COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 31/96)

Bezpečný vzdálený přístup

Problém bezpečí podnikových sítí se stále zvětšuje, jak se otevírají světu. I v případě, že toto otevření spočívá pouze v existenci modemů pro vzdálený přístup, nebezpečí prostupu nežádoucích individuí existuje. A pokud je možné používat pro vzdálený přístup i Internet, je nebezpečí ještě větší.

Pokud používáte Windows NT, pak také možná využíváte jeho RAS (Remote Access Service) pro vzdálený přístup svých pracovníků. Bezpečnost RAS je založena na existenci jednoho statického hesla, což je vzhledem k důležitosti zajištění slabé. Pokud chcete bezpečnost svých dat zvýšit, můžete použít Defender Security Server pro Windws NT od firmy Digital Pathways. Tento dodatečný server spolupracuje nejen s RAS, ale i s několika dalšími způsoby řešení vzdáleného připojení.

Ochrana dat pomocí DSS serveru je řešena hned v několika směrech. Veškerá komunikace od vzdálených uživatelů jde přes komunikační server, který zajišťuje fyzické spojení dále přes DSS server. Ten se stará o zabezpečení přístupu uživatelů k dalším zdrojům. Pomocí WinDMS konzole je možné spravovat software z centrálního počítače síťového administrátora, i když některé funce jsou dosažitelné jen po nainstalování IPX protokolu a služby Gateway for Netware.

Komunikace je založena na vytvoření tzv. SecureNet Key tokenů, které slouží k jednoznačné identifikaci vzdáleného počítače serverem. Po instalaci, která je celkem jednoduchá, je nutné vygenerovat tyto tokeny pro všechny uživatele, které budou k vašim datům přistupovat. Jedna část je uložena na serveru, druhá na příslušné stanici. Před generováním musíte definovat práva a oblasti přístupu jednotlivým uživatelům. Serverová část je realizovaná hardwarově, takže je odolná vůči chybám a pracuje rychleji než druhá strana.

Pomocí těchto tokenů software při každém spojení generuje heslo, které existuje právě jen při tomto spojení. Protože algoritmus tvorby hesel se zdá být dostatečně složitý, je velmi malá pravděpodobnost, že se někomu podaří vysledovat, jak se hesla tvoří. Uživateli je celá operace s tokeny a heslem skryta, protože se provádí na pozadí při vyvolání vzdáleného připojení. Bohužel, některé platformy a operační systémy nejsou schopny s tokeny pracovat, což je zřejmě důsledek toho, že celý systém je pouze v první verzi. Projevuje se to např. i na dokumentaci a několika dalších detailech. Systém také nedovolí uživateli se připojit, pokud proběhlo příliš neúspěšných pokusů o zadání hesla. Tímto je zajištěna ochrana proti pokusům "trefit" se do správného hesla nebo ochrana proti hackerskému softwaru, který hledá správný algoritmus.

Další, velmi zajímavou oblastí je neustálé sledování pokusů o prostup vaší bezpečnostní bránou. Veškerý provoz je evidován a podle specifikace administrátora je vytvářena pravidelně zpráva o všem, co bylo neobvyklé a mohlo by být součástí pokusu o narušení systému. Je dokonce možné bezpečnost sledovat v reálném čase, kdy je administrátor na neobvyklé chování uživatele ihned upozorněn a může tedy zasáhnout okamžitě nebo vysledovat, kdo má zájem o podniková data.

Nová generace bezpečnosti

DSS je jedním z produktů, který reaguje na nové potřeby v oblasti ochrany dat a poskytuje přiměřenou míru bezpečnosti i při dokonálem otevření komunikačního serveru celému světu pomocí Internetu. S příchodem dalších verzí dojde snad k odstranění těch několika málo vad na kráse a administrátoři si budou moci oddechnout při svém věčném boji, kdy musí balancovat mezi co největšími poskytovanými službami a problémy správy a bezpečnosti.

(pes)


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |