Хотелось бы услышать мнение спецов по следующему вопросу. Понадобился защищенный канал связи между сервером и клиентами посредством GPRS. Сервер (ПК) имеет фиксированный IP который открыт в инете, клиент (например на базе SIM300) при необходимости соединяется с сервером и скидывает какие-нибудь данные (не более 100 байт) и разрывает связь. Эта вроде типичная задача упирается, как минимум, в две проблемы: это уязвимость сервера для DOS атак и переменная загруженность интернета вплоть до полного отсутствия связи . Интернет для такого случая является "Кувалдой", когда нужен простой и надежный инструмент. Кто как решает эти проблемы? Можно ли в этом случае использовать закрытую сеть, не связанную с Internet?

А чем SSL не устраивает??

CSD?

SSL - это метод шифрования данных, я говорил о том что сервер можно "положить" на этапе установки соединения с ним. To groovy - CSD неудобен тем, что это соединение типа "точка-точка", остальным клиентам придется ждать освобождения сервера, не так ли?

CSD будет хуже интернета А если хотите, чтобы сервер не падал, поставьте железный Firewall со всевозможными защитами от DDoSа и прочего.

Открою вам страшный секрет: на сегодняшний день от DoS атак защиты пока еще не придумали...Мегафон предлагает в этом плане услугу Закрытая сеть передачи данных, но в нашем регионе такой нету , а местные вообще не могут объяснить в чем заключается суть на техническом языке. Не поняв ничего, решил позвонить с этим же вопросом в Beeline, так вот там нашелся продвинутый чел, который после минутной паузы выдал свой вердикт - это обычный фиксированный IP + VPN соединение. То есть вернулись к тому же.

а с чего вы решили, что кто-то будет вам устраивать dos? а то борясь с несуществующими пробемами, вы будете создавать себе ввполне реальные.

1. т.к. поток с модема ограничен, то ограничить поток по каждому сокету на сервере.

т.е. что бы положить сервер, надо будет со с множества устройств DOSить, а не просто тупо забить какнал данных.

+резервный каналы предусмотреть

а как организовать SSL соединение между SIM 300 и сервером? интересует реализация со стороны модема

со стороны модема - никак, модем просто осуществляет передачу данных и ему совершенно нет дела до того будете ли вы данные шифровать перед передачей, а если будете - то как.

ок уточню: есть ли какие-то наработки по решению SSL на ARM7?

нормальный коммерческий SSL/TSL и верхний слой HTTPs FTPs есть в Wavecom-ах, которые построены на ARM9.

с ARM7 думаю не поотянет. к тому же придется поднимать линух и т.п. со всеми вытекающими.

Если нужна просто защита пакетов и простота реализации можно использовать обычные крипто алгоритмы например AES или DES, прогоняите свои 100 байт через AES, можно обычным 8битным контроллером уже испытано и ненадо никаких АРМ а на них линуксе, соотвецтвенно с ключиком сервер делает обратное.

Если линух не поднимать, а реализовать руками, то хватит и ARM7.

Другое дело, что протоколы там довольно сложные (со всех сторон, и понимание не сразу приходит, и просто кода надо много написать) и для реализации необходимо экспу иметь



Не забывая обязательно предусмотреть Message Authentification Code, и обязательно рассмотрев вопрос стойкости к атаке Man-In-Middle. Это так, для начала. Более точно можно оценить возможные грабли только при детальном ознакомлении с планируемыми протоколами.

Вообщем, если автору необходима криптография, я рекомендую ему пригласить профессионала, дабы потом не было мучительно больно

А я тут один про IPSEC слышал.. или у меня просто мания величия...
например Conel ER-75i

Надо еще чтобы слышали ОПСОСы и маршрутизировали эти пакеты. Так что SSL тут более рулит, спокойнее жить.

А что ОПСОСам ни до одного места какие там пакеты через TCP/IP ходють?

Не, не пофиг, в том то и дело. Потому как IPsec без инкапсуляции есть просто IP-пакет и не пройдет через NAT, а его использованием славятся многие российские опсосы. А вот в ссл сей вопрос снят, потому как именно TCP/IP