Ochrana proti malware

Verze z 20. 11. 2013, 17:29 (zobrazit zdroj) Spravce (diskuse | příspěvky) m (Doplněna kategorie Bezpečnost) ← Porovnání se starší verzí		Verze z 15. 1. 2014, 14:44 (zobrazit zdroj) Spravce (diskuse | příspěvky) (→Firewall: Opravena struktura) Porovnání s novější verzí →
Řádka 57:		Řádka 57:
	== Firewall ==		== Firewall ==
−	Firewall omezuje přístup do/z počítače/sítě jen pro vybrané síťové protokoly či programy.	+	Kontroluje tok dat mezi počítačem/počítačovou sítí a okolním světem (okolními sítěmi).
−	; Typy z hlediska toho, kde běží	+
		+	; Rozdělení podle toho, kde běží
	* Osobní firewall — běží v počítači, který chrání.		* Osobní firewall — běží v počítači, který chrání.
−	* Síťový firewall — chrání přístup do celé sítě, veškerý provoz do sítě musí jít přes něj.	+	* Síťový firewall
−	; Přístupy k zabezpečení	+	** Chrání přístup do celé sítě, veškerý provoz do sítě musí jít přes něj.
		+	** Běží na routeru.
		+
		+	; Rozdělení podle síťové vrstvy, na které pracují
		+	Na nižších vrstvách architektury ISO/OSI rychlejší, ale neumí tak dobře rozlišit datové toky.
		+	''Paketový filtr'' (síťová vrstva)
		+	* běží na router-u
		+	* komunikace probíhá přímo mezi chráněnou stanicí a vnějším partnerem,
		+	* může být vybráno několik stanic ''bastion hosts'', které mohou komunikovat (nebo dále zprostředkovat komunikaci) přímo. (''DMZ — demilitarized zone'' — mezi firewallem a těmito stanicemi.)
		+	* povolení nebo zákaz podle kombinace IP adresy a portu.
		+	''Aplikační brána'' (aplikační vrstva)
		+	* někdy také nazýváno „proxy“
		+	* komunikace probíhá mezi vnějším partnerem a firewallem, ten případně komunikuje s chráněnými stroji,
		+	* chráněné stanice jsou z vnější sítě nedostupné (např. mají privátní IP adresy),
		+	* aplikační brána musí rozumět danému síťovému protokolu.
		+	''Stavový paketový filtr''
		+
		+	; Vstupní × výstupní provoz (in- nebo out-)
		+	* Zabezpečení sítě proti útoku napadení z okolí
		+	** Snažší k zajištění.
		+	** Útočník vždy musí projít přes firewall, chce-li síť napadnout.
		+
		+	* Zabezpečení proti úniku dat
		+	** Například v důsledku napadení malwarem, který odesílá citlivá data.
		+	** Je složitější rozlišit korektní provoz od škodlivého (používají stejné programy).
		+	** Nebezpečí zneužití klientů protokolů HTTP, POP3, IRC, které standardně podporujeme.
		+
		+	* Vždy existuje riziko úniku dat jinými cestami:
		+	** paměťová média odnesená zaměstnanci,
		+	** modemové spojení,
		+	** telefonní hovory: social engineering.
		+
		+
		+	; Strategie zabezepečení
	* „Prevence“		* „Prevence“
−	** Zakážeme vše a povolíme jen ten provoz a ty programy, které jsou určitě v pořádku.	+	''Zakážeme vše a povolíme jen ten provoz a ty programy, které jsou určitě v pořádku.''
		+	** Jednodušší, častější.
		+	** Vyjmenujeme programy či služby, které povolíme, zbytek zůstane zakázán.
		+	** Může dojít k blokování toků, které jsou v pořádku, ale nebyly uvedeny mezi povolenými
		+
	* „Presumpce neviny“		* „Presumpce neviny“
	** Povolíme vše a zakážeme provoz, který je určitě špatně.		** Povolíme vše a zakážeme provoz, který je určitě špatně.
−	; Zabezpečení sítě proti útoku zvenčí	+	** Problém s novými programy, se kterými se nepočítalo.
−	* Snažší k zajištění, útočník vždy musí projít přes firewall.	+
−	; Zabezpečení sítě proti úniku dat	+
−	* Riziko jiných způsoby úniku dat	+
−	** paměťová média,	+
−	** modemové spojení,	+
−	** telefonní hovory: social engineering.	+
−	* Nebezpečí zneužití klientů protokolů HTTP, POP3, IRC, které standardně podporujeme.	+
−	; Typy podle síťové vrstvy, na které pracují	+
−	* na nižších vrstvách rychlejší, ale neumí tak dobře rozlišit toky	+
−	* ''paketový filtr'' (síťová vrstva): na router-u	+
−	** komunikace probíhá přímo mezi chráněnou stanicí a vnějším partnerem,	+
−	** může být vybráno několik stanic ''bastion hosts'', které mohou komunikovat (nebo dále zprostředkovat komunikaci) přímo. (''DMZ — demilitarized zone'' — mezi firewallem a těmito stanicemi.)	+
−	** povolování podle IP adresy zdroje a portu.	+
−	* ''aplikační brána'' (aplikační vrstva): proxy	+
−	** komunikace probíhá mezi vnějším partnerem a firewallem, ten případně komunikuje s chráněnými stroji,	+
−	** chráněné stanice jsou z vnější sítě nedostupné (např. mají privátní IP adresy),	+
−	** musí rozumět odpovídajícímu síťovému protokolu.	+
−	* ''stavový paketový filtr''	+
	; Zdroje		; Zdroje
	*interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/>		*interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/>
	; Příklady		; Příklady
		+	* Vestavěný firewall operačního systému
	* Comodo Firewall &mdash; zdarma		* Comodo Firewall &mdash; zdarma
	** povolování komunikace pro jednotlivé aplikace		** povolování komunikace pro jednotlivé aplikace

---

Verze z 15. 1. 2014, 14:44

Obsah 1 Vlastní rozum 2 Antivirové programy 3 Antispyware 4 Firewall 5 Proti spamu 6 Ochrana proti falešným DNS záznamům (pharming)

Vlastní rozum

• Rozumné chování v prostředí Internetu

Antivirové programy

Jak hledají malware?

• Databáze signatur
  • hledá v programech na disku posloupnosti instrukcí, o kterých se ví, že je obsahuje jen virus
  • závislé na aktuálnosti databáze (co není v databázi, to nenajdeme)
  • přesné, rychlé
  • malé riziko falešného hlášení
• Heuristická analýza
  • analyzuje kód programu a hledá potenciálně podezdřelé instrukce
  • riziko falešného hlášení — zdravý program může být občas prohlášen za virus
  • výrazně náročnější na čas procesoru
  • najde i škodlivé programy, které jsou úplně nové

Kdy se spouští test

• Rezidentní ochrana
  • Antivir běží stále na pozadí.
  • Zpomaluje počítač (významné u starších počítačů)
  • Kdykoli otevíráme soubor, je obsah souboru nejprve zkontrolován na přítomnost viru.
• Ruční spuštění testu

Svobodné antiviry (zdarma pro libovolné použití + dostupný zdrojový kód)

• ClamAV/Immunet
  • Licence GPL.
  • Verze pro Linux i Windows (Immunet).

Antiviry zdarma

• Comodo
  • Internet Security = Antivirus + Firewall
  • placené verze i verze zdarma (není uživatelská podpora)
  • přesměrovává DNS server (obrana proti pharmingu)
• Avira
  • Platformy Windows, Mac, Android a iOS
  • Existuje placená verze

Antiviry zdarma pouze pro nekomerční použití

• AVG
  • Existuje placená i „free“ verze v angličtině (česká ne).
  • AVG nabízí i anti-spyware, tam česká „free“ verze, ale nemá rezidentní štít.
• Avast
  • zdarma pro nekomerční použití, ale je třeba jednou za rok registrovat.

Placené antiviry

• Cena obvykle cca 1000–1500 Kč/rok
• Obvykle výborně hodnocené (spolehlivost detekce, spektrum služeb (i firewall atd.), rychlost testování,...)
• Uživatelská podpora.
• Často další služby: zálohování dat on-line atd.
• NOD32
• Produkty řady Norton (Symantec).

Porovnání antivirů

• av-comparatives.org

Antispyware

• Programy svým principem a funkcí velmi podobné antivirovým programům, ale specializující se na spyware.

Příklady

• SpyBot
• AdAware

Firewall

Kontroluje tok dat mezi počítačem/počítačovou sítí a okolním světem (okolními sítěmi).

Rozdělení podle toho, kde běží

• Osobní firewall — běží v počítači, který chrání.
• Síťový firewall
  • Chrání přístup do celé sítě, veškerý provoz do sítě musí jít přes něj.
  • Běží na routeru.

Rozdělení podle síťové vrstvy, na které pracují

Na nižších vrstvách architektury ISO/OSI rychlejší, ale neumí tak dobře rozlišit datové toky. Paketový filtr (síťová vrstva)

• běží na router-u
• komunikace probíhá přímo mezi chráněnou stanicí a vnějším partnerem,
• může být vybráno několik stanic bastion hosts, které mohou komunikovat (nebo dále zprostředkovat komunikaci) přímo. (DMZ — demilitarized zone — mezi firewallem a těmito stanicemi.)
• povolení nebo zákaz podle kombinace IP adresy a portu.

Aplikační brána (aplikační vrstva)

• někdy také nazýváno „proxy“
• komunikace probíhá mezi vnějším partnerem a firewallem, ten případně komunikuje s chráněnými stroji,
• chráněné stanice jsou z vnější sítě nedostupné (např. mají privátní IP adresy),
• aplikační brána musí rozumět danému síťovému protokolu.

Stavový paketový filtr

Vstupní × výstupní provoz (in- nebo out-)

• Zabezpečení sítě proti útoku napadení z okolí
  • Snažší k zajištění.
  • Útočník vždy musí projít přes firewall, chce-li síť napadnout.

• Zabezpečení proti úniku dat
  • Například v důsledku napadení malwarem, který odesílá citlivá data.
  • Je složitější rozlišit korektní provoz od škodlivého (používají stejné programy).
  • Nebezpečí zneužití klientů protokolů HTTP, POP3, IRC, které standardně podporujeme.

• Vždy existuje riziko úniku dat jinými cestami:
  • paměťová média odnesená zaměstnanci,
  • modemové spojení,
  • telefonní hovory: social engineering.

Strategie zabezepečení

• „Prevence“

Zakážeme vše a povolíme jen ten provoz a ty programy, které jsou určitě v pořádku.

• • Jednodušší, častější.
  • Vyjmenujeme programy či služby, které povolíme, zbytek zůstane zakázán.
  • Může dojít k blokování toků, které jsou v pořádku, ale nebyly uvedeny mezi povolenými

• „Presumpce neviny“
  • Povolíme vše a zakážeme provoz, který je určitě špatně.
  • Problém s novými programy, se kterými se nepočítalo.

Zdroje

• interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/>

Příklady

• Vestavěný firewall operačního systému
• Comodo Firewall — zdarma
  • povolování komunikace pro jednotlivé aplikace
• Firewally zdarma ke stažení: TheFreeCountry.com > Security > Firewalls

Proti spamu

• nepublikovat svoji adresu
• nerozesílat řetězové maily
• neregistrovat svůj mail na všelikých stránkách
• Zákaz automatických náhledů mailu
  • Lze v klientech elektronické pošty
  • Čteme jen hlavičky zpráv (subject/předmět), otevíráme jen to, co je vpořádku.
• Zákaz zobrazování obrázků v poštovních zprávách
  • v nevyžádaném mailu může být vložen miniaturní neviditelný obrázek
  • prohlížeč při zobrazení mailu stáhne obrázek ze serveru útočníka,
  • útočník tak ví, že spam došel příjemci a e-mailová adresa je funkční (vlastně slouží jako potvrzení o přečtení nevyžádané zprávy), navíc ví i IP a rychlost přečtení mailu.
  • Zákaz zobrazování obrázků se projeví chybějícími obrázky v mailu, jednotlivě lze zobrazování ručně povolit.

Ochrana proti falešným DNS záznamům (pharming)

• Doplňky do prohlížečů, které kontrolují IP adresy
• Například: toolbar.netcraft.com (neověřeno!)