Biztonság

Azért van szükségünk az egyes hálózati forgalmak titkosítására, hogy érzékeny adatokat is biztonságosan tudjunk átjuttatni a bárki által elérhető hálózaton keresztül. Jellemzően ilyen érzékeny adatok a felhasználói név és jelszó párosok. Emiatt célszerű titkosítással ellátni azokat a szolgáltatásokat, amelyek ezen két adattal dolgoznak. A Bibliográfiában szereplő ([1]) anyagban részletes leírást találunk a tanúsítványokról, valamint érdekes példákat a használatukra.

A különböző szolgáltatásokhoz szükséges titkosítás előállításáról^5.1, valamint az ssh-n keresztüli távoli adminisztrációról lesz szó ebben a fejezetben.

Nem szabad elfelejtenünk, hogy ha saját CA-t készítünk, és ezen CA-val írjuk alá a szervereink tanúsítványait, akkor ezen CA-nak a tanúsítványát el kell helyeznünk a megfelelő helyeken. Ha egy webszerverhez generálunk kulcsot, akkor a munkaállomás böngészőjének is a tudomására kell hoznunk, hogy miképpen tudja ellenőrizni a webszerver tanúsítványát. Erre azonban csak a CA tanúsítványának ismeretében lesz képes! Tehát ha a kliens nem rendelkezik a CA tanúsítványával, akkor nem fogja tudni ellenőrizni a webszerver tanúsítványát. Alapesetben ez annyit fog jelenteni, hogy minden böngésző figyelmeztetni fogja a felhasználót, hogy a webszerver tanúsítványát nem tudja ellenőrizni. Ekkor a felhasználók jelentős része arra a gombra kattint, amelynek segítségével tovább léphet...^5.2

Mivel a felhasználó legtöbbször gondolkodás nélkül kattint a minél gyorsabb továbblépés érdekében, az is előfordulhat, hogy egy támadó hasonló weboldalt és tanúsítványokat állít elő mint a valódiak, majd az általa elkészített oldalra irányítva (vagy csalva) a klienseket ily módon értékes adatokhoz jut. Ha azonban a kliens rendelkezik a valódi CA tanúsítványával, akkor azonnal reklamálnia kell az alkalmazott szoftvernek, hogy nem egyezik a tanúsítvány, így a támadó nem jár sikerrel.

Alszakasz

Kosa Attila
2009-03-23