Застосування деяких з таких засобів безпеки призводить до того, що краще організувати доступ до світу через так званого посередника. За лінію захисту висувається посередник – proxy-сервер, який вільно спілкується зі світом і є єдиним, кому доступна зовнішня мережа організації. Тоді всі внутрішні клієнти звертаються до будь-яких зовнішніх серверів через proxy-сервер, який виконує конкретний запит від свого імені і повертає результат клієнтові. Додатковий плюс від установки такого сервера полягає в тому, що він одночасно може бути і кешується, тобто може зберігати документи, які запитували через нього співробітники організації, при повторних запитах просто зчитує запитаний документ зі свого диска. Зрозуміло, що в цьому випадку доступ до таких документів практично миттєвий.
Саме по собі наявність proxy-сервера не вимагає наявності брандмауера і не обов'язково ним супроводжується. Можна встановити proxy-сервер виключно для поліпшення часу відгуку та зменшення обсягу мережевих обмінів із зовнішнім світом.
Ще один важливий аспект використання посередників пов'язаний з нещасливою особливістю російських текстів перебувати в різних кодуваннях. Багато ISP вирішують цю проблему за допомогою установки так званого перекодує proxy. Крім очевидних вигод централізованого кешування документів, кожен користувач має можливість працювати в необхідній і більш придатною для своєї операційної системи кодування символів. Це особливо важливо при заповненні всіляких форм і взагалі там, де потрібне введення з клавіатури. Якщо встановлення шрифтів КОІ-8 на машину з MS Windows можна вважати якоюсь подобою вирішення проблеми читання в WWW і зробити це самостійно може практично будь-який користувач, то знайти і встановити перемикач розкладки клавіатури – вже набагато складніше завдання.
У діалоговому вікні «Властивості оглядача \ Підключення» ви можете вибрати «підключатися до інтернету через proxy сервер» і потім поставити вказати його адресу і порт, до якого буде проводитися з'єднання (зазвичай це один із стандартних портів: 8080 – для анонімних, наприклад, в полі Адреса: proxy.qatar.net.qa, а в полі Порт: 8080). У меню «Параметри проксі-сервера», що викликається кнопкою «Додатково» можна задати адреси і порти проксі-серверів окремо для кожного протоколу (HTTP, FTP і т.д.), а також вказати «виняткові» адреси, до яких не буде застосовуватися доступ через проксі.
Необхідно також додати, що установка проксі-сервера для оглядача буде використовуватися тільки браузером. Решта програми з раніше будуть використовувати стандартні прямі звернення до необхідних адресами.
5. Безпечна передача даних
Оглядач MS Internet Explorer може побут застосований для передачі секретної інформації. Для цього використовується протокол HTTPS (HTTP з додаваннями). Додаткові елементи протоколу є реалізацією стандарту Socket Security Layer (SSL), який просувався корпорацією Netscape як єдиний стандарт для безпечної передачі даних через Internet. Як ми вже будь-які ваші дані можуть передаватися і напевно передаються через безліч проміжних мереж, де є небезпека прослуховування. SSL використовує технологію шифрування з відкритим ключем фірми RSA Data Security.
Звичайне шифрування називається шифруванням із закритим ключем, тобто ви шифруєте дані за допомогою якого-то числа або рядки символів – «чарівного» кодового слова, яке і називається ключем. Слабке місце такого способу шифрування полягає в тому, що ви повинні якось повідомити своєму кореспонденту цей таємний ключ. Природно, для такого повідомлення потрібен надійний канал передачі даних, щоб ніхто не підслухав. З іншого боку, якщо у вас є такий канал зв'язку, то навіщо вам шифрування?
Програма PGP (Pretty Good Privacy) теж побудована на технології відкритих ключів. Користувач такої системи шифрування з допомогою якихось програм генерує пари ключів, таємний нікому не повідомляє, а відкритий повідомляє всім. Тепер якщо хтось хоче послати цьому користувачеві секретні дані, він дізнається відкритий ключ і шифрує їм своє повідомлення, але розшифрувати його зможе тільки володар таємного ключа.
Ідентифікація, або цифровий підпис (в певному сенсі зворотний процес), що гарантує, що дані відправлені саме потрібною людиною, проводиться так: користувач генерує контрольну суму своїх даних і шифрує її своїм таємним ключем. Тепер кожен може скористатися відкритим ключем, розшифрувати контрольну суму і порівняти її з контрольною сумою отриманого повідомлення. Збіг говорить про те, що дані дійсно відправлені власником таємного ключа. Якщо ж дані кимось підроблені або хоча б трохи модифіковані, то суми не співпадуть. Все це виглядає так:
– BEGIN PGP SIGNED MESSAGE –
Цепідписанеповідомлення.
– BEGIN PGP SIGNATURE –
Version: 2.6.2i
IDFHgf34DFJHSHGFHKadffasdj24DFSsdgh345657SADFGDG24353adsaDFGH455dghffSFG46755dsfSGFD34546sfdgERTET45657xcvbb3454sdfgfSDFDGF3435456xcvfgDFsfdgh324566cvg34dfdfg3DF34sDF23 =
= / FNv
– END PGP SIGNATURE –
Стійкість шифрування до атак визначається довжиною ключа. Довгий ключ, забезпечуючи більшу безпеку, вимагає більшого часу на (де) шифрування. У PGP є можливість генерації ключів з довжиною:
• 128 біт – слабка безпеку даних, але швидко працює.
• 512 біт – нормальна безпеку даних для комерційних додатків.
• 1024 біт – рівень, який застосовується військовими, але повільно.
Забезпечення безпеки ваших даних при проходженні через публічні мережі – це одна сторона проблеми. Є й інша: хтось може прикинутися іншою машиною, наприклад сервером, на якому торгують компакт-дисками, і дізнатися номер вашої кредитної картки. Тому в Обозревателе є можливість перевірити сервер. При цьому хтось, кому ви довіряєте, підтвердить вам, що ви дійсно розмовляєте з потрібним сервером і ніякого шахрайства не відбувається. Digital Certificate, цифровий сертифікат, і є сертифікат справжності документа, виданий цією організацією.
Працює з Netscape-рішення проблем безпеки з іншими реалізаціями, взагалі кажучи, не гарантується. Не дається також гарантії того, що сама фірма, з якою ви зробили операцію через Internet, не є шахрайською. Гарантується тільки певний рівень безпеки передачі даних поверх небезпечною відкритого середовища – Internet.
Зауважте, не дивлячись на те, що HTTPS і PGP згадується поруч, це зовсім різні речі. Загальна у них тільки ідея – шифрування з відкритими асиметричними ключами. Тому так от прямо, в лоб, порівнювати довжини ключів у цих двох криптографічних засобів не можна.
6. Ще трохи про «хороше» ISP, або навіщо вам UNIX
Спочатку давайте трохи пояснимо ситуацію з входом на сервер ISP. Ви отримуєте можливість працювати з Unix-комп'ютером (ні на чому іншому побудувати повноцінний Internet сервіс поки просто неможливо). Про Unix давно йде слава недружньої системи – командний рядок, самих команд багато, вони якось незрозуміло комбінуються і т.д. (Правда, хтось із великих комп'ютерного світу зауважив з цього приводу: «Unix – дуже дружня комп'ютерна система. Вона всього лише дуже вибірково ставитися до того, кого вважати своїм другом»).
Всьому цьому треба, ж звичайно, вчитися. Для чого ж потрібно все це?
Один дуже простий приклад. Ви з'єднуєтеся з Internet зрідка, сервер ISP з'єднаний з Internet постійно. Якщо вам потрібно дістати якийсь файл з дуже далекого FTP-сервера і ви почнете передачу цього файлу з цього самого далека до себе на комп'ютер, то швидкість передачі може визначатися не швидкістю вашого з'єднання з ISP, але невідомим вузьким місцем вздовж шляху пакетів до далекого сервера. Це займе багато часу, можливо, у кілька разів більше, ніж має з розрахунку по швидкості вашого з'єднання з ISP. Час – гроші. У самому прямому сенсі цього слова. Конкретні готівкові гроші за той час, який ваш модем займав телефонний канал і устаткування, що належить ISP. Як же бути? Якщо ISP дає вам термінальний вхід (адже це розповідь до того, що «хороший» ISP повинен його давати) на одну зі своїх машин, то ви врятовані.
Припустимо, що вам потрібно взяти файл MOS21B1.EXE, що лежить за адресою ftp.kiae.su / windows / tcpip / www / mosaic
Перша дія – завести в своєму домашньому каталозі файл. Netrc і внести туди кілька магічних рядків:
$ Cat>. Netrc
machine ftp.kiae.su
login ftp
password user @
^ D
$
Де $ – системне запрошення. Передостання рядок позначає одночасне натискання клавіш Control і D. Потім змінимо режим доступу до цього файлу так, щоб ніхто, крім вас, не міг його прочитати:
$ Chmod 600. Netrc
Після цього створимо ще кілька файлів. Будь-який Unix-комп'ютер має програму роботи з FTP. Файлзапуску transfer:
$ Cat> transfer
#! / Bin / csh
ftp ftp.kiae.su <jkiae> & listing &
^ D
$
Міняємо режим доступу до transfer так, щоб його можна було запустити:
$ Chmod + x transfer
Тепер файл із завданнями для FTP – jkiae:
$ Cat> jkiae
verb
prompt
bin
cd / window / tcpip / www / misaic /
get MOS21B1.EXE
quit
^ D
$
Замість get можнанаписати reget – практичновсі Unix FTP підтримуютьцюкоманду (щеодинплюс). Теперзапускаємовсюцюконструкцію:
$ Nohup. / Transfer &
Післяцьогоможнакидатислухавкутелефону, тобтоприпинятисеансзв'язкуз ISP. Припустимо, на наступний день ви вирішили подивитися як йдуть справи. Після виконання завдання журнал з повідомленнями буде записуватися в файл listing, де буде міститися приблизно така інформація:
Verbose mode on.
Interactive mode off.
200 Type set to I.
250 CWD command successful.
Local: MOS21B1.EXE
200 PORT command successful.
150 Opening BINARY mode data connection for MOS21B1.EXE
(23344554 bytes)
226 Transfer complete.
23344554 bytes received in 3.4e +2 seconds (6.9 Kbytes / s)
221 Goodbye.
Наступний ваш крок – забрати файл з машини ISP на свій комп'ютер. Для цього можна:
• Скористатися WWW-навігатором і URL для FTP з ім'ям користувача і паролем;
• Скористатися будь-якою програмою термінального доступу (Telix, Terminate, Kermit і т.д.), у якій є підтримка передачі файлів по протоколах Z-модем або Kermit. Kermit в Unix так і називається kermit. Для Z-modem спробуйте набрати
$ Sz MOS21B1.EXE
Природно ви повинні з'ясувати у ISP, чи встановлені kermit, sz і rz на Uinx-машині.
Висновок
інтернет кеш комп'ютер посередник
Всі сторони самої мережі і роботи в ній, розглянуті вище, не можуть дати всеосяжного уявлення про порушених темах. Але це й не було початковою метою даної роботи. Представлений матеріал покликаний допомогти неспеціалістові в питаннях роботи з дуже важливими засобами мережі Internet. Наостанок залишається додати, що все теорія, описана в багатьох книгах, без практики – мертвий вантаж і нікому не потрібна трата часу. Тому не соромтеся і не думайте, що все це настільки просто, щоб з цим возитися, а сміливо беріться за клавіатуру комп'ютера і втілюйте в практику всі теоретичні знання і навики. Тільки в цьому випадку ви зможете впевнено почувати себе в нових, більш складних ситуаціях, які безсумнівно виникнуть перед вами в процесі роботи.
Для обговорення, коригування та можливого доповнення даний матеріал викладений для загального огляду за адресою: www.invictus.hotmail.ru / archive / cobwebs.html
Всі права на торговельні марки, зазначені у цій роботі, належать їх законним власникам. Дана робота захищена законом про авторське право РФ. Зміна, копіювання даної статті або її частини без згоди автора – протизаконно.
Список літератури
1. Окраінец К.Ф. WWW на кінчиках ваших пальців. – М.: «СК Пресс», 1997. – 192 с., Іл.
2. Тлумачний словник по обчислювальним системам / Под ред. В. Іллінгуора та ін: Пер. з англ. А.К. Білоцький та ін; Під ред. Є. К. Масловського. – М.: Машинобудування, 1991. – 560 с.: Іл.
3. Бондарєв В.М. та ін Основи програмування. – Харків: Фоліо; Ростов н / Д: Фенікс, 1997. – 368 с.
4. Вибірки зі статей, опублікованих у періодичних виданнях мережі Internet.
5. RFC 1543, 1880, 791, 768, 792, 793, 1035, 1034, 974, 959.