Хакер №024. Спецвыпуск


024-006-3, FAQ



FAQ

Матушка Лень

Спецвыпуск Xakep, номер #024, стр. 024-006-3

Что такое туннелирование?

Допустим, что у хакера есть бесплатная почта. То есть из Интернета он может получать только почту, а хочется по страничкам полазить, Аську с Иркой поласкать. Но работает только почтовый протокол SMTP. Тогда хакер организует TCP/IP туннель внутри этого протокола. Идея простая: нужна программа, которая будет упаковывать обычный TCP/IP в пакеты почтового протокола у пользователя. И нужна программа, которая будет распаковывать эти пакеты в Интернете. Для этого тунеядец вешает на каком-нибудь хакнутом сервере в Интернете скрипт, который притворяется почтовым сервером, а на самом деле распаковывает хакерский TCP/IP.

Получается, что по почтовому протоколу бегает обычный интернет-трафик. Заметь, что файрволл его не видит, поскольку не заглядывает в содержимое пакетов.

Или, допустим, какой-то провайдер открыл тестовый вход на свой домашний сервер и закрыл на файрволле все протоколы кроме DNS (служба доменных имен). А по протоколу HTTP провайдер разрешил обращаться только к своим серверам, при этом обращения к другим серверам провайдерский фильтр не пускает. Тогда хакер организует туннелирование DNS и сидит в Интернете на халяву.

А если хакер хочет включить себе Интернет на работе, в локальной сети за файрволлом, он может использовать туннелирование Telnet. Прелесть в том, что для этого можно использовать стандартные программы и не надо ничего писать. О том, как это сделать, читай подробнее на русском языке: http://www.linuxdoc.ru/HOWTO/mini/html/Firewall-Piercing.html

Туннелировать можно любые другие протоколы, при этом нужен клиент на хакерской машине и сервер в Интернете. Конечно, это все работает гораздо медленнее, чем обычное соединение, но это работает!

Как файрволл от вирусов спасает?

Да никак он от них не спасает. Допустим, пользователь в локальной сети заразился вирусом через ВЕБ-протокол HTTP при просмотре интернет-страничек или ему вирус по почте прислали. Файрволл ведь в пакеты не заглядывает, поэтому вирусы лезут по всем возможным протоколам, положив огромный болт на фильтры пакетов.

Спасает ли файрволл от троянов?

Многие продвинутые пользователи думают, что мощный файрволл не даст трояну связаться со своим хозяином-хакером, чтобы передать ему пароли. А что мешает трояну использовать тоже туннелирование и обращаться к файрволлу от имени твоего браузера или от имени твоей почтовой программы по открытым портам? При этом приходится выбирать: либо дели Интернет с трояном, либо вообще без Интернета. Ситуация доводит мирных юзверей до истерики: пользователь видит, как браузер стучится в порт без его ведома, а ничего сделать не может. Ведь обычный файрволл не может отличить пользовательские запросы от троянских!

Какие отличия между прокси и маскарадингом?

Маскарадинг выполняет те же функции, что и proxy-сервер, то есть маскарадинг скрывает адреса компьютеров внутренней сети, позволяет локальным пользователям работать с сетью через один IP-адрес и не пускает в сеть пакеты, которых не просил. Он также связан с файрволлом, только работает немного по-другому. Прокси-сервер устанавливает соединение с локальным компьютером, получает от него запрос, по этому запросу выкачивает данные из Интернета и отправляет их локальному компьютеру. То есть proxy извлекает данные из пакета! Маскарадинг - это сервис, который меняет адреса, перезаписывая заголовок пакета, когда тот проходит сквозь фильтр пакетов. То есть он получает пакет с обратным адресом локального компустера, меняет его на свой адрес и отправляет в Интернет. Из Интернета он получает ответ на свое имя и пересылает его на адрес локального компустера, который запомнил.

Назад на стр. 024-006-2  Содержание  Вперед на стр. 024-006-4


 



- Начало -  - Назад -  - Вперед -