企业、学校和家庭用户现在比以往任何时候都更需要安全的网络服务。随着在线业务的增长,越来越多的人继续通过不安全的网络访问关键的公司信息。公司正在使用互联网作为与国内外出差员工沟通的主要手段,向世界各地的各个办事处发送文档,并发送未加密的电子邮件;这种通信可能包含大量信息,任何恶意人员都可能拦截并出售或提供给竞争对手公司。用户和网络管理员良好的安全策略可以帮助最大限度地减少恶意人员在其组织内拦截或窃取关键信息相关的问题。本文将讨论使用安全外壳 (SSH) 和 MindTerm 来保护跨互联网的组织通信。
家庭用户和商务旅客正在通过不安全的网络访问公司资源并发送敏感数据。这为系统管理员 (安全可靠地保护家庭办公室) 开辟了一个全新的安全问题领域,尤其是在家庭高速接入的企业用户数量预计将“从 2000 年的 2400 万增加到 2005 年的 5500 万以上”(工作场所的宽带接入增加)的情况下。提供互联网接入(尤其是高速接入)的机场和酒店数量正在增加,并且预计未来还会增长(宽带正在升级)。这也可能为恶意人员大开方便之门,使其能够劫持或查看个人互联网流量并访问其公司。恶意人员可能对员工正在做的工作不感兴趣,而只是想访问高速服务器以发起攻击、存储文件或其他用途。商务人士确实处于高风险之中,因为他们不知道谁在监控他们在酒店、机场或任何旅行地点的互联网连接。新高速连接的用户通常没有接受过适当的安全协议培训,而且一些公司没有足够的人员来帮助家庭用户和商务旅客设置安全通信。个人用户,甚至令人惊讶的是,一些公司都有一种“我没有什么人们想要的东西”的心态。考虑到从员工家中或旅行者那里通过互联网传输的敏感信息量,这一点非常令人不安。更令人不安的是免费软件的可用性,这些软件可以执行此类攻击,并且易于使用。Dsniff (http://www.monkey.org/~dugsong/dsniff/) 是一个免费提供的程序,它包含一些实用程序,允许任何拥有联网计算机的人劫持本地网络并监控其他人在做什么,并抓取密码和其他敏感数据。布鲁斯·施耐尔在他的书《秘密与谎言:网络世界的数字安全》中指出,技术传播是网络安全的主要威胁之一:“互联网是……传播成功攻击工具的完美媒介。只有第一个攻击者需要技术娴熟;其他所有人都可以使用他的软件”(施耐尔)。
本文的目的不是如何保护计算机安全,而是如何设置虚拟隧道来执行安全通信,无论是发送文档还是发送电子邮件。商务旅客应阅读 吉姆·珀塞尔、弗兰克·里德和艾伦·魏森弗卢的文章,了解旅行安全。拥有高速接入的家庭用户应阅读泰德·唐的 文章,了解如何使用高速接入保护您的计算机安全。我建议您访问 www.sans.org、www.securityfocus.com 或 www.securityportal.com 上的许多资源,以获取有关如何保护您的计算机和服务器安全的教程。
确保敏感数据安全快速传输的方法是使用加密的数据传输方法。这可以通过加密电子邮件、使用安全的基于 Web 的电子邮件服务或在两台计算机之间建立加密隧道来实现。此外,还需要使用易于设置且可靠的软件,以便让没有经验的用户能够快速建立安全通信通道。Taten Ylonen 的 安全外壳 和 MindBright 技术的 MindTerm 是一个快速、易于使用且可靠的解决方案,用于保护通过互联网的通信安全。
SSH(安全外壳)是远程登录和文件传输程序(如 telnet、rsh 和 ftp)的安全替代品,这些程序以明文、人类可读的文本传输数据。SSH 使用公钥身份验证方法来建立从用户机器到远程机器的加密安全连接。建立安全连接后,用户名、密码和所有其他信息都通过此安全连接发送。您可以在 ssh 网站上阅读有关 ssh 工作原理、它使用的算法以及为保持高水平安全性和信任而实施的协议的更多详细信息:www.ssh.com。OpenBSD 团队创建了一个免费替代方案,名为 OpenSSH,可在以下网址获得:www.openssh.com。它保持了 OpenBSD 团队和安全外壳 IETF 规范的高安全标准(请参阅 安全外壳 IETF 草案),但它使用了免费的公共领域算法。SSH 正在成为远程登录管理的标准。它已经变得非常流行,以至于有许多 ssh 到各种平台的端口,并且有免费客户端可以从许多平台登录到 ssh 服务器。有关客户端列表,请参阅 http://linuxmafia.com/pub/linux/security/ssh-clients,Securityportal.com 上有一篇关于 ssh 的精彩的两部分文章,以及指向不同平台端口的链接,网址为 http://www.securityportal.com/research/ssh-part1.html。还有一些程序也使用名为安全复制 (scp) 的 ssh 实用程序在后台提供与完整 ftp 客户端相同的功能,例如 WinSCP 和 Java SSH/SCP 客户端,它具有针对 MindTerm 修改的 scp 界面。请仔细阅读许可证,以确定您是否被合法允许在您的国家/地区下载 ssh。SSH 对于学术机构是免费的,请仔细阅读 ssh.com 网站上提供的许可证。
MindTerm 是 MindBright Technology 完全用 Java 编写的 ssh 客户端。开发安全软件的关键实践之一是正确实施它使用的底层算法和协议。MindBright Technology 在这个小型应用程序文件中非常好地实施了 ssh 协议。它是一个独立的存档,只需解压缩到您选择的目录即可使用。它可以作为独立程序使用,也可以作为网页小程序使用,或两者兼而有之。它可在以下网址获得:http://www.mindbright.se/download/。MindTerm 是一款出色且廉价的客户端,可保护本地和远程位置之间的通信安全。上面下载地址中的 MindTerm 程序可免费用于非商业和学术用途,商业用途视具体情况而定。但是,ISNetwork 所做的修改“基于 MindTerm 1.21 代码库,MindTerm 在 GPL [通用公共许可证 -- 请参阅 https://gnu.ac.cn] 下发布了该代码库。由于我们的版本是在 GPL 下发布的,因此您可以免费将其用于商业用途”(Eckels)。ISNetwork 的实施具有 MindBright 的 MindTerm 的所有功能,只是它具有更友好的 scp 界面,可实现更用户友好的文件传输。MindTerm 确实有一些缺点,因为它不支持 UDP 隧道。为了保护 UDP 流量,一个名为 Zebedee 的程序(http://www.winton.org.uk/zebedee/) 将很好地工作。Zebedee 的服务器和客户端程序适用于 Windows 和 Linux 平台。它也在 GPL 许可下免费分发。您可以使用 Zebedee 连接到 Windows 或 Linux 机器。MindTerm 不会检查您的系统是否安全。保护计算机系统安全取决于管理员和用户。它易于实施,并且在保持 ssh 协议中实施的高级别安全性方面非常有效。本文将展示几乎任何用户都可以多么容易地设置和建立安全通信通道。文档、电子邮件和其他数据通信可以轻松安全地发送给近在咫尺或远在世界各地的用户。
SSH 和 MindTerm 将协同工作以使用一种称为端口转发的技术。端口转发是将流量从一个主机和一个给定端口转发到另一个主机和端口。换句话说,MindTerm 应用程序将在客户端机器(本地机器)上打开一个端口,并且任何连接到该本地端口的连接都将通过加密的 ssh 会话转发到远程主机及其侦听端口。连接是否被接受取决于您发送到远程主机的请求类型。例如,您不会将 POP 请求转发到侦听端口 21 的远程主机,因为端口 21 是为 ftp 请求保留的。端口转发也用于允许连接到位于防火墙后面和/或具有专用 IP 地址的服务器。本质上,这是在创建虚拟专用网络 (VPN)。VPN 是“一种专用数据网络,它利用公共电信基础设施,通过使用隧道协议和安全程序来维护隐私”(www.whatis.com)。端口转发只能使用 TCP 服务完成。