Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 31/96)
Pokud pou₧φvßte Windows NT, pak takΘ mo₧nß vyu₧φvßte jeho RAS (Remote Access Service) pro vzdßlen² p°φstup sv²ch pracovnφk∙. BezpeΦnost RAS je zalo₧ena na existenci jednoho statickΘho hesla, co₧ je vzhledem k d∙le₧itosti zajiÜt∞nφ slabΘ. Pokud chcete bezpeΦnost sv²ch dat zv²Üit, m∙₧ete pou₧φt Defender Security Server pro Windws NT od firmy Digital Pathways. Tento dodateΦn² server spolupracuje nejen s RAS, ale i s n∞kolika dalÜφmi zp∙soby °eÜenφ vzdßlenΘho p°ipojenφ.
Ochrana dat pomocφ DSS serveru je °eÜena hned v n∞kolika sm∞rech. VeÜkerß komunikace od vzdßlen²ch u₧ivatel∙ jde p°es komunikaΦnφ server, kter² zajiÜ¥uje fyzickΘ spojenφ dßle p°es DSS server. Ten se starß o zabezpeΦenφ p°φstupu u₧ivatel∙ k dalÜφm zdroj∙m. Pomocφ WinDMS konzole je mo₧nΘ spravovat software z centrßlnφho poΦφtaΦe sφ¥ovΘho administrßtora, i kdy₧ n∞kterΘ funce jsou dosa₧itelnΘ jen po nainstalovßnφ IPX protokolu a slu₧by Gateway for Netware.
Komunikace je zalo₧ena na vytvo°enφ tzv. SecureNet Key token∙, kterΘ slou₧φ k jednoznaΦnΘ identifikaci vzdßlenΘho poΦφtaΦe serverem. Po instalaci, kterß je celkem jednoduchß, je nutnΘ vygenerovat tyto tokeny pro vÜechny u₧ivatele, kterΘ budou k vaÜim dat∙m p°istupovat. Jedna Φßst je ulo₧ena na serveru, druhß na p°φsluÜnΘ stanici. P°ed generovßnφm musφte definovat prßva a oblasti p°φstupu jednotliv²m u₧ivatel∙m. Serverovß Φßst je realizovanß hardwarov∞, tak₧e je odolnß v∙Φi chybßm a pracuje rychleji ne₧ druhß strana.
Pomocφ t∞chto token∙ software p°i ka₧dΘm spojenφ generuje heslo, kterΘ existuje prßv∞ jen p°i tomto spojenφ. Proto₧e algoritmus tvorby hesel se zdß b²t dostateΦn∞ slo₧it², je velmi malß pravd∞podobnost, ₧e se n∞komu poda°φ vysledovat, jak se hesla tvo°φ. U₧ivateli je celß operace s tokeny a heslem skryta, proto₧e se provßdφ na pozadφ p°i vyvolßnφ vzdßlenΘho p°ipojenφ. Bohu₧el, n∞kterΘ platformy a operaΦnφ systΘmy nejsou schopny s tokeny pracovat, co₧ je z°ejm∞ d∙sledek toho, ₧e cel² systΘm je pouze v prvnφ verzi. Projevuje se to nap°. i na dokumentaci a n∞kolika dalÜφch detailech. SystΘm takΘ nedovolφ u₧ivateli se p°ipojit, pokud prob∞hlo p°φliÜ ne·sp∞Ün²ch pokus∙ o zadßnφ hesla. Tφmto je zajiÜt∞na ochrana proti pokus∙m "trefit" se do sprßvnΘho hesla nebo ochrana proti hackerskΘmu softwaru, kter² hledß sprßvn² algoritmus.
DalÜφ, velmi zajφmavou oblastφ je neustßlΘ sledovßnφ pokus∙ o prostup vaÜφ bezpeΦnostnφ brßnou. VeÜker² provoz je evidovßn a podle specifikace administrßtora je vytvß°ena pravideln∞ zprßva o vÜem, co bylo neobvyklΘ a mohlo by b²t souΦßstφ pokusu o naruÜenφ systΘmu. Je dokonce mo₧nΘ bezpeΦnost sledovat v reßlnΘm Φase, kdy je administrßtor na neobvyklΘ chovßnφ u₧ivatele ihned upozorn∞n a m∙₧e tedy zasßhnout okam₧it∞ nebo vysledovat, kdo mß zßjem o podnikovß data.
Novß generace bezpeΦnosti
DSS je jednφm z produkt∙, kter² reaguje na novΘ pot°eby v oblasti ochrany dat a poskytuje p°im∞°enou mφru bezpeΦnosti i p°i dokonßlem otev°enφ komunikaΦnφho serveru celΘmu sv∞tu pomocφ Internetu. S p°φchodem dalÜφch verzφ dojde snad k odstran∞nφ t∞ch n∞kolika mßlo vad na krßse a administrßto°i si budou moci oddechnout p°i svΘm v∞ΦnΘm boji, kdy musφ balancovat mezi co nejv∞tÜφmi poskytovan²mi slu₧bami a problΘmy sprßvy a bezpeΦnosti.
(pes)