Пособие «Как укладывать парашют».
Издание 2-е. Исправленное.
Из военного юмора

Широко известно утверждение о том, что летные инструкции написаны кровью, — бесконечно разнообразная жизнь щедрой рукой дарит нам не всегда приятные сюрпризы. Этот непрошеный соавтор создает порой самые невероятные ситуации, которые могут возникнуть в процессе полетов и которые невозможно даже представить, сидя в кабинете. Ведь кроме сверхсложных технических устройств активную роль в авиации играет человек — существо частенько непредсказуемое. Вот и мы, приступая к этому тесту, даже не подозревали, какие таланты и способности проявят некоторые его участники, но именно благодаря сюрпризам более полной (хотя вряд ли исчерпывающей) получилась эта инструкция. Она предназначена для «командного состава», активно овладевающего искусством боевого администрирования.
Наш журнал уже не раз тестировал ADSL-модемы, в том числе оснащенные точками беспроводного доступа (в частности, см. «Мир ПК», №8/06, с. 88). Но тогда исследовались в основном их технические характеристики, здесь же мы обратим пристальное внимание не на них, а на то, как с помощью этих сетевых комбайнов на практике реализовать чаяния главы семьи (или маленького офиса), задумавшего организовать небольшую локальную проводную (или беспроводную) сеть, обеспечив всех постоянным выходом в Интернет (а кое-кого еще и интерактивным телевидением). Но при этом не желающего выпускать из-под контроля ситуацию с серфингом по запретным местам Сети, чатами и прочими проявлениями непроизводительной, с его точки зрения, активности.

Диспозиция
Местность: дом с толстыми бетонными стенами, четыре помещения, выходящие в общий холл. Средства связи: телефонная линия с розетками в трех помещениях, в незапирающемся (по разгильдяйству техников) шкафу в пяти метрах от входной двери — незамаскированные Ethernet-кабели районной локальной сети. Операторов кабельного телевидения, предоставляющих доступ в Интернет, в округе нет.

Обстановка перед боем
Личный состав: четыре человека, среди которых помимо администратора есть еще только один продвинутый пользователь, но он страдает интернет-зависимостью. До начала действий телефонная линия не была подключена к провайдеру широкополосного доступа.

Численность и тактико-технические данные (ТТД) вооружения
В ходе операции в сети предполагалось задействовать три мобильных компьютера и принтер. Для организации локальной сети, подключения к Интернету и контроля доступа поочередно использовались два интернет-центра: ZyXEL P-660 HW EE Annex A (обычно продается под названием ZyXEL Prestige 660 HW EE) и D-Link DSL-G804V. По сути это специализированные микрокомпьютеры, работающие под управлением Unix-подобной ОС, оснащенные ADSL-модемом, точкой беспроводного доступа и Ethernet-коммутатором на четыре порта.

Захват командных высот
Режим секретности. Скажу честно, что сейчас мне немного неловко за тот детский восторг, который я испытал, впервые узнав о возможностях интернет-центров по администрированию локальных сетей. Но в ходе эксплуатации радость пришлось поумерить. Оказалось, что реальное управление сетью возможно только при неукоснительном выполнении некоторых условий.
Первое условие. Самое необходимое — захват контроля над интернет-соединением. Для этого канал должен быть зарегистрирован на вас, и только вы должны знать пароль доступа, выданный провайдером. Нужно тщательно следить за режимом секретности и маскировкой. Я бы рекомендовал опробованный мной способ: завести отдельный текстовый файл, в котором сохранять все данные, относящиеся к настройкам канала и внутренней сети (их будет слишком много, чтобы надеяться на память, а понадобятся они вам, как показала практика, к сожалению, не раз и не два). Файл зашифровать и сохранять вместе с программой шифрования  в нескольких копиях в недоступных для пользователей вашей локальной сети местах. Документацию на оборудование также лучше убрать подальше. Все бумажные записи, которые вы сделали, собирая информацию для настройки, тщательно уничтожить с помощью шредера, а при отсутствии последнего просто сжечь. Если у вас есть лучший способ сохранения тайны, просьба поделиться.
Чтобы вы поняли, почему это так важно, сразу поясню. На всех виденных мной интернет-центрах есть волшебная кнопочка Reset, при нажатии на которую все параметры настройки сбрасываются к заводским установкам. Далее инсайдер, зная пароль доступа к веб-интерфейсу центра, установленный по умолчанию, а он обычно указан в документации или даже на шильдике устройства, настраивает соединение «под себя» (ведь логин и пароль, выданные провайдером для входа в Сеть, он уже подглядел), меняет пароли, а вы продолжаете оставаться в счастливом неведении! Все ограничения, которые вы с тайным злорадством устанавливали, исчезли вместе с возвратом к заводским настройкам!
Конечно, случайно узнав об этом, например по мелькнувшей на экране в неурочный час заставке известной онлайновой игры, вы попытаетесь с другого компьютера войти на сайт провайдера и изменить пароль доступа. Каково же будет ваше разочарование, когда вы поймете, что этого, увы, просто так не сделать. Ведь боец невидимого фронта, не будь дураком, подглядев или украв (например, заслав к вам через ICQ клавиатурного шпиона) заодно и пароль доступа на вашу личную страницу, перешел к атаке и, просто зайдя на сайт провайдера, уже изменил его!
Получив такой удар, вы будете долго дозваниваться до службы технической поддержки, они же попросят прислать им факс с просьбой выдать вам новый пароль, с первого раза он, конечно, попадет «не в то здание», потом они будут его рассматривать, потом попросят приехать к ним на поклон в офис, чтобы, тыча своим несчастным паспортом и проклиная судьбу администратора, доказать, что вы не верблюд. И вам скорее всего это удастся, и вы завладеете каналом снова, но это может оказаться лишь временной победой, поскольку злоумышленник уже знает логин вашего соединения. Для изменения его в московском «Стриме», к сожалению, необходимо расторгнуть договор и заключить его снова, а на эту процедуру уходит порой целый месяц.
Другое дело, будет ли инсайдер продолжать попытки захватить контроль над каналом? Создание таких условий, когда он смирится с некоторыми ограничениями в обмен на какие-то выгоды и будет довольствоваться тем, что разрешите ему вы, примет ваши условия игры и не станет связываться с хакерами, — интересная психологическая задачка.
Но даже если вы прирожденный конспиратор и вам пока еще удалось сохранить в секрете параметры для установки соединения с Интернетом, не стоит обольщаться. Достать пароль доступа к настройкам интернет-центра, который, я надеюсь, вы сменили в первую же минуту и очень гордились своей предусмотрительностью, тоже не то чтобы просто, но вполне возможно. Во всяком случае, в ZyXEL P-660 сделано все, чтобы хакерам было легко его подбирать. Ведь на каждом шаге взлома нужно вводить только одно кодовое слово, а не два (логин и пароль), как у  D-Link DSL-G804V. С помощью 1,5-ГГц ноутбука простой 7-символьный пароль находится примерно за 20 минут.
Второе условие. Я не сразу оценил предусмотрительность разработчиков из фирмы ZyXEL, на первых же страницах документации рекомендовавших держать интернет-центр в недоступном для других помещении. Боевые действия показали, что только так удается добиться полного контроля над своей сетью. Но вот досада, вряд ли при работе из этого безопасного места хорошо будет чувствовать себя беспроводная связь. Конечно, ради тотального контроля имеет смысл помучиться и с проводами, ведь в арсенале интернет-центра всегда есть обычная сеть Ethernet. Если необходимо подключить больше трех пользователей (один выход вы, возможно, задействуете под интернет-телевидение), ничто не мешает воспользоваться дополнительным концентратором, благо стоит он недорого.
 Впрочем, умельцы могут изготовить для интернет-центра элегантные стальные ящички-чехлы, украшенные, например, хохломской росписью, с секретными замочками и отверстиями для антенны и проводов. Если кому-то это удастся, поделитесь чертежами с народом.

Первая фаза боя. Концентрация сил

Сигнал к атаке — три зеленых свистка!

Сверим часы. Как известно каждому старшине, дисциплина должна начинаться со строгого соблюдения режима. А для этого весь личный состав должен знать правильное местное время.  Проблема в том, что собственных внутренних часов, как у ПК, у интернет-центров нет. Поэтому они вынуждены периодически переспрашивать его у обитателей Сети. D-Link DSL-G804V изначально снабжен правильными адресами веб-серверов, где при начале работы и потом с некоторой периодичностью он может получить значение точного времени. Поэтому при настройке остается только верно указать ваш часовой пояс и даты начала и конца действия летнего времени.
ZyXEL P-660 HW, к сожалению, знаниями о надежных серверах времени от рождения не наделен. Перебрав пять адресов из тех, что были приведены службой технической поддержки ZyXEL, я не обнаружил ни одного удовлетворяющего своими ответами, хотя и, строго следуя советам этой службы, явно указал тип используемой модемом модуляции GDMT (информацию о ней можно выпытать у технической службы провайдера). Точнее, все эти серверы честно сообщали правильное время, но почему-то не всегда. По косвенным уликам можно заключить, что виноваты, конечно, не они, а их «психологическая» несовместимость с вопрошающим (ZyXEL P-660). Оказалось, что всегда мог его вытерпеть только один сетевой ресурс, координаты которого я нашел не в технической службе, а на просторах Сети. Будучи счастливым обладателем интернет-комбайна ZyXEL, смело вводите IP-адрес 207.46.130.100 и указывайте протокол передачи данных о времени NTP. Владельцы же изделий D-Link, как я уже говорил, могут не беспокоиться.
Дополнительные меры защиты перед атакой. Возможно, некоторую передышку вам дадут меры по недопущению противника на близкое расстояние к оборонительным укреплениям интернет-центра. Сначала можно слегка поиграть с нападающим, замаскировав вход в цитадель, т.е. изменив его IP-адрес, записанный по умолчанию, причем на всех моделях всех производителей он один и тот же. Это вызовет временное замешательство в стане «нехороших парней»: впрочем, при достаточной их или их друзей по чатам квалификации оно продлится недолго. Запущенный ими сетевой разведчик, имеющийся в любой ОС  (его имя не указываем по понятным причинам), быстро прояснит картину, и далее в дело опять пойдет программа для взлома, бороться с которой можно лишь удлинением и усложнением пароля.
Если сложность пароля уже и так максимальна, то, памятуя о том, что ваш противник нисколько не ограничен во времени подбора и волен запускать «крякалку» в любой период вашего отсутствия, можно поставить еще один заслон, дав приказ охране входа вступать в переговоры лишь с вашим ПК и ни с каким другим. Для этого ему надо выдать «революционный мандат», присвоив не динамический, как рекомендуется в инструкциях по подключению к создаваемой локальной сети, а статический IP-адрес.  На самом деле интернет-центру совершенно все равно, имеют ли входящие в его сеть компьютеры постоянные адреса; если таковых не имеется, он с удовольствием выдаст им временный. Первый пришедший «безадресный» желающий получит самый младший из допустимого диапазона (который вы должны были ранее указать в параметрах настройки локальной сети центра), остальные вошедшие — каждый на единицу больше. Прикинув максимальное число возможных участников вашей сети и при желании прибавив еще чуть-чуть в расчете на гостей, назначьте себе заведомо больший уникальный IP-адрес. Вы ведь в лесу хозяин!

Интернет-центр будет управляться по веб-интерфейсу только изнутри вашей сети с компьютера с IP-адресом 192.168.1.40, а через telnet — с любого

Сопоставление IP- и MAC-адресов убережет от подмены вашего ПК 

Когда вы захотите это сделать (Пуск • Настройка • Сеть и удаленный доступ к сети • Подключение по локальной сети • Свойства ), в открывшемся окне выберите из списка пункт «Протокол интернета (TCP/IP)» и далее отметьте к исполнению указание «Использовать следующий IP-адрес». Но ввести придется не только эту выстраданную комбинацию цифр. Кроме этого Windows захочет узнать IP-адреса основного и дополнительного серверов доменных имен (DNS-серверов). Их можно получить в службе технической поддержки провайдера Интернета, для московского «Стрима» основной — 212.188.4.10, дополнительный — 195.34.32.116. Необходим также IP-адрес вашего интернет-центра. Его-то вы уже знаете наизусть!
Предупреждение. Если вы какое-то время спустя вновь захотите посмотреть на сделанные вами настройки сетевых адресов, то обнаружите, что в тех местах, где вы еще недавно старательно набирали текст «мандата», ничего нет! Не удивляйтесь, это не значит, что они пропали. Просто эту часть Windows делали «наши парни» и здесь все, как и положено, «совершенно секретно», а для того, чтобы узнать, что же было здесь написано ранее, надо запускать упомянутый ранее сетевой информатор!
Проницательный читатель наверняка догадался, что когда ваш компьютер с «фирменным» IP-адресом не подключен к сети, если не принять специальных мер, злоумышленник вполне может продолжить подрывные работы, представившись охране интернет-центра вашим IP-именем. Чтобы ему воспрепятствовать, попробуйте поставить в соответствие выбранному статическому IP-адресу MAC-адрес (Media Access Control, управление доступом к носителю — уникальный идентификатор оборудования). Для этого в модеме D-Link есть специальная таблица ARP (Address Resolution Protocol — протокол преобразования адресов), которую можно найти на вкладке Status. Если в вашем комбайне таких средств не предусмотрено (в ZyXEL их найти не удалось), то остается только ограничение прав пользователя (в том числе полный запрет на загрузку ПК с внешних носителей и установка пароля на BIOS), которое, конечно, необходимо провести в сети малого офиса, но, к сожалению, это почти нереально в сети домашней, где «продвинутые переростки» могут не согласиться с вашим решением.
Программ для взлома современных версий Windows  написано пугающе много (а старые ОС этого типа легко вскрываются и без них). Единственный их недостаток в том, что после взлома невозможно замести следы, ведь, хотя злоумышленник мгновенно получит все права по управлению компьютером, старый пароль останется для него тайной.
Блаженствуйте, если ваши домочадцы еще не доросли до звания «продвинутых переростков», но не забывайте, что время летит незаметно!

Вторая фаза. Начало атаки
Но вот основные приготовления к тому, ради чего, собственно, все и задумывалось, казалось бы, закончены. Настроен доступ в Интернет и локальная сеть. Если использован беспроводной вариант, то установлен режим ограничения доступа в нее по MAC-адресам и включено шифрование. Сам интернет-центр снабжен эшелонированной обороной. Теперь можно приступать к основной фазе операции — установлению контроля за использованием ресурсов Сети.

Легкие вооружения

— Товарищ прапорщик, а крокодилы летают?
— Нет, не летают!
— А товарищ майор сказал, что летают!
— Да, бывает, но низенько-низенько.

Проще и быстрее всего включить фильтрацию трафика по URL-адресам. Возможности обоих применявшихся средств управления сетью в этой части принципиально идентичны. Но в D-Link  они более изысканны. Если для изделия ZyXEL вы просто перечисляете любые части имен сайтов и независимо от места, в котором расположено данное сочетание символов, доступ к таким ресурсам блокируется, то для первого вы можете указать отдельно имена целых доменов, отдельно части имен веб-серверов. А можете вообще накрыть всех массированным огнем, запретив посещение любых сетевых мест, кроме явно разрешенных.

Доступа к сайтам с такими сочетаниями символов в URL-адресах не будет, но только не для доверенных пользователей, которых можно перечислить в разделе Trusted users  

Однако против подобных легких вооружений есть простой «асимметричный ответ». Если вместо символьного URL указать его IP-адрес (цифровой эквивалент), то такие средства противодействия окажутся бессильными. Разработчики D-Link предусмотрели этот вариант сражения. Они установили блокировку попыток задания цифровых адресов (Block Surfing by IP address). Против лома нет приема!
И все эти средства борьбы можно включать и выключать в определенное время. Почти уверен, что вы уже решили, будто успех в борьбе вам обеспечен! Не обольщайтесь. И здесь не все так просто. В ряде случаев, о которых подробно поговорим ниже, полученный ранее начала работы вашего средства контроля доступ к веб-ресурсу прервать ничем  не удастся. Ибо общение с ним уже перешло на такой язык, которого ваш сетевой комбайн не понимает. И тогда остается только возможное лишь при выполнении второго условия режима секретности выключение модема!
Хотя пассионарии интернет-борьбы могут еще помучиться. И кое-какие шансы у них есть.

Борьба с оружием массового поражения

— Товарищ курсант, что делать в случае ядерного взрыва?
— Надеть защитный комплект и держать оружие на вытянутых руках!
— Зачем?
— Чтобы расплавленный металл не портил сапоги!

Свойством массово поражать личный состав, имеющий доступ в Интернет, обладают прежде всего онлайновые игры и интернет-пейджеры типа IСQ и ему подобных. С первыми бороться относительно просто (с оговорками касательно времени включения средства противодействия) фильтрацией по фрагментам URL, описанной выше. Число таких игр не слишком велико, и указать брандмауэру названия их сайтов не представляет труда. Можно ввести общую часть их названий, например, отфильтровать все сайты, содержащие в адресе слово «game». Число задаваемых символьных комбинаций не ограничено.
А вот средства второй группы своим поведением в интернет-пространстве напоминают ракеты с разделяющимися боеголовками — очень трудно отследить направление движения каждого из них. Недаром на сайте разработчиков IСQ самоуверенно заявлено, что эта программа должна найти пути обхода любого брандмауэра. Действительно, ребята оказались дьявольски изобретательными! Но мы тоже не лаптем щи хлебаем!

Попадание в черный список не помешает продолжить начатую игру через «опальные» ресурсы, передачу больших файлов или непосредственный обмен сообщениями

Разведка боем
Только зная тактику атаки таких коварных противников, можно умело построить эффективную оборону. Для целей разведки как нельзя лучше подходит журнал событий, ведущийся в каждом интернет-центре (Logs). Включив регистрацию пакетов TCP, направляющихся с вашего компьютера на любые адреса Сети, вы увидите поразительную картину, но только в том случае, если спровоцируете IСQ на ответные действия. Для этого запретите центру пропускать вовне что-либо на какие бы то ни было адреса Сети. После этого «запускайте Берлагу!». И, поглядывая в журнал событий, наслаждайтесь изяществом способов обхода брандмауэров, используемых интернет-пейджерами.
 Их первый ход в момент запуска исполняемого модуля стандартен для всех «засланных казачков»: посылка открытого сообщения «в Центр» на первой частоте (порт 443, обычно используемый HTTPS). Если спустя заданное время ответа не приходит, делается пробная посылка на другой адрес на общей частоте (порт 80 — HTTP). Если опять неудача, делаются две попытки, аналогичные первой. Затем, по нетривиальному алгоритму меняя IP-адреса, они отсылают новые сообщения, причем временами задействуется порт 5190 и ряд других. Если радист «Центра» все равно молчит, то начинается беспорядочный «беглый огонь» по самым разным адресам, число которых огромно, но, как оказалось, к счастью, все же конечно. Видимо, программы-клиенты «болталок» умеют создавать прокси-серверы и работать через них.
Теперь вы понимаете, почему бесполезно пытаться заблокировать интернет-пейджеры фильтрацией по именам их сайтов или доменов: почувствовав это, они просто переходят на связь с разнообразными IP-адресами! Нет смысла блокировать и отдельные порты, поскольку помочь  может лишь запрет всех. А это равносильно отключению электропитания.

Установите запрет передачи (Drop) любых пакетов на все порты Any(All) и не забудьте ниже включить регистрацию в журнале событий (Logs)

Апофеоз сражения
Подобная разведка боем показала, что для остановки IСQ и QIP достаточно запретить посылку TCP на две группы адресов — с 205.188.0.0 по 205.188.255.255 и с 64.12.0.0 по 64.12.255.255 и на всякий случай еще на один — 81.19.70.2. В изделии D-Link может помочь замечательная уже упомянутая выше кнопочка Block Surfing by IP address. В комбинации с запретом посещения «родных» веб-серверов «болталок» это позволяет заблокировать некоторые программы мгновенного обмена сообщениями. Но не все — например, IСQ все равно надо ловить, отсекая упомянутые выше группы адресов.
Еще раз подчеркну, что работать все это будет, только если заслоны начнут действовать раньше запуска пейджера! Возможно, иные существующие или будущие программы начнут пользоваться какими-то другими диапазонами адресов. Но на это есть бдительная разведка! А вооружившись сведениями о том, как распознать коварство противника, вы легко модифицируете заграждения! Враг не пройдет!

Для каждого правила фильтрации задается свой график включения 

Главный переключатель «степени паранойи». От режима безопасности All blocked/User defined, в котором фильтруется все, кроме явно указанного пользователем, до Low Security с разумным набором правил 

Достаточно один раз задать расписание и дать ему имя, например TimeSlot1, как на рисунке, чтобы затем использовать его в любых других правилах

Разбор полетов
Вывод 1. Сетевое сообщество поразительно терпимо к опасности, которую несут с собой программы «непосредственного общения». Эта опасность в полной мере еще не осознана. Помимо того что данная форма игры вызывает привыкание, работающая программа-клиент такого «пейджера», будучи запущена, независимо от того, пользуетесь вы ею в данный момент или нет, предоставляет всем желающим тайный туннель под любыми стенами брандмауэров для засылки на ваш компьютер программ-шпионов. После установления соединения в начале сеанса, происходящего на «языке» TCP, клиент и сервер IСQ-подобных программ переходят на упомянутый выше тарабарский диалект, который не понимают и спокойно пропускают любые охранные системы. Проникшие по такому туннелю программы-снифферы, помогут, например, нашему отрицательному персонажу узнать все пароли, и тогда... см. раздел «Режим секретности».
Никому не желаю испытать гадливое ощущение сродни тому, что бывает после визита воров в ваш дом, когда вы узнаете, что всю вашу личную корреспонденцию давно читают, причем, вероятно, не только ваши домочадцы или сотрудники. Не пора ли изменить отношение к, казалось бы, безобидным игрушкам для болтовни? Или для этого понадобится новое поколение вирусов и спама, все чаще распространяющееся их посредством? Много «веселых минут» уже доставляют пользователям мошеннические сообщения, распространяемые под именами их знакомых.
Впрочем, скорее всего придется уповать на появившиеся совсем недавно программные средства контроля  за использованием систем обмена мгновенными сообщениями. Однако их эффективность еще предстоит испытать.
Вывод 2. Средства вооружения, использовавшиеся в ходе операции (ZyXEL P-660 HW EE Annex A и D-Link DSL-G804V), в принципиальных моментах борьбы показали примерно одинаковые ТТД. Однако средства настройки последнего более гибки и в ряде случаев способны облегчить жизнь администратору. Кроме того, отработать «подход и отход» применительно к этому устройству значительно легче, поскольку все «органы управления» сосредоточены в одном веб-интерфейсе, снабженном интерактивной справочной системой (правда, на английском языке). Часть же настроек комбайна ZyXEL приходится вводить не через привычный браузер, а используя telnet и при этом периодически заглядывая в руководство, выполненное в виде отдельного PDF-файла (но на русском).
Очевидно, что создатели D-Link DSL-G804V задумывали свое детище в основном с прицелом на его применение в малых офисных сетях, поскольку его ТТД вполне позволяют организовывать защищенные виртуальные частные сети (VPN) для связи между собой локальных сетей двух зданий. (Хотя оба устройства одинаково хорошо подходят и для приема интернет-телевидения.)
     Учитывая эти возможности, можно было бы говорить о значительно большей универсальности продукта D-Link, если бы не одно «но». Не претендуя на обобщение, поскольку двухмесячные испытания проводились всего на одной телефонной линии, все же можно утверждать, что в стабильности связи эта техника уступала ZyXEL P-660 HW EE.
Вывод 3. Настройка заградительных средств непроста, требует значительного времени на освоение и совершенно непохожа у разных производителей. Самым разумным был бы альянс разработчиков интернет-центров с целью унификации принципов управления ими. Это способствовало бы популяризации продукции и развитию всего сегмента рынка.
Вывод 4. При известном умении и с некоторыми существенными оговорками, сделанными выше, можно решить любые задачи по контролю за деятельностью в малой сети.
Однако прежде чем ввязаться в сражение, оцените все «за» и «против», причем решающими аргументами должны стать характеристики личного состава и ваш прогноз их реакции на вводимые ограничения. Даже самые отъявленные лентяи способны проявить непредсказуемую изобретательность и трудовой героизм в борьбе с препятствиями, мешающими обладанию заветной дозой Интернета. Точно так же, как и настоящих наркоманов, их не остановят ни моральные ограничения, ни даже угроза уголовного преследования.
     А если победа уже достигнута, оглянитесь вокруг: не стала ли она пирровой, ухудшив без того непростые отношения взрослых и детей или взаимопонимание между сотрудниками? Может быть, плохой мир лучше хорошей войны?

Ст. лейтенант Алекс