P°ehled F-Secure SSH klient produkt∙

F-Secure SSH klient

FSecure SSH klient produkty poskytujφ u₧ivatel∙m bezpeΦnßmi login spojenφ p°es ned∙v∞ryhodnΘ sφt∞. FSecure SSH klient p∙sobφ jako nßhrada protokolu telnet. Klienti pou₧φvajφ kryptografickou autentizaci, automatickΘ Üifrovßnφ sezenφ a ochranu integrity - tedy metody, kterΘ jsou definovßny protokolem SSH. FSecure SSH klient pln∞ podporuje VT100 terminßlovou emulaci.

Produkty FSecure SSH klient jsou komerΦn∞ dostupnΘ pro nßsledujφcφ platformy.

Windows 3.1x / 95 / NT
Macintosh
VÜechny Unix/Linux platformy

FSecure SSH klient m∙₧e b²t pou₧it pro vytvo°enφ lokßlnφch proxy server∙ pro slu₧by TCP/IP na dßlku. Slu₧bou m∙₧e b²t jeden z Internetovsk²ch protokol∙: pop, smtp (vyu₧φvan² e-mail softwarem), http (vyu₧φvan² Web browsery) atd. nebo tΘm∞° jakßkoliv jinß na TCP/IP zalo₧enß slu₧ba (nap°. TCP/IP spojenφ na RDBMS server). Lokßlnφ proxy server vytvo°en² produktem FSecure SSH klient hlφdß socket na danΘm portu, a vysφlß ₧ßdost a data bezpeΦn²m kanßlem a instruuje FSecure SSH server, aby vytvo°il spojenφ s udanou slu₧bou na vzdßlenΘm poΦφtaΦi.

Jedinou zaznamenatelnou zm∞nou je, ₧e klient software je nastaven tak, aby se spojil spφÜe s lokßlnφm proxy serverem ne₧ se vzdßlen²m serverem. Viz obrßzek 1: TCP/IP nasm∞rovßnφ portu.

VÜechny produkty FSecure SSH klient majφ nßsledujφcφ p°ednosti:

SilnΘ Üifrovßnφ, neoslabenΘ US ITAR omezenφmi. Host autentizace je zalo₧ena na 1024 bit∙ dlouh²ch RSA klφΦφch, bezpeΦnß spojenφ vyu₧φvajφ 128-bit∙ dlouhΘ klφΦe sezenφ.
Sprßva klφΦ∙ je pln∞ distribuovanß. Nenφ zde ₧ßdn² centralizovan² server, kter² by, pokud by byl kompromitovßn, mohl kompromitovat ostatnφ poΦφtaΦe. (To je hlavnφ rozdφl ve srovnßnφ s produktem Kerberos.)
FSecure SSH klient m∙₧e vytvß°et Proxy servery pro libovolnΘ na TCP/IP zalo₧enΘ vzdßlenΘ slu₧by a sm∞rovat spojenφ na vzdßlen² server p°es bezpeΦn² kanßl realizovan² produktem FSecure SSH Server.
Aplikace zalo₧enΘ na X11 mohou b²t bezpeΦn∞ pou₧ity v ned∙v∞ryhodnΘ sφti.
BezpeΦn² ftp klient bude uvoln∞n pozd∞ji v tomto roce.

FSecure SSH klient je k dispozici pro Macintosh (Alfa v²vojovΘ stßdium), Windows a v∞tÜinu r∙zn²ch UNIX platforem.

Autentizace a ochrana soukromφ a integrity

SouΦasn² IP protokol ₧ßdn²m zp∙sobem nezajiÜ¥uje bezpeΦnost informacφ (nap°. autentizcen, soukromφ, integrita dat). Protokoly vyÜÜφ ·rovn∞ nejsou o nic spolehliv∞jÜφ, nebo¥ jsou v komerΦnφ rovin∞ ₧enΘ na p°edpokladu, ₧e je mo₧no d∙v∞°ovat protokol∙m ni₧Üφ ·rovn∞.

Pokud je nutnΘ zabezpeΦenφ, musφ b²t implementovßno na ·rovni aplikace. SSH protokol je protokolem na ·rovni aplikace pou₧φvan²vÜemi produkty FSecure. SSH zabezpeΦuje simultßnnφ autentizaci obou konc∙ spojenφ, utajenφ p°enßÜen²ch informacφ a integritu p°enßÜen²ch dat.

Vφce informacφ o autentizaci a ochran∞ soukromφ a integrity najdete v kapitole "P°ehled - SSH protokol" uvedenΘ nφ₧e v tomto souboru.

souhrn - FSecure SSH autentizace, ochrana soukromφ a integrity:

FSecure SSH klienty a servery pou₧φvajφ silnou autentizaci. Host autentizace je zalo₧ena na 1024 bit∙ dlouh²ch RSA klφΦφch.
Sprßva klφΦ∙ je pln∞ distribuovanß. Nenexistuje zde ₧ßdn² centralizovan² poΦφtaΦ, kter², pokud by byl kompromitovßn, by mohl kompromitovat i ostatnφ poΦφtaΦe.
VeÜker² provoz je automaticky zaÜifrovßn bez toho, ₧e by o tom u₧ivatel musel v∞d∞t.
VeÜker² provoz je automaticky chrßn∞n² proti pozm∞n∞nφ.
AutentizaΦnφ klφΦe mohou b²t ulo₧eny v u₧ivatelskΘm laptopu nebo v budoucnosti na ΦipovΘ kart∞.

Proxy servery pro bezpeΦnß spojenφ

FSecure SSH Server pro UNIX a vÜechny ostatnφ klienty podporuje technologii nasm∞rovßnφ TCP/IP portu pro spojenφ s libovoln²mi, jinak ned∙v∞ryhodn²mi spojenφmi bezpeΦn²m kanßlem.

Nasm∞rovßnφ TCP/IP portu pracuje pomocφ vytvo°enφ lokßlnφho proxy serveru pro jakoukoliv ₧ßdanou vzdßlenou TCP/IP service. Lokßlnφ proxy server Φekß na spojenφ od klienta, nasm∞ruje ₧ßdost a data p°es bezpeΦn² kanßl a realizuje spojenφ na specifikovanou vzdßlenou slu₧bu na druhΘ stran∞ bezpeΦnΘho kanßlu.

Proxy servery mohou b²t vytvo°eny pro v∞tÜinu vzdßlen²ch slu₧eb, kterΘ vyu₧φvajφ TCP/IP. To zahrnuje aplikace typu klient-server, normßlnφ UNIX slu₧by jako smtp, pop, http a mnohΘ jinΘ.

aby bylo umo₧n∞no TCP/IP nasm∞rovßnφ, poΦφtaΦ - klient vy₧aduje FSecure SSH klient a vzdßlen² poΦφtaΦ musφ mφt FSecure SSH server. Aby mohl klient software realizovat spojenφ s lokßlnφm proxy serverem, parametry spojenφ musφ b²t nastaveny na localhost 127.0.0.1 mφsto na normßlnφ adresu vzdßlenΘho serveru. Viz obrßzek 1: Nasm∞rovßnφ TCP/IP portu.

FSecure SSH Server pro UNIX poskytuje automatickΘ nasm∞rovßnφ pro X11 Windowing System, b∞₧n∞ vyu₧φvan² v UNIX poΦφtaΦφch.

X11 nasm∞rovßnφ pracuje tak, ₧e je vytvo°en proxy X server na vzdßlenΘm poΦφtaΦi aplokacφ dalÜφho dostupnΘho Φφsla TCP/IP portu nad 6001 (to odpovφdß X zobrazovacφm Φφsl∙m, tak₧e port odpovφdajφcφ zobrazenφ n je 6000+n). FSecure SSH server pak sleduje spojenφ na tomto portu, nasm∞rovßvß ₧ßdosti o spojenφ a jakßkoliv data na bezpeΦn² kanßl, a realizuje spojenφ s reßln²m X serverem z FSecure SSH klientu. Prom∞nnß DISPLAY je automaticky nastavena na bod p°φsluÜnΘ hodnoty. VÜimn∞te si, ₧e nasm∞rovßnφ m∙₧e b²t z°et∞zeno, co₧ dovoluje bezpeΦnΘ pou₧itφ X aplikacφ nad libovoln²m °et∞zcem SSH spojenφ.

Souhrn - proxy servery a podpora bezpeΦn²ch X11 spojenφ:

Proxy servery mohou b²t vytvo°eny pro libovolnΘ na TCP/IP zalo₧enΘ vzdßlenΘ slu₧by a spojenφ mohou b²t nasm∞rovßna p°es ned∙v∞ryhodnou sφ¥.
FSecure SSH servery a klienty poskytujφ automatickΘ nasm∞rovßnφ pro X11 Windowing System, b∞₧n∞ pou₧φvan² v UNIX poΦφtaΦφch.

V²kon

ZkuÜenosti ukßzaly, ₧e zatφ₧enφ CPU zp∙sobenΘ siln²m zaÜifrovßnφm nenφ p°i p°enosu tajn²ch informacφ v²znamnΘ. Nenφ t°eba ospravedl≥ovat d∙vody, proΦ Üifrovat; ud∞lat to, nestojφ prakticky nic. Ale, nepou₧itφ silnΘho Üifrovßnφ ve vÜech komunikacφch m∙₧e mφt vß₧nΘ nßsledky. M∞ly by takΘ b²t pou₧ity ty nejsiln∞jÜφ dostupnΘ Üifrovacφ metody, proto₧e nejsou o nic dra₧Üφ ne₧ slabΘ metody (nap°. DES nebo Üifry pou₧φvajφcφ kratÜφ klφΦe).

V²kon SSH protokolu m∙₧e b²t rozd∞len do dvou d∙le₧it²ch parametr∙: doba startu a rychlost p°enosu.

Doba startu znam∞nß Φas od spuÜt∞nφ FSecure SSH klientu a₧ do momentu, kdy jsou p°eneseny prvnφ datovΘ byty. Doba startu je °ßdov∞ sekunda na poΦφtaΦφch t°φdy 486 nebo Pentium p°ipojen²ch na ethernet, a °ßdov∞ n∞kolik sekund u spojenφ na dßlku.

Rychlost p°enosz znamenß poΦet byt∙ za sekundu, kterΘ mohou b²t p°eneseny bezpeΦn²m kanßlem. Po v∞tÜinu Φasu nenφ rychlost p°enosu omezena Üifrovßnφm, ale rychlostφ p°enosu sφt∞. Dßle u spojenφ na dßlku, pou₧φvajφcφch SSH protokol, m∙₧e dojφt k podstatnΘmu urychlenφ p°enosu dφky komprimaci p°enßÜen²ch dat.

Souhrn - v²kon:

Zatφ₧enφ CPU zp∙sobenΘ siln²m Üifrovßnφm nenφ v²znamnΘ p°i p°enosu tajn²ch informacφ.
M∞ly by b²t pou₧ity ty nejsiln∞jÜφ dostupnΘ Üifrovacφ metody, proto₧e nejsou o nic dra₧Üφ ne₧ slabΘ metody.
Dφky komprimaci p°enßÜen²ch dat m∙₧e SSH protokol podstatn∞ urychlit p°enosy na velkou vzdßlenost.