Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Vincent Vilčko Realizácia sieťového zabezpečenia pre malú firmu Bakalárska práca 2009
Prehlasujem, že bakalársku prácu na tému: Realizácia sieťového zabezpečenia pre firmu Uno Praha som vypracoval samostatne. Použitú literatúru a podkladové materiály uvádzam v priloženom zozname. v Prahe dňa Vilčko Vincent
Útočník využije na preniknutie do počítača akýkoľvek spôsob. Nemusí to byť ten najzrejmejší spôsob a ani ten, proti ktorému boli zavedené bezpečnostné opatrenia. (doc. Ing. Ladislav Hudec, PhD., FEI STU, Bezpečnosť výpočtových systémov)
Poďakovanie Chcel by som poďakovať všetkým, ktorí mi akýmkoľvek spôsobom pomohli pri spracovaní tejto bakalárskej práce. Osobitné poďakovanie patrí mojím rodičom a mojím najbližším, bez ich podpory a pomoci by som to určite nezvládol.
Obsah Obsah...5 Anotácia...7 Annotation...8 Zoznam použitých pojmov...9 Úvod...11 1 Topológia sietí...12 1.1 Topológia...12 1.2 Hviezda...13 1.3 Zbernica...15 1.4 Kruh...17 1.5 Prepojená sieť...18 2 TCP/IP...19 2.1 Prístupová vrstva...19 2.2 Medzisieťová vrstva...19 2.3 Transportná vrstva...20 2.4 Aplikačná vrstva...20 2.5 Hlavička TCP protokolu a nadviazanie spojenia...21 3 Dominancia TCP/IP...23 4 Profily útokov a škodlivého softwaru...24 4.1 Útoky typu DoS...24 4.1.1 Teardrop...24 4.1.2 Ping of Death...25 4.1.3 SYN floods...25 4.1.4 UDP floods...26 4.1.5 Útok Smurf...26 4.2 Vírusy a iný škodlivý software...28 4.2.1 Logická bomba...28 4.2.2 Softwarová chyba...28 4.2.3 Softwarová bomba...29 4.2.4 Trójsky kôň...29 5
4.2.5 Víry...29 5 Firewall...30 5.1 Fungovanie firewallu...31 6 VPN...32 7 Realizácia zabezpečenia...33 7.1 Príprava na zabezpečenie...34 7.1.1 Predstavenie spoločnosti UNO Praha...34 7.1.2 Stručná história firmy:...35 7.1.3 Súčasný stav siete vo firme UNO Praha...35 7.1.4 Stanovenie nárokov na zabezpečenie...36 7.1.5 Počítačová bezpečnosť...37 7.1.6 Modernizácia siete...37 7.2 Obmedzenie prístupu k zariadeniam...38 7.3 Odobratie prístupu pre bývalých zamestnancov...38 7.4 Vytvorenie zásad používania e-mailov a Internetu...38 7.4.1 Netiketa, alebo pravidla správania sa na internete...39 7.5 Silné heslo...39 7.6 Výber konkrétneho firewallu...41 7.7 Inštalácia a konfigurácia brány firewall...42 7.8 Realizácia zabezpečenia serveru pomocou IPtables...50 8 Záver...53 9 Zoznam použitej literatúry...54 6
Anotácia Realizácia sieťového zabezpečenia pre malú firmu Táto bakalárska práca prináša náhľad na protokol TCP/IP, ktorého znalosť je podľa autora jedným z faktorov ovplyvňujúcich bezpečnosť siete. Pojednáva o bezpečnostných hrozbách v sieti a ponúka riešenie v podobe firewallu, na ktorý sa práca primárne zameriava. Popisuje jeho inštaláciu a konfiguráciu z pohľadu užívateľa, v prostredí Windows a Linux. 7
Annotation Network security realization for small company This bachelor work is bringing the preview of TCP/IP protocol, knowledge of which is one of factors affecting network security. It s dealing with security threats and is offering firewall solution, on which is this work mainly aimed for. It s also describing his installation and configuration from user s view in Windows and Linux systems. 8
Zoznam použitých pojmov DNS je systém na správu doménových mien počítačov a ich IP adries. Umožňuje preklad doménového mena na IP adresu (priamy preklad) a opačne (reverzný preklad). Pre fungovanie Internetu je DNS kľúčovou záležitosťou, ktorú zabezpečujú programy na obsluhu DNS DNS servery. 1 Ethernet Termín Ethernet odkazuje na rodinu LAN produktov ktoré sú zastrešené štandardom IEEE 802.3. V súčasnej dobe sú definované 3 typy rýchlosti prenosu dat (10, 100, 1000 MB/s). Ethernet prekonal väčšinu protokolov fyzickej vrstvy a je stále používaný približne 85% PC pripojených do LAN sietí. 2 ICMP Cotroll Message Protocol, je mechanizmus nízkej úrovne, ktorý sa používa na ovplyvnenie chovania TCP a UDP spojenia. Môže byť použitý na informovanie počítačov o lepšej ceste k cieľu, na oznámenie problému, alebo ukončenie spojenia z dôvodu problému v sieti. 3 IMAP Internet Message Access Protocol. Je metóda, ktorá zabezpečuje prístup k elektronickému mailu alebo článku, ktorý je uložený na poštovom (zdieľanom) serveri. V inom slova zmysle dovoľuje používateľovi (klientovi) e-mailového programu pristupovať k online uloženým informáciam ako keby boli lokálne. 4 1 NORIS, Ivan. DNS (Domain Name System) [online]. 2002-2007 [cit. 2009-04-12]. Dostupný z WWW: <http://dejavix.sk/sysadmin/dns.html#top>. 2 Ethernet: Internetworking Technology Handbook [online]. 1992-2009 Cisco Systems, Inc. [cit. 2009-04-12]. Dostupný z WWW: <http://www.cisco.com/en/us/docs/internetworking/technology/handbook/ethernet.html>. 3 CHESWICK, William R., BELLOVIN., Steven M. Firewally a bezpečnost Internetu: Jak zahnat lstivého hackera. Veletiny: Science, 1998. 292 s. ISBN 80-86083-01-2, s.43. 4 The IMAP Protocol: A quick overview of IMAP [online]. [cit. 2009-04-20]. Dostupný z WWW: <http://networking.ringofsaturn.com/protocols/imap.php>. 9
ISP Internet Service Provider, u nás poskytovateľ internetového pripojenia. Firma, alebo spoločnosť, ktorej oborom podnikania je zabezpečovanie internetového pripojenia pre zbytok populácie. 5 LAN Local Area Network je počítačová sieť, ktorá pokrýva relatívne malú oblasť. Väčšina LAN sietí sa nachádza v budove, alebo v skupine budov. Avšak, LAN môže byť pripojená na inú, ľubovoľne vzdialenú LAN cez telekomunikačné linky, alebo rádiovými vlnami. Systém LAN prepojené týmto spôsobom sa nazývajú WAN (Wide Area Network). 6 Opakovač je zariadenie fungujúce výhradne na najspodnejšej vrstve sieťovej architektúry na fyzickej vrstve. Jeho hlavnou úlohou je regenerovať signál z jedného segmentu do druhého. Nerobí žiadne rozhodnutia na základne obdržaného signálu a.pracuje iba v prostredi LAN sietí rovnakého charakteru, kde predĺžujú povolenú dĺžku segmentov a umožňujú zvýšiť počet pripojených staníc. 7 TELNET Služba TELNET umožňuje prihlásiť sa na vzdialený počítač, na ktorý musím mať prístupové práva, a tak využívať jeho výpočtovú kapacitu, dáta a programové vybavenie. 8 Token Ring Sieť, kde sa používa Token Ring Protokol je LAN, v ktorej sú všetky počítače prepojené do schémy Kruh alebo Hviezda a je v ňom použitá príslušná schéma chovania paketov tak, aby sa zabránilo ich kolíziám v prípade, že dva počítače v sieti chcú vyslať správu v rovnaký čas. Po Ethernete je Token Ring druhý najpoužívanejší protokol. 9 5 Hooking up to the Internet [online]. [cit. 2009-04-20]. Dostupný z WWW: <http://cgi.amazing.com/isp/hooking-up.html>. voľne preložené a prebraté myšlienky. 6 What is LAN: a definition from Webopedia.com [online]. 2009 WebMediaBrands Inc. [cit. 2009-04-12]. Dostupný z WWW: <http://www.webopedia.com/term/l/local_area_network_lan.html>. WAN zámerne nerozpisujem pretože to v tejto práci nemá opodstatnenie. Firma WAN nepoužíva. 7 PUŽMANOVÁ, Rita. Moderní komunikační síte od A do Z: Technologie pro datovou, hlasovou i multimediálni komunikaci. Brno: Computer Press, 2006. 450 s. ISBN 80-251-1278-0, s.297. 8 CSONTO, J. Telnet [online]. [cit. 2009-04-12]. Dostupný z WWW: <http://hron.fei.tuke.sk/~csonto/www1/telnet.html>. 9 What is Token Ring?: a definition from Whatis.com [online]. 2000-2009, TechTarget [cit. 2009-04-12]. Dostupný z WWW: <http://searchnetworking.techtarget.com/sdefinition/0,, sid7_gci213154, 00.html>. 10
Úvod V dnešnej dobe sa výpočtová technika, počítače a počítačové siete, stali neoddeliteľnou súčasťou našich každodenných životov. O to viac je zarážajúce, koľko málo pozornosti sa venuje ich zabezpečeniu proti často deštruktívnym útokom, ktoré dennodenne hrozia každému, kto používa (ne)zabezpečené siete. Cieľom tejto bakalárskej práce je zdokumentovať a realizovať vybraný spôsob zabezpečenia firemnej siete, analyzovať možné hrozby útoku na sieť a spôsob ochrany proti nim. Bakalárska práca je rozdelená na dva celky. V prvom je teoretická príprava na realizáciu, oboznámenie sa s technológiami a štandardmi, ktoré súvisia so sieťou a bezpečnosťou v nej, so sieťovým protokolom TCP/IP, s najbežnejšími útokmi a spôsobe ochrany proti nim. Predstavuje rozdelenie škodlivého softwaru na rôzne kategórie a oboznámuje s technológiou firewallu. V druhom celku sa nachádza popis realizácie zabezpečenia pre konkrétnu malú firmu (UNO Praha). Informuje o dôležitých bodoch ochrany siete a o spôsobe ich realizácie v praxi. Je navrhnutá bezpečnostná politika a sú popísané kroky potrebné ku kvalitnému zabezpečeniu. V závere práce je realizovaná konfigurácia osobného firewallu Kerio WinRoute Firewall vo Windows a paketového filtra IPtables v prostredí Linux. Realizované riešenia sa primárne sústredia na kvalitu a užívateľskú jednoduchosť riešenia. 11
1 Topológia sietí Na realizáciu kvalitného zabezpečenia siete je potrebné oboznámiť sa s jej hierarchiou a rozložením sieťových prvkov. Preto je v prvej kapitole definovaný pojem topológia a následne vybraný a popísaný jeden konkrétny model siete, ktorý sa používa vo firme UNO Praha. Pre úplnosť sú v závere kapitoly spomenuté aj iné možné varianty topológií. 1.1 Topológia Topológia siete úzko súvisí s aplikáciami, prenosovou rýchlosťou, prenosovými prostriedkami a mnohonásobným prístupom k nim. V súčasnej dobe sa stretávame s niekoľkými základnými modelmi sietí. Prakticky totožné rozdelenie sa nachádza takmer v každej literatúre o problematike. V konečnom dôsledku sa líšia len v jemných detailoch, napríklad ako odlišné zmiešané varianty. Výber správnej topológie pri zavádzaní a realizácií novej siete je rozhodujúci faktor, ako z pohľadu bezpečnosti, tak z pohľadu budúceho vývoja a smerovania firmy. Pri nesprávnej implementácií neskôr hrozí vysoké riziko kolízií paketov, chybových stavov a následnej nespoľahlivosti siete. Vzniká potreba sieťovú topológiu reštrukturalizovať, s čím firme vznikajú ďalšie zbytočné a nechcené náklady. 12
1.2 Hviezda Je topológiou, ktorá vychádza zo starých analógových sietí s centrálnym riadením. V strede sa nachádza centrálny uzol ktorý riadi smerovanie siete. Ostatné uzly sú jednoduché. Centrálny uzol sa označuje ako HUB. Topológia hviezda môže mať dve varianty, aktívnu a pasívnu. Aktívna hviezda má vo svojom strede zariadenie (opakovač), ktorého úlohou je opakovať prijatý signál a tak ho zosilniť. Táto varianta je výhodnejšia, pretože odpadá riziko, kedy centrálny uzol prijíma svoje vlastné ozveny a tak spôsobuje znižovanie výkonu siete. Pasívna hviezda má v tomto bode iba pasívneho člena, ktorého úlohou je len preposlať signál vyslaný jednotlivými stanicami. Obrázok 1: Topológia typu Hviezda 13
Výhody: Jednoduchá modifikácia ( pridávanie a odoberanie počítačov a iných zariadení v sieti ako sú tlačiarne, skenery a pod.). Monitoring z jedného bodu (výhody v správe systému a bezpečnosti). Zlyhanie jedného počítača neovplyvní zvyšok siete. Nevýhody: Nutnosť spájania prvku siete so stredovým bodom. Väčšia spotreba káblov vedenia Neexistuje možnosť použitia smyčiek Zlyhanie centrálneho prvku, vedie k zlyhaniu celej sieti. Poslednému stavu je možné jednoducho sa brániť vytvorením záložného, menej výkonného serveru. V prípade výpadku toho hlavného sa prejde na záložný. Užívatelia by nemali nič spozorovať. Vo firme UNO Praha sa v súčasnosti používa topológia typu hviezda. Pre malú firmu je toto ideálne riešenie a nie je potrebné ho meniť. Poskytuje spoľahlivosť a stabilitu s možnosťou správy a jednoduchej implementácie pripravovaných sieťových zabezpečení v podobe firewallu. Jediný problém by mohol byť výpadok hlavného serveru. Avšak aj v prípade jeho výpadku, firma a jej zamestnanci nemajú potrebu byť neustále on-line. 14
1.3 Zbernica Je topológiou, ktorá sa už v súčasnej dobe takmer nepoužíva. Absencia centrálneho uzlu (v sieti nie je prítomný žiaden nadriadený prvok). Umožňuje komunikáciu každý s každým. Na okrajoch v koncových bodoch je signál šíriaci sa sieťou zachytený a zahodený. Vyžaduje zložitejšie riadenie prístupu a komplikovanejšie protokoly pre riadenie prenosu dát po zbernici. Topológia sa delí na 2 typy: Tenký Ethernet s maximálnou dĺžkou zbernice 180 až 300m v závislosti od použitých sieťových kariet. Používa sa tenký koaxiálny kábel a BNC konektor. Varianta je lacná, ale poruchová. Poruchovosť je možné znížiť použitím EAD zásuviek. Hrubý Ethernet s maximálnou dĺžkou zbernice až 500m. Na pripojenie sa používa konektorový kábel. Je drahšia, ale spoľahlivejšia. Obrázok 2: Topológia typu Zbernica 15
Výhody: Ekonomické využitie káblu (odpadá potreba spájať počítače v sieti s centrálnym bodom). Média nie sú drahé a ľahko sa s nimi pracuje. Jednoduchá a spoľahlivá. Neovplyvnená prípadným výpadkom centrálneho servera. Neovplyvnená výpadkom časti siete. Jednoduchá modifikácia. Nevýhody: Pri vysokom počte aktívnych počítačov dochádza ku kolíziám paketov (následné spomalenie prenosov v sieti). Porušenie centrálneho káblu vedie k výpadku konektivity. 16
1.4 Kruh Sa dá prirovnať topológií hviezda s absenciou centrálneho uzla. Spája zariadenia predchádzajúce s nasledujúcim. Každé zariadenie v sieti funguje ako opakovač signálu. Komunikácia neprebieha priamo, ale sprostredkovane. Obrázok 3: Topológia typu Kruh Výhody: Rovnocenný prístup všetkých počítačov v sieti. Vyvážený výkon aj pri vysokom počte prítomných užívateľov. Nedochádza ku kolíziám zasielaných paketov. Nízka spotreba káblov vedenia. Jednoduchá modifikácia. Nevýhody: Zlyhanie jedného počítača (prvku) v sieti spôsobí výpadok celej siete. Zložitá izolácia vzniknutých problémov. V prípade potreby rekonfigurácie je potrebné celú sieť vypnúť. 17
1.5 Prepojená sieť Sieť so smyčkami, mesh, je mixom predošlých variant. Zakladá na možnosti kombinovania ich výhod a nevýhod. V tejto topológií je možné hierarchicky prispôsobiť štruktúru siete. Varianta full mesh je najnákladnejšia, ale poskytuje prepojenie každý uzol s každým. V prípade preskakovania uzlov hovoríme o variante partial mesh, alebo tzv. čiastočný mesh. Vzhľadom na to, že sa jedná o mix sietí, výhody a nevýhody z toho plynúce sú rovnaké, ako pre ten ktorý konkrétny a už spomenutý typ siete. Na obrázku je mix topológií hviezda a kruh. 10 11 12 Obrázok 4: Topológia typu Mesh 10 PUŽMANOVÁ, Rita. Moderní komunikační síte od A do Z: Technologie pro datovou, hlasovou i multimediálni komunikaci. Brno: Computer Press, 2006. 450 s. ISBN 80-251-1278-0, s.36-38. 11 Počítačové sítě: Topologie sítí [online]. [cit. 2009-04-15]. Dostupný z WWW: <http://site.the.cz/index.php?id=15>. 12 J. BIGELOW, Stephen. Mistrovství v počítačových sítích : Správa, konfigurace, diagnostika a řešení problémů. Brno : Computer Press, júl 2004. 992 s. ISBN 80-251-0178-9, s.64 68. 18
2 TCP/IP Pre potreby pochopenia fungovania bezpečnosti sietí je potrebné osvojiť si základy fungovania protokolu TCP/IP. Táto časť preto pojednáva o sade protokolov TCP/IP, presnejšie sa jedná o popis jednotlivých vrstiev, z ktorých sa skladá. Záver kapitoly je venovaný dôvodom, prečo je protokol TCP/IP dominantný na trhu. Protokol TCP je spojovanou službou (connection oriented). Medzi dvoma aplikáciami naviaže spojenie a vytvorí na dobu spojenia virtuálny, plne duplexný okruh (tzn. dáta sú prenášané v oboch smeroch). Prenášané bajty sú očíslované, integrita dát je zabezpečená kontrolným súčtom. Stratené, alebo poškodené dáta sú znovu vyžiadané. 2.1 Prístupová vrstva (Fyzická vrstva) je najnižšia vrstva a ako taká jediná je viazaná na technické prostriedky siete. Zabezpečuje bezkonfliktný obojstranný styk so sieťovým médiom. Zaoberá sa elektrickými, elektromagnetickými či optickými signálmi, používanými pri komunikácií. Protokoly fyzickej vrstvy špecifikujú: Elektrické signály (napr. +1V) Tvary konektorov (napr. V.35). Typ média (napr. krútená dvojlinka, optické vlákno) Prenosovú rýchlosť (napr. 128kB/s) Kódovanie (RZ, NRZ a pod.) 2.2 Medzisieťová vrstva (Linková vrstva) zodpovedá za smerovanie a prepájanie datagramov v komunikačnej podsieti. Datagram je prepravná jednotka (paket), ktorý má vo svojej hlavičke IP adresu odosielateľa a príjemcu, poradové číslo paketu v správe a iné informácie. 19
Základná prenosová jednotka je linkový rámec. Ten sa skladá zo záhlavia (Header), prenášaných dat (Payload), a často i zápätia (Trailer). Obrázok 5: Náčrt linkového rámca používaný v linkovej vrstve 2.3 Transportná vrstva Zabezpečuje prenos údajov medzi počítačmi, protokolom TCP alebo UDP (User Datagram Protocol). TCP vytvára medzi koncovými aplikáciami spoľahlivý prenos dát (t.j. kontrolovaný, s potvrdením o doručení - analógia s telefónom). UDP zabezpečuje prenos dát bez potvrdzovania. Používajú ho tie aplikácie, ktoré nepotrebujú zabezpečenie prenosu v rozsahu TCP. UDP je nespoľahlivá služba (t.j. bez potvrdzovania príjmu, bez zaručenia poradia v cieli - analógia s prepravou listov, telegramov apod.) 2.4 Aplikačná vrstva Poskytuje široký rozsah užívateľských služieb. Najrozšírenejšie sú WWW, Telnet, FTP, e-mail a DNS. Každej službe je priradené jedno číslo (t.j. číslo portu), podľa ktorého sa pakety rozdeľujú jednotlivým aplikáciám. Prehľad portov je v systéme Linux v súbore /etc/services v systéme Windows sa k nim dá pristupovať cez systémové informácie. Prítomnosť služby v tomto súbore (Linux) neznamená, že odpovedajúca služba je v systéme inštalovaná. Lepší pohľad na usporiadanie vrstiev v TCP/IP môžeme získať graficky. 13 14 13 DOSTÁLEK, Libor, KABELOVÁ, Alena. Velký průvodce protokoly TCP/IP a systémem DNS. Brno: Computer Press, 2008-09-00. 488s. ISBN 978-80-251-2236-5, s.19. 14 POPPE, Václav. Protokoly TCP/IP [online]. Zilina: Fakulta riadenia a informatiky Zilinskej univerzity, c1997 [cit. 2009-04-15]. Dostupný z WWW: <http://www.dnp.fmph.uniba.sk/tcpip/>. 20
Obrázok 6: Grafický prehľad usporiadania vrstiev v protokole TCP/IP 2.5 Hlavička TCP protokolu a nadviazanie spojenia Obrázok 7 : Hlavička TCP protokolu Zdrojový port je port odosielateľa TCP segmentu, cieľový port je portom adresáta TCP segmentu. Skupina zdrojový port, cieľový port, zdrojová IP adresa, cieľová IP adresa a protokol (TCP) jednoznačne identifikuje v danom okamihu spojenie v Internete. Poradové číslo odosielaného bajtu je poradové číslo prvého bajtu TCP segmentu v toku dát od odosielateľa k príjemcovi. Poradové číslo prijatého bajtu vyjadruje číslo nasledujúceho bajtu, ktorý je príjemca pripravený prijať. Dĺžka záhlavia vyjadruje dĺžku záhlavia TCP segmentu v násobkoch 32 bytov (4 bajtov). Dĺžka okna vyjadruje prírastok poradového čísla prijatého bajtu, ktorý bude príjemcom ešte akceptovaný. 21
Možné príznaky použité v hlavičke : URG príznak naliehavých dát v TCP segmente. ACK TCP segment má platné pole Poradové číslo prijatého bajtu PSH Signalizácia toho, že TCP segment nesie aplikačné dáta a príjemca má tieto dáta odovzdať aplikácií. RST Odmietnutie TCP spojenia. SYN Odosielateľ začína s novou sekvenciou číslovania. Používa sa pri naviazaní spojenia FIN odosielateľ ukončil odosielanie dát. Prijatie TCP segmentu s príznakom FIN neznamená, že v opačnom smere nie je už možný prenos dát. 15 Štandardný priebeh nadviazania komunikácie v TCP/IP ( Three-Way Handshake ) Klient vyšle TCP paket s nastaveným príznakom "SYN" (žiadosť o komunikáciu). Server odpovedá paketom s prednastavenými príznakmi "SYN" a "ACK" (pripravený na komunikáciu). Klient odpovedá paketom s nastaveným príznakom "ACK" (začína komunikovať). Po tejto výmene je spojenie nadviazané a potvrdené a nasleduje normálna dátová komunikácia. Obrázok 8: Three-Way Handshake 15 Protokol TCP (Transmision Control Protocol) [online]. [cit. 2009-05-02]. Dostupný z WWW: <http://www.cpress.cz/knihy/tcp-ipbezp/cd-0x/9.html>. 22
3 Dominancia TCP/IP Existuje niekoľko dôvodov, prečo sada protokolov TCP/IP vládne nad ostatnými protokolmi. Táto kapitola poukazuje na hlavné výhody. TCP/IP je založený na paketoch je možné cez jedno sieťové pripojenie posielať dáta viacerým komunikujúcim počítačom. Siete založené na paketoch sú lacnejšie a jednoduchšie sa implementujú. Trh a doterajšia prax jasne ukázali, že nižšie náklady sú dôležitejšie než zaručený výkon. TCP/IP umožňuje decentralizované riadenie každá sieť, ktorá komunikuje cez protokol TCP/IP, dostane interval adries, ktoré môže prideliť počítačom v uvedenej sieti. TCP/IP je smerovateľný smerovaný sieťový protokol uľahčuje prenášanie dát medzi dvoma a viac LAN, pretože dáta z dátovej časti sieťového paketu z jednej LAN na inú LAN jednoducho prepošlú smerovače. TCP/IP je nezávislý na konkrétnom prenosovom médiu TCP/IP funguje na Ethernete, Token Ring, USB, sériových spojoch, kábloch pre paralelné porty, krátkovlnnej rádiokomunikačnej sieti (AX.25), alebo inom mechanizme, ktorý umožňuje dvom a viacerým počítačom aby si vymieňali signál. TCP/IP je otvorený štandard, ktorý nič nestojí všetky dokumenty ktoré popisujú TCP/IP štandard sú voľné dostupné na Internete. Protokol môže implementovať ktokoľvek, pričom za implementáciu nie je potrebné platiť žiadnej organizácií ani licenčné poplatky. 16 16 STREBE, Matthew, PERKINS, Charles. Firewally a proxy-servery: praktický průvodce. Brno: Computer Press, 2003. 450 s. ISBN 80-7226-983-6, s.56. 23
4 Profily útokov a škodlivého softwaru Pokiaľ sa niekto chce brániť proti nepriateľovi, je potrebné ho poznať. V tejto kapitole sú preto popísané útoky, ktoré hrozia počítačom pripojeným na sieť, či už LAN, alebo Internet. Predstavuje spôsob ich fungovania a možnosti dostupnej ochrany proti nim. 4.1 Útoky typu DoS Útoky typu Zastavenie prevádzky služieb (z angl Denial of Service) Súbor útokov, ktorých cieľom je zneprístupnenie servera pre ostatných užívateľov v sieti. Využívajú skutočnosť, že prostriedky servera sú obmedzené. Sú snahou o zahltenie siete, zaplnení diskov, operačnej pamäte alebo tabuľky procesov. Prejavmi DoS útokov sú rôzne neštandardné situácie a chybové stavy servera, ako je zastavenie prevádzky niektorej služby, či sady služieb, ktoré poskytuje. Patrí medzi ne prijímanie pošty, WWW stránka a pod. 4.1.1 Teardrop Využíva slabinu v procese spätného zoskupovania priveľkých a prekrývajúcich sa fragmentov v niektorých implementáciách protokolu TCP/IP. Je zameraný predovšetkým proti počítačom s operačným systémom Windows. Ochrana: Inštalácia opráv systému a sady Service Pack. Konfigurácia firewallu tak, aby spätne zoskupovali fragmenty namiesto ich preposielania ďalej. Väčšina firewallov by mala byť už proti tomuto útoku odolná. Tento útok sa už tiež nepoužíva. 24
4.1.2 Ping of Death Podľa dokumentu RFC791 je maximálna veľkosť paketu v protokole TCP/IP stanovená na 65535 bajtov. V minulosti ale veľká väčšina počítačových systémov nedokázala spracovať väčší ping, čo viedlo k vzniku nového typu útoku. V tomto prípade útočník teda vyšle fragmentovaný príkaz ping (príkaz s paketom väčším ako 65535 b) na svoju obeť. Tá nedokáže po defragmentovaní príkaz spracovať a dochádza k pretečeniu zásobníku a následnému zlyhaniu systému. Ochrana: V súčasnosti všetky štandardné implementácie protokolu TCP/IP obsahujú posilnenie proti paketom s nadmernou veľkosťou a väčšina firewallov tieto útoky filtruje automaticky. Tomuto útoku sa dá brániť nastavením firewallu tak, aby blokoval protokol ICMP a všetky neznáme protokoly. Z tohto dôvodu je uvedený útok v dnešnej dobe zastaraný. 4.1.3 SYN floods Patrí medzi veľmi nepríjemné DoS útoky. Názov dostal od príznaku SYN v hlavičke TCP paketu. Tento príznak znamená, že sa bude vytvárať spojenie. Ako prebieha komunikácia dvoch počítačov na protokole TCP/IP už bolo vysvetlené. Pri útoku SYN flood sa v druhej fáze nadväzovania TCP spojenia na serveri vyhradí časť pamäti, aby bolo možné v záverečnej fáze identifikovať ACK od klienta. Pri útoku je SYN požiadavka poslaná z počítača so zamaskovanou, alebo falošnou IP adresou. V snahe zablokovať čo najviac systémových prostriedkov, útočník zasiela veľké množstvo SYN požiadavkov naraz, resp. krátko po sebe. Napadnutý počítač odpovedá príznakom SYN+ACK na neexistujúce IP adresy. Nikdy preto nezíska naspäť odpoveď, resp. hlásenie o chybe ( RST ). Väčšina sytémov je nastavená tak, že po každom neúspešnom pokuse zdvojnásobí timeout hodnotu na 3, 6, 12, 24 a 48 sekúnd. To znamená, že po poslednom pokuse čaká ešte 96 sekúnd. Celkovo od prvého SYN-ACK príznaku uplynie 189 sekúnd. A to v dôsledku tohto, že server prestane reagovať na dlhú dobu. 25
Ochrana: Jedinou ochranou proti útokom SYN floods je dobrý firewall, ktorý dokáže rozlíšiť znaky tohto útoku, početné identické pokusy o pripojenie prichádzajúce z rovnakej adresy IP. Tieto pokusy firewall môže filtrovať, a tak tieto útoky obmedziť. 17 4.1.4 UDP floods Tento útok využíva skutočnosť, že UDP je protokol bez nadväzovania spojenia. Hacker pri útoku odosiela UDP pakety na náhodne porty svojej obete. V prípade, že tieto pakety nejaký počítač príjme, vyšle odosielateľovi hlásenie o chybe. Z toho vyplýva, že ak sa použije dostatočné množstvo odoslaných UDP paketov, vznikne na sieti vysoká prevádzka a počítač prestane reagovať. Prakticky funguje ako obrátený SYN flood útok. Ochrana: V nastavení hostiteľov sa zakážu jednoduché služby TCP/IP, ktoré nie sú nutné. Smerovač je nutné nakonfigurovať tak, aby blokoval požiadavky UDP na tieto služby prichádzajúce z internetu. 4.1.5 Útok Smurf Je mimoriadne účinný útok typu DoS. Založený na funkcii priameho broadcastu adresovania protokolu IP (funkcia, ktorá umožňuje hostiteľovi vysielať dáta všetkým hostiteľom v jeho podsieti). Ochrana: V snahe zabrániť hackerom, aby vyhliadnutú sieť používali k útokom na iné ciele, je potrebné vypnúť funkciu broadcast adresovania externého smerovača. Je nutné nastaviť firewall tak, aby odstraňoval ping správy protokolu ICMP. Ak sa ISP stal cieľom útoku, ochrana neexistuje. 18 Po kontrole na stránke http://www.powertech.no/smurf/, ktorá je odporúčaná v literatúre, je možné sa uistiť, že poskytovateľ pripojenia pre firmu UNO Praha je preverený a dá sa mu veriť. 17 CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks [online]. September 19, 1996, November 29, 2000 [cit. 2009-04-24]. Dostupný z WWW: <http://www.cert.org/advisories/ca-1996-21.html>. 18 STREBE, Matthew, PERKINS, Charles. Firewally a proxy-servery: praktický průvodce. Brno: Computer Press, 2003. 450 s. ISBN 80-7226-983-6, s.269 až 287. 26
Obrázok 9: Dôkaz overenia zabezpečenia ISP proti útokom typu Smurf. Ako vyplýva z popisu možných útokov, je jasné, že veľkej väčšine z nich sa dá zabrániť použitím správneho firewallu. 27
4.2 Vírusy a iný škodlivý software V tejto podkapitole sú popísané základné typy škodlivého softwaru. Termín vírus je výstižný, ale zavádzajúci. Vírus je v skutočnosti len jedným z mnohých typov škodlivého softwaru. Existuje mnoho ďalších typov, ktoré sú považované za rovnako nebezpečné ako víry. V súčasnej dobe sa na označenie škodlivého softwaru používa pojem malware. 4.2.1 Logická bomba Je typ malware, ktorý je spúšťaný splnením dopredu nadefinovanej logickej podmienky v systéme (určitá sekvencia stlačených kláves, vopred stanovený časový úsek alebo nový stav systému). Do systému je spravidla implementovaný zamestnancami, ktorí z firmy odchádzajú, prípadne boli prepustení. Náročnosť odhalenia je priamo úmerná technickej vyspelosti ich tvorcu. Logické bomby implementované do systému skúseným správcom je takmer nemožné odhaliť, nakoľko správca pozná fungovanie systému a použité bezpečnostné prvky. 4.2.2 Softwarová chyba Je chyba v logike alebo v kóde programu, ktorá vzniká pri vývoji programu. Nevznikajú zámerne a nie sú nebezpečným softwarom v pravom slova zmysle. Napriek tomu predstavujú riziko, ktoré môže útočník využiť na prienik zabezpečeného systému. Sú odstránené v priebehu testovania, prípadne následne v podobe záplat (patchov). 28
4.2.3 Softwarová bomba Je typ škodlivého softwaru, ktorý sa aktivuje spustením nakazeného programu a okamžite pácha škody. Neobsahujú žiadne viditeľné znaky a ich vývoj je rýchly a jednoduchý. Pre moderné antivírusové programy je vcelku jednoduché identifikovať ich a následne zneškodniť. 4.2.4 Trójsky kôň Je považovaný za predchodcu dnešného zhubného softwaru. Je to deštruktívny program, ktorý sa maskuje za užitočný program, ako je textový editor, mp3 player a pod. Používateľ teda pracuje s novým programom, v domnienke, že si uľahčuje prácu. Do systému sa ale implementuje škodlivý kód, ktorý potom čaká na spustenie, alebo dovoľuje jeho tvorcovi prístup na počítač používateľa cez tzv. backdoor (zadné vrátka). Za účinnú ochranu sa vo väčšine prípadov považuje kvalitný antivírový program a firewall. 4.2.5 Víry Najčastejšie sa vyskytujúcim, dynamickým typom nebezpečného softwaru je vírus. Upravuje iné programy tak, aby obsahovali spustiteľný kód, ktorý zabezpečí ďalšie šírenie víru. Odborne vyvinuté víry nemenia dátum vzniku súboru, veľkosť súboru, jeho atribúty ani ich kontrolné súčty. Ich detekcia je zložitá a odstránenie namáhavé. Väčšina súčasných vírov sa dnes maskuje za prípony.dll a.vxd (systémové súbory). Poškodzujú dáta, vytvárajú systémové chyby a znižujú výkon systému. 19 19 J. BIGELOW, Stephen. Mistrovství v počítačových sítích : Správa, konfigurace, diagnostika a řešení problémů. Brno : Computer Press, júl 2004. 992 s. ISBN 80-251-0178-9, s.602-604. 29
5 Firewall Je hlavný nástroj používaný na implementáciu a organizáciu firemnej bezpečnostnej politiky. Okrem iného zabezpečuje potrebné autentifikačné, bezpečnostné a súkromné zlepšenia, ktoré sú nutné na celkové zvýšenie sieťovej bezpečnosti a na implementovanie iných aspektov politiky bezpečnej siete. Jeho úlohou je chrániť jednu (našu) sieť pred inou, ktorej nemôžeme dôverovať (Internet). Ochrana lokálnej siete UNO Praha teda zahŕňa ochranu pred nepovoleným prístupom z vonku a zamedzení prístupu k citlivým dátam firmy, zatiaľ čo má registrovaným (dôveryhodným) používateľom dovoliť prístup k špecifikovaným miestam a funkciám. 20 V súčasnosti je väčšina firewallov na vysokej úrovni. Pomocou firewallu sa dá dosiahnuť najbezpečnejšie možné pripojenie k Internetu. Firewally kontrolujú a potom schvaľujú alebo zamietajú jednotlivé pokusy o pripojenie medzi internou sieťou a externými sieťami, napr. Internetom. Robustný firewall chráni sieť na všetkých vrstvách, od linkovej až po aplikačnú. Pre väčšinu používateľov so štandardným pripojením na internet postačí relatívne lacný firewall. Pre rozsiahle podniky a poskytovateľov ISP, ktorých internetová prevádzka je omnoho rozsiahlejšia, bol vyvinutý úplne nový druh extrémne rýchlych (a taktiež veľmi nákladných) firewallov, ktoré sa vyrovnajú aj s najnáročnejšími privátnymi sieťami. Niektoré krajiny pomocou vysokorýchlostných firewallov cenzurujú aj Internet 21 (napr. Čína 22 ). 20 HARE, Chris, KARANJIT, Siyan. Internet Firewalls and Network Security. USA, Indianpolis: New Riders Publishing, 1996. 630 s. Second. ISBN 1-56205-632-8, s. 326, 327. 21 STREBE, Matthew, PERKINS, Charles. Firewally a proxy-servery: praktický průvodce. Brno: Computer Press, 2003. 450 s. ISBN 80-7226-983-6, s.3. 22 Technical Appendix: Empirical Analysis of Internet Filtering in China [online]. datum vytvoreni stranek neznamy [cit. 2009-04-10]. Dostupný z WWW: <http://cyber.law.harvard.edu/filtering/china/appendix-tech.html> viac informácií o spôsobe blokovania internetu Čínou. 30
5.1 Fungovanie firewallu Firewall sa vo všeobecnosti skladá z niekoľko rôznych častí. Filtre blokujú určité druhy prenosu dát. Brána je počítač prevádzkujúci služby prenosu, ktoré kompenzujú efekt filtru. Sieť, v ktorej je brána umiestnená, sa nazýva demilitarizovaná zóna (DMZ). Brána DMZ je niekedy podporovaná tzv. vnútornou bránou. Všeobecne vonkajší filter chráni bránu pred útokmi, zatiaľ čo vnútorný filter chráni pred následkami narušenia brány. Obe filtre chránia pred útokom vnútornú sieť. Brána nechránená filtrami býva nazývaná ochranný počítač (bastion host). Firewally delíme do troch kategórií: filtry paketov, brány okruhov (cicruit gateway) a aplikačné brány. 23 Obrázok 10: Schéma rozloženia firewallu a DMZ 23 CHESWICK, William R., BELLOVIN., Steven M. Firewally a bezpečnost Internetu: Jak zahnat lstivého hackera. Veletiny: Science, 1998. 292 s. ISBN 80-86083-01-2, s.69. 31
6 VPN VPN (virtual private network) je privátna sieť, vybudovaná v rámci verejnej sieťovej infraštruktúry. Cez verejnú sieť internetu umožňujú VPN prepojiť spoločnostiam pomocou VPN tunelov svoje kancelárie, pobočky, alebo umožňujú jednoduché a bezpečné pripojenie vzdialeného užívateľa k hlavnému firemnému serveru a následne mu tak zabezpečiť prístup k internej databáze. Cieľom tejto technológie je vytvoriť rovnaké podmienky a rovnakú úroveň bezpečnosti ako pri prenájme vlastných fyzických liniek, ale za výrazne výhodnejších podmienok. Overené a šifrované spojenie na báze VPN ( Internet a jeho hlavný protokol TCP/IP nebol navrhovaný s ohľadom zabezpečenia na vysokej úrovni) taktiež poskytuje oveľa vyššiu bezpečnosť a ochranu ako tradičné systémy vzdialeného prístupu chráneného heslom. VPN je teda jednoduchším, efektívnejším, lacným a pritom vysoko bezpečným spôsobom, ako ostať v kontakte so spoločnosťou i mimo jej sídlo. 24 Služby VPN sú primárne určené pre spoločnosti, ktoré majú viacero pobočiek, prípadne ich zamestnanci musia zostať mobilní, so stálym prístupom k firemnej sieti a dátam v nej. Ani jeden tento prípad firma UNO Praha nespĺňa a VPN nepotrebuje. 24 VPN: Virtuálna Privátna Sieť [online]. Attel Bohemia s.r.o. [cit. 2009-04-20]. Dostupný z WWW: <http://www.attel.sk/typoveriesenia/vpn-virtualna-privatna-siet/>. 32
7 Realizácia zabezpečenia V kapitole sa nachádza jadro práce, ktorým je príprava a realizácia zabezpečenia siete, čiže uvedenie konkrétnych postupov, ktoré boli použité. V prvej časti je predstavená spoločnosť a priblížený jej súčasný stav v oblasti zabezpečenia siete. Ďalej sa zameriava na samotnú realizáciu zabezpečenia a s ňou súvisiace kroky, ako je inštalácia a konfigurácia brány firewall. Budú realizované dve možnosti, ktoré budú vysvetlené a popísané, a to konfigurácia softwarového firewallu Kerio WinRouteFirewall a následne konfigurácia paketového filtra IPtables v prostredí Linux. Pre potreby firmy bolo potrebné vyberať relatívne lacné riešenie s jednoduchou implementáciou. V tomto smere je vyhovujúca skutočnosť, že 100% zamestnancov firmy používa operačný systém MS Windows (XP, Vista). Prvé kroky ktoré je potrebné realizovať sú tzv. ľahké, poskytujúce základnú ochranu IS a siete. Ich dodržiavanie patrí k všeobecnej, základnej počítačovej gramotnosti. Patrí medzi ne sťahovanie automatických aktualizácií nainštalovaného softwaru. Tento krok závisí na každom používateľovi zvlášť. 33
7.1 Príprava na zabezpečenie V tejto podkapitole je predstavená firma, pre ktorú je realizované zabezpečenie siete. Je popísaná štruktúra firemnej siete. V druhej časti je na spresnenie definovaný pojem bezpečnosť na sieti, čo zahrňuje táto bezpečnosť a čo je potrebné na jej realizáciu v malej firme. 7.1.1 Predstavenie spoločnosti UNO Praha Spoločnosť UNO Praha s.r.o. vznikla v roku 1993 ako zváračská škola plastov. Predmetom podnikania firmy sú činnosti ako školenie zvárania plastov, skúšanie a výdaj certifikátov, technická a poradenská činnosť v obore plastov, predaj zváracích strojov, servis a revízie zváracích strojov, montáž a dodávka plastových konštrukcií. Výťah z obchodného registra: Dátum zápisu: 26. januára 1994 Obchodná firma: UNO PRAHA, spol. s r. o. Zapísaná: 26. januára 1994 Sídlo: Praha 8, V Holešovičkách 593/1A, PSČ 182 00 Identifikačné číslo: 604 62 515 Zapísaná: 26. januára 1994 Právna forma: Spoločnosť s ručeným obmedzením Ročný obrat 2003: 50 000 000 Kč Predmet podnikania: Uskutočňovanie bytových a občianskych stavieb. Realizácia inžinierskych stavieb Nákup tovaru za účelom jeho ďalšieho predaja Sprostredkovateľská činnosť v oblasti stavebníctva. Prevádzka školení (stavebníctvo a použitie plastov v stavebníctve) Technická a poradenská činnosť v obore plastov Predaj, servis a revízia zváracích strojov 34
7.1.2 Stručná história firmy: V roku 1998 sa firma akreditovala podľa normy ČSN EN 45013 na skúšanie zváračov plastov. V priebehu rokov 1998-2000 získali titul Autorizovaná národná osoba ANB pre zváranie plastov v Európskom systéme zvárania (EWF - European Welder Federation). Koncom roku 2003 firma získala akreditáciu podľa ČSN EN 13067 a Doc. EWF 581-01 na skúšanie Európskeho zvárača termoplastu EPW. Sú členmi Českej zvářačskej spoločnosti a Združení organizací pro certifikaci personálu. Podieľajú sa na prekladoch európskych noriem a tvorbe národných noriem v rámci TNK 70 - Zvárania ČSNI. Zúčastnili sa na projektoch v rámci programu PHARE - LEONARDO. V roku 2001 ukončili program SAFE GAS. Firma sa zaoberá vývojom a implementovaním progresívnych nových technológií v oblasti zvárania a spracovania plastov, vrátanie vývoja vlastných systémov. 7.1.3 Súčasný stav siete vo firme UNO Praha Zobrazenie štruktúry firemnej siete, ktorá používa topológiu typu Hviezda. Hlavný uzol je sieťový server pripojený na internet. K nemu sú pripojení používatelia a ostatné sieťové prvky. Každý zo spomenutých užívateľov má vlastný počítač (s operačným systémom: 16x Windows XP a 4x Windows Vista). Vo firme sa nachádzajú 4 zdieľané sieťové tlačiarne a 1 projektor pre potreby výuky. Všetky telefónne prístroje majú tiež vlastnú IP adresu a sú zapojené do lokálnej siete. 35
Obrázok 11: Štruktúra firemnej siete 7.1.4 Stanovenie nárokov na zabezpečenie Nasleduje vymedzenie požiadaviek na zabezpečenie. Firma UNO Praha sa radí k malým firmám. U malých podnikov nie je potreba pri zabezpečení siete ísť do extrémov. V počítačoch spoločnosti sa nenachádzajú informácie, ktoré by zaujímali náhodného hackera, alebo konkurenciu, so záujmom o priemyslovú špionáž. Užívatelia v sieti požadujú minimálne obmedzenie v prístupe k Internetu, to znamená, že nie je vhodné používať drastické politiky zabezpečenia 25. Firma požaduje minimálne zabezpečenie. Preto je možné všetko implicitne povoliť, a potom konkrétne na firewalle zakázať pakety, protokoly a služby, ktoré sú nebezpečné (nepoužívané). 25 PUŽMANOVÁ, Rita. Moderní komunikační síte od A do Z: Technologie pro datovou, hlasovou i multimediálni komunikaci. Brno: Computer Press, 2006. 450 s. ISBN 80-251-1278-0, s.205. 36
7.1.5 Počítačová bezpečnosť V širšom slova zmysle rozumieme pod pojmom počítačová bezpečnosť zabránenie komukoľvek robiť také veci, ktoré nemajú byť robené počítačom, alebo akýmkoľvek periférnym zariadeniam, a to s ich použitím, priamo na nich, alebo z nich. Počítačová bezpečnosť nie je cieľom, je to len prostriedok k dosiahnutiu cieľa, teda bezpečnosti informácií. Sila určitých opatrení by mala byť priamo úmerná hrozbe z daného prostredia 26. V prípade firmy UNO Praha je hrozba priameho útoku zanedbateľná. Riziko snahy o hacknutie a škodenie v počítačovej sieti firmy neúspešným študentom, či zamestnancom je minimálna. Jediné potrebné opatrenie, ktoré je nutné podniknúť, je zabezpečiť sieť proti náhodným útokom prichádzajúcim zvonku. 7.1.6 Modernizácia siete Prvým krokom, ktorý je nutné podniknúť je zistenie súčasného stavu vo firme a jeho následná konzultácia s vedením. Vzhľadom na to, že firma UNO Praha už má vybudovanú lokálnu sieť, je potrebné pristúpiť iba k jej malej modernizácií. Tá by mala spĺňať určité požiadavky a obmedzenia: Užívateľské hľadisko Vzhľadom na to, že počet odpracovaných rokov jednotlivých zamestnancov je vyšší, je s ním spojená aj nevôľa učiť sa novým veciam, resp. nanovo sa učiť už zabehnuté postupy. Je preto potrebné minimalizovať dopady na jednotlivých užívateľov v priebehu zmien v sieti a zaistiť minimálne nároky na rekvalifikáciu užívateľov v dôsledku technických či programových zmien. Užívatelia sú so súčasným systémom spokojní a necítia akútnu potrebu prechádzať na nový systém. Ochrana investícií Firma neplánovala reštrukturalizáciu siete, a nemá na ňu vyčlenené finančné prostriedky. Preto je nutná snaha o maximálne využitie súčasného technického vybavenia siete, vrátane kabeláže, a minimalizáciu obstarávacích nákladov. Na odporúčanie administrátora sa nebude vykonávať žiaden fyzický zásah do súčasnej siete. 26 CHESWICK, William R., BELLOVIN., Steven M. Firewally a bezpečnost Internetu: Jak zahnat lstivého hackera. Veletiny: Science, 1998. 292 s. ISBN 80-86083-01-2, s.23. 37
7.2 Obmedzenie prístupu k zariadeniam Povinný krok, ktorý je potrebné podniknúť, je obmedzenie fyzického prístupu zamestnancov a nepovolaných osôb k hlavnému serveru a ostatným dôležitým zariadeniam, ako sú smerovače a prepínače, rozvodové káble a voľné zásuvky. K veľkej časti týchto zariadení stačí prístup len hlavnému administrátorovi. Obmedzením prístupu sa minimalizuje riziko obídenia firewallu a softwarového zabezpečenia siete a zároveň sa zamedzí tomu, aby niekto nepovolaný mohol manipulovať so serverom resp., že by sa mohol pokúsiť vyriešiť problém po svojom. 7.3 Odobratie prístupu pre bývalých zamestnancov Je potrebné znemožniť bývalým zamestnancom, aby sa po skončení pracovného pomeru prihlásili do siete. Odobratie prístupového a užívateľského oprávnenia bývalých zamestnancov znamená v nastavení servera vymazať ich prístupové meno a heslo. Tento krok je realizovaný automaticky. 7.4 Vytvorenie zásad používania e-mailov a Internetu Bolo potrebné vytvoriť zásady použitia Internetu, platné pre celú firmu, ktoré obsahujú pokyny pre zamestnancov, menovite aby neotvárali e-mailové prílohy, ktoré neočakávajú. Tieto zásady sa vzťahujú tiež na rizikové činnosti on-line a zakazujú také postupy, ako sú sťahovanie bezplatných a nepotrebných programov z webu. Zamestnanci boli informovaní, že nemajú zverejňovať hesla ani informácie o účtoch v reakcii na akékoľvek e-maily, ktoré budú takéto informácie požadovať. Tento bod priamo súvisí s pravidlami správania sa na internete, tzv. netiketou, z ktorej sú vybraté tie najdôležitejšie časti. 38
7.4.1 Netiketa, alebo pravidla správania sa na internete Zamestnanci firmy musia byť poučení o správaní sa na internete. Keďže internet slúži ako komunikačný prostriedok, mali by sa dodržiavať pravidlá komunikácie. Prax ukazuje, že najväčšou hrozbou pre zabezpečenie systému je používateľ sám. Je preto potrebné stanoviť, resp. pripomenúť si základné pravidlá bezpečného používania mailov. Firma UNO Praha nikdy nepoužívala a v blízkej dobe nebude používať hardwarový alebo softwarový kryptovací (šifrovací) prístroj. Zamestnanci si preto musia uvedomiť, že e-mail nie je na internete zabezpečený. Jedna zo zásad bezpečného internetu hovorí: Nikdy nepíšte do mailu správu, ktorú by ste nemohli napísať na pohľadnicu. Uvedomujte si skutočnosť, že internetová a emailová komunikácia nie je šifrovaná! Zamestnanci by nikdy nemali zasielať reťazové správy (alebo rôzne iné reťazové hry) cez elektronickú poštu. Reťazové správy síce nie sú zakázané štatutárnym orgánom, ale dodržiavanie nepísaného pravidla o nezasielaní týchto správ patrí k všeobecnej vzdelanosti a dobrému image spoločnosti. V prípade, že zamestnanci dostávajú takéto správy, mali by bezpodmienečne upozorniť svojho administrátora. Reťazové správy sú právom považované za mor internetu. Ročne spôsobujú miliardové škody. 7.5 Silné heslo Požaduje sa, aby zamestnanci používali silné hesla. Heslá, ktorá sa dajú ľahko uhádnuť, môžu umožniť neautorizovaným osobám získanie prístupu k sieti. Aby sa tomu zabránilo, musia zásady zabezpečenia vyžadovať, aby hesla obsahovali písmena i čísla 27. Tu je ale vhodné voliť kompromis, aby sa zabránilo zamestnancom zapisovať si heslá na papieriky a lepiť ich na okraje monitoru. 27 Silná hesla [online]. [cit. 2009-04-02]. Dostupný z WWW: < http://www.microsoft.com/technet/prodtechnol/windowsserver2003/cs/library/serverhelp/d406b824-857c-4c2a-8de2-9b7ecbfa6e51.mspx?mfr=true>. 39
Slabé heslo: Nie je v podstate žiadne heslo. Obsahuje vaše užívateľské meno, skutočné meno či názov firmy. Obsahuje slovo, ktoré je možné nájsť v slovníku. Silné heslo: Obsahuje najmenej 7 znakov alebo 14 znakov. Neobsahuje užívateľské meno, skutočné meno či názov firmy. Neobsahuje slovo, ktoré je možné nájsť v slovníku. Výrazne sa líši od predchádzajúcich hesiel. Hesla líšiace sa iba v čísle, napríklad Heslo1, Heslo2, Heslo3 atď., nie sú silné. Používa sa iba tam, kde nie je skompromitovateľná jeho dôveryhodnosť. Je preto potrebné mať dve heslá, jedno na bežné používanie na webe, druhé osobné, skutočné bezpečné. Príklad silného hesla je: J*p2leO4>F 28. Pri takto zložitom hesle je vysoké riziko, že si ho zamestnanci budú zapisovať niekam na papierik a ten podľa možnosti prilepia na monitor. Preto je vhodné osvojiť si nasledujúce rady na tvorbu skutočne silného hesla. 1. Vezmite si nejakú známu vetu, výrok, meno s adresou a pod. A predsa sa točí. Galileo Galilei 2. Vetu pretransformujte tak, že ju skrátite a zapíšete iba začiatočné písmená. APrSaToGaGa APrSaTo2Ga 3. V záverečnom kroku zmeníte písmená za podobné znaky, či pridáte malú šifru. V časti slova SaTo bolo vynechané a vzniklo Sto, čo zapíšeme s použitím podobného znaku ako!00. Obdobne vzniklo @.Výsledkom je heslo: APr!002xG@, čo vyhovuje pravidlám pre silné heslo a v prípade potreby nie je problém na heslo znovu prísť, ak vieme spôsob jeho vzniku. 28 HORÁK, Jaroslav, KERŠLÁGER, Milan. Počítačové sítě pro začínajícíc správce. Brno: Computer Press, 2008-08-00. 328 s. ISBN 78-80-251-2073-6, s. 197, 198. 40
7.6 Výber konkrétneho firewallu Podstatou tejto práce nie je otestovať všetky dostupné firewally na trhu, a preto je vybraný ten, ktorý je podľa nezávislých testov tým najlepším riešením. Toto riešenie je ale jemne skresľujúce, avšak postačujúce, pretože situácia na trhu je dynamická, vyvíja sa a výrobcovia sa na vrchole rebríčku menia každým dňom. 29 Produkt Hodnotenie Stupeň ochrany Online Armor Personal Firewall 3.5.0.14 99% Perfektný Comodo Internet Security 3.8.65951.477 96% Perfektný Outpost Firewall Free 2009 6.5.2724.381.0687.328 94% Perfektný Kerio WinRoute Firewall 6.6.0 build 5729 93% Perfektný Jetico Personal Firewall 2.0.2.8.2327 89% Veľmi dobrý Privatefirewall 6.0.20.14 88% Veľmi dobrý Malware Defender 2.0.5 87% Veľmi dobrý PC Tools Firewall Plus 5.0.0.36 86% Veľmi dobrý Online Armor Personal Firewall 3.0.0.190 86% Veľmi dobrý Netchina S3 2008 3.5.5.1 85% Veľmi dobrý Kaspersky Internet Security 2009 8.0.0.506 83% Veľmi dobrý ZoneAlarm Pro 8.0.059.000 72% Dobrý Norton Internet Security 2009 16.2.0.7 66% Dobrý Webroot Desktop Firewall 5.8.0.25 54% Slabý BitDefender Internet Security 2009 12.0.12.0 12% Žiadný ZoneAlarm Free Firewall 8.0.298.000 11% Žiadný CA Internet Security Suite Plus 2009 5.0.0.581 5% Žiadný Sunbelt Personal Firewall 4.6.1861.0 5% Žiadný ThreatFire Free 4.1.0.25 5% Žiadný econceal Pro for Windows 2.0.019.1 4% Žiadný ESET Smart Security 4.0.417.0 4% Žiadný Mamutu 1.7.0.23 2% Žiadný Tabuľka č.1 : Hodnotenie dostupných firewallov Kerio WinRoute Firewall dosiahol priaznivé hodnotenie. Bol okrem iného vybraný aj na základe odporúčaní, dostupnosti a priaznivej cene. 29 Proactive Security Challenge [online], apríl 2009, [cit. 2009-05-04]. Dostupný z WWW: <http://www.matousec.com/projects/proactive-security-challenge/results.php>. 41
7.7 Inštalácia a konfigurácia brány firewall V kapitole Profily útokov a škodlivého softwaru je ako spôsob ochrany proti všetkým útokom navrhovaný firewall. V kapitole Firewall je znovu zdôraznená jeho potreba, zvlášť v malej firme, ako postačujúca ochrana proti náhodným útokom. Preto po výbere vhodného firewallu môžeme pristúpiť k jeho inštalácií a konfigurácií. Firewally dnes musia poskytovať zabezpečenie na vysokej úrovni a kvôli fungovaniu trhovej ekonomiky si žiadny výrobca nemôže dovoliť dlhodobo výrazne zaostávať. V prvom kroku je potrebné na každom PC osobitne nastaviť sieťovú bránu a IP adresu. Konfiguráciu realizujeme v nastavení sieti systému Windows, v protokole TCP/IP (TCP/Ipv4 vo Windows Vista). (Štart Nastavenia Ovládací Panel Sieťové pripojenia TCP/IP (v.4) Vlastnosti) Obrázok 12: nastavenie IP adresy v prostredí MS Windows Pretože firma používa topológiu Hviezda, má prístup na internet práve cez jeden bod (Gateway). Znamená to, že všetky ostatné IP adresy LAN budú skryté za adresou, ktorú bude mať nastavenú firewall. Adresu IP je potrebné nastaviť podľa štandardov, ktoré platia pre výber IP adries. To znamená, aby platilo: 42
IP 10.x.x.x, maska podsiete 255.0.0.0 IP 172.16.x.x, maska podsiete 255.240.0.0 IP 192.168.x.x, maska podsiete 255.255.0.0 Použitie iných adries môže mať za následok neskôr neprístupnosť určitých častí internetu, ktoré by mali rovnakú IP adresu. Na základe pravidla spomínaného v kapitole Stanovenie nárokov na zabezpečenie je vhodné pri inštalácií firewallu zakázať službu Telnet, pretože ju zamestnanci nevyužívajú. Ostatné služby sú využívané, a preto nie je vhodné ich blokovať. Pri každej službe je zároveň vypísaný port, na ktorom služba prebieha. V prípade potreby nie je problém tento port kedykoľvek zablokovať. Obrázok 13: Prvotné nastavenie blokovania portov v KerioWinRoute Firewall Konfigurácia DHCP, prebieha v programe Kerio WinRoute Firewall. (Kerio Administration Console Konfigurácia DHCP server.). Potvrdi sa výber rozsahu adries, ktoré sú dostupné pre počítače v sieti. Adresy 192.168.1.1 až 192.168.1.99 sú rezervované pre server a príslušné hardwarové prvky na sieti, ako sú tlačiarne, skenery a podobne. Rezervácia je potrebná kvôli budúcemu možnému rozširovaniu siete. Po nastavení poslednej adresy sa ešte ponúka možnosť (Upresnenie) pre pridanie rezervácie pre ostatné hardwarové prvky. 43
Obrázok 14: Nastavenie rozsahu IP adries v Kerio WinRoute Firewall Na zabezpečenie správneho fungovania siete v inej firme, by bolo ešte potrebné nakonfigurovať DNS forwarder. V prípade firmy UNO Praha ale postačuje pôvodné nastavenie, keďže firma nebude používať vlastný DNS server a ani VPN. V menu (Užívatelia a skupiny Užívatelia )sa ponúka možnosť nastavenia užívateľov s povoleným prístupom do siete. Konfigurácia používateľa administrátor prebieha takto: 44
Pridanie (ľubovoľného) užívateľa, nastavenie základných údajov: Obrázok 15: Pridanie užívateľa Pridelenie prístupových práv. V prípade administrátora je všetko povolené. Obrázok 16: Nastavenie práv 45
Ponúka sa možnosť nastavenia kvóty (obmedzenie na množstvo prenesených dát). Obrázok 17: Nastavenie kvóty Na záver sa pridávajú možnosti automatického prihlasovania na základe IP adresy. Obrázok 18: Konfigurácia IP Vo vynechaných krokoch 2 a 5 ostáva pôvodné nastavenie. 46
Program Kerio WinRoute Firewall dovoľuje nastaviť skupinu IP adries, ktoré budú mať prístup do siete aj v určitých časových intervaloch. Táto možnosť je vhodná na zamedzenie prístupu pre zamestnancov po pracovnej dobe. Toto obmedzenie zároveň pomáha k vyššej miere bezpečnosti zakázaním prístupu k serveru a sieti mimo pracovnú dobu. Prípadný fyzický útočník tak nemá napr. možnosť načítať správy z mail serveru. Obrázok 19: Nastavenie časových intervalov V podkapitole Vírusy a iný škodlivý software boli predstavené riziká v podobe malware. Na ochranu proti tomuto riziku Kerio WinRoute Firewall ponúka aj možnosť antivírovej ochrany. Závisí na zamestnancoch, či sa rozhodnú pre túto možnosť, alebo dajú prednosť svojmu osobnému antivírusu. Prístup k integrovanému antivírusovému programu je v menu (Konfigurace Filtrování obsahu Antivirus) Obrázok 20: Možnosti nastavenia antivírového programu v KerioWinRoute Firewall 47
V položkách Kontrola protokolov http a FTP, kontrola e-mailov a kontrola SSL VPN je možné ešte ďalšie, upresňujúce nastavenie. Pôvodné (default) nastavenie je vyhovujúce a nie je potrebné ho meniť. Obmedzenie Internetu a prezerania obsahu web stránok sa nastavuje v menu (Filtrovanie obsahu Pravidla pre http Zakázané slová). Je potrebné, aby firewall aspoň čiastočne blokoval stránky, ktorých obsah nezodpovedá náplni práce. Vzhľadom na to, že zamestnanci nechcú byť príliš obmedzovaní pri prezeraní webu, bola váha potrebná na zablokovanie stránky nastavená pomerne vysoko. Dôvodom blokovania týchto stránok je ich hodnotenie ako potencionálneho zdroja nákazy. Obrázok 21: Konfigurácia pravidiel pre filtrovanie html obsahu Nasleduje konfigurácia blokovania reklám a pop-up bannerov priamo, ktoré zbytočne rozptyľujú pri práci a predstavujú riziko infekcie. 48
Obrázok 22: Nastavenie URL pravidiel pre HTTP V menu (Skupina URL) je možné ešte podrobnejšie nastaviť najčastejšie skupiny blokovaných URL adries. Je doporučené zakázať popup (vyskakujúce okná) a add bannery (reklamné prúžky). Windows update zostane povolený: Obrázok 23: Možnosti nastavenia blokovania URL Firewall je nakonfigurovaný a pripravený na používanie. Po dobu prevádzky vo firme neboli zaznamenané žiadne problémy, alebo sťažnosti. 49