COMPUTERWORLD o Internetu

Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 15/96)

BezpeΦnost informacφ - nep°ekonateln² problΘm ?

Internet je skv∞lΘ informaΦnφ mΘdium a zdß se, ₧e se velmi brzo stane takΘ v²bornou platformou pro implementaci WAN strategie mnoha podnik∙. Stejn∞ tak pou₧φvßnφ internetovsk²ch technologiφ na podnikov²ch sφtφch je na ·sp∞ÜnΘm postupu. Ale podnikovΘ informaΦnφ systΘmy vy₧adujφ n∞kolik zßkladnφch p°edpoklad∙, bez jejich₧ spln∞nφ nenφ mo₧nΘ p°enΘst pln∞ cel² IS na Intranet. Hlavnφm problΘmem Internetu je bezpeΦnost a to hned v n∞kolika formßch. Proto₧e Internet se tvo°il a rostl jako otev°enß sφ¥, kterß byla Φasto galvanicky odd∞lena od podnikov²ch sφtφ. Ale dnes je tomu naopak. Na Internet se postupn∞ p°ipojujφ sφt∞ r∙zn²ch spoleΦnostφ, kterΘ jsou obecn∞ p°φstupnΘ z kterΘhokoli mφsta na sv∞t∞. A hlavn∞ mß k nim p°φstup kdokoliv na sv∞t∞, bez oprßvn∞nφ od spoleΦnosti, kterΘ sφ¥ a data na nφ pat°φ.

CERT varuje

Podle informacφ organizace CERT existuje ka₧dou chvφli n∞kde na sv∞te pokus o proniknutφ do ne₧ßdoucφch sφ¥ov²ch oblastφ. OdhadovanΘ Ükody se pohybujφ °ßdov∞ v oblasti milion∙ dolar∙. To nenφ sice a₧ tak vysokΘ Φφslo, ale mnoho pokus∙ (zejmΘna t∞ch ·sp∞Ün²ch) nenφ nikde hlßÜeno, proto₧e jednotlivΘ firmy si hßjφ svou pov∞st.

Stßle je velmi ΦastΘ, ₧e mnoho spoleΦnostφ problΘm bezpeΦnosti dat ignoruje do chvφle, ne₧ se n∞komu poda°φ zφskat utajovanß data. Druh² Φast² extrΘmnφ p°φstup spoΦφvß v naprostΘ ignoranci Internetu a ve vyΦkßvßnφ na objevenφ naprosto bezpeΦnΘho zp∙sobu komunikace.

╪eÜenφ existujφ

AΦkoli ve svΘ podstat∞ je Internet stßle velmi "nebezpeΦn²" pro p°enos dat, kterß nejsou urΦena vÜem oΦφm, existujφ r∙znß °eÜenφ, jak se chrßnit proti hacker∙m nebo dokonce proti konkurenci, kterß chce zφskat vaÜe data. Stßle vφce firem pracuje na r∙zn²ch specifikacφch, kterΘ majφ ochrßnit data na vaÜich serverech, stejn∞ jako data, kterß po Internetu putujφ.

SSL - opravdu bezpeΦn²?

Pokud jde o ochranu p°enßÜen²ch dat a ·daj∙, pak je v souΦasnΘ dob∞ bezkonkurenΦn∞ nejpou₧φvan∞jÜφm protokolem SSL (Secure Socket Layer) od firmy Netscape Communications. AΦkoli SSL dnes u₧ existuje ve 3. verzi a pou₧φvß 40bitovΘ zak≤dovßnφ, tak nepat°φ rozhodn∞ k vrchol∙m bezpeΦnosti. Podle n∞kter²ch informacφ dokßzali pom∞rn∞ snadno tento k≤d rozlousknout studenti univerzity v Berkeley.

Pou₧φvat zabezpeΦenφ na ·rovni soket∙ nemusφ b²t v₧dy nejv²hodn∞jÜφ, proto₧e neposkytuje dostateΦnou flexibilitu a kontrolu. Na druhΘ stran∞ velk²m problΘmem nenφ samotnΘ zabezpeΦenφ, ale fakt, ₧e v mnoha p°φpadech sami zam∞stanci neodhadnou, kdy je ji₧ zapot°ebφ informace zabezpeΦit. V p°φpad∞ pou₧itφ SSL protokolu se tak d∞je automaticky a u₧ivatel o tom v∙bec nemusφ v∞d∞t. Aby byl protokol SSL pou₧iteln², musφ ho podporovat jak klient (prohlφ₧eΦ), tak i server, se kter²m prohlφ₧eΦ komunikuje. Dφky obecnΘmu uznßnφ SSL jako standardu nenφ naÜt∞stφ dnes nouze ani o servery, ani o klienty s touto podporou.

SHTTP (Secure HyperText Protocol)

SpoleΦnost Terisa Systems vyvinula bezpeΦn² komunikaΦnφ protokol odvozen² od HTTP protokolu, kter² je pou₧it na komunikaci s WWW servery. Tento protokol je ovlßdßn na bßzi aplikace, tak₧e tak umo₧≥ena v∞tÜφ kontrola a bezpeΦnost p°enßÜen²ch dat. Navφc umo₧≥uje takΘ u₧ivatelskou autorizaci.

BezpeΦnΘ IP

Cel² zßstup firem, kter² vede spoleΦnost RSA Data Security, pracuje na specifikaci protokolu IPsec - neboli bezpeΦnΘho IP, co₧ je komunikaΦnφ protokol celΘho Internetu. Tento protokol by m∞l umo₧nit komunikaci mezi brßnami (orig. firewall) r∙zn²ch v²robc∙, umo₧nit tvorbu virtußlnφch soukrom²ch sφtφ apod. Tento standard byl ji₧ p°ijat organizacφ IETF, kterß specifikuje technologie pou₧itelnΘ pro komunikaci na Internetu.

Produkty, kterΘ budou IPsec podporovat, by se m∞ly objevit asi tak za p∙l roku, proto₧e v souΦasnΘ dob∞ IETF zkoumß, kterß klφΦovacφ technologie bude nejlepÜφ.

èifrovßnφ

DalÜφ bezpeΦnou metodou pro p°enos informacφ je zaÜifrovßnφ dat p°ed tφm, ne₧ se pustφ do ve°ejn²ch vod Internetu. Pou₧φvßnφ r∙zn²ch klφΦovacφch metod, stejn∞ jako autorizace u₧ivatelskΘho podpisu je Φastß. Existuje n∞kolik r∙zn²ch metod, kterΘ zajiÜ¥ujφ urΦitou v²Üku bezpeΦnosti.

SpoleΦnost Microsoft dodß spoleΦn∞ s novou verzφ Windows NT 4.0 takΘ specifikaci tzv. CryptoAPI, kterΘ bude mo₧nΘ pou₧φvat k Üifrovßnφ a autorizaci dat. To je velice dobrß zprßva pro programßtory, ale bohu₧el, Microsoft je s bezpeΦnostφ trochu na Ütφru, tak₧e bude n∞jak² Φas trvat, ne₧ bude CryptoAPI pova₧ovßno za bezpeΦnΘ.

On-line transakce

Specißlnφ oblast, kde je nutnΘ zajistit naprostou bezpeΦnost a utajenφ dat, jsou on-line bankovnφ transakce. P°edevÜφm pokud se posφlß po sφti Φφslo kreditnφ karty spoleΦn∞ s ov∞°ovacφm k≤dem, nenφ p°φpustnΘ, aby bylo mo₧nΘ Φφslo kreditnφ karty a p°φpadn∞ i PIN zjistit.

Proto₧e prßv∞ ned∙v∞ryhodnost on-line transakcφ brßnφ v∞tÜφmu rozvoji obchodovßnφ po Internetu, pracuje v tΘto oblasti celß °ada r∙zn²ch firem.

Firma Security Dynamics p°edstavφ v nejbli₧Üφ dob∞ systΘm na bezpeΦnou prßci s kreditnφmi kartami po Internetu. Tato technologie bude z°ejm∞ pou₧ita pro MasterCard a kreditnφ systΘmy Visa.

DalÜφ spoleΦnost, Virtual Open Network Environment, dodßvß technologii pro tzv. chytrΘ karty. Zatφm je zkuÜebn∞ pou₧φvßn na floridskΘ stßtnφ univerzit∞, kde studenti majφ svß ID pro p°φstup k finanΦnφm ·Φt∙m.

Jen p°es moji mrtvolu!

DalÜφm velk²m blokem, kde je nutnΘ zajistit dostateΦnou bezpeΦnost, jsou servery a v∙bec sφ¥ov² prostor spoleΦnostφ, kterΘ jsou na Internet p°ipojeny. Nejznßm∞jÜφm °eÜenφm jsou tzv. brßny (firewall), kterΘ odd∞lujφ prostor podnikovΘ sφt∞ od zbytku sv∞ta. ┌rove≥ zabezpeΦenφ jednotliv²ch °eÜenφ je r∙znß. OznaΦenφ brßna se pou₧φvß pro celou °adu produkt∙, kterΘ pou₧φvajφ r∙znΘ zp∙soby, jak podnikovou sφ¥ zabezpeΦit. Nejpou₧φvan∞jÜφm °eÜenφm jsou proxy servery (nebo proxy firewall), kde je bezpeΦnosti dosa₧eno odd∞lenφm adresovΘho prostoru p°ed a za brßnou. U₧ivatel, kter² p°istupuje k podnikov²m server∙ skrz proxy server nekomunikuje se servery p°φmo, ale v₧dy je pod kontrolou proxy serveru. Velmi zajφmavou a asi nejlepÜφ ochranou je nepou₧φvßnφ IP protokolu na podnikovΘ sφti. To je dnes mo₧nΘ ji₧ dφky celΘ °ad∞ produkt∙. Nap°. spoleΦnost Cisco dodßvß IP brßnu pro Novell NetWare, kterß mß navφc v²hodu, ₧e nenφ nutnΘ definovat a konfigurovat IP adresy pro ka₧dou stanici v sφti. Na podnikovΘ sφti probφhß toti₧ komunikace stßle pomocφ IPX nebo jinΘho protokolu a teprve za brßnou se pou₧ije IP protokol.

V takovΘm p°φpad∞ je vlastn∞ nemo₧nΘ, aby necht∞n² nßvÜt∞vnφk zvenku proÜel do podnikovΘ sφt∞, pokud si to vlastnφk sφ¥∞ nep°eje.

BezpeΦnost na Internetu v kostce

- P°enos informacφ

Vφce firem pracuje na definici protokolu, kter² by zajistil komplexnφ ochranu p°enßÜen²ch informacφ. V souΦasnΘ dob∞ je nejpou₧φvan∞jÜφm protokolem SSL od firmy Netscape. Existujφ dalÜφ r∙znΘ varianty, jako nap°. SHTTP. V nejbli₧Üφ dob∞ se doΦkßme novΘ specifikace protokolu IPsec, kter² bude asi hlavnφ ochranou vaÜich dat v budoucnosti.

- PoÜta

Pro poÜtovnφ p°enos jsou k dispozici standardnφ Üifrovacφ postupy, kterΘ majφ r∙znou ·rove≥ zabezpeΦenφ. Freewarov² PGP (Pretty Good Privacy) poskytuje p°ekvapiv∞ vysok² stupe≥ zabezpeΦenφ, kterß v mnoha p°φpadech naprosto postaΦuje.

- Bankovnφ transakce

Pro p°enos Φφsel a informacφ o kreditnφch kartßch, stejn∞ jako obecn∞ pro bankovnφ p°evody po Internetu, je vyvφjena celß °ada standard∙. V souΦasnΘ dob∞ se prosazuje nap°. systΘm od spoleΦnosti CyberCash.

- ZabezpeΦenφ podnikovΘ sφt∞

Nejv∞tÜφ bezpeΦnost podnikovΘ sφt∞ p°ipojenΘ na Internet poskytujφ r∙znΘ brßny (firewall) a nepou₧φvßnφ IP protokolu uvnit° podniku.

BezpeΦnost informacφ - nep°ekonateln² problΘm ?

| CW o Internetu | COMPUTERWORLD | IDG CZ homepage |