Az Internet biztonságáról, speciális biztonsági kérdéseiről

Az Internet központi menedzsment nélküli heterogén hálózat. Elvben bárki vagy bármely szervezet csatlakozhat hozzá. Nincs az egész Internetre nézve kötelező elv, felhasználási és biztonsági politika. Az Internet és számos még lazább, szabadabb szervezetű hálózat (UUCP, Fidonet stb.) között átjárók vannak. Az Internethez szervezetek, cégek, magánszemélyek csatlakoznak, nagy számú szabadon elérhető dokumentumot, programot, adatot helyeznek el rajta.

Azonban az Internet nem menedzseletlen, valamint korlátozott központi adminisztráció működik: menedzselt hálózatok, menedzselt elérési pontok, egymással együttműködő menedzsmentek, szervezetek vannak. Egyes részein többé-kevésbé szigorú felhasználási politika van érvényben, s vannak általánosan elfogadott normák, szokások.

Cégek csatlakozásánál a legelőször felmerülő kérdések egyike a biztonság. Azonban a nyilvánvaló előnyökkel szemben a biztonsági okokból való elzárkózásnak nemigen lehet realitása. Egyrészt lehet az Internet felett virtuális privát hálózatot, vagy az Internet elérést mint multiprotokoll hálózat részét biztosítani, ill. magánhálózaton az Internet elérést virtuális hálózatként biztosítani. A biztonság bár fontos, az aktuális és potenciális Internet forgalom igen kis része követelne nagyobb biztonságot.

Az Internet sajátos jelenség a számítógép-biztonság számára, azonban nem rendelkezik egyedi, máshol nem fellelhető problémákkal. A tipikus gondok:

  • nagy számú, egyfelhasználós PC csatlakozása;
  • növekvő számú kapcsolat;
  • gyenge védelemmel és laza menedzsment alatt működő szerverek;
  • az általánosan terjedő lehallgatás.

A problémák egy része ún. 'a végfelhasználó vessen magára, ha' jellegű, de az ilyenek jelenthetnek szélesebb körű veszélyt is. Pl. nem biztonságos node-ok 'r' láncolata (lásd az előző fejezetet), ellenőrizetlen szoftverek terjesztése. A problémák másik része a kialakulatlan üzleti tranzakció-mechanizmusokra vezethető vissza, bár itt nagyon gyors a fejlődés.

Egy sajátos gond - melynek jelentőségét messze eltúlozzák -, az ún. unreliable tranzakciók, azaz nem garantáltan eredményes, nem garantáltan nyugtázott, nem garantált idejű tranzakciók. A túlzás abban van, hogy az Internet alternatívák sem mindig teljesítik az igényeket sokkal jobban. Egy tőről fakadó probléma az elérhetőség garantálása: a garantált válaszidők, a sávszélesség, a rendelkezésre állás biztosítása (availability, denial of service - DoS).

Egy másik sajátosság, hogy az Internet forgalma monitorozható, nincs mód a packet header információk titkosítására. Így nyomon követhetők az adott helyen áthaladó hálózati csomagok: melyik host mely hosttal állt kapcsolatban? Más módon, de a levelezés is részben figyelhető: ki, mikor, kivel levelezett? Bár az üzenetek és csomagok tartalma titkosítható, jelentős információszivárgás van e tekintetben. Ez alapvetően zavarja a magán és az üzleti élet titkosságát, sérthetők személyes szabadságjogok és üzleti titkok (az előzőekre az angol nyelv a 'privacy' kifejezést alkalmazza, megfelelő magyar szó nem ismeretes). Megállapítható ill. valószínűsíthető, hogy pl. ki, milyen hálózati boltokkal lépett kapcsolatba, milyen hálózati magazinokat olvasott stb. Ma még e kérdésekre nincs gyakorlati megoldás (az Internet hálózati protokolljának, az IP jelen verziójának felváltása szükséges).

Mondják, hogy az Interneten nincs mód arra, hogy választ kapjunk levelünk megérkezésére. Ez így nem igaz, bár vannak korlátok. Ellenben más hálózaton esetleg arra sincs mód, hogy a potenciális címzettnek e-mail-t küldjünk - ugyanis az adott hálózaton nincs az illetőnek címe.

Az Interneten több igen gyenge pont van, ilyenek a névszervizek, a route-olás és a menedzsment, az utóbbi kettő technikailag túlmegy az átlag felhasználó érdeklődésén, de a névszervizeket nem hagyhatjuk szó nélkül. Az Internet két leghasználatosabb névszerviz szolgáltatása a Domain Name Service (DNS) és az X.500. Az X.500 meglehetősen erős biztonsági elvárásoknak is eleget tesz, de a DNS nem. Míg az X.500 nem kritikus szerviz az Interneten (más hálózaton gyakran az), addig a DNS igen. E füzetben nem foglalkozhatunk a DNS strukturális problematikájával. Míg a route-olás problémái elsősorban a szerverek elérhetetlenségében jelentkeznek a DNS-é nemcsak abban. A DNS-sel könnyen visszaélhet üzemeltetője: levelezésünket megfigyelheti, leveleinket elfoghatja, illetéktelen helyre átirányíthatja (bár ezt gyakorlatilag a levelezőrendszerek üzemeltetői is megtehetik, nagyipari méretben a DNS-t elkonfigurálva lehet a levelezést figyelni). A DNS egy jó példa arra, hogy az Interneten a titkosság (privacy) mennyire függ a rendszer- és hálózatmenedzserektől (ill. elvben e menedzserek tevékenységének ellenellenőrzés).

Az új Internet szabványok a biztonság minden terén kielégítővé teszik az Internetet - sajnos az implementációk még nem érhetők el a gyakorlatban. Új szabványok vannak az Internet alsó szintjének (az IP szintnek) biztonságossá tételére, s új ajánlások, javaslatok, részben szabványok a magasabb szintekre. Az Internet speciális biztonsági problematikája kevésbé érinti a felhasználókat, mint a hálózati menedzsereket és rendszergazdákat. A problémák elenyészően kis része fakad magából az Internet biztonsági gyengeségeiből, zömük a felhasználók tudatlanságából, elemi szinten elkövetett hanyagságaiból származik. A nem reális üzenettovábbítás nagy része menedzsmentbeli hiba.