Siguria dhe mbrojtja në sistemet kompjuterike

1

SIGURIA DHE MBROJTJA NË SISTEMET KOMPJUTERIKE

2

“Uncertainty is the only certainty there is, and knowing how to live with insecurity is the only security.”—John Allen Paulos

3

Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit1. Siguria e kompjuterit

Siguria fizike Kriptimi TPM

2. Siguria e sistemit të operimit Përdoruesit lokalë dhe grupet User Account Control (UAC) Përditësimi i Windows Kriptimi Atributet e file-ve Siguria e BIOS

4

Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit3. Konfigurimi i Firewall

4. Programet anti-virus, anti-malware, anti-spyware

5. Sigurimi i të dhënave kritike (back up/restore)

6. Siguria në rrjetat wireless

7. …etj

5

Siguria e kompjuterave

• Siguria fizike• Ruajta në ambjente të kyçura

• Autentikim lokal• Jo “auto login”• Përdorimi i username dhe password të komplikuar

• Skanuesit biometrikë• Kriptimi i drive-ave• TPM (Trusted Platform Module)

6

Siguria e sistemit të shfrytëzimit

1. Përdoruesit lokalë dhe grupet

2. User Account Control (UAC)

3. Kriptimi

4. Atributet e file-ve

5. Siguria e BIOS

7


• PërdoruesitAdministrator: ka akses

të plotë mbi githçka që ndodhet në kompjuter

Guest: ka akses të limituar në kompjuter

User: mund të realizojë vetëm ato ndryshime që nuk prekin përdoruesit e tjerë apo sigurinë e sistemit

• GrupetPsh, Poëer Users

1. Përdoruesit lokalë dhe grupet

8

Siguria e sistemit të shfrytëzimit2. User Account Control (UAC)• Edhe pse mund të jeni loguar si Administrator, ju ekzekutoni

me të drejtat e një përdoruesi standartWindows kërkon vëmendjen e përdoruesit për realizimin e detyrave që

kërkojnë të drejta administrativePsh.:

• Konfigurimin e Firewall• Instalimin e aplikacioneve• Ndryshimin e informacionit

të përdouesve …etj

9

Siguria e sistemit të shfrytëzimit2. Përditësimi i sistemit të operimitShumë hack-era shfrytëzojnë pikat e dobëta të njohura

për të kompromentuar një sistemPër këtë sistemi duhet përditësuar sistemi me patch-et

dhe service pack-et më të fundit

10

Siguria e sistemit të shfrytëzimit3. Kriptimi• Windows është i pajisur me disa mjete për kriptimin e të

dhënave• EFS (Encrypting File System) e disponueshme në file

sistem-in NTFS• Për të realizuar kriptimin:

Right click>Properties>Advanced

11

Siguria e sitemit të shfrytëzimit• BitLocker

Kripton një drive të tërëRuan celësin e kriptimit në chip-in TPM (Trusted Platforme Module)Aksesohet në Control Panel>System and security

12

Siguria e sitemit të shfrytëzimit

4. Atributet e file-ve• File-t mund të kenë atribute të ndryshëm:

Read-onlyHiddenArchiveSystem

13


5. Siguria në BIOS• User password: fjalëkalimi që duhet të ketë përdoruesi

për të ngarkuar sistemin e operimit• Supervisor password: fjalëkalimi që duhet të ketë

përdoruesi për t’u loguar dhe për të bërë ndryshime në bios

• Detektimi i ndërhyrjeveDetekton nëse kasa është hapur

14

Siguria e sitemit të shfrytëzimit

15

Firewall-i dhe lidhjet e sigurtaKonfigurimi i Windows Firewall

16

Numrat e portave• Portat TCP dhe UDP mund të jenë çdo numër ndërmjet 0 dhe 65535

• Shumica e serverave përdorin numra të përherëshëm të portave (por kjo nuk ndodh gjithmonë)• Psh. Protokolli HTTP përdor portën 80

• Portat përdoren për komunikim dhe jo për siguri• Numrat e portave të shëmbimeve duhet të jenë të njohura

• Numrat e portave TCP nuk janë të njëjtë me numrat e portave UDP• Migjithëse në disa raste përputhen

17

Një lidhje në rrjet

• Kompjuteri përdor portën 1331 për të komunikuar me serverin• Nëse kompjuteri komunikon me portën 53 të serverit merr

shërbimin e DNS• Nëse kompjuteri komunikon me portën 80 të serverit merr

shërbimin e WEB• Nëse kompjuteri komunikon me portën 443 të serverit merr

shërbimin e një WEB Serveri që përdor komunikim të sigurtë (SSL)

18

Funksionimi i Firewall

19

Funksionimi i Firewall

• Bllokon portat që nuk nevojiten aktualisht• Bllokon trafikun inbound/outbound (përveç trafikut të

specifikuar në rregulla)• Bën ndarjen e rrjetit publik (internetit) nga ai privat• Mbron kompjuterat nga ndërhyrjet dhe sulmet• Një Firewall mund të realizohet si:

• Hardware• Fabrikuesit kryesorë janë Cisco, Juniper…etj

• Software• Janë të përfshirë në sistemin e operimit ose mund të ofrohen nga një palë e tretë

20

Firewall-et software

• Ndryshe quhen edhe Firewall “personal”• Janë të përfshira në shumë sisteme operimi

• Gjithashtu mund të ofrohen nga një palë e tretë

• Ndalon aksesin e paautorizuar nga rrjeti• “stateful” Firewall• Bllokon trafikun e aplikacioneve

• Windows Firewall• Filtron trafikun sipas numrit të portës dhe aplikacioneve• Mund të realizojë me sukses detyrat si:

• Bllokim i programeve që të mos aksesojnë internetin• Krijmi i një whitelist për të kontrolluar aksesin në rrjet• Lejimi i trafikut vetëm në disa posta dhe adresa IP specifike• …etj

21

Konfigurimi i Windows Firewall

• Control Panel\System and Security\ Windows Firewall

• Windows njofton nëse një program bllokohet nga Firewall

• Për të lejuar një program për të punuar përmes Firewall klikojmë mbi “Allow a program or feature through Windows Firewall”

22

Konfigurimi i Windows Firewall

• Për të bërë ndryshime klikoni butonin “Change Settings”

• Klikoni programin dhe rrjetin të cilin do ta lejoni ta aksesojë

• Nëse programi nuk ndodhet në listë klikoni “Allow an other program…”

23

Change notification settings

• Shërben për të konfiguruar mënyrën se si Firewall ndërvepron me përdoruesin• Aktivizimi/Ç’aktivizimi i Firewall• Bllokimi i të gjitha lidhjeve

hyrëse• Njoftim kur Windows Firewall

bllokon një program të ri• Kjo automatikisht i jep

përdoruesit mundësinë të shtojë rregulla në Firewall për lejuar programin të komunikojë

• Përdoruesit nuk kanë nevojë të konfigurojnë Firewall-in në mënyrë manuale

24

Windows Firewall with Advanced Security (WFAS)

• Control Panel\System and Security\Windows Firewall\Advanced Settings ose Start>wf.msc

• Dritarja që shfaqet jep një pamje të përgjithshme të konfigurimit të Firewall si dhe linqe për të mësuar dhe konfiguruar WFAS

• WFAS konfiguron Firewall-in duke duke grupuar rregullat në tre profile• Domain profile: • Private profile• Public profile

• Për të ndyshuar konfigurimet për profilet klikojmë linkun Windows Firewall Properties• Përdorim tab-et Domain profile, Private profile dhe Public profile për të

realizuar konfigurimet (megjithëse konfiugurimet e parazgjedhura mund të jenë të përshtatshme)

25


26


• Paneli në të majtë ka katër kategori:• Inbound Rules : Paraqet një listë për rregullave

të përcaktuar për lidhjet inbound• Outbound Rules : Paraqet një listë për

rregullave të përcaktuar për lidhjet outbound• Connection Security Rules : këtu mund të

krijohen dhe menaxhohen rregullat e autentikimit• Monitoring: shfaq konfigurimet e aktivizuara të

Firewall-it. Përbëhet nga :• Firewall: shfaq rregullat inbound dhe outbound të

aktivizuara të Firewall• Connection security rules: shfaq rregullat e

aktivizuara të autentikimit

27


• Krjimi i një rregulli:• Për të krijuar një rregull zgjidhni Inbound Rules ose Outbound rules

në panelin e majte dhe pastaj klikoni New Rule në panelin Actions• Windows Firewall ofron 4 tipe rregullash

• Program: Bllokon ose lejon nje program• Port : Bllokon ose lejon një portë• Predefined : Perdor nje regull Firewall te paracaktuar te perfshire ne

Windows• Custom: Specifikon një kombinim programi, porte, dhe adrese IP per te

lejuar ose bllokuar

28


• Shembull 1:Bllokimi i një programi

29


• Përcaktojmë tipin e rregullit të Firewall (program):

30


• Vendosim path-in për tek file-i i ekzekutueshëm:

31


• Caktojmë veprimin që do ndërmarrë Firewall (lejim apo bllokim):

32


• Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli

33


• Vendosim një emër për rregullin dhe klikojmë Finish

34


• Pas aktivizimit të rregullit: Internet Explorer nuk akseson internetin

35

Windows Firewall with Advanced Security (WFAS)• Shembull 2: Bllokimi i mesazheve ICMP (ping)• Klikoni New Rule dhe zgjidhni Custom

36


• Specifikojmë që ky rregull do të aplikohet për çdo program

37

Windows Firewall with Advanced Security (WFAS)• Specifikojmë portën dhe protokollin (ICMP):

38


• Specifikojmë adresat IP për të cilat aplikohet ky rregull

39


• Zgjedhim veprimin e regullit (Bllokim i mesazheve ICMP)

40


• Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli

41


• Një emër për rregullin dhe klikojmë Finish:

42

Konfigurimi i Windows Firewall me Command Line• Netsh (Network Shell) është një software command line

që ju lejon të shfaqni apo të ndryshoni konfigurimin e rretit të një kompjuteri

• Për të ekzekutuar bllokimin e Internet Explorer në Command Prompt, në direktorinë System32 jepni komandën:

C:\Windows\System32>netsh advFirewall Firewall add rule name=“Block Explorer” dir=out program=“C:\Program Files (x86)\Internet Explorer\iexplore.exe“ action=block

43

Konfigurimi i Windows Firewall me Command Line

• Për të ekzekutuar lejimin e Internet Explorer në Command Prompt, në direktorinë System32 jepni komandën

C:\Windows\System32>netsh advfirewall firewall add rule name=“Block Explorer” dir=out program=“C:\Program Files (x86)\Internet Explorer\iexplore.exe“ action=alloë

44

SIGURIA E SKEDARËVE DHE KRIPTIMIBitLocker

45

BitLocker

• BitLocker është një mënyrë për të kriptuar të dhënat në drive dhe për të kërkuar autentikim për të aksesuar informacionin

• BitLocker siguron mbrojtje për hard drive, external drive dhe për removable drive në rastet kur ato vidhen apo humbasin

• Bitlocker kripton të dhënat në mënyrë të tillë që askush nuk mund të aksesojë të dhënat pa patur fjalëkalimin

• Pas kriptimit mund të punoni me të dhënat ashtu si më parë, pa humbje të dukshme të performancës

• Për të realizuar kriptimin e fileve/skedarëve duhet të përdorni NTFS (New File System technology)

• Konvertimi i file-system në NTFS nga command prompt:convertd: /fs:ntfs

46

BitLocker

• BitLocker është në dy lloje në Windows 7• BitLocker• BitLocker to Go

• Kur aktivizoni BitLocker në një hard drive apo removable drive, BitLocker përdor këto metoda për të zbuluar drive-in:• Fjalëkalim: Mund të përdorni një fjalëkalim për të zbuluar drive-in e

kriptuar dhe në Group Policy mund të konfigurohet gjatësia minimale e fjalëkalimit

• Smart Card:

• BitLocker to Go është krijuar për të kriptuar të dhënat në mediat portabël

47

Kriptimi i një drive-i

• Start| Control Panel\System and Security\BitLocker Drive Encryption

48


• Klikoni Turn On BitLocker pranë drive-it të cilin doni të kriptoni dhe vendosni një fjalëkalim

49

Kriptimi i një drive-i• Opsionet për të ruajtur apo për të printuar recovery key

(nevojitet kur harroni pasëordin)• Në USB flash drive• Në një file• Mund të printohet

50


• Konfirmoni vendimin duke klikuar Start Encrypting

51


• Pasi proçesi të ketë përfunduar drive-i nuk mund të aksesohet pa patur fjalëkalimin

52

SIGURIMI PERIODIK I TË DHËNAVE KRITIKEBack up/Restore

53

Sigurimi i të dhënave kritike

• Duhet të realizoni rregullisht backup të të dhënave në kompjuterin tuaj në mënyrë që të mos humbisni të dhëna të rëndësishme në rastet kur një problem shfaqet në kompjuter

• Sistemi Windows ka mjete të posaçme për të realizuar backup dhe rikthim e të dhënave (restore)

• backup ka disa avantazhe krahasuar me kopjimin e thjeshtë të të dhënave në një disk të jashtëm:• të dhënat kompresohen gjatë kopjimit kështu që backup zë më

pak hapsirë në memorje.• backup mund të ndajë një file të madh në dy apo më shumë disqe,

gjë të cilën nuk mund të bëni me komandën Copy.• në kushte emergjente kur disa të dhëna të rëndësishme humbasin

apo ndryshohen, backup ofron mjete për rikthimin e të dhënave

54

Proçedura e back up

• Start| Control Panel\System and Security\Backup and Restore

55

Proçedura e back up• nëse nuk keni realizuar një backup më përpara klikoni Set up

backup.Nëse keni realizuar një backup më përpara klikoni Back up now

56


• Në dritaren Set up back up zgjedhni vendin ku duam të ruajmë backup. Mediumi në të cilin realizojmë backup është zakonisht një hardisk i jashtëm, hardisk në rrjet, USB, CD apo DVD

57

Proçedura e back up• Zgjedhni të dhënat për backup

• Let Windows choose realizon backup të të dhënave të ruajtura në librari, në desktop dhe në folderat “default” të Windows

• Let me Choose realizon backup të dosjeve /direktorive që ju zgjidhni

58


• Selektoni të dhënat për backup

59


• Konfirmoni konfigurimet e backup-it

• Klikoni mbi Save settings and run backup

• dritarja Backup and Restore tregon progresin e zhvillimit të backup

•

60


61

Rikthimi i të dhënave nga backup (Restore)• Në dritaren Backup and Restore klikoni Restore my files

62

Restore

• Klikoni Broëse for files ose Broëse for folders në varësi nëse doni të riktheni file apo folder

63

Restore

• Zgjidhni nëse doni t’i riktheni të dhënat në vendin e tyre origjinal apo në ndonjë vend tjetër

64

Restore

• Klikoni Restore : Të dhënat do të rikthehen në vendin e specfikuar.

65

SIGURIA NE RRJETAT WIRELESS

66

Siguria në WLAN

• Pozicionimi i access point për maximumin e sigurisë• Porthuaj të gjitha problemet me sigurinë në WLAN vijnë si pasojë

esinjalit që del jashtë ambjentit të punës apo shtëpisë• Nëse mund të minimizoni këtë “rrjedhje sinjali” shtoni sigurinë e

WLAN• Poziciononi access point në vendodhje qëndrore dhe larg dritareve

• Kriprtimi në rrjetat wireless• Vetëm përforuesit që kanë password mund të transmetojnë dhe të

marrin informacion• Dy standarte në sigurinë e rrjetave wireless:

• WEP• WPA

67

Wired Equivalent Privacy• WEP (Wired Equivalent Privacy)• nivele të ndryshme të sigurie

• Çelësa kriptimi 40 bit• Çelësa kriptimi 104 bit

• Që në vitin 2001 u identifikuan pika të dobëta të WEP• Siguria e WEP mund të thyhet brenda pak minutash• Nuk këshillohet përdorimi i WEP

68

Wi-fi Protected Access• WPA (Wi-fi Protected Access)

• WPA• WPA2• WPA-Enterprise

• WPA u krijua si një mënyrë për të zëvendësuar WEP me pjisjet harware ekzistuese

• Pëdor pjesë më të madhe të specifikimeve të standartit të sigurisë së 802.11i

• WPA përdor protokollin TKIP (Temporal Key Integrity Protocol)

• Probleme u identifikuan edhe në TKIP, në vitin 2004 krijua AES (Advanced Encryption Standart)

• është standarti më solid; deri tani nuk është zbuluar ndonjë pikë e dobët e AES

69

Wi-fi Protected Access

• WPA përdor pre-shared key• 8 deri në 63 karaktere ASCII

• Këshillohet përdorimi i WPA2 dhe nëse jeni në një mjedis të madh duhet të përdorni WPA-Enterprise• Përdor severa të posaçëm për të menaxhuar autentikimin në rrjet

70

Teknika për përmirësimin e sigurisë në rrjetat wireless

• Ndryshoni SSID që të mos jetë kaq e dukshme• Ç’aktivizimi i SSID broadcast

• Service Set Identifier (SSID) është emri i rrjetit wireless• është një mënyrë për të rritur sigurinë në rrjetin wireless• Windows ruan SSID të një rrjeti nëse është lidhur të paktën një

herë në të• Pasi të gjithë kompjuterat janë lidhur të paktën një herë në WLAN

nuk keni më nevojë të shpërndani SSID)• Gjithsesi, SSID i fshehur mund të gjendet me një analizë pak më të

detajuar me anë të softwareve open source

• Ndryshoni emrin e SSID • Psai të keni ndaluar shpërndarjen e SSID duhet të ndryshoni emrin

tij nga emri që i vendos fabrikuesi (psh, LINKSYS, NETGEAR…etj)

71

Teknika për përmirësimin e sigurisë në rrjetat wireless

• Filtrimi i adresave MAC• MAC është adresa hardware e një karte rrjeti• Konfigurimi i një ëhite list

• Lista e adresave mac që lejoihen të lidhen në access point

• Nuk është një metodë sigurie• MAC adresat nuk kriptohen (Nuk kriptohet header-i i paketave wireless)• Një përdores hacker mund të përgjojë paketat e rrjetit duke kapur edhe

adresat MAC të konfiguruara në ëhite-list• Në një stad të dytë mund të përdorë software të posaçëm për të

dërguar/marrë paketa me adresë MAC të rremë

72

Teknika për përmirësimin e sigurisë në rrjetat wireless• Filtrim me adresa IP

• Konfigurimi manual i adresave IP në një diapazon të caktuar• Në një rrjet të pakriptuar mund të detektohen lehetë• Nëse kriptimi thyhet, adresat IP kapen shumë lehtë

• Nga sa u tha më sipër:• “Një rrjet i sigurtë wireless realizohet vetëm nëpërmjet

kriptimit”

73

KONTROLLI I SHËRBIMEVEÇ’aktivizimi i shërbimeve të panevojshme

74

Kontrollimi i shërbimeve

• Windows 7 ka një listë të gjatë të programeve të quajtur shërbime (services) të cilat operojnë “në sfond” dhe realizojnë detyra themelore për llogari të tyre ose në mbështetje të progrmeve të tjera apo të sistemit të operimit

• Shërbimet janë routina (në background) që i lejojnë sistemit të realizojnë detyra si logimi në rrjet, menaxhimi i disqeve, mbledhja e të dhënave të performancës…etj

• Windows 7 ka më shumë se 150 shërbime të instaluara• Megjithëse shërbimet ekzekutohen në background mund të

ju duhet të ndaloni (stop), të ndaloni përkohësisht (pause), dhe startoni (start) një shërbim

75


• Kontrollimi i shërbimeve bëhet në dritaren Services e cila aksesohet në tre mënyrat e mëposhtme• Start| services.msc• Control Panel\System and Security\Administrative Tools\Services• Start| right-click në Computer| Manage dhe selektoni services në

kategorinë Services and Application

• Ditarja Services afishon listën e të gjithë shërbimeve të instaluara dhe për çdo shërbim të isntaluar tregon:• Status: gjendja e shërbimit (Started/Paused ose bosh për një

shërbim të ndaluar)• Startup Type: Mënyra e startimit të shërbimit (Automatic/ Manual)• Log On As: Account-i që për dor shërbimi për t’u loguar

76

Kontrollimi i shërbimve

77


• Për të ndryshuar statusin e një shërbimi:• Klikoni Start për të startuar një shërbim• Stop për të ndaluar një shërbim• Pause për të ndaluar një shërbim përkohësisht• Resume për të ristartuar një shërbim të ndaluar përkohësisht

• Për të ndryshuar mënyrën e startimit të shërbimit pas boot-imit të Windows:• Double-click mbi shërbimin • Në dritaren që shfaqet zgjidhni një nga opsionet

• Automatic- shërbimi startohet automatikisht gjatë bootim-it të Windows 7• Automatic (delayed Start)- si në rastin e parë me ndryshimin që shërbimi

startohet pas log-imit• Manual- Shërbimi duhet të startohet manualisht• Disabled- Shërbimi është ç’aktivizuar; nuk mund të startohet

78

Mënyra e startimit të shërbimit

79

Kontrollimi i shërbimeve me anë të Command Prompt• Për ato përdorues që manipulojnë shpesh me shërbimet,

përdorimi i driatres Services në Control panel mund të konsumojë më shumë

• Në këto raste një metodë më e mirë është përdorimi i metodave command-line në cmd.exe

• Komandate që përdoren janë:• NET STOP <emri i shërbimit> ndalon një shërbim• NET START <emri i shërbimit> Starton një shërbim• NET PAUSE <emri i shërbimit> ndalon përkohësisht një shërbim• NET CONTINUE <emri i shërbimit> starton një shërbim të ndaluar

përkohësisht

80

Kontrollimi i shërbimeve me anë të Command Prompt• Shembull:

net start Telephony

net stop “Disk Defragmenter”

net pause “World Wide Web Publishing Service”

net continue “Windows Time”

• Në raste kur emri is shërbimit përmban hapsira, emri vendoset në thonjëza, psh. “Disk Defragmenter”

81

Ç’aktivizimi i shërbimeve për performancë më të mirë • Meqë shërbimet janë software që ekzekutohen në

memorje, secli prej tyre merr një pjesë të burimeve të sistemit

• Secili shërbim në vehte ndikon shumë pak në performancë, por ngarkimi i shumë shërbimeve të panevojshme e degradon ndjeshëm performancë

• Për këtë arsye Windows shumë shërbime nuk i aktivizon automatkisht në startup. Por këto shërbime aktivizohen vetëm kur nevojiten

• Mund të përmirësoni performancën e sistemit duke• Ndaluar Windows të startojë automatikisht disa shërbime gjatë

boot-imit (startim manual)• Ndaluar Windows-in të startojë shërbime që nuk nevojiten

(Disable)

82

Ç’aktivizimi i shërbimeve për performancë më të mirë • Proçedura

• Start| services.msc• Double-click në shërbimin që doni të ç’ativizoni• Në dritaren që shfaqet , në tab-in General, në kategorinë Start-up

type zgjidhni Disabled• Klikoni OK

83

PROGRAMET E KOMUNIKIMIT ELEKTRONIKKonfigurimi i Outlook

Konfigurim manual ose automatik

• Konfigurim Manual

Konfigurimi i E-mail

Konfigurimi i një account-iHotmail

Outgoing Server/ Advanced

Testimi i lidhjes

Finish/ Add another account

Konfigurimi i një account-i GMAIL

• Ndryshimi i vetëm është në numrat e portave dhe kriptimin e lidhjes (SSL)

91

Pyetje?

Siguria dhe mbrojtja në sistemet kompjuterike

Documents

Transcript of Siguria dhe mbrojtja në sistemet kompjuterike