Veliki broj firmi kao okosnicu posla koristi umrežene računare. Rešenje za fizički bliske računare je relativno jednostavno: kablovi i drugi elementi za statične instalacije značajno su pojeftinili. Kompanije često imaju odeljenja, dobavljače i klijente u različitim krajevima zemlje, neke i na različitim kontinentima. U nekim slučajevima pristupanje istoj bazi podataka ili aplikaciji je nužnost, kao kada su u pitanju banke ili berzanske kuće recimo.

Rešenje je u mrežama koje se prostiru na većim površinama preko zakupljenih ili sopstvenih telekomunikacionih kanala. Za banke i multinacionalne kompanije cene takvih veza su podnošljive, za druge, korišćenje javnih linija, kao što je Internet, predstavlja primamljivije rešenje.

VPN

Iako se veći deo komunikacije sa kompanijskim servisima obavlja preko konkretnih servera (e-mail, ftp, www), kompletno rešenje ipak podrazumeva da se korisnik nađe, bar virtuelno, u sedištu. Problemi sa struktuiranjem servisa za zaposlene i obične posetioce kao i sa sigurnosnom kontrolom izrodili su koncept virtuelnih privatnih mreža (Virtual Private Network, nadalje VPN).

Korisnik uspostavlja privatni „tunel” sa centralom i od tog trenutka njegov računar učestvuje u lokalnoj mreži kao da je zaista fizički tamo. Isti koncept može da se iskoristi i za povezivanje dve odvojene mreže, u različitim gradovima recimo. Za krajnje korisnike obeju mreža, ova veza je potpuna transparentna, iz njihovog ugla sistem ima odziv kao jedinstvena struktura.

Bežično

Dodatan stepen slobode, koje rešenja za virtuelne mreže moraju da uračunaju, unose bežične mreže, koje nezadrživo dobijaju na popularnosti. Broj korisnika već je dosegao kritičnu masu: prošle godine prodato je preko sedam miliona bežičnih kartica, a procene su da će godišnji promet do 2005. godine narasti do 25 miliona. Problem je sličan kao i sa prvom generacijom bežičnih telefona koje je svako sa skenerom lako mogao da prisluškuje. Svako ko ima pristup mediju („etru”) ima priliku da „pokupi” pakete, tako da se pomenuti tunel nalazi na milost i nemilost napadaču.

GPS žmurke

Domet bežičnih kartica je relativno mali, nekoliko desetina metara, pa bi mogao da se stekne utisak da neophodna fizička blizina ograničava broj uljeza. Proizvođači su u početku tvrdili da je teško napraviti snažan prijemnik, jer tradicionalni RF prijemnici „slušaju” na uskom opsegu, dok trenutno aktuelni bežični standard 802.11b (poznat i kao WiFi) koristi široki opseg. Ispostavilo se da je antene većeg dometa lako napraviti, čak u kućnoj radinosti, koristeći metalne kutije za kafu i nekoliko žica.

Broj zainteresovanih za eksperimentisanje sa tuđim bežičnim saobraćajem je ogroman. Hakeri naoružani laptop računarima i GPS uređajima lutaju gradom u potrazi za slobodnim pristupnim tačkama. Ova praksa traganja za otvorenim mrežama dobila je i ime: wardriving. Popularnost je tolika da se po gradovima održavaju „festivali”, takozvani wardriving dani, sa odgovarajućim takmičenjima u broju otkrivenih mreža. Rezultat jednog od festivala iz prethodnog pasusa: 70 odsto otkrivenih stanica je potpuno nebranjeno.

Pasivno prisluškivanje

Za zaštitu tunela prva ideja je, naravno, kriptografija. Bežične instalacije su opremljene kriptografskim metodama sabranim u protokolu pod imenom WEP (Wired Equivalent Privacy - ekvivalent privatnosti na žičanim mrežama). Sam bežični protokol je prilično zahtevan i umanjuje efektivnu propusnu moć za oko 20 odsto, a kako upotreba WEP-a dalje oduzima, uređaji se isporučuju sa isključenom opcijom.

Greške u samoj koncepciji doveli su do prave trke između proizvođača i „momaka sa crnim šeširima”. Mesečno su se pojavljivali novi firmveri koji bi eliminisali novootkrivene napade. Da bi nezgoda bila veća, utvrđeno je da je WEP, preciznije kriptografski metod RC4 koji koristi, zahvaljujući lošem upravljanju ključevima nesiguran pri bilo kojoj dužini ključa!

IPsec

Dobra odbrana ipak postoji. Industrijski standard za sigurne privatne mreže, bežične kao i žične, je IPsec. Implementacija se, najčešće, oslanja na provereno, teško oružje kriptografije - 3DES, mada su zastupljeni svi moderni kriptografski metodi: Rijandel, TwoFish... Pažljiva i proverena implementacija daje siguran tunel, gde ukradeni saobraćaj nikako ne pomaže napadaču.

Slobodna implementacija ovog protokola nalazi se u paketu pod imenom FreeS/WAN (www.freeswan.org). Linux VPN server može da radi već na 486 računaru sa svega 16MB memorije i to bez hard diska - sa diskete. Za veći protok neophodan je jači hardver, a proizvođači mrežne opreme, kao „Lucent”, „Cisco” i „Nortel” nude i odvojena hardverska rešenja, po cenama od nekoliko stotina dolara za uređaj sposoban za osam VPN priključaka. Zahvaljujući ustanovljenom standardu svi ovi uređaju sarađuju međusobno bez većih problema.

Za klijente je dovoljna aplikacija. Security Sentinel 1.1 je popularan klijent za Windows koji može preuzeti sa www.ipsec.com i besplatan je za nekomercijalnu upotrebu. FreeS/WAN je besplatan bez izuzetka.

Žrtve

Teret kriptografije je sa pristupnog hardvera, mrežnih kartica i pristupnih tačaka, IPsec-om prebačen na računar, što je za druge bežične uređaje, Palm ili mobilni telefon, prevelik zalogaj. Zato proizvođači razvijaju dalje koncept sigurnosti za bežične uređaje.

Nova verzija IEEE standarda 802.11X obećava sigurnije elemente, dok proizvođači, u međuvremenu, nude sopstvena rešenja kao npr. „Cisco” LEAP, a RSA (kreatori RC4 algoritma) sa „Hifn” razvija novi RC4 Fast Packet Keying protokol. Nijedan od ovih metoda nije još uvek ustanovljen kao standard, što sprečava brže prihvatanje.

Dok korisnici IPsec ne moraju da brinu za podatke, za administratore servera to je još posla. Nijedan protokol ili pojedinačno rešenje ne nudi sigurnost samo po sebi. Ukoliko je pristup VPN serveru slobodan ili zaštita ključeva za pristup nije adekvatna, sva investirana energija pada u vodu. Odgovorna implementacija je osnovni preduslov na putu do sigurnosti.