Az én házam az én váram

Május végén sorozatban törtek be, vagy kíséreltek meg betörést Amerikában hivatalos világháló-állomásokon, köztük a szenátusnál, a központi banknál. Az FBI www.fbi.gov honlapját átmenetileg be is zárták a támadások miatt. Május elején ismeretlenek teljesen megsemmisítették egy vegetárius világháló-állomás tartalmát. Ezek a jobbik esetek, amikor tudni lehet, mi történt. A rosszabb a kémkedés, amikor nem hozzátesznek, nem megváltoztatják a tartalmat, hanem a nyilvános állomáson túllépve lopnak el bizalmas adatokat, adatállományokat. A világ legfejlettebb gazdaságaiban a húzó ágazatnak számító számítástechnikai és távközlési ipar arra törekszik, hogy a cégek közötti információcsere minél előbb teljesen egy globális adathálózaton belül történjen. Az átállás, a kapcsolatok elektronikus útra terelése azonban nem úgy történik, ahogy például valahol a telefonközpontot lecserélik, és attól kezdve először nem a központos veszi fel, hanem az automata. Apró lépésekben araszolgat előre a világ a globális hálózat felé, s egy ilyen fejlődési folyamatban a biztonság megteremtése szükségszerűen csak követő lehet. Valahol fény derül egy biztonsági lyukra, befoltozzák, jön a következő, befoltozzák és így tovább. Ebben a folyamatban egyre nagyobb jelentőségre tesznek szert azok a megoldások, amelyek nem konkrét esetekre, hanem viselkedésre, valamint a belső és a külső folyamatok, az információ gyűjtésének és kiadásának elválasztására koncentrálnak.

A globális adathálózat kialakulása a dolgok jelenlegi állása szerint szorsan kötődik az internethez. Az interneten kialakult információkezelés, a TCP/IP, a HTML, XML adatállomány-formátum, a böngésző mint kezelői felület általánossá válásával együtt az internet mellett megjelent egy másik fogalom, az intranet. Vagyis egy szervezet belső információáramlásának, a levelezésnek, a dokumentumok hozzáférhetővé tételének internetes eszközökkel, de a világtól elzártan történő megvalósítása. Nem is volna ezzel semmi baj, veszélytelenül lehetne működtetni, ha a globalizáció, a külső, vállalatközi kapcsolatok internetre terelődése nem teremtene közvetlen kapcsolatot az intranet és az internet között. De teremt, hiszen a munkaállomások külső elektronikus levelezése egy szakaszon a belső hálózaton folyik, s ahol a drótlevelek átlépnek az internetről az intranetbe, a rosszindulatú programok, üzenetek is átjuthatnak.

Ide, erre a pontra érdemes tehát egy kapust vagy őrt állítani azzal a feladattal, hogy ellenőrizze a forgalmat. Ez az őr a védőfal, amely egy lefektetett eljárási rend szerint sokféle eszközzel korlátozza, ellenőrzi a belső hálózatba való bejutást az internetről.

Változatos lehetőségeket, szolgáltatásokat tartalmaznak a piacon kapható védőfalprogramok. Működésüket a helyben kialakított, egyedi eljárási rend határozza meg, annak alapján működnek a felkínált szolgáltatások, modulok. Érdemes tehát még a védőfalprogram beszerzése előtt végiggondolni, hogy a vállalati intranetben mely veszélyek ellen érdemes védekezni, és hol válik érdektelenné valamely máshol fontos szempont, hiszen ha tudjuk, mit várunk a programtól és mit nem, az növeli a beruházás gazdaságosságát.

A lehetséges veszélyek oldaláról szokták kialakítani a védelmet, kialakítani az informatikai védelmi politikát, ami már nemcsak az internetes kapcsolatra vonatkozik, hanem általában az adatokhoz, alkalmazásokhoz való hozzáférésre is. A kettő összefügg, hiszen a hálózati erőforrásokat, programokat, szolgáltatásokat emberek használják. Az egyiknek ehhez, a másiknak ahhoz van jogosultsága. Ezt a jogosultságot a kialakított rend szerint valamilyen módon ellenőrzi a belső rendszer, de akkor is vizsgálni kell, amikor valaki otthonról vagy kiküldetésben lévén kívülről használja a rendszert. A védőfal akkor kapcsolódik bele ebbe a feladatba, amikor a külső bejelentkezés az interneten át történik. Miután ez általában olcsóbb, mint a nyilvános telefonhálózaton át, távolsági beszélgetéssel, telefonos-modemes kapcsolattal, egyre általánosabbá válik. A védőfallal ellátott rendszer esetében tehát a távolról bejelentkező otthoni munkaállomásán vagy hordozható számítógépén lévő program képes arra, hogy az interneten keresztül bejelentkezve egyértelműen azonosítsa magát a védőfalrendszernek, és ugyanakkor arra is, hogy megvizsgálja, akivel kapcsolatba került, az valóban a cég számítógépes rendszere-e. Ez az azonosítás napjainkban az internetes kereskedelemnek is kritikus eleme, megoldására számos programot dolgoztak már ki. Amikor a központi rendszer és a távolról dolgozni kívánó programja kölcsönösen meggyőződtek arról, hogy a másik az, akinek mondja magát, megkezdődhet az adatcsere. Ez csak akkor biztonságos, ha rejtjelezve történik. A védőfal tehát gondoskodik a védett adatátvitelről, s ily módon a két fél között a nyilvános interneten belül egy zárt kapcsolat alakul ki. Ezért hívják a kommunikációnak ezt a módját virtuális privát hálózatnak, VPN-nek.

Egy átlagos vállalatnál azonban az internetes forgalom túlnyomó része nem a távoli bejelentkezéshez, a virtuális privát hálózathoz kötődik, hanem a világháló-böngészéshez és a drótlevelezéshez. A védőfal alapvető része tehát e két funkció biztonságának a megteremtésére szolgál. Amikor egy belső hálózatban TCP/IP adatáramlás van, a munkaállomásoknak, kiszolgálóknak kioszt a helyi hálózat IP-címeket. Ezek a címek bár formailag teljesen olyanok, mint az internetes IP-címek, a külső világban már nem használhatók, nincsenek bejegyezve. A szervezetnek megvan a saját internetes IP-címe, a kiküldött levélre már ez kerül feladóként. Ugyanakkor a rendszernek tudnia kell, hogy ha egy levére válasz érkezik, azt melyik belső IP-címre kell továbbítani. A legkényelmesebb megoldás erre, ha a feladó részbe beíródik a belső IP-cím. A legkényelesebb és a legveszélyesebb, hiszen ha valaki az interneten a levelet elfogva megtudja belőle a feladó valódi belső IP-címét, akkor ügyes programot írva ezzel visszaélhet, magát belső munkatársnak álcázva hozzá tud férni bizalmas adatokhoz, esetleg letörölhet anyagokat. Ezért építenek a védőfalba IP-cím-átalakítót, ami kívülről teljesen láthatatlanná teszi a belső címeket. Mindez egyébként nem érinti azt a címet, amit a drótleveleinken használni szoktunk, például a szerkesztoseg @telecomputer.hu-t, hiszen az csak egy azonosító, nem maga az IP-cím.

Ami a böngészést illeti, ott a védőfal kétirányú feladatot láthat el. Egyrészt elzárhatja a belső hálózatot a világháló egyes részeitől, csak a megadott URL-címekre korlátozhatja a kereséseket. Másrészt a cég saját, nyilvános világháló-adatbázisát teheti hozzáférhetetlenné bizonyos bejelentkezők számára. A nyilvánosságnak szánt információ, a saját elektronikus publikálás esetében a legjobb megoldás az, ha a nyilvános világháló-állomás az intraneten kívül van, azzal nincs közvetlen, kívülről felderíthető és befolyásolható kapcsolata.

Veszélyes, rosszindulatú program, dokumentum az engedélyezett URL-címekről is érkezhet. Lehet benne vírus, de lehet ártalmas ActiveX-komponens, kis Java programocska is. A vírusvédelem külön cégek feladata, ezek termékeit a védőfal általában külső programként fogadja be, kezeli, futtatja. A komponensek ellen azonban saját, "mobile code security solution"-nak nevezett mobilkód-ellenőrző megoldást kezdtek el kínálni a védőfalfejlesztők. Ilyen például a Finjan cég által szállított SurfinShield Corporate, amely egy teljes hálózatot képes szemmel tartani és figyelni a munkaállomáson induló komponenst, vajon mit csinál. Ha az olyan műveletet indít, olyan utasítást ad ki, amely a rendszerben tiltva van, azonnal fülön csípi, megállítja, és eltünteti. Védelmet nyújtanak a SurfinShield Corporate és a hasonló modulok a Microsoft Office programok a kezelő tudta nélküli elindítása ellen is, mert azokból lehetséges a háttérben adatállományt törölni vagy egyéb stiklit elkövetni.

A különféle védőfalrendszerek, a CheckPoint FireWall-1, a NetGuard, a BorderManager és a többi fejlesztői arra törekszenek, hogy minél egyszerűbbé, világhálóssá tegyék a paraméterezést, az események kezelését, és modulárissá magukat a rendszereket. Erre minden védekezésnél szükség van, ebbe az irányba haladnak az összetett hálózati vírusvédelmet kínáló szállítók is. A Network Associates pedig már az utolsó lépést is megtette. Miután ez a cég szállítja a Gauntlet védőfalat és a VirusScan (McAffee) vírusölőt is, elkészítették a közös biztonsági felügyeleti eseménykezelő és adminisztrátori, beállító diszpécserprogramot, az Active Securityt, és az egészet egy csomagban kínálják. A jövő a felhasználó számára egységes környezetben megjelenő, a biztonsági politika kialakítását megkönnyítő, a bekövetkező események kezelését egységesítő komplex programoké.

Hasonlít az internet a világra. Egy nagy közös, nyilvános tér, egy közeg amiben az emberek közlekedni tudnak egymással, de amin keresztül, amire nem vigyáznak, azt elveszíthetik, elvehetik tőlük a bizalmas információikat. Falakkal vesszük hát körül magunkat, falakkal, amin rést - ajtót, városkaput nyitva fogadjuk a többieket, és megnézzük, kit engedünk beljebb: a mi házunk a mi várunk.