Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ÂÛÁÅÐÈ ÑÂÎÉ ÒÓÍÍÅËÜ<br />
ÕÈÒÐÎÑÒÈ Ñ DNS<br />
Åñëè ICMP-òóííåëü îðãàíèçîâàòü óäàåòñÿ äàëåêî<br />
íå âñåãäà, òî ñ DNS-òóííåëèíãîì âñå<br />
íàìíîãî ïðîùå. Îá ýòîì óæå ïèñàëîñü íà<br />
ñòðàíèöàõ òâîåãî ëþáèìîãî æóðíàëà<br />
(03.2003), íî ïðî ïðèíöèïû ïåðåäà÷è òðàôèêà<br />
âñå ðàâíî ñòîèò ðàññêàçàòü.<br />
Äîïóñòèì, òû ïûòàåøüñÿ ïðîïèíãîâàòü êàêîé-íèáóäü<br />
ñåðâåð (âñå íà òîì æå ãîñòåâîì<br />
ëîãèíå) è íå ïîëó÷àåøü íèêàêîãî îòâåòà. Âñå<br />
ïàêåòû ðåæóòñÿ, íî åñòü îäèí íþàíñ: òû ìîæåøü<br />
ðåçîëâèòü àäðåñà äîìåíîâ. À ÷òî íàì<br />
ìåøàåò ïåðåäàâàòü äàííûå â ïàêåòå ñ DNSçàïðîñàìè<br />
Ïðàâèëüíî, íè÷åãî :). Ñóùåñòâóåò<br />
íåñêîëüêî òåõíîëîãèé îðãàíèçàöèè DNSòóííåëèíãà.<br />
Îäíà èç íèõ - ïîäíÿòèå ïñåâäîèíòåðôåéñà<br />
ethertap, ÷åðåç êîòîðûé áóäåò<br />
îñóùåñòâëÿòüñÿ òóííåëèíã òðàôèêà (ïðè ïîìîùè<br />
ïðîãðàììû nstx). Ïîäðîáíàÿ íàñòðîéêà<br />
ýòîãî ñïîñîáà óæå ðàññìàòðèâàëàñü, ïîýòîìó<br />
áîëåå èíòåðåñíûì áóäåò ðàññêàç îá îáìåíå<br />
òðàôèêîì ìåæäó ïðîòîêîëàìè TCP è UDP.<br />
Ïî÷åìó UDP Äåëî â òîì, ÷òî âñå DNS-çàïðîñû<br />
ïåðåäàþòñÿ íà 53 UDP-ïîðò â âèäå äàòàãðàìì.<br />
Íè÷òî íå ìåøàåò îòêðûòü ïîðò íà óäàëåííîì<br />
ñåðâåðå è îáðàùàòüñÿ ê íåìó ïðè ïîìîùè<br />
ñïåöèàëüíîãî êëèåíòà (ïðè ýòîì 53 UDPïîðò<br />
íå äîëæåí ôèëüòðîâàòüñÿ). Íàñòðîéêà<br />
òóííåëèíãà î÷åíü ïðîñòàÿ, áîëåå òîãî, è ñåðâåð,<br />
è êëèåíò îðèåíòèðîâàíû òîëüêî íà UNIXlike<br />
îïåðàöèîíêè (âèíäóçÿòíèêè îòäûõàþò). Äëÿ<br />
ïîëíîöåííîé ïåðåäà÷è äàííûõ òàêæå áóäåò íåîáõîäèì<br />
proxy-ñåðâåð (ïðè÷åì îí äîëæåí áûòü<br />
óñòàíîâëåí íà ìàøèíå ñ ñåðâåðîì iproxy).<br />
Ñîôò ïîñòàâëÿåòñÿ òîëüêî ïîä Linux, òàê<br />
÷òî ëþáèòåëÿì âèíäû ïðèäåòñÿ ëèáî ïîðòèðîâàòü<br />
áèíàðíèêè, ëèáî îòêàçàòüñÿ îò iproxy<br />
âîîáùå. Ñîçäàòü òóííåëü î÷åíü ïðîñòî: ñîáèðàåì<br />
áèíàðíèêè êëèåíòà è ñåðâåðà íà<br />
äâóõ ñòîðîíàõ, ïîñëå ÷åãî çàïóñêàåì êëèåíòñêóþ<br />
÷àñòü:<br />
iproxy-client -p 31337 -d 53 -I 195.58.4.3,<br />
ãäå îïöèÿ -p îòâå÷àåò çà ïîðò, êîòîðûé<br />
áóäåò ïðîñëóøèâàòüñÿ (TCP); -d - ïîðò íàçíà÷åíèÿ<br />
(UDP) íà ñåðâåðå -I.<br />
Ïî àíàëîãèè çàïóñòèì ñåðâåðíóþ ÷àñòü:<br />
./iproxy-server -u -p 333 -d 3128 -v.<br />
Çàïóñêàåì ñåðâåð Iproxy<br />
ÂÎÇÌÎÆÍÎÑÒÈ STUNNEL<br />
Òåñòèðóåì çàùèùåííûé òóííåëü<br />
Ïàðàìåòð -u îçíà÷àåò unicast-ñåðâåð, -v -<br />
verbose mode. Ýòî ïðèãîäèòñÿ äëÿ äèàãíîñòèêè<br />
âîçìîæíûõ îøèáîê. Òàêæå íå çàáûâàé,<br />
÷òî ñîäåðæèìîå ïîðòà íàçíà÷åíèÿ äîëæíî<br />
ñîâïàäàòü ñ ïîðòîì ðåàëüíîãî ïðîêñè-ñåðâåðà,<br />
ïîääåðæèâàþùåãî ìåòîä CONNECT.<br />
Òåïåðü ìîæíî ïðîòåñòèðîâàòü öåïî÷êó.<br />
Çàïóñòè êàêîå-íèáóäü ïðèëîæåíèå è óêàæè â<br />
íåì ïîääåðæêó proxy-ñåðâåðà ïî ïîðòó<br />
31337. Ïðè ïðàâèëüíîì ðàñêëàäå òðàôèê áóäåò<br />
èñïðàâíî ïåðåäàâàòüñÿ â îáå ñòîðîíû.<br />
Êàê âèäèøü, âñå ïðîñòî. Åñëè íåò âîçìîæíîñòè<br />
óñòàíîâèòü ïðîêñþ, ëèáî òû õî÷åøü<br />
þçàòü ñîôò ïîä âèíäó, âîñïîëüçóéñÿ ìîèì<br />
òóííåëåðîì. Ïðî íåãî ÿ ðàññêàçûâàë â ñòàòüå<br />
"DNS-òóííåëèíã". Åãî òû ìîæåøü ñêà÷àòü ïî<br />
àäðåñó kamensk.net.ru/forb/1/x/udp-irc.tar.gz.<br />
Â<br />
ðàáîòó Stunnel âõîäèò ìíîæåñòâî ôóíêöèé. Ê ïðèìåðó, îí<br />
ìîæåò òóííåëèðîâàòü òðàôèê ÷åðåç VPN ñîåäèíåíèå. Òàêæå<br />
ïðîãðàììà èíòåãðèðóåòñÿ ñ Samba, Mysql, Oracle, Rsync è ìíîãèìè<br />
äðóãèìè ñåðâèñàìè. Ïðèìåðû èñïîëüçîâàíèÿ Stunnel òû<br />
ìîæåøü íàéòè íà îôèöèàëüíîì ñàéòå: www.stunnel.org/examples/rsync_mike.html.<br />
Ïðè ïîìîùè òóííåëèðîâàíèÿ ìîæíî ïîèìåòü<br />
õàëÿâíûé èíòåðíåò, à òàêæå ðåøèòü<br />
ïðîáëåìó ñ ñîáñòâåííîé áåçîïàñíîñòüþ.<br />
Ïðàâèëüíûé êîíôèã Stunnel<br />
ÍÅÏÐÎÁÈÂÀÅÌÀß ÇÀÙÈÒÀ<br />
Ïðåæäå ÷åì ðâàòüñÿ â áîé, ïîçàáîòüñÿ î<br />
ñîáñòâåííîé áåçîïàñíîñòè. Òîëüêî ïðåäñòàâü,<br />
÷òî âåñü òðàôèê, èäóùèé îò òåáÿ, ñíèôàåò<br />
óøàñòûé ëàìåð èç òâîåãî ñåãìåíòà. Âêëþ÷àÿ<br />
ëè÷íóþ ïåðåïèñêó ñî âñåìè òâîèìè ïîäðóãàìè.<br />
ß äóìàþ, ÷òî òâîÿ ðàäîñòü íå áóäåò ñëèøêîì<br />
áîëüøîé, ïîýòîìó ïîëüçóéñÿ òóííåëèðîâàíèåì<br />
äëÿ çàùèòû ïåðåäàâàåìîé èíôîðìàöèè.<br />
Îäèí èç òàêèõ ñïîñîáîâ - SSL-òóííåëèðîâàíèå.<br />
Ñóòü â òîì, ÷òî âåñü òðàôèê, êîòîðûé<br />
ïåðåäàåòñÿ îò òåáÿ, áóäåò çàøèôðîâàí ñ ïîìîùüþ<br />
SSL. Èíôà, äîøåäøàÿ äî ñåðâåðà<br />
òóííåëåðà, ðàñêðèïòîâûâàåòñÿ è ïåðåäàåòñÿ<br />
óæå ðåàëüíîìó (íåçàùèùåííîìó) äåìîíó, ê<br />
ïðèìåðó, pop3. Òàêèì îáðàçîì, ïîëó÷àåì<br />
ñåêóðíûé òóííåëü ìåæäó òîáîé è ñåðâåðîì.<br />
 êà÷åñòâå ïîñëåäíåãî ÷àùå âñåãî ïðèìåíÿåòñÿ<br />
ïðîãðàììà stunnel.<br />
Stunnel è ñåðâèñ (íà êîòîðûé, ñîáñòâåííî,<br />
è áóäåò ïðèõîäèòü øèôðîâàííàÿ èíôà) öåëåñîîáðàçíî<br />
ñòàâèòü íà îäíîé ìàøèíå, ÷òîáû<br />
ïîëíîñòüþ èñêëþ÷èòü óòå÷êó òðàôèêà.<br />
Äàâàé ïîïðîáóåì îðãàíèçîâàòü òóííåëü ìåæäó<br />
ïî÷òîâûì êëèåíòîì è pop3-ñåðâåðîì. Äëÿ<br />
íà÷àëà óñòàíîâèì íà ìàøèíó ðàáî÷óþ âåðñèþ<br />
Stunnel. Ëåíèâûå BSD'øíèêè ìîãóò âîñïîëüçîâàòüñÿ<br />
ïîðòàìè, ëèíóêñîèäû-alt'îâöû<br />
ïðîãðàììîé apt-get. Îñòàëüíûå êà÷àþò ïàêåò<br />
ñ îôèöèàëüíîãî ñàéòà www.stunnel.org.<br />
Ïîñëå ñáîðêè ïðèñòóïàåì ê ñîçäàíèþ òóííåëÿ.<br />
Ñåðâåð ïîäíèìàåòñÿ êîìàíäîé stunnel -<br />
s 995 -r mail.host.ru:110. Ïðè ýòîì îòêðûâàåòñÿ<br />
òóííåëü ìåæäó 995 è 110 ïîðòàìè ìàøèíû.<br />
Òåïåðü ñêà÷èâàåì êëèåíò Stunnel ïîä<br />
Win32, à òàêæå âñå íåîáõîäèìûå áèáëèîòåêè<br />
(libeay32.dll è libssl32.dll). Íàáðîñàåì íåáîëüøîé<br />
êîíôèã-ôàéë, êîòîðûé áóäåò ïðîñëóøèâàòü<br />
ëîêàëüíûé 110 ïîðò è ïåðåíàïðàâëÿòü<br />
âåñü òðàôèê íà óäàëåííóþ ìàøèíó ñ<br />
ñåðâåðîì Stunnel. Íà âñÿêèé ñëó÷àé ÿ âêëþ-<br />
÷èë ëîãèðîâàíèå îáìåíà äàííûìè (äëÿ áûñòðîãî<br />
íàõîæäåíèÿ îøèáîê).<br />
Åñëè âñå âûïîëíåíî âåðíî, òî ìîæíî çàïóñêàòü<br />
êëèåíò Stunnel. Ïðîãðàììà ìîë÷à çàãðóæàåòñÿ<br />
è òóõíåò â òðåå. Ïîçäðàâëÿþ, òóííåëü<br />
ãîòîâ. Ìîæíî ïðèñòóïàòü ê òåñòèðîâàíèþ:<br />
íàñòðàèâàé ïî÷òîâèê íà ëîêàëüíûé õîñò<br />
è ïîðò 995. Ïîïûòàéñÿ ïðîâåðèòü ïî÷òó. Â<br />
ñëó÷àå, êîãäà ïî÷òîâèê áóäåò èñïðàâíî ñòÿãèâàòü<br />
ñîîáùåíèÿ, çíàé - òóííåëü ðàáîòàåò, è òû<br />
â ïîëíîé áåçîïàñíîñòè :). Èíà÷å èùè îøèáêó<br />
â ëîã-ôàéëå (â ìîåì ñëó÷àå - stunnel.log).<br />
Ïîìèìî<br />
Datapipe, ñóùåñòâóþò<br />
òàêèå ñîôòèíû,<br />
êàê Rinetd è<br />
Fpipe, âûïîëíÿþùèå<br />
ôóíêöèè ðåäèðåêòà<br />
ïîðòîâ. Ïî-<br />
÷èòàòü ïðî ýòè òóëçû<br />
ìîæíî çäåñü:<br />
sector.h1.ru/port_r<br />
edirect.htm.<br />
Âíèìàíèå! Âñå<br />
ïðèåìû, êàñàþùèåñÿ<br />
âçëîìà, ïðèâåäåíû<br />
èñêëþ÷èòåëüíî â<br />
îçíàêîìèòåëüíûõ<br />
öåëÿõ. Èõ ïðèìåíåíèå<br />
íà ðîäíîì ïðîâàéäåðå<br />
ìîæåò âûéòè<br />
òåáå áîêîì. Ðåäàêöèÿ<br />
è àâòîð<br />
ñòàòüè íèêàêîé îòâåòñòâåííîñòè<br />
çà ïîñëåäñòâèÿ<br />
íå íåñóò.<br />
57