Учись на чужих ошибках

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-008-5

Остальные сервисы администрация сети не предоставляет. А все потому, что они не обрели популярности среди пользователей. А зачем содержать то, что не нужно? Правильно – незачем. Даже жизненно необходимый чат живет на личном сервере клиента. Примеры неприжившихся сервисов: ньюсоконференции, доступ через NetBIOS (открытые ресурсы). По словам администратора, глупо следить за всеми мыслимыми сервисами. Во-первых, это потенциальная дыра для системных серверов. Во-вторых, загнивающие ресурсы не приносят ничего хорошего.

Пресечение взломов в сети

В каждой (даже самой мирной) сети найдутся пользователи, мечтающие что-нибудь поломать (уж такие мы, злобные хацкеры ;)). Нередко мечты становятся реальностью, после чего ни о чем не подозревающий клиент Вася лишается пары гигов трафика. А все потому, что хакер Петя подменил свои сетевые реквизиты Васиными. Это возможно, поскольку MAC-адрес легко подменяется в любых операционках, несмотря на подвязку к IP на роутере. Отловить злоумышленника непросто, но можно. Как сказал админ, с этим боролись следующим образом: после физического разделения всей сети на две половины выясняется местоположение хакера. Затем сеть делится еще на пару частей. И так до тех пор, пока не обнаружится Jack злоумышленника. Как показала практика, случаи отлова были, и все они оказались успешными. Нарушителя отключали физически... Правда, потом один из них переподключался снова (за отдельную плату), но опять занимался воровством трафика (горбатого, как известно, только могила исправит). Кстати, сейчас юзер опять просится в сеть, но его подключат лишь в порт управляемого коммутатора (который, естественно, клиент оплатит сам ;)).

Это было раньше. В конце 1999, начале 2000. В наше время воровство трафика – слишком популярное занятие, поэтому пришлось идти на дополнительные меры. Таким образом, год назад был поставлен так называемый авторизатор. Его функция – добавить в файрвол правило, разрешающее юзать интернет. Естественно, что IP-MAC привязка оставалась в силе. Теперь, чтобы авторизоваться, необходимо ввести пароль и подождать несколько секунд. После короткого обмена инфой юзеру предоставляется доступ. Авторизатор честно взяли со знаменитого портала www.nag.ru, где добрые люди выложили исходники клиента на Delphi (программа имела хороший интерфейс, умела сворачиваться в трее, не жрала ресурсов – в общем, то что доктор прописал). Взяв скелет, админ полностью переделал код программы, а также написал серверную часть. В итоге получился довольно неплохой авторизатор. Впоследствии вышел клиент под Unix (к слову: не все провайдеры уважают юниксоидов и идут им навстречу).