Коллектив авторов - Защита от хакеров корпоративных сетей

Большую обеспокоенность вызывает тот факт, что переадресация по протоколу SOCKS4 оказывает воздействие только на сам трафик. Она не переадресовывает запросы DNS, которые используются для управления трафиком. Поэтому администратор на локальной линии может контролировать подключение к ней и даже изменять адресата, хотя соединение читателя само по себе может быть безопасным. Это может создавать серьезный риск безопасности. Есть надежда, что в ближайшем будущем названная проблема будет благополучно решена при помощи реализации в семействе клиентов OpenSSH возможности динамической переадресации по протоколу SOCKS5.

Тем временем обе проблемы древних серверов и протоколов могут быть частично разрешены путем инсталляции на сервере небольшой порции программного кода, позволяющего работать по протоколу SOCKS4/5. Автор отдает предпочтение программе usocksd, доступной по адресу http://sites.inkade/sites/bigred/sw/usocksd-0.9.3.tar.gz. Хотя программа usocksd поддерживает только протокол SOCKS5, она удаленно разрешает имена и остается стабильной при неблагоприятных для нее сетевых условиях. Запуск ее не слишком сложен:

Dan@EFFUGAS ~

$ ssh -L2080:127.0.0.1:2080 effugas@10.0.1.11 “./usocksd -p

2080”

effugas@10.0.1.11’s password:

usocksd version 0.9.3 (c) Olaf Titz 1997-1999

Accepting connnections from (anywhere) ident (anyone)

Relaying UDP from (anywhere)

В данном случае используется как переадресация команд, так и переадресация портов. По команде демон начинает SSH-сессию и перенаправляет ее результаты обратно клиенту. После этого переадресация порта разрешает клиентам получить доступ к TCP-порту демона. Это работает, хотя и выглядит несколько неуклюже.

Говорите свободно: мгновенная передача сообщений по SSH

Вероятно, осталось всего лишь несколько хакеров старой закалки, кто, возможно, скорбит об этом. Мгновенный обмен сообщениями является одной из революционных новинок для сети. Существуют две главные причины, по которым приблизительно в начале 2002 года мгновенная передача сообщений на общедоступном уровне сильно всех раздражала (в противоположность корпоративному / внутреннему уровню). Во-первых, будучи грубоватой, она не могла обеспечить достаточной безопасности. Обычно сообщения посылаются от компьютера к центральному серверу и обратно в открытом виде, поэтому любой, находясь в школе или на работе, может перехватить их во время передачи.

Другой причиной, вызывающей раздражение, является отсутствие приличных стандартов мгновенной передачи сообщений. Хотя IETF (Internet Engineering Task Force – проблемная группа проектирования Интернет, отвечающая за решение инженерных задач Интернет. Она выпускает большинство RFC, используемых производителями для внедрения стандартов в архитектуру TCP/IP) работает на чем-то, что известно как SIMPLE (расширение сокращения SIP), но у каждого производителя свой протокол, по которому никто другой не может взаимодействовать. Для установки голосовой связи с любой точкой мира нет необходимости использовать набор из четырех телефонов, но до сих пор сохраняется необходимость в четырех клиентах для словесного обмена через Интернет.

Однако такова плата за централизацию мгновенной передачи сообщений, которая по сравнению с одноранговой сетью (соединение равноправных узлов сети, отличающееся отсутствием выделенного файл-сервера), как, например, ICQ (произносится как «I seek you» – система интерактивного общения в Интернете. Позволяет находить в сети партнеров по интересам и обмениваться с ними сообщениями в реальном масштабе времени. Продукт компании Mirabilis, в настоящее время принадлежащей корпорации America Online; которая в конечном итоге частично использует идею централизации), значительно надежнее и лучше защищена межсетевым экраном. Все было бы еще ничего, если существовал бы какой-нибудь способ смягчить последствия темных сторон чата (обмена текстовыми сообщениями между абонентами сети Интернет в реальном масштабе времени).

Связь всех сообщений в один узелок: работа программы Trillian по протоколу SSH.ПрограммаTrillian является свободно распространяемым и, безусловно, блестящим программным кодом дляплатформы Win32. Она является необыкновенно элегантным и функционально полным клиентом чата. Программа Trillian в рекламе не нуждается. Программа Trillian поддерживает Yahoo, MSN, ICQ, AOL и даже IRC. Она предоставляет унифицированный интерфейс ко всем пяти сервисам точно так же, как и многопользовательские профайлы операционных систем.

Программа непосредственно поддерживает модули доступа проксипротокола SOCKS4. Это означает, что нет легкого способа избежать поступления на сервер необработанных данных незашифрованного текста. (Хотя в программе предусмотрен режим SecureIM, позволяющийдвум пользователям программы Trillian установить соединение более безопасным способом.) Но, по крайней мере, с помощью программы можно экспортировать незашифрованный текст за пределы своей локальной сети, где уйма любопытных глаз следит за проходящим трафиком, если он может там пройти. Установка поддержки протокола SOCKS4 в программе Trillian очень проста.

1. Щелкните на большом изображении земного шара в нижнем левом углу и выберите пункт меню Preferences.

2. Выберите пункт меню Proxyиз списка выражений c левой стороны. Приблизительно это девятый пункт меню при просмотре списка сверху вниз.

3. Отключите опции Use Proxyи SOCKS4.

4. Введите в поле, описывающее адрес хоста, значение 127.0.0.1и укажите в поле, задающем номер порта, величину 1080 (илилюбой другой используемый пользователем номер порта).

5. Щелкните на кнопке OKи начните регистрацию внутри своего сервиса. Теперь вся работа будет осуществляться через протокол SSH.

Вы кто? Yahoo IM 5.0 по протоколу SSH.При настройке браузера Internet Explorer для работы по протоколу SOCKS с модулем доступа проксилокального хоста Yahoo заработает автоматически, но при этом он попытается использовать пятую версию протокола SOCKS вместо четвертой, которую браузер пока еще не поддерживает. Но в любом случае установка Yahoo для работы с SOCKS4/SSH довольна проста:

1. Перед подключением выберите пункты меню Login I Preferences.

2. Выберите вкладку Use Proxy.

3. Включите опцию Enable SOCKS Proxy.

4. Используйте в поле Server Name значение 127.0.0.1и в поле Port величину 1080(или другие значения по усмотрению читателя).

5. Выберите Ver 4.

6. Щелкните на кнопке OK.

Пользователю следует только удостовериться, что его динамическая переадресация куда-то отскакивает рикошетом от SSH-сервера. Этого будет достаточно для переключения в онлайновый режим работы. При потере динамической переадресации помните о необходимости впоследствии отключить конфигурацию модуля доступа прокси.