Заметки из лаборатории
Тем, кто работает с коммерческими транзакциями или просматривает электронную почту через Telnet, больше не нужно опасаться, что кто-то за ними подсматривает.
Судя по результатам исследования, проведенного в Тестовом центре PC Week Labs, продукт PowerTelnet 1.0 корпорации FSA (Калгари, шт. Альберта, Канада) может аккуратно зашифровать и защитить сеансы терминального доступа Telnet, не требуя от пользователей перехода на новое приложение Telnet.
Утилита Control Panel из программы PowerTelnet Version 1.0 корпорации FSA помогла специалистам из Тестового
центра PC Week Labs настроить шифрование сеансов Telnet
Нам особенно понравилась возможность PowerTelnet защищать передачу данных, просто замещая демон Telnet на Unix-сервере, вместо того чтобы пользоваться открытыми ключами или выделять отдельный сервер ключей. Клиентское ПО (FSA поддерживает клиенты под Windows 3.x, Windows NT, Windows 95 и Macintosh) просто подключается к применяемой пользователем утилите Telnet, замыкая канал.
PowerTelnet шифрует данные по схеме DES (Data Encryption Standard - стандарт шифрования данных), Triple-DES или по частному алгоритму FSA. При работе с пользователями, не имеющими клиентского компонента, ПО автоматически возвращается в незашифрованный режим.
К сожалению, защита PowerTelnet распространяется только на Telnet, соединения по другим протоколам из группы TCP/IP остаются незащищенными.
Продукт PowerTelnet поступил в продажу в январе; его цена составляет $495 за сервер плюс $99 за каждый клиент.
Установить программу легко
Специалисты из Тестового центра PC Week Labs установили программу PowerTelnet на машине SPARCstation LX фирмы Sun Microsystems, работающей под ОС Solaris 2.4 фирмы SunSoft.
С помощью Unix’овской утилиты tar мы скопировали файлы пакета на компьютер SPARCstation и запустили инсталляционный сценарий с консоли под Unix, который скопировал замещающий серверный компонент демона Telnet в нужный каталог.
Программа запросила имена хост-систем, которым разрешается подключаться к серверу в зашифрованном режиме. Если не вводить никаких имен, то PowerTelnet автоматически добавит в список имена первых компьютеров, подключившихся к хосту.
С клиентской стороны нам пришлось установить файл, замещающий стек WINSOCK.DLL на ПК под Windows 3.1, с помощью программы Setup пакета PowerTelnet. В качестве основного клиентского ПО для работы с Telnet мы использовали продукт Reflection2 фирмы WRQ.
Во время работы клиентской инсталляционной программы у нас возникла небольшая проблема; FSA работает над устранением ее причины. Тем не менее с третьей попытки все встало на свои места.
Конфигурацию рабочей станции можно настроить, запустив утилиту Control Panel (панель управления). С помощью этой утилиты мы задали алгоритм и уровень шифрования; отсюда же можно изменить номер порта, предназначенного для соединений Telnet.
PowerTelnet - не первый продукт, в котором реализовано шифрование сеансов Telnet, однако он наиболее прост в использовании: вносить какие-либо изменения в клиентское ПО для работы с Telnet или в стек протокола TCP/IP не нужно, так как ПО является полностью самодостаточным.
Схема Kerberos, наоборот, требует выделения отдельного сервера ключей, а процесс ее установки довольно трудоемок. С другой стороны, она обеспечивает лучшую защиту за счет периодической аутентификации.
Свободно распространяемая программа под названием ssh бесплатна, но она защищает только сеансы связи Unix - Unix и не может переключаться в незашифрованный режим.
Кроме того, существует несколько аппаратных решений, но ничто не может сравниться с PowerTelnet по простоте использования. В отличие от ssh, к достоинствам PowerTelnet, относится возможность соединения с незащищенными клиентами. До тех пор пока мы не установили клиентское ПО, наша Telnet-программа Reflection работала при соединении с машиной Sun, как и раньше, в незашифрованном режиме. Помимо этого PowerTelnet не требует, в отличие от Kerberos, дополнительных затрат на организацию аутентификации или на оборудование. PowerTelnet - это решение, которое приносит хорошие результаты, не оказывая серьезного влияния на системы.
Право на конфиденциальность
При запуске зашифрованного сеанса происходит обмен ключами шифрования, что приводит к небольшой заминке. После этого мы не заметили никаких задержек в передаче. Длину ключа можно выбрать в пределах от 40 до 2048 бит, что соответствует 12 уровням шифрования. По умолчанию используется шифрование по алгоритму Triple DES с 56-битным ключом.
Мы наблюдали за передачей с машины SPARCstation с помощью программы-“подглядывалки” (в качестве альтернативы сетевому анализатору), чтобы удостовериться в том, что она действительно зашифрована (не содержит никакого простого текста).
К сожалению, вернуться обратно к незашифрованному режиму было не так-то просто. Отключив шифрование из панели управления, мы потеряли возможность входа на сервер с данного ПК. FSA устранила эту проблему.
Документацию PowerTelnet мы сочли полной и ясно написанной. После того как установка программы закончена, документация почти не нужна.
Что касается поддержки других соединений TCP/IP, кроме Telnet, то FSA завершает разработку расширенного пакета, способного шифровать любое соединение из набора TCP/IP.
С фирмой FSA можно связаться по телефону: (403) 264-4822; адрес узла Web: http://www.fsa.ca.
Кен Филлипс