Bezpečnost v sítích Frame Relay

Nedá vám spát možný odposlech informací, které svěříte datové síti? Není divu, pokud odpovíte ano. Jak je to s bezpečností v případě klasických technologií, jako například Frame Relay?
Ivo Procházka: Nedá vám spát možný odposlech informací, které svěříte datové síti? Není divu, pokud odpovíte ano. Vždyť žijeme ve světě, kde jedna zpráva o vloupání do počítačových databází stíhá druhou, v době, která ve světle těchto a jim podobným událostí prahne po stále delších a delších šifrovacích klíčích, přičemž na technologie s nimi spojené se vztahují přísná exportní embarga. Na štíru s bezpečností je i všudypřítomný Internet, o jehož diskrétnosti se dá dlouho polemizovat.

Jak je to s bezpečností v případě klasických technologií, jako například Frame Relay? Jestliže se podíváme až k samým základům, na kterých je Frame Relay postavena, zjistíme, že je do jisté míry podobna síti pevných linek. Pevné linky (leased lines), s neměnnou přenosovou rychlostí obyčejně v násobcích 64 kb/s, propojují body, mezi kterými jsou přenášena data. Spojení je to bezpečné, i když v současnosti poněkud neekonomické a málo flexibilní. Frame Relay nahrazuje pevné linky virtuálními kanály. Cesta každého virtuálního kanálu sítí Frame Relay je přesně vykolíkována identifikátorem DLCI (Data Link Connection Identifier), a to vždy před začátkem přenosu dat. Frame Relay je služba tzv spojovaná (connection oriented), pravým opakem je síť IP (nespojovaná – connectionless), do které vyšlete hromadu IP-paketů a vůbec se nestaráte, kterou cestu si jednotlivé pakety sítí prorazí.

Tunely na druhé vrstvě jsou zbytečné
Identifikátor DLCI jednoznačně svazuje dva body, které si přejí navzájem komunikovat. Jelikož je vykolíkování provedeno na druhé vrstvě sedmivrstvého modelu OSI, je používání tunelovacích protokolů pracujících také na druhé vrstvě (jako například L2TP – Layer 2 Tunneling Protocol) nejenom nošením dříví do lesa, ale i přímým popřením inherentních vlastností Frame Relay. Pomocí virtuálních spojení tak lze i na veřejné síti Frame Relay vybudovat vlastní firemní virtuální privátní síť.

Bezpečnost takovéto virtuální privátní sítě, i když na úkor flexibility, je zvýšena používáním permanentních virtuálních spojení PVC (Permanent Virtual Circuit), jež jsou nastavena operátorem, a uživatel je tedy nemá možnost nijak měnit. Šance tajně přijímat data z cizích lokalit je téměř nulová. Pokud však přeci jenom nějaký ten rámec Frame Relay zabloudí, je nepravděpodobné, že by měl pro příjemce nějaký smysluplný význam. Navíc i kdyby teoreticky nějaký smysl měl, stejně se nedostane do prezentační vrstvy (vrstvy, na které je možné si data prohlížet), protože bude skartován protokolem, který bdí nad správně fungujícím spojením. Rámec bude jednoduše shledán jako cizí, zbloudilý, a tedy hodný zahození.

Z těchto důvodů můžeme, alespoň co se týče bezpečnosti, brát pevná virtuální spojení jako rovnocennou alternativu síti pevných linek. Zapomeňme na správce sítě Frame Relay, protože ti mají stejnou možnost zneužít konfigurační informace, jako správci sítě pevných linek. Navíc, na úrovni správy sítě by měl být k dispozici takový systém, který pomocí hesel a jiných vymožeností zabrání neautorizovaným osobám obsluhujícího personálu přístup k citlivým informacím.

Bezpečnost dat nad zlato
Většina uživatelů se s takto garantovanou spolehlivostí zřejmě spokojí. Jsou ovšem tací, pro které je bezpečnost dat nad zlato. Možnost špatné, ať už úmyslné či neúmyslné, konfigurace spojení Frame Relay či výskyt jiného výstřelku přímo ohrožujícího bezpečnost dat se jistě nedá stoprocentně vyloučit. V takovýchto případech nastupuje ke slovu kódování (encryption). Kódování mohou dokonce jednoznačně nařizovat regule organizace, jako je tomu nejspíše v případě bank.

Kódováním obsahu rámce Frame Relay je možné dosáhnout přidáním zvláštního zařízení před zařízení FRAD (Frame Relay Access Device). Toto zařízení zakóduje uživatelova data, kterážto jsou v takto upravené podobě transparentně přenesena sítí Frame Relay. Frame Relay se nestará o to, v jakém stavu jsou jí data předkládána, či s jakým zařízením (uživatelův přepínač LAN či nějaká černá skříňka) to vůbec hovoří. Frame Relay musí jenom ve správném pořadí přenést posloupnost uživatelových nul a jedniček. Není od věci ještě připomenout, že s šifrováním dat rostou nároky na přenosovou šířku pásma, protože kódovací algoritmy spotřebují nějaké ty bajty na uložení pomocných informací.

Kódovací černé skříňky jsou k mání od rychlostí 64 kb/s až po 2 Mb/s a zvládnou obsloužit až stovky virtuálních kanálů. Nejsou ovšem laciným příslušenstvím, zvláště software pro správu klíčů celého kódovacího systému. Takovýto software si většina uživatelů zakoupí, až celkový počet černých skříněk dosáhne něco mezi 10 a 30 (v závislosti na topologii sítě), kdy jeho cena přepočítána na počet skříněk výrazně poklesne.

Doposud jsme se věnovali permanentním virtuálním kanálům a trochu jsme pozapomněli na jejich alternativu – přepínané virtuální kanály SVC (Switched Virtual Circuit). Přepínané virtuální kanály mají tu výhodu, že jsou sestavovány jen na přání uživatelů, a to s parametry šitými na míru aplikaci, jež je bude využívat.

Spojení pomocí přepínaného virtuálního kanálu je naprosto identické se spojením realizovaným pomocí permanentního virtuálního kanálu. Identické snad až na jednu maličkost, kterou je nutnost sestavení přepínaného virtuálního kanálu. Existuje totiž možnost, že by nějaký padouch mohl sestavit spojení do nežádoucí lokality. Naštěstí jsou ale po ruce argumenty, které odsunou tuto možnost do roviny teoretické. Pro sestavení spojení je totiž nutné znát mimo jiné i výchozí a cílovou adresu, které jsou pod přímou kontrolou správce sítě Frame Relay. A právě na základě znalosti výchozí adresy může být spojení odmítnuto. Samozřejmě jen v případě, že je správně nakonfigurováno, kdo je autorizován a sestavit spojení a kdo není. Pokud ano, pak jsou přepínaná virtuální spojení Frame Relay stejně bezpečná, jako spojení permanentní. Jestliže máte nějaké bezpečnostní výhrady vůči jednomu typu spojení, pak druhý typ u vás dopadne úplně stejně. Jakékoliv pochybnosti jsou tak spíše projevem nedůvěry k personálu spravujícímu Frame Relay. To se ale dostáváme někam úplně jinam.

IPSec a kódování na 3. vrstvě
Na závěr našeho povídání o bezpečnosti Frame Relay se ještě zmíníme o jednom způsobu kódování dat, a to kódování na třetí vrstvě pomocí mechanizmů, jako například IP Security (IPSec) protokolu IP. IPSec je obyčejně součástí směrovačů a má za úkol upravit data, ještě než se dostanou do prostředí Frame Relay. S IPSecem jsou tak data chráněna od směrovače ke směrovači. V případě kódování na druhé vrstvě jsou v bezpečí jenom od jednoho portu Frame Relay k druhému, čímž u síťových topologií jako hvězda, kde data vyslaná z jedné pobočky do jiné pobočky proudí přes směrovač v centrále, vzrůstá díky neustálému kódování a dekódování zpoždění a nároky na výkonnost kódovacích procesorů.

I kódování na třetí vrstvě způsobuje jisté zaneprázdnění procesoru. V některých případech dokonce může výrazně ohrozit výkonnost samotných směrovačů. Některé odhady uvádí, že IPSec zhltne až 80 % výkonu směrovačů nižší třídy.

Kódování na třetí vrstvě je svými zastánci propagováno jako kódování end-to-end (konec-konec), zatímco kódování na vrstvě druhé považují za zranitelné, protože mezi černou skříňkou a směrovačem jsou data bez ochranky. Avšak vzhledem k tomu, že jde většinou o metr dlouhý kabel vedoucí navíc chráněnou místností, je takováto argumentace poněkud chabá. Zastánci černých skříněk se brání a upozorňují, že kódování end-to-end zase zmenšuje přenosovou šířku pásma v celé sítí a ne jen na určitých spojeních, jako je tomu v u kódování na druhé vrstvě. A mohli bychom ještě dlouho pokračovat.

Jak je vidět, oba dva typy kódování mají své zatvrzelé zastánce a odpůrce. Důvod, že si někdo oblíbí druhou nebo třetí vrstvu, je více méně osobní. Závažné technologické argumenty pro preferenci jednoho typu před druhým neexistují. Pokud jste však přeci jenom na vážkách, pak začněte uvažovat prakticky:

  • Jaká je cena – kolik stojí černá skříňka pracující na druhé vrstvě a kolik stojí směrovač s podporou IPSec.
  • Rozsah kódování – chcete zakódovat plošně celou síť a nebo jen určitá spojení.
  • Zařízení v síti – pokud máte jen IP-směrovače, asi zvolíte IPSec, pokud provozujete více protokolů, pak je nejlépe se zaměřit na druhou vrstvu.
Zdroj: Connect! 10/99
Váš názor Další článek: Chybovat je lidské bohužel i u počítačů

Témata článku: Software, Bezpečnost, Síť, Spojení, Kanál, Embargo, Frame, Relay, Všudypřítomný internet, FRAM, Špatný klíč, Neustálý odposlech, Pevná linka, Obsluhující personál, Padouch, Druhý typ, PVC, Zvláštní význam, Druhý případ, Pomocný systém, DLC, Software na Heureka.cz



Švýcaři legalizovali sebevražednou kapsli Sarco vytištěnou na 3D tiskárně

Švýcaři legalizovali sebevražednou kapsli Sarco vytištěnou na 3D tiskárně

** Firma Exit International chce usnadnit proces asistované sebevraždy ** Jako řešení nabízí „kapsli“ Sarco vytištěnou na 3D tiskárně ** S důstojným odchodem pomůže dusík a umělá inteligence

Karel Kilián
ŠvýcarskoSebevraždaTechnologie
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína
Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost

Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost

** Oproti Desítkám významně stouply hardwarové požadavky ** Windows 11 mají nový vzhled, ale výrazně narušují workflow. ** Potěší vyhledávání, multitasking i rychlejší aktualizace

Petr Urban
Windows 11Testy
Nejpirátěnější filmy: Co se teď nejvíc stahuje (aktualizace prosinec 2021)

Nejpirátěnější filmy: Co se teď nejvíc stahuje (aktualizace prosinec 2021)

Vzali jsme týdenní přehledy nejstahovanějších filmů, které se objevují na torrentech, a spojili je do jednoho žebříčku. Tohle jsou aktuálně filmy, o které je na světě největší zájem, které se nejvíc pirátí.

Ondřej Králík
Filmy a seriály
Nejvíc sexy holky ve filmech: 60 nejslavnějších erotických symbolů

Nejvíc sexy holky ve filmech: 60 nejslavnějších erotických symbolů

Krásné ženy jsou pro mnohé erotické a sex symboly. Vybrali jsme ty nejslavnější z několika desetiletí filmové a seriálové tvorby. Najdete zde nejen fotografie, ale také název díla, které herečku proslavilo.

Marek Čech
Filmy a seriály