Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
ДОМОЙПОДПИСКАГДЕ КУПИТЬСТАТЬИRambler's Top100   
 
 
 
    
ЖУРНАЛ
   
Главная
Архив новостей
Новый номер
Архив статей
Адреса в интернет

РУБРИКАТОР
   
• Колонка редактора
• Только на сервере
• Локальные сети
• Бизнес
• Корпоративные сети
• Услуги сетей связи
• Защита данных
• Системы
   учрежденческой связи

• Электронная
   коммерция

• Новые продукты

РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Тематический план
Отдел рекламы

E-MAIL


Rambler's Top100

  

Игра ва-банк с сетевыми "медвежатниками"

Дэвид Уиллис

Межсетевые экраны. Шифрование. Цифровые подписи. Открытые ключи. Личные карточки. Вы думаете, что все это защитит вашу сеть и она будет почти в такой же безопасности, как и сокровища английской короны? Не так ли? Не рассчитывайте на это.

Существуют тысячи различных инструментов для обеспечения отдельных требований безопасности; они способны обнаруживать ошибки в конфигурации операционной системы, запрещать использование легко угадываемых паролей, определять факты вторжения, "отлавливать" вирусы, аутентифицировать пользователей, исследовать системные журналы или блокировать доступ к узлам Интернет. Средства шифрования работают на любом требуемом уровне. Например, они могут, как продукты уровня драйвера, защищать настольный компьютер или сервер; как приложения конечного пользователя, — защищать отдельные файлы приложений или сообщения электронной почты, а также подключать шифраторы для защиты физических или виртуальных каналов между узлами. Некоторые устройства обеспечивают шифрование даже на уровне ячейки АТМ.

Но даже с таким внушительным арсеналом средств безопасности часто нельзя ответить на самые простейшие вопросы: кто имеет доступ к тому или иному ресурсу и откуда? Осуществлен ли уже доступ к данным и что с ними происходит? Что делают пользователи в настоящий момент?

Оценивая нынешнее состояние проблемы сетевой безопасности, мы нашли большинство имеющихся на сегодняшний день способов ее решения неудовлетворительными. К счастью, всегда где-то на горизонте "маячат" новые решения. Мы намерены обратить ваше внимание на наиболее важные моменты в данной связи, для чего рассмотрим несколько продуктов (Steel-Belted Radius фирмы Funk Software, Real Secure фирмы Internet Security Systems и RAS Enterprise фирмы Technologic Software Concepts), разработчики которых, как нам кажется, находятся на правильном пути.

Общая цель всех решений — улучшение отчетности по любой отдельной пользовательской операции. Чтобы добиться этого, необходимо обеспечить четкую идентификацию пользователей с помощью наиболее подходящего метода аутентификации. Коснемся самых важных из них и рассмотрим протоколы, продукты и стратегии, обеспечивающие управление службами шифрования и аутентификации.

Кому вы доверяете?

Безопасность — это не только средства, это прежде всего определение степени риска, а при необходимости — использование соответствующих процедур и инструментов для сведения его к минимуму. Вы никогда не обезопасите себя на все 100%, однако риск можно уменьшить, если найти разумный баланс между стоимостью защиты информации и возможными потерями при злоупотреблении ею.

Во-первых, должны быть защищены любые связи внутри проектных команд, подразделений или отделов. Во-вторых, при перемещении сотрудников из одной команды в другую, их следует рассматривать как вновь поступивших туда и не имеющих прежних полномочий. В-третьих, границы вашей сети более не определяются физическими устройствами, установленными в помещениях вашей компании — теперь в эти границы должны быть "заключены" и домашние офисы, и лица, работающие по контракту, и деловые партнеры.

Поскольку обеспечение безопасности внутри сети представляет собой более серьезную проблему, чем защита от потенциальных внешних взломщиков, сеть должна быть защищена не только по периметру. Принципы обеспечения безопасности, характерные для Интернет, следует применить и внутри корпоративных сетей. Например, не стоит объявлять службы, ненужные вашим удаленным пользователям, а также серверы, предназначенные для чисто внутреннего пользования, во внешней службе доменных имен. Там, где внутренняя безопасность наиболее критична, внутри корпоративной сети применяются адресная фильтрация и экранирование, преобразование сетевых адресов, строгая аутентификация и проверка полномочий.

Даже если вы защитите каждый отдел с помощью межсетевых экранов, — а это в ряде случаев оказывается весьма дорогим решением, — последние могут "не угнаться" за скоростями внутренней сети, так как спроектированы для защиты небольшого числа относительно медленных последовательных интерфейсов. Продукт Avertis Firewall фирмы Galea Network Security является заметным исключением из этого правила. Фирма утверждает, что Avertis поддерживает шесть интерфейсов Ethernet по 10 Mбит/с, обрабатывая 1,1 млн правил фильтрования и более 89 000 пакетов в секунду.

Назначая системные полномочия, не забывайте также поддерживать их в соответствии с формированием новых проектных команд и другими изменениями в составе персонала. Продукт RAS Enterprise фирмы Technologic Software нацелен на обеспечение надежной помощи при управлении этим процессом. Используя данный продукт, можно полностью автоматизировать процедуры управления безопасностью сети. Это достигается благодаря использованию автоматизированных агентов для выполнения необходимых изменений в установочных параметрах ОС, список поддержки которых включает в себя Unix, AS/400, NetWare, OS/2 LAN Server, Windows NT и MVS.

Последовательность выполнения операций в RAS Enterprise начинается с запроса разрешения на доступ для служащего. Соответствующая электронная форма такого запроса проходит через администратора, который может либо предоставить доступ, либо отказать в нем. Если доступ санкционирован, программные агенты сервера удаленного доступа (RAS) используют API соответствующей операционной системы либо сценарии для выполнения запроса в указанных системах. Программное обеспечение также может обнаруживать изменения, сделанные вне системы автоматизации процедур, выдавая при этом необходимые предупреждения и обновляя внутренние базы данных SQL.

Аутентификация пользователя

Определить, кто же на самом деле использует конкретный ресурс в данный момент, всегда было непросто, а теперь это сделать еще труднее. Установление адреса станции — самый неэффективный метод идентификации, и пользы от него приблизительно столько, сколько от информации о цвете одежды, которую носил ограбивший вас преступник. Такие методы преобразования сетевых и назначения динамических адресов, как протокол динамической настройки конфигурации хостов DHCP, становятся все более распространенными для управления пространством IP-адресов и зачастую наносят ущерб безопасности. Инструменты, позволяющие "прятать" истинные адреса, легко доступны. Но, несмотря на это, предоставление адресной информации — самое лучшее из всего, что может обеспечить большинство межсетевых экранов.

Кроме адресов как средство аутентификации мы привыкли использовать пароли. Однако их можно подобрать, перехватить во время передачи по сети, подглядеть через плечо или добыть иными способами. Хотя в некоторых операционных системах открытая передача паролей во время регистрации исключена, в части приложений, например таких, как telnet, пароли передаются обычно открытым текстом. Пикантность ситуации заключается в том, что для удаленного администрирования многих сетевых устройств все еще применяют статические пароли и сеансы telnet, что является буквально подарком судьбы для взломщиков.

В некоторых операционных системах, в частности в Windows 95, для хранения паролей применяется локальный кэш. Теоретически это уменьшает число паролей, которые должны запоминать пользователи, и позволяет им выбирать менее "очевидные" из них. Однако многие пользователи не осознают того, что им нужно защищать и пароли настольных систем. Последние они воспринимают как способ обозначения конфигурации настольного компьютера — и только (еще они ошибочно думают, что это защищает доступ к их файловой системе). А поскольку пароль настольной системы не совпадает с паролями доступа к серверам, то, когда приходит время изменять их, возникают проблемы, так как прежние "скрытые" пароли часто забывают.

На сегодняшний день личные карточки, т. е. устройства, генерирующие одноразовые пароли, по-прежнему остаются одним из лучших методов обеспечения безопасности систем с точки зрения соотношения стоимость/эффективность. Их главное преимущество перед другими средствами аутентификации состоит в том, что они могут быть переносными. С их помощью можно генерировать одноразовые пароли самыми разными способами. Например, в системе, использующей процедуру "запрос—подтверждение", пользователь должен либо ввести фразу-запрос в устройство и затем послать результаты его обработки на сервер для подтверждения, либо просто вывести общий список паролей. В самой распространенной системе безопасности SecurID фирмы Security Dynamics с целью генерирования одноразовых паролей применена собственная технология синхронизации времени, весьма удобная для пользователя.

В качестве альтернативы личных карточек можно назвать более дешевые и простые в применении программные реализации, которые текущий диалог по поводу выдачи пароля "скрывают" от пользователя. Последнему лишь необходимо ввести свой PIN (личный идентификационный номер), чтобы активизировать его. Применение личных карточек целесообразно ограничить настольными ПК с достаточно защищенным ПО, а их пользователи также должны оберегать свои номера PIN от любителей подглядывать через плечо.

Еще одним отличным средством аутентификации являются смарт-карты, которые выполняют много других функций, например, их можно использовать для хранения данных. Некоторые из них могут иметь криптографический сопроцессор. В последнее время цена устройств считывания смарт-карт упала с нескольких сот до 100—200 долл., и по мере роста предложений возможно ее дальнейшее падение. Это хорошая новость. Плохая же заключается в том, что корпоративные настольные компьютеры пока стандартно не комплектуются считывающими устройствами, хотя последние интегрированы во многие сетевые компьютеры. К тому же соответствующая высокоуровневая поддержка этих устройств в операционных системах должна только-только появиться (см. далее).

Криптографические карты PC Card во многом схожи со смарт-картами, но они более громоздкие и стоят дороже. В них применяется широко распространенное устройство считывания — интерфейс PC Card, имеющийся в большинстве блокнотных ПК.

Интерфейс PC Card использует модем с аутентификацией SecureSURFR производства фирмы Motorola, выполненный в соответствующем формате. Он обеспечивает аутентификацию доступа к серверу ACE фирмы Security Dynamics или к серверу ANSI X9.9, работающему по схеме "запрос—подтверждение". Модем весьма удобен в работе, к тому же благодаря интеграции позволяет экономить деньги и шинные разъемы. Однако, как и программные средства аутентификации, он не застрахован от воровства номеров PIN.

Биометрия, или идентификация пользователя по его физическим характеристикам, была долго не востребована, как слишком дорогой для широкого использования метод аутентификации, но сейчас цены на некоторые ее виды, в частности на распознавание отпечатков пальцев, резко упали. Через несколько лет биометрические методы появятся в таких устройствах, как автоматизированные кассовые машины, однако их массового применения в сетях общего назначения пока ожидать не приходится.

Система удаленной аутентификации RADIUS

После того, как вы выяснили, кто имеет доступ к вашей системе, и знаете, как удостовериться в подлинности этих пользователей, необходимо определить область возможных действий последних в системе. Что же касается аутентификации, то структура системы контроля и учета варьируется от поставщика к поставщику. Каждый сервер удаленного доступа, каждая клиентская или хост-система поддерживает свой собственный список пользователей, поэтому получить общую картину полномочий и видов доступа — непростая работа. К счастью, для осуществления объединенного контроля доступа к некоторым устройствам существуют стандарты.

Наиболее важным из них является служба удаленной аутентификации пользователей RADIUS, которая разработана фирмой Livingston Enterprises еще в 1992 г. С тех пор RADIUS уже достаточно усовершенствовалась, чтобы стать (в 1997 г.) стандартом IETF (рабочей группы инженеров Интернет). Двоичные файлы и исходные тексты можно получить непосредственно у фирмы Livingston. RADIUS поддерживается целым рядом устройств, включая системы удаленного доступа и межсетевые экраны фирм Cisco Systems, Ascend Communications, Bay Networks, Shiva, U.S. Robotics и Raptor Systems.

C помощью RADIUS можно централизованно управлять большим числом удаленных пользователей, получающих доступ к сети из самых различных мест. Надо сказать, этот стандарт представляет собой нечто большее, чем просто способ объединения списков ваших пользователей: при общении серверов доступа к сети с сервером RADIUS создается общая картина разрешенных методов доступа и входных ограничений. Учетная информация включает такие характеристики сеанса, как объем передаваемого трафика и продолжительность сеанса. RADIUS поддерживает протокол аутентификации по паролю PAP (Password Authentication Protocol), протокол аутентификации по квитированию вызова CHAP (Challenge Handshake Authentication Protocol) и протокол аппаратной аутентификации SecurID версии 2.0.

Во время процедуры аутентификации сервер доступа к сети передает на сервер RADIUS идентифицирующие пользователя данные. Если право пользователя на доступ подтверждается, сервер выдает разрешение на доступ и сообщает необходимую дополнительную информацию о параметрах сеанса связи, в частности назначенный клиенту IP-адрес и время максимальной продолжительности самого сеанса. В противном случае, т. е. если пользователь в системе не зарегистрирован, сервер выдает сообщение об отказе в доступе и по возможности указывает причину отказа.

Используемые во время обмена информацией между серверами доступа и RADIUS атрибуты и их значения хранятся в специальном файле-словаре. Поскольку возможности серверов доступа к сети различны, то в дополнение к таким типовым атрибутам, как, например, разрешенные соединения telnet, rlogin, TCP и соединение по протоколу РРР, производители предоставляют список заказных атрибутов и их допустимых значений.

При управлении продуктом RADIUS могут возникнуть проблемы. Как и многие службы, относящиеся к ОС Unix, для описания профилей пользователей RADIUS использует текстовые файлы, в которые легко внести ошибку. В то время как некоторые производители серверов сетевого доступа включают в свои продукты программу-демон RADIUS, лишь немногие из них поставляют полнофункциональные серверы с законченным интерфейсом для управления файлами конфигурации (см.: Сети и системы связи. 1997. № 5. С. 138).

Еще один недостаток службы RADIUS заключается в том, что для нее необходим отдельный управляющий список. Спрашивается, зачем же создавать еще одну базу данных, если большая часть их уже содержится в вашем корпоративном справочнике? Правильнее было бы интегрировать этот список со службой справочника, уже имеющей собственный пользовательский интерфейс, который облегчает работу с конфигурационными файлами. И, к счастью, нам удалось найти продукт, позволяющий сделать это.

Для тестирования мы выбрали бета-версию сервера SBR (Steel-Belted Radius) фирмы Funk Software и установили ее на сервере NetWare, использующем службу справочника Novell Directory Services (NDS) как основу для базы данных своих пользователей. Мы задействовали сервер SBR в качестве механизма аутентификации и учета для нашего сервера удаленного доступа Ascend Max 4000. Это позволило нам не только полностью контролировать пользователей в существующем дереве NDS, но и отказаться от неуклюжих меню отображения профилей соединений Max, что при увеличении числа профилей, с которыми можно было работать на одном сервере Ascend Max 4000, заметно облегчило их конфигурирование.

Продукт SBR состоит из трех загружаемых модулей NetWare (NLM), предназначенных для обмена данными и поддержания связи с серверами доступа, а также для ведения журнала регистрации и полномочий. С консоли просматривается текущее состояние всех операций в реальном масштабе времени: кто входит в систему в данный момент, кому недавно было отказано в доступе, чья аутентификация выполняется. Все детали регистрации и результаты аутентификации хранятся в журналах.

После окончания сбора всех данных создаются итоговые отчеты по использованию системы с учетом всех имеющихся серверов доступа к сети вашей организации. Сведения, содержащиеся в журналах регистрации, могут варьироваться, начиная от времени нахождения пользователя в системе и количества посланных или полученных им пакетов и кончая числом каналов, использованных в ходе работы, и указанием причин окончания сеанса. Помимо сферы безопасности, существуют и другие вполне очевидные возможности для применения перечисленной информации, например при расчетах или при анализе использования каналов удаленного доступа.

Многие администраторы служб RADIUS для создания сводок учетной информации по пользователям, портам, времени суток или другим критериям используют сценарии, написанные на языке командного процессора Unix. Продукт SBR не имеет каких-либо встроенных средств для генерации отчетов, а Unix-сценарии нельзя использовать непосредственно в NetWare, поэтому вы должны переместить эти файлы в базу данных и уже затем создавать отчеты с помощью любых имеющихся инструментов их генерации, подобных Crystal Reports фирмы Seagate.

После установки программного обеспечения SBR с рабочей станции Windows мы задали ключевые параметры для сервера доступа к сети, а именно: модель данных для сервера Ascend Max, IP-адреса и разделяемый секретный ключ для аутентификации по протоколу PAP. Фирма Funk Software предоставляет стандартный словарный файл RADIUS и специализированные файлы-словари для таких производителей, как Ascend, Bay Networks, Digi, Livingston и Shiva. Другие производители или пользователи легко могут модифицировать словарные файлы.

Наличие специализированных файлов-словарей, интеграция со службой справочника и графический интерфейс управляющего ПО существенно облегчают создание пользовательских профилей. Вместо непосредственного редактирования текстовых файлов вы просто выбираете соответствующие атрибуты и значения из списка. С пользовательскими профилями можно работать индивидуально или строить общие профили, а по мере необходимости добавлять к ним пользователей, которые в этом случае наследуют указанные вами атрибуты. Например, вы создаете профиль "ISDN" для пользователей, работающих по протоколу Multilink PPP, профиль "Analog" — для пользователей, осуществляющих доступ посредством модема, и т. д. После присвоения пользователю общего профиля вы можете добавить к нему другую, специфическую именно для данного пользователя информацию, в частности IP-адрес или идентификатор, необходимый для аутентификации.

Увы, служба удаленного доступа RAS (Remote Access Service) фирмы Microsoft не поддерживает RADIUS, а обеспечивает лишь аутентификацию на уровне ОС Windows NT. Для учета и контроля здесь применяется журнал регистрации событий Event Log. Кроме того, что журнал Event Log ориентирован исключительно на Windows NT, он еще и недостаточно структурирован и с его помощью трудно получить качественные статистические отчеты. Инструментальные средства третьих фирм позволяют генерировать отчеты для отдельных серверов RAS, но с их помощью невозможно создавать объединенные отчеты, как в службе RADIUS.

Шифрование сообщений

Алгоритмы шифрования делятся на две основные категории: с закрытым и открытым ключами. Алгоритмы шифрования с закрытым ключом, или симметричные алгоритмы (иногда их называют алгоритмами шифрования с общим секретным ключом), используют для шифрования и дешифрования сообщений один и тот же ключ. К сожалению, предотвратить попадание ключа в чужие руки не всегда удается, поэтому для его передачи доверенным сторонам требуется надежная защита канала связи. Напротив, алгоритм шифрования с открытым ключом позволяет "связать" доступный любому пользователю открытый ключ с секретным, который существует в единственном экземпляре и хранится у владельца. Открытый ключ используется с целью шифрования данных, предназначенных для владельца соответствующего ему секретного ключа. Поскольку открытый ключ доступен всем и каждому, распространение его перестает быть сложной проблемой.

Тогда почему бы не использовать шифрование с открытым ключом повсеместно? Одно из препятствий этому заключается в недостаточном быстродействии самого алгоритма, особенно при увеличении объема шифруемой информации. Сейчас весьма популярна гибридная схема, где совмещены лучшие свойства алгоритмов шифрования с открытым и закрытым ключами. Зашифровав оригинальный документ случайным закрытым ключом, отправитель затем сам шифрует данный ключ, используя для этого алгоритм с открытым ключом. Получив сообщение, адресат сначала расшифровывает закрытый ключ с помощью только ему известного секретного ключа, а затем, имея закрытый ключ, расшифровывает сам документ, затрачивая при этом минимум процессорного времени.

Кроме алгоритмов шифрования, существует ряд алгоритмов создания так называемых дайджестов сообщений, используемых в качестве своего рода процесса "снятия отпечатков пальцев", чтобы можно было обнаружить изменения, внесенные в документы посторонними лицами. Дайджест сообщения можно рассматривать и как более скрупулезную форму контрольной суммы. Смысл его применения заключается в том, что два разных документа не могут иметь одинаковые дайджесты. Результирующий дайджест сообщения, будучи упакованным вместе с оригинальным документом с использованием секретного ключа в качестве хэш-параметра, служит своеобразной "личной подписью".

Во всех перечисленных выше алгоритмах и методиках длина ключа имеет определяющее значение. С увеличением мощности процессоров и при использовании параллельных вычислений затраты на разгадывание "коротких ключей" будут снижаться, и рано или поздно наступит момент, когда вы уже не сможете рассматривать такое шифрование как эффективный способ защиты. Поэтому для безопасности вашей сети следует использовать ключи с максимально возможной длиной, ибо каждый лишний бит вдвое снижает вероятность разгадывания ключа.

Любой метод шифрования можно "раскусить", если иметь в своем распоряжении достаточно времени, мощный компьютер и обладать определенной долей настойчивости. Вопрос лишь в том, как сделать так, чтобы расшифровка для взломщика обходилась дороже самих зашифрованных данных. С точки зрения организации, шифрующей свои данные, при выборе конкретного метода шифрования наиболее важными являются вопросы цены потерянной информации и сама вероятность ее потери. Тогда решение о том, использовать ли шифрование и в какой мере, последует само собой.

Издержки при шифровании с открытым ключом довольно велики. Обычно для передачи одного-единственного номера кредитной карты с использованием протокола Secure Electronic Transaction (SET) требуется от одной трети до половины секунды процессорного времени сервера Sun SPARC. Таким образом, выполнение сразу нескольких транзакций одновременно может вызвать перегрузки в системе.

Шифрование как элемент операционной системы

Шифрование и аутентификацию можно применять на самых различных уровнях. Канальные шифраторы и виртуальные частные сети позволяют защитить трафик, проходящий между двумя узлами. В некоторых случаях это бывает весьма полезно, при том, однако, условии, что стороны на каждом конце соединения полностью доверяют друг другу. Шифрование может быть реализовано и на уровне драйвера, а следовательно, защищать конкретный набор файлов, справочников или транспортных соединений. Наметилась тенденция к использованию шифрования на более высоком уровне, например в приложениях. Трудность состоит в том, что, с точки зрения многих разработчиков, широкодоступные API-интерфейсы, такие, как GSS-API (IETF RFC 1508), слишком сложны в структурном отношении.

К счастью, сегодня подсистемы безопасности высокого уровня производители уже начинают встраивать в настольные операционные системы. Это снижает до минимума издержки, связанные с необходимостью использовать для приложений специализированные модули безопасности, и в то же время облегчает создание защищенных приложений. К примеру, в интерфейсе CryptoAPI фирмы Microsoft реализован общий метод обеспечения приложений такими возможностями, как аутентификация, шифрование и электронная подпись. Как и следовало ожидать, CryptoAPI ориентирован на работу в среде Windows, но это ненадолго. Ожидается, что фирма RSA Data Security включит этот программный интерфейс шифрования в свои наиболее популярные инструментальные пакеты для использования его в других операционных системах. В версию 2.0 будут добавлены службы управления сертификатами, в том числе позволяющие работать с аппаратными устройствами типа смарт-карт. Используя же API-интерфейс службы Generic Cryptographic Service (GCS-API) организации Open Group, можно получить доступ к более широкому ряду алгоритмов и форматов данных по сравнению с CryptoAPI. Поэтому победителя в этой битве прикладных интерфейсов определить еще трудно.

Фирма Novell пока отстает в поддержке многоплатформенных API-интерфейсов для приложений безопасности в среде NetWare, и это не позволяет обеспечить бесшовный кросс-платформенный доступ для приложений или другие сложные средства и методы повышения безопасности. Службы распределенной вычислительной среды и защиты данных имеются не только в NetWare, но и во многих других платформах, включая Windows NT. При столь удобной системе управления службой безопасности, обеспечиваемой таким мощным средством, как NDS, подобное отставание для фирмы Novell непростительно.

Экспансия Java- и ActiveX-технологий

Сегодня новые программные продукты создаются очень быстро и при этом принципиально отличаются от своих предшественников. Небольшие модули, созданные с помощью языка Java и технологии ActiveX, распространяются автоматически посредством Web-браузеров и программных агентов. Межсетевые экраны пока "не отличают" хорошее ПО от плохого — они либо все "заворачивают", либо все пропускают. В свое время довольно трудно было объяснить пользователям, что нельзя сразу запускать программы, полученные по электронной почте. Работая с Web-ресурсами можно вообще не увидеть разницы между файлами с данными и выполняемыми модулями. То, что внешне выглядит как безобидная программа для "перетаскивания" пиктограмм в окне браузера, на самом деле может оказаться самоустанавливающимся демоном FTP.

В основе конкурирующих между собой технологий Java и ActiveX лежат принципиально разные подходы к вопросам безопасности. Будучи загруженными по сети, мини-приложения Java посредством виртуальной Java-машины обычно изолированы от служб ядра ОС, подобных операциям дискового ввода-вывода. Однако реализации виртуальной Java-машины неодинаковы, а в системе обеспечения безопасности все еще имеются дыры.

И модули Java и модули ActiveX могут быть снабжены электронными подписями разработчиков. Это обеспечивает ответственность производителей за свои продукты и служит гарантией того, что ПО не было повреждено или модифицировано на своем пути к пользователю. Вместе с тем подпись указывает только на источник происхождения ПО, но не предоставляет никакой информации о его функциях или безопасности.

Модули ActiveX угрожают безопасности в Интернет намного больше, чем мини-приложения Java, так как они имеют открытый доступ к ПК и могут вызывать любой системный процесс. Выполняющие враждебные по отношению к пользователю





  
9 '1997
СОДЕРЖАНИЕ

колонка редактора

• Российский сетевой ландшафт в двух измерениях

локальные сети

• Двухпроцессорные серверы на базе Pentium Pro

• Восемь сетевых цветных принтеров

• Философия успешного производства (интервью Зоара Зисапеля)

корпоративные сети

• Многопротокольный удаленный доступ через Интернет

• Модернизация сети с помощью АТМ (часть I)

• Следите за маршрутизаторами!

• Передовые технологии: Layer 3 Switching (часть II)

• Ярмарка компьютерных чудес в Новом Орлеане

услуги сетей связи

• Развитие российской сети ОКС №7 - основа современных услуг связи

• Анатомия модемных "56К-технологий" (часть II)

• Конференц-связь: проблемы и решения

интернет и интрасети

• Сезам, откройся!

• Проектирование отказоустойчивых корпоративных сетей TCP/IP

• Анализ журнала регистраций узла Web, или Поиск рецепта успеха

защита данных

• Игра ва-банк с сетевыми "медвежатниками"

новые продукты

• О суеверии, коммутаторе Catalyst 5500 и лаборатории PLUS Communications, Недорогой сервер Digital в России

только на сервере

• Интернет в вопросах и ответах. Продолжение



 Copyright © 1997-2001 ООО"Антонюк Консалтинг". Тел. (095) 234-53-21. Факс (095) 974-7110. вверх