Обновите ArcaOS до уровня NeoWPS Установите набор PNG иконок, нарисованных дизайнером, специализирующемся на оформлении OS/2 Установите eSchemes 2018, чтобы менять цвета и кнопки на рабочем столе

TITLE: Несколько слов о безопасности (часть вторая)

DATE: 2002-02-21 01:53:57

AUTHOR: Andrei A. Porodko

После опубликования предыдущей статьи я получил несколько писем от пользователей OS/2, в которых они сообщили о существовании еще одного продукта для шифрования дисковой информации "на-лету". Этот продукт называется AEFS. Я думаю, мы вернемся к более детальному рассмотрению этого и других подобных продуктов немного позже.

Наша текущая задача состоит в том, чтобы завершить рассмотрение теоретических вопросов.

Данные в линиях связи (сетях)

Общими методами защиты данных в сетях также являются криптографические методы. Они защищают данные от раскрытия и частично от искажения. Вы можете спросить - А как насчет разрушения и полной защиты от искажения? Дело в том, что здесь мы пересекаем невидимую границу между защитой и передачей информации. Я уверен, мы должны рассматривать некоторые характеристики протоколов передачи данных, такие как обнаружение и исправление ошибок, гарантированная доставка пакетов, гарантированная полоса пропускания, как часть общей картины информационной безопасности. Я не буду останавливаться на деталях этих протоколов, так как существует достаточно большое количество книг посвященных этим вопросам. Я только хочу заметить, что мы не должны забывать об этой стороне дела при проектировании той или иной информационной системы.

Все сети базируются на одном или нескольких сетевых протоколах. Поддержку каких протоколов мы имеем в OS/2 ? Да, по-существу, всех существующих в настоящее время. Давайте перечислим наиболее распространенные из них и дадим им характеристику с точки зрения нашей темы.

Замечание: Все современные сетевые протоколы обеспечивают надежную доставку и коррекцию ошибок.

1. Netbios - как сказано у IBM, это немаршрутизируемый протокол для небольших сетей. Он не содержит никаких средств для обеспечения безопасности данных (за исключением шифрования паролей). Таким образом ни LAN Server, ни Warp Server не предоставляют никаких средств для защиты сетевого траффика при использовании протокола Netbios. Следовательно, мы можем использовать Netbios только если у нас нет в сети критичных к безопасности данных или если мы обеспечиваем защиту другим способом (включая защиту от утечки электромагнитных полей).
2. IPX/SPX. Этот набор протоколов был включен в OS/2 для совместимости с сетями Novell Netware. В большинстве случаев компьютер с OS/2 является только клиентом в сетях базирующихся на протоколах IPX/SPX. Сеть Novell Netware имеет специальные средства для шифрования потока данных, но так как этот уровень безопасности предоставляется серверами Netware, мы опустим обсуждение данного вопроса, просто отметим, что этот вопрос хорошо раскрыт в соответствующей литературе.
3. TCPIP и Netbios over TCP. Прежде всего необходимо сказать, что Netbios over TCP имеет те же самые преимущества и недостатки, что и собственно TCPIP. Так как он использует TCPIP также как всадник использует лошадь.
4. Защита в сетях TCPIP обеспечивается традиционными способами и применением современных криптографических алгоритмов. Они позволяют достаточно надежно зашифровать данные и проверить подлинность нашего корреспондента на другом конце линии. Наиболее широко распространным алгоритмом является RSA (шифрование с ассиметричными ключами). Однако, RSA - достаточно ресурсоемкий алгоритм. Поэтому в промышленном применении встречаются его различные комбинации с другими более простыми в реализации методами. Давайте рассмотрим, как это выглядит на практике. Данные в TCPIP сетях могут быть защищены на нескольких уровнях:
   • шифрование потока данных в пределах одного протокола (например secure http - https);
   • шифрование всего потока данных (туннелирование);
   • шифрование отдельных сообщений (например - сообщений электронной почты).

Первый из них также известен как протокол Secure Sockets Layer (SSL). Практически все протоколы Интернет имеют своих SSL двойников. Такой подход позволяет защитить стандартный поток данных между клиентом и сервером. Наиболее типичный пример - HTTPS, когда Интернет браузер и HTTP сервер устанавливают между собой специальный шифрованный канал. В OS/2 все существующие браузеры (Netscape, Mozilla etc., за исключением Links) поддерживают HTTPS протокол. Что касается серверов, это:

• Apache/SSL (два независимо портированных варианта avn.nikoil и silk.apana), которые поддерживаются в актуальном состоянии авторами этих портов;
• IBM Internet Connection Secure Server (ICSS), поддержка версии для OS/2 была прекращена несколько лет назад, это коммерческий продукт, последняя версия 4.2.X;
• IBM Web Traffic Express (сервер http/proxy), поддержка версии для OS/2 была прекращена несколько лет назад, это также коммерческий продукт, последняя версия 1.1.2;
• Lotus Go HTTP Server, до сих пор иногда можно найти свежие билды этого сервера на тесткейсе, последняя известная мне версия 4.6.2.8;
• Lotus Notes Domino, подсистема HTTP сервера поддерживает протокол SSL, это коммерческий продукт и он продолжает развиваться фирмой-производителем.

Существуют также и другие реализации SSL для или в рамках HTTP серверов, однако они менее распространены (например IBM HTTP server или SRE, недавно описанный здесь). Для ОС Unix cуществуют SSL реализации и для других Интернет протоколов, но для OS/2 мне известны только соответствующие части Lotus Notes Domino (SSL варианты для POP3, SMTP, NNTP и т.д.). Если Вам что-нибудь известно о продуктах для OS/2, которые поддерживают POP3S, SMTPS и т.п, дайте мне пожалуйста знать.

Для разработчиков могут быть полезны следующие ссылки, OpenSSL.Org на библиотеку open-ssl library и ее порт для OS/2 avn.nikoil.

Туннелирование.

Под туннелированием мы понимаем создание канала для всего сетевого траффика между двумя точками, этот канал абсолютно прозрачен для пользователей на обоих концах. Если в предыдущем способе нам было необходимо иметь специальное программное обеспечение для клиента с поддержкой SSL, то здесь нет необходимости иметь какое-либо дополнительное ПО у клиентов на обоих концах соединения. Классический пример туннелирования - это Виртуальные Частные Сети (Virtual Private Network, VPN). VPN используются когда необходимо соединить две офисные локальные сети через незащищенную сеть, такую как выделенная линия или Интернет. В этом случае не важно, какую топологию имеют соединяемые сети, какие адреса они используюют. VPN может также использоваться в пределах одного офиса для создания защищенного соединения между двумя компьютерами.

VPN это достаточно распространненая технология. Существуют даже ее аппаратные реализации в сетевых маршрутизаторах и коммутаторах, производимых Intel, Cisco, 3Com и т.д. Не говоря уже о соответствующих программных продуктах для создания VPN (и PPTP - как ее разновидности) для Unix, Windows и конечно же для OS/2. Поддержка VPN встроена в TCPIP стек OS/2, начиная с версии стека 4.1. Кроме этого, компания F/X Communications продолжает развитие серии свои продуктов под общим названием InJoy. Бесплатный клиент для PPTP для OS/2 доступен на сервере Родерика Кляйна. Если Вас интересует более подробная информация о виртуальных частны сетях, Вам следует найти документ "A Comprehensive Guide to Virtual Private Networks", опубликованный фирмой IBM (p/n SG245201 на RedBooks).

Существует и промежуточное решение, которое располагается между туннелированием и шифрованием отдельных протоколов. Это решение позволяет туннелировать только потоки данных на конкретных TCP портах без учета типа протокола. Мне известны два продукта для этих целей для платофрмы Unix которые были портированы в OS/2, это SSH (доступен на хоббесе) и STunnel (доступен на avn.nikoil). Такой подход требует наличия специальных дополнительных программных средств на клиентской стороне.

В качестве заключения для этой части нашего обзора хочу представить новый продукт, который использует преимущества стека OS/2 TCPIP - это socksd с плагином туннелирования. Это новая программа, позволяющая организовывать защищенное соединение между двумя сетями по незащищенным линиям связи для конкретных портов TCPIP, но благодаря встроенной в стек OS/2 TCPIP подержке socks, клиенту не требуется устанавливать и использовать никакого дополнительного программного обеспечения. За дополнительной информацией обращайтсь к Nickk (nickk@mail.ru).

Когда следует использовать VPN, а когда туннелирование для конкретных портов? Если Вы хотите соединить две сети и Вы выделили специально для этих целей линию Интернет, то VPN будет более предпочтительным решеним. Если же Вы уже располагаете соединением Интернет и хотите связать через него две сети без потери функциональности остальных Интернет сервисов, я думаю лучше использовать туннелирование для конкретных портов. Это позволит Вам сохранить остальные TCPIP порты для обычных операций с Интернет.

Шифрование сообщений электронной почты. Мы рассмотрели как защитить непрерывный поток данных в сети. Однако, иногда нам необходимо защищать отдельные посылаемые сообщения. Как правило такими сообщениями являются письма электронной почты. Единственным надежным и доступным средством, на мой взгляд, является программа Pretty Good Privacy (PGP). PGP поставляется как правило в исходных кодах, чтобы каждый мог собрать свою собственную утилиту. К счастью для пользователей OS/2 нет необходимости разбираться в ее исходных кодах, так как существует OS/2 порт этой программы и набор сопутствующих утилит. Программу можно найти на файловом архиве хоббес. Текущая (насколько я знаю) версия для OS/2 - 5.0. PGP позволяет шифровать и подписывать электронной подписью файлы, которые Вы затем можете посылать через электронную почту Интернет или другим доступным Вам способом. Я не могу сказать что это очень удобно, постоянно переключаться между программой электронной почты и pgp, но существуют некоторые программы-клиенты электронной почты, которые "понимают" и поддерживают PGP. Например - PMMail (замечание, она требует чтобы у Вас уже был установлен пакет PGP для правильного функционирования и управления ключами). Клиент электронной почты Lotus Notes также умеет шифровать и подписывать сообщения, используя при этом встроенные в Notes алгоритмы шифрования.

Замечание. Мы не коснулись такой важной проблемы как управление ключами шифрования. Я предполагаю, что мы найдем для этого время немного позже.

Как Вы видите, вопрос обеспечения безопасности информации очень широк и практически безграничен. Только краткое описание заняло у нас достаточно много времени. Далее я собираюсь рассмотреть тему защиты компьютера и компьютерной информации от внешних атак, например как ограничить доступ к компьютеру из Интернета.

• Автор: Андрей А. Породько
• Основано на материалах, любезно предоставленных Степаном Казаковым (он же Zuko).

Комментарии:

samm@nowhere.com 2002-02-21 12:08:19	Эээ. Ну в целом несколько странная статья. 1) Много ошибок. Начнём с начала. https преследует совсем другие цели нежели тунелирование. Ибо основная цель https криптовать не трафик внутри сети, а как раз именно внешний трафик который идёт через несекьюрные соединения. 2) avn apache это НЕ НЕЗАВИСИМЫЙ вариант, он базируется именно на ветке os2 которую ведёт Брайан Хавард (за что ему 10x). 3) Как минимум забыт IBM httpd в котором криптование идёт не через openssl. 4) Socks (даже v5) не обеспечивает на 100% прозрачный для клиента режим работы. Ни в OS/2 ни в w32, хотя в w32 сокс клиент от нек немного "умнее". Кроме того, при юзании тунелирования клиенту НУЖНО уст. дополнительное по. 5) Как альтернатива pgp есть smime. При этом он с нормальной лицензией. Ну и много других мелочей... Имхо для обзора это немного перебор ...
Pavel Shtemenko 2002-02-21 13:22:28	Просто поправлю, Netbios не роутиться, но зато он бриджуется ;-) (bridge). Для этого в OS/2 существует Lan Distance, он же умеет использовать и управлять сетевыми картами, имеющими аппаратное шифрование. И смутно пониматься сам имеет какие средства для шифрования траффика.
zuko 2002-02-22 01:36:04	to Samm: моей целью было пеpечислить существующие и pаботающие в OS/2 pабочие pешения. Что касается ошибок и сумбуpности - тут поppо постаpался, а мне было недосуг его pаскpитиковать ;) Что касается https - лично я считаю что это и есть туннелиpование http тpафика и пpо него мне кажется все пpавильно написано. Пpо апач от AVN - я имел ввиду что он его собиpает сам, и вpоде даже какие то фишки в нем допиливал, во всяком случае пеpеделывал особенно в ssl.
nickk 2002-02-26 21:40:18	to Samm: 1. Тунелирование == шифрация траффика, не важно между какими точками. 2. Прозрачный для клиента режим работы в соксе имеется в виду туннель прозрачный для клиента. Ни какого доп ПО не надо.
samm 2002-02-27 09:50:32	Простите, а где можно взять stunnel на сайте avn ? Какие волшбные слова надо сказать тигру и АВН`у, чтобы подобно сказочному симсиму в индексе появился сказочный stunnel ?
Sergey Posokhov 2002-02-27 18:43:11	Хвостатого надо простоквашей покормить. А вот Ануфриева ты вряд ли задобрить сможешь :-)

Прокомментируйте эту статью (напоминаем, автор работал над текстом несколько недель, уважайте мнение других).

Ваше имя: Ваш E-Mail: CODE:
Ваш комментарий:

Что такое eComStation? Вместе создаем операционную систему + 2-3 раза в год посещаем конференции + плюс общение с людьми и востребованность.