Всем читать №2
 
08.12.2003
Сергей Голубицкий

Продолжаю навязывать читателю субъективные восторги по поводу продуктов французской компании TWD Industries SAS. Неделю назад разговор завершился на пафосной ноте, о том, что Remote-Anything, программа дистанционного управления компьютерами, позволяет связываться со «скрытыми» подчиненными узлами. То есть такими, которые расположены за корпоративным файрволлом, прокси или маршрутизатором. Делается это с помощью The Directory Server (DS).

Для своего зверя TWD придумала классификационную бирку, явно позаимствованную из лексикона «Звездных войн»: Secure Zero-Configuration Firewall Traversal — безопасный обходной канал для брандмауэров, не требующий настройки. В этой фантасмагорической формулировке наибольший интерес вызывает словечко безопасный, поскольку в нем скрывается вся сущность DS. Как мы помним, главные и подчиненные узлы (master и slave) в любой программе дистанционного управления компьютерами постоянно держат открытыми различные нестандартные порты (скажем, 4000, определенный по умолчанию для Remote-Anything). Через эти своеобразные порты-«дырки» управляющий узел прислушивается к сигналам подчиненного узла, а также осуществляет контроль над ним (заранее прошу господ «профессионалов» не беспокоиться: сетевую действительность я воспринимаю на образном уровне, доступном исключительно благородным ламерам!). Как правило, такое фривольное обращение с портами пресекается любым уважающим себя файрволлом на корню: исходящие пакеты по нестандартным портам еще терпятся с горем пополам, но вот входящие запрещаются категорически. Получается, что традиционным образом у Remote-Anything нет ни малейшего шанса пробиться к компьютерам, защищенным файрволлами. Если учесть, что программа дистанционного управления в первую голову предназначена для корпоративного администрирования удаленных сетей (а не для хацкеров, которые предпочитают иметь дело с засланными казачками, то есть «троянами»), а корпоративные сети сегодня защищены файрволлами в 99,9% случаев, то без обходного маневра фирме TWD на этом рынке ловить было бы нечего.

Таким обходным маневром и стал DS: при подключенном The Directory Server главные и подчиненные узлы используют только исходящие пакеты, отправляемые на DS, точно так же, как и при обыкновенном веб-серфинге. Для усиления «безопасности» DS использует криптозащиту (для тематически продавленной публики: AES encryption rotating 128-bit session key).

Еще одна грань «безопасности» при использовании The Directory Server для дистанционного управления компьютерами: поскольку нестандартные порты не поддерживаются управляющим и подчиненными узлами в открытом виде, мерзоидные хацкеры не могут использовать сканирование портов, чтобы обнаружить «дырку» и попытаться перехватить через нее управление вашим компьютером.

Спинным мозгом чую, что жестоко злоупотребляю доверием читателя, так что самое время похерить технологическое фуфло и перейти к иллюстрации на пальцах. Тем более что в подлинной натуре катавасия вокруг DS доступна пониманию даже самых правильных пацанов. Смотрите сюда: как работал Remote-Anything без DS? Правильно: подчиненный узел сообщал мастеру (обычно по электронной почте) свой IP-адрес, затем мастер связывался с этим подчиненным узлом по заранее оговоренному протоколу (4000), вводил пароль и — понеслась! Или — не понеслась, если подчиненный узел сидит за брандмауэром. В связке с DS дистанционное управление выглядит так:

- Мастер посылает запрос The Directory Server на предмет местонахождения нужного нам подчиненного узла.
- DS сверяется со своей базой данных, в которую заблаговременно поступает информация от всех подчиненных узлов, с единственной целью: удостовериться, имеет ли данный мастер право на управление данным подчиненным узлом.
- Если таможня дает добро, то DS устанавливает с мастером и подчиненным узлом криптозащищенную связь и позволяет голубчикам ворковать друг с другом в полной безопасности. При этом, обратите внимание, общение мастера и подчиненного узла происходит не напрямую, а через DS и по традиционным портам (80), прозрачным для любого файрволла.

Красиво, не правда ли? Местоположение The Directory Server может быть совершенно произвольным: в любой из корпоративных сетей или где угодно в Интернете. Единственное условие: DS должен быть доступен для всех управляющих и подчиненных узлов. Приятно удивляет (до чего же люблю этот тошнотворный оборот речи доморощенных рекламщиков!) возможность размещать DS на компьютере с динамическим IP-адресом: достаточно сообщить всем узлам имя DNS (типа skoropupko.ru) или NetBios (типа PC_Irakliya) компьютера, на котором расположен DS. Правда, здесь нас подстерегает одна маленькая гадость: непонятно, какое имя DNS может быть у компьютера с динамическим IP-адресом. Однако гадость эта на читателей «Голубятни» не распространяется. По той простой причине, что я сейчас по ходу дела и по доброте душевной расскажу об одном сногсшибательном сервисе, который позволяет малой кровью устранить эту, казалось бы, неразрешимую проблему.

Сервис называется DNS2GO: вы платите почти что символические $19,95 в год и устанавливаете маленькую программульку на своем компьютере. Всё! Теперь, где бы вы ни находились на планете, под каким бы дайлапом ни соединялись с мировой компьютерной сетью, ваш DNS-адрес будет неизменным: всякий раз, как вы выйдете в Сеть, клиент DNS2GO, установленный на вашем ноутбуке, немедленно свяжется с сервером компании и автоматически обновит таблицу доменных имен с учетом вашего текущего IP! Именно на такой ноутбук и можно установить The Directory Server.

Раз уж мы заговорили об установке, то в случае DS она  смехотворна, что, между прочим, оправдывает гордое тавро программы — «Zero-Configuration»: кликаешь на Ds.exe — и всего делов! Программа запускается в виде сервиса Windows, и ее присутствие распознается лишь по иконке в трее. Иконка черная, когда DS бездействует, синяя, если через сервер идет трафик с узлов, и зеленая, когда DS синхронизирует базу данных с другими DS.

Настройка DS еще круче: указывается внешний адрес компьютера, на котором расположен сервер, его внутренний адрес (в корпоративной сети, если таковая есть), номер порта (ясное дело, следует оставить без изменения общественно прозрачный «вебовский» порт 80). Длительность сигналов SOS, поступающих от подчиненных узлов (30 минут), порог переполнения дисков (50 мегабайт), тайм-аут для соединения (240 секунд) — все это править не обязательно.

Полагаю, читатель, ты уже глубоко полюбил поделки TWD, так что дело за малым: дать волю ручкам и скачать программу. Вся изысканная продукция предоставляется на пробу (в trial-виде), после чего требуется заплатить какие-то чудовищные деньги. В этот момент пути-дорожки моих соотечественников расходятся: одни (честные, здоровые и богатые) отправляются трясти тугой мошной, другие (подлые, злые и грязные) качают генератор ключей: Jedem das Seine.

Под занавес хочу замолвить словечко еще об одной программе, которую грех не помянуть — настолько она вписывается в сегодняшний свободолюбивый контекст: AntiFirewall. Для тех, кто не сумел догадаться по названию, поясню: AntiFirewall позволяет обходить ограничения на использование различных протоколов (ftp, usenet и т. п.), которые любят налагать в корпоративных сетях администраторы (не потому, что редиски, а по науськиванию руководства). Так что если ваша пассия страдает вербальной формой сексуальности, которую выражает исключительно по «аське» и в рабочее время, а «аська» ваша забанена, ставьте AntiFirewall и извращайтесь.

Как обычно, все линки, помянутые в «Голубятне», вы найдете на www.internettrading.net/beritut.


<<Cобытия
Все материалы номера
Нефритовое оружие пролетариата >>