Az Internethez és más nyilvános hálózatokhoz történő csatlakozás vitathatatlanul a számítógépes hálózatok biztonsági szempontból legkritikusabb pontja. Ugyanakkor az is elmondható, hogy szép számmal léteznek olyan eszközök (tűzfal funkciójú rendszerek), amelyekkel e kapcsolat biztonsága megfelelő szintre emelhető és az idegenek nem engedélyezett hozzáférése teljesen kizárható.

Mint mindig, ebben az esetben is a cél az adatok bizalmasságának, sértetlenségének, ill. elérhetőségének védelme, de ez a cél csak az eszközök védelmén keresztül valósítható meg. Az előadás áttekinti az erre szolgáló technológiai lehetőségeket, ill. gyakorlati

megoldásokat:

• a hálózati forgalomanalizáló eszközöket
• a szerverek esetén alkalmazható technikákat
• a kommunikáció és a adattárolás titkosítási lehetőségeit
• az adatbázis rendszerek hozzáférésének titkosítását.

The Internet connection and other sorts of public network connections is undoubtedly one of the most critical security issues in computer networking. It s also true, however, that there exist quite a few solutions (devices with firewall functionality) which provide the opportunities to raise the security level of these connections to a sufficient niveau, and to completely exclude access by outsiders.

Controlling and limiting access of clients on the internal net is a much greater challenge, however. Of course, network operators trust more their employees and other local network users, but in the case of greater networks or companies working with valuable or sensitive data, measures must be taken against unauthorized access originating at local computers.

As always, the main goal is preserving the discrecy, consistency and availability of the data, but this can be achieved only by protecting the participating devices. The lecture enumerates the techniques and practical solutions for this sort of protection:

• network traffic analyzer tools
• tools for detecting security events against network servers

• other techniques available for protecting network servers
• encryption technologies for communication and data storage
• securing access to database systems

1. Valamilyen, az intézmény felügyelete alatt nem álló, tehát publikus, vagy harmadik fél kezelésében álló hálózatról.
2. Az intézmény saját kezelésében álló hálózatról, rendszerint arra legálisan csatlakoztatott számítógépen keresztül. Ennek egy speciális esete, amikor egy az 1. módszer szerint elért gépen keresztül támadják meg az intézmény további rendszereit.
3. Az adatokhoz (érzékeny információt tároló számítógépekhez, adattároló médiákhoz, nyomtatásokhoz) közvetlenül hozzáférve.

A harmadik eset javarészt a fizikai biztonság ill. a klasszikus adatvédelem területe, ahol a számítástechnikai szakemberek témakörébe tartozó feladat a rendszerelemek (pl. konzolok, szerverek) megfelelő szintű védelme.

• Az Internet hozzáférés szávszélessége korlátos, ritkán haladja meg a 2 Mbps sebességet.
• Általában jól definiálható, hogy az intézmény milyen szolgáltatásokat kíván nyújtani, ill. elérni az Internet irányába.
• Az Internet felől igénybevett szolgáltatások esetén a felhasználók méltányolják és elfogadják a gyakori és körülményes biztonsági szűréseket, ill. hitelesítést.

A publikus, ill. külső támadásokra akadnak azonban kevésbé szembeötlő, ill. kevesebb publicitást élvező példák is, pl. egy vállalat saját telephelyei között húzódó bérelt vonalak veszélyeztetettsége. Bár az ilyen vonalakhoz történő hozzáférés eszközökben is speciálisabb felkészültséget igényel, technikailag könnyen megoldható (a távközlési szolgáltatók semilyen védelmet nem garantálnak), és igen sok eredménnyel kecsegtet abban az értelemben, hogy a cégek többsége szándékosan nem korlátozza a telephelyek közötti adatforgalmat.

E prezentáció fő témája a második pont, tehát az Intranet hálózat biztonsági kérdései. Az Intranet elnevezés pontosításra szorul: itt a cég egyes telephelyein elhelyezkedő, egymással összekötött lokális hálózatokra, tehát egyszerűen a 'saját' hálózatot jelenti. Amennyiben az intézmény viszonylag teljeskörű hozzáférést tesz lehetővé távoli gépek (utazók, otthon dolgozók) számára, akkor ezeket a kapcsolatokat is az Intranet részének lehet tekinteni, ismét nem elfelejtve a publikus összeköttetés okozta új veszélyeket.

• Ma már minden korszerű alkalmazás hálózatos működésű, és a legkritikusabb alkalmazásoktól eltekintve (pl. hitelesítő központ szerver) valóban hálózaton is használják őket.
• Ma már a tipikus LAN sávszélesség a 100 Mbps, és ez gyakran szerverenként dedikált módon, azaz a hálózat össz-sávszélessége ennek többszöröse is lehet.
• A legtöbb helyzetben kívánatos a hálózat teljes átjárhatósága, tehát hogy minden alkalmazást mindenhonnan el lehessen érni.
• A felhasználók napi munkaeszközként használják az alkalmazásokat, ezért nem szívesen vetik alá magukat a gyakori és bonyolult authentikációs procedúráknak.
• Az alkalmazásokat gyakran éppen azoktól kell védeni, akik azt használják. Sőt, nem egy esetben a belső emberek számára fontosabbak és jobban értelmezhetők pl. az illetéktelenül megszerzett információk (management belső információk, fizetési listák, bizalmas jelentések stb.).

Gondolni kell azonban a többi eszközre is, hiszen a hálózat biztonsága azokon is múlik. Éppen ezért az alábbiakban az általános, de elsősorban szerverekre kifejlesztett lehetőségek bemutatása után említésre kerül néhány speciálisan a többi eszközre kifejlesztett technika is.

A hálózati forgalomelemzők első közelítésben passzív eszközök: figyelik a hálózaton haladó csomagokat, a csomagokból rekonstruálják a hálózati kapcsolatokat, és törekszenek detektálni az illegális forgalmat. A legtöbb ilyen eszköz mintaillesztéses módszerrel működik, és egy minta-nyelv definiálja a támadásoknak tekintett forgalmat. A legtöbb szoftver minta nyelve nem publikus, és a mintákat a gyártó mintegy tudásbázisként rendszeresen frissíti. Más termékek viszont felhasználó által is programozhatók.

Általában elmondható, hogy e rendszerek jól felkészültek a protokoll-hierarchia alsó részére jellemző támadások detektálására (pl. TCP port-scan), de nehezen ellenőrzik a kevésbé kötött formátumú, magasabb szintű protokollokat. Másik jellegzetes problémájuk, hogy ha a szerverek dedikált Ethernet portokra kerülnek, e detektáló eszközök használata körülményessé válik (a switch probe-portját, vagy külön repeatert kell alkalmazni).

Ugyancsak problémát jelent, hogy egy adatfolyam biztonsági ellenőrzése néha még erőforrásigényesebb mint a hozzá kapcsolódó adatfeldolgozás. Ennek megfelelően a szokásos számítógépekből épített detektorok teljesítménye általában nem elegendő fast Ethernet hálózatok teljes ellenőrzésére.

Amint egy operációs rendszerrel kapcsolatban egy támadási lehetőség ismertté válik, hamar elkészítik annak automatizált, programozott változatát, amely legtöbbször igen látványosan működik. Hasonlóan a kiaknázható támadások kategóriáihoz, ezek lehetnek hálózati működésűek (amikor csak hálózati hozzáférés kell a géphez), ill. host alapúak, amelyek egy közönséges user account kiaknázását teszik lehetóvé. Az Internet crackerei többnyire olyan 'lusták' és felkészültek, hogy Internetről is kihasználható támadások esetén órákon belül akcióba lépnek a robotok, amelyek óránként akár több ezer gépen kísérlik meg a támadást.

Ezen eszközök szelidített változatai a betörésszimulátorok, amelyek szintén egy állandóan frissített tudásbázis alapján tesztelik a támadást. Hogy ne lehessen őket más célra felhasználni, általában a licenckulcs korlátozza a feltörhető IP-címek körét.

Más, ugyancsak gyakori és hálózatos támadási módszerek a szerver szoftverek nem megfelelő bufferellenőrzését használják ki olyan módon, hogy egy olyan gondosan megtervezett, túlméretes adatot adnak át, amely a bufferen túllépve, a programstack átírásával eltéríti a program működését. Mivel a Unix daemonok legtöbbször root módban futnak, ez a támadás többnyire root jogosultsághoz vezet.

Mint fenti első példa is mutatja, a támadások egy jó része azonban nem a bravúros technikai manővereken, hanem a passwordok megszerzésén alapul. Gyakran nem is támadások ezek, csak egyszerüen a passwordok felettébb laza kezelésének következményei (pl. egy csoportban mindenkinek ugyanaz a passwordje), amely annak folyománya, hogy a felhasználók nem érzik át az account-jukkal járó felelősséget. Mindezek megoldására születtek meg a különféle erős authentikációs eszközök, amelyek lényege, hogy a felhasználó egy nála levő, és egy általa ismert információ együttes felmutatásával kap hozzáférést. Az általa ismert valami továbbra is egy (rövidebb) password vagy PIN-kód, míg a nála levő információt egy dinamikus passwordot generáló szerkezet adja. Ez lehet egy időszinkronizációs elven működő tokenkártya, egy, a gép által küldött 'challenge' kódra generált válasz, vagy egyszerűen egy egyszer használatos passwordokből álló lista, ill. egy kriptografikusan hitelesítő smartcard.

Bár az eddig említett megoldások is tartalmaznak kriptográfiai technikákat, a biztonság csúcsát jelenleg olyan technológiák képviselik, amelyek teljes mélységükben kriptográfiai technikákra épülnek. Ezek közös jellemzője a végpontok közötti titkosítás, ill. integritás-ellenőrzés, amely nemcsak az illetéktelen hozzáférést akadályozza meg, de a kommunikáció hitelességét, sértetlenségét is garantálja. A kriptografikus rendszerek általában az authentikációt is tartalmazzák.

Éppen ez a kezdeti kulcscsere tette nehézkessé ezen technikák használatát, és ezt a nehézséget hivatottak kiváltani a nyílt kulcsú titkosítást is alkalmazó technológiák. Ezeket ma már szinte minden modern technológia átvette (Netscape, Oracle, Microsoft, Security Dynamics, Cisco), és több helyen szabványossá is vált (SSL/TLS, IPSec ISAKMP/OAKLEY, OpenPGP, LDAP/X.500).

E rendszerek elve közös: Minden résztvevő kap egy publikus-titkos kulcspárt, amelyek közül a publikus kulcsot (rendszerint egy hitelesítő, ú.n. certificate szerver által hitelesített formában széles körben publikálja, ill. azonosságának igazolására használja). Ezek a kulcsok válnak aztán a kölcsönös azonosítás és titkosítás alapjává. Teljesítmény okokból e kulcsokat általában csak egy szimmetrikus kulcs kicserélésére használják, és a kommunikáció már e szimmetrikus kulcsot használó titkosítással történik, innen e technológiák szintén használatos 'hibrid kulcsos' megjelölése.

Bár egy ilyen nyílt kulcsú rendszer (Public Key Infrastructure, PKI) kialakítása nem kevés felkészülést jelent, jelenleg ez elméleti és gyakorlati szempontoknak leginkább megfelelő technológia, így nem csoda, hogy egyre többen választják ezt. A technológia komponensei az alábbiak:

• Titkosított, és hitelesített kommunikációt folytató eszközök (kliensek, szerverek, routerek smartcard-ok, stb.), amelyek mindegyike rendelkezik egy hitelesített kulcspárral. A kulcspár lehet az eszköz sajátja (pl. szerver), vagy egy éppen azt használó felhasználó kulcsa (pl. browser).
  Smartcard esetén a kártya nemcsak tárolja a kulcsot, hanem az azt alkalmazó titkosító rutinokat is átvállalja az anyarendszertől, így nincs szükség a kulcsoknak az anyarendszerbe történő átvitelére sem.
• Hitelesítő (Certificate Authority, CA) szerver, amely saját titkos kulcsával aláírva hitelesíti az előbbi résztvevők publikus kulcsát. A rendszerbe tartozó minden eszköz ismeri és elfogadja a CA kulccsal hitelesített kulcsokat, és ez adja az résztvevők azonosító igazolványát.
• Az infrastruktúra opcionális eleme egy címtár szerver, amely egyrészt hiteles helyen tárolja a Certificate-eket, másrészt pedig publikussá teszi a visszavont (pl. ellopott, kiszivárgott) kulcsokhoz tartozó Certificate-ek listáját (Certificate Revocation List).

A fenti PKI infrastruktúrát a titkosítás minden szintjén lehet alkalmazni, pl:

• Vonali titkosító eszközökben
• Network-szintű titkosításnál, amelyre legjobb példa a lassan szabványossá váló IPSec architektúra.
• Transzport szinten, amelyre jó példa az SSL/TLS.
• Prezentációs vagy alkalmazási szinten, pl. SMIME, PGP, file titkosítás, X.500 stb.

Az említett technológiák általában jól alkalmazhatók szerverek, központok, ill. a kommunikáció védelmére. Ez mindenesetre megoldást jelent az adatvagyon sértetlenségére, hiszen a lényeges adatok általában a szervereken tárolódnak.

A hitelesség kérdésének vizsgálatánál azonban fokozottan figyelembe kell venni a munkaállomások sajátosságait is. A legtöbb intézmény nem biztonságos operációs rendszereket használ munkaállomásként (Win95), és még ha erős is az operációs rendszer, nem biztos, hogy használják a védelmi funkciókat (pl. WinNT FAT filerendszerrel). Továbblépve, az operációs rendszer biztonsága nem jelen feltétlenül titkosított adattárolást, ami azt jelenti, hogy bárki, aki a géphez fizikailag hozzáfér, mégis csak el tudja olvasni az adatokat (pl. NTFS hozzáférés Linuxból).

A bizalmasság védelmén persze igazán nem segít a file-ok gondos törlése, felülírása, hiszen senki nem tudja megmondani, hogy egy feldolgozott file hol és hány formában tárolódik (pl.: backup, rescue, temporary, swap, és core fileok), és mikor van igazán, fizikailag letörölve.

Munkaállomások védelmére két megoldás kínálkozik:

• Nem tárolni adatot a gépen, amely feltételnek pl. a Network Computerek többsége eleget tesz. Ugyancsak nagyjából ezt az irányt követik a vékony-kliens technológiát alkalmazó rendszerek (Terminál emuláció, HTML, SGML). Ez utóbbiaknál azonban továbbra is potenciális veszélyt jelentenek a rosszindulatú programok, ill. a lokális nyomtatás (megint csak az ideiglenes fileokon keresztül).
• Titkosítani az adattárolást, akár explicit (a felhasználó által kezdeményezett, pl. PKZIP), akár implicit módon, (pl. titkosított könyvtárak, filerendszerek). E technikák alkalmazásának korlátja azonban a teljesítmény, ugyanis a kriptográfiai algoritmusok rendszerint igen számításigényesek. Ez a teljesítményveszteség általában tolerálható az Interneten, elviselhető a lokális hálózaton, de a gyakran több megabyteos fileok körültekintően titkosított kezelése sok időt igényel, különösen a szokásos desktop kategóriájú gépeken. Ami megoldást jelenthet, azok a hardver titkosító kártyák és diszk kontrollerek, amelyek elterjedésére a titkosítási igények előtérbe kerülésével feltétlenül számítani lehet. Ugyancsak problémát a titkosított adatok több felhasználó által történő kezelése (amihez elméletileg 2ⁿ kulcs kell).

A fentiekben összefoglaltuk az intézményi lokális hálózatokon is alkalmazható biztonsági technológiákat. Látható, hogy mindegyik technológiának vannak elméleti és gyakorlati korlátjai, igy az egyedül üdvözítő megoldás még várat magára. Addig is amit tanácsolni lehet, az a fenti lehetőségek kombinációinak alkalmazása.