Vyšlo v publikaci EPP (Ekonomický poradce podnikatele) č. 11/97, v roce 1997
Vytištěno z adresy: http://www.earchiv.cz/a97/a711p200.php3

Internet a bezpečnost

Jedním z nejčastějších argumentů proti používání Internetu je poukaz na jeho malou bezpečnost. Jak to ale skutečně tak? Je Internet málo bezpečný? Pokud ano, v jakém smyslu je Internet málo bezpečný, a jak dalece to brání jeho praktickému používání pro nejrůznější účely? A existují nějaké možnosti zvýšení bezpečnosti Internetu?

Začněme nejprve malou úvahou na téma samotné bezpečnosti: dnes se ještě najde mnoho lidí, kteří říkají že Internet není bezpečný, a tudíž pro ně není apriorně použitelný. To je ale špatný přístup k celému problému, který se snaží dívat na bezpečnost jako na něco absolutního, co buďto je, nebo není. Bezpečnost je ve skutečnosti relativním pojmem, resp. relativní veličinou, která má určitou míru či úroveň, a je na místě se ptát, zda tato míra resp. úroveň je postačující pro účel, který je třeba naplnit, a zda ji případně nelze nějakým způsobem zvýšit. Faktem je, že takto chápaná "míra bezpečnosti" Internetu je relativně nízká - pojďme si nejprve naznačit proč tomu je, v jakém smyslu je tato míra nízká, a pak si popsat kde to vadí a jaké jsou cesty ke zvyšování míry bezpečnosti Internetu.

Bezpečnostní historie Internetu

O Internetu je všeobecně známo, že původně vzniknul jako vojenský experiment (ve formě zárodečné sítě jménem ARPAnet, ke které se později připojovaly další sítě, až se postupně zrodil dnešní Internet). Zajímavé ale je, co bylo cílem tohoto experimentu: ověřit možnost vybudování takové sítě, která by dokázala přežít i atomový úder nepřítele, a její nezasažené části dokázaly alespoň nějak rozumně fungovat. Tento požadavek se nakonec podařilo naplnit, vybudováním maximálně robustní sítě bez jakýchkoli centrálních prvků (které by nepřítel zajisté odstřelil jako první). Velká robustnost a absence centrálního prvku pak zůstala Internetu až do dnešních dnů, a právě díky těmto vlastnostem Internet dokáže fungovat i v situaci, kdy některé jeho dílčí části mají problémy a jsou mimo provoz.

Z pohledu bezpečnosti je ale důležité, že při volbě celé koncepce budoucího Internetu nebyl nastolen explicitní požadavek na výraznější zabezpečení - v době kdy už bouchají bomby by nějaké utajování už stejně nebylo k ničemu. Proto se budoucí Internet zrodil jako síť bez zabudovaných mechanismů zabezpečení. Konkrétním projevem bylo například to, že přenosové mechanismy používané v rámci Internetu (tj. zejména protokol IP na úrovni síťové vrstvy a protokoly transportní vrstvy) se samy nesnaží jakkoli šifrovat, kódovat či jinak zabezpečovat přenášená data proti neoprávněnému odposlechu.

S postupem času pak začal Internet přecházet více a více do rukou akademické sféry, která nakonec (kolem roku 1986) převzala od vojáků i financování páteřní části Internetu. Ani akademická sféra však neměla výraznější požadavky na zvýšení míry bezpečnosti Internetu, resp. na zabudování potřebných zabezpečovacích mechanismů do protokolů TCP/IP, které Internet ke svému fungování používá. Přesněji: její požadavky na zvýšení bezpečnosti Internetu nebyly tak vysoké, aby zdůvodnily relativně nákladné a složité změny, které by bylo potřeba provést.

Když se pak kolem roku 1990 Internet začal otevírat komerčnímu využití, a jeho otěže začala do svých rukou přebírat komerční sféra, otázky bezpečnosti náhle získaly zcela novou dimenzi: požadavky komerční sféry na míru bezpečnosti Internetu byly samozřejmě výrazně vyšší než dřívější požadavky akademické sféry. Stejně tak se výrazně zvětšila i schopnost komerční sféry investovat potřebné finanční prostředky do Internetu a do zvýšení jeho bezpečnosti.

S postupem času se ale začalo stále jasněji ukazovat, že zvýšení bezpečnosti Internetu není až tak technickým problémem: poměrně brzy se objevila hned celá řada možných technických řešení. Problém byl spíše v tom, jakou zvolit celkovou koncepci a strategii zvyšování bezpečnosti, jaká dostupná technická řešení zvolit, jak najít konsensus mezi všemi zainteresovanými stranami o zvoleném řešení, jak ho standardizovat a jak ho prosadit do praxe. Tento proces bohužel není ani dnes zdaleka dokončen.

Zabezpečená, nebo nezabezpečená přenosová infrastruktura pro Internet?

Jak jsme si již uvedli výše, přenosové mechanismy Internetu nepovažují za svou povinnost starat se o jakékoli zabezpečení dat, která jim byla svěřena k přenosu, tj. samy je nijak nešifrují, nekódují či jinak nezabezpečují proti nežádoucímu odposlechu. Je tomu tedy podobně jako například u veřejné telefonní sítě, kde je (čistě po technické stránce) také velmi jednoduché odposlouchávat probíhající hovory. Přesto se ale lidé naučili telefony používat, a sami si volit, co svěří relativně málo bezpečnému telefonu a co si sdělí jinou cestou.

Podobně tomu může být i s Internetem - také v jeho případě je možné vycházet z faktu, že je nezabezpečenou přenosovou infrastrukturou, a nepřenášet po něm taková data, která by se neměla dostat do cizích rukou. Je ale dobré si uvědomit, co přesně to znamená: je-li potřeba přenést nějaká citlivější a důvěrnější data, je nutné je zabezpečit již na úrovni aplikace, která je produkuje, a k přenosu je předat v již zabezpečeném tvaru. Vlastní přenosové mechanismy Internetu pak mohou zůstat takové jaké jsou (tj. nezabezpečené), a pokud by k nějakému odposlechu přeci jen došlo, neoprávněnému příjemci by odposlechnutá data nebyla k ničemu (protože by mu dalo příliš mnoho práce, než by je dokázal dešifrovat, resp. dekódovat).

Alternativní možností by bylo zabudovat příslušné zabezpečovací mechanismy přímo do přenosových sítí. To by ale přineslo mnoho negativních aspektů: například ten, že by nebylo možné zvolit takové řešení, které by vyhovělo všem možným požadavkům na bezpečnost. Požadavky jednotlivých aplikací na míru zabezpečení jsou a vždy budou odlišné - jiné budou například u soukromé pošty a jiné u bankovních transakcí prováděných po Internetu. Ať už by se pro zabezpečující mechanismy zabudované přímo do Internetu zvolila jakákoli míra bezpečnosti, vždy by se našla taková aplikace, které by tato míra nepostačovala, a musela si svou míru bezpečnosti zajišťovat sama, vlastními prostředky. Naproti tomu pro jiné, méně náročné aplikace, by větší míra bezpečnosti představovala zbytečnou režii.

Zabudováním zabezpečovacích mechanismů přímo do přenosové infrastruktury Internetu by se také zvýšila složitost celé této infrastruktury, která za svou robustnost a efektivnost vděčí zejména své jednoduchosti. Podstatný by jistě byl i psychologický faktor: pokud by bezpečnost byla zajišťovaná provozovatelem přenosové infrastruktury, zatímco uživatelem (provozovatelem aplikací) by byl někdo jiný, pak by tento uživatel plně vkládal bezpečnost o svá data do rukou někoho jiného. A to není zdaleka každý ochoten udělat.

V neposlední řadě by se zabudováním bezpečnostních mechanismů přímo do přenosové infrastruktury Internetu tato infrastruktura výrazně prodražila. V době, kdy se Internet stále rozšiřuje a kdy je tendence budovat přípojky k Internetu například i z jednotlivých domácností, to jde přesně proti žádoucímu snižování nákladů na tyto přípojky.

Bezpečné služby pro Internet

Další příčinou relativně nízké míry bezpečnosti dnešního Internetu jsou dosti "důvěřivé" služby, používané v této síti sítí. Některé z nich vůbec nevyžadují žádná hesla či jiné formy ověřování identity a oprávněnosti uživatelů, zatímco jiné ano, ale dělají to dosti naivním způsobem, který je poměrně snadné překonat. Mnoho služeb, které po uživateli požadují zadání hesla, toto heslo přenáší po síti nezakódováné, a tedy přesně v takovém tvaru, v jakém jej autor zadal. Není pak příliš těžké takovéto heslo neoprávněně odposlechnout a zneužít.

Konkrétním příkladem může být jedna z nejpopulárnějších internetových aplikací, kterou je elektronická pošta. Pro člověka, který alespoň trochu rozumí způsobu fungování el.pošty v Internetu, není větším problémem poslat někomu poštu jménem někoho jiného (například jménem Mikuláše, čerta apod.). Pro možnost zasílání obchodní korespondence elektronickou poštou je něco takového samozřejmě nepřijatelné --zde je zapotřebí zařídit věci tak, aby příjemce měl rozumnou jistotu, že zpráva skutečně pochází od toho, kdo se vydává za jejího odesilatele, a že obsah zprávy nebyl při přenosu jakkoli změněn. Stejně tak příjemce chce mít rozumnou jistotu, že adresát jeho zprávu obdržel, a že třeba někdy později nebude moci tvrdit, že nic takového nedostal. Elektronická pošta v takové podobě, jaká je dnes používaná v Internetu, nic takového nenabízí. Existují sice různá rozšíření, která potřebné zabezpečení dokáží zajistit, ale zatím nejsou ještě ve stádiu masového rozšíření a nasazení (a neexistuje ani všeobecný konsensus o tom, které řešení by mělo převládnout).

Bezpečnost pro všechny, nebo jen pro některé?

Další službou dnešního Internetu, u které je velmi pociťován nedostatek zabezpečeného fungování, je tolik populární World Wide Web. Zde není žádným problémem prohlásit některé WWW stránky za neveřejné a přístup k nim vázat na zadání správného přístupového hesla. Problém je spíše s přenosem informací mezi WWW servery a jejich klienty, a zejména pak opačným směrem, od klientů (a jejich uživatelů) směrem k WWW serverům. Za standardních okolností tato data cestují po síti v nezabezpečeném tvaru, a jejich případný odposlech tudíž není principiálně obtížný. Pokud takováto data představují konkrétní adresy WWW stránek, které si uživatel přeje zobrazit, žádné nebezpečí nehrozí. Pokud se ale jedná například o číslo kreditní karty, pak může být opravdu zle.

Lidé však chtějí využívat službu World Wide Web pro nejrůznější účely, včetně elektronického obchodování, nakupování, provádění finančních transakcí apod., a pro tyto účely je opravdu nutné zvýšit stávající úroveň bezpečnosti, kterou služba World Wide Web vykazuje. V praxi opět existuje několik návrhů a řešení, na kterých si lze názorně ukázat dva možné přístupy k řešení celé problematiky.

Prvním možným přístupem je očekávat, že zvýšit míru své bezpečnosti bude potřebovat více aplikací resp. služeb, používaných v rámci Internetu, a že se tudíž vyplatí zabudovat příslušné mechanismy takovým způsobem, aby byly využitelné všemi aplikacemi které o to budou mít zájem (což znamená implementovat je pouze jednou, a začlenit je na vhodné místo do vrstev síťového programového vybavení). Takovýmto řešením je např. koncepce tzv. SSL (Secure Socket Layer), vyvinutá firmou Netscape a podporovaná jejími browsery.

Výhodou tohoto přístupu je i skutečnost, že vše se dá zařídit tak, aby se používané aplikace nemusely nějak výrazněji měnit. Zabudované zabezpečovací mechanismy totiž mohou vytvářet jednotlivým aplikacím iluzi toho, že pracují nad takovou přenosovou infrastrukturou, která je již sama zabezpečená a sama se stará o bezpečnost přenášených dat. Nevýhodou je pak skutečnost, že takováto "společná" míra bezpečnosti nemusí všem aplikacím postačovat - ze stejných důvodů, o kterých jsme se již zmiňovali výše.

Alternativním přístupem je očekávat, že bezpečnost bude vyžadovat spíše méně aplikací, a že se tudíž vyplatí, aby si každá svou bezpečnost zajišťovala sama, vlastními prostředky (neboli aby potřebné zabezpečovací mechanismy byly implementovány pokaždé znovu, v každé z aplikací která něco takového potřebuje). Zřejmou výhodou je možnost tyto zabezpečovací mechanismy doslova "ušít na míru" příslušným aplikacím, nevýhodou nutnost jisté nadbytečnosti (opakované implementace jednoho a toho samého). Příkladem může být protokol S/HTTP (Secure HTTP), který je rozšířením stávajícího protokolu HTTP (HyperText Transfer Protocol, slouží pro komunikaci mezi WWW serverem a uživatelským browserem) o potřebné zabezpečovací mechanismy.

Jiným příkladem může být protokol SET (Secure Electronic Transactions), který je specificky zaměřen na potřeby placení po Internetu, včetně placení pomocí kreditních karet. Jde o řešení, společně vyvinuté velkými firmami v oblasti programového vybavení pro Internet (mj. i firmami Microsoft a Netscape) a společnostmi které se zabývají kreditními kartami (mj. Mastercard i Visa). Pomocí protokolu SET by například mělo být možné přenášet po Internetu údaje o kreditních kartách (v rámci jednotlivých transakcí) v zabezpečeném tvaru, aniž by se platící majitel kreditní karty musel obávat, že se někdo neoprávněný dostane k údajům o jeho kartě a bude moci je zneužít.

Myšlenka firewallů

V dnešní době existuje velké množství nejrůznějších privátních lokálních sítí, které by jejich majitelé rádi připojili i k Internetu a získali tak možnost využívat jeho služeb. Současně se však obávají možnosti narušení svých interních systémů (např. vlastních serverů, databází apod.) někým "zvenčí", z prostředí velkého a nepříliš bezpečného Internetu. Často jsou takovéto obavy zbytečně zveličovány, ale na druhé straně není ani možné je bagatelizovat. V každém případě je vhodné si podrobně rozebrat možná rizika a ohrožení, míru jejich nebezpečnosti a srovnat je s vlastními požadavky, pravidly, předpisy atd. Výsledkem by měla být ucelená představa provozovatele privátní sítě o tom, co je ochoten tolerovat a co naopak není ochoten tolerovat (v praxi se tomu říká "bezpečnostní politika"). Teprve pak by mělo následovat hledání technických možností toho, jak zmíněnou představu (bezpečnostní politiku) prakticky naplnit. V praxi se pak může ukázat například to, že všem požadavkům lze vyhovět pouhými organizačními opatřeními (třeba tím, že lidé nebudou nechávat citlivější data na pevných discích, ale budou je ukládat na diskety a ty zavírat do trezorů). Nebo se může naopak ukázat, po opravdu pečlivém zhodnocení všech požadavků a možností řešení, že jedinou šancí je vůbec se k Internetu nepřipojovat.

V praxi je ale mnohem častější případ, kdy požadavkům na zabezpečení privátní sítě proti neoprávněnému přístupu zvenčí lze vyhovět pomocí vhodných opatření a technických řešení, kterých je dnes nabízena celá široká škála. Nejčastěji jde o řešení, kterým se obecně říká firewall (v doslovném překladu: ohnivá stěna, kvůli analogii s protipožárními stěnami, které se budují mezi budovami kvůli tomu, aby v případě požáru zastavily šíření ohně).

Firewally mohou být koncipovány a řešeny různými způsoby. V principu ale všechny vychází z myšlenky, kterou lidé již znají a používají opravdu hodně dlouho, a kterou využili například u středověkých hradů: ty byly obehnány hlubokým příkopem, který bránil ve vstupu. Do hradu pak bylo možné vstoupit jedině skrz úzkou bránu, ve které stál hlídač, a každého zájemce o vstup prohlédnul. Přesně stejný princip používají i dnešní firewally: také ony obecně zakazují jakýkoli "volný" přístup do privátní sítě z vnějšího Internetu. Umožňují pouze prostup skrz přesně definované místo (analogii brány), ve které kontrolují oprávněnost každého jednotlivého požadavku (analogie hlídače).

Dvounohé firewally

Konkrétní řešení firewallů se v praxi dělí do dvou hlavních skupin. První z nich představují tzv. "dvounohé" firewally, které naznačuje první obrázek. Jde vlastně o zařízení (na bázi běžného počítače, event. směrovače), které má dvě rozhraní, přičemž jedno z nich je zapojeno do vnějšího Internetu, a druhé do privátní sítě, která má být chráněna. Veškerý provoz mezi oběma světy samozřejmě musí procházet skrz tento firewall, který zajišťuje všechny potřebné funkce - funkce "omezujícího" charakteru, které brání takovému druhu provozu jaký si majitel privátní sítě nepřeje, a funkce "povolujícího" charakteru, které umožňují takový provoz, jaký je přípustný. Výhodou tohoto řešení je možnost "krabicového" řešení, tj. zmíněný firewall může být koncipován jako ucelený produkt, který zajišťuje vše potřebné, který si zákazník koupí, nainstaluje a nakonfiguruje (resp. nechá nainstalovat a nakonfigurovat), a již nepotřebuje žádné další prvky či doplňky. Nevýhodou pak je obtížná škálovatelnost - pokud se požadavky provozovatele privátní sítě výrazněji změní, nebo třeba vzroste objem provozu skrz firewall, nemusí být možné vyhovět změnám v rámci stávajícího firewallu, a může být nutné jej celý nahradit jiným řešením. Obecně pak lze říci, že toto řešení je vhodnější pro menší firmy, podniky či instituce, a pro takové, které nemají dostatečné vlastní odborné zázemí (a spíše si chtějí koupit již hotové řešení, resp. očekávají, že potřebnou správu firewallu pro ně bude zajišťovat externí subjekt).

Firewally na principu demilitarizované zóny

Alternativní možností řešení firewallu ukazuje druhý obrázek. Jde o řešení, které počítá se zavedením "přechodového" segmentu, který lze s trochou představivosti přirovnat k padacímu mostu přes vodní příkop, obepínající středověký hrad. Na tomto mostě stojí hlídači, kteří kontrolují veškerý provoz, a vše je zařízeno tak, aby nebylo možné projít přes tento most a vyhnout se některému z hlídačů. V praxi je zmíněný segment označován jako tzv. demilitarizovaná zóna, a je propojen s Internetem a privátní sítí prostřednictvím dvou směrovačů. Tyto směrovače jsou přitom nakonfigurovány tak, aby byl možný přenos dat z Internetu do této demilitarizované zóny, a současně i přenos dat z privátní sítě do demilitarizované zóny (i v opačném směru), ale aby nebyl možný prostup skrz demilitarizovanou zónu, neboli přímý přenos dat z Internetu přímo do privátní sítě. To pak znamená, že veškerý provoz mezi oběma světy (mezi Internetem a privátní sítí) nutně musí začínat či končit v demilitarizované zóně. Do té přitom jsou umisťovány uzly, fungující jako přestupní body (a současně i jako "hlídači", kteří kontrolují oprávněnost každého požadavku který přes ně prochází). Důležité je, že tyto přestupní body fungují jako brány řešené na aplikační úrovni (říká se jim také proxy servery), což jim umožňuje rozumět samotné podstatě jednotlivých požadavků, a lépe tak kontrolovat jejich oprávněnost. Příkladem může být proxy brána pro službu WWW: když se uživatel nějakého browseru v rámci privátní sítě rozhodně navštívit některou WWW stránku nacházející se ve vnějším Internetu, jeho browser neodešle příslušný požadavek přímo "ven", tomu WWW serveru na kterém se zmíněná stránka nachází (protože takovýto požadavek by ani neprošel skrz demilitarizovanou zónu). Místo toho uživatelův browser zašle svůj požadavek WWW proxy bráně, nacházející se v demilitarizované zóně. Ta požadavek převezme, a jako zcela nový požadavek ho svým jménem "vysloví" (zašle) cílovému WWW serveru ve vnějším Internetu. Ten odpoví zasláním požadované stránky proxy bráně, která si následně musí "vzpomenout", kdo tuto stránku původně chtěl, a pak mu ji předat.

Obecnou výhodou řešení firewallů na principu demilitarizované zóny je jejich stavebnicový charakter - lze je mnohem lépe přizpůsobit konkrétním potřebám. Do demilitarizované zóny lze například postupně přidávat takové proxy brány, jaké jsou zapotřebí, či je posilovat, upgradovat atd. Stejně tak se do demilitarizované umisťují například "veřejné" WWW servery (tj. takové, které obsahují informace určené externím uživatelům, zatímco informace určené pouze interním uživatelům se umisťují na WWW servery nacházející se až v chráněné privátní síti). Jde tedy o mnohem pružnější a adaptabilnější řešení, než jakým jsou "dvounohé" firewally popisované v předchozím odstavci.

Jistou nevýhodou firewallů na principu demilitarizované zóny je jejich vyšší náročnost na konfiguraci, správu a systémovou údržbu. Proto jsou také řešení tohoto typu nasazována spíše u větších institucí, které si chtějí zajišťovat vlastní bezpečnost sami, a mají na to také dostatečné odborné zázemí.