§ I2P и TOR как источник мигрени администратора

Я долго думал с какой стороны удобнее подобраться к этой теме: как системный администратор которому нужно “не допустить” или как злобный хацкер которому нужно “любой ценой”. Но жизнь сама диктует приоритеты, и так как я не нашел реальных и действенных способов запретить, то самой жизнью велено писать с позиции “любой ценой”.

Итак давайте представим что мы работаем в организации где уровень паранои или лень системного администратора не позволяет нам получить скажем SSH доступ до собственной машины внутри сети. Что же делать? А выход есть!

Я не знаю слышали ли вы ранее про TOR и I2P, но если и слышали то скорее всего в разрезе какой нибудь ерунды вроде анонимизации в интернет или анонимного качания торрентов. Но если смотреть на вещи под более широким углом - то и TOR и I2P - это анонимные сети внутри интернет, сконструированные по принципу высокой доступности и анонимности. Весь траффик внутри сети шифруется, и отправляется разными маршрутами, которые раз в определенный промежуток времени меняются. Этот же принцип позволяет сети (особенно I2P, которая будет работать даже имея всего 3 пользователя) работать практичесски в любых неблагоприятных условиях.

Но основная идея побудившая меня написать про Tor и I2P тут - это одна возможность данных сетей, о которой на фоне анонимных торрентов да запрещенных сайтов как то не так активно говорят, хотя она способна свести на нет практичесски любые попытки админа ограничить доступ к системе. Эта возможность называется тунелирование.

Фактически можно поднять на своем компьютере скрытый сервис который будет обращен на внутренний порт вашей рабочей машины (скажем 127.0.0.1:22), в результате вы получите уникальное имя вашего скрытого сервиса. Дальше вы можете использовать этот имя, что бы подключаться к созданному вами сервису посредством анонимной сети или в случае с I2P создать тоннель на вашей домашней машине и пробросить локальный порт домашнего ПК в этот тоннель который веден на локальный порт вашего рабочего ПК. Эта функция проверенна и работает. Причем с минимумом настроек.

С точки зрения безопастности скрытый сервис имеет огромное количетсво настроек, а том числе и белые-черные списки, и ключи проверки, словом если действительно запараноить (ну вдруг кто нибудь подберед это самое случайно-сгенерированное имя или base64-hash в случае с I2P о_О) то можно огородиться по самое не балуйся.

Что может сделать администратор в этом случае? Ну в общем то не много. I2P и Tor работают по принципу схожему с Torrent и Skype. Фактически если клиент не может общаться с интернетом напрямую он будет искать другие сервисы в сети и пытаться передавать информацию через них. При наличии любого интернет подключения и Tor и I2P будут нормально работать. Самое обидное для администратора это то, что траффик от этих сервисов практически невозможно отследить и\или опознать, не говоря уже про анализ. Все пакеты идущие через клиента зашифрованны по самое не балуй, при этом ни один из клиентов не владеет всеми частями передаваемой информации - только отправитель и получатель. Разобраться в том шифрованном мусоре что идет через клиента невозможно и полезный траффик не отличается от транзитного, а значит и заблокировать его без шанса поломать что-нибудь нужное так же невозможно.

Словом анонимные сети внезапно предоставляют возможности гораздо более богатые чем простой анонимный торрент и запрещенные сайты. Рекомендую внимательнее относиться к любым проявлениям Tor или I2P в вашей сети, это потенциально может быть большая брешь в безопасности, которую крайне тяжело контролировать.


comments powered by Disqus