Herramientas para garantizar una conexión segura

Al instalar el Servidor Dr.Web se crean las siguientes herramientas que garantizan una conexión segura entre los componentes de la red antivirus:

1.Clave privada de cifrado del Servidor drwcsd.pri.

Se guarda en el Servidor y no se transfiere a otros componentes de la red antivirus.

Si se pierde la clave privada de conexión entre los componentes de la red antivirus es preciso restablecerla manualmente (crear todas las claves y certificados, y también distribuirlos a todos los componentes de la red).

La clave privada se utiliza en los siguientes casos:

a)Creación de claves públicas y de certificados.

La clave pública de cifrado y el certificado se crean automáticamente desde la clave privada durante la instalación del Servidor. Se puede (por ejemplo, de la instalación anterior del Servidor). También, las claves de cifrado y los certificados pueden ser creados en cualquier momento mediante la utilidad de servidor drwsign (ver documento Aplicaciones, p. H7.1. Utilidad de generación de claves y certificados digitales).

Más adelante se ofrece información sobre las claves públicas y los certificados.

b)Autenticación del Servidor.

Los clientes remotos realizan la autenticación del Servidor sobre la base de una firma electrónica digital (una sola vez en el marco de cada conexión).

El Servidor realiza la firma digital de conexión mediante una clave privada y envía un mensaje al cliente. Este verifica la firma del mensaje recibido con ayuda de un certificado.

c)Descifrado de datos.

Si el tráfico entre el Servidor y los clientes está cifrado, el descifrado de los datos enviados por el cliente se realiza en el Servidor mediante una clave privada.

2.Clave pública de cifrado del Servidor drwcsd.pub.

Disponible para todos los componentes de la red antivirus. La clave pública siempre puede ser generada desde una clave privada (vea más arriba). Con cada generación desde una misma clave privada se obtiene una misma clave pública.

A partir de la versión 11 del Servidor, la clave pública se utiliza para la conexión con clientes de versiones anteriores. La funcionalidad restante será transferida al certificado que, a la vez, contiene una clave pública de cifrado.

3.Certificado del Servidor drwcsd-certificate.pem.

Disponible para todos los componentes de la red antivirus. El certificado contiene una clave pública de cifrado. El certificado siempre puede ser generado desde una clave privada (vea más arriba). Con cada generación desde una misma clave privada se obtiene un nuevo certificado.

Los clientes conectados al Servidor están ligados a un certificado concreto, por eso, si un cliente lo pierde, solo será posible restablecerlo si el mismo certificado es utilizado por algún otro componente de la red: en ese caso, el certificado puede ser copiado al cliente desde el Servidor o desde otro cliente.

El certificado se utiliza en los siguientes casos:

a)Autenticación del Servidor.

Los clientes remotos realizan la autenticación del Servidor sobre la base de una firma electrónica digital (una sola vez en el marco de cada conexión).

El Servidor realiza la firma digital de conexión mediante una clave privada y envía un mensaje al cliente. Este verifica la firma del mensaje recibido con ayuda de un certificado (en particular, de la clave pública indicada en el certificado). En las versiones anteriores del Servidor, para ello se utilizaba directamente la clave pública.

Para ello es necesario que el cliente cuente con uno o varios certificados avalados por los Servidores a los que el cliente puede conectarse.

b)Cifrado de datos.

Si el tráfico entre el Servidor y los clientes está cifrado, el cifrado de los datos lo realiza el cliente mediante una clave pública.

c)Realización de sesión TLS entre el Servidor y clientes remotos.

d)Autenticación del servidor proxy.

Los clientes remotos realizan la autenticación de los servidores proxy Dr.Web sobre la base de una firma electrónica digital (una sola vez en el marco de cada conexión).

El servidor proxy firma sus certificados con mediante la clave privada y el certificado del Servidor Dr.Web. El cliente que avala el certificado del Servidor Dr.Web automáticamente avalará los certificados por este firmados.

4.Clave privada del servidor web.

Se guarda en el Servidor y no se transfiere a otros componentes de la red antivirus. Más adelante se ofrece información sobre los detalles de uso.

5.Certificado del servidor web.

Disponible para todos los componentes de la red antivirus.

Se utiliza para realizar una sesión TLS entre el servidor web y el navegador (por HTTPS).

Al instalar el Servidor sobre la base de la clave privada del servidor web se genera un certificado autofirmado que no será aceptado por los navegadores web, ya que no fue emitido por el centro general de certificación.

Para que una conexión protegida (HTTPS) sea accesible, es preciso realizar una de las siguientes acciones:

Añadir el certificado autofirmado a los avalados o a las excepciones para todas las estaciones y navegadores web en los que se abre el Centro de Control.

Obtener certificado firmado por el centro general de certificación.