Internet használat
a KFKI campus-on, jelszavak és
tanusítványok
Internethez kapcsolódás
Az Internet az egymással
összekötött, internet protokollt (IP)
használó hálózatok együttese. Az IP
végzi az adatok eljuttatását a küldőtől a
címzettig ezen a bonyolult, többszörösen
összefüggő hálózaton. (Az IP protokollt
természetesen használják zárt magán
és különcélú hálózatokon
is, amelyek nem kapcsolódnak az Internethez.) Mivel az IP nem
garantálja a hibamentességet, ezért a
hibamentességhez a TCP (Transmission Control) protokollt is kell
használni, innen a TCP/IP elnevezés.
A KFKI helyi hálózata is kapcsolódik az
Internethez. A felhasználók
munkaállomásukkal (asztali vagy laptop gép) többféle módon is
kapcsolódhatnak a KFKI helyi hálózatához.
Az alábbi első három és az ötödik esetben a
munkaállomásuk a KFKI helyi
hálózatának lesz tagja, ahhoz tartozó IP
címet kap. A negyedik esetben a munkaállomás egy
idegen hálózat tagja lesz, annak megfelelő IP
címet kap, ahonnan a KFKI helyi hálózatát
ugyanúgy éri el, mint bármelyik másik
hálózatot, amelyik az Internethez kapcsolódik:
- A KFKI telephelyen majdnem mindenütt
megtalálható Ethernet hálózathoz
csatlakozhatnak. Ez az egyes felhasználók
számára ingyenes, az Internet csatlakozás
költségének egy részét
átalánydíjasan térítik az
Intézetek, a nagyobb részét pedig az NIIF-nek
nyújtott állami támogatásból, azaz
az adózók pénzéből fedezik.
- Az otthoni gépekkel telefon vonalon
kapcsolódhatnak a telephely behívásokat
kiszolgáló berendezéséhez (Access server).
Ebben az esetben a felhasználónak a
telefonhívás díját kell kifizetnie, ami
függ a kapcsolat időtartamától.
- Az NIIF által fogadott 51-es
hívószámú telefon vonalon. Ennak az az
előnye, hogy Budapesten kívül több más
helyiségben is csökkentett helyi telefon díjat kell
fizetni, mert az NIIF Internet szolgáltatói
státuszt kapott.
- Lehet kapcsolódni az NIIF vagy valamelyik Internet
szolgáltató (ISP) internet hálózatán
keresztül is, telefon vagy ADSL vonalon, az ott
érvényes tarifa és kapcsolódási
mód szerint.
- Lehet kapcsolódni a KFKI hálózathoz
a telephelyen belülről rádióhálózaton
(WiFi, WLAN) keresztül is. Ebben az esetben ugyanúgy nincs
kapcsolódási díj, mint az Ethernet-es
csatlakozás esetén (1. eset.).
Amit a fentiekben a
költségekről, illetve az ingyenességről
írtunk, az így csak az akadémiai
felhasználókra vonatkozik.
Mivel a KFKI kampuszon néhány
szolgáltatás (védett weboldalak és
könyvtári szolgáltatások, online
folyóiratok stb.) használata a kfki.hu domain
névhez vagy intézeti domain-ekhez van kötve, a fenti
4.-ik lehetőséggel élő felhasználók ezekhez
nem férnek hozzá. Ezen segít a telephelyen
működtetett virtuális
magánhálózat (VPN: Virtual Private Network) szolgáltatás
használata, amikor egy "alagút" épül ki a
felhasználó gépe és a KFKI
hálózat között és a felhasználó ennek segítségével virtuálisan a KFKI kapmpusz tagja lesz. Csatlakozásuk azonban olyan, hogy a VPN szolgáltatáson keresztül nem kerülik ki a telephelyi tűzfalakat,
továbbra is azokon kívül lesznek. A VPN
használatához szükséges tudnivalók
megtalálhatók az alábbi URL-en: http://www.kfki.hu/cnc/vpn/docs/openvpn.html.
A rádióhálózat (WiFi, WLAN)
használata esetén a kfki.hu és rmki.kfki.hu
hálózathoz kapcsolódók az
autentikáció után a megfelelő
hálózat tüzfalán belül
kapcsolódnak, az mfa.kfki.hu hálózathoz
kapcsolódók a megfelelő tűzfalon kívül
lesznek.
A legyakrabban használt
Internetes szolgáltatások
az alábbiak:
- Terminál bejelentkezés valamely
géphez.
- File átvitel a munkaállomásunk
és egy távoli gép között.
- Web böngészés
- E-mail fogadása és küldése
Jelszavak és
veszélyeztetettségük
Mivel az Internet használatnál egyrészt nem
ingyenes erőforrásokat használunk, másrészt
információkhoz férünk hozzá, a
használatot valamilyen formában ellenőrizni és
szabályozni kell. Ez az ellenőrzés a file és web
szervereknél általában meglehetősen laza, vagy
gyakorlatilag hiányzik is (attól függően, hogy az
információ mennyire fontos, titkos, vagy unikális,
ingyenes vagy nem ingyenes), a terminál
bejelentkezésnél és az E-mail
lekérdezésekor minden esetben megtörténik az
ellenőrzés. A hálózatra csatlakozáskor
általában szintén jelszó
megadásával kell igazolnunk, hogy erre jogosultak
vagyunk.
Általában mindenkinek annyi felhasználói
azonosítója és hozzá tartozó
jelszava van, ahány különböző szervert
használ, és ahány hálózatba jogosult
belépni. Ha ugyanazon a gépen több szerver (Pl.
terminál hozzáférés, E-mail szerver, stb.)
is működik, ezek használatához
általában ugyanaz a felhasználói
azonosító és jelszó pár tartozik
(így a sunserven is). A KFKI telephelyi
hálózatához való csatlakozáskor a
fenti 1. esetben nincs külön vizsgálat, elég a
KFKI-ban érvényes IP cím és DNS
bejegyzés, a többi négy esetben azonban (így a VPN használata esetén is)
felhasználói azonosító/jelszó
megadása szükséges. Fontos, hogy ne
tévesszük össze pl. a KFKI telephelyi
hálózatba való belépésre
jogosító jelszót (Access server) a sunserv-en
működő E-mail szerverhez tartozó jelszóval, vagy a
KFKI telephelyi hálózatba beléptetőt pl. az
Axelero hálózati jelszóval. A VPN ill. a WiFI/WLAN
használathoz pedig további jelszó is
szükséges
Régebben a hozzáférést szinte
kivétel nélkül felhasználói
azonosítóval és jelszóval (userid/password)
ellenőrizték, amit nem titkosítottak a terminál
és a szerver közötti szakaszon. Ez
közvetlenül vagy bérelt vonalon kapcsolt
terminálok és gépek esetében
általában megfelően működött, az
ellopásuk bonyolult volt és lényegében
titkosszolgálati módszereket igényelt.
A hálózatokba kapcsolt gépeknél a helyzet
egészen más. Valamennyi helyi
hálózati technológia "broadcast" jellegű, minden
gép szinte a teljes kommunikációt, vagy
legalább is annak nagy részét "hallja". Igy volt
ez az Ethernetnél is, ahol a koaxiális kábelhez
kapcsolt gép mindent hallott. Ma egy kicsit jobb a helyzet a
sodrott érpáras kábelezésnél, de
ugyanahhoz a virtuális LAN-hoz tartozó gépek mind
hallják egymást ma is. A KábelTV-s internet
szolgáltatóknál a kommunikáció nagy
részét szintén hallja a többi gép is,
a rádiós hálózatoknál (Wi-FI, WLAN)
pedig minden forgalmat hallanak a gépek, ameddig a
távolság miatt nem csökken le a
térerősség. Ezért a jelszó
ellopásának megakadályozására a
jelszavakat titkosan kell(ene) továbbítani.
Titkosítási eljárások
A titkosítási eljárásoknál
van egy algoritmus, amit közzé is lehet tenni, és
van egy kulcs, ami az algoritmusban szerepel. A kulcs
ismeretében a dekódolás elvégezhető, kulcs
nélkül a dekódolás gyakorlatilag lehetetlen.
Kétféle kódolási eljárás van.
A szimmetrikus kulcsos titkosításnál
mindkét fél ugyanazt a kulcsot használja.
Hátránya, hogy a kulcsot ki kell valahogyan
cserélni, ami nem triviális feladat, ha a két
fél csak az Interneten találkozik. A nyilvános
kulcsos titkosításnál két kulcs van, egy
nyilvános kulcs, amit közzé tesznek, és a
privát (titkos) kulcs, amit titokban kell tartani, csak a
tulajdonosa férhet hozzá.
A nyilvános kulcs alkalmas arra, hogy bárki titkos
üzenetet küldjön a titkos kód
birtokosának. A nyilvános kulccsal kódolt
üzenet csak a privát (titkos) kulccsal
dekódolható, amit csak az üzenet címzettje
ismer. Még maga a küldő sem képes a titkos
kód nélkül az üzenet
dekódolására. A privát kulccsal
titkosított adat csak a nyilvános kulccsal
dekódolható, így alkalmas
autentikációra, digitális
aláírásra. Ha a nyilvános kóddal
dekódolt üzenet a küldő ismert digitális
aláírását tartalmazza, akkor ezt csak az
aláírás tulajdonosa küldhette, mert csak ő
birtokolja a titkos kulcsot. A kétkulcsos eljárás
protokolljának eredeti neve SSL volt, amit az IETF (Internet
Engineering Task Force), az Internet szabványokat
kidolgozó szervezet TLS-nek nevezett át a
szabványosításkor.
A digitális aláírások
valódiságát viszont általában
valamilyen szervezetnek tanusítania kell, mert meglehetősen
bonyolult lenne, ha minden digitális
aláírást használó szervezetnek el
kellene juttania a hiteles aláírását az
összes lehetséges partneréhez. Ezért
létrehoztak ilyen tanusító szervezeteket, amelyek
egy-egy aláírás esetén
tanusítják az aláírás
hitelességét. Ezek hierarchikusan vannak elrendezve,
és szükség esetén a legfelsőbb hierarchia
szintig el lehet menni, mielőtt egy aláírást
elfogadnának. Viszont a tanusításokat nem ingyen
végzik, ebből nem elhanyagolható jövedelmre tesznek
szert. Ezért szegényebb szervezetek, amikor nincs is
szükség a hitelesség szigorú
igazolására, sajátmaguknak bocsátanak ki
aláírásokat, ill. tanusítványokat.
Böngészők és E-mail
A kétkulcsos eljárás alkalmas arra, hogy a
TLS/SSL használatával megbízható
módon, titkosítva lehessen a böngészőkkel az
Interneten pénzügyi és egyéb
tranzakciókat végezni, ahol a szervernek és
szükség esetén a kliensnek az azonossága is
ellenőrizhető az aláírások
felhasználásával. A böngészők
többsége (Netscape, Mozilla, Internet Explorer, stb.) erre
fel is van készítve. Amikor egy megfelelően védett
szerverhez akarunk kapcsolódni, a szerver
aláírását ellenőrizni akarják a
böngészők. Ha nem találnak ismert
tanusító szervezetet, ami az
aláírást igazolja, akkor a
felhasználót kérdezik meg, hogy elfogadja-e az
aláírást: egy alkalomra, vagy tartósan,
vagy nem fogadja el. A tartósan elfogadott
aláírás esetében csak akkor
kérdeznek ujra, ha a szerver aláírása
megváltozik.
Az E-mail-nél viszont a TLS/SSL-t rendszerint csupán arra
használják, hogy a jelszót elrejtsék.
Ezért a levelezéshez használt programok, kliensek
egy része megfelelő beállításnál
gyakorlatilag nem is foglalkozik a szerver
aláírásával (certificate), hanem elfogadja
azt minden további nélkül. Így viselkednek
pl. a Pegasus, a PC-Pine és a Stunnel-ba csomagolt E-mail
kapcsolatok. Természetesen ezeknél is
megkövetelhetjük a szerver
tanusítványának az
ellenőrzését.
Más programok viszont (Pl. a Netscape és Mozilla levelező
komponensei, az Outlook Express) E-mail esetében is
ugyanúgy akarják ellenőrizni a szerver
aláírását, mint a web
böngészésnél. Mivel az E-mail esetében
általában nem merül fel hamis E-mail szerver
lehetősége, ezeket az aláírásokat nyugodtan
el lehet fogadni, hacsak nincs különösebb okunk
gyanúra. A Netscape, Mozilla, Thunderbird esetében a
szerver aláírását tartósan el lehet
fogadtatni az E-mail esetében is, az Outlook Express
esetében a 6-os változattól kezdve csak egyszeri
elfogadás lehetséges. Ha nem akarjuk minden egyes
csatlakozáskor külön elfogadni a
tanusítványt, az Outlook Express kapcsolatát is
célszerű Stunnel-be csomagolni.
Az E-mail programok jelszavának a védelméhez, az
SSL/TLS használatához szükséges
tudnivalók megtalálhatók az alábbi URL-en:
http://www.kfki.hu/(hu)/cnc/emailpw/E-mail.html.
Terminálok és file átvitelek
A biztonságos terminál
hozzáféréshez, file átvitelhez
használt programok (Pl. Putty, Winscp) szintén
felmutatják a szerver aláírását
(fingerprint, ujjlenyomat) az első kapcsolódáskor. Ezt
ellenőrizhetjük, ha akarjuk, de mivel utána úgyis
bejelentkezés következik felhasználói
azonosítóval és jelszóval,
kevéssé valószínű, hogy egy idegen
szerveren is érvényesek legyenek ezek. Viszont ezek a
programok a továbbiakra elteszik az általunk egyszer
már elfogadott ujjlenyomatot és a későbbiekben
mindig ellenőrzik, hogy ugyanazt kapják-e a szervertől.
Ezért biztosak lehetünk abban, hogy ha előszörre
jó helyen jelenkeztünk be, a továbbiakban már
mindig ugyanott vagyunk.
Erősebb adatvédelmi eljárások
Az itt leírt mechanizmusokat használjuk
általában az elfogadható mindennapi
biztonság elérésére. Ezeknél
szigorúbb biztonsági eljárások is vannak.
Ilyenkor a kliens munkaállomásnak a digitális
aláírására,
tanusítványára is szükség lehet. Ezek
az eljárások azonban nem képezik a jelen
leírás tárgyát.