TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
V poslednej časti tohto článku sa budem venovať alternatívnym službám, ktoré sú napr. FTP, POP3 a iné...
POP, IMAP
Väčšina poštových klientov ani POP, alebo IMAP serverov šifrovanie nepodporuje. Riešením sú servery APOP a KPOP, ktoré fungujú na trochu odlišnom princípe, než klasický POP server. Princíp komunikácie spočíva v tom, že server pošle klientovi požiadavku, klient ju spracuje, ale tak, že za pomoci hesla vygeneruje odpoveď, ktorú odošle spať serveru. K prenosu hesla cez sieť teda vôbec nedochádza. Nasadenie týchto serverov je bohužiaľ veľmi malé. Ak však máte vplyv a záujem na bezpečnosť dát, nebude pre vás problém daný systém presadiť. To sme však riešili iba otázku autorizácie servera a nie samotného obsahu elektronickej pošty. Ak si chcete byť istí, že vašu poštu nikto nepovolaný čítať nebude, skúste siahnuť po kryptografickom nástroji GPG alebo PGP.
FTP
V dnešnej dobe už existuje bezpečná náhrada za FTP a tou je napríklad SCP. SCP využíva šifrovaný protokol SSH, a tým pádom je oveľa bezpečnejší než klasický FTP. Implementácia SCP ako náhrada FTP so sebou však nesie určité riziká. Ak o tom uvažujete v prostredí lokálnej siete, ktorú poznáte a ovládate, nie je to žiadny problém. Ak však uvažujete o náhrade FTP servera, ktorý je verejne prístupný, nasadenie zo sebou nesie určité riziká, hlavne v oblasti klientov, ktorých nepoznáte a nepoznáte ani ich požiadavky. Je vhodné podotknúť, že náhrada FTP serverov je vhodná tam, kde sú k dispozícii citlivé dáta, než na serveroch, ktoré neponúkajú nič zaujímavého či tajného a majú vysoký bandwidth.
HTTP
Protokol HTTP má svoju bezpečnú náhradu v protokole HTTPS. Ten využíva pre šifrovanie dát SSL a celá komunikácia je tam omnoho bezpečnejšia. Implementácia SSL je celkom jednoduchá a výrazne zlepší a skvalitní vaše webové sídlo.
„Bezpečné protokoly“
Teraz sa pozrieme na protokoly, ktoré využívajú pre prenos dát šifrovanie a ďalšie bezpečnostné metódy a môžeme ich teda v úvodzovkách označiť za bezpečné. Pôjde hlavne o SSH, SSL a Kerberos. Popíšeme si, na akom princípe fungujú, kde sa s nimi môžeme stretnúť, na čo si je potrebné pri ich používaní dávať pozor. Začneme protokolom SSH.
SSH
Secure Shell alias SSH je založený na princípe šifrovania verejným kľúčom. To znamená, že pracuje s dvojicou kľúčov – súkromným a verejným. V praxi sa najčastejšie stretneme s voľnou implementáciou SSH protokolu OpenSSH, vyvíjanou v rámci projektu OpenBSD. OpenSSH je dnes štandardom ku komunikácii medzi unixovými systémami. Nájdete ju v každej inštalácii linuxových distribúcií, v xBSD implementáciách a ďalších UNIX-like systémoch. Vo Windows, a to ani vo verzii 2000 či XP nie je žiadny šifrovací protokol štandardne implementovaný a implicitným nástrojom pre vzdialenú správu je klasický telnet, so všetkými svojimi výhodami i nevýhodami.
Inštalácia a práca s SSH je veľmi jednoduchá. Najprv musíme nainštalovať serverovú časť. Záleží na tom, ako program nainštalujete. Ak napríklad využívate Linux RedHat, ponúknu sa vám zo štandardnej inštalácie na inštalovanie súbory openssh-client, openssh-server a openssh. Ak využívate inú distribúciu, či inštalujete priamo zo zdrojového kódu, pravdepodobne si stiahnete iba jeden balíček a ten sa o všetko ostatné postará. Po nainštalovaní máte ako klient k dispozícii tieto tri nástroje: slogin, scp a ssh. Viac o jednotlivých nástrojoch sa dozviete z ich manuálových stránok.
Ďalšia vec, ktorú by mal každý užívateľ počítača urobiť, je vygenerovanie svojho privátneho a verejného kľúča. To je možné urobiť pomocou príkazu ssh-keygen. Globálny konfiguračný súbor pre klientov sa nachádza v typickom adresári /etc/ssh/ssh_config a konfiguračný súbor pre server v súbore /etc/ssh/sshd_config. Doporučujem poriadne si prečítať dokumentáciu predtým, než začnete ssh používať, a dať si pozor hlavne na zmeny kľúčov, ktoré často svedčia o niečom neštandardnom. Ak sa vám zobrazí hláška o zmene kľúča, neklikajte hneď, že ho chcete zmeniť, ale radšej si skontrolujete systém fyzicky, ak k nemu máte prístup, prípadne kontaktujte svojho systémového administrátora a na prípadnú zmenu ho upozornite.
SSL
SSL (Secure Socket Layer) je podobne ako SSH založený na kryptografii s použitím verejných kľúčov. SSL môžete rovnako dobre implementovať do webového servera Apache, rovnako i do servera IIS. Ak využívate webový server Apache z nejakej štandardnej distribúcie, bude mať pravdepodobne štandardne zabudovanú SSL priamo v kóde programu. Stačí ju potom iba aktivovať v konfiguračnom súbore httpd.conf a nechať takto zmenený konfiguračný súbor serverom načítať. Väčšina direktív je veľmi dobre okomentovaná a vysvetlená. Ak inštalujete Apache zo zdrojového kódu, budete musieť pomocou direktív pridať podporu SSL. Viac vám napovie príkaz ./configure-help. Po nainštalovaní budete musieť ešte vygenerovať certifikáty pre váš server. Tieto certifikáty musia byť podpísané certifikačnou autoritou. Ak nechcete platiť za podpis certifikátu, ktorý ste si vytvorili iba pre vlastné testovacie účely, môžete si ho podpísať sami. Počítajte ale s tým, že vás prehliadač bude pri každom otvorení informovať, že i ide certifikáciu podpísanú vami.
Rovnako ako u SSH, sa i tu sa môžete stať obeťou útoku. Aby bol útočník v napadnutí systému úspešný, bude potrebovať vašu spoluprácu. Ak sa vám niekedy zobrazí varovná hláška, že bol certifikát zmenený, okamžite vec preskúmajte a bezhlavo neklikajte na OK.
KERBEROS
Rovnako ako u SSH, sa i tu sa môžete stať obeťou útoku. Aby bol útočník v napadnutí systému úspešný, bude potrebovať vašu spoluprácu. Ak sa vám niekedy zobrazí varovná hláška, že bol certifikát zmenený, okamžite vec preskúmajte a bezhlavo neklikajte na OK.
Začiatky systému Kerberos siahajú až do roku 1983, kedy sa na MIT (Massachussets Institute of Technology) v spolupráci s firmami IBM a Digital začalo pracovať na projekte Athena, ktorého cieľom bolo zapojenie počítačov do siete a ich následné použitie pre potreby výuky. Vývojári systému narazili behom vývoja na veľa problémov, hlavne s bezpečnosťou dát a autentizáciou. V súčastnej dobe Kerberos, ktorý pracuje ako sieťový autentifikačný systém je k dispozícii v dvoch hlavných verziách a to je vo verzii 4 a 5 (presnejšie IV a V). Najprv si popíšeme na akom princípe Kerberos pracuje a potom sa pozrieme na rozdiel medzi verziami.
Autentifikácia je v systéme Kerberos založená na znalosti hesiel. Tieto heslá sú uložené na serveri Kerberos a kryptované štandardným algoritmom DES, takže môžu byť v prípade potreby dešifrované. Z toho logicky vyplýva, že server musí byť nielen fyzicky, ale i programovo dokonale zabezpečený. Na serveri by nemali bežať žiadne služby, a taktiež by mal byť umiestnený na mieste, kde k nemu nebudú mať prístup nepovolané osoby. Ako teda vyzerá následná autentizácia v prípade, že používate server Kerberos? Pre užívateľa sa absolútne nič nemení. Zobrazí sa im štandardný prihlasovací dialóg typu login: a password: Dôležité je, ako pracuje Kerberos vnútorne a čo z toho pre užívateľa vyplýva. Tu sa vyskytujú i rozdiely medzi verziami IV a V. Pozrieme sa na oba varianty.
KERBEROS IV
Po zadaní mena (login) odošle stanica serveru Kerberos správu s vašim užívateľským menom a informáciu o tom, že sa chcete prihlásiť do systému. Server, keďže pozná vaše heslo a meno, overí vaše užívateľské meno vo svojej databáze, a ak je v poriadku, odošle vám tiket, kde je zašifrované vaše heslo, ktoré taktiež pozná. Keď tento tiket dorazí do vášho systému, požiada vás systém o zadanie hesla. Ak zadáte správne heslo, dešifruje ho a prihlási vás do systém. V momente, keď vám sprístupní systém, zlikviduje informácie o vašom hesle a ďalej pracuje iba so zaslaným tiketom.
KERBEROS V
V tejto verzii servera Kerberos čaká stanice až do doby, keď zadáte svoje heslo. Až potom kontaktuje server a odošle mu správu s vašim užívateľským menom a aktuálnym časom, ktorý je šifrovaný vašim heslom. Server po obdržaní tejto správy zistí vo svojej databáze vaše meno a heslo a pokúsi sa dešifrovať časový údaj. Ak všetko prebehne v poriadku, pošle vám server tiket zašifrovaný vašim heslom. Z informácií teda v praxi vyplýva nasledujúce:
Implementácia Kerbera do existujúcej sieti
Implementácia systému Kerberos nie je jednoduchou záležitosťou. Je potrebné si rozmyslieť všetky potreby siete, myslieť i na najmenšie detaily. Nie pre každého je použitie systému Kerberos vhodným riešením. Samotná inštalácia však zložitá nie je.
Všeobecne je možné konštatovať, že používanie autentizačných mechanizmov nie je vec jednoduchá. Ak to s bezpečnosťou myslíte vážne, musíte začať uvažovať o nahradení štandardných mechanizmov ich bezpečnejšími alternatívami. Prechod nie je nijak jednoduchý a vyžaduje mnoho zmien. Určite sa vám však vyplatí a nakoniec bude slúžiť k spokojnosti správcov i užívateľov.
