Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Как обеспечить безопасность сеансов POP и IMAP?

Дэн Бэкман

“Через три маршрутизатора и сквозь территориально распределенную сеть к почтовому серверу мы идем...”

Если поступки Красной Шапочки описать привычными нам терминами, получится, что она бежала вприпрыжку по лесу и на бегу выкрикивала секретный код замка бабушкиной двери. Неудивительно, что волк вошел и съел ее. Вот так и мы все продолжаем пользоваться протоколами POP3 и IMAP4, в которых, как в большинстве протоколов Интернет, по умолчанию применяется аутентификация с передачей паролей открытым текстом. Оба этих протокола вместо принудительной посимвольной отправки (в TCP-пакетах с установленным флагом PSH), как в протоколе telnet, передают пользовательский пароль целиком — да еще и сопровождают эту передачу словами вроде pass или authenticate.

Выход из создавшегося положения напрашивается вроде бы сам собой — надо использовать службы шифрования транспортного уровня, такие, как IPSec, хотя они в основном предотвращают перехват пакетов за пределами корпоративной сети. На самом же деле, хотим мы признавать это или нет, местом происхождения большинства атак является именно корпоративная сеть. Для обеспечения эффективной защиты в сетевых протоколах должна применяться некая процедура типа “запрос/подтверждение”, благодаря которой настоящий пароль никогда не прошел бы по сети. До тех пор пока шифрование типа “точка—точка” по технологии IPSec не станет реальностью, защита паролей пользователей останется серьезной проблемой. Осознав это, компании, работающие на компьютерном рынке, предложили различные решения для аутентификации сеансов POP и IMAP, в которых не используется пересылка паролей открытым текстом.

Протестировав протоколы аутентификации для служб POP и IMAP в нашей лаборатории (г. Сан-Матео, шт. Калифорния), мы пришли к выводу, что в большинстве своем они работают точно так, как заявлено их поставщиками. Но ввиду отсутствия поддержки стандартов каждый из них по сути своей является “фирменным” продуктом.

И все же с точки зрения интероперабельности протокол SSL POP/IMAP — это лучшее решение, поддерживающее клиентское ПО Microsoft и Netscape Communications. Решения APOP (Authentication POP) и KPOP (Kerberos POP), предложенные фирмой Qualcomm, могут применяться в соответствующих средах, но, как и протокол NTLM (NT LAN Man) фирмы Microsoft, где используется схема аутентификации SASL (Simple Authentication Security Layer), их поддерживает ограниченное число поставщиков. Вообще же, схема SASL дает нам некоторое представление о будущем аутентификации в IP-сетях, которая, скорее всего, будет основываться на LDAP-решениях.

***

Полную версию данной статьи смотрите в 15-м номере журнала за 1999 год.

Протокол APOP
Протокол KPOP
Протокол SSL POP/IMAP
SASL: CRAM-MD5 и NTLM
Взгляд в будущее





  
15 '1999
СОДЕРЖАНИЕ

колонка редактора

• Новое поколение выбирает оптику

локальные сети

• Перспективы развития сетевого оборудования Intel

• Многопроцессорные серверы

• Технология WfM фирмы Intel: удаленное управление рабочими станциями

• Открытые системы: частные термины (Предисловие к словарю по СКС)

• Распределительные панели для современных СКС

• Шкафы для электронной аппаратуры

интернет и интрасети

• Чего не хватает в Linux?

• Оркестр электронной коммерции на марше

• Всемогущая кластеризация

• Сделайте Web-кэширование эффективным

защита данных

• Нуждается ли Kerberos в "бритве Оккама"

• Как обеспечить безопасность сеансов POP и IMAP

корпоративные сети

• Факс-серверы на каждый день

• Выбирая протокол внутренней маршрутизации

услуги сетей связи

• Беспроводные технологии приходят на предприятия

• Hewlett-Packard открывает Вторую главу Интернет

• Даешь сети доступа на базе DWDM!

• Будущее за протоколом SIP

• Тестируем радиомодемы

• Интервью с президентом группы INS фирмы Lucent Technologies Куртом Санфордом

новые продукты

• Сибирские платы - для российских сетей, Rad на Telecom'99, ZENworks 2: полнофункциональное управление настольными системами



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх