Charakterystyka translacji adresów sieciowych w TLS i SSL

TLS i SSL będą działały bez problemów w systemie translacji adresów sieciowych. Jednakże szyfrowanie między węzłami końcowymi uniemożliwi systemowi translacji przechwycenie osadzonych adresów IP. Protokoły wyższego poziomu, które polegają na poprawności adresów lub nazw hostów zawartych w przesyłanych danych, nie będą działać, a system translacji nie zabezpieczy cię przed przypadkowym ujawnieniem informacji o wewnętrznej konfiguracji twojej sieci.

Podsumowanie zaleceń dotyczących TLS i SSL. TLS i SSL w wersji 3 to dobre metody chronienia danych między węzłami końcowymi. Użyj TLS i SSL w wersji 3, aby ochronić się przed podsłuchem, przejmowaniem sesji oraz serweramikońmi trojańskimi. Użyj TLS lub SSL w wersji 3 zamiast SSL w wersji 2. Lepiej używać TLS niż SSL w wersji 3.

Kiedy oceniasz programy używające TLS lub SSL do zabezpieczenia istniejących protokołów, upewnij się, że zabezpieczenie połączenia zachodzi przed wymianą poufnych danych. Byłoby najlepiej, gdyby negocjacje protokołu wyższego poziomu były przeprowadzane od początku, kiedy połączenie zostanie już zabezpieczone.

Generic Security Services API (GSSAPl) GSSAPI to standard IETF, który zapewnia aplikacjom zestaw usług kryptograficznych. Są one realizowane przez dobrze zdefiniowany interfejs programowy aplikacji (API). Oto dostępne usługi:

nawiązywanie i zamykanie kontekstu/sesji szyfrowanie i rozszyfrowywanie komunikatów podpisywanie i weryfikowanie komunikatów. Interfejs GSSAPl może współpracować z różnymi technologiami kryptograficznymi, ale każda technologia niezależnie definiuje zawartość pakietu. Dwie aplikacje używające GSSAPI nie będą mogły współpracować, jeśli używają innych technologii kryptograficznych.

Są przynajmniej dwie standardowe implementacje GSSAPI na poziomie protokołu jedna używa Kerberosa, a druga kluczy publicznych RSA. Aby ustalić wymagania konkretnej aplikacji GSSAPI, musisz wiedzieć, jakiej technologii kryptograficznej używa. W przypadku GSSAPI Kerberosa będziesz potrzebował centrum dystrybucji kluczy Kerberosa (Kerberos Key Distribution Center więcej informacji o Kerberosie znajdziesz w rozdziale 21, „Usługi uwierzytelniania i ewidencjonowania”).

GSSAPI najlepiej sprawdza się w aplikacjach, w których połączenia między komputerami odpowiadają przeprowadzanym transakcjom. Jeśli do sfinalizowania transakcji potrzeba wielu połączeń, każde będzie wymagało nowej sesji GSSAPI, ponieważ GSSAPI nie zawiera mechanizmów identyfikujących kryptograficzny kontekst komunikatu. Aplikacje, które potrzebują takich mechanizmów, powinny raczej korzystać z TLS lub SSL.

Ze względu na brak kontekstu GSSAPI nie działa dobrze z protokołami bezpołącze niowymi, takimi jak UDP nadaje się tylko do użycia z protokołami połączeniowymi, takimi jak TCP.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>