Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #023, стр. 023-054-2, АНТИСКАН

АНТИСКАН

admin's deception

Спецвыпуск Xakep, номер #023, стр. 023-054-2

Или еще другая фишка из этой же серии: сканируешь тачку, а на ней несколько тысяч открытых портов, из которых только 10-15 – реальные. Получается, что ты не можешь разобрать, какие порты на машине реально работают – теряется весь смысл сканирования.

Ну да ладно, к черту DTK – на самом деле, достаточно глючная и недоработанная софтина. Но в арсенале админов есть еще более жесткие обманные инструменты. Например, ip-маскарадинг. Это такая линевая фишка, которая позволяет полностью прятать внутреннюю сеть от интернета. Суть в том, что машина, которая является шлюзом в инет, переписывает в пакетах идущих из локальной сети во внешнюю все source IP на свой, а в ответах, пришедших ему на эти пакеты, переписывает destination IP на IP той машины из внутренней сети, которая изначально пакет и слала. Таким образом получается, что все внутренние машины ходят в инет, а снаружи все выглядит так, как будто это одна машина все время (та, которая как раз является шлюзом для внутренней сети). Теперь подумай, чем это грозит, если даже не принимать во внимание достаточно неприятный факт полного сокрытия схемы внутренней сети, ди и вообще факта ее существования? Представь себе, что админ такой хитрой сети открывает web-сервер на одной из внутренних машин, а шлюзу своему говорит, чтоб тот переписывал и пересылал все приходящие к нему на 80-ый порт пакеты внутреннему web-серверу. Выходит, что юзеры из инета работают как бы с шлюзом, считая его web-сервером, а сам web-сервер сидит себе в безопасности и комфорте, абсолютно ни для кого невидимый. Прикольно, да? А теперь представь что юудет, если какой-нибудь недалекий хацкер решит, скажем, посканить такой сервачек. Ведь все запросы на 21, 23 и прочие порты шлюз может слать не локальному web-серверу, а какой-нибудь другой локальной тачке (или может вообще сам их обрабатывать). Так что получается, что хацкер сканит совсем не ту машину, которую хотел. Вот такие вот они хитрые, эти админы ;).

Кстати ip-маскарадниг разрабатывался совсем не для таких низких целей! Первоначально он был предназначен тем, у кого был всего только один инетовский IP-адрес, но несколько машин в сети, которым все-таки надо было как-то выходить в интернет. Но со временем маскарадингу нашлось еще одно применение – то, о котором я только что рассказал ;).

Так что знай - админы не дремлют! И держи ухо востро!

Назад на стр. 023-054-1 Содержание