Nowoczesne technologie sieciowe w programach kształcenia

TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
KRZYSZTOF CHUDZIK*
NOWOCZESNE TECHNOLOGIE SIECIOWE
W PROGRAMACH KSZTAŁCENIA INFORMATYKÓW
NEW NETWORK TECHNOLOGIES
IN THE EDUCATIONAL PROGRAMS FOR IT SPECIALISTS
STRESZCZENIE. Praca poświęcona jest wybranym nowoczesnym technologiom dostępnym w sieciach komputerowych lokalnych i rozległych oraz umiejscowieniu tych technologii w programach
kształcenia informatyków. Przedstawione zostały wybrane technologie sieciowe, które obejmują problematykę usług katalogowych, technologie zarządzania dokumentami i pracy grupowej, pracy zdalnej, bezpiecznego dostępu do zasobów przedsiębiorstwa przez użytkowników pracujących zdalnie
oraz ogólnie zasad bezpieczeństwa. Wspomniane technologie wpływają na wymagania pracodawców.
Oczekują oni, że pracownicy będą posiadali odpowiednią wiedzę i umiejętności do ich implementowania i wykorzystania. Oczekuje się, że programy nauczania będą zgodne z wymaganiami nowych
technologii i w pracy zaprezentowane zostały pewne sugestie dotyczące programu nauczania.
ABSTRACT. The paper is devoted to selected new technologies available in local or wide area computer networks and the placement of these technologies in the programs for the education of the IT
specialists. Some new network technologies which include issues of directory services, document
management and collaboration of employees, remote work, secure access to enterprise resources for
mobile users and security issues generally are presented. The mentioned technologies influence the
demands of employers. They expect that employees will acquire appropriate knowledge and skills to
implementing and usage of them. The compliance with the new technologies demands of the educational process is expected and some suggestions regarding the educational program are given.
1. Wprowadzenie
W ostatnich latach notujemy coraz intensywniejszy rozwój technik komputerowych i coraz
większe ich wykorzystanie w pracy przedsiębiorstw, szczególnie w zakresie sieci komputerowych. Sieci komputerowe przedsiębiorstw obejmują swoim zasięgiem nie tylko coraz
większą liczbę użytkowników, ale są coraz rozleglejsze geograficznie. Typowym staje się
żądanie, aby sieć komputerowa zapewniała współpracę wielu oddziałów ulokowanych w
różnych miastach, czy nawet państwach. Nierzadko, żądanie współpracy z użyciem sieci
dotyczy też firm kooperujących. Współpraca ta ma umożliwić łatwe i bezpieczne korzystanie ze wspólnych zasobów informatycznych wytworzonych lub będących do dyspozycji
*
Wyższa Szkoła Informatyki i Zarządzania Copernicus, Wrocław
54
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
przedsiębiorstwa. Pojawiają się wtedy, między innymi, pytania: „Jak łatwo lokalizować lub
wyszukiwać w rozległych zasobach interesujące użytkownika obiekty? W jaki sposób komunikować się ze współpracownikami? Jak i w jakim formacie wymieniać dokumenty? Jak
zapewnić bezpieczną komunikację i uzyskać pewność, że wyłącznie upoważnione osoby
uzyskują dostęp do ściśle określonych zasobów i to w taki sposób, aby nie zakłócać ich
pracy zbędnymi procedurami potwierdzania tożsamości?” Odpowiedzi na powyższe pytania muszą udzielać pracownicy działów informatyki w przedsiębiorstwach. Należy więc
zastanowić się w jakim stopniu zagadnienia te są uwzględniane w programach kształcenia
informatyków. Bazując na swoim doświadczeniu zawodowym, autor niniejszej publikacji
pozwala sobie stwierdzić, że zagadnienia, do których odnoszą się postawione wyżej pytania, powinny znaleźć szersze odbicie w programach kształcenia. W kolejnych rozdziałach
tej pracy autor przybliży wybrane nowe technologie, których stosowanie pozwala zapewniać efektywną i bezpieczną współpracę w sieciach przedsiębiorstw. Prezentowane tu technologie oczywiście nie wyczerpują wszystkich istniejących w tym zakresie i należy traktować jako przykłady ilustrujące możliwości.
W rozdziale 2 zaprezentowano usługi katalogowe, których rolą jest organizacja zasobów w pewien logiczny sposób i dostarczenie mechanizmów zarządzania nimi. Rozdział 3
dotyczy sposobów komunikacji obiegu dokumentów w przedsiębiorstwie. Rozdział 4 poświęcony jest zapewnieniu bezpieczeństwa pracy w sieci i pracy zdalnej pracowników będących poza siedzibą przedsiębiorstwa. W podsumowaniu pracy, w rozdziale 5, zawarte są
sugestie dotyczące ujęcia omawianych zagadnień w programach kształcenia informatyków.
2. Usługi katalogowe
Głównym zadaniem usług katalogowych jest wyabstrahowanie struktury organizacyjnej
oraz logicznego podziału zasobów niezależnie od struktury fizycznej (sprzętowej) sieci
komputerowej. Pozwalają pracownikom poruszać się w obrębie znanych im standardów
organizacyjnych: działy, jednostki przedsiębiorstwa, zasoby czy pracownicy poszczególnych działów, itp. Pracownicy nie muszą wiedzieć ani pamiętać: kto jest kierownikiem jakiegoś działu, z którym wcześniej się nie kontaktowali; jak nazywa się serwer, na którym
przetrzymywane są szukane pliki; na którą drukarkę skierować dokument, aby wydruk nastąpił w określonym dziale; itp.
Usługi katalogowe realizowane są przez wielu dostawców oprogramowania. Na rozwiązaniach serwerowych firmy Microsoft implementowane są w postaci usługi Active
Directory, firmy Novell – eDirectory, na serwerach pod kontrolą Linux – LDAP i jego implementacji. Przyjrzyjmy się bliżej usłudze Active Directory.
Usługa katalogowa Active Directory wprowadza pojecie domeny. Domena jest to podstawowy element, na bazie którego definiowane są podstawowe zależności, aż do tego
stopnia, że mówi się o systemie domenowym. Sama domena, jeśli ująć to ściśle, jest bazą
danych, która przechowywana jest na komputerach, które pełnią rolę tzw. kontrolerów domeny. Ze względu na zachowanie ciągłej dostępności danych na wypadek awarii kontrolera
domeny oraz poprawienia dostępności informacji w czasie dużego obciążenia sieci stosuje
się zwielokrotnianie kontrolerów domeny. Te same informacje powielane mogą być na
55
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
kilka kontrolerów domeny. Specjalnie zaprojektowane procesy replikacyjne, pozwalają na
to, aby wszystkie kopie bazy danych domeny były kopiami zapisywalnymi, tzn. do każdej
można wprowadzać informacje lub zmieniać dane i zostanie to przekazane do pozostałych
kontrolerów danej domeny. Dla użytkownika nie jest istotne, z którego kontrolera korzysta
i często nawet nie posiada takiej informacji, gdyż nie jest ona mu niezbędna.
W ramach domeny ujęte są informacje o użytkownikach i zasobach sieci, którą domena obsługuje. Informacje te przechowywane są w postaci obiektów reprezentujących np.:
użytkowników, komputery, drukarki, udostępnione foldery plikowe, itd. Zestaw obiektów,
który został przygotowany przez producenta rozwiązania, jest wystarczający do reprezentowania typowych obiektów, które pojawiają się w realiach działalności przedsiębiorstwa.
Niemniej jednak, zarówno lista występujących obiektów, jak i ich atrybuty, mogą być rozbudowywane przez działy informatyki przedsiębiorstw. W ten sposób uzyskuje się możliwość adaptowania domeny do własnych specyficznych potrzeb. Możliwości adaptacyjne
sięgają zresztą dalej. Domena w swoich procesach komunikacyjnych i autoryzacyjnych
wykorzystuje standardy przemysłowe, protokół LDAP i Kerberos v. 5. Pozwala to integrować omawiane rozwiązanie z rozwiązaniami innych producentów. Może to być szczególnie
ważne, gdy zależy nam na zapewnieniu odpowiedniej współpracy na poziomie usług katalogowych pomiędzy różnymi przedsiębiorstwami, które mogą przecież stosować różne
rozwiązania.
Rola usług katalogowych zaczyna się już w momencie uzyskiwania przez użytkownika dostępu do zasobów sieci, w tym uzyskiwaniu dostępu do komputera. W procesie autentykacji użytkownika (potwierdzenia tożsamości) i autoryzacji dostępu (zezwolenia lub odmowy dostępu na podstawie uprawnień) do komputera, który zwany jest potocznie „logowaniem”, wykorzystywane są informacje przechowywane w domenie. Użytkownik przedstawia swoje dane uwierzytelniające, najczęściej w postaci nazwy użytkownika i hasła,
karty chipowej z zapisanym certyfikatem, czy danych biometrycznych. Komputer, przy
którym następuje ten proces, przekazuje, w odpowiednio zabezpieczony sposób, te dane do
kontrolera domeny, który wiąże te dane z określonym kontem użytkownika i potwierdza
ich prawdziwość (autentykacja), a następnie informuje komputer, czy danemu użytkownikowi można zezwolić korzystać z komputera (autoryzacja). Ten drugi etap jest o tyle ważny, że użytkownik może być upoważniony do korzystania w sposób interaktywny z jednego komputera, lub pewnej grupy komputerów, ze względu na bezpieczeństwo danych przetwarzanych w systemie informatycznym przedsiębiorstwa. Taka informacja jest przechowywana w ramach usługi Active Directory niezależnie od ograniczeń wprowadzonych w
samym komputerze. Taka centralna możliwość autentykacji użytkownika jest szczególnie
istotna, gdy korzysta on z szerszych zasobów sieci, np.: danych udostępnianych przez inne
komputery czy serwery. Jeżeli komputery należą do tego samego systemu domenowego, to
mogą one weryfikować dane użytkownika na kontrolerach domeny. Uzyskujemy w ten
sposób spójną metodę autentykacji. Użytkownik posługuje się jednym kontem w ramach
całej struktury informatycznej. Nie wymaga się przechowywania dodatkowych informacji
dla procesu autentykacji na komputerach, do których uzyskuje on dostęp, a w procesach
autoryzacji dostępu wykorzystywane jest konto domenowe, co znakomicie upraszcza administrowanie.
56
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
Użytkownik, po dopuszczeniu go do korzystania z zasobów sieci, może korzystać z
zasobów Active Directory. Będzie ich używał do wyszukiwania niezbędnych informacji
związanych ze strukturą przedsiębiorstwa, np.: osób pełniących określone funkcje, zasobów
sieci na postawie lokalizacji w określonych strukturach organizacyjnych przedsiębiorstwa
oraz pojęć związanych z tymi obiektami (słów kluczowych, nazw własnych, itp.). Staje się
to możliwe dzięki wprowadzaniu do definicji obiektów dodatkowych atrybutów. Przykładowo, konto użytkownika oprócz nazwy użytkownika (nazwy „logowania”) i hasła, może
zawierać np.: imię, nazwisko, adres e-mail, numer telefonu, nazwę i opis funkcji pełnionej
w przedsiębiorstwie, adres do korespondencji, itd. Dodatkowo, ze względu na dużą liczbę
obiektów, które mogą wystąpić w ramach usługi katalogowej i aby ułatwić wyszukiwanie
obiektów wprowadza się podział na tzw. jednostki organizacyjne. Pełnią one analogiczna
rolę do folderów w systemie plikowym – pozwalają grupować powiązane ze sobą obiekty.
Podobnie jak foldery w systemie plikowym odpowiadają strukturom informacji zawartej w
plikach, tak jednostki organizacyjne odpowiadają strukturze organizacyjnej przedsiębiorstwa. To tutaj następuje oddzielenie struktury fizycznej sieci i przeniesienie jej do realiów
znanych pracownikom – oddziały przedsiębiorstwa, działy, zespoły, itp.
W związku z takimi dużymi możliwościami dostępu do informacji, dokonywania
przeglądu czy modyfikacji informacji zawartych w ramach usługi katalogowej, pojawia się
w sposób naturalny pytanie, czy użytkownik nie ma zbyt szerokiego wglądu w informacje i
możliwości ich modyfikacji, i czy nie spowoduje to naruszenia bezpieczeństwa systemu.
Aby rozwiązać ten problem w ramach usług katalogowych stosuje się odpowiednie mechanizmy bezpieczeństwa. Są to systemy określające prawa użytkownika dostępu do określonych informacji oraz poziomu tego dostępu, analogicznie jak w systemach plikowych.
Oznacza to, że po odpowiednim skonfigurowaniu tych praw, użytkownik pewnych informacji nie będzie widział, np.: opublikowanych ramach usługi katalogowej udostępnianych
na serwerze folderów z poufnymi danymi, do których nie powinien mieć dostępu. Jeśli może uzyskać dostęp do informacji, to będzie autoryzowany wyłącznie do określonych czynności np.: odczyt adresu e-mail przełożonego, a nie jego modyfikacja.
Wspomniany system definiowania uprawnień w ramach usługi katalogowej pozwala
dodatkowo przypisywać role, które mogą pełnić poszczególni pracownicy działów informatyki przedsiębiorstw. W rozbudowanych organizacyjnie przedsiębiorstwach operuje się
ogromną liczba obiektów takich jak: konta użytkowników, serwery i komputery, drukarki,
itd. Administrowanie bardzo rozbudowanymi strukturami często przekracza możliwości
jednego administratora. System uprawnień pozwala na wykonanie tzw. delegowania
uprawnień. Delegowanie uprawnień to nadanie praw administracyjnych w określonym zakresie pewnym użytkownikom do określonych jednostek organizacyjnych. Oznacza to, że
można ustanowić administratorów jednostek, nie czyniąc ich jednocześnie administratorami całej usługi katalogowej, czyli umożliwia to podział kompetencji i odpowiedzialności
pracowników działów informatycznych.
W ramach usługi katalogowej mogą też być zapisane informacje definiujące parametry
środowiska pracy użytkowników komputerów. Można wymusić określone zachowanie systemu operacyjnego np.: wygląd pulpitu użytkownika, zbiór aplikacji, które użytkownik
może uruchamiać, konfiguracja tych aplikacji, itp. W ramach Active Directory zdefiniowa57
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
ne są obiekty zasad grup, które konfigurują środowisko pracy użytkownika, czy wręcz pracę komputerów włączonych do domeny, niezależnie od pracujących przy nich użytkownikach. Za pomocą mechanizmów wprowadzonych z tymi obiektami można instalować, aktualizować lub odinstalować automatycznie aplikacje na stacjach roboczych użytkowników, w sposób nie wymagający każdorazowej interakcji z użytkownikiem czy administratorem systemu bezpośrednio przy stacji roboczej użytkownika. Jest to znakomity mechanizm, który umożliwia instalacje oprogramowania na komputerach, których liczba może
być liczona w setkach i nie wymaga angażowania do tego znacznej liczby administratorów.
Zarządzanie instalowanym oprogramowaniem może wykonać jeden administrator sterując
procesem centralnie z poziomu kontrolera domeny. Obiekty zasad grup pozwalają definiować ustawienia środowiska pracy i oraz komputera w zakresie audytu czynności wykonywanych na komputerze, zasad bezpieczeństwa odnoszących się do użytkownika i komputera np.: wymagana długość hasła użytkownika, wymagana częstotliwość zmiany hasła, jakiego protokołu zabezpieczającego komunikację ma używać komputer, aby przesyłane dane nie były narażone na kompromitację. Można też zdefiniować szczegółowe ustawienia
opcji programów, nie tylko systemowych, i przywracać je po każdorazowej zmianie przez
użytkownika, jeśli taka zmiana chwilowo zaszła, lub wręcz nie zezwalać na zmiany. Pozwala to doprowadzać środowisko aplikacyjne do pewnego standardu przyjętego w przedsiębiorstwie i znacznie przyspiesza usuwanie problemów związanych z tym środowiskiem
oraz zapewnia stabilniejszą pracę komputerów, nie angażując użytkowników czy administratorów w oddzielne konfigurowanie każdej stacji roboczej.
Jak widać z powyższych rozważań, funkcje usługi katalogowej są bardzo rozbudowane i nasuwa to pytanie czy fizyczna struktura informatyczna może przyjąć takie obciążenie
w zakresie dużego przedsiębiorstwa. Domena jest pewną całością jeśli chodzi o zbiór przechowywanych danych i ogólną politykę zabezpieczeń, które muszą być replikowane pomiędzy kontrolerami tej samej domeny. Wprowadzono jednak mechanizmy ograniczenia
ruchu sieciowego tylko do absolutnie niezbędnego jeśli komunikacja następuje po łączach
rozległych. Dodatkowo, domeny mogą ze sobą współpracować. Budując lub rozbudowując
system domenowy o nowe domeny, lub przyłączając istniejące, można to czynić w taki
sposób, aby obowiązywała miedzy nimi tzw. relacja zaufania. Pozwala ona użytkownikom
jednej domeny na sterowany przez administratora dostęp do zasobów innej domeny. Takie
możliwości Active Directory powodują, że stworzenie systemu domenowego obejmujące w
całosci wielkie przedsiębiorstwa oraz ich kooperantów nie nastręczają większych trudności
natury administracyjnej.
Przedstawione w tym rozdziale informacje, bazujące na przykładzie usługi Active
Directory, szkicują możliwości usług katalogowych, ale nie wyczerpują tematu, któremu
poświecone są całe książki. Zainteresowani mogą zapoznać się np. z pracą (Stanek 2003)
lub (Morimoto i inni 2004).
58
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
3. Komunikacja i zarządzanie dokumentami
Systemy wymiany informacji wykroczyły już poza typowe rozwiązania poczty elektronicznej. Stosuje się systemy pracy grupowej. Przykładem może być serwer Exchange firmy
Microsoft. jest to rozwiązanie, które integruje się bardzo silnie z usługa katalogowa Active
Directory, omawianą w poprzednim rozdziale. Zapewnia on nie tylko możliwość przesyłania poczty elektronicznej, ale również prowadzenia wspólnych harmonogramów, zlecanie
zadań pracownikom, prowadzenie wspólnych dyskusji, czy, po zainstalowaniu odpowiedniego oprogramowania dla mediów strumieniowych, wideokonferencji. Usługa Active
Directory jest podstawą wyszukiwania np.: kontaktów, adresów e-mail, konstruowania list
dystrybucyjnych, itd.
Oprogramowanie biurowe, to już nie tylko edytory, arkusze kalkulacyjne, itp., ale też
rozbudowane narzędzia, które pozwalają publikować dokumenty. Najbardziej rozpowszechniony format zapisu dokumentów to dokument html. Coraz częściej pojawiają się
rozwiązania intranetowe, gdzie dla komunikacji wewnątrz firmy używane są witryny intranetowe. Takie rozwiązanie nie wymaga specjalistycznego oprogramowania do czytania
tych dokumentów – wystarczy przeglądarka internetowa. Nierzadko spotyka się też rozwiązania, gdzie bardziej od łatwości dostępu do informacji przez użytkowników z poziomu
typowych programów biurowych liczy się standardowa postać danych. W tym obszarze
bardzo silnie zaznaczają swoja obecność dokumenty XML.
Systemy oprogramowania biurowego są systemami otwartymi na współpracę z oprogramowaniem pracy biurowej czy usługami katalogowymi. To otwarcie uzyskano poprzez
możliwość wzbogacenia dokumentów powstających w tych systemach o kody w językach
wyższego poziomu. Stała się dzięki temu możliwa komunikacja z użyciem np.: protokołu
LDAP. Tutaj jest pole do działania dla informatyków, którzy przygotowują szablony dokumentów biurowych, które swoja funkcjonalnością niejednokrotnie są zbliżone są do specjalizowanych programów.
4. Bezpieczeństwo pracy w sieci i praca zdalna
Zagadnienia związane z bezpieczeństwem systemów informatycznych nabierają coraz
większego znaczenia ze względu na upowszechnienie się dostępu do Internetu i wymianę
dokumentów przez Internet. Praktycznie każde średnie i większe przedsiębiorstwo posiada
taki dostęp. Dostęp ten może być wykorzystywany do usprawnienia pracy przedsiębiorstw
poprzez łatwiejszą wymianę informacji, ale staje się też poważnym źródłem niebezpieczeństw związanych z kradzieżą danych związanych z włamaniem do struktury informatycznej przedsiębiorstwa lub przejęciem danych wymienianych przez Internet lub sieci
bezprzewodowe. W dalszej części rozdziału skupimy się na wybranych zagadnieniach, na
które, zdaniem autora, należy położyć większy nacisk w kształceniu informatyków.
Przy zabezpieczaniu sieci za pomocą zapór (firewalli), duży nacisk kładzie się na zapobieganie atakom z zewnątrz przedsiębiorstwa. Zwróćmy jednak uwagę na inny aspekt
użycia zapory. Bardzo często zapora służy do ograniczania ruchu generowanego z wnętrza
sieci przedsiębiorstwa. Pracodawcy w trosce o efektywność pracowników, ograniczają im
dostęp do Internetu lub bardzo ściśle go kontrolują wychwytując marnotrawienie czasu na
59
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
bezproduktywne przeglądanie zasobów Internetu, korespondencję niezwiązaną z pracą czy
rozmowy przy użyciu komunikatorów. Nieco w cieniu zagadnienia ekonomicznego znalazło się zagadnienie bezpieczeństwa sieci. Pracownicy odwiedzający w sposób niekontrolowany witryny, mogą natrafić na takie, które są pozornie normalne lecz spowodują wprowadzenie niepożądanego oprogramowania do komputera pracownika, a tym samym do sieci
przedsiębiorstwa, wykorzystując np.: luki w niezaktualizowanym na czas oprogramowaniu.
Komunikatory internetowe same w sobie stanowią zagrożenie, gdyż dosyć często wykrywane są w nich luki w bezpieczeństwie. Stosuje się więc mechanizmy, które nie tylko kontrolują adresy, z którymi odbywa się komunikacja, ale dokonują analizy treści wymienianych pakietów danych oraz ich interpretacji na poziomie aplikacyjnym, starając się odnaleźć sygnatury ataków. Taką rolę pełnią filtry aplikacyjne oraz sieciowe systemy detekcji
intruzów. Bardzo często sterują też one zaporami, zmieniając w sposób dynamiczny ich
reguły, gdy wykryją atak. Rozwiązania takie nie są proste i przedsiębiorstwa ponoszą duże
nakłady na ich wdrożenie. Nierzadko zapomina się przy tym o dosyć prozaicznych lukach
bezpieczeństwa. Na co zda się najlepsza zapora z systemem detekcji intruzów, jeśli w
przedsiębiorstwie zainstalowany jest modem na komputerze pracownika, który przy jego
pomocy wymienia dane z przez Internet? Do Internetu podłączony zostaje komputer, który
omija wszystkie zabezpieczenia i tworzy w ten sposób tylną furtkę do systemu, na którego
zabezpieczenie poniesiono duże nakłady. Tego typu przyłączenia należy zlikwidować. Wiele witryn internetowych umożliwia korzystanie ze swoich zasobów za pomocą protokołu
SSL. Ma on na celu ukrycie treści przed niepożądanymi osobami i jest na tyle skuteczny, że
systemowi detekcji intruzów też uniemożliwi analizę tego ruchu sieciowego. Jak więc taki
system może zareagować na np.: list ściągnięty takim kanałem komunikacji i zawierającym
wirusy? W taki wypadku należy zaimplementować firewall w taki sposób, aby takie tunelowane połączenie było odpowiednio przerywane i wznawiane w miejscu analizy ruchu
sieciowego.
W pracy przedsiębiorstwa polega się często, jak wspomniano w poprzednim rozdziale,
na wymianie dokumentów i informacji z użyciem witryn. O ile świadomi jesteśmy, że muszą one być odpowiednio zabezpieczone, o tyle zapomina się czasem, że atak może nastąpić zanim uzyska się dostęp do witryny. Atak jest skierowany na serwer, który nie przechowuje tajemnicy handlowej, ale wyznacza adresy serwerów z taką tajemnicą – na serwer
DNS, który tłumaczy adresy domenowe na numery IP. Zamieniane są podczas ataku właśnie adresy IP. Na nic zda się najlepiej zabezpieczona witryna, jeśli klient witryny otrzyma
adres podany przez atakującego i połączy się z witryną, która tylko wygląda jak ta, z którą
chciał się połączyć, a która wydobywa od niego poufne dane.
Zapobieganie takim zjawiskom jak powyżej, jest możliwe nie tylko przez ochronę
serwera DNS czy serwera z witryną, ale też przez odpowiednie uwierzytelnienie po obu
stronach kanału komunikacyjnego. Coraz więcej robi się w kierunku uwierzytelniania za
pomocą certyfikatów cyfrowych i wprowadzeniu związanego z nimi podpisu cyfrowego. W
kształceniu informatyków powinno to również znaleźć swoje odbicie, poprzez położenie
większego nacisku na tematykę infrastruktury klucza publicznego. Korzystanie z usług firm
trzecich jest dosyć kosztowne. Implementacja takiej infrastruktury we własnym zakresie
może być zrealizowana przy pomocy istniejących rozwiązań na platformach serwerowych,
60
TECHNOLOGIE INTERNETOWE W ZARZĄDZANIU I BIZNESIE TIZIB’05
np.: serwery Microsoft Windows 2000 czy 2003 umożliwiają ustanawianie własnych centrów usług certyfikacyjnych i ich implementacja nie nastręcza większych trudności.
Dochodzimy więc do punktu, w którym potrzebne są metody komunikacji, które zapewnią poufność oraz pozwolą obydwu komunikującym się stronom potwierdzić tożsamość strony przeciwnej. Jednym z takich mechanizmów mogą być wirtualne sieci prywatne
(VPN). Mają one wbudowane mechanizmy szyfrowania oraz autentykacji na obu końcach
kanału komunikacyjnego. Rozwiązania te często bazują na systemach infrastruktury klucza
publicznego. Wydają się one też dobrym rozwiązaniem, jeśli chodzi o transmisje bezprzewodową, ponieważ niemożliwe jest podsłuchanie takiej transmisji ani podawanie się za
kogoś innego. Zalecane są też do pracy zdalnej pracownika.
Więcej informacji można uzyskać np. z (Smith i inni 2003)
5. Podsumowanie
W niniejszej pracy dokonano przeglądu wybranych nowoczesnych technologii sieciowych.
Widać ich wzajemne powiązanie. Główny wniosek, jaki możemy sformułować, to taki, że
programy kształcenia informatyków powinny zwierać kurs wprowadzający w technologie
sieciowe, aby wykazać zasadność i logiczność stosowania poszczególnych rozwiązań, a
następnie dopiero powinny być prowadzone kursy poświecone poszczególnym zagadnieniom. Autor starał się w niniejszej pracy podać przykładowy zarys takiego rozwiązania.
Usługi katalogowe maja zapewnić łatwość docierania do odpowiednich informacji o zasobach przedsiębiorstwa. Na tej bazie łatwo zbudować jest system komunikacji i wymiany
informacji. Sama komunikacja i wymiana informacji powinna być odpowiednio zabezpieczona przed naruszeniem poufności i autentyczności. Takie kompleksowe ujęcie nie zawsze prezentowane jest w literaturze. Kolejny etap, niemniej ważny, to nauczanie podstaw
teoretycznych oraz zajęcia praktyczne z użycia nowych technologii. Wbrew pozorom, nie
potrzebne są ogromne nakłady sprzętowe. Większość prezentowanych w pracy rozwiązań
realizowana jest programowo co znakomicie zmniejsza nakłady finansowe.
Literatura
Morimoto R., Noel M., Droubi O., Gardinier K., Neal N., 2004, Windows Server 2003.
Księga eksperta. Helion, Gliwice.
Smith B., Komar B., 2003, MS Windows Security resource Kit, APN Promise, Warszawa
Stanek W.R., 2003, Vademecum administratora Microsoft Windows 2003 Server, MS Press
61