Titkosság Belépés a rendszerbe



Hasonló dokumentumok
Tipográfiai alapok 13. Az adat- és térképtár kialakítása, biztonságos mûködtetése

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

3 A hálózati kamera beállítása LAN hálózaton keresztül

Rendszerkezelési útmutató

BarAck.Net. Internetes csomagkezel. Felhasználói kézikönyv V 1.0. (2011. július 20.)

Hálózati ismeretek. Az együttműködés szükségessége:

Az internet az egész világot behálózó számítógép-hálózat.

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

WIN-TAX programrendszer hálózatban

TELEPÍTÉSI ÉS FELHASZNÁLÓI ÚTMUTATÓ

Bejelentkezés az egyetemi hálózatba és a számítógépre

Számítógépes munkakörnyezet II. Szoftver

API tervezése mobil környezetbe. gyakorlat

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Oktatási cloud használata

HÁLÓZATBIZTONSÁG III. rész

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

Információ és kommunikáció

BaBér bérügyviteli rendszer telepítési segédlete év

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

1. A Windows Vista munkakörnyezete 1

BaBér. Bérügyviteli rendszer. Telepítési segédlet 2014.

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

Hálózati operációs rendszerek II. OES biztonsági rendszere

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Hálózatos beállítás. A Novitax ügyviteli programrendszerek hálózatos beállítása a következők alapján történhet:

AirPrint útmutató. 0 verzió HUN

További részletes tájékoztatásért lásd: System Administration Guide (Rendszeradminisztrátori útmutató).

Hálózati operációs rendszerek II.

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Telenor Magyarország MS Office 365 telepítési útmutató

Hálózatos adatbázis-kapcsolódási problémák és azok javítása

AirPrint útmutató. 0 verzió HUN

Fábián Zoltán Hálózatok elmélet

Az autorizáció részletes leírása

Elektronikus levelek. Az informatikai biztonság alapjai II.

WS-Pro WPX38 MD+ PROGRAMOZÓI KÓDOK ÖSSZESÍTÉSE

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009


Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

Ez a Használati útmutató az alábbi modellekre vonatkozik:

Novell és Windows7 bejelentkezési jelszavak módosítása

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön

ELTE, IK, Információs Rendszerek Tanszék

1.2. NFS kliens telepítése és beállítása

Számítógép hálózatok gyakorlat

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Köszönetnyilvánítás... xv Bevezetés az otthoni hálózatok használatába... xvii. A könyv jellegzetességei és jelölései... xxi Segítségkérés...

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

A d m i n i s z t r á c i ó s f e l a d a t o k a I n t e g r á l t K ö n y v t á r i R e n d s z e r b e n

Ez a felhasználói útmutató a következő modellekre vonatkozik:

HÁLÓZATI HASZNÁLATI ÚTMUTATÓ

Budapest Főváros Kormányhivatala. Földmérési, Távérzékelési és Földhivatali Főosztály. Általános Szerződési Feltételek.

WIN-TAX programrendszer frissítése

FTP SZERVER - Használati útmutató

TvNetTel Internet Kapcsolat Beállítása

AirPrint útmutató. Ez a dokumentáció a tintasugaras modellekre vonatkozik. 0 verzió HUN

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Digitális aláíró program telepítése az ERA rendszeren

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

Számítógép kezelői - használói SZABÁLYZAT

FELHASZNÁLÓI DOKUMENTÁCIÓ ÜZEMBEHELYEZÉSI KÉZIKÖNYV

ALKALMAZÁSOK ISMERTETÉSE

Adatkezelési nyilatkozat

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

Windows hálózati adminisztráció

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Dr. Sipos Marianna ZMNE BJKMK

HIK-CONNECT szolgáltatás beállítása

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

Szkriptnyelvek. 1. UNIX shell

Algoritmus terv 3. Fejezet: Folyamatok meghatározása

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

COMET webalkalmazás fejlesztés. Tóth Ádám Jasmin Media Group

Google Cloud Print útmutató

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

OE-NIK 2010/11 ősz OE-NIK ősz

Internetkonfigurációs követelmények. A számítógép konfigurálása. Beállítások Windows XP alatt

Telepítési Kézikönyv

A KASPERSKY SECURITY CENTER

Internet ROUTER. Motiváció

Felhasználói kézikönyv. Verzió: 1.01

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése

DATR változások Szolgalmi jogok

Cisco Catalyst 3500XL switch segédlet

SZÁMÍTÓGÉP HÁLÓZATOK BEADANDÓ ESSZÉ. A Windows névfeloldási szolgáltatásai

Az ActiveX beállítása

AirPrint útmutató. A Használati útmutató a következő modellekre vonatkozik: MFC-J6520DW/J6720DW/J6920DW. 0 verzió HUN

Hálózati alapismeretek

EDUROAM WI-FI beállítása

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

Belépés a GroupWise levelező rendszerbe az Internet felől

Thermo1 Graph. Felhasználói segédlet

KnowledgeTree dokumentumkezelő rendszer

Átírás:

Biztonság, elérés és titkosság Mindenkor igény volt az adatok biztonságának és hozzáférésének ellenorzésére, úgyszintén a titkosság szavatolására. Életbevágó nemcsak a tényleges adatokhoz, hanem a metaadatokhoz való hozzáférés ellenorzése is. A Brit Számítógépes Társaságnak az adatbázis biztonsággal foglalkozó közös munkacsoportja részletes jelentést készített 1990-ben a biztonság, a hozzáférés és a titkosság egész területérol. Ebben meghatároztak számos e téren használatos fogalmat A belso ellenorzési rendszer az egész ellenorzési rendszerre utal, pénzügyi és egyéb jellegu ellenorzésre, amelyet a vezetés hozott létre azért, hogy a vállalat muködését szabályszeruen és eredményesen vigyék végbe, biztosítsák az igazodást a vezetés irányelveihez, megorizzék a vagyonkészleteket és amennyire lehetséges, biztosítsák a nyilvántartások teljességét és pontosságát. Egy belso ellenorzési rendszer egyedi komponensei "ellenorzés(i módok)" néven ismeretesek. Biztonság A biztonság a fent jellemzett ellenorzés egyik módja, s azokat az eljárásokat fedi, amelyek a kockázatok korlátozását szolgálják egy szervezetben a minosítettség, az integritás, a rendelkezésre állás és az auditálás (független vizsgálat) területein. A minosítettség az adatok, információk és más értékes elemek elzárását jelenti a fel nem hatalmazott személyek elol. Kiterjed azokra az eljárásokra, amelyeket az l985. évi Adatvédelmi Törvény ír elo (Nagy-Britanniában), s amelyekre "Titkosság" kifejezéssel utalnak. Az integritás az adatok és az adatokból származtatott információk teljességét, helyességét, pontosságát és idoszeruségét jelenti. Az adatgazdálkodásnak az adatok integritását minoségi kérdésként kell kezelnie. Az adatok helyességének megkövetelt szintjét célként kell kituzni: az adatelem vagy egyedszintu elérendo értékek a hasznosak, pl. a téves elemek száma 100 bevitt elemre egy adott idoszakban. Az adathibák forrásait azonosítani kell és azok az alábbiak lehetnek: manuális bevitel, helytelen rendszer-feldolgozás, nem megfelelo érvényesítési gyakorlat, rossz adatcsere-eljárások a rendszerek között, adat-meghatározási hibák (pl. közösen elfogadott meghatározások hiánya). Miután lefektették a minoségi célokat és meghatározták a hibaforrásokat, az adatgazdálkodásnak a tulajdonosokkal együtt kell muködnie, hogy kialakítsák a minoségi követelmények betartásához szükséges stratégiát. A rendelkezésre állás foglalkozik azokkal az eljárásokkal, amelyek biztosítják, hogy a szolgáltatások és az adatok a felhatalmazott személyek rendelkezésére álljanak akkor, amikor azokat eloreláthatólag igénylik. A rendelke- 1

zésre állás egyensúlyozó hatás az adatok biztonsága és titkossága között. Az adat-tulajdonosoknak meg kell fontolniuk, hogy az adatelérést mennyire kell korlátozni, mivel nagy a kísértés, hogy túlzottan is korlátozóak legyenek, míg az adatgazdálkodás hangsúlyozott elve, hogy az adatok mindazok rendelkezésére álljanak az adott szervezetben, akiknek azokra szükségük van. A titkosság és a rendelkezésre állás közötti helyes egyensúlyt csupán az adatgazdálkodás összehangoló szerepével lehet megvalósítani. Az auditálás (független vizsgálat) úgy határozható meg, mint egy tevékenység vizsgálata és véleménynyilvánítás a tevékenység megvalósításának minoségérol olyan személyek által, akik függetlenek a tevékenység megvalósításáért és felügyeletéért felelos személyzettol. A tevékenységek rutinszeru ellenorzése és nyomon követése az egyéni kötelezettségek szokásos menetében nem auditálás, hanem ellenorzés. Az adatgazdálkodással kapcsolatos auditálást az adatgazdálkodási eljárásokra, valamint az adatok minoségére és terjedelmére alkalmazzák. Miután a technológia közelebb került a felhasználókhoz, jelentosen megnott a nem engedélyezett hozzáférések lehetosége. Az információrendszerek méretének csökkentésére jelenleg irányuló törekvések (down-sizing) azt jelentik, hogy azok a kérdések, amelyekre a belso ellenorzési rendszer kiterjed, szorosabb irányítást és kezelést igényelnek. Elérés Az adatok elérését háromféle jogosultság engedélyezésével lehet ellenorzés alatt tartani: olvasási jog, vagyis az a lehetoség, hogy belenézzenek az adatokba és/vagy kinyomtathassák azokat, olvasási és írási jog, vagyis a fentiek mellett még az adatok módosításának joga, adatok létrehozásának és törlésének joga, vagyis fenti a két jogon túl az a lehetoség, hogy új rekordokat hozzanak létre, és elofordulásokat töröljenek. Egyre inkább szoftver szintu ellenintézkedéseket alkalmaznak a hozzáférési korlátozások kikényszerítésére. Valamennyi adatbázis csomag tartalmaz ilyen jellegu lehetoségeket. E mellett a CASE-eszközök, az alkalmazásgenerátorok, lekérdezo nyelvek és a jelentés-generáló eszközök tartalmaznak a hozzáférés ellenorzését szolgáló lehetoségeket, hogy csupán néhányat említsünk meg. Következésképpen lényeges, hogy kialakítsák azt az eljárásmódot, amely pontosítja, milyen eszközöket alkalmaznak a felhasználói hozzáférés ellenorzésére. Célszeru egy kockázat-elemzési és kezelési módszerhez folyamodni, amilyen pl. a CRAMM (Kockázatelemzési és Kezelési Módszertan), hogy segítsenek meghatározni a kockázatokat és megválasztani a megfelelo ellenintézkedéseket. Egyes esetekben nem elegendo csupán az adatokhoz való hozzáférést korlátozni, mivel az egyedek létének ismerete is korlátozott. E problémának két lehetséges megoldása van: korlátozzák ezen egyedek adat-meghatározásaihoz való hozzáférést az adatszótárban, 2

több adatszótárra történo logikai szétválasztáshoz folyamodnak. A második alternatíva a kielégítobb megoldás, miután a bizalmas elemeket tartalmazó adatszótár valószínuleg eleve a felhatalmazott használók szukebb körére korlátozott. Titkosság A titkosság a hozzáférés ellensúlya. Míg az adatgazdálkodás egyik fo célja az, hogy az adatokat hozzáférhetové tegye mindazok számára, akik használni akarják azokat, a hozzáférhetoséget titkossági megfontolásokból korlátozni kell (különösen a személyi adatok tekintetében). A titkosság két megnyilvánulása merül fel: törvényes kötelezettségek, nem engedélyezett hozzáférés. A személyes adatok védelmérol szóló Adatvédelmi Törvény rendelkezései vonatkoznak az adatgyujtés alanyaként megjeleno személy azon jogaira, hogy személyes adataihoz arra fel nem hatalmazott személyek ne férjenek hozzá. Miután egyre több adat válik hozzáférhetové hálózatok igénybevételével és olyan új eljárások révén, mint a dokumentumok képi feldolgozása, a titkosságra vonatkozó további törvények közeli példái a Levéltári Törvény és az Európai Unió irányelve az adatbázis szerzoi jogáról. Az adattulajdonosok törvényes kötelezettségeiken túl is ellenorzésük alatt akarják tartani az adatok titkosságára vonatkozó szabályokat. A tulajdonosoknak együtt kell muködniük az adatgazdálkodással, ha bizonyosak akarnak lenni afelol, hogy adataikhoz nem lehet hozzáférni, s következésképpen a titkosságot megtörni olyan rendszerek vagy rendszerszoftverek révén, például lekérdezo nyelvekkel, amelyeknek nincs oka a hozzáférésre. Az adatszótárt, mint a metaadatok központi tárát, léte alkalmas hellyé teszi az Adatvédelmi Törvényben eloírt sajátos kötelezettségek rögzítésére egyes adatok vonatkozásában. A hozzáférési jogokat, a titkosságra gondolva, különösen ellenorizni kell. A hozzáférési jogok megvalósítása A különbözo operációsrendszerek, hálózatkezelo szoftverek illetve adatbázis-kezelok részletesen foglalkoznak a biztonsági kérdések megvalósításával. A kérdés megoldását több szinten valósítják meg: belépési jogok könyvtár/állomány hozzáférési jogok adatbázis használati jogok. Belépés a rendszerbe Bármilyen fejlettebb operációs rendszert használunk, mindegyik biztonsági gátat alkalmaz. Ennek elso jele, hogy a belépéskor azonosítania kell magát a felhasználónak. A rendszer belépo nevet (Login, Username) kér és jelszót (Password). Ennek azonosítása révén már meghatározott, hogy az újonnan 3

beléptetett felhasználónak milyen jogosultságai vannak. Ezt a rendszerek egy szigorúan védett belso adatbázisban tárolják, melynek beállítására, módosítására, kezelésére csak a rendszergazdának (Administrator, Sysop, Supervisor) van jogosultsága. Az, hogy kinek milyen jogot adjon ki, nem az o hatásköre, hanem a szervezet vezetojének. A rendszergazda csak végrehajtója a feladatnak! A belépo név általában nem változtatható meg, legfeljebb új felhasználó veheto fel a rendszerbe. A jelszót az esetek többségében az elso belépéskor a felhasználónak meg kell változtatni. Ezzel érheto el, hogy ezt követoen már csak o tudja használni a saját jogait. Kezd kialakulni már a hazai gyakorlatban, hogy a bejelentkezés során a környéken dolgozók udvariasan elforduljanak, ezzel is biztosítva a belépés titkosságát. Nagyon fontos, hogy a munka hosszabb megszakítása, a rendszer magára hagyása esetén a bejelentkezett felhasználó függessze fel a folyamatot (LogOff, LogOut). Ezzel lehet elkerülni, hogy távollétében valaki az o jogosultságait használva férjen a rendszerhez. Milyen jogok kötodhetnek a bejelentkezés után a felhasználóhoz? A UNIX rendszer alapvetoen háromféle jogot ismer: R (Read) W (Write) X (execut) olvasási jog; írási jog; végrehajtás (futási) jog. Ez kiadható folder-re (~könyvtár) és állományra is. A jogok mellett fontos, ki az adott joghordozó tulajdonosa. Létezik még ugyanis egy 4. lehetoség is, a S (Set-uid), a felhasználói azonosító állítása. Ezzel lehetoséget kap a felhasználó, hogy a tulajdonos jogaival használja az állományt. A Novell Netware rendszerben nyolcféle jog állítható be három szinten: könyvtárakra vonatkozó kezeloi jogok (trustee rights), könyvtárakra vonatkozó elérési jogok (directory rights), az elozo ketto eredojeként létrejövo effektív jogok (effective rights). Az elso két esetben beállítható jogok: R (Read) W (Write) O (Open) C (Create) D (Delete) P (Parental) M (Modify) csak olvasási lehetoség, olvasási és írási jog, megnyitási jog, új állomány létrehozási joga, törlési jog, kezeloi jogok átadási joga, az attribútumok megváltoztatási joga. Az egyedileg kialakított jogokat a védelmi egyenloség elvén (security equvalences) hozzárendelhetjük más felhasználókhoz vagy csoportokhoz is. 4

Az effektív jogok a könyvtár elérési jogok és kezeloi jogok összevetésébol alakulnak ki. Mindkét jogcsoport kifejezheto egy-egy 8 elemu vektorként [RWOCDPM]. Természetes konkrét esetekben az egyes elemek lehetnek üresek is (pl. [R OC ]). A két vektor elemei között és (and) kapcsolatot kell kialakítani, s abból származik az effektív jog. A Windows NT rendszerben hasonlóképpen lehet személyekhez, könyvtárakhoz és állományokhoz jogokat kötni (egyes esetekben drive-okhoz is). A személyi jogok beállítása: 13.1 ábra A személy kartonon megadhatjuk a felhasználó nevét és jelszavát, kitilthatjuk a rendszerbol (Account disabled), besorolhatjuk egy csoportba (13.2. ábra), megadhatjuk a belépési ido intervallumot (13.3. ábra), kijelölhetjük, hogy mely munkaállomásokról jelentkezhet be a rendszerbe (13.4. ábra), és beállíthatjuk, meddig érvényesek a jogai (account). 13.2. ábra 5

13.3. ábra 13.4. ábra 13.5. ábra 6

A könyvtárakhoz és állományokhoz való hozzáférést külön állíthatjuk be (13.5. ábra). Az R,W,X,D jelentése már ismert. A P (Change Permissions) jelentése a jogok átadási lehetosége, az O (take Ownership) pedig a tulajdonjog átadásának engedélyezése. Külso felhasználó a hálózatról csak akkor érheti el valamely drive vagy könyvtár tartalmát, ha azt elozoleg felkínáltuk megosztott felhasználásra (Sharing). Itt is megadható, hogy ki és milyen joggal éri el az állományainkat. Külön kategória az adatbázisok elérése! Az ugyanis, hogy beléptünk egy rendszerbe, még nem jelenti az ott található adatbázisok szabad felhasználhatóságát. Ezt az adatbázis-kezelok (DBMS Database Management System) külön is szabályozhatják, illetve szabályozzák is. Itt is létezik egy beléptetési procedúra, ahol szintén felhasználói névvel és jelszóval kell azonosítani magunkat. A két név és jelszó nem feltétlenül egyezik egymással, sot célszeru eltéro neveket használni. Egy ilyen bejelentkezési példa a földhivatali TAKAROS rendszerbol a 13.6. ábrákon látható. Szintén onnan idézünk egy felhasználói jogokat tartalmazó listát a 13.7. ábrán. 13.6/a ábra 13.6/b. ábra Végezetül a hálózati biztonság kérdésérol röviden, bár ezzel már az Információs rendszerek tárgy is foglalkozott. Ma már kezd általánossá válni a helyi hálózatok bekapcsolása az országos, vagy akár a nemzetközi hálózatokba (Internet). Itt már fokozottabban kell foglalkozni a biztonság kérdéseivel. 7

13.7. ábra 1.1. Adatvédelem a földhivatalokban (Az MSZ 7772-1 alapján) Az adatvédelem az adatbázishoz vagy a belole származó adatállományhoz való hozzáférés kötöttségeit, szabadságát és illetékességi viszonyait megfogalmazó rendelkezéseknek és szabályoknak, valamint a tényleges hozzáférések regisztrált adatainak összessége. A DAT két adatvédelmi kategóriát használ. Ezek: muveleti engedélyek és használatkorlátozás. Érvényes az adatbázis minden elemére, de az objektumok, objektumcsoportok, objektumosztályok és a DAT attribútumai között külön adatmezoben nem kell megadni. Mindig a muveletek vagy a használatkorlátozás külön táblázatban regisztrált adatainak áttekintésével vizsgálható meg (lásd a 13.1. és 13.2. táblázatot). 8

Muveleti engedélyek az adatbázis kezelésében 13.1. táblázat Engedélyezett muvelet típusa Olvasás Digitális output készítése Analóg output készítése Adatmódosítás Adatok törlés Kiegészíto megkötések Soron következo muveletek kizárva. Soron következo muveletek kizárva. Olvasás engedélyezve. Soron következo muveletek kizárva. Olvasás engedélyezve. Adatok törlése kizárva. Elozo muveletek engedélyezve. Különösen szigorú engedélyezési kategória. Elozo muveletek engedélyezve Muveletek regisztrálandó adatai (egy muvelet egy rekord) 1. Muvelet sorszáma 2. Engedélyezett muvelet típusa 3. A muveletet végzo személy neve 4. A muvelet megkezdésének idopontja 5. A muvelet befejezésének idopontja 6. A muvelet tárgya (kóddal jelölve): "1" kód: objektumok és/vagy "2" kód: adatminoségi adatok és táblázatok és/vagy "3" kód: metaadatok táblázatai és/vagy Használatkorlátozás output adatállomány készítésekor 13.2. táblázat Használatkorláto zás jellege Nyílt Bizalmas A használatkorlátozás részletei (adatai) Alapértelmezés. Használatkorlátozás nincs, hozzá korlátozó adatok nem tartoznak. 1. Bizalmasság foka, félesége [szöveges]. 2. A bizalmasak vagy a felhasználásból kizártak körének fels orolása (intézmények vagy személyek neve) [szöveges lista]. 3. A bizalmasan kezelendo objektumok azonosítóinak vagy objektumcsoportok kódjainak fels orolása. "4" kód: segédtáblázatok 7. A muvelet tárgyának azonosító leírása: az érintett terület határa töréspontjainak koordinátái és/vagy az érintett táblázatok neveinek felsorolása Megjegyzés: "Olvasás" muvelettípus esetén a 6. és 7. adatmezo NULL. A tényleges használat regisztrálandó adatai (egy használat egy rekord) 2. Muvelet sorszáma a 15. táblázatból. 3. A használatkorlátozás jellege. Ha a jelleg "Bizalmas", akkor annak foka, félesége. 4. A használt objektumcsoportok kódja. 5. A felhasználó szervezet neve és postacíme. 6. A felhasználó szervezet felelos személyének neve. 7. A felhasználási cél leírása. 8. Utólagosan regisztrálandók a következo adatok: a) A megvalósult felhasználás leírása; b) A felhasználó által alkalmazott megszorítások, valamint felfedezett korlátok és hiányosságok leírása. 9

A tuzfal Amíg egy szervezet számítógépes hálózata önállóan, a külvilágtól elzártan muködik, addig nem fordítanak különösebb gondot a biztonsági kérdésekre. Általában megelégednek azzal, hogy kiosztják a hozzáférési jogokat. Lényegesen változik a helyzet akkor, amikor kilépünk a nagyvilág felé, kinyitjuk hálózatunkat. Ilyen eset lehet például az Internet-re való bekapcsolódás (vagy a földhivatalok kialakulóban levo TAKARNET rendszere). Ekkor már elvileg bárki kísérletet tehet adataink elérésére, rosszabb esetben azok tönkretételével. De ugyanilyen gond lehet, hogy a dolgozók nem arra használják a külso kapcsolatokat, mint ami annak rendeltetése, hanem a munkától független Web-böngészéssel. Ezt is jó lenne korlátok közé szorítani! Az Internet kapcsolat automatikusan megköveteli a TCP/IP protokoll használatát, s ez az egyik veszélyforrás. Mi a megoldás ilyenkor? Az egyik lehetséges eszköz az ún. dedikált router (bejegyzett útválasztó). Ehhez természetesen hivatalosan regisztráltatni kell az eszközt, ami által kapunk egy IP címtartományt. Ez természetesen megváltoztathatja az eddig alkalmazott IP címeinket, illetve szükségessé teszi a TCP/IP protokoll telepítését és konfigurálását minden munkaállomáson és szerveren. Ha ez sikeresen megtörtént, akkor lehetové vált a kijárás a külso hálózatok irányába. A muködést szabályozhatjuk némileg a router programozásával. Mindez azonban még nem oldja meg a biztonság kérdését, szükség van még egy ún. tuzfal (firewall) szoftverre is. A tuzfal tulajdonképpen beékelodik az Internet és a belso hálózat közé, és képes minden egyes üzenetcsomagot ellenorizni, elemezni, szurni. A Proxy szerver Hogyan muködik az Internet használata egy Web böngészo (browser) felol nézve? A Web böngészoprogram és a Web szerverek között az ún. HTTP (HyperText Transfer Protocol) segítségével történik a kommunikáció. A HTTP egy alkalmazásszintu protokoll, amely a TCP/IP protokoll felett muködik. Tartozik hozzá néhány elore definiált utasítás is, többek között a GET és a POST. A kereso rendszer egy GET utasítással küldi el a kéréseket, a megszólított szerver pedig a POST segítségével küldi vissza a válaszokat. Nézzük meg ezt a gyakorlatban! Szeretnénk a Foiskola Web szerverérol egy tájékoztató oldalt letölteni. A saját böngészonkben beírjuk a következo sort: http://www.cslm.hu/geoinfo/dlg. A böngészo erre megkeresi a www.cslm.hu címu szerver IP címét, és elküld oda egy GET utasítást, melynek paramétere geoinfo/dlg (GET geoinfo/dlg). Ha az üzenet célba ért, ott a szerver értelmezi azt, és válaszol egy POST utasítással, melynek paramétereként elküld a kért Web oldal tartalmát. Ha most beépítünk a folyamatba egy Proxy szervert, akkor a folyamat egy kissé megváltozik. A böngészo ekkor a beírt sort nem változtatja meg, hanem egy GET utasításba helyezve küldi el a Proxy számára. Innen kezdve a Proxy (nevéhez méltóan, mint egy megbízott) átveszi a böngészo funkcióját, és úgy muködik, mint azt fent leírtuk. A beérkezo dokumentumot visz- 10

szajuttatja ahhoz a böngészohöz, ahonnan a megbízást kapta. A Proxy tehát a Web szerver felol nézve egy közönséges böngészonek látszik, a böngészo felol azonban ez egy közbenso szakadási pont. Ez a muködést nem befolyásolja alaphelyzetben, azonban lehetové tesz egy beavatkozást. A Proxy újabb feladata még az is, hogy kezelje az átmeneti gyorsítótárat (cache) is. Egy-egy objektum letöltése elott a Proxy megvizsgálja, hogy az nem található-e már meg a cache területen. Ha megtalálja ott, akkor onnan szolgálja ki a klienst. A passzív gyorsítótárak minden objektumot tárolnak, amelyet a felhasználó letöltött, s addig orzi, amíg le nem jár az érvényessége. Az aktív cache ezzel szemben vizsgálja azt is, hogy egy-egy objektumot milyen gyakorisággal töltenek le, és legközelebb magától is letölti, amint kevésbé terhelt a vonal (pl. éjjel). Persze a Proxy-nak azt is eloírhatjuk, hogy melyek azok a Web helyek, melyek tartalmát ne helyezze az átmeneti tárolóba, mert azok állandóan frissülnek (pl. hírcsatornák). A cache területen azt is korlátozhatjuk, hogy mekkora lehet a legnagyobb tárolt objektum mérete. A Proxy beállításai között további lehetoség még az is, hogy eloírhatjuk azok körét, akik jogosultak kilépésre, az Internet használatára. Szintén megadható azon szerverek köre (konkrét IP címek vagy tartományok), melyekhez nem engedélyezzük a hozzáférést. Mitol lesz a Proxy tuzfal? Az eddig elmondottakból még nem következik a ketto azonossága, de nem is azonosak. A tuzfal ugyanis nem egy megbízottként eljáró szoftver, hanem egy programozható szuro az Internet és a kliensek között. A kommunikációt nem változtatja meg, az utasítások azonosak, a válaszok is hasonlóképpen érkeznek, a tuzfal csak elemzi (analizálja) a TCP/IP csomagokat. Megfelelo algoritmusok segítségével igyekszik kiszurni azokat a csomagokat, melyek esetleg rosszindulatú támadásokat tartalmaznak. Ezek az algoritmusok képesek eldönteni egy beérkezo csomagról, hogy az továbbítható-e a belso hálózat felé, vagy sem. Hogyan muködik a tuzfal? A tuzfalak kétféle eljárást használnak a belso hálózat és az Internet közötti átvitel felügyeletére: a Proxy szervert és a csomagszurést. A proxy szerverrel a tuzfal elsoként megfigyeli, hogy a kérdéses kapcsolat a belso hálózat és a külso gép között engedélyezett-e. Ha igen, akkor a tuzfal, közvetítoként muködve, létrehozza a szükséges láncszemeket a két gép között. Közvetítoként a tuzfal képes ellenorizni a kommunikációt és megakadályoz minden jogosulatlan cselekedetet. Tuzfal nélkül, egy tipikus TCP/IP eljárás létrehozza az úgynevezett TCP csatlakozást a szerverrel. Egy TCP csatlakozás hasonló egy telefonhíváshoz, amelyet az egyik fél kezdeményez, és aztán mindkét fél (tehát mind a hívó, mind a hívott) beszélhet ezen a vonalon keresztül. Például, az Ön Web böngészoje létrehoz egy TCP csatlakozást egy Web szerverrel. A szerver arra használja ezt a kapcsolatot, hogy Ön megkaphassa azokat az információkat, melyeket a Web lapon lát. 11

A proxy service, közvetítoként muködve elvárásokat támaszt a tuzfalon belüli emberekre. Sok proxy tuzfal, úgy ismert, mint felhasználói szintu tuzfal (applicationlevel proxy firewalls), megköveteli, hogy minden a tuzfalon belül futó program rendelkezzen speciális - a tuzfalhoz igazodó konfigurációval. Léteznek más proxy tuzfalak, ezek (transparent proxy firewalls) megengedik a rendszergazdának (network administrator), hogy használják a hálózati konfiguráció trükkjeit. Csomagszurés A TCP/IP kapcsolatok pici részekbol vagy csomagokból állnak, ezeket passzírozza át az összeköttetésen keresztül. Kicsi - postással elküldött - csomagokhoz hasonlóan, mindegyiknek van egy címzése, mely tartalmazza a végcélt. A csomagszuro ezt az információt használja fel, hogy megállapítsa áthaladhat-e, vagy meg kell állítani a tuzfalnál. Más proxy-k nem nézik, hogy mi van belül a csomagban. A csomagszurok általában a hálózat azon pontján találhatók, ahol a belso hálózat Internet találkozás létrejön. Minden csomagot vagy továbbít, vagy megállít a tuzfal, aszerint, hogy az adminisztrátor által eloírt logikus szabályok mit tartalmaznak. Sok szervezet a csomagszuro és proxy tuzfal ötvözését használja, így próbálva magasabb szintu biztonságot elérni, mint a csomagszuro egyedüli használatával. 12

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés