![[hlavní]](../hlav2.gif)
![[i-logo]](../s_inter.gif)
![[předchozí]](../pred1.gif)
Od svých prvopočátků, tehdy ještě pod jménem ARPANET (Advanced
Research Projects Agency NETwork), Internet neustále "roste".
Zpočátku patřily v něm zapojené počítačové systémy převážně
akademickým nebo vojensko-výzkumným pracovištím. Rychlost růstu
Internetu se však neustále zvyšuje. V poslední době přibývá každým
rokem dalších 100 % nových uzlů. Co je však téměř nemožné, je
vyčíslit, kolik uživatelů se skrývá za dnešním množstvím
připojených systémů. Různé odhady se pohybují mezi 15 až 30
miliony.
Současné tempo růstu Internetu není rozhodně způsobeno připojováním jednotlivých počítačů, ale začleňováním celých, již existujících počítačových sítí. Internet se tak definitivně vzdálil původní představě celistvé homogenní sítě a dnes je soustavou mnoha dílčích spolupracujících počítačových sítí. Díky své všudypřítomnosti a snadnosti používání se Internet stal velice atraktivním prostředím pro působení výdělečně činných organizací. Právě ony mají na svědomí jeho dnešní dramatický růst. Podle jednoho z odhadů dosáhla míra využívání Internetu pro komerční účely již v polovině r. 1991 hodnoty 50 %.
Význam, jaký má pro komerční organizaci připojení do Internetu, lze demonstrovat na příkladu firmy Digital: přípojka firmy denně přenáší přibližně 2 miliony zpráv elektronické pošty a měsíčně zprostředkuje zákazníkům okolo 20 000 dokumentů o nabízených produktech a službách. Digital dále jako bezplatnou službu pro Internet udržuje rozsáhlé veřejně přístupné archivy programů z kategorie "public domain", jejichž obsah dnes čítá okolo 300 000 souborů (ftp.digital.com - pozn. překl). Svůj první veřejný World-Wide Web (WWW) server (http://www.digital.com - pozn. překl.) ohlásila firma Digital v říjnu 1993. Během prvních čtyř měsíců provozu tento server poskytl 250 000 stránek informací více než 9000 vnějších uživatelů. Enormní nárůst WWW aktivit pozorovaný firmou Digital (více než 250 % za jedno čtvrtletí) je typický i pro Internet jako celek. Kvalitativní výhody Internetu ve srovnání s klasickými komutovanými (dial-up) spoji, jako jsou trvalost spojení, vyšší přenosové rychlosti a schopnost obsluhovat větší počet požadavků současně, umožnily firmě Digital nabídnout další netypickou službu: poskytnout všem uživatelům Internetu bezplatný přístup na několik svých nových systémů s architekturou Alpha a dát jim tak příležitost k ověření jejich funkcí nebo i převádění (portaci) vlastních alikací. Záměr firmy Digital vybudovat zabezpečenou přípojku do Internetu vyplynul ze zřejmých, ale protichůdných požadavků na její vlastnosti. Na jedné straně stojí potřeba všestranného zveřejnění přípojného místa pro vnější uživatele a zdánlivé neomezenosti přístupu ke zdrojům Internetu pro vlastní zaměstnance firmy, na druhé straně je tu nutnost zachování bezpečného prostředí a integrity rozsáhlé firemní počítačové sítě.
Mnoho vlastností Internetu vyplývá z toho, jak a proč vznikl. Patří mezi ně i vlastnosti ovlivňující bezpečnost jeho používání. Jedním z hlavních motivů bylo vytvořit prostředek pro sdílení informací a tvůrcům sítě přitom mnohem více záleželo na aspektu dostupnosti než na zachování důvěrnosti a integrity. Paket dat vyslaný do sítě je s vysokou pravděpodobností doručen, a to i navzdory případným výpadkům některých datových spojů na trase. Obyčejně se ani odesilatel ani adresát nedozvědí, jakou cestou, kolika a kterými systémy paket prošel, kdo mohl jeho obsah potenciálně zjistit nebo změnit, ať už náhodou nebo záměrně.
Směr vývoje Internetu je v hrubých rysech řízen orgánem IAB (Internet Activities Board), jenž pro jednotlivé otázky řízení deleguje pravomoc na další skupiny, jako je např. Internet Engineering Task Force. Hlavní úsilí v oblasti řídicí a koordinační činnosti Internetu je však zaměřeno na usměrňování způsobů jeho používání. Jeho funkce je tak více založena na dobrovolné spolupráci, dodržování smluvených a zveřejněných protokolů apod., než na přísném detailním řízení. Například prosadit systém centralizované registrace jednotlivých uživatelů pro přístup k Internetu je v podstatě nemožné a z mnoha praktických důvodů je tomu stejně i v případě centrální registrace všech připojených systémů. V konečném důsledku to vede k situaci, v níž nelze spoléhat na bezpečnostní mechanismy uplatňované samotným Internetem a odpovědnost za bezpečnost každého zapojeného systému nebo privátní sítě musí převzít jejich správci a vlastnické organizace.
Každá seriózní diskuze o bezpečnostních opatřeních musí vycházet z rozboru hrozících nebezpečí. Podrobná analýza ohrožení musí být vždy provedena specificky pro danou organizaci, ačkoli prokazatelně existuje široká třída možných způsobů napadení nebezpečných pro každého. Útočníky napadajícími konkrétní organizace jsou jak jednotlivci, často nahrazující své špatné vybavení velkou posedlostí, tak organizované skupiny schopné realizovat technicky velice komplikované útoky s protispolečenskou nebo zločinnou motivací. Druhá kategorie útočníků může při získávání informací nebo špionáži na podporu státních ekonomických cílů disponovat prostředky poskytovanými státní organizací v pozadí. Motivace potenciálních narušitelů bývá různá: od zvědavosti nebo chuti vyzkoušet vlastní schopnosti (i tito lidé však po sobě mohou zanechat rozsáhlé škody, ať náhodně či záměrně) přes maskované krádeže informací až po promyšlené pokusy narušit normální běh činnosti organizace. Častým jevem, přestože bývá přehlížen, je zneužití prostředků nebo informací třetích organizací, které přitom nejsou hlavním cílem útoku. Další obvyklou taktikou zahlazování stop útoku je "skákání" z jednoho uzlu sítě na druhý, mnohdy přes hranice států. Obě metody zametají stopy k místu, v němž útočník vstoupil do sítě. Přitom dávají příležitost používat např. komutované (dial-out) spojení z mezilehlých uzlů - telefonní poplatky ovšem hradí vlastník zneužitého systému. Firma Digital byla svědkem případu, kdy postižená organizace obdržela účty ve výši 25 000 GBP za čtvrtletí. Zneužité mezilehlé systémy mohou rovněž posloužit k uskladnění významných objemů dat "uloupených" jinde. Jakákoli zaváděná bezpečnostní opatření by proto měla vycházet ze znalosti obvyklého chování útočníků.
Řada odborných pojednání podrobně rozebírá různé druhy zaznamenaných hackerských technik. Většina útoků se děje na základě hádání hesel, zejména u známých a privilegovaných uživatelských účtů, jako je "root", zneužívání chyb nebo špatné konfigurace programů, a použitím záškodnických programů typu "trojský kůň" nebo "červ". Věhlasný "červ Roberta Morrise", jenž vážně postihl významný počet uzlů Internetu, využíval ke vniknutí do systému slabin některých verzí programu sendmail. Účinnost konkrétního bezpečnostního opatření musí být posuzována právě podle jeho odolnosti vůči podobným útokům. Jiným pohledem na hodnocení úrovně zabezpečení soustavy je míra "odkrytí", k němuž dojde, když jeden z použitých bezpečnostních mechanismů selže.
Nejjednodušší a potenciálně nejbezpečnější metodou přístupu do Internetu je připojení samostatného počítače, který není nijak spojen s privátní sítí organizace.
![[obr.1]](../9503/0328a.gif)
Ačkoli toto řešení vypadá na první pohled nešikovně, ve skutečnosti je používáno v mnoha menších (a občas i ne tak malých) organizacích. Pro tento účel postačí běžné komutované telefonní linky. K přenosu dat mezi "internetovským" systémem a zbytkem počítačové sítě organizace se používá výměnné médium, nejčastěji pružný disk. Počítá se s tím, že jakýkoli přenos dat musí být promyšleným činem a nemůže být iniciován osobou mimo fyzické hranice organizace. Navíc lze regulovat přístup zaměstnanců k vyhraženému "internetovskému počítači". Takové podmínky však nedávají uživatelům šanci začít využívat nespočetné možnosti Internetu. A protože vybudovat si vlastní "dial-up" spojení je velmi snadné, měly by si být organizace s podobným světonázorem vědomy nebezpečí, představovaného vznikem neautorizovaných a neřízených spojení z vnitřních systémů privátní sítě. Ta mohou úplně znehodnotit jinak dobře koncipovanou bezpečnostní infrastrukturu.
Nejjednodušší způsob, jak uživatelům zabezpečit trvalé spojení do Internetu, je použít pronajatou telefonní linku a IP směrovač.
![[obr.2]](../9503/0328b.gif)
Je to běžné řešení pro případy, v nichž bezpečnost není příliš sledovaným kritériem. Organizacím, které si na počítačovou bezpečnost příliš nepotrpí, umožní směrovač hladkou obousměrnou komunikaci s Internetem ze všech jejich počítačů. Každý interní systém je však za takové situace přístupný jakémukoli potenciálnímu útoku z Internetu. Východiskem může být spolehlivé zabezpečení každého jednotlivého počítače organizace. U privátních sítí malého rozsahu může být dané řešení životaschopné, nicméně u sítí větších, zejména takových, které jsou geograficky rozlehlé a z hlediska správy nespadají pod jedinou centrální autoritu, je v podstatě nepoužitelné.
Míru, s níž se organizace vydává napospas útočníkům z Internetu, je možno snížit zavedením určitých metod "filtrace" na použitém směrovači. Mnoho dnešních směrovačů je menší nebo větší měrou vybaveno touto schopností. Nejmenším opatřením může být zákaz navázání spojení pro aplikační protokoly, z jejichž používání by mohlo vzniknout nějaké ohrožení. Organizace může např. povolit obousměrný přenos elektronické pošty, ale přenos souborů omezit jen na ty operace, které jsou zahájeny zevnitř. Zaměstnanci tak mají možnost přístupu k datům na jiných uzlech v Internetu, uživatelé Internetu však data organizace získat nemohou. Složitější směrovače jsou dokonce schopny poskytovat stavová nebo varovná hlášení, která se mohou tisknout na přímo připojené tiskárně nebo přenášet na jiný systém ve vnitřní síti, kde mohou být zobrazována na terminálu operátora nebo je lze ukládát pro účely pozdější analýzy.
Bezpečnost celé konfigurace zajišťuje především filtrující směrovač a v případě jeho poruchy nebo chyby nastavení závisí bezpečnost na dokonalosti zabezpečení jednotlivých počítačů v privátní síti. Jak jsme uvedli dříve, jen těžko lze dosáhnout, aby všechny uzly rozsáhlé počítačové sítě byly zabezpečeny dostatečně a trvale. Navíc je vnitřní struktura privátní sítě prozrazena do Internetu, např. zveřejněním adres elektronické pošty. Ačkoli se "zabezpečení prostřednictvím podivnosti" jako metoda právem diskredititovalo, stále platí, že čím méně informací potenciálnímu narušiteli poskytneme, tím těžší jeho úloha bude. Další možnou slabinou bezpečnosti jednotlivých vnitřních počítačů je spolehlivost služebních síťových aplikací, které na nich pracují. Pokud např. jeden z vnitřních uzlů používá některou z z vadných nebo chybně konfigurovaných verzí programu sendmail, může být zranitelný vůči útoku některé z variant "červa Roberta Morrise". Bezpečnostnímu správci organizace tak vzniká další nelehká úloha: zajistit, aby na všech systémech byly provozovány jen otestované a schválené verze příslušných aplikací. To vše v prostředí, které správce sám může jen málo ovlivnit, a často o stavu jednotlivých systémů nemá ani dostatek informací. Nízká úroveň jejich zabezpečení však může tvořit velkou trhlinu v celkové bezpečnosti organizace.
O něco složitější způsob připojení vychází z myšlenky zabránit jakémukoli přímému spojení z Internetu do některého z vnitřních systémů. V tomto případě je filtrující směrovač nahrazen zvláštním komunikačním zařízením ("dual-homed gateway", brána), jehož základem je běžný počítač.
![[obr.3]](../9503/0329a.gif)
Ten obvykle provozuje některou z variant operačního systému UNIX, což umožňuje nasazení mnohem komplikovanějších aplikací než u původního filtrujícího směrovače. Tyto aplikace tvoří most mezi vnitřkem a vnějškem a odstraňují potřebu přímých spojení mezi oběma sítěmi. Mechanismy směrování na úrovni protokolu IP jsou vyřazeny z činnosti, takže pakety nemohou přímo procházet. Aplikace běžící na bráně jsou však schopny přijímat spojení z libovolného uzlu resp. navazovat spojení na libovolný uzel na kterékoli z obou sítí. Jak brána pracuje popišme na příkladu protokolů pro přenos elektronické pošty (smtp) a přenosu souborů (ftp).
Protokol smtp směruje na aplikační úrovni (na rozdíl od směrování na úrovni síťové vrstvy, k němuž dochází mezi každými dvěma systémy, které nemají přímé vzájemné propojení). Používá se k převzetí zprávy elektronické pošty od uživatelského programu (používaného odesilatelem) a jejímu přenosu až do místa určení (k adresátovi). Poměrně často nastává situace, kdy počítačové systémy používané odesilatelem a adresátem nemohou (nebo nechtějí) spolu vzájemně komunikovat. V takových případech bude zpráva postupně předávána z jednoho mezilehlého systému do dalšího až po nějaké době konečně dorazí do adresátova uzlu. Veškeré předávání zprávy se z hlediska zúčastněných uživatelů odehrává zcela transparentně. Přesto lze trasu, po níž zpráva putovala, po doručení často vysledovat z obsahu jejích služebních polí. Z požadavku na bezproblémový přenos elektronické pošty vyplývá, že brána by měla provozovat specializovanou "poštovní" aplikaci. Její přítomnost musí být zveřejněna do Internetu jako způsob předávání pošty určené libovolnému uživateli vnitřní sítě. Jakmile brána obdrží zprávu z Internetu, předá ji příslušnému vnitřnímu uzlu. U zpráv směřujících opačným směrem je nutno zajistit, aby ty, jejichž cíl leží mimo privátní síť, byly vnitřními uzly rovněž předávány "poštovní" aplikaci na bráně, která zajistí jejich další doručení. Organizace se musí rozhodnout, zda dovolí, aby zprávy obsahovaly původní tvar adresy odesilatele, nebo zda mají být přepsány do nějakého obecnějšího tvaru. Například uživatel U na uzlu X, patřícímu organizaci Y, odešle zprávu. V ní obsažená adresa odesilatele bude mít na počátku tvar U@X.Y.CZ. Aplikace brány však před předáním zprávy mimo privátní síť změní tuto adresu např. do tvaru U@Y.CZ, čímž bude informace o jménu vnitřního uzlu utajena před vnějším světem. Navzdory všem těmto opatřením brána zajišťuje spolehlivý přenos zpráv a jeho existence nijak nenarušuje vžité způsoby používání elektronické pošty. Brána je plně transparentní (tj. neviditelná) pro vnější i vnitřní uživatele.
Na rozdíl od předchozího, protokol ftp vychází z možnosti přímé komunikace mezi zúčastněnými uzly (end-to-end) a nedovoluje využívat mezilehlé systémy směrující na aplikační úrovni. Proto brána znemožňuje přímé navazování ftp spojení mezi vnitřní a vnější sítí. Nejjednodušším způsobem, jak obejít tento problém, je povolit vnitřním uživatelům přihlašování do systému brány a navazovat ftp spojení do vnější sítě odtud. Takové řešení je nežádoucí hned ze dvou důvodů. Předně: povolení přístupu uživatelů do systému může vést ke vzniku slabin v jeho zabezpečení, což není příliš vhodné u systému, který by měl být zabezpečen nejdokonaleji ze všech. Za druhé: uživatelé, kteří potřebují přenést data ze nebo do svého místního systému, musí tuto operaci provádět na dvakrát. Nejprve ze zdrojového uzlu na bránu a potom z brány na cílový uzel. Tak mohou, zvláště jedná-li se o početnou skupinu uživatelů, vzniknout značné obtíže v oblasti správy a dostupnosti zdrojů systému brány. Nejčastěji používanou náhradou uživatelských účtů na bráně je nasazení další zprostředkující aplikace (proxy aplikace). Uživatel vnitřní sítě se nejprve spojí se zprostředkující aplikací a předá jí identifikační údaje serveru, jehož služeb hodlá dále použít, obvykle včetně příslušného hesla. Zprostředkující aplikace pak naváže spojení s určeným uzlem a následně po celou dobu spojení zajišťuje přenos obsahu všech datových a řídicích paketů mezi uživatelem a serverem tak, že z hlediska uživatele vše vypadá jako běžné přímé spojení se vzdáleným serverem. Jediná operace, kterou musí provést navíc, je počáteční spojení se zprostředkující aplikací. Nová generace "proxy" aplikací a klientských programů však postupně před uživatelem zakrývá i existenci tototo "mezilehlého" spojení (např. WWW klient).
Přestože je soustava obsahující inteligentní bránu mohutnější než samotný filtrující směrovač, stále ještě neposkytuje dostatečnou "hloubku obrany". Brána se stává zranitelnou vůči přímým vnějším útokům, zvláště tehdy, je-li současně používána k poskytování některých služeb pro Internet. Úspěšné napadení brány poskytne útočníkovi plný přístup do vnitřní sítě. Zranitelnost soustavy lze výrazně snížit, např. přesunutím služeb na jiný, zvlášť k tomu určený systém, který leží na vnější straně brány. Druhá výhrada poukazuje na principiální slabinu tohoto řešení, a zůstává proto v platnosti.
Abychom se mohli vyhnout přímým spojením mezi Internetem a branou, byla vytvořena konfigurace s předřazenou sítí .
![[obr.4]](../9503/0330a.gif)
V ní je použit tzv. veřejný uzel, systém, který je plně viditelný z Internetu a leží mezi ním a systémem tvořícím bránu. Celkově lze říci, že v této konfiguraci dochází k vzájemnému oddělení zprostředkující a filtrační funkce brány. Filtrace zůstává v "náplni" brány, ale veškerá konektivita, kterou zprostředkuje, je redukována na spojení mezi veřejným systémem (označovaným někdy jako bašta - bastion host ) a uzly vnitřní sítě. Veřejný systém, bašta, přebírá veškeré zprostředkující funkce: různé zprostředkující (proxy) aplikace, předávání elektronické pošty atd. Název bašta, používaný pro tento systém, má zvýraznit jeho úlohu v soustavě. Jedná se o důležité místo obrany a přístup do tohoto uzlu je velice přísně střežen. Obvyklými opatřeními pro jeho zabezpečení bude odstranění veškerého programového vybavení, které není nezbytně nutné pro jeho činnost, odstranění všech uživatelských účtů, zamezení všech cest k přihlašování do systému (povolen bude jen přístup za účelem jeho správy; např. jen pro vyjmenované uživatele z několika známých uzlů vnitřní sítě) a vyloučení fyzického přístupu nepovolaných osob. Fyzická ochrana se musí nutně vztahovat i na kabeláž a další síťové prvky, které zajišťují spojení mezi externím směrovačem, baštou a uzlem brány tak, aby nemohlo být vytvořeno nedovolené spojení obcházející bránu.
Funkce soustavy s předřazenou sítí je v mnohém shodná jako u konfigurace využívající inteligentní bránu. Všude, kde je to možné, směrující aplikace, běžící na veřejném uzlu, transparentně přenášejí data mezi vnitřními a vnějšími systémy a kde nelze jinak, jsou použity zprostředkující aplikace. Monitorovací subsystém a ve vhodných případech i jednotlivé aplikace na baště a bráně, které poskytují průběžné údaje o své činnosti, jsou nastaveny tak, aby hlášení přicházela na některý z vnitřních systémů. Tam mohou být získaná data bezpečně ukládána a analyzována.
Veřejný systém je rovněž vhodným místem pro provoz některých služeb pro uživatele Internetu. Obvykle se bude jednat o tzv. veřejné služby, jako jsou anonymní ftp adresáře a World-Wide Web servery. V těchto případech není nutné, aby uživatelé přistupovali k nějakým dalším zdrojům. Bude-li metoda poskytování služeb dopředu řádně prověřena, nemůže způsobit oslabení bezpečnostních mechanismů bašty. Některé organizace požadují, aby určení uživatelé měli větší možnosti, než jen přistupovat k veřejným službám. Typickým příkladem bude potřeba umožnit zaměstnancům, kteří pracují mimo sídlo podniku, ale mají přístup k Internetu, aby mohli přistupovat ke svým účtům na některém z vnitřních uzlů. Pro navázání spojení je nutné, aby zaměstnanec organizace nejprve prokázal svou totožnost zprostředkující aplikaci na veřejném systému. Tato aplikace pak zprostředkuje spojení až na požadovanou aplikaci na cílovém vnitřním uzlu. Ve většině případů se bude patrně jednat o službu telnet , ačkoli použití jiných typů spojení není vyloučeno.
Ve srovnání s řešením na bázi filtrujícího směrovače poskytuje jak soustava, používající samotnou inteligentní bránu, tak soustava s předřazenou sítí výraznou výhodu: pouze malý počet systémů musí být provozován s vysokým stupněm zabezpečení a (nejen) díky tomu je lze všechny podřídit správě centrální bezpečnostní autority. Tak lze dosáhnout přísnou kontrolu nad verzemi použitého programového vybavení a vyvarovat se rizik vyplývajících z používání "bezpečnostně" málo prověřených aplikací.
Uveďme ještě jeden argument pro použití některé ze složitějších připojovacích soustav. Bývá významný pro organizace, které dlouhým vývojem dospěly k rozvinuté komunikační infrastruktuře. Mnoho takových počítačových sítí bylo vybudováno s použitím IP adres, které jsou nekompatibilní s existujícím adresním schématem Internetu. Organizace původně vůbec nepočítala s možností připojení, proto si zakladatelé její sítě nezávisle vybrali a použili vhodnou část adresního rozsahu. Ta však v Internetu pravděpodobně již byla přidělena někomu jinému. Takto adresovanou síť nelze za žádných okolností přímo připojit, neboť by došlo ke zhroucení směrovacích mechanismů Internetu. Jednou z možností, jak obejít tuto překážku, je právě použití konfigurace s předřazenou sítí, která díky mechanismu překladu IP adres zprostředkujícími (proxy) aplikacemi zajistí skrytí nesprávných adres privátní sítě a poskytne jí omezenou konektivitu. Systémovým řešením je však teprve změna adresního schématu dotyčné privátní sítě. Nejvhodnější je použití jednoho z rozsahů adres, které nikdy nejsou v Internetu přidělovány a jsou určeny právě pro tento způsob nasazení (K dalšímu zvýšení bezpečnosti soustavy je možno vhodně použít skutečnost, že útočník v Internetu nemůže navázat přímou komunikaci s uzlem používajícím "skryté" IP adresy - pozn. překl.). Organizace sice bude pro realizaci propojení stále potřebovat několik "opravdových", registrovaných adres pro uzly na předřazené síti, jedná se však o počty řádu jednotek. Jiným způsobem využití zmíněných rezervovaných adresních rozsahů je rozšíření adresního prostoru organizace, která důsledkem vlastního růstu již vyčerpala své původně přidělené adresy. Přestože stejný vyhrazený adresní rozsah může současně použít více než jedna organizace, nedochází ke vzniku konfliktů, neboť každá z duplicitně adresovaných sítí je kompletně skryta za branou a nekomunikuje přímo s jinými uzly Internetu.
IP síť firmy Digital dnes čítá okolo 40 000 TCP/IP uzlů. To je však jen část celku, který obsahuje řádově 80 000 uzlů (údaj z r. 1993 - pozn. překl.). Všechny uzly jsou propojeny prostřednictvím celosvětové firemní sítě. Spojení do Internetu zprostředkovává hlavní brána v konfiguraci s předřazenou sítí, umístěná v Palo Alto, CA. Bašta je v tomto případě představována ne jedním, ale skupinou uzlů, které paralelně zpracovávají nezanedbatelnou komunikační zátěž. Paralelně pracující systémy na jedné straně zvyšují celkovou průchodnost soustavy, na druhé straně poskytují určitý stupeň redundance.
Digital používá své spojení do Internetu již přibližně 8 let (údaje z r. 1993 - pozn. překl.) a jeho dokonalému zabezpečení věnuje velkou pozornost. Současně však zaznamenává, že řada uživatelů odmítá zvýšená bezpečnostní opatření jako zbytečnost. Tím více je nutno vyvážit hrozící nebezpečí úrovní ochrany v každé jednotlivé části sítě. Bezpečnostní předpisy firmy Digital požadují, aby každý systém připojený do sítě splňoval učitou míru zabezpečení. Její dosažení je kontrolováno specializovanými aplikacemi, které jsou rovněž součástí firemní nabídky produktů. Definice minimální úrovně zabezpečení vychází z některých předpokladů o hrozícím nebezpečí. Předpokládá se např., že k vnitřním systémům firmy mají přístup jen vlastní zaměstnanci nebo osoby pracující pouze pod přímým dohledem pracovníků Digital. Existuje tedy bariéra, obklopující celou privátní síť. Pro zřízení spojení do vnějšího systému, který je např. součástí Internetu, je zapotřebí zvláštního povolení. Tak je zajištěno, že průchod vnější ochrannou stěnou je umožněn pouze autorizovaným uživatelům. Jedním z míst, kde k tomu dochází, je Internet brána, označovaná jako Digital Firewall nebo S.E.A.L (Screening External Access Link) . Účelem je umožnit zaměstnancům firmy co možná nejtransparentnější přístup ke zdrojům Internetu a současně znemožnit neautorizovaným vnějším uživatelům jakýkoli přístup do vnitřní soukromé sítě.
Veškeré služby, které naopak Digital nabízí do Internetu, jsou poskytovány ze systémů vně Digital brány. Všechny (např. WWW server) jsou spojením přes bránu současně dostupné vnitřním uživatelům. Interně používané klientské aplikace WWW jsou konfigurovány tak, aby v případě spojení s vnějšími systémy využívaly zprostředkující aplikace na bráně a poskytovaly uživatelům transparentní přístup k serverům v libovolné z obou sítí. Jediným typem spojení z vnější sítě povoleným bez zvláštní autentikace (ověřování totožnosti vnějšího účastníka spojení) je elektronická pošta. Je přenášena zprostředkující aplikací na jednom z uzlů bašty (v Internetu známém pod jménem gatekeeper.dec.com ). Z důvodu utajení jmen vnitřních uzlů nejsou v adresách elektronické pošty tato jména užívána. Namísto toho je adresa jednotlivce založena na použití vnitřních kódových označení jednotlivých pracovišť firmy. Tak může být autor tohoto článku dosažitelný z Internetu jako neale@new.mts.dec.com , kde new je kód pracoviště v Newbury, UK mts je pozůstatek dřívějšího systému elektronické pošty a indikuje, že new je skutečně kód pracoviště). Správnou konfigurací předávajících systémů pošty lze dosáhnout automatického vložení správné adresy odesílatele, aniž by bylo zapotřebí jeho vědomého zásahu. Rovněž v případě instalací Digital Firewall u zákazníků je elektronická pošta s využitím obdobné konvence zasílána častěji na oddělení než na jednotlivé uzly.
Obchodní aktivity občas vytvářejí potřebu, aby někteří zaměstnanci mohli prostřednictvím Internetu vstupovat z vnějšku do privátní sítě firmy. Většinou jde o pracovníky firmy Digital, kteří po určitou dobu pracují v sídle zákaznické organizace, která má vlastní přípojku do Internetu a poskytne souhlas k tomuto způsobu jejího použití. Jak bylo uvedeno dříve, musí osoba navazující spojení z vnějšku nejprve prokázat svoji totožnost (autentikace) systému bašty. Teprve potom jí bude povoleno "projít" do vnitřní sítě. Z hlediska vlastního procesu autentikace nepovažuje Digital za dostatečné použití běžné kombinace jméno účtu/heslo. Běžným technikám hádání hesel se lze úspěšně bránit využitím kvalitních monitorovacích mechanismů a vynucením užívání "řádných" hesel. Zásadním argumentem proti použití tradičního mechanismu však zůstává skutečnost, že jméno účtu i heslo jsou přenášeny Internetem v otevřené (nezašifrované) podobě a nic nebrání jejich odposlechu běhěm cesty. Je tudíž zřejmé, proč Digital u spojení navazovaných z veřejné sítě trvá na použití daleko mohutnějšího autentikačního mechanismu. Jedna z možných metod je založena na tzv. ručních autentikátorech . Ruční autentikátory (HHA, Hand-Held Authenticator) jsou kapesní zařízení přibližně velikosti kreditní karty, vybavená LCD displejem a malou číselnou klávesnicí. Princip jejich činnosti může být různý. Jeden model generuje heslo ve formě pseudonáhodného čísla. Vnitřní hodiny autentikátoru jsou synchronizovány se systémovým časem vstupního počítače a v pravidelných intervalech dochází ke změně přístupového hesla. Jeho platnost je tudíž omezena na krátký okamžik mezi aktualizacemi stavu generátoru pseudonáhodných čísel. Tento interval má obvykle hodnotu 1 minuta. Další typ autentikátoru pracuje na principu dotaz/odpověď (heslem je znalost algoritmu), při němž vstupní systém nežádá obvyklé heslo, ale zobrazí náhodné osmimístné číslo. Uživatel zadá tuto posloupnost, rozšířenou o jedinečný identifikátor (PIN, Personal Identification Number), do autentikátoru. Ten na jejím základě vypočítá novou posloupnost, a tu uživatel zadá místo tradičního hesla. Heslo je tak doslova "na jedno použití". Nezávisle na druhu použitého autentikátoru umožňuje tento mechanismus získat velkou jistotu o uživatelově skutečné totožnosti a není nutno se obávat následků odhalení hesla během jeho přenosu veřejnou sítí.
Účelem Internetu je poskytnout široce dostupné a snadno použitelné médium, umožňující vzájemnou komunikaci mnoha organizací. Zodpovědnost za bezpečnost vlastních systémů a spojení do Internetu však spočívá individuálně na každé z nich. Tento článek rozebírá řadu variant, jak zabezpečit přípojné místo privátní sítě do Internetu, a to od nejprimitivnějšího "izolovaného" systému až po nejsložitější konfiguraci s předřazenou sítí, kterou používá sama firma Digital. Jako u většiny problémů tohoto světa, je věcí každé organizace nalézt pro svoje podmínky nejvhodnější kompromis mezi stupněm zabezpečení, cenou, složitostí a snadností používání, což představuje protichůdné "parametry" jednotlivých řešení.
Firma Digital získala během let řadu cenných zkušeností jak z provozu své rozsáhlé privátní sítě, tak z působení na Internetu. Dnes tyto poznatky zúročuje nabídkou celé řady specifických služeb, které jsou poskytovány pobočkami firmy na celém světě (místní pobočku v České republice nevyjímaje - pozn. překl.).
Dr. Brian Neale
Digital Equipment Co. Ltd.
TOMÁŠ VITÁK,
Digital Equipment s.r.o.,
e-mail: vitak@chk.mts.dec.com
![[hlavní]](..//hlav2.gif)
![[nahoru]](../nahoru.gif)