Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 133

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 127 128 129 130 131 132 < 133 > 134 135 136 137 138 139 .. 181 >> Следующая

Соединения через VPN (менее дорогостоящие, чем выделенная линия) работают, только если на обоих концах канала установлены брандмауэры одного и того же поставщика. При установке нескольких брандмауэров их неполное взаимодействие между собой может создать некоторые проблемы. Однако поставщики брандмауэров, и не только они, стремятся выработать стандарты, чтобы заказчики получили свободу выбора, а узлы гладко взаимодействовали друг с другом. Недавно отдел бизнес-прилолсеиий для Internet компании NEC Technologies продемонстрировал VPN с протяженностью от США до Японии. Ввиду того, что многие стандарты шифрования запрещены к экспорту из США, в демонстрации NEC использовала шифрование DES и Triple DES на конце канала в Сан-Хосе и японскую версию DES на другом конце канала в Токио.
Сеть VPN может применяться не только для связи между двумя офисами. Часто мобильному или удаленному пользователю нужен аналогичный
п*
324 Компьютерная безопасность и практическое применение криптографии
уровень защиты и надежности при обмене информацией или доступе к сервисам Internet. Checkpoint Software использует клиентское программное обеспечение шифрования, благодаря чему удаленные пользователи имеют возможность инициировать надежное соединение либо через коммутируемые линии, либо через Internet.
Средство Checkpoint FireWall-1 SecuRemote совместимо с Firewall-1 позволяет мобильным или удаленным пользователям производить защищенную передачу данных и применять сервисы Internet, далее когда прямой защищенный канал с главным офисом установить невозможно. При установке на портативную или другую удаленную машину SecuRemote дает возможность позвонить по локальному номеру Internet вне зависимости от местоположения пользователей, инициировать соединение VPN, отправить и получить шифрованную информацию.
3.6.5. Proxy-серверы
Proxy-сервер управляет и контролирует трафик Internet между сетью компании и внешним миром. В его функции входит руководство всем исходящим трафиком и проведение его через одну точку, кэширование страниц Web и осуществление контроля над разрешенными сервисами Internet внутри и вне сети. Но даже самое подробное описание proxy-сервера не дает ясной и полной картины его возможностей, в результате до сих пор существует путаница между МЭ и proxy-серверами. Proxy-сервер молсет или размещаться на той же машине, что и МЭ, или быть установленным за ним (в зависимости от имеющегося на диске места).
На одном уровне proxy-сервер скрывает внутренние IP-адреса и обеспечивает централизацию управления и защиты исходящего трафика IP. При передаче всего трафика через proxy-сервер внутренние IP-адреса остаются скрытыми от внешнего мира.
Некоторые из МЭ, представленных на рынке, наделены функцией разделяемого шлюза, но многие брандмауэры, главным образом фильтры пакетов, такой функции не имеют. В этих случаях добавление proxy-сервера к шлюзу позволит компании выступать перед всем внешним миром под единственным IP-адресом. Данный подход имеет несколько преимуществ. Одно из них в том, что хакеры не могут получать действительные внутренние IP-адреса и использовать их против компании (метод, известный как «подделка IP-адресов» или IP-spoofing). Также компаниям не придется регистрировать каждый внутренний IP-адрес, что стоит иногда довольно дорого.
Применение межсетевых экранов
325
Proxy-протокол CERN, реализованный в наиболее популярных браузерах, поддерживает протоколы HTTP, ftp и gopher. Клиентская программа должна быть специальным образом сконфигурирована для Internet, вот для чего используется модифицированная версия HTTP. Proxy Server компании Microsoft поддерлшвает proxy-протокол CERN, так что любой совместимый с этим стандартом браузер может применить протокол без дополнительного клиентского программного обеспечения.
При работе с такими браузерами, как Navigator компании Netscape и Internet Explorer компании Microsoft, пользователь может через меню Options задать имя proxy-сервера, с которым затем браузер будет взаимодействовать автоматически. Пользователи могут также определить различные полномочия для сеансов Internet разного типа. Браузеры, не совместимые со стандартом CERN, требуют специальной конфигурации на стороне клиента.
Поддержка proxy-стандарта CERN реализована практически на любом клиенте Proxy Server (компании Microsoft) в составе посредника для Win-sock, не требующего никаких изменений на стороне клиента и поддерживающего широкий круг протоколов, в том числе протоколы, не ориентированные на Web, в частности аудио- и видеотрафик. Посредник для Winsock аналогичен Socks (шлюзу TCP для связи авторизованных клиентов с Socks-совместимым сервером или брандмауэром).
После открытия сеанса Internet в задачу proxy-сервера входит обеспечение защиты коммуникаций. Proxy Server компании Netscape использует протокол SSL, разработанный для шифрования сообщений между клиентом и удаленным сервером. Proxy-серверы обеих компаний используют этот протокол посредством организации SSL-туннелей - технологии для защищенного обмена сообщениями, например HTTP и NNTP (Network News Transport Protocol).
Предыдущая << 1 .. 127 128 129 130 131 132 < 133 > 134 135 136 137 138 139 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed