ISSN NR 3/2005. Studio multimedialne Zarzàdzanie pasmem Inteligentne karty

Transkrypt

1 ISSN NR 3/2005 Studio multimedialne Zarzàdzanie pasmem Inteligentne karty

2 O D R E D A K T O R A Jak pisze w tym numerze biuletynu Mirosław Maj, kierownik działającego przy NASK zespołu CERT Polska, w sferze bezpieczeństwa IT operuje na rynku wielu graczy. Narzuca się pytanie, kto i w jakim stopniu ponosi odpowiedzialność za bezpieczeństwo Internetu? Odpowiedź na nie jest sprawą pilną i taki jest też motyw przewodni konferencji SECURE 2005, która odbędzie się w Warszawie od 25 do 26 października. Nawiązując do zbliżającej się SECURE, w dziale dotyczącym spraw bezpieczeństwa teleinformatycznego, obok wspomnianego artykułu szefa CERT-u, publikujemy także materiał Marcina Chochowskiego i Przemysława Strzelczyka z Pracowni Biometrii NASK. W artykule przedstawiono inteligentne karty wykorzystujące biometryczne mechanizmy uwierzytelnienia. Ponadto w biuletynie prezentujemy nowe usługi, takie jak zarządzanie pasmem artykuł Michała Małyszko czy Application Centric VPN nowość w ofercie Infonet Polska o którym pisze Agnieszka Korbel. O możliwościach wykorzystania studia multimedialnego zlokalizowanego w siedzibie NASK informuje Grzegorz Radzikowski. Polecam też następny artykuł Ewy Niewiadomskiej-Szynkiewicz na temat symulacji komputerowych i artykuł Agnieszki Kukałowicz o projektowaniu stron www dla osób niepełnosprawnych. Wspominamy także o nowych inicjatywach NASK oraz Fundacji Dzieci Niczyje realizowanych w ramach europejskiego programu Awareness. Piszemy m.in. o pierwszej konferencji z cyklu Bezpieczny Internet i o prasowej premierze teledysku Sieciaki. Stałym elementem akcji Awareness są imprezy plenerowe dla dzieci i ich opiekunów. Obok prezentujemy zdjęcia z pikniku w Sochaczewie. Do końca roku mamy w planie zorganizowanie jeszcze kilku podobnych spotkań, oraz przygotowanie ogólnopolskiej społecznej kampanii medialnej na temat bezpieczeństwa dzieci i młodzieży w Internecie. Maria Baranowska W Y D A R Z E N I A U S Ł U G I B E Z P I E C Z E Ń S T W O B A D A N I A 3 Secure IPv6 w NASK 5 Bezpieczny Internet 9 Eksperci o bezpieczeństwie 11 Przed World Summit on the Information Society 13 Zarządzanie pasmem 16 Application Centric VPN 17 Wideokonferencja w studiu 19 Kto ponosi odpowiedzialność? 23 Inteligentne karty 25 Techniki symulacyjne 28 Surfowanie dla niepełnosprawnych 2

3 Bezpieczeńst wo IC T W Y D A R Z E N II A SECURE 2005 Głównym tematem SECURE 2005 jest próba określenia odpowiedzialności producentów, operatorów i użytkowników Internetu za bezpieczeństwo teleinformatyczne w sytuacji zagrożeń wynikających z działalności podziemia gospodarczego. Podobnie jak w czasie poprzednich edycji SECURE w tegorocznej konferencji weźmie udział ok. 180 uczestników. Konferencja jest adresowana do: dyrektorów firm, szefów działów IT, specjalistów odpowiedzialnych za bezpieczeństwo systemów informatycznych, sieci i baz danych, użytkowników sieci i systemów teleinformatycznych zainteresowanych problematyką bezpieczeństwa. Rozwój i coraz szersze wykorzystanie nowych technik transmisji danych, takich jak sieci bezprzewodowe czy sieci peer-to- -peer, w warunkach istniejącego obecnie niekwestionowanego już potężnego podziemia gospodarczego sprawia, że wypracowany przez lata kanon bezpieczeństwa broni użytkowników tylko przed częścią ataków i zagrożeń. Paradoks polega na tym, że ściany ogniowe, oprogramowanie antywirusowe czy systemy detekcji intruzów wykorzystuje się już prawie wszędzie, a jednocześnie prawie wszędzie dochodzi na dużą skalę do włamań, inwazji wirusów i ataków. Jakie należy podjąć działania, aby dokonać przełomu w obserwowanym obecnie błędnym kole bezpieczeństwa ICT? Komu powinno zależeć na bezpieczeństwie technologii informatycznych i telekomunikacyjnych i kto powinien być odpowiedzialny za poszczególne jego aspekty? Zapraszamy do udziału w konferencji będącej próbą odpowiedzi na te pytania października 2005 r. Hotel Radisson SAS ul. Grzybowska 24 Warszawa B E Z P I E C Z E Ń S T WO kto ponosi odpowiedzialność? P a r t n e r z y : P a t r o n a t m e d i a l n y : IX konferencja z cyklu SECURE, poświęcona bezpieczeństwu sieci i systemów ICT, organizowana wspólnie z Europejską Agencją Bezpieczeństwa Sieci i Informacji ENISA pod honorowym patronatem Ministra Nauki i Informatyzacji Aktualne informacje na temat programu i warunków uczestnictwa w konferencji znajdują się na stronie 3

4 W Y D A R Z E N I I A Nowości Socjotechnika w Dziale zagraża Domen ANDRZEJ BARTOSIEWICZ IPv6 w NASK NASK udostępnił główne serwery DNS dla domeny krajowej.pl w protokole IPv6 oraz umo liwił rejestrację nazw internetowych w domenie.pl ze wskazaniem na adres IPv6. Wprowadzenie IPv6 w DNS zostało poprzedzone przez ponad roczny okres testów przeprowadzonych po to, aby zapobiec powstaniu ewentualnych problemów i wyeliminować zagrożenia bezpieczeństwa sieci. Formalnie zakończenie wprowadzenia protokołu nastąpiło 4 czerwca tego roku przez zmianę konfiguracji serwerów nazw dla domeny.pl dokonaną na wszystkich serwerach ROOT na świecie. IPv6 jest nowoczesnym protokołem, który stopniowo będzie zastępował obecny protokół IP w wersji 4. Główną zaletą protokołu IPv6 jest znacznie większy zakres adresów Bo pula się wyczerpuje Stosowany dziś powszechnie protokół IP w wersji 4 (IPv4) pozwala na podłączenie do Internetu ponad czterech miliardów maszyn mających unikatowe numery IP. /.../ Ta liczba na pierwszy rzut oka naprawdę robi wrażenie. Niestety, kilkanaście lat temu nikt nie przewidział tempa rozwoju Internetu. A rozrasta się on w postępie geometrycznym: co roku liczba przyłączonych do Sieci hostów się podwaja. Moment, w którym cała oferowana przez IPv4 pula adresowa zostanie wyczerpana, jest tuż-tuż. /.../ Od 4 czerwca bieżącego roku NASK (Naukowa i Akademicka Sieć Komputerowa) udostępnia serwery DNS dla domeny.pl, obsługujące protokół IPv6. NASK umożliwia także rejestrację nazw w domenie.pl wskazujących na adres IPv6. Dzięki temu Polska to obok Francji, Szwecji, Japonii i Korei Południowej jeden z pierwszych krajów, które wprowadziły taką usługę dla użytkowników Internetu. Z p r a s y , Chip IP dla urządzeń pracujących w sieci Internet. Jego zastosowanie rozwiąże zwiększone zapotrzebowanie na stałe adresy IP i stopniowe wyczerpywanie się puli adresów IPv4. Ze względu na bardzo duże potencjalne zapotrzebowanie telefonii 3G (trzeciej generacji) na adresacje IP, adresy IPv6 będą zapewne szeroko stosowane przez operatorów telefonicznych. Inne zalety protokołu IPv6 to automatyczna konfiguracja interfejsów sieciowych, wbudowane mechanizmy bezpieczeństwa, takie jak: szyfrowanie i uwierzytelnianie, uproszczona struktura nagłówka zwiększająca szybkość działania oraz możliwość rozszerzania nagłówka. Obecnie NASK jest na początku etapu wprowadzania protokołu IP w wersji 6. Z czasem coraz więcej dostawców Internetu będzie uruchamiało IPv6 w swoich sieciach, dając abonentom możliwość korzystania z zalet tego protokołu. Nie należy oczekiwać w najbliższych latach porzucenia protokołu IPv4. Będziemy obserwowali stopniowe zastępowania IPv4 przez IPv6, a zmiana będzie miała charakter raczej ewolucyjny niż rewolucyjny. Z ostatniej chwili W miesiąc od udostępnienia przez NASK serwerów DNS w protokole IPv6 pojawiła się na rynku oferta pierwszego rejestratora w gronie partnerów NASK, który udostępnia klientom możliwość rejestracji domen z delegacją zarówno w IPv4, jak i IPv6. Jest nim firma AZ.pl. Obecnie NASK ma już kilku partnerów oferujących usługi rejestracji nazw internetowych z uwzględnieniem IPv6. Autor jest Kierownikiem Działu Domen w NASK 4

5 Projek t Awareness W Y D A R Z E N II A ANNA MAJ Bezpieczny Internet W spotkaniu wzięło udział ponad 350 osób z województwa mazowieckiego: nauczycieli, wychowawców i psychologów pracujących z dziećmi, przedstawicieli władz samorządowych oraz organizacji pozarządowych związanych z edukacją i wychowaniem, policji i wielu innych instytucji przeciwdziałających przestępczości w Internecie, dostawców usług internetowych oraz właścicieli kawiarenek, a także przedstawicieli mediów. I N F O R M A C J A I E D U K A C J A Warszawska konferencja, objęta patronatem Prezydenta m.st. Warszawy, była pierwszą z cyklu 16 konferencji, które NASK i Fundacja Dzieci Niczyje organizują w 2005 i 2006 roku przy udziale lokalnych partnerów we wszystkich miastach wojewódzkich Polski. Cykl jest częścią szerokiej kampanii edukacyjno-informacyjnej, którą NASK i Fundacja Dzieci Niczyje realizują w ramach programu Komisji Europejskiej Safer Internet Action Plan (SIAP). Spotkanie rozpoczęło wystąpienie organizatorów: Moniki Sajkowskiej, dyrektor FDN oraz Macieja Kozłowskiego, dyrektora NASK. W imieniu patronów honorowych wystąpiły: Danuta Adamczewska-Królikowska z Biura Edukacji Urzędu m.st. Warszawy i Lidia Milka- Wieczorkiewicz, sekretarz generalny Polskiego Komitetu ds. UNESCO. W EUROPEJSKIEJ PERSPEKTYWIE Podczas konferencji Bezpieczny Internet odbyły się wykłady i zajęcia poprowadzone przez krajowych, a także zagranicznych ekspertów specjalizujących się w bezpieczeństwie Internetu. Konferencja została podzielona na trzy bloki tematyczne. W sesji plenarnej zaprezentowano perspektywę europejską i krajową w zakresie działań przeciwko zagrożeniom w Sieci, a po południu odbyły się warsztaty adresowane do policjantów i nauczycieli. Dotyczyły one praktycznych działań, jakie W trakcie konferencji mogą być podjęte, aby efektywnie edukować młodych użytkowników Internetu i skutecznie ścigać sieciowych przestępców. W pierwszej części konferencji wystąpił m.in. Cormac Callanan, sekretarz general- Pierwsza konferencja z cyklu Bezpieczny Internet, poświęcona problematyce bezpieczeństwa dzieci i młodzie y korzystających z Internetu, odbyła się 3 czerwca w Warszawie, w Hotelu Radisson. 5

6 Projekty edukacyjno-społeczne Od lewej: Andrzej Adamski, Maciej Kozłowski Janice Richardson Monika Gajewska-Pol Od lewej: Krzysztof Silicki dyrektor techniczny NASK, Cormac Callanan z INHOPE, Ireneusz Parafjańczuk z CERT Polska ny INHOPE, organizacji koordynującej części zaprezentowano również organizacje i instytucje działające na rzecz bez- działania narodowych punktów hotline, do których można zgłaszać nielegalne pieczeństwa w Internecie: Marcin Pol treści napotkane w Internecie. Działalność organizacji INSAFE, która nadzoruje klasa, skierowanego do uczniów i nauczy- zaprezentował założenia programu Inter- realizację programu SIAP, przedstawiła cieli, a Michał Dżoga przedstawił program Janice Richardson. Uczestnicy konferencji edukacji z Internetem, realizowany przez mieli również okazję poznania kilku projektów edukacyjno-społecznych zaprezen- Dla nauczycieli i policji w równoległych Telekomunikację Polską. towanych przez uczestników z Niemiec, sesjach popołudniowych zostały przygotowane dwa niezależne warsztaty. Nau- Norwegii i Irlandii. Łukasz Wojtasik z FDN zaprezentował działania podjęte w Polsce, czyciele ze szkół podstawowych i gimnazjów mieli okazję pogłębić swoją wie- które są realizowane w ramach SIAP. W drugim bloku tematycznym prof. Andrzej dzę o sposobach i metodach bezpiecznego, efektywnego nauczania informatyki. Adamski z Uniwersytetu im. Mikołaja Kopernika w Toruniu omówił prawne środki przeciwdziałania pornografii dziecięcej projekty edukacyjne. Konrad Wiśniewski Zostały zaprezentowane dwa internetowe i uwodzeniu dzieci w Internecie. W tej opowiedział o internetowym projekcie edu- Cykl wojewódzkich konferencji organizowanych pod nazwą Bezpieczny Internet został objęty patronatem Ministra Sprawiedliwości, Ministra Edukacji Narodowej i Sportu, Ministra Nauki i Informacji, Ministra Polityki Społecznej, Ministra Spraw Wewnętrznych i Administracji oraz Polskiego Komitetu ds. UNESCO. Sponsorem warszawskiej konferencji był Hotel Radisson. Najbliższe konferencje wojewódzkie odbędą się w Kielcach i w Krakowie. Więcej informacji na ten temat znaleźć można na stronie kacyjnym Sieciaki.pl, a Monika Gajewska-Pol o uruchomionym serwisie Strefa wiedzy w portalu Polska.pl. Praktyczne wskazówki, jak poprowadzić zajęcia dla dzieci o bezpieczeństwie w Internecie, przekazała uczestnikom konferencji Katarzyna Fenik z Fundacji. Drugi cykl, przygotowany przez polski zespół hotline Dyżurnet, był poświęcony zwalczaniu nielegalnych i niebezpiecznych treści w Internecie. O roli punktów kontaktowych hotline w międzynarodowym systemie zwalczania niebezpiecznych treści mówił Cormac Callanan, natomiast Ireneusz Parafjańczuk określił rolę policji oraz ISP w tego typu działaniach. Marek Dudek, kierownik zespołu Dyżurnet, przedstawił zasady klasyfikacji i podziału nielegalnych treści. Autorka pracuje w Zespole PR NASK 6

7 Współpraca z portalami W Y D A R Z E N II A Nasi w Mikołajkach W czerwcowych Żeglarskich Mistrzostwach Polski Branży Teleinformatycznej IT CUP 2005 najlepsza z załóg NASK (kierowana przez Jacka Terpiłowskiego) zajęła pią- Anna Radecka te miejsce. Wśród uczestników tegorocznych regat zasługuje na szczególne wyróżnienie Anna Radecka z NASK kobieta sternik, która podczas sobotnich zawodów bez wahania, z pomocą załogi wyłowiła rozbitka. Organizatorzy uhonorowali Anię pucharem Fair Play, a NASK ponownie otrzymał nagrodę wyróżniającą jego reprezentantów za wspaniałą atmosferę i dobrą zabawę. Drużyna Jacka Terpiłowskiego Z p r a s y Hotline otrzymuje wsparcie Operatorzy największych polskich portali internetowych i dostawcy Internetu będą wspierać działania podejmowane przez punkt kontaktowy ds. zwalczania nielegalnych treści w Internecie istniejący od początku tego roku przy NASK Hotline Dyżurnet.pl. Współpraca Dyżurnetu z operatorami największych polskich portali oraz z dostawcami Internetu zainaugurowana została serią spotkań jego przedstawicieli z firmami: ONET.pl, Wirtualna Polska, Hoga.pl SA, Aster City i PRO FUTURO SA. Zespół Dyżurnetu przedstawił uczestnikom rozmów zakres swoich obowiązków, sposoby postępowania ze zgłoszeniami otrzymywanymi od użytkowników Internetu oraz zasady współpracy z policją. Uczestnicy spotkań zadeklarowali swoje poparcie dla projektu tworzenia sieci narodowych hotline ów realizowanego w państwach Unii Europejskiej i dla działań podejmowanych przez polski hotline. Pierwszym efektem nawiązanej współpracy ma być wymiana banerów pomiędzy Dyżurnetem a firmami, które zadeklarowały chęć wsparcia jego działalności. Dzięki temu informacja o istnieniu Dyżurnetu dotrze do większej liczby użytkowników Internetu i pozwoli na szybsze zlokalizowanie strony, na której znajduje się niezbędna informacja i formularz służący do zgłaszania nielegalnych treści. Przedstawiciele firm, z którymi prowadzone były rozmowy, wyrazili również gotowość do utworzenia komitetu doradczego ds. walki z nielegalnymi treściami, który będzie działał przy zespole Dyżurnetu. Jego rolą ma być doradzanie zespołowi w razie otrzymania trudnych zgłoszeń, wymiana doświadczeń w zakresie usuwania nielegalnych treści w Internecie oraz opiniowanie efektów pracy Dyżurnetu. Puchar dziennikarzy CRN Polska, za stworzenie żeglarskiej atmosfery na regatach, odebrał Tomasz Chlebowski z NASK. Wręczono również puchar Fair Play. Otrzymała go Anna Radecka (sterniczka załogi NASK). Kiedy okazało się, że jeden z członków załogi Nokii wypadł za burtę, decyzja Radeckiej była błyskawiczna pechowca szybko wyciągnięto na pokład , Computer Reseller News 7

8 Nowości w NASK Nowe międzynarodowe łącze NASK NASK uruchomił łącze FastEthernet do sieci KPN Eurorings. Operator sieci KPN dostarcza pełen tranzyt ruchu IP klasy operatorskiej (IP Transit) łączem o przepustowości 100 Mbps, umiejscowionym we Frankfurcie nad Menem. NASK dzięki umowie zawartej z KPN ma dwa niezależne gwarantowane łącza do międzynarodowego Internetu. Drugim dostawcą jest firmą TeliaSonera International Carrier. NASK współpracuje z nią już od ponad pięciu lat. Taka zdublowana architektura sieci gwarantuje klientom ciągłość świadczenia usług w razie awarii jednego z dostawców. Dodatkowo NASK jest uczestnikiem punktu wymiany ruchu DE-CIX we Frankfurcie, w którym wymienia ruch IP z ponad 90 operatorami. KPN to holenderski operator narodowy. Zarządzana przez niego sieć KPN Eurorings jest nowoczesną siecią IP łączącą najważniejsze centra finansów i biznesu w Europie. Więcej informacji: Wygrany przetarg NASK wygrał przetarg na zapewnienie dostępu do Internetu dla Centrum Informacji Społeczno-Gospodarczej Ministerstwa Gospodarki i Pracy. Przetarg obejmował łącza o przepustowości od 1 do 8 Mbps, ich uruchomienie oraz integrację z łączami już istniejącymi. Na mocy umowy podpisanej z CISG operator zapewnia szerokopasmowe łącza do Internetu dla trzech warszawskich lokalizacji ministerstwa. NASK gwarantuje w umowie parametry pozwalające na sprawne korzystanie z zasobów sieci globalnej. CISG to gospodarstwo pomocnicze MGiP, którego zadaniem jest m.in. obsługa ministerstwa w zakresie udostępniania informacji społeczno-gospodarczej o gospodarce Polski, utrzymanie w sprawności eksploatacyjnej infrastruktury teleinformatycznej ministerstwa, obsługa informatyczna innych urzędów administracji centralnej oraz świadczenie usług informacyjnych w zakresie informacji społeczno-gospodarczej na rzecz użytkowników zewnętrznych. Więcej informacji: Hosting dla urzędu Urząd Miasta Stołecznego Warszawy jest następnym klientem, który korzysta z usług hostingu NASK. NASK zapewnia hosting dla serwisu Urzędu Miasta, Biura Kultury i Biura Polityki Zdrowotnej, a także dla skierowanego głównie do kobiet serwisu oraz serwisu Warszawa Biznes. Urząd korzysta z usługi hostingu oferowanego przez NASK ze względu na oferowane parametry tej usługi ważne dla administracji serwisów internetowych. W ramach usługi, poza funkcjonalnościami hostingowymi, operator zapewnia wysoki poziom bezpieczeństwa teleinformatycznego, a także możliwość zdalnego dostępu do zasobów kont za pośrednictwem łączy o gwarantowanej wysokiej przepływności. Gdzie inni nie mogą 16 września odbyła się pierwsza w Warszawie transmisja danych z wykorzystaniem bezprzewodowego systemu radiowego pracującego w koncesjonowanym paśmie radiowym 3,6-3,8 GHz. Dzięki zastosowaniu technologii radiowej NASK będzie miał własną infrastrukturę dostępową, co umożliwi świadczenie usług telekomunikacyjnych niezależnie od lokalizacji klienta. Szczegółowe testy pozwoliły wybrać system cechujący się znakomitymi parametrami teletransmisyjnymi. Wykorzystywany przez NASK system VectaStar pracuje w oparciu o zapewniającą najwyższą jakość technologię ATM oraz wykazuje dużą elastyczność przy konfiguracji usług. Zasięg stacji bazowej pracującej nawet przy ograniczonej linii widoczności wynosi około 30 km, a przeprowadzone testy nie wykazały wrażliwości systemu na zmiany pogodowe. Dzięki temu wszystkie usługi transmisyjne dostępne w ofercie NASK (Internet, VPN, telefonia stacjonarna, łącza cyfrowe) będą świadczone z zachowaniem najwyższych parametrów jakościowych gwarantowanych umowami SLA, nawet w miejscach o ubogiej infrastrukturze. Dzięki wprowadzeniu tego rozwiązania i ogólnopolskiej rezerwacji kanałów radiowych NASK jest w gronie operatorów budujących sieci nowej generacji. 8

9 Dostęp do firmow ych zasobów W Y D A R Z E N II A JOANNA DZIWISZEK Eksperci o bezpieczeństwie Spotkanie poświęcono metodom zapewniania bezpiecznego dostępu do zasobów firmowych baz danych i aplikacji wewnętrznych. Podczas sesji kierowanych do sieci wewnętrznych dyskutowano również o uwierzytelnianiu użytkowników. P R O F I L A K T Y K A Celem seminarium było określenie szerokiego zakresu zagadnień bezpieczeństwa i spojrzenie na nie zarówno z perspektywy ekspertów, jak i zastosowań praktycznych. Myślą przewodnią spotkania były słowa Fransois Mauriaca dwudziestowiecznego pisarza francuskiego, laureata nagrody Nobla Przyszłość, zanim wkracza, zawsze przedtem puka. Starano się pokazać, że zawsze lepiej jest zapobiegać atakom niż usuwać ich często naprawdę dramatyczne skutki. W czasie wykładów mówiono o bezpieczeństwie teleinformatycznym jako o działaniu przed, a nie po szkodzie. Inaugurujący seminarium wykład dotyczył kompleksowego podejścia do nowoczesnych metod zabezpieczeń. Specjalista z CERT Polska działającego w ramach NASK zespołu zajmującego się reagowaniem na przypadki naruszeń bezpieczeństwa w Internecie wygłosił wykład o cyberprzestępczości. Mówił o podziemiu internetowym oraz o czarnych rynkach kart kredytowych i organizacjach hakerskich. Nakreślił również typy zagrożeń związanych z użytkowaniem Internetu. U W I E R Z Y T E L N I A N I E Na koniec seminarium szczegółowo omówiono i pokazano, w praktyce, metody silnego uwierzytelniania pozwalające ochronić się przed zagrożeniami. Eksperci do spraw bezpieczeństwa z NASK oraz specjalista z firmy RSA Security przedstawili różne metody uwierzytelnienia w sieciach prywatnych oraz na styku z Internetem. Po seminarium goście mogli w kuluarach porozmawiać ze specjalistami z NASK, CERT Polska i RSA Security. Uczestnicy spotkania wypełnili specjalnie przygotowane ankiety, których wyniki pomogą w przygotowywaniu przez NASK następnych seminariów i szkoleń. Okazało się, że tematy związane z bezpieczeństwem są bardzo ważne. Aż 98 proc. uczestników oceniło tematykę seminarium jako ciekawą lub bardzo ciekawą, a 92 proc. uznało, że zakres tematyczny był zgodny z ich potrzebami i oczekiwaniami. Autorka pracuje w Dziale Marketingu NASK Podczas seminarium Pod koniec czerwca odbyło się w siedzibie NASK seminarium na temat Silne uwierzytelnienie jako podstawa bezpieczeństwa sieci firmowej. Zostało ono przygotowane przez NASK, CERT Polska oraz RSA Security dostawcę rozwiązań z rodziny SecurID. Piotr Lawniczak wygłasza prelekcję 9

10 Hip-hop o bezpieczeństwie Zanim włączysz kompa... P r e m i e r a u t w o r u i t e l e d y s k u S i e c i a k i 28 lipca w warszawskim klubie OnOff, oodbyła się konferencja prasowa połączona z premierą utworu muzycznego oraz teledysku Sieciaki, który zachęca dzieci do bezpiecznego korzystania z Internetu, promuje internetowy projekt edukacyjny Sieciaki.pl oraz serwis dziecięcy Strefa wiedzy w portalu Polska.pl. Premiera Sieciaków to zwiastun rozpoczynającej się tej jesieni kampanii medialnej Dziecko w sieci, mającej na celu promowanie bezpiecznych treści i zmniejszenie skali zagrożeń, których źródłem może być Internet. Utwór prezentują na antenie ogólnopolskie oraz lokalne rozgłośnie radiowe i telewizyjne. Medialny patronat nad teledyskiem i jego premierą objęła telewizja dziecięca Jetix, która emituje go w programach Jetix oraz Jetix Play. Utwór Sieciaki przygotowany został przez znane osoby krajowej sceny hip-hop, m.in: Numer Raz, Łyskacz (Mor W.A.), Parę Słów, DJ Zero. Teledysk wyreżyserował Artur Brzeziński. Utwór zachęca dzieci do bezpiecznego korzystania z Internetu, promuje internetowy projekt edukacyjny Sieciaki.pl oraz serwis dziecięcy Strefa wiedzy w portalu Polska.pl. Akcja Sieciaki podczas warszawskiego Pikniku internautów Program Safer Internet Action Plan (SIAP) został ogłoszony przez Komisję Europejską w 1999 roku. W ramach programu w całej Europie powstają narodowe punkty Awareness, których działalność koncentruje się na budowaniu świadomości o zagrożeniach, z jakimi w Sieci mogą zetknąć się jej użytkownicy. Polski punkt Awareness rozpoczął działalność 1 stycznia 2005 roku. Tworzy go konsorcjum Fundacja Dzieci Niczyje i NASK. Fundacja jest koordynatorem projektu Awareness w Polsce. Więcej o programie Safer Internet w Polsce: Konferencja prasowa w klubie OnOff 10

11 ICANN w Luksemburgu W Y D A R Z E N II A ARTUR PIECHOCKI Przed World Summit on the Information Society W odróżnieniu od wcześniejszych spotkań, które przede wszystkim skupiały się na wewnętrznej organizacji ICANN, podczas tegorocznych spotkań w Luksemburgu miały miejsce bardzo istotne wydarzenia dotyczące globalnego Internetu. Szczególną uwagę poświęcono omówieniu raportu WGIG (Working Group on Internet Governance), grupy ustanowionej przez Sekretarza Generalnego ONZ po spotkaniu WSIS w Genewie, w grudniu 2003 roku). Raportu WGIG może odegrać znaczną rolę w rozwoju Internetu na świecie. Poniższy tekst jest omówieniem tego dokumentu. Celem raportu przygotowanego przez WGIG, której przewodniczył Nitin Desai, doradca specjalny Sekretarza Generalnego ONZ ds. World Summit for Information Socjety (WSIS), było stworzenie definicji Internet Governance oraz wskazanie propozycji kierunków prac przygotowawczych przed następnym WSIS, który ma odbyć się w jeszcze tego roku w Tunisie (od 16 do 18 listopada). Raport WGIG został sporządzony na podstawie dwóch dokumentów przyjętych przez WSIS: Declaration of Principles oraz Plan of Action. Najbliższe spotkanie WSIS jest bardzo istotne dla współczesnego społeczeństwa informacyjnego ze względu na aktywne uczestnictwo w tej organizacji przedstawicieli rządów wielu państw. Według komentatorów WSIS podczas tego spotkania może dojść do podjęcia decyzji, których skutkiem będą międzynarodowe traktaty dotyczące Internetu, w tym: zwalczania tzw. cybercrime, ochrony własności intelektualnej w Internecie, egzekwowania przestrzegania prawa podczas korzystania z Sieci. E W O L U C J A I N T E R N E T U Zarządzanie Internetem zostało zdefiniowane przez WGIG jako rozwój i zastosowanie przez rządy, sektor prywatny i społeczeństwo, odpowiednio do roli każdego z nich, wspólnych podstaw, norm, zasad, procesów podejmowania decyzji i programów, które kształtują ewolucję i używanie Internetu. Jednocześnie podkreślono, iż nie jest to ostateczna definicja. Będzie ona podlegała zmianom w miarę zbliżania się światowego zjazdu w Tunezji. Zamiarem twórców definicji było wskazanie, że o tym, w jaki sposób Internet jest zarządzany, nie Ostatnie spotkania międzynarodowej organizacji Internet Corporation for Assigned Names and Numbers (ICANN) odbyły się w Luksemburgu, od 11 do 15 lipca 2005 roku. Rezolucją nr 56/183 Zgromadzenia Ogólnego ONZ z 21 grudnia 2001 roku postanowiono przeprowadzić dwuetapowo Światowy Szczyt nt. Społeczeństwa Informacyjnego (World Summit on the Information Society WSIS). Pierwszy odbył się w Genewie, zorganizowany przez rząd Szwajcarii (od 10 do 12 grudnia 2004 roku). Druga faza odbędzie się w Tunezji (od 16 do 18 listopada 2005 roku). W Genewie 175 państw przyjęło Deklarację Zasad oraz Plan Działań, które zostaną zweryfikowane w Tunezji. Celem WSIS, w którym główną rolę odgrywa ITU (Międzynarodowa Unia Telekomunikacyjna), jest dostarczenie platformy do wymiany poglądów na temat nowoczesnego społeczeństwa informacyjnego. 11

12 Raport WGIG mogą decydować same rządy, ale o przebiegu najważniejszych procesów dotyczących Internetu powinni decydować również przedstawiciele sektora prywatnego (przedsiębiorcy) oraz społeczeństwo, rozumiane jako użytkownicy Internetu. Wydaje się jednak, że zamiar ten nie do końca znalazł odzwierciedlenie w Raporcie. Międzynarodowa grupa zajmująca się globalnym Internetem zwróciła uwagę, że zarządzanie nim wymaga określenia spraw wchodzących w zakres polityki publicznej. Są to m.in.: zarządzanie krytycznymi zasobami Internetu, włączając nazwy domen oraz adresy IP, system root serwerów, standardy techniczne, połączenia sieci, infrastrukturę telekomunikacyjną oraz silniejsze wprowadzenie języków narodowych, używanie Internetu, a w tym spam, bezpieczeństwo i stabilność Internetu, przestępstwa dokonywane za pomocą Internetu (cybercrime), ochronę własności intelektualnej, handel międzynarodowy (e-commerce), rozwój Internetu w krajach rozwijających się. Raport zawiera również rekomendacje dotyczące mechanizmów zarządzania Internetem. Zaproponowano przede wszystkim stworzenie światowego forum, którego celem byłoby prowadzenie dialogu pomiędzy wszystkimi stronami zaangażowanymi w używanie i rozwój Internetu. Dialog miałby dotyczyć spraw polityki publicznej, które zostały wymienione powyżej. Zdaniem członków WGIG funkcjonujące dziś organizacje, np. OECD, ICANN nie zapewniają takiego forum, między innymi ze względu na niewielkie uczestnictwo przedstawicieli państw rozwijających się. Podstawowa, dla funkcjonowania systemu nazw domen internetowych, baza danych Internet Assigned Names Authority (IANA) jest obecnie nadzorowana wyłącznie przez rząd Stanów Zjednoczonych. WGIG stwierdził, że konieczny jest udział innych uczestników w zarządzaniu nie tylko bazą, ale całym Internetem. W tym celu stworzono cztery modele organizacji zarządzania Internetem: pierwszy model zakłada stworzenie Globalnej Rady Internetu, na którą składałyby się rządy oraz mieliby swój bliżej nieokreślony udział przedstawiciele innych uczestników Internetu. Rada powinna zostać utworzona przy ONZ i mieć za zadanie: kreowanie międzynarodowej polityki publicznej dotyczącej Internetu, nadzorowanie zarządzania jego zasobami, np.: wpisy do pliku root, przydzielanie adresów IP, wprowadzanie nowych gtld (generic Top-Level Domain), koordynację współpracy w zakresie zwalczania spamu, przestępstw z wykorzystaniem Internetu, bezpieczeństwa sieci i ochrony prywatności, ułatwianie zawierania traktatów i konwencji międzynarodowych dotyczących Internetu, opracowanie zasad do zapewnienia równości dostępu do Internetu opartego na zasadzie pokrywania kosztów, wielojęzykowości, przeprowadzanie procedur arbitrażowych, o ile będzie to konieczne. drugi model zakłada brak jakiejkolwiek organizacji nadzorującej ta propozycja została zgłoszona przez WGIG; międzynarodowa dyskusja dotycząca Internetu miałaby odbywać się wyłącznie na forum, o którym była mowa wcześniej, trzeci model zakłada wprowadzenie międzyrządowej Międzynarodowej Rady Internetu, która miałaby wykonywać obecne funkcje ICANN/IANA oraz ewentualnie inne, których nie wykonują istniejące już organizacje; funkcje sektora prywatnego i użytkowników ograniczałaby się w tej wersji do doradztwa, czwarty model obejmuje stworzenie kilku organizacji, które zajęłyby się poszczególnymi obszarami Internetu: Globalna Rada Polityki Internetu byłaby odpowiedzialna za rozwój i podejmowanie decyzji dotyczących międzynarodowej polityki Internetu, Światowa Korporacja dla Przypisanych Nazw i Numerów zajmowałaby się rozwojem technicznym i ekonomicznym Internetu, Globalne Forum Zarządzania Internetem byłoby wyznaczone do ułatwiania dyskusji nad sprawami dotyczącymi publicznej polityki Internetu; tylko w tym modelu jest przewidziany udział innych uczestników Internetu. Zaproponowane przez WGIG modele zakładają daleko posunięte zmiany w obecnej organizacji zarządzania Internetem. Zgodnie z głosami poszczególnych rejestrów krajowych wydaje się jednak, że koordynacja i współpraca, szczególnie ze strony rządów, powinna być ograniczona do wykluczenia elementów rzeczywiście szkodliwych dla Internetu, np. spamu lub przestępstw dokonywanych za pomocą sieci. Internet jest fenomenem, który będzie rozwijał się niezależnie od struktury organizacyjnej, która została zaproponowana przez WGIG. Podstawową wartość raportu należy upatrywać raczej w identyfikacji najważniejszych problemów, które będą musiały zostać rozwiązane przez istniejące organizacje międzynarodowe lub regionalne. Raport nie stanowi wersji ostatecznej i może zostać jeszcze zmodyfikowany, o ile WGIG otrzyma liczne krytyczne komentarze dotyczące jego treści. Takie zmiany przygotowuje między innymi organizacja Council of European National Top-Level Registries, w której skład wchodzi również NASK. Autor jest pracownikiem Działu Prawnego NASK 12

13 Kontrola ruchu w sieci U S Ł U G II MICHAŁ MAŁYSZKO Zarządzanie pasmem Strony www, poczta elektroniczna, grupy dyskusyjne (news), serwery FTP do tego zdążyliśmy się już przyzwyczaić. Jednak sposoby wykorzystania globalnej pajęczyny ciągle się zmieniają. Strumienie wideo, wideokonferencje, telefonia IP, aplikacje peer-to-peer... to wszystko stawia przed siecią nowe wymagania. Olbrzymia liczba aplikacji korzystających z sieci komputerowych doprowadziła do sytuacji, w której niemal każde łącze może zostać przeciążone danymi generowanymi przez użytkowników. Szczególne znaczenie ma to wtedy, kiedy sieć ma mieć przede wszystkim zastosowanie w biznesie. Nadmierny ruch generowany przez jedne aplikacje może wpłynąć negatywnie na działanie innych, krytycznych dla przedsiębiorstwa systemów, takich jak: CRM, ERP czy centralne bazy danych. Przeprowadzone latem 2003 roku przez amerykańskie czasopismo Network World badanie wykazało, że ponad 75 proc. menedżerów IT nie wie dostatecznie dobrze, jakie aplikacje generują ruch w sieciach ich firm. Przyczyną takiego stanu rzeczy nie był brak chęci zgromadzenia tej wiedzy, lecz obiektywne trudności w jej pozyskaniu. Wynikało to głównie z niedoskonałości obecnych na rynku rozwiązań, służących do monitoringu i zarządzania pasmem. NASK stara się temu zaradzić. Od niedawna oferuje usługi, które niosą pomoc klientom w zapanowaniu nad niepożądanymi zachowaniami w ich sieciach. A U D Y T Y R U C H U S I E C I O W E G O Usługą, która jest pierwszym etapem w sprawowaniu kontroli nad wykorzystaniem pasma, jest audyt ruchu sieciowego. Jest to badanie dokonywane z wykorzystaniem specjalistycznego urządzenia PacketShaper amerykańskiej firmy Packeteer, lidera rynku zarządzania pasmem (bandwidth management). Packet- Shaper jest urządzeniem przeznaczonym do monitorowania, raportowania i kształtowania ruchu w sieci. Umożliwia ono szczegółowy wgląd w zachowanie aplikacji i urządzeń transmitujących dane w sieci. Dzięki unikatowej, dogłębnej analizie ruchu (analiza zawartości pakietów) PacketShaper poprawnie identyfikuje transmisje przynależące do ponad czterystu aplikacji. Jego zdolność klasyfikacji ruchu przez analizę aż do siódmej warstwy modelu ISO/OSI umożliwia rozróżnienie setek aplikacji bez względu na to, jakiego protokołu czy numeru portu używają w procesie transmisji. Dotyczy to także aplikacji dynamicznie zmieniających używane porty lub transmitujących Dziesięć lat temu grupa studentów warszawskiej SGH zachwycała się ubogimi, jak na dzisiejsze mo liwości, zasobami stron www. Zapewne nie przypuszczali, jak wiele ró nych treści multimedialnych będzie w przyszłości przenosić ta sama sieć. 13

14 Analiza i klasy fikacja dane po standardowych portach używanych przez inne, klasyczne aplikacje (np. port 80). Bez względu na to, czy mówimy o sieci lokalnej LAN z dostępem do Internetu, czy też o korporacyjnej sieci rozległej WAN (VPN), audyt ruchu sieciowego dostarcza dokładnej analizy ruchu sieciowego z przypisaniem go do konkretnych aplikacji, hostów, użytkowników. Uzyskane w ten sposób informacje dostarczają niecodziennego i bardzo przydatnego wglądu w wydarzenie zachodzące w sieci. Umożliwiają one identyfikację źródeł problemów w ruchu sieciowym, a także zwracają uwagę na ruch generowany przez aplikacje, które nie zawsze są związane z działalnością biznesową (tzw. ruch rekreacyjny ). 780 ms 585 ms 390 ms 195 ms 0 ms Time interval: 15-min 10:53 11:41 12:29 13:17 14:05 14:53 15:41 16:29 17:17 18:05 Total Network Server Threshold Wykres opóźnienia transakcji z rozbiciem na opóźnienie sieci oraz serwerów interval: 1-hour period: 112-hour, 04-oct- 2002, 04:00 to 08-oct-2002, 20:00 1,4 M 1,1 M 700 k 350 k 0 04:00 13:20 22:4 08:00 17:20 02:40 12:00 21:20 06:40 16:00 01:20 10:40 20:00 /Inbound/ DCOM /Inbound/HTTP-Internet /Inbound/NetBIOS-IP /Inbound/EBS-Production /Inbound/Citrix, Citrix-ADC_TS_EMPAC_85_SP2_CP03 /Inbound/HTTP /Inbound/EBS-Development /Inbound/Appliance-Replication /Inbound/Exchange /Inbound/ SSL Wykres zajętości pasma z rozbiciem na poszczególne aplikacje Audyt ruchu sieciowego dostarcza wiedzy między innymi o tym: które aplikacje korzystają z pasma i w jakim stopniu, które stacje robocze lub serwery wykorzystują najwięcej pasma i za pomocą jakich aplikacji, jaki jest odpowiednia czas różnych aplikacji. Jaką część tego czasu stanowi opóźnienie sieci transmisyjnej, a jaką czas opóźnienia serwera aplikacji, jaki jest poziom retransmisji pakietów na łączu i których aplikacji on dotyczy, które aplikacje są najbardziej pasmożerne, które stacje robocze/serwery są najbardziej aktywne, jaki procent generowanego ruchu dotyczy aplikacji biznesowych, a jaki ruchu rekreacyjnego. Wynikiem przeprowadzenia audytu ruchu sieciowego jest szczegółowa wiedza o tym, co dzieje się w sieci klienta. Pozwala ona świadomie kształtować politykę wykorzystania dostępnego pasma transmisyjnego. 14

15 Narzędzia, rozwiązania Audyt ruchu sieciowego jest pierwszym, bardzo ważnym elementem zarządzania dostępnym pasmem. Wiedza uzyskana tą drogą pozwala podjąć działania skutecznie ograniczające wykryte, niepożądane działania w sieci. Sieć i aplikacje w niej działające podlegają ciągłym zmianom. Dlatego też, dla klientów, którzy pragną zagwarantować wybranym aplikacjom (lub też hostom, użytkownikom, itp.) niezbędne zasoby pasma, NASK proponuje wprowadzenie w wybranych miejscach sieci urządzenia PacketShaper. Packeteer PacketShaper jest rozwiązaniem służącym do zarządzania (shaping) z wykorzystaniem dostępnego pasma w sieci. Umożliwia on monitorowanie 5,0 M Interval: 1-hour period: 2 day, 20 oct :31 to 22 oct 2001, 22:31 3,8 M 2,5 M 1,3 M 0 02:00 06:00 10:00 14:00 18:00 22:00 02:00 06:00 10:00 14:00 18:00 22:00 /Outbound/P2P/Aimster /Outbound/P2P/ imesh /Outbound/P2P/Napster /Outbound/P2P/ Internet/SSL /Outbound/P2P/DirectConnect /Outbound/P2P/KaZaA /Outbound/P2P/Gnute11a /Outbound/ Internet/HTTP Wykres pokazujący zmianę charakterystyki ruchu po włączeniu funkcji zarządzania pasmem (shaping) i kształtowanie parametrów pracy wybranych aplikacji, hostów, użytkowników. Użycie PacketShapera umożliwia dostosowanie dostępnych parametrów sieci do charakteru używanych aplikacji, wymagań biznesowych i potrzeb użytkowników. Za pomocą definiowanej polityki alokacji pasma (bandwidth allocation) oraz kontroli ruchu (traffic shaping) PacketShaper nych i/lub maksymalnych wielkości alokowanego pasma dla danej sesji, aplikacji lub użytkownika. Opatentowany przez firmę Packeteer mechanizm kontroli sesji TCP (TCP Rate Control) proaktywnie zapobiega natłokom w sieci zarówno dla ruchu wychodzącego, jak i przychodzącego (sic!) do sieci klienta. Ten mechanizm eliminuje odrzucanie pakietów w razie natłoku Packeteer, Inc. amerykańska firma z siedzibą w Cupertino w Kalifornii, jest pionierem i wiodącym producentem rozwiązań służących do zarządzania pasmem. Produkty Packeteer pracują w ponad 7000 sieci działających w około 50 krajach, a jej rozwiązania techniczne są chronione 13 patentami. NASK ma status Affiliate Partner firmy Packeteer Inc. chroni krytyczne aplikacje oraz ogranicza i wynikające z tego faktu retransmisje. zużycie pasma przez te, mniej ważne PacketShaper zapewnia ciągłe, efektywne z punktu widzenia klienta. W ten sposób wykorzystanie dostępnego łącza, niezależnie od jego wielkości. optymalizuje wykorzystanie łącza dostępowego do sieci rozległej lub Internetu. W artykule przedstawiono najważniejsze Możliwe jest zdefiniowanie m.in. minimal- elementy rozwiązań związanych z tematyką zarządzania pasmem i oferowanych przez NASK. W razie zainteresowania szczegółami możliwych rozwiązań prosimy o skontaktowanie się z Działem Marketingu. Autor jest managerem produktu w NASK. Materiały graficzne wykorzystane w artykule pochodzą od firmy Packeteer Inc. 15

16 U S Ł U G II Produkt nowej generacji AGNIESZK A KORBEL Application Centric VPN BT Infonet, międzynarodowy operator transmisji danych zapewniający dostęp do sieci w 182 krajach, wprowadził do swojego portfolio nową usługę: Application Centric VPN. Ofertę opartą o CoS Application Centric VPN jest dostępna również w Polsce za pośrednictwem NASK. W przypadku tradycyjnych sieci wirtualnych (IP VPN) konsumpcja przepływności pasma opiera się na prostej zasadzie: pierwsze przyszło, pierwsze wyszło. Bardziej skomplikowane technologie wykorzystują klasy usług (CoS), które umożliwiają przypisanie priorytetów pakietom w zależności od wymagań danej aplikacji (inny priorytet dla głosu, wideo, inny dla FTP, e mail). Wyższy priorytet oznacza lepsze traktowanie pakietu w sieci od momentu jego wysłania aż do jego odebrania. BT Infonet rozszerzył swoje portfolio produktów o IP VPN nowej generacji, opierając się na założeniach omówionych w punkcie 3. (partrz ramka). Produkt o nazwie Application Centric VPN (AC VPN) wychodzi można podzielić na trzy zasadnicze grupy: 1. z priorytetyzacją ruchu tylko na odcinku łącza dostępowego od routera klienckiego do routera brzegowego operatora. W sieci operatora ruch przychodzący z określonym priorytetem dzielony jest tylko na jedną lub maksymalnie dwie grupy, 2. z priorytetyzacją nie tylko na odcinku łącza dostępowego, lecz również w sieci operatora aż do punktu docelowego po stronie klienta. Obie te kategorie charakteryzują się statycznym podejściem do CoS, co powoduje, że IP VPN nie dostosowuje się dynamicznie do wymagań danej aplikacji, ale opiera się tylko na priorytetyzacji i kolejkowaniu ruchu. 3. z optymalizacją i raportowaniem ruchu w zależności od aplikacji wraz z dynamiczną alokacją pasma w ramach posiadanych zasobów. Pozwala to na działanie całego IP VPN jako inteligentnego systemu, który może się dostosować do wymagań aplikacji w danym momencie, biorąc pod uwagę ograniczenia związane z przepływnością pasma. naprzeciw wymaganiom klientów pozwalając na outsourcing nie tylko sieci, ale również całego systemu zarządzania aplikacjami. Dzięki temu gwarantuje jak największą wydajność danej aplikacji przy określonym zasobie pasma. AC VPN umożliwia: rozpoznanie wszystkich aplikacji w ramach danego IP VPN, optymalizację IP VPN przez branie pod uwagę wymagania aplikacji krytycznych w danym momencie, kontrolę wydajności IP VPN przez manipulację pasmem w przypadku aplikacji z niskim priorytetem, zarządzanie IP VPN, planowanie IP VPN w zależności od założonych wymagań co do wydajności danej aplikacji. AC VPN jest usługą w pełni zarządzaną przez BT Infonet, do której konieczna jest instalacja nie tylko routera klienckiego, ale również urządzenia IP (IP Application Engine IAE), które kontroluje aplikacje oraz ruch przez nią generowany. Pakiety przepływają przez IAE, które komunikuje się z innymi IAE w sieci IP VPN w celu dostarczenia dynamicznie działającego VPN po to, aby osiągnąć jak największą wydajność aplikacji będących pod kontrolą. Takie rozwiązanie tworzy system dynamicznie reagujący na warunki w IP VPN, biorąc pod uwagę wymagania sprecyzowane dla danej aplikacji. Autorka jest country managerem w Infonet Polska 16

17 Studio multimedialne U S Ł U G II GRZEGORZ RADZIKOWSKI Wideokonferencja w studiu Wideokonferencje ułatwiają osobom biorącym w nich udział podejmowanie decyzji, zwiększają efektywność i operatywność ich działania biznesowego. Stacjonarne studio multimedialne pozwala na szybkie przygotowanie i realizację np. spotkania biznesowego z łącznością audio i wideo wysokiej jakości, bez dodatkowych kosztów związanych z wynajmem sali konferencyjnej, zestawieniem linii telekomunikacyjnych, czy zapewnieniem właściwego obrazu, dźwięku oraz światła. Spotkania wideokonferencyjne realizowane w studiu multimedialnym mogą być rejestrowane i odtwarzane później, w zależności od potrzeb klienta. Oferta wideopołączeń, realizowanych ze studia multimedialnego NASK, jest skierowana przede wszystkim do firm i instytucji, dla których kontakty międzynarodowe są istotną częścią prowadzonej działalności, między innymi: do przedstawicielstw firm międzynarodowych, zespołów projektowych pracujących w strukturach rozproszonych. Z tego typu usług korzystają także instytucje naukowe, zespoły medyczne, instytucje publiczne działające np. w strukturach UE. W ramach wideopołączeń jest zapewniona na żywo transmisja obrazu i dźwięku (w postaci cyfrowej) pomiędzy odległymi od siebie lokalizacjami. Profesjonalny sprzęt daje gwarancję usług najwyższej jakości przede wszystkim sprawnego, nieprzerwanego i niezakłóconego przebiegu wideopołączenia. Studio multimedialne NASK zapewnia pełne wyposażenie niezbędne do zestawienia i przebiegu wideotransmisji: pomieszczenie dla 6 osób, profesjonalny sprzęt techniczny, w szczególności system transmisji wideo i audio, oświetlenie i nagłośnienie studia, w którym będzie odbywać się wideopołączenie, ekran plazmowy o przekątnej 42, obsługę wideopołączenia przez operatorów kamer, specjalistów od oświetlenia, realizatorów audio i wideo, NASK wprowadził nową usługę wideopołączeń, polegającą na udostępnianiu klientom studia multimedialnego, mieszczącego się w siedzibie operatora, przy ul. Wąwozowej

18 Możliwości techniczne opiekę techniczną nad przebiegiem wideopołączenia, uzgodnienia techniczne z pozostałymi stronami wideopołączenia dotyczące kompatybilności wykorzystywanego sprzętu i łączy, wykorzystanie dodatkowych urządzeń ułatwiających pracę na odległość, m.in. whiteboardy i inne, usługi uzupełniające, m.in. streaming (publikacja strumienia wideo w Internecie), dostęp do Sieci, możliwość transmisji danych w czasie wideokonferencji. Wideopołączenia mogą odbywać się pomiędzy dwoma lokalizacjami (dwupunktowe) lub większą liczbą (wielopunktowe). Istnieje również możliwość wynajmu dużej sali konferencyjnej w NASK. Operator oferuje połączenia wideokonferencyjne nie tylko na terenie Polski, ale także Europy oraz pomiędzy kontynentami. Przedstawiony schemat ukazuje przykład realizacji wideokonferencji dwupunktowej pomiędzy Polską (studio multimedialne w NASK) a Stanami Zjednoczonymi. Dodatkowo zapewniana jest publikacja strumienia wideo w Internecie (streaming). Materiał audio oraz wideo jest na bieżąco przetwarzany do strumienia audiowideo i publikowany w Internecie. Autor jest managerem produktu w NASK Międzynarodowa wideokonferencja dwa punkty: sala konferencyjna w USA na 160 osób oraz studio multimedialne w NASK dla 6 osób, dwa sposoby łączności (IP oraz ISDN) w praktyce zastosowano ISDN (4 * BRI = 512 kbps), ekran plazmowy 42, zapewnienie oświetlenia studio, zapewnienie realizacji dźwięku (obecny realizator dźwięku), zapewnienie realizacji wideo (obecny realizator wideo), zapewnienie filmowania (dwie kamery z operatorami w studio). P S T N USA Polska NASK, Warszawa ISDN ISDN monitor plazmowy kamera monitor IN T ERNE T głośnik głośnik wideoterminal studio multimedialne TCP/IP TCP/IP 18

19 Włamanie do komputera B E Z P IIE C Z E Ń S T W O MIROSŁ AW MAJ Kto ponosi odpowiedzialność? Odpowiedź na tak postawione pytanie jest potrzebna przede wszystkim dlatego, że od kiedy włamania do komputerów się zdarzają, na hakerów często nakładany jest klosz ochronny, ponieważ opinia publiczna przywykła dostrzegać w hakerach młodych, zdolnych i inteligentnych ludzi. Właściwie trudno nie zgodzić się z którymkolwiek z tych przymiotników są one prawdziwe. Pułapka takiego rozumowania tkwi jednak w tym, że niejednokrotnie czyny popełniane przez te osoby łamią prawo (nie mówiąc o tym, czy są etyczne, czy nie) i powinny być traktowane jak przestępstwa. Krótka i dosadna konstatacja na temat odpowiedzialności hakera nie rozwiązuje problemu. W rzeczywistości należy przyjrzeć się roli innych graczy. Jeśli założymy, że włamanie do systemu jest elementem szerszego procesu sprawczego, to zauważymy, że w tym procesie odpowiedzialność może spoczywać również na innych uczestnikach komunikacji elektronicznej. P R O C E S K O M U N I K A C J I Jak wygląda ten proces? Najpierw powstaje system komputerowy, który zostaje podłączony do sieci, następnie korzysta z niego użytkownik, który wykorzystuje usługę dostarczoną mu przez ISP. W trakcie tego korzystania następuje naruszenie bezpieczeństwa, po którym należy dokonać analizy zdarzenia i ewentualnie ścigać sprawcę. Mamy więc następujących graczy : twórca systemu, użytkownik (indywidualny lub administrator), ISP, haker, organy ścigania. Pozostaje również odpowiedzialność zespołów reagujących (CERT-ów). Jak pokazuje doświadczenie, CERT-y mogą i powinny pełnić istotną rolę we wspomnianym procesie. To jednak temat na oddzielne opracowanie. Tymczasem prześledźmy zakres odpowiedzialności innych graczy, zastanawiając się przy okazji, co należałoby zmienić, aby poprawić sytuację. B E Z W Z G L Ę D N Y P R I O R Y T E T Stworzenie bezpiecznego w stu procentach systemu nie jest możliwe. Niektóre szacunki mówią o tym, że na tysiąc linii kodu przypada jedna luka w systemie, a jak wiadomo tworzone oprogramowanie jest coraz bardziej rozbudowane (Windows XP ma około 40 milionów linii kodu). Błędy zdarzają się nawet w produktach firm, dla których bezpieczeństwo to bezwzględny priorytet. W 2004 roku znaleziono 60 luk systemowych w oprogramowaniu służącym do zabezpieczenia komputerów. Błędów nie uniknęli najwięksi, tacy jak Symantec, F-Secure czy Checkpoint [1]. Nie jest jednak tak, że tej sytuacji nie da się poprawić. Na Uniwersy- Kto ponosi odpowiedzialność za włamanie do komputera? Mo na powiedzieć, e odpowiedź na to pytanie jest prosta: ten, kto się włamał. Najczęściej osobę tę nazywamy hakerem. 19

20 Różne podejścia tecie Carnegie Mellon w Pittsburgu opracowano na przykład metodologię związaną z tworzeniem oprogramowania z uwzględnieniem wymogów bezpieczeństwa, która tę sytuację może poprawić i doświadczenie pokazuje, że metodologia działa [2]. Rozwój oprogramowania oparty o tę metodologię (wspólny projekt uniwersytetu z jednym z największych producentów oprogramowania) wykazał kilkudziesięcioprocentowy spadek liczby luk w stworzonym oprogramowaniu. Nic, tylko stosować. Jeśli założymy, że włamanie do systemu jest elementem szerszego procesu, to zauważymy, że w tym procesie odpowiedzialność może spoczywać również na innych C Z Y U J A W N I A Ć L U K I? Próba odpowiedzi na to pytanie to jedna z najbardziej kontrowersyjnych kwestii w dziedzinie bezpieczeństwa teleinformatycznego. Zapoznanie się tylko z poważnymi głosami na ten temat to konieczność przestudiowania kilku setek artykułów, wystąpień konferencyjnych i opracowań mniej lub bardziej naukowych [3]. uczestnikach komunikacji elektronicznej. Na argumenty przeciwników ujawniania informacji o lukach, dotyczące braku odpowiedzialności, zwolennicy tzw. full disclosure odpowiadają: we belive in it. Ta odpowiedź świadczy o tym, że mamy do czynienia z zagadnieniem o dużym nasyceniu emocjonalnym, a dyskusja toczy się na podłożu ideologicznym, gdzie spierają się zwolennicy kontroli tego procesu ze zwolennikami pełnej wolności. Wiele prawdy jest w argumentach mówiących, że widmo ujawnienia kolejnej dziury w systemie jest najlepszą motywacją do wydajniejszej pracy twórców oprogramowania. Z drugiej strony równie prawdziwy jest fakt, że wskutek podejścia full disclosure dochodzi do znacznie większej liczby przypadków włamań do systemów. Jak to często bywa prawda leży zapewne pośrodku. Luk należy szukać, ale nie ujawniać ich zaraz po znalezieniu, tylko podjąć współpracę z twórcami oprogramowania w celu wyeliminowania błędu i przygotowania antidotum. Myślę, że w tej materii warto zaufać tym, którzy mają w tej dziedzinie największe doświadczenie. W ciągu ostatnich 10 lat do amerykańskiego zespołu CERT/CC zgłoszono blisko luk systemowych [4], tam też opracowano Vulnerability Disclosure Policy [5]. Warto przeczytać ten krótki dokument, zanim prześlemy swoje rewelacje na temat znalezionej luki na wszelkie możliwe fora na temat (nie)bezpieczeństwa. Inna sprawa, że producenci często lekceważą takie doniesienia, co skłania poszukiwaczy luk do publikowania ich. Czego możemy nauczyć użytkownika? Z przykrością, aczkolwiek uczciwie należy odpowiedzieć na to pytanie, że niewiele. Postulat edukacji i uświadamiania użytkowników powtarzany jest od lat. Dużo się robi, a efekty są mizerne. Ignorancja użytkowników komputerów, dotycząca wiedzy na temat bezpieczeństwa w sieci, jest zazwyczaj przerażająca. Aby się o tym przekonać proponuję opowiedzieć znajomemu aktywnie korzystającemu z Internetu, jednocześnie spoza branży, jakie szkody może spowodować koń trojański lub wirus w jego komputerze, koniecznie nawiązując do skutków dotyczących jego konta bankowego lub prywatnej korespondencji. Duża szansa, że pojawią się pierwsze oznaki traumy. Trzeba się pogodzić z tym, że przeciętnego użytkownika Internetu sprawa bezpieczeństwa sieci interesuje niewiele lub wcale. Analogie do zapinania pasów i instalowania autoalarmu (oprogramowanie antywirusowe, firewall) w samochodzie, zamykania samochodu po jego opuszczeniu (ochrona hasłem), i konieczności okresowych przeglądów (łatanie systemu), choć skojarzeniowo prawidłowe, po prostu nie działają. ( N I E ) W I R T U A L N E S T R AT Y Świat komputera i sieci jest dla jej użytkownika zbyt wirtualny. Dlatego poniesione straty wydają się także wirtualne, w odróżnieniu od kraksy lub kradzieży samochodu. Oczywiście nie zmienia to faktu, że edukację należy kontynuować. Sadzę jednak, że powinna ona być jak najprostsza, skupiać się na sprawach podstawowych, nazywanych często kanonem bezpieczeństwa (posiadanie oprogramowania antywirusowego, firewalla, systematyczne łatanie systemu). Wiadomości o tych rozwiązaniach, powinny być połączone z informacjami o tym, jakie mogą być rzeczywiste straty w przypadku ich 20