Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-1 1
Osnova I základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; současné metody ochrany proti neoprávněnému přístupu elektronický podpis; nové technologické možnosti. 2
Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis DSM - Data security management Doporučená Smejkal V.: Informační systémy veřejné správy ČR, VŠE Praha, 2003 3
Autentizace Bezpečnostní problémy vzniknou vždy, když k datovým zdrojům získají přístup neoprávněné osoby, nebo když uživatelé překročí úroveň svého definovaného přístupu k daným systémům. 4
Autentizace Způsoby autentizace využívají: znalosti něčeho unikátního např. heslo; vlastnictví něčeho unikátního např. prostředek typu token, čipová karta; unikátnosti znaků osoby otisk prstů, biometrika; unikátnosti osoby v prostoru - využití satelitů, při lokalizaci pozice dané osoby 5
Autentizace Způsob autentizace pomocí hesla přetrvává déle než bezpečnostní experti předpokládali. ID a heslo v otevřeném tvaru se stále používá. Stále více se začínají používat autentizační nástroje, které jsou bezpečnější, ale také odstraňují skryté náklady na správu hesel cca 30% požadavků na podnikový helpdesk je spojeno se správou hesel - odblokování hesel apod. 6
Nástroje autentizace Bezpečnostní nástroje autentizace založena vlastnictví Bezpečnostní nástroje využití biometrie Obrázky - zdroj: Svět sítí 1999 7
Faktorová autentizace Možnosti vícefaktorové autentizace faktor varianty znalost vlastnictví biometrika pozice příklady 1 X heslo, klíč, PIN 2 X karta, USB flash paměť 3 4 5 6 7 8 X X X X X X X X X X X X X X otisk, geometrie, tvar, hlas. + GPS 8
Vlastnosti nástrojů autentizace Odolnost, spolehlivost, trvanlivost Mobilita (porty, čtečky) Universálnost (vstupní systémy, oprávněný přístup) Parametry (paměť, procesor) Další využití Cena ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Zdroj Gartner: není potřeba - biometrie pro všechny uživatele je vhodné kvalitnější autentizace 9
Vlastnosti nástrojů autentizace (pokr.) Bezpečnostní parametry Použité faktory autentizace Zablokování, odblokování nástroje Integrace kryptografických metod Shoda s bezpečnostními normami PKCS # XX Využití v bezpečnostních protokolech 10
Autentizační protokoly Kerberos Protokol vyvinutý v MIT, který autentizuje uživatele. Neposkytuje možnost autorizace ke službám nebo databázím. Autentizace uživatele využívá metody symetrické šifry a do protokolu je také začleněna důvěryhodná třetí strana (centrum ), která je určena pro distribuci klíčů. Systém je používán v prostředí MS Windows. 11
Autentizační protokoly Kerberos- postup autentizace klienta A vůči serveru B 1. A zašle zprávu do centra C se svou identitou a identitou serveru B A,B 2. C vygeneruje zprávu s časovým razítkem T, klíčem na zprávu K, identitou A a zašifruje sdíleným klíčem C s B, pak přidá časové razítko.t, klíč na zprávu K a identitu B a zašifruje sdíleným klíčem C s A. Zprávu zašle A. E A (T,K,IDB) E B (T,K,IDA) 3. A vygeneruje zprávu se svou identitou a T, zašifruje ji pomocí K a pošle B. A také zašle B zprávu zašifrovanou sdíleným klíčem C a B přijatou od C. E K (IDA,T) E B (T,K,IDA) 4. B zašle A zprávu obsahující časové razítko + 1, kterou zašifruje pomocí K E K (T+1) 12
Autentizační protokoly RADIUS (remote authentication dial-in user service) Autentizační protokol pro vzdálený přístup. Vzdálený uživatel žádá o přístup (zaslání ID a hash hesla); Server (na základě ověření hesla) odpoví: odmítne; přijme + zahájí dle stanoveného protokolu komunikaci. 13
Autentizační protokoly Autentizace v protokolech autentizace v SSL autentizace dle standardu IEEE 802.1x A apod. 14
Autorizace Autorizace = proces, kterým se zajišťuje, že daný uživatel má přístup právě k těm datům, resp. informaci, ke které má oprávnění. K dalším informacím musí být již jeho přístup zamezen. Na základě autorizace se řeší princip oddělení pravomocí a povinností Zásada need-to-know 15
Správa uživatelských účtů nástroj, který umožňuje administrátorům kontrolovat, kdo přistupuje do informačního systému a co zde dělá. Musí být možnost provádění pravidelné kontroly - ověření - že nedochází k přístupu do systému bez řádné autorizace. 16
Správa uživatelských účtů Údržba vícenásobných uživatelských účtů = úkol při přijímání nových pracovníků, odchodu pracovníků, změnách v zařazení pracovníků, zahrnující nové pravomoci a zodpovědnosti. U velkých společností se tak jedná o každodenní činnost specializovaného administrátora. 17
Správa uživatelských účtů Uživatelské účty Uživatelské ID Celé jméno uživatele Heslo Domovský adresář Skupina, doména Systémové rozhraní 18
Správa uživatelských účtů Skupiny speciálních uživatelů Externí pracovníci Systémové účty Supervisoři / Administrátoři Plný přístup k systémovým zdrojům Stejná úroveň přístupů Nutno zachovávat princip definovaných výsad 19
Správa uživatelských účtů Povolení přístupu k souborům / adresářům Stupně povoleného přístupu Čtení Zápis Doplnění Mazání Spuštění programu Vyhledávání Vlastník Kontrola přístupu 20
Správa uživatelských účtů Matice správy přístupů Soubor 1 Soubor 2 Dir 1 Tiskárna Uživatel A Čtení Zápis Spuštění Prohledávání Tisk Uživatel B Čtení Prohledávání Čtení Uživatel C Čtení Zápis 21
Správa uživatelských účtů Seznam pro správu programových přístupů Program XX Uživatel A B Přístupová práva Čtení, zápis Čtení C Čtení, zápis 22
Správa uživatelských účtů Hromadný přístup Uživatelé mají stejná práva vzhledem k danému souboru/ programu Zjednodušení správy přístupu Přidávání / odebírání uživatelů Přidávání / odebírání práv Jednotná práva pro členy skupin 23
Správa uživatelských účtů Systém SSO single_sign_on. Toto řešení umožňuje jedno ID a jedno heslo pro přístup do jednotlivých systémů, které daná společnost provozuje. Řešení SSO, nutné další zdokonalení pro efektivní využití napříč širokým spektrem aplikací používaných v různých organizacích. 24
Osnova II základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; současné metody ochrany proti neoprávněnému přístupu elektronický podpis; nové technologické možnosti. 25