2003. február 11.Biztonságos Windows környezetben 1 Biztonságos Windows Környezetben Ingyenes kliensek, jelszavak védelme, kódolás és egyebek Telbisz Ferenc
2003. február 11.Biztonságos Windows környezetben 2 Tartalomjegyzék kliens választás szempontjai Ingyenes kliensek összehasonlítása Titkosításról és autentikációról röviden Jelszó védelem beállítása Virusok és attachment-ek Kód beállítás (UTF-8) és HTML formátum használat kliens váltás
2003. február 11.Biztonságos Windows környezetben 3 Alapvető használati szempontok A mobilitás alapvető követelmény ! Döntő a mail szerver elérési protokoll –POP3 protokoll Minden levél a saját gépen tárolható (folderekben) Mérsékelt adatvédelem Ideális a lap-top használóknak –IMAP protokoll Levelek az IMAP szerveren tárolva (folderekben) Biztonságos adatvédelem Ideális a "nomádoknak"
2003. február 11.Biztonságos Windows környezetben 4 Alapvető használati szempontok Dial-up használat –Off-line üzemmód szükséges Több mail szerver lehetősége multipop IMAP estén automatikus Több személyiség lehetősége smtp szerver konfigurálására is hatással van
2003. február 11.Biztonságos Windows környezetben 5 kliensek összehasonlítása (1) Csak helyi SMTP és IMAP/POP3 szerverrel (pl. Mercury v3.32) (2) Csak védett "alagúttal" (pl. stunnel program v 3.22) (3) Attól függ, hogy mit engedélyezünk a böngészőben Vigyázat: Eudora, Netscape/Mozilla és Outlook Express: offline használathoz másolatot készít az IMAP folder-ekről (biztonság)
2003. február 11.Biztonságos Windows környezetben 6 URL-ek Eudora: Pine: Pegasus: Mercury v3.31: Mozilla: Netscape: ftp://ftp.netscape.com
2003. február 11.Biztonságos Windows környezetben 7 Jelszó védelem Miért kell védekezni ? Lokális hálózatok (LAN) alapvetően broadcast jellegűek: mindenki hall mindent Távoli bejelentkezésnél sok közbenső "útonállási" lehetőség Nemcsak a saját adatainkat veszélyeztetjük, hanem –a másokét is –a rendszerek integritását is Ez az Internet nem olyan mint kezdetben: –információ, felhasználás, felhasználók –hecker-ek "feljődése": intellektuális játék, tüntetés, terrorista
2003. február 11.Biztonságos Windows környezetben 8 Jelszó védelem Dedikált pont-pont kapcsolatok (WAN) lehallgathatók, de –nem egyszerűen, –nem észrevehetetlenül. Ipari környezetben korábbi adat: A támadások 60 – 80% –a szervezeten belülről. Védekezés: –fizikai: struktúrált kábelezés –VLAN –jelszavak elrejtése Általános titkosítás (erről itt nem lesz szó)
2003. február 11.Biztonságos Windows környezetben 9 Titkosításól és autentikációról röviden Titkosítási algoritmus cipher –Két függvény: kódolás – dekódolás Kulcs (az algoritmus használja) key –A mai titkosítási eljárásokban nem az algoritmus, hanem a kulcs a lényeg –a kulcs ismeretében a dekódolás elvégezhető –kulcs nélkül a dekódolás gyakorlatilag lehetetlen
2003. február 11.Biztonságos Windows környezetben 10 Szimmetrikus kulcsos titkosítás Mindkét fél ugyanazt a kulcsot használja Hatékony (gyors)
2003. február 11.Biztonságos Windows környezetben 11 Nyilvános kulcsos titkosítás Két kulcs: nyilvános kulcs – privát kulcs A nyilvános kulccsal titkosított adat csak a privát kulccsal dekódolható (titkos üzenet küldése) A privát kulccsal titkosított adat csak a nyilvános kulccsal dekódolható (autentikáció, digitális aláírás) Processzor igényes
2003. február 11.Biztonságos Windows környezetben 12 Secure Socket Layer (SSL) Eredetileg a Netscape fejlesztette ki az SSL protokollt Az SSL protokoll egy közbenső réteg IETF szabvány: RFC 2246 The TLS Protocol Version 1.0. T. Dierks, C. Allen. January IETF: számos további RFC a használatáról
2003. február 11.Biztonságos Windows környezetben 13 Az SSL protokoll működése Két szubprotokoll: –SSL reocord protocol: átviteli formátum –Az SSL handshake protocol: szerver – kliens üzenetváltás Kezdeti üzenetváltás tartalma: –Szerver autentikálása a kliens számára: nyilvános kulccsal –Megállapodás a kódolási algoritmusban (amit mindkettő tud) –A kliens autentikálása (opcionális) –Nyilvános kulcs használata a szimmetrikus kulcshoz –Titkosított SSL kapcsolat létrehozása (ha támogatott) Autentikáló szervezet(ek) (Certification Authority: CA) –Hierarchikus felépítés –Bizonyitvány kibocsátás térítés ellenében
2003. február 11.Biztonságos Windows környezetben 14 Certificate minta
2003. február 11.Biztonságos Windows környezetben 15 Outlook Express biztonsági beállítás Menu: Tools/Accounts/Mail – Szerver kiválasztása Click: "Properties"
2003. február 11.Biztonságos Windows környezetben 16 Click "A kiszolgáló biztonságos (SSL) kapcsolatot igényel" Az Advanced (Speciális) levélen: Az "Incoming mail"-nél:
2003. február 11.Biztonságos Windows környezetben 17 Lehet még: a Servers levélen: Click "Logon using Secure Password Authentication" Nem ajánlatos, mert authentikációt vár el.
2003. február 11.Biztonságos Windows környezetben 18 Új Outlook express account bevezetése Menu: Tool / Add / mail Ez végig vezet az account definíción
2003. február 11.Biztonságos Windows környezetben 19 A végeredmény:
2003. február 11.Biztonságos Windows környezetben 20 PC-Pine biztonsági beállítása Main menu: Setup
2003. február 11.Biztonságos Windows környezetben 21 Setup: Config (C)
2003. február 11.Biztonságos Windows környezetben 22 Inbox path: {sunserv.kfki.hu/tls/novalidate-cert/user=…..}INBOX
2003. február 11.Biztonságos Windows környezetben 23 PC-Pine biztonsági beállítása Main menu: Setup
2003. február 11.Biztonságos Windows környezetben 24 Setup: CollectionLists (L)
2003. február 11.Biztonságos Windows környezetben 25 Folders: sunserv.kfki.hu/tls/novalidate-cert/user=….. in /
2003. február 11.Biztonságos Windows környezetben 26 Eudora biztonsági beállítások Tools/Options/Checking mail/Incoming mail Megpróbálni a leveleket lehozni nem fog sikerülni Last SSL Info Lehúzni a menüt Required, alternate port vagy Required, STARTTLS ( sunserv-nél ezt !) Secure socket when receiving:
2003. február 11.Biztonságos Windows környezetben 27 Click: "Certificate Information Manager"
2003. február 11.Biztonságos Windows környezetben 28 Select: HU, KFKI …, Click: "Add to Trusted", Click: "Done"
2003. február 11.Biztonságos Windows környezetben 29 Pegasus Nincs TLS/SSL képessége A stunnel programmal egy védett alagútat (tunnelt) hozunk létre A védett és a nem védett protokollok más portokat használnak A stunnel egy "virtuális" mail szervert létesít a helyi gépen, és ezt továbbítja a szerver védett portjára A stunnel program letölthető: Szükségesek az SSL könyvtárak is: libeay32.dll és libssl32.dll (letölthetők: ugyanonnan) Pegasus Internet opció ill. IMAP módosítása
2003. február 11.Biztonságos Windows környezetben 30 Receiving (POP3) levélen: POP3 host : localhost ( ) Hasonló módosítás a Tools/IMAP profiles - nél is
2003. február 11.Biztonságos Windows környezetben 31 Pegasus Elindítjuk a stunnel-t egy DOS ablakban: –paraméterek: helyi port (a hagyományos) távoli gép és védett port Pl. POP3-hoz: start stunnel.exe -c -d 110 -r sunserv.kfki.hu:995 Indítható a Pegasus A Pegasus leállítása után a stunnel DOS ablakát le lehet zárni Részletes útmutató:
2003. február 11.Biztonságos Windows környezetben 32 Virusok és attachment-ek Neumann elv: adatok és programok ugyanott tárolhatók Számítástudomány – struktúrált programozás: Program és adatmezőket válasszuk szét ! A levél adat, de attachmentben lehetnek "humoros" és gonosz programok: Veszélyes kiterjesztések:.exe,.bat,.com, … Veszélyességet növeli: –windows-ban gyakorlatilag nincs memória védelem –file védelem alig (csak NTFS-ben) Orvosi analógiák
2003. február 11.Biztonságos Windows környezetben 33 Virusok és attachment-ek Az "új generáció" nagy találmánya: az adat mezőbe is tegyünk ügyes kis programocskákat (pl. word makrok, stb.) Ezek rugalmasak, csak egy interpreter kell. Újabb veszélyes kiterjesztések:.doc, xls, … Újabb ötlet: tegyünk a levél szövegébe is visual basic programokat, amit az Outlook Express végrehajt Veszélyes lehet minden levél! Elrejtett dupla file kiterjesztések: –Windows default: ismert file tipusok elrejtése –pl. Kournikova.gif.exe Kournikova.gif.exe
2003. február 11.Biztonságos Windows környezetben 34 Védekezés Tegyük láthatóvá a kiterjesztéseket
2003. február 11.Biztonságos Windows környezetben 35 Windows NT: My computer/Options/View
2003. február 11.Biztonságos Windows környezetben 36 Windows 9x: My Computer/Folder Options
2003. február 11.Biztonságos Windows környezetben 37 Védekezés Mástól kapott végrehajtható file-t sose indítsunk el –Előbb egyeztessünk a küldővel Megbízható helyről kapott egyéb dokumentumoknál is legyünk óvatosak Használjunk vírusirtót –Gyakran frissítsük ( 1 – 2 hét ) –A shield mód általában fölösleges (processzor igényes) –A kapott dokumentumokat előbb mindig ellenőrizzük. Kollektív védekezés –Virus szűrés –Közvetlenül végrehajtható file-ok kitiltása (KFKI-ban is) –Költséghatékonyabb az egyéni védekezésnél Tegyük láthatóvá a kiterjesztéseket
2003. február 11.Biztonságos Windows környezetben 38 Védekezés Személyes tűzfal –Fölösleges, ha van kollektív tűzfal –Az ISP-k általában nem nyújtanak vírusvédelmet nem különösebben veszélyes a telefonos behívásnál –De külön kockázat a szélessávú (always-on) kapcsolatnál: kábel modem, ADSL, … –Vannak (otthoni használatra) freeware eszközök is (Tucows) A Microsoft Outlook 2000-ben van tiltólista –Chip 2002 Május 5 számban olvasható –Csak az SP2-ben –Használata nehézkes –Registry-ben (registry editor) is módosítható Netscape 7 és a Mozilla –HTML formátumú leveleknél tiltsuk le a script-ek végrehajtását
2003. február 11.Biztonságos Windows környezetben 39 SPAM Nem föltétlenül veszélyes, csak bosszantó –Védekezés szűrő listákkal Veszély, de nem informatikai: csalás –Pl.: "The Nigerian Hoax" – –
2003. február 11.Biztonságos Windows környezetben 40 Kód beállítása Szövegben a nemzeti (magyar) karakterek megoldva –Latin-1 (ISO – 8859 – 1), Latin-2 (ISO–8859 –2) –Megjelenítés függ a font készlettől is. ( pl. ő, ű) Subject és név kódolása –RFC csak ASCII karaktereket enged meg –Ennek ellenére sok helyen átmennek –Levelező kliensek nem mindig jól jelenitik meg –Levelező listákon is gondot okoznak –Tegyük idézőjelek közé, ez segíthet (de nem mindig) Udvariatlan dolog az ékezetes karakterek használata a levél fejlécében
2003. február 11.Biztonságos Windows környezetben 41 UTF-8 A korábbi módszer csak "területi" megoldásokat adott: Nyugat Európa, Kelet-Közép-Európa, …. Unicode eredetű Célja az összes ABC kiszolgálása Nem indokolt a használata, mert –általában egy nyelvterületen belül levelezünk –legtöbb levelező kliensben olvashatatlan: HÅ^Ñs vértÅ^Ñl pirosult gyásztér sóhajtva köszöntlek Nemzeti nagylétünk nagy temetÅ^Ñje, Mohács Jelenleg símán kezeli: –Outlook Express Itt default beállítás, küldésnél másoknak kellemetlenkedünk vele ! –Mozilla –Netscape 7
2003. február 11.Biztonságos Windows környezetben 42 Kódolás beállítása Outlook Expressnél Options /Send Click: "International settings"
2003. február 11.Biztonságos Windows környezetben 43 Választás: Central European (ISO) vagy Central European (Windows)
2003. február 11.Biztonságos Windows környezetben 44 HTML formátum használata Minden korszerű mail kliens ismeri Előnye a szebb formátumú levél Ne küldjük mindkét formátumot, fölösleges A Netscape 7- nél és a Mozillá - nál tiltsuk le a HTML formátumú leveleknél a script -ek végrehajtását
2003. február 11.Biztonságos Windows környezetben 45 kliens váltás Címjegyzék konvertálásra vannak eszközök –Import / Export funkciók: Általában működnek –A címjegyzék lényegében text file, esetleg directory-val: A text file formátuma szövegszerkesztővel is konvertálható A levelező kliens a directory-t általában elkészíti, ha hiányzik
2003. február 11.Biztonságos Windows környezetben 46 kliens váltás Folder-ek konvertálása: –Vannak eszközök: Import / Export funkciók –Ezek nem mindig működnek (levelek elveszhetnek) –Konverzió előtt a folder-eket tömöríteni kell ! Legjobb egy IMAP szerver segítségével végezni. –Sunserv, ….. –Helyi IMAP szerver installálása: Mercury mail server 3.32 (freeware) Mercur mail server (csak NT, shareware, 30 nap próbaidö) CommuniGate mail server (shareware, korlátlan próbaidő, de banner a levél küldésnél) Merak Mail Server (shareware, 30 nap próbaidö)
2003. február 11.Biztonságos Windows környezetben 47 Zárszó Jelszót ne küldjünk nyiltan Virusok ellen védekezzünk Az Outlook Express kiemelt kockázati tényező Ingyenes mail kliens széles választékban található Jelszó védelem beállításához részletes útmutató:
2003. február 11.Biztonságos Windows környezetben 48 Vége Köszönöm a figyelmet