Безопасность и Internet - статьи

       

Краткий обзор по протоколам


  • Терминальный сервис

    Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам

    невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном

    режиме при использовании этих видов сервиса. При стандартном режиме работы

    пользователь общается только с соответствующей программой, он не осуществляет

    удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер

    на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ,

    соответственно каждый сервис требует отдельной конфигурации.

  • Протокол передачи файлов

    Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном

    и обычном режимах. При использовании прозрачного режима графические реализации

    клиента FTP (например CuteFTP for Windows95) не требуют изменения.

    При стандартном режиме и в случае дополнительной авторизации графические



    версии использовать не рекомендуется (можно пользоваться терминальной

    версией ftp в windows95). МЭ осуществляет полный контроль за

    использованием команд протокола RETR,STOR и т.д.

  • Электронная почта.

    МЭ предоставляет поддержку электронной почты с использованием протокола

    SMTP. Поскольку известно большое количество проблем, связанных со стандартной

    программы передачи почты sendmail, МЭ не запускает ее в привилегированном

    режиме. Вместо этого с протоколом SMTP работает специальная программа

    (2000 строк против 40 000 строк в sendmail), которая обрабатывает все

    соединения по порту 25, проводит полный анализ всех управляющих команд

    и заголовков письма, после чего вызывает sendmail для реальной передачи

    сообщения. Все это происходит не в режиме суперпользователя и

    на изолированном участке файловой системы.

    Среди дополнительных возможностей имеется возможность скрыть реальную

    внутреннюю структуру сети от анализа по почтовым адресам.

    Для чтения почты пользователями используется специальная серверная программа,

    использующая авторизацию через одноразовые пароли. МЭ поддерживает работу

    по протоколу POP3 с использованием APOP стандарта( см. RFC1725).


  • WWW.

    МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ,

    отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше

    публично доступных аналогичных программ и может быть легко проанализирована.

    Важнейшим отличием ее от других является возможность блокирования передачи

    в составе гипертекстовых документов программ на языке JAVA. О полезности

    этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении

    за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие

    вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль

    за используемыми HTTP методами (GET,PUT,HEAD).

  • X11.

    X Window System хорошо известная проблемами с безопасностью среда.

    X11 клиент, соединившийся с сервером, имеет возможность получить контроль

    над клавиатурой, прочитать содержимое других окон. Система доступа к X11

    в МЭ используется совместно с терминальными программами telnet и rlogin.

    Она определяет псевдо-сервер, с которым и организуется соединений по

    протоколу X11. При каждом таком соединении пользователю предлагается

    сделать выбор мышкой - разрешить или запретить работу вызванного приложения.

  • Удаленная печать.

    В некоторых случаях есть необходимость пересылки по сети печатной информации.

    МЭ включает средства поддержки удаленной печати. При использовании

    соответствующей программы проверяется откуда приходит запрос и на какой принтер.

    также осуществляется контроль за удаленным управлением очередями печати

  • Удаленное выполнение задач.

    Эта возможность реализована несколько ограниченно по причинам безопасности,

    поскольку протокол rsh является одним из наиболее опасных. Пользователи

    из приватной сети могут по правилам определенным администратором МЭ

    выполнять задачи удаленно в открытой сети.

  • Передача звука - RealAudio.

    Для пользователей приватной сети имеется возможность использовать

    аудио по запросу протокол.

  • Доступ к базам данных.



    В настоящий момент реализована возможность доступа к базам данных

    Sybase с контролем на МЭ.

  • Нестандартные протоколы.

    Для работы с нестандартными протоколами, использующих TCP в составе МЭ

    имеется средство plug-ge, позволяющее использовать прозрачное прямое

    соединение. Поскольку это средство не поддерживает авторизации, его

    использование должно происходить под строгим контролем и только

    если администратор понимает, что он делает. В общем случае рекомендуется

    использовать circuit-level приложение из состава МЭ, поддерживающее

    авторизацию. Управление этим средством со стороны пользователя

    легко осуществляется с помощью стандартной программы telnet. Авторизовавшись,

    пользователь может осуществить несколько соединений. Каждое такое соединение

    происходит только при подтверждении со стороны пользователя, что это

    делает именно его программа.


    Содержание раздела