Zabezpečení počítače 2.díl

Napsal O webu (») 2. 8. 2004 v kategorii Bezpečnost, přečteno: 2065×

Dnes se na otázku zabezpečení podíváme trochu blíže a předvedeme si i nějaké praktické postupy.

V minulém díle jsme se seznámili s těmi největšími riziky při brouzdání internetem a dnes je na čase ukázat si nějaké praktičtější postupy. To že otázku zabezpečení není radno podceňovat je dnes každému jasné ale málo kdo se dokáže skutečně účinným způsobem bránit.

Stejně jako minule se zpočátku seznámíme s několika novými pojmy:

Paket: V sítích IP značí základní jednotku dat. Paket se zkládá z hlavičky obsahující informace jako zdrojový nebo cílový port a vlastní tělo zprávy obsahující informaci k doručení.

Port: Jedná se o jedinečné označení komunikující aplikace na počítači. Každému programu operační systém na požádání přidělí jeden nebo více portů kterými bude moci komunikovat. Vzdálená aplikace potom volá IP adresu počítače a v hlavičce paketu uvádí port cílové aplikace. Operační systém Windows má rozsah portů 1-65535 přičemž prvních 1023 je rezervováno pro tradiční aplikace jako internetový prohlížeč či poštovní klient a systémové služby.

Příchozí komunikace(Incomming): Je veškerá komunikace která do vašeho počítače přichází zvenčí.

Odchozí komunikace(Outgoing): Naopak komunikace vysílající data ven.

Začneme pěkně od základu podle bodů v minulém díle.

Nainstalujeme Windows XP nebo Windows 2000. Počítače s Win95/98/ME nemají s bezpečným systémem nic společného proto se jim velkým obloukem vyhneme. Odložíme aktivaci Windows a provedeme některá bezpečnostní opatření. Především zakážeme nepotřebné služby operačního systému. Zde uvádím nejčastěji nepoužívané služby které lze vypnout:

1. Automatická konfigurace bezdrátových zařízení - Jestli nepoužíváte Wi-Fi síť zakažte tuto službu.
2. Indexing Service - používáte pokročilé vyhledávání na disku pomocí dotazovacího jazyka? Pokud ne, zakažte.
3. NetMeeting - Vzdálené sdílení plochy - NetMeeting a sdílená plocha je jedna velká díra do systému. Nepoužívat, zakázat!
4. Podpora rozhraní NetBIOS nad protokolem TCP/IP - Velice nebezpečná služba! Nepotřebujete-li nutně NetBios zakázat!
5. Telnet - Pokud nepoužíváte telnet zakažte tuto službu.
6. Terminálová služba - Další nebezpečná služba zajišťující funkce jako vzdálená plocha či rychlé přepínání uživatelů. Jsou-li pro vás tyto služby zbytečné, zakázat!
7. Vzdálený registr - Bez diskuze ZAKÁZAT!

Dále provedeme zesílení šifrování systémové databáze hesel. Otevřete příkazovou řádku (CMD.EXE) a napište příkaz "syskey".
Další postup má svá vážná pro i proti a rozhodnutí je pouze na vás. Je vhodné nastavit soubor virtuální paměti windows jako dočasný tak že počáteční velikost zvolíme jako 0(Soubor se při každém restartu vymaže). Do souboru virtuální paměti se ukládá vše od kódu programů, rozpracovaných dokumentů,datových souborů ale i informace zadávané do formulářů, hesla atd.. Tento soubor není nijak chráněn a přečíst ho může každá aplikace či hacker a získání potřebných údajů je jen otázka času. Nevýhodou dočasného souboru je citelné prodloužení ukončovcího procesu Windows.

Nyní je ten pravý čas pro instalaci Firewallu. Jaký to nechám na vás, já budu dále pokračovat v popisu Kerio Personal Firewall 4 který je v češtině, má jednoduché ovládání i pro začátčníka a hlavně obsahuje vestavěný aplikační filtr.

Předvedeme si klasickou situaci: Spusťte browser a připojte se na internet. První co vás čeká je nastavení důvěryhodnosti. Připojení do sítě internet nastavte vždy jako nedůvěryhodné! Pokračuje dialogové okno: Aplikace XXX.EXE se pokouší o odchozí komunikaci na IP a port. Zde máte několik možností jak reagovat. Můžete komunikaci povolit zakázat nebo vytvořit trvalé pravidlo pro danou aplikaci. Pro váš browser tedy vytvořte pravidlo a povolte mu odchozí spojení na portu 80. Dalším nejčastěji používaným programem bude jistě e-mailový klient. Spsťte jej a opět vytvořte pravidlo pro odchozí komunikaci. Tentokrát je nutno nastavit zvláště pro porty 25(SMTP), 110(POP3), 143(IMAP). Často se stává že neznámý počítač žádá o připojení na lokální port XXX. Zde doporučuji jednoduše vytvořit pravidlo pro zákaz a navždy se tak zbavit navyžádané komunikace. Pokud si nejste jisti jestli u některého programu komunikaci povolit nebo zakázat raději zakažte.

Následující programy by měly mít povolen přístup:

Aktualizace systému Windows: odchozí ANO, příchozí NE
Aktivační program systému Windows: odchozí ANO, příchozí NE (POUZE DOČASNĚ)
Internetový browser: odchozí ANO, příchozí NE
E-mailový klient: odchozí ANO, příchozí NE
FTP klient: Odchozí ANO, příchozí NE
Antivirový software: odchozí ANO, příchozí NE
Program SVCHOST.EXE: odchozí ANO, příchozí NE
Program ALG.EXE: odchozí ANO, příchozí NE

Ostatní programy nejprve prověřte nasledujícím způsobem: Vím co to je za program? Požadoval jsem po programu nějaké informace ze sítě? Důvěřuji tomu programu (respektive jeho výrobci)? Jesliže nějaká odpověď zní NE, komunikaci raději zakažte. V tuto chvíli víte jak takový firewall(paketový filtr) pracuje a jak se ovládá. Mimochodem Kerio PF má mnoho dalších funkcí jako filtrování obsahu WWW nebo minule zmíněný Sandbox(aplikační filtr).

Na závěr připomenu důležitou věc: Aktualizovat,aktualizovat a znovu aktualizovat. Nejen antivirový program ale také firewall,browser,e-mail klient a další software. O produktech společnosti Microsoft to platí dvojnásob.

V příštím díle si povíme něco o šifrování, bezpečném přenosu dat a podrobněji rozebereme problematiku ochrany soukromí na internetu.


Autor: Archon
Facebook Twitter Topčlánky.cz Linkuj.cz

Komentáře

Zobrazit: standardní | od aktivních | poslední příspěvky | všechno
Článek ještě nebyl okomentován.


Nový komentář

Téma:
Jméno:
Notif. e-mail *:
Komentář:
  [b] [obr]
Odpovězte prosím číslicemi: Součet čísel jedenáct a dvanáct