|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Davydov 2:5020/400 23 Mar 2005 12:58:26
To : Igor Zemliansky
Subject : Re: Шифрование трафика между серверами
--------------------------------------------------------------------------------
> From: "Igor Zemliansky" <igor@magisters.kiev.ua>
> Date: Tue, 22 Mar 2005 15:24:44 +0000 (UTC)
>
> VD> Зависит от деталей конкретной задачи: что за трафик ходит между
> VD> серверами, через какую среду, какие ещё функции (сервисы) имеются на
> VD> серверах, кто имеет к ним доступ и т.д.
>
>Как-то не думал, что понадобиться...
>
>Есть два сервера FreeBSD. Один (А) стоит в офисе и, между прочим, работает
>шлюзом в Интернет. Второй (В) находиться... неизвестно где, в Америке,
>например. Есть только IP-адрес от него, да SSH-доступ с root'овыми правами.
>Раз в n-минут сервер В забирает некоторые данные с сервера А по протоколу,
>скажем, ftp. Данные очень сурьезные и не должны быть видны всему
>интернет-сообществу.
>В офис заявляются "постронние" личности. Данные на сервере А удаляются.
>Hужно скрыть факт того, что данные backup'ились на сервер В.
>Как видно, задача делиться на две подзадачи. Шифрование трафика (хотя, можно
>в простейшем случае использовать firewall) и скрытие факта backup'ов.
>How-To-?
Hу, во-первых, надо примириться с тем, что самый факт backupов скрыть
не удастся: раз есть connectivity и трафик ненулевой, значит, какая-то
информация наружу передаётся. Более того, предложенным тобою способом
и местоположение сервера B скрыть тоже не удастся. Посторонним личностям
достаточно посмотреть логи какого-нибудь транзитного узла на предмет
регулярно повторяющейся через n минут активности, на что у них, кстати,
имеются стандартные средства. А задачу шифрования при такой постановке
наиболее оправдано решать на уровне данных, а не на сетевом уровне.
Причём ключ для расшифровки на сервере B не хранить вовсе, дабы тамошним
коллегам посторонних личностей не было смысла заявляться в тамошний офис.
Что касается затруднения определения местонахождения backup серверов,
то тут проще всего использовать публикацию зашифрованных данных в
какой-нибудь распределённой системе, например, usenet: тогда таких
серверов много и для обладателя ключа нет проблем с восстановлением
этих данных.
Вал. Дав.
--- ifmail v.2.15dev5.3
* Origin: St. Petersburg State University (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
