МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів
Контакти
Тлумачний словник Авто Автоматизація Архітектура Астрономія Аудит Біологія Будівництво Бухгалтерія Винахідництво Виробництво Військова справа Генетика Географія Геологія Господарство Держава Дім Екологія Економетрика Економіка Електроніка Журналістика та ЗМІ Зв'язок Іноземні мови Інформатика Історія Комп'ютери Креслення Кулінарія Культура Лексикологія Література Логіка Маркетинг Математика Машинобудування Медицина Менеджмент Метали і Зварювання Механіка Мистецтво Музика Населення Освіта Охорона безпеки життя Охорона Праці Педагогіка Політика Право Програмування Промисловість Психологія Радіо Регилия Соціологія Спорт Стандартизація Технології Торгівля Туризм Фізика Фізіологія Філософія Фінанси Хімія Юриспунденкция |
|
|||||||
Забезпечення безпечної передачі данихАвторизація і анонімний доступ FTP-аутентифікація використовує звичайну схему ім'я користувача/пароль для надання доступу. Рецензент надсилається серверу командою USER, а пароль - командою PASS. Якщо надана клієнтом інформація прийнята сервером, то сервер відправить клієнту запрошення і починається сесія. Користувачі можуть, якщо сервер підтримує цю особливість, увійти в систему без надання облікових даних, але сервер може надати тільки обмежений доступ для таких сесій. Хост, що забезпечує FTP-сервіс, може надати анонімний доступ до FTP. Користувачі зазвичай входять в систему як "anonymous" (може бути від регістру на деяких FTP-серверах) в якості імені користувача. Хоча зазвичай користувачів просять надіслати адресу їх електронної пошти замість пароля, ніякої перевірки фактично не проводиться. Багато FTP-хости, що мають оновлення програмного забезпечення, підтримують анонімний доступ. Існує неймовірно популярна форма використання FTP. Вона називається анонімний FTP (anonymous FTP). Якщо ця форма підтримується сервером, вона дозволяє будь-якому отримати доступ до сервера і використовувати FTP для передачі файлів. За допомогою анонімного FTP можна отримати доступ до величезного обсягу вільно поширюваної інформації. Тут виникає ще одна проблема, яка полягає в тому, що дуже складно знайти те, що потрібно в цьому морі інформації. Скористаємося анонімним FTP, щоб отримати файл друкарських помилок для цієї книги з хоста ftp.uu. Щоб використовувати анонімний FTP, ми входимо в систему з ім'ям користувача "anonymous" (щоб вивчити, як пишеться це слово, спробуйте повторити його кілька разів). Коли з'являється запрошення ввести пароль, ми вводимо нашу адресу електронної пошти. sun % ftp ftp.uu.net Connected to ftp.uu.net. 220 ftp.UU.NET FTP server (Version 2.OWU(13) Fri Apr 9 20:44:32 EDT 1993) ready. Name (ftp.uu.net:rstevens): anonymous 331 Guest login ok, send your complete e-mail address as password. Password: ми задаємо rstevens@noao.edu; це не відображається ехом 230- 230- Welcome to the UUNET archive. 230- A service of UUNET Technologies Inc, Falls Church, Virginia 230- For information about UUNET, call +1 703 204 8000, or see the files 230- in /uunet-info строки вітання 230 Guest login ok, access restrictions apply. ftp> cd published/books переходимо в потрібну директорію 250 CWD command successful. ftp> binary будемо використовувати двійковий формат файлу 200 Type set to I. ftp> get stevens.tcpipiv1.errata.Z отримуємо файл 200 PORT command successful. 150 Opening BINARY mode data connection for stevens.tcpipiv1.errata.Z (105 bytes). 226 Transfer complete. (у вас може бути інший розмір файлу) local: stevens.tcpipiv1.errata.Z remote: stevens.tcpipiv1.errata.Z 105 bytes received in 4.1 seconds (0.83 Kbytes/s) ftp> quit 221 Goodbye. sun % uncompress stevens.tcpipiv1.errata.Z sun % more stevens.tcpipiv1.errata Програма uncompress використовується тому, що більшість файлів, доступних через анонімний FTP, стислі з використанням Unix програми compress, такі файли мають розширення .Z. Ці файли повинні бути передані у вигляді двійкових файлів, а не ASCII файлів. Ми можемо об'єднати разом деякі характеристики маршрутизації та системи імен (Domain Name System) з використанням анонімного FTP. У попередніх темах ми говорили про запити покажчика в DNS - які сприймають IP адреси і повертають ім'я хоста. На жаль, не всі адміністратори систем коректно конфігурують свої DNS сервери таким чином, щоб вони відповідали на запити покажчиків. Вони часто додають нові хости до файлів, необхідним для встановлення відповідності ім'я-адресу, проте забувають додати їх у файли, що встановлюють відповідність адрес-ім'я. З цим можна зіткнутися, працюючи з програмою traceroute, коли вона видає IP адреси замість імен хостів. Деякі анонімні FTP сервери вимагають, щоб клієнт мав коректне ім'я домену. Це дозволяє серверу зареєструвати домен і хоста, з який здійснено захід. Єдина інформація, яку може дізнатися сервер про клієнта з IP датаграми – це IP адреса клієнта. Сервер здійснює запит покажчика, щоб дізнатися доменне ім'я клієнта. Якщо DNS сервер, що відповідає за хост клієнта, що не налаштований коректно, запит покажчика не спрацює. Давайте змоделюємо подібну помилку: 1. Змінимо IP адреса хоста slip на 140.252.13.67. Це нормальний IP адреса для нашої підмережі, проте його немає на DNS сервері домену noao.edu. 2. Змінимо IP адреса призначення SLIP каналу на bsdi на 140.252.13.67. 3. Додамо пункт в таблицю маршрутизації на sun, який буде направляти датаграми для 140.252.13.67 на маршрутизатор bsdi. Хост slip доступний по Інтернет, тому що, як ми бачили в темі «Маршрутизація трафіку в ОС FreeBSD», маршрутизатори gateway і netb все ще посилають датаграми, які призначені в підмережа 140.252.13, на маршрутизатор sun. Наш маршрутизатор sun знає, що робити з цими датаграму, відповідно до пункту маршрутизації, який ми зробили в кроці номер 3. Таким чином, ми створили хост, який повністю підключений до Інтернет, однак не має коректного імені домену. Таким чином, запит покажчика для IP адреси 140.252.13.67 не працюватиме. А зараз скористаємося анонімним FTP на сервер, який, як ми знаємо, вимагає коректного імені домену. slip % ftp ftp.uu.net Connected to ftp.uu.net. 220 ftp.UU.NET FTP server (Version 2.OWU(13) Fri Apr 9 20:44:32 EDT 1993) ready. Name (ftp.uu.net:rstevens): anonymous 530- Sorry, we're unable to map your IP address 140.252.13.67 to a hostname 530- in the DNS. This is probably because your nameserver does not have a 530- PTR record for your address in its tables, or because your reverse 530- nameservers are not registered. We refuse service to hosts whose 530- names we cannot resolve. If this is simply because your nameserver is 530- hard to reach or slow to respond then try again in a minute or so, and 530- perhaps our nameserver will have your hostname in its cache by then. 530- If not, try reaching us from a host that is in the DNS or have your 530- system administrator fix your servers. 530 User anonymous access denied. Login failed. Remote system type is UNIX. Using binary mode to transfer files. ftp> quit 221 Goodbye. (На жаль, ми не можемо знайти ім'я хоста, відповідне вашому IP адресою. Можливо, це тому, що у вашого сервера імен немає в таблиці PTR запису, що відповідає вашому адресою, або ваш сервер не зареєстрований. Ми не працюємо з хостами, для яких ми не можемо визначити ім'я домену. Якщо проблема в тому, що ваш DNS сервер повільно відповідає або до нього складно достукатися, спробуйте ще раз через хвилину. Може бути, на цей раз DNS сервер вже буде мати ваше ім'я у своєму кеші. Якщо справа не в цьому, спробуйте зайти до нас з хоста, який коректно зареєстрований в DNS, або попросіть адміністратора полагодити ваш сервер). Повідомлення про помилку говорить сама за себе.
FTP не розробляються як захищений (особливо за нинішніми мірками) протокол і має численні уразливості в захисті. У травні 1999 автори RFC 2577 звели уразливості в наступний список проблем: - Приховані атаки (bounce attacks). - Спуф-атаки (spoof attacks). - Атаки методом грубої сили (brute force attacks). - Перехоплення пакетів, сніффінг (packet capture, sniffing). - Захист імені користувача. - Захоплення портів (port stealing). FTP не може зашифрувати свій трафік, всі передачі – відкритий текст, тому імена користувачів, паролі, команди і дані можуть бути прочитані ким завгодно, здатним перехопити пакет по мережі. Ця проблема характерна для багатьох специфікацій Інтернет-протоколу (у їх числі SMTP, Telnet, POP, IMAP), розроблених до створення таких механізмів шифрування, як TLS і SSL. Звичайне рішення цієї проблеми – використовувати "безпечні", TLS-захищені версії вразливих протоколів (FTPS для FTP, TelnetS для Telnet і т.д.) або ж інший, більш захищений протокол, начебто SFTP/SCP, що надається з більшістю реалізацій протоколу Secure Shell (SSH). Існує кілька методів безпечної передачі файлів, в одне або інший час званих "Безпечним FTP". FTPS Явний FTPS - розширення стандарту FTP, що дозволяє клієнтам вимагати того, щоб FTP-сесія була зашифрована. Це реалізується відправленням команди "AUTH TLS". Сервер володіє можливістю дозволити або відхилити з'єднання, які не можуть звертатися TLS. Це розширення протоколу визначено в специфікації RFC 4217. Неявний FTPS – застарілий стандарт для FTP, що вимагає використання SSL-або TLS-з'єднання. Цей стандарт повинен був використовувати відмінні від звичайного FTP порти. SFTP SFTP, або "SSH File Transfer Protocol", не пов'язаний з FTP, за винятком того, що він теж передає файли і має аналогічний набір команд для користувачів. SFTP, або безпечний FTP, - це програма, що використовує SSH (Secure Shell) для передачі файлів. На відміну від стандартного FTP він шифрує і команди, і дані, оберігаючи паролі і конфіденційну інформацію від відкритої передачі через мережу. За функціональністю SFTP схожий на FTP, але так як він використовує інший протокол, клієнти стандартного FTP не можуть зв'язатися з SFTP-сервером і навпаки. FTP через SSH (Не SFTP) FTP через SSH (Не SFTP) відноситься до практики тунелювання звичайної FTP-сесії через SSH-з'єднання. Оскільки FTP використовує кілька TCP-з'єднань, тунелювання через SSH особливо скрутно. Коли багато SSH-клієнтів намагаються встановити тунель для каналу управління (початкове "клієнт-сервер" з'єднання по порту 21), захищений буде тільки цей канал; при передачі даних програмне забезпечення FTP на будь-якому кінці встановить нові TCP-з'єднання (канали даних), які обійдуть SSH-з'єднання і, таким чином, позбудуться цілісної захисту. Інакше, для клієнтського програмного забезпечення SSH необхідно мати певні знання про FTP для відстеження та перезапису повідомлень потоку керування FTP і автономного відкриття нових перенаправлень для потоку даних FTP. Програмні пакети, що підтримують цей режим: - Tectia ConnectSecure (Win/Linux/Unix) з пакету SSH Communications Security. - Tectia Server for IBM z/OS з пакету SSH Communications Security. - FONC (під ліцензією GPL). - Co: Z FTPSSH Proxy. FTP через SSH іноді відносять до безпечних FTP; але не варто плутати його з іншими методами, такими як SSL/TLS (FTPS). Інші методи передачі файлів за допомогою SSH і не пов'язані з FTP - SFTP і SCP; в кожному з них і облікові і файлові дані завжди захищені протоколом SSH.
Читайте також:
|
||||||||
|