Windows - Az SSL/TLS alkalmazási lehetőségei, valamint használata tűzfalon keresztül

SSL/TLS 4. rész

Az SSL/TLS technológiát bármelyik alkalmazás használni tudja. Felsoroljuk azokat a lehetőségeket, amelyek a leginkább ki tudják használni a titkosított és hitelesített kommunikáció előnyeit. Ezen kívül megvizsgáljuk, hogy mire kell figyelnünk, ha tűzfal van a két kommunikáló fél között.
SSL/TLS forgatókönyvek
Sokan azt gondolják, hogy az SSL és TLS egy olyan protokollpáros, amelyet a Web böngészők arra használnak, hogy biztonságosan barangoljanak az Interneten. Ezzel szemben ezeknek a technológiáknak az a céljuk, hogy akkor használjuk őket, amikor hitelesítésre és adatvédelemre van szükség. Az alábbi példák leírják az SSL/TLS mai használati lehetőségeit. Ez a lista nem teljes. Valójában e protokollok elérése SSPI interfész segítségével azt jelenti, hogy bárki előnyt húzhat ebből bármely alkalmazás számára. Számos alkalmazásban vezettek be módosítást, hogy kihasználják az SSL/TLS előnyeit.
  • Biztonságos tranzakció elektronikus kereskedést megvalósító weboldalakkal
Ez egy tipikus használati lehetősége az SSL-nek böngésző és Web szerver között. Például egy e-kereskedelmi vásárló oldal, ahol a klienseknek szükséges használni a hitelkártya számaikat. A protokoll először ellenőrizheti, hogy a weboldal tanúsítványa valós-e, és ezután küld hitelkártya információkat, titkos szövegként. Ennél a tranzakciófajtánál, ahol a szerver aláírása megbízható forrásból származik, csak szerveroldali hitelesítés történik. Az SSL/TLS-nek engedélyezettnek kell lenni a Web oldalon, mint egy megrendelési formátumnak, ahol az adatátvitel történik.
  • Biztonságos weboldal hitelesített elérése
A kliensnek és a szervernek is egyaránt hitelesítésre van szüksége egy kölcsönösen megbízott CA-tól (Bizonyítvány kibocsátó szervezet). Az Schannel segítségével a klienshitelesítések leképezhetők 1-1, vagy 1-N alapon a Windows 2003 felhasználói vagy számítógép azonosítójukba, az AD felhasználók és számítógépek segítségével. Az viszont rejtve marad a felhasználók elől, hogy ki lehet hitelesített egy weboldalon anélkül, hogy szükséges lenne jelszót megadnia.
Ha több felhasználói hozzáférést akarunk létrehozni a bizalmas adatokhoz, akkor csoportot képezhetünk, hozzárendeljük a felhasználói hitelesítési információkat a csoporthoz, és csoportjogosultságot adunk a tartalomhoz.
Az egy az egyhez megfeleltetés esetén a szervernek egy másolata van a kliens tanúsítványáról, így akármikor, ha a kliens belép, a szerver ellenőrzi a hitelességét. Az egy az egyhez megfeleltetést tipikusan privát tartalomhoz használjuk, mint pl. banki oldalhoz, ahol csak egy embernek van joga megtekinteni a személyes azonosítót.
  • Távoli elérés
Az Schannel arra használható, hogy hitelesítést és adatvédelmet nyújtson, amikor a felhasználók távolról lépnek be a Windows alapú rendszerbe, vagy hálózatokba. A telekommunikáció egy általános alkalmazása a technológiának. A felhasználók sokkal biztonságosabban érik el az e-mail üzeneteiket, vagy céges alkalmazásaikat otthonról, vagy amíg úton vannak, csökkentve az információ lelepleződésének kockázatát bárki előtt az Interneten.
  • SQL elérés
A Microsoft SQL szerver a rendszergazdáknak a hitelesítés megkövetelését teszi lehetővé, amikor kapcsolódunk az SQL szerverhez. Emellett a kliens vagy a szerver beállítható, hogy titkosítást igényeljen az átvitelre kerülő adatokra. Nagyon érzékeny üzleti vagy orvosi adatbázisok védhetők meg, gátolva az engedély nélküli hozzáférést, és az információ felfedését a hálózaton.
  • E-mail
Az Exchange kiszolgálók az Schannel segítségével védhetik adataikat a szerverek közötti kommunikáció során az Intra- vagy Interneten. A teljes végponttól-végpontig tartó védelemhez szükséges lehet a Secure/Multipurpose Internet Mail Extensions (S/MIME) használata, habár a kiszolgálók közötti adatvédelem lehetővé teszi a cégeknek, hogy az Internetet használják a biztonságos e-mail átvitelhez telephelyek, divíziók között a cégen belül. Ez megtehető függetlenül attól, hogy az S/MIME használatban van-e.
SSL és a tűzfalak
Meg kell hoznunk néhány kiegészítő döntést, ha az SSL/TLS tranzakcióknak tűzfalon keresztül kell áthaladniuk. A tűzfal sokféle szoftver lehet, de általában sorompóként működik a céges hálózat és az Internet között. Az SSL/TLS protokoll a tűzfal gépet "közbülső személy" támadásának értelmezi, amely meggátolja a tranzakció létrejöttét.
Az alábbi két megközelítés közül az egyiket használnunk kell ahhoz, hogy SSL/TLS tranzakciókat valósítsunk meg tűzfalon keresztül:
  • Nyissuk meg a tűzfalat, hogy lehetővé tegye a teljes forgalmat egy cél port-on. A SSL tipikus port-ja a 443-as. Ez a port nyitva lehet, hogy lehetővé tegye a forgalmat a cél Web szerver felé. Sajnos ez azt jelenti, hogy a tűzfal biztonsági döntéseket csak a csomag látható forrása és célja alapján tud meghozni. A tűzfal nem képes megvizsgálni a titkosított adatot a kérésben.
  • Állítsuk be a tűzfal-, vagy korlátrendszert proxy kiszolgálóként. Ebben az esetben a tűzfalrendszer az SSL forgalom célja a kliens felől. A kliens hitelesíti magát a tűzfalon, amely továbbítja, vagy a felhasználó nevében helyettesíti a kérést a belső rendszerhez. A kapcsolat a tűzfaltól a belső rendszerig lehet SSL-el védett is, és nem is. Ez egy hitelesítési problémát mutat, mivel a proxy-nak szükséges, hogy átküldje a hitelesített azonosítóját az eredeti felhasználónak a belső rendszerbe. A Windows 2003 szerverhitelesítés megfeleltetési tulajdonságait nem lehet használni, mivel a hitelesítési folyamat, amely a felhasználó tanúsítványán alapszik, a proxy-n található.

SSL/TLS cikksorozat