[ Pobierz całość w formacie PDF ]
.Jeœli jednak w sieci VPN pracuje tylko kilkuset pracowników z tej samej firmy,mo¿na œmia³o zignorowaæ szum wokó³ IPSec, PKI i certyfikatów.Wszyscy dostawcy produktów dla sieci VPN kieruj¹ siê w stronê certyfikatów,poniewa¿ potrzeby w zakresie uwierzytelniania u¿ytkowników nie maj¹ koñca.Trendy w systemach bezpiecznego przesy³ania komunikatów, ochrony zdrowia, us³ugzawodowych, bankowoœci i handlu elektronicznego wymagaj¹ sprawdzeniato¿samoœci.Najlepsze dzisiaj techniki uwierzytelniania i kontroli dostêpuwykorzystuj¹ systemy TACAC+ i RADIUS.TACAC+ jest wbudowany w routery Cisco iserwery dostêpowe ró¿nych producentów, a serwery dostêpowe z systemem RADIUS s¹popularne wœród us³ugodawców internetowych.Chocia¿ technologie wykorzystuj¹cehas³a sprawdzaj¹ siê w znanej i sta³ej populacji u¿ytkowników, zarz¹dzaniehas³ami w przypadku u¿ytkowników z wielu firm, organizacji i osób prywatnychstaje siê nieporêczne, a uwierzytelnianie – niepewne.Alternatyw¹ jestposiadanie pojedynczej formy identyfikatora do wszystkich zastosowañ wydanegoprzez agencjê zaufania publicznego.Najlepszym takim rozwi¹zaniem jest technologia zwana infrastruktur¹ kluczapublicznego (PKI), system publicznych i prywatnych kluczy szyfruj¹cych, któregokoñcowym produktem jest certyfikat lub identyfikator cyfrowy.Kiedy u¿ytkownikma poprawny certyfikat cyfrowy wydany przez uznany oœrodek certyfikacji(certificate authority), organizacje mog¹ zaufaæ temu oœrodkowi i przyznaæu¿ytkownikowi specjalne uprawnienia.Zaszyfrowany certyfikat mo¿e przekazywaæinformacjeo to¿samoœci czy uprawnieniach i nie mo¿e byæ powielany.Wykorzystuj¹cinfrastrukturê PKI ka¿dy komputer mo¿e tak zaszyfrowaæ informacje, ¿e bêdzie jemóg³ odszyfrowaæ tylko adresat.Informacje mog¹ szyfrowaæ i deszyfrowaæ zarównoposiadacze kluczy publicznych, jak i prywatnych.Jeœli na przyk³ad posiadaczklucza publicznego wysy³a wiadomoœæ, odczytaæ j¹ mog¹ tylko odbiorcy, którzymaj¹ ten klucz publiczny.Klucza publicznego mo¿na równie¿ u¿yæ do wys³aniawiadomoœci dla posiadacza klucza prywatnego.Oznacza to, ¿e nale¿y uwa¿aæ, komuprzekazuje siê swój klucz publiczny.Metodê wi¹zania konkretnego u¿ytkownika zpublicznym kluczem szyfruj¹cym w certyfikacie cyfrowym opisuje standard X.509.Na oœrodkach certyfikacji spoczywa ogromna odpowiedzialnoœæ.Oprócz dok³adnejidentyfikacji u¿ytkownika i bezpiecznego przekazania mu certyfikatu – czêstoprzez kuriera lub kontakt osobisty – równie wa¿na jest mo¿liwoœæ szybkiegouniewa¿nienia certyfikatu.Certyfikaty mog¹ mieæ wbudowan¹ datê wa¿noœci, któr¹œledzi oœrodek certyfikacji.G³Ã³wne oœrodki certyfikacji, w tym VeriSign,Entrust, Netscape i ostatecznie Microsoft, musz¹ dysponowaæ mo¿liwoœciamisprawdzania uniewa¿nieñ.Obejmuj¹ one publikowan¹ bazê danych zwan¹ list¹ uniewa¿nieñ certyfikatów(Certification Revocation List) oraz protokó³ statusu certyfikacji (CertificateStatus Protocol).Wa¿ne jest wspólne zarz¹dzanie systemem certyfikacji.Ró¿nedzia³y przedsiêbiorstw musz¹ mieæ okreœlone prawa.Na przyk³ad dzia³ kadr musiebyæw stanie natychmiast uniewa¿niæ certyfikat.O ile firma mo¿e byæ sama dla siebie oœrodkiem certyfikacji, rozs¹dnie jestskorzystaæ z zewnêtrznego oœrodka.Co ciekawe – Lotus Notes by³ jedn¹ zpierwszych aplikacji, która wydawa³a w³asne certyfikaty cyfrowe.W³asnerozwi¹zanie systemu certyfikacji o wielu funkcjach zarz¹dzania certyfikatami maShiva.Certyfikaty Shivy s¹ mniej uniwersalne i mniej zobowi¹zuj¹ce ni¿ systemw pe³ni zgodny ze standardem X.509, ale to dobry system do wdro¿enia na ma³¹skalê lub dla programu pilota¿owego.Wszyscy zachwycaj¹ siê szyfrowaniem.Jednak szyfrowanie wymaga sporo mocyobliczeniowej.Ca³¹ sztuka polega na tym, aby dobieraæ techniki szyfrowaniaodpowiednio do zagro¿eñ.Drobny detalista mo¿e przesy³aæ informacje bezszyfrowania lub u¿yæ algorytmu RC4.Zastosowanie opracowanego na potrzeby Rz¹duFederalnego USA algorytmu Digital Encryption Standard (DES) podnosi nak³ady naodszyfrowanie wiadomoœci do poziomu miliona dolarów.Instytucje finansowe mog¹natomiast u¿ywaæ algorytmu triple-DES, aby eksponencjalnie podnieœæ kosztyz³amania szyfru.Jednak stosowanie tej techniki wymaga odpowiedniego sprzêtu,na przyk³ad takiego, jaki stosuje siê w gotowych produktach dla sieci VPN.Jeszcze raz nale¿y podkreœliæ koniecznoœæ dostosowania zabezpieczeñ dozagro¿eñ
[ Pobierz całość w formacie PDF ]