|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||||
|
|
C |
|
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||||
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
||||
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
|
||||||
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
|
|
|
|
|
|
|
|
i |
|
для хакера |
P |
|
|
|
|
|
|
|
|
|
i |
|
|
|
ИнтернетP |
D |
|
|
|
|
|
215 |
||||||||||||||||||
D |
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||
|
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
wдорого и накладно для канала, а потом уже из офиса к веб-серверу по другому ка- |
|||||||||||||||||||||||||
w Click |
to |
|
|
|
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
m |
|
|
|
канаn |
|
m |
||||||||||||
налуdf |
(оплачиваетсяn |
отдельно). Получается, что все запросы проходят по двумdf |
- |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
. |
|
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
|
g |
.c |
|
|||||
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
||
|
|
|
-xcha |
e |
|
|
|
|
|
|
|
-x cha |
|
e |
|
|
|||||||||
лам, и за каждый мегабайт приходится платить дважды. К тому же сеть VPN |
имеет |
||||||||||||||||||||||||
дополнительные расходы на шифрование простых веб-запросов и излишне нагружена.
Чтобы сэкономить деньги, большинство фирм кроме VPN для связи с офисом открывает отдельный канал для доступа в Интернет прямо из филиала, тем более, что там уже все равно, скорее всего, стоит сетевой экран (рис. 5.13).
Брандмауэр |
|
|
Брандмауэр |
|
|
Маршру- |
|
Маршру- |
|
Центральный |
тизатор |
Виртуальная |
тизатор |
Филиал |
|
|
Интернет |
||
офис |
|
частная сеть |
|
|
Рис. 5.13. Филиал с двумя выходами в Интернет
Все хорошо, но в главном офисе связи и защите всегда уделяют больше внимания, чем в филиалах, где в большинстве случаев нет своего администратора, а если даже и есть, то менее профессиональный и не такой опытный. Задача хакера — взломать филиал и войти в его сеть. Так как между филиалом и офисом установлены доверительные отношения, то хакер без проблем сможет из филиала получить доступ к главным серверам компании по VPN, и не надо будет взламывать шифрование.
Я работаю в Канаде, а большинство серверов, с которыми приходится работать, находятся в США. Не знаю почему, но многие любят использовать солнечные калифорнийские дейтацентры. Для того чтобы подключаться к дейтацентрам и оставлять мое соединение тайным, приходится использовать VPN.
5.6.8. Интернет — это зло
Когда я вел рубрику вопросов и ответов в журнале "Хакер", то однажды получил очень хороший вопрос: "Можно ли запустить ядерные ракеты США через Интернет?" Конечно же, это невозможно, но не потому, что компьютеры, управляющие пуском ракет, сильно защищены. Никакая система безопасности не может быть идеальной. Существует человеческий фактор: малейший неучтенный нюанс — и защита окажется взломанной хакером из какой-нибудь деревни.
Мы уже не раз слышали, как проникают на достаточно крупные сайты и серверы с великолепной системой защиты. А о скольких взломах умалчивают, чтобы не испортить имидж? Лично я никогда не доверю компьютеру через Интернет управлять даже краном на кухне. И такие страны, как США или Россия, не могут себе позволить подключить компьютеры, связанные с ядерным оружием, к Интернету, иначе войну сможет развязать какой-нибудь слишком умный хакер или не слишком добрый подросток :).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
||||||
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
|
d |
|
|
|||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
|
t |
|
|||
|
216P |
|
|
|
|
|
|
i |
|
P |
|
|
|
|
|
|
|
|
|
|
i |
|
|
||
|
|
|
|
|
|
|
r |
D |
|
|
Глава 5 |
||||||||||||||
|
D |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
|
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
to |
BUY |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
wСтратегически важные данные должны храниться на компьютерах, неwимеющих |
|||||||||||||||||||||||||
w Click |
|
|
|
|
|
|
в |
m |
w Click |
|
|
|
|
|
|
|
|
m |
|||||||
|
выходаf-xcha |
|
|
|
глобальную сеть. Однажды я проверял безопасность фирмы, занимаюf-x cha |
- |
|||||||||||||||||||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
|
g |
.c |
|
||||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
||||
|
|
|
d |
|
|
n |
e |
|
|
|
|
d |
|
|
|
n |
e |
|
|
||||||
щейся разработкой программного обеспечения. Руководители очень сильно заботи-
лись о сохранности исходных кодов, поэтому компьютеры программистов не имели дисководов, записывающих устройств или выхода в Интернет. Все машины были связаны в локальную сеть, и только одна из них имела флоппи-диск и записывающий CD-ROM для переноса данных на другие компьютеры. Таким образом, исходные коды крутились только в локальной сети, а утечка информации могла произойти лишь через единственный компьютер, и такая сеть легко контролировалась.
Если у вас есть информация, которую необходимо сохранить в тайне, то ее нужно изолировать от всемирной сети. После этих слов может показаться, что Интернет — это зло. Нет. Виноват тут не Интернет, а люди. Если пульт от ракетной установки поставить на улице, то какой-нибудь психически неуравновешенный человек когда-нибудь нажмет на нем опасную кнопку. Таких людей мало, и мир может прожить и 10 лет, и 20. Но все же, если кнопка доступна, то она когда-нибудь сработает. Интернет как улица. Он является виртуальным отражением нашей реальной жизни. В сети сейчас очень много людей. Когда-нибудь найдется человек, который по своей неопытности, случайности или глупости воспользуется оружием.
Люди не представляют себе угрозу, которую таят безобидные на первый взгляд вещи. Информация может нанести больший ущерб, чем атомная бомба, поэтому ее надо скрывать скрупулезнее, и при необходимости лучше не давать возможность воспользоваться.
В домашних сетях редко бывают ситуации, когда нужно так тщательно прятать информацию, а корпоративные случаи мы практически не рассматриваем. Но на данном аспекте я остановился, потому что это поможет вам в будущей работе или учебе.
Чаще всего взломы совершают неопытные хакеры в познавательных целях. Чтобы в домашних условиях изолировать себя от таких людей обычно достаточно просто спрятать компьютер. Выполните следующую команду:
net config server /hidden:yes
Теперь компьютер не будет виден в сетевом окружении. Но это не значит, что он недоступен. Зная IP-адрес, хакер может получить доступ напрямую, но в Интернете сетевого окружения нет, только прямая IP-адресация, ибо сеть в основном построена на данном протоколе.
А вот IP-адрес узнать не так уж и сложно. Достаточно просто проверить соединение со всеми адресами в локальной сети. Существует множество программ, которые позволяют сканировать диапазоны IP-адресов. В моей утилите CyD Network Utilities, которую я уже упоминал не раз, тоже есть такая возможность. Так что данный метод игры в прятки не сработает даже против начинающего взломщика.