Ami egyszer kikerül az Internetre, az már nem titok. Ha egy helyi hálózatot hozzáférhetővé tesznek az Internetről, akkor ami ott elérhető, az már nem titok. De ezen lehet segíteni. Rejtjelezéssel, határvédelemmel, a belső hálózat és a külvilág közötti zsilippel, tűzfallal. Számos megoldás létezik ezekre a problémákra a piacon, s most a Novell is előállt a magáéval. A Border Manager szolgáltatásai széles területet ölelnek fel, a szokásos Internet-közvetítéstől az Interneten küldözgetett üzenetekkel megoldott virtuális privát hálózatig. A Novell szerint előny, hogy egységes keretben, s nem külön-külön megvásárolt eszközökkel oldható meg a védelem. Érdemes a szolgáltatásait sorra venni, mert jó keresztmetszetét adják azoknak a kérdéseknek, amelyekkel manapság egy helyi hálózatért felelős rendszergazdának meg kell birkóznia, ha fejébe veszi, hogy munkatársai számára hozzáférhetővé teszi az Internetet.
Mindenekelőtt gondoskodni kell az adatok és a hálózat biztonságáról. A Border Managerrel megoldható az Interneten keresztül belépők ellenőrzése, valamint a belső hálózaton dolgozók tallózásának figyelése az Interneten. Az Internetről bejelentkezők figyelése és a belépés engedélyhez kötése különösen fontos ott, ahol a munkatársak számára akarják lehetővé tenni a távoli bejelentkezést. Például ha GroupWise együttműködést támogató, üzenetkezelő rendszer üzemel a helyi hálózaton, akkor ez elengedhetetlen. A kívülről bejelentkezők ellenőrzése, a megfelelő jogosultságok biztosítása megoldható egy osztott címtárral. Ha a Border Managert IntranetWare környezetben telepítették, akkor természetesen a közös osztott címtárat fogja erre a célra felhasználni.
Ami a kifelé irányuló üzeneteket, Internet-hozzáféréseket illeti, a védelem alapvető eszköze a címcsere. A felhasználók belső azonosítója, címe semmiképpen nem kerülhet nyilvánosságra, tehát mielőtt továbbítja a Border Manager a levelet, elküldi az üzenetet az Internet-szolgáltató központjába, kicseréli az azonosítót. A külső kapcsolat fenntartására elegendő egyetlen IP-cím az egész szervezet számára. Ezen a kapun - az átalakításon - minden üzenetnek át kell mennie, s ez lehetőség az adatcsomagszűrésre, a kapcsolatteremtés, a kimenő HTTP-állományok figyelésére.
A legegyszerűbb ellenőrzést a jól ismert sokprotokollos útválasztó, a NetWare MultiProtocol Router végzi. Valamivel több védelmet jelent a vonali szintű IP és IPX átjáró, s végül a tartalmi, alkalmazási szintű feladatokat a HTTP proxy vállalja magára.
A MultiProtocol Routertől kérhető a küldő és a célállomás ellenőrzése az IP-cím és a belső munkahelyi végpont azonosítója alapján, valamint az adatcsomag felépítésének vizsgálata. A beállított adatokat a szoftver minden egyes adatcsomagon ellenőrzi. Ha például csak egészen korlátozott külső kapcsolatot akarunk engedélyezni, előírhatjuk, hogy csak a megadott IP-címekre küldött üzenetet engedje át.
A finomabb beállítások, egyedibb szabályozás eszköze a vonali átjáró. Az IPX protokoll, előírás szerint felépített adatcsomagokkal dolgozó IntranetWare, NetWare hálózat között és az IP-s Internet között mindenképpen szükség van egy protokollátalakítóra, ez az IPX/IP átjáró. Amikor a belső hálózaton világháló-tallózóval dolgozó felhasználó egy keresést indít valamely világháló-adatbázis URL-címére, a hívás az IPX/IP átjáróhoz fut be. A program ellenőrzi, vajon a felhasználónak van-e engedélye a kívánt kapcsolatra, s ha igen, akkor létrehozza azt. Az átjáró paraméterei nagyon általános szabályokkal adhatók meg, például megszabható, hogy minden nap 12 és 1 óra között lehet csak felkeresni egy bizonyos világháló-állomást. Az átjárónak van egy speciális változata olyan esetekre, amikor a belső hálózat is IP-adatcsomagokat továbbít. Ez az IP/IP átjáró.
Tovább nehezíthető a felhasználó munkája, ha még a HTTP proxyt is beiktatjuk. Ez ugyanis már tartalom alapján, az osztott címtárral konzultálva szűri az üzenetváltást. Témakörökre osztott világhálóadatállomás-listában válogathat az a rendszergazda, aki - a munkaidő kihasználtságát féltve - bizonyos anyagoktól el kívánja tiltani a dolgozókat. Amerikában a Microsystems figyelői folyamatosan felújítják az érzékeny adatbázisok listáját, ami automatikusan áttöltődik a felhasználó Border Managerébe, ha előfizet rá.
A HTTP proxy és az átjáró tevékenységének naplózása lehetővé teszi az utólagos ellenőrzést. Ha például kiszivárog valami, utólag vizsgálhatók az üzenetek, s kis szerencsével megállapítható az internetes kiszivárogtató személye.
Másodlagos funkciója a HTTP proxynak az átmeneti tárolás. Tárolja az intranetről érkező dokumentumokat, és ismételt kérésükkor sem lépve az Internetre küldi azokat. Az adatállomány azonban két használata közben változhat, s előfordulhat - például egy tőzsdei jelentésnél, devizaárfolyam-táblánál -, hogy mindig az utolsó állapotra van szükség. A tartalom naprakésszé tételét a HTTP proxy frissítő szolgáltatásával oldhatjuk meg. Az átmeneti tárolás kifelé is működtethető. A külvilágnak szóló HTTP dokumentumok közül a gyakrabban keresettek kerülnek a HTTP proxyra. Ennek a haszna egyrészt az adatvédelemben, másrészt a belső hálózat kisebb adatforgalmában jelentkezik.
Mindaddig nyilvános egy üzenet az Interneten, amíg azt nyíltan küldik. Amint sifrírozzuk a leveleinket - például a Pretty Good Privacyval -, azokat már csak az tudja elolvasni, akinek megvan a megfejtéséhez szükséges kulcs. Amikor azonban kódolt üzenetet kapunk az Interneten, és azt dekódoljuk, majd elolvassuk, nem lehetünk biztosak benne, hogy valóban az küldte, akinek a nevében érkezett. A rejtjelezés tehát kevés, a küldőt is azonosítani kell. A két feladat közös megoldására szolgál a - Novell Border Managerben is alkalmazott - titkos és nyilvános kulcsos kombinált megoldás. A titkos vagy privát kulcs szolgál az üzenet megfejtésére és a feladó azonosítására, a nyilvános kulcs pedig egyrészt a sifrírozásra, másrészt a feladó kilétének ellenőrzésére. A privát kulcsnak egyetlenegy példánya létezik annál, akihez tartozik, a nyilvános pedig mindenkinek meg lehet. Az üzenetet mindig a címzett nyilvános kulcsával kódolják, és csak az ő privát kulcsával lehet desifrírozni. A feladó azonosítására viszont az egyetlen példányban, nála meglévő titkos kulcs szolgál, s az így előállított digitális aláírás valódiságáról a címzett a nála lévő nyilvános kulcsot használva győződhet meg. Ennek a megoldásnak több változata ismert, az első az RSA volt. A Novell BorderManagerbe ennek Diffie-Hellman-változatát építették bele. Az algoritmus nagyon megbízható, de viszonylag lassú, hálózatban az adatcsomagok röptében történő kódolására és megfejtésére alkalmatlan. Ezért a Novell BorderManager maguknak az üzenetek kódolására egy másik, gyorsabb de bizonytalanabb - könnyebben megfejthető - algoritmust használ, a Diffie-Hellman-eljárás csak az ahhoz tartozó egyedi, egy alkalomra szóló kulcs továbbítására szolgál. Az adatcsomagok kódolása az egykulcsos RC2 eljárással történik, ebben a kulcs hossza az érvényes amerikai törvényeknek megfelelően Amerikában 128, a máshol, tehát például a Magyarországon forgalomba kerülő változatban 40 bites lehet.
Vargha Márton