POSTUP ZABEZPEČENÍ
1) důvěryhodný operační systém
2) potřeba soustředit veškeré zabezpečení do jednoho bodu
3) firewall- musí to být stroj na kterém běží pouze firewall
PRAVIDLA PRO FIREWALLY
- je to souhrn pravidel a opatření, které určuje chování lidí k počítačům a počítačové síti
- bezpečnostní opatření pro:- spuštění
- připojování periférií
- používání modemu
- připojení do sítě
- zálohování
- software:- rozdělení disků
- přístupová práva
- zamezení bootování
FIREWALL
- odděluje důvěryhodnou síť od nedůvěryhodné
- Firewall může být počítač, nebo směrovač alespoň se dvěma síťovými kartami.
- obsahuje:- autentizační mechanismus
- aplikační brány:- nekontrolují packety, ale zajímají se o jejich obsah
- její činnost je lepší než filtrů, ale je pomalejší
- firewally jsou obvykle implementované na serverech
- proxy server- zastupuje jednotlivé aplikace nebo klienty
- jedná svém jménem (zamlžuje předchozí adresu)
- nahrazuje NAT
FILTRY PACKETŮ- vstupní, výstupní
- prvně se provádí speciální příkazy a až potom všeobecné
- může se u nich nastavit, zda mají povolovat nebo zadržovat packety
- Analyzuje hlavičku paketu a na základě IP adresy odesílatele i příjemce rozhodne podle tabulek, zda paket propustí. Pakety jsou tedy jednoduše kontrolovány jak na vstupu, tak i výstupu.
AUTENTIZACE- zajišťuje spojení (přihlašování)
SOCKS- hlídá všechny připojení, které existují a nezáleží na tom, která aplikace je používá
- udržuje TCP spojení nezávisle na aplikaci, která jej používá.tj mění čísla portů
PROXY- zástupná služba pro každou povolenou službu. Proxy server připojuje účastníka k danému serveru a dále jedná jeho jménem.
APLIKAČNÍ BRÁNA- dovede zkoumat obsah packetu
- mail- měla by rozlišovat spamy
TYPY FIREWALLů:- packetový filtr
- aplikační brána
- firewall- kombinace filtru a brány
- IDS, IPS
1) PACKETOVÝ FILTR
- spočívá v tom, že pravidla přesně uvádějí, z jaké adresy a portu na jakou adresu a port může být doručen procházející paket, tj. kontrola se provádí na třetí a čtvrté vrstvě
- Výhodou tohoto řešení je vysoká rychlost zpracování, proto se ještě i dnes používají na místech, kde není potřebná přesnost nebo důkladnější analýza procházejících dat, ale spíš jde o vysokorychlostní přenosy velkých množství dat.
- Nevýhodou je nízká úroveň kontroly procházejících spojení, která zejména u složitějších protokolů (např. FTP, video/audio streaming, RPC apod.) nejen nedostačuje ke kontrole vlastního spojení, ale pro umožnění takového spojení vyžaduje otevřít i porty a směry spojení, které mohou být využity jinými protokoly, než bezpečnostní správce zamýšlel povolit.
- je u něho problém při nastavování portu → musí se nastavit tak, aby neznámá čísla z vnější sítě nepropouštěl dovnitř (tj. zakazuje porty nad 1023)
- stavový packetový filtr- dovede ze socketů větších než 1023 přenést ty, které jsou pokračovatelé již započaté komunikace
- dalším problémem jsou fragmenty (rozdělené packety) u kterých nejde přesně určit co je jejich obsahem
- pravidla pro filtry se někdy nazývají účty a obsahují:- vstupní- pro přijímání dat
- výstupní- pro odesílání dat
- přenosové- zajišťují komunikaci mezi více kartami
- proto aby se poznalo který packet je první a který je poslední se používají synchronizační hodiny
- všeobecná pravidla pro filtraci: a) deaktivace- zakázat všechny protokoly a adresy, kromě vysloveně povolených adres
- zakázat všechny připojení hostitelů k síti
b) přesměrování ICMP a zprávy typu PING (neodpovídat na ně)
c) servery přístupné z venku nedávat do důvěryhodné zóny
d) packetová filtrace možná, ale ne dostatečná
- stavový packetový filtr- propouští do sítě provoz, který už byl navázán, pracuje jako bridže (nemá IP)
- pracuje na 3. a 4.vrstvě ISO OSI, filtruje i porty nad 1023
- provádějí kontrolu stejně jako jednoduché paketové filtry, navíc si však ukládají informace o povolených spojeních, které pak mohou využít při rozhodování, zda procházející pakety patří do již povoleného spojení a mohou být propuštěny, nebo zda musí znovu projít rozhodovacím procesem.
- K největším výhodám stavových paketových filtrů patří jejich vysoká rychlost, poměrně slušná úroveň zabezpečení a ve srovnání s aplikačními branami.
- Nevýhodou je obecně nižší bezpečnost, než poskytují aplikační brány.
- mezi parketové filtry dále patří NAT a Proxy server (viz. otázka č. 15)
2) APLIKAČNÍ BRÁNA
- vytváří vlastní aplikaci
- na rozdíl od paketových filtrů zcela oddělují sítě, mezi které byly postaveny
- provádí kontrolu packetů
- Kontrola dat se provádí na sedmé (aplikační) vrstvě (proto se těmto firewallům říká aplikační brány)
- může být nastavená tak, že pokud neumí analyzovat správu → zablokuje ji
- Jedním vedlejším efektem použití aplikační brány je, že server nevidí zdrojovou adresu klienta, který je původcem požadavku, ale jako zdroj požadavku je uvedena vnější adresa aplikační brány. Aplikační brány díky tomu automaticky působí jako nástroje pro překlad adres (NAT), nicméně tuto funkcionalitu má i většina paketových filtrů.
- Výhodou tohoto řešení je poměrně vysoké zabezpečení známých protokolů.
- Nevýhodou je zejména vysoká náročnost na použitý HW – aplikační brány jsou schopny zpracovat mnohonásobně nižší množství spojení a rychlosti, než paketové filtry a mají mnohem vyšší latenci. Většina aplikačních bran proto uměla kontrolovat jen několik málo protokolů (obyčejně kolem deseti).
ZAPOJENÍ FIREWALLU
A)
- determinizovaná zóna- zóna, která propouští určité požadavky, ale nedostane se přes druhý firewall
B)
3) FIREWALL
- může být:- samostatný HW
- obyčejný počítač, který má výstup na LAN, WAN a determinizovanou zónu
- musí mít:- vlastní IP adresu
- vyhradit adresy pro determinizovanou zónu
- vytvořit logy a jejich adresy
- měl by podporovat VPN- může umět vytvářet i tunely na VPN
- software:- skládá se ze dvou částí: 1) inspection- provádí daná pravidla
2) control modul- spravuje databáze
- pracuje s textovým režimem
- má grafické prostředí (musí umět komunikovat s uživatelem)
- při instalaci musíme definovat:- rozsah adres
- počet uživatelů
- rozmístění komponent v síti
- služby, které chceme veřejně provozovat (musí být v determinizované zóně)
- zda budeme provozovat VPN
- administraci firewallu, sestavení pravidel
4) IDS, IPS
- IDS je systém, který detekuje útoky a IPS systém, který zabraňuje útokům
- zařízení postavené mimo firewall
- hlavním úkolem je rozbor packetů, vyhledávání konkrétních řetězců (Mohou tak například zakázat průchod http spojení, v němž objeví indikátory, že se nejedná o požadavek na WWW server, ale tunelování jiného protokolu)
- poplach nastane, když zařízení zjistí že se může jednat o útok
- Výhodou těchto systémů je vysoká úroveň bezpečnosti kontroly procházejících protokolů - zjišťuje nepravidelnost provozu
- honeypod- počítač, na kterém jsou fiktivní služby
- není určen k tomu, aby na něho přistupovaly uživatelé
- v síti je kvůli bezpečnosti → je to falešný server, který láká hackery a podle toho správce může zjistit kde dělat opatření
- IDS je pomalé a slouží spíše k detekování odkud přišel útok, ale nestihne mu zabránit
- IPS je rychlejší a musí zabránit útoku, musí mít co nejmíň packetů na rozbor, proto se dává až za firewall, který většinu špatných packetů vyfiltruje
- bypass- při poruše vynechá IPS ze sítě a síť běží bez IPS nechráněná
SOFTWAROVÝ FIREWALL
- firewall pro osamocené počítače (není určen pro ochranu sítě)
- je po něm vyžadováno VPN
- analyzuje komunikaci mezi zásobníkem a síťovou kartou
Struktura firewallu
• aplikační brány pracují na aplikační vrstvě a nekontrolují paketovou vrstvu, tzn. zabývají se pouze obsahem paketů. Poštovní brána kontroluje poštu a rozhoduje o její případné likvidaci. Aplikační brány zadrží všechny pakety a u povolených spojení navazují toto spojení znovu. Činnost aplikační brány je bezpečnější než filtrů, neboť přístup se uskutečňuje až na základě autentizace
• První přístup k řešení aplikačních bran je proxy server. Proxy server je zástupná služba pro každou povolenou službu. Proxy server připojuje účastníka k danému serveru a dále jedná jeho jménem.
• druhý druh přístupu tvoří SOCKS (= SOCKetS) server. SOCKS udržuje TCP spojení nezávisle na aplikaci, která jej používá.tj mění čísla portů
BEZPEČNOSTNÍ POLITIKA
- Nastavení pravidel pro komunikaci přes firewall. Určuje rozsah zákazů a povolení.
- Zahrnuje:- pravidla komunikace mezi sítěmi
- globální nastavení, překlady adres (NAT)
- instrukce pro vytváření šifrovaných spojení mezi šifrovacími branami (VPN)
- vyhledávání možných útoků a protokolových anomálií (IDS)
- autentizaci a někdy i autorizaci uživatelů a správu šířky přenosového pásma
2)Princip záznamu a čtení u optických disků
Princip záznamu, čtení, mazání- pro zápis na disk se používá laserový paprsek o velkém výkonu
- paprsek projde vrstvou substrátu a dopadne na tepelně citlivou vrstvu barviva. Na místě dopadu barva zesvětlí a takto je vytvořen jeden bit 1 (neosvětlením je vytvořen bit 0)
- pro čtení se používá paprsek o nejmenší intenzitě, pro mazání o střední a pro vypalování paprsek o nejvyšší intenzitě
pit- kopeček vzniklý na lisovaném nebo vypalovaném optickém disku
Laser a optika
Nejdůležitější část optické mechaniky je optická hlava skládající se z polovodičového laseru, čočky pro usměrnění laserového paprsku a fotodiody, která přijímá odražené světlo z povrchu disku. Laser pro práci s CD má vlnovou délku 780 nm, DVD 650 nm a Blu-ray i HD DVD 405 nm. Média pouze pro čtení (ROM). Dá se na něj zapsat pouze jednou a pak už jen číst. Základní princip vypalování je pro všechny systémy stejný. Jednou zapisovatelný disk má na vrstvě zlata nanesenou organickou vrstvu krytou polykarbonátovým základem. Laserový paprsek projde polykarbonátem a propálí organickou vrstvu až k vrstvě zlata a tím vzniká důlek (pit). Zatímco čtecí laser není silnější než 5 mW, psací laser je mnohem výkonnější. Vyšší zapisovací rychlost nám snižuje dobu zápisu a tím méně času musí laser vypalovat bod na povrchu. Jeho výkon musí růst úměrně. DVD laser má výkon asi v 100 mW v netlumené vlně, a 225 mW při impulsech.
Pro přepisovatelná CD-RW, DVD-RW, DVD+RW, DVD-RAM, BD-RE, HD DVD-RW, nebo HD DVD-RAM média je zápis složitější. U nich je možné předešlý záznam smazat a nahradit novým. Základem je použití materiálů, které mohou měnit svoji strukturu z krystalické na amorfní a zpět. Jestliže se tento materiál místně ohřeje laserovým paprskem na teplotu přes 600°C, změní se struktura v tomto místě po ochlazení na amorfní. Pokud se ohřeje méně (kolem 200°C), vrátí se do původního stavu. Paprsek čtecího laseru se od místa s amorfní strukturou odráží méně než od místa s fází krystalickou, jsou tedy rozlišeny dva stavy - nula a jednička.
Oboustranná média nejsou moc využívaná, protože se pro čtení z druhé strany musí fyzicky otočit DVD disk. Dvouvrstvá média (DL-dual layer) mají dvě nezávislé vrstvy oddělené polopropustnou vrstvou. Obě vrstvy jsou přístupné z jedné strany, ale optika musí změnit vzdálenost laserového ohniska. Na jednovrstvých médiích (SL-single layer) je vyrobena spirálová rýha v ochranné polykarbonátové vrstvě, která zavede záznamovou hlavu na začátek stopy. U dvouvrstvých je první vrstva s mělkou rýhou a polopropustnou vrstvou a druhá vrstva s hlubokou rýhou. Některé vypalovací mechaniky podporují také LightScribe - vypálení potisku na nezapisovatelnou stranu disku.
CAV/CLV
CAV- konstantní úhlová rychlost, používá se u LP desky a mechanik do 12x násobné rychlosti, kde se data čtou od okraje ke středu
- data se čtou stejně rychle a disk se točí různou rychlostí
CLV- konstantní obvodová rychlost, používá se u optických disků nad 12x násobnou rychlost
- disky stejně rychle
P-CAV- kombinované CAV a CLV
Způsob zápisu:- Zápis na optický disk se může provádět najednou (v jedné session- singlesession), kdy jsou všechny stopy zapsány v jednom svazku (dále již není možné na disk cokoliv zapsat)
- Multisession- na disk se dá zapsat více sekcí
- disk může obsahovat jednu nebo více seancí
Opravné kódy:- opravují zjištěnou chybu
- ECC- používá se u kratších bloků dat (např. u pamětí)
- CRC- používá se u delších bloků dat (např. CD nebo HDD)
KNIHY FORMÁTŮ
1) Červená kniha- první standard je určen pro zvukový disk
2) Žlutá kniha- norma pro počítače. CD-ROM se sektorovým dělením určená pro uchování dat
- norma předpokládá 4 vrstvou architekturu disku:
1 vrstva- bitová architektura, identická s červenou knihou
2 vrstva- struktura sektoru, detekce a korekce chyb
3 vrstva- logická organizace sektoru- umožňuje přizpůsobení požadavkům
4 vrstva- logická organizace souborové struktury
- CD-ROM- obsahuje dva módy: MODE 1- s opravou chyb (1 sektor= 2048B)
MODE 2- bez opravny chyb nebo nízkým stupněm oprav (1 sektor=2352B)
- žlutá kniha definuje:- začátek datového záznamu až po 2s. Tím se sníží kapacita o 300kB
- zavaděč spotřebuje 6500 sektorů, tj. 13MB
- kořenový adresář (1 sektor)
- tabulky cest (2 sektory)
- popis média (2 sektory)
- systém (16 sektorů)
!!! celkem asi 21 MB služebních dat !!!
3) Zelená kniha- řeší problém synchronizací AUDIO a VIDEO stop
4) Bílá kniha- používá MPEG pro video a CD-ROM XA pro audio
- navazuje na zelenou knihu
5) Oranžová kniha- zahrnuje normy pro zápis
- např. multisession, CD-RW,…
6) Modrá kniha- zahrnuje směšovací disky
- např. AUDIO-VIDEO, DATA-AUDIO,…
spirálový záznam- většina optických disků (např. DVD+-R/RW, CD-R/RW)
kružnicový záznam- DVD-RAM
VÝPOČTY
Výpočet počtů sektorů: velikost sektoru v módu 1 je 2048B
velikost sektoru v módu 2 je 2352B
počet sektorů se spočítá: velikost CD:velikost sektoru= počet sektorů
- např. 700MB= 700 000 000B : 2048= 342000 sektorů
počet závitů + délka stopy: velikost pitu= 0,6 m 30 000:2,2=1500 závitů
šířka stopy= 1,6 m 3000závitů=1km
2,2 m
DVD
Formát DVD- Jedna strana- Jedna strana- Dvě strany- Dvě Strany-
média jedna vrstva dvě vrstvy jedna vrstva dvě vrstvy
Kapacita 4,7 GB 8,5 GB 9,4 GB 17 GB
- DVD média jsou plastové disky, navenek stejná jako CD média. DVD média mají průměr 12cm a jsou 1,2 mm silná. Data se ukládají pod povrch do jedné nebo dvou vrstev ve stopě tvaru spirály (jako CD). Pro čtení dat se používá laserové světlo s vlnovou délkou 660nm, tedy kratší než v případě CD; to je jeden z důvodů jejich vyšší kapacity.
Má proti klasickým CD zvýšenou kapacitu danou především zvýšením frekvence světelného paprsku. Změna z infra červeného na jasně červenou se zmenšila plocha pitche a tím kapacita disku na 7mi násobek. Tenčí paprsek si vyžádal i poloviční tloušťku plastové vrstvy, takže se jednoduché DVD lepí ze dvou kotoučů, aby se dosáhlo stejné mechanické pevnosti a tloušťky. To umožnilo zvýšení počtu aktivních vrstev na 2. ZaostřováníChyba! Záložka není definována. jak DVD vrstev, tak i klasických CD stejným laserem se provádí změnou ohniskové vzdálenosti (odpadají mechanické díly). Ta se mění pomocí asférické čočky s holografickým prvkem.
Souborová struktura DVD Video disků
- DVD Video disk musí povinně obsahovat adresář s názvem VIDEO_TS, které obsahují soubory s příponou vob, ifo a bup. V těchto souborech jsou uložené všechny potřebné složky video obsahu, jako je obraz, zvuk, hlavní nabídka, informace o kapitolách a titulky.
- Vob (Video Objects) soubory obsahují video, zvuk a titulky a jejich maximální velikost na DVD Video disku nepřekračuje 1 GB, i když lze pomocí určitého softwaru vyprodukovat i Vob soubory o velikostech několika GB. Obvykle bývá jeden film rozdělen klidně i mezi 8 Vob souborů.
- Ifo soubory zase obsahují informace o tom, jaké zvukové stopy a titulky příslušné vob soubory obsahují, a další důležité informace potřebné pro správné fungování DVD Video disku.
- Bup soubory pak představují záložní kopie příslušných ifo souborů.
HD-DVD
- HD DVD je třetí generací optických médií spolu s Blu-ray Disk (po CD a DVD). Tyto disky jsou vyvíjeny společnostmi Toshiba, NEC a Sanyo.
- Na tyto disky půjde zaznamenat 15 až 60GB dat. U lisovaných HD DVD bude možné uložit na jeden SL/SS (jednovrstvý, jednostranný) disk nejvíce 15 GB dat, HD-DVD média ale mohou mít až tři vrstvy a tak se kapacita jednostranného média může vyšplhat až na 45GB. Když vezmeme v úvahu možnost použití oboustranného disku, dostáváme se přes 60 GB.
- Záznamová vrstva se nachází 0,6 mm pod povrchem disku, numerická apertura čočky se zvětšila z 0,60 na 0,65. Hustota záznamu se oproti DVD výrazně zvýšila, protože vzdálenost drah klesla ze 740 na 400 nm, nejmenší délka pitu ze 400 na 204 nm a jeho šířka se zmenšila z 350 na 250 nm. To vše je samozřejmě dáno použitím laseru o vlnové délce 405 nm. Disky mají v průměru 12cm, stejně jako CD, DVD nebo Blu-ray Disc.
BLU-RAY
- Blu-ray disk (je modrý paprsek, označení související s barvou světla používaného ke čtení) patří k nejnovějším optickým diskům.Data se ukládají ve stopách tvaru kružnice 0.1 mm pod povrch disku, příčný odstup stop je 0,35 μm.
- Tak jako CD, má i blu-ray disk průměr 12cm v menší variantě 8cm a tloušťku 1,2mm. Disky umožňují záznam dat s celkovou kapacitou až 25GB u jednovrstvého disku, 50GB u dvouvrstvého disku až po 100GB u oboustranné dvouvrstvé varianty.
Žádné komentáře:
Okomentovat