25. Bezpečnost v DS + Škodlivý SW
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOCX.
25. Bezpečnost v DS + Škodlivý SW
Rizika nelze zcela vyloučit z těchto důvodů:
Neznáme všechna rizika
Neexistují nástroje pro eliminaci některých rizik
Bylo by to příliš nákladné
Co vše se snažíme uchránit:
Hardware
Komunikace
Data
Proti zničení
Poškození
Odcizení
Modifikace
Služby (nabízené servery – DNS atd.…)
Uživatelé (aby nedocházelo k uniku citlivých dat, odcizení identity)
Útok:
každé neautorizované chování v sítí
Útoky lze rozdělit na útoky zvnějšku a zevnitř – úmyslné (pomsta nebo zisk) a neúmyslné
Bezpečnostní politika
komplex opatření, které jsou přijaty a obsahují v sobě řadu mechanismů
přijímá se po důkladné analýze rizik, možností jejich eliminace a nákladů s tím spojených
současně přijímá následky útoků
vyvíjí se; jedná se o živý proces
Bezpečností politika obsahuje nejrůznější mechanizmy, které slouží k: prevenci útoku, detekci útoku, nápravě po útocích (zálohovat)
Mechanismy poskytující služby ochrany:
Řízení přístupu (data se přidělují, nikoliv zakazují)
Autentizace (prokázání totožnosti)
Ochrana proti odposlechu (šifrováním)
Ochrana integrity zpráv
Ochrana proti popření původu zprávy (elektronické podpisy)
Autentizace:
Prokázání totožnosti (vím nebo mám).
Útoky na hesla:
Pomocí malware
Odposlechem
Sociální inženýrství
Šifrování:
Text pozměníme tak, aby ho neautorizovaná osoba nemohla přečíst.
Symetrické šifrování; obě strany používají stejný klíč. Problém s distribucí klíče.
Asymetrická šifra. Veřejný a soukromý (privátní klíč). Používá se distribuci symetrického klíče.
Elektronický podpis:
Ekvivalent podpisu před notářem
Souží jako ochrana proti odmítnutí původu zprávy a zároveň jako ochrana integrity zprávy (proti změně)
Nešifruje text
Podpis je pevně svázán se zprávou
Firewall:
Do Demilitarizované zóny vkládáme zařízení, které potřebujeme mít přístupné na veřejné síti. Př. webový server, IP kamera.
Statický paketový filtr (nestavový), kontroluje každý datagram samostatně
Sleduje záhlaví datagramů
Je slabou ochranou
Chrání proti útoků na síťové vrstvě
Může do určité míry zamezit DDOS útokům na síťové vrstvě
Lepší než Statický paketový filtr je Stavový paketový filtr. Zajímá se o souvislosti (relace). Má vyšší hw požadavky. Často je dedikovaný (samostatný systém, fyzicky), není levný.
Proxy server
Zprostředkuje spojení se serverem mimo síť. Může obsahovat antivirovou ochranu. Filtrace obsahu.
Bezpečnostní mechanismy dodané do TCP/IP:
Řešení bezpečnosti na síťové vrstvě:
IPsec:
bezpečnostní rozšíření protokolu IP
Tímto mechanismem jsou zabezpečeny jednotlivé datagramy a to v oblasti autentizace, integrity a šifrování
Charakterizuje dva režimy:
Transportní režim // nemá nic společného s transportní vrstvou
Tunelovací režim