Začínáme s ASP.NET 2.0 – 2. díl: zabezpečení počítače

Ve druhém dílu seriálu pro začínající vývojáře ASP.NET se budeme věnovat zabezpečení počítače. V době všudypřítomného internetu je každý připojený počítač vystaven neustále hrozbě a podcenění zabezpečení může vést ke zkáze dat a ztrátě citlivých údajů doslova během několika málo minut.

V ideálním světě, kde by vše fungovalo tak, jak má, by žádné bezpečnostní problémy vlastně ani neexistovaly. Bohužel náš svět se liší od ideálního v několika „drobných“ detailech:

  • uživatelé se chovají nezodpovědně, v rozporu s doporučeními, která buď neznají anebo ignorují,
  • správci systému nedodržují doporučené postupy pro instalaci a konfiguraci aplikací a operačního systému,
  • programy mají chyby, které lze zneužít k útokům na bezpečnost počítače.

Vzhledem ke složitosti celé problematiky se Microsoft snaží co nejvíce zjednodušit, zlidštit a zpřístupnit zabezpečení počítače koncovým uživatelům. Tato iniciativa se nazývá 3 kroky k zabezpečení počítače (používání firewallu, aktualizace počítače, používání antivirového programu). Jakkoliv se takovýto přístup může zdát počítačovému profesionálovi příliš zjednodušený, je faktem, že přinesl v poslední době razantní zvýšení základní úrovně bezpečnosti počítačů, z nichž mnoho je vlastněno laiky a nemá profesionálního správce.

Používání osobního firewallu

Firewall slouží jako první linie obrany. Filtruje síťovou komunikaci přicházející zvenčí (ze sítě, z internetu apod.) a zabraňuje veškerým pokusům o nepovolenou komunikaci. Zapnutí firewallu je jednoduché – v ovládacích panelech buď prostřednictvím položky Windows Firewall anebo ve vlastnostech síťové karty – viz obrázek:

Základní ovládání firewallu je jednoduché – zapnout a vypnout. Další operace, jako je nastavování výjimek pro aplikace a síťové karty nebo povolování některých příchozích komunikací jsou již za hranicí tohoto článku.

Samozřejmě nemusíte používat Windows Firewall, ale můžete místo něj použít osobní firewall jiného výrobce. Na trhu jich je celá řada, mnohé jsou dokonce k dispozici zdarma.

Je třeba si uvědomit, že firewall sám o sobě je zcela nedostatečnou ochranou, brání pouze před aktivním napadením počítače zvenčí. V žádném případě neochrání před jinými způsoby zavlečení nákazy – stažením a spuštěním infikované webové stránky nebo obsahu, prostřednictvím emailu, CD/DVD, diskety, USB klíče apod.

Antivirový software

Antivirový software se snaží likvidovat nežádoucí soubory, programy, skripty, dokumenty apod., které se na počítač již dostaly anebo se právě dostat snaží. Na trhu je velké množství antivirových programů, mnohé po určitou dobu zadarmo anebo za přijatelný peníz. Aby byla antivirová ochrana účinná, je nezbytná okamžitá aktualizace virových databází jakmile se objeví nová verze. Bez této funkce je antivirový program téměř neúčinný. Výhodou antivirových programů je, že dokáží zčásti napravit chybné a lehkovážné chování uživatele, stoprocentní účinnost ale nelze čekat nikdy. Hlubší rozbor jednotlivých druhů nákaz a odpovídajících funkcí antivirových programů není účelem tohoto textu.

Správa oprav

Viry, červi, trojské koně a další zlovolný software lze rozdělit zhruba do dvou skupin. První využívají nevzdělanosti a naivity uživatele (lehkovážné chování, špatná konfigurace apod.). Druhá skupina využívá chyb a slabin v operačním systému nebo některé z nainstalovaných aplikací. Antivirové programy s rozumnou mírou úspěšnosti chrání proti oběma skupinám. Instalace bezpečnostních oprav je pak prakticky 100%ní ochranou proti druhé skupině.

Druhy softwarových oprav

Softwarové opravné balíčky se označují různými názvy. Dají se rozdělit do tří skupin: service packy, hotfixy a „něco mezi tím“.

Service packy (SP) jsou známé největšímu počtu lidí. Nabízejí opravu většího množství chyb v jednom kroku.Ve většině případů se číslují vzestupnými čísly (SP1, SP2, SP3, ...) a označují se jménem produktu a tímto číslem (např. Windows Server 2003 Service Pack 4). Zpravidla obsahují všechny opravy uskutečněné od vydání produktu – říkáme, že jsou kumulativní. V praxi to znamená, že pokud například existuje SP4 na Windows Server 2000, postačí když nainstalujete operační systém z originálního média a poté Service Pack 4 coby poslední vydaný service pack – nemusíte tedy instalovat SP1, SP2 a SP3. Service packy na produkty Microsoftu jsou vydávány poměrně zřídka a s tím jak se zpřísňují kritéria a vylepšuje metodika a kvalita vývoje produktů, perioda jejich vydávání se dále zvyšuje. V tabulce vidíte dobu vydání příslušného SP od vydání produktu v měsících:

Produkt/SP SP1 SP2 SP3 SP4 SP5 SP6
Windows NT 4 1 3 8 25 32 39
Windows 2000 5 15 30 40 - -
Windows XP 12 36 - - - -
Windows Server 2003 24 - - - - -

Service packy by v zásadě měli instalovat všichni uživatelé produktu, takže spíše než „zda“ by bylo vhodné ptát se „kdy“. Zejména ve velkých firmách je zpravidla nutné otestovat, zda instalace SP nenaruší funkci stávajících aplikací nebo produktů, což může někdy trvat měsíce. Drobní uživatelé by s instalací SP neměli příliš otálet – čekáním nic nezískají. SP jsou velmi důkladně testovány a rovněž srovnávají systémy s různě instalovanými opravami na jednotnou úroveň. Veškeré produkty a další vyvíjené opravy jsou typicky testovány oproti poslednímu a předposlednímu vydanému SP, takže instalací SP se rovněž snižuje riziko, že vaše aplikace budou mít funkční problémy.

Hotfixy (nazývané též patche nebo záplaty) naopak opravují většinou pouze jedinou objevenou chybu a jsou tedy vydávány výrazně častěji – pro jeden produkt může být klidně vydáno i několik hotfixů měsíčně. Plně opravený produkt tak může mít nainstalované i desítky hotfixů. Měli byste totiž instalovat všechny hotfixy, které nebyly zahrnuty v posledním vydaném service packu, což nám znovu připomnělo důležitost instalace SP – je určitě výhodnější nainstalovat poslední SP a 5 hotfixů než instalovat 50 hotfixů.

Hotfixy Microsoftu se označují písmenem Q a šestimístným číslem. Jejich popis je přístupný na webu Technetu, kde je umístěna tzv. Knowledge Base (KB). Ve vyhledávací stránce můžete vyhledat hotfix podle čísla chyby (např. Q298936) anebo se pokuste popsat anglickými termíny chybu, její číslo apod. a použít full-textové hledání. Z hlediska doporučení se hotfixy dělí do dvou skupin: bezpečnostní a ostatní.

Bezpečnostní hotfixy opravují chyby spojené s bezpečnostním rizikem, proto by je měl bezodkladně instalovat každý, kdo zasaženou komponentu používá. Bezpečnostní hotfixy jsou bez výjimky veřejné a jsou důkladně testovány. O vydání bezpečnostního hotfixu se nejsnáze dozvíte odebíráním bezpečnostních bulletinů (Security Bulletins), které si lze zdarma objednat na adrese http://www.microsoft.com/security/bulletins/default.mspx.

Ostatní hotfixy opravují problémy s funkcí, stabilitou, výkonností apod. Instalovat by je měl pouze ten, kdo v praxi zaznamená problém, jenž hotfix opravuje. Hotfixy opravující často se projevující chyby jsou zpravidla veřejně dostupné a důkladně otestované. Některé hotfixy opravují chyby vyskytující se poměrně vzácně. Tyto hotfixy neprocházejí tak důkladným testováním a jsou neveřejné – v popisu se pak můžete dočíst toto „contact Microsoft Product Support Services to obtain the hotfix“ (viz např. Q298936).

Důvodem není žádné utajení, ale menší důkladnost testování, v jehož důsledku je z preventivních důvodů nutné udržovat seznam zákazníků, kteří si hotfix nainstalovali. Navzdory obecnému přesvědčení může neveřejný hotfix získat bez problémů kdokoliv. Stačí zavolat na Linku technické podpory (+420-841300300, více informací zde) a sdělit Q-číslo problému, produkt nemusíte mít dokonce ani registrovaný. Adresu ke stažení hotfixu pak obdržíte e-mailem.

Poslední skupina oprav „něco mezi tím“ nemá jednotné jméno – často se nazývá update pack, rollup pack, update rollup, rollup patch apod. Nevyskytují se příliš často, takže je dokonce možné, že jste se s ní nikdy nesetkali. Příkladem z poslední doby je Windows 2000 Update Rollup 1 for Service Pack 4. Tyto balíčky představují více hotfixů zabalených do jednoho instalačního balíčku, účelem jejich vydávání je většinou snížení pracnosti instalace anebo dočasná (v případě Windows Serveru 2000 pravděpodobně trvalá) náhrada SP. Ke každému takovému balíčku je připojen popis, který doporučuje, kdo by jej měl instalovat.

Kde získat opravy?

Optimální způsob získávání oprav závisí zejména na velikosti spravované sítě. Samozřejmě je možné sledovat bezpečnostní bulletiny, stahovat si jednotlivé opravy z webu a instalovat je ručně na jednotlivé počítače, ale tento postup zřejmě zvolí málokdo. Kromě vysoké pracnosti má i velké riziko chyby či opomenutí. Daleko lepší způsob je automatické získávání a instalace oprav.

Pro jednotlivé uživatele anebo malé firmy je určena služba Microsoft Update. Počítač nastavený pro používání této bezplatné služby se jednou denně (při dostupnosti internetového spojení) napojí na servery Microsoftu, stáhne si aktuální seznam oprav a zkontroluje, zda jsou všechny opravy s vysokou prioritou nainstalovány na lokálním počítači. Zjistí-li, že některé opravy chybí, upozorní uživatele počítače, nebo je i sám stáhne či nainstaluje – podle nastavení. Doporučena je automatická instalace, která je nejméně pracná a nejbezpečnější. Tímto způsobem není aktualizován pouze operační systém (Windows 2000 nebo vyšší), ale i další produkty – Office 2003, Exchange Server 2003, SQL Server 2005 a časem budou přibývat další.

Pro menší a střední firmy je určena technologie Windows Server Update Services (WSUS). WSUS jsou v mnohém podobné službě Microsoft Update – stahují totiž seznam oprav i vlastní opravy ze stejného webu Microsoft Update. Rozdíl je v kontrole nad celým procesem správy oprav. Zatímco Microsoft Update funguje „sám“ bez nutnosti zásahů uživatele či správce, WSUS umožňuje plnou kontrolu nad procesem. Jednotlivé opravy jsou staženy na firemní server s běžícími WSUS – viz obrázek:

Počítače ve firemní síti se připojují k tomuto serveru a získávají od něj seznam oprav i vlastní opravy. Administrátor WSUS má plnou kontrolu nad tím, které počítače v síti jsou, jaké opravy jsou na nich nainstalovány a které chybějí, může schvalovat instalaci jednotlivých oprav na všechny počítače nebo jenom na omezenou skupinu apod. WSUS kombinuje pohodlí a bezpečnost automatické správy s plnou kontrolou nad procesem instalace oprav.

Největší firmy zpravidla používají komplexní nástroje pro správu konfigurace svých stanic, které již obsahují nějakou funkčnost pro správu oprav. V tom případě je samozřejmě vhodné využívat již zakoupenou a rozběhnutou funkčnost. Např. zákazníci používající Microsoft Systems Management Serveru 2003 mohou využít funkčnost nástroje Systems Management Server 2003 Inventory Tool for Microsoft Updates.

Závěrem

Je možné, že se vám dnešní kapitola zdála nudná, zbytečná, triviální. Možná jste se ale přece jenom dozvěděli něco nového. Ať už tak či onak, mějte na paměti, že zabezpečení jakéhokoliv počítače připojeného na internetu je absolutní prioritou a že jeho základem jsou tři jednoduché kroky, které zvládne opravdu každý uživatel. V příštím díle se již nebudeme věnovat přípravným činnostem – skočíme rovnýma nohama do vývoje vaší první aplikace.

Připraveno ve spolupráci s firmou Microsoft

Diskuze (9) Další článek: Vyzkoušejte si VoIP ha-loo zdarma

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,