HADTUDOMÁNY X. évfolyam, 1. szám

VEZETÉS-KIKÉPZÉS


Magyar Ferenc

A hálózatszervezés biztonsági szempontjai

A NATO elvárása, hogy az együttműködésre kijelölt szervek és szervezetek vezetési és irányítási rendszerei alkalmasak legyenek a szövetségi feladatok végrehajtásának informatikai biztosítására. Az informatikai rendszernek alkalmasnak kell lennie a NATO kommunikációs és informatikai hálózatába integrálódásra, illetve a különböző adatcsere-formátumok kezelésére. Így hazánkban is cél a meglévő képességek bázisán egy olyan, a szabványokon és nemzetközi ajánlásokon alapuló, a katonai vezetés valamennyi szintjét átfogó katonai vezetési infrastruktúra kialakítása, amely összekapcsolható a NATO rendszereivel. A szerző egy ilyen rendszer megszervezésének legfontosabb elemeit mutatja be, különös tekintettel a titokvédelemre.

 

A NATO-ban használatos C3-as szemléletnek megfelelően a vezetés és irányítás szinte valamennyi formája informatikai eszközrendszerek igénybevételével valósul meg. NATO-követelmény, hogy a tagországok fegyveres erejei magas színvonalú informatikai rendszerrel rendelkezzenek, és a rendszerek fejlesztését kiemelt feladatként kezeljék. Nincsenek azonban merev, “kőbe vésett” szabályai az egységes nemzetközi informatikai eszközrendszerek használatának, hiszen a szövetségen belül is több, önálló nemzeti informatikai rendszer működik.

Hazánkban a vezetési infrastruktúra technikai rendszerének alapját a Magyar Honvédség számítógépes gerincrendszere képezi, amelyen keresztül az egyes szervezeteknél jelenleg üzemelő lokális hálózatok (LAN - Local Area Network) összekapcsolhatóvá válnak, és közöttük az elektronikus adatcsere biztonságos, ellenőrzött formában valósulhat meg. Az elképzelések szerint az egyes szervezeteknél kialakított lokális hálózatok között pont-pont kapcsolatokat kell létrehozni, ezeket pedig célszerű egy városi hálózatba (MAN - Metropolitan Area Network) szervezni. A Magyar Honvédség egységes informatikai rendszerének gerince a LAN-ok és a MAN-ok összekapcsolásával, nagy távolságú hálózat (WAN - Wide Area Network) létrehozásával építhető ki. A kialakuló struktúra csúcsán álló központ biztosítja az egységes rendszer működését, az alrendszerek összekapcsolását, a rendszerintegrációt, illetve biztosíthat hálózati levelezésszolgáltatást a LAN-ok között, intranetes alkalmazásokat, tűzfalon keresztüli internet-hozzáférést és számos egyéb lehetőséget.

Mivel a speciálisan katonai informatikai alkalmazások fejlesztése csökkenő tendenciát mutat, így a hadseregek is a kereskedelmi rendszerek alkalmazása felé fordultak, ami a civil szférában alkalmazott eljárások bekerülésével jár az informatika katonai alkalmazásába. Alapvető feladat: a megbízható informatikai rendszer létrehozása nem feltétlenül megbízható elemekből, vagyis a kereskedelemben kapható hardverekből és szoftverekből (COTS, commercial off-the-shelf).

Természetesen a fejlesztések egyik legsarkalatosabb pontja az informatikai biztonság megoldása. Az intranetes alkalmazások tekintetében ez általában WEB-technológiára épülő védelmi eljárásokat jelent. Az internet-kapcsolat tekintetében NATO-irányelv, hogy a minősített adatokat tartalmazó rendszerek nem kapcsolódhatnak a világhálóhoz, nem minősített hálózatok többszörös áttételen keresztül, routereken történő tűzfalas leválasztással elvileg kapcsolódhatnak hozzá.

A nagyméretű hálózatokban ma már igen nehéz átlátni, kézben tartani a különböző erőforrásokhoz való hozzáférési jogosultságokat. Az ad hoc módszereket fel kell váltani szisztematikus ügyviteli szabályozással, ami nélkül a számítógépes rendszer biztonságát támogató hardver- és szoftver-eszközök alkalmazása nem lehet eredményes. A legnagyobb kihívás a biztonsági szakemberek számára ma az, hogy a világháló használata mellett miként lehet megvalósítani az információk jogosulatlan személyek előli elrejtését. A jelenleg piacon lévő rejtjelzési technikák ma még nem biztosítják azt az adatvédelmet, amely a NATO- vagy akár a hazai alkalmazásokban a minősített információkkal kapcsolatban elengedhetetlen követelmény. A nem megfelelően tervezett és a megfelelő biztonsági berendezésekkel, eljárásokkal nem védett hálózatok jó eséllyel esnek áldozatul különböző támadóknak.

A számítógépes biztonság fogalma a következő nagyobb területeket fogja át:

Erőforrásokat:

Adatvédelmet:

Állandóságot:

A következőkben a hálózatszervezési alapelveket vesszük sorra, megjelölve azokat a főbb szempontokat, amelyeket figyelembe kell venni egy hálózat tervezése, megszervezése folyamán, különös tekintettel a külső támadások ellen való védekezés lehetőségeire. Nem lehet azonban elhallgatni azt a tényt sem, hogy a statisztikák szerint az ismertté vált számítógépes bűnelkövetések mintegy 80%-ban saját alkalmazott véletlen vagy szándékos cselekményére vezethetők vissza! Az alább taglalt elvek általános érvényűek, természetesen ettől a Magyar Honvédség vagy a NATO informatikai rendszerei számára létezhetnek (léteznek) szigorúbb előírások is.

A rendszer, az elérhetőség és az adatok védelmének megtervezésekor a fizikai védelem leírása a legegyszerűbb, de igen fontos feladat! Minden olyan fizikai behatás ellen védetté kell tenni a rendszert, amely kárt okozhat benne, vagy működésében akadályozhatja. Természetesen igen nehéz fizikai védelemről beszélni nagy kiterjedésű hálózatok esetén, hiszen itt lehetetlen minden elem védelmét megvalósítani, de törekedni kell a központok, géptermek fizikai védelmére.

A fizikai védelmet az alábbi események bekövetkeztének lehetőségével számolva kell tervezni:

Hálózati adminisztráció

Nagy kiterjedésű hálózatok esetén igen nagy a hálózati adminisztráció jelentősége, csak így lehet a gépek adatait rögzíteni. Különösen fontos ez a hálózati szoftverek területén, a szoftverek keveredése ugyanis nagy problémák forrása lehet az adatforgalomban. A nyilvántartásnak feltétlenül tartalmaznia kell a következő adatokat:

A hálózati adminisztráció témakör az alábbi főbb területeket öleli fel:

Naplózás

A hálózati visszaélések, a betörési kísérletek detektálására a legtöbb hálózati operációs rendszer támogatást nyújt a naplófájlok segítségével. A kívánt opciók beállításával számos esemény naplózható, például a be- és a kijelentkezések, a diszk~használat, költségek rendelhetők a rendszer szűk keresztmetszetét jelentő szolgáltatásokhoz, feljegyezhetők a hibák, mint például a szerver lekapcsolása. A naplófájlok csak utólagos felderítésre alkalmasak, viszont lehetőséget adnak a meggondolatlanul vagy szándékosan kárt okozó felelősségre vonására. A betörési kísérletek azonnali detektálására a firewallok megfelelő konfigurálásával van lehetőség. Minden, biztonsági szempontból fejlettebb rendszer rendelkezik az auditálás, azaz a különböző események naplózásának lehetőségével. A TCSEC (Trusted Computer System Evaluation Criteria) követelményrendszerben már a C2-es osztályban megkövetelt a használatuk. A naplófájl szinte az egyedüli eszköz a betörési kísérletek detektálására. Igazából egy jól felkészült támadóval szemben ez sem feltétlenül hatásos, hiszen a sikeres betörés után a naplófájl törlésével vagy az árulkodó részletek kiirtásával a nyomok eltüntethetők. Az utóbbi esetben elképzelhető, hogy a betörés teljesen észrevétlen marad.

A biztonsági igényeket teljes mértékben kielégítő megoldás még nem született, de léteznek különböző technikák, amelyek alkalmazása megoldás lehet a betörések detektálására. Ilyen a naplófájlok megduplázása, és az egyik példány olyan helyre irányítása, amit a támadó a hálózaton nem érhet el, illetve ahol nincs jogosultsága a naplózott adatok módosítására, például ha a naplózás eredménye kinyomtatásra kerül. A megoldás hátránya a magas pluszköltség, bár megfelelő hardvertámogatással a feladat technikailag megoldható.

A keletkezett naplófájlok mérete igen nagy lehet, tartalmazhat sok olyan információt is, amelyekre az egyes biztonsági jellegű vizsgálatoknál éppen nincs szükség, és az áttekintésük meglehetősen nehézkes. Magas szintű szelektivitási lehetőségek esetén is célszerű azonban minél szélesebb körű információk tárolása, hiszen nehéz előre megbecsülni, hogy mi lesz a későbbiekben lényeges információ.

A naplófájlok biztonsági analízise a rendszergazda feladata, egy ilyen naplófájl áttekintése azonban korántsem egyszerű feladat. Ilyen esetben rendkívül hasznos az emberi munka számítógépes támogatása, azaz egy olyan eszköz használata, amely felismeri a kritikus viselkedési mintákat, és automatikusan kiválasztja az információhalmazból a lényeges eseményeket. Sajnos ezen a téren jelenleg kevés könnyen elérhető és jól használható szoftvertermék létezik.

Hálózati menedzsmentszoftverek

A menedzsmentszoftverek közé tartoznak a hálózati paraméterek beállítására alkalmas programok. A LAN- és a WAN-menedzsment egyre inkább ezt a tevékenységet jelenti. Idetartozik a hálózati statisztika vezetése, ennek alapján lehetséges túlterhelés esetén az átirányítás, esetleg vészjelzések adása egyes események bekövetkeztekor. Bizonyos fokig a systemmenedzsment is integrálódik, lehetőség van parancs üzemmódra, illetve távoli eszköz beállítására is. A hálózatmenedzseri feladatok lebonyolításához a gépek az SNMP-vel (Simple Network Manager Protocol) kommunikálnak, a MIB (Management Information Block) tartalmazza azt, hogy egy eszköztől mit lehet lekérdezni, ez a network managementszoftver részét képezi.

Napjainkban elterjedtek az olyan komplex menedzsmentszoftverek is, melyek segítségével egységes felületen menedzselhető egy komplex informatikai rendszer olyan módon, hogy információt kaphatunk az egyes szerverek terhelési adatairól, az azon futó szolgáltatásokról, így lehetővé téve az erőforrásokkal való optimális gazdálkodást. A statisztikák alapján állapítható meg például, hogy mely szerverek bővítése szükséges, és melyek azok, amelyek kihasználtsága alacsony. Ezek a szoftverek alkalmasak arra is, hogy ne csak a hálózatot, hanem az egyes gépeket is menedzselni tudjuk, valamint lehetőség nyílik az egyes gépek központi helyről történő installálására is.

Terheléselosztás

A hálózatok működésének egyik fő problémája: hogyan osszuk el a terhelést (load balancing). Tartósan nagy forgalom esetén particionálni kell a hálózatot, s az egyes hálózati szegmensek közé bridge beépítése szükséges. A gépek forgalmát analizálni kell, és felosztani úgy, hogy a nagy forgalom egy szegmensben maradjon. Ezt lehet szisztematikusan végezni, ekkor csomópontgráfokat kell megállapítani clusterezési algoritmussal, vagy a terhelési adatokból tapasztalati úton lehet következtetni egy partícióra. Ha a forgalom jól clusterezhető, de nem lehet megoldani a problémát új szerverekkel vagy a funkciók szétosztásával, akkor növelni kell a hálózat átviteli sebességét. Erre egy lehetséges megoldás az ún. collapsed backbone. Ez gyakorlatilag egy összekapcsolható belső busz, melynek nagyobb a sebessége és képes a teljes forgalom áramoltatására. Csillagtopológia közepén elhelyezve gyorsan tud kapcsolni 10-20 szegmenst, minden szegmens ki tudja használni a saját sávszélességét. Hátránya az ilyen megoldásoknak, hogy egy ponton fut össze a teljes hálózat, és ha a csomópont meghibásodik, akkor leáll az egész rendszer.

Felhasználói szabályok

A felhasználói szabályok helyes megalkotása az egyik legfontosabb eleme a számítógépes szolgáltatások normális és biztonságos működtetésének. A felhasználói szabályzat megalkotásakor mindenképpen ki kell térni a következő területekre:

Az általános felhasználói szabályok között célszerű megadni, hogy pontosan kire vonatkozik a szabályzat. A felhasználónak aláírásával kell tanúsítania, hogy a szabályokat ismeri és betartásukat vállalja, az estleges szankcióknak önként aláveti magát.

Rögzíteni kell a rendeltetésszerű felhasználás fogalmát, meg kell tiltani mások tevékenységének zavarását, illetéktelen jogosultságok és adatok megszerzését, illetve az erre irányuló kísérleteket. Alapelv, hogy a működőképesség bármely zavarása büntetendő valamilyen módon, valamint elő kell írni a felhasználó együttműködési kötelezettségét az üzemeltetőkkel. A biztonságos működés érdekében az üzemeltetők által kiadott utasításokat a felhasználóknak késlekedés nélkül végre kell hajtani. Az elvárható gondosságot a szabályzat betartásához lehet kötni. Kiegészítő szankcióként lehet élni a szolgáltatások igénybevételének korlátozásával vagy a teljes kizárással is.

A számítógépes infrastruktúra egyes elemeinek felhasználása igen különböző lehet, így célszerű a tipikus felhasználási módokat kategorizálni, és az egyes kategóriákhoz megadni a követendő eljárásokat. A felhasználási módokba besorolás jogköre azt illeti, aki az erőforrás fölött rendelkezik, felelős érte. A gépek bizonyos alap~adatai nyilvántartásának megszervezését is meg kell fogalmazni követelményként. A felhasználási mód kategóriák a későbbiekben segédeszközei lehetnek bizonyos adatvédelmi követelmények szabályozásának.

A felhasználók legfontosabb jogait és kötelességeit célszerű tételesen felsorolni. A jogoknál biztosítani kell a felhasználó megfelelő informáltságát, a számára feltétlenül szükséges erőforrásokhoz való garantált hozzáférést. A NATO-ban a “Need to know” (ennyi tartozik rá) elvére alapozva állapítják meg az egyes felhasználók jogait. A kötelességeknél külön érdemes kiemelni a szabályzat betartásának fontosságát, az üzemeltető személyzet utasításainak követését, a rendkívüli események jelentési kötelezettségét, az esetlegesen felderített problémák naplózását és jelentését. Célszerű egy olyan lista felfektetése, amelyben a felhasználó számára tiltott dolgokat soroljuk fel. Ebben határozottan meg kell tiltani a gépek illetéktelen megbontását, a konfigurációk önhatalmú megváltoztatását, az estleges hiányosságok kihasználását, mások munkájának zavarását. A vírusfertőzés okozta problémák súlyosságára való tekintettel külön célszerű kiemelni a fertőzési gyanú esetén követendő alapvető szabályokat. Biztosítani kell azt is, hogy a hibák diagnosztizálását és elhárítását csak megfelelő szakismerettel és felelősséggel rendelkező szakszemélyzet végezhesse.

Üzemeltetői szabályok

Az üzemeltetési szabályok kidolgozása az egyik legösszetettebb feladat. Ezen a területen nagyon sok a helyi specialitás, ezért szükséges egy jól strukturált, hierarchikus szabályozórendszer megalkotása. Az alapszabályzatnak a következő részterületeket kell felölelnie:

Meg kell határozni a számítógépes infrastruktúra üzemeltetéséért felelős szervezetet. A tapasztalatok szerint nem célszerű minden hatáskört egy kézben összpontosítani, de bizonyos feladatokat csak központosítva lehet hatékonyan ellátni. Itt lehet meghatározni az egyes szervezeti egységek saját üzemeltetési részlegeinek kapcsolódását az üzemeltetési hierarchiába. A hierarchia alapelve a központi szervek döntésén alapuló jog átadása legyen a központi szolgáltatások elosztott menedzselésében.

Amennyiben a szervezeti egységek nagyfokú önállósággal, saját gazdálkodással, fontos döntési jogkörökkel rendelkeznek, úgy nem célszerű a szervezeti egységek vezetőinek hatáskörét a számítógépes szabályzatokkal korlátozni.

Biztonsági szabályzat

A biztonsági szabályzatok az üzemeltetők részére fogalmazzák meg az adatvédelemmel kapcsolatos előírásokat. Egy szervezet számítógépes biztonsági szabályai általában a teljesebb - belépési, adminisztrációs, tűzvédelmi stb. - biztonsági szabályzat részeként értelmezhetők és értékelhetők. A biztonság természetesen csak ott érvényesülhet kellő hatásfokkal, ahol megfelelő képzésben, továbbképzésben részesítik mind a felhasználókat, mind az üzemeltetői állományt.

Érdemes megemlíteni, hogy a NATO-ban a biztonsági előírásokat az ún. Rendszerspecifikált Biztonsági Követelmények Szabályzata rögzíti, a biztonsági kérdésekkel minden szinten számítástechnikai biztonsági tisztek (SecO) foglalkoznak, a folyamatos továbbképzés szervezett tanfolyamok keretében általánosan biztosítva van. A Magyar Honvédségnél a biztonsági előírásokat a Számítástechnikai Védelmi Szabályzat, illetve az Informatikai Szabályzat tartalmazza. Felelősökként az adatgazdák, a hálózati adminisztrátorok, a rendszeradminisztrátorok, illetve a titokvédelmi felelősök vannak megjelölve, a továbbképzések konzultációs jelleggel valósulnak meg.

Biztonsági mentések

Az adatok integritásvédelmének fontos kritériuma a megfelelő biztonsági mentési rendszer üzemeltetése. Az informatikai rendszer meghibásodása esetén ez képes biztosítani a szolgáltatások bizonyos időn belüli újraindítását. A visszaállításhoz szükséges időtartam alapvetően meghatározza a leállás (down-time) idejét, a rendelkezésre állás minőségét. A jól menedzselt biztonsági mentések vészhelyzetben igen nagy költségeket takaríthatnak meg, jelentősen csökkenthetik a károk mértékét.

A biztonsági másolatokat biztonságos helyen kell tárolni (pl. acélkazetta), ezért a másolatot a legtöbb esetben cserélhető médiára kell készíteni. A média kiválasztásakor műszaki, pénzügyi és szervezési szempontok alapján kell dönteni, mint például a tárolási kapacitás, másolási sebesség, visszaállítási megbízhatóság, adattárolási élettartam, a média beszerzési költsége, üzemeltetési igények. A ma leggyakrabban használt tárolóeszközök: DAT, optikai lemez, 8 mm-es videokazetta, CD-ROM stb.

A mentési stratégiát is jól át kell gondolni a biztonságos és a célszerű mentés érdekében. A kiválasztott területről első alkalommal mindent le kell menteni, ezt a módot nevezik teljes mentésnek (full backup). A későbbiekben az adatoknak csak egy kis része változik nagyobb gyakorisággal.

Inkrementális mentés esetén először teljes mentést kell végezni, ezután már mindig csak az előző inkrementális mentéshez képesti változásokat mentjük le. Amikor egy esteleges visszaállítás munkaigénye már jóval nagyobb, mint egy teljes mentés, akkor ismét full backupot kell készíteni. Normális esetben az inkrementális mentés a leggyorsabb módszer, viszont a visszaállításnál láncban kell alkalmazni az összes inkrementális mentést, ami meglehetősen körülményes lehet.

A differenciális mentés esetén a kezdeti teljes mentéshez képesti változásokat mentjük el minden egyes alkalommal. Normál esetben ez folyamatosan növekvő mennyiséget jelent, így ha ennek mértéke eléri a teljes mentés méretét, célszerű ismét full backuptól indulni. A visszaállítás során a teljes mentés után csak az utolsó differenciális mentést kell visszamásolni, ami jelentősen egyszerűsíti a folyamatot, és csökkenti a törölt fájlok problémáját is.

A mentés tervezésénél figyelmet kell fordítani arra is, hogy nem lehet olyan nem megosztható fájlokat menteni, amelyeket valaki éppen használ. Ezért a mentések ideje alatt sok esetben ki kell zárni a felhasználókat, és nem szabad újakat beengedni, amíg tart a mentés. Modernebb rendszerek lehetővé teszik, hogy a meg nem nyitható állományokat többfajta algoritmus szerint a későbbiekben újra megpróbálják megnyitni, hátha addigra már lezárásra kerültek.

Az olyan helyeken, ahol a rövid idejű kiesések sem megengedettek (kórházak, repülésirányítás, folyamatos technológiák stb.), meg kell oldani, hogy az esetlegesen meghibásodott diszkeket működés közben is lehessen cserélni (hot swap). Ehhez természetesen olyan redundanciára van szükség a diszktömbökben, amely a hibás diszk kiesése esetén is biztosítja a zavartalan működést.

A hibatűrő diszktömbök technológiáit a RAID (Redundant Array of Independents Disks) kifejezés alatt szokás összefoglalni. Különböző RAID-osztályok léteznek, amelyek ismerete az alkalmazás szempontjából feltétlenül fontos.

Alapvetően két fő RAID-technikát lehet megkülönböztetni. A párhuzamos hozzáférésnél (Parallel Access Arrays) minden diszk részt vesz az összes I/O-műveletben, az adatátviteli sebesség megközelítőleg az egyes diszkek átvitelének összege. A kiszolgálási ráta nem javul, egyes estekben a szinkronizált rotációt is meg kell oldani. A független elérésű tömbök (Independent Access Arrays) az I/O-műveleteket elosztják a tömbök között. Ilyenkor a kiszolgálási ráta adódik össze, míg a burst adatátviteli sebesség alapvetően nem változik. Természetesen a hosszú távú adatátviteli átlagsebesség mindkét megoldásnál növekszik.

A modern adatbázis-kezelők által kínált megoldásnál az adatbázist partíciókra lehet osztani, és a partíciókról tetszőleges számú replika készíthető. A replikák földrajzilag távoli helyeken is létezhetnek, amennyiben megfelelő minőségű és sebességű WAN-kapcsolat létezik közöttük. Az operációs rendszer, illetve az adatbázis-kezelő transzparens módon gondoskodik a replikák szinkronizációjáról. Amennyiben egy szerver kiesik, a másik azonnal átveszi a kérések kiszolgálását, ha még létezik felé a kommunikációs csatorna.

 

A hálózat védelme

Ma már szinte valamennyi nagyobb hálózat kapcsolódik az internethez, igénybe veszi annak szolgáltatásait, vagy valamilyen szolgáltatást biztosít az internet felé. Az internet felől azonban fel kell készülni az esetleges támadásokra, amik lehetnek betörési kísérletek, de a belső hálózat tönkretételére irányuló próbálkozások is. A megfelelő védelmet a routerek, illetve a belső szerverek biztonsági szolgáltatásai önmagukban nem képesek kielégítően garantálni.

Néhány alapvető fogás, amelyekkel egy külső támadó próbálkozhat a hálózat biztonsági rendszerének feltörésére:

Tűzfalak

A vázolt és egyéb fenyegetések ellen biztosíthat védelmet egy megfelelően konfigurált tűzfal (firewall). Segítségével általában egy privát hálózatot védünk a külső hálózattal szemben, de megoldható egy bizalmas adatokat tároló belső részhálózat védelme is vele. A firewall alkalmazásával szabályozni lehet, hogy kik, mikor, milyen szolgáltatásokat, milyen protokollon keresztül érhetnek el, és az ehhez szükséges hitelesítésnek (authentikációnak) általában több formáját támogatják. A belső hálózat ezen az egy ponton keresztül csatlakozik a külvilághoz, így minden kapcsolat felügyelhető, naplózható.

A hálózatot a tűzfal segítségével nemcsak külső és belső hálózatra lehet osztani, hanem egy köztes hálózat, ún. demilitarizált zóna is kialakítható a segítségével, amin rendszerint a szervezethez kapcsolódó, de a külvilág számára szolgáltatásokat biztosító szerverek (WWW, FTP stb.) helyezkednek el. A firewall segítségével az interneten keresztül biztonságos csatornák alakíthatók ki a csomagok kódolásával (VPN - Virtual Private Network), amelyek segítségével olcsón, megbízható adatátvitelre nyílik lehetőség. A megbízhatónak minősített adatátvitelnek a NATO-előírások szerint természetesen sokkal szigorúbb kritériumoknak kell megfelelnie.

A firewall típusának kiválasztásánál a következő szempontokat kell figyelembe venni:

Ahhoz, hogy a kellő védelmet megvalósítsa, természetesen igen körültekintően kell beállítani, konfigurálni a firewallt. Helytelen beállítások esetén például jogosult felhasználók elől is letiltanak a munkájukhoz szükséges alkalmazásokat (például elektronikus levelezés), de ezek a problémák igen hamar kiderülnek, és könnyen javíthatók.

Nagyobb problémák forrása lehet a hamis biztonsági érzet, amikor a hosszú időn keresztüli megbízható működés “elaltatja” a rendszergazdákat, pedig maradhatnak olyan “kapuk” a külső és a belső hálózat között, amelyeket a későbbiekben egy rosszindulatú támadó felfedezhet és kihasználhat. Ezen biztonsági lyukakra a normális hálózathasználat közben nem derül fény, hiszen ezek nem tiltanak le semmiféle szolgáltatást, hanem olyanokat engedélyeznek, amelyek használatára nincs szükség, és nem biztonságosak, vagy a szükséges szolgáltatások nem megfelelő beállításából erednek.

A hálózat biztonsági beállításainak tesztelése speciális (gyakran a hackerek és a crackerek által is használt) programok alkalmazásával lehetséges, ezek fő típusai:

A hálózatszervezés biztonsági szempontjairól erősen szakmai nyelven elmondottakat oldva, zárógondolatként a témával történő foglalkozás szükségességét élő példákra hivatkozva hangsúlyozzuk: a közelmúltban hajtottak végre többszöri eredményes támadást az egyik magyarországi piacvezető számítástechnikai cég ellen, ahol pedig a szükséges szakértelem és anyagi tőke is rendelkezésre állt a komplex védelem megvalósítására. Mindez nem bizonyult elégségesnek, mint kiderült, az egyik cracker több mint egy éve feltörte a cég szerverét, és az onnan származó bizalmas adatok kereskedelmével jelentős anyagi haszonra tett szert.

Amerikai és francia mamutcégek szolgáltatásai órákon keresztül nem voltak igénybe vehetők, mivel nagy mennyiségű HTTP requesttel árasztották el a szervereket, amelyeket azok képtelenek voltak kiszolgálni. A támadás komoly anyagi kárt és presztízsveszteséget okozott a cégeknek. A támadás alapötlete végtelenül egyszerű, az interneten minden megtalálható a megvalósításához, az FBI mégsem zárja ki a lehetőségét annak sem, hogy az események hátterében valamelyik külföldi állam állt.

Természetesen a bemutatott eljárások alkalmazása sem nyújt teljes körű védelmet az illetéktelen behatolásokkal szemben, a védekezés eredményességét azonban mindenképpen növeli. Feltétlenül tárgyalni szükséges azokat az eljárásokat is, amelyek a felhasználók azonosítását, a rendszerhez való ellenőrzött hozzáférést végzik, valamint a különböző rejtjelző módszereket, amelyek együttesen teszik teljessé a számítógépes védelmet. A szerző szándéka szerint ezeket a módszereket a folyóirat következő száma mutatja be.

S ha úgy látjuk, hogy már mindenre gondoltunk, jusson eszünkbe egy idézet a crackerek Bibliájából:

“...ha minden más kísérleted kudarcba fulladt, még mindig felkeresheted a vezető titkárát, és rászedheted vagy megvesztegetheted. A titkár biztosan könnyen hozzáfér sok hasznos információhoz, és gyakran nincs rendesen megfizetve. Soha ne becsüld le az alkalmazottak által okozható problémákat!”


FELHASZNÁLT IRODALOM