Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Безопасность в сети Интернет 4 страница






подозревая, что эти настройки позволяют любому человеку использовать

их SOCKS прокси. Если найти IP адрес, по которому в данный момент

расположен компьютер под Wingate, то можно попробовать подсоединиться

к IRC, настроив клиент на нужный IP адрес и порт 1080 (в mIRC Setup

это в разделе firewall). Заметим, что доступ к SOCKS дает не только

Wingate, но и многие другие программные продукты, так что не

удивляйтесь, если какой-нибудь web-сервер по адресу www.some.net

позволяет подключиться к порту 1080. Остается чисто практический

вопрос: как найти такой IP адрес. Очевидно, проверять в каком-нибудь

диапазоне, причем предположительно богатом пользователями Wingate, все

адреса на предмет отклика порта 1080. Один из энтузиастов даже

благородно ведет список подобных IP адресов. Его страница находится

здесь: https://members.xoom.com/ircproxy/

 

Прокси

 

Итак, со всей ответственностью заявляем: IRC прокси серверы

существуют и работают, все заверения на сайте Анонимайзера и в

newsgroups, посвященных IRC, о том, что протокол IRC не может работать

через прокси, что свой IP адрес скрыть нельзя и т.д. и т.п. являются

ПОЛНОЙ ЧУШЬЮ. Вокруг этого вопроса в Интернете какая-то стена

молчания.

Адрес прокси вписывается вместо адреса IRC сервера. Прокси

намертво связан с одной из IRC сетей, так что если вы нашли адрес

прокси в DALnet, то только в далнет им и можно пользоваться. Теперь

самое интересное: как найти подобный IRC прокси сервер. Это вполне

возможно, хотя и довольно сложно. Постулат первый: похоже, что

большинство прокси обитает в странах с различными кодировками

национального алфавита, т.е. в Японии, Тайване, Сингапуре, России и

т.д. Ищите пользователей из этих доменов, смотрите на их имена хостов,

отбрасывайте заведомо нереальные для прокси адреса (dialup, ppp, и

т.д.) и обращайте внимание на адреса короткие и " говорящие", вроде

iso.aaa.com.tr, gateway.nuc.tw, win.irc.connect.jp, но только ими не

ограничивайтесь, например по адресу loxnet.loxley.co.th тоже

расположен прокси, но он пароль требует. Постулат второй: IRC прокси

обитают и в западных странах, причем часто имеют в имени хоста слово

proxy. Итак, нашли адрес, попробовали подсоединиться (обычно порт

6667), что удобно делать во втором окне, не работает - ищите дальше.

Короче говоря, чистое творчество, точного рецепта нет. Дерзайте.

 

11.6. БЕЗОПАСНОСТЬ ICQ

 

Не будем отрицать удобства данной программы, но в плане

безопасности с ней много чего можно сделать. Мягко говоря, сделать с

данной программой можно почти все что угодно. Вам можно сменить

пароль, послать сообщение анонимно или от вашего имени, " завалить" ваш

ICQ и т.д.

Как это ни забавно звучит, но кардинальное решение (если

безопасность для вас столь важна) - не пользоваться ICQ. Существуют

различные средства, шифрующие траффик. Однако, несколько полезных

рекомендаций можно дать и для ICQ. Во-первых, заведите себе несколько

номеров - в жизни пригодится. Во-вторых не указывайте при регистрации

ничего лишнего. Укажите тип пользователя Regular User, желаемый ник,

gender и все. Выберите пункт " Please do not include me in the survey",

в пункте " Privacy level" на следующей странице выберите " My

authorization is required", в пункте " Other options" разметьте

параметр " Publish my online presence on World Wide Web" и пометьте " Do

not allow others to see my IP address". В-третьих, при работе

установите режим " Privacy (Invisible)" - вы всегда можете установить

параметр " Alert/Accept modes" в " Visible to user" для выбранного

человека.

В качестве дополнительной страховки вы можете указать программе

что находитесь за файрволлом: ICQ, Preferences, Connection, I am

behind a firewall or proxy, Firewall settings, I am using a Socks4

proxy server, Next, в Socks4 host и Socks4 port выставьте адрес и порт

используемого вами прокси (например: www-proxy.global-one.ru,

eagle.glas.apc.org, ns.cs.msu.su, redsun.cs.msu.su), Next, проверьте

что вы в состоянии offline / disconnect, нажмите Check my Firewall /

Proxy Settings и, если тест будет успешен - done. Кстати, можете

указать и 127.0.0.1. Номер порта можете попробовать выставить равным

1080 или 4000 и пометить пункт Open an outgoing UDP port 4000 on my

firewall.

Подкорректировав Ignore List в настройках Security & Privacy, вы

можете игнорировать массово рассылаемые сообщения.

Не скачивайте ICQ откуда попало - вполне могут подложить версию с

троянским конем.

Новую версию ICQ всегда можно загрузить с сайта производителя:

https://www.mirabilis.com

 

11.7. МОШЕННИЧЕСТВО В ИНТЕРНЕТ

 

Для защиты от жульничества и мошенничества в Интернет мы можем

дать следующие рекомендации:

- никогда не осуществляйте покупок через Интернет, особенно с

использованием кредитных карточек (это излюбленное лакомство для

многих хакеров);

- никогда и ни где не вводите каких либо настоящих данных о себе

(ФИО, адрес и т.п.) - все данные должны быть вымышленными;

- не попадитесь на уловку злоумышленников. По электронной почте

вам могут прислать самого разного рода " предложения" и даже

требования, исходящие якобы от вашего провайдера (с подделанным

обратным адресом), например, сменить пароль на указанный в письме;

- сгружайте и устанавливайте новые версии и обновления к

программам только с Интернет-сайтов фирм-производителей! В частности,

компания Microsoft заявляет, что никогда не производит рассылок

обновлений к своим программным продуктам по электронной почте. Так что

если по почте вам кто-то прислал " патч" к системе Windows, то скорее

всего вам пытаются подсунуть " свежий" вирус.

 

11.8. ЗАЩИЩЕННЫЙ РАЗГОВОР

 

В то время как существуют десятки программных продуктов,

позволяющих шифровать файлы и сообщения, передаваемые по электронной

почте, средств для защиты разговоров в режиме on-line все еще очень

мало. Какой бы из известных программ для разговора в текстовом режиме

(chat) мы ни пользовались, наш разговор может стать объектом для

любопытных ушей.

 

Способ 1: Разговор в текстовом режиме

 

Авторы попытались найти в сети программы для защищенных

разговоров on-line, и нашли всего один продукт. Называется он Secure

Communicator (https://www.idirect.com/secure/).

Secure Communicator позволяет шифровать онлайновые разговоры и

файлы, передаваемый одним пользователем другому. Для начала разговора

нужно знать IP адрес собеседника или воспользоваться on-line directory

service, аналогичным тому, что есть в Netscape CoolTalk, MS NetMeeting

или IPhone, только вот он не работает никогда. Но это проблема

небольшая для умелых рук, всегда можно сначала встретиться на IRC или

ICQ, узнать IP адрес и договориться о пароле, а затем перейти на

Secure Communicator, который позволяет вести беседу как в mIRC.

Плохая новость состоит в том, что evaluation copy, а это именно

то, что вы можете скачать в сети, разговаривать позволяет, а вот

шифровать разговор не дает. Но вот здесь первый и последний раз мы

приведем серийный номер: 5aaDa7aa6a для регистрации программы.

 

Способ 2: Интернет-телефония

 

Телефонные разговоры и обмен электронной почтой во

всевозрастающей степени подвержены подслушиванию. Практически любая

незашифрованная электронная коммуникация может быть перехвачена.

PGPfone защищает телефонные разговоры по каналам Интернет и телефонным

линиям, используя самые стойкие из существующих криптографических

технологий. Помимо этого, *используя Интернет в качестве среды

голосового общения, вы можете значительно снизить свои расходы по

сравнению с использованием обычной телефонной связи*.

 

Характеристики PGPfone

 

PGPfone (Pretty Good Privacy Phone) - это программный продукт,

который превращает ваш персональный компьютер или ноутбук в защищенный

телефон. Для того, чтобы предоставить возможность вести защищенные

телефонные разговоры в реальном времени (по телефонным линиям и

каналам Интернет) в нем используется технология сжатия звука и стойкие

криптографические протоколы. Звук вашего голоса, принимаемый через

микрофон, PGPfone последовательно: оцифровывает, сжимает, шифрует и

отправляет тому, кто находится на другом конце провода и также

использует PGPfone. Все криптографические протоколы и протокол сжатия

выбираются динамически и незаметно для пользователя, предоставляя ему

естественный интерфейс, подобный обычному телефону. Для выбора ключа

шифрования используются протоколы криптографии с открытым ключом, так

что предварительного наличия защищенного канала для обмена ключами не

требуется.

Все, что нужно для запуска PGPfone, это: по-настоящему надежный

модем, поддерживающий скорость передачи как минимум 14.4 Kbps по

протоколу V.32bis (рекомендуется 28.8 Kbps по протоколу V.34); IBM

PC-совместимый компьютер с процессором как минимум 66 MHz 486

(рекомендуется Pentium), звуковой картой и динамиками или наушниками,

работающий под управлением Windows 95 или NT, или Apple(r)

Macintosh(tm) с процессором 25MHz 68LC040 или старше (рекомендуется

PowerPC) под управлением System 7.1 или старше с установленными Thread

Manager 2.0.1, ThreadsLib 2.1.2, и Sound Manager 3.0 (все эти

программы доступны с FTP-сервера Apple) - работа PGPfone на 68030 Mac

не гарантируется, но в некоторых ситуациях она возможна; также, он

запустится не на всех 68040, в зависимости от того, установлено ли

соответствующее звуковое оборудование.

Для интересующихся технологией: PGPfone не требует

предварительного наличия защищенного канала для обмена

криптографическими ключами. Стороны обмениваются ключами с

использованием протокола обмена ключами Диффи-Хеллмана, который не

дает тому, кто перехватывает разговор, получить какую-либо полезную

информацию, и в то же время позволяет сторонам обменяться информацией

для формирования общего ключа, который используется для шифрования и

расшифровки речевого потока.

В PGPfone версии 2.21 для аутентификации обмена ключами

используется биометрическая подпись (ваш голос), для шифрования

речевого потока - алгоритмы тройной DES, CAST или Blowfish, а для

сжатия речи - алгоритм GSM.

 

Новые характеристики PGPfone 2.21

 

Выбор технологии сжатия речевого потока (GSM, GSM Lite and ADPCM)

с возможностью динамической ее смены без разрыва связи. Это позволяет

достичь оптимального качества звука.

Возможность защищенного обмена файлами.

Телефонная записная книжка.

Требования к системе: MacOs 7.5 или старше, PowerPC Macintosh;

или 68040 Macintosh с тактовой частотой не менее 33Mhz (для повышения

качества звука рекомендуется более быстрый процессор); микрофон и

наушники вместо колонок - в полнодуплексном режиме это позволяет

избежать наводок от акустического короткого замыкания;

 

Примечание для русских пользователей PGPfone

 

1. PGPfone изначально настроен на тоновый набор; переключение на

импульсный набор, используемый большинством российских телефонных

станций, опциями не предусмотрено и в документации не описано. Чтобы

переключится на импульсный набор, просто введите латинскую букву " p"

перед номером в поле набора.

2. При полнодуплексном соединении, во избежание автовозбуждения

усилителя звуковой частоты, в документации рекомендуется использовать

наушники, а не динамики. Неплохие результаты можно получить также,

подключив к звуковым разъемам платы телефонную трубку. Некоторые

новейшие звуковые платы, разработанные с учетом требований

компьютерной телефонии, реализуют функцию гашения самовозбуждения.

3. Поскольку PGPfone для работы с потоком данных в реальном

времени отключает аппаратную коррекцию ошибок модема, программа очень

требовательна к качеству модема. Для некоторых клонов качество и даже

сама возможность установления связи с помощью PGPfone зависят не

только от чипсета, но и от партии, и даже от конкретного экземпляра.

 

Где взять PGPfone?

 

Версия 2.21

https://www.pgpi.com

Версия 1.0 для Windows 95/NT

ftp.ifi.uio.no (Норвегия)

web.mit.edu (США - не для экспорта!)

Версия 1.0 для Mac OS

ftp.ifi.uio.no (Норвегия)

web.mit.edu (США - не для экспорта!)

 

Speak Freely

 

Другой весьма качественный продукт для шифрованного общения

голосом через Интернет - Speak Freely (freeware). По желанию

пользователя программа обеспечивает шифрование по алгоритму DES или

IDEA (последний надежнее), что требует предварительного обмена

паролем. В принципе можно работать и с публичными PGP ключами, но

поддерживается только старая DOS версия PGP. Программа очень компактна

(меньше 300К), нетребовательна к системным ресурсам и обеспечивает

весьма приемлемое качества звука. На выбор предлагается много

различных алгоритмов компрессии, некоторые из них совместимы и

позволяют общаться с пользователями других аналогичных программ.

Получить программу можно по адресу в Интернет:

https://www.fourmilab.ch/speakfree/windows/speak_freely.html

 

11.9. АНОНИМНОСТЬ В USENET

 

Большинство людей, использующих Usenet, знают, как важно бывает

скрыть свою личность. Во-первых, как только вы послали любое сообщение

в любую группу новостей, ваш почтовый ящик с необычайной скоростью

начинает наполняться спамом, т.е. всяким мусором, рассказывающим, как

разбогатеть за месяц, остановить выпадение волос и другой подобной

дрянью. Во-вторых, ваши публично высказанные взгляды могут вызвать

волну откликов, причем не только в рамках группы новостей, но и

направленных напрямую автору сообщения, что не всегда желательно.

В-третьих, ваши друзья, коллеги или работодатель могут натолкнуться на

ваше сообщение, причем оно может им не понравиться. Короче говоря,

причин может быть много, а вывод один: совсем не плохо знать, как

сохранить анонимность в Usenet. Ниже следует краткое описание методов,

которыми можно воспользоваться для этой цели.

 

Метод №1

 

Использование коммерческой службы для отправки сообщений в группы

новостей. Стоит денег, но прост в использовании. Адреса:

https://www.nymserver.com и https://www.mailanon.com (последняя служба

предоставляет семидневный бесплатный пробный период).

 

Метод №2

 

Получение бесплатного электронного адреса (например в Hotmail или

NetAddress) что, по сути, равнозначно получению " фиктивного" адреса,

поскольку ваше настоящее имя давать совсем не обязательно, и

использование DejaNews free posting service

(https://postnews.dejanews.com/post.xp). Метод чуть более сложен, чем

первый. Никому не известно кто вы, но чтобы скрыть еще и где вы,

следует воспользоваться анонимным прокси-сервером, иначе ваш IP адрес

будет обнаруживать ваше географическое положение. Об использовании

прокси серверов можно прочесть в разделе ПО WWW БЕЗ СЛЕДОВ. Другим

недостатком метода является поле FROM в отправленном сообщении,

поскольку в нем какое-то, пусть и фиктивное, имя фигурировать будет,

например " John Smith".

 

Метод №3

 

Использование mail-to-news gateway в сочетании с анонимным

римейлером. Mail-to-news gateway позволяет пользователям отправлять

сообщения в группы новостей с использованием электронной почты, а не

местного сервера новостей. Но если пользоваться этим сервисом " в лоб",

то ваше имя и обратный адрес будут фигурировать в сообщении, т.к.

mail-to-news gateways их не анонимизируют. Для того, чтобы достичь

полной анонимности, следует использовать комбинацию анонимного

римейлера и mail-to-news gateway, т.е. отправить сообщение в

mail-to-news gateway с сайта такого римейлера. Это просто:

отправляйтесь на такой сайт (https://www.replay.com/remailer/), затем к

странице, позволяющей отправлять сообщения (можно воспользоваться

SSL-защищенной формой), наберите ваше сообщение, а поле TO: заполните

в соответствии со следующей схемой:

 

Для отправки сообщения, например, в группу alt.test, адрес должен

быть таким:

 

m2n-YYYYMMDD-alt.test@alpha.jpunix.com

где YYYYMMDD - это текущая дата (год, месяц, день).

 

Для отправки сообщения в несколько групп их названия следует

разделить знаком " +". Например, для отправки сообщения в alt.test и

misc.test 11 сентября 1999, адрес таков:

 

m2n-19970911-alt.test+misc.test@alpha.jpunix.com

Вот и все. Ваше сообщение будет выглядеть так:

Date: Thu, 11 Sep 1999 11: 09: 02 +0200 (MET DST)

Message-ID: < 199709111009.MAA29412@basement.replay.com>

Subject: Just testing

From: nobody@REPLAY.COM (Anonymous)

Organization: Replay and Company UnLimited

X-001: Replay may or may not approve of the content of this posting

X-002: Report misuse of this automated service to

X-URL: https://www.replay.com/remailer/

Mail-To-News-Contact: postmaster@alpha.jpunix.com

Newsgroups: alt.test, misc.test

 

This is only a test

 

Как легко заметить, не малейшего следа отправителя! Следует не

забывать о еще одном важном моменте. Mail-to-news gateways появляются

и исчезают. Alpha.jpunix.com работает сегодня, но может исчезнуть

завтра. Но не печальтесь, свежую информацию о таких службах можно

всегда найти здесь: https://www.sabotage.org/~don/mail2news.html. И не

забывайте попробовать, как все работает, прежде чем отправить что-либо

важное!

 

Метод №4

 

Итак, вы посылаете письмо в fido7.testing (лучше на news-сервер

ddt.demos.su), далее получаете ответ с правилами и регистрируетесь.

Далее, на ddt.demos.su читаете любую конференцию, смотрите

обратные Интернет-адреса в хедерах (заголовках писем). Дальше

настраиваете параметры news-сервера ddt.demos.su, для MS OExpress:

Имя: Comoderator.of.Ru.Internet*

Организация: " FIDO Destroy Ltd."

Почта: отловленный@интернет.адрес

Обратный адрес: ваш.реальный@адрес.для.ответа

Все! Пишите пока его не отключат! Затем ищите другой адрес, и

никакой регистрации!

 

Бесплатные News сервера

 

В некоторых (например если у вашего провайдера " слабый" или

сильно загруженный news сервер) случаях целесообразно использовать

т.н. бесплатные (не требующие пароля для входа) news сервера, список

которых мы приводим ниже:

 

news.mtu.ru

news.infotecs.ru (разрешен постинг в Фидо)

ddt.demos.su

ddt.dol.ru

news.corvis.ru

news.enet.ru

news.portal.ru

news.caravan.ru

news.com2com.ru

news.maxnet.ru

news.comtel.ru

news.solaris.ru

news.leivo.ru

news.info.tsu.ru

 

К вопросу о дате

 

Маленькое, но важное замечание - если вы посылаете письма в

какую-либо конференцию Usenet - проверьте чтобы системное время и дата

на вашем компьютере были правильными. Иначе оно будет уничтожатся по

пути, как письмо из прошлого либо из будущего.

 

11.10. ПРОКСИ И SSL

 

Приведем статью (с небольшими сокращениями), рассказывающую о

возможности использования анонимных прокси и ssl:

 

" Proxy и SSL. (c) Dr. NoBaudy

 

Есть на земле такой провайдер под именем ibm net, хороший он или

плохой - не мне судить, но вот что хотелось всегда так это его сначала

попробовать и побывав на www.ibm.net c радостью обнаруживаем, что в

России они есть!

Итак, для того чтобы зарегистрироваться необходимо сходить на

https://config1.il.us.ibm.net/svc. После того как появилось их

приглашение к регистрации (при этом обращаем внимание что включилось

SSL соединение!) нажимаем кнопочку next и видим что нам предлагается

ввести так называемый OFFER CODE, ну что ж введем - IBMNET и снова

нажмем кнопочку next и видим ужасную надпись: Internet access is not

currently available in the country you specified. If appropriate,

select your country from the provided list (DBS0043E)

Увы оказывается нашей с вами стране в доступе к ibm network

отказано.

Но постойте, мы же ведь никакой информации о нашей стране не

вводили??

Ага: все ясно, значит господа из ibm оказались очень умными и

просто напросто определили наш с вами IP адрес, а по нему откуда мы

пришли: и что же теперь, все конец? Конечно же нет: нам всего лишь

надо скрыть наш реальный IP адрес и подсунуть им другой, который

скажет им что мы не из России, а скажем Дании.

Существует множество способов как это сделать, почитать об

основных из них можно на https://www.tamos.com/privacy/ru/anon.htm Из

всех соображений лучше воспользоваться услугами так называемого Proxy

сервера. Я не буду сейчас детально описывать что такое прокси сервер,

тому есть немало написанного до меня например

https://www.peterlink.ru/support/proxy.html я лишь замечу, что в нашем

случае необходимо использовать такой прокси, чтобы он ни коим образом

не выдавал информацию о клиенте, то есть наш с вами IP адрес и при

этом принадлежал к региону " элитных" стран, но уж что точно, так это

то что он не должен быть российским!

Итак перед нами стоит задача найти такой вот прокси сервер, опять

же таки если обратиться к странице

https://www.tamos.com/privacy/ru/anon.htm то там можно найти ссылку на

бесчисленное количество прокси серверов: покопавшись в нем, можно

найти прокси удовлетворяющий нашим запросам.

Например мне очень пришелся по вкусу прокся

sunsite.icm.edu.pl: 8080

Он полностью анонимный, то есть не сообщает врагу нашего IP

адреса (проверить это можно опять таки на

https://www.tamos.com/privacy/ru/anon.htm). Итак, укажем браузеру чтобы

он использовал найденный нами проксю и снова введем адрес странички

регистрации https://config1.il.us.ibm.net/svc (вводить надо в новом

окне!) и снова видим перед нами " дружественное" приглашение к

регистрации и опять жмем кнопочку next и что мы видим - вместо

предложения к вводу OFFER CODE как раньше, у нас появляется формочка

для выбора страны! Сразу скажу, это потому, что домен.pl у умных

господ из ibm видимо не значится не в их белом, не в их черном списке

и посему софт не в состоянии определить кто мы такие - из какой

страны! Ну и хорошо, нам только лучше! Замечу, что если вы например

используете проксю из Канады, то тогда вы сразу попадете на форму по

вводу этого OFFER CODE без выбора страны!!! Потому что, Канада у них

записана в белом списке и соответственно опознается их софтом

автоматически и выбрать страну уже нельзя. Вот еще одно большое

преимущество выше обозначенного прокси из Польши! Итак, что же нам

выбрать: а тут уже надо соображать головой, ну скажем что взять с

бедной Хорватии? Конечно ничего: вот и выбираем Croatia и жмем

кнопочку next. И вот она наша формочка для ввода этого OFFER CODE:

вводим IBMNET, жмем смело next и дальше действуем как обычно действуют

когда хотят что то получить нахаляву. Думаю там уже никаких трудностей

не возникнет: ну а если возникают тогда вам и не следует сюды

соваться.

Я не зря в самом начале упомянул про то, что у нас установилось

SSL соединение. Ибо именно оно и натолкнуло меня на нижеизложенный

текст.

Некоторые мучительные размышления на тему Proxy серверов и SSL

пришли ко мне как раз, когда я увидел что регистрация в ibm net

использует SSL, а мы в свою очередь для маскировки использовали proxy

сервер, ну и что казалось бы все хорошо: а нет, на той же

https://www.tamos.com/privacy/ru/anon.htm находим интересные слова как

раз касающиеся нашего случая: " Прокси, настроенный на HTTP протокол,

не анонимизирует работу с SSL узлами, работающими по протоколу HTTPS

(это для вас, любители расплатиться фиктивной кредитной карточкой)."

Как правильно заметил автор это для нас, но вот его высказывание

что-то навело меня на мучительные мысли - неужели все таки получилось,

что наш IP адрес был определен и как выразился автор работа наша не

была " анонимизирована"? Неправда ли звучит как то странно - ведь мы

четко видели, что нашу страну определить им не удалось! Итак, теперь

мне хочется рассказать немножко по подробнее о SSL и о том как

работают proxy серверы (точнее как могут) с SSL, да бы дать понять что

автор вышеозначенных слов немного ввел нас в заблуждение.

Итак, как известно протокол SSL (Secure Socket Layer) был

построен всем известной фирмой Netscape, как протокол, в задачу

которого входило обеспечение защиты передаваемых данных между такими

протоколами как HTTP, FTP и т.п. и протоколом TCP/IP. В результате мы

получили интересную штуку - мы работаем как обычно с обычными

сервисными протоколами, а все данные передаются в зашифрованном виде!

Так мало того, что SSL выполняет шифрацию (то есть защиту) данных, он

еще имеет интересную процедуру - распознавание сервера и клиента.

Принцип работы SSL построен на использовании двух ключей - публичном и

приватном, соответственно для кодирования и декодирования информации.

Неправда ли где то это уже было (PGP). Естественно, что публичный ключ

должен быть доступен всем и с помощью этого доступного ключика и

шифруются нужные данные, а вот чтобы их расшифровать - понадобится уже

приватный ключик. Ну а теперь на небольшом примерчике станет

окончательно ясно как же происходит обмен данными между клиентом и

сервером по протоколу SSL. Клиент конектится к серверу и тот (сервер)

выдает так называемый сертификат (в котором содержится публичный

ключ), после чего посылает клиенту две одинаковых порции данных, одна

из которых незашифрованна, а вторая зашифрована с помощью приватного

ключа сервера и если после того как клиентская часть декодирует вторую

порцию, она будет идентична открытой части, то значит сервер

действительно тот за кого себя выдает и тогда клиент передает

следующую порцию данных, которая зашифрована с помощью публичного

ключика сервера, после чего сервер в ответ передает те же данные, но

зашифрованных секретным ключиком составленным из данных переданных

клиентом. Так как, сервер знает точно что же было в тех данных (так

как он владеет приватным ключиком) и в свою очередь клиент естественно

знает что было в них (так как он их пересылал), то теперь они могут

использовать такой шифровальный алгоритм в котором в качестве

секретного ключика будет использоваться та порция данных которая была

передана клиентом серверу!

Из вышеописанного примерчика становится окончательно ясно как

работает наш чудный протокол SSL. А теперь начинают появляться

мучительные мысли - а как же тогда быть с proxy? Ведь по идее

получается, что действительно proxy сервер по идее не может служить

посредником между клиентом и сервером при обмене данными по протоколу

SSL. Но ведь пример с ibm net наглядно демонстрирует тот факт, что

proxy прекрасно работает и выполняет все свои анонимные функции при

использовании протокола SSL, как же так? Покопавшись в Инете с кучей

интересной документации я обнаружил, что оказывается существуют


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.059 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал