×
Vyšlo v týdeníku CHIPweek číslo 14/98, 31. března 1998
Vytištěno z adresy: http://www.earchiv.cz/a98/a814k180.php3
Internet a bezpečnost
Jednou z nejčastěji kritizovaných vlastností Internetu je jeho malá bezpečnost. Tím je chápána absence zabezpečovacích mechanismů, které by chránily data při jejich přenosu. Ve skutečnosti ale míra bezpečnosti Internetu není o nic nižší než například u telefonní sítě (kde také nejsou standardně zabudovávány žádné mechanismy, chránící odposlechu, a tento je dokonce výrazně jednodušší než v případě Internetu). Přesto ale lidé běžný telefon nezavrhli, ale naučili se jej používat takový jaký je. Stejně je tomu i v případě Internetu.
- Hacker, cracker
- nebezpečí a potenciální ohrožení na Internetu skutečně existují, i když v praxi bývá jejich význam často přeceňován. Na druhé straně není správné ani jejich úplné ignorování - důležité je reálné posouzení míry ohrožení, významu toho, co má být chráněno, i možností dodatečné ochrany. Jedno z možných ohrožení přitom pochází od lidí, pro které se vžilo označení "hacker". Jsou to odborně velmi zdatní uživatelé Internetu, kteří dokáží překonat mnohé nástrahy a využít nejrůznější mezery a skulinky k provedení něčeho, co "není zcela standardní". Důležitá je přitom jejich motivace a podstata jejich "nestandardních" činů. Klasický hacker nemusí mít skutečně zlé úmysly, spíše mu jde o to, aby si ověřil svou odbornou zdatnost, aby ukázal co umí, aby se předvedl, či aby "přišel věcem na kloub" - takže například někam neoprávněně pronikne jen proto, aby se podíval co tam je, nebo aby sám sobě či někomu jinému dokázal, že to zvládne. Jde tedy v jistém smyslu o hodně specifický druh zábavy a vlastní seberealizace. Pokud má "narušitel" skutečně zlé úmysly, a své akce podniká s cílem ublížit, zničit, něco neoprávněně získat, využít apod., pak je označován spíše jako "cracker". V praxi ale toto jemné rozlišení není bráno příliš v úvahu, a termínem "hacker" je nepříliš správně označován i cracker, neboli i ten, kdo má skutečně zlé úmysly.
- Firewall
- absenci zabezpečovacích mechanismů v samotném Internetu (na úrovni jeho přenosových mechanismů) lze samozřejmě kompenzovat dodatečnými opatřeními, které se realizují v koncových uzlech (nikoli v přenosových částech sítě), a to tam, kde jsou skutečně zapotřebí (na úrovni konkrétních aplikací). Taková je ostatně i celková filosofie Internetu, která říká že přenosové mechanismy by měly hlavně přenášet data, zatímco o další věci (včetně zabezpečení) by se měly starat ty subjekty (koncové uzly a aplikace na nich provozované), které to fakticky potřebují a jsou k tomu i lépe disponovány a vybaveny. Ke zvýšení bezpečnosti přitom lze použít celou širokou škálu řešení, začínající u čistě organizačních opatření (spočívajících například v tom, že důležitá data se nenechávají na pevných discích, ale uchovávají se na disketách, které se uzamykají do trezorů). Na opačném konci spektra stojí komplexnější řešení, tvořená kombinací technických a programových prostředků. Obecně se všem takovýmto opatřením (resp. řešením na zvýšení bezpečnosti) říká "firewall", což v doslovném překladu znamená ohnivou stěnu. To odpovídá nejčastějšímu nasazení, pro potřeby oddělení chráněné privátní sítě (například podnikové sítě LAN) od "divokého" Internetu, ve kterém mohou působit různí hackeři, crackeři či jiní nezvaní uživatelé, přičemž "firewall" má sloužit právě jako zábrana proti jejich nežádoucím aktivitám.
- Packet filter (paketový filtr)
- jedním možným technickým řešením, které dokáže oddělit od sebe dvě části sítě a připustit jen konkrétně vymezený druh provozu mezi nimi, jsou tzv. paketové filtry. Lze si je představit jako hlídače, kteří kontrolují každý síťový paket který skrz ně prochází, dívají se do jeho obsahu a podle toho se rozhodují, zda jeho průchod povolí či nikoli. Pracují na úrovni síťové vrstvy (na které se přenáší jednotlivé pakety, odsud: paketové filtry), a tedy na stejné úrovni, na jaké pracují klasické směrovače - konstrukčně proto mohou být řešeny například i jako čistě softwarová nadstavba nad běžnými směrovači. Důležité ale je, že paketové filtry se "dívají" dovnitř datových paketů ještě hlouběji, než jak činí běžné směrovače, a dokáží z nich tudíž získat mnohem více informací a podkladů pro své rozhodování (například to, které aplikaci data patří). Celý firewall, chápaný jako "řešení zvyšující bezpečnost" přitom může být realizováno jedním jediným paketovým filtrem (tj. pak je paketový filtr sám o sobě firewallem). Stejně tak ale může být paketový filtr použit jako součást komplexnějšího řešení, které plní roli firewallu.
- DMZ, Demilitarized zone (demilitarizovaná zóna)
- komplexnější řešení, plnící roli firewallu, bývají založena na použití určitého "mezistupně" mezi oběma světy, které mají být řízeným způsobem propojeny - tedy mezi chráněnou privátní sítí, a nechráněným Internetem. Tento mezistupeň má charakter malého samostatného síťového segmentu, který je "viditelný" z každé z obou stran, ale není "průhledný skrz": díky způsobu, jakým je propojen s privátní sítí i se samotným Internetem je možný pouze takový provoz, který začíná či končí v tomto "mezistupni", ale žádný provoz nemůže projít "skrz" něj. V odborné terminologii se tomuto mezistupni říká trefně "demilitarizovaná zóna", neboť skutečně slouží jako určité nárazníkové pásmo mezi oběma okolními světy. Jde ostatně o stejný princip, jaký lidé znají už celá staletí, a používali jej třeba při stavbě středověkých hradů - ty obehnali vodním příkopem, přes který se nikdo nemohl dostat. Pak vytvořili jedinou, hodně úzkou bránu do hradu (s padacím mostem), a ta byla jediným místem, skrz které bylo možné se do hradu dostat. U brány přitom stál hlídač, a nikdo nemohl kolem něj proklouznout bez povšimnutí - hlídač si každého kdo přicházel či odcházel zkontroloval, a buďto pustil, nebo nepustil. Analogicky funguje i demilitarizovaná zóna v rámci dnešních firewallu. Také skrz ni nemůže nic projít přímo, a jediná možnost je využít služeb přestupního uzlu, umístěného přímo v demilitarizované zóně (a plnícího roli hlídače).
- ALG (Application-Level Gateway)
- "hlídač", umístěný v demilitarizované zóně a zajišťující kontrolovaný průchod dat skrz tuto zónu, bude mít tím větší možnosti fundovaného rozhodnutí, čím více bude rozumět tomu, co skrz něj prochází. Proto je většina takovýchto "hlídačů", umisťovaných do demilitarizované zóny a fungujících jako přestupní uzly pro průchod skrz zónu, řešena až na úrovni jednotlivých aplikací - například samostatně pro elektronickou poštu, samostatně pro službu WWW, samostatně pro FTP atd. Proto se jim také obecně říká "Application-Level Gateway, neboli "brána na aplikační úrovni".
- Proxy
- častějším označením pro brány na aplikační úrovni je termín "proxy", či "proxy brána" (proxy gateway). Asi nejsnáze lze způsob fungování aplikační brány (proxy brány) popsat na příkladu WWW proxy brány, umístěné v demilitarizované zóně: když nějaký uživatel v chráněné privátní síti chce získat WWW stránku z některého WWW serveru v nechráněném Internetu, nemůže svůj požadavek poslat přímo, skrz demilitarizovanou zónu (protože skrz ni nic neprojde). Místo toho uživatelův browser pošle požadavek WWW proxy bráně, umístěné přímo v demilitarizované zóně. Ta pak požadavek znovu vyšle (nyní již svým jménem) z demilitarizované zóny do nechráněného Internetu, počká si na odpověď, a tu pak vrátí zpět původnímu žadateli. Důležité přitom je, že uživatel v chráněné privátní síti nemusí o ničem vědět - existence WWW proxy brány mu může zůstat utajena (a "ví o ní" jen jeho browser, který je nakonfigurován tak, aby všechny uživatelovy požadavky posílal příslušné proxy bráně).
- Caching proxy (cachující proxy brána)
- s funkcí proxy brány bývá často spojena i existence vyrovnávací (cache) paměti, která si pamatuje odpovědi na požadavky které sama zprostředkovala. Při dalším požadavku na stejná data pak může poskytnout odpověď přímo ze své cache paměti, což je jednak rychlejší, a jednak to šetří přenosovou kapacitu. Nejčastější jsou cachující proxy brány používány právě pro službu WWW - zde si cachující brána pamatuje WWW stránky, které skrz ni prošly, a při opakované žádosti o tytéž stránky je již nemusí sama znovu získávat z jejich originálního umístění.