Защита от хакеров корпоративных сетей
Шрифт:
– настройка обычного механизма продвижения данных к месту использования; непосредственная выдача хосту-бастиону команды установить связь с внутренним хостом ssh -o Proxy Command= "ssh user@bastion nc %h %p " user@backend_host.
· В число команд экспортирования системой с установленным SSH-демоном хосту-бастиону (или клиенту) возможности соединения компьютеров между собой по протоколу SSH входят следующие:
– экспорт доступа нашему SSH-демону по локальному порту 2022 клиента ssh -R2022:127.0.0.1:22 user@client;
–
· Возможен как импорт, так и экспорт, позволяющий создавать «плавающий хост-бастион», в котором встречаются оба хоста. Такая возможность особенно полезна при предоставлении возможности двум хостам, взаимно защищенным друг от друга межсетевыми экранами, надежно и без риска встретиться на любом сайте и безопасно связаться друг с другом.
На полпути: что теперь?
· Файлы могут быть легко скопированы при помощи программы scp, которая поддерживает переадресацию?
– копирование файла на удаленный хост scp file user@host:/patk,
– копирование файла при помощи переадресации локального порта scp -о "HostKeyAlias backend_hosf -о «Port 2022» file user@ backend_host:/tmp.
· При помощи программы rsync можно инкрементным способом (и эффективно) обновить внутреннее содержимое дерева директорий даже через туннель HTTP:
– синхронизация файла с файлом удаленого хоста (обновление только того, что необходимо) rsync -е ssh file user@host:/path/file;
– определение SSH1 для программы rsync rsync -е «ssh -1» file user@host:/path/file;
– работа с программой rsync через туннель HTTP:
– запуск серверной части программы HTTPTunnel hts 10080 -F 127.0.0.1:22;
– запуск клиентской части программы HTTPTunnel htc -F 10022 -Р proxy_host:8888 host:10080;
– работа программы rsync с внутренним содержимым директории при помощи файла rsync -v -r -e “ssh -o HostKeyAl ias=host path [email protected]:/path.
· Можно по сети записать данные на компакт-диски, локально запустив программу mkisofs и направляя по каналу ее вывод удаленному приложению cdrecord?
– непосредственная запись данных на CD с использованием протокола SSH mkisofs -JR path/ | ssh user@burning_host “cdrecord dev=scsi_id speed=# -”;
– запись данных на CD с использованием протокола SSH после кэширования данных на удаленном хосте mkisofs -JR path/ | ssh user@host “cat > /tmp/burn.iso && cdrecord dev=scsi_id speed=# /tmp/burn.iso && rm /tmp/burn.iso”.
– Можно, используя программы SHOUTcast, inetd или mpg123, непосредственно передавать музыку в формате зашифрованного или незашифрованного потока аудиоданных аудиосистеме через сеть:
Переадресация всех данных в формате MP3, посланных MP3 декодеру удаленного сервера на localhost:18001 ssh -L18001:127.0.0.1:18001 [email protected] “nc -l -p 18001 -e ./plaympg.sh” (plaympg.sh contents: #!/bin/sh -c “echo OK; exec mpg123 -).
Часто
Вопрос: Разве перечисленные методы не подразумевают обреченности любой попытки управления региональной сетью? Особенно это касается систем, которые пытаются предсказать местонахождение компьютера по его IP-адресу.
Ответ: По большей части, да. Рассмотренные в этой главе методы не являются чем-то принципиально новым. В течение многих лет то там, то здесь использовалась описанная разновидность прыжков от одного модуля доступа прокси к другому. Без них никакой реальный доступ в Интернет был бы невозможен. Вероятно, средний человек не владеет техникой, которая заставила бы автора краснеть за описанные в этой главе искусственные приемы. Практика – мать изобретений, критерий истины и т. д. Но имейте в виду, что анализ трафика – мощное оружие. Не очень-то гармоничны соединения, которые открываются в одном направлении, а затем завершаются посылкой огромного числа своих данных в другом. Даже системы, которые используют рикошет данных от промежуточных хостов, не настолько уж безучастны к управлению передаваемого через них потока данных. При отсутствии явной зависимости между содержимым данных, которые были получены где-то в средней точке и отправлены из нее конечному адресату, практически неизбежно есть временная корреляция между тем, когда данные достигают средней точки, и тем, когда некоторая эквивалентная им по размеру порция данных достигнет адресата. Это не что иное, как результат уменьшения времени ожидания без учета маскирующих шумовых помех.
Вопрос: У меня не работает переадресация порта. Как мне кажется, мое соединение по адресуне является туннелем, хотя я установил туннель, шифрующий передаваемые по нему данные, на сайт www.host.com по порту 80, используя опцию L80:www.host.com:80. Почему? Ответ: Важно понять, что переадресация локального порта устанавливает в пространстве пользователя новое соответствие между компьютерами, которые способны соединиться между собой. Укажите своей операционной системе на необходимость подключиться к www.host.com, и она попытается выполнить ваше распоряжение правильно. Вам следует сообщить своей операционной системе об организации в пространстве пользователя обратной связи при помощи механизма продвижения данных, который в данном случае размещен по адресу 127.0.0.1, порт 80. Реализовать механизм продвижения данных можно или назначением вашему приложению альтернативного IP-адреса, или изменяя правила поиска имен в вашем хост-файле.
Вопрос: Ваши методы неправильны, неэлегантны и ужасны. Ответ: А автор никогда и не говорил, что они совершенны. Действительно, при их использовании присутствуют риски безопасности. Более того, у них есть и другие недостатки. Фактически автор соглашается с вышеприведенной оценкой своих методов. Их использование – это ошибочный путь построения сети, но неправильные сети уже спроектированы и работают на практике. В протоколах TCP/IP можно найти все виды ограничений, особенно на уровне маршрутизации. Вносимые в них по мере необходимости исправления, преследующие цель объединить различные структуры, уводят далеко в сторону. Можно даже сказать, что они достаточно неудачны. Туда нас завела элегантность… Она должна и вывести оттуда.