Jak se spolehlivě chránit

V poslední době se stále častěji setkáváme s různými útoky na počítačové sítě. Samotné nasazení bezpečnostn...


V poslední době se stále častěji setkáváme s různými útoky na počítačové sítě.
Samotné nasazení bezpečnostní technologie je však nedostatečné, společnost
nebude skutečně zabezpečena, pokud nebude mít vypracovanou jasnou a kvalitní
bezpečnostní politiku, se kterou budou uživatelé seznámeni a donuceni ji
respektovat.
Napadení sítě počítačovým virem je jedním z nejčastějších bezpečnostních
incidentů. Bohužel četnost napadení stále roste, podobně jako schopnost virů se
bleskově šířit. Řešením je samozřejmě použití antivirového softwaru. Při jeho
výběru bychom však měli dávat pozor nejen na kvalitu vyhledávacího mechanismu,
ale také na možnost jednoduché implementace, centrální správy, pokrytí všech
důležitých komponent sítě (PC, souborové servery, groupwarové servery,
internetové brány), kvalitní reporting, který prozradí četnost a zdroj napadení
apod. Pravidelný upgrade virové databáze je nezbytný. Měli bychom také znát
schopnost výrobce antivirového softwaru reagovat na nové viry a hrozby.

Firewally
Primárním úkolem firewallu je oddělit interní LAN od nebezpečného prostředí,
které představuje Internet, a zabránit přístupu neautorizovaným uživatelům.
Rozlišujeme v zásadě tři typy firewallů: Paketový filtr zpracovává informace
pouze ze třetí vrstvy. Jeho výhodou je vysoká rychlost zpracování, nevýhodou
pak nemožnost sledovat děje na vyšších vrstvách. Aplikační brána naproti tomu
pracuje s informacemi na sedmé vrstvě a je položena nad TCP/IP stackem.
Umožňuje nastavovat bezpečnostní pravidla na úrovni http, FTP, telnetu atd.
Nevýhodou těchto firewallů je jejich výkon, který je ovlivněn tím, že každý
paket musí být analyzován příslušným programem. Technologie Statefull
Inspection oproti tomu pracuje s informacemi ze všech vrstev a je postavena
transparentně mezi TCP/IP stack a ovladač síťového adaptéru. Tato metoda
umožňuje pracovat se stavovými tabulkami jednotlivých protokolů až po aplikační
úroveň a zajišťovat kontrolu průběhu komunikace s využitím znalosti předchozích
stavů protokolů. VPN a šifrování Dalším způsobem, jak docílit přiměřené úrovně
zabezpečení informací, ať už uložených na disku nebo přenášených
prostřednictvím internetu, je šifrování. Šifrovací produkt pro použití v běžném
životě musí být schopen nejen zašifrovat a dešifrovat data uložená na pevném
disku osobního počítače, ale také informace přenášené prostřednictvím
počítačových sítí včetně Internetu (ve virtuálních privátních sítích). Díky
technologiím šifrování a digitálního podpisu dostává příjemce silný nástroj,
který mu poskytuje jistotu nejen o tom, kdo zprávu skutečně odeslal (zda se za
něj pouze nevydává), ale také garantuje, že zpráva nebyla cestou modifikována
(je autentická).

Autentikace
Autentikace znamená ověření totožnosti. V běžném životě využíváme tzv.
biometrickou autentikaci poznáváme osoby podle jejich tváře, hlasu. Pokud je
nutné věrohodně ověřit totožnost, je potřeba prokázat se např. pasem. I v
oblasti výpočetní techniky lze používat obdobu průkazu digitální pas, který
můžeme ochránit proti jeho zneužití. Ještě lepším příkladem je bankomat zde
musíte mít platební kartu a znát její PIN. V případě bezpečného přístupu k IT
zdrojům je tím předmětem "token" elektronický klíč. I v tomto případě je
nezbytné znát jeho PIN. Detekce průniku V poslední době jsme svědky poměrně
velkého nárůstu zaregistrovaných útoků na počítačové sítě státních i soukromých
organizací. Jednoduché pravidlo ochrany říká, že stačí pouze neustále
kontrolovat provoz sítě a systému spolu s jeho aktuálností, odolností a
správnou konfigurací dle nejnovějších trendů a poznatků v oblasti zabezpečení
IT infrastruktury. To samozřejmě není v silách žádného správce ani týmu expertů
bezpečnosti. Proto se používají systémy pro detekci průniku a skenery
zranitelnosti IDS.
(Inspirací k tomuto textu byla série seminářů pořádaných sdružením itsecurity)
1 0631 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.