Referaty
Anglictina
Biologie
Chemie
Dejepis-Historie
Diplom-Projekt
Ekonomie
Filozofie
Finance
Fyzika
Informatika
Literatura
Management
Marketing
Medicina
Nemcina
Ostatni
Politika
Pravo
Psychologie
Public-relations
Sociologie
Technologie
Zemepis-Geografie
Zivotopisy


  

Téma, Esej na téma, Referátu, Referát, Referaty Semestrální práce:

Ochrana a obnova dat na počítačových sítích - hardware (UPS, streamer aj.), Novell Netware (práva přístupu, atributy souborů a

Ochrana a obnova dat na počítačových sítích - hardware (UPS, streamer aj.), Novell Netware (práva přístupu, atributy souborů aj.), Intranet, Internet (Firewall, Webscan aj.). Zabezpečení přenosu dat, integrita dat.

Novell - přístupová práva k objektům (zdrojům), atributy souborů a adresářů mají přednost před právy uživatelů. Delete Inhibit (nelze smazat uživatelem), Execute Only, Hidden, Purge (automatické trvalé smazání, nelze obnovit utilitou salvage), Read Only, Read/Write, System (nelze kopírovat, mazat, není vidět při DIR).

Práva k souborům a adresářům - Access Controll (filtr děděných práv), Create, Erase, File Scan (seznam, jméno), Modify (atributy), Read, Supervisor, Write (otevírání a editace).

Řízení (ovlivňování) provozu na lokálních stanicích - znemožnění přihlašování na server (enable, disable login), správa serveru, správa hesel a práv pomocí NetWare Administrator - znepřístupnění účtu, časové restrikce, změna hesla, nastavení omezení pro tvorbu hesla (minimální délka, unikátnost, periodické změny), práva k adresářům a souborům, přidání do skupiny, správa dat na serveru - zdvojení disků, archivace dat, obnovení dat, testování povrchu disku, oprava logických disků, uzamčení konzole serveru, fyzické rušení souborů, obnova zrušených souborů (salvage), změna atributů souborů.

Doporučení k ochraně dat a správě sítě - bezdiskové stanice, detekce AV pgm (včetně všech stanic), kontrola používání hesel, omezení uživatelů s právy supervizora, nepoužívat práv supervizora k běžné činnosti (nepřihlašovat se z jakékoli stanice), fyzické zabezpečení serveru, rušení nepoužívaných účtů, nastavení požadavků na hesla (délka, aktualizace, limit pro neoprávněné vniknutí do sítě), nastavování atributů Read Only (Execute Only).

AV ochrana počítačové sítě je mnohem obtížnější než u lokálního PC - síť je otevřený systém s mnoha kanály vstupu virů či dalších infiltrací (např. hackerů, trojských koní, červů), probíhá intenzivní výměna dat v reálném čase, síť je většinou heterogenní systém (server, lokální PC s jiným OS), takže navržená AV ochrana musí být také heterogenní, úroveň uživatelů sítě je různá, velké množství SW na odlišných stanicích (chování pgm je závislé na nastavení konkrétního PC a detekce přítomnosti viru ze změn chování pgm je velice obtížná), objem datových médií v síti je mnohem větší než u lokálních PC (více skrýší pro viry, dlouhá doba prohledávání sítě AV pgm), časté je používání komprimace souborů, navíc uživatelé používají různé komprimační pgm, závažným problémem může být odstavení celé sítě v okamžiku zjištění výskytu viru - virus bývá odstraňován i za provozu sítě (ovšem obsah sítě se dynamicky mění a vyhledávání a odstranění viru není zcela úspěšné, nelze vyloučit pokusy uživatelů o záměrné zavirování sítě, poměrně často uživatelé vyvíjejí maximální úsilí o obejití instalovaných ochran a nelegální instalaci SW (často z pochybných zdrojů) na lokální stanice nebo na server. 41712vsf29csb9n

Faktory příznivě ovlivňující kvalitu AV ochrany na síti:

  • síťový OS umožňuje chránit sám sebe před napadením, definovat přístupová práva jednotlivých uživatelů k adresářům i souborům, ochránit spustitelné soubory před zápisem, monitorovat provoz sítě

  • přítomnost techniků pravidelně provádějících AV ochranu (AV kontroly, aktualizace AV pgm, zkušenosti s odstraňováním virů)

  • přes síť (na server ani ze stanice na stanici) se nešíří klasické boot viry (mohou se však šířit viry multiparitní) ss712v1429cssb

  • pravidelné zálohování dat (denně) je relativně zaběhnutou praxí.

Způsob používání antivirových programů:

  • vždy je nutné kombinovat ochranu lokálních stanic, vstupních kanálů a vlastních pgm a souborů na síťových serverech

  • vyhledávání viru musí být zásadně spuštěno s právy „superuživatele“, aby mohly být prohledány všechny adresáře na serveru, naopak může vést k totálnímu zamoření celé sítě v případě spuštění ze zavirovaného PC!

  • vyhledávání viru na serveru a lokálních stanicích musí probíhat pravidelně, jednorázově pak v případě výskytu viru na lokální stanici

  • správce sítě zajišťuje a kontroluje pravidelnou aktualizaci AV pgm na všech PC v síti.

Důležité jsou investice do kvalitního síťového AV SW - měl by umět prohlížet komprimované soubory, kontrolovat připojované stanice, monitorovat provoz sítě. Důležitá je komplexnost opatření - musí zahrnovat připojené i nepřipojené lokální stanice. Instalaci nového SW by měl zajišťovat pouze správce sítě!

AV prevence sítě:

  • organizační opatření, využívání vlastností síťového OS, ošetření vstupů do sítě, pravidelné používání AV detekčního a monitorovacího SW

  • výběr a způsob použití jednotlivých prostředků souvisí s typem sítě, druhem firmy či podniku, uživatelů, požadavcích na provoz - je třeba diferencovat podle typu instituce tak, aby ochrana byla účinná a současně i přiměřeně omezující

  • Důsledné omezení vstupů - kontrola disketových mechanik, připojení na vnější síť (složité). SW odpojení disketových mechanik lze snadno obejít, HW odpojení je příliš tvrdé s řadou nevýhod. Alternativou jsou pgm pro autorizaci přístupu včetně používaných disket.

Online kontrola sítě - filtrování dat na vstupu, kontrola stanice při přihlašování, monitorování provozu

Offline kontrola sítě - pravidelná kontrola stavu sítě AV pgm - server i pracovní stanice

Ochrana dat - vymezení přístupových práv, pravidelné zálohování dat, využití vlastností OS - vymezení přístupu uživatelů do několika úrovní přístupových práv, práva nastavit jako minimální pro všechny skupiny uživatelů, zavést ochranu spustitelných souborů proti zápisu, monitorovat provoz sítě prostředky OS, nevytvářet společné adresáře kde mají uživatelé všechna práva povolena.

Organizační opatření:

  • přesné vymezení zodpovědnosti za návrh a realizaci ochrany sítě včetně přístupových práv, provádění aktualizace, režim kontrol

  • pravidelné AV školení uživatelů a zejména správců sítě!

  • supervizor musí dokonale chránit své heslo, instalaci SW provádět pouze ze stanice pro tento účel určené

  • další - monitorovat pohyb osob (vstupní zařízení s evidencí osob), zavést jednotnou komprimaci souborů, důkladné vedení záznamů o AV opatřeních a jednotlivých případech detekce a odstranění viru, monitorování činnosti uživatelů.

Bezpečnost počítačových sítí - vybrané zdroje bezpečnostních obtíží, vybrané metody ochrany

sdílení - potenciální přístup má velmi velké množství lidí, různé stroje mohou být řízeny různými ne nutně bezpečnými systémy

složitost - různé OS komunikují spolu přes spojovací mechanismus, který by měl zajišťovat ochranu, tento mechanismus však musí být dostatečně obecný, navíc síť jako celek nelze podrobit testování či dokonce certifikaci

neznámý perimeter - nikdy nevíme, kdo všechno je připojen, není jasné, jak se ostatní stroje chovají

množství zranitelných míst - různé typy stanic, mnohé části sítě leží mimo jakýkoliv dohled provozovatelů

neznámá cesta - většinou nelze ovlivnit, kudy budou data přenášena.

Zabezpečení přenosu dat - šifrování

  • mezi dvěma uzly sítě, nebo mezi dvěma aplikacemi běžícími na těchto uzlech

  • s šifrováním souvisí nutnost existence mechanismu distribuce a správy nezbytných šifrovacích klíčů, potřebných centrálních autorit pro zajištění provozu systému kryptografické ochrany, vhodných kryptografických zařízení zajišťujících základní funkce kryptografické ochrany

Šifrování na úrovni linky (link encryption)

  • data jsou šifrována těsně před vstupem do komunikačního média, dešifrována ihned po příchodu na druhý PC

  • probíhá na úrovni fyzické, případně linkové vrstvy referenčního modelu

  • výhodou je transparentnost pro uživatele a většinou velká rychlost, je snadno připojitelný ke stávajícím zařízením

  • zcela nevhodný, pokud není možné ovlivnit, kudy budou data přenášena

Bezpečná komunikace

  • bezpečnou komunikaci zajišťují samy komunikující procesy ve spolupráci s OS, bezpečnost je do značné míry závislá na použitém přenosovém mediu

  • útok proti komunikačním linkám může být pasivní (pouze odposlech), nebo aktivní (vkládání dalších informací do komunikace)

  • pokud chceme zavést potvrzování zpráv, je nutné, aby na každém uzlu běžel pro každou bezpečnostní úroveň komunikační sever - posílá-li proces zprávu procesu vyšší úrovně na jiném uzlu, zašle ji tamnějšímu komunikačnímu serveru své úrovně, od kterého obdrží potvrzení a který ji předá

  • posílání zpráv procesům nižší úrovně probíhá prostřednictvím spolehlivé centrální autority - network manažera, který zkoumá, zda nedochází k únikům klasifikovaných informací

Sedm vrstev ISO-OSI ref. modelu s příslušnými odpovědnostmi za odesílání a příjem zpráv, s vyznačením přípravy dat na přenos

Název vrstvy
 
Tvar dat
7. Aplikační
Uživatelský program, inicializace procesu přenosu zprávy, šifrování dle volby
Data
6. Prezentační
Systémové obslužné programy, dělení původní zprávy do bloků emulovaným virtuálním terminálem
Rozdělení dat do bloků
5. Relační
Operační systém (OS) - ustavení relace mezi koncovými uživateli, řazení zpráv, obnova
Označení bloků záhlavím - identifikace vysílající a přijímající strany
4. Transportní
Síťový řídící program - řízení toku dat, obsluha priorit
Zpráva doplněna informacemi pro vytvoření spoje
3. Síťová
Síťový řídící program - směrování, dělení zpráv do paketů (po 512 bytech)
Paket - doplnění záhlavím pro směrování
2. Spojová (Linková)
Hardware - přenos v důsledku zotavení po chybě, dělení zprávy do rámců
Rámec - doplnění záhlavím pro řazení
1. Fyzická
Hardware - přenos (fyzického) signálu po bytech
Dvojková data (0,1)

Lokální sítě:

  • v mnohém specifické - jejich uživatelé často pracují ve společném oboru, počítačoví laici - mezi sebou si do značné míry důvěřují

  • problémy při vzájemném propojování těchto sítí

  • lokální síť má většinou jednotnou topologii, podle které lze modifikovat použité ochranné mechanismy

  • vzhledem k tomu, že lokální síť bývá umístěna uvnitř jedné budovy, či dokonce pouze její části, lze uplatnit různé metody fyzické ochrany

  • lokální síť rovněž mívá administrátora, který může efektivně vynucovat dodržování stanovené bezpečnostní politiky ve všech uzlech

  • zvýšená míra důvěry však vede ke snížení obranyschopnosti v případě náhlého útoku či zvýšení jeho hrozby

Firewall - systém (HW a SW) selektivně zajišťující komunikaci sítí organizace s vnějšími sítěmi tak, aby zvenku byly přístupné právě ty zdroje, které jsou zpřístupněné dané skupině uživatelů a aby uživatelé mohli bezpečně využívat zdroje vnějších sítí v definovaném rozsahu.

Dva základní typy: paketový filtr a proxy server firewall

paketový filtr - porovnává každý paket dat jdoucí mezi interní a externí sítí - prověřuje cílovou a zdrojovou adresu a síťovou službu, pro kterou je paket určen, po prověření těchto údajů je paketu dovoleno pokračovat dál, má menší bezpečnost než u proxy server firewallu - „útočník“ může snadno vytvořit pakety s jakoukoli zdrojovou adresou, host má přímý přístup k povolené službě uvnitř interní sítě, bezpečnost závisí na zabezpečení interních stanic, které poskytují síťové služby

Proxy server firewall - ověření uživatele, zakódování dat, inteligentní přihlašování, omezení přístupu podle kritérií specifických pro jednotlivé služby - jména souborů při FTP, čas, skrývání informací o vnitřní síti, zpracovávají data pro různé typy služeb odděleně pomocí proxy aplikací - FTP proxy kontroluje FTP přenos, e-mail proxy kontroluje příchod a odchod e-mailu, spustí novou proxy pro každé nově zřízené síťové připojení, proxy zabraňuje přímé komunikaci mezi interními a externími stanicemi, filtr pro zpřístupnění vybraných síťových služeb vybraným uživatelům, vyšší bezpečnost v porovnání s paketovým filtrem, vyšší cena, dodávky zpravidla včetně HW.

Jak pracuje proxy server - Interní stanice vytvoří žádost o FTP. Tato žádost je automaticky odeslána firewallu, firewall vytvoří novou proxy pro ovládání tohoto FTP připojení. Proxy provede FTP žádost. Žádost je povolena a FTP proxy pošle ověřenou žádost externí stanici. Externí stanice vrátí požadovaná FTP data. Jestliže je povolen příjem dat, FTP proxy je ověří. Interní stanice přijme jen ověřená data podle ověřené FTP žádosti.

Data officer - HW zabezpečovací systém: ochrana před známými a neznámými viry - uživatelé mohou na disketách pracovat pouze s daty, ale ne s pgm, autorizace přístupu k systému a datům v adresářích a na discích - heslo, dotekové identifikátory Touch Memory nebo čipové karty, zabránění zničení dat (ochrana adresářů před čtením, zápisem, spouštěním nebo virovým napadením), zabránění poškození instalace OS a pgm, ochrana CMOS, autorizace SW, kódování disket, chrání data a přístup do počítače i po neoprávněném vyjmutí karty, audit - zaznamenávání aktivit uživatelů: manipulace se soubory (čtení zápis přejmenování mazání) a adresáři, povely vkládané z klávesnice, pouštění a ukončování programů včetně chybových kódů, přihlášení uživatele, vstup a opuštění PC, instalace rezidentních pgm, pokusy o narušení ochran systému Data officer, mikroprocesor RISC - řídí činnost karty, Plug & Play - po zasunutí karty do PC se karta automaticky nastaví, FLASH - upgrade karty prostřednictvím diskety, Personal card system - umožňuje uživatelům přihlašování čipovými kartami nejen do PC, ale i do sítí či libovolných pgm