátorem. Spojení je jednosměrné (pro obousměrnou zabezpečenou komunikaci je nutné vytvořit 2 SA, každé se svým identifikátorem). Identifikátory jsou přidávány do přenášených paketů a slouží ke kontrole klíčů a dalších ověřovacích údajů na straně příjemce. [2] 38

39 IPsec komunikaci lze používat ve dvou režimech. V transportním módu je hlavička IPsec protokolu vkládána za IP hlavičku a před TCP. IP hlavička zůstává stejná kromě změny indikace, že jde o IPsec protokol. Z toho plyne, že routování probíhá v nezměněném režimu, protože IP hlavička není ani modifikovaná (z hlediska informací podstatných pro směrování) ani zašifrovaná. Autentizační hlavička obsahuje výše zmíněné funkce k ochraně dat v IP payload sekci, a to konkrétně autentizaci, ochranu integrity a ochranu proti opakování zprávy, nicméně data v obsahu nejsou šifrovaná, tudíž zůstávají čitelná, ale nemodifikovatelná. Integrita dat je ověřována pomocí kontrolního součtu v AH hlavičce, která počítá i možností změny některých údajů v IP hlavičce, jako například TTL (time-to-live) nebo ToS (type-of-service). [2][15] Obrázek 10 IPsec Transport Packet Zdroj: Microsoft Technet Existuje ještě varianta transportního režimu, jejíž použití zabezpečí šifrováním i samotný payload, tedy dochází k zajištění i poslední funkcionality důvěrnosti. Pomocí ESP (Encapsulating Security Payload) zajistíme podepsání IP payloadu. ESP však podepisuje pouze IP payload, nikoli IP hlavičku, ta zůstává původní. ESP lze použít samotné i v kombinaci s AH hlavičkou, tedy s celou sadou bezpečnostních opatření, jež poskytuje. Obrázek 11 IPsec ESP Zdroj: Microsoft Technet V tunelovém módu je celý IP paket včetně hlavičky obalen do zcela nového paketu s novou hlavičkou. Tunelový režim je většinou používán v případech, kdy tunel končí ještě před cílovou destinací. Typickým příkladem jsou IPsec VPN, které obvykle terminuje hraniční firewall nebo brána a do vnitřní sítě již posílá pouze nezabezpečenou část obsahu komunikace. Výhodou tohoto režimu je především to, že koncové stanice 39

40 nemusí být vůbec nakonfigurované pro obsluhu IPsec komunikace, o terminaci (vybalení původního IP paketu) se postará brána nebo firewall. Tunelový režim lze stejně tak jako transportní využívat v režimu AH, přičemž je původní paket obalen novou IP hlavičkou a AH hlavičkou. AH hlavička obsahuje kontroly jako v případě transportního režimu a to včetně nové IP hlavičky. Obrázek 12 IPsec AH tunnel mode Zdroj: Microsoft Technet Stejný je i druhý režim, tedy s použitím ESP. ESP obalí celý původní IP paket, zašifruje ho a přidá ještě autentizační ESP zápatí. Obrázek 13 IPsec ESP tunnel mode Zdroj: Microsoft Technet Podepsaná část paketu (od ESP header k ESP trailer) označuje oblast chráněnou proti porušení integrity a autentizace. Zašifrovaná část značí data chráněná utajením. Šifrování probíhá tak, že k původnímu paketu je nejprve přidána ESP hlavička a ESP zápatí a následně je vše mezi tím zašifrováno a nadále považováno za celistvý payload s novou IP hlavičkou, která obsahuje pouze adresu koncového bodu tunelu. Takto obalený paket je plně zabezpečený i při přenosu po veřejných a nezabezpečených kanálech, jelikož v čitelné podobě obsahuje pouze adresu koncového terminačního bodu IPsec tunelu. Ten po přijetí paketu dešifruje obsah a zahodí novou IP i ESP hlavičku. [2][13][14][16] 40

41 Pomocí IPsec jsme tedy schopni zajistit end-to-end zabezpečení komunikace proti napadení integrity, zcizení identity, proti útoku simulováním opakované komunikace i proti čtení obsahu (utajení). Velká výhoda IPsec zabezpečení je integrace do síťové vrstvy. End-to-end zabezpečení pohodlně nabízí i služby na aplikační vrstvě a dlouho se na poli IETF polemizovalo o tom, jakou cestou se vydat. Aplikační úroveň zabezpečení by totiž vyžadovala úpravy kódu samotných aplikací a zvyšovala by riziko lidských chyb (aplikační konfigurace, volitelné možnosti atd.). [2] Modifikace dat Potom, co je útočník schopen zachytit nezabezpečenou komunikaci, dalším logickým krokem je pozměnění jejího obsahu za účelem získání dalších potřebných údajů či k destrukci služeb a samotné komunikace. Ani v případě, že nevyžadujeme šifrování veškeré komunikace, nechceme, aby byla jakákoli data během transportu modifikována. [11] Doporučená opatření: Veškerá doporučená opatření se shodují s bodem Odposlouchávání (zachytávání) síťové komunikace. Jelikož jde především o prevenci proti možnosti data vůbec zachytit (fyzické zabezpečení), kontrolu integrity (IPsec, aplikační zabezpečení) a autentizaci (IPsec, aplikační zabezpečení) Zcizení identity Protože většina sítí i operačních systémů používá ve výchozím nastavení ke kontrole identity IP nebo MAC adresu, je v některých situacích možné podvrhnout systém za pomoci odposlechnuté nebo jinak získané validní adresy. Po získání validní IP adresy v daném systému (síti) může útočník vygenerovat pakety, které se budou cíli zdát také validní. Pokud se útočníkovi podaří takto získat přístup do sítě je již jen otázkou dalšího zabezpečení, jak velké škody dokáže napáchat. [11] Doporučená opatření: Opatření v tomto bodě je potřeba opět rozdělit do dvou skupin. V případě, že se jedná o zabezpečení zcizení identity proti útokům z internetu, je nutné použití firewallu či UTM řešení na hranici firemní sítě a internetu. Správně nastavená pravidla na hraničním firewallu zamezí útočníkovi v průniku do sítě. Při konfiguraci firewallu je nutné vzít na vědomí, že pravidla povolující komunikaci z internetu do vnitřní sítě by neměli obsahovat veřejné IP adresy, ale pro připojení by mělo být využito autentizovaných prostředků jako je VPN. Pokud je z nějakého důvodu 41

42 nutné povolit komunikaci pro konkrétní IP adresu, je vhodné tak učinit pouze s dalšími opatřeními, jako je použití jiných než výchozích portů služeb, vícenásobné ověřování atd. Pro zabezpečení odcizení identity v rámci vnitřní sítě je nutné nasazení technologií jako je výše zmíněný NAP či port-based zabezpečení na aktivních prvcích sítě dle IEEE 802.1X. Obě tyto technologie (nebo jejich kombinace) poskytují autentizaci pro připojená zařízení a procedury k zacházení s neautentizovaným připojením k síti. Podrobněji se těmto možnostem budeme věnovat v kapitole Prolamování hesel Řízení autorizace k operačním systémům, aplikacím i síťovým zařízením je stále majoritně zajišťováno pomocí systému uživatelské jméno / heslo a kombinace těchto údajů vás identifikuje vůči danému systému. Problémem není pouze hádání kombinací uživatel / heslo, ale také, a to hlavně v případě starších aplikací, odposloucháváním sítě. Jelikož často aplikace posílaly při komunikaci celou přihlašovací sekvenci, nebo alespoň uživatelské jméno, v čitelné podobě, stačilo útočníkovi zachytit přihlašovací údaje z komunikace. V případě zachycení uživatelského jména má útočník k dispozici 2 možnosti k pokračování. Může zkusit uhádnout slabé heslo nebo použít automatizovaný útok za pomoci slovníku či přímo hrubou silou (všechny možnosti). [11] Doporučená opatření: Opatření k tomuto bodu značně komplikuje nemožnost zajistit bezpečnost zmíněných starých aplikací. V případě, že je nezbytné používat aplikaci, která akceptuje přihlášení pouze v plain-text režimu nebo zastaralých hash metod, je nutné zajistit bezpečnost přenosového kanálu, aby nemohlo dojít k odposlechnutí (viz Odposlouchávání (zachytávání) síťové komunikace). Pokud používané aplikace, operační systémy a další zařízení, vůči kterým se autorizace provádí přihlášením jménem a heslem, používají moderní metody pro přenos přihlašovacích údajů (KDC, Kerberos, PKI) je stále nutné dbát na dodržování zásad z kapitoly Slabá hesla Man-in-the-middle útok Jak vypovídá samotný název, jde o metodu, při které útočník aktivně monitoruje, zachycuje nebo kontroluje komunikaci mezi 2 koncovými body. Klasickým příkladem je model kdy útočník dokáže pozměnit směrování mezi komunikujícími stranami tak, aby 42

43 procházela přes něj. Často je také útok MITM kombinován s odcizením identity. Analýzou zachycené komunikace útočník dosáhne možnosti imitovat původního odesílatele, aniž by cílový systém zjistil, že je to jiný zdroj. Tento typ útoku je snadno použitelný například na nezabezpečených bezdrátových sítích. [11] Obrázek 14 Man-In-The-Middle Zdroj: https://www.owasp.org/index.php/man-in-the-middle_attack Doporučená opatření: Pro úspěšné provedení tohoto útoku je opět nutné mít v první řadě přístup ke komunikačnímu kanálu. Ať už je to zmíněná nezabezpečená bezdrátová síť, nebo kabelová podniková LAN. Z toho plynou i doporučené metody ochrany, které se do značné míry shodují s bodem Odposlouchávání (zachytávání) síťové komunikace. V případě, že útočník není schopen fyzicky ani logicky narušit komunikační prostředek (připojit se k WiFi či ethernetu), nepodaří se mu pokračovat v útoku. V případě útoků vedených z internetu vůči přístupovému bodu firemní sítě (firewall) je opět důležité použití technologií zaručující autentizaci a integritu, jako je IPsec či SSL VPN. Pro nezabezpečené kanály lze ještě využít správně nakonfigurované IPS/IDS (Intrusion Prevention System/Intrusion Detection System), nicméně je lepší použít aktivní prevenci útoku použitím bezpečných kanálů, než pasivně spoléhat na detekci a blokování útoku Útok na aplikační vrstvě Útoky na aplikační vrstvě jsou většinou vedeny na aplikační servery za účelem zneužití známých slabých míst (exploit). Takto útočník obchází standardní kontrolu přístupu a získává neoprávněný přístup k běžícím aplikacím, datům nebo operačnímu systému. V případě, že se útočníkovi podaří získat přístup k aplikaci, může již v závislosti na 43

44 právech konkrétního uživatele manipulovat s daty (číst, přidávat, mazat či modifikovat) aplikace nebo operačního systému. Po získání přístupu na aplikační úrovni může útočník rovněž využít server pro rozšíření viru nebo jiného škodlivého kódu, jelikož na aplikačních serverech často nebývá z výkonových důvodů nasazován antivirový software. Napadený server lze úspěšně využít pro další odposlouchávání a analýzu provozu na síti a získané poznatky mohou útočníkovi pomoci k destrukci či narušení síťové komunikace v celé síti. V neposlední řadě je útočník schopen nekorektně ukončovat provoz spuštěných služeb a aplikací, což vede nevyhnutelně ke ztrátám dat a omezení produkčního prostředí. [11] Doporučená opatření: Stejně jako v bodě Prolamování hesel je problematické zabezpečit proti útokům staré aplikace používající napadnutelné technologie. Proti napadení na aplikační vrstvě se lze efektivně bránit především používáním aktuálních technologií a sledováním trendů v oblasti aplikační bezpečnosti. Pokud se jedná o aplikace vystavené do internetu je nutné zajistit bezpečnou autentizaci a autorizaci přistupujících uživatelů, ideálně v součinnosti s VPN (viz. kapitola Odposlouchávání (zachytávání) síťové komunikace), jež zajistí bezpečné komunikaci v nezabezpečené části sítě (internet). VPN řešení však není možné použít vždy. U veřejně publikovaných webových aplikací musíme zajistit všeobecnou dostupnost, ale zároveň i zabezpečení. V těchto případech je nutné před publikovaný aplikační či webový server umístit sofistikovaný firewall, ideálně UTM. Přístup k aplikacím by měl být z internetu vždy zabezpečen pomocí šifrovaného spojení SSL/TLS, které bude buď přímo předáváno webovému serveru v DMZ nebo ukončováno firewallem (UTM). Ukončené SSL spojení je dále předáváno v nezabezpečené formě. Tato varianta je výhodná zejména z důvodu nenáročnosti konfigurace na webovém serveru. A snadné inspekci provozu na http protokolu. Servery vystavené do internetu by měly být autentizovány pomocí certifikátů vydaných důvěryhodnými certifikačními autoritami. Třetího dubna 2014 vyvolalo značné pozdvižení zveřejnění zprávy o slabém místě v některých verzích nejpoužívanější open-source knihovny (OpenSSL) zprostředkovávající právě SSL/TLS zabezpečení na straně webových serverů, SSL terminačních bodů (UTM, firewally, VPN brány atd.). Útočník, který měl informace o tomto slabém místě, dokázal bez jakýchkoli zvláštních oprávnění, úspěšně získávat obsah paměti ze serverů zabezpečených knihovnou OpenSSL. Z obsahu paměti bylo 44

45 možné získat přímo soukromé klíče certifikátů X.509 a následně dešifrovat veškerou komunikaci zabezpečenou těmito certifikáty. Slabé místo dostalo pojmenování Heartbleed, protože chyba je konkrétně obsažena v implementaci TLS/DTLS kontrole heartbeat. V případě zneužití této chyby dochází úniku (leak) z operační paměti ze serveru na klienta. Závažnost tohoto slabého místa je dána především tím, že jeho využití nezanechává žádné stopy a chyba v implementaci byla pravděpodobně odhalena až po velmi dlouhé době. Pravděpodobně tak došlo ke kompromitaci obrovského množství SSL certifikátů. Závažnost ještě navyšuje fakt, že OpenSSL knihovna zdaleka není využívána pouze pro zabezpečování výše zmíněných zařízení a aplikací, ale je implementována v mnoha distribucích Linuxu a používána celosvětové při vývoji aplikací. Proti zneužití Heartbleed chyby je nutné provést aktualizace knihovny, což není problém u aplikačních a webových serverů, ale může to být problém u aplikací, které chybové verze knihovny využívají, protože se musí udělat nová distribuce. [17] Opatření proti útokům na aplikační vrstvě z vnitřní sítě se do značné míry shodují s bodem Slabá hesla a Odposlouchávání (zachytávání) síťové komunikace. Nad tyto opatření je ještě potřeba zmínit důležitost používání aktuálních operačních systému na serverech i klientských stanicích. V rannějších implementacích autentizačního protokolu Microsoft NTLM (NT Lan Manager), konkrétně NTLM v1 a v2, se nacházely chyby umožňující útokem typu man-in-the-middle získat přístup k SMB zdrojům v síti bez jakýchkoli informací o uživateli a hesle. [18] 45

46 6. Moderní typy útoků (APTs a DDoS) a protiopatření 6.1 APT (Advanced Perstistent Threath) Termín APT byl vytvořen v roce 2006 analytiky US Air Force a popisuje 3 hlavní aspekty útočníků, jejich profil, záměry a strukturu. Advanced útočník je zběhlý v metodách pronikání do systémů a je schopný vytvářet vlastní nástroje pro zneužití známých i neznámých slabých míst. Persistent útočník má plán dlouhodobějšího charakteru a soustředí se na splnění cílů aniž by byl detekován Threath útočník je organizován, financován a motivován a představuje tak značnou hrozbu V minulosti se pojem APT vztahoval k opakujícím se narušením bezpečnosti firemních sítí. V dnešní době je pojem APT často mylně považován za útok prostřednictvím vysoce sofistikovaných metod, jako jsou viry napsané pokročilými programátorskými metodami, schopné obelstít nejrůznější ochranné mechanismy a přetrvávat v utajení na území cíle po delší dobu. Sofistikované nástroje samy o sobě nereprezentují APT, ale jsou jeho průvodním jevem, jelikož různé skupiny působící na poli počítačové kriminality používají podobné sady nástrojů. [9] Rozdíl mezi hacks of opportunity tedy víceméně náhodným útokům, vedeným především proto, že je to na daném systému možné a APT, je tom, že hacker nebo skupina hackerů mají vyšší cíl. APT útoky bývají dopředu dobře připravené, předchází jim mapování terénu na virtuální i reálné (social engineering) úrovni a cílem bývá dlouhodoběji udržitelné obohacení na úkor cíle útoku. Cíle APT útoků se dají rozdělit do dvou relativně odlišných kategorií. První skupina si klade za cíl získávání osobních údajů jednotlivců či firem za účelem zneužití identity k obohacení nebo přímým krádežím. Druhá skupina se soustředí na konkurenční boj mezi korporacemi, či dokonce státy placené útoky mající za cíl získávaní utajených informací, duševního vlastnictví nebo obchodních tajemství. Získané informace jsou následně využívány v konkurenčním boji či v případě vládních institucí k vytvoření strategických výhod. Informace jsou moc a přístup k nebo kontrola nad 46

47 konkurenčními informacemi je mocná. Toto je základní cíl všech APT útoků získat a udržet přístup k informacím, které jsou pro útočníky či jejich sponzory podstatné. [9] Ať už jsou skupiny hackerů schopných provádět APT motivovány státem sponzorovanou průmyslovou špionáží nebo organizovaným zločinem či se jedná o sociálně vyloučenou skupinu, APT metody a techniky jsou charakteristicky podobné a díky tomu je lze odlišit od náhodných útoků či napadení virem/malwarem. Na rozdíl od příležitostných útoků, se APT útoky nesnaží ve většině případů o žádnou destrukci, ale naopak. Útočník se snaží nezanechávat v systémech žádné stopy a často po získání přístupu do sítě využívá běžné metody práce jako autorizovaný uživatel systému. Pro získání přístupu k systémům jsou často využívány phishingové y obsahující škodlivý kód, který se po otevření snaží auditovat systém odeslat o něm potřebné informace útočníkovi, či přímo zprostředkovat přístup. Druhou metodou jsou v u obsažené odkazy na servery se škodlivým softwarem a další postup je analogický. Kvůli zakrývání stop útočníci často pro počáteční mapování terénu a získávání údajů používají již kompromitované počítačové sítě a servery a zůstávají tak za mnohdy několikastupňovým proxy systémem. [9] APT útoky v podstatě vždy provází sociální inženýrství, ať už ve větší či menší míře. Počínaje cíleným výběrem ových adres vytipovaných pro phishing, zcizením identinty zaměstnance a kontaktováním helpdesku jeho jménem, až po skutečnou průmyslovou špionáž v podobě nasazeného agenturního zaměstnance instruovaného k získání potřebných dat, či přístupů k systémům. 47

48 V každém případě se APT útoky vyznačují několika fázemi, které zanechávají různé stopy: [9][19] 1. Cílení Útočník shromažďuje informace o cíli z veřejných i soukromých zdrojů a testuje metody, které by mu mohly pomoci k získání přístupu do systému. To může znamenat skenování nejrůznějších slabých míst, sociální inženýrství nebo zmíněný phishing. 2. Přístup/kompromitace Útočník získává přístup k systému a určuje nejefektivnější postup k využití informačních systémů cíle a poznává bezpečnostní politiku subjektu. To zahrnuje zajištění veškerých relevantních dat o kompromitovaném systému (IP adresa, DNS, sdílené zdroje, adresy DHCP a DNS serverů, OS) i o uživatelských profilech 3. Průzkum Útočník mapuje síťové zdroje, topologii sítě, názvy služeb, doménové řadiče a testuje služby a administrátorské přístupy k zajištění přístupu k dalším systémům a aplikacím. Často se útočník snaží kompromitovat doménové účty nebo lokální administrátorské účty se sdílenými doménovými oprávněními, a aby tyto aktivity utajil, vypíná antivirus a systémové logování, což může být užitečným vodítkem. 4. Pohyb v ústranní Jakmile útočník určí vhodný způsob procházení sítě, získá potřebná uživatelská oprávnění a identifikuje cíle přesune se síti na další hosty. Tuto činnost většinou neprovází použití žádného škodlivého softwaru, ale využití standardních systémových a síťových nástrojů jako jsou příkazový řádek, NetBIOS příkazy, terminálové služby, VNC nebo další podobné nástroje využívané administrátory. 5. Sběr dat a jejich vynesení Útočníci jdou po informacích, ať už za účelem dalšího cílení, udržení nadvlády nad systémem nebo přímo získání dat, které jsou jejich cílem. Útočníci většinou vytvoří sběrné body a data dostanou ze systému pomocí systému proxy sítí nebo vlastních zašifrovaných nástrojů. Jsou zaznamenány případy, kdy útočníci vynesly data za pomoci standardních zálohovacích nástrojů nasazených v kompromitované společnosti. Často bývá fáze vynesení dat zamaskována útoky malware na jiné části systému, z důvodu odvedení pozornosti zaměstnanců zodpovědných za bezpečnost sítě. 48

49 6. Administrace a údržba Dalším cílem APT útoků je udržení přístupu. To vyžaduje administraci a údržbu nástrojů nasazených útočníkem v sílových systémech. Útočník si většinou vytváří několik paralelních přístupových cest do systému a zároveň instaluje triggery a notifikační systémy, které mají za úkol upozornit na potenciální odhalení kompromitovaného systému. Obrázek 15 APT Zdroj: https://www.damballa.com/advanced-persistent-threats-a-briefdescription/ [19] Jak bylo již řečeno, APT útoky po sobě většinou nezanechávají stopy jako oportunitní útoky, ale pouze záznamy v logu vypadající jako standardní využívání firemních ICT prostředků. Nicméně na rozdíl od standardního oprávněného uživatele, útočník musí se získanými oprávněními experimentovat a hledat další slabá místa systému, aby je dokázal co nejlépe využít a dospět tak ke svému dlouhodobému cíli. Právě toto experimentování a bádání zanechává v lozích a souborovém systému jisté odlišné znaky, než standardně se chovající autorizovaný uživatel.[9][19] Během posledních pěti let bylo odhaleno několik rozsáhlých a dlouhotrvajících tažení útočníků využívajících APT metod proti korporacím i vládám na celém světě. 49

50 Tyto útoky, známé pod krycími názvy Aurora, Nitro, ShadyRAT, Lurid, Night Dragon, Stuxnet, a DuQu, všechny vykazovali 6 zmíněných fází průběhu. [9][19][20] 6.2 Detekce a možná protiopatření Dnes již existuje několik komerčních zařízení (HW i SW appliance), která dokáží detekovat APT techniky a zabránit jim v pokračování. Nicméně i bez těchto cílených zařízení lze udělat hodně pro zlepšení odolnosti firemního ICT vůči této hrozbě. Jelikož útočníci hojně využívají sociální inženýrství, je nutné preventivně zaškolovat zaměstnance v oblasti základních bezpečnostních návyků a chování v prostředí internetu a ICT obecně. Jelikož útočník začíná právě u uživatele, je uvědomělý zaměstnanec základním předpokladem k úspěchu. Koncová stanice uživatele by měla být v souladu bezpečnostní politikou vždy aktuální, obsahovat antivirus a připojení k internetu by mělo procházet bezpečnostní branou nebo proxy, se schopností analýzy provozu, detekce nežádoucího obsahu a antivirem. Jelikož je APT typ útoku, kde útočník není odrazen tím, že na počátku zdánlivě nemá příležitost získat přístup k systému využitím nějakého zjevného slabého místa, je nutné skombinovat veškerá doporučení z kapitoly 5 Frekventované metody útoků a protiopatření, případně je ještě doplnit o specializované řešení. K detekci a obraně proti ATP je vhodné využít následující řešení: Produkty zabezpečení koncových stanic - antivirus, HIPS (Host-based Intrusion Prevention Systém) a software pro kontrolu integrity souborového systému Software pro auditování souborového systému a sledování změn v něm Nástroje a řešení pro síťovou bezpečnost jako jsou UTM firewally, IDS/IPS systémy Nástroje pro monitorování síťového provozu (kryje se s UTM) umožňující filtrování webu. Kromě UTM řešení jsou k dispozici nástroje jako SNORT/TCPDUMP. Nástroje pro monitorování a auditování bezpečnostních a systémových událostí a reportingem. Například Microsoft Systém Center Operations Management. 50

51 V případě APT dokonale platí, že síť je tak bezpečná, jako je bezpečné její nejslabší místo, tudíž neexistuje ochrana typu all-in-one. Pouze kombinací opatření a dodržováním pravidel bezpečnostní politiky je možné vzdorovat APT.[9][20] Obrázek 16 Kombinace prostředků proti APT Zdroj: [20] 6.3 DDoS Distributed Denial of Service Historie Po přelomu tisíciletí došlu k výrazné změně ve vnímání DoS útoků. Z dočasné nepříjemnosti se stala seriózní vysoce nebezpečná a obávaná hrozba. V devadesátých letech se jednalo převážně o využívání slabých míst implementace TCP/IP či chyb klientského síťového HW. Tato slabá místa dostávala pojmenování jako ping of death, Smurf, Fraggle, boink či Teardrop a byla efektivní při shazování jednotlivých počítačů za pomoci jednoduché sekvence paketů, až do doby, než byly tyto implementační chyby odstraněny. [21] Z DoS útoku se stal DDoS ve chvíli, kdy k útokům na cíl nebyl použit pouze počítač útočníka, ale celé sítě počítačů, napadené malwarem nebo obsahujích neaktualizovaná slabá místa a tím pádem ovladatelná útočníkem. Z počátku však byly DDoS útoky chápany jako problém velkých hráčů (nejčastěji napadaná organizace byl Microsoft). DDoS útoky neohrožovali jen organizace, ale i samotný internet. V letech 2002 a 2007 se stalo cílem koordinovaného útoku 13 root DNS serverů s cílem vyřadit základní infrastrukturní jednotky internetu. Útok z roku 2002 byl úspěšný a způsobil značné problém v internetovém provozu. Útok z roku 2007 již úspěšný nebyl a 11 ze 13 serverů útoku odolalo a zůstalo online. [21] 51

52 V přímém kontrastu s původními jednoduchými a relativně neškodnými útoky se ukázaly události v letech 2011 a 2012, kdy DDoS útoky ukázaly, jak devastující mohou být. Mnoho útoků bylo iniciováno skupinou Anonymous proti různým organizacím, například Church of Scientology a Recording Industry Association of America (RIAA). Nejzávažnější útok provedený skupinou Anonymous byl pravděpodobně ten z roku Cílem byly organizace United States Department of Justice, United States Copyright Office, The Federal Bureau of Investigations (FBI), MPAA, Warner Brothers Music, a RIAA. Útok byl veden jako odveta za odstavení serverů Megaupload. [9] Nicméně největší dosud zaznamený DDoS útok byl proveden v na přelomu ledna a února Cílem byl evropský poskytovatel digitálního obsahu Cloudflare. Útočníci využili chybu v neaktualizovaných knihovnách protokolu NTP, pomocí které dosáhli lavinového efektu při útoku. Špičkový datový tok útoku na datová centra Cloudflare dosahoval 400Gb/s, což je nejvyšší škodlivý datový tok v historii zaznamenaný.[9][21] Historické dělení útoků DDoS Simple Network Attack relativně staré, ale proti nezabezpečeným serverům stále dobře fungující metody. Tyto útoky se nazývají floods a využívají velké množství počítačů k zasílání ochromujícího množství síťového provozu na cíl útoku. Dochází ke kolapsu cílové stanice, či firewallu před ní, ale výsledek je stejný odstavení služby z provozu. Využívání velkého množství počítačů při útoku značně komplikuje možnosti blokování provozu, jelikož přichází mnohdy z celého světa. [21] Mezi nejjednodušší typy floods útoků patří SYN flood a connection flood, které využívájí v případě SYN flood dlouhého time-outu v třícestném handshake při sestavování TCP spojení. Klient iniciující komunikaci odesílá na server SYN zprávu buďto s neexistující IP adresou odesílatele (odpověď od serveru nedorazí) nebo na ACK odpověď serveru klient prostě vůbec nereaguje. Jelikož server čeká na odpověď a spojení udržuje po dobu nastavenou v SYN-RECIEVED time-outu, při opakování scénáře dochází k vytváření nových spojení a zahlcování serveru. Conn flood využívá přetečení tabulek u zařízení a softwaru pro monitorování spojení, například SPI firewally či IPS.[22] Například proti nezabezpečenému Linux serveru s Apache 2 web serverem způsobí pád následující sekvence paketů: 52

53 Tabulka 1 Simple Network Attack Útok Metrika Výsledek SYN flood 1500 SYN za sekundu Denial-of-Service Conn flood 800 spojení Denial-of-Service Zdroj: [21] Opatření proti těmto jednoduchým DDoS spočívají v používání filtrování (firewall, UTM atd.), zkrácení SYN-RECIEVED time-outu, použitím SYN cache nebo cookies, či recyklováním nedokončených TCP spojení. Modernější typy útoků většinou dosáhnou odstavení služby dávno předtím, než dojde k přetečení pamětí, tabulek či vyčerpání šířky pásma na straně cíle. Mezi sofistikovanější metody DDoS patří DNS útoky. Služba DNS je klíčovou službou internetu a pokud je narušena její funkce přestává fungovat velké množství internetových služeb na ní závislých. DNS servery jsou proto lákavým cílem útočníku, historicky bylo pokušení násobeno nedostatečnou HW infrastrukturou na straně root DNS serverů. DNS útoky se díky relativně jednoduché UDP struktuře protokolu vyznačují 2 hlavními body: DNS útok se snadno generuje DNS útokům je těžké se bránit DNS útoků existují 3 typy: UDP floods snadné generování DNS UDP paketů vede k zahlcení na strané DNS serveru, který musí všechny příchozí pakety vyhodnotit z hlediska validity a tím spotřebovává HW prostředky. Po vyčerpání prostředků se buďto restartuje nebo začne zahazovat příchozí pakety (mezi nimi i ty validní).[21] Legitimní dotazy (NSQUERY) Hierarchická architektura systému DNS způsobuje občasnou nutnost rozeslat legitimní dotaz na další servery pro úplný překlad názvu. To způsobuje nerovnováhu ve vytížení infrastruktury, jelikož na jeden klientský dotaz musí odpovídat více serverů. Této asymetrie je zneužíváno během NSQUERY útoků. Velké množství zdrojových počítačů posílajících specifické dotazy tak může způsobit zahlcení i velkého počtu DNS serverů.[21] Legitimní dotazy na neexistující hosty (NXDOMAIN) Nejsofistikovanější typ DNS útoku. Validní dotaz na neexistující doménové jméno způsobí na straně DNS serveru mnohem větší využití HW prostředků, než NSQUERY útok, protože server 53

54 musí projít celou cache, zónovou databázi a často po nenalezení předá dotaz dalšímu serveru a čeká na odpověď, což opět konzumuje prostředky. I pokud server neselže na vyčerpání prostředků, dojde po určitém čase k přepsání všech validních záznamů v DNS Cache za neexistující a tím k obrovskému zpomalení odpovědí na validní dotazy. Proti těmto NXDOMAIN útokům je téměř nemožné se bránit. V listopadu 2011 tento typ útoku vyřadil z provozu mnoho DNS serverů po celém světě. Toto slabé místo zůstane využitelné, dokud ISC (Internet Systems Consortium) nevydá opravný patch na BIND, software na kterém je většina internetových DNS serverů založena.[21] Dalším typek DDoS jsou http útoky. Ty se dají opět rozdělit na: Floods Na rozdíl od Simple Network Attack metod, které se snaží zahltit cíl nevalidní komunikací, vypadá http flood útok jako standardní komunikace. Z tohoto důvodu jsou nezachytitelné pomocí běžných firewallů a jednoduše dál předávány web serverům. Tisíce až milióny útočících počítačů (botnety) posílají http požadavky na server, dokud nezpůsobí jeho kolaps či extrémní zpomalení odpovědí. Moderní firewally a UTM dokáží poměrně snadno na základě analýzy http inspekce odhalit a odříznout tento typ útoku.[21] Low-bandwidth HTTP denial of service attacks Ochrany založené na analýze provozu a http inspekci dokáže překonat překvapivě jednoduchý model útoku, jakým je například Slowloris. Jednoduchý skript, který generuje a posílá na server HTTP požadavky o minimální velikosti (typicky 5 bajtů) každých 299 sekund. Tím udržuje spojení aktivní a vytváří další a další, dokud nedojde k přetečení tabulky spojení. Bylo otestováno, že proti standardnímu web serveru se softwarem Apache stačí otevřít 394 těchto spojení k dosažení DoS. Další typy Low-Bandwith HTTP DoS ukazuje tabulka 6-2. [21] 54

55 Tabulka 2 Low-Bandwith http útoky Útok Cíl útoku Popis Slowloris Tabulka spojení Pomalu posílá HTTP hlavičky k udržování spojení. Slowpost Tabulka Pomalu posílá data (POST) k udržení spojení. spojení HashDos CPU Přeplňuje hash tabulky v back-endovém SW. SSL renegotiation CPU Zneužívá asymetrii v šifrovacích operacích. Zdroj: [21] Aktuální dělení DDoS útoků a jejich podíl na celkovém počtu Podle aktuálních měřítek dělíme DDoS útoky na: Infrastructure layer attacks Application layer attacks Infrastrukturní útoky, známé též jako volumetrické, se zaměřují na spotřebování šířky pásma cíle. Tyto útoky cílí na prvky infrastruktury (DNS servery, NTP servery, firewally) a v současnoti jsou dominantním typem DDoS útoků. Nejčastěji zneužívanými protokoly pro tento typ útoků jsou Character Generator (CHARGEN), Network Time Protocol (NTP) a Domain Name Systém (DNS). Frekvence tohoto typu útoků závisí často na tvorbě nových nástrojů umožňujících snazší nebo efektivnější provedení útoku. V prvním kvartálu roku 2014 značným způsobem vzrostl počet útoku na NTP protokol (viz útok na Cloudflare). Tento útok využívá slabé místo ve staré implementaci NTP protokolu. Ačkoli byla již ve 2. polovině roku 2013 vydána směrnice IETF, popisující toto slabé místo, obrovské množství serverů zůstává stále neaktualizované a tudíž zneužitelné tímto útokem. NTP útok je nebezpečný především proto, že jde o takzvaný reflexivní útok. Reflexivní nebo také zesilovací (amplification) útoky zneužívají slabá místa, která vedou k lavinovému šíření útoku. V tomto případě se jedná o funkci MONLIST protokolu NTP, která žadateli vrací seznam posledních 600 IP adres dotazovatelů. To v praxi znamená, že odpověď na tento dotaz je až 206 krát větší než dotaz (v případě, že tabulka s adresami plná). Útočník, který má k dispozici linku o kapacitě 1Gbps tak dokáže teoreticky vypustit útok s šířkou pásma 55

56 více než 200Gbps. Útok na Cloudflare zneužil 4529 NTP serverů v 1298 různých sítích a dokázal vygenerovat zátěž o velikosti 400Gbps. [30] Útoky na aplikační vrstvě vyžadují k úspěšnému provedení vyšší úroveň znalostí a sofistikovanosti. Nejsou nezbytně zaměřené na vyčerpávání propustnosti sítě. Na rozdíl od volumetrických útoků se soustředí na odstavení konkrétní aplikace či služby. Tyto útoky jsou často nerozeznatelné od běžného http provozu a procházejí tak bez povšimnutí skrz firewally i IDS/IPS řešení. Ještě hůře detekovatelné jsou útoky využívající SSL šifrování. V poslední době byly zaznamenány úspěšné útoky využívající reflexe (násobení účinku lavinovým efektem), vedené na servery s WordPress CMS. Útoky na aplikační vrstvě představovaly do roku 213 asi 20 procent z celkového počtu útoků. [30] Porovnáme-li využití DDoS metodik mezi 1Q2013 a 1Q2014, dojdeme ke zjištění, že aplikační útoky ztrácí (pokles z 20 procent na 13) na úkor infrastrukturních. To je zapříčiněno především nárůstem obliby NTP a DNS útoků. Celkově je pokles výskytu aplikačních útoků dáván do souvislosti především se zvýšenou náročností na jejich provedení. Objevení nových nástrojů vhodných k vypouštění útoků na značný počet nezáplatovaných NTP a DNS serverů, tomu přispělo značnou měrou. Obrázek 17 Procentuální zastoupení DDoS útoků Zdroj: Prolexic Quarterly Global Attack Report Q

57 6.3.4 TOP 10 zemí, ze kterých přicházejí DDoS útoky Obrázek 18 ukazuje aktuální procentuální zastoupení zemí, ze kterých pochází největší část DDoS útoků. Spojené státy americké s 21 procenty vedou tomuto žebříčku, je zde však jasně vidět celková převaha asijských států. To je dáno především masivním rozvojem infrastruktury, obrovského počtu lidí připojených k internetu, velkému množství botnetů a celkovému neřešení bezpečnosti. Spojené státy jsou na čele žebříčku proto, že velká většina cílů DDoS útoků má datová centra právě v USA. Tato skutečnost jednak usnadňuje provedení útoku a zároveň omezuje možnosti cíle se bránit zakázáním komunikace z cizích států. Obrázek 18 Zdroje DDoS útoků Zdroj: Prolexic Quarterly Global Attack Report Q Shrnutí možných opatření proti DDoS Stejně jako v případě APT neexistuje proti DDoS ucelená all-in-one ochrana. V boji proti DDoS je nutné nasazení více kooperujících nástrojů a v případě velkých firem disponujících vlastními datovými centry a velkou šířkou pásma připojení k internetu dokonce spolupráci s poskytovateli připojení a společnostmi specializujícími se na boj proti DDoS, jako je Akamai/Prolexic. Kombinace inteligentních nástrojů pro monitoring a analýzu provozu, které dokážou oddělit nežádoucí provoz od validního s pokročilými UTM firewally či dokonce specializovanými DDS aplikacemi (DDoS Defense System) dokáže efektivně čelit cíleným 57

58 DDoS útokům. V rámci internetu je nutné posilovat HW root DNS serverů a aktualizovat aplikační vrstvy, na kterých jsou tyto služby provozovány. 58

59 7. Firewally Firewall je v počítačové terminologii zařízení nebo software, který kontroluje příchozí a odchozí komunikaci na základě stanovených pravidel. Firewall stanovuje bariéru mezi sítěmi nebo i jednotlivými počítači. Ať už se jedná o bariéru mezi internetem a vnitřní důvěryhodnou firemní sítí nebo mezi 2 subnety vnitřní sítě, vždy zastává funkci eliminace nežádoucí komunikace. Firewall nebo jeho části dnes obsahují operační systémy, routery či domácí AP, ale samozřejmě existují i specializovaná HW a SW řešení, která poskytují mnoho sofistikovaných funkcionalit a různé úrovně výkonu. Firewally prodělaly poměrně výrazný vývoj. 7.2 Paketové filtry První zmínka o počítačovém firewallu pochází z roku 1988, kdy inženýři z Digital Equipment Corporation (DEC) vyvinuli první systém k filtrování paketů. V Bellových laboratořích AT&T pokračovali ve výzkumu pánové Bill Cheswick a Steve Bellovin. Vyvinuli pro firmu AT&T vlastní funkční model paketového filtru založený a architektuře DEC. Paketový filtr funguje na principu inspekce každého příchozí paketu. Zjištěné zdrojové a cílové adresy, protokol či TCP/UDP port porovnává s pravidly. Pokud je paket vyhodnocen jako nežádoucí, dochází k jeho zahození (discard) nebo odmítnutí (reject). Při odmítnutí paketu je odesílateli odeslána zpráva o zamítnutí přístupu, při zahození nikoli. Jelikož tyto firewally neřeší stavy spojení, nazývají se také stateless. Bezstavové firewally pracují majoritně na 2. a 3. vrstvě OSI modelu, 4. vrstvu využívají pouze v pravidlech s použitím TCP a UDP portů. [23] 7.3 Stateful Packet Inspection (SPI Firewally) V návaznosti na výzkum v AT&T Bell Laboratories pokračovali pánové Dave Presetto, Janardan Sharma a Kshitij Nigam ve vývoji a na začátku 90. let vyvinuli druhou generaci firewallu Circuit-level gateway. Firewally druhé generace dělají vše co stateless verze, ale naplno využívají transportní (čtvrtou) vrstvu OSI modelu. Na rozdíl od bezstavového firewallu, který kontroluje každý paket zvlášť, stavový firewall zachytává pakety, dokud nemá dostatek informací o stavu dané komunikace. SPI tedy funguje tak, že firewall zaznamenává procházející pakety a zjišťuje, zda jde o paket iniciující spojení, patřící do 59

60 existujícího spojení nebo nepatřící do žádného spojení. Ačkoli firewall stále používá statická pravidla, nyní mohou obsahovat podmínky pro testování stavu spojení. Jak bylo zmíněno v sekci 6.3.2, je tento typ firewallu potenciálním cílem DDoS útoků. Útoky využívají právě nutnosti ukládání informací o stavu spojení. Tyto tabulky nejsou neomezené a v případě zahlcení pakety s falešnými spojeními dojde k vyčerpání místa v tabulce a následnému odepření i validních spojení. [23] 7.4 Aplikační firewally Třetí generaci firewallu vyvinuli v devadesátých letech pánové Marcus Ranum, Wei Xu a Peter Churchyard a pojmenovali ji Firewall Toolkit (FWTK). Je zřejmé, že aplikační firewall pracuje na sedmé, tedy právě aplikační, vrstvě OSI modelu. Klíčová výhoda aplikačního firewallu je, že dokáže interpretovat protokoly 7. vrstvy, jako jsou FTP, http, DNS a další a v podstatě rozumí dané komunikaci. Firewall tak dokáže rozpoznávat i nechtěnou komunikaci snažící se obejít pravidla odesíláním komunikace na povolených portech. [23] 7.5 Next Generation Firewally (NGFW) a UTM Evolucí aplikačních firewallů a kombinací dalších bezpečnostní i síťových služeb vznikla v nedávné době nová generace bezpečnostních řešení. Vzhledem k množství sdružených funkcí se již nejedná pouze o firewall a pro tyto řešení se vžilo pojmenování Unified Threat Management. Můžeme se též setkat s pojmem NGFW Next Generation Firewall, nejedná se sice o synonyma, ale obě koncepce se v mnohém překrývají. UTM firewally se primárně snaží o centralizaci zabezpečovacích mechanismů do jednoho HW, či SW řešení. Většina reálných produktů integruje pod pojmem UTM firewall dříve diskrétní zabezpečovací mechanismy jako je antivirus, anti-malware, anti-spam, IPS a IDS, web-filtering a samozřejmě klasický SPI firewall, doplněný o možnost práce s pravidly na sedmé (aplikační) vrstvě ISO-OSI modelu. NGFW také kombinují různá bezpečnostní řešení, ale soustředí se především na integraci s firemní infrastrukturou. Úzká spolupráce s Active Directory, DHCP a DNS službami umožňuje centrální management a pravidla založená přímo na uživatelských účtech AD. 60

61 UTM i NGFW řešení jsou k dispozici jako SW i HW appliance. U softwarových produktů jde buďto o běžnou instalovatelnou aplikaci nebo embedded produkt s vlastním, většinou Linuxovým, operačním systémem nasazovaným na holé železo či do virtuálních prostředí. HW appliance využívají univerzální ARM procesory a vlastní sestavení linuxových jader. Výrobci nejmodernějších a nejvýkonnějších hardwarových UTM řešení si navrhují a nechávají na zakázku vyrábět vlastní ASIC (aplication-specific integrated circuit) čipy, obsahující vlastní specifické sady instrukcí. Takto optimalizovaný hardware dokáže dramaticky zvýšit výkon UTM řešení. Koncentrace bezpečnostních funkcí v UTM firewallech je značně náročná na výkon a v případě nasazení na vysoce propustných linkách velkých společností by standardní ARM hardware již narážel na výkonové limity. [23][24] 61

62 8. Rizika nezabezpečených aktivních prvků LAN Zabezpečení firemních dat i komunikace je dnes věnována již značná pozornost. Často se ale stává, že soustředění míří primárně na hraniční body sítě, servery, klienty a na zabezpečení aktivních prvků sítě, jako jsou přepínače, směrovače, či přístupové body bezdrátových sítí se zapomíná. Je potřeba si však uvědomit, že právě přes tyto zařízení tečou veškerá zabezpečená i nezabezpečená data a jejich ponechání ve výchozím nastavení přináší značná rizika, zejména pro útoky z vnitřní sítě. Výchozí nastavení většiny aktivních prvků od renomovaných výrobců bývá do značné míry nedostatečné. Přístup ke správě aktivního prvku je přednastaven s triviálním, či dokonce žádným heslem a pro samotnou komunikaci s prvkem jsou využity nezabezpečené protokoly jako HTTP, TFTP (Trivial File Transfer Protocol), Telnet a SNMP v1/2c (Simple Network Management Protocol v1/2c). U přístupových bodů bezdrátových sítí je v lepším případě deaktivováno rádio či přednastaven složitý klíč zabezpečení, nicméně značná část uživatelů i správců ponechává ve výchozím nastavení administrátorský přístup s triviálním heslem a dále se nesnaží zvýšit úroveň zabezpečení podrobnějším nastavením. [25] Stejná pozornost jako zabezpečení správy samotných zařízení, by měla být věnována zabezpečení portů aktivních prvků, v případě firemních sítí tedy přepínačů. Výchozí nastavení je v tomto případě zcela nezabezpečené, tedy ke switch žádným způsobem nekontroluje, zda je připojované zařízení žádoucí, či nikoliv. 8.1 Přepínače a směrovače Výchozí administrátorský přístup Ponechaný výchozí login (Admin, root, manager, superuser atd.) bývá nejčastějším slabým místem. Riziko ponechání přístupu ke správě ve výchozím nastavení je zjevné. Útočník jakkoli připojený do subnetu, ve kterém se nachází aktivní prvek, snadno pozná, o jaký konkrétní produkt se jedná a následně si vyhledá (nebo zná) kombinaci výchozího jména a hesla s získává tím okamžitě plnou kontrolu nad zařízením. Telnet - Většina aktivních prvků má ve výchozím nastavení povolen přístup ke vzdálené správě pomocí terminálového protokolu. Telnet je z principu nezabezpečený protokol, komunikující mezi stanicí a aktivním prvkem zcela 62

63 v režimu čitelného textu. V případě, že je útočník schopen zachytávat komunikaci na síti (viz. kapitola Odposlouchávání (zachytávání) síťové komunikace), každý úspěšný pokus o přihlášení znamená úspěšné zachycení loginu útočníkem. HTTP management interface Všechny aktivní prvky sítě, jež disponují možností konfigurace přes webové rozhraní, by měly být nastaveny pro výhradní využití zabezpečeného HTTP protokolu (HTTPS). Ve výchozím stavu tomu tak většinou není a přihlašování tak skýtá stejná rizika jako v případě Telnetu. TFTP protokol Tento protokol je zjednodušenou verzí FTP. Specifikace pochází již z roku TFTP na rozdíl od FTP protokolu používá nespojovaný UDP režim a v rámci jednoho přenosu lze vždy poslat pouze jeden soubor. Pakety navíc putují po síti vždy po jednom a pak klient čeká na potvrzení druhou stranou, což značným způsobem snižuje rychlost na linkách s dlouhou latencí. Nicméně takto jednoduchost na druhou stranu znamená minimální požadavky na paměť i na šířku pásma linky. Stejně jako v předchozích případech, rizikem použití tohoto protokolu je jeho zcela nezabezpečená forma. V případě TFTP dokonce pro iniciování spojení není potřeba žádné přihlášení. SNMP v1/2c SNMP je protokol pro správu zařízení komunikujících IP protokolem. SNMP bývá využíváno aplikacemi pro hromadnou správu a konfigurační management aktivních prvků, jako je HP ProCurve Manager. V současnosti bývá ve výchozím nastavení aktivován protokol SNMP v2. Tato verze používá pro čtení a zápis konfigurace takzvaná komunitní jména (community names), ty jsou však po síti posílána v čitelné podobě a opět tak vzniká riziko zachycení a zneužití pro škodlivé změny v konfiguraci. 8.2 Přístupové body bezdrátové sítě (WiFi AP) Obrovský nárůst využití přenositelných zařízení v podnikovém ICT postupně nutí IT oddělení k nasazování bezdrátových sítí. To s sebou nese samozřejmě značná rizika, jelikož především starší zařízení bez podpory moderních bezpečnostních standardů poskytovala mnohá slabá místa. Stejné riziko jako u přepínačů a směrovačů tvoří ponechané výchozí hodnoty zařízení. Slabé, či žádné heslo u administrátorského účtu znamená snadnou a rychlou cestu získání kontroly nad zařízením, potažmo probíhající komunikací. Další rizika jsou 63

64 již odlišná vzhledem k charakteru bezdrátového připojení. První verze zabezpečovacích mechanismů bezdrátových sítí, tedy WEP a WPA-PSK. Wired Equivalent Privacy (WEP) je standard zabezpečení pocházející z roku 1999 kdy byl vydán standard , definující bezdrátové počítačové sítě. Jeho implementace však obsahovala mnohé chyby a i přes rychlé a široké rozšíření byl rychle nahrazen překlenovací technologií WPA (WiFi Protected Access), jelikož se ukázalo, že tato technologie je velmi slabá. Problém WEP šifrování v krátké délce klíče. Původní implementace WEP šifrování používala kvůli americkým limitům na vyvážení šifer pouze 40 bitové klíče proudové RC4 šifry. To vedlo k tomu, že při dostatečně intenzivnímu provozu na síti bylo možná v relativně krátké době zachytit opakující se klíče a tím prolomit zabezpečení. [27] Technologii WEP nahradilo šifrování WPA. Z hlediska rizik v podnikové síti je to o něco lepší než u WEP, nicméně pokud je to možné, doporučuje se používat WPA verze 2 nebo alespoň WPA v kombinaci s 802.1x autentizačním serverem. Zásadním problémem u WPA je totiž relativní náchylnost na slovníkové a silové útoky v případě použití varianty PSK (pre-shared key) v kombinaci se slabým heslem. 64

65 9. Možnosti zabezpečení aktivních prvků LAN Tato kapitola se zabývá možnostmi zvýšení zabezpečení firemní sítě proti útokům zevnitř. Ve firemní síti není důležité zabezpečení proti neoprávněnému přístupu pouze z důvodu ochrany proti cíleným útokům, ale i proti připojování cizích zařízení, byť jejich primárním účelem není snaha o škodlivou činnost. Soukromá zařízení zaměstnanců, notebooku třetích stran (servisní firmy, zákazníci či dodavatelé) jsou potenciálním zdrojem problémů pro každého administrátora. Jelikož o těchto zařízeních a jejich stavu z principu nic nevíme, není žádoucí jim povolit přístup do stejné sítě, jako sdílí zbytek firemní infrastruktury. Z tohoto důvodu je vhodné nasadit ve firemní síti takové technologie, které umožní kontrolu nad autorizací zařízení. V návaznosti na předchozí kapitolu se tak věnujme základním procedurám zvyšujícím zabezpečení aktivních prvků. Kapitola kopíruje body předchozí kapitoly, ale obsahuje konkrétní alternativy k nezabezpečeným protokolům a doporučená nastavení. 9.1 Přepínače a směrovače Terminálový protokol je dobré v zařízeních zcela zakázat a pro vzdálený přístup ke konzoli vždy používat zabezpečenou verzi. Většina moderních směrovačů a přepínačů k tomu poskytuje protokol SSH (Secure Shell). SSH to je protokol, který vznikl pravě v reakci na úspěšné útoky odchytáváním hesel. Jedná se o protokol pro zabezpečený přístup k příkazovému (shell) řádku vzdáleného systému. SSH využívá pro zabezpečení komunikace asymetrické šifrování, v aktuální verzi SSH-2 se konkrétně jedná o výměnu klíčů pomocí Diffie-Hellman algoritmu. [26] Stejným způsobem je třeba přistoupit k zabezpečení dalších metod komunikace s managementem prvku. V případě webového rozhraní je vhodné zakázat HTTP protokol a využívat pouze zabezpečenou HTTPS verzi. TFTP klient a server v síťovém zařízení by měl být vypnut a nahrazen SFTP (Secure File Transfer Protocol) a SCP (Secure Copy Protocol), jež jsou součástí skupiny protokolů SSH. V případě použití zabezpečených terminálových protokolů a protokolů pro přenos dat je potřeba zmínit, že pro správnou funkci je potřeba mít nainstalovány aplikace podporující tyty protokoly. V případě SSH terminálu je zřejmě nejrozšířenější aplikací Putty. Pro přenos dat pomocí SCP či SFTP lze s úspěchem využít programy WinSCP nebo FileZilla. V případě, že 65

66 chceme využít možnosti správy pomocí SNMP, je vhodné vypnout v zařízení verze v1 a 2 tohoto protokolu a používat pouze verzi 3, která je taktéž zabezpečena asymetrickým šifrováním.[25] Další velmi dobrá technika k zabezpečení aktivních prvků sítě je použití takzvaného Management VLAN (Virtual LAN). VLAN technologie slouží k logickému oddělení broadcastových domén, tedy k virtuální segmentaci jinak fyzicky jednotné sítě. Jak je zřejmě již patrné, Management VLAN slouží k vytvoření uzavřeného vyjmenovaného počtu portů, přes které je možné se připojit ke správě zařízení. Tímto je jasně dané, odkud se dá k zařízením připojit a v kombinaci s vhodným fyzickým zabezpečením patřičných zásuvek je v podstatě eliminována možnost neautorizovaného přístupu k aktivním prvkům. Pro prostředí, kde by bylo nasazení Management VLAN příliš restriktivní, může být alternativou funkce IP Authorized Managers. Po aktivování této funkce nám aktivní prvek nabídne možnost zadat omezený počet IP adres počítačů, ze kterých je možné jej spravovat. Toto řešení je ale možné považovat za bezpečné pouze tehdy, máme-li zajištěnou ochranu před zcizením identity těchto autorizovaných počítačů.[25] Na tomto místě je potřeba ještě zmínit zabezpečení proti ARP Spoofingu (Poisoningu). ARP Spoofing je metoda útoku založená na podstrčení padělaného ARP paketu aktivnímu prvku v síti. Kombinací MAC adresy cílového zařízení (například serveru či výchozí brány) a IP adresy útočníka dojde v přepínači nebo směrovači k vytvoření chybného záznamu v ARP tabulce. Tím útočník dokáže přesměrovat komunikaci, která měla být určena pro původní cíl na svoji stanici. Druhý typ útoku na ARP protokol je DoS, vzhledem k podstatě tohoto protokolu je možné generováním velkého množství falešných ARP paketů docílit zahlcení tabulek aktivního prvku a následnému odstavení jeho služby. 66

67 Obrázek 19 ARP Spoofing Zdroj: Ochranu před tímto typem útoku je možné aktivovat přímo na většině podnikových aktivních prvků. Zabezpečení se opírá o validaci spojení IP/MAC adres, porovnáváním zdrojové fyzické adresy a adresy uvedené v paketu. Při detekování rozdílu není paket předán dál. Autentizace přiřazení IP k MAC se provádí pomocí DHCP Snoopingu, tedy ověření záznamu IP/MAC vůči databázi DHCP serveru. V případě zařízení nepoužívajících dynamickou adresaci je nutné vytvořit v aktivních prvcích statické mapování IP/MAC, jinak budou pakety těchto zařízení zahazovány. [25] Obecně také platí to, že nepotřebné protokoly, služby a nepoužívané porty bychom měli vždy vypnout/zakázat. Čím méně potenciálních míst ke zneužití, tím lépe. 67

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové

Více

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Přednáška 3. Opakovače,směrovače, mosty a síťové brány Přednáška 3 Opakovače,směrovače, mosty a síťové brány Server a Client Server je obecné označení pro proces nebo systém, který poskytuje nějakou službu. Služba je obvykle realizována některým aplikačním

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

Flow monitoring a NBA

Flow monitoring a NBA Flow monitoring a NBA Kdy, kde a jak? Petr Špringl, Zdeněk Vrbka, Michal Holub springl@invea.cz, vrbka@invea.cz, holub@invea.cz Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

3.17 Využívané síťové protokoly

3.17 Využívané síťové protokoly Název školy Číslo projektu Autor Název šablony Název DUMu Tematická oblast Předmět Druh učebního materiálu Anotace Vybavení, pomůcky Střední průmyslová škola strojnická Vsetín CZ.1.07/1.5.00/34.0483 Ing.

Více

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 12. Virtuální sítě (VLAN) Studijní cíl Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 1 hodina VLAN Virtuální síť bývá definována jako logický segment LAN, který spojuje koncové uzly, které

Více

Technologie počítačových komunikací

Technologie počítačových komunikací Informatika 2 Technické prostředky počítačové techniky - 9 Technologie počítačových komunikací Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: středa 14 20 15 55 Spojení: e-mail: jan.skrbek@tul.cz

Více

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačové sítě Počítačová síť je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Základní prvky sítě Počítače se síťovým adaptérem pracovní

Více

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Předmět: Bezpečnost a ochrana zdraví při práci (1 v.h.) 1. VYUČOVACÍ HODINA BOZP Předmět: Základní pojmy a principy sítí (6 v.h.) 2. VYUČOVACÍ HODINA

Více

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování: Přednáška č.1 Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování: Úvod Strukturovaná kabeláž LAN, WAN propojování počítačových sítí Ethernet úvod

Více

JAK ČÍST TUTO PREZENTACI

JAK ČÍST TUTO PREZENTACI PŘENOSOVÉ METODY V IP SÍTÍCH, S DŮRAZEM NA BEZPEČNOSTNÍ TECHNOLOGIE David Prachař, ABBAS a.s. JAK ČÍST TUTO PREZENTACI UŽIVATEL TECHNIK SPECIALISTA VÝZNAM POUŽÍVANÝCH TERMÍNŮ TERMÍN SWITCH ROUTER OSI

Více

VPN - Virtual private networks

VPN - Virtual private networks VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální

Více

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Bezdrátové sítě Wi-Fi Původním cíl: Dnes Bezdrátové sítě Nejrozšířenější je Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) Standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Původním cíl: Zajišťovat vzájemné

Více

Monitorování datových sítí: Dnes

Monitorování datových sítí: Dnes Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis

Více

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Microsoft SharePoint Portal Server 2003 Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Přehled Země: Česká republika Odvětví: Velkoobchod Profil zákazníka

Více

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27 Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26

Více

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. 10. Bezdrátové sítě Studijní cíl Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. Doba nutná k nastudování 1,5 hodiny Bezdrátové komunikační technologie Uvedená kapitola

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Obsah. Úvod 13. Věnování 11 Poděkování 11

Obsah. Úvod 13. Věnování 11 Poděkování 11 Věnování 11 Poděkování 11 Úvod 13 O autorech 13 O odborných korektorech 14 Ikony použité v této knize 15 Typografické konvence 16 Zpětná vazba od čtenářů 16 Errata 16 Úvod k protokolu IPv6 17 Cíle a metody

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Počítačové sítě. Počítačová síť. VYT Počítačové sítě Počítačové sítě Počítačová síť Je soubor technických prostředků, které umožňují spojení mezi počítači a výměnu informací prostřednictvím tohoto spojení. Postupný rozvoj během druhé poloviny 20. století.

Více

Téma bakalářských a diplomových prací 2014/2015 řešených při

Téma bakalářských a diplomových prací 2014/2015 řešených při Téma bakalářských a diplomových prací 2014/2015 řešených při Computer Network Research Group at FEI UPCE V případě zájmu se ozvěte na email: Josef.horalek@upce.cz Host Intrusion Prevention System Cílem

Více

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP Počítačové sítě Lekce 4: Síťová architektura TCP/IP Co je TCP/IP? V úzkém slova smyslu je to sada protokolů používaných v počítačích sítích s počítači na bázi Unixu: TCP = Transmission Control Protocol

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Y36SPS Bezpečnostní architektura PS

Y36SPS Bezpečnostní architektura PS Y36SPS Bezpečnostní architektura PS Jan Kubr - Y36SPS 1 8/2007 Cíle ochrany data utajení integrita dostupnost zdroje zneužití výkonu útok na jiné systémy uložení závadného obsahu pověst poškození dobrého

Více

Představení Kerio Control

Představení Kerio Control Představení Kerio Control UTM - Bezpečnostní řešení bez složitostí Prezentující Pavel Trnka Agenda O společnosti Kerio Kerio Control Přehled jednotlivých vlastností Možnosti nasazení Licenční model O společnosti

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy: POČÍTAČOVÉ SÍTĚ 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout

Více

5. Směrování v počítačových sítích a směrovací protokoly

5. Směrování v počítačových sítích a směrovací protokoly 5. Směrování v počítačových sítích a směrovací protokoly Studijní cíl V této kapitole si představíme proces směrování IP.. Seznámení s procesem směrování na IP vrstvě a s protokoly RIP, RIPv2, EIGRP a

Více

Informační a komunikační technologie. 3. Počítačové sítě

Informační a komunikační technologie. 3. Počítačové sítě Informační a komunikační technologie 3. Počítačové sítě Studijní obor: Sociální činnost Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 3.1. Peer-to-peer 3.2. Klient-server

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: EKONOMIKA A PODNIKÁNÍ ZAMĚŘENÍ: VÝPOČETNÍ TECHNIKA FORMA: DENNÍ STUDIUM 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b.

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Petr Řehoř, S.ICZ a.s. 25. září 2014 1 Důvěryhodná výpočetní základna Vlastní metodika pro návrh a implementaci počítačové infrastruktury

Více

Počítačové sítě internet

Počítačové sítě internet 1 Počítačové sítě internet Historie počítačových sítí 1969 ARPANET 1973 Vinton Cerf protokoly TCP, základ LAN 1977 ověření TCP a jeho využití 1983 rozdělení ARPANETU na vojenskou a civilní část - akademie,

Více

Koncept centrálního monitoringu a IP správy sítě

Koncept centrálního monitoringu a IP správy sítě Koncept centrálního monitoringu a IP správy sítě Implementace prostředí MoNet a AddNet Jindřich Šavel 31/5/2013 NOVICOM s.r.o. 2012 2013 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz,

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Počítačové sítě. IKT pro PD1

Počítačové sítě. IKT pro PD1 Počítačové sítě IKT pro PD1 Počítačová síť Je to soubor technických prostředků umožňujících komunikaci a výměnu dat mezi počítači. První počítačové sítě armádou testovány v 60. letech 20.století. Umožňuje

Více

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie Internet Počítačová síť, adresy, domény a připojení Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie Počítačová síť počítačová síť = označení pro několik navzájem propojených počítačů,

Více

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější

Více

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány) České vysoké učení technické v Praze Fakulta elektrotechnická Moderní technologie Internetu Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány) Abstrakt Popis jednoho z mechanizmů

Více

X36PKO Úvod Jan Kubr - X36PKO 1 2/2006

X36PKO Úvod Jan Kubr - X36PKO 1 2/2006 X36PKO Úvod Jan Kubr - X36PKO 1 2/2006 X36PKO přednášející: Jan Kubr kubr@fel.cvut.cz,místnost G2,(22435) 7628 cvičící: Jan Kubr Jiří Smítka smitka@fel.cvut.cz, G2, 7629 Pavel Kubalík xkubalik@fel.cvut.cz,

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

FlowMon Vaše síť pod kontrolou

FlowMon Vaše síť pod kontrolou FlowMon Vaše síť pod kontrolou Kompletní řešení pro monitorování a bezpečnost počítačových sítí Michal Bohátka bohatka@invea.com Představení společnosti Český výrobce, univerzitní spin-off Založena 2007

Více

Aktivní bezpečnost sítě

Aktivní bezpečnost sítě Aktivní bezpečnost sítě Jindřich Šavel 27/11/2014 NOVICOM s.r.o. 2012 2014 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz, sales@novicom.cz Program prezentace Představení společnosti

Více

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy. Vlastnosti IPv6 (I) Minulé díly seriálu IPv6 vysvětlily proč se IPv4 blíží ke svému konci aže jeho nástupcem je nový Internetový Protokol verze 6 (IPv6). Tématem dnešního dílu jsou vlastnosti IPv6 protokolu.

Více

Security of Things. 6. listopadu 2015. Marian Bartl

Security of Things. 6. listopadu 2015. Marian Bartl Security of Things 6. listopadu 2015 Marian Bartl Marian Bartl Unicorn Systems, Production Manager, 2013 Unicorn Systems, Operations Architect, 2012 Unicorn, 2012 Architektura a projektové řízení Bezpečnost

Více

Koncept. Centrálního monitoringu a IP správy sítě

Koncept. Centrálního monitoringu a IP správy sítě Koncept Centrálního monitoringu a IP správy sítě Koncept Centrálního monitoringu a IP správy sítě Společnost Novicom, společně se svým partnerem, společností INVEA-TECH, nabízí unikátní koncept Centralizovaného

Více

Informační a komunikační technologie. 1.7 Počítačové sítě

Informační a komunikační technologie. 1.7 Počítačové sítě Informační a komunikační technologie 1.7 Počítačové sítě Učební obor: Kadeřník, Kuchař - číšník Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 1. Peer-to-peer 2. Klient-server

Více

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

POČÍTAČOVÉ SÍTĚ Metodický list č. 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout návrh a správu

Více

CZ.1.07/1.5.00/34.0527

CZ.1.07/1.5.00/34.0527 Projekt: Příjemce: Digitální učební materiály ve škole, registrační číslo projektu CZ.1.07/1.5.00/34.0527 Střední zdravotnická škola a Vyšší odborná škola zdravotnická, Husova 3, 371 60 České Budějovice

Více

Správa mobilních zařízení a aplikací

Správa mobilních zařízení a aplikací Správa mobilních zařízení a aplikací 13. října 2014 Martin Kavan Agenda Úvod do Mobile Device Management (MDM) / Mobile Application Management (MAM) Proces vývoje mobilních aplikací Distribuce aplikací

Více

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Projekt: ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Téma: MEIV - 2.1.1.1 Základní pojmy Bezdrátové sítě WI-FI Obor: Mechanik Elektronik Ročník: 4. Zpracoval(a): Bc. Martin Fojtík Střední průmyslová škola Uherský

Více

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita Jak vybrat správný firewall Martin Šimek Západočeská univerzita EurOpen.CZ, Měřín, 5. října 2015 Obsah prezentace K čemu je firewall? Co je to firewall? Kam svět spěje? Nová generace firewallů? Jak vypadá

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

X.25 Frame Relay. Frame Relay

X.25 Frame Relay. Frame Relay X.25 Frame Relay Frame Relay 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy X.25, Frame relay _ 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr.

Více

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9 Obsah 3 Obsah O autorech 9 Jim Kurose 9 Keith Ross 9 Předmluva 13 Co je nového v tomto vydání? 13 Cílová skupina čtenářů 14 Čím je tato učebnice jedinečná? 14 Přístup shora dolů 14 Zaměření na Internet

Více

Aktivní prvky: přepínače

Aktivní prvky: přepínače Aktivní prvky: přepínače 1 Přepínače část II. Předmět: Počítačové sítě a systémy Téma hodiny: Aktivní prvky přepínače část II. Třída: 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART

Více

Optimalizaci aplikací. Ing. Martin Pavlica

Optimalizaci aplikací. Ing. Martin Pavlica Optimalizaci aplikací Ing. Martin Pavlica Vize: Aplikace v dnešním světě IT Ze všech částí IT jsou aplikace nejblíže businessu V elektronizovaném světě významným způsobem podporují business, ten se na

Více

Komunikační protokoly počítačů a počítačových sítí

Komunikační protokoly počítačů a počítačových sítí Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b. výhody počítačových sítí c. rozdělení sítí z hlediska

Více

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil, 4.11.2009

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil, 4.11.2009 Připojení městských částí do infrastruktury MepNET Dotazníkové šetření Bohdan Keil, 4.11.2009 Agenda Jednotlivé otázky dotazníku Doplňující informace 2 Fyzická infrastruktura Popište lokality kde se síť

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

POKUD JSOU PRACOVNÍCI SPOJENI DO SÍTĚ MOHOU SDÍLET: Data Zprávy Grafiku Tiskárny Faxové přístroje Modemy Další hardwarové zdroje

POKUD JSOU PRACOVNÍCI SPOJENI DO SÍTĚ MOHOU SDÍLET: Data Zprávy Grafiku Tiskárny Faxové přístroje Modemy Další hardwarové zdroje CO JE TO SÍŤ? Pojmem počítačová síť se rozumí zejména spojení dvou a více počítačů tak aby mohli navzájem sdílet své prostředky. Přitom je jedno zda se jedná o prostředky hardwarové nebo softwarové. Před

Více

Bezpečnost počítačových sítí

Bezpečnost počítačových sítí Bezpečnost počítačových sítí jak se bezpečně připojit k internetu Způsoby útoků: Pasivní odposlech Odposlechnutí veškeré komunikace, která je dostupná. Síťová karta se přepne do tzv. promiskuitního režimu,

Více

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris Petr Špringl springl@invea.cz INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty

Více

K čemu slouží počítačové sítě

K čemu slouží počítačové sítě Počítačové sítě Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou, nebo jiným způsobem tak, aby spolu mohly vzájemně komunikovat. K čemu slouží počítačové sítě Sdílení prostředků

Více

CISCO CCNA I. 8. Rizika síťového narušení

CISCO CCNA I. 8. Rizika síťového narušení CISCO CCNA I. 8. Rizika síťového narušení Základní pojmy Rizika Devastace sítě Ztráta dat a důležitých informací Ztráta kontroly nad sítí Následnéčasové ztráty Krádež dat Ztráta identity (bankovní operace

Více

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model 1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační

Více

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení Možnosti zabezpečení mobilní komunikace Jan Křečan Manažer prodeje mobilních firemních řešení Agenda Mobilní firemní komunikace Nasazení mobilní firemní komunikace ve firmě Zabezpečení mobilní firemní

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

7/28/2015. Projekt Lan2M

7/28/2015. Projekt Lan2M Projekt Lan2M Vývoj a výroba modemů pro vzdálenou správu strojů a zařízení Založeno na šifrované komunikaci mezi modemy Eliminuje rizika spojového serveru třetí strany Minimální nároky na součinnost IT

Více

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Novinky ve FlowMon 6.x/FlowMon ADS 6.x Novinky ve FlowMon 6.x/FlowMon ADS 6.x FlowMon je kompletní řešení pro monitorování a bezpečnost počítačových sítí, které je založeno na technologii sledování IP toků (NetFlow/IPFIX/sFlow) a analýze chování

Více

Uživatel počítačové sítě

Uživatel počítačové sítě Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00

Více

6. Transportní vrstva

6. Transportní vrstva 6. Transportní vrstva Studijní cíl Představíme si funkci transportní vrstvy. Podrobněji popíšeme protokoly TCP a UDP. Doba nutná k nastudování 3 hodiny Transportní vrstva Transportní vrstva odpovídá v

Více

Audit bezpečnosti počítačové sítě

Audit bezpečnosti počítačové sítě Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Semestrální práce Y36SPS Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com DESKTOP: Windows Vista Daniela Lišková Solution Specialist Windows Client daniela.liskova@microsoft.com TCO desktopů analýzy spol. Gartner Téměř 80% všech nákladů v IT vzniká po nákupu tj. na správě, opravě,

Více

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 Úvod 9 Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9 Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 KAPITOLA 1 Hardwarové prvky sítí 11 Kabely 11

Více

Telekomunikační sítě Protokolové modely

Telekomunikační sítě Protokolové modely Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava Telekomunikační sítě Protokolové modely Datum: 14.2.2012 Autor: Ing. Petr Machník, Ph.D. Kontakt: petr.machnik@vsb.cz Předmět: Telekomunikační sítě

Více

Connection Manager - Uživatelská příručka

Connection Manager - Uživatelská příručka Connection Manager - Uživatelská příručka 1.0. vydání 2 Obsah Aplikace Správce připojení 3 Začínáme 3 Spuštění Správce připojení 3 Zobrazení stavu aktuálního připojení 3 Připojení k internetu 3 Připojení

Více

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 28 CZ.1.07/1.5.00/34.0410 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek:

Více

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové

Více

Vlastnosti podporované transportním protokolem TCP:

Vlastnosti podporované transportním protokolem TCP: Transportní vrstva Transportní vrstva odpovídá v podstatě transportní vrstvě OSI, protože poskytuje mechanismus pro koncový přenos dat mezi dvěma stanicemi. Původně se proto tato vrstva označovala jako

Více

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už

Více

PB169 Operační systémy a sítě

PB169 Operační systémy a sítě PB169 Operační systémy a sítě Architektura poč. sítí, model OSI Marek Kumpošt, Zdeněk Říha Úvod počítačová síť Počítačová síť skupina počítačů a síťových zařízení vzájemně spojených komunikačním médiem

Více

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2 Pavel Smolík Top Account Manager 2 Obsah prezentace Obsah Úvod. Architektura ISDS. Poskytované služby. Způsoby přístupu k ISDS. Bezpečnost. Doplňkové

Více

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava 1 / 19 Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava Europen, Pavlov 9.5.2011 Charakteristika počítačové sítě 2 / 19 Počítačová sít

Více

ICZ - Sekce Bezpečnost

ICZ - Sekce Bezpečnost ICZ - Sekce Bezpečnost Petr Řehoř, ICZ a.s. 31. října 2013 1 Agenda Sekce Bezpečnost Důvěryhodná výpočetní základna bezpečnost sítí Microsoft Windows ICZ Protect Boot ochrana dat při ztrátě nebo odcizení

Více

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s. Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz Úvod 9:00 Úvod, novinky

Více

12. Bezpečnost počítačových sítí

12. Bezpečnost počítačových sítí 12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,

Více