Скачать - Xakep Online

[XÀÊÅÐ 11 [83] 05 > PC_ZONE 030]
4 5
[VPN-ñåðâåð] Ãëàâíàÿ ïðîáëåìà
èñïîëüçîâàíèÿ ïðîêñè â òîì, ÷òî äàííûå
ïåðåäàþòñÿ â îòêðûòîì, òî åñòü
íåçàøèôðîâàííîì âèäå. Ýòî â
äåéñòâèòåëüíîñòè î÷åíü ñåðüåçíûé íåäîñòàòîê, òàê
êàê âåñü òâîé HTTP-òðàôèê ìîæåò áûòü ëåãêî ïåðåõâà÷åí
îáû÷íûì ñíèôåðîì äàæå â òâîåé ñîáñòâåííîé
ëîêàëêå. ×òî óæ ãîâîðèòü î ïðîâàéäåðå è îáî âñåõ
îñòàëüíûõ óçëàõ, ÷åðåç êîòîðûå ïðîõîäÿò ñåòåâûå
ïàêåòû, ïðåæäå ÷åì äîñòèãàþò ïóíêòà íàçíà÷åíèÿ.
Áîëüøóþ óâåðåííîñòü â ñîõðàííîñòè ñâîèõ äàííûõ
ìîæåò ïðèäàòü VPN-ñîåäèíåíèå.
Àááðåâèàòóðà VPN ðàñøèôðîâûâàåòñÿ êàê âèðòóàëüíàÿ
÷àñòíàÿ ñåòü. Òåõíîëîãèþ â áîëüøèíñòâå
ñëó÷àåâ èñïîëüçóþò äëÿ îáúåäèíåíèÿ íåñêîëüêèõ
ëîêàëüíûõ ñåòåé (íàïðèìåð, äâóõ-òðåõ îôèñîâ îäíîé
êîìïàíèè) èëè äëÿ ïîäêëþ÷åíèÿ ê ëîêàëüíîé ñåòè
óäàëåííûõ ïîëüçîâàòåëåé. Êàíàëîì ñâÿçè â îáîèõ
ñëó÷àÿõ âûñòóïàåò Èíòåðíåò. Êàê îêàçàëîñü, VPN
èäåàëüíî ïîäõîäèò äëÿ îáåñïå÷åíèÿ àíîíèìíîñòè è
áåçîïàñíîñòè îáû÷íûõ ïîëüçîâàòåëåé. Ôèøêà çàêëþ÷àåòñÿ
â òîì, ÷òî VPN PPTP-ñîåäèíåíèå îáû÷íî
èñïîëüçóåò êðèïòîñòîéêîå øèôðîâàíèå (âïëîòü äî
2048 áèò), êîòîðîå ïðàêòè÷åñêè íåâîçìîæíî ðàñøèôðîâàòü
«íà ëåòó». ×òîáû ëó÷øå ïîíÿòü, êàê ýòà
ñèñòåìà ðàáîòàåò, ïðåäëàãàþ ïî øàãàì ðàññìîòðåòü
ïðîöåññ âçàèìîäåéñòâèÿ êëèåíòà è VPN-ñåðâåðà.
Âíåøíå VPN-ñîåäèíåíèå ìàëî ÷åì îòëè÷àåòñÿ îò
ïîäêëþ÷åíèÿ ê îáû÷íîé ëîêàëüíîé ñåòè: ïðèëîæåíèÿ
âîîáùå íå ïî÷óâñòâóþò ðàçíèöû è ïîýòîìó
áåç êàêîé-ëèáî íàñòðîéêè áóäóò èñïîëüçîâàòü åãî
äëÿ äîñòóïà â èíåò. Êîãäà îäíî èç íèõ çàõî÷åò îáðàòèòüñÿ
ê óäàëåííîìó ðåñóðñó, íà êîìïüþòåðå áóäåò
ñîçäàí ñïåöèàëüíûé GRE-ïàêåò, êîòîðûé â çàøèôðîâàííîì
âèäå áóäåò îòïðàâëåí VPN-ñåðâåðó.
VPN-ñåðâåð, â ñâîþ î÷åðåäü, ýòîò ïàêåò ðàñøèôðóåò,
ðàçáåðåòñÿ â ÷åì åãî ñóòü (çàïðîñ íà çàêà÷êó
êàêîé-ëèáî HTTP-ñòðàíèöû, ïðîñòî ïåðåäà-
÷à äàííûõ è ò.ä.) è âûïîëíèò îò ñâîåãî ëèöà (òî
åñòü çàñâåòèò ñâîé IP) ñîîòâåòñòâóþùåå äåéñòâèå.
Äàëåå, ïîëó÷èâ îòâåò îò óäàëåííîãî ðåñóðñà, VPNñåðâåð
ïîìåñòèò åãî â GRE-ïàêåò, çàøèôðóåò è â
òàêîì âèäå îòïðàâèò îáðàòíî êëèåíòó.
Íåïðåðûâíîå øèôðîâàíèå ïåðåäàâàåìûõ äàííûõ
— ýòî êëþ÷åâîé ìîìåíò â îáåñïå÷åíèè áåçîïàñíîñòè.
Áëàãîäàðÿ ýòîé âîçìîæíîñòè VPN â
ïîñëåäíåå âðåìÿ íà îñîáîì ñ÷åòó ó ëþáîãî òîëêîâîãî
àäìèíà, õàêåðà è êàðäåðà :). Â áîëüøèíñòâå
ñëó÷àåâ èìååò ìåñòî äîãîâîðåííîñòü ñ àäìèíèñòðàöèåé,
êîòîðàÿ çà îïðåäåëåííóþ äåíåæêó îáÿçóåòñÿ
èãíîðèðîâàòü æàëîáû â abuse-ñëóæáó è âåñòè
âñå ëîãè èñêëþ÷èòåëüíî â /dev/null.
Íàðÿäó ñ VPN-ñåðâåðîì î÷åíü ÷àñòî óñòàíàâëèâàåòñÿ
åùå è OpenVPN (www.openvpn.net). Îí íå òîëüêî
ïðåäîñòàâëÿåò íåêîòîðûå äîïîëíèòåëüíûå ôèøêè
ïî ñðàâíåíèþ ñ PPTP, íî åùå è ÿâëÿåòñÿ åäèíñòâåííîé
âîçìîæíîñòüþ èñïîëüçîâàòü VPN-ïîäîáíîå ñîåäèíåíèå,
åñëè ïðîâàéäåð íå ïðîïóñêàåò GRE-ïàêåòû.
Ñòîëü äóðíàÿ ïðèâû÷êà õàðàêòåðíà äëÿ áîëüøèíñòâà
ñîòîâûõ îïåðàòîðîâ, êîòîðûå ïî÷åìó-òî ðåæóò âñå
GRE-ïàêåòû, ïðîõîäÿùèå ÷åðåç GPRS è EDGE.
Òåïåðü ãëàâíûé âîïðîñ: êàê ïîëó÷èòü äîñòóï ê VPNñåðâåðó
Íàïðàâî è íàëåâî VPN-àêêàóíòû íå ðàçäàþò,
ïîýòîìó, âåðîÿòíåå âñåãî, òàêîé àêêàóíò òåáå
ïðèäåòñÿ êóïèòü. Ìåñÿö îáñëóæèâàíèÿ ñòîèò ïðèìåðíî
30—40$, íî öåíà âïîëíå îïðàâäàíà. Â ïðèíöèïå,
íèêòî íå ìåøàåò ïîäíÿòü òåáå ñîáñòâåííûé
VPN-ñåðâåð, íî äëÿ ýòîãî, êàê ìèíèìóì, ïîíàäîáèòñÿ
íåêîòîðûé îïûò (÷èòàé àðõèâ Õ, òàê êàê ó íàñ áûëè
ñòàòüè íà ýòó òåìó), à òàêæå âûäåëåííûé ñåðâåð,
òðåáóþùèé ñóùåñòâåííûõ äåíåæíûõ âëîæåíèé.
Ïîøàãîâûå èíñòðóêöèè ïî ñîçäàíèþ VPN-ïîäêëþ-
÷åíèÿ îáû÷íî âûëîæåíû íà ñòðàíèöàõ ñåðâèñà, ïîýòîìó
ÿ íàìåðåííî íå áóäó âûêëàäûâàòü èõ çäåñü.
[SSH — àëüòåðíàòèâà VPN] VPN — ýòî íàäåæíî
è óäîáíî, íî åñòü îäèí ìèíóñ. Îòäàâàòü 30—40$ â ìåñÿö
çà óñëóãè îäíîãî òîëüêî VPN — î÷åíü íàêëàäíî
äàæå äëÿ áîëåå-ìåíåå îáåñïå÷åííûõ ïîëüçîâàòåëåé.
Äà è êàêèå ãàðàíòèè, ÷òî VPN-ñåðâèñ íå êóðèðóþò ëþäè â ôîðìå
Ñëîâîì, íåïëîõî áûëî áû íàéòè äåøåâóþ àëüòåðíàòèâó VPN, êîòîðàÿ
âìåñòå ñ òåì íå óñòóïàëà áû â íàäåæíîñòè è íå òðåáîâàëà èñïîëüçîâàíèÿ
óñëóã òðåòüèõ ëèö. Èñêàòü, íà ñàìîì äåëå, íè÷åãî íå
íàäî — òàêàÿ àëüòåðíàòèâà åñòü. ß ãîâîðþ î SSH-òóííåëèðîâàíèè.
Âñå, ÷òî íóæíî äëÿ åå èñïîëüçîâàíèÿ, — øåëë èëè õîñòèíã ñ ïîääåðæêîé
OpenSSH, êîòîðûé äîâîëüíî ëåãêî ìîæíî êóïèòü âñåãî
çà 6—7$ äîëëàðîâ â ìåñÿö. Èäåÿ åãî èñïîëüçîâàíèÿ âûãëÿäèò
ñëåäóþùèì îáðàçîì. Ñíà÷àëà ñ ïîìîùüþ ëþáîãî SSH-êëèåíòà,
íàïðèìåð, SecureCRT (www.vandyke.com) èëè PuTTY (www.chiark.greenend.org.uk/~sgtatham/putty),
òû óñòàíàâëèâàåøü ñîåäèíåíèå
ñ ñåðâåðîì. Ïðîâåðÿåøü, ðàçðåøåíû ëè ñ ñåðâåðà âíåøíèå
ïîäêëþ÷åíèÿ. Åñëè äà, òî òû ñîâåðøåííî áåçîïàñíî íà÷èíàåøü
ïðîâåðÿòü ïî÷òó, âåñòè ðàçãîâîðû â ICQ/IRC, ñåðôèòü êàðäåðñêèå
è õàêåðñêèå ôîðóìû. Ïî÷åìó áåçîïàñíî À êàê æå èíà÷å,
åñëè îò òåáÿ äî SSH-ñåðâåðà íàëàæåí çàøèôðîâàííûé êàíàë,
êîòîðûé íåâîçìîæíî ïðîñëóøàòü è ðàñøèôðîâàòü
Ðàññìîòðèì ýòî íà êîíêðåòíîì ïðèìåðå. ×òîáû íå ðàçáèðàòüñÿ
ñ íàñòðîéêàìè ïåðåàäðåñàöèè ïîðòîâ â SSH-êëèåíòàõ, ïðåäëàãàþ
óñòàíîâèòü ñïåöèàëèçèðîâàííóþ ïðîãðàììó Entunnel
(www.vandyke.com). Òóëçà ïðåäíàçíà÷åíà èñêëþ÷èòåëüíî äëÿ
ïîäíÿòèÿ SSH-òóííåëåé, òàê ÷òî ðàçîáðàòüñÿ ñ íåé è ñî ñõåìîé
â öåëîì áóäåò ïðîùå ïðîñòîãî. Ïîñêîëüêó ïîìèìî øèôðîâàíèÿ
íàñ èíòåðåñóåò åùå è àíîíèìíîñòü, ïðèäåòñÿ âîñïîëüçîâàòüñÿ
SOCKS-ñåðâåðîì. Èäåÿ òàêîâà: íàëàäèòü ïåðåàäðåñàöèþ ïàêåòîâ
ñ ëîêàëüíîãî 1080 ïîðòà (ïîðò SOCKS) íà óäàëåííûé
SOCKS-ñåðâåð, ïðè÷åì âñå ýòî çàâåðíóòü â SSH-ñîåäèíåíèå.
Íå ïîíÿë Ñåé÷àñ ðàçáåðåìñÿ ïîäðîáíåå.
Èòàê, çàïóñêàé Entunnel è ñìåëî æìè Create a new session. Â ðàçäåëå
Connection îáîçíà÷àþòñÿ ïàðàìåòðû SSH-ñîåäèíåíèÿ: IPàäðåñ
SSH-ñåðâåðà, ïîðò (îáû÷íî 22), à òàêæå òèï àâòîðèçàöèè
(íàïðèìåð, ñ ïîìîùüþ ïàðîëÿ). Çàïîëíèâ èõ, ïðèñòóïàé ê ïàðàìåòðàì
íåïîñðåäñòâåííî SSH-òóííåëÿ, êîòîðûå íàõîäÿòñÿ â ðàçäåëå
Port Forwarding. Æìè Add (äîáàâèòü íîâóþ ïåðåàäðåñàöèþ
ïîðòîâ), â ïîÿâèâøåìñÿ îêíå ââîäè èìÿ ïðàâèëà (ñêàæåì,
SOCKS), à òàêæå ïîðò ëîêàëüíîé ìàøèíû, íà êîòîðîì ïðîãðàììà
áóäåò «ñëóøàòü» çàïðîñû (â ñëó÷àå ñîêñà ðàçóìíî áóäåò óêàçàòü
1080). Äàëåå íåîáõîäèìî âêëþ÷èòü îïöèþ Destination Host is
different from the SSH server è â òåêñòîâîì ïîëå ââåñòè àäðåñ çàáëàãîâðåìåííî
íàéäåííîãî SOCKS-ñåðâåðà è åãî ïîðò. Íà ýòîì
íàñòðîéêà ñîåäèíåíèÿ çàêîí÷åíà — ìîæíî ïîäêëþ÷àòüñÿ. Äëÿ
ýòîãî ïðîñòî íàæìè Connect è íàáëþäàé çà ïîëåì Status. Åñëè
âñå ïðîøëî óñïåøíî, ïðîãðàììà ñ ðàäîñòüþ îá ýòîì ñîîáùèò.
Âñå. Òåïåðü Entunnel «ñëóøàåò» ïîäêëþ÷åíèÿ íà 1080 ïîðòó, çàâîðà÷èâàåò
èõ â SSH è â çàøèôðîâàííîì âèäå ïåðåäàåò ñåðâåðó,
êîòîðûé, â ñâîþ î÷åðåäü, ýòî äîáðî äåêîäèðóåò è ïåðåäàñò íà
íàñòîÿùèé SOCKS. ×òî îñòàëîñü Îñòàëîñü çàñòàâèòü ïðèëîæåíèÿ
ðàáîòàòü ÷åðåç ëîêàëüíûé ñîêñ-ñåðâåð, òî åñòü îñóùåñòâëÿòü
âñå ïîäêëþ÷åíèÿ ÷åðåç ëîêàëüíûé 1080 ïîðò. Åñëè ïðîãà ïîääåðæèâàåò
ðàáîòó ÷åðåç SOCKS, òî ïðîáëåìû íåò âîîáùå. Äîñòàòî÷íî
ëèøü óêàçàòü â êà÷åñòâå ñîêñà 127.0.0.1:1080. À ÷òî äåëàòü ñ
òåìè, êîòîðûå ïî óìîë÷àíèþ ÷åðåç ïðîêñè ðàáîòàòü íå óìåþò
Çäåñü êàê íåëüçÿ êñòàòè áóäóò ïðîãðàììû-ñîêñîôèêàòîðû òèïà
SocksCap (www.socks.nec.com) èëè FreeCap (www.freecap.ru). ß
ðåêîìåíäóþ áîëåå óíèâåðñàëüíîå ñðåäñòâî Permeo Security Driver
(www.permeo.com), ïðèìå÷àòåëüíîå òåì, ÷òî ñïîñîáíî ïóñêàòü ÷åðåç
SOCKS âñå è âñÿ, äàæå áåç ïðåäâàðèòåëüíîé íàñòðîéêè ïðèëîæåíèé
(ïðîãà ðàáîòàåò êàê ñåòåâîé äðàéâåð).
Âñå ýòè òóëçû ïðåäåëüíî ïðîñòû â ýêñïëóàòàöèè, íî åñëè âîçíèêíóò
âîïðîñû, ðåêîìåíäóþ îáðàòèòüñÿ ê ñòàòüå — www.xakep.ru/magazine/xa/063/028/1.asp.
Âîîáùå, SSH-òóííåëèðîâàíèå èìååò ðÿä äðóãèõ íåîñïîðèìûõ
ïëþñîâ. Âíåøíå ïîäîáíûå òóííåëè íå âûçûâàþò ïîäîçðåíèÿ è
âûãëÿäÿò êàê îáû÷íàÿ ðàáîòà íà òåðìèíàëå, â òî âðåìÿ êàê
øèôðîâàííûé VPN âèäíî ñðàçó è âñåì. Áîëåå òîãî, âñå ïîëüçîâàòåëè
VPN íàâåðíÿêà ñòàëêèâàëèñü ñ ñèòóàöèåé, êîãäà
VPN-ñîåäèíåíèå íåîæèäàííî è íåçàìåòíî îáðûâàëîñü, à ðàáîòà
ïðîäîëæàëàñü áåç íåãî, íàïðÿìóþ. Èç-çà òàêîãî âîò äîñàäíîãî
íåäîðàçóìåíèÿ ìîæíî ëåãêî ñäàòü ñåáÿ â ñåðüåçíîì
äåëå. Äåëàé âûâîäû…