INTRANET

Co je to INTRANET?

PoΦφtaΦovß sφ¥ slou₧φcφ pot°ebßm fungovßnφ vlastnφ organizace (podnik, firma, instituce), ne ke zp°φstup≥ovßnφ vlastnφch informacφ jin²m subjekt∙m, k   obchodovßnφ a dalÜφm externφm aktivitßm. Pro u₧ivatele to znamenß, ₧e mohou pou₧φvat jednotn² styl prßce sm∞rem dovnit° i navenek, mohou pracovat s jednotn²m u₧ivatelsk²m rozhranφm. Technicky se vyu₧φvajφ InterNetovΘ technologie (TCP/IP) uvnit° podnikov²ch sφtφ. Vyu₧φvß se InterNetov²ch slu₧eb (hlavn∞ WWW) pro internφ informaΦnφ systΘmy a prohlφ₧eΦe HTML dokument∙.

V souΦasnΘ dob∞ nastßvß velk² boom zavßd∞nφ informaΦnφch systΘm∙ na bßzi Internet technologiφ - Intranet∙.. Tento trend, kter² n∞kte°φ lidΘ jeÜt∞ nedßvno pova₧ovali pouze za m≤dnφ vlnu, se pomalu ale jist∞ stßvß realitou a podφl Intranetu na nov∞ realizovan²ch podnikov²ch informaΦnφch systΘmech nenφ zanedbateln².

Pokud pohlφ₧φme na Intranet jako na systΘm, kter² mß organizaci, je₧ jej implementuje, p°inΘst u₧itek, pak stojφme p°i jeho v²voji p°ed nelehk²m ·kolem. Nechceme-li toti₧ Intranet degradovat na ölepÜφ elektronickou nßst∞nkuö, musφme k celΘ v∞ci p°istoupit s pom∞rn∞ Üirok²m zßb∞rem a zohlednit p°i jeho tvorb∞ celou °adu faktor∙. Na druhΘ stran∞ je t°eba p°izp∙sobit i vnitropodnikovou kulturu novΘmu prost°edφ, kterΘ Internet vytvß°φ. Jedna z definic Intranetu °φkß, ₧e öIntranet je technologie, kterß umo₧≥uje organizaci, aby definovala samu sebe jako jednotnou entitu, skupinu, rodinu, kde ka₧d² znß svou roli a ka₧d² pracuje na zlepÜenφ a ozdrav∞nφ organizaceö.

• Ka₧d² musφ mφt p°φstup na Intranet. Pokud mß b²t Intranet skuteΦnou branou k uΦφcφ se organizaci, musφ b²t umo₧n∞no ka₧dΘmu jednotlivci p°ispφvat sv²mi post°ehy a nov²mi znalostmi a rozÜi°ovat tak bohatstvφ podnikov²ch znalostφ. Pojmeme-li Intranet jako systΘm pro °φzenφ podnikov²ch znalostφ (knowledge management systΘm), je d∙le₧itΘ, aby p°i zφskßvßnφ nov²ch znalostφ spolupracovali pokud mo₧no vÜichni pracovnφci organizace.
• Ka₧d² musφ v∞d∞t k Φemu Intranet slou₧φ a b²t motivovßn k jeho vyu₧φvßnφ. NestaΦφ, ₧e zam∞stnanci mohou k Intranetu p°istupovat jako pasivnφ u₧ivatelΘ, musφ si b²t v∞domi, ₧e se nejednß pouze o pohodln² jφdelnφΦek a p°ehled poΦasφ, ale ₧e jde o pracovnφ nßstroj, jeho₧ maximßlnφ vyu₧itφ pom∙₧e zajistit jejich spoleΦnosti lepÜφ v²sledky a prosperitu. Musφ pochopit pravou podstatu Intranetu, pohlφ₧et na n∞j jako na plnohodnotn² pracovnφ nßstroj. Pouze snaha o maximßlnφ integraci Intranetu do ka₧dodennφ pracovnφ rutiny m∙₧e p°inΘst u₧itek.
• Ka₧d² musφ um∞t Intranet vyu₧φvat. P°ispφvßnφ do Intranetu musφ b²t tak jednoduchΘ a pravidla pro n∞j tak logickß, aby ₧ßdn² u₧ivatel neupustil od jeho vyu₧φvßnφ jen proto, ₧e öto zase nem∙₧e najφtö. U₧ivatel nesmφ b²t odrazen byrokratick²mi p°ehradami nebo chaotick²m ne-°ßdem od toho, aby p°isp∞l sv²mi nov∞ nabyt²mi znalostmi do podnikovΘ databanky v∞domostφ. Zßrove≥ vÜak musφ b²t tato informaΦnφ zßkladna dostateΦn∞ jasn∞ strukturovanß, aby ₧ßdnß vlo₧enß informace nezapadla, aby byla vyu₧itelnß pro dalÜφ u₧ivatele systΘmu. Jen tak bude spoleΦnost jako celek schopna opravdu efektivnφho uΦenφ se a z·roΦovßnφ vÜech sv²ch potencißl∙.

Internet nevlastnφ ani osoba, ani jakßkoliv skupina. Kdokoliv, v jakΘmkoliv mφst∞ zem∞koule, s p°φstupem k poΦφtaΦi, modemem a p°φstupem k poskytovateli slu₧eb Internetu, se m∙₧e p°ipojit a brouzdat po sφti (pokud chcete mφt sv∙j vlastnφ webov² prostor pot°ebujete navφc zaregistrovat svou domΘnovou adresu - jmΘno).

Intranet je sφ¥ soukromß. Vlastnφkem je organizace, kterß ji provozuje. P°φstup je pouze pro zvanΘ.

Extranet je rozÜφ°enφm specifikovan²ch intranetov²ch v²hradnφch prßv pro d∙v∞ryhodnΘ externφ partnery a klienty.

Srovnßvacφ tabulka Internet - Intranet - Extranet

• E-mail - komunikace u₧ivatel - u₧ivatel nebo u₧ivatel - skupina u₧ivatel∙, co₧ je funkce spoleΦnß sInternetem
• Sdφlenφ soubor∙ - sdφlenφ znalostφ, informacφ a myÜlenek
• Adresß°e - sprßva informacφ a u₧ivatelsk² p°φstup
• Hledßnφ - vyhledßvßnφ vÜeho co pot°ebujete a kdy to pot°ebujete
• Sprßva sφt∞ - ·dr₧ba a modifikace intranetu

Internet technologie ve vnitropodnikov²ch sφtφch

D∙vodem, proΦ organizace zavßd∞jφ Internet technologie do sv²ch organizacφ je ten, ₧e vycφtily potencißl t∞chto technologiφ pro podporu jejich vlastnφch Φinnostφ.

U₧ivatelΘ Intranetu se nemusφ uΦit n∞kolik softwarov²ch produkt∙, kterΘ doposud organizace pou₧φvala. StaΦφ zvlßdnou pouze prohlφ₧eΦ HTML dokument∙ (nap°φklad Microsoft Internet Explorer). Tφm se organizaci znaΦn∞ sni₧ujφ nßklady na Ükolenφ u₧ivatel∙.

Snadn∞jÜφ a efektivn∞jÜφ p°φstup k informacφm

Mno₧stvφ dat a informacφ, kterΘ musφ u₧ivatelΘ pou₧φvat pro svoji prßci a rozhodovßnφ se neustßle zvyÜuje. Zpravidla to takΘ znamenß vyÜÜφ ΦasovΘ nßroky na jejich zajiÜt∞nφ. Technologie Internetu p°inßÜφ u₧ivatel∙m snadn∞jÜφ p°φstup k informacφm, kdy za pomocφ vhodn²ch vyhledßvacφch nßstroj∙ je jim informace zprost°edkovßna, ani₧ by u₧ivatelΘ byli nuceni se probφrat velk²m mno₧stvφm informacφ. Mimo to nepot°eba verifikovat, zda dan² dokument je aktußlnφ, to vÜe Üet°φ Φas u₧ivatele, kter² se pak m∙₧e pln∞ji v∞novat prßci. Technologie umo₧≥uje u₧ivatel∙m zφskßvat informace aktußlnφ a v Φase, kdy tyto informace u₧ivatel po₧aduje. U₧ivatel tyto informace zφskß, ani₧ by musel znßt, kde jsou ulo₧eny. U₧ivatelΘ mohou zφskat znalosti, kterΘ byly vlo₧eny do systΘmu jin²mi osobami, dßle je rozvφjet a tak v²znamn∞ p°ispφvat k rozvoji organizace.

Zavedenφ protokolu TCP/IP

Zavedenφ protokolu TCP/IP je nutnou podmφnkou k provozu NetWare WEB Serveru. Tento protokol lze zavΘst do sφt∞ NetWare t°emi zp∙soby:

Pri instalaci NetWare serveru

P°i tΘto instalaci je nutnΘ vybrat u₧ivatelskou instalaci (custom), kterß umo₧≥uje vybrßnφ protokolu TCP/IP. Po v²zv∞ zadßme IP adresu, masku sφt∞ a p°edvolenou brßnu. Nev²hodou je, ₧e tato konfigurace zavede server jako koncovou stanici (host). Router protokolu TCP/IP nelze instalaΦnφm programem nakonfigurovat.

Tento zp∙sob vy₧aduje znalost p°φkaz∙ p°ipojenφ a jejich syntaxi. Tyto p°φkazy se zapφÜφ do souboru AUTOEXEC.NCF:

Pomocφ konfiguraΦnφho modulu INETCFG.NLM

Konfigurace TCP/IP pomocφ tohoto modulu nevy₧aduje znalost syntaxe p°φkaz∙. P°i prvnφm spuÜt∞nφ provede zm∞ny v souboru AUTOEXEC.NCF. VÜechny p°φkazy, kterΘ slou₧ily ke konfiguraci sφ¥ov²ch karet a protokol∙, zablokuje pomocφ vlo₧enφ znaku ö ; ö. Pak doplnφ p°φkaz, kter² spustφ dßvkov² soubor. Tento dßvkov² soubor je potom upravovßn programem INETCFG.NLM. Po poΦßteΦnφ inicializaci pou₧ijeme nabφdky öBoardsö, öProtocolsö a öBindingsö k ·prav∞ a dopln∞nφ parametr∙. Program INETCFG.NLM slou₧φ pouze ke konfiguraci. Vykonßnφ po₧adovan²ch p°φkaz∙ je zajiÜt∞no spouÜtenφm vytvo°enΘho dßvkovΘho souboru z AUTOEXEC.NCF. Pokud provedeme zm∞nu staΦφ provΘst p°φkaz öReinitialize systΘmö.

Slu₧by jmen

IP adresa je postaΦujφcφ pro urΦenφ serveru, ale pro u₧ivatele je tento zp∙sob nepohodln². Proto je mo₧nΘ mφsto IP adresy pou₧φt symbolickΘ jmΘno. Vytvo°enφ a udr₧ovßnφ vazby mezi jmΘnem a IP adresou majφ za ·kol slu₧by jmen. Nynφ se pou₧φvajφ dva principy slu₧eb jmen:

Tabulky host∙

Je to textov² soubor, kter² udr₧uje zßznamy o vÜech uzlech, kter²m je p°id∞leno symbolickΘ jmΘno. Tabulky na r∙zn²ch poΦφtaΦφch spolu nejsou provßzßny. Proto by ·plnß informace o vÜech jmΘnech v rozsßhlΘ sφti vy₧adovala velmi rozsßhlou tabulku. Navφc stejnou tabulku musφ obsahovat nejenom server, ale i stanice. Tento princip je v²hodn² pro malΘ systΘmy, jeliko₧ velkß sφ¥ by vy₧adovala velmi rozsßhlou tabulku. Jeden °ßdek souboru p°edstavuje jeden zßznam.

Tyto zßznamy jsou umφst∞ny v souboru HOSTS, kter² je u sφtφ Novell NetWare umφst∞n v adresß°i ETC na svazku SYS.

Domain Name Services (DNS)

Jednß se o distribuovan² a hierarchick² systΘm. Distribuovanost spoΦφvß v tom, ₧e vÜechny zßznamy nemusφ b²t ulo₧eny na jednom mφst∞. Jsou vÜak navzßjem funkΦn∞ propojeny. Informaci obsahujφ pouze tzv. Name Servery, kterΘ poskytujφ DNS slu₧bu ostatnφm server∙m a stanicφm. Tato slu₧ba se instalujeme z CD öFTP Services for IntranetWareö. Na serveru v programu Install vybereme instalaci vypsan²ch produkt∙. Cesta k instalaci je NWUXP:NWUXPS. P°i instalaci zvolφme lokßlnφ umφst∞nφ databßze NIS a DNS.

NetWare WEB Server

NetWare WEB Server je prost°edek umo₧≥ujφcφ vyu₧φvat server NetWare 4.11 i jako WEB server. Proto lze v Novell

NetWare publikovat v sφtφch Intranet nebo na Internetu dokumenty ve formßtu HTML (HyperText Markup Language). Tento produkt mß funkce vΦetn∞ tvorby formulß°∙, podpory scriptov²ch jazyk∙ PERL a BASIC, vazeb na prost°edφ jazyka Java, Φi podpory rozhranφ L-CGI a R-CGI (Local a Remote Common Gateway Interface), dφky kterΘ lze vytvß°et dynamickΘ interaktivnφ strßnky. Omezenφ p°φstupu k dokument∙m lze definovat prost°ednictvφm jmen u₧ivatel∙, u₧ivatelsk²ch skupin, IP adres, IP sφtφ, Nßzv∙ domΘn, jmen stanice i specifikacφ jednotliv²ch adresß°∙. Lze p°istupovat k objekt∙m slu₧eb NDS i pomocφ WWW prohlφ₧eΦe. V okam₧iku, kdy je n∞kter² objekt takto prohlφ₧en, vytvß°φ se pro n∞j doΦasn² HTML dokument a v n∞m jsou ulo₧eny informace o hodnotßch vlastnostφ danΘho objektu.

Instalace NetWare WEB Serveru

• Hardware - 8 MB RAM, 3 MB HDD
• Zavedenφ protokolu TCP/IP - instalace na serveru a na pracovnφch stanicφch
• Podpora dlouh²ch jmen - zavßdφ se na svazek SYS a na svazky, kde budou ulo₧eny dokumenty. Zavedenφ se provßdφ pomocφ p°φkaz∙ LOAD LONG.NAM, ADD NAME SPACE TO <jmΘno svazku>. Kontrolu lze provΘst p°φkazem VOLUMES.
• Instalace WWW prohlφ₧eΦ∙ na pracovnφch stanicφch - prohlφ₧eΦ NETSCAPE lze najφt na instalaΦnφm CD öOperating systΘmö v adresß°i PRODUCTS\WEBSERV\BROWSER

Instalaci NetWare WEB Serveru provßdφme prost°ednictvφm zaveditelnΘho modulu INSTALL.NLM. K instalaci je t°eba CD-ROM öOperating SystΘmö instalaΦnφ sady. B∞hem instalace se kopφrujφ soubory na server do adresß°∙ SYS:SYSTEM, SYS:NETBASIC a SYS:WEB . P°i instalaci je nutnΘ zadat heslo sprßvce WEB serveru. Dojde ke zm∞n∞ souboru AUTOEXEC.NCF (je zde vepsßn p°φkaz load unistart.nlm), proto je nutnΘ po ukonΦenφ instalace server restartovat. NetWare WEB Server pot°ebuje ke svΘ Φinnosti podporu prost°edφ TCP/IP. Na konzole serveru vytvß°φ obrazovku oznaΦenou jako Novell HTTP Server.

Sprßva Web Serveru

Pro snadnou konfiguraci slou₧φ grafickß utilita WEBMGR, kterß se spouÜtφ z pracovnφ stanice komunikujφcφ protokolem TCP/IP. Je to aplikace typu Windows. Lze ji nalΘzt v adresß°i SYS:PUBLIC. Pomocφ tΘto utility je mo₧nΘ definovat parametry WEB serveru, sledovat jeho aktivitu, °φdit p°φstup jednotliv²ch u₧ivatel∙m a urΦit adresß°e s dokumenty.

V ·vodnφ strßnce tΘto utility ôSERVERö m∙₧eme zadat mφsto IP adresy DNS jmΘno serveru. Polo₧ka ôEnable user documentsö umo₧nφ vytvß°et u₧ivatel∙m HTML dokumenty v domovskΘm adresß°i. V tΘto strßnce m∙₧eme povolit nebo zakßzat prohlφ₧enφ NDS na WWW serveru. Strßnky ôDirectoriesö, ôUser Accessö a ôSystΘm Accessö slou₧φ k nastavenφ p°φstupu k WWW strßnkßm. Strßnka ôLogsö umo₧≥uje nastavenφ a prohlφ₧enφ zßznam∙ o p°φstupu k WWW serveru.

Nastavenφ u₧ivatelsk²ch strßnek

U₧ivatelsk²mi strßnkami se rozumφ HTML dokumenty, kterΘ u₧ivatel umφstφ do svΘho domovskΘho adresß°e. Ty jsou potom okam₧it∞ p°φstupnΘ na WWW serveru.

• Na strßnce ôServerö v programu WEBMGR povolφme ôUser documentsö a nastavφme jmΘno adresß°e pro WWW strßnky
• U₧ivatel ve svΘm domovskΘm adresß°i vytvo°φ adresß°, jeho₧ jmΘno bylo zadßno v p°edchßzejφcφm kroku
• V tomto adresß°i umφstφ dokumenty. V²chozφ je dokument INDEX.HTM.

P°edpokladem ·sp∞ÜnΘho provedenφ tΘto operace je sprßvnΘ nastavenφ vlastnosti u₧ivatele ôHome directoryö. SprßvnΘ nastavenφ zkontrolujeme v programech NWAdmin, nebo NETADMIN.

Nastavenφ p°φstupu k WWW serveru

Nastavenφm p°φstupu m∙₧eme zabezpeΦit, zda m∙₧e nßvÜt∞vnφk naÜeho Webu prohlφ₧et danou strßnku, Φi nikoli. ZabezpeΦujeme v₧dy vÜechny strßnky umφst∞nΘ v jednom adresß°i. Pokud neprovedeme zabezpeΦenφ, smφ nßvÜt∞vnφci prohlφ₧et vÜechny strßnky WWW serveru.

IPX/IP Gateway

Pracovnφ stanice m∙₧e vyu₧φvat slu₧eb Intranetu pouze tehdy, pokud komunikuje pomocφ protokolu TCP/IP. V²hodou slu₧by, kterou nabφzφ IPX/IP Gateway je, ₧e umo₧≥uje stanicφm vyu₧φvat slu₧eb Intranetu i pomocφ protokolu IPX/SPX. Z toho vypl²vß, ₧e tyto stanice jsou zvenΦφ neviditelnΘ, co₧ je dobrΘ proti pr∙nik∙m mo₧n²ch pirßt∙. Tato slu₧ba mß vÜak i n∞kterΘ nev²hody. Podporuje pouze Windows 3.1x, Windows 95, nepodporuje protokol UDP (User Datagram Protocol) a zßkonit∞ dochßzφ ke zpomalenφ komunikace.

UvedenΘ prost°edky se instalujφ pomocφ zaveditelnΘho modulu INSTALL.

Jednß se o tyto prost°edky:

MultiProtocol Router

IPX Upgrade

Netscape Navigator

MultiProtocol Route

Je to prost°edek umo₧≥ujφcφ u₧ivatel∙m sφtφ Novell NetWare p°φstup i do prost°edφ, je₧ pou₧φvajφ jinΘ komunikaΦnφ protokoly, ne₧ kterΘ podporuj p°φmo zßkladnφ systΘm NetWare. Tento produkt umo₧≥uje p°ipojovat sφt∞ Novell NetWare k rozliΦn²m prost°edφm. Uplatnφ se p°i p°ipojovßnφ k Internetu. Je to v²hodnΘ z n∞kolika d∙vod∙. Nevy₧aduje pou₧itφ ₧ßdnΘho dodateΦnΘho externφho sm∞rovaΦe. Dφky vytvo°enΘmu IPX/IP Gateway mohou u₧ivatelΘ pracovat s prost°edky sφtφ typu Intranet a Internetu, je₧ jsou p°φstupnΘ prost°ednictvφm protokolu TCP/IP, ani₧ by museli mφt na sv²ch pracovnφch stanicφch podporu uvedenΘho protokolu instalovßnu. V internφ sφti se toti₧ m∙₧e i nadßle komunikovat standardnφm protokolem SPX/IPX a pouze server pracujφcφ i v roli sm∞rovaΦe komunikuje s okolφm prost°ednictvφm protokolu TCP/IP. V takovΘ situaci mß pak IP adresu pouze server, tak₧e pracovnφ stanice u₧ivatel∙ jsou pro potencißlnφ pirßty z Internetu neviditelnΘ.

MultiProtocol Router se instaluje prost°ednictvφm zaveditelnΘho modulu INSTALL. Instaluje se z adresß°e NIAS\INSTALL, kter² se nachßzφ na t°etφm CD-ROM disku. Je po₧adovßna licenΦnφ disketa. Pak se kopφrujφ p°φsluÜnΘ soubory na disk serveru SYS: do adresß°∙ SYS:SYST╔M a SYS:PUBLIC. Po dokonΦenφ instalace je doporuΦeno p°idat do souboru STARTUP.NCF p°φkazy SET zvyÜujφcφ minimßlnφ poΦet buffer∙ pro p°ijφmanΘ pakety (na 400) a nastavit dle konkrΘtnφch okolnostφ maximßlnφ velikost p°ijφman²ch paket∙ (pro FDDI na 4540). Po dokonΦenφ instalace je nutnΘ server restartovat. Na serveru je vytvo°en i adresß° SYS:NETSCAPE, ze kterΘho lze instalovat na pracovnφ stanice prohlφ₧eΦ WEB server∙ Netscape Navigator. Konfigurace prost°edk∙ instalovanΘho MultiProtocol Routeru se provßdφ pomocφ zaveditelnΘho modulu INETCFG.

IPX Upgrade

Pomocφ tohoto prost°edku lze snφ₧it v prost°edφ sφtφ Novell NetWare komunikaΦnφ zßt∞₧ zp∙sobovanou slu₧ebnφmi pakety.Umo₧≥uje nahradit protokoly SAP a RIP pou₧φvanΘ standardn∞ v komunikaΦnφm prost°edφ SPX/IPX nov∞jÜφm protokolem NLSP (NetWare Link Services Protocol).

Tento prost°edek se instaluje pomocφ zaveditelnΘho modulu INSTALL. Jako stratovacφ adresß° instalace se zadßvß adresß° IPXUPG\IPXSERV1, nachßzejφcφ se na t°etφm CD-ROM disku. Konfigurace se provßdφ vlo₧enφm p°φsluÜn²ch p°φkaz∙ LOAD a BIND do souboru AUTOEXEC.NCF.

Netscape Navigator

SouΦßstφ Produktu Novell Internet Access Server je i prohlφ₧eΦ Netscape Navigator. Jeho pomocφ mohou u₧ivatelΘ sφtφ Novell NetWare prohlφ₧et dokumenty ulo₧enΘ na WEB serverech nßle₧ejφcφch do Internetu nebo v tomto p°φpad∞ do sφtφ typu Intranet. Tento prohlφ₧eΦ se instaluje na pracovnφ stanice pomocφ p°φkazu SETUP z adresß°e SYS:NETSCAPE nebo z t°etφho instalaΦnφho CD-ROM disku.

FTP Services for IntranetWare

Umo₧≥uje u₧ivatel∙m pou₧φvat pro p°φstup k soubor∙m umφst∞n²m na serverech sφtφ typu Intranet a Internetu prost°edky systΘmu FTP (File Transfer Protocol), to znamenß standardnφ prost°edky t∞ch prost°edφ, ve kter²ch se pou₧φvß komunikaΦnφ protokol TCP/IP. Tento produkt FTP Services for IntranetWare se instaluje op∞t prost°ednictvφm zaveditelnΘho modulu INSTALL p°es volbu öProduct Optionsö. Tato instalace je provßd∞na ze ΦtvrtΘho instalaΦnφho CD-ROM disku z adresß°e NWUXPS. Proto₧e se p°i instalaci modifikuje i systΘmov² soubor AUTOEXEC.NCF, je t°eba server po instalaci restartovat. Ke sprßv∞ tohoto prost°edku slou₧φ zaveditelnΘ moduly UNICON a XCONSOLE.

Copyright ⌐ 1997 RNDr. Libor Dostalek

Jak se bezpeΦn∞ p°ipojit k Internetu?

Jak se bezpeΦn∞ p°ipojit k Internetu a jakΘ slu₧by Internetu vyu₧φvat je zßsadnφ otßzka, na kterou nenφ jednoduchΘ odpov∞d∞t. I kdy₧ existuje jednoduchß odpov∞∩: "NejbezpeΦn∞jÜφ p°ipojenφ k Internetu je prost∞ se v∙bec nep°ipojovat." V takov²chto ironick²ch odpov∞dφch lze pokraΦovat dßle a tvrdit: "NejbezpeΦn∞jiÜφ poΦφtaΦovou sφtφ je ₧ßdnß sφ¥".

V tΘto publikaci se zab²vßme bezpeΦnostφ komunikacφ v rozsßhlßch poΦφtaΦov²ch sφtφch. Nezab²vßme se vÜak bezpeΦnostφ na fyzickΘ a linkovΘ vrstv∞. V lokßlnφch sφtφch je nutnΘ promyslet bezpeΦnost zejmΘna na linkovΘ vrstv∞. V rozsßhl²ch sφtφch (na sΘriov²ch linkßch) se setkßvßme se zabezpeΦenφm na fyzickΘ vrstv∞.

Musφme vÜak upozornit, ₧e zabezpeΦenφ LAN se Φasto neprßvem opomφjφ a p°itom 90% ·tok∙ je prßv∞ z mφstnφ LAN. Dnes jsou ji₧ pouze ·sm∞vnΘ historky jak si frma vybudovala rozvod LAN pomocφ koaxißlnφho kabelu a v ka₧dΘ kancelß°i budovy ud∞lala n∞kolik zßsuvek pro str²Φka p°φhodu a pak n∞kterΘ kancelß°e pronajala cizφm firmßm.

Dnes je ji₧ obecn∞ v₧ilo, ₧e LAN nesmφ prochßzet jin²m ·zemφm ne₧ ·zemφm vlastnφ firmy. AvÜak  na LAN data neb²vajφ nikterak zabezpeΦena, tak₧e je-li vφce zam∞stnanc∙ na jednom segmentu Ethernetu Φi FDDI, pak si vzßjem∞ mohou odchytit hesla v p°φpad∞, ₧e pou₧φvajφ nap°. protokoly TELNET, FTP, POP3, HTTP atd. Odchytßvßnφ hesel lze znaΦn∞ ztφ₧it pou₧itφm p°epφnan²ch (switched) LAN, tj. ka₧d² u₧ivatel mß sv∙j segment LAN a data se opakujφ jen na ty segmenty, kde je to bezpodmineΦn∞ nutnΘ.

Na aktivnφch prvcφch strukturovanΘ kabΘla₧e lze takΘ nastavit komunikaci tak, aby spolu mohly na linkovΘ vrstv∞ komunikovat pouze konkrΘtnφ stanice.

OvÜem ani p°epφnanΘ LAN nezabrßnφ tomu, aby p°ed budovou VaÜφ firmy nezaparkovala dodßvka s odposlouchßvacφm za°φzenφm, kterΘ je schpno monitorovat provoz na VaÜφ strukturovanΘ kabelß₧i a zφskat tak  nap°. hesla. TakovΘto odposlouchßvßnφ je zase mo₧nΘ ztφ₧it pou₧itφm stφn∞n²ch rozvod∙ strukturovanΘ kabelß₧e atd.

Na sΘriov²ch linkßch (WAN) se pro zabezpeΦenφ dat Φasto pou₧φvajφ Üifrßtory, tj. zabezpeΦnenφ se provßdφ na fyzickΘ vrstv∞. èifrßtor je Φernß sk°φ≥ka, kterß se zpravidla vklßdß mezi poΦφtaΦ a modem. Je nutnΘ vÜak podotknout, ₧e se Üifrßtory se setkßvßme poslednφ dobou stßle mΘn∞ Φasto, proto₧e dneÜnφ routery umφ Üifrovat na IP-vrstv∞ co₧ je v mnoha p°φpadech efektivn∞jiÜφ a hlavn∞ lacin∞jiÜφ (Üifrovßnφ je v cen∞ routeru - nenφ t°eba p°ikupovat Üifrßtor). èifrovßnφ veÜkerΘho provozu (a¥ Üifrßtorem nebo routerem) nem∙₧e b²t p°φliÜ nßroΦnΘ, aby nedochßzelo k p°iliÜnΘmu zdr₧enφ dat Üifrovßnφm. Pokud jsou takovßto za°φzenφ dovß₧ena z USA Φi Kanady, pak je dΘlka Üifrovacφch klφΦ∙ zßsadn∞ omezena... .

JakΘ mßme mo₧nosti p°ipojenφ podnikovΘ sφt∞ do Internetu z hlediska bezpeΦnosti:

• ÄßdnΘ p°ipojenφ, tento typ p°ipojenφ se obecn∞ doporuΦuje pro p°ipojenφ vojensk²ch, ale i vybran²ch pr∙myslov²ch komplex∙ strategickΘho v²znamu. Obsluha takov²chto za°φzenφ m∙₧e mφt k dispozici Internet (nap°. pro mail) jedin∞ na jinΘm poΦφtaΦi, kter² nenφ ₧ßdn²m zp∙sobem propojen se strategickou technologijφ.
• PlnΘ p°ipojenφ do Internetu bez jak²chkoliv bezpeΦnostnφch omezenφ je druh²m extrΘmem, se kter²m se setkßvßme nap°. v akademickΘ sfΘ°e.
• Propojeni intranetu s Internetem, tj. mßme vybudovanou vnitropodnikovou (privßtnφ) sφ¥ na technologijφch, kterΘ z bezpeΦnostnφch d∙vod∙ nesnesou p°φmΘ p°ipojenφ intranetu s Interentem. Pro odd∞lenφ se pou₧φvß filtrace, proxy, wrappery a firewally. Specißlnφm problΘmem ja pak otßzka jak vyu₧φt Internetu k vytvo°enφ privßtnφ sφt∞, tj. vytvß°enφ tunel∙ Internetem.
• PlnΘ p°ipojenφ do Internetu s tφm, ₧e pou₧φvßme takovΘ technologie, kterΘ minimalizujφ bezpeΦnostnφ rizika Internetu. Tj. na serverech nepou₧φvßme slu₧by jako TELNET, FTP, NFS,  HTTP atd., ale pouze "bezpeΦnΘ" slu₧by: SSH, HTTPS, S/MIME atd.

V praxi pak nejspφÜe nenajdeme ₧ßdnΘ takovΘto jednoduchΘ °eÜenφ, ale nejspφÜe kombinaci poslednφch dvou mo₧nostφ. Tj. n∞jakΘho odd∞lenφ vnitropodnikovΘ sφt∞ od Internetu v kombinaci s bezpeΦn²mi slu₧bami. BezpeΦnΘ slu₧by mohou b²t vyu₧ity jak pro vnitropodnikovou komunikaci (ochrana proti vlastnφm zam∞stnanc∙m a odposlouchßvßnφ sφtφ), tak i v p°φpad∞ komunikace z Internetu do vnitropodnikovΘ sφt∞ Φi p°i p°φstupu  na firemnφ servery vystavenΘ v Interentu.
 

Intranet

Intranet - izolovanß podnikovß sφ¥ m∙₧e b²t od Internetu izolovßna pomocφ:

• Filtrace.
• Proxy a gateway.
• Skryt²ch sφtφ.
• Pomocφ wrapperu.
• Pomocφ firewallu.
• Za vyu₧itφ tunelu.

Filtrace

Filtrace umo₧≥uje odd∞lit intranet od Interentu pomocφ filtr∙ na p°φstupovΘm routeru, kter²m je firma p°ipojena do Internetu. Filtrace je vlastnostφ router∙, tak₧e je "zadarmo" a p°itom je velice ·Φinß. Jako p°φstupov² router m∙₧e b²t pou₧it klasick² router nap°. firmy CISCO, ale i poΦφtaΦ se dv∞ma sφ¥ov²mi interfejsy a operaΦnφm systΘmem UNIX, Novell, NT atd.

ZjednoduÜen∞ °eΦeno: filtracφ je mo₧nΘ docφlit, aby se klienti z intranetu dostali na servery v Internetu, ale aby u₧ivatelΘ Internetu nem∞li p°φstup (neohro₧ovali) servery intranetu. K dosa₧enφ tohto cφle je nutnΘ provßd∞t filtraci jak na ·rovni protokolu IP, tak souΦasn∞ i fltraci protokulou TCP (resp. UDP). Router pak nep°edßvß datovΘ pakety z jednoho interfejsu do druhΘho mechanicky, ale p°ed tφm ne₧ je p°edß, tak se poradφ s cenzorem - podφvß se do tabulky tvo°φcφ filtr.

Filtr se rozhoduje na zßklad∞ informacφ ulo₧en²ch v zßhlavφ IP-datagramu a zßhlavφ TCP-paketu (resp. UDP-paketu). Filtr "nevidφ" do aplikaΦnφho protokolu.

Docφlit pomocφ filtrace stavu, aby klienti vnit°nφ sφt∞ mohli na servery v Internetu a klienti z Internetu nemohli na servery v intranetu lze snadno pro protokoly TELNET, HTTP, HTTPS, POP, klienty News a n∞kolik dalÜφch. Problematick² je vÜak provoz protokol∙ FTP, SMTP a vÜech aplikaΦnφch protokol∙ vyu₧φvajφcφch UDP (tj. zejmΘna DNS). ProblΘm  FTP se °eÜφ pomocφ tzv. pasivnφho FTP. ProblΘmy s SMTP a DNS se °eÜφ tak, ₧e se povolφ pouze komunikace mezi jednφm konkrΘtnφm poΦφtaΦem v Internetu a intranetem. ProblΘmy s protokolem UDP (tj. zejmΘna DNS) se °eÜφ tzv. aktivnφmi filtry, tj. filtry, kterΘ umo₧≥ujφ odesφlat datagramy z vnit°nφ sφt∞ do Internetu, ale odpov∞∩ je mo₧nΘ pouze v urΦitΘm krßtkΘm ΦasovΘm intervalu. Nevy₧ßdanΘ odpov∞di se zahazujφ.

Terminologickß poznßmka: Filtr filtrujφcφ  podle ·daj∙ ze zßhlavφ IP-datagramu se naz²vß Packet Filter. Filtr filtrujφcφ na zßklad∞ ·daj∙ ze zßhlavφ TCP (resp. UDP) paketu se oznaΦuje jako Circuit Filter.

Proxy a gateway

Proxy se instaluje r∙zn²mi z∙soby. Kalsick²m zapojenφm je proxy se dv∞ma sφ¥ov²mi interfejsy (jeden do Internetu a druh² do intranetu).

Proxy je aplikace, kterß je v klasickΘm p°φpad∞ spuÜt∞nß na poΦφtaΦi, kter² le₧φ na rozhranφ intranetu a Internetu. P°itom ob∞ sφt∞ nejsou vzßjemn∞ p°φmo dostupnΘ. Pro p°φstup z jednΘ sφt∞ do druhΘ je nutnΘ se nejprve p°ihlßsit na poΦφtaΦ s proxy.

Bez proxy bychom  musleli mφt na tomto poΦφtaΦi konto. Proxy je aplikace, kterß spojenφ mezi ob∞ma sφt∞ma zprost°edkovßvß automatizovan∞. Z hlediska klienta se proxy chovß jako server, z hlediska cφlovΘho serveru se chovß jako klient.
 
 

KonkrΘtn∞ pro protokol HTTP:

Proxy rozliÜujeme:

• Klasickß proxy - klient se nejprve p°ihlßsφ k proxy, kterΘ sd∞lφ jmΘno cφlovΘho serveru, proxy jej pak propojφ s cφlov²m serverem. Klasickß proxy se pou₧φvß zejmΘna pro protokoly FTP, TELNET, HTTP a  HTTPS.
• Generickß proxy - klient nem∙₧e sd∞lit proxy jmΘno cφlovΘho serveru (neumφ to), proto je generickß proxy natvrdo nasm∞rovßna na jeden konkrΘtnφ cφlov² server. Generickß proxy se pou₧φvß pro protokoly POP, Φtenφ news, firemnφ aplikace atd.
• Transparentni proxy - klient adresuje p°φmo cφlov² server. Transparentnφ proxy akceptuje spojenφ na cφlov² server a z akceptovan²ch IP-datagram∙ se dozvφ adresu cφlovΘho serveru, se kter²m klientskß Φßst proxy oka₧it∞ navazuje spojenφ. Z hlediska klienta se transparentnφ proxy jevφ jako router, tj. klient nevφ, ₧e na ceskt∞ k serveru je n∞jakß proxy. Transparentnφ proxy se pou₧φvß zejmΘna pro protokoly TELNET a FTP.
• Transparentnφ generickß proxy. Zatφmco gerickß proxy umo₧≥uje r∙zn²m klient∙m p°ipojenφ na jeden konkrΘtnφ server, tak transparentnφ generickß proxy umo₧≥uje  r∙zn²m klient∙m p°ipojenφ na r∙znΘ servery. Transparentni generickß proxy je urΦena zejmΘna pro firemnφ aplikace.

Zajφmavostφ jsou proxy pro protokol UDP. Existujφ i generickΘ proxy pro UDP (je souΦßstφ nap°. AltaVista Firewallu).

Proxy pracuje na aplikaΦnφ vrstv∞, tj. proxy vidφ do aplikaΦnφho protokolu. Je mo₧nΘ provßd∞t i filtraci p°i p°edßvßnφ mezi serverovou a klientskou Φßstφ proxy. Jeliko₧ se jednß o filtraci na aplikaΦnφ vrstv∞, tak je mo₧nΘ touto filtraci nap°. v protokolu FTP zakßzat pou₧φvat °φkaz PUT a povolit pouze GET. U protokolu HTTP je pak mo₧nΘ omezovat p°φstup na n∞kterß URL atp.

Gateway oproti proxy p°evßdφ jeden aplikaΦnφ protokol na jin². Nap°. klient p°istupuje na gateway pomocφ protokolu HTTP a gateway dßle p°edßvß po₧adavky v protokolu FTP:

V souΦasnΘ dob∞ je velmi oblφbenß kombinace proxy s filtracφ na p°φstupovΘm routeru, kter² mß vφce sφ¥ov²ch interfejs∙:

Dnes router s vφce interfejsy u₧ nenφ v²razn∞ dra₧Üφ a konstrukce uvedenß na p°edchozφm obrßzku (je-li sprßvn∞ nakonfigurovßna) p°inßÜφ pro mnohΘ firmy podobn² efekt jako firewall, avÜak nßklady na ni jsou nesrovnateln∞ ni₧Üφ.

Klienti vnit°nφ sφt∞ nemajφ p°φm² p°φstup do Internetu, p°istupujφ na proxy, kterß jejich jmΘnem vy°izuje po₧adavky v Internetu. Proxy je z hlediska u₧ivatel∙ intranetu server, kter² vy°izuje jejich po₧adavky. Z hlediska server∙ v Interentu se proxy jevφ jako poΦφtaΦ s velk²m mno₧stvφm klient∙ (jakoby vÜichni u₧ivatelΘ intranetu sed∞li p°φmo na tomto poΦφtaΦi).

Na p°edchozφm obrßzku vznikl krom∞ intranetu a Internetu jeÜt∞ t°etφ typ sφt∞ oznaΦovan² jako "demilitarizovanß z≤na" Φi "Extranet". Na extranet si firma umis¥uje sv∙j WWW-server, tj. server na kterΘm nabφzφ v Interentu informace o sob∞. Na serveru v Extranetu je p°φstup jak z Internetu, tak i z intranetu. Je tedy mo₧nΘ, aby aplikace nabφzenΘ u₧ivatel∙m Internetu (b∞₧φcφ nap°. na WWW-serveru v Extranetu) p°istupovaly k dat∙m v intranetu.

SkrytΘ sφt∞

Je-li mezi intranetem a Internetem proxy Φi gateway, pak se navazuje samostatnΘ spojenφ mezi klientem a proxy a dalÜφ samostatnΘ spojenφ mezi proxy a cφlov²m serverem. Nenφ tedy nutnΘ, aby intranet pou₧φval IP-adresy znßmΘ v Internetu. Pro takovΘto pou₧itφ jsou vyhrazeny intervaly IP-adres

TakovΘto adresy pou₧φvajφ intranety, tj. tyto adresy nejsou jednoznaΦnΘ, nelze je tedy v Internetu pou₧φt, tak₧e poΦφtaΦe intranetu jsou tak chrßn∞ny proti p°φmΘmu navazovßnφ spojenφ.

Nenφ-li na rozhranφ mezi Internetem a intranetem proxy nebo gateway, pak je mo₧nΘ pou₧φt Network Adress Translator (NAT), kter² je souΦßstφ software p°φstupov²ch router∙ Φi je realizovßn jako program pro UNIX, NT atp. Ochrana pomocφ NAT je obecn∞ chßpßna jako slabÜφ prost°edek.

Wrapper

Wrapper je program, kter² se automaticky spuÜtφ p°ed tφm, ne₧ se klientovi povoleno p°ihlßsit se k serveru. Wrapper prov∞°uje toto₧nost klienta. Je-li klient prov∞°en, pak je mu teprve spuÜt∞n po₧adovan² server.

Wrapper se takΘ Φasto pou₧φvß pro ov∞°ovßnφ toto₧nosti klienta na serverovskΘ stran∞ proxy. V souΦasnΘ dob∞ nejpolularn∞jÜφ metodou ov∞°ovßnφ toto₧nosti jsou tzv. hesla na jedno pou₧itφ vytvß°enß pomocφ r∙zn²ch autentizaΦnφch pom∙cek.

Autentizovanφ u₧ivatelΘ pak mohou mφt p°φstup i z Interentu do intranetu. Takov² p°φstup pak vyu₧φvajφ nap°. zam∞stnanci na slu₧ebnφ cest∞. P°φstup z Internetu do vnit°nφ sφt∞ se pou₧φvß zejmΘna pro protokoly TELNET a FTP.

Firewall

Firewall je dedikovan² poΦφtaΦ nebo soustava poΦφtaΦ∙, kterß jako dßrkov² balφΦek nabφzφ komplex slu₧eb. Mj. filtraci, proxy, autentizovan²m u₧ivatel∙m p°φstup z Interentu do vnit°nφ sφt∞ (cht∞jφ-li si nap°. na slu₧ebnφ cest∞ vybrat poÜtu.) atd.

Firewall °φdφ p°φstup u₧ivatel∙ intranetu do Interentu a autorizovan²m u₧ivatel∙m p°φstup z Internetu do vnit°nφ sφt∞.

Dßle firewall umo₧≥uje zaznamenßvat (logovat) akce provßd∞nΘ firewallem. Tzv. aktivnφ firewally umo₧≥ujφ v p°φpad∞ konkrΘtn∞ definovan²ch udßlostφ, kterΘ mohou b²t pova₧ovßny za potencionßlnφ ·tok, provßd∞t nap°.:

• Potencionßlnφho ·toΦnφka za°adit na Φernou listinu poΦφtaΦ∙, se kter²mi u₧ dßle nekomunikuje.
• Uzav°φt atakovanou slu₧bu.
• Uzav°φt cel² firewall.
• Spustit specifikovan² program, kter² m∙₧e nap°. odeslat mail sprßvci firewallu (mail m∙₧e b²t p°esm∞rovßn nap°. na operßtor, kter² nosφ  sprßvce na opasku) atd.
• Sledovat systΘm, na kterΘm firewall b∞₧φ a v p°φpad∞ neΦekan²ch zm∞n systΘmov²ch soubor∙ generovat udßlost.

P∙vodnφ firewally se sklßdaly z vφce poΦφtaΦ∙. Dnes u₧ legendßrnφ firewall SEAL (Screening External Access Link) firmy Digital m∞l zapojenφ:

PoΦφtaΦ gate pracoval jako filtr, poΦφtaΦ gatekeeper jako proxy a poΦφtaΦ mailgate mj. jako poÜtovnφ server v Intranetu. Demilitarizovanß z≤na (Extranet) je tvo°ena sφtφ RedNet (viz obrßzek). Do demilitarizovanΘ z≤ny (na RedNet) firma m∙₧e umφstit aplikace, kterΘ p°istupujφ k dat∙m ve vnit°nφ sφti.

Firma Digital provozuje v podstat∞ tento firewall pro svΘ pot°eby od roku 1986. V polovin∞ roku 1994 jej uvedla na amarick² trh a v nßsledujφcφm roce umo₧nila export do dalÜφch zemφ. (PVT jej pou₧φvß od Φervna 1995.)

Postupem Φasu vznikl zejmena od menÜφch firem tlak na firewally realizovanΘ jednφm poΦφtaΦem. U jednopoΦφtaΦovΘho firewallu jsou mimo°ßdnΘ nßroky na bezpeΦnost operaΦnφho systΘmu, tak₧e mnoho p∙vodnφch Φßstφ operaΦnφho systΘmu musφ b²t nahrazeno (vym∞n∞no).

JednopoΦφtaΦovΘ firewally se dnes u₧ umis¥ujφ do sk°φne (Rack Mount) strukturovanΘ kabelß₧e mezi opakovaΦe, bridge, switch a routery. Tj. pro mnohΘ je to dalÜφ aktivnφ prvek sktrukturovanΘ kabelß₧e. Nap°. firewall PIX firmy CISCO se fyzicky jen mßlo liÜφ od ostatnφch box∙ firmy CISCO.

Jeliko₧ jsou na jednopoΦφtaΦov² firewall kladeny velkΘ bezpeΦnostnφ nßroky, tak nenφ mo₧nΘ, aby na n∞m b∞₧ely aplikace, na kterΘ budou p°φmo p°istupovat jednotlivφ u₧ivatelΘ (nap°. WWW-server, mail server atd.). WWW-server (v²kladnφ sk°φ≥ firmy) se umφs¥uje na demilitarizovanou z≤nu a poÜtovnφ server, internφ WWW-server do vnit°nφ sφt∞. Tak₧e v koneΦnΘm d∙sledku jsou t°eba stejn∞ t°i servery, avÜak nenφ je t°eba zakoupovat souΦasn∞ jako celek a to je pro v∞tÜinu firem p°ijateln∞jÜφ.

P°φkladem jednopoΦφtaΦovΘho firewallu je firewall AltaVista, kter² byl uveden na trh v roce 1996.

Podobn∞ jako operaΦnφ systΘmy spl≥ujφ bezpeΦnostnφ kritΘria C2, B2 atd. a jejich dodavatelΘ o tom zφskßvajφ certifikßty, tak v oblasti firewall∙ mß obdobn² v²znam certifikßt NCSA.

Tunel

Tunel vytvß°φ spojenφ mezi dv∞ma Φi vφce stranami (portßly) skrze jinou sφ¥. Tunel se vytvß°φ bu∩ za ·Φelem transportu jinΘho sφ¥ovΘho protokolu p°es existujφcφ sφ¥ nebo (co₧ je naÜφm p°φpadem) za ·Φelem bezpeΦnΘho spojenφ dvou lokalit nap°. p°es nikterak nezabezpeΦovan² Internet.

Nenφ ani vylouΦeno, aby jedna lokalita m∞la spojenφ do Interentu, pak tunel nßm rozÜi°uje intranet o vzdßlenou sφ¥:

Vzdßlenou lokalitou propojenou p°es tunel m∙₧e b²t sφ¥, ale i jeden samostatn² u₧ivatel pou₧φvajφcφ osobnφ tunel. Dφky znaΦnΘmu rozÜφ°enφ Internetu m∙₧e b²t takov² u₧ivatel i mobilnφ, tj. nemusφ b²t vßzßn na jednu lokalitu.

ZabezpeΦenφ p°enosu dat m∙₧e b²t provßd∞no na p°φstupov²ch routerech tak, ₧e v ka₧dΘm p°enßÜenΘm datagramu se ponechß IP-zßhlavφ a TCP-zßhlavφ (resp. UDP) a datovß Φßst ka₧dΘho paketu se na vstupu do Internetu Üifruje a na v²stupu deÜifruje. Takto pracujφ nap°. tunely realizovanΘ routery firmy CISCO, Φi Sofware602.

Druhou eventualitou je pak cel² IP-datagram zaÜifrovat a vlo₧it do novΘho TCP-paketu jako data.

Toto °eÜenφ pou₧φvß nap°. AltaVista Tunel. V²hodou tohoto °eÜenφ je, ₧e i vzdßlenß lokalita m∙₧e pou₧φvat adresy pro skrytΘ sφt∞, tj. nap°. adresu sφt∞ 10. Vzdßlenß lokalita se tak stßvß integrßlnφ souΦßstφ intranetu.

BezpeΦnΘ slu₧by

Pro autentizaci tyto nßstroje pou₧φvajφ asymetrickou kryptografii. Pro p°enos vlastnφch dat pak pou₧φvajφ symetrickou Üifru.

PGP a SSH

I kdy₧ n∞koho m∙₧e pohorÜit spojovßnφ obou nßstroj∙, tak z bezpeΦnostnφho hlediska majφ mnoho spoleΦnΘho. SpoleΦnΘ majφ zejmΘna to, ₧e oba prost°edky pou₧φvajφ ve°ejn² Üifrovacφ klφΦ jako takov², tj. neorientujφ se na pou₧φvßnφ certifikßt∙. Ne°eÜφ tedy distribuci ve°ejn²ßch klφΦ∙. Tyto prost°edky jsou tedy urΦeny konkrΘtnφmu okruhu u₧ivatel∙, kte°φ si sami mezi sebou °eÜφ problematiku p°edßvßnφ ve°ejn²ch klφΦ∙.
 

PGP

Program PGP je urΦen pro Üifrovßnφ a elektronickΘ podepisovßnφ soubor∙ (dßvek). Takoto zaÜifrovanß zprßva pak m∙₧e b²t p°enßÜena elektronickou poÜtou, na magnetickΘm mΘdiu Φi jin²m zp∙sobem. P°φjemce zprßvu jako dßvku deÜifruje a nßsledn∞ vyu₧ije (p°eΦte Φi data poΦφtaΦov∞ zpracuje).

SSH

SSH je tvo°eno mj. programy:

• ssh (pro vzdßlenΘ p°ihlßÜenφ)
• scp (pro p°enos soubor∙)
• program na generovßnφ dvojice ve°ejn²/soukrom² klφΦ

Program ssh (resp. scp) je urΦen pro interaktivnφ prßci. Nahrazuje "nebezpeΦnΘ" programy: rlogin Φi telnet. Program scp nahrazuje programy rcp Φi ftp. Programy pro vzdßlenΘ p°ihlßÜenφ a p°enos soubor∙ se pou₧φvajφ pro prßci na serveru. Dnes je pou₧φvajφ nejΦast∞ji sprßvci systΘmu Φi v²vojß°i, tj. ·zk² okruh u₧ivatel∙ pro kterΘ nenφ na p°ekß₧ku p°edat sprßvci serveru sv∙j ve°ejn² klφΦ nap°. na disket∞.
 

BezpeΦn² mail

Pod pojmem bezpeΦn² mail dnes rozumφme takov² systΘm, kter² zprßvu zaÜifruje (resp. elektronicky podepφÜe Φi obojφ) a odeÜle b∞₧n²m (nezabezpeΦen²m) elektronick²m mailem, tj. protokolem SMTP Φi ESMTP. V²hodou takovΘhoto °eÜenφ je, ₧e nevy₧aduje ₧ßdn² zßsah do stßvajφcφch poÜtovnφch systΘm∙ Internetu.

SystΘmy, kterΘ se sna₧φ neÜifrovanou zprßvu p°enßÜet bezpeΦn²m kanßlem (nap°. SMTP Φi POP over SSL) se neujaly, proto₧e by vy₧adovaly zßsahy do stßvajφcφho poÜtovnφho systΘmu Internetu.

NejjednoduÜÜφm mechanizmem je vyu₧itφ PGP pro Üifrovßnφ Φi elektronickΘ podepisovßnφ. Tj. zprßvu po°φdφme textov²m editorem, zaÜifrujeme PGP a odeÜleme stßvajφcφ poÜtovnφm mechanizmem. Toto °eÜenφ se nejevφ jako perspektivnφ, proto₧e se Üpatn∞ automatizuje (i kdy₧ i pro PGP se objevilo MIME/PGP). ╪eÜenφm, kterΘ se asi prosasadφ je S/MIME. S/MIME p°inesla firma Netscape. V²hodou tohoto °eÜenφ je mj. i to ₧e je velmi podbnΘ interaktivnφmu SSL, tak₧e obojφ lze °eÜit pomocφ t²₧ knihoven, Φeho₧ firma Netscape i vyu₧φvß.

S/MIME se orientuje na vyu₧itφ certifikßt∙. Pro bezpeΦn² mail jsou vhodnΘ i certifikßty certifikaΦnφch autorit t°φdy 1 jeji₧ certifikßty lze zφskßvat jednoduÜe bez osobnφ p°φtomnosti u₧ivatele na certifikaΦnφ autorit∞.

S/MIME je velice vhodnΘ pro veÜkerΘ aplikace majφcφ dßvkov² charakter. Umo₧≥uje autentizaci, Üifrovßnφ i elektronick² podpis jednotliv²ch zprßv (elektronick² podpis transakcφ nenφ nap°. u SSL zabezpeΦen).
  
 

SSL a HTTPS

SSL je "prezentraΦnφ vrstva" umφs¥ujφcφ se mezi protokol TCP a aplikaΦnφ protokoly. SSL umo₧≥uje prokazovat toto₧nost serveru. V p°φpad∞ neanonymnφch server∙ m∙₧e b²t po₧adovßno prokazovßnφ toto₧nosti klienta. SSL umo₧≥uje se autentizovan∞ p°ihlßsit ani₧ by se sφtφ p°enßÜelo heslo. Dßle SSL zabezpeΦuje Üifrovßnφ a integritu p°enßÜen²ch dat.

SSL se rovn∞₧ orientuje na vyu₧φvßnφ certifikßt∙.

SSL slou₧φ aplikaΦnφm protokol∙m k zabezpeΦnenφ p°enosu, tj. bezpeΦnostnφ problΘmu °eÜφ za aplikaΦnφ protokoly. Podle toho jak² aplikaΦnφ protokol vyu₧φvß SSL, pak hovo°φma nap°. o Secure LDAP (LDAP over SSL), HTTPS (HTTP over SSL) atd.

SSL bere data od aplikaΦnφho protokolu a ÜifrovanΘ je p°edßvß protoklu TCP, tj. nevidφ do aplikaΦnφch dat. Nenφ tedy schopno rozliÜovat jednotlivΘ aplikaΦnφ transakce (nap°. prodej jednΘ letenky) a jednotlivΘ transakce nem∙₧e tedy ani elektronicky podepisovat. Tento problΘm si musφ °eÜit aplikace sama. Otßzkou pak ale je, ₧e kdy₧ si tento problΘm bude °eÜit aplikace sama, tak u₧ si i sama vy°eÜφ vÜechny ostatnφ bezpeΦnostnφ aspekty, tj. obejdede se bez SSL.

Siln∞ zjednoduÜen∞ lze smysl SSL vystihnout: SSL je tedy vhodnΘ pro prodej letenek jednou firmou, kdy v rßmci firmy je mo₧nΘ jednotliv²m prodavaΦ∙m d∙v∞°ovat nebo je mo₧nΘ uplat≥ovat pracovn∞-prßvnφ vztahy.

SSL slou₧φ pro autentizaci a pro zabezpeΦenφ dat mezi klientem a serverem. Znemo₧≥uje p°φstup neautorizovan²m u₧ivatel∙m,dßle zabezpeΦuje privßtnost (Üifrovßnφ) p°enßÜen²ch dat a zabezpeΦuje integritu p°enßÜen²ch dat pomocφ kontrolnφho souΦtu (nikoliv elektronickΘho podpisu), ale nezabezpeΦuje elektronick² podpis jednotliv²ch transakcφ.

SSL je vhodnΘ pro distribuci software Φi pro b∞₧nΘ podnikovΘ agendy provozovanΘ p°es Internet, ani₧ by server musel nutn∞ b²t odd∞len od Internetu. Nenφ vÜak p°φliÜ vhodnΘ nap°. pro aplikace typu zprost°edkovßnφ prodeje a platby mezi u₧ivatelem, obchodnφkem a bankou.

Nejb∞₧n∞jÜφ vyu₧itφ SSL je prßv∞ pro HTTPS. V²hodou je, ₧e hotovΘ aplikace vyu₧φvajφcφ HTTP lze s minimßlnφmi upravami p°eklopit na provoz p°es HTTPS. Leze p°edpoklßdat, ₧e HTTPS doznß znaΦnΘ obliby.

Drtivß v∞tÜina aplikacφ v Interentu bude i nadßle pou₧φvat protokol HTTP. Lze p°edpoklßdat, ₧e asiu 10% bude pou₧φvat "bezpeΦnΘ" protokoly.

SET

SET je systΘm umo₧≥ujφcφ p°enos zabezpeΦen²ch transakcφ mezi u₧ivatelem, obchodnφkem a bankou. P°itom obchodnφk se nemusφ dov∞d∞t informace o bankovnφm kont∞ u₧ivatele a banka se zase nemusφ dov∞d∞t co u₧ivatel nakupuje. SET je prvotn∞ urΦen pro nßkupy pomocφ kreditnφch karet. Je to snaha zdokonalit nakupovßnφ pomocφ kreditnφch karet ani₧ by mohlo dochßzet ke zneu₧φvßnφ p°enßÜen²ch ·daj∙.

SET se orientuje rovn∞₧ na vyu₧φvßnφ certifikßt∙. Pou₧φvß dvojφ certifikßty (dovjφ klφΦe). Jeden pßr pro elektronick² podpis a druh² pro Üifrovßnφ dat (symetrickΘho klφΦe).

Op∞t s nadsßzkou: Pomocφ SET bude mo₧nΘ prodßvat letenky i jin²mi firami.

SET je urΦen pro interaktivnφ prßci. Pro dßvkovΘ zpracovßnφ se vyvφjφ modifikace S/MIME pod oznaΦenφm S/MIME-3P.

Pro drtivou v∞tÜinu aplikacφ v Internetu vy₧adujφcφch "bezpeΦnou komunikaci" bude vyhovovat HTTPS. Jen zlomek komerΦnφch aplikacφ bude vy₧adovat siln∞jÜφ prost°edky jako je SET. AvÜak tyto aplikace mohou b²t velmi v²znamnΘ.
 

ElektronickΘ penφze

Nakupovßnφ pomocφ kreditnφch karet Φi Üek∙ nenφ zcela anonymnφ. I SET zanechßvß nap°. u banky informace o tom u jak²ch firem jsem nakupoval (nenφ vid∞t jen co jsem nakupoval).

RealnΘ penφze (bankovky a mince) jsou zcela anonymnφ.

V americk²ch publikacφch Φasto pφÜφ, ₧e krom∞ kreditnich karet existujφ jeÜt∞ bankovy a mince a to jsou ty penφze se kter²mi chodφ nakupovat  nap°. pornografie Φi drogy (ani₧ by t∞chto informacφ mohla banka zneu₧φt).

ElektronickΘ penφze jsou fyzicky °et∞zce bit∙ pomocφ kter²ch je mo₧nΘ provßd∞t anonymnφ nßkupy. P°edpoklßdß se, ₧e elektronickΘ penφze (°et∞zce bit∙) bude mo₧nΘ z bankomatu nacucnout do elektronickΘ pen∞₧enky  realizovanΘ nap°. Φipovou kartou se kterou budeme platit v obchod∞.
 

 
 

Certifikßty

Certifikßt je datovß struktura (°et∞zec bit∙) pomocφ kterΘ se zve°ej≥ujφ ·daje o u₧ivateli a zejmΘna u₧ivatel∙v ve°ejn² Üifrovacφ klφΦ (v p°φpad∞ RSA Üifer). Certifikßt je elektronicky podepsßn (ov∞°en) certifikaΦnφ autoritou. Z certifikßtu je mo₧nΘ zφkat ve°ejn²
Üifrovacφ klφΦ u₧ivatele, kter² je mo₧nΘ pou₧φt   k prokazovßnφ toto₧nosti u₧ivatele. V p°φpad∞, ₧e certifikßt obsahuje Üifrovacφ klφΦ
urΦen² takΘ k Üifrovßnφ dat, pak je mo₧nΘ i tento klφΦ z certifikßtu pou₧φt k Üifrovßnφ dat odesφlan²ch u₧ivateli.

Certifikßt se Φasto p°irovnßvß k obΦanskΘmu pr∙kazu.

Firewall a HTTPS

ProblΘm nabφdky dat pomocφ protokolu HTTPS spoΦφvß v tom, ₧e data jsou umist∞na ve vnit°nφ sφti za firewallem. P°itom WWW-server musφ b²t umφst∞m p°ed firewallem, tj. musφ b²t dostupn² z Internetu. Aby byl mo₧n² z WWW-serveru p°φstup na data ve vnit°nφ sφti, tak musφ b²t umφst∞n v demilitarizovΘnΘ z≤n∞ firewallu, tj. na LAN firewallu, kterß je chrßn∞na filtracφ na p°φstupovΘm routeru do Internetu.

Firewall je nastaven jako circuit filter pro komunikaci mezi WWW-serverem a databßzφ ve vnit°nφ sφti. Pro filtraci je nutnΘ nastavit jen minimalnφ mo₧nost pr∙chodu firewallem tak, aby komunikace jeÜt∞ bzla mo₧nß. Existuje i druhß varianta konfigurace firewallu, kdy se firewall nekonfiguruje jako filter, ale jako generickß proxy umo₧≥ujφcφ op∞t pouze komunikaci mezi WWW-serverem a databßzφ.