Reviews / articles about OS/2 |
Operating systems: ArcaOS, eComStation, IBM OS/2 Warp |
|
|
|
|
DATE: 2002-02-21 01:53:57 AUTHOR: Andrei A. Porodko
После опубликования предыдущей статьи я получил несколько писем от пользователей OS/2, в которых они сообщили о существовании еще одного продукта для шифрования дисковой информации "на-лету". Этот продукт называется AEFS. Я думаю, мы вернемся к более детальному рассмотрению этого и других подобных продуктов немного позже. Наша текущая задача состоит в том, чтобы завершить рассмотрение теоретических вопросов. Данные в линиях связи (сетях) Общими методами защиты данных в сетях также являются криптографические методы. Они защищают данные от раскрытия и частично от искажения. Вы можете спросить - А как насчет разрушения и полной защиты от искажения? Дело в том, что здесь мы пересекаем невидимую границу между защитой и передачей информации. Я уверен, мы должны рассматривать некоторые характеристики протоколов передачи данных, такие как обнаружение и исправление ошибок, гарантированная доставка пакетов, гарантированная полоса пропускания, как часть общей картины информационной безопасности. Я не буду останавливаться на деталях этих протоколов, так как существует достаточно большое количество книг посвященных этим вопросам. Я только хочу заметить, что мы не должны забывать об этой стороне дела при проектировании той или иной информационной системы. Все сети базируются на одном или нескольких сетевых протоколах. Поддержку каких протоколов мы имеем в OS/2 ? Да, по-существу, всех существующих в настоящее время. Давайте перечислим наиболее распространенные из них и дадим им характеристику с точки зрения нашей темы. Замечание: Все современные сетевые протоколы обеспечивают надежную доставку и коррекцию ошибок.
Первый из них также известен как протокол Secure Sockets Layer (SSL). Практически все протоколы Интернет имеют своих SSL двойников. Такой подход позволяет защитить стандартный поток данных между клиентом и сервером. Наиболее типичный пример - HTTPS, когда Интернет браузер и HTTP сервер устанавливают между собой специальный шифрованный канал. В OS/2 все существующие браузеры (Netscape, Mozilla etc., за исключением Links) поддерживают HTTPS протокол. Что касается серверов, это:
Существуют также и другие реализации SSL для или в рамках HTTP серверов, однако они менее распространены (например IBM HTTP server или SRE, недавно описанный здесь). Для ОС Unix cуществуют SSL реализации и для других Интернет протоколов, но для OS/2 мне известны только соответствующие части Lotus Notes Domino (SSL варианты для POP3, SMTP, NNTP и т.д.). Если Вам что-нибудь известно о продуктах для OS/2, которые поддерживают POP3S, SMTPS и т.п, дайте мне пожалуйста знать. Для разработчиков могут быть полезны следующие ссылки, OpenSSL.Org на библиотеку open-ssl library и ее порт для OS/2 avn.nikoil. Туннелирование. Под туннелированием мы понимаем создание канала для всего сетевого траффика между двумя точками, этот канал абсолютно прозрачен для пользователей на обоих концах. Если в предыдущем способе нам было необходимо иметь специальное программное обеспечение для клиента с поддержкой SSL, то здесь нет необходимости иметь какое-либо дополнительное ПО у клиентов на обоих концах соединения. Классический пример туннелирования - это Виртуальные Частные Сети (Virtual Private Network, VPN). VPN используются когда необходимо соединить две офисные локальные сети через незащищенную сеть, такую как выделенная линия или Интернет. В этом случае не важно, какую топологию имеют соединяемые сети, какие адреса они используюют. VPN может также использоваться в пределах одного офиса для создания защищенного соединения между двумя компьютерами. VPN это достаточно распространненая технология. Существуют даже ее аппаратные реализации в сетевых маршрутизаторах и коммутаторах, производимых Intel, Cisco, 3Com и т.д. Не говоря уже о соответствующих программных продуктах для создания VPN (и PPTP - как ее разновидности) для Unix, Windows и конечно же для OS/2. Поддержка VPN встроена в TCPIP стек OS/2, начиная с версии стека 4.1. Кроме этого, компания F/X Communications продолжает развитие серии свои продуктов под общим названием InJoy. Бесплатный клиент для PPTP для OS/2 доступен на сервере Родерика Кляйна. Если Вас интересует более подробная информация о виртуальных частны сетях, Вам следует найти документ "A Comprehensive Guide to Virtual Private Networks", опубликованный фирмой IBM (p/n SG245201 на RedBooks). Существует и промежуточное решение, которое располагается между туннелированием и шифрованием отдельных протоколов. Это решение позволяет туннелировать только потоки данных на конкретных TCP портах без учета типа протокола. Мне известны два продукта для этих целей для платофрмы Unix которые были портированы в OS/2, это SSH (доступен на хоббесе) и STunnel (доступен на avn.nikoil). Такой подход требует наличия специальных дополнительных программных средств на клиентской стороне. В качестве заключения для этой части нашего обзора хочу представить новый продукт, который использует преимущества стека OS/2 TCPIP - это socksd с плагином туннелирования. Это новая программа, позволяющая организовывать защищенное соединение между двумя сетями по незащищенным линиям связи для конкретных портов TCPIP, но благодаря встроенной в стек OS/2 TCPIP подержке socks, клиенту не требуется устанавливать и использовать никакого дополнительного программного обеспечения. За дополнительной информацией обращайтсь к Nickk (nickk@mail.ru). Когда следует использовать VPN, а когда туннелирование для конкретных портов? Если Вы хотите соединить две сети и Вы выделили специально для этих целей линию Интернет, то VPN будет более предпочтительным решеним. Если же Вы уже располагаете соединением Интернет и хотите связать через него две сети без потери функциональности остальных Интернет сервисов, я думаю лучше использовать туннелирование для конкретных портов. Это позволит Вам сохранить остальные TCPIP порты для обычных операций с Интернет. Шифрование сообщений электронной почты. Мы рассмотрели как защитить непрерывный поток данных в сети. Однако, иногда нам необходимо защищать отдельные посылаемые сообщения. Как правило такими сообщениями являются письма электронной почты. Единственным надежным и доступным средством, на мой взгляд, является программа Pretty Good Privacy (PGP). PGP поставляется как правило в исходных кодах, чтобы каждый мог собрать свою собственную утилиту. К счастью для пользователей OS/2 нет необходимости разбираться в ее исходных кодах, так как существует OS/2 порт этой программы и набор сопутствующих утилит. Программу можно найти на файловом архиве хоббес. Текущая (насколько я знаю) версия для OS/2 - 5.0. PGP позволяет шифровать и подписывать электронной подписью файлы, которые Вы затем можете посылать через электронную почту Интернет или другим доступным Вам способом. Я не могу сказать что это очень удобно, постоянно переключаться между программой электронной почты и pgp, но существуют некоторые программы-клиенты электронной почты, которые "понимают" и поддерживают PGP. Например - PMMail (замечание, она требует чтобы у Вас уже был установлен пакет PGP для правильного функционирования и управления ключами). Клиент электронной почты Lotus Notes также умеет шифровать и подписывать сообщения, используя при этом встроенные в Notes алгоритмы шифрования. Замечание. Мы не коснулись такой важной проблемы как управление ключами шифрования. Я предполагаю, что мы найдем для этого время немного позже. Как Вы видите, вопрос обеспечения безопасности информации очень широк и практически безграничен. Только краткое описание заняло у нас достаточно много времени. Далее я собираюсь рассмотреть тему защиты компьютера и компьютерной информации от внешних атак, например как ограничить доступ к компьютеру из Интернета.
Комментарии:
|
|
|||||||||||||||||||||||
(C) OS2.GURU 2001-2021
