Информация и личная безопасность — страница 11

  • Просмотров 6206
  • Скачиваний 214
  • Размер файла 43
    Кб

случае нужно понимать, что секретность при передаче данных и наличие сертификата не гарантируют защиты этих данных при хранении на сервере (слабо защищенная система сервера, недобросовестный администратор и т. п.). SSL и прокси-серверы Отметим особенность работы SSL через прокси-серверы. Так как весь трафик между браузером и HTTP-сервером зашифрован, то его интерпретация и кэширование не имеют смысла. Поэтому функции прокси-сервера

сводятся к простой ретрансляции октетов между браузером и HTTP-сервером. Для перевода проксисервера в такой режим браузер посылает запрос методом CONNECT с указанием адреса и номера порта HTTP-сервера. Поскольку метод CONNECT фактически создает туннель сквозь прокси-сервер, он может использоваться для обхода правил фильтрации TCP-соединений на брандмауэре, так как в общем случае туннель может быть установлен с любым портом внешнего

сервера. Так пользователь может получить доступ к неразрешенным сервисам, поэтому администратор прокси-сервера должен тщательно сконфигурировать разрешения на использование метода CONNECT, в частности, разрешить соединения только с портом 443, который используется для работы HTTP через SSL. Прокси-сервер - контроллер и защитник Возможность использования прокси-серверов как посредников между клиентом и HTTP-сервером является весьма

полезной не только с точки зрения уменьшения трафика путем кэширования, но и с точки зрения обеспечения безопасности. Разумная политика состоит в том, что все хосты внутренней сети должны пользоваться WWW через прокси-сервер предприятия. Правила фильтрации брандмауэра строятся таким образом, что разрешен только HTTP-трафик, следующий к прокси-серверу или от него. Особенность HTTP-трафика состоит в том, что он далеко не всегда

привязан к порту 80, поэтому в общем случае для прокси-сервера должны быть открыты все порты или хотя бы наиболее популярные из них (80-86, 8000-8006, 8080-8086, 8888). Решаемые задачи Следующие административные задачи могут быть решены на прокси-сервере при обслуживании пользователя (группы пользователей): разрешение доступа к тому или иному сайту; разрешение использовать те или иные методы запроса (особенно CONNECT, позволяющего туннелировать

сквозь прокси-сервер); качество обслуживания запроса: например, выделение определенной полосы пропускания; учет объема полученного за определенный период трафика и отказ в обслуживании пользователя при превышении определенного лимита; направление запроса через того или иного провайдера, если организация подключена к нескольким провайдерам (например, запросы низкоприоритетных пользователей направляются по медленному, но