Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 6/97)

---

Firewally intranet∙ jsou bezbrannΘ proti nep°φteli uvnit°

Gary H. Anthes

Sprßvci a u₧ivatelΘ intranet∙ majφ hlavy v pφsku podobn∞ jako pÜtrosi jestli₧e si myslφ, ₧e je dostateΦnou ochranou zamezφ-li lidem zvenΦφ p°φstup.

Tato skuteΦnost byla rozsßhle p°et°ßsßna na konferenci IntraNetworking, kde u₧ivatelΘ a odbornφci °φkali, ₧e specißlnφ po₧adavky intranet∙ na zabezpeΦenφ jsou Φasto p°ehlφ₧eny nebo Üpatn∞ chßpßny.

"PouhΘ zablokovßnφ vÜech p°φstup∙ zvn∞jÜku neznamenß, ₧e jste bezpeΦni," °ekl Rich Ayers, viceprezident sprßvy sφ¥ov²ch informacφ v newyorskΘ bance Chase Manhattan. "Mßme 70 000 zam∞stnanc∙ a nenφ pochyb, ₧e 99 % z nich je absolutn∞ poctiv²ch. Jsem si ale jist, ₧e je tam n∞kde zl² chlapφk."

Odbornφci tvrdφ, ₧e a₧ 80 % vÜech poΦφtaΦov²ch ·tok∙ p°ichßzφ od lidφ zevnit°.

Jinφ prohlaÜujφ, ₧e specißlnφ po₧adavky intranet∙ sprßvc∙m naznaΦujφ, ₧e by m∞li p°esunout d∙raz z ochrany "nedovolit vstup zl²m chlapφk∙m" na detekci a odezvu, d∞je-li se n∞co neobvyklΘho.

Toney Jennings, prezident spoleΦnosti WeelGroup ze Sant Antonia uvedl, ₧e vn∞jÜφ hrozby p°ichßzejφ stßle vφce od rafinovan²ch skupin, jako jsou cizφ zpravodajskΘ slu₧by a pr∙myslovφ Üpioni, jejich₧ oblφbenou metodou krßde₧e informacφ je podplßcenφ zam∞stnanc∙. Prohlßsil, ₧e m∞nφcφ se povaha vn∞jÜφ hrozby p°inßÜφ hrozbu vnit°nφ.

NepraktickΘ

Jennings °ekl, ₧e ochrana intranet∙ internetov²mi ochrann²mi zdmi (firewally) nemusφ b²t praktickß pro intranety s vysok²m provozem, proto₧e mnohΘ ochrannΘ zdi uvalujφ na systΘm krutou da≥ v podob∞ snφ₧enΘho v²konu.

Tvrdφ, ₧e v n∞kter²ch p°φpadech dßvß v∞tÜφ smysl nechat dve°e dosti Üiroce otev°enΘ a spolΘhat se mφsto toho na detekci vniknutφ a nßstroje pro detekci udßlostφ.

"Pot°ebujete p°φstup typu dopravnφ policista versus uzßv∞rka cesty," °ekl Jennings. "Nechte provoz plynout, ale uzav°ete jej, kdy₧ se p°ihodφ n∞co zlΘho."

Koncept "obvod zabezpeΦenφ" mß vady, tvrdφ Eugene Schultz, nßm∞stek programovΘho °editele v International Information Integrity Institute u SRI International. Uvedl, ₧e spoleΦnosti by m∞ly podniknout rozumnß preventivnφ opat°enφ, a p°edpoklßdat, ₧e jejich systΘmy budou prolomeny. ╚asto pr² chybφ politika zabezpeΦenφ a procedury odezvy na udßlosti.

SpoleΦnost Eli Lilly & Co. v Indianopolis mß intranet, ke kterΘmu m∙₧e p°istupovat 15 000 zam∞stnanc∙. Proto₧e vÜak nenabφzφ p°φstup k vysoce citliv²m informacφm, nenφ internφ zabezpeΦenφ p°φsnΘ. "ZabezpeΦenφ aplikacφ na intranetu se sklßdß ze vÜeho co ji₧ existuje - nap°. ochrana heslem", uvedl analytik James Rischar. "Externφ p°φstup zam∞stnanc∙ k intranetu je vÜak chrßn∞n chytr²mi Φipov²mi kartami pro jednorßzovΘ generovßnφ hesla od spoleΦnosti Security Dynamics Technologies", dodal Rischar na zßv∞r.

Ayers prohlßsil, ₧e n∞kterΘ druhy vniknutφ nijak okam₧it∞ neÜkodφ a tudφ₧ neospravedl≥ujφ d∙kladnou a nßkladnou blokovacφ technologii. ProhlaÜuje: "Kdy₧ se n∞co opravdu d∞je, vÜimn∞te si, ₧e se to stalo a m∞jte p°ipravenou vhodnou odezvu". Ayers dßle uvedl, ₧e kdy₧ ochrannΘ zdi (firewally) v bance detekujφ podez°elou Φinnost, upozornφ pracovnφky ochranky spuÜt∞nφm bzuΦßk∙. "Jestli₧e to p°ichßzφ od osoby uvnit°, jdeme na to p°φmo a po₧ßdßme je, aby svΘ akce vysv∞tlili".