Текст книги "Журнал PC Magazine/RE №1/2012"

В обход брандмауэра: через туннель SSH, SOCKS-прокси и PuTTY

Себастиан Энтони

Когда-то мысль об окруженной брандмауэрами, перекрытой кордонами и подцензурной Web могла привести в ужас любого пользователя Интернета. Однако прошли годы, и мы стали относиться к этому спокойно. Совершенно свободная, децентрализованная и неподотчетная Web – идеал, но успешно управлять ею очень трудно для любого крупного централизованного учреждения. В результате собственно Web (коммуникационная магистраль) по-прежнему свободна, но школы, офисы, Интернет-провайдеры и даже некоторые страны начинают прибегать к фильтрации соединений пользователей.

В настоящее время большинство посетителей и не подозревают, что их доступ в Web фильтруется, но опытные пользователи и поборники неограниченной свободы личности воспринимают фильтрацию, ограничение пропускной способности (traffic shaping) и цензуру как посягательство на их важнейшие гражданские права.

К счастью, с помощью бесплатной программы PuTTY, процесса, именуемого туннелированием SSH (SSH tunneling), и SOCKS-прокси почти каждый пользователь может обойти локальный брандмауэр и наслаждаться Web в свободной и первозданной форме. Дополнительное преимущество: в SSH-туннеле шифруются все данные, проходящие через локальную сеть и Интернет-провайдера, поэтому никто не может следить за обменом информацией.

PuTTY и SSH

Тот, кто в прошлом не занимался дистанционным администрированием сервера Unix или Linux, вряд ли слышал о Secure Shell (SSH). Secure Shell – всего лишь сетевой протокол, обеспечивающий шифрованную связь между двумя компьютерами (обычно ПК пользователя и удаленным сервером). «Shell» относится к интерфейсу командной строки, имеющемуся на компьютере почти любого типа, в том числе Mac OS X и Windows. Обычно SSH используется для безопасного доступа к интерфейсу командной строки удаленного компьютера, но может применяться и для копирования файлов или в качестве туннеля между вашим ПК и другим компьютером в Интернете.

PuTTY – клиент SSH. С его помощью можно обратиться к удаленному интерфейсу командной строки или организовать туннель – именно этим мы и займемся в данной статье.

Туннелирование

Когда пользователь вводит URL-адрес или щелкает на ссылке, запрос передается с компьютера, проходит через локальный маршрутизатор и модем, сеть Интернет-провайдера, Интернет и поступает на удаленный Web-сервер. Фильтровать запрос можно на любом из этих этапов, но, как правило, это происходит на локальном маршрутизаторе (школьном или корпоративном брандмауэре) или у Интернет-провайдера (ограничение полосы, государственная цензура).

Туннель позволяет обойти ограничения локального маршрутизатора, модема и сети Интернет-провайдера и подключиться непосредственно к Интернету. Например, передавая весь трафик через SSH-туннель в компьютер, находящийся в Америке, жители Китая могут обойти любые фильтры и цензуру на государственном уровне. Собственно передача Web-трафика через другой компьютер (и другой порт) называется применением SOCKS-прокси. Использование SOCKS-прокси возможно и без SSH, но в этом случае снижается надежность и увеличивается опасность фильтрации со стороны местного Интернет-провайдера.

Загрузите PuTTY (putty.exe). Эта бесплатная, автономная программа не требует установки. Просто разместите ярлык на Рабочем столе или Панели задач.

Затем необходимо найти удаленный сервер Linux, который будет конечной точкой SSH-туннеля. Можно выбрать бесплатный (для активации учетной записи придется, возможно, выполнить несколько несложных действий) или арендовать недорогой виртуальный частный сервер (VPS) приблизительно за 5 долл./мес, который можно использовать в качестве сервера разработки или сидбокса (seed box – выделенный сервер с установленным Torrent-клиентом) BitTorrent. В любом случае, необходима учетная запись SSH на удаленном сервере, а также IP-адрес и порт для подключения.

Откройте PuTTY и заполните поля Host Name и Port. Убедитесь в том, что в поле Connection Type указано SSH. Вид должен быть примерно следующий:

Putty: ввод имени узла и порта

В левой панели выполните переход Connection | SSH | Tunnels. Введите 8080 в поле Source Port и нажмите кнопку с зависимой фиксацией Dynamic. Щелкните на Add, и в списке Forwarded Ports появится D8080.

Putty: отправная точка и место назначения туннеля

Вернитесь в раздел Session в верхней левой панели, введите имя в поле Saved Sessions («tunnel») и щелкните на Save, затем – на Open в нижней части PuTTY. На экране всплывет новое окно с запросом учетного имени; введите его и нажмите клавишу Enter. Введите пароль и нажмите Enter.

Putty: имя входа оболочки

Готово! В вашем распоряжении открытый SSH-туннель.

Использование туннеля

Теперь, когда имеется открытый SSH-туннель, необходимо направить через него трафик, представив туннель в качестве SOCKS-прокси. Начнем с браузера Firefox.

Щелкните на Tools | Options [или Большая Оранжевая Кнопка (Big Orange Button) | Options], а затем на Advanced. Щелкните на Settings… в панели Connection: Firefox | Advanced | Connection.

Выберите Manual Proxy Configuration, а затем впишите адрес 127.0.0.1 и порт 8080 к узлу SOCKS Host. Убедитесь в том, что выбран SOCKS v5, и нажмите OK. Хотите верьте, хотите нет: вы вышли в Web через SSH-туннель.

Настройки прокси-сервера в Chrome, IE

Internet Explorer можно настроить таким же способом (Internet Options | Connections | LAN Settings), а настройки прокси-сервера браузера Chrome находятся в разделе Wrench | Options | Under the Hood (Bonnet) | Change Proxy Settings | LAN Settings. В обоих случаях необходимо включить режим Use a proxy server for your LAN (Использовать прокси-сервер для подключений LAN) и щелкнуть на Advanced:

Chrome/Internet Explorer, использование прокси-сервера

Введите 127.0.0.1 и 8080 в строке Socks и щелкните на OK:

Настройки прокси-сервера

Задача решена.

Другие службы

SSH-туннели могут использоваться и другими Web-службами. Можно использовать BitTorrent over SSH, чтобы избежать ограничения полосы Интернет-провайдером или загрузить какой-нибудь файл в школе или офисе. Во многих программах мгновенного обмена сообщениями можно ввести SOCKS-прокси. Это полезно, если требуется зашифровать чат в целях безопасности или приходится вести чат из страны, власти которой не соблюдают принципа конфиденциальности. И наконец, через SOCKS-прокси может работать почти любая серьезная прикладная программа, которая обращается в Интернет. О том, как это сделать, можно узнать на вкладке Network или Connection.

Mac и Linux

Теперь о других настольных операционных системах. Как Mac OS X, так и Linux располагают установленным по умолчанию SSH-клиентом командной строки, поэтому, чтобы построить SSH-туннель, достаточно открыть терминал и ввести соответствующую команду. Можно поступить иначе – вызвать из графического интерфейса такую программу, как SSH Tunnel Manager.

Новости. С 15 по 15

Накопители

Компания Iomega (www.iomega.ru) объявила о выпуске портативного жесткого диска Iomega eGo Helium. Накопитель выполнен в стиле, напоминающем стиль ноутбуков Apple, имеет интерфейс USB 2.0, подсистему защиты от ударов при падении с высоты до 1,3 м (Iomega Drop Guard). Выпускаются модели с емкостью 500 Гбайт и 1 Тбайт, покупателям предоставляется набор ПО Iomega Protection Suite, Mac Edition (загружается через Интернет).

Android: получаем права суперпользователя

Джилл Даффи

Чтобы составить перечень лучших программ для Android, были опрошены десятки сторонников этой платформы, и некоторые из них выдали краткие списки приложений для получения доступа с правами суперпользователя (в просторечии «рутования»). Получение доступа в Android-телефон с правами суперпользователя можно уподобить взлому iPhone. Или, говоря на общепонятном языке, проникновению внутрь операционной системы для доступа к намеренно закрытым компонентам или выполнению с телефоном манипуляций, нежелательных с точки зрения изготовителя или оператора связи.

Если вы не сделали выводов из вышесказанного, предупреждаем, что доступ с правами суперпользователя годится не для всех, поскольку может повлечь за собой серьезные последствия. Он абсолютно легален, но гарантия на телефон может быть аннулирована (подробнее об этом ниже). А если вы не понимаете своих действий или недостаточно осторожны, то есть вероятность сломать телефон. Кроме того, возникают риски, связанные с информационной безопасностью, поскольку вы можете загрузить программы, получающие доступ к скрытым файлам.

Поэтому, если вас устраивает Android-телефон в том виде, как он есть, нет смысла в доступе с правами суперпользователя. Но для умельцев, осознающих возможные последствия, есть несколько доводов в пользу увеличения полномочий.

Зачем углубляться в Android?

Цель «рутования» – добиться максимально полного использования возможностей устройства, обойдя ограничения, установленные изготовителем или оператором связи. Многие из этих барьеров предназначены для того, чтобы предотвратить случайную поломку устройства.

Вот некоторые преимущества, которые дает доступ с правами суперпользователя:

• ускоряется выполнение программ на телефоне;

• удаляются ненужные заранее установленные программы, чтобы освободить память;

• телефон превращается в узел доступа 3G/4G WiFi без дополнительных затрат.

Есть целый ряд других доводов в пользу доступа с правами суперпользователя, но перечисленные выше наиболее очевидны.

Рекомендации по доступу с правами суперпользователя

Вот несколько советов для тех, кто решился получить права суперпользователя.

1. Учитывайте модель телефона. Мы неслучайно даем этот совет первым. Исключительно важно найти информацию именно о вашей модели, а не просто о типовом Android-телефоне. Ищите руководства и пособия для конкретной модели, а также сведения о типичных проблемах. Процесс «рутования» различается у разных телефонов, и неправильные действия могут привести к неустранимой поломке. Не менее важно знать, что не каждый телефон после внесения изменений будет обладать теми возможностями, на которые вы рассчитывали. Например, не во всех устройствах есть разблокируемый загрузчик (необходимый для перезаписи ПЗУ), поэтому вы должны быть уверены в том, что понимаете свои действия и точно знаете, какой результат хотите получить.

2. Заранее прочитайте инструкцию или посмотрите видеоруководство по процедуре, которую вы намереваетесь выполнить. Прежде чем начать, прочитайте или просмотрите все пособие, поскольку часто важные шаги показываются не по порядку. Например, иногда для успешного выполнения процедуры необходимо на определенном этапе отключить антивирусную программу на компьютере.

3. Выясните, как отменить изменения. Большинство телефонов можно вернуть в исходное состояние; прежде чем начать, проверьте, относится ли ваша модель к этой категории. Необходимо заранее полностью прочитать инструкции и продумать, как отменить изменения, до того как вы начнете их вносить. В результате манипуляций иногда нарушаются условия гарантии, в этом случае перед обращением в сервис необходимо отключить доступ с правами суперпользователя.

4. Позаботьтесь о зарядке батареи. Никогда не приступайте к изменениям, если батарея заряжена не полностью. Одна из самых больших неприятностей, которые могут случиться при «рутовании», – разряд батареи во время установки измененной ОС или перезаписи ПЗУ (внутренней памяти телефона, в которой хранятся программы). Если телефон отключится прежде, чем установка новой ОС будет завершена, то восстановить его будет чрезвычайно трудно.

5. Избегайте крайностей. У пользователей с расширенными правами возникает соблазн повысить быстродействие своих телефонов сверх предельных значений. Но помните, что изготовители телефонов небезосновательно установили ограничения для вашего телефона, в данном случае, чтобы предотвратить перегрев и выгорание процессора. Пользователи, осознающие, что выходят за установленные ограничения, должны назначить новые пределы или предпринять другие меры предосторожности, чтобы не допустить перегрева телефона. Если вы не знаете, как управлять этими параметрами, не искушайте судьбу, пытаясь превратить свой телефон в сверхбыструю машину. Его скорость и без того достаточно высока.

6. В случае сомнений попросите о помощи. При возникновении проблем на любом шаге внесения изменений или их отмены поищите подсказку, и, скорее всего, вы ее найдете. Хакеры Android организовали несколько полезных форумов, в том числе xda-developers.com и rootzwiki.com, где предлагаются ответы на вопросы и решения проблем. Эти Интернет-ресурсы трудно переоценить, но не забывайте и о наших рекомендациях. Помните, что даже самый квалифицированный участник форума не всегда обладает навыками изложения технической информации, его советы могут быть неупорядочены, не содержать указаний на конкретную модель телефона или исходить из некоторых неочевидных допущений. Тщательно проверьте совет, прежде чем применить его на практике.

Итак, если вам нужно пособие, то, принимая во внимание все вышеизложенное, мы рекомендуем руководство Lifehacker по организации доступа с правами суперпользователя к Android-устройствам.

7. Программы для доступа с правами суперпользователя. Решение расширить возможности телефона должно быть обдуманным. Но, в конце концов, это ваш телефон, вы его владелец и можете делать с ним все, что угодно. Для организации доступа с правами суперпользователя к Android-устройствам мы рекомендуем в первую очередь загрузить следующие семь программ. Первая и вторая программы потребуются немедленно, чтобы получить преимущества от доступа с правами суперпользователя, а остальные устанавливаются по желанию пользователя и в любой очередности.

Superuser: программа для управления правами суперпользователя; первая программа, которую необходимо установить на телефоне после изменения параметров доступа.

Root Explorer (File Manager) (3,80 долл.): отображает файлы, доступные привилегированному пользователю; вторая программа, устанавливаемая на телефоне.

Titanium Backup root: обеспечивает резервное копирование прикладных программ, удаляет бесполезные программы и выполняет другие полезные функции управления приложениями.

ROM Manager: предназначена для работы с образами встроенного ПО на карте и их установки, а также для организации и выполнения резервного копирования и восстановления.

AdFree Android: удаление большинства рекламных объявлений из браузера и программ.

Wireless Tether for Root Users: преобразование телефона в мобильный узел доступа.

SetCPU for Root Users: изменение параметров ЦП для повышения тактовой частоты (сверх установленного изготовителем предела) и задания пороговых значений (например, температуры), при которых повышение частоты ЦП прекращается; совместима только с некоторыми телефонами.

Новости. С 15 по 15

Ноутбуки

Компания Samsung Electronics (www.samsung.ru) объявила о выпуске специальной партии ноутбуков 9-й серии. Эксклюзивные модели, объединившие в себе стиль, элегантность и самые передовые технические характеристики, будут выпущены ограниченным тиражом.

Модели серии 9 были представлены на Международной выставке IFA 2011 в Берлине, обновленная серия имеет уникальный дизайн. Элегантный сверхтонкий корпус из дюралюминия дополняет эффектный рисунок из декоративных кристаллов, которыми инкрустирована крышка экрана (ручная работа). Эксклюзивная серия предлагается двух цветов – лунно-голубой (Moonlight Blue) и розово-золотистый (Luxury Rose Gold).

Толщина корпуса модели с 13,3-дюйм экраном – около 16 мм, масса – 1,3 кг. Ноутбуки оснащены двухъядерными процессорами Intel Core i5 второго поколения, 4-Гбайт ОЗУ, SSD-накопителями (до 128 Гбайт). В дисплее применяется матрица SuperBright Plus с антибликовым матовым покрытием, яркостью 400 кд/м² (возможна ее автоматическая регулировка).

Номинальное время автономной работы – 8 ч при работе с текстом и более 4 ч – при просмотре фильмов. В комплект входит операционная система Windows 7. Рекомендуемая изготовителем цена – 89 999 руб.

Безопасность

«КИТ Финанс Инвестиционный банк» – универсальный коммерческий банк, специализирующийся на инвестиционных сделках, корпоративном кредитовании и проектном финансировании, – объявил о внедрении системы DeviceLock Endpoint DLP Suite (www.devicelock.com/ru) для защиты информации.

В настоящее время головной офис банка находится в Санкт-Петербурге, действует московский филиал, а также семь офисов банка в крупнейших российских городах со значительной концентрацией крупного бизнеса. Кроме классических направлений корпоративного бизнеса, банк развивает услуги проектного финансирования, бридж-финансирования, а также прочие сложноструктурированные продукты. ИТ-инфраструктура банка – это разветвленная информационная система со множеством критически важных объектов и подсистем. В ней более 1000 рабочих мест. Модель системы информационной безопасности банка основывается на постоянном менеджменте всех процессов, связанных с циркулированием потоков информации как внутри компании, так и при работе с контрагентами, при этом банк в своей деятельности опирается на «Стандарт по ИБ», разработанный Центральным Банком России.

Система DeviceLock используется в организации с 2006 г. В то же время Управление информационной безопасности банка отмечало, что применение только системы контроля устройств ввода-вывода информации не решает проблему незащищенных и неконтролируемых каналов утечки информации в полном спектре таких каналов.

Учитывая риски утечки информации через каналы сетевых коммуникаций, в июле 2011 г. банк принял решение о внедрении компонента NetworkLock, входящего в комплекс DeviceLock Endpoint DLP Suite. При рассмотрении систем контроля сетевых коммуникаций выбор NetworkLock обусловили такие факторы, как единая среда управления компонентов DeviceLock и NetworkLock, единое хранилище журналов аудита, единый модуль (сервис) на клиентском ПК для обоих компонентов комплекса, что уменьшает общую загрузку системы пользователя. Кроме того, решение было протестировано на совместимость со специализированным ПО, применяемым в банке и установленным на ПК пользователей.

В процессе внедрения комплекса DeviceLock Endpoint DLP Suite в Банке КИТ Финанс были разработаны регламенты по предоставлению постоянного или временного доступа к устройствам ввода-вывода информации с ПК пользователей банка, а также введена персональная ответственность сотрудников – владельцев учетных записей, с помощью которых осуществляется вывод информации за периметр банка. Кроме того, Управление ИБ банка проинформировало о причинах и целях данной системы защиты активов компании банковского сектора.

Связка DeviceLock+NetworkLock позволяет эффективно контролировать и оперативно выявлять нарушения ИБ, совершаемые сотрудниками как неумышленно, так и намеренно. В результате внедрения DeviceLock Endpoint DLP Suite значительно уменьшились риски утечки информации по техническим каналам из периметра локальной сети банка.