Průvodce pro začátečníky a administrátory

Hledej

  Hledat

Pokročilé..·
Google
Témata Windows 7 Windows Vista Windows 2003 Windows XP Windows 2000 NT 4.0 9x/ME
Certifikace Hardware Zabezpečení Networking Začínáme s PC Internet Info Programování
Sekce Časté otázky Seznam Odkazů Forum Encyklopedie Pro webmastery O Serveru Soubory Knihy IT Události

Domů

Zabezpečení


Předpoklady zabezpečení

  • Ke kvalitnímu zabezpečení je nutné dodržet několik předpokladů. Dojde-li k narušení (selhání) jednoho z předpokladů je zabezpečení špatné.

1. Autentifikační metody (Authentication Methods)

  • Jedním ze základních předpokladů zabezpečení je ověření oprávněné osoby. Obvykle je ověřování identity (authentifikace) založeno na jméně a hesle, a to ne vždy vyhovuje a zaručuje skutečné ověření identity uživatele. Pokud dokáže útočník přelstít identifikaci uživatele nastane problém.

a.) Kombinace jména a hesla

  • Klasická metoda ověřování.

  • Bohužel heslo se dá poměrně snadno zjistit, ať už vypozorovat nebo odposlechnout po síti (heslo bývá často po síti přenášeno v nezašifrované podobě).

  • Při používání hesel je nutné dodržovat mnohé zásady - silná hesla, dodržení v tajnosti, časové omezení. Při nedodržování je zlehčeno zjištění hesla (analyzátory paketů, utility pro zjišťování hesel).

  • Pro administrátory je doporučeno používat dva účty: administrátorský a uživatelský pro běžnou práci bez potřeby vyššího oprávnění.

  • Ochrana uložení hesel: 1. S použitím šifrování. 2. S použitím jednocestné funkce 3. Jednorázové heslo (pouze pro jedno použití).

  • Další varianty: Jednou z mnoha variant hesel bývá požadavek na řetězec znaků z textu nebo kódovací karty. Například v některých hrách je uveden požadavek na třetí slovo z manuálu na stránce 55 a čtvrtém řádku. 

b.) Smard card (Čipová nebo také chytrá karta)

  • Karta velikosti běžných bankovních nebo telefonních karet. jednotlivé typy se liší především vnitřní architekturou. Například běžné paměťové telefonií nebo karty pro stravování či vstup do budovy obvykle mají mají pouze paměť pro určité informace (např. počet telefoniích jednotek). Karty smart card pro bankovnictví, identifikaci do počítače a uložení certifikátů obsahují kromě paměti i procesor. Uložené certifikáty, jiné identifikační informace popř. jiné informace a data jsou chráněna přístupovým heslem (PIN) a kryptografickými funkcemi. Při několika nesprávných zadání hesla se karta zablokuje, nelze použít odhad hesla hrubou silou. Zajímavé je i ochrana proti vnějším vlivům. Karty jsou velmi odolné proti vodě, mechanickému namáhání a elektromagnetickým polím.

  • Při vydávání karty by mělo být doručení karty a čísla PIN vždy odděleně. Omezuje se tak možnost špatného doručení a zneužití.

  • Podle typu snímání se karty rozdělují na kontaktní (vyžadují při čtení kontakt s čtečkou) a bezkontaktní (data jsou předávána pomocí radiové frekvence).

  • Použití:

  • Bezpečnější a snadnější ověřování uživatelů. - Ověření přihlášení do Windows, uložení privátních klíčů (PKI), šifrování dat, vzdálené přihlašování při použití VPN, RAS. 

  • Identifikace uživatele - Uložení elektronického podpisu, digitálního certifikátu, a dalších informací používaných především v oblasti elektronického podnikání (ebusiness).

  • Finance - Bankovní karty, zabezpečení elektronických transakcí (SET, eWallet...)

  • Ostatní - Identifikace zaměstnanců ve firmě, Elektronické průkazy poskytující další informace o člověku (vhodné pro zdravotnictví, státní zprávu .....) 

  • U používání počítačů je nutné pořizovat čtečky (vyšší náklady na pořízení). 

  • Čtecí zařízení - Nejčastější je připojení přes sériový port nebo nově USB. U dražších počítačových zařízení se lze setkat s čtečkami zabudovanými přímo do bezpečnostní klávesnice, u přenosných počítačů jsou čtečky vkládány do slotů PCMCIA, popř. s podporou přímého připojení k základní desce (např. NTB Acer 610)

c.) USB Token

  • Používají stejný princip jako karty Smardcard, výhodou může být nižší cena a nepotřebnost čtečky. Stačí port USB (pro snadnější dostupnost pro zapojení se používá prodlužovaní kabel nebo USB Hub - samostatný nebo v monitoru či klávesnici).

  • Nejsou nutné vysoké náklady na pořízení, nejsou vhodné pro autentifikaci pro vstup do budov. Při vysokém počtu uživatelů počítače a k jiné autentifikaci než do počítačů jsou vhodnější čipové karty smartcards.

  • Příklad - token iKey

 d.) Biometrie

  • Čtecí zařízení umožňující identifikaci osob podle otisku prstů, oční duhovky nebo hlasu.

  • Velkou roli mimo ceny hraje i přesnost a  kvalita zařízení. Doporučení je kombinace biometrie s nějakou další metodou ověření (heslo nebo Smart card).

  • Kdo by chtěl vidět příklad řešení doporučuji film Past se Seanem Connerym a kráskou Zeta Jones.

e.) Hardwarový klíč

  • Jednoduché zařízení připevňované k portům počítače. Ověřením existence zařízení a zjištěním parametrů je identifikováno a potvrzeno oprávnění k legálnímu používání programu. Nejznámější program používající tuto ochranu je pravděpodobně Autocad, ale lze se s ním setkat i u mnoha jiných profesionálních programů.

  • Nejčastějším řešením pro obejití této ochrany je zásah do SW, to vyžaduje odborníka kterých není zas tak úplně mnoho, proto se tato ochrana považuje poměrně za účinnou. Uživatelé kteří by chtěly tuto ochranu obejít musí shánět upravenu verzi nebo velmi zkušeného programátora.

f.) Čárkový kód

  • Slouží k jednoduché identifikaci zboží v obchodech, poukázek na zboží, jednoduchou identifikaci osob... 

g.) Digitální Certifikáty

  • Elektronický dokument potvrzující pravost původu (programu, ovladače, souboru a především uživatele). V souvislosti s elektronickým podpisem: 1. Certifikát je vydán konkrétní osobě na základě stanovených podmínek certifikační autority (CA) vydávající tento certifikát. 2. Důvěryhodnost a nezměnitelná podoba certifikátu je chráněna digitálním podpisem od CA. 3. Při vydávání certifikátu je součástí certifikátu soukromý a veřejný klíč uživatele. 4. Zpráva podepsaná soukromým klíčem zaručuje pravost a původ dokumentu, protože pouze odesílající osoba má soukromý klíč. 5. K ověření správnosti certifikátu podepsaného soukromým klíčem slouží veřejný klíč.

  • Potvrzení totožnosti uživatele vydané certifikačním úřadem (něco jako elektronický průkaz totožnosti). Certifikát může také zabezpečovat osvědčení o pravosti dokumentu, jeho původu nebo vlastnictví. Poskytuje silnější bezpečnost než s použitím hesla a jména. 

  • Nově je také často pomocí certifikátů ověřován přístup pro internetové nebo intranetové servery www. Používáno pro internetbanking nebo pro přístup do internetových obchodů.

h.) Mobilní telefony

  • Použití především pro internetové bankovnictví. Princip je celkem jednoduchý: 1. Máte telefon a SIM kartu podporující elektronické bankovnictví. 2. Zřídíte si účet ke kterému je možné přistupovat přes internet a k ověřování vám bude sloužit mobilní telefon. Banka vám při zřízení účtu nahraje určitá data pro podporu internetové bankovnictví pro danou banku a váš účet. Pro ochranu před zcizením telefonu je přístup údajům týkající se bankovnictví chráněn zvoleným číslem PIN 3. Po zadání čísla účtu a klientského čísla vám na telefon bude zaslána zpráva s jednorázovým heslem pro přístup k účtu. Při přihlašování k bankovnímu účtu je na váš telefon odesláno číslo sloužící jako heslo pro jedno použití. 4. Na displeji telefonu se objeví upozornění o doručené zprávě od banky. Po zadání čísla PIN je zobrazeno heslo sloužící pro přístup k účtu.     

  • Dříve bylo řešeno toto pomocí speciálních bezpečnostních kalkulátorů. Použití mobilního telefonu je jednoduší a praktičtější. Pro velmi častý přístup k účtu jsou některé kalkulátory výhodnější. Nevýhodou zde ovšem může být cena kalkulátoru a další zařízení zatěžující váš oblek či kufřík.

i.) MAC adresa

  • Každá síťová karta má jedinečné číslo identifikující počítač kdekoliv na světě.  Vedením evidence adres a jejich implementace v síti může být jedním z prvků pro možné používání počítače ve firemní síti. Nově bývá identifikace MAC vztažena k funkčnosti i některých programů (např. ProEngineer), kdy instalace produktu je podmíněna zadáním MAC adresy. Některá řešení jdou dokonce dále a někde na server v síti je instalován program hlídající počet licencí a oprávnění na základě komunikace spouštěné aplikace se serverem. Podmínkou správného fungování těchto aplikací je funkčnost sítě a správný chod počítačů a serveru. Problémem může být navíc i  špatně synchronizovaný čas. K neoblibě tohoto řešení mohou přispět drahé poplatky za instalaci, nutnost autorizované a drahé údržby, čas strávený vyplňováním různých klíčů, hledáním hw adres a instalace pochybného programu na síť. ( o směsi pocitů vedoucí člověka k touze po upravené nekomplikované pirátské verzi se někdy nelze divit). 

j.) Kombinace metod

  • Pro vyšší zabezpečení bývá využívána kombinace několika metod najednou. V počítačové síti to bývá ověření zda počítač náleží do sítě (obvykle s využitím MAC adresy) a potom obvykle kombinací jména, hesla a případně dalších mechanismů.

2. Integrita (Integrity)

  • Integrita znamená neporušenost a originálnost dat. Samozřejmostí je při používání elektronického podpisu kdy víme že dopis přišel v neporušeném stavu a nebyl během cesty změněn. 

3. Utajení (Confidentiality)

  • Skrytí obsahu dat před neoprávněnými osobami. Samotný digitální podpis neposkytuje utajení zprávy, ale je nutné použít šifrování. Na vaší síti nebo počítači může podle podmínek stačit i nastavení správných oprávnění ke přístupu, prohlížení a manipulaci, nebo použití šifrování (EFS pro Windows 2000/XP). Pro vyšší zabezpečení na síti je nutné dávat pozor na používání zabezpečených komunikačních kanálů.


Příbuzné odkazy

Seznam Odkazů»Zabezpečení


Tisk Verze pro tisk Verze pro tisk | Doporučit Poslat odkaz přes email Poslat odkaz přes email

FAQ (Nejčastější otázky)

·Nechtěné psaní (zarovnání) textu v ICQ vlevo.
·Zatuhnutí aplikace 3Dmark s VGA kartami ATI radeon HDxxxx
·Administrace domény s použitím Sady nástrojů pro správu (Administration Tools Pack) ve Vista

Další·

Encyklopedie

·DEM
·DaRT
·AGPM

Další·

 

Seznam Odkazů

·Citrix: XenServer
·Xen.org, home of the Xen® hypervisor
·VMware

Další·


Copyright © 2000 - 2010 AdminXP - R 0.98