criptare a traficului de siguranță
Securitate (criptare) trafic
În paralel cu dezvoltarea de tehnologii pentru a proteja traficul Internet împotriva accesului neautorizat și de a dezvolta tehnologia pentru a intercepta traficul criptat. Intercepteze și să examineze traficul de utilizator necriptat pentru o lungă perioadă de timp nu este dificil chiar și pentru utilizator mediu. Aproape toată lumea știe cuvântul „sniffer“. Teoretic, sigur SSL / TSL-interceptarea prin mijloace convenționale este imposibilă. Dar este?
De fapt - nu destul. Da, traficul criptat este teoretic imposibil de descifrat, deși, din nou, teoretic, la foarte mare nevoie și dorință, iar acest trafic poate fi decriptat, ridica cheia. Cu toate acestea, acest lucru necesită astfel de resurse costuri care hacking relevanța este menținută doar, probabil, la nivel militar guvernului sau :)
Atunci când se lucrează pe o conexiune securizată (un exemplu foarte simplu - HTTPS) tot traficul între punctele care comunică în rețea este criptat pe partea expeditorului și decriptate pe partea receptorului. traficul Criptată merge în ambele direcții. Pentru a cripta și decripta are nevoie de o pereche de chei (criptare asimetrică). Cheia publică este folosită pentru criptare și datele sunt transmise destinatarului și privat - pentru decriptare, acesta rămâne cu expeditorul. Astfel, nodurile între care un SSL conexiune, chei publice de schimb. În plus, pentru a îmbunătăți performanța format o singură cheie, care este trimis deja în formă criptată și este utilizat atât pentru criptare cât și pentru decriptare de pe ambele părți (criptare simetrică).
Pentru mai departe „citi“ tot traficul de utilizator, serverul proxy înlocuiește certificatul pe cont propriu. Ie doar se conectează la însuși clientul cu certificatul său, și, în același timp, se conectează la un server de la distanță. Clienții care vin „stânga“ certificat de pe un server rău intenționat, browser-ul informează utilizatorul cu privire la pericolele (astfel de certificate nu sunt semnate întotdeauna). Utilizatorul este o alegere: să accepte certificatul și să lucreze cu site-ul, sau de a refuza să-l accepte, dar, de asemenea, pentru a lucra cu site-ul, atunci nu se va întoarce. Uneori, utilizatorii ignora complet conținutul certificatului și să accepte în mod automat orice le-a prezentat.
În cazul în care utilizatorul acceptă certificatul, fals, atunci traficul va merge după cum urmează:
client <= SSL-соединение => Server-interceptarea convorbirilor telefonice <= SSL-соединение => serverul de destinație
Ie server intermediar va primi tot traficul dvs. „protejat“ în clar. De asemenea, trebuie remarcat faptul că certificatul de transfer de are loc la începutul fiecărei sesiuni HTTPS.
În cazul unui SSH sigur atunci când vă conectați mai întâi la serverul pe cheia gazdă client este stocat, iar serverul - cheia de client. Aceste chei sunt transferate între client-server doar o singură dată, atunci când conectați mai întâi. În cazul în care, în acest caz SSH-trafic încercați să intercepteze client și server-ul va fi interzis în amestec, din cauza discrepanțelor cheie. Deoarece cheile pot fi transferate între un client și un server printr-un bypass (printr-un canal sigur sau pe mediul extern), această metodă este compus relativ sigur. Acesta poate fi blocat numai, cauzând utilizatorului să opereze în aer liber.
Este demn de remarcat faptul că, pentru o lungă perioadă de timp a vândut așa-numitele „soluții de informații de securitate“, întreprinderile care interceptează tot traficul care trece prin biroul de un server proxy, și „citit“ ea. Programul în căutarea pentru prezența anumitor fraze sau anumite tipuri de informații în fluxul de date de la browsere web, programe de e-mail, ftp-client, personalul de birou mesageri. Mai mult decât atât, aceste programe sunt capabile să distingă și să se ocupe de o varietate de tipuri de interacțiune de informații cu serverul corect. În special, aceștia verifică și securizat SSL trafic de certificate spoofing. Odată cu dezvoltarea unuia dintre aceste sisteme le-am întâlnit aproape imediat.
Dar calea mântuirii de supraveghere total. Prin intermediul SSH-a stabilit conexiunea poate fi trimis la orice tip de trafic dorit la un SSH-Server va fi sub formă deschisă pentru a merge la punctul final. Această metodă se numește SSH-tunelare (tunele). Deci, vă puteți proteja traficul care trece printr-un canal nesigur, dar are sens, această abordare numai în cazul în care serverul de încredere cu un ridicat și configurat pentru tunelare SSH-daemon. Și este destul de ușor pentru a aranja. SSH-client se conectează la un server care este configurat pentru a intercepta orice port dat pe mașina locală. Acest client va furniza serviciul SOCKS5-proxy, și anume utilizarea acesteia poate fi configurat în orice browser, programe de e-mail, IM-ah, etc. Prin SSH-tunel pachete ajunge la server, și de acolo du-te la serverul destinație. Schema se obține după cum urmează:
[Localhost: client <=> proxy] <== SSH-соединение ==> server de <=> serverul destinație
Un alt mod de a proteja traficul - VPN-canal. În timpul utilizării, este mai ușor și mai convenabil de SSH-tunelare, dar în instalarea și configurarea inițială mai complicată. Comoditatea principal al acestei metode este faptul că nu este necesar să se înregistreze un proxy în cadrul programelor. Și unele software-ul și nu are suport pentru proxy-uri, VPN și, prin urmare, doar costum.
A doua opțiune - achiziționarea VDS-server (server virtual privat) la orice distribuție Linux la bord și de ridicare a VPN-server-l. VDS poate fi română sau americană (doar nu uita de peste mări ping), ieftin (aproximativ $ 5) și slabe sau costisitoare și mai puternic. VDS a pus pe OpenVPN-server și client OpenVPN-catarari pe computer. Pentru Windows, există chiar și guishnaya versiune a clientului.
Dacă decideți să utilizați o variantă cu OpenVPN, atunci internetul este un simplu pas cu pas pentru ridicarea server (Debian). Instalați clientul este chiar mai simplu, mai ales pentru Windows. Mark este doar un avertisment. Dacă tot traficul pe care doriți să pună pe creat VPN-conexiune, apoi doar setați gateway-ul implicit pe gateway-ul VPN (opțiune de redirecționare-poarta de acces către fișierul client de configurare), sau în cazul în care doar o parte din traficul (pe unele gazde), este posibil să se prescrie rutele statice obișnuite la datele gazde ( prin IP, de exemplu, route add -p 81.25.32.25 10.7.0.1).
Pentru compușii de schimb cheie OpenVPN are loc în modul manual, adică, le transporta de la server la client poate fi absolut sigur.
Astfel, SSH- și VPN-conexiuni poate garanta practic siguranța traficului atunci când vă deplasați printr-un canal nesigur. Singura problemă care ar putea apărea în acest caz - este o interdicție privind SSL traficul pe firewall-ul companiei. Dacă SSL traficul este permis cel puțin orice un port (de obicei, implicit 443), puteți avea potențialul de a crește și SSH-Tonel și VPN-conexiunea, configurați daemon corespunzătoare de pe VDS dvs. pentru acest port.