Коллектив авторов - Защита от хакеров корпоративных сетей

from 127.0.0.1 port 2166 (t4 r1 i1/0 o16/0 fd 8/8)

#3 direct-tcpip: listening port 1080 for 216.7.64.14 port

80, connect

from 127.0.0.1 port 2198 (t4 r2 i1/0 o16/0 fd 9/9)

#4 direct-tcpip: listening port 1080 for 216.7.64.14 port

80, connect

from 127.0.0.1 port 2209 (t4 r3 i1/0 o16/0 fd 10/10)

$ nslookup 216.7.64.9

Server: dns-sj3.cisco.com

Address: 171.68.10.70

Non-authoritative answer:

Name: www.fark.com

Инструментарий и ловушки

Ограничения, накладываемые на динамическую переадресацию и протокол SOCKS4

На сервер с уже работающим демоном SSH не требуется устанавливать специальное программное обеспечение для его использования в качестве «виртуальной частной сети VPN для бедных», но новейшие версии SSHD обеспечивают более стабильную работу линии с переадресованным портом. Демоны старших версий могут временно блокировать соединение при попытке установить соединение с несуществующим или недостижимым хостом. Можно наткнуться на ошибки в том случае, когда в результате статической переадресации локального порта устанавливается указатель на взломанный хост. Они вызваны тем, что статическая переадресация обычно указывает лишь на устойчиво работающие хосты. Разрешить эту проблему можно путем инсталляции на удаленную машину усовершенствованной версии OpenSSH. (Для более подробных сведений пусть читатель ознакомится со специальным разделом, в котором описано, как это сделать. Заметим, что для инсталляции OpenSSH совcем необязательно обладать правами суперпользователя.)

Большую обеспокоенность вызывает тот факт, что переадресация по протоколу SOCKS4 оказывает воздействие только на сам трафик. Она не переадресовывает запросы DNS, которые используются для управления трафиком. Поэтому администратор на локальной линии может контролировать подключение к ней и даже изменять адресата, хотя соединение читателя само по себе может быть безопасным. Это может создавать серьезный риск безопасности. Есть надежда, что в ближайшем будущем названная проблема будет благополучно решена при помощи реализации в семействе клиентов OpenSSH возможности динамической переадресации по протоколу SOCKS5.

Тем временем обе проблемы древних серверов и протоколов могут быть частично разрешены путем инсталляции на сервере небольшой порции программного кода, позволяющего работать по протоколу SOCKS4/5. Автор отдает предпочтение программе usocksd, доступной по адресу http://sites.inkade/sites/bigred/sw/usocksd-0.9.3.tar.gz. Хотя программа usocksd поддерживает только протокол SOCKS5, она удаленно разрешает имена и остается стабильной при неблагоприятных для нее сетевых условиях. Запуск ее не слишком сложен:

[email protected] ~

$ ssh -L2080:127.0.0.1:2080 [email protected] “./usocksd -p

2080”

[email protected]’s password:

usocksd version 0.9.3 (c) Olaf Titz 1997-1999

Accepting connnections from (anywhere) ident (anyone)

Relaying UDP from (anywhere)

В данном случае используется как переадресация команд, так и переадресация портов. По команде демон начинает SSH-сессию и перенаправляет ее результаты обратно клиенту. После этого переадресация порта разрешает клиентам получить доступ к TCP-порту демона. Это работает, хотя и выглядит несколько неуклюже.

Говорите свободно: мгновенная передача сообщений по SSH

Вероятно, осталось всего лишь несколько хакеров старой закалки, кто, возможно, скорбит об этом. Мгновенный обмен сообщениями является одной из революционных новинок для сети. Существуют две главные причины, по которым приблизительно в начале 2002 года мгновенная передача сообщений на общедоступном уровне сильно всех раздражала (в противоположность корпоративному / внутреннему уровню). Во-первых, будучи грубоватой, она не могла обеспечить достаточной безопасности. Обычно сообщения посылаются от компьютера к центральному серверу и обратно в открытом виде, поэтому любой, находясь в школе или на работе, может перехватить их во время передачи.

Другой причиной, вызывающей раздражение, является отсутствие приличных стандартов мгновенной передачи сообщений. Хотя IETF (Internet Engineering Task Force – проблемная группа проектирования Интернет, отвечающая за решение инженерных задач Интернет. Она выпускает большинство RFC, используемых производителями для внедрения стандартов в архитектуру TCP/IP) работает на чем-то, что известно как SIMPLE (расширение сокращения SIP), но у каждого производителя свой протокол, по которому никто другой не может взаимодействовать. Для установки голосовой связи с любой точкой мира нет необходимости использовать набор из четырех телефонов, но до сих пор сохраняется необходимость в четырех клиентах для словесного обмена через Интернет.

Однако такова плата за централизацию мгновенной передачи сообщений, которая по сравнению с одноранговой сетью (соединение равноправных узлов сети, отличающееся отсутствием выделенного файл-сервера), как, например, ICQ (произносится как «I seek you» – система интерактивного общения в Интернете. Позволяет находить в сети партнеров по интересам и обмениваться с ними сообщениями в реальном масштабе времени. Продукт компании Mirabilis, в настоящее время принадлежащей корпорации America Online; которая в конечном итоге частично использует идею централизации), значительно надежнее и лучше защищена межсетевым экраном. Все было бы еще ничего, если существовал бы какой-нибудь способ смягчить последствия темных сторон чата (обмена текстовыми сообщениями между абонентами сети Интернет в реальном масштабе времени).

Связь всех сообщений в один узелок: работа программы Trillian по протоколу SSH. ПрограммаTrillian является свободно распространяемым и, безусловно, блестящим программным кодом для платформы Win32. Она является необыкновенно элегантным и функционально полным клиентом чата. Программа Trillian в рекламе не нуждается. Программа Trillian поддерживает Yahoo, MSN, ICQ, AOL и даже IRC. Она предоставляет унифицированный интерфейс ко всем пяти сервисам точно так же, как и многопользовательские профайлы операционных систем.

Программа непосредственно поддерживает модули доступа проксипротокола SOCKS4. Это означает, что нет легкого способа избежать поступления на сервер необработанных данных незашифрованного текста. (Хотя в программе предусмотрен режим SecureIM, позволяющий двум пользователям программы Trillian установить соединение более безопасным способом.) Но, по крайней мере, с помощью программы можно экспортировать незашифрованный текст за пределы своей локальной сети, где уйма любопытных глаз следит за проходящим трафиком, если он может там пройти. Установка поддержки протокола SOCKS4 в программе Trillian очень проста.

1. Щелкните на большом изображении земного шара в нижнем левом углу и выберите пункт меню Preferences.

2. Выберите пункт меню Proxy из списка выражений c левой стороны. Приблизительно это девятый пункт меню при просмотре списка сверху вниз.

3. Отключите опции Use Proxy и SOCKS4.

4. Введите в поле, описывающее адрес хоста, значение 127.0.0.1 и укажите в поле, задающем номер порта, величину 1080 (или любой другой используемый пользователем номер порта).

5. Щелкните на кнопке OK и начните регистрацию внутри своего сервиса. Теперь вся работа будет осуществляться через протокол SSH.

Вы кто? Yahoo IM 5.0 по протоколу SSH. При настройке браузера Internet Explorer для работы по протоколу SOCKS с модулем доступа проксилокального хоста Yahoo заработает автоматически, но при этом он попытается использовать пятую версию протокола SOCKS вместо четвертой, которую браузер пока еще не поддерживает. Но в любом случае установка Yahoo для работы с SOCKS4/SSH довольна проста:

1. Перед подключением выберите пункты меню Login I Preferences.

2. Выберите вкладку Use Proxy.

3. Включите опцию Enable SOCKS Proxy.

4. Используйте в поле Server Name значение 127.0.0.1 и в поле Port величину 1080 (или другие значения по усмотрению читателя).

5. Выберите Ver 4.

6. Щелкните на кнопке OK.

Пользователю следует только удостовериться, что его динамическая переадресация куда-то отскакивает рикошетом от SSH-сервера. Этого будет достаточно для переключения в онлайновый режим работы. При потере динамической переадресации помните о необходимости впоследствии отключить конфигурацию модуля доступа прокси.

Криптография в коротких штанишках: работа AOL Instant Messenger 5.0 по протоколу SSH. Установка этой программы также очевидна. Помните, что если динамическая переадресация не отскакивает рикошетом куда-либо, будь то школьный или домашний сервер читателя, то ничего передать не получится.

1. Выберите пункты меню My AIM I Edit Options I Edit Preferences.

2. Щелкните на Sign On/Off в домашней строке состояний слева.

3. Щелкните на вкладке Connection для настройки AIM (AOL Instant Messenger 5.0) для своего проксисервера.

4. Проверьте поле Connect Using Proxy и выберите своим протоколом SOCKS4.

5. Используйте значение 127.0.0.1 в качестве IP-адреса своего хоста и величину 1080 в качестве значения номера порта (или другие значения, которые использует читатель).