Zabezpečení sítě
Je několik způsobů, jak poskytnout zabezpečení v síti a mezi různými sítěmi a klienty. Vše od dat posílaných po síti až po vlastní používání a přístupnost sítě, může být kontrolováno a zabezpečeno.
Bezpečný přenos
Zajištění bezpečného přenosu dat je podobné použití kurýra pro doručení cenného a citlivého dokumentu od jedné osoby druhé. Když dorazí kurýr k odesílateli, požádá ho o potvrzení identity. Potom se odesílatel rozhodne, jestli je kurýr tím, za koho se vydává a jestli se mu dá věřit. Pokud bude všechno v pořádku, bude zamčená a zapečetěná zásilka předána kurýrovi a ten ji doručí příjemci. Na konci stejné procedury u příjemce a po ověření neporušení pečeti, otevře příjemce kufřík a vyndá z něj dokument, aby si ho mohl přečíst.
Bezpečná komunikace v síti je tvořena podobným postupem a je rozdělena do třech kroků:
- Autentifikace
- Autorizace
- Soukromí
Autentifikace
Autentifikace představuje ověření, že zařízení je tím, za co se vydává. Úvodním krokem pro uživatele nebo zařízení je identifikovat sám sebe druhé straně. To se děje pomocí nějakého druhu identity v síti, jako je třeba uživatelské jméno nebo X509 (SSL) certifikát. Použitá identita je ověřena, například heslem k uživatelskému účtu, které je ověřováno v databázi.
Autorizace
Autorizace znamená poskytnutí práv ke zdrojům uživateli. Druhým krokem tedy je zjistit, jestli ověřený uživatel má práva pro používání systému. Uživatel může patřit do skupiny, která má povoleno pouze prohlížení dat. Jiný uživatel může být administrátor a mít práva pro nastavení systému.
Příklad: Produkty firmy Axis poskytují různé úrovně ochrany heslem. Většina síťových kamer podporuje anonymní přístup (standardně zapnuto), což znamená, že pokud není nastaveno heslo pro přístup, kamera poskytuje záběry každému s přístupem do sítě. Na úrovni "viewer" můžete nastavit, že použe uživatelé s předem nadefinovaným heslem, mohou sledovat živé záběry. Třetí úroveň přístupu je "operátor". Definovaní operátoři budou mít přístup nejenom k živým záběrům, ale také k ovládání natáčení a zoomu kamery a k jejímu rozhraní, kde mohou nastavit status portů a akce, které se mají provést při určité události. Nejvyšší úrovní přístupu je "administrator". Určení administrátoři budou mít přístup k systému a budou moci definovat ostatní uživatele, nastavit alarmové porty a měnit nastavení systému.
Další bezpečnostní funkcí je filtrování IP adres, které umožňuje přístup uživatelům pouze z povolených domén. Některé produkty Axis také poskytují šifrovanou komunikaci přes HTTPS (viz níže SSL/TLS).
Soukromí
Posledním krokem je uplatnění požadovaného stupně soukromí. Toho je docíleno šifrováním komunikace, které chrání data před jejich použitím/přečtením jiným uživatelem. Použití šifrování může výrazně snížit výkon, záleží na použité technologii šifrování.
Soukromí lze dosáhnout několika způsoby. Dvě běžně používané metody:
- VPN (Virtual Private Network)
- HTTP přes SSL/TLS (také známé jako HTTPS)
VPN (Virtual Private Network)
VPN vytváří zabezpečený tunel mezi svými vnitřními body. Pouze zařízení se správným "klíčem" mohou pracovat uvnitř VPN. Síťová zařízení mezi klientem a serverem nebudou mít přístup k datům. Díky VPN mohou být různá zařízení bezpečně propojena přes internet.
HTTP přes SSL/TLS
Další způsob, jak zajistit zabezpečení, je použít šifrování přímo na samotná data. V tomto případě, není vytvořen žádný zabezpečený tunel jako u VPN, ale vlastní data aplikace jsou zabezpečena. K dispozici je řada šifrovacích protokolů, například SSL/TLS. Když použijete SSL/TLS, nainstaluje zařízení nebo počítač do jednotky certifikát, který může být vystaven lokálně nebo třetí stranou, jako je Verisign. Ve většině případů proběhne proces tak, že po navázání spojení mezi oběma zařízeními, ověří klient certifikát serveru a pokud mu bude důvěřovat, začne šifrovaná komunikace. Když vytváříte zabezpečené připojení na webové stránky, jako jsou Internetové banky, certifikáty obou jednotek budou ověřeny. Když uvidíte v adrese "https://", to "s" je secure - zabezpečený a znamená to, že požadujete zabezpečené připojení.
Ochrana jednotlivých zařízení
Bezpečnost také znamená ochranu jednoho zařízení proti narušení, jako je pokus neautorizovaného uživatele získat přístup k jednotce nebo jako jsou viry a jiné nežádoucí jevy.
Přístup k počítači nebo k serverům může být zabezpečen pomocí uživatelského jména a hesla, které by nemělo mít méně než 6 znaků (čím delší, tím lepší) kombinujících písmena (malá i velká) a číslice. V případě počítačů existují nástroje, jako je skener otisků prstů a smart karty, které dokáží dále zvýšit bezpečnost a zrychlit přihlašovací proces.
Pro ochranu zařízení před viry, červy a jiným nežádoucím softwarem se doporučuje antivirový program s aktuální databází virů. Ten by měl být nainstalován na všech počítačích. Operační systémy by měly být pravidelně updatovány servisními balíčky (service pack) a opravami od výrobce.
Při připojování lokální sítě k internetu je důležité použít firewall. Ten slouží jako strážce brány, který blokuje nebo omezuje provoz na a z internetu. Může být také použit k filtrování informací procházejících firewallem nebo k omezení přístupu na určité stránky.
Související témata encyklopedie
Encyklopedie síťového videa v PDF
Rozsáhlá sekce o síťovém videu je vám k dispozici ve formátu PDF. Stačí se jen zaregistrovat na stránce "Ceník"
Úvod | Encyklopedie síťového videa | Zabezpečení sítě