大家都知道嗅探技术能够捕获口令,捕获专用的或者机密的信息,危害网络邻居的安全,获取更高级别的访问权限以及分析网络结构,从而达到进一步的网络渗透。不过,如果我们只要把需要传输的文件加密,就可有效对付嗅探。下面我就给大家介绍一个个人web服务器抵御网络嗅探的办法——加密传输。
个人WEB服务器加密传输的方法
一、安装证书服务器
在Windows 2003 _Server版里可以添加使用SSL加密技术,但是默认安装的Windows 2003 _AdvanCed _Server没有证书服务器,所以要进入到控制面板中,双击打开。添加,删除程序。然后选择“Windows组件”,选择“证书服务”和“终端服务,开始安装服务。
在安装过程中,系统会弹出安装证书后,不能重命名计算机,并且计算机不能加入域或不能从域删除。出现“要继续吗?”的提示,单击“确定”,继续安装。在安装模式中,采用默认的“远程管理模式”,在证书颁发机构类型的一拦中,选择独立根CA的安全类型,单击“下一步”。输入“CA标识信息”。此时会显示CA数据存储位置。安装前会弹出一个警告安装证书窗口,“需要停止Internet信息服务”,此时也是点击“确定”。插入Windows 2003 _AdvanCed _Server光盘,安装证书服务器。N分钟后,证书系统安装完毕。
二、创建服务器证书
打开“控制面板”,在“管理工具”中打开Interne服务管理器,开始对WEB服务器进行配置。进入WEB站点属性,选择“目录安全性”,单击“安全通信的服务器证书”。
首先要创建一个新的证书。服务器证书分配方式有三种:创建一个新证书、分配一个已存在的证书以及从密钥管理器备份文件导入一个证书。
1、选择“创建一个新证书”,然后进入分明建新证书向导,会出现“是否准备一个证书请求以备稍候发送或是将它立即发送到证书颁发机构”提示,选择“YES”。
2、在“命名和安全设置”窗口中,输入证书的名称和位长(位长可以选择512到4096的几个数字,在这里我选择的是默认的521)。
3、系统会让我们设置证书的组织的相关信息、证书颁发机构的地理信息,为证书请求输入一个文件名(默认的是C:\certreq.txt),单击“下一步”,服务器证书就已经创建完成了。
三、配置服务器证书
有了服务器证书还不成,还要把它提交到证书服务器里去。在默认的情况下。证书服务器会在IIS的WEB管理中生成一个虚拟的目录(certsrv)。现在,我们启动Internet _Explorer浏览器,在地址栏里面输入http://iocalhost/certsrv/defauft.asp,开始申请证书。
在三个任务中(检索CA证书或证书吊销列表、申请证书、检查挂起的证书),我们选择“申请证书”,点击“下一步”。在申请的类型中,我们选择“高级申请”。系统此时会让我们选择何种策略申请证书(使用表格向这个CA提交一个证书申请.使用base64编码的pkcs#10文件提交一个证书申请,或使用base64编码的pkcs#7文件更新证书申诲使用智能卡注册站为代表另一用户的智能卡申请一个证书),我们就选择“使用base64编码的pkcs#10文件”提交一个证书申请,或使用“base64编码的pkcs#7文件”更新证书申请。随后,系统要求我们输入base64编码,通过浏览文件。“certreq.txt”插入代码。接下来点击“提交”按钮。如果提交成功则会返回一个页面。提示我们证书已经提交成功。现在证书的状态是挂起,我们还需要通过CA中心来颁发证书。
四、设置CA中心
进入“控制面板”选择“管理工具”中的“证书颁发”机构,对申请的证书进行配置。打开“证书颁发机构(本地)”,选择“待定申请”,找到我们刚才申请的证书,在上面单击右键“选择所有任务”中的“颁发”。
这样,一个证书就颁发完成,我们就可以在“颁发的证书”一项中找到刚才所颁发的证书。双击此证书,弹出证书的属性,选择“详细信息”,单击“复制到文件”,将证书导出到一个文件里,“处理挂起的请求并安装证书”,一路默认NEXT就可以了。
五、启动SSL加密
打开“WEB站点属性”,进入“目录安全”一“编辑”。对SSL进行最后的设置。在弹出“安全通信”窗口中。将“申请安全通道(SSL)”打上勾,其它为默认选项,然后单击“确定”按钮。回到“WEB站点属性”。现在我们可以看到“WEB站点”里的SSL端口可以进行修改了(没有安装SSL的情况下是灰色的),默认的是443端口。点“确定”。此时,SSL加密被启动了。
六、测试并安装证书
平时我们浏览没有加密的网页时是HTTP。而加密后的网页是需要用HTTPS协议打开网页。我们在地址栏中输“https//ilycs”,这时会弹出一个窗口,问我们“是否同意该证书”,单击“是”就可以了。
这样加密的通道传输就建立,当然通过HTTP协议传输的数据都是经过SSL加密过的,这时黑客所抓到的数据包打开后都是乱码,这样就不用担心密码被盗或信息泄露了。
但是SSL只能实现两方的安全认证,不能支持多方身份认证,而且只能保证数据在传输过程中的安全,对数据在到达本地的安全没有规定。所以,SSL在在线交易领域的应用受到了一些限制。
一般网络用户都可以使用SSL进行加密来保证信息安全,而企业就可以利用SET来进行加密。不过最重要的是要将安全一体化,装好防火墙、做好入侵检测,并用加密方式来维护系统稳定运行。
小知识之SSL加密技术
为了保护敏感数据在传送过程中的安全,全球许多知名企业采用SSL(Security Socket Layer)加密机制。 SSL是Netscape公司所提出的安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是HTTP over SSL,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。