Vvmebel.com

Новости с мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Протоколы информационной безопасности

Протоколы информационной безопасности

Для передачи и защиты ценной информации в Интернете используются протоколы безопасной передачи данных, а именно SSL, SET, IP v.6.
Платежные системы являются наиболее критичной частью электронной коммерции и будущее их присутствия в сети во многом зависит от возможностей обеспечения информационной безопасности и других сервисных функций в Интернете. В платежных системах Интернета используются протоколы передачи данных SSL и SET.
Протокол SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications как протокол, обеспечивающий защиту данных между сервисными протоколами (HTTP, NNTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью криптографии в соединениях «точка-точка».
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде клиент-сервер интерпретируются следующим образом:
— пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;
— после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;
— при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи.
Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ) другому и хранить другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа.
Целостность и аутентификация сообщения обеспечиваются использованием электронной цифровой подписи.
В Интернете также используется протокол безопасных электронных транзакций SET (Security Electronics Transaction), предназначенный для организации электронной торговли через сеть, который основан на использовании цифровых сертификатов по стандарту Х.509.
SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карточек через Интернет.
SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, применяя, в том числе, и цифровые сертификаты.
SET обеспечивает следующие специальные требования защиты операций электронной коммерции:
— секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;
— сохранение целостности данных платежей (целостность обеспечивается при помощи цифровой подписи);
— специальную криптографию с открытым ключом для проведения аутентификации;
— аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов держателя карточек;
— аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
— подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой (это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца);
— готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
— безопасность передачи данных посредством преимущественного использования криптографии.
Наиболее распространенный зарубежный опыт решения вопросов ключевого управления электронного финансового документооборота основывается на использовании Public Key Infrastructure (PKI) — Инфраструктуры Открытых Ключей (ИОК), названной таким образом по используемому способу защиты электронных документов — криптографии с открытыми ключами.
PKI подразумевает использование цифровых сертификатов и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.
Цифровые сертификаты — это определенная последовательность битов, основанных на криптографии с открытым ключом. Они представляют совокупность персональных данных владельца и открытого ключа его электронной подписи (а при необходимости и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, смарт-карточку и любой другой носитель данных.

Таблица 1. Сравнительная характеристика протоколов SSL и SET

Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации и обеспечивают однозначную аутентификацию участников обмена. Центры сертификации обеспечивают надежное распространение и сопровождение ключевой информации.

Протоколы сетевой безопасности ssh ssl tls smtp l2f ipsec l2tp pptp socks

Протоколы защиты канального уровня

Общая черта этих протоколов видна в реализации организации защищенного многопротокольного удаленного доступа к ресурсам сети через открытую сеть. Для передачи конфиденциальной информации из одной точки в другую сначала используется протокол РРР, а затем уже протоколы шифрования.

Протокол PPTP

Протокол PPTP определяет реализацию криптозащищенного туннеля на канальном уровне OSI. В свое время операционные системы Win NT/2000 поддерживали этот протокол. Сегодня его поддерживают многие межсетевые экраны и VPN. PPTP отлично работает с протоколами Ip, IPX или NETBEUI. Пакеты, которые передаются в сессии PPTP, имеют следующую структуру (рис.1).

Рисунок — 1, структура пакета для передачи по туннелю PPTP

Универсальность этого протокола отлично подходит для локальных сетей, где реализованы протоколы IPX или NetBEUI. Для таких сетей уже невозможно использовать IPSec или SSL.

Архитектура протокола PPTP видна на рис.2. Схема туннелирования при прямом соединении компьютера удаленного пользователя к Интернету видно на рис.3.

Рисунок — 2, архитектура протокола PPTP

Рисунок — 3, схема туннелирования при прямом подсоединении компьютера

Протокол L2TP и L2f

Протокол L2TP основан на протоколе L2F, который был создан компанией Cisco Systems, как альтернатива протоколу PPTP. L2F — старая версия L2TP. Протокол L2TP был создан как протокол защищенного туннелирования PPP-трафика через сети с произвольной средой. Этот протокол не привязан к протоколу IP, а поэтому может работать в сетях ATM или же в сетях с ретрансляцией кадров. Архитектура протокола видна на рис.4.

Рисунок — 4, архитектура протокола L2TP

L2TP являет собой расширение протокола PPP с возможностью аутентификации удаленных пользователей, реализации защищенного виртуального коннекта и управления потоком информации.

Протокол L2TP использует для передачи данных UDP. На рис.5 видна структура пакета для передачи по туннелю L2TP.

Рисунок — 5, структура пакета для передачи по туннелю L2TL

Протокол L2TP использует схемы, где туннель создается между сервером удаленного доступа провайдера и маршрутизатором локальной сети. Также протокол может открывать несколько туннелей, каждый из которых может использоваться для конкретного приложения. Протокол PPTP не имеет такой возможности. В роли сервера удаленного доступа провайдера должен быть концентратор доступа LAC, который создает клиентскую часть протокола L2TL и реализует удаленному пользователю доступ к локальной сети через интернет. Схема показана на рис.6.

Читать еще:  Как откл антивирус

Рисунок — 6, схема туннелирования по протоколу L2TL

Соединение реализуется в 3 этапа:

  • 1 этап: установка соединения с сервером удаленного доступа локальной сети. Пользователь создает PPP-соединение с провайдером ISP. Концентратор доступа LAC принимает соединение, и создает канал PPP. Также концентратор выполняет аутентификацию пользователя и конечного узла. На основе имя пользователя, провайдер ISP решает, нужно ли ему туннель на основе L2TP, если нужно — создается туннель.
  • 2 этап: сервер LSN локальной сети реализует аутентификацию пользователя. Для этого может быть использован любой протокол аутентификации пользователя.
  • 3 этап: при успешной аутентификации, создается защищенный туннель между концентратором доступа LAC и сервером LNS локальной сети.

Протокол L2TP работает поверх любого транспорта с коммуникацией пакетов. Также L2TP не определяет конкретные методы криптозащиты.

Протоколы защиты на сетевом уровне

протокол IPSec

Главная задача протокола IPSec это реализация безопасности передачи информации по сетям IP. IPSec гарантирует:

  • целостность — при передачи данные не будут искажены, дублированы и потеряны
  • конфиденциальность — предотвращает от несанкционированного просмотра
  • аутентичность отправителя

Доступность — протокол не реализует, это входит в задачу протоколов транспортного уровня TCP. Реализуемая защиты на сетевом уровне делает такую защиту невидимой для приложений. Протокол работает на основе криптографических технологий:

  • обмен ключами с помощью алгоритма Диффи-Хеллмана
  • криптография открытых ключей для подлинности двух сторон, что бы избежать атак типа «человек по середине»
  • блочное шифрование
  • алгоритмы аутентификации на основе хеширования

Протокол IPSec имеет следующие компоненты:

  • Компоненты ESP и АН, работают с заголовками и взаимодействуют с базами данных SAD и SPD для обозначения политики безопасности для данного пакета
  • Компонент обмена ключевых данных IKE
  • SPD — база данных политик безопасности
  • SAD — хранит список безопасных ассоциаций SA для исходящей и входящей информации

Ядро протокола IPSec составляет 3 протокола: AH (протокол аутентифицирующего заголовка), ESP (протокол инкапсулирующей защиты) и IKE (протокол согласования параметров управления ключами и виртуального канала). Архитектура стека протоколов IPSec показана на рис.7.

Рисунок — 7, архитектура стека протоколов IPSec

Протокол АН ответственен только за реализацию аутентификации и целостности информации, в то время как протокол ESP и реализует функции АН и алгоритмы шифрования. Протоколы IKE, AH и ESP работают следующим образом.

С помощью протокола IKE создается логическое соединение между 2 точками, которое имеет название безопасная ассоциация SA. При реализации такого алгоритма, происходит аутентификация конечных точек линии, и выбираются параметры защиты информации. В рамках созданной безопасной ассоциации SA стартует протокол AH или ESP, которые реализуют нужную защиту и передачу данных.

Нижнй уровень архитектуры основан на домене интерпретации DOI. Протоколы AH и ESP основаны на модульной структуре, разрешая выбор пользователю относительно используемых алгоритмов шифрования и аутентификации. Именно DOI согласует все моменты, и адаптирует IPSec под выбор пользователя.

Формат заголовка пакета AH и ESP показаны на рис.8. Протокол АН защищает весь IP-пакет, кроме полей в Ip-заголовке и поля TTL и типа службы, которые могут модифицироваться при передаче в сети.

Рисунок — 8, формат заголовков AH и ESP

Протокол АН может работать в 2 режимах: транспортном и туннельном. Местоположение заголовка АН зависит от того, какой режим был задействован. В транспортном режиме заголовок исходного IP-пакета становится внешним заголовком, затем уже заголовок АН. В таком режиме IP-адрес адресата/адресанта читабелен третьим лицам. В туннельном режиме в качестве заголовка внешнего IP-пакета создается новый заголовок. Это видно на рис.9. Также на рис.10 можно увидеть 2 режима работы протокола ESP. Более подробно об этих протоколах реализации протокола IPSec можно прочитать, к примеру в работе Шаньгина В.Ф. — «Защита информации в компьютерных системах и сетях».

Рисунок — 9, режимы применения заголовка АН

Рисунок — 10, режимы применения ESP

IPSec разрешает защитить сеть от множества сетевых атак, откидывая чужие пакеты до того, как они дойдут к уровню IP на узле. На узел могут войти те пакеты, которые приходят от аутентифицированных пользователей.

Протоколы защиты на сеансовом уровне

Сеансовый уровень — самый высокий уровень, на котором можно создать защищенный виртуальных канал.

Протоколы SSL и TLS

Сразу нужно отметить, что это один и тот же протокол. Сначала был SSL, но его однажды взломали. Его доработали и выпустили TLS. Конфиденциальность реализуется шифрованием данных с реализацией симметричных сессионных ключей. Сессионные ключи также шифруются, только на основе открытых ключей взятых из сертификатов абонентов. Протокол SSL предполагает следующие шали при установки соединения:

  • аутентификация сторон
  • согласование криптоалгоритмов для реализации
  • создание общего секретного мастер-ключа
  • генерация сеансовых ключей на основе мастер-ключа

Процесс аутентификации клиента сервером с помощью протокола SSL виден на рис.11.

Рисунок — 11

К недостаткам TLS и SSL относят то, что они работают только с одним протоколом сетевого уровня — IP.

Протокол SOCKS

Протокол SOCKS реализует алгоритмы работы клиент/серверных связей на сеансовом уровне через сервер-посредник или прокси-сервер. Изначально этот протокол создавался для перенаправления запросов к серверам от клиентских приложений, и возврата ответа. Такой алгоритм уже разрешает создавать функцию трансляции сетевых IP-адресов NAT. Замена у исходящих пакетов внутренних IP-адресов отправителей разрешает скрыть топологию сети от 3 лиц, тем самым услажняя задачу несанкционированного доступа.

С помощью этого протокола межсетевые экраны и VPN могут реализовывать безопасное соединение между разными сетями. Также с помощью этого протокола, можно управлять этими системами на основе унифицированной стратегии. Относительно спецификации протокола SOCKS разделяют SOCKS-сервер, который ставят на шлюзы сети, и SOCKS-клиент, который ставят на конечные узлы.

Схема создания соединения по протоколу SOCKS v5 описана следующими шагами:

  • Запрос клиента перехватывает SOCKS-клиент на компьютере
  • После соединения с SOCKS-сервером, SOCKS-клиент отправляет все идентификаторы всех методов аутентификации, которые он может поддержать
  • SOCKS-сервер выбирает один метод. Если сервер не поддерживает ни один метод, соединение разрывается
  • Происходит процесс аутентификации
  • После успешной аутентификации SOCKS-клиент отправляет SOCKS-серверу IP или ВТЫ нужного узла в сети.
  • Далее сервер выступает в роли ретранслятора между узлом сети и клиентом

Схема работы по протоколу SOCKS показана на рис.12. Также SOCKS-серверу можно прописывать правила на контроль доступа к внешней сети шлюза. Подходят все правила, которые работают на обычном межсетевом экране.

Рисунок — 12, схема работы по протоколу socks

Читать еще:  Код безопасности 2

Протоколы защиты прикладного уровня

Протокол SSH

SSh — это протокол разрешающий реализовывать удаленное управление ОС и туннелирование ТСР-соединений. Протокол похож на работу Telnet, но в отличии от них, шифрует все, даже пароли. Протокол работает с разными алгоритмами шифрования. SSH-соединение может создаваться разными способами:

  • реализация socks-прокси для приложений, которые не умеют работать с ssh-туннелями
  • VPN-туннели также могут использовать протокол ssh

Обычно протокол работает с 22 портом. Также протокол использует алгоритмы электронно-цифровой подписи для реализации аутентификации. Также протокол подразумевает сжатия данных. Сжатие используется редко и по запросу клиента.

Советы по безопасности реализации SSH:

  • запрещение подключение с пустым паролем
  • выбор нестандартного порта для ssh-сервера
  • использовать длинные ключи более 1024 бит
  • настроить файервол
  • установка IDS

Рисунок — 13, ssh

Протоколы сетевой безопасности. Задачи. Протоколы РРР и РАР

— идентификаторы и аутенфикаторы объекта и субъекта;

— обеспечение защиты информации, проходящей по каналу связи.

Может решать первую задачу, либо обе сразу.

Классификация протоколов по принципу обеспечения безопасности

— протоколы, не обеспечивающие защиту передаваемых данных – только связь;

— протоколы, позволяющие подключение к себе дополнительных протоколов для защиты данных;

— специальные протоколы защищённой передачи данных.

1) Структура кадра PPP (Point-to-Point Protocol)

2) Протокол PAP (Password Authentification Protocol)

Структура поля «данные» кадра.

Поле код указывает на следующие возможные типы PAP-пакета:

Код=1: аутентификационный запрос

Код=2: подтверждение аутентификации

Код=3: отказ в аутентификации

Структура поля «данные.

1. устанавливает PPP соединение;

2. клиент посылает аутентификационный запрос с указанием своего идентификатора и пароля;

3. сервер проверяет полученные данные и подтверждение аутентификации или отказа в ней.

Кол-во запросов и интервалов между ними, определяются клиентом, что позволяет для стандартов ПО

Протоколы сетевой безопасности. Задачи. Протоколы SHTTP,SSL.

— идентификаторы и аутенфикаторы объекта и субъекта;

— обеспечение защиты информации, проходящей по каналу связи.

Может решать первую задачу, либо обе сразу.

Классификация протоколов по принципу обеспечения безопасности

— протоколы, не обеспечивающие защиту передаваемых данных – только связь;

— протоколы, позволяющие подключение к себе дополнительных протоколов для защиты данных;

— специальные протоколы защищённой передачи данных.

Протокол HTTPS (HTTP Secure) включает

Являются протоколом-посредником упаковывающие HTTP данные с помощью SSL и TLS.

Не являются определенным протоколом передачи данных.

Предназначен для защиты HTTP трафика.

— транзакционный модуль – отвечает за шифрование и/или подпись запроса и/или ответа;

— криптографические алгоритмы – набор алгоритмов, которые могут быть использованы для шифрования, электронно-цифровой подписи;

— модуль сертификата – отвечает за хранение цифровых сертификатов и работу с ним.

Цифровой сертификат-электронный документ используемый для защищённого хранения открытых ключей, алгоритм ассиметричного шифрования и цифровой подписи.

1.Сведенье о владельце сертификата

3.Шифрование выпущенного сертификата и защищаемой цифровой подписью организации выпустивший сертификат.

Протокол SSL (Secure Socket Layer)

— протокол записи (SSL record protocol) – определяет формат передачи данных;

— протокол установки связи (SSL hard shake protocol) – определяет механизм установки соединения.

a. Задачи протокола SSL

— обеспечивает конфиденциальность данных;

— обеспечение аутентификации сервера;

— возможность обеспечения аутентификации клиента;

— обеспечение целостности передаваемой информации;

— возможность сжатия данных для увеличения скорости передачи.

b. Алгоритм соединения по протоколу SSL

— согласование вершин протокола;

— согласование алгоритма ассиметричного шифрования (выбирается наиболее сильный из списка поддерживаемых обеими сторонами);

— аутентификация сторон (взаимная или односторонняя);

— с помощью согласованного алгоритма ассиметричного шифрования производится обмен общим секретом, на основе которого будет произведено симметричное шифрование.

Протоколы сетевой безопасности. Задачи. Протоколы S/Key, Kerberos.

Протокол идентификатор на основе одноразово паролей, генерирование хэш-функций.

Алгоритм работы одноразового протокола S/Key

1. клиент и сервер обмениваются общим секретом;

2. сервер генерирует случайное число и число циклов применения хэш-функции;

3. сервер отправляет клиенту сгенерированное число и число циклов применения ХФ за вычетом единицы;

4. клиент прибавляет секрет к полученному числу и вычисляет ХФ указанное количество раз и отправляет результат серверу;

5. сервер вычисляет результат ХФ от полученного значения и сравнивает с хранящимся предыдущим значением.

В нормальном режиме алгоритме начинается с шага 3.

С шага 2 алгоритм может начаться если число циклов прим. хэш-функции, уменьшено до граничного значения или истек срок действия случайного числа сканированного решению.

С шага 1 алгоритм начинается, если истек срок действия общего секрета.

Общая схема аутентификации протокола Kerberos

1. доверенный сервер генерирует сессионный ключ;

2. сессионный ключ шифруется ключом клиента и отправляется клиенту;

3. сессионный ключ шифруется ключом сервера и отправляется серверу

3. сессионный ключ шифруется ключом сервера и отправляется клиенту;

Протоколы безопасной передачи данных;

Для передачи и защиты ценной информации в Интернете используются протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Платежные системы являются наиболее критичной частью электронной коммерции и будущее их присутствия в сети во многом зависит от возможностей обеспечения информационной безопасности и других сервисных функций в Интернете. В платежных системах Интернета используются протоколы передачи данных SSL и SET. Протокол SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications как протокол, обеспечивающий защиту данных между сервисными протоколами (HTTP, NNTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью криптографии в соединениях «точка-точка».

Протокол SSL предназначен для решения традиционных задач обеспече-

ния защиты информационного взаимодействия, которые в среде клиент-сервер

интерпретируются следующим образом:

· пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;

· после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;

· при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи.

Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ) другому и хранить другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа.

Целостность и аутентификация сообщения обеспечиваются использовани-

ем электронной цифровой подписи.

В Интернете также используется протокол безопасных электронных транзакций SET (Security Electronics Transaction), предназначенный для организации электронной торговли через сеть, который основан на использовании цифровых сертификатов по стандарту Х.509. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карточек через Интернет. SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии,

Читать еще:  Уровни политики безопасности

применяя, в том числе, и цифровые сертификаты. SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

· секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;

· сохранение целостности данных платежей (целостность обеспечивается при помощи цифровой подписи);

· специальную криптографию с открытым ключом для проведения аутентификации;

· аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов держателя карточек;

· аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

· подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой (это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца);

· готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

· безопасность передачи данных посредством преимущественного использования криптографии.

Сравнительная характеристика протоколов SSL и SET

Наиболее распространенный зарубежный опыт решения вопросов ключевого управления электронного финансового документооборота основывается на использовании Public Key Infrastructure (PKI) – Инфраструктуры Открытых Ключей (ИОК), названной таким образом по используемому способу защиты электронных документов – криптографии с открытыми ключами.

PKI подразумевает использование цифровых сертификатов и развернутой

сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.

Цифровые сертификаты – это определенная последовательность битов, основанных на криптографии с открытым ключом. Они представляют совокупность персональных данных владельца и открытого ключа его электронной подписи (а при необходимости и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, смарт-карточку и любой другой носитель данных.Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации и обеспечивают однозначную аутентификацию участников обмена. Центры сертификации обеспечивают надежное распространение и сопровождение ключевой информации.

HTTP протокол: основные правила Интернета, которые должен знать каждый веб-разработчик. Как браузер взаимодействует с сервером.

Тема 14: Безопасность в HTTP протоколе. Безопасность передачи данных по HTTP протоколу

  • 11.06.2016
  • HTTP протокол, Сервера и протоколы
  • 2 комментария

Привет, читатель блога ZametkiNaPolyah.ru! Продолжим знакомиться с протоколом HTTP в рубрике Серверы и протоколы и ее разделе HTTP протокол. Данная запись в большей степени не о том, какие есть механизмы в HTTP, отвечающие за безопасность, а скорее — это общие рекомендации для того, чтобы сделать передачу данных по HTTP безопасной. Механизмов безопасности передачи данных в HTTP практически нет, а то, что есть трудно назвать механизмом, отвечающим за безопасность.

Безопасность в HTTP протоколе

Безопасность в HTTP

ЕПо сути, протокол HTTP не предусматривает никаких механизмов защиты данных пользователя и веб-серверов, если не считать базовой схемы аутентификации клиентов на сервере, кодирования информации и положений безопасности в стандарте HTTP 1.1. Хотя, следуя рекомендациям безопасности HTTP протокола, разработчики могут разрабатывать свои приложения с большим уровнем защищенности. Давайте рассмотрим положения о безопасности HTTP протокола.

Идентификация клиентов на сервере. Безопасность информации, хранящейся на HTTP сервере

Если на вашем сервере хранится информация, которая должна быть доступна только определенному кругу людей, то вы можете использовать базовый метод аутентификации клиентов на сервере, этот метод не гарантирует безопасность данных на вашем сервере. Но, стоит заметить, что протокол HTTP никак не препятствует шифровать ваши данные сервере и использовать другие методы для повышения безопасности хранения данных.

Самый существенный недостаток базовой аутентификации на сервере и в то же время самая большая брешь в безопасности HTTP сервера заключается в том, что логин и пароль пользователя передается в HTTP сообщение в незашифрованном виде, поэтому вам стоит использовать дополнительные методы шифрования при использование базовой аутентификации.

Брешь в безопасности не ограничивается тем, что кто-то может перехватить HTTP запросы или HTTP ответы с незашифрованными данными, но и в том, что пользователь может вместо желаемого ресурса попасть на вредоносный клон, в котором он пройдет аутентификацию, тем самым оставив свои учетные данные злоумышленнику.

Сервер может возвращать клиенту сообщение с кодом состояния 401 (код ошибки клиента, который говорит о том, что он не авторизован) и вместе с кодом ошибки 401 сервер может отправить список методов аутентификации в том порядке, в котором настроит администратор, обычно в порядке уменьшения безопасности, для этого сервер использует поле заголовка WWW-Authenticate.

Безопасность и логи HTTP сервера

Сервер обычно записывает в специальный файл все запросы пользователя и ответы на них, то есть ведет лог. На некоторых сайтах лог запросов может представлять интерес для злоумышленников. Поэтому реализации серверов должны позаботиться о безопасности лога HTTP запросов.

Безопасность передачи данных в HTTP

Протокол HTTP универсальный протокол передачи данных, а это значит, то по данному протоколу можно передавать, в принципе, любую информацию. Так же у HTTP протокола нет никаких средств или механизмов, которые могли бы отрегулировать содержимое HTTP сообщения (HTTP объект). Собственно, передача содержимого и безопасность передачи содержимого лежит на клиентском и серверном программном обеспечение, поэтому к небезопасным полям заголовка HTTP сообщения можно отнести: Server, Via, Referer, From. Так как они могут помочь идентифицировать название и версии программ и, соответственно, воспользоваться багами этих программ, а также по этим поля можно узнать URI (URI в HTTP), на которые заходил пользователь (URI, кстати, может быть приватным), или узнать его контактные данные.

Подмена DNS-адресов и HTTP протокол

Основной задачей DNS сервера является преобразование доменных имен сайта в IP-адреса и наоборот. Соответственно, URI, который мы пишем в HTTP запросе будет транслироваться в IP адрес для успешной связи с сервером на третьем уровне модели OSI.

Аспект безопасность соединения по HTTP протоколу, связанному с подменой DNS, целиком и полностью лежит на бразуерах. В тонкости и особенности реализации мы вдаваться не будем, каждый браузер имеет собственные механизмы и реализации.

Ссылка на основную публикацию
Adblock
detector