You are on page 1of 74

OLSKI CENTER KRANJ

VIJA STROKOVNA OLA


INFORMATIKA

DIPLOMSKA NALOGA

Kranj, oktober 2015

Tadej Peri

OLSKI CENTER KRANJ


VIJA STROKOVNA OLA
INFORMATIKA

DIPLOMSKA NALOGA

Kranj, oktober 2015

Tadej Peri

OLSKI CENTER KRANJ


VIJA STROKOVNA OLA
INFORMATIKA

Diplomska naloga vijega strokovnega izobraevanja

CELOVITO ZAGOTAVLJANJE
INFORMACIJSKE VARNOSTI
DOMAEGA OKOLJA ALI MIKRO
PODJETJA
Avtor: Tadej Peri
Ime podjetja: Tehna d.o.o.
Mentor v podjetju: iga Petri, univ. dipl. in.
Mentorica v oli: dr. Marjeta Puko
Lektorica: Bojana Samarin, prof.
Kranj, oktober 2015

ZAHVALA
Svoji mentorici na oli dr. Marjeti Puko se iskreno zahvaljujem za pomo pri izbiri
primerne teme in naslova za diplomsko nalogo, kasneje pa za mnoge nasvete in
komentarje in vso ostalo strokovno pomo pri izdelavi diplomske naloge. Brez njene
pomoi bi bila diplomska naloga veliko manj kakovostna.
Prav tako se za prilonost, da sem lahko od blizu in dokaj podrobno spoznal
informacijsko infrakstrukturo v podjetju Tehna, d.o.o., zahvaljujem svojemu somentorju
v podjetju igi Petriu.

POVZETEK
V diplomski nalogi je obravnavan problem zagotovitve informacijske varnosti za
domae delovno okolje ali majhno (mikro) podjetje. V teoretinem delu so v prvem delu
opisane tri vrste varnostnih incidentov glede na vzrok in nain izgube oziroma zlorabe
podatkov, nato so opisana nekatera pomembna orodja in postopki za varovanje
podatkov, na koncu pa so predstavljeni e glavni varnostni mehanizmi, ki so vgrajeni v
operacijska sistema Windows XP in Windows 7. V praktinem delu so v prvem delu na
primeru domaega delovnega okolja opisane konkretne varnostne nastavitve za internet
ki so na voljo skrbnikom sistemov in konnim uporabnikom , v drugem delu pa so
navedena razna varnostna orodja, specifini programi in postopki, ki zagotavljajo
varnost raunalnika in podatkov v delovnem okolju. Osnova za diplomsko nalogo je
avtorjevo poznavanje varnostnih mehanizmov pri operacijskih sistemih Microsoft
Windows, praktine izkunje v zvezi z varnostnimi uporabnikimi programi in
varnostnimi orodji v domaem delovnem okolju in izkunje z varnostjo pri
raunalnikih sistemih nasploh.

Kljune besede: operacijski sistemi Windows, varnost informacijskih sistemov,


varnost in zaita podatkov, varnostne nastavitve

II

ABSTRACT
In the thesis we presented a problem of providing security for home working
environment or small (micro) company. In the first part of the theoretical part of thesis
we described three types of security incidents in relation to the source of threat and the
cause for data loss, then we listed (with short descriptions) a few of the most important
tools and procedures for keeping data secure, while in the last part we described main
security mechanisms built into operating systems Windows XP and Windows 7. In the
first part of practical part of thesis we presented specific internet related configuration
settings used in our working environment which are all available to system
administrators and end-users worldwide , and in the second part we described various
security tools, specific programs and procedures, which provide security and protection
for the working environment. The basis for the thesis is authors own knowledge about
security mechanisms in case of Microsoft Windows operating systems, his practical
experiences with security end-user programs and tools in home working environment,
and experiences with security in information technology in general.

Keywords: Windows operating systems, information systems security, data security


and protection, security configuration

III

KAZALO VSEBINE
1

UVOD......................................................................................................................1
1.1
1.2
1.3

NAMEN DIPLOMSKE NALOGE IN METODE DELA..........................................................1


OPIS DELOVNEGA OKOLJA IN PODJETJA.........................................................................2
ZASTAVLJENA HIPOTEZA.....................................................................................................3

TEORETINE OSNOVE O VARNOSTI...........................................................4


2.1

VZROKI ZA IZGUBO IN ZLORABO PODATKOV...............................................................4


2.1.1
Izguba zaradi samega uporabnika.....................................................................................4
2.1.2
Izguba zaradi nezanesljivosti tehnologije.........................................................................5
2.1.3
Izguba ali zloraba zaradi tretje osebe................................................................................5
2.1.4
Statistika napadov v letu 2014..........................................................................................5
2.2
VARNOSTNA ORODJA IN STORITVE..................................................................................8
2.2.1
Antivirusni programi.........................................................................................................8
2.2.2
Poarni zidovi...................................................................................................................9
2.2.3
Storitev Dropbox...............................................................................................................9
2.2.4
Storitev OpenDNS..........................................................................................................10
2.3
GLAVNE DOBRE VARNOSTNE PRAKSE...........................................................................12
2.3.1
Izdelava varnostnih kopij podatkov................................................................................12
2.3.2
Uporaba varnih uporabnikih gesel................................................................................12
2.3.3
Celovito zavarovani Windows XP..................................................................................14
2.3.4
Licenna in odprtokodna programska oprema................................................................15
2.3.5
Pomembnost administriranja..........................................................................................16

VARNOSTNI MEHANIZMI PRI WINDOWS.................................................17


3.1

VARNOSTNI MEHANIZMI PRI WINDOWS XP.................................................................17


3.1.1
Varnostni mehanizem DEP.............................................................................................17
3.1.2
Funkcije datotenega sistema NTFS...............................................................................17
3.1.3
Windows sistemski servisi..............................................................................................17
3.1.4
Varnostna komponenta Windows Firewall.....................................................................18
3.1.5
Varnostna komponenta Microsoft Security Essentials....................................................19
3.1.6
Nastavitve za internet pod Internet Options....................................................................19
3.2
VARNOSTNI MEHANIZMI PRI WINDOWS 7....................................................................21
3.2.1
Varnostni mehanizem ASLR...........................................................................................21
3.2.2
Varnostni mehanizem UAC............................................................................................21
3.2.3
Varnostna komponenta Windows Firewall.....................................................................22
3.2.4
Varnostna komponenta Action Center............................................................................23
3.2.5
Varnostna komponenta Windows Defender....................................................................23
3.2.6
Varnostna funkcija Windows Update..............................................................................24

PRAKTINI PRIMER ZAITE IT SISTEMA.............................................25


4.1

KREIRANJE IN KONFIGURACIJA OMREJA...................................................................25


4.1.1
WI-Fi omreje in storitev OpenDNS..............................................................................27
4.1.2
LAN omreje in storitev OpenDNS................................................................................28
4.2
CELOVITA ZAITA PREK SISTEMA DNS.......................................................................29
4.2.1
Program DNSKong.........................................................................................................29
4.2.2
LAN omreje in program DNSKong..............................................................................30
4.2.3
Ve-nivojska zaita DNS sistema..................................................................................31
4.2.4
Storitev OpenDNS v praksi............................................................................................33
4.3
ANTIVIRUSNI PROGRAM IN POARNI ZID....................................................................36
4.3.1
Program Avast Antivirus 2015........................................................................................36
4.3.2
Poarni zid pri Windows XP SP3....................................................................................38
4.4
PROGRAMI ZA VARNOST NA INTERNETU......................................................................39
4.4.1
Program K9.....................................................................................................................39
4.4.2
Program Proxomitron......................................................................................................39

IV

4.4.3
Program SpywareBlaster................................................................................................41
4.4.4
Program Spybot - S & D.................................................................................................41
4.5
DRUGI VARNOSTNI UPORABNIKI PROGRAMI............................................................42
4.5.1
Program xp-AntiSpy.......................................................................................................42
4.5.2
Program BugOff..............................................................................................................42
4.5.3
Program Clamwin Antivirus...........................................................................................43
4.5.4
Program Bitdefender Adware Removal..........................................................................43
4.5.5
Program PsExec..............................................................................................................44
4.5.6
Programa Cryptainer in fSekrit.......................................................................................46
4.5.7
Programi NoShare. SocketLock, SockLock. HijackThis................................................46
4.6
PROGRAMI ZA NADZOR NAD RAUNALNIKOM..........................................................47
4.6.1
Program HWMonitor......................................................................................................47
4.6.2
Program Process Explorer...............................................................................................48
4.6.3
Program TCPView..........................................................................................................50
4.6.4
Program AutoRuns..........................................................................................................52
4.6.5
Programa FileMon in RegMon.......................................................................................53
4.7
VARNOSTNO KOPIRANJE PODATKOV.............................................................................55
4.7.1
Kopiranje na drugi disk...................................................................................................55
4.7.2
Kopiranje na Dropbox.....................................................................................................56
4.7.3
Avtomatizacija z orodjem TaskScheduler.......................................................................56

ZAKLJUEK.......................................................................................................58

LITERATURA.....................................................................................................59

Kazalo slik
Slika 1: Windows XP, Windows Firewall, opozorilno okno...........................................18
Slika 2: Windows 7, Windows Firewall, opozorilno okno..............................................22
Slika 3: Program Tenda Configuration Utility, Network Status......................................26
Slika 4: LAN, Wi-Fi in WAN nastavitve na usmerjevalniku..........................................27
Slika 5: Wi-Fi Properties, DNS servers, OpenDNS........................................................28
Slika 6: LAN Properties, DNS servers, DNSKong in OpenDNS...................................31
Slika 7: CIP, urejevalnik datoteke hosts..........................................................................32
Slika 8: OpenDNS, blokirane domene v 1 dnevu............................................................34
Slika 9: Firefox, opozorilo za z OpenDNS blokirano domeno.......................................34
Slika 10: OpenDNS, Web content filtering.....................................................................35
Slika 11: Avast Antivirus 2015, upor. vmesnik, virusni zabojnik....................................38
Slika 12: Program Mozilla Firefox, proxy nastavitve.....................................................40
Slika 13: Program xp-AntiSpy, uporabniki vmesnik, nastavitve...................................42
Slika 14: Program BugOff, uporabniki vmesnik, nastavitve.........................................43
Slika 15: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)........................44
Slika 16: Program HWMonitor, uporabniki vmesnik....................................................47
Slika 17: Program Process Explorer, uporab. vmesnik, glavno okno.............................48
Slika 18: Program Process Explorer, proces firefox.exe, Performance..........................49
Slika 19: Program TCPView, uporab. vmesnik, protokol TCP.......................................51
Slika 20: Program AutoRuns, uporab. vmesnik, zavihek Everything.............................52
Slika 21: Program FileMon, uporabniki vmesnik..........................................................53
Slika 22: Program RegMon, uporabniki vmesnik..........................................................54
Slika 23: Task Scheduler, skripta Backup_n1.bat...........................................................57

Kazalo tabel
Tabela 1: Statistika napadov glede na dravo..........................................6
Tabela 2: Statistika vseh napadov glede na programsko opremo......................................7

VI

UPORABLJENE KRATICE IN SIMBOLI


Simbol/kratica Razlaga pomena simbola/kratice
HSPA

High Speed Packet Access termin za protokola mobilne telefonije

RAM

Random Access Memory

IP

Internet Protocol

DNS

Domain Name System

DNS cache

DNS predpomnilnik pomnilniki sistem, kjer se hranijo v IP naslove

DHCP

pretvorjeni spletni naslovi


Dynamic Host Configuration Protocol

Ribarjenje

Poskus pridobitve osebnih podatkov za njihovo zlorabo

DEP

Data Execution Prevention varnostni mehanizem, ki varuje raunalnik

NTFS

pred napadi na izvrljiva podroja fiziniega predpomnilnika


New Technology File System privzeti datoteni sistem druine

ASLR

operacijskih sistemov Windows NT


Address space layout randomization varnostni mehanizem pri

UAC

Windows 7 in Windows 8
User Account Control varnostni mehanizem, ki skrbi za varnost pri

LAN

zaganjanju programov in spreminjanju sistemskih nastavitev


Local Area Network lokalno omreje

Wi-Fi

Wireless Local Area Network brezino lokalno omreje

SSID

Wireless Network Name ime lokalnega omreja

Network Key

Geslo omreja varnostno geslo, potrebno za uporabo omreja

UMTS

Universal Mobile Telecommunications System

RAMDisk

Del spomina RAM, ki se obnaa kot pogon na trdem disku

Spam e-pota

Vsiljena oziroma nezaeljena elektronska pota

CPU

Central Processing Unit centralna procesna enota, ki skrbi za


izraunavanje in procesiranje podatkov

VII

UVOD

V dananjem asu so raunalniki oziroma ire, informacijska tehnologija postali


nepogreljiv sestavni del naih ivljenj. Brez njih si dela in izkorianja prostega asa
skoraj ne moremo ve predstavljati. Raunalnike uporabljamo za komunikacijo, pisanje
besedil, izdelavo prezentacij, v prostem asu na njih igramo raunalnike igrice in tako
dalje. V povezavi z njimi pa je prav tako nepogreljiv postal tudi internet; uporabljamo ga
za iskanje informacij, spremljanje novic, spletne nakupe, spletno bannitvo, socialna
omreja, poiljanje in prejemanje elektronske pote, klepet z osebami na drugih koncih
sveta prek avdio in video povezave in tako dalje. Ker pa pri uporabi raunalnika za kateri
koli namen e, obstajajo varnostna tveganja, je izjemno pomembno, da je vsak
informacijski sistem pravilno zaiten. Glede varnosti pri informacijski tehnologiji
obstajajo mnogi postopki oziroma metode v smislu preventive, s katerimi lahko
prepreimo okubo enega ali ve raunalnikov.

1.1NAMEN DIPLOMSKE NALOGE IN METODE DELA


Namen diplomske naloge je bil opredeliti pomembnost varnega informacijskega sistema,
opredeliti glavne gronje za varnost informacijskih sistemov, navesti najbolj pogoste vrste
varnostnih incidentov, cilj diplomske naloge pa je bil prek obravnavanega problema
zagotovitve celovite informacijske varnosti za domae delovno okolje cpodrobno opisati
mehanizme, ki zagotavljajo varnost in zaito in so vgrajeni v Microsoft Windows in
predstaviti nabor konkretnih praktinih reitev (varnostna orodja, postopki in dobre prakse)
za varno delo v domaem delovnem okolju ali mikro podjetju.
Metoda dela za dosego zastavljenega cilja diplomske naloge je bila opisovanje konkretnih
varnostnih orodij, postopkov, storitev in dobrih varnostnih praks, povezanih z varnostjo
informacijskega sistema, kot tudi v povezavi s tem podroben opis nastavitev operacijskega
sistema in varnostnih uporabnikih programov (in opredelitev pomembnosti varnostnih
groenj za nezavarovan informacijski sistem), druga metoda za dosego ciljev pa je bila
uporaba izsledkov raziskovanja (prebiranje literature na svetovnem spletu), v manji meri
pa tudi testiranje na domaem delovnem informacijskem sistemu. V diplomski nalogi se je
avtor v veliki meri naslanjal na svoje dosedanje izkunje z varnostjo pri informatiki.

1.2OPIS DELOVNEGA OKOLJA IN PODJETJA


Domae delovno okolje, katerega smo opisovali v diplomski nalogi, je informacijski
sistem, ki ga sestavljajo naprave na dveh loenih lokacijah. eprav gre torej za dva fizino
loena informacijska sistema, ju bom v diplomski nalogi obravnaval kot informacijski
sistem iz dveh sestavnih delov, ki tvorita eno delovno okolje. Na eni lokaciji se nahajajo
namizni raunalnik z operacijskim sistemom Windows XP, ki se na internet povezuje prek
usmerjevalnika in kabelskega modema (ponudnik storitev je Telemach), tiskalnik in skener,
na drugi lokaciji pa namizni raunalnik, ki ima prav tako instaliran operacijski sistem
Windows XP, na internet pa se povezuje prek HSPA USB modema (ponudnik storitev je
Si.mobil). Del informacijskega sistema je tudi notesnik, ki ima nameen operacijski
sistem Windows 7, za povezavo v internet pa uporablja ko se povezuje prek
usmerjevalnika v lokalnem Wi-Fi omreju na eni od lokacij oziroma prek javnih
zastonjskih Wi-Fi tok (angl. public access point) namensko USB Wi-Fi mreno kartico.
Tehna podjetje za marketing in ineniring, d.o.o., je podjetje, ki je specializirano za
svetovanje in izvedbo reitev za avtomatizacijo strojev in naprav. Od leta 1990 ponuja
slovenskemu trgu opremo, s katero dviguje raven industrijske avtomatizacije. Podjetje je
pooblaeni predstavnik in distributer vodilnega proizvajalca opreme za avtomatizacijo
Rockwell Automation. Dejavnosti podjetja se delijo na prodajo, svetovanje in izvedbo
reitev za avtomatizacijo strojev in naprav in vkljuujejo:
Dobavo aparaturne in programske opreme in rezervnih delov
Servis za izdelke zastopanih podjetij
Tehnino podporo uporabnikom in olanje sistemskih integratorjev
Izraun in simulacija pogonov in pogonskih komponent
Izdelava programov za krmilnike in vizualizacijo
Analiza in optimizacija delovanja servo pogonskih sklopov strojev in naprav
Infrastruktura informacijskega sistema v podjetju Tehna, d.o.o., se mono razlikuje od
informacijskega sistema v naem domaem delovnem okolju (zlasti zaradi raunalnika, ki
ima intaliran Windows operacijski sistem za stenike in s tem monost uporabe
domenskih raunov in ostalega), kljub temu pa je njihov sistem razmeroma preprost.

Glavni streniki raunalnik tee na strenikem operacijskem sistemu Windows 2008 R2


Small Business Server Edition, njegovi funkciji pa sta nudenje in upravljanje z
domenskimi rauni za zaposlene (domenski rauni so zaiteni s standardnimi dvojicami:
uporabniko/geslo) in upravljanje DNS sistema. Podjetje za uporabnike iz domene
uporablja deljeni disk streniku, prek njega pa deluje Microsoft Exchange 2010 za OWA
(storitev, ki nudi dostop do Exchange) s privatnim certifikatom za dostop od zunaj. Za
povezavo v internet v podjetju uporabljajo Wi-Fi usmerjevalnik (dostop z WEP kljuem),
ki ima DHCP in poarni zid, ki deluje na usmerjevalniku. Dostop je loen za zaposlene in
goste. V podjetju uporabljajo storitev v oblaku Vembu StoreGrid, ki jo uporabljajo za
varnostno kopiranje podatkov v oblak (storitev v oblaku - posebna vrsta storitve (angl.
angl. cloud service), pri kateri se obdelava in shranjevanje podatkov ne izvaja na lokalnem
raunalniku, na oddaljenih informacijskih sistemih (stenikih); dostop do podatkov
shranjenih v oblaku je moen prek interneta). Spletni strenik za njihovo spletno stran in
strenik za elektronsko poto imajo pri ponudniku storitev Amis. V osnovi veljajo torej
zelo podobne zahteve in ukrepi za zagotavljanje osnovne informacijske varnosti.

1.3ZASTAVLJENA HIPOTEZA
Glede na tematsko podroje in zastavljene cilje diplomske naloge sem postavil naslednjo
hipotezo: Ne glede na stopnjo raunalnikega znanja konnega uporabnika lahko z dobro
zavarovanim informacijskim sistemom zelo zmanjamo monost za okubo raunalnikov,
izgubo in/ali krajo pomembnih podatkov, zlorabo osebnih podatkov in ostalih varnostnih
incidentov.

TEORETINE OSNOVE O VARNOSTI


2.1VZROKI ZA IZGUBO IN ZLORABO PODATKOV

Ena od glavnih funkcij raunalnikih sistemov je obdelava podatkov, zato so pri


informacijski tehnologiji podatki bistvenega pomena, njihova varnost pa je kljunega
pomena. Zato uinkoviti naini za varovanje oziroma zaito podatkov zavzemajo
pomemben del v svetu raunalnitva. Vzrokov zakaj in nainov kako, pride do izgube ali
zlorabe podatkov, je veliko, saj je vsak primer zase specifien. Bi pa lahko te varnostne
incidente smiselno razdeliti glede na vzrok in izvor gronje (oziroma povzroitelja) in
glede na nain, kako je do izgube oziroma zlorabe prilo.

2.1.1

Izguba zaradi samega uporabnika

Sem spadata izguba in zloraba podatkov, za kateri je kriv izkljuno uporabnik sam. Ti
varnostni incidenti so veinoma posledica raznih nesre pri ravnanju s podatki in pri tej
vrsti izgube podatkov gre za nenamerne izgube, ki so posledica lovekih napak pri
ravnanju s podatki. Sem sodijo razline nesree, kot so na primer nenamerno brisanje ali
prepis podatkov, napana hramba in podobno. Najbolj pogost primer izbrisanja podatkov je
nenamerni izbris datoteke ali mape. Do nenamernega prepisa podatkov pride na primer, ko
ima uporabnik v urejevalniku besedila odprto datoteko, nato naredi neki popravek (recimo
izbrie nekaj odstavkov) in nato program datoteko shrani in zapre program, s imer ni ve
mogoe razveljaviti zadnjih sprememb, ker je bila s shranjevanjem onemogoena Undo
opcija. Undo je sicer koristna funkcija urejevalnikov besedil in drugih programov, ki
omogoa razveljavitev neke spremembe (na primer ali izbirs nove besede ali odstavka,
razveljavitev dodanega ali zbrisanega zaznamka v spletnem brskalniku Firefox in tako
dalje.
Do podobnega primera lahko pride tudi pri deljenju datotek, ko imata isto datoteko hkrati
odprto dva uporabnika, in ko jo eden od njiju shrani in zapre, lahko s tem unii vse, kar je
vanjo pred tem napisal drug uporabnik. Na sreo obstajajo pri teh storitvah varnostne
funkcije (na primer zaklenitev datoteke, ki je trenutno odprta), ki lahko to prepreijo. Do
nenamerne izgube podatkov pride tudi v primerih, ko uporabnik datoteke ne shranjuje

sproti. Vedno lahko namre pride do sesutja programa, pri emer bo izgubljeno vse delo, ki
je bilo opravljeno od zadnje shranitve dokumenta.

2.1.2

Izguba zaradi nezanesljivosti tehnologije

Pri tej vrsti izgube podatkov, ki je enako kot prva tudi nenamerna izguba, krivec za
izgubo podatkov ni uporabnik sam, niti ni to nekdo tretji, ampak je vzrok za izgubo strojna
oprema. Sem spadajo izgube podatkov, ki so posledica odpovedi posameznih raunalnikih
komponent informacijskega sistema; v veliki veini gre za okvaro strojne opreme,
namenjene hranjenju podatkov. Najbolj pogost primer, ki spada v to kategorijo je odpoved
trdega diska, namenjenega za operacijski sistem in/ali shranjevanje podatkov.

2.1.3

Izguba ali zloraba zaradi tretje osebe

V to skupino spadajo vsi naini izgube podatkov, kjer je krivec za izgubo ali zlorabo
podatkov nekdo tretji. Pri tej skupini gre za namerne zlorabe podatkov oziroma
povzroitve izgub podatkov, kjer neka tretja oseba na primer nekdo, ki vdre v
uporabnikov potni raun ali pisec virusa to namerno povzroi. V to vrsto torej spadajo
zlorabe podatkov zaradi nepooblaenega dostopa do njih kot tudi okube z zlonamernimi
programi. Same okube pa so velikokrat posledica naivnosti uporabnika pri uporabi spleta
in elektronske pote. Na sreo se da te dogodke prepreiti s pouevanjem konnih
uporabnikov o dobrih praksah varnosti na spletu kot tudi z uporabo varnostnih orodij in
tehnologij, kot so na primer antivirusni program, ifriranje komunikacije po internetu,
ifriranje samih podatkov in tako dalje.

2.1.4

Statistika napadov v letu 2014

Pri statistiki napadov v letu 2014 smo se omejili na statistiko ogroenosti glede na dravo
in ogroenost produktov oziroma programske opreme.

Tabela 1: Statistika napadov glede na dravo


DRAVA

TEVILO NAPADENIH UPORABNIKOV

Brazilija

299830

Rusija

251917

Nemija

155773

Indija

98344

ZDA

92224

Italija

88756

Velika Britanija

54618

Vietnam

50040

Avstrija

44445

10

Alirija

33640

Vir: https://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-securitybulletin-2014-overall-statistics-for-2014/ (5. 9. 2015)


V zgoraj prikazani tabeli s statistiko napadov za leto 2014 glede na dravo ne gre za
proporcionalen prikaz tevila vseh napadov; treba je upotevati tevilo prebivalcev teh
drav v primerjavi z dravami z veliko manjim tevilom prebivalcev, ki zato v to tabelo
niso prile. Zanimiv je podatek, ki ga je objavil Kaspersky Lab; in sicer naj bi 44 % vseh
spletnih napadov imelo svoj izvor v Zdruenih dravah Amerike in v Nemiji.
(https://www.youtube.com/watch?v=u4TNc2gnVmc)
Zlonamerne osebe so v letu 2014 najbolj pogosto izkoriale ranljivosti v programski
opremi podjetja Oracle, toneje, njihovo programsko opremo Java. Naslednji najbolj
ranljivi programi so bili iz kategorije spletnih brskalnikov (Internet Explorer, Google
Chrome, Mozilla Firefox in tako dalje). Na tretjem mestu je bil program Adobe Reader
(zlonamernei so izkoriali ranljivosti t. .i drive-by attacks prek interneta in ranljivosti
formata PDF). Na predzadnjem mestu se je znael vtinik Flash Player podjetja Adobe
(angl. Add-on ali Extension; vitnik je poljubni vstavek ali raziritev osnovne
funkcionalnosti programa, ki uporabniku nudi neko novo funkcionalnost), na zadnjem s

samo enim odstotkom od vseh napadov pa so bili programi, ki so del Microsoftovega


paketa programov Microsoft Office.
Tabela 2: Statistika vseh napadov glede na programsko opremo
Adobe
PRODUKT
ODSTOTKI

Oracle

Spletni

Adobe

Java
45%

brskalniki
42%

Reader
5%

AndroidOS
4%

Flash

Microsoft

Player
3%

Office
1%

Vir: https://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-securitybulletin-2014-overall-statistics-for-2014/ (5. 9. 2015)


Zgoraj je prikazana tabela s statistiko napadov za leto 2014, podatki pa so rezultat raziskav
okub, zaznanih in prepreenih z uporabo njihovih varnostnih reitev podjetja
Kaspersky Lab. Kot lahko vidimo v tabeli, okube prek uporabe spletnih brskalnikov
predstavljajo skoraj polovico vseh okub, zato je treba njihovi varnosti (redno
posodabljanje brskalnika in vtinikov) posvetiti dovolj pozornosti.
Kot zanimivost bi bilo vredno omeniti e to, da je (glede na podatke, dostopne v lanku s
statistiko napadov) prav v letu 2014 Slovenija poleg Malte in Slovake izpadla z liste
10 najbolj varnih drav. Te tri drave (torej Malta, Slovenija in Slovaka), ki so izpadle, so
zamenjale otoka dravica Martinique, otoka mestna drava Singapur in vedska. To
vseeno pomeni, da je informacijska varnost pri nas v Sloveniji na dokaj visokem nivoju.

2.2VARNOSTNA ORODJA IN STORITVE

2.2.1

Antivirusni programi

Antivirusni program je programska oprema, ki se uporablja za prepreevanje okub z


zlonamerno programsko opremo, kot tudi za odkrivanje in odstranjevanje e prisotne
zlonamerne programske opreme. Primeri zlonamerne programske opreme so raunalniki
virusi, rvi in trojanski konji. Veina anti virusnih programov omogoa detekcijo in
odstranjevanje tudi drugih vrst zlonamerne programske opreme; to so na primer
oglaevalski programi, vohunski programi, t. i. rootkiti in tako dalje. Antivirusni
programi pri svojem delovanju uporabljajo razline strategije za detekcijo in
odstranjevanje zlonamerne programske opreme. Strategija zaznavanja virusov, ki temelji
na t. i. antivirusnih podpisih, se posluuje iskanja znanih vzorcev zlonamerne kode v
izvrljivih datotekah, vendar pa ima ta strategija slabosti, ker antivirusni program ne more
zaznati zlonamernega programa, e je uporabnikov raunalnik okuen z neko novo vrsto
kode, za katero tak podpis e ne obstaja.
Pri antivirusnih programih poznamo namensko skeniranje raunalnika, ki pregleda trdi
disk in RAM na ukaz uporabnika, za prepreavanje okub pa je kljunega pomena
skeniranje oziroma zaita v realnem asu, ki pregleduje zaganjanje programov in
odpiranje oziroma nalaganje datotek v istem trenutku oziroma prej, preden se program
zaene oziroma preden program datoteko odpre. Uporaba zaite v realnem asu ima to
slabost, da lahko upoasni delovanje raunalnika. Prav tako imajo podobno kot v primeru
bolj naprednih poarnih zidov neizkueni uporabniki teave, ko se morajo odloiti, kako
se odzvati na opozorilna okna, ki jih v primeru detekcije zlonamerne programske opreme
prikae antivirusni program; napana odloitev namre lahko pripelje do okube
raunalnika. e en problem z antivirusnimi programi pa je zaznavanje programov kot
zlonamernih, ki to niso. V takih primerih lahko antivirusni program izbrie legalni program
ali dokument. Vseeno pa je v smislu preventive uporaba antivirusnega programa mono
priporoljiva, e posebej za manj vee uporabnike. Pri uporabi antivirusnih programov pa
je bistveno to, da uporabnik im bolj pogosto posodablja bazo virusnih definicij
(podpisov); e najbolje, da je program nastavljen tako, da sam vsakodnevno preverja, e je
na voljo nova razliica podpisov in/ali nova razliica samega programa.

2.2.2

Poarni zidovi

Poarni zid je varnostna komponenta, ki nadzoruje promet v omreju in ga glede na


nastavitve omejuje, s tem pa varuje raunalnik (oziroma lokalno omreje) pred
nepooblaenim dostopom do podatkov in pred neavtoriziranim odtokom podatkov.
Poarni zid pregleda vsak paket podatkov in blokira prehod tistim, ki ne zadostijo
kriterijem. Poarni zid torej deluje kot filter pretoka podatkov; preverja vse podatke, ki
prihajajo iz interneta v lokalno omreje, in vse podatke, ki iz lokalnega omreja odhajajo v
internet. Glede na nastavitve poarni zid doloen prenos podatkov dovoli, ali pa ga ne
dovoli. Poarni zidovi lahko tudi zamaskirajo identiteto raunalnika, da zlonamerni
raunalniki programi, ki elijo raziskati ali pregledati neki raunalnik, ne morejo pridobiti
potrebnih informacij, s katerimi bi lahko ta raunalnik identificirali in napadli. Strojni
poarni zidovi so precej hitreji v samem delovanju in tako omogoajo vejo prepustnost
prometa, so pa namenski strojni poarni zidovi obiajno precej dragi in so zato bolj
primerni za podjetja in ustanove z ve raunalniki (sta pa v informacijskem sistemu lahko
v uporabi obe vrsti poarnega zidu), prednost programskih poarnih zidov pa je predvsem
v njihovi enostavneji uporabi. Mnogo programskih poarnih zidov za domao uporabo je
na voljo tudi v brezplanih razliicah, v veliko primerih pa so celo enako zmogljivi in
zanesljivi kot plaljivi. Nekaj primerov programskih poarnih zidov: Zone Alarm, Kerio
Firewall, Outpost Firewall in Comodo Firewall.

2.2.3

Storitev Dropbox

Dropbox je storitev, ki registriranim uporabnikom nudi varno shranjevanje in deljenje


datotek v oblaku, prav tako pa omogoa sinhronizacijo datotek na lokalnem raunalniku
z njihovimi streniki. Dropbox te storitve nudi tako, da Dropbox program pri intalaciji na
uporabnikovem raunalniku ustvari posebno mapo z imenom My Dropbox, obiajno
pod %userprofile%\My Documents\. To mapo nato Dropbox program uporablja za
sinhroniziranje podatkov s svojimi datotenimi streniki. To pomeni, da bo za uporabnika
vsebina te mape vedno enaka, ne glede na to, na katerem raunalniku bo dostopal do nje.
Datoteke v tej mapi so torej na lokalnem disku enake kot tiste na Dropbox streniku,
dostopne pa so tudi prek mobilnih aplikacij in prek spletnega brskalnika na spletni strani
Dropbox. Dropbox v brezplani razliici (Dropbox Basic) uporabnikom nudi 2 GB

prostora na svojih strenikih, v plaljivi razliici pa kar 1000 GB (1 TB). Uporabniki


brezplane razliice pa lahko na razline naine (na primer na Dropbox napotijo novega
uporabnika ali zanejo Dropboxu slediti na socialnih omrejih) pridobijo dodatni
razpololjivi prostor. (https://en.wikipedia.org/wiki/Dropbox_(service))
Zelo pomembna je varnostna storitev hranjenja podatkov na Dropbox strenikih za primere
izbrisa datotek. Ko uporabnik izbrie datoteko iz mape My Dropbox na svojem
raunalniku, ta datoteka ni ve vidna v upravljavcu datotek in je odstranjena iz lokalnega
diska. A datoteka dejansko e ni trajno izbrisana; Dropbox program jo je le uvrstil na listo
datotek, ki akajo na trajni izbris. Ta mehanizem omogoa uporabniku, da izbrisano
datoteko (ali ve datotek) pridobi nazaj, prav tako pa omogoa funkcijo zgodovine razliic
datotek(e). Za uporabnike osnovne brezplane storitve Dropbox se varnostne kopije
izbrisanih in/ali spremenjenih datotek na Dropbox strenikih hranijo 30 dni.
(https://www.dropbox.com/help/115?path=space_and_storage) Za uporabnike osnovne brezplane
storitve se izbrisane in spremenjene datoteke na Dropbox strenikih hranijo 30 dni. e
vedno pa za podjetja in korporacije v praksi velja (oziroma bi moralo veljati) pravilo, da za
kljune poslovne podatke z visoko stopnjo zaupnosti zagotovijo tudi fizine kopije, ki se
hranijo v bannem sefu.

2.2.4

Storitev OpenDNS

OpenDNS je varnostna storitev, ki razirja DNS sistem z dodatkom raznih varnostnih


funkcij. OpenDNS za DNS storitve uporabnikom ponuja svoje DNS strenike. IP naslova
od OpenDNS

strenikov

za razliico

IP protokola

IPv4 sta 208.67.222.222

(resolver1.opendns.com) in 208.67.220.220 (resolver2.opendns.com), za razliico Ipv6 pa


2620:0:ccc::2 in 2620:0:ccd::2. Glavne funkcije, ki jih ponuja storitev OpenDNS, so
naslednje:

osnovna DNS storitev (pretvorba spletnih naslovov oziroma imen domen v


IP naslove)

zaita pred ribarjenjem;

zaita pred znanimi robotskimi omreji;

10

popravljanje napak v spletnih naslovih; e uporabnik storitve OpenDNS po


pomoti napano vnese ime spletne strani (na primer google.cm in ne
google.com), ga OpenDNS preusmeri na pravi naslov;

filtriranje vsebin prek kategorij spletnih strani, ki se nastavijo individualno za


vsakega uporabnika posebej, in filtriranje imen domen glede na rno in belo
listo; za te domene uporabnik nastavi, da jih OpenDNS vedno blokira (oziroma
nikoli), te nastavitve pa imajo prednost pred kategorijami in je tako mogoe
obiskati stran, ki je v blokirani kategoriji

Ker DNS sistem uporablja UDP protokol (ki je t. i. nepovezavno orientiran protokol) in ne
povezavnega protokola TCP, so DNS operacije ene najhitrejih operacij na internetu. Kljub
temu pa je OpenDNS v veliko primerih pri pretvorbi naslovov hitreji od DNS strenikov
uporabnikovega ponudnika spletnih storitev. Svoje DNS strenike ima namre razporejene
po celem svetu, prav tako ima OpenDNS tudi velik predpomnilnik e pretvorjenih spletnih
naslovov v IP naslove. Njegovim strenikom se tako ni treba povezati z avtoritativnim
DNS imenskim strenikom od spletne strani za vsako DNS zahtevo, ker ima OpenDNS IP
naslov od spletne strani shranjen e prej. Osnovna storitev OpenDNS ne zahteva
registracije, e pa eli uporabnik uporabljati napredne funkcije, se mora registrirati.
(https://en.wikipedia.org/wiki/OpenDNS)
OpenDNS uporablja t. i. Anycast usmerjanje, ki je posebna tehnologija usmerjanja, ki
poskrbi, da raunalniki OpenDNS uporabnikov vedno komunicirajo z najblijim
podatkovnim srediem OpenDNS. Z usmerjanjem Anycast OpenDNS v praksi dosee, da
neki IP naslov obstaja na ve sto strenikih. OpenDNS procesira ve milijard DNS
zahtevkov dnevno, in ker upravlja enega najvejih DNS predpomnilnikov na internetu, ima
v danem trenutku pregled nad celotnim globalnim stanjem interneta. To pomeni, da je
velika verjetnost, da za poljubno DNS zahtevo OpenDNS e pozna odgovor, ne da bi
moral pridobiti informacijo od avtoritativnega DNS strenika. Ta mehanizem zmanjuje
uporabnikov DNS odzivni as in zagotavlja hitrejo uporabniko izkunjo. OpenDNS
podpira tudi protokol DNSCrypt, ki omogoa overitev DNS prometa med raunalnikom in
imenskimi streniki. (https://www.opendns.com/about/global-dns-infrastructure/)

11

2.3GLAVNE DOBRE VARNOSTNE PRAKSE

2.3.1

Izdelava varnostnih kopij podatkov

Najbolj uinkovita, zanesljiva in univerzalna metoda za obrambo pred izgubo podatkov je


izdelovanje varnostnih kopij podatkov. Univerzalna v tem smislu, da deluje ne glede na
vzrok za izgubo podatkov oziroma storilca. Ker se podatki na raunalnikih sistemih
hranijo v obliki datotek, te pa so hierarhino razporejene v mape, varnostno kopiranje
pomeni izdelovanje varnostnih kopij datotek in map. Glede na monost okvare strojne
opreme izdelava varnostih kopij na isti trdi disk nima smisla, ker se bodo v primeru okvare
diska izgubili vsi podatki na njem. Zato je varnostne kopije smiselno izdelovati izkljuno
na zunanji medij; zunanji medij je lahko USB klju, CD/DVD disk, drug trdi disk (ali ve
diskov) na istem raunalniku, in tako dalje. Katero vrsto zunanjega medija bomo izbrali, je
odvisno od naega namena in cilja; ali elimo redno izdelovati varnostne kopije manjih
koliin podatkov, ali elimo (trajno) arhivirati veje koliine podatkov.
Glede na kapaciteto, zmogljivost in ceno je izdelava varnostnih kopij na drug trdi disk e
najbolj ugodna reitev. Razen nam dostopnih (fizinih) zunanjih medijev pa obstajajo tudi
spletne storitve za varno hrambo in deljenje podatkov v oblaku. Primeri takih storitev so
Dropbox, Copy, Google Drive, Microsoft OneDrive in Syncplicity. Pri varovanju podatkov
pred izgubo z uporabo politike izdelovanja varnostnih kopij pa se je treba zavedati, da je
lahko tako varovanje nezanesljivo, e je odvisno od loveka; lovek lahko namre na redno
izdelavo varnostnih kopij pozabi. Zato je najbolj smiselno, da varnostno kopiranje
podatkov popolnoma avtomatiziramo. To lahko v primeru kopiranja na zunanji medij ali v
oblak storimo z namenskimi programi ali z osnovnimi oziroma bolj naprednimi
skriptnimi jeziki (na primer VBScript, ki je akronim za Basic Scripting Edition in je bolj
napreden skriptni jezik, ki ga je Microsoft razvil na podlagi jezika Visual Basic) in z
Windows orodjem Task Scheduler.

2.3.2

Uporaba varnih uporabnikih gesel

Zelo pomembna dobra varnostna praksa je uporaba varnih gesel v kombinaciji z


uporabnikimi imeni, pa naj gre za gesla za vpis v uporabniki raun na raunalniku, gesla

12

za dostop do uporabnikih raunov na spletnih straneh, in tako dalje. Osnova varnega gesla
sta njegova dolina in kompleksnost; da je geslo zares varno, mora biti im bolj
raznovrstno, kajti veja kot je variacija v znakih, ki ga sestavljajo, tee ga je uganiti ali
razbiti. Se je pa treba zavedati, da je praktino vsako geslo treba razbiti. Ni pa zelo
verjetno, da bi nekdo posvetil veliko resursov za to, da bi odkril na primer nae geslo za
vpis na neko spletno stran. Zato je v primerih, ko gre za uporabnika imena in gesla za vpis
v spletne strani in podobno (ko torej ne gre za zelo pomembne, obutljive ali vredne
informacije), pretiran strah odve.
Pri izbiri gesla se je treba drati nekaj osnovnih pravil: geslo mora biti dovolj dolgo
(sestavljeno mora biti iz dovolj velikega tevila znakov), vsebovati mora velike in male
rke kot tudi tevilke, loila in druge simbole. Za gesla ne smemo uporabiti besed iz
slovarjev, svojega (ali uporabnikega) imena ali priimka oziroma katerega koli lastnega
imena. Zelo pomembno je, da gesel nikomur ne izdamo in da si jih nikamor ne zapiemo,
ampak jih imamo v spominu; najmanj varno geslo je namre tisto, ki je nekje zapisano, e
toliko slabe, e je shranjeno v digitalni obliki na disku. Vedeti pa je treba, da je najslabe
geslo tisto, ki smo ga pozabili, ker s tem izgubimo dostop do elene vsebine. Zato si
izberimo tako geslo, ki se ga bomo mi lahko spomnili, za druge pa je teko ali nemogoe,
da bi ga uganili. Dobra varnostna praksa je tudi to, da geslo vsake toliko asa zamenjamo.
(http://www.usewisdom.com/computer/passwords.html)
Druga monost pa je, da si izberemo bolj kompleksno geslo, ki si ga ne moremo zapomniti
na pamet, nato pa uporabljamo program za varno hrambo gesel v ifrirani obliki. Za
hranjenje takih bolj kompleksnih varnostnih gesel je namenjena posebna vrsta programov
za ifriranje, ki so posebej namenjeni varnemu hranjenju gesel. Za hranjenje gesel v
ifrirani obliki obstaja kar nekaj brezplanih uporabnikih programov, dva izmed najbolj
popularnih pa sta programa KeePass (bolj napreden program) in program Password Safe
(preprosteji), ki sta oba v osnovi namenjena hranjenju uporabnikih imen in gesel v
dvojicah in ostalih poljubnih dodatnih podatkov v zaifrirani bazi podatkov.

13

2.3.3

Celovito zavarovani Windows XP

Windows XP je bil izdan in je priel v uporabo oktobra 2001; to pomeni, da je v letu 2015
star skoraj 14 let in je e zelo star operacijski sistem. Faza podaljane podpore se je zanj
konala 8. aprila 2014 po ve kot 12 letih od prihoda operacijskega sistema na trg. Tudi
spletni brskalnik Internet Explorer je komponenta operacijskega sistema Windows, zato so
pri Microsoftu prenehali tudi s podporo za vse razliice programa za Windows XP.
Microsoft je za Windows XP od tega datuma dalje zagotavljal le e definicije in
posodobitve za antimalware program Microsoft Security Essentials. A tudi to se je konalo
14. julija 2015. Ker torej Microsoft ne nudi ve popravkov za operacijski sistem in
Microsoft programe, je prav ranljivost operacijskega sistema eden najvejih dejavnikov
tveganja za varnostne incidente; Windows XP je tako reko z vsakim dnem bolj ranljiv in
njegova uporaba bolj tvegana. e imajo posamezne naprave v informacijskem sistemu e
vedno nameen operacijski sistem Windows XP, je njegova zavarovanost e toliko bolj
pomembna. (https://en.wikipedia.org/wiki/Windows_XP)
Glede na to, da je izvor veine zlonamernih programov internet, ima tako najbolj
pomembno vlogo pri varovanju pred vdori in okubami na starem operacijskem sistemu
poarni zid. Prav tako je pomembno, da imamo na raunalniku dober antivirus program, ki
ga je treba redno posodabljati; e najbolje, da ga nastavimo tako, da se redno posodablja
sam. e en zelo uinkovit nain, kako dodatno zavarovati raunalniki sistem, ki ima na
eni od naprav (ali na ve) intaliran operacijski sistem Windows XP, je z uporabo storitve
OpenDNS. Ko je raunalnik s takim operacijskim sistemom prikljuen na internet, ga
OpenDNS varuje pred spletnimi stranmi in e-mail sporoili, katerih namen je ribarjenje
podatkov o uporabniku, storitev OpenDNS pa nudi zaito pred robotskimi omreji.
(http://searchsecurity.techtarget.com/definition/botnet)
Ker imamo v domaem delovnem okolju na dveh lokacijah raunalnika, ki e vedno
uporabljata operacijski sistem Windows XP, je prav dobra zavarovanost operacijskega
sistema pred gronjami z interneta izredno pomembna. Zastareli operacijski sistem
Windows XP e vedno uporabljamo iz ve razlogov. Enega od raunalnikov (na eni od
dveh lokacij) za delo uporabljajo tudi drugi uporabniki, ki so manj vei uporabe
raunalnika in programov in so navajeni izkljuno na uporabniki vmesnik operacijskega

14

sistema Windows XP in bi zanje prehod na vmesnik novejih razliic operacijskega


sistema Microsoft Windows (Windows 7, Windows 8 in Windows 10) predstavljal veliko
oviro. Obstaja tudi nekaj nepogreljivih programov (na primer program Diogenes za
prevajanje iz klasine grine v angleino), ki jih pogosto uporabljamo, a e niso bili
posodobljeni za noveje razliice Microsoft Windows in tudi ni jasno, ali sploh kdaj bodo.
Prav tako pa za star UMAX skener ni na voljo posodobljenih gonilnikov za Windows 7.

2.3.4

Licenna in odprtokodna programska oprema

Za varnost informacijskega sistema je pomembno tudi to, da uporabljamo bodisi plaljivo


licenno bodisi preverjeno brezplano odprto-kodno programsko opremo. Najbolj
pomembno je, da je licenni operacijski sistem; v naem primeru sta to Windows XP in
Windows 7. Torej, da ne uporabljamo operacijskega sistema, katerega nelicenen in
razbit (angl. cracked) intalacijski program je mogoe dobiti prek interneta ali pa od
tretjih oseb. Prav tako pa je pomembno tudi, da je licenen, ali v primeru brezplanega
programa od znanega podjetja antivirusnega programa; v naem primeru sta to programa
Microsoft Security Essesntials in Windows Defender Microsofta in program Avast
Antivirus 2015. Prav tako pa je pomembno, da ne uporabljamo razbitih razliic licenne
oz. preizkusne programske opreme. e pa e uporabljamo brezplane programe,
uporabimo tiste znanih podjetij (primer Mozilla Firefox, Google Chrome in tako dalje)
oziroma znanih avtorjev programske opreme.
Glavna prednost licenne programske opreme (ki pa je lahko tudi slabost) je predvsem v
dejstvu, da gre za zaprto-kodne programske reitve, kar pomeni, da izvirna koda ni na
voljo javnosti (na primer zlonamernim tretjim osebam, ki bi poskuale najti varnostne
luknje v kodi), ostale prednosti pa so njena legalnost, monost nudenja pomoi
uporabnikom ob teavah in tako dalje. Slabosti licenne programske opreme pa so v tem,
da je izvorna koda programa nedosegljiva in bi to neko podjetje lahko izkoristilo v zle
namene. Ena od glavnih prednosti brezplane (oziroma odprto-kodne) programske opreme
je v transparentnosti; izvorna koda je namre javna. V praksi to pomeni na primer to, da si
lahko vsak uporabnik (programer) program prilagodi po svoje, prav tako pa to pomeni tudi,
da uporabniki odprto-kodne programske opreme hitreje najdejo potencialne varnostne
luknje, ki so zato tudi hitreje odpravljene. Glavna slabost odprtokodne programske opreme

15

pa je v tem, da je izvorna koda prosto dostopna, kar pomeni, da je na voljo tudi


zlonamernim tretjim osebam, ki lahko izkoristijo e neodkrite varnostne luknje v
programski kodi. (http://www.gnu.org/philosophy/proprietary.html)

2.3.5

Pomembnost administriranja

Sistemski skrbniki (administratorji) imajo pri varovanju informacijskih sistemov


najpomembnejo vlogo. Oni so praviloma tisti, ki so namestili operacijski sistem na
raunalnike konnih uporabnikov in oni upravljajo z administrativnimi opravili, kot so na
primer posodabljanje operacijskega sistem in programov. Administrator v veini primerov
skrbi tudi za avtomatizacijo opravil, povezanih z varno hrambo podatkov oziroma
izdelovanjem varnostnih kopij. In ker je pri zanesljivem varnostnem kopiranju podatkov
pomembno, da to opravilo ni odvisno od spomina in dejanj konnega uporabnika (niti
samega administratorja), je najbolje, da so ta opravila popolnoma avtomatizirana. Zato je
e posebej pomembno, da ima administrator dober pregled nad celotnim informacijskim
sistemom, za katerega skrbi, pa naj gre za domae delovno okolje ali za manje oziroma
veje podjetje.
Administratorji skrbijo tudi za posodobitve operacijskega sistema in uporabnikih
programov. V delovnih okoljih z ve raunalniki je avtomatizacija teh opravil praktino
nujna, saj si je teko predstavljati, da bi sistemski skrbnik posodabljal vsako napravo
posebej. Pri tem pa si lahko pomaga s tevilnimi namenskimi orodji in varnostnimi
uporabnikimi programi. Za veja delovna okolja pa je pomembno tudi to, da obstaja med
administratorjem oziroma pri vejih informacijskih sistemih ve administratorji in
konnimi uporabniki dobra komunikacija. Administratorji imajo glede na naravo svojega
dela prilonost, da ob konkretnih primerih teav oziroma varnostnih incidentov konne
uporabnike pouijo o varnosti na spletu, dobrih praksah uporabe raunalnika in podobno.

16

VARNOSTNI MEHANIZMI PRI WINDOWS


3.1VARNOSTNI MEHANIZMI PRI WINDOWS XP

3.1.1

Varnostni mehanizem DEP

Varnostni mehanizem DEP je varnostna funkcija, ki v delovnem spominu operacijskega


sistema opredeli doloena podroja kot izvrljiva, druga pa kot neizvrljiva. Tako na
primer programom, servisom in gonilnikom dovoli samo zagon kode v obmoju, ki je
oznaeno kot izvrljivo. Ta varnostni mehanizem ni v uporabi samo na operacijskih
sistemih Microsoft Windows, ampak je na voljo tudi v operacijskih sistemih Linux, OS X
in iOS, in v operacijskem sistemu za pametne telefone Android. Ta varnostna funkcija je
bila pri Microsoft Windows prvi uporabljena pri operacijskem sistemu Windows Vista.
(http://www.pcworld.com/article/182917/pros_cons_windows_7_security.html)

3.1.2

Funkcije datotenega sistema NTFS

Z operacijskim sistemom Windows XP je priel novi datoteni sistem NTFS in z njim


veliko varnostnih funkcij, ki jih datoteni sistem FAT32, ki je bil v uporabi do takrat, ni
poznal. NTFS datoteni sistem uporabnikom omogoa podrobne varnostne nastavitve za
pogone, mape in datoteke. Te varnostne nastavitve so na voljo v zavihku Security v
lastnostih pogona, datoteke ali ve datotek, in mape ali ve map. S klikom na gumb
Advanced lahko administrator raunalnika podrobno doloa pravice za razline
uporabnike in skupine uporabnikov, po elji pa jih tudi dodaja in brie. Prav tako lahko
spreminjamo lastnika pogona, map in datotek. Datoteni sistem NTFS ponuja tudi
enkripcijo posameznih datotek in map.

3.1.3

Windows sistemski servisi

Vsi Microsoft Windows operacijski sistemi imajo vgrajene t. i. servise, ki imajo vsak svojo
specifino vlogo, velika veina pa se jih v raunalniki spomin naloi pri zagonu
raunalnika s pomojo gostiteljskih svchost.exe procesov. Veliko servisov pri
operacijskem sistemu Windows nima direktne povezave z varnostjo, ampak je njihova

17

vloga, da podpirajo operacijski sistem; brez zagnanih servisov Remote Procedure Call
(RPC), Event Log in e nekaterih uporabnik ob zagonu raunalnika najverjetneje sploh ne
bi priel do namizja, ali pa bi bilo le-to popolnoma neuporabno. Nekaj servisov pa je
kljunih za varnost raunalnika. To so na primer servisi: Windows Firewall/Internet
Connection Sharing (ICS), Microsoft Antimalware Service, Security Center, Windows
Updates, Security Center, HTTP SSL in tako dalje. Med njih bi lahko uvrstili e druge
servise, kot sta na primer servisa Protected Storage (nudi varno shranjevanje podatkov) in
System Restore (izvaja funkcije za povrnitev sistema v prejnje stanje), a zgoraj nateti so
najpomembneji.

3.1.4

Varnostna komponenta Windows Firewall

Windows Firewall oziroma Windows poarni zid je varnostna komponenta pri operacijskih
sistemih Windows XP in je pri Windows XP SP3 privzeto omogoen. Poarni zid Windows
Firewall filtrira ves promet zahtevke za vzpostavitev povezave in prenos podatkov v
lokalnem omreju; to pomeni, da preverja prenos podatkov, ki prihajajo z interneta v
lokalno omreje, in podatke, ki odhajajo iz lokalnega omreja v internet, in glede na
nastavitve poarnega zidu vzpostavitev povezave oziroma prenosa podatkov dovoli ali ne
dovoli.

Slika 1: Windows XP, Windows Firewall, opozorilno okno

18

Windows Firewall pri Windows XP deluje prek procesov alg.exe (ki poganja
Application Layer Gateway Service servis) in svchost.exe (v katerem je zagnan
Windows Firewall/Internet Connection Sharing) servis. Glavna naloga Windows poarnega
zidu je torej ta, da preverja zahtevke oddaljenih raunalnikov za povezavo z
uporabnikovim raunalnikom in glede na nastavitve oziroma odloitev uporabnika to
komunikacijo dovoli oziroma je ne dovoli.

3.1.5

Varnostna komponenta Microsoft Security Essentials

Od operacijskega sistema Windows XP SP3 dalje podjetje Microsoft ponuja svojim


uporabnikom brezplani antivirus in antisypware program Microsoft Security Essentials
(ali kratko MSE). Microsoft Security Essentials je podobno kot Windows poarni zid
varnostna komponenta, ki je vgrajena v Windows operacijske sisteme in je privzeto
omogoena. Prek uporabnikega vmesnika lahko rono zaenemo skeniranje sistema
oziroma ga avtomatiziramo, vklopimo in izklopimo lahko zaito v realnem asu, v
nastavitvah programa pa lahko pod Exclusions dodamo procese in poti do map in
datotek, za katere noemo, da jih program preverja.

3.1.6

Nastavitve za internet pod Internet Options

Napredne konfiguracijske nastavitve za spletni brskalnik Internet Explorer so uporabniku v


Control Panel tj. posebna vrsta mape, ki je dostopna prek menija Start in vsebuje veino
pomembnih nastavitev dostopne prek ikone Internet Options. Te nastavitve so
univerzalne v tem smislu, da veljajo tudi za veliko drugih programov in ne samo za
brskalnik Internet Explorer; veljajo tako za programe Microsofta kot tudi za druge
programe, ki se povezujejo v internet. Prek teh nastavitev lahko nastavimo razne napredne
nastavitve, ki izboljajo varnost naega raunalnika med uporabo interneta.
V zavihku General se nahajajo osnovne nastavitve spletnega brskalnika Internet Explorer,
kot so na primer nastavitev za domao stran, nastavitev za zgodovino brskanja po spletu,
nastavitve za ponudnike iskanja po spletu, obnaanje zavihkov, lokacija mape in
maksimalna velikost za mapo Temporary Internet Files ter nastavitve za barve, jezik in

19

pisavo. V zavihku Security so pomembne nastavitve za tiri razline cone: Internet, Local
intranet, Trusted sites in Restricted sites. Privzete nastavitve za vsako cono je poleg
popolnoma poljubnih nastavitev mono spremeniti tudi v eno od petih v naprej
nastavljenih stopenj varnosti; High, Medium-high, Medium, Medium-low, Low. Stopnja
High je najbolj varna nastavitev, Medium-high je podobna stopnji Medium (vendar so
nekatere dodatne funkcije onemogoene oziroma nastavljene tako, da brskalnik za
potrditev vpraa uporabnika), Medium je stopnja s srednje varnimi nastavitvami, Mediumlow je tudi podobna stopnji Medium, le da brskalnik uporabnika ne vpraa za potrditev,
preden poene neko potencialno nevarno vsebino (ta nastavitev je privzeta za cono Local
intranet), Low pa je najmanj varna stopnja. Obstaja e stopnja Custom Level, ki pomeni od
uporabnika nastavljene nastavitve in je namenjena bolj izkuenim uporabnikom. Praviloma
je za brskanje po spletu (cona Internet) privzeta nastavitev Medium-high dovolj varna.
Nastavitve za cono Internet lahko administrator ali konni uporabnik na primer nastavi
tako, da ne dovoli avtomatinega zagona t. i. Active Scripts; to naredi tako, da v oknu
Settings (ki se odpre prek gumba Custom Level) pod sekcijo Scripting odstrani
kljukici pod Active scripting in Scripting of Java applets. Zelo pomembne so tudi
nastavitve, ki programu Internet Explorer prepreijo, da bi avtomatino zagnal Java
programe. V teh nastavitvah se nahaja tudi opcija, ki brskalniku Internet Explorer preprei,
da bi avtomatino prikazoval aktivno vsebino, kot so na primer animacije.
Zlasti pomembne so napredne nastavitve v zadnjem zavihku Advanced. V sekciji
Accessibility se nahajajo osnovne nastavitve v zvezi s prikazom vsebine, v sekciji
Browsing so nastavitve od izgleda samega okna spletnega brskalnika do naina prikaza
spletnih strani in prikaza map in datotek pri uporabi FTP protokola, nastavitve v zvezi z
raziritvami oziroma vtiniki in tako dalje. V sekciji Multimedia se nahajajo tudi nekatere
nastavitve v povezavi s prikazom vsebine spletnih strani, sekcija Security pa vsebuje
varnostne nastavitve za t. i. aktivno vsebino, nastavitve za preverjanje varnostnih
certifikatov spletnih strani in digitalnih podpisov programov, pridobljenih s spleta, in
nastavitve za DOM Storage, SSL in TSL protokole.

20

3.2VARNOSTNI MEHANIZMI PRI WINDOWS 7

3.2.1

Varnostni mehanizem ASLR

Varnostni mehanizem ASLR je varnostna tehnologija, ki varuje raunalnik pred t. i. buffer


overflow napadi. Da bi potencialnemu napadalcu, ki je vdrl v operacijski sistem,
prepreili, da bi dostopal do doloene ranljive funkcije oziroma podroja v sistemskem
pomnilniku, varnostni mehanizem ASLR v naslovnem prostoru nakljuno organizira
poloaje za kljune podatke od procesov, ki so v tistem trenutku zagnani.

3.2.2

Varnostni mehanizem UAC

Varnostni mehanizem UAC je varnostna komponenta, ki jo je Microsoft prvi predstavil v


operacijskih sistemih Windows Vista in Windows Server 2008, v verziji Windows 7 pa je
bila e izboljana. Bistvo tega mehanizma je v izboljanju varnosti operacijskega sistema, s
tem da Windows programe privzeto zaganja z navadnimi uporabnikimi pravicami. Za
posebne primere na primer poveanje pravic, da lahko uporabnik intalira novi program
pa mora dejanje potrditi administrator operacijskega sistema. V Windows 7 je varnostni
mehanizem

UAC

postal

manj

nadleen

(https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf)

in

bolj

Manj

fleksibilen.

programov

zahteva

odobritev za zagon, in e ima uporabnik administratorske pravice, lahko sam podrobno


nastavi, kako pogosto in za katere stvari ga bo UAC mehanizem obveal. Ko je UAC
aktiviran, uporabnika obvesti tako, da se namizje zatemni in mora v UAC opozorilnem
oknu odobriti ali zavrniti zahtevo, preden lahko naredi karkoli drugega na raunalniku.
UAC je privzeto nastavljen na Always notify, to pomeni, da UAC mehanizem uporabnika
obvesti vedno, ko programi poskuajo izvesti spremembe na raunalniku oziroma v
nastavitvah

operacijskega

sistema,

ki

zahtevajo

skrbniko

dovoljenje.

(http://windows.microsoft.com/en-us/windows/what-are-user-account-control-settings#1TC=windows-7)

3.2.3

Varnostna komponenta Windows Firewall

Poarni zid, ki je bil vgrajen v stareje operacijske sisteme Windows, je bil dolgo tara
pritob, da ne nudi dovolj zaite. Poarni zid je namre v svoji prvi razliici (najprej se je

21

imenoval preprosto Internet Connection Firewall, od Windows XP SP2 naprej pa Windows


Firewall) filtriral samo dohodni promet (angl. inbound traffic), prometa z izvorom na
lokalnem raunalniku (angl. outbound traffic) pa ne. Obiajno gre sicer za legitimne TCP
zahtevke za povezavo, kar pomeni, da neki program na doloenem vratih (angl. port)
poslua in aka na zahtevke za povezavo z oddaljenih raunalnikov; temu reemo, da se
program obnaa kot strenik (angl. server).

Slika 2: Windows 7, Windows Firewall, opozorilno okno


Tako pa se obnaa tudi veliko zlonamernih programov, in s tem, ko onemogoi povezavo v
internet, s tem preprei nadaljnjo kodo; privzeta nastavitev Windows poarnega zidu je
namre taka, da programom dovoli povezavo v internet. To je Microsoft popravil e v
razliici poarnega zidu za Windows XP SP3, ko je bil poarni zid nadgrajen, da je poarni
zid za programe, ki posluajo za dohodne TCP povezave z oddaljenih raunalnikov, zael
uporabniku prikazovati preprosta opozorilna okna. V Windows 7 pa je poarni zid e
veliko bolj napreden in nudi veliko ve nastavitev ter je bolj podoben namenskim
programskim poarnim zidovom.

22

3.2.4

Varnostna komponenta Action Center

Action Center je varnostna komponenta, ki uporabniku posreduje pomembna sporoila o


varnostnih nastavitvah in priporoenih vzdrevalnih ukrepih. V Action Center so z rdeo
barvo obarvana pomembna sporoila, na primer taka, ki kaejo na veje potencialne teave
ali varnostna tveganja, za katera je priporoeno, da se jim uporabnik im prej posveti.
Primer za tako vrsto sporoila je e je Action Center nastavljen tako, da spremlja
delovanje teh dveh komponent ustavljen Windows Firewall ali zastarele oziroma e ne
intalirane posodobitve za operacijski sistem. Z rumeno barvo pa so v Action Center
obarvana manj pomembna sporoila, ki kaejo na priporoene obiajno vzdrevalne
naloge, za katere je le priporoeno, da jih uporabnik obravnava, ni pa to nujno. V Nadzorni
ploi je mogoe nastaviti katere funkcije oziroma komponente operacijskega sistema
Action Center spremlja in za njih prikazuje sporoila, in katerih ne.

3.2.5

Varnostna komponenta Windows Defender

Windows Defender je antimalware program, ki je vkljuen v sistem Windows 7, podobno


kot je bil Microsoft Security Essentials vkljuen v Windows XP. Windows Defender je
torej varnostna aplikacija, katere glavna naloga je prepreevanje okub, uporablja pa se ga
tudi za odkrivanje in odstranjevanje e prisotne zlonamerne programske opreme. Windows
Defender nudi zaito v realnem asu, kar pomeni, da blokira zlonamerno programsko
opremo, ko se poskua namestiti ali zagnati, prav tako pa redno samodejno skenira
raunalnik za e prisotno zlonamerno kodo. Windows Defender za prepoznavo zlonamerne
kode uporablja t. i. definicijske datoteke. To so posebne datoteke, ki vsebujejo podatke o
potencialnih gronjah oziroma podatke o zlonamerni programski opremi. Kot pri vseh
antimalware programih je tudi pri programu Windows Defender pomembno, da so njegove
definicijske datoteke redno posodobljene. Windows Defender za posodabljanje
definicijskih datotek in za posodabljanje samega programa uporablja Windows Update, ki
samodejno

prenese

in

namesti

nove

definicije

(http://www.microsoft.com/security/pc-security/windows7.aspx)

23

takoj,

ko

so

na

voljo.

3.2.6

Varnostna funkcija Windows Update

Windows Update (ali kratko WU) je storitev, ki jo Microsoft ponuja uporabnikom za


zagotavljanje posodobitev za operacijske sisteme Windows in njihove komponente.
Storitev WU omogoa razline vrste posodobitev; varnostne posodobitve in/ali kritine
posodobitve zaitijo raunalnik pred ranljivostmi, ki bi jih lahko izkoristili zlonamerni
programi ali tretje osebe (t. i. hekerji), posodobitve, ki niso kljunega pomena za varnost
raunalnika, pa so namenjene odpravi odkritih napak v komponentah operacijskega
sistema ali poveanju funkcionalnosti. Storitev je mono nadgraditi v Microsoft Update, ki
je razirjena razliica storitve in zagotavlja posodobitve tudi za druge Microsoftove
programe . (https://en.wikipedia.org/wiki/Windows_Update)
Microsoft obiajno izdaja varnostne posodobitve vsak drugi torek v mesecu, lahko pa jih
izda in namesti na raunalnike pravzaprav kateri koli dan, kar velja za primere na novo
odkritih vejih varnostnih lukenj. Posodobitev je takrat nujna in z njo se prepreijo
morebitne mnoine okube opreracijskih sistemov Windows po celem svetu. Sistemski
skrbniki lahko konfigurirajo storitev tako, da se nujne posodobitve pridobijo in namestijo
samodejno, ko je raunalnik povezan v internet. Za podjetja in ustanove je to pravzaprav
edina monost, ker je praktino nemogoe, da bi administrator rono posodabljal vse
operacijske sisteme. Za Windows Vista, Windows Server 2008 in kasneje operacijske
sisteme Windows (torej tudi za Windows 7) stara spletna stran za Windows Update ne nudi
ve uporabnikega vmesnika za izbiro in prenos posodobitev. Namesto nje nudi podobno
funkcionalnost Windows Update v Nadzorni ploi. Podpora za Microsoft Update je
vgrajena tudi v sam operacijski sistem, vendar je privzeto izklopljena.

24

PRAKTINI PRIMER ZAITE IT SISTEMA


4.1KREIRANJE IN KONFIGURACIJA OMREJA

V domaem delovnem okolju se na eni lokaciji osebni raunalnik (ki ima intaliran
operacijski sistem Windows XP Home SP3) na internet povezuje prek Wi-Fi mrene
kartice TENDA, Wi-Fi usmerjevalnika (angl. router) in kabelskega modema od ponudnika
storitev Telemach. Da je to mono, je bilo najprej treba ustvariti lokalno domae brezino
omreje. Nekateri usmerjevalniki in brezine mrene kartice se znajo sami pravilno
konfigurirati, tukaj pa bomo opisali potek ronega kreiranja nove Wi-Fi povezave prek
vmesnika, ki je na voljo v operacijskih sistemih Windows.
Za kreiranje nove Wi-Fi povezave je treba v oknu, ki se odpre, ko uporabnik z desnim
klikom na miko klikne na Wi-Fi ikono v orodni vrstici, izbrati View Available Wireless
Connections in nato klikniti Set up a wireless network for a home or small office. S tem
se odpre arovnik Wireless Network Setup Wizard, v katerem je treba vnesti ime oziroma
SSID in geslo za novo domao brezino omreje, prav tako pa je treba izbrati nain
enkripcije podatkov (WPA oziroma WPA2 ali WPE). Nato je treba usmerjevalnik resetirati
(da se izbriejo morebitne e obstojee nastavitve), v operacijskem sistemu pa onemogoiti
Wi-Fi mreno kartico. Nato je treba Wi-Fi usmerjevalnik s kablom povezati na pravi vhod
na raunalniku. Ko to naredimo v spletnem brskalniku vnesemo IP naslov 192.168.0.1 in
pritisnemo tipko Enter, kar odpre nastavitveni vmesnik od Wi-Fi usmerjevalnika, tja pa je
treba vnesti iste podatke, kot so bili prej vneseni prek arovnika v Windows vmesniku. Ko
so pravi podatki za novo Wi-Fi omreje vneseni v Wi-Fi usmerjevalnik, ga je treba
odklopiti iz elektrike, odnesti h kabelskemu modemu (ki v naem domaem delovnem
okolju ni v istem nadstropju kot Wi-Fi usmerjevalnik) in ju povezati s kablom. Lokalno
Wi-Fi omreje zane delovati takoj, ko uporabnik iz usmerjevalnika izklopi kabel in v
operacijskem sistemu spet omogoi Wi-Fi mreno kartico; Wi-Fi kartica v raunalniku
nato svoj privatni IP naslov dobi od DHCP strenika. Od takrat dalje se je na raunalniku
mono v internet povezati prek Wi-Fi mrene kartice in nadaljnja konfiguracija ni ve
potrebna.

25

V primeru namiznega raunalnika na tej lokaciji, zaradi zastarelosti gonilnikov Wi-Fi


mrene kartice modela ni mono uporabljati Windows programske opreme za
konfiguracijo in povezovanje v omreje; namesto nje je treba uporabiti namenski program
Tenda TWL541C(P) Wireless LAN Adapter Configuration Utility Wi-Fi mrene kartice.
Ko s tem programom ustvarjamo profil za domae Wi-Fi omreje, je treba podobno kot
velja za vmesnik Wi-Fi usmerjevalnika v vnosno polje v prvem koraku vnesti enake
podatke (SSID in geslo), kot so bili vneseni prek arovnika v Windows vmesniku, ko smo
ustvarjali Wi-Fi omreje. Razlika med ustvarjanjem lokalnega brezinega omreja z
Windows vmesnikom in ustvarjanjem profila z namenskim programom je le v tem, da je
pri slednjem poleg metode za enkripcijo podatkov (WPA-PSK) treba izbrati tudi nain
overovitve (AES ali TKIP).

Slika 3: Program Tenda Configuration Utility, Network Status


V primeru notesnika s TP-LINK brezino USB mreno kartico pa tak posebni program ni
potreben; v lokalno Wi-Fi omreje se je brez teav mogoe povezati prek programskega

26

vmesnika, ki je del operacijskega sistema Windows 7. V kratkem nameravamo v to


delovno okolje vkljuiti e en namizni raunalnik; le-ta pa se bo v internet povezoval
(podobno kot notesnik) prek TP-LINK PCI mrene kartice.

4.1.1

WI-Fi omreje in storitev OpenDNS

Kot je opisano v poglavju v teoretinem delu, storitev OpenDNS ponuja uporabnikom za


DNS storitve svoja alternativna DNS strenika. Ta dva IP naslova vpiemo kot DNS
strenika; to lahko naredimo v DNS nastavitvah Wi-Fi usmerjevalnika, ali pa v nastavitvah
za posamezno povezavo oziroma omreje (\\Control Panel\Network Connections\).

Slika 4: LAN, Wi-Fi in WAN nastavitve na usmerjevalniku

27

Na zaslonski sliki na prejnji strani je primer nastavitev Wi-Fi usmerjevalnika za lokalno


brezino omreje na usmerjevalniku TP-LINK, ko je nastavljen za uporabo OpenDNS
(pod WAN, DNS Server). Preko tega usmerjevalnika se v internet povezuje delovni
raunalnik v domaem delovnem okolju na eni od dveh lokacij. Na ta nain imamo
nastavljeno odkar smo dobili nov usmerjevalnik; pred tem je bila uporaba storitve
OpenDNS nastavljena na napravah loeno za vsako povezavo oziroma omreje posebej.

4.1.2

LAN omreje in storitev OpenDNS

Za uporabo storitve OpenDNS prek nastavitev za posamezne LAN povezave (in ne prek
usmerjevalnika) pa je potrebno v lastnostih lokalnega omreja v zavihku General pod
Internet Protocol (TCP/IP) namesto Obtain DNS server address automatically izbrati
Use the following DNS server addresses in v tista vnosna polja (torej pod Preferred in
Alternate DNS Server) vpisati IP naslova 208.67.220.220 in 208.67.222.222.

Slika 5: Wi-Fi Properties, DNS servers, OpenDNS

28

Tako uporabljamo OpenDNS v domaem delovnem okolju na drugi lokaciji, kjer uporaba
storitve OpenDNS (in hranjenje IP naslovov za imena domen) ni vklopljena na
usmerjevalniku (ker nimamo Wi-Fi omreja in usmerjevalnika), ampak na pravkar opisan
nain. Ta raunalnik ima intaliran Windows XP Professional SP3, na internet pa se
povezuje prek Huawei HSPA USB modema (UMTS) in namenskega Vodafone Mobile
Broadband programa; program pri intalaciji ustvari (in kasneje uporablja) lokalno
omreje, kateremu privatni IP naslov dodeli lokalni DHCP strenik. Mono pa se je v
internet povezati tudi prek PPP protokola z uporabo t. i. rone povezave, ki ne uporablja
lokalnega omreja in programa Mobile Broadband.

4.2CELOVITA ZAITA PREK SISTEMA DNS

4.2.1

Program DNSKong

DNSKong je program, ki se obnaa kot lokalni DNS strenik. DNSKong deluje na


lokalnem IP naslovu 127.0.0.1 (localhost) in tako filtrira ves internetni promet. Noben
zunanji raunalnik ne more uporabljati programa DNSKong; uporablja ga samo lokalni
raunalnik. Program DNSKong za pravila za filtriranje in blokiranje uporablja tri navadne
tekstovne datoteke:

named.txt je datoteka, ki vsebuje posamezne dele imen v URL naslovih, ki


bodo blokirani (preusmerjeni na 127.0.0.1);

pass.txt je datoteka, ki enako kot named.txt vsebuje posamezne dele imen,


samo da so te za razliko od tistih v named.txt, ki so blokirane, eksplicitno
dovoljene;

presets.txt je datoteka, ki deluje kot lokalni DNS predpomnilnik, po vlogi in


funkcionalnosti podoben hosts datoteki

Glede na specifino uporabo filtrirnih datotek obstajata dva glavna naina uporabe
programa DNSKong. Prvi nain je t. i. block all nain, ki privzeto blokira vse IP
naslove, razen tistih nekaj, ki se uporabljajo vsak dan in jim zato zaupamo. To doseemo

29

tako, da se doda .com, .net, .org top oziroma root-level imena domene v named.txt, v
datoteko pass.txt pa tiste posamezne, za katere se dovoli. Drugi nain je pa t. i. pass all
nain, ki naeloma dovoli vse, razen tistih, ki se eksplicitno dodajo v named.txt datoteko.
Sam uporabljam slednjega.

4.2.2

LAN omreje in program DNSKong

Konfiguriranje operacijskega sistema Windows za uporabo programa DNSKong je dokaj


preprosto. Najprej je treba onemogoiti DNS Client servis, ker bi se le-ta vmeaval v
delovanje programa, nato pa imamo dve monosti. Nastavitve za lokalno omreje lahko
nastavimo tako, da bo DNS sistem (in z njim internet) deloval samo takrat, ko bo zagnan
program. To doseemo tako, da pod Preferred DNS Server vpiemo naslov 127.0.0.1
(prek tega naslova bo deloval DNSKong, ko bo zagnan), naslova za Alternate DNS
Server pa ne doloimo.
Lahko pa nastavitve za lokalno omreje usmerimo tudi tako, da bo DNS (in z njim
internet) vedno deloval, ne glede na to, ali bo program DNSKong zagnan ali ne. Ko bo
DNSKong zagnan, bo DNS deloval prek njega (prek programa DNSKong), ko pa
DNSKong ne bo zagnan, bo DNS deloval prek sekundarnega DNS imenskega strenika.
To doseemo tako da Preferred DNS Server nastavimo na naslov 127.0.0.1, naslov za
Alternate DNS Server pa nastavimo poljubno; e hoemo, lahko vpiemo IP naslov od
ponudnika storitev (IP od Telemacha ali Si.mobila), ali pa e elimo uporabljati
OpenDNS, ko program DNSKong ni zagnan , enega od OpenDNS imenskih strenikov.

30

Slika 6: LAN Properties, DNS servers, DNSKong in OpenDNS


Program DNSKong pa je skupaj s storitvijo OpenDNS mogoe uporabljati tudi tako, da ko
je DNSKong zagnan, kar sam program DNSKong za pretvorbo DNS uporablja IP naslove
od OpenDNS imenskih stenikov. To naredimo tako, da naslova 208.67.220.220 in
208.67.222.222 vpiemo v nastavitev Proxied DNS servers v programu DNSKong. Tako
imamo program DNSKong nastavljen na delovanje skupaj s storitvijo OpenDNS na drugi
lokaciji v delovnem okolju.

4.2.3

Ve-nivojska zaita DNS sistema

V operacijskih sistemih Microsoft Windows ima za DNS operacije glavno prioriteto


datoteka hosts (to je datoteka, ki nima konnice kot so na primer exe, doc, txt in tako
dalje), ki se nahaja pod %windir%\system32\drivers\etc\ (pri Windows XP je to obiajno
mapa C:\Windows\system32\drivers\etc\). Da ima ta datoteka glavno prioriteto, pomeni to,
da operacijski sistem za vse DNS zahtevke najprej pogleda vanjo za morebitna imena

31

domen, pretvojena v IP naslove, ele nato uporabi DNS Client servis (e je ta nastavljen,
da ga operacijski sistem uporablja) in zunanje DNS strenike. Prek datoteke hosts je
mono tudi blokirati povezavo na elene spletne strani. To storimo tako, da imenu domene,
na katero elimo prepreiti povezavo, doloimo IP naslov 127.0.0.1 (localhost) ali 0.0.0.0
(anyhost), ki sta oba splona IP naslova za lokalni raunalnik.

Slika 7: CIP, urejevalnik datoteke hosts


V ta namen uporabljam program CIP, zelo uporaben urejevalnik datoteke hosts (ker
omogoa tudi pretvorbo spletnih naslovov v IP naslove), s katerim urejam svojo hosts
datoteko in opravljam pretvorbo nekaj najbolj pogosto uporabljanih spletnih naslovov
in/ali imen domen (ki sem jih sam dodal v hosts datoteko) v naslove IP. Spletne naslove je
v program CIP mono tudi uvoziti iz standardne bookmarks.html datoteke (le-to pa je
mogoe izvoziti iz shranjenih priljubljenih spletnih strani Bookmarks pri brskalniku
Mozilla Firefox) in iz Favorites pri brskalniku Internet Explorer.

32

DNS sistem na tem raunalniku je z uporabo datoteke hosts in programa DNSKong


venivojski, kar pomeni, da na tem raunalniku operacijski sistem ie na ve lokacijah,
preden se /e je to sploh potrebno) povee z zunanjimi DNS streniki. V praksi to pomeni,
da Windows za dano ime domene vedno najprej preveri lokalne zaloge pretvorjenih IP
naslovov in ele v tistih primerih, ko se pretvorjeni IP ne nahaja na nobeni od teh lokacij,
naredi poizvedbo prek OpenDNS imenskih strenikov. Prvi nivo DNS sistema na tem
raunalniku so torej dvojice imen domen in pripadajoih IP naslovov, ki so shranjeni v
datoteki hosts. Drugi nivo so dvojice imen domen in IP naslovov, ki se nahajajo v
predpomnilniku v RAM-u in v datoteki presets.txt od programa DNSKong. Ta raunalnik
torej uporabi DNS server od storitve OpenDNS ele takrat, ko v datoteki hosts in v
predpomnilniku programa DNSKong ne najde razreenega imena domene. DNS sistem
torej deluje preko dveh lokalnih stopenj, z OpenDNS pa se doda e eno zunanjo, kajti tudi
OpenDNS ima svoj DNS predpomnilnik. S takim DNS sistemom poskrbimo tudi za
varnost raunalnika med uporabo interneta.

4.2.4

Storitev OpenDNS v praksi

Ne glede na specifien nain konfiguracije pa velja, da ko je omreje enkrat nastavljeno za


uporabo OpenDNS (torej da za DNS storitve uporablja imenska strenika od OpenDNS),
bodo vsi DNS zahtevki z izvorom na tem omreju li prek storitve OpenDNS. Kot reeno,
funkcije, ki jih OpenDNS privzeto nudi, so zaita pred ribarjenjem, robotskimi
zlonamernimi omreji in popravljanje napak v vpisanih spletnih naslovih.

33

Slika 8: OpenDNS, blokirane domene v 1 dnevu

Slika 9: Firefox, opozorilo za z OpenDNS blokirano domeno

34

Bolj napredne nastavitve, kot je na primer filtriranje vsebin prek kategorij spletnih strani
ter belo in rno listo domen, pa je treba rono nastaviti na OpenDNS spletni strani.
Uporabnikom obiajno administratorju omreja so no voljo e druge funkcionalnosti
kot na primer statistika blokiranih domen, IP naslovov, t. i. domain tagging in tako dalje.

Slika 10: OpenDNS, Web content filtering

35

4.3ANTIVIRUSNI PROGRAM IN POARNI ZID

4.3.1

Program Avast Antivirus 2015

Na obeh glavnih namiznih raunalnikih imamo (na enem od njih poleg Microsoft programa
MSE, ki je zato onemogoen) nameen antivirusni program Avast Antivirus. Uporabljamo
trenutno najsodobnejo brezplano razliico z imenom Avast Antivirus 2015. Glavno vlogo
pri zaiti pred okubami ima it datotenega sistema (angl. File System Shield), ki v
realnem asu pregleduje vse datoteke in programe, preden jih je dovoljeno odpreti in
zagnati. V nastavitvah je mono podrobneje nastaviti, kakne vrste datotek in aplikacij naj
program skenira, kot tudi ob katerih operacijah. Datoteni it je privzeto nastavljen, da
pregleduje datoteteke pri izvajanju kar pomeni, da it preverja programe, ko se zaenejo
mono pa ga je nastaviti, da tega ne pone. Enako velja za pregledovanje datotetek pri
odpiranju, pri spreminjanju in shranjevanju, pri priklapljanju, in tako dalje.
V naprednih nastavitvah pod Izjeme je mono izbrati lokacije na lokalnem disku, za katere
elimo, da jih it ne pregleduje v realnem asu. Pod nastavitvijo Akcije pa lahko
uporabnik sam izbere, kaj naj it stori (naj vpraa uporabnika, avtomatino popravi
okueno datoteko, premakne zlonamerno programsko opremo v Virusni zabojnik in tako
dalje), ko je zaznana doloena vrsta gronje. Obstajajo e druge napredne nastavitve, na
primer Packers in Sensitivity. Pod Izjeme sam dodam procese, ki jih dobro poznam, e
posebej tiste, ki se ne povezujejo v internet. Prav tako tja vpiem poti do map na lokalnem
disku, kjer vem, da ni monosti za okubo (na primer mape z 1 GB in ve velikimi
multimedijskimi datotekami) in s tem pohitrim delovanje programa, saj aktivni iti v
realnem asu ne pregledujejo prav vseh programov, ki jih zaenem, in datotek, ki jih
odprem.
Varnosti med brskanjem po spletu pa je namenjen Spletni it (angl. Web Shield), ki v
realnem asu varuje raunalnik pred gronjami med brskanjem po spletu in nalaganjem ali
prenaanjem podatkov iz spleta, prav tako pa prepreuje tudi zagon zlonamernih skript. V
naprednih nastavitvah je mono natanno nastaviti spletno in HTTPS skeniranje kot tudi
skeniranje skript. Pod Izjeme pa je mono iz pregledovanja izkljuiti doloene URL (angl.
Uniform Resource Locator) naslove (angl. Uniform Resource Locator) in tipe MIME

36

(angl. Internet Media Type). Podobno kot za datoteni it pod Izjeme dodam vse procese,
ki jih dobro poznam, naslove spletnih mest, ki so praviloma varna poti do map na lokalnem
disku, kjer vem, da ni monosti za okubo (na primer mape z 1 GB in ve velikimi
multimedijskimi datotekami) in s tem pohitrim delovanje programa, saj aktivni iti v
realnem asu ne pregledujejo prav vseh programov, ki jih zaenem, datotek, ki jih odprem,
in tako dalje.
Zaiti pred nevarno programsko opremo ki do raunalnika pride prek k e-mail
sporoilom pripetih datotek, kot tudi na druge naine in nezaeleno poto pa je namenjen
it e pote (angl. Mail Shield), ki pregleduje dohodna in odhodna sporoila, ki
uporabljajo POP3 (angl. Post Office Protocol), IMAP (angl. Internet Message Access
Protocol) in SMTP (angl. Simple mail transfer protocol) protokole, kot tudi e-mail sproila
noviarskih skupin (angl. Network News Transfer Protocol). Enako kot pri ostalih dveh
itih so na voljo e druge napredne nastavitve, na primer Packers in Sensitivity, Izjeme in
tako dalje.
Na eni od naprav zaito v realnem asu dostikrat zaasno onemogoim sploh takrat, ko
raunalnik ni povezan na internet , saj je moje znanje glede varnosti pri uporabi interneta
obirno in moj raunalnik ob vsakodnevnem delu v zadnjih letih e ni bil resneje ogroen
zaradi virusa ali katere koli druge oblike zlonamernih programov. To storim (onemogoim
katerega od itov; navadno onemogoam it datotenega sistema) v doloenih spedfinih
situacijah, ko je to smiselno, na primer med intaliranjem nove programske opreme, med
posodabljanjem gonilnikov, kopiranjem vejih koliin podatkov in podobno. Vzrok za to je
verjetno tudi v dejstvu, da obiajno vsakodnevno obiskujem ena ista spletna mesta.
Uporaba antivirusnega programa Avast Antivirus 2015 (omogoeni vsi iti in dodatne
funckije) pa je nujna na raunalniku na drugi lokaciji. Tam raunalnik uporabljajo manj
vei uporabniki in to tudi razlog, da je bil sistem prek brskalnika Google Chrome okuen
z nadleno obliko enega od oglaevalskih programov, omogoen in pravilno nastavljen it
programa Avast Antivirus pa je dokler oglaevalskega programa nisem odstranil s
programoma Bitdefender Adware Removal sproti prepreeval odpiranje spletnih strani,

37

ki so jih vstavki poskuali naloiti. Prav tako pa je tudi onemogoal motea oglasna okna,
ki so bila tudi posledica te okube.

Slika 11: Avast Antivirus 2015, upor. vmesnik, virusni zabojnik

4.3.2

Poarni zid pri Windows XP SP3

Kot zelo pomembno obliko zaite svojega raunalnika, ki ima intaliran operacijski sistem
Windows XP, uporabljam poarni zid, ki je vgrajen v operacijski sistem Microsoft
Windows XP Professional SP3. Kot ostali poarni zidovi Windows Firewall nadzira pretok
podatkov, ki pridejo do raunalnika iz drugih raunalnikov, in deloma tudi pretok
informacij, ki imajo svoj izvor na lokalnem raunalniku (raunalnik, kjer deluje poarni
zid). Windows poarni zid, vgrajen v operacijski sistem, deluje tako, da ko se nekdo na
lokalnem omreju ali internetu poskua povezati z raunalnikom, Windows poarni zid
blokira povezavo, dovoli pa nam, da se povezujemo v internet. V primeru, e uporabljamo
programe, kot so na primer programi za online pogovor, ali igramo igrice po internetu,
poarni zid ob zagonu takega programa prikae opozorilno okno, mi pa moramo
povezovanje izrecno dovoliti s klikom na gumb Unblock. Drugi dve opciji sta Keep
Blocking in Ask Me Later.
e se uporabnik odloi za odblokiranje povezave, poarni zid za ta program ustvari izjemo
in uporabnika v prihodnosti ne moti ve z opozorilnim oknom. Pri teh povezavah, ko se

38

nekdo na lokalnem omreju ali internetu poskua povezati z uporabnikovim raunalnikom,


in ne obratno, gre za programe na naem raunalniku, ki posluajo za prihajajoe zahtevke
za povezavo. Drugae povedano, gre za TCP povezavo v t. i. stanju LISTENING. Za
vsako izjemo so na voljo dodatne monosti, kaj vse ta program sme in esa ne; dodamo
lahko na primer vrata, na katerih lahko neki program poslua za prihajajoe zahtevke,
dodajamo enega ali ve raunalnikov, od katerih lahko ta program vedno sprejema
zahtevke za povezavo, in tako dalje. Seveda lahko tudi tu rono dodajamo programe in
tako za njih v naprej preden jih prvi zaenemo in preden se prvi poveejo na internet
nastavimo, kaj smejo in esa ne.

4.4PROGRAMI ZA VARNOST NA INTERNETU

4.4.1

Program K9

K9 je program za filtriranje elektronske pote, ki deluje v povezavi z lokalnim e-mail


odjemalcem in avtomatino razvra dohodna e-mail sporoila kot spam (neelena email sporoila) oziroma ne-spam. Program deluje tako, da ni potrebe po vzdrevanju
in/ali rednem posodabljanju pravil, glede na katera naj program sortira e-mail sporoila.
Program K9 uporablja statistino analizo dohodnih e-mail sporoil, ki po doloenem asu
postane zelo natanna; program se ui iz svojih napak in s asom postane vedno bolji v
prepoznavi neelene e-pote. e pomembneje je to, da se program naui prepoznati,
katera sporoila uporabnik razume kot spam e-poto. K9 deluje samo z e-potnimi rauni,
ki uporabljajo standardni POP3 protokol, ne podpira pa raunov, ki uporabljajo protokol
IMAP, niti ne podpira Hotmail, AOL in drugih raunov e-pote, ki je dostopna prek
brskalnika.

4.4.2

Program Proxomitron

Proxomitron je zelo zmogljiv lokalni filtrirni HTTP proxy. Program Proxomitron se najbolj
pogosto uporablja za blokiranje odpiranja nadlenih oken, kot so pop-ups, oglasnih pasic in
odstranjevanje multimedijskih vsebin (zvoki in animacije), ki so vgrajene v spletne strani.
Prav tako je program zmoen blokirati JavaScript skripte, spreminjati in brisati glave
HTTP sporoil in blokirati zahtevke in jih preusmeriti k oddaljenemu zunanjemu proxy-ju.

39

Program deluje prek konfiguracijskih datotek, ki vsebujejo zapletena filtrirna pravila, le-ta
pa se spreminja in njihovo delovanje omogoa in onemogoa prek programskega
uporabnikega vmesnika.
V spletnem brskalniku Internet Explorer nastavimo uporabo proxy-ja prek menija Tools,
Internet Options in v zavihku Connections za izbrano povezavo kliknemo gumb
Setttings, nato pa pod sekcijo Proxy Settings odkljukamo opcijo Use a proxy server for
this connection, nato pa preko gumba Advanced za HTTP in Secure pod Proxy
address to use vpiemo localhost, pod Port pa vnesemo tevilo 8080.
V brskalniku Mozilla Firefox pa uporabo proxy-ja nastavimo prek menija Tools, Options,
Advanced, Network in okna, ki se odpre, ko kliknemo na gumb Settings. Tam namesto
Use system proxy settings (kar je privzeta nastavitev) izberemo Manual proxy
configuration in pod polji HTTP Proxy in SSL Proxy moramo vnesti localhost, pod
polje Port pa tevilko 8080 (ki je privzeta vrednost; lahko pa bi izbrali tudi druga vrata)-

Slika 12: Program Mozilla Firefox, proxy nastavitve

40

4.4.3

Program SpywareBlaster

Program SpwareBlaster je zelo uporaben antispyware program, ki pomaga prepreevati


intalacijo vohunskih in drugih potencialno nevarnih programov. Njegove funkcije
vkljuujejo zaito pred znanimi nevarnimi ali vsaj nezaelenimi pikotki (Cookie
Protection) in pred nevarnimi ActiveX komponentami (ActiveX Protection) za spletni
brskalnik Internet Explorer. Nudi tudi zaito pred znanimi nevarnimi spletnimi stranmi
(Restricted Sites), kar program naredi tako, da imena teh spletnih strani doda v cono
Restricted sites v zavihku Security v Internet Options oknu v Nadzorni ploi. Prav tako
program nudi zaito tudi za spletni brskalnik Mozilla Firefox pred nezaejenimi pikotki,
za spletni brskalnik Google Chrome pa pred nezaelenimi pikotki in nevarnimi skriptami
(Scipt Protection).

4.4.4

Program Spybot - S & D

Za zaito v realnem asu kot tudi za skeniranje za vohunske in oglaevalske programe


imamo na enem od raunalnikov nameen tudi program Spybot Search & Destroy.
Program je kompatibilen z vsemi razliicami Microsoft Windows od Windows 95 naprej.
Njegova naloga je predvsem skeniranje raunalnikega spomina in trdega diska za
zlonamerno programsko kodo; v primeru, e tako programsko opremo odkrije, jo je z njim
mono tudi odstraniti.
Zelo uporabna je funkcija Immunization (ki je bila kot Immunize uporabnikom na
razpolago e v starejih verzijah programa, npr. v stabilni verziji 1.6), ki podobno kot
program SpwareBlaster naredi preventivne spremembe v nastavitvah spletnih brskalnikov
(blokira dostop do doloenih spletnih strani in/ali domen), sistemskih nastavitvah in
nastavitvah za internet, in s tem vnaprej preprei zlonamerni programski opremi monost
delovanja (zagona) in s tem okube raunalnika. Noveje verzije programa (v oktobru
2015 je zadnja 2.4) imajo tudi monost nadgrajene zaite raunalnika v realnem asu prek
modula Live Protection ki je bil v okrnjeni obliki prisoten kot funkciji SDHelper
(aktivno blokiranje zlonamernih strani) in TeaTimer (varovanje raznih drugih sistemskih
nastavitev) e v starejih verzijah programa , ki je nadgrajena prejnja zaita raunalnika
s komponentami Spybot programa.

41

4.5DRUGI VARNOSTNI UPORABNIKI PROGRAMI

4.5.1

Program xp-AntiSpy

Program xp-AntiSpy je program, ki na enem mestu omogoa spreminjanje raznih skritih


varnostnih nastavitev operacijskega sistema, omreja in tako dalje.

Slika 13: Program xp-AntiSpy, uporabniki vmesnik, nastavitve

4.5.2

Program BugOff

Program BugOff je program, ki onemogoi razne varnostne luknje v starejih razliicah


Internet Explorer in njegovih komponentah in funkcijah operacijskega sistema Windows
XP, ki ga uporabljamo na dveh napravah v naem domaem delovnem okolju.

42

Slika 14: Program BugOff, uporabniki vmesnik, nastavitve

4.5.3

Program Clamwin Antivirus

V naem delovnem okolju obasno na enem od raunalnikov uporabljamo tudi brezplani


antivirusni program Clamwin Antivirus Free, ki je namenjen samo za skeniranje
operacijskega sistema za potencialno nameeno zlonamerno programsko kodo (zlasti
viruse), ne omogoa pa zaite v realnem asu. Program je prenosljiv, kar pomeni, da ne
potrebuje intalacije in se ga lahko zaene z USB kljua in podobno.

4.5.4

Program Bitdefender Adware Removal

Bitdefender Adware Removal je brezplani skener za vohunske, oglaevalske in ostale


zlonamerne programe, ki po konanem preverjanju delovnega spomina in trdega diska

43

odstrani razne tipe zlonamerne programe. Program razvija znano podjetje Bitdefender, ki
nudi licenni antivirusni program Bitdefender Total Security 2015.

4.5.5

Program PsExec

Program PsExec je program za zagon drugih programov z zmanjanimi pravicami. e je


uporabnik administrator (torej z uporabnikim raunom, ki ima vse pravice), lahko z
uporabo programa PsExec elene programe zaene z omejenimi pravicami (kot t. i.
Limited User). To je posebej koristno za programe, ki se povezujejo v internet.

Slika 15: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)


V zaslonski sliki zgoraj je vidna razlika v pravicah procesov firefox.exe zagnanih z in
brez programa PsExec (ima omogoenih ve privilegijev).
C:
cd\
cd C:\Software\
C:\WINDOWS\psexec.exe -l -d -belownormal K9.exe
C:\WINDOWS\psexec.exe

-l

-d

-belownormal

Trayconizer.exe

"C:\Program Files\Mozilla Thunderbird\thunderbird.exe"

44

Na prejnji strani je primer skripte s katero s PsExec zaganjam antispam program K9 in email odjemalec Mozilla Thunderbird.
Spodaj pa je skripta s katero prek PsExec zaganjamo tri razline profile programa Firefox,
ki se zaenejo kot samostojni procesi. Tako nastavljeno imamo zato, da e se mi sesuje
eden od njih, ne izgubim vseh odprtih spletnih strani oziroma e naloenih videov.
C:
set TEMP=C:\WINDOWS\Temp\
set TMP=C:\WINDOWS\Temp\
cd\
cd "C:\Program Files\Mozilla Firefox\"
C:\WINDOWS\psexec.exe

-l

-d

-belownormal

firefox.exe

-p

firefox.exe

-p

profile1
cd "C:\Program Files\Mozilla Firefox\"
C:\WINDOWS\psexec.exe

-l

-d

-belownormal

profile2
cd\
set TEMP=B:\Cache\Temp\
set TMP=B:\Cache\Temp\
cd\
cd C:\Software\Support\Proxomitron\
C:\WINDOWS\psexec.exe -l -d -abovenormal Proxomitron.exe
Ker je na teh Windows XP vrednost za uporabniki okoljski spremenljivki TEMP in TMP
rono spremenjena na mapo B:\Cache\Temp\ na RAMDisk, sem v skripti za prvi in drugi
profil lokacijo spremenljivk TMP in TEMP nastavil na disk, ker bi se drugae hitro
zapolnil prostor na RAMDisk-u; primer programa, ki s svojimi datotekami hitro zapolni
ves prostor na RAMDisk-u, je vtinik za brskalnik Adobe Flash Player. Za tretji profil,
katerega uporabljam skupaj s filtrirnim proxy programom Proxomitron, pa spremenljivko
nastavim nazaj na Temp direktorij na RAMDisk-u.

45

4.5.6

Programa Cryptainer in fSekrit

Program za ifriranje podatkov Cryptainer PE je ifrirni program, ki mape in datoteke


shrani v zaifriran trezor. Ta trezor je ko ga ima uporabnik odprtega v upravljavcu
datotek viden kot navaden pogon s pripadajoo rko pogona (npr. E:, F:). Vsebino
zaifriranih trezorjev program shrani v poljubno imenovano datoteko s poljubno konnico.
Program Cryptainer PE deluje prek funkcije povleci in spusti (angl. drag & drop) in kopiraj
in prilepi (angl. copy & paste), med kopiranjem pa se podatki zaifrirajo. Za ifriranje
podatkov sta na voljo dva algoritma: 448-bitni Blowfish in novi standard za ifriranje AES
(angl. Advanced Encryption Standard). Cryptainer je na voljo tudi v brezplani razliici
(Cryptainer LE), a pri tej razliici je velikost ifriranih trezorjev omejena. V naem
delovnem okolju uporabljamo licenno verzijo programa.
fSekrit, ki je tudi program za ifriranje podatkov, pa je namenjen za varno hranjene
ifriranih zapiskov. fSekrit deluje na drugaen nain kot Cryptainer, in sicer ifrira golo
besedilo, katerega uporabnik zavaruje z varnostnim geslom, ki ga je treba vnesti ob zagonu
ifrirane datoteke. Zaifirano besedilo program hrani kot izvrljivo datoteko (datoteka s
konnico exe) s poljubnim imenom datoteke. Velika prednost uporabe programa fSekrit je
v tem, da se deifrirani podatki nikoli ne hranijo na trdi disk, ampak so ves as locirani
izkljuno v delovnem spominu raunalnika. fSekrit uporablja mono ifriranje: standard
AES / Rijndael v nainu CBC z velikostjo kljua 256-bitov. Zaprte ifrirane datoteke
prograna fSekrit so majhne; velikost datotek je le okoli 50 KB plus dolina ifriranega
besedila. fSekrit je kompatibilen s veino druin Microsfot Windows: 9x / NT / 2K / XP
(32-bit in 64-bit), razen z Windows Visto, Windows 7 in novejimi operacijskimi sistemi.

4.5.7

Programi NoShare. SocketLock, SockLock. HijackThis

Na naih raunalnikih, ki imajo intaliran operacijski sistem Windows XP, uporabljamo e


veliko drugih uporabnikih varnostnih programov (vse omeniti je praktino nemogoe
zaradi doline diplomske naloge), ki pa jih ne bomo bolj podrobno opisovali. V tem
primeru gre za preproste programe, ki imajo eno glavno funkcijo. Na primer s programom
NoShare lahko na operacijskem sistemu omogoimo pomembno varnostno funkcijo
zaprtega NetBIOS. S programom SocketLock intaliramo gonilnik, ki preprei eno od

46

ranljivih funkcionalnosti operacijskega sistema Windows XP, s podobnim programom


SockLock pa onemogoimo okubo sistemskih datotek winsocks s trojanskimi konji
Happy99, SKA in tako dalje. Program HijackThis je namenjen temu, da naredi podroben
pregled sistema za vse programe, servise, BHO objekte in tako dalje, ki se avtomatino
zaenejo ob zagonu, uporabnik pa jih z njim po potrebi lahko tudi odstrani.

4.6PROGRAMI ZA NADZOR NAD RAUNALNIKOM

4.6.1

Program HWMonitor

HWMonitor je program, ki v realnem asu prikae vrednosti, ki jih pridobi iz senzorjev na


matini ploi, procesorju, grafini kartici in tako dalje. S programom lahko spremljamo
vrednosti za razne parametre v zvezi s posameznimi komponentami (procesor, grafina
kartica, trdi diski, ventilatorji) strojne opreme. To so na primer trenutne vrednosti voltae,
kot jo zaznavajo senzorji, temperatura komponent, delovanje ventilatorjev in tako dalje.

Slika 16: Program HWMonitor, uporabniki vmesnik

47

4.6.2

Program Process Explorer

Program Process Explorer je na sploh eden od najbolj uporabnih programov, z njim pa


lahko nadziramo zagnane procese, servise, t. i. opravila (angl. job) in posebne sistemske
procese, kot so na primer System Idle Process, Hardware Interrupts, DPCs in System.

Slika 17: Program Process Explorer, uporab. vmesnik, glavno okno

48

S programom je mono spremljati tudi, koliko odstotkov procesorske moi (ali % CPU)
vsak od njih uporablja v danem trenutku, koliko spomina zaseda, koliko I/O operacij
proces vri, katere knjinice uporablja, katere t. i. niti (angl. thread) teejo v procesu,
katere t. i. roice (angl. handle) ima odprte in tako dalje. Process Explorer ponuja toliko
funkcij, da smo nateli samo najbolj pomembne. Operacijski sistemi Windows imajo sicer
vgrajen program Task Manager, a je ta veliko manj napreden kot Process Explorer; ne
prikazuje procesov v drevesu (angl. process tree), ne kae bolj podrobnih informacij za
vsak proces posebej kot so na primer zgodovina rabe CPU, spomina in I/O v zavihku
Performance Graph, odprte TCP povezave v zavihku TCP/IP, niti v procesu v zavihku
Threads in tako dalje , kot jih kae Process Explorer.

Slika 18: Program Process Explorer, proces firefox.exe, Performance

49

Dale najbolj prav pa pride program Process Explorer pri odpravljanju teav. Ko na primer
zane nek raunalnik brez jasnega vzroka delovati (in/ali se odzivati na premike mike)
vidno poasneje, kot dela ponavadi, je v veliki veini primerov vzrok v katerem od
programov (katerem od njegovih procesov), ki se je zataknil in jemlje ogromno (tudi do
100% CPU) procesorske moi. Podoben primer je ko zane nek program brez nadzora
uporabljati vedno ve sistemskega spomina (angl. memory leak); tudi v tem primeru je v
veini primerov vzrok v katerem od procesov, ki uporablja ve spomina, kot bi ga smel. e
je vzrok za poasno delovanje kateri od zgoraj natetih dveh monih vzrokov, lahko to
hitro odkrijemo s programom Process Explorer.

4.6.3

Program TCPView

S programom TCPView lahko spremljamo vse TCP in UDP povezave med dvema
tokama, tako odprte povezave v stanju ESTABLISHED (povezano) kot tudi neodprte
povezave v stanje LISTENING (posluanje za dohodne povezave), pri emer je ena
toka na lokalnem in druga na oddaljenem raunalniku, v primeru nekaterih posebnih
programov pa sta obe toki na lokalnem raunalniku. Program TCPView povezave, ki so
bile pred kratkim na novo vzpostavljene oziroma ustvarjene oznai z zeleno barvo.

50

Slika 19: Program TCPView, uporab. vmesnik, protokol TCP


Povezave, ki so med zadnjim intervalom osveevanja prele iz enega v drugo stanje na
primer iz stanja ESTABLISHED v stanje TIME_WAIT TCPView obarva z rumeno
barvo. Povezave, ki so bile pred kratkim prekinjene oziroma zaprte, pa obarva z rdeo
barvo. Program TCPView je zelo uporaben zato, ker se praktino vsak zlonameren
program povezuje v internet in lahko z njim vidimo, kateri proces se kam povezuje. Z njim
tudi poljubno ustavljamo procese, kar naredimo z desnim klikom na vrstico povezave in v
meniju izberemo End Process, prav tako pa lahko z njim zapiramo posamezne TCP
povezave, kar naredimo z desnim klikom na vrstico povezave in v meniju izberemo Close
Connection).

51

4.6.4

Program AutoRuns

S programom AutoRuns lahko nadziramo vse zagonske vnose. To so lahko programi,


knjinice, gonilniki, servisi, BHO objekti, ki se zaenejo ob zagonu raunalnika.
Posamezne zagonske vnose v registru in na disku je s tem programom mogoe tudi
omogoati, onemogoati in/ali trajno brisati. Zagonski vnosi so prirono razdeljeni v
kategorije, katerim pripadajo. Nekaj primerov kategorij: AppInit, KnownDLLs, Logon,
Winlogon, Explorer, Sheduled Tasks, Services, Drivers. AutoRuns pride zelo prav, ker se
praviloma vsak nezaeljen oziroma zlonameren program zaene e ob zagonu raunalnika,
kar pomeni, da je moral v sistemski register dodati vnos za zagon. S programom AutoRuns
lahko tak vnos onemogoimo ali izbriemo in prepreimo nadaljnjo kodo.

Slika 20: Program AutoRuns, uporab. vmesnik, zavihek Everything

52

4.6.5

Programa FileMon in RegMon

Programa FileMon in RegMon al nista ve na voljo, ker ju je nadomestil enoten program


Process Monitor. V naem delovnem okolju pa ju raje e vedno uporabljamo loeno.
Program FileMon v realnem asu nadzira delovanje datotenega sistema, z njim pa lahko
vidimo, katere datoteke procesi odpirajo, spremljamo lahko tudi informacije, ki jih procesi
zapisujejo, kot tudi to, kam na disk jih zapisujejo. Na zaslonski sliki spodaj lahko vidimo
kako se v programu vidi, ko sem odprl urejevalnik teksta Notepad, v njem odprl in
spremenil vsebino datoteke Test_n2.bat in jo shranil. Prav tako se na sliki vidi, ko sem
nato v upravljavcu datotek Total Commander datoteko Temp1.bat preimenoval v
Test_n1.bat, jo odprl v programu EditPad Lite in jo shranil.

Slika 21: Program FileMon, uporabniki vmesnik


S programom RegMon pa lahko v realnem asu nadziramo delovanje sistemskega registra
operacijskega sistema in z njim lahko spremljamo, kam kateri proces zapie v register, kot
tudi, kaj zapie. Na zaslonski sliki na naslednji strani lahko vidimo, kako se v programu
RegMon vidi, ko sem s programom AutoRuns najprej onemogoil zagon programa
TaskSwitchXP in ga nato nazaj omogoil; proces autoruns.exe je zagonski vnos iz kljua
Run premaknil v podklju AutorunsDisabled, nato pa nazaj v klju Run. Prav tako
pa se na sliki vidi, ko sem malce zatem v programu za urejanje slik Irfan View v mapo
B:\Temp\ shranil sliko Autoruns_Logon.png; proces i_view32.exe je pot in ime
datoteke dodal pod klju MRU.

53

Slika 22: Program RegMon, uporabniki vmesnik


Vsi programi nateti v tem podpoglavju razen programa HWMonitor, so (brezplani)
programi s spletne strani Sysinternals. Pisanje programov za spletno stran Sysinternals se
je zaelo kot stranski projekt podjetja Winternals Software LP, leta 2006 pa je podjetje
kupil Microsoft, programi s strani Sysinternals pa so postali del Microsoft TechNet.
(https://technet.microsoft.com/en-us/sysinternals/default ) Spletna stran je bila ustanovljena e leta
1996, ko je na njej Mark Russinovich, sedaj razvijalec jedra novih operacijskih sistemov in
ostale programske opreme pri Microsoftu, zael na spletu deliti tehnine informacije in
sistemske

pripomoke

in

programe,

ki

jih

je

sam

napisal.

(https://en.wikipedia.org/wiki/Sysinternals) Programi se v grobem loijo na kategorije File and


Disk Utilities, Networking Utilities, Process Utilities, Security Utilities in
System Information Utilities.

54

4.7VARNOSTNO KOPIRANJE PODATKOV


Poleg uporabe poarnega zidu, antivirusnega programa, in ostalih z varnostjo in zaito
povezanih programov je v domaem delovnem okolju za varovanje podatkov najbolj
pomembno izdelovanje varnostnih kopij pomembnih podatkov. Najbolj preprosto je sproti
izdelovati varnostne kopije pomembnih datotek in map, bodisi na drugo particijo na istem
trdem disku bodisi na drugi trdi disk. Ker pa lahko zaradi nezanesljivosti strojne opreme
pride do odpovedi trdega diska, vsake toliko asa ko se nabere dovolj podatkov ,nove
podatke zapeemo na CD/DVD optini disk. V zadnjih letih, ko so kapacitete USB kljuev
postale vedno veje, pa smo se navadili na kopiranje pomembnih podatkov na dovolj velik
USB klju. Ker sem v tem informacijskem sistemu administrator, sem postopek
varnostnega kopiranja delno avtomatiziral z uporabo skriptnih datotek, ki jih obiajno sam
rono zaganjam. Nekatere datoteke in mape kopiram pogosteje, druge redkeje; to pa je
odvisno od tega, kdaj so bile nazadnje spremenjene in koliko novih podatkov ki bi jih v
primeru okvare trdega diska pogreal, vsebujejo od zadnjega varnostnega kopiranja.

4.7.1

Kopiranje na drugi disk

Tukaj bomo opisali delovanje skripte, ki doloene datoteke varnostno kopira z enega na
drug disk. Skripta najprej na pogonu D: v direktoriju D:\Backup\ ustvari mapo z imenom
Docs (e pa e obstaja, pa kopira vanjo), nato pa iz mape My Documents na C:
pogonu vanjo kopira vse datoteke s konnicami txt, doc in docx. V primeru, da datoteke na
ciljni lokaciji e obstajajo, skripta tja kopira samo tiste datoteke, ki so noveje kot tiste pod
ciljnim direktorijem. To doseemo z uporabo parametra /D v ukazni vrstici programa
xcopy. Kdaj je bila katera datoteka zadnji spremenjena, program izve iz vrednosti atributa
Spremenjeno (angl. Modified file attribute) od posameznih datotek; noveje datoteke imajo
kasneji datum in as. Skripta od uporabnika ne zahteva nobenih potrditev za posamezna
kopiranja, kar doseemo s parametrom /Y.
@echo off
D:
cd\
cd Backup

55

mkdir "Docs"
C:
cd %userprofile%\My Documents\
xcopy *.txt "D:\Backup\Docs" /D /Y
xcopy *.doc "D:\Backup\Docs" /D /Y
xcopy *.docx "D:\Backup\Docs" /D /Y

4.7.2

Kopiranje na Dropbox

V primeru, ko je potrebno datoteke kopirati iz ene lokacije na pogonu C: na drugo lokacijo


na istem disku v direktorij, ki ga uporablja storitev Dropbox in jih s tem varnostno
kopira tudi na Dropbox strenik, pa pride v potev podobna skripta. Ta skripta iz mape
My Documents na pogonu C: v mapo Documents v direktoriju C:\Documents and
Settings\Administrator\My Documents\My Dropbox\Backup\ kopira vse datoteke s
konnicami doc in docx. e nekatere (ali vse) datoteke na ciljni lokaciji e obstajajo,
skripta tja kopira samo tiste, ki so noveje od tistih v ciljni mapi. Tudi ta skripta ne zahteva
interakcije; da varnostno kopiranje pravilno deluje, pa mora biti zagnan program Dropbox,
ki sinhronizira mapo na disku z mapo na Dropbox streniku. e v asu zagona skripte
program ni bil zagnan, bo kopiranje datotek izvedeno ob prvem naslednjem zagonu
programa Dropbox.
@echo off
C:
cd %userprofile%\My Documents\
xcopy

*.doc

"C:\Documents

and

Settings\Administrator\My

Documents\My Dropbox\Backup\Documents" /D /Y
xcopy

*.docx

"C:\Documents

and

Settings\Administrator\My

Documents\My Dropbox\Backup\Documents" /D /Y

4.7.3

Avtomatizacija z orodjem TaskScheduler

Administrator v domaem delovnem okolju lahko zagon skript popolnoma avtomatizira.


To lahko naredi z orodjem Task Scheduler, ki je vgrajeno v vse operacijske sisteme

56

Windows. Task Scheduler je orodje za avtomatizacijo opravil, deluje pa tako, da po


korakih prek arovnika nastavimo vse potrebno za zagon programov, dokumentov ali
skript. Spodaj je zaslonska slika uporabnikega vmesnika. ( https://msdn.microsoft.com/enus/library/windows/desktop/aa384006 )

Slika 23: Task Scheduler, skripta Backup_n1.bat

57

ZAKLJUEK

Nepogreljivost informacijske tehnologije se je v zadnjih 2025 letih stopnjevala do te


mere, da je uporaba osebnih raunalnikov, tablic, pametnih telefonov in tako dalje postala
nekaj popolnoma samoumevnega. Lahko bi rekli, da si naih ivljenj pa naj gre za delo
ali izkorianje prostega asa oziroma zabavo brez informacijske tehnologije skorajda ne
moremo ve predstavljati. Informacijska tehnologija se je razirila na toliko podroij
ivljenja, da velikokrat ugotovimo, kako zelo je vpletena v naa ivljenja, ele takrat, ko
nam ni ve dostopna. Prav zaradi dejstva, da je informacijska tehnologija v zadnjih dveh
desetletjih postala tako nepogreljiva, je varnost informacijskega sistema kljunega
pomena. Pri uporabi raunalnikov, tablic in ostalih naprav za kateri koli namen e, vedno
obstajajo varnostna tveganja. Zato je izjemno pomembno, da je vsak informacijski sistem
pravilno zaiten.
Glede varnosti pri informacijski tehnologiji obstajajo mnogi postopki in metode (v smislu
preventive) s katerimi lahko prepreimo okubo enega ali ve raunalnikov, vdor v
informacijski sistem in nepooblaen dostop do podatkov, zlorabo osebnih podatkov in
tako dalje. Prav tako obstaja mnogo varnostnih programov, ki spadajo pod preventivo.
Nekaj teh programov smo tudi omenili in opisali v tej diplomski nalogi. V primerih, ko
takih varnostnih incidentov ne moremo prepreiti, pa lahko z dosledno uporabo nekaterih
konkretnih dobrih varnostnih praks in programske opreme doseemo, da bo, e do
incidenta pride, koda veliko manja, kot bi bila, e se jih ne bi drali. S pametno
konfiguriranim in zavarovanim informacijskim sistemom in pravimi orodji pa lahko e na
zaetku zelo zmanjamo monost, da do varnostnih incidentov sploh pride.
Analiza stanja informacijskega sistema z vidika varnosti in analiza izkuenj iz preteklosti
glede varnostnih incidentov v domaem delovnem okolju pritrjujeta zastavljeni hipotezi,
da lahko z dobro zavarovanim informacijskim sistemom zelo zmanjamo monost za
okubo raunalnikov, izgubo in/ali krajo pomembnih podatkov, zlorabo osebnih podatkov
in ostalih varnostnih incidentov, ne glede na stopnjo raunalnikega znanja konnega
uporabnika.

58

LITERATURA

Bradley, T. Pros and Cons of Windows 7 Security. (online). 2009. (citirano 4. 7. 2015).
Dostopno na naslovu: http://www.pcworld.com/article/182917/pros_cons_windows_7_security.html
Dropbox. What happens when I delete a file? (online). (citirano 6. 7. 2015). Dostopno na:
https://www.dropbox.com/help/115?path=space_and_storage

Free Software Foundation. Proprietary Software GNU Project (online). 2015. (citirano 5.
9. 2015). Dostopno na naslovu: http://www.gnu.org/philosophy/proprietary.html
Kaspersky Lab. Kaspersky Security Bulletin 2014. Overall statistics for 2014 (online).
2014. (citirano 5. 9. 2015). Dostopno na naslovu: https://securelist.com/analysis/kasperskysecurity-bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/

OpenDNS. Fast, Intelligent DNS Service (online). (citirano 27. 6. 2015). Dostopno na
naslovu: https://www.opendns.com/about/global-dns-infrastructure/
Microsoft. Using the Task Scheduler (Windows) (online). 2015. (citirano 7. 7. 2015).
Dostopno na naslovu: https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006
Microsoft. What are User Account Control settings? (online). 2015. (citirano 5. 7. 2015).
Dostopno na naslovu: http://windows.microsoft.com/en-us/windows/what-are-user-account-controlsettings#1TC=windows-7

Microsoft. Windows Sysinternals: Documentation, downloads and additional resources


(online).

2015.

(citirano

20.

9.

2015)

https://technet.microsoft.com/en-

us/sysinternals/default
Microsoft. Windows 7 Security Features (online). 2014. (citirano 5. 7. 2015). Dostopno na
naslovu: http://www.microsoft.com/security/pc-security/windows7.aspx

59

NSA, The Information Assurance Mission at NSA. Security Highlights of Windows 7


(online).

2014.

(citirano

4.

7.

2015).

Dostopno

na

naslovu:

https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf

Use Wisdom. Passwords (online). (citirano 6. 6. 2015). Dostopno na naslovu:


http://www.usewisdom.com/computer/passwords.html

WhatIs.com. What is botnet (zombie army)? (online). 2012. (citirano 28. 6. 2015).
Dostopno na naslovu: http://searchsecurity.techtarget.com/definition/botnet
Wikipedia. Dropbox (service) (online). 2015. (citirano 5. 7. 2015). Dostopno na naslovu:
https://en.wikipedia.org/wiki/Dropbox_(service)

Wikipedia. OpenDNS (online). 2015. (citirano 27. 6. 2015). Dostopno na naslovu:


https://en.wikipedia.org/wiki/OpenDNS

Wikipedia. Sysinternals (online). 2015. (citirano 20. 9. 2015). Dostopno na naslovu:


https://en.wikipedia.org/wiki/Sysinternals

Wikipedia. Windows Update (online). 2015. (citirano 20. 6. 2015). Dostopno na naslovu:
https://en.wikipedia.org/wiki/Windows_Update

Wikipedia. Windows XP (online). 2015. (citirano 20. 6. 2015). Dostopno na naslovu:


https://en.wikipedia.org/wiki/Windows_XP

YouTube. Hacked off in 2014: the cyber-battle for cash and privacy, Kaspersky Lab.
(online).

2014.

(citirano

26.

9.

2015).

https://www.youtube.com/watch?v=u4TNc2gnVmc

60

Dostopno

na

naslovu:

IZJAVA O AVTORSTVU DIPLOMSKE NALOGE

Diplomant: Tadej Peri,


rojen: 13. 7. 1980 v kraju Ljubljana,

i z j a v l j a m,
da sem diplomsko nalogo z naslovom:

CELOVITO ZAGOTAVLJANJE
INFORMACIJSKE VARNOSTI DOMAEGA
OKOLJA ALI MIKRO PODJETJA
izdelal in napisal samostojno.

Kranj, oktober 2015

Podpis tudenta:

ZAITA DIPLOMSKE NALOGE

A. Copyright c: - diplomant Tadej Peri podpis


Kopiranje in vsakren drug nain razmnoevanja v celoti ali posameznih delov ni
dovoljeno brez predhodnega pisnega dovoljenja nosilcev te pravice.
B. Glede na Zakon o avtorskih pravicah in sorodnih pravicah (UL RS t. 21/95, 9/01,
30/01, 85/01, 43/04, 58/04, 94/04, 17/06, 44/06, 139/06, 16/07) in Zakona o industrijski
lastnini (UL RS t. 13/92, 13/93, 27/93, 34/97, 75/97) in velja e naslednje:
Diplomska naloga arhivski izvod si je mono ogledati samo v prostorih knjinice
olskega centra Kranj, s pisnim dovoljenjem:
avtorja diplomanta
diplomant Tadej Peri podpis avtorja diplomanta
e ni avtorjevega diplomantovega podpisa, je diplomska naloga v knjinici olskega
centra Kranj nedostopna za vpogled.
Pojasnilo k B toki:
Lastnoroni podpis avtorja diplomanta dovoljuje ogled diplomske naloge le v
knjinici olskega centra Kranj,
Brez lastnoronega podpisa avtorja diplomanta ogled diplomske naloge ni moen.

Kranj, oktober 2015