Tento Φlßnek je p°etiÜt∞n z e-Bulletinu ze dne 7. dubna, 1997, vydßnφ skupiny PatriciaSeybold Group’s InternetovskΘ nßstroje a technologickΘ slu₧by ╚lßnek je zde reprodukovßn v takovΘ form∞, v jakΘ byl p∙vodn∞ poublikovßn.
© 1997 Patricia Seybold Group, 85 Devonshire Street, 5thFloor, Boston Massachusetts 02109-3504. Telephone 617.742.5200, Fax 617.742.1028,Internet: http://webtools.psgroup.com.Reprodukce Φßsti i celku je zakßzßna. Chcete-li cokoliv znovu publikovat, volejte l617.742.5200.
e-Bulletin |
Data Fellows p°inßÜφ silnΘ Üifrovßnφ do virtußlnφch soukrom²ch sφtφ Finskß spoleΦnost demonstruje poÜetilost US politiky | |
napsal Michael Goulde | |
Pot°eba: SilnΘ Üifrovßnφ pro globßlnφ virtußlnφ sφt∞ |
Se zm∞nou infrastruktury Internetu sm∞rem k robustnosti, spolehlivosti
a velikosti kapacity, stßvß se Internet stßle atraktivn∞jÜφ jako dopln∞k nebo
dokonce nßhrada za drahΘ soukromΘ sφt∞. V minulosti byly hlavnφmi dv∞ma
skuteΦnostmi, kterΘ odrazovaly klienty od pou₧itφ Internetu pro komunikaci
s kritick²mi daty, nedostatek jeho spolehlivosti a obavy o jeho zabezpeΦenφ.
Nechßme-li otßzku bezpeΦnosti jeÜt∞ na chvφli stranou, standardnφ p°φstup
pro zabezpeΦenφ Internetu pro tajnß data spoleΦnostφ p°edstavuje pou₧itφ
kombinace Üifrovßnφ s ve°ejn²mi klφΦi a soukrom²mi klφΦi pro autentizaci uzl∙ se
zaÜifrovßnφm dat p°ed jejich odeslßnφm do sφt∞ a jejich nßsledn²m deÜifrovßnφm
na druhΘm konci. Obvykle platφ, ₧e, Φφm siln∞jÜφ je Üifra, tφm bezpeΦn∞jÜφ jsou
data.
US ITAR exportnφ omezenφ, kterß jsou platnß pro export technologie siln²ch Üifer pro Üifrovßnφ dat (ne autentizace) omezuje poΦet bit∙ klφΦ∙, kterΘ mohou b²t exportovßny v rßmci produkt∙ vyroben²ch v US. AΦkoliv US obchodnφci nejsou omezeni t∞mito omezenφmi u sv²ch produkt∙, jestli₧e je prodßvajφ v US, stejn² stupe≥ Üifrovßnφ nem∙₧e b²t zahrnut do produkt∙ prodßvan²ch do zahraniΦφ. To znamenß, ₧e n∞jakΘ mφsto v USA, kterΘ mß komunikovat s mφstem n∞kde za mo°em, musφ pou₧φt mΘn∞ bezpeΦn² algoritmus, jestli₧e vyu₧φvß US podporovan² Virtual Private Network produkt, i kdy₧ tento produkt je k dispozici se siln∞jÜφ Üifrou. V∞tÜina US obchodnφk∙ je omezena na 40 bit∙ pro export, aΦkoliv n∞kolik z nich nynφ zφskalo povolenφ exportovat a₧ 56-bit∙ dlouhΘ klφΦe. Je rozumnΘ oΦekßvat, ₧e US spoleΦnostic se zßmo°sk²mi kancelß°emi a zßmo°sk²mi obchodnφmi partnery by m∞ly b²t schopny vytvo°it si bezpeΦnou virtußlnφ soukromou sφ¥ pomocφ nejbezpeΦn∞jÜφ dostupnΘ technologie. P°i dan²ch US exportnφch omezenφch, musφ zakoupit technologii od zßmo°skΘho obchodnφka, aby dostali 128-bit∙ dlouhΘ nebo jeÜt∞ delÜφ klφΦe. NeameriΦtφ obchodnφci nejsou niΦφm omezeni v tom, co mohou importovat, tak₧e US firma m∙₧e koupit cizφ produkt pro svΘ US a zßmo°skΘ kancelß°e a obchodnφ partnery a m∙₧e mφt silnΘ Üifrovßnφ po celΘ svΘ globßlnφ virtußlnφ soukromΘ sφti. |
Data Fellows F-Secure VPN je nynφ globßln∞ k dispozici |
Jednφm takov²m produktem, kter² je dostupn² na globßlnφm
zßklad∞, je F-Secure VPN od spoleΦnosti Data Fellows se sφdlem v Espoo, Finsko,
a s US kancelß°emi v San Jose, California. Data Fellows takΘ distribuuje svΘ
produkty po celΘ Evrop∞ a mß svΘ partnery v mnoha asijsk²ch a africk²ch zemφch.
Produkt spoleΦnosti Data Fellows se jmenuje F-Secure Virtual Private Network (VPN). VPN je Üifrovacφ router, kter² vyu₧φvß RSA Üifrovßnφ s ve°ejn²mi klφΦi pro autentizaci (u₧ivatelem nastavitelnΘ pro jakoukoliv dΘlku klφΦe, kterou RSA p°ipouÜtφ, co₧ m∙₧e b²t vφce nebo mΘn∞ ne₧ 1024) a symetrickΘho Üifrovßnφ s dΘlkou klφΦe mezi 128-bity a 168-bity pro tok dat. (P°ednostφ symetrickΘho Üifrovßnφ oproti systΘm∙m s ve°ejn²mi klφΦi je rychlost Üifrovßnφ. P°ednostφ systΘm∙ s ve°ejn²mi klφΦi oproti symetrickΘmu Üifrovßnφ pro autentizaci je snadnost distribuce klφΦ∙.) SkuteΦnß dΘlka klφΦe je zalo₧ena na tom, jak se dohodnou sousednφ VPN routery. VPN m∙₧e takΘ pou₧φvat triple DES, Blowfish, IDEA nebo DES Üifrovacφ algoritmy; rozhodnutφ je provedeno b∞hem konfigurace v dob∞ instalace. Definujete si prioritu algoritm∙ pro pou₧φvßnφ a pak je dohodnuto pou₧φvßnφ sprßvnΘho algoritmu. Pakety jsou souΦasn∞ se Üifrovßnφm zkomprimovßny, co₧ pomßhß zajistit v²kon v celΘ VPN. |
Funkce navr₧enΘ pro snadnΘ pou₧φvßnφ a bezpeΦnost | èifrovßnφ je provßd∞no v software VPN routeru,
kter² m∙₧e b²t nainstalovßn na virtußln∞ jakΘmkoliv standardnφm Intel Pentium PC.
PoΦφtaΦe mohou b²t nastaveny jako "dual homed hosts" (dva NIC) a pou₧ity jako
firewally, pokud je to ₧ßdoucφ, ale nenφ to vy₧adovßno, jestli₧e zde ji₧
n∞jak² firewall existuje. VPN by mohlo b²t pou₧ito bez firewallu, ale to nenφ
rozumnΘ a nedoporuΦujeme Vßm to.
Software je distribuovßn na CD ROM, kter² je pou₧it pro vytvo°enφ boot diskety pomocφ Windows NT nebo Windows 95 systΘmu pro definici konfigurace. Jakmile je nainstalovßn, VPN router je v podstat∞ Φernou sk°φnkou s ₧ßdn²m p°φstupem zvenΦφ. VPN software b∞₧φ ve verzi NetBSD Unix, kterß byla oΦesßna a₧ na svΘ zßklady. To odliÜuje produkt spoleΦnosti Data Fellows od jin²ch tunelujφcφch produkt∙, kterΘ b∞₧φ na vrcholov∞ nebo pln∞ funkΦnφm Unix nebo Windows NT systΘmu. Proto₧e obchodnφci podnikli opat°enφ, aby zajistili svΘ tunely, je zde velkΘ riziko poruÜenφ bezpeΦnosti, jestli₧e existuje n∞jak² operaΦnφ systΘm jako zßklad, kter² je nßchyln² k potencißlnφmu naruÜenφ. Obchodnφci budou v tomto bod∞ argumentovat, ale skuteΦnost je takovß, ₧e Φφm mΘn∞ je zde operaΦnφho systΘmu, tφm mΘn∞ je zde mo₧nostφ pro hackery. F-Secure VPN routery mohou b²t nastaveny tak, ₧e budou m∞nit klφΦe sezneφ ka₧dou hodinu, a tφm je budou Φinit jeÜt∞ neproniknuteln∞jÜφmi pro hackery. Vyu₧itφ SSH 2.0 pro autentizaci umo₧≥uje produktu F-Secure vyu₧φvat distribuovan² p°φstup ke sprßv∞ klφΦ∙. Ka₧d² router si uklßdß sßm ve°ejnΘ klφΦe pro svΘ sousednφ routery, a nenφ pou₧φvßn centrßlnφ depozitß° klφΦ∙ pro ulo₧enφ vÜech klφΦ∙. Tφmto zp∙sobem zde neexistuje jeden bod, jeho₧ selhßnφ by mohlo vΘst k selhßnφ celΘ virtußlnφ soukromΘ sφt∞. |
Opat°enφ pro snadnou dostupnost | Podobn∞ m∙₧e b²t na ka₧dΘ sφti
nastaveno vφce VPN s routing sadou, tak₧e jestli₧e sel₧e jeden router,
Üifrovßnφ sφt∞ m∙₧e stßle pokraΦovat dßl, proto₧e je zde sekundßrnφ router. Tento
p°φstup m∙₧e b²t takΘ pou₧it k poskytnutφ Üifrovßnφ ve v∞tÜφ mφ°e, aΦkoliv slabinou
v²konu Üifrovßnφ v t∞chto prost°edφch je mnohem pravd∞podobn∞ji sama sφ¥, a nikoliv
Üifrovacφ motor. |
Navr₧en² tak, aby byl otev°en² a snadno integrovateln² | F-Secure je nezßvisl² na firewalu
a routeru. V mal²ch sφtφch m∙₧e jednoduÜe nahradit firewall nebo router. To je v kontrastu
s tunelov²mi produkty prodßvan²mi jako dodatek Φi vylepÜenφ mnoh²mi obchodnφky s routery a
firewally. S t∞mito produkty, jako jsou produkty spoleΦnostφ Raptor, TIS nebo Compatible Systems,
musφte pou₧φvat v₧dy p°φsluÜn² firewall nebo router na ka₧dΘ pozici. To m∙₧e fungovat, jestli₧e
mßte jen to svΘ mφsto, ale jestli₧e stavφte bezpeΦnß spojenφ s obchodnφmi partnery, je obtφ₧nΘ
diktovat jim, jak² firewall nebo router majφ pou₧φvat. F-Secure je v tomto sm∞ru velmi otev°en². |
Plßnovanß vylepÜenφ do budoucnosti | SpoleΦnost Data Fellows pracuje na n∞kolika vylepÜenφch
produktu F-Secure VPN. V souΦasnosti zde nenφ podpora mobilnφm u₧ivatel∙m ani individußlnφ p°φstup na dßlku.
Produkt F-Secure SSH spoleΦnosti Data Fellows m∙₧e b²t pou₧it pro zabezpeΦenφ dßlkovΘho p°φstupu z jakΘhokoliv Windows,
Macintosh nebo Unix poΦφtaΦe. Produkt VPN je primßrn∞ zam∞°en na tunelovßnφ router-router.
SpoleΦnost pracuje na implementaci podpory dßlkovΘho spojenφ samostatn∞ stojφcφch VPN. Jakmile budou dokonΦeny specifikace pro S/WAN, Φßst IETF IPsec specifikacφ pro bezpeΦn² transport in Wide Area, zvlßÜt∞ a₧ bude dokonΦena Φßst specifikacφ detailn∞ se zab²vajφcφ dohadovßnφm o klφΦφch, spoleΦnost Data Fellows bude implementovat tyto IPsec specifikace jako p°φdavek ke svΘmu SSH protokolu. Do budoucnosti se takΘ plßnuje uvoln∞nφ podpory pro X.509 certifikßty. AvÜak, proto₧e je mnohem pravd∞podobn∞jÜφ, ₧e certifikßty budou hrßt d∙le₧itou roli, kdy₧ nebude znßma druhß strana, nevidφme toto jako hlavnφ po₧adavek pro autentizaci typu router-router. NicmΘn∞ spoleΦnost Data Fellows plßnuje podporovat certifikßty a certifikaΦnφ ·°ady a b²t tak na tuto situaci p°ipravena. |
Ceny | Ceny produktu F-Secure VPN jsou vytvo°eny na jeden router
s neomezen²mi spojenφmi. Digitßlnφ AltaVista Tunnel, naproti tomu, mß r∙znΘ sady cen zalo₧en²ch na poΦtu podporovan²ch
spojenφ. Cena VPN pro dva routery je $4,995. Cenov² rozsah je a₧ $10,435 pro p∞t router∙ a $1,450 pro ka₧d² router nad p∞t.
Ve srovnßnφ s AltaVista Workgroup XL tunnel o cen∞ $2,495 za server schopn² podpory 512 spojenφ. Produkty spoleΦnosti
Data Fellows jsou cenov∞ mnohem efektivn∞jÜφ, jestli₧e jsou stav∞ny velkΘ virtußlnφ soukromΘ sφt∞. |
Zßv∞ry | Dokud a pokud US vlßda nevzdß pokus °φdit a kontrolovat Üifrovßnφ dat, trh bude Üiroce otev°en² pro neamerickΘ poskytovatele. Produkt VPN spoleΦnosti Data Fellows VPN mß vÜechny komponenty, nutnΘ k tomu, aby byl atraktivnφ a snadno p°ijateln², nejen pro distribuovanß mφsta v rßmci spoleΦnosti, ale takΘ pro obchodnφ partnery, stejn∞ jako pro Φßst tvorby extranet∙. |
Kontakty: Data Fellows Inc. (US) Petri Laakkonen 675 N. First Street, Suite 605 San Jose, CA 95112 Tel (408) 938 6700 Fax (408) 938 6701 f-secure-sales@datafellows.com Data Fellows Ltd (HQ) |