Статьи об интернет безопасности

С Днем Смерть DMZ, наконец, прибыли?
В этой статье рассматриваются сетевые брандмауэры и свое место в постоянно развивающейся вычислительной среды.

Я помню собирается TechEd несколько лет назад и слушать Стив Райли (который работал в Microsoft в то время) говорить о “смерти ДМЗ”. Его “смерть DMZ” переговоры были всегда высоко присутствовали, и они всегда вызвали много споров и получили зрители говорили о том, есть еще необходимость брандмауэра. За это время было много буксировки и противников было много сильных аргументов, почему вам действительно нужно несколько брандмауэров в вашей организации. Идея тогда было то, что наиболее эффективным и наиболее эффективный способ для управления доступом к информации, хранящейся в сети было разместить несколько “ударов” по проводам между этой информации и людей, которые хотели, чтобы добраться до него.

Это было где-то около 2004 года. Мир изменился совсем немного, так как то, и Технология мир меняется быстрее, чем остальные. Еще в те дни, аргументы были не только о том, как многие брандмауэры и DMZ, вам нужно, но и о том, какие типы брандмауэров вы должны использовать. Если вы используете высокой пропускной Stateful Packet Inspection только брандмауэры? Разве вам нужно проверка на уровне приложений? Была цель контроля входящего и исходящего доступа? Были регистрации и отчетности на уровне сети требуется? Какой продавец был самый безопасный брандмауэр? Если вы используете же поставщика для всех ваших брандмауэров или вы должны распространять любовь вокруг?
Облако все изменения

Теперь мы хорошо в 2011 году и эти обсуждения уступают то, что было едва предусмотренных тогда: соображения о облако безопасности. Это было предсказано многими в промышленности, что 2011 год будет годом облака. С фирмами движущихся большее количество информации, и многие из их приложений в “облако”, уровень безопасности, предлагаемые поставщиком облака это горячая тема кнопку. Компании хотят ответы на многие вопросы, прежде чем они доверяют свои данных для кого-то за пределами корпоративной стены:

Вы не можете не задаться вопросом, почему это так, после более чем десятилетия бурных дискуссий о брандмауэрах и несколько критических ролей, которые играют на брандмауэров сети. Может быть, это потому что, с ростом “в любом месте” философии, где организации хотят, чтобы позволить сотрудникам доступ к данным, необходимым с любого устройства и из любого места в любое время ИТ-специалисты безопасности поняли, что их брандмауэры фактически делаете очень мало, кроме сокращения общего объема трафика в локальной сети, предотвращая уполномоченным трафика от достижения в Интернете.

Облако и природы распределенных данных, которые могут быть расположены в разных местах и ​​на различных устройствах становится ясно, что безопасности “Путь к успеху” в обозримом будущем, вероятно, не будет от брандмауэра стратегия. Высокую мобильность данных во втором десятилетии 20 века означает, что брандмауэр подход к защите данных потери предложения. Данные должны быть защищены, где он находится.
У DMZ, действительно ничего хорошего?

Когда вы думаете о том, как DMZ, которые развернуты в большинстве сред, вы должны признать, что они немного больше, чем сделать инфраструктуру сетевой безопасности, более сложные и включить брандмауэр администраторов сохранить свою работу. DMZ, которые используются для отдельных интернетом устройств от корпоративной сети при предположении, что существует какой-то безопасности преимущество этой методики. Проблема в том, что перед брандмауэр обеспечивает доступ к услугам, которые якобы “незащищенных” и обратно брандмауэр позволяет это же трафик на интранет. Что фактически преимущество безопасности предоставляемых конфигурации? Можно утверждать, что “мусор движения” является выгружена с интернетом устройства, но эти брандмауэры на самом деле “безопасного” что-нибудь? Печальному выводу, что в большинстве случаев они не делают, и все брандмауэр инфраструктуры заканчивается делает делает общее управление сетевой безопасности более сложный и увеличение общей стоимости бизнеса.

Кроме того, сети на основе подхода брандмауэр для защиты данных игнорирует ключевой факт: наиболее значительные нарушения безопасности из-за инсайдерских атак. Последние безопасности Wikileaks катастрофы из-за инсайдерских атак – и исследования показали, что многие из самых значительных и самых дорогих событий сети компромисса были из-за инсайдерских атак. Вы можете прочитать о самых популярных нарушений десять на печально известной инсайдеров здесь

RSA сообщила в 2009 году, что инсайдеры большую угрозу, чем хакеры.

Но опять же, задача для межсетевых экранов, когда речь заходит к контролю исходящего доступа является то, что не все устройства, что доступ к корпоративным данным, должны всегда соответствовать корпоративной политики доступа к сети. Конечно, когда ноутбуки сотрудников находятся на интранет, все хорошо, и их доступ к Интернету заблокирован и безопасным. Но что происходит, когда работник отправляется в путешествие со своим ноутбуком и подключается к сети, где корпоративного контроля доступа к сети не относится? Работник возвращается в интрасети и акции все подвиги, что его ноутбук собрались при доступе к Интернету в течение времени, что работник был вне сети. В этом случае (который является нормой для большинства компаний), корпоративные исходящего трафика управления доступом только отложить неизбежное.
Какой же выход?

Из-за облаков, все большее число устройств, которые могут получить доступ к данным, а также увеличение числа мест, где эти данные могут быть расположены, новые внимание от сети брандмауэров и к обеспечению сами данные не требуется. Более сложные подходы к списки контроля доступа и авторизации, а также отчетности по доступу к данным, также необходимы. Кроме того, должны быть механизмы, в месте, которые обеспечивают сами файлы так, что только авторизованные лица могут получить к ним доступ, вне зависимости от расположения файлов.

Списки управления доступом должны быть более гибкими и более всеобъемлющей, чем основе пользователей / групп методов, которые мы используем сегодня. Вам нужен способ для оценки пользователей в более реалистичном контексте, который включает в себя такие критерии, как:

Все вышеперечисленное является хорошим первым шагом, но первоначального доступа и авторизации это только начало. После того как данные удалены из репозитория, он должен иметь безопасности следовать независимо от того, где он идет. Здесь Rights Management Services (RMS) стали важными. В самом деле, если RightsManagement были применены к Wikileaks документы, есть хороший шанс, что путаница никогда бы не произошло.
Будет ли брандмауэры исчезают?
Реклама

В этот момент вы должны быть интересно: что о брандмауэрах? Должны ли мы просто выбросить их в окно? Является ли все это время вы провели обучение для работы с TMG или какой-либо другой брандмауэр впустую? Ну, брандмауэры не исчезнет, ​​но, как и другие методы защиты, которые принесут вам успех, безопасности должен быть перемещен ближе к где информация находится. Мощность современных процессоров компьютера теперь позволяет поставить сложные брандмауэра на каждом клиентском компьютере. В самом деле, это то, что брандмауэр Windows в режиме повышенной безопасности делает на каждом компьютере Windows 7 и Windows Server 2008 и выше.

Защита от атак изнутри в современных сетях
В данной статье рассматриваются некоторые основные шаги, которые необходимо принимать для защиты от внутренних угроз.

Согласно недавнему отчету MSNBC.com, 2011 CyberSecurity Смотреть Обследование, проведенное ЦСУ Журнал обнаружили, что больше нападений (58%) вызвано посторонними чем инсайдеров (21%), однако 33% зрения инсайдерских атак будет более дорогостоящим, по сравнению с 25% в 2010 году. Пожалуй, самое интересное пикантное в том, что внутренние атаки становятся все более изощренными, с растущим числом инсайдеров (22%) с помощью руткитов или хакерских инструментов по сравнению с 9% в 2010 году, так как эти инструменты являются более автоматизированным и легко доступны. В этой статье мы рассмотрим, как можно защитить вашу сеть от этих все более изощренных атак изнутри.
Почему инсайдерских атак являются более опасными

Внутренние атаки, по определению, проведенного людей, которые имеют законные доступ к вашей сети и системы. Они могут быть недовольные сотрудники с зуб против компании, деньги-мотивированные работники, которые используют систему, чтобы украсть из компании, подрядчиков делать работу за вас на временной основе, которые находятся там, чтобы участвовать в корпоративном шпионаже, и любого, кто злоупотребляет своими правами / ее привилегии в вашей сети, чтобы использовать его в несанкционированным способом. Некоторые злоумышленники лазутчиков, которые получают работу в компании с конкретной целью проникающего ее безопасности. Некоторые инсайдеры могут оказаться под угрозой, принуждением или подкупить посторонними лицами, чтобы украсть информацию о компании или растительных вирусов и вредоносных программ, которые принесут вниз или нарушать работу сети.

Некоторые сценарии включают в себя:

Умышленное заражение компании компьютеры и сети с вредоносными программами или вирусами, которые нарушают работу и привести к потере производительности
Представляя шпионских программ, кейлоггеров и других подобных программ, чтобы получить информацию о том, что сотрудниками или другими в компании делают
Кража паролей для входа в корпоративную сеть под видом другого, в сущности кража личности коллеги
Копирование конфиденциальной информации компании, чтобы принять или отправить за пределы компании без разрешения

Почему большинство стратегий безопасности компании сосредоточиться на посторонних

Если внутренние атаки обходятся компаниям более, почему это, что большинство политик безопасности и стратегии сосредоточены на защиту сети от внешних угроз? Есть ряд причин. Традиционно, сетевой безопасности была “Все о край”. Основа сетевой безопасности была сетевой брандмауэр – “на страже у ворот” расположен между компьютерами (и пользователи) на внутреннюю сеть и потенциально опасный “неизвестными” снаружи. Проблема с этой модели является то, что он делает большие, а иногда и недействительных предположение, что то, что все пользователи внутри можно доверять. Это не удивительно, что компании сделали это предположение. Это естественно для человеческой природы не хотят рассматривать возможность того, что “ваши” люди могут предать вас. Однако, это может быть фатальной ошибкой.

Возможно, главная причина в том, что это просто более трудным для защиты от инсайдеров. Сотрудники компании часто нуждаются в доступе к конфиденциальной информации для выполнения своей работы, что делает его уязвимым для кражи. Они имеют законные полномочия для входа в сеть, что делает его легче для них, чтобы использовать любую дыр в безопасности, чтобы сорвать услугами сети. Некоторые люди утверждают, что она не может быть сделано на всех. Они делают хороший момент: если вы даете кому-то ключи от королевства, это будет крайне сложно предотвратить его от злоупотребления их, если он действительно хочет. Тем не менее, Есть шаги, которые вы можете предпринять, чтобы сделать его более трудным для инсайдеров сделать значительный ущерб.
Разработка стратегии безопасности для защиты от инсайдерских атак
Реклама

Так же, как предприятия розничной торговли имеют место в программах предотвращения потери держать сотрудников от кражи товаров или денежных средств, предприятий, которые занимаются важным электронных данных (которая включает в себя подавляющее большинство из них в эти дни) нужно думать в терминах данных предотвращения потерь (DLP) программ . Есть ряд технологий DLP доступны от различных поставщиков, но всеобъемлющей стратегии идет дальше, чем просто покупка устройства DLP и подключить его дюйм

Вы никогда не можете быть в состоянии полностью устранить риск атак изнутри, но вот некоторые из вещей, которые вы можете сделать, чтобы уменьшить заболеваемость и воздействия:

Реализация посвященный DLP устройства или программного обеспечения. DLP-устройств или программного обеспечения позволяют отслеживать перемещение данных Вашей компании, либо в режиме реального времени или по сбору информации и обобщению ее в ежедневные или еженедельные отчеты. Вы хотите, система DLP, которые могут перехватывать и читать SSL или другой зашифрованные сообщения, или пользователи будут в состоянии победить его цель просто путем шифрования данных они посылают за пределами сети. Отметим, что недостатком DLP является то, что может негативно сказаться на производительности сети.
Настройка брандмауэра для решения трафика, который проходит в обоих направлениях. Большинство современных брандмауэров способны фильтрации входящего и исходящего трафика, но многие из них настраивается только на управление бывшими. Настройка правил исходящих в брандмауэре, чтобы явно блокировать или явно разрешить сетевой трафик, который соответствует критериям вы установили. Например, вы могли бы блокировать исходящий трафик, который использует определенный номер порта.
Использование пакета инспекции в пределах сети. DLP техника и брандмауэры сосредоточиться на трафика направляется за пределы сети. Вы можете использовать Packet Inspection такие инструменты, как для анализа сети и Видимость (NAV) продукции для проверки содержимого пакетов, движущихся в пределах внутренней сети, например, когда пользователь загружает файл с сервера на свой компьютер, что он не должен иметь доступ к или не нужно делать свою работу. NAV инструменты могут изучить содержимое на большую глубину и искать определенные слова или типы данных (такие как номера социального страхования или номера счетов) в рамках документа или файла. NAV имеет те же проблемы, как DLP, что она может замедлить производительность сети.
Использование почты безопасности продуктов контентной фильтрации. Вы можете использовать функцию фильтрации контента на ваш электронный продуктов для обеспечения безопасности, например, блокировать исходящие сообщения, содержащие определенные ключевые слова, или заблокировать пользователям отправлять вложения, чтобы предотвратить инсайдеров от отправки конфиденциальной информации за пределы сети.
Шифрование данных. Шифрование конфиденциальных данных сделает его более трудным для тех, кто внутри сети (а также посторонних), чтобы иметь возможность доступа и читать информацию, даже если они все же удалось перехватить и взять ее пределами.
Наименее политики привилегии. Для лучшей безопасности и защиты от внутренних угроз, всегда следовать политике предоставления пользователям наиболее ограниченный набор привилегий, которые будут по-прежнему позволяют им делать работу, которую они должны сделать.

Как блокировать опасные Instant Messengers Использование сервера ISA Server
Я получаю много вопросов о том, как ISA Server может быть использован для блокирования опасных приложений. Что такое опасное заявление?

Я получаю много вопросов о том, как ISA Server может быть использован для блокирования опасных приложений. Что такое опасное заявление? Я полагаю, что в зависимости от которых вы спрашиваете, но уже в следующем списке перечислены некоторые из наиболее часто упоминаемых:

Я считаю все эти приложения опасно. Эти приложения позволяют передачи файлов и сообщений в обход нормальной ISA Server по фильтрации и системы управления содержанием. Если вы ищете для безопасной сетевой среде, это хорошая идея, чтобы блокировать все из них.

Instant Messengers больше, чем просто негативные последствия безопасности. Вы должны учесть потери производительности из-за не-бизнес, связанный “чат” и перерывы в нормальном потоке работы. Хотя мгновенных сообщений используется для предварительного девочек-подростков проверки на состояние их Hello Kitty, они не имеют особого смысла в бизнес-среде.

Исключением является ситуация, когда Instant Messengers которые используются, чтобы позволить сотрудникам общаться друг с другом по корпоративной сети. Instant Messengers можно найти хорошее применение во внутренней корпоративной сети в качестве дополнения к телефонные звонки и сообщения электронной почты.

Мы должны каким-то образом, чтобы предотвратить эти приложения взаимодействовать с пользователями Интернета. Лучший способ справиться с этим состоит в разработке политики использования сети, который запрещает использование этих приложений и управления резервную копию этой политики. Управление поддержки является обязательным, если вы хотите политики использования иметь некоторые зубы в нем.

После политики использования сети находится в месте, вы можете использовать ISA Server Firewall журнала службы и доклады приложения инвентарь, чтобы определить, кто использует запрещенные программы. Вы можете создать отчет на основе этих ресурсов и представить информацию руководитель пользователя. Это, как правило, весьма эффективны в получении правонарушителя прекратить запрещенное поведение.

Однако, не все предприятия в состоянии или не желание, чтобы предотвратить опасное использование приложения в этом своего рода “фронт” образом. Компании имеют различные корпоративные культуры. Вы можете оказаться без поддержки политики использования сети. Если это ваша ситуация, вы должны будете выполнять “стелс” мер по предотвращению ущерба от пользователей сети безопасности.

Отличный способ сделать это за счет использования клиента брандмауэра. Программное обеспечение клиента брандмауэра может быть установлен на все сети Microsoft способны операционных систем кроме Windows 3.x. Вы все еще можете воспользоваться Firewall Service для Win 3.x клиентов, установив Proxy Server 2.0 Winsock Proxy клиент на них. В самом деле, я рекомендую установить клиент брандмауэра на всех операционных системах, что клиент Firewall может быть установлена ​​на.

Блокировка сетевых приложений с помощью Configuration Firewall Client

Вы можете внести изменения в mspclnt.ini файл на ISA Server. Этот файл содержит информацию о конфигурации машины Firewall клиента. Он загружается с сервера ISA Server на ISA клиентов каждые шесть часов по умолчанию. Этот файл хранится в разных местах на клиентских машинах в зависимости от операционной системы.

Ваш первый шаг, чтобы выяснить, что имя исполняемого файла для наступления приложения. Ниже приведен список общих опасных приложений и их EXE-файлов.:

Открыть ISA Management консоли разверните Серверы и массивы и расширить свой сервер. Щелкните на вкладке Настройка клиента, а затем дважды щелкните по записи клиента брандмауэра в правой панели.
Вы увидите Firewall Client диалоговом окне Свойства, как показано на рисунке ниже. Нажмите кнопку Новый.

После нажатия на кнопку Новый, Вы увидите Применение настроек элемента диалогового окна, как показано ниже. Введите имя приложения без расширения файла в текстовом поле применения. Введите букву D в Ключевые списке, так что появления Отключить. В списке Значение введите число 1. Нажмите кнопку ОК, после внесения этих изменений.

После внесения изменений, чтобы заблокировать приложение, вы должны ждать, пока все клиенты скачали новый файл mspclnt.ini. Вы либо должны ждать в течение 6 часов, или вы можете заставить клиентов, чтобы загрузить файл, перейдя к каждому клиенту и нажав на кнопку Обновить сейчас в конфигурации брандмауэра диалоговом окне клиента.
После каждой клиентской машине брандмауэра скачал обновление mspclnt.ini файл, вы должны отключить все Firewall Client сессий с ISA Server. Вы можете сделать это, перейдя в консоли управления ISA и вручную отключения сессий (как показано на рисунке ниже), или можно перезапустить службу брандмауэра. Перезапуск Firewall Service заставит всех соединений клиента брандмауэра падать.

Если любой из клиентов настроены как SecureNAT клиенты, изменять их конфигурацию, удалив адрес шлюза по умолчанию. SecureNAT клиент сможет обойти ограничения установленные в wspclnt.ini файл. Вы можете настроить Windows 2000 Group Policy, чтобы блокировать доступ пользователей к апплету “Сетевые подключения” панели управления.

Это первый шаг в вашей конфигурации системы контроля доступа. Потому что некоторые клиенты должны быть настроены как SecureNAT клиенты, и потому, что все эти приложения могут обойти mspclnt.ini конфигурации, Есть еще несколько шагов, которые вы должны будете выполнять.

Применение Особенности

Было бы неплохо, если бы мы могли настроить все компьютеры как клиенты Firewall и оставить все как есть. Однако, как и все хорошие вредоносных программ, эти опасные приложения могут позволить исходящих соединений с помощью альтернативных средств. Многие из этих приложений позволяет пользователю настроить их как веб-прокси или SOCKS 4 клиентов (ISA Server не поддерживает SOCKS 5 из окна).

В дополнение к необходимости иметь дело с пользователями, которые перенастроить их применения, вы также должны иметь дело с приложениями, которые могут сканировать сеть и найти дыру. Некоторые приложения могут использовать методы маскирования и захватить веб браузера прокси конфигурации клиента без вашего ведома. Таким образом, вы должны будете сделать больше, чем просто настроить mspclnt.ini файл

Yahoo Instant Messenger

Выполните следующие шаги, чтобы заблокировать Messenger Yahoo Instant:

Блок YPAGER.EXE и YUPDATER.EXE исполняемые в mspclnt.ini файл
Создать сайт и его содержимое правило, которое блокирует http.pager.yahoo.com. Не забудьте создать Destination Set, который включает в себя этот сайт так, что вы можете создать правило.
SOCKS4 Применение фильтров должны быть отключены. Пользователи могут перенастроить Yahoo IMER как SOCKS 4 или SOCKS 5 клиентов. ISA Server не поддерживает SOCKS 5, но они могут получить с помощью SOCKS 4. Поскольку несколько легитимных приложений требуют SOCKS, вы можете спокойно отключить фильтр.

Безопасность данных при передаче через Интернет становится все более необходимым из-за постоянно растущего объема данных и значение. В настоящее время каждый пользователь сети общего пользования посылает различные типы данных, от электронной почты до кредитных карт в день, и он бы хотел, чтобы они были защищены при передаче по сети общего пользования. С этой целью практического протокола SSL был принят для защиты данных при передаче, которая охватывает все сетевые сервисы, которые используют TCP / IP для поддержки типичных задач приложение связи между серверами и клиентами.

Протокол SSL был разработан компанией Netscape, для обеспечения безопасности данных, транспортировались и направляется через HTTP, LDAP или POP3 слоев приложения. SSL разработан, чтобы сделать использование TCP как уровень связи, чтобы обеспечить надежную конца в конец безопасного и аутентификацию соединения между двумя точками в сети (например, между обслуживания клиентов и сервера). Несмотря на это SSL может быть использована для защиты данных при передаче в ситуациях, связанных с какой-либо услуга сети, она используется в основном в HTTP-сервер и клиентские приложения. Сегодня почти каждый доступный сервер HTTP может поддерживать сессии SSL, в то время как IE или Netscape Navigator браузеры снабжены SSL-клиент программного обеспечения.

Рисунок 1 SSL между подачей заявления и протоколы TCP / IP

SSL цели и архитектуры

Какие проблемы возникают у SSL цель? Основными целями для SSL являются:

Аутентификация клиента и сервера друг с другом: SSL протокол поддерживает использование стандартных ключевых криптографических методов (шифрование с открытым ключом) для аутентификации взаимодействующих сторон друг к другу. Хотя наиболее часто приложение состоит в аутентификации обслуживание клиентов на основе сертификата, SSL может использовать те же методы для проверки подлинности клиента.
Обеспечение целостности данных: во время сессии, данные не могут быть умышленно или неумышленно подделаны.
Обеспечение конфиденциальности данных: данные в транспорте между клиентом и сервером должна быть защищена от перехвата и быть читаем только его получатель. Это условие является необходимым для данных, связанных с самим протоколом (обеспечение движения во время переговоров) и приложения данные, которые передаются в ходе самой сессии. SSL на самом деле не один протокол, а скорее набор протоколов, которые могут быть дополнительно разделен на два слоя:

SSL использует эти протоколы для решения задач, как описано выше. Протокол SSL запись отвечает за шифрование и целостность данных. Как видно на рисунке 2, она также используется для инкапсуляции данных, передаваемых по протоколам SSL других, и, следовательно, она также принимает участие в выполнении задач, связанных с данными SSL проверить. Остальные три протоколы охватывают такие области, управление сессиями, криптографические управления параметра и передачи сообщений SSL между клиентом и сервером. До вдаваясь в более подробное обсуждение роли отдельных протоколов и их функции опишем два основных понятий, связанных с использованием SSL.

Понятия, как упоминалось выше имеют основополагающее значение для связи между клиентом и сервером, и они также охватывают ряд атрибутов. Давайте попробуем дать некоторые подробности:

соединение: это логическое клиент / сервер связь, связанных с предоставлением соответствующего типа службы. В SSL условия, он должен быть равный-равному связи с двумя узлами сети.
сессии: это связь между клиентом и сервером, который определяет набор параметров, таких как алгоритмы, номер сессии и т.д. сессии SSL создается Handshake протокол, который позволяет параметров, которые будут распределяться между соединения между сервером и клиента, и сессий используется, чтобы избежать переговоров о новых параметров для каждого соединения.
Это означает, что одной сессии является общим для нескольких SSL-соединений между клиентом и сервером. В теории, это может быть возможно, что несколько сессий являются общими для одного соединения, но эта возможность не используется на практике. Понятия сессии SSL и связи включают несколько параметров, которые используются для SSL с поддержкой связи между клиентом и сервером. В ходе переговоров рукопожатие протокола, методы шифрования, созданы и ряд параметров состояния сеанса в дальнейшем использовать в течение сессии. Состояние сеанса определяется следующими параметрами:
идентификатор сессии: это идентификатор порожденный сервером для идентификации сессии с выбранного клиентом,
Peer сертификата: сертификат X.509 от сверстников,
метод сжатия: метод, используемый для сжатия данных перед шифрованием,
Алгоритм спецификации называется CipherSpec: определяет объем алгоритм шифрования данных (например, DES) и алгоритм хеширования (например MD5), используемых в ходе сессии,
Мастер секрет: 48-байт данных, секрет распределяются между клиентом и сервером,
“Возобновление является”: это флаг, указывающий, сессия может быть использована для начала новых подключений.
Согласно спецификации, состояние соединения SSL определяется следующими параметрами:
Сервер и клиент: случайное данных, полученных как клиент и сервер для каждого соединения,
Сервер написать MAC секрет: закрытый ключ, используемый для записи данных на сервер,
Клиент написать MAC секрет: секрет использоваться для записи данных от клиента,
Сервер написать ключ: ключ шифра объемных данных зашифрован сервера и расшифрованы клиента,
Клиент написать ключ: ключ шифра объемных данных зашифрован и расшифрован клиента на сервере,
Порядковый номер: порядковые номера поддерживается отдельно от сервера сообщений, переданных и полученных данных во время сессии.

Аббревиатура MAC использованы в приведенных выше определениях средства Message Authentication Code, который используется для передачи данных во время сессии SSL. Роль MAC будет объяснено далее при обсуждении записи протоколов. Краткое описание условий необходимо было быть в состоянии объяснить следующее вопросы, связанные с функционированием протокол SSL, а именно SSL протокол записи.

SSL протокол запись

Протокол SSL запись включает в себя использование SSL в безопасном режиме и целостности сообщений обеспечена. Для этого используется верхняя протоколов SSL слоя. Цель протокола записи SSL является принять заявление сообщение, которое будет передано, фрагмент данных, который должен быть отправлен, инкапсулировать его соответствующими заголовками и создать объект только называется запись, которая в зашифрованном виде и могут быть направлены для отправки в протокол TCP. Первым шагом в подготовке передачи данных приложений заключается в ее фрагментации т.е. разрушение поток данных для передачи в 16Кб (или меньше) фрагменты данных следуют процесс их преобразования в записи. Эти фрагменты данных могут быть более сжатым, хотя SSL 3.0 спецификации протокола не содержит протокол сжатия, таким образом, в настоящее время нет данных используется сжатие.
MAC отвечает за проверку целостности сообщений, включенных в передаются записи. Это результат хэш-функции, что следует конкретного хэш-алгоритма, например MD5 или SHA-1. MAC определяется как результат хэш-функция, которая получает следующие данные:
ПДК = Добавить функцию [секретный ключ, первичные данные, обивка, порядковый номер].
Секретный ключ в создании MAC-либо клиента написать MAC тайну или сервера записи MAC секрет, соответственно, это зависит от того, какая сторона готовит пакет. После получения пакета, принимающая сторона вычисляет свое значение MAC и сравнивает его с получен. Если два значения совпадают, это означает, что данные не были изменены во время передачи по сети. Длина MAC полученных таким образом зависит от метода использует для своих вычислений. Далее, данные плюс MAC шифруются с использованием заданного симметричного алгоритма шифрования, например DES или Triple DES. Оба данных и MAC шифруются. Это подготовленные данные с приложением следующих полей заголовка:

Понимание роли PKI
Инфраструктура открытых ключей является концепция, которая обсуждалась в ИТ-безопасности в мире, но это не всегда хорошо понимают. Большинство из нас знает, что PKI используется для проверки подлинности и что-то делать с помощью открытого ключа пары, но многие смутно понимают, как компонент работы PKI вместе и различия между частными и коммерческими ИПК. В этой статье мы предоставим краткий обзор того, что ИПК и делает, и где он может вписаться в план обеспечения безопасности вашей организации.

Для получения дополнительной информации о шифровании и лобковой ключом, см. главу 7 в моей книге, Сцена киберпреступности (опубликовано Syngress Media), www.sceneofthecybercrime.com
Что такое PKI?

Во-первых, давайте быть ясно, о том, что ИПК это не так. PKI не метод проверки подлинности, скорее, это инфраструктура, которая использует цифровые сертификаты в качестве механизма проверки подлинности и построена, чтобы лучше управлять сертификатами и связанные с ними ключи. Цифровой сертификат сам способ надежно идентифицировать пользователя или компьютера утверждают, что владелец конкретным публичным ключом.

Открытый ключ шифрования, называемый также асимметричного шифрования, пользуется популярностью, потому что это более безопасно, чем секретный ключ (симметричный) шифрования. Два математически связанных ключей, открытый ключ и закрытый ключ, работать вместе, с одним используется для шифрования, а другой для расшифровки (который используется для этой цели зависит от того, ваша цель состоит в конфиденциальности данных или аутентификации отправителя) . Открытый ключ известны всем, кто хочет участвовать в зашифрованном связи с владельцем пары ключей. Закрытый ключ никогда не должен быть общий с кем-либо, известно только его владельцу. Это обеспечивает более безопасную систему, чем секретный ключ метод, в котором тот же ключ используется для шифрования и расшифровки и, следовательно, должны быть разделены между двух сообщающихся сторон.

Проблема с открытым ключом шифрования трудности зная открытый ключ действительно принадлежит лицу, он утверждал, что принадлежит. Пользователь может рекламировать, что открытый ключ принадлежит Джо Джонс, когда на самом деле это не так;, что пользователь может затем перехватывать сообщения, предназначенные для Джо Джонс и расшифровать их с закрытым ключом принадлежащих пару ключей. Таким образом, метод необходимые для проверки личности держателя пары ключей.

Вот где цифровые сертификаты входите доверенной третьей стороны, называемой центром сертификации, выдает сертификат, связанные с парой ключей, чтобы пользователь (или компьютер), личность которых уже проверена. Тогда другие пользователи и компьютеры могут полагаться на достоверность личности ключ владельца. Это работает несколько, как выдача удостоверений личности правительственных организаций или работодателей. Эмитент уже проверили личность человека, которому карточка выдается, так что другие (например, магазины которой держатель карты пишет чеков) зависит от сертификации эмитента о том, что владелец карты действительно, кого он / она утверждает, быть.

Цифровые сертификаты содержат информацию о владельце, открытый ключ владельца, срок действия, и цифровая подпись эмитента (сертификации). Управление цифровыми сертификатами и связанных с ними ключей является сложной, так PKI был создан, чтобы обеспечить основу для выдачи, продления, аннулирования и управления сертификатами. Стандартный ИПК и их сертификаты построены на X.509 спецификации ISO.
Что такое PKI сделаны?

PKI могут быть реализованы в рамках организации, для использования пользователям своей сети, или он может быть коммерческим предприятием, которое выдает сертификаты для пользователей Интернета, например. В любом случае, PKI состоит из следующих компонентов:

По крайней мере один центр сертификации (CA) для выдачи сертификатов.
Политики, которые регулируют работу PKI.
Цифровые сертификаты сами.
Приложения, которые написаны с использованием PKI.

Центр сертификации

Сертификации является основным компонентом инфраструктуры открытых ключей. Большинство ИПК будет иметь более одного CA. CA просто сервер, который работает какое-то программное обеспечение служб сертификации. Примером может служить Microsoft Windows 2000 Certificate Services, которая входит в состав Windows 2000 серверные операционные системы. PKI как правило, имеют корневого центра сертификации, который находится на вершине иерархии CA. Это CA выдает сертификаты на другие центры сертификации, но лучшие практики диктуют, что он не выдавать сертификаты непосредственно пользователям. Нижний уровень сертификации, называется подчиненным ЦС, выполнять ежедневные задачи выдачи пользователей и компьютеров сертификаты. Корневой центр сертификации является наиболее надежным, поэтому он должен быть в очень безопасной физическое расположение или даже сняли линию, когда он не используется. Все центры сертификации должны быть подкреплены регулярно, потому что они хранят секретные ключи, которые находятся в центре системы аутентификации ПКИ.

услуги Microsoft свидетельство также различие между сертификации предприятия (которые требуют Active Directory и благодаря этому может функционировать только в Windows 2000 или 2003 году область) и автономные центры сертификации, которые могут использовать базы данных Active Directory, но не требуют этого.

Администраторы могут установить правила для CA (ы), который будет использоваться при проверке личности пользователей и компьютеров, что запрос сертификата. В области Microsoft, пользователи могут запрашивать сертификаты для различных целей (например, защиты электронной почты), зайдя на веб-странице сертификата сервера или путем добавления Сертификаты оснастки MMC (только веб-странице используется для запроса сертификата от автономных ЦС). В некоторых случаях, сертификаты по просьбе системы без вмешательства пользователя, например, первый раз пользователь пытается зашифровать данные на диске с помощью EFS, сертификат EFS прозрачно запрашивались и не выдавались.
PKI Политика

PKI политики выложить правила, регулирующие ключ безопасности, процесс выдачи, обновления и отзыва сертификатов, жизни сертификат по умолчанию, и так далее. Общественная (коммерческих) ИПК, таких как VeriSign обязаны публиковать документ называется сертификат практика Заявление (CPS). CPS адреса такие вопросы, как ключи генерируются и хранятся, выдачи и отзыва сертификатов и т.д. Частные ИПК (тех, которыми управляют внутри компании или организации), также должны установить четкие политики, чтобы убедиться, метод для проверки личности владельцев сертификатов является надежным, чтобы установить, кто может отзывать сертификаты, как списки отзыва должны быть распространены, как часто в архив сертификаты, и определить приложения, которые могут и не могут использовать сертификаты.
Выдача, управления и отзыва сертификатов

Процесса, связанного с выдачей сертификатов и управления ими является сложным. Когда запрос на сертификат делается на CA, пару ключей должен быть создан и подписан запроса, то открытый ключ передается в центр сертификации. ЦС должен проверить подписи и идентичность, основанная на его политику. Когда это будет сделано, CA признаки открытого ключа пользователя с закрытым ключом CA. Это создает сертификат, который затем отправляется обратно на запрос. Сертификат может быть опубликован. Сертификаты могут выдаваться для ряда различных целей, включая смарт-карты, IPSec, EFS, входа в систему проверки подлинности веб-аутентификации, электронной почты, и многое другое.

Сертификаты обычно хранятся на компьютере запроса, но они могут быть перемещены (вывозимых) на другой компьютер. Вы также можете экспортировать сертификат, чтобы поддержать это, а затем импортировать его для ее восстановления.