 |
Чтобы гарантировать защищенную передачу информации при удаленном управлении Unix-системами, сетевые администраторы используют Secure Shell (SSH) - пакетный протокол, обеспечивающий защиту потока данных путем аутентификации пользователей, обмена ключами, шифрования и контроля целостности. Некоммерческие версии SSH появились еще в 1996 году, а последняя версия - SSH 2 недавно была представлена IETF для одобрения в качестве стандарта Internet (см. http://www.ssh.fi). Версия SSH 2 поддерживает шифрование с использованием открытого ключа по алгоритму Диффи - Хелмана или Digital Signature Algorithm (DSA) и защищенный вариант FTP.
Data Fellows, одна из немногих компаний, предлагающих коммерческие варианты продуктов на основе SSH, недавно выпустила программное обеспечение F-Secure SSH Server and SSH Tunnel & Terminal Client 2.0.12. В этой версии ПО существенно расширены базовые функции SSH 2; добавлена поддержка аутентификации RSA с использованием открытого ключа; предложен простой графический пользовательский Windows-интерфейс с утилитами scp (command-line secure copy) и sftp (secure FTP); реализован прокси-агент Windows для перенаправления произвольных удаленных служб на базе TCP/IP через каналы, защищенные с помощью SSH.
Data Fellows удалось обеспечить межплатформенную совместимость и возможность без каких-либо заметных проблем модернизировать предыдущие версии SSH. Благодаря этому сетевому администратору теперь попросту нет оснований жаловаться на отсутствие инструментов, позволяющих защитить управляющий трафик Unix-систем. Возможность перенаправлять трафик TCP/IP (в том числе и сеансов X Window) по безопасным каналам позволяет обеспечить его полноценную защиту.
Новая версия SSH поддерживает аутентификацию DSA и RSA. После завершения аутентификации для шифрования больших объемов данных можно выбрать один из пяти популярных симметричных алгоритмов шифрования - DES, 3DES, Blowfish, Arcfour и Twofish. Поскольку SSH в реализации финской компании Data Fellows не попадает под принятые в США экспортные ограничения на системы шифрования, этот программный продукт может использовать любая многонациональная корпорация, ведущая операции за пределами Соединенных Штатов.
Защищенный удаленный терминал полезен сам по себе, но самое важное, что без защищенной передачи файлов невозможно реализовать действительно мощное удаленное управление, которое позволяет осуществлять F-Secure. Однако утилиты scp и sftp из пакета F-Secure, предлагаемые для Windows-клиентов, оставляют желать лучшего. Эти утилиты следует интегрировать в графический пользовательский интерфейс клиента SSH. Кроме того, обе утилиты передают имя, под которым зарегистрирован пользователь Windows, при выполнении аутентификации на сервере SSH, если в качестве одного из параметров командной строки указано иное имя пользователя. Это означает, что в рамках стандартного синтаксиса выполнить аутентификацию на сервере SSH нельзя.
К другим заметным недостаткам нового ПО F-Secure SSH следует отнести отсутствие поддержки длинных имен файлов Windows, отсутствие в stfp поддержки определенных стандартных команд FTP (таких как mget и mput) и тот факт, что scp по умолчанию копирует все маршрутное имя в Windows как имя удаленного файла, если не указано иное. Однако при отсутствии других приемлемых решений защиты передачи файлов вполне можно обойтись утилитами scp и sftp.