áúðчðть - Xakep Online
áúðчðть - Xakep Online
áúðчðть - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
[XÀÊÅÐ 11 [83] 05 > PC_ZONE 030]<br />
4 5<br />
[VPN-ñåðâåð] Ãëàâíàÿ ïðîáëåìà<br />
èñïîëüçîâàíèÿ ïðîêñè â òîì, ÷òî äàííûå<br />
ïåðåäàþòñÿ â îòêðûòîì, òî åñòü<br />
íåçàøèôðîâàííîì âèäå. Ýòî â<br />
äåéñòâèòåëüíîñòè î÷åíü ñåðüåçíûé íåäîñòàòîê, òàê<br />
êàê âåñü òâîé HTTP-òðàôèê ìîæåò áûòü ëåãêî ïåðåõâà÷åí<br />
îáû÷íûì ñíèôåðîì äàæå â òâîåé ñîáñòâåííîé<br />
ëîêàëêå. ×òî óæ ãîâîðèòü î ïðîâàéäåðå è îáî âñåõ<br />
îñòàëüíûõ óçëàõ, ÷åðåç êîòîðûå ïðîõîäÿò ñåòåâûå<br />
ïàêåòû, ïðåæäå ÷åì äîñòèãàþò ïóíêòà íàçíà÷åíèÿ.<br />
Áîëüøóþ óâåðåííîñòü â ñîõðàííîñòè ñâîèõ äàííûõ<br />
ìîæåò ïðèäàòü VPN-ñîåäèíåíèå.<br />
Àááðåâèàòóðà VPN ðàñøèôðîâûâàåòñÿ êàê âèðòóàëüíàÿ<br />
÷àñòíàÿ ñåòü. Òåõíîëîãèþ â áîëüøèíñòâå<br />
ñëó÷àåâ èñïîëüçóþò äëÿ îáúåäèíåíèÿ íåñêîëüêèõ<br />
ëîêàëüíûõ ñåòåé (íàïðèìåð, äâóõ-òðåõ îôèñîâ îäíîé<br />
êîìïàíèè) èëè äëÿ ïîäêëþ÷åíèÿ ê ëîêàëüíîé ñåòè<br />
óäàëåííûõ ïîëüçîâàòåëåé. Êàíàëîì ñâÿçè â îáîèõ<br />
ñëó÷àÿõ âûñòóïàåò Èíòåðíåò. Êàê îêàçàëîñü, VPN<br />
èäåàëüíî ïîäõîäèò äëÿ îáåñïå÷åíèÿ àíîíèìíîñòè è<br />
áåçîïàñíîñòè îáû÷íûõ ïîëüçîâàòåëåé. Ôèøêà çàêëþ÷àåòñÿ<br />
â òîì, ÷òî VPN PPTP-ñîåäèíåíèå îáû÷íî<br />
èñïîëüçóåò êðèïòîñòîéêîå øèôðîâàíèå (âïëîòü äî<br />
2048 áèò), êîòîðîå ïðàêòè÷åñêè íåâîçìîæíî ðàñøèôðîâàòü<br />
«íà ëåòó». ×òîáû ëó÷øå ïîíÿòü, êàê ýòà<br />
ñèñòåìà ðàáîòàåò, ïðåäëàãàþ ïî øàãàì ðàññìîòðåòü<br />
ïðîöåññ âçàèìîäåéñòâèÿ êëèåíòà è VPN-ñåðâåðà.<br />
Âíåøíå VPN-ñîåäèíåíèå ìàëî ÷åì îòëè÷àåòñÿ îò<br />
ïîäêëþ÷åíèÿ ê îáû÷íîé ëîêàëüíîé ñåòè: ïðèëîæåíèÿ<br />
âîîáùå íå ïî÷óâñòâóþò ðàçíèöû è ïîýòîìó<br />
áåç êàêîé-ëèáî íàñòðîéêè áóäóò èñïîëüçîâàòü åãî<br />
äëÿ äîñòóïà â èíåò. Êîãäà îäíî èç íèõ çàõî÷åò îáðàòèòüñÿ<br />
ê óäàëåííîìó ðåñóðñó, íà êîìïüþòåðå áóäåò<br />
ñîçäàí ñïåöèàëüíûé GRE-ïàêåò, êîòîðûé â çàøèôðîâàííîì<br />
âèäå áóäåò îòïðàâëåí VPN-ñåðâåðó.<br />
VPN-ñåðâåð, â ñâîþ î÷åðåäü, ýòîò ïàêåò ðàñøèôðóåò,<br />
ðàçáåðåòñÿ â ÷åì åãî ñóòü (çàïðîñ íà çàêà÷êó<br />
êàêîé-ëèáî HTTP-ñòðàíèöû, ïðîñòî ïåðåäà-<br />
÷à äàííûõ è ò.ä.) è âûïîëíèò îò ñâîåãî ëèöà (òî<br />
åñòü çàñâåòèò ñâîé IP) ñîîòâåòñòâóþùåå äåéñòâèå.<br />
Äàëåå, ïîëó÷èâ îòâåò îò óäàëåííîãî ðåñóðñà, VPNñåðâåð<br />
ïîìåñòèò åãî â GRE-ïàêåò, çàøèôðóåò è â<br />
òàêîì âèäå îòïðàâèò îáðàòíî êëèåíòó.<br />
Íåïðåðûâíîå øèôðîâàíèå ïåðåäàâàåìûõ äàííûõ<br />
— ýòî êëþ÷åâîé ìîìåíò â îáåñïå÷åíèè áåçîïàñíîñòè.<br />
Áëàãîäàðÿ ýòîé âîçìîæíîñòè VPN â<br />
ïîñëåäíåå âðåìÿ íà îñîáîì ñ÷åòó ó ëþáîãî òîëêîâîãî<br />
àäìèíà, õàêåðà è êàðäåðà :). Â áîëüøèíñòâå<br />
ñëó÷àåâ èìååò ìåñòî äîãîâîðåííîñòü ñ àäìèíèñòðàöèåé,<br />
êîòîðàÿ çà îïðåäåëåííóþ äåíåæêó îáÿçóåòñÿ<br />
èãíîðèðîâàòü æàëîáû â abuse-ñëóæáó è âåñòè<br />
âñå ëîãè èñêëþ÷èòåëüíî â /dev/null.<br />
Íàðÿäó ñ VPN-ñåðâåðîì î÷åíü ÷àñòî óñòàíàâëèâàåòñÿ<br />
åùå è OpenVPN (www.openvpn.net). Îí íå òîëüêî<br />
ïðåäîñòàâëÿåò íåêîòîðûå äîïîëíèòåëüíûå ôèøêè<br />
ïî ñðàâíåíèþ ñ PPTP, íî åùå è ÿâëÿåòñÿ åäèíñòâåííîé<br />
âîçìîæíîñòüþ èñïîëüçîâàòü VPN-ïîäîáíîå ñîåäèíåíèå,<br />
åñëè ïðîâàéäåð íå ïðîïóñêàåò GRE-ïàêåòû.<br />
Ñòîëü äóðíàÿ ïðèâû÷êà õàðàêòåðíà äëÿ áîëüøèíñòâà<br />
ñîòîâûõ îïåðàòîðîâ, êîòîðûå ïî÷åìó-òî ðåæóò âñå<br />
GRE-ïàêåòû, ïðîõîäÿùèå ÷åðåç GPRS è EDGE.<br />
Òåïåðü ãëàâíûé âîïðîñ: êàê ïîëó÷èòü äîñòóï ê VPNñåðâåðó<br />
Íàïðàâî è íàëåâî VPN-àêêàóíòû íå ðàçäàþò,<br />
ïîýòîìó, âåðîÿòíåå âñåãî, òàêîé àêêàóíò òåáå<br />
ïðèäåòñÿ êóïèòü. Ìåñÿö îáñëóæèâàíèÿ ñòîèò ïðèìåðíî<br />
30—40$, íî öåíà âïîëíå îïðàâäàíà. Â ïðèíöèïå,<br />
íèêòî íå ìåøàåò ïîäíÿòü òåáå ñîáñòâåííûé<br />
VPN-ñåðâåð, íî äëÿ ýòîãî, êàê ìèíèìóì, ïîíàäîáèòñÿ<br />
íåêîòîðûé îïûò (÷èòàé àðõèâ Õ, òàê êàê ó íàñ áûëè<br />
ñòàòüè íà ýòó òåìó), à òàêæå âûäåëåííûé ñåðâåð,<br />
òðåáóþùèé ñóùåñòâåííûõ äåíåæíûõ âëîæåíèé.<br />
Ïîøàãîâûå èíñòðóêöèè ïî ñîçäàíèþ VPN-ïîäêëþ-<br />
÷åíèÿ îáû÷íî âûëîæåíû íà ñòðàíèöàõ ñåðâèñà, ïîýòîìó<br />
ÿ íàìåðåííî íå áóäó âûêëàäûâàòü èõ çäåñü.<br />
[SSH — àëüòåðíàòèâà VPN] VPN — ýòî íàäåæíî<br />
è óäîáíî, íî åñòü îäèí ìèíóñ. Îòäàâàòü 30—40$ â ìåñÿö<br />
çà óñëóãè îäíîãî òîëüêî VPN — î÷åíü íàêëàäíî<br />
äàæå äëÿ áîëåå-ìåíåå îáåñïå÷åííûõ ïîëüçîâàòåëåé.<br />
Äà è êàêèå ãàðàíòèè, ÷òî VPN-ñåðâèñ íå êóðèðóþò ëþäè â ôîðìå<br />
Ñëîâîì, íåïëîõî áûëî áû íàéòè äåøåâóþ àëüòåðíàòèâó VPN, êîòîðàÿ<br />
âìåñòå ñ òåì íå óñòóïàëà áû â íàäåæíîñòè è íå òðåáîâàëà èñïîëüçîâàíèÿ<br />
óñëóã òðåòüèõ ëèö. Èñêàòü, íà ñàìîì äåëå, íè÷åãî íå<br />
íàäî — òàêàÿ àëüòåðíàòèâà åñòü. ß ãîâîðþ î SSH-òóííåëèðîâàíèè.<br />
Âñå, ÷òî íóæíî äëÿ åå èñïîëüçîâàíèÿ, — øåëë èëè õîñòèíã ñ ïîääåðæêîé<br />
OpenSSH, êîòîðûé äîâîëüíî ëåãêî ìîæíî êóïèòü âñåãî<br />
çà 6—7$ äîëëàðîâ â ìåñÿö. Èäåÿ åãî èñïîëüçîâàíèÿ âûãëÿäèò<br />
ñëåäóþùèì îáðàçîì. Ñíà÷àëà ñ ïîìîùüþ ëþáîãî SSH-êëèåíòà,<br />
íàïðèìåð, SecureCRT (www.vandyke.com) èëè PuTTY (www.chiark.greenend.org.uk/~sgtatham/putty),<br />
òû óñòàíàâëèâàåøü ñîåäèíåíèå<br />
ñ ñåðâåðîì. Ïðîâåðÿåøü, ðàçðåøåíû ëè ñ ñåðâåðà âíåøíèå<br />
ïîäêëþ÷åíèÿ. Åñëè äà, òî òû ñîâåðøåííî áåçîïàñíî íà÷èíàåøü<br />
ïðîâåðÿòü ïî÷òó, âåñòè ðàçãîâîðû â ICQ/IRC, ñåðôèòü êàðäåðñêèå<br />
è õàêåðñêèå ôîðóìû. Ïî÷åìó áåçîïàñíî À êàê æå èíà÷å,<br />
åñëè îò òåáÿ äî SSH-ñåðâåðà íàëàæåí çàøèôðîâàííûé êàíàë,<br />
êîòîðûé íåâîçìîæíî ïðîñëóøàòü è ðàñøèôðîâàòü<br />
Ðàññìîòðèì ýòî íà êîíêðåòíîì ïðèìåðå. ×òîáû íå ðàçáèðàòüñÿ<br />
ñ íàñòðîéêàìè ïåðåàäðåñàöèè ïîðòîâ â SSH-êëèåíòàõ, ïðåäëàãàþ<br />
óñòàíîâèòü ñïåöèàëèçèðîâàííóþ ïðîãðàììó Entunnel<br />
(www.vandyke.com). Òóëçà ïðåäíàçíà÷åíà èñêëþ÷èòåëüíî äëÿ<br />
ïîäíÿòèÿ SSH-òóííåëåé, òàê ÷òî ðàçîáðàòüñÿ ñ íåé è ñî ñõåìîé<br />
â öåëîì áóäåò ïðîùå ïðîñòîãî. Ïîñêîëüêó ïîìèìî øèôðîâàíèÿ<br />
íàñ èíòåðåñóåò åùå è àíîíèìíîñòü, ïðèäåòñÿ âîñïîëüçîâàòüñÿ<br />
SOCKS-ñåðâåðîì. Èäåÿ òàêîâà: íàëàäèòü ïåðåàäðåñàöèþ ïàêåòîâ<br />
ñ ëîêàëüíîãî 1080 ïîðòà (ïîðò SOCKS) íà óäàëåííûé<br />
SOCKS-ñåðâåð, ïðè÷åì âñå ýòî çàâåðíóòü â SSH-ñîåäèíåíèå.<br />
Íå ïîíÿë Ñåé÷àñ ðàçáåðåìñÿ ïîäðîáíåå.<br />
Èòàê, çàïóñêàé Entunnel è ñìåëî æìè Create a new session. Â ðàçäåëå<br />
Connection îáîçíà÷àþòñÿ ïàðàìåòðû SSH-ñîåäèíåíèÿ: IPàäðåñ<br />
SSH-ñåðâåðà, ïîðò (îáû÷íî 22), à òàêæå òèï àâòîðèçàöèè<br />
(íàïðèìåð, ñ ïîìîùüþ ïàðîëÿ). Çàïîëíèâ èõ, ïðèñòóïàé ê ïàðàìåòðàì<br />
íåïîñðåäñòâåííî SSH-òóííåëÿ, êîòîðûå íàõîäÿòñÿ â ðàçäåëå<br />
Port Forwarding. Æìè Add (äîáàâèòü íîâóþ ïåðåàäðåñàöèþ<br />
ïîðòîâ), â ïîÿâèâøåìñÿ îêíå ââîäè èìÿ ïðàâèëà (ñêàæåì,<br />
SOCKS), à òàêæå ïîðò ëîêàëüíîé ìàøèíû, íà êîòîðîì ïðîãðàììà<br />
áóäåò «ñëóøàòü» çàïðîñû (â ñëó÷àå ñîêñà ðàçóìíî áóäåò óêàçàòü<br />
1080). Äàëåå íåîáõîäèìî âêëþ÷èòü îïöèþ Destination Host is<br />
different from the SSH server è â òåêñòîâîì ïîëå ââåñòè àäðåñ çàáëàãîâðåìåííî<br />
íàéäåííîãî SOCKS-ñåðâåðà è åãî ïîðò. Íà ýòîì<br />
íàñòðîéêà ñîåäèíåíèÿ çàêîí÷åíà — ìîæíî ïîäêëþ÷àòüñÿ. Äëÿ<br />
ýòîãî ïðîñòî íàæìè Connect è íàáëþäàé çà ïîëåì Status. Åñëè<br />
âñå ïðîøëî óñïåøíî, ïðîãðàììà ñ ðàäîñòüþ îá ýòîì ñîîáùèò.<br />
Âñå. Òåïåðü Entunnel «ñëóøàåò» ïîäêëþ÷åíèÿ íà 1080 ïîðòó, çàâîðà÷èâàåò<br />
èõ â SSH è â çàøèôðîâàííîì âèäå ïåðåäàåò ñåðâåðó,<br />
êîòîðûé, â ñâîþ î÷åðåäü, ýòî äîáðî äåêîäèðóåò è ïåðåäàñò íà<br />
íàñòîÿùèé SOCKS. ×òî îñòàëîñü Îñòàëîñü çàñòàâèòü ïðèëîæåíèÿ<br />
ðàáîòàòü ÷åðåç ëîêàëüíûé ñîêñ-ñåðâåð, òî åñòü îñóùåñòâëÿòü<br />
âñå ïîäêëþ÷åíèÿ ÷åðåç ëîêàëüíûé 1080 ïîðò. Åñëè ïðîãà ïîääåðæèâàåò<br />
ðàáîòó ÷åðåç SOCKS, òî ïðîáëåìû íåò âîîáùå. Äîñòàòî÷íî<br />
ëèøü óêàçàòü â êà÷åñòâå ñîêñà 127.0.0.1:1080. À ÷òî äåëàòü ñ<br />
òåìè, êîòîðûå ïî óìîë÷àíèþ ÷åðåç ïðîêñè ðàáîòàòü íå óìåþò<br />
Çäåñü êàê íåëüçÿ êñòàòè áóäóò ïðîãðàììû-ñîêñîôèêàòîðû òèïà<br />
SocksCap (www.socks.nec.com) èëè FreeCap (www.freecap.ru). ß<br />
ðåêîìåíäóþ áîëåå óíèâåðñàëüíîå ñðåäñòâî Permeo Security Driver<br />
(www.permeo.com), ïðèìå÷àòåëüíîå òåì, ÷òî ñïîñîáíî ïóñêàòü ÷åðåç<br />
SOCKS âñå è âñÿ, äàæå áåç ïðåäâàðèòåëüíîé íàñòðîéêè ïðèëîæåíèé<br />
(ïðîãà ðàáîòàåò êàê ñåòåâîé äðàéâåð).<br />
Âñå ýòè òóëçû ïðåäåëüíî ïðîñòû â ýêñïëóàòàöèè, íî åñëè âîçíèêíóò<br />
âîïðîñû, ðåêîìåíäóþ îáðàòèòüñÿ ê ñòàòüå — www.xakep.ru/magazine/xa/063/028/1.asp.<br />
Âîîáùå, SSH-òóííåëèðîâàíèå èìååò ðÿä äðóãèõ íåîñïîðèìûõ<br />
ïëþñîâ. Âíåøíå ïîäîáíûå òóííåëè íå âûçûâàþò ïîäîçðåíèÿ è<br />
âûãëÿäÿò êàê îáû÷íàÿ ðàáîòà íà òåðìèíàëå, â òî âðåìÿ êàê<br />
øèôðîâàííûé VPN âèäíî ñðàçó è âñåì. Áîëåå òîãî, âñå ïîëüçîâàòåëè<br />
VPN íàâåðíÿêà ñòàëêèâàëèñü ñ ñèòóàöèåé, êîãäà<br />
VPN-ñîåäèíåíèå íåîæèäàííî è íåçàìåòíî îáðûâàëîñü, à ðàáîòà<br />
ïðîäîëæàëàñü áåç íåãî, íàïðÿìóþ. Èç-çà òàêîãî âîò äîñàäíîãî<br />
íåäîðàçóìåíèÿ ìîæíî ëåãêî ñäàòü ñåáÿ â ñåðüåçíîì<br />
äåëå. Äåëàé âûâîäû…