Сервера прикладного уровня

МЭ прикладного уровня осуществляет посреднические услуги по передаче данных и команд прикладного уровня двумя компьютерами в сети. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух соединений прикладного уровня. В общих чертах принцип работы МЭ прикладного уровня такой же как и у МЭ уровня соединения, однако, функционирование происходит на более высоком уровне и существует возможность поддержки специальных протоколов безопасности (SSH, SSL, S/MIME, SOCKS и др.).

Прежде всего, необходимо отметить, что в отличие от МЭ уровня соединения, ориентированного на единственный протокол TCP, МЭ прикладного уровня существует много — под каждый протокол прикладного (и сеансового) уровня. Каждый МЭ допускает и защищает только тот протокол, который он поддерживает (тем самым реализуется политика запрещено все, что не разрешено). Наиболее популярные поддерживаемые МЭ протоколы можно разделить на следующие группы:

гипертекстовые протоколы — HTTP, SHTTP, HTTPS, Gopher;
протокол пересылки файлов — FTP;
почтовые протоколы — SMTP, POP3, IMAP, NNTP;
протоколы удаленного доступа — Telnet, rlogin, rsh, rexec, RPC, XWindow;
протокол сетевой файловой системы — NFS, NetBEUI;
протокол службы имен — DNS;
безопасные протоколы сеансового уровня — SSH, SSL, S/MIME, SOCKS.

<p>Так как МЭ функционирует на прикладном уровне, то у него существуют большие возможности по фильтрации прикладных команд и данных. Например, для протокола FTP возможно запрещение команды put — команды записи файла на сервер. Возможна организация разграничения доступа к объектам сервера дополнительно к возможностям самого сервера по разграничению доступа.

Если МЭ поддерживает безопасный протокол, то возможно поддержание конфиденциальности и целостности передаваемых через внешнюю сеть данных путем шифрования данных и вычисления криптографических контрольных сумм (т.е. туннелируя трафик прикладного уровня). В этом случае компьютер-инициатор тоже должен поддерживать тот же самый безопасный протокол (удаленная защищенная рабочая станция) либо необходим еще один МЭ прикладного уровня, поддерживающий тот же самый безопасный протокол (виртуальная частная сеть — VPN).

Способ реализации схемы усиленной аутентификации компьютера-инициатора и пользователя зависит от используемого протокола, поддержка МЭ (и компьютером-инициатором) безопасного протокола позволяют не только увеличить надежность аутентификации, но и унифицировать процесс аутентификации.

Следует также отметить, что компьютер-инициатор в начале сеанса связи передает МЭ имя компьютера-адресата и запрашиваемого сервиса (в общем случае — URL), т.е. связь с через МЭ может осуществляется от многих ко многим. Способ передачи этого имени зависит от используемого протокола. Здесь же может передаваться и имя пользователя, с правами которого будет осуществляться доступ. В схеме передачи данных между двумя соединениями вместо простого копирования используется техника высокоуровневой фильтрации, трансляции и кэширования данных (протокольный автомат).

К преимуществам МЭ прикладного уровня (по сравнению с другими методами фильтрации) следует отнести следующие:

возможность усиленной аутентификации компьютера-инициатора и пользователя;
возможность защиты от подмены во время связи аутентифицированного компьютера-инициатора;
защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность атаки с использованием дыр в конкретном программном обеспечении;
возможна защита целостности и конфиденциальности передаваемых данных и команд;
фильтрация пересылаемых команд и данных;
большая гибкость в протоколировании передаваемых команд и данных;
возможность кэширования данных.

Основным недостатком МЭ этого типа является необходимость в существовании нескольких МЭ для разных сервисов.

Статьи к прочтению:

Сборка сервера (Как собрать сервер)

Похожие статьи: