BIS-24-komenty PDF - Outline of Cybersecurity

OUTLINE OTÁZKY 1. Bezpečnost informací................................................................................................................. 2 2. Zákon o kybernetické bezpečnosti............................................................................................. 3 3. Kryptologie................................................................................................................................. 4 4. Kryptografická primitiva............................................................................................................. 5 5. Šifrování se sdíleným klíčem...................................................................................................... 6 6. Kryptografické hašovací funkce.................................................................................................. 7 7. Asymetrická kryptografie........................................................................................................... 9 8. Domlouvání klíčů...................................................................................................................... 10 9. Infrastruktura veřejných klíčů (PKI) a certifikáty...................................................................... 11 10. Nařízení EU eIDAS.................................................................................................................... 13 11. Identita a identifikace.............................................................................................................. 14 12. Přihlašování heslem................................................................................................................. 16 13. Vícefaktorová autentizace (MFA)............................................................................................. 18 14. Cíle Logování............................................................................................................................ 20 15. Cíle a Základní Principy Zálohování.......................................................................................... 22 16. Autorizace................................................................................................................................ 24 17. LDAP......................................................................................................................................... 26 18. Single Sign-On.......................................................................................................................... 28 19. Proxy servery............................................................................................................................ 29 20. Firewally................................................................................................................................... 31 21. TLS............................................................................................................................................ 33 22. Virtuální privátní sítě................................................................................................................ 34 23. SSH........................................................................................................................................... 35 24. HTTPS....................................................................................................................................... 37 BONUS Z PREZENTACÍ........................................................................................................................... 39 Bezpečnost informací, analýza rizik Bezpečnost informací: důvěrnost, integrita a dostupnost. Hrozby, zranitelnosti, dopady, opatření, chráněná aktiva. Analýza bezpečnostních rizik. Bezpečnost informací je klíčovým prvkem moderního IT prostředí. V této oblasti se zaměřujeme především na tři základní pilíře: důvěrnost, integritu a dostupnost. Tyto aspekty tvoří základní rámec pro ochranu dat a informačních systémů před různými hrozbami a zranitelnostmi. 1. Důvěrnost: Důvěrnost se týká ochrany informací před neautorizovaným přístupem a zveřejněním. Klíčovým cílem je zajistit, aby se informace dostaly pouze do rukou těch, kteří mají k nim oprávněný přístup. Toho lze dosáhnout prostřednictvím různých metod, jako je šifrování dat, použití silných autentizačních mechanizmů a přístupových kontrol. 2. Integrita: Integrita zajišťuje, že informace nejsou během zpracování nebo přenosu neoprávněně změněny. To je nezbytné pro udržení správnosti a spolehlivosti dat. Ochrana integrity může zahrnovat kontrolní součty, digitální podpisy a další mechanismy, které zabraňují neautorizovaným změnám dat. 3. Dostupnost: Dostupnost se zaměřuje na to, aby byly informace a systémy dostupné pro oprávněné uživatele, kdykoli jsou potřeba. To zahrnuje ochranu proti různým typům útoků, jako jsou DDoS útoky, a zajištění redundance a spolehlivosti systémů. Hrozby a zranitelnosti: Hrozby pro bezpečnost informací mohou mít různé podoby, od vnějších útoků, jako jsou hackeři a malware, po interní hrozby, jako je neopatrné nebo záměrné porušování bezpečnostních politik zaměstnanci. Zranitelnosti mohou vzniknout kvůli technickým nedostatkům, jako jsou chyby v softwaru, nebo kvůli špatné konfiguraci systémů. Dopady: Dopady porušení bezpečnosti informací mohou být značné, včetně finančních ztrát, poškození pověsti, právních komplikací a v nejhorším případě ohrožení lidských životů (v případě kritické infrastruktury). Opatření: Proti těmto hrozbám a zranitelnostem se dají uplatnit různá opatření. Ty zahrnují technická řešení, jako jsou firewally, antivirové programy a systémy pro detekci a prevenci průniku, stejně jako organizační opatření, jako jsou bezpečnostní politiky, školení zaměstnanců a pravidelné bezpečnostní audity. Chráněná aktiva: Chráněná aktiva mohou zahrnovat fyzické zařízení, softwarová řešení, informace a data, stejně jako lidské zdroje a procesy. Analýza bezpečnostních rizik: Analýza rizik je proces, při kterém se identifikují potenciální hrozby a zranitelnosti a hodnotí se dopady, které by mohly mít na organizaci. To zahrnuje posouzení pravděpodobnosti výskytu rizika a jeho potenciálního dopadu. Na základě této analýzy lze pak formulovat strategie pro řízení rizik, které mohou zahrnovat akceptování, přenesení, snížení nebo eliminaci rizik. V kontextu IT bezpečnosti je důležité si uvědomit, že neexistuje absolutní bezpečnost. Cílem je dosáhnout optimální úrovně bezpečnosti vzhledem k daným rizikům a dostupným zdrojům. Je také klíčové průběžně aktualizovat a přizpůsobovat bezpečnostní opatření v reakci na měnící se hrozby a technologický vývoj. Zákon o kybernetické bezpečnosti Zákon o kybernetické bezpečnosti a související vyhlášky. Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident. Zákon o kybernetické bezpečnosti v České republice definuje pravidla a povinnosti pro subjekty, které spravují významné informační systémy a infrastruktury. Mezi tyto systémy patří například informační systémy pro dopravu, zdravotnictví, a další kritické služby. Zákon klade důraz na ochranu těchto systémů před kybernetickými útoky a zajištění kontinuity jejich fungování. K tomu, aby bylo dosaženo souladu se zákonem, musí subjekty implementovat bezpečnostní opatření, provádět pravidelnou analýzu zranitelností a řídit rizika spojená s kybernetickou bezpečností. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Národní bezpečnostní úřad (NBÚ) hrají klíčovou roli v rámci tohoto zákona. NBÚ působí jako hlavní státní správní orgán v oblasti kybernetické bezpečnosti, zatímco NÚKIB zajišťuje koordinaci na národní úrovni a spolupracuje s ostatními orgány a sektory v oblasti kybernetické bezpečnosti. Zákon rovněž definuje typy a rozsahy dopadů kybernetických bezpečnostních incidentů, od nízkého po kritický dopad, a určuje příslušnou reakci a povinnosti subjektů v závislosti na těchto úrovních. Důraz je kladen na prevenci, detekci a reakci na incidenty, což zahrnuje povinnost hlášení bezpečnostních incidentů příslušným orgánům. Tento zákon se vztahuje na: 1. Poskytovatele služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací. 2. Orgány nebo osoby zajišťující významné sítě. 3. Subjekty zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo připojení k kritické informační infrastruktuře. 4. Správce informačních systémů kritické informační infrastruktury. 5. Správce komunikačních systémů kritické informační infrastruktury. 6. Správce informačních systémů veřejné správy. Související Vyhlášky a Prováděcí Předpisy: K zákonu existují další vyhlášky a prováděcí předpisy, které upřesňují technické a organizační požadavky, postupy pro hlášení incidentů, kritéria pro identifikaci základních služeb a důležitých informačních systémů a další detaily. Kybernetická Bezpečnostní Událost vs. Kybernetický Bezpečnostní Incident: Kybernetická Bezpečnostní Událost: Tento termín se obvykle vztahuje na jakoukoli událost v kyberprostoru, která může mít vliv na bezpečnost informačních systémů. Ne všechny kybernetické události jsou nezbytně škodlivé nebo nežádoucí. Kybernetický Bezpečnostní Incident: Jedná se o konkrétní typ kybernetické události, která negativně ovlivňuje důvěrnost, integritu nebo dostupnost informací a informačních systémů. Incidenty mohou zahrnovat útoky jako jsou malware, ransomware, neoprávněný přístup, data breach, a další. Důležitost Zákona a Souvisejících Předpisů: Zákon o kybernetické bezpečnosti a jeho prováděcí předpisy jsou zásadní pro zajištění vyšší úrovně ochrany proti kybernetickým hrozbám, zvláště v době rostoucí digitalizace a zvyšujícího se počtu sofistikovaných kybernetických útoků. Zajišťují, že organizace přijímají adekvátní opatření pro ochranu svých systémů a informací a že jsou připraveny efektivně reagovat v případě bezpečnostních incidentů. Cíle kryptografie, steganografie Kryptologie jako věda, její součásti. Jaké jsou základní způsoby dosažení cílů kryptografie: důvěrnosti, autentizace, integrity dat a neodmítnutelnosti? Kerkhoffsovy principy. Steganografie, problém vězňů. Kryptologie je věda, která se zabývá studiem a praktickým použitím technik pro zabezpečení komunikace a informací. Hlavními oblastmi kryptologie jsou kryptografie a kryptoanalýza. Kryptografie se zaměřuje na vytváření metod pro šifrování a zabezpečení dat, zatímco kryptoanalýza se zabývá metodami pro prolomení těchto šifrovacích systémů. Cíle Kryptografie: 1. Důvěrnost (Confidentiality): Zajišťuje, že informace jsou přístupné pouze oprávněným osobám. To je obvykle dosaženo šifrováním, což je proces transformace čitelných dat do formátu, který není čitelný bez odpovídajícího klíče. 2. Autentizace (Authentication): Ověřuje identitu osoby nebo zařízení, které se snaží získat přístup k datům nebo systému. Autentizace může být založena na něčem, co uživatel ví (heslo), má (token, mobilní telefon) nebo je (biometrické charakteristiky). 3. Integrita Dat (Data Integrity): Zajišťuje, že data nebyla během přenosu nebo uložení neoprávněně změněna. Toho lze dosáhnout pomocí kontrolních součtů, hašovacích funkcí a digitálních podpisů. 4. Neodmítnutelnost (Non-repudiation): Zajišťuje, že odesílatel nemůže popřít odeslání zprávy a příjemce nemůže popřít její přijetí. To je často dosahováno pomocí digitálních podpisů a časových razítek. Jaké je jméno na směnce? -Identifikace Měla právo směnku podepsat? -Autorizace Patří Alice (osoba) k tomu jménu? - Není směnka zfalšovaná? - Integrita Autentizace Je směnka k dispozici? - dostupnost Kerkhoffsovy Principy: Tyto principy, formulované Augustem Kerckhoffsem v 19. století, stále tvoří základ moderní kryptografie. Hlavní myšlenkou je, že bezpečnost šifrovacího systému by měla spočívat v tajnosti klíče, nikoli v tajnosti samotného algoritmu. Kerkhoffsovy principy zahrnují následující aspekty: Systém by měl být bezpečný, i když je veřejně znám. Bezpečnost systému by neměla záviset na tajnosti jeho fungování, ale na tajnosti klíče. Steganografie: Steganografie je technika skrývání zpráv nebo informací uvnitř jiných, nevinně vypadajících médií, aby se předešlo odhalení skryté zprávy. Narozdíl od kryptografie, kde je zřejmé, že existuje šifrovaná zpráva, steganografie se snaží skrýt samotnou existenci zprávy. Například, skrytá zpráva může být vložena do digitálního obrázku, audio souboru nebo jiného média. Problém Vězňů: Problém vězňů je známá ilustrace steganografie. Představte si dva vězně, Alice a Boba, kteří chtějí komunikovat tajně, aby naplánovali útěk, ale jsou monitorováni strážným, který kontroloval všechny jejich zprávy. Alice a Bob musí najít způsob, jak skrýt svou komunikaci tak, aby strážný neměl podezření na existenci tajné zprávy. Steganografie jim umožňuje skrýt svou komunikaci v nevinně vypadajících zprávách. V oblasti kybernetické bezpečnosti jsou kryptografie a steganografie zásadní pro ochranu dat a soukromí. Zatímco kryptografie chrání obsah zprávy, steganografie může chránit existenci samotné zprávy. Kryptografická primitiva, náhodná čísla, historie šifrování Kryptografická primitiva, kryptografické protokoly. Generátory náhodných čísel – typy generátorů, využití v kryptografii. Historie šifrování – substituční šifry, transpoziční šifry, kódové knihy. Kryptografická primitiva a protokoly, generátory náhodných čísel a historie šifrování jsou základními stavebními kameny kryptografie. Každý z těchto aspektů hraje klíčovou roli ve vývoji a implementaci bezpečných kryptografických systémů. Kryptografická Primitiva: Kryptografická primitiva jsou základní algoritmické operace nebo funkce používané v kryptografii. Patří sem například: 1. Hašovací funkce: Převádějí data na jedinečný, fixní velikostní haš. Používají se pro zajištění integrity dat a v digitálních podpisech. 2. Symetrické šifrování: Používá stejný klíč pro šifrování a dešifrování. Příklady zahrnují AES a DES. 3. Asymetrické šifrování: Používá veřejný a soukromý klíč. Příklady zahrnují RSA a ECC. 4. Digitální podpisy: Umožňují ověření autenticity a integrity zprávy. Kryptografické Protokoly: Kryptografické protokoly jsou postupy, které definují, jak jsou kryptografická primitiva používána pro dosažení bezpečnostních cílů, jako je autentizace, šifrování, integrity a další. Příklady zahrnují TLS/SSL pro zabezpečené internetové komunikace, SSH pro zabezpečený vzdálený přístup a PGP pro šifrovanou e-mailovou komunikaci. Generátory Náhodných Čísel: Generátory náhodných čísel jsou zásadní pro bezpečnost kryptografických systémů, neboť poskytují náhodné klíče a hodnoty potřebné pro různé kryptografické operace. Existují dva hlavní typy: 1. True Random Number Generators (TRNG): Tyto generátory produkují náhodná čísla z fyzikálních procesů, jako je elektronický šum. 2. Pseudorandom Number Generators (PRNG): Tyto generátory vytvářejí sekvenci čísel, která se zdá být náhodná, ale je generována algoritmicky z počátečního semínka. Historie Šifrování: 1. Substituční Šifry: Tyto šifry fungují na principu nahrazení jednotlivých znaků nebo skupin znaků jinými. Příkladem je Caesarova šifra, kde je každé písmeno v abecedě posunuto o určitý počet míst. 2. Transpoziční Šifry: Zde se zachovávají původní znaky, ale mění se jejich pořadí. Například, ve šifře Rail Fence jsou znaky psány po diagonále a pak čteny řádkově. 3. Kódové Knihy: Historicky byly používány kódové knihy, které obsahovaly seznam kódovaných zpráv, kde každá zpráva nebo slovo mělo svůj specifický kód. Rozvoj moderní kryptografie, zejména od druhé světové války, vedl k nahrazení těchto historických metod sofistikovanějšími šifrovacími technikami, založenými na složitých matematických algoritmech, které jsou odolné proti moderním kryptoanalýzám. Šifrování se sdíleným klíčem Proudové šifry, operace XOR, Vernamova šifra. Symetrické šifry blokové, substituce a permutace (transpozice). Módy blokových šifer, inicializační vektor. Šifrování se sdíleným klíčem, známé také jako symetrické šifrování, je metoda, při které obě strany komunikace používají stejný klíč pro šifrování a dešifrování zpráv. Existují dva hlavní typy symetrických šifer: proudové a blokové. Proudové Šifry: Proudové šifry šifrují digitální data (obvykle binární) po bitech (nebo malých skupinách bitů) a jsou známé pro svou rychlost a efektivitu v hardwaru. Klíčovým aspektem proudových šifer je, že generují náhodný šifrovací klíč, který je stejně dlouhý jako zpráva, a používají ho k provádění operací XOR (exkluzivní OR) s plaintextem. Operace XOR: XOR je binární operace, která porovnává dva bity; vrací 1, pokud jsou bity rozdílné, a 0, pokud jsou stejné. V kontextu šifrování, operace XOR se používá k kombinování šifrovacího klíče s plaintextem. Vernamova Šifra (One-Time Pad): Toto je teoreticky nezlomitelná šifra, pokud je použitý klíč skutečně náhodný, stejně dlouhý jako šifrovaná zpráva, a použije se pouze jednou. Klíč je kombinován s plaintextem pomocí operace XOR. VIDEO Blokové Šifry: Blokové šifry šifrují data v pevně stanovených velikostech bloků (například 64- bitové nebo 128-bitové bloky). Pokud velikost dat nepřesahuje velikost bloku, data se doplní (padding). Blokové šifry jsou komplexnější než proudové šifry a obvykle používají kombinaci substituce (nahrazení jednoho bloku jiným) a permutace (změna pořadí bloků). Substituce a Permutace: Tyto operace zvyšují složitost šifrování tím, že nahrazují a přeskupují prvky dat. AES (Advanced Encryption Standard), jedna z nejpoužívanějších blokových šifer, používá tuto metodu ve více kolech šifrování pro zvýšení bezpečnosti. Módy Blokových Šifer: Aby blokové šifry mohly efektivně šifrovat větší množství dat než je velikost bloku, používají různé módy operací, jako je ECB (Electronic Codebook), CBC (Cipher Block Chaining), CTR (Counter Mode) a GCM (Galois/Counter Mode). computerphile video Inicializační Vektor (IV): Pro některé módy, jako je CBC, je potřebný inicializační vektor pro první blok dat. IV je obvykle náhodná nebo pseudonáhodná číselná hodnota, která zajišťuje, že stejný plaintext bude při každém šifrování vypadat jinak, což zvyšuje bezpečnost šifrování. Oba typy symetrického šifrování - proudové i blokové - mají své výhody a nevýhody, a výběr mezi nimi závisí na specifických potřebách a kontextu použití. Hašovací funkce, ověřování integrity zpráv Kryptografické hašovací funkce – vlastnosti, používané protokoly. Integrita přenášených zpráv. Kód ověření zprávy (Message Authentication Code). Integrita zašifrovaných zpráv. AEAD (Authenticated encryption with associated data). Kryptografické hašovací funkce a ověřování integrity zpráv jsou základními komponenty zajištění bezpečnosti dat a komunikace v digitálním prostředí. Pojďme se podrobněji podívat na jejich role, vlastnosti a použití. Kryptografické Hašovací Funkce: Hašovací funkce v kryptografii převádějí data libovolné délky na pevnou délku hašové hodnoty. Tato hašová hodnota slouží jako unikátní digitální otisk dat. Klíčové vlastnosti kryptografických hašovacích funkcí zahrnují: 1. Determinismus: Pro stejná vstupní data vždy generují stejnou hašovou hodnotu. 2. Rychlost Výpočtu: Vytvářejí hašovou hodnotu rychle pro libovolný soubor dat. 3. Nemožnost Zpětného Výpočtu: Není prakticky možné získat původní data z hašové hodnoty. 4. Odpovídající Úprava Hašové Hodnoty: Jakákoliv malá změna v datech vede k výrazné změně hašové hodnoty. 5. Kolizní Odolnost: Je extrémně nepravděpodobné, že dvě různá data vygenerují stejnou hašovou hodnotu. Používané Protokoly: Hašovací funkce jsou používány v mnoha protokolech a aplikacích, včetně digitálních podpisů, ověřování integrity souborů, a v kryptoměnách (jako je Bitcoin, kde se používá SHA-256). Integrita Přenášených Zpráv: Integrita dat zajišťuje, že data nebyla během přenosu pozměněna. Pro ověření integrity zpráv mohou být použity hašovací funkce. Například, odesílatel může vytvořit haš vstupní zprávy a poslat ji spolu se zprávou. Příjemce pak může haš zprávy znovu vypočítat a porovnat s přijatým hašem. Kód Ověření Zprávy (MAC - Message Authentication Code): řetězec dat sloužící k ověření integrity a autenticity zprávy. MAC je generován na základě obsahu zprávy a tajného klíče, který je známý pouze odesílateli a příjemci. Když příjemce obdrží zprávu spolu s MAC, může použít stejný klíč k vygenerování nového MAC z obdržené zprávy a porovnat ho s MAC přijatým od odesílatele. Pokud se oba MAC shodují, příjemce může být jistý, že zpráva nebyla pozměněna a je autentická Hašovací funkce, ověřování integrity zpráv Kryptografické hašovací funkce – vlastnosti, používané protokoly. Integrita přenášených zpráv. Kód ověření zprávy (Message Authentication Code). Integrita zašifrovaných zpráv. AEAD (Authenticated encryption with associated data). HMAC (Hash-based Message Authentication Code): využívá kryptografickou hašovací funkci spolu s tajným klíčem k vytvoření hodnoty, která je pevně svázána s obsahem zprávy Integrita Zašifrovaných Zpráv: V kontextu zašifrovaných zpráv je důležité nejen zajistit důvěrnost dat, ale i jejich integritu. Například v módu operace blokových šifer, jako je GCM (Galois/Counter Mode), se zajišťuje jak šifrování, tak integrita dat. AEAD (Authenticated Encryption with Associated Data): AEAD kombinuje šifrování a ověření integrity v jednom kroku. Tím poskytuje jak důvěrnost, tak integritu dat, a dokonce umožňuje ověření dat, která nejsou šifrovaná (tzv. associated data). AEAD šifrovací schémata, jako je AES-GCM a ChaCha20-Poly1305, jsou široce používána v moderních bezpečnostních protokolech, jako je TLS 1.3. Kryptografické hašovací funkce a mechanismy ověřování integrity hrají klíčovou roli v ochraně dat před neoprávněnými úpravami a zajišťují, že přijatá data jsou autentická a nedotčená. Asymetrická kryptografie Matematické problémy: faktorizace velkých čísel, diskrétní logaritmus, diskrétní logaritmus nad eliptickými křivkami. Základní užití asymetrické kryptografie: šifrování, digitální podpisy (včetně autentizace). Používané algoritmy a délky klíčů v asymetrické kryptografii. Síla zabezpečení (security strength). Asymetrická kryptografie, známá také jako veřejný klíčový šifrovací systém, je základním prvkem moderního zabezpečení dat a komunikace. Její základ spočívá ve využití matematických problémů, které jsou snadno řešitelné jedním směrem, ale extrémně obtížné (neprakticky náročné na výpočetní výkon) řešit opačným směrem bez znalosti tajného klíče. Matematické Problémy v Asymetrické Kryptografii: 1. Faktorizace Velkých Čísel: Tento problém spočívá v rozložení velkého čísla na jeho prvočíselné faktory. Je základem RSA algoritmu. Řešení tohoto problému je snadné, pokud známe faktory, ale extrémně obtížné, pokud ne. 2. Diskrétní Logaritmus: Tento problém se týká nalezení logaritmu v diskrétní grupě, což je základ pro algoritmy jako Diffie-Hellman a DSA (Digital Signature Algorithm). 3. Diskrétní Logaritmus nad Eliptickými Křivkami (ECDLP): ECDLP je podobný diskrétnímu logaritmu, ale pracuje v kontextu eliptických křivek. Je základem pro algoritmy jako ECC (Elliptic Curve Cryptography). Základní Užití Asymetrické Kryptografie: 1. Šifrování: Umožňuje, aby uživatel šifroval zprávy veřejným klíčem příjemce, které může dešifrovat pouze příjemce s jeho soukromým klíčem. 2. Digitální Podpisy: Poskytují mechanismus pro ověření původu a integrity zprávy. Odesílatel podepíše zprávu svým soukromým klíčem, který lze ověřit pomocí jeho veřejného klíče. 3. Autentizace: Asymetrická kryptografie může být také použita pro ověření identity uživatele nebo zařízení. Používané Algoritmy a Délky Klíčů: RSA: Jeden z nejčastěji používaných algoritmů. Typické délky klíčů jsou 2048 nebo 3072 bitů. ECC (Elliptic Curve Cryptography): Poskytuje stejnou úroveň bezpečnosti jako RSA, ale s menšími klíči, obvykle v rozmezí 256 až 512 bitů. Diffie-Hellman: Používá se pro bezpečnou výměnu klíčů, obvykle s délkami klíčů srovnatelnými s RSA. Síla Zabezpečení (Security Strength): Síla zabezpečení asymetrické kryptografie je určena složitostí matematických problémů, na kterých je založena, a délkou klíčů. Větší klíče obvykle poskytují vyšší úroveň bezpečnosti, ale také vyžadují více výpočetního výkonu pro šifrování a dešifrování. Současný vývoj v kvantových počítačích představuje potenciální hrozbu pro některé formy asymetrické kryptografie, zejména ty založené na problémech faktorizace a diskrétního logaritmu. Asymetrická kryptografie – domlouvání klíčů, útoky Výměna klíčů (domlouvání klíčů). Distribuce klíče pro symetrickou kryptografii, dopředná bezpečnost (forward secrecy). Útoky na šifrování pomocí veřejného klíče. Problém distribuce veřejných klíčů. Domlouvání klíčů je bezpečně umožněno díky asymetrické kryptografii, což jsou klíčové aspekty zabezpečení v digitálních komunikačních systémech. Přestože asymetrické šifrování poskytuje silnou ochranu proti řadě útoků, existují určité specifické výzvy a potenciální slabiny, na které je třeba dávat pozor. Výměna Klíčů (Domlouvání Klíčů): Domlouvání klíčů v asymetrické kryptografii umožňuje dvěma stranám vytvořit sdílený tajný klíč, aniž by tento klíč musely přenášet přes nezabezpečený kanál. Diffie-Hellmanova Výměna Klíčů: Nejznámější metoda pro domlouvání klíčů. Umožňuje dvěma stranám vytvořit sdílený tajný klíč pomocí veřejně sdílených hodnot, aniž by bylo možné odvodit klíč z těchto veřejných dat. Distribuce Klíče pro Symetrickou Kryptografii: Asymetrická kryptografie se často používá pro bezpečnou distribuci klíčů používaných v symetrickém šifrování. To umožňuje využít rychlost symetrického šifrování a zároveň zabezpečit klíče pomocí robustního asymetrického šifrování. Dopředná Bezpečnost (Forward Secrecy): Tento princip zajišťuje, že kompromitace dlouhodobých klíčů neohrozí dříve přenesená data. V praxi to znamená, že každá komunikace používá jedinečné klíče, které jsou zničeny po ukončení session. Protokoly jako TLS často používají metody jako Diffie-Hellman pro zajištění dopředné bezpečnosti. Útoky na Šifrování Pomocí Veřejného Klíče: Man-in-the-Middle (MitM) Útoky: Útočník může zachytit a manipulovat s veřejnými klíči během výměny, umožňující dešifrovat nebo padělat zprávy. Útoky na Implementaci: Nedostatky v implementaci kryptografických algoritmů mohou vést k zranitelnostem. Kvantové Výpočty: Pokrok v kvantových počítačích může v budoucnosti ohrozit některé současné metody asymetrické kryptografie, zejména založené na problémech faktorizace a diskrétního logaritmu. Problém Distribuce Veřejných Klíčů: Důvěryhodnost: Jak můžeme být jisti, že veřejný klíč patří osobě, která tvrdí, že mu patří? To se obvykle řeší pomocí infrastruktury veřejných klíčů (PKI) a certifikačních autorit (CA), které poskytují certifikáty pro ověření identit a klíčů. Škálovatelnost a Správa: Správa a distribuce veřejných klíčů v rozsáhlých systémech může být komplexní a náročná na údržbu. Certifikáty, infrastruktura veřejných klíčů (PKI) Distribuce veřejných klíčů v asymetrické kryptografii, modely důvěry. Struktura certifikátu. Vydávání certifikátu, revokování certifikátu. Používání certifikátů, důvěryhodné certifikační autority. Infrastruktura veřejných klíčů (PKI) a certifikáty jsou základními prvky v systémech založených na asymetrické kryptografii, umožňující bezpečnou distribuci a ověření veřejných klíčů. PKI je soubor rolí, politik, hardwarových, softwarových a procedur, které jsou potřebné pro vytváření, správu, distribuci, užívání a odvolání digitálních certifikátů. Distribuce Veřejných Klíčů a Modely Důvěry: V PKI jsou veřejné klíče distribuovány prostřednictvím digitálních certifikátů. Certifikát spojuje veřejný klíč s identitou jeho vlastníka. Modely důvěry v PKI zahrnují hierarchický model (s certifikačními autoritami v různých úrovních) a webový model důvěry (kde uživatelé si navzájem důvěřují na základě vlastního posouzení). o Důvěra při/po prvním užití (Trust on first use, TOFU), SSH – např. putty se mě zeptá, jestli chci důvěřovat danému serveru o Síť důvěry (Web of trust), PGP – spoléháme se na podpisy ostatních o Certifikáty a infrastruktura veřejných klíčů (Certificates and PKI) Struktura Certifikátu: Certifikáty obvykle dodržují standard X.509, který definuje jejich strukturu. Certifikát typicky obsahuje: o Subjekt: Identita držitele certifikátu (např. jméno, e-mailová adresa). o Veřejný Klíč: Veřejný klíč subjektu. o Vydavatel (Issuer): Entita, která certifikát vydala. o Platnost: Datum začátku a konce platnosti certifikátu. o Sériové Číslo: Unikátní číslo přidělené vydavatelem. o Digitální Podpis Vydavatele: Zajišťuje, že certifikát nebyl pozměněn. Vydávání Certifikátu: Proces vydání certifikátu obvykle zahrnuje žádost subjektu (CSR - Certificate Signing Request), která je odeslána certifikační autoritě (CA). CA ověří identitu žadatele a vydá certifikát, podepsaný svým digitálním podpisem. Revokování Certifikátu: Certifikáty mohou být odvolány v případě, že jsou kompromitovány, neplatné, nebo pokud se změnil stav subjektu. Pro informování o odvolání certifikátů se používají seznamy odvolaných certifikátů (CRL - Certificate Revocation List) nebo protokol OCSP (Online Certificate Status Protocol). Certifikáty, infrastruktura veřejných klíčů (PKI) Distribuce veřejných klíčů v asymetrické kryptografii, modely důvěry. Struktura certifikátu. Vydávání certifikátu, revokování certifikátu. Používání certifikátů, důvěryhodné certifikační autority. Používání Certifikátů: Certifikáty se používají pro ověřování identit při elektronických transakcích, v SSL/TLS komunikaci pro zabezpečení webového provozu, v digitálních podpisech, šifrování e- mailů (např. S/MIME) a v mnoha dalších aplikacích. Certifikát lze použít pouze pro účely vyjmenované v atributu "Použití klíče" (Key Usage). Pro certifikáty koncových uživatelů jsou typická použití: o digitální podpis (Digital Signature) - jedná se o technologii digitálního podpisu, na které jsou založeny autentizace držitele a ověřování integrity dat, nejde o podpis nahrazující vlastnoruční podpis o neodvolatelnost (Non Repudiation) - certifikát lze použít k ověřování pravosti dokumentů, k vytvoření zaručeného elektronického podpisu o zakódování klíče (Key Encipherment) - certifikát je určen k šifrování klíčů, např. při tvorbě elektronické obálky o zakódování dat (Data Encipherment) - certifikát je určen k šifrování dat Pro certifikáty certifikačních autorit jsou typická použití: o podepisování certifikátů (Key Certificate Sign) o podepisování CRL (CRL Sign), CRL je seznam zneplatněných certifikátů Důvěryhodné Certifikační Autority: Důvěryhodné CA jsou zásadní pro bezpečnost PKI, protože poskytují záruku autenticity a integrity certifikátů. Prohlížeče a operační systémy obvykle obsahují seznam předinstalovaných důvěryhodných CA. Efektivní a bezpečné fungování PKI závisí na důvěře ve vydávající autority a na správné implementaci a správě celého systému. Zneužití nebo kompromitace CA může vést k vážným bezpečnostním problémům. eIDAS a elektronické podpisy, časové značky eIDAS: typy elektronických podpisů. Kvalifikovaný certifikát, kvalifikovaný prostředek, kvalifikovaná pečeť. Časové značky (časová razítka) – proč se používají (jaké problémy řeší)? Nařízení EU eIDAS (Electronic Identification, Authentication and Trust Services) je klíčovým regulačním rámcem, který stanovuje pravidla pro elektronické identifikace a důvěryhodné služby pro elektronické transakce v Evropské unii. eIDAS zahrnuje různé typy elektronických podpisů, kvalifikované certifikáty, prostředky a pečeti, stejně jako časová razítka. Typy Elektronických Podpisů podle eIDAS: 1. Zaručený elektronický podpis – z CESNETu, je uznáván všemi orgány veřejné moci v ČR. 2. Uznávaný elektronický podpis – privátní klíč je uložen na disku. V ČR neexistují. 3. Kvalifikovaný elektronický podpis – privátní klíč je uložen na nějakém prostředku, ze kterého jej nedostanete ani vy, ani útočník Kvalifikovaný Certifikát a Prostředek: Kvalifikovaný Certifikát pro Elektronické Podpisy: Certifikát vydávaný kvalifikovanou důvěryhodnou službou, který spojuje podpisové údaje s fyzickou osobou a potvrzuje identitu podpisovatele. Této CA důvěřuje stát/EU. Kvalifikovaný Prostředek pro Vytváření Elektronických Podpisů: Bezpečný hardware nebo software, který se používá pro generování kvalifikovaných elektronických podpisů. Kvalifikovaná Pečeť: Kvalifikovaná Elektronická Pečeť: Slouží pro právnické osoby k ověření integrity a původu elektronických dokumentů. Podobně jako kvalifikovaný elektronický podpis je založena na kvalifikovaném certifikátu, ale je přiřazena entitě, nikoli jednotlivci. Pečetit lze pouze vlastní dokument, kvalifikované prostředky jsou dražší v porovnáním s kvalifikovaným elektronickým podpisem. Časové Značky (Časová Razítka): Časové značky jsou používány k ověření, že určité digitální údaje existovaly v určitém čase a nebyly od toho času změněny. Problémy, Které Řeší: o Integrita Dat: Zajišťuje, že data nebyla po vytvoření časového razítka změněna. o Právní Důkazní Hodnota: Poskytuje důkaz o existenci dat v určitém čase, což může být důležité pro právní a obchodní účely. o Dodržování Předpisů: Pomáhá organizacím splňovat regulatorní požadavky týkající se archivace a dokumentace. eIDAS tedy představuje důležitý rámec pro normalizaci a zabezpečení digitálních transakcí a elektronické komunikace v EU, poskytuje právní jistotu a podporuje digitální interoperabilitu. Identita a identifikace Fyzická a elektronická identita, ztotožnění. Identifikátory. Přiřazení identifikátoru a verifikátoru, kvalita ověření totožnosti. Elektronická identita dle eIDAS. Identita a identifikace jsou klíčové koncepty v oblasti osobního zabezpečení, jak ve fyzickém, tak v elektronickém prostoru. Způsoby, jakými jsou tyto koncepty implementovány a spravovány, mají zásadní dopad na bezpečnost, soukromí a fungování digitálních systémů. Fyzická a Elektronická Identita: Fyzická Identita: Odkazuje na jedinečné fyzické a osobní charakteristiky jedince, jako jsou jméno, věk, biometrické údaje (otisky prstů, obličejová rozpoznávačka atd.). Elektronická Identita: Reprezentace identity osoby v digitální formě. Toto může zahrnovat uživatelská jména, e-mailové adresy, digitální certifikáty a další identifikátory používané v online prostředí. Ztotožnění a Identifikátory: Ztotožnění: Proces určení, kdo nebo co je daný subjekt. V digitálním prostředí to obvykle zahrnuje poskytnutí jednoho nebo více identifikátorů, které subjekt jednoznačně identifikují. Identifikátory: Můžou být statické (jako uživatelské jméno) nebo dynamické (jako IP adresa). V kontextu eIDAS mohou být identifikátory spojeny s digitální identitou osoby. Přiřazení Identifikátoru a Verifikátoru, Kvalita Ověření Totožnosti: Verifikátor: Mechanismus nebo proces používaný k ověření identifikace, například heslo, PIN, otisk prstu nebo digitální certifikát, Single factor OTP device, Milti-Factor OTP device, Single-Factor Cryptographic Device. Přiřazení identity – kvalita dokladů (důkazů): o weak – vydávající neverifikuje identitu, na dokladu je jedinečný identifikátor či fotka o fair – vydávající ověřuje identitu (doklad dostane ten, komu patří), obsahuje jedinečný identifikátor či fotku, doklad neexpiroval (např. ISIC) o strong – doklad je vydán dle písemně popsané procedury, vydávající garantuje, že jméno a příjmení je správné, obsahuje jedinečný identifikátor, obsahuje fotku či se uživatel při ověření prokáže znalostí vhodné autentizace (AAL2), doklad neexpiroval o superior – předchozí a navíc (např. pas, občanský průkaz): ▪ doklad musí vydat stát ▪ doklad musí obsahovat fotografii ▪ doklad musí obsahovat biometrické údaje Výsledek přiřazení identity: ověření údajů, přiřazení identifikátoru, přiřazení jednoho či více verifikátoru (heslo, platební karta, USB token s privátním klíčem, …) Kvalita ověření údajů/totožnosti (Identity Assurance Level) o IAL1 – neprobíhá validace či verifikace o IAL2 – ověření pomocí jedné z následujících kombinací: ▪ 1 doklad strong a 2 doklady fair Identita a identifikace Fyzická a elektronická identita, ztotožnění. Identifikátory. Přiřazení identifikátoru a verifikátoru, kvalita ověření totožnosti. Elektronická identita dle eIDAS. ▪ 2 doklady strong ▪ 1 doklad strong/superior a ověření platnosti údajů u vydávajícího ▪ ověření může být prezenčně i vzdáleně o IAL3 – ověření pomocí jedné z následujících kombinací: ▪ 2 doklady superior ▪ 2 doklady strong a 1 fair ▪ 1 doklad superior 1 doklad strong a možnost ověření u vydávajícího ▪ žadatel musí být fyzicky přítomen ▪ pořizuje se fotografický záznam přítomnosti žadatele Elektronická Identita dle eIDAS: eIDAS poskytuje rámec pro elektronickou identifikaci (eID) a důvěryhodné služby v EU. eID umožňuje občanům a podnikům v EU používat vlastní národní elektronické identifikační prostředky pro přístup k veřejným službám v jiných zemích EU. eIDAS definuje různé úrovně zabezpečení pro elektronické identifikaci, od základních až po velmi vysoké, založené na úrovni zabezpečení a spolehlivosti informací, které jsou použity pro ověření totožnosti. Správa a ochrana identity, zejména v digitální éře, vyžaduje pečlivý přístup k ověřování, ochraně osobních údajů a zabezpečení identifikačních dat. eIDAS představuje významný krok k posílení důvěry a bezpečnosti v digitálním prostředí napříč Evropskou unií. Hesla Přihlašování heslem – výhody a nevýhody, jak ukládat hesla, doporučení pro používání hesel (pro správce, pro uživatele). Vektory útoku na hesla pro webovou aplikaci (např. InSIS). Správce hesel – jaké má mít vlastnosti, jak se má používat, proti kterým útokům pomůže? Přihlašování heslem je jednou z nejčastějších metod ověřování v digitálním prostředí. Ačkoliv je tato metoda široce používána, má své výhody i nevýhody, a existují specifická doporučení jak pro správce, tak pro uživatele ohledně jejich správného používání a ukládání. Výhody a Nevýhody Přihlašování Heslem: Výhody: o Jednoduchost: Hesla jsou snadno implementovatelná a použitelná. o Univerzálnost: Většina systémů a aplikací podporuje přihlašování heslem. Nevýhody: o Nízká Bezpečnost: Slabá hesla nebo špatné bezpečnostní praktiky mohou vést k jednoduchému prolomení hesel. Computerphile video o Zapomínání Hesel: Uživatelé často zapomínají hesla, což vyžaduje mechanismy pro jejich obnovu. o Phishing a Jiné Útoky: Hesla mohou být snadno ukradena prostřednictvím sociálního inženýrství nebo phishingových útoků. Jak Ukládat Hesla: Hašování: Hesla by měla být vždy uložena v hašované formě, nikoli v čitelném textu. Sůl (Salt): Každé heslo by mělo mít přidělenu unikátní "sůl" předtím, než je zahašováno, aby se zabránilo použití předgenerovaných tabulek (rainbow tables). Pevné Hašovací Algoritmy: Používejte spolehlivé a bezpečné hašovací algoritmy, jako je bcrypt nebo Argon2. Doporučení pro Používání Hesel: Pro Správce: o Nastavte politiku silných hesel (délka, složitost). o Zajistěte pravidelnou výměnu hesel. o Používejte vícefaktorové ověřování jako další vrstvu zabezpečení. Pro Uživatele: o Používejte silná, unikátní hesla pro každou službu. o Nezapisujte hesla nebo je nesdílejte. o Pravidelně měňte hesla a používejte správce hesel. Vektory Útoku na Hesla pro Webové Aplikace: Brute Force Útoky: Pokusy o uhádnutí hesla prostřednictvím opakovaných pokusů. Útoky Prostřednictvím SQL Injection: Získání přístupu k databázi a extrakce hesel. Keylogging a Malware: Záznam stisků kláves pro získání hesel. XSS: Špatně ošetřený vstup, který nenahrazuje > za < a < za >. Útočník tak může v kódu stránky spustit libovolný skript. Clickjacking: neviditelný iframe, kdy uživatel kliká na tlačítko útočníka místo aplikace. CSRF (Cross-site Request Forgery): přesměruje uživatel nevědomky jinam. Cookie (session) stealing: získání a zneužití přihlašovací cookies na jiném počítač Hesla Přihlašování heslem – výhody a nevýhody, jak ukládat hesla, doporučení pro používání hesel (pro správce, pro uživatele). Vektory útoku na hesla pro webovou aplikaci (např. InSIS). Správce hesel – jaké má mít vlastnosti, jak se má používat, proti kterým útokům pomůže? Správce Hesel: Vlastnosti: o Zabezpečené Ukládání: Šifrování uložených hesel. o Generování Silných Hesel: Funkce pro generování náhodných, silných hesel. o Snadná Synchronizace: Mezi zařízeními uživatele. Používání: o Správce hesel by měl být chráněn silným hlavním heslem. o Pravidelně aktualizujte software správce hesel. Útoky, kterým zabrání: o Phishing: Automatické vyplňování přihlašovacích údajů do ověřených stránek chrání uživatele před vložením svých údajů na podvodné stránky. o Hrubá Síla a Slovníkové Útoky: Generování silných a náhodných hesel znesnadňuje útočníkům uhádnutí hesel. o Útoky pomocí Malwaru: Šifrované ukládání hesel chrání před malwarovými programy, které hledají hesla uložená v nešifrované formě. o Reuse Attack (útoky pomocí opětovného použití hesel): Používání unikátního hesla pro každý účet zabraňuje úspěchu útoku, kdy útočník použije uniklé heslo z jednoho účtu pro přístup k jiným účtům. Správné používání a správa hesel je zásadní pro zabezpečení online identity a ochranu před neoprávněným přístupem. Používání správců hesel a dodržování nejlepších praktik může výrazně zvýšit bezpečnost. Vícefaktorová autentizace Autentizace – faktory, metody vícefaktorové autentizace, srovnání dle úrovně zabezpečení. Password- less autentizace. TOTP (Time-based One-time Password), autentizace veřejným klíčem (SSH, WebAuthn/FIDO2, autentizace certifikátem). Vícefaktorová autentizace (MFA) poskytuje vyšší úroveň zabezpečení než tradiční jednofaktorová autentizace (např. pouze heslo) tím, že vyžaduje více nezávislých ověřovacích faktorů. Toto zvyšuje obtížnost pro neoprávněné osoby získat přístup k účtu nebo systému. MFA se obecně řídí třemi základními typy faktorů: něco, co uživatel zná (jako heslo), něco, co uživatel má (jako token nebo mobilní telefon), a něco, co uživatel je (například biometrický údaj). Computerphile video Faktory Autentizace: 1. Něco, co uživatel zná (Knowledge): Hesla, PIN kódy, odpovědi na bezpečnostní otázky. 2. Něco, co uživatel má (Possession): Bezpečnostní tokeny, mobilní telefony (pro příjem SMS nebo použití autentizačních aplikací), chytré karty. 3. Něco, co uživatel je (Inherence): Biometrické údaje, jako jsou otisky prstů, rozpoznání obličeje, hlasová biometrie. Metody Vícefaktorové Autentizace: SMS a Emailové Kódy: Kód odeslaný na mobilní telefon nebo e-mailovou adresu uživatele. Autentizační Aplikace: Generují jednorázové přihlašovací kódy (např. Google Authenticator, Authy). Hardwarové Tokeny: Fyzická zařízení generující kódy nebo umožňující přístup při jejich připojení. Biometrická Autentizace: Skener otisků prstů, rozpoznání obličeje, hlasová biometrie. Autentizace Veřejným Klíčem: Například pomocí SSH klíčů, WebAuthn/FIDO2. Srovnání Dle Úrovně Zabezpečení: SMS/Emailové Kódy: Nižší úroveň zabezpečení kvůli možnosti úniku nebo zachycení zpráv. Autentizační Aplikace a Hardwarové Tokeny: Vyšší úroveň zabezpečení, méně náchylné k phishingu a útokům na přenosové kanály. Biometrická Autentizace: Vysoká úroveň zabezpečení, ale může být ovlivněna změnami fyzických atributů a vyžaduje sofistikované senzory. Autentizace Veřejným Klíčem (např. SSH, WebAuthn): Velmi vysoká úroveň zabezpečení, poskytuje silnou identifikaci bez přenášení tajných kódů přes síť. Password-less Autentizace: Forma ověřování, která eliminuje potřebu tradičních hesel. Místo toho využívá jiné metody pro ověření identity uživatele, čímž zvyšuje bezpečnost a zjednodušuje proces přihlášení. Například biometrické, přes aplikace nebo klíče,… TOTP (Time-Based One-Time Password): TOTP je forma jednorázového hesla (OTP), které je platné pouze po omezenou dobu (obvykle 30 nebo 60 sekund). Je to způsob dvoufaktorové Vícefaktorová autentizace Autentizace – faktory, metody vícefaktorové autentizace, srovnání dle úrovně zabezpečení. Password- less autentizace. TOTP (Time-based One-time Password), autentizace veřejným klíčem (SSH, WebAuthn/FIDO2, autentizace certifikátem). autentizace (2FA), který poskytuje výrazně vyšší úroveň zabezpečení než tradiční statická hesla. Funkčnost: TOTP generuje jednorázová hesla na základě sdíleného tajného klíče mezi klientem (například uživatel) a serverem a současného času. Algoritmy: TOTP využívá kryptografické hashovací funkce (jako SHA-1) pro generování hesla z tajného klíče a aktuálního časového razítka. Použití: Obvykle se používá s autentizačními aplikacemi (jako Google Authenticator, Authy), které generují TOTP hesla na uživatelově zařízení. Autentizace Veřejným Klíčem: Tato metoda používá pár veřejného a soukromého klíče pro autentizaci. Veřejný klíč je sdílený, zatímco soukromý klíč je držen v tajnosti. SSH (Secure Shell): V SSH se veřejné klíče používají pro autentizaci uživatelů. Uživatel generuje pár klíčů a umístí veřejný klíč na SSH server. Při připojení SSH klient použije soukromý klíč pro prokázání své identity. WebAuthn/FIDO2: Toto jsou modernější standardy pro bezpečnou autentizaci na webu. Umožňují uživatelům se autentizovat pomocí biometrických údajů, bezpečnostních klíčů nebo dalších metod, které využívají kryptografii založenou na veřejných klíčích. Autentizace Certifikátem: Používá digitální certifikáty (které obsahují veřejné klíče) pro ověření identity uživatelů nebo zařízení. Certifikáty jsou obvykle vydávány a podepisovány důvěryhodnou certifikační autoritou (CA). Srovnání TOTP a Autentizace Veřejným Klíčem: TOTP: Poskytuje silnou dvoufaktorovou autentizaci a je relativně snadno implementovatelné. Hlavní nevýhodou je, že uživatelé musí mít přístup k zařízení generujícímu TOTP kódy. Autentizace Veřejným Klíčem: Nabízí vysokou úroveň zabezpečení, je odolná proti mnoha druhům útoků a nevyžaduje přenos tajných dat přes síť. Je však složitější na implementaci a správu, zejména v rozsáhlých systémech. Obě metody jsou významnými součástmi moderního zabezpečení autentizace a často se doplňují pro poskytnutí komplexního řešení zabezpečení. Logování Cíle logování. Protokoly – Syslog (unix), eventlog (MS Windows). Správa logů (log management) a centralizované logování. Bezpečnostní analýza logů (SIEM). Cíle Logování Logování, definované jako záznam činnosti programu, má několik klíčových cílů: Záznamy o Využití Aplikace: Sledování, jak jsou aplikace používány, což pomáhá v diagnostice problémů a optimalizaci výkonu. Auditování Operací a Uživatelů: Zaznamenávání činností uživatelů a systémových operací pro účely auditu a shody s regulacemi. Vývoj a Ladění Aplikací: Logy jsou nezbytné pro analýzu a odstraňování chyb v aplikacích. Obnova po Pádu/Chybě: Transakční logy mohou pomoci obnovit systém po chybě nebo pádu. Logovací Protokoly Syslog (Unix/Linux): Jde o standardní protokol a program pro logování v systémech Unix a Linux. Syslog umožňuje shromažďování logů z různých zdrojů a jejich centralizované ukládání. Syslog obsahuje několik implementací, jako je rsyslog a syslog-ng, a používá pravidla pro zapisování logů do lokálních souborů nebo jejich odesílání přes síť. Protokol definuje formát záznamu, včetně timestamp, hostname, priority (typ zdroje = facility, úroveň = severity), app-name a samotné zprávy. Severity Emergency: system is unusable Alert: action must be taken immediately Critical: critical conditions Error: error conditions Warn: warning conditions Notice: normal but significant condition Info: informational messages Debug: debug-level messages typ zdroje (facility): kern, user, mail, daemon, auth, syslog, lpr, news, uucp, cron, security, ftp, ntp, logaudit, logalert, clock, local0-local7 Eventlog (Microsoft Windows): Windows Event Log je služba v operačních systémech Windows, která shromažďuje zprávy o důležitých událostech systému, aplikací a zabezpečení. Tyto logy jsou strukturované a lze je prohlížet pomocí nástroje Event Viewer. Zahrnují záznamy z aplikací, bezpečnostní záznamy, systémové záznamy a mohou zahrnovat i vlastní logy vytvořené aplikacemi. Správa Logů a Centralizované Logování Získávání Logů: Nastavení logování v aplikacích a systémech. Centralizované Logování: Shromažďování logů z různých zdrojů do centralizovaného úložiště. Dlouhodobé Uchování a Mazání: V souladu s právními předpisy, např. GDPR. Prohledávání a Analýzy Logů: Použití nástrojů pro analýzu a zpracování logů. Reportování: Vytváření statistických a analytických reportů na základě dat z logů. Bezpečnostní Analýza Logů (SIEM) SIEM je pokročilá technologie pro analýzu bezpečnostních informací a událostí. SIEM agreguje a analyzuje logy z různých zdrojů, identifikuje abnormality a bezpečnostní incidenty, a pomáhá při Logování Cíle logování. Protokoly – Syslog (unix), eventlog (MS Windows). Správa logů (log management) a centralizované logování. Bezpečnostní analýza logů (SIEM). reakci na hrozby. Příklady korelací událostí zahrnují detekci přihlášení z anonymních IP adres nebo neobvyklých lokací. SIEM také poskytuje funkce pro upozorňování na bezpečnostní události, jako jsou pokusy o neoprávněný přístup nebo podezřelé změny v konfiguraci. Rozdíl mezi Log Management a SIEM Log Management: Zaměřuje se na shromažďování, ukládání a indexování všech logů. Poskytuje obecné reportování a umožňuje jednoduché prohledávání a analýzu logů. SIEM: Kromě základních funkcí log managementu, SIEM přidává pokročilé bezpečnostní analýzy, včetně korelace, hodnocení hrozeb a upozornění na bezpečnostní incidenty. SIEM je více zaměřen na bezpečnostní aspekty logování a nabízí komplexnější analýzu a správu incidentů. Zálohování Zálohování: cíl, strategie zálohování - co zálohovat, kdy zálohovat, kolik záloh, kam zálohovat (média). Optimalizace zálohování. Proti jakým bezpečnostním rizikům chrání zálohování, synchronizace či archivace. Cíle a Základní Principy Zálohování Zálohování je proces vytváření kopie dat, která jsou uložena na jiném datovém nosiči a v jiném místě, aby se zajistila rychlá obnova měnících se dat. Archivace se týká dlouhodobého uchování dat. Synchronizace dat je proces udržování stejných a aktuálních dat na různých úložištích. Verzování dat zahrnuje uchovávání historie všech provedených změn na datech. Strategie Zálohování 1. Frekvence a Počet Záloh: Určuje, jak často a kolik zálohovat. Zálohy mohou být prováděny denně, hodinově nebo týdně. Počet záloh může být například omezen na zálohy za poslední týden. 2. Strategie 3-2-1: Tato strategie doporučuje uchovávat 3 kopie dat (1 originál a 2 zálohy), 2 místní kopie na různých zařízeních a 1 vzdálenou zálohu, například v cloudu. 3. Typy Dat k Zálohování: Zahrnují soubory, databáze, svazky, metadata a další. Důležité je zohlednit potenciální nekonzistence dat a využívat specializované nástroje pro zálohování databází a měnících se dat. 4. Pravidelné testování obnovy ze zálohy Média pro Zálohování Magnetická Páska: Velká kapacita, dlouhá životnost, ale pomalejší obnovování. Pevný Disk a NAS: Rychlý přístup, snadné použití. Optické Disky a Flash Disky: Vhodné spíše pro přenos dat nebo archivaci. Vzdálené (Cloudové) Zálohovací Služby: Výhodou je vzdálená lokalita, nutná důvěra v poskytovatele. Optimalizace Zálohování Automatické Mazání Starých Záloh: Pomáhá udržovat efektivní využití úložného prostoru. Komprese a Deduplikace: Snížení velikosti záloh a eliminace duplicit. Šifrování: Zajištění bezpečnosti zálohovaných dat, vyžaduje správu klíčů. Typy Záloh Úplné a Inkrementální Zálohy: Kombinace úplných a postupných změn. Úplné a Rozdílové Zálohy: Úplná záloha a následné zálohování pouze rozdílů. Zrcadlová a Reverzně Přírůstková: Zrcadlení aktuálního stavu systému s historií změn. Průběžná Ochrana Dat: Každá změna je okamžitě zálohována. Schéma Rotace Záloh FIFO (First In, First Out): Staré zálohy jsou pravidelně přepisovány novými. Děd-Otec-Syn (Grandfather-Father-Son): Kombinace měsíčních, týdenních a denních záloh. Hanojské Věže: Komplexní schéma pro optimalizaci počtu zálohovacích médií. Zálohování Zálohování: cíl, strategie zálohování - co zálohovat, kdy zálohovat, kolik záloh, kam zálohovat (média). Optimalizace zálohování. Proti jakým bezpečnostním rizikům chrání zálohování, synchronizace či archivace. Bezpečnostní Rizika a Ochrana Zálohování chrání proti různým hrozbám jako jsou systémové havárie, datové chyby, úmyslné i neúmyslné smazání dat a další incidenty, které mohou vést ke ztrátě dat. Je důležité rozlišovat mezi zálohováním a synchronizací, neboť synchronizace může v některých případech vést k replikaci chyb nebo nežádoucích změn. Tato komplexní prezentace o zálohování poskytuje důležité informace a rady pro efektivní a bezpečné zálohování dat, což je klíčové pro ochranu a obnovu důležitých informací v případě narušení nebo ztráty dat. Autorizace, modely přístupu, ACL Autorizace. Bezpečnostní modely, Bell-LaPadula, Biba. Modely přístupu: DAC, MAC. ACL (Access Control List). Řízení přístupu na základě rolí (RBAC) a atributů (ABAC). Přístupová práva ve vybraném operačním systému. Autorizace je proces, při kterém se určuje, zda má subjekt (uživatel nebo proces) právo na provedení určité operace nebo přístup k určitému objektu (soubor, adresář, zdroj dat apod.) ve výpočetním systému. Autorizace je základním konceptem v bezpečnosti informačních systémů a může být implementována různými způsoby v závislosti na potřebách a architektuře daného systému. Autorizační Mechanismy a Koncepty Matice Řízení Přístupu (Access Control Matrix): o Jedná se o tabulku, která obsahuje subjekty, objekty a přidělená práva (např. čtení, psaní, mazání). o Při každém přístupu k objektu se kontroluje, zda subjekt má potřebné právo. o ACL (Access Control List): Matice, kde primární je objekt (soubor, adresář apod.) a k němu jsou uvedena práva jednotlivých subjektů. o Capability table (tabulka oprávnění): Matice, kde je primární subjekt a k němu uvedeno jaká má práva. Bezpečnostní Modely 1. Clark-Wilson Model: Zaměřuje se na ochranu integrity dat. Obsahuje definovány trojice subjekt/program/objekt, program může mít omezeny operace na vybrané objekty. 2. Bell-LaPadula Model: Zaměřuje se na ochranu důvěrnosti dat. Tento model zavádí bezpečnostní úrovně, které zjednodušují matici oprávnění. Kategorizace objektů – např. přísně tajné, tajné, důvěrné, veřejné. Subjekty pak mají související prověrky. Zahrnuje pravidla jako "no read up" (nelze číst z vyšší úrovně) a "no write down" (nelze zapisovat na nižší úroveň). 3. Biba Model: Zaměřuje se na ochranu integrity dat. Podobně jako Bell-LaPadula, zavádí bezpečnostní úrovně a zahrnuje pravidla jako "no read down" (nelze číst z nižší úrovně) a "no write up" (nelze zapisovat na vyšší úroveň). Modely Přístupu 1. Povinné Řízení Přístupu (Mandatory Access Control – MAC): Práva přiděluje administrátor; uživatel nemůže přidělit práva k objektům. Má vysokou úroveň bezpečnosti, ale nižší pružnost a složitější správu. 2. Volitelné Řízení Přístupu (Discretionary Access Control – DAC): Subjekt s právy může předávat povolení přístupu dalším subjektům. Má větší pružnost a snazší správu, ale obecně nižší úroveň bezpečnosti. Common Criteria je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů, a testovací laboratoře mohou vyhodnocovat produkty. Autorizace, modely přístupu, ACL Autorizace. Bezpečnostní modely, Bell-LaPadula, Biba. Modely přístupu: DAC, MAC. ACL (Access Control List). Řízení přístupu na základě rolí (RBAC) a atributů (ABAC). Přístupová práva ve vybraném operačním systému. Práva ve Vybraném Operačním Systému (Unix) V Unixových systémech jsou práva k souborům definována pro tři skupiny: vlastník souboru, skupina souboru a ostatní. Práva jsou vyjádřena jako trojice pro každou skupinu (např. rwx, kde 'r' značí čtení, 'w' psaní a 'x' spuštění). Kromě základních práv mohou být použita i dodatečná systémová práva, jako je SELinux nebo ACL. Role-Based Access Control (RBAC) Uživatelům jsou přiřazeny role a k rolím jsou přiřazena specifická oprávnění. Jednotlivá oprávnění mohou obsahovat různé operace a mohou být přiřazena k více rolím. RBAC může být implementován jak v MAC, tak v DAC režimu. Příklad: V systému WordPress jsou definovány různé role (např. administrator, editor, author) s různými oprávněními (např. edit_published_posts, upload_files). Attribute-Based Access Control (ABAC) Řízení přístupu založené na vlastnostech subjektu, operaci, objektu a charakteristikách prostředí. ABAC umožňuje flexibilnější a detailnější kontrolu přístupu ve srovnání s RBAC nebo DAC, protože může zahrnovat různé atributy, jako je role uživatele, umístění, čas a další kontextové informace. Příklady zahrnují situace, kdy uživatel může upravovat dokumenty pouze ze školní IP adresy nebo kdy je přístup k souborům omezen na určitý typ uživatelů nebo podmínky. Celkově je autorizace zásadním prvkem pro zajištění bezpečnosti v informačních systémech, umožňující kontrolovat přístup k citlivým datům a zdrojům. Různé modely a mechanismy autorizace nabízejí odlišné úrovně bezpečnosti, flexibility a složitosti, které je třeba vyvážit v závislosti na specifických potřebách a kontextu systému. LDAP, centralizovaná autentizace LDAP – adresářová služby X.500, struktura, schéma, operace. Centralizovaná autentizace – přínosy, nevýhody proti SSO. LDAP (Lightweight Directory Access Protocol) je aplikacní protokol používaný pro dotazování a změny v adresářových službách, který funguje nad TCP/IP. LDAP je často využíván pro zajištění autentizace v různých službách a aplikacích. LDAP a X.500 1. LDAP: a. Aktuální verze je LDAPv3, definovaná v RFC 4510. b. LDAP využívá ASN.1 a binární formát BER pro reprezentaci dat. 2. X.500: a. X.500 je standard pro adresářové služby, vyvinutý CCITT v roce 1988. b. LDAP je modelován na základě X.500 a zdědil jeho hierarchickou strukturu. c. Hierarchická struktura X.500 zahrnuje různé úrovně, jako jsou země, organizace, organizační jednotky a konkrétní objekty jako osoby, tiskárny, počítače apod. d. mezi základní (předdefinované) atributy patří například: i. Country (C) (země) ii. State or Province Name (S) (stát nebo provincie, kraj atd.) iii. Street Address (SA) (místní adresa - ulice atd.) iv. Locality Name (L) (lokalita) v. Organization Name (O) (jméno organizace) vi. Organizational Unit Name (OU) (jméno organizační jednotky) vii. Common Name (CN) (obecné jméno) Struktura a Schéma v LDAP Záznamy v LDAP (Entry): o Každý záznam má jedinečné jméno (Distinguished Name - DN). o Atributy záznamů mohou mít různé hodnoty a volby. o Objekty jsou definovány pomocí tříd (objectClass), které určují povinné a volitelné atributy a vlastnosti jejich hodnot. Operace v LDAP Dotazy v LDAP: o Dotazy mohou využívat různé operátory, jako jsou EQUAL TO, AND, OR, NOT a wildcard. o Například (givenName=John) nebo složitější dotazy, jako (&(givenName=John)(l=Dallas)). Centralizovaná Autentizace pomocí LDAP Proces Autentizace: o Autentizační proces zahrnuje ověření uživatelského jména a hesla s LDAP serverem. o Uživatel poskytne své uživatelské jméno a heslo, aplikace pak provede BIND operaci na LDAP serveru s těmito údaji a ověří správnost přihlašovacích údajů. LDAP, centralizovaná autentizace LDAP – adresářová služby X.500, struktura, schéma, operace. Centralizovaná autentizace – přínosy, nevýhody proti SSO. Pluggable Authentication Modules (PAM) PAM: o PAM, vyvinutý firmou SUN, je navržen pro oddělení autentizačních mechanismů od aplikací. o PAM umožňuje konfigurovat a spravovat různá autentizační schémata, jako jsou hesla, jednorázová hesla, hardwarové tokeny a vícefaktorová identifikace. Přínosy a Nevýhody Centralizované Autentizace Proti SSO 1. Přínosy Centralizované Autentizace: Centralizovaná správa uživatelských účtů a přihlašovacích údajů. Zvýšená bezpečnost díky konzistentní politice přístupu a autentizace. Snížení režie při správě uživatelských účtů v různých systémech. 2. Nevýhody oproti Single Sign-On (SSO): Méně uživatelsky přívětivé, protože uživatelé mohou potřebovat různé přihlašovací údaje pro různé systémy. SSO nabízí plynulejší uživatelský zážitek s jedním přihlašováním pro přístup ke všem spojeným službám. SSO může nabízet lepší integraci s moderními cloudovými službami a aplikacemi. Celkově LDAP poskytuje robustní a flexibilní způsob správy přístupu a identit ve velkých organizacích a systémech, zatímco SSO se zaměřuje na zjednodušení procesu přihlašování pro koncové uživatele. Single sign-on SSO – základní vlastnosti, bezpečnost. SSO na webu – protokoly SAML (Security Assertion Markup Language), OAuth2, OpenID Connect. Single Sign-On (SSO) je metoda autentizace, která umožňuje uživatelům přihlásit se jednou a získat přístup k více nezávislým, ale souvisejícím systémům. Tento přístup odstraňuje potřebu pro uživatele spravovat a pamatovat si mnoho různých přihlašovacích údajů pro různé služby. Základní Vlastnosti a Bezpečnost SSO 1. Oddělení Aplikace od Autentizace: SSO odděluje správu autentizace od samotného provozu aplikace, což zvyšuje bezpečnost, protože úspěšný útok na jednu aplikaci neznamená automaticky kompromitaci hesel uživatelů v jiných aplikacích. 2. Výhody SSO: Uživatelé si nemusí pamatovat více přihlašovacích údajů. Úspora času při zadávání přihlašovacích údajů a menší zatížení podpory s hesly. Podpora cloudových služeb a autorizace API ve vybraných řešeních. 3. Bezpečnostní Aspekty: SSO umožňuje snadné implementování vícefaktorové autentizace a centralizované správy rolí. Protokoly SSO na Webu 1. SAML (Security Assertion Markup Language): Používá XML pro předávání zpráv. Je primárně využíván v podnikovém prostředí pro přihlašování k více aplikacím, včetně cloudových služeb. SAML poskytuje údaje pro následnou autorizaci, jako jsou členství ve skupinách nebo e-mailové adresy. Nevýhody SAML zahrnují složitější registraci service providerů u identity providerů a nedostatečnou podporu pro autorizaci API. 2. OAuth 2.0 OAuth 2.0 je standard pro API autorizaci, deleguje oprávnění ke zdrojům konkrétní aplikace. Například když do desktop outlooku přidávám školní účet, vyskočí mi okno, kde outlooku dávam jednotlivá práva k interakci s mou email schránkou pojmy: 1. resource owner – uživatel, kterému patří zdroj, data/funkce (článek uložený na documents.com) 2. client – aplikace, která chce přistupovat ke zdroji (WriteAPaper.com) 3. resource server – server se zdroji uživatele (documents.com) 4. authorization server – spravuje oprávnění a deleguje oprávnění klientovi, obvykle spojený s serverem se zdroji, předávání dat přes šifrovaný JSON podpora webových aplikací, mobilních aplikací, běžných aplikací, IoT zařízení 3. OpenID Connect (OIDC): je rozšířením OAuth 2.0, zaměřeným na autentizaci uživatelů. poskytuje ID token pro autentizaci a access token pro autorizaci. Protokol podporuje širokou škálu aplikací včetně webových, mobilních a IoT zařízení. SSO nabízí významné výhody v oblasti uživatelského pohodlí a bezpečnosti, ale také přináší určité výzvy, zejména v kontextu použití mimo organizace, pro API nebo u služeb pro jednotlivce/veřejnost. S protokoly jako SAML, OAuth 2.0 a OpenID Connect se SSO stal klíčovým prvkem v moderní správě identit a přístupových práv, zvláště ve složitějších a rozmanitějších technologických prostředích. Proxy servery, IDS a IPS Forwarding a reverse proxy servery. Rozdíl mezi proxy a NAT. IDS na síti a počítačích (HIDS), IPS. Jak pracuje antivirový program? Proxy servery, IDS (Intrusion Detection System) a IPS (Intrusion Prevention System) jsou zásadní součásti infrastruktury pro zabezpečení sítí. Proxy Servery Proxy servery fungují jako prostředník mezi uživatelem a internetem nebo jinými sítěmi. 1. Forward Proxy: Forward proxy server funguje jako intermediář pro žádosti od klientů směřující do internetu. Běžné využití zahrnuje filtrování přístupu, filtrování obsahu, urychlení odpovědí, prokázání souladu s pravidly a anonymizaci. Může být nastaven v aplikaci nebo operačním systému, často pomocí WPAD (Web Proxy Auto-Discovery Protocol). SOCKS je obecný protokol pro komunikaci s proxy serverem, který nerozlišuje mezi aplikačními protokoly. 2. Reverse Proxy: Reverse proxy server přijímá žádosti z internetu a předává je interním serverům. Používá se pro load balancing, podporu TLS, SSL Offload, SSL Acceleration, caching, sloučení obsahu z více aplikací, aplikační firewall a podporu single sign-on. Rozdíl mezi Proxy a NAT NAT (Network Address Translation): o NAT slouží primárně k úspoře IPv4 adres. Server vidí pouze externí adresu a obvykle se mění i číslo odchozího TCP/UDP portu. o NAT poskytuje anonymizaci a skrytí interní sítě, ale pouze částečně filtruje příchozí pakety. o Narozdíl od proxy serverů, které filtrují a kontrolují obsah komunikace, NAT se zaměřuje na překlad adres a neinteraguje s datovým tokem na úrovni aplikace. IDS a IPS 1. IDS (Intrusion Detection System): Detekuje neobvyklé aktivity, které by mohly vést k narušení bezpečnosti nebo mohou být příznakem narušení bezpečnosti. IDS může být založený na síti (NIDS) nebo v operačním systému (HIDS). Pracuje na základě pravidel, signatur a detekce anomálií. Generuje varování při detekci podezřelé aktivity. 2. IPS (Intrusion Prevention System): IPS je rozšířením IDS, které nejen detekuje škodlivou činnost, ale také ji blokuje a nahlásí. Kombinuje funkce IDS a zabezpečené provádění akcí jako je zablokování provozu nebo vypnutí aplikace nebo serveru. 3. Host-based IDS/IPS: Příklad takového systému je aplikace OSSEC, která analyzuje logy, kontroluje integritu systému, detekuje rootkity a další hrozby. Host-based IDS/IPS může být použit pro auditování bezpečnosti a kontrolu konfigurace systému a aplikací. Proxy servery, IDS a IPS Forwarding a reverse proxy servery. Rozdíl mezi proxy a NAT. IDS na síti a počítačích (HIDS), IPS. Jak pracuje antivirový program? 4. Antivirové Programy jako Host-based IDS/IPS: Antivirové programy pracují na principu host-based IDS/IPS. Rozpoznávají podezřelé soubory a hrozby pomocí databáze signatur virů, heuristické analýzy a dalších metod detekce. Celkově jsou proxy servery, IDS a IPS klíčovými komponentami pro zabezpečení sítí, každý s odlišnými funkcemi a využitím. Proxy servery se zaměřují na kontrolu a filtrování síťového provozu, zatímco IDS a IPS se zaměřují na detekci a prevenci bezpečnostních incidentů v síti a systémech. Firewally, zero trust network Firewally dle funkcí – bezstavové, stavové, aplikační, firewally nové generace. Firewally dle umístění – výhody a nevýhody. Zero trust network. Firewally jsou klíčovým prvkem v síťové bezpečnosti, které chrání sítě tím, že blokují nebo povolují komunikace na základě předdefinovaných nebo dynamických pravidel. Jejich úloha se vyvíjela s rostoucími bezpečnostními hrozbami a technologickým pokrokem. Firewally dle Funkcí 1. Bezstavové Firewally: Pracují s každým paketem samostatně, filtrování probíhá na základě informací ze síťové a transportní vrstvy, jako jsou IP adresy, TCP/UDP porty a TCP hlavičky. Výhodou je nízká cena a jednoduchost, běžně se používají na síťových směrovačích a přepínačích. 2. Stavové Firewally: Uchovávají stav komunikace (connection tracking), což umožňuje jednodušší pravidla a zvyšuje ochranu proti některým typům útoků, jako je SYN-Flood attack. 3. Aplikační Firewally: Pracují na úrovni aplikační vrstvy OSI modelu, rozumí některým aplikačním protokolům jako FTP, TFTP, IRC, SIP a H.323. Provádějí hlubší inspekci obsahu, například filtrování HTTP požadavků. 4. Firewally Nové Generace (NGFW): Kombinují funkce tradičních a aplikativních firewallů s pokročilými funkcemi, jako je filtrování webového provozu, kontrola stahovaných souborů antivirem, pravidla založená na autentizaci uživatelů, analýza HTTPS (TLS) provozu a detekce útoků na základě obsahu dat. NGFW často obsahují funkce IPS (Intrusion Prevention System). Firewally dle Umístění 1. Firewall na Hranici Sítě (Perimetru): Chrání vnitřní síť před útoky z vnějšího internetu. Definice hranice sítě může být komplikovaná, zejména v dnešní době rozšířených cloudových služeb a mobilních zařízení. 2. Segmentace Sítě: Firewally a směrovače oddělují jednotlivé části sítě (VLAN) a pomáhají omezit útoky na linkové úrovni OSI modelu. Úspěšný útok na jeden segment nemusí automaticky znamenat kompromitaci celé sítě. Tato technika také umožňuje zjednodušení pravidel firewallu pro jednotlivé segmenty. Firewall v linuxu nftables je novější nástroj, který přišel jako nástupce iptables. Nabízí lepší výkon, jednodušší syntaxi a lepší integraci s Linuxovým jádrem. nftables kombinuje funkčnost několika předchozích nástrojů (jako iptables, ip6tables, arptables a ebtables) do jediného řešení. Umožňuje efektivnější správu firewall pravidel a podporuje pokročilé funkce jako mapy a sady, což zjednodušuje správu komplexních pravidel. Alternativy jsou iptables, firewalld, ufw Software fail2ban Firewally, zero trust network Firewally dle funkcí – bezstavové, stavové, aplikační, firewally nové generace. Firewally dle umístění – výhody a nevýhody. Zero trust network. o Analyzuje logy, hledá podezřelé události, např. neúspěšné pokusy o přihlášení o Na základě stanovených pravidel (konfigurace jailu) provádí akce – blokuje (v nftables/iptables) danou adresu na určitou dobu o V jailu se nastavuje, který log analyzovat, který filtr použít, jaké provést akce Zero Trust Network Zero Trust je bezpečnostní model, který předpokládá, že žádné zařízení nebo uživatel není implicitně důvěryhodný, ať už se nachází uvnitř nebo vně sítě. Tento model vyžaduje neustálou autentizaci a autorizaci pro přístup k síťovým zdrojům a službám, čímž se zvyšuje bezpečnostní úroveň ve srovnání s tradičními síťovými modely, kde se důvěra obvykle uděluje na základě umístění v síti. Microsoft: o ověřování identit (centrální správa, Single Sign-on, vícefaktorová autentizace), o ověřování/správa zařízení (Mobile device management, Intune), o ochrana dat – klasifikace dat, šifrování dat, o zabezpečení aplikací – včetně testování a monitorování, o ochrana infrastruktury – aplikace nejlepších bezpečnostních postupů pro správu infrastruktury (síťová, virtuální servery, …), o řízení sítě – mikrosegmentace, monitorování anomálii, Fortinet (výrobce firewallů): o firewally a mikrosegmentace, o monitorování událostí, o řízení přístupu (access control), vícefaktorová autentizace, ověřování zařízení, o filtrování obsahu (content filtering), o detekce průniků (Intrusion prevention systém) Firewally jsou nezbytnou součástí bezpečnostní infrastruktury a jejich vývoj reflektuje rostoucí potřebu ochrany proti stále sofistikovanějším hrozbám. Od tradičních bezstavových modelů přes stavové a aplikativní firewally až po NGFW, které poskytují komplexní bezpečnostní řešení, firewally jsou klíčové pro ochranu sítí v dnešním propojeném světě. Segmentace sítě a Zero Trust modely dále posilují ochranu před interními i externími hrozbami. TLS TLS – historie, použití, handshake protokol, autentizace serveru, autentizace klienta. Rozšíření SNI, STARTTLS. Testování nastavení TLS. TLS (Transport Layer Security) je protokol určený pro zabezpečení komunikace v počítačových sítích. Používá se pro vytváření bezpečného "tunelu" pro vzájemnou komunikaci mezi klientem a serverem a je často nasazován pro zabezpečení webového provozu (HTTPS), emailů (IMAPS, POPS), a dalších služeb. Historie TLS SSL (Secure Sockets Layer): Předchůdce TLS, vyvinutý společností Netscape. První verze SSL 2.0 byla vydána v roce 1994, následována SSL 3.0 v roce 1995. TLS (Transport Layer Security): Vyvinut jako nástupce SSL. První verze TLS 1.0 byla publikována v roce 1999. Následovaly další verze TLS 1.1 (2006), TLS 1.2 (2008) a TLS 1.3 (2018). Handshake Protokol Handshake v TLS 1.2 a 1.3: Proces handshake v TLS zahrnuje několik kroků, kde klient a server dohodnou parametry spojení, jako jsou používané šifrovací algoritmy, a provádějí vzájemnou autentizaci. Klíčové kroky zahrnují výměnu "Client Hello" a "Server Hello" zpráv, výměnu klíčů a potvrzení (Finished). Autentizace Serveru a Klienta Autentizace Serveru: Server prokazuje svou identitu klientovi pomocí digitálního certifikátu a privátního klíče. Server podepíše určité informace z handshake procesu svým privátním klíčem, a klient tyto informace ověří pomocí veřejného klíče získaného z certifikátu serveru. Autentizace Klienta: Volitelně může být vyžadována i autentizace klienta, kde klient poskytne svůj vlastní certifikát a podepíše handshake zprávy svým privátním klíčem. Rozšíření TLS SNI (Server Name Indication): Rozšíření TLS, které umožňuje klientovi sdělit serveru název serveru (hostname), ke kterému se snaží připojit. To je užitečné na serverech hostujících více domén (virtual hosting) na jedné IP adrese. STARTTLS: Komunikační protokol, který umožňuje upgrade nezabezpečeného spojení na zabezpečené (TLS/SSL) spojení. Používá se v emailových protokolech jako SMTP, IMAP a POP3. Testování Nastavení TLS Testování nastavení TLS je důležité pro zajištění bezpečnosti a kompatibility s různými klienty a protokoly. Existují různé nástroje a služby, které umožňují analýzu a hodnocení konfigurace TLS, včetně podporovaných verzí protokolu, šifrovacích sad a dalších bezpečnostních parametrů. https://www.ssllabs.com/ TLS je stěžejní pro zabezpečení moderního internetového provozu a jeho vývoj reflektuje neustále se měnící bezpečnostní výzvy. Autentizace serveru a klienta, spolu s pokročilými funkcemi jako SNI a STARTTLS, a pravidelné testování konfigurace, vše přispívá k robustní a flexibilní zabezpečení komunikace v sítích. VPN Základní typy VPN – Site-to-Site, Remote access, Public VPN. Protokoly pro VPN. VPN a soukromí na internetu. Tor network. Virtuální privátní sítě (VPN) jsou nástroje pro zabezpečení internetového provozu a poskytují soukromí a anonymitu. Existují různé typy VPN a protokoly, které se používají pro různé účely. Základní Typy VPN 1. Site-to-Site VPN: Propojuje podsítě přes veřejnou síť. Často se používá pro připojení poboček nebo obchodních partnerů. 2. Remote Access VPN (Host-to-Network): Umožňuje individuálním uživatelům připojit se do podnikové sítě nebo domácí sítě. Běžně se používá pro vzdálené pracovníky nebo pro připojení do domácí sítě z jiné lokace. 3. Public VPN (Veřejní Poskytovatelé VPN Služeb): Poskytují služby pro změnu lokality, obcházení omezení služeb (např. audiovizuálních), ochranu soukromí, zvýšení bezpečnosti na nezabezpečených WiFi sítích a obcházení státních firewallů. Protokoly pro VPN 1. PPTP (Point to Point Tunneling Protocol): Jedná se o nejstarší VPN protokol s relativně slabým zabezpečením, ale rychlým provozem. 2. IPsec (Internet Protocol Security): IPsec je standard z roku 1995, který poskytuje bezpečný a poměrně rychlý tunelovací protokol, ale může mít problémy s průchodem přes NAT. Obsahuje dva tunelovací protokoly: IKEv2 a L2TP/IPsec. 3. OpenVPN: Založeno na SSL/TLS, poskytuje tunelování skrz TCP nebo UDP. OpenVPN má větší režii, ale lépe prochází přes firewally a NAT. 4. WireGuard: Jedná se o novější alternativu k OpenVPN, která nabízí vyšší rychlost, menší režii, méně kódu a podporu roamingu. VPN a Soukromí na Internetu Public VPN: o Public VPN slouží jako nástroj pro zvýšení soukromí na internetu tím, že maskuje IP adresu uživatele a šifruje jeho provoz. o Významné je uvědomit si, že poskytovatelé VPN mohou logovat aktivitu, což může ovlivnit míru soukromí. Tor Network Tor (The Onion Router): o Tor je systém pro anonymní komunikaci na internetu. o Funguje tak, že internetový provoz uživatele je směrován přes síť distribuovaných serverů, což ztěžuje sledování zdroje a cíle provozu. o Tor je populární volbou pro uživatele, kteří vyhledávají vysoký stupeň anonymity a soukromí při procházení internetu. VPN a Tor jsou klíčové nástroje pro zajištění soukromí a bezpečnosti na internetu. Zatímco VPN šifruje a maskuje internetový provoz, Tor poskytuje anonymitu tím, že rozptyluje provoz přes síť serverů. Výběr mezi VPN a Tor závisí na konkrétních potřebách a požadavcích na soukromí a bezpečnost. SSH SSH – historie, použití, struktura protokolu, autentizace serveru (model důvěry), autentizace uživatele pomocí hesla a klíče (porovnání, výhody a nevýhody …). SSH (Secure Shell) je protokol používaný pro bezpečnou komunikaci přes nezabezpečenou síť. Je široce využíván pro vzdálenou správu systémů a přenos dat. Historie SSH: SSH byl vyvinut v roce 1995 Tatu Ylönenem jako bezpečnější alternativa k tehdejším nezabezpečeným protokolům, jako je Telnet a rlogin, které přenášely data, včetně přihlašovacích údajů, ve formě čitelného textu. První verze, SSH-1, měla několik bezpečnostních problémů, které byly následně řešeny ve verzi SSH-2, což je dnes nejrozšířenější verze. Použití SSH: SSH je primárně používán pro bezpečný přístup k vzdáleným počítačům a přenos souborů, ale podporuje i další síťové služby jako port forwarding a tunneling. Běžně se používá v operačních systémech Unix, Linux a macOS, ale je dostupný i pro Windows. Struktura Protokolu: SSH využívá klient-server model, kde klient se připojuje k serveru prostřednictvím šifrovaného kanálu. Protokol pracuje ve třech fázích: vytvoření spojení, autentizace a zabezpečená komunikace. Autentizace Serveru (Model Důvěry): SSH používá digitální certifikáty a veřejné klíče pro ověření identity serveru. Klienti obvykle ukládají "otisky" veřejných klíčů známých serverů (known_hosts), což pomáhá předcházet útokům typu "man-in-the-middle". Autentizace Uživatele: 1. Autentizace Heslem: o Použití: Uživatel zadá své heslo pro přístup k serveru. o Výhody: Jednoduchost a snadná implementace. o Nevýhody: Nižší úroveň bezpečnosti; hesla mohou být odhalena nebo prolomena. 2. Autentizace Klíčem: o Použití: Uživatel generuje pár veřejného a soukromého klíče. Veřejný klíč je nahrán na server, zatímco soukromý klíč zůstává u uživatele. o Výhody: Vyšší úroveň bezpečnosti; soukromý klíč není nikdy přenášen po síti. o Nevýhody: Vyžaduje správu klíčů a bezpečné ukládání soukromých klíčů. SSH SSH – historie, použití, struktura protokolu, autentizace serveru (model důvěry), autentizace uživatele pomocí hesla a klíče (porovnání, výhody a nevýhody …). Porovnání Autentizace Heslem a Klíčem: Autentizace klíčem je obecně považována za bezpečnější než autentizace heslem, protože odolává různým druhům útoků, jako je odposlech hesla nebo brute force útoky. Správa klíčů může být náročnější, ale poskytuje lepší ochranu, zejména při použití s dalšími bezpečnostními opatřeními, jako je passphrase pro soukromý klíč. SSH je robustní a flexibilní nástroj pro zabezpečenou komunikaci a správu vzdálených systémů. Jeho schopnost poskytovat bezpečný kanál přes nezabezpečené sítě z něj činí klíčovou součást mnoha bezpečnostních a operačních strategií. Bezpečnost HTTPS HTTPS a HTTP, bezpečnostní hlavičky HTTP protokolu (HTTP Strict Transport Security, Content Security Policy, …) a proti jakým útokům chrání. HTTPS (Hypertext Transfer Protocol Secure) je rozšíření HTTP protokolu, které zajišťuje bezpečnou komunikaci v počítačových sítích. HTTPS šifruje data mezi webovým prohlížečem a serverem, což zvyšuje soukromí a bezpečnost uživatelů. Kromě šifrování, HTTPS a HTTP protokoly mohou využívat různé bezpečnostní hlavičky pro další ochranu proti specifickým útokům. Protokol HTTP (Hypertext Transfer Protocol) je základem pro komunikaci na webu. Jeho hlavním úkolem je přenášet hypertextové dokumenty, jako jsou webové stránky. HTTP je založen na klient- server modelu, kde klient (obvykle webový prohlížeč) požaduje zdroje (jako jsou webové stránky, obrázky, videa atd.) a server tyto požadavky zpracovává a vrací odpovídající odpovědi. Základní Principy HTTP: 1. Bezstavovost: HTTP je bezstavový protokol, což znamená, že každý požadavek od klienta na server je nezávislý a server neuchovává žádný stav (informace) mezi požadavky. To zjednodušuje design, ale také znamená, že pro udržení stavu (např. uživatelské session) jsou potřeba další mechanismy, jako jsou cookies. 2. Klient-Server Model: Komunikace probíhá mezi klientem a serverem. Klient (např. webový prohlížeč) odesílá požadavek HTTP metodou (GET, POST, atd.), a server odpovídá zasláním požadovaného zdroje, statusového kódu a dalších informací. 3. Metody HTTP: HTTP definuje řadu metod, které určují akci, kterou má server provést. Nejčastěji používané metody jsou: GET: Požadavek na získání zdroje od serveru. POST: Odeslání dat na server, obvykle pro odeslání formuláře. PUT: Nahrazení určitého zdroje na serveru. DELETE: Smazání určitého zdroje na serveru. 4. Statusové Kódy: Server odpovídá na požadavky klienta statusovými kódy. Tyto kódy informují klienta o výsledku zpracování požadavku. Například: 200 OK: Úspěšný požadavek. 404 Not Found: Požadovaný zdroj nebyl nalezen. 500 Internal Server Error: Interní chyba serveru. 5. Hlavičky: HTTP zprávy obsahují hlavičky, které poskytují další informace o požadavku nebo odpovědi. Tyto hlavičky mohou obsahovat informace o typu obsahu, kódování, autentizaci a mnoho dalších. Bezpečnost HTTPS HTTPS a HTTP, bezpečnostní hlavičky HTTP protokolu (HTTP Strict Transport Security, Content Security Policy, …) a proti jakým útokům chrání. Hlavičky HTTP Protokolu 1. HTTP Strict Transport Security (HSTS): Tato hlavička instruuje prohlížeče, aby v budoucnu přistupovaly k webové stránce pouze prostřednictvím HTTPS. Pokud je HSTS nastaveno, například na dobu šesti měsíců, prohlížeč automaticky převádí všechny HTTP požadavky na HTTPS pro tuto stránku. HSTS brání útokům typu "man-in-the-middle", kdy útočník může přesměrovat nebo upravit nezabezpečené HTTP spojení. Prohlížeč také neumožní uživatelům obejít varování o neplatném certifikátu, což zvyšuje bezpečnost proti falšování certifikátů. 2. Content Security Policy (CSP): CSP je bezpečnostní hlavička, která pomáhá zabránit útokům typu Cross-Site Scripting (XSS) a Clickjacking tím, že omezuje, odkud mohou být stahovány zdroje, jako jsou skripty, obrázky, atd. CSP umožňuje webovým administrátorům určit, jaké externí zdroje mohou být načítány a spouštěny na jejich webových stránkách. Pomocí CSP mohou správci omezit, ze kterých serverů lze stahovat dodatečné prvky, omezit definici JavaScriptu uvnitř stránky a zakázat nebezpečné JavaScriptové funkce, jako je eval. CSP může také omezit, kam mohou být odesílána data z formulářů, a slouží jako náhrada za zastaralé X-Frame-Options pro ochranu proti clickjackingu. Celkově HTTPS a bezpečnostní hlavičky HTTP protokolu, jako jsou HSTS a CSP, hrají klíčovou roli v ochraně uživatelů internetu proti různým typům útoků, včetně útoků typu man-in-the-middle, XSS a clickjacking. Tyto mechanismy pomáhají zajistit, že uživatelé komunikují s webovými stránkami bezpečným způsobem a že jejich data jsou chráněna před neoprávněným přístupem a manipulací. DALŠÍ OTÁZKY Z PREZENTACÍ HTTPS a HTTP, bezpečnostní hlavičky HTTP protokolu (HTTP Strict Transport Security, Content Security Policy, …) a proti jakým útokům chrání. BONUS Z PREZENTACÍ Q: Jak se v organizacích vymezuje bezpečnosti informačních systémů? Jaké jsou její základní atributy a co si pod nimi představuji? Jak se informace v organizaci klasifikují? Jaké jsou základní zákony, které bezpečnost informačních systémů v organizaci upravují? A konkrétně v kterých oblastech? Jaké jsou běžně používané rámce metodiky řízení bezpečnosti informací v organizacích? A: Bezpečnost informačních systémů v organizacích je klíčová pro ochranu dat, zajištění nepřetržitého provozu a dodržování právních a regulatorních požadavků. Přistupuje se k ní komplexně a zahrnuje různé aspekty a postupy. Základní Atributy Bezpečnosti Informačních Systémů: 1. Důvěrnost: Ochrana informací před neautorizovaným přístupem nebo zveřejněním. 2. I

BIS-24-komenty PDF - Outline of Cybersecurity

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue