рекогносцировка на небоскребе

КРИС КАСПЕРСКИ

Спецвыпуск: Хакер, номер #072, стр. 072-058-3

Но это еще что! Поддержка новых протоколов — всего лишь вопрос времени. Переход на Висту означает переход на Teredo, а переход на Teredo навязывает глобальную маршрутизацию, заставляющую забыть о приватных IP-адресах, использующихся в локальных сетях и невидимых снаружи. Ну, это раньше они были невидимы, а теперь... Помнится, что когда один паренек просканировал внутреннюю сеть Пентагона и «добыл» приватные адреса, Пентагон так перестремался, что довел дело до суда. Оно и понятно. Чем больше хакер знает о структуре защищенной сети, тем проще ее атаковать.

Плюс ко всему Виста поддерживает инкапсуляцию IPv4 в IPv4 и IPv6 в IPv6, что позволяет скрывать истинные целевые адреса и порты, вынуждая брандмауэры и другие защитные средства проводить скрупулезный анализ трафика, а это сразу же увеличивает потребности в памяти и мощности процессора со всеми вытекающими отсюда последствиями.

Да... с появлением Виста-узлов в господствующем IPv4-интернете следует ожидать больших потрясений. Вот такая она, безопасность, которую нам обещают!

[TCP/IP и его свита.]

На самом деле, TCP/IP никогда не используются в «чистом» виде и всегда окружены свитой вспомогательных протоколов, причем далеко не все из них нужны домашнему пользователю, но... увы! Привычка Microsoft пихать все в одну коробку без возможности отделить одно от другого дает о себе знать, и мы не можем удалить лишние протоколы, которые не только жрут системные ресурсы, но еще и служат источником потенциальных ошибок, дыр и люков, в существовании которых можно не сомневаться.

По этому поводу вспоминается один хороший анекдот: заходит Билл в Мак-Дональдс, заказывает колу, биг-мак с картошкой фри и... получает все это в одном стакане, безнадежно перемешанное друг с другом, и еще с кучей других непонятных вещей (мух, тараканов), которые Билл совсем не заказывал, и был бы рад отказаться от них, если бы только знал как.

Вот так же и здесь. Сетевой стек Висты включает в себя следующие протоколы:

- ICMP;

- IGMP;

- IPV4;

- IPV6;

- ICMPV6,

- TCP;

- UDP;

- IP6;

- GRE;

- ESP;

- AH;

- 43;

- 44;

- 249;

- 251.

Порывшись в RFC, легко убедиться, что добрая половина протоколов не нужна не только рабочим станциям, но и серверам, а многие из них даже не имеют собственного имени, ограничиваясь только номером. В частности, протоколы 43 и 44 отвечают за маршрутизацию и фрагментацию в IPv6. Причем, в ранних бетах посылка мусора по 43 протоколу вводила Висту в глубокую задумчивость, граничащую с суицидом, но через некоторое время она, как ни в чем не бывало, возвращалась к обработке сетевых запросов. А вот мусор, переданный по 44 протоколу, обрушивал систему в голубой экран смерти. Сейчас это уже исправлено, но неизвестно, сколько еще ошибок реализации предстоит обнаружить.