Конференция VBStreets

[nouyana]

Сразу оговорюсь, что в администрировании сетей я абсолютно нулевой специалист.

У меня есть роутер ASUS RT-N66U, прошитый Tomato USB. В локалке есть компьютер, которому полностью запрещён выход в интернет по MAC-адресу. На этом компьютере под управлением XP установлена виртуальная машина Microsoft Virtual PC (там тоже XP). В настройках этой виртуалки указано, что она может использовать мою сетевую карту, никаких виртуальных минипортов при этом не создаётся. Загружаем виртуальную машину и вуаля - виртуалка имеет доступ в интернет и свой уникальный MAC-адрес.

Вопрос: если любое программное обеспечение может даже без создания виртуального драйвера передать роутеру любой MAC-адрес, о какой сетевой безопасности вообще может идти речь?

Ну и вдогонку. У меня товарищ служит в ФСБ. По его словам, у них все компьютеры отключены от интернета. Файло передаётся только на флешках. Они не ведут никаких баз данных, кроме бумажных каталогов и архивов, которые, по его словам, очень хорошо организованы. У них правило: если ты воткнул в свой компьютер сетевой шнур, то все данные на нём считаются раскрытыми...

Так как по вашему, сетевая безопасность вообще возможна или нет?

[alibek]

Хочется просто поболтать ни о чем или узнать что-то конкретное?
Если последнее, то это конкретное нужно конкретизировать.

1. MAC-адреса и IP-адреса указываются прямо в полях кадра, их можно сформировать любыми. Аутентификация и авторизация — это вообще задача совершенно других уровней и протоколов.

2. Товарищ из ФСБ упрощал или шутил. Тема информационной безопасности достаточно обширная, сама по себе изоляция сетевых интерфейсов безопасности не обеспечивает.

[Proxy]

Они не ведут никаких баз данных, кроме бумажных каталогов и архивов

Ерунда

У них правило: если ты воткнул в свой компьютер сетевой шнур, то все данные на нём считаются раскрытыми...

Вырвано из контекста. В секретном делопроизводстве много специфики. Готов лишь сказать: подобные меры больше направлены на упразднение человеческого фактора. И да, в отношение человеческих ресурсов меры оправданные, хоть на практике и не гарантируют информационную безопасность: даже так люди умудряются допустить ошибки.

Вопрос: если любое программное обеспечение может даже без создания виртуального драйвера передать роутеру любой MAC-адрес, о какой сетевой безопасности вообще может идти речь?

Ну если считать фильтрацию MAC эффективной мерой безопасности, то ни о какой. NAT некоторые тоже считают панацеей почему-то, хотя в оф.документации оно и средством безопасности не зовётся. На практике ACL чаще используется только для того, чтобы а) не допустить неучтенное перемещение техники между помещениями (пользователь может физически перетащить МФУ в соседний кабинет, например, но МФУ работать не станет, если у пользователя нет прав администратора на МФУ: потом не возникает вопроса, куда именно направить техника заменить картридж и где сейчас находится МФУ или какой-нибудь, например, станок с ЧПУ), б) запретить в порты доступа "втыкать" коммутаторы (1 порт — 1 MAC: либо sticky, либо вообще фиксированнный администратором), чтобы пользователи или ленивые сотрудники, обслуживающие СКС не приносили сетевой хлам и не устраивали анархию в сети (когда речь про сеть, охватывающую огромную территорию и включающую более 2000 узлов, это едва ли не единственный способ хоть как-то организовать учет сетевых устройств; к тому же даёт понимание разницы в уровнях сетевого ядра, уровня распределения (ака агрегации) и уровня доступа в трехуровневой модели даже для самых не одарённых коллег: если неуправляемый коммутатор в порту доступа не работает, то и вопросов лишних не возникает у того, кто его туда поткнул; административные меры тут уже перестают действовать, как показывает практика), в) не допустить ошибочную коммутацию между различными физическими сетями (ещё одна мера выпрямления рук техникам), г) немного снизить вероятность появления посторонних устройств в сети, чтобы принесенный бухгалтером из дома SOHO роутер не начал раздавать адреса устройствам в сети (не самая эффективная мера борьбы с rogue DHCP, но одна из мер).
Резюме: не стоит относиться к этому как к серьезной мере безопасности (для всех вышеперечисленных ситуаций фильтры вроде ACL не единственные инструменты сетевого администратора), просто вспомогательный и удобный инструмент, немного снижающий вероятность выстрелить в ногу. Подобные сценарии предполагают, что любой проблемный узел в сети не должен сказаться на работоспособности других узлов (бывает и так, что на вполне безопасной ПЭВМ сетевой адаптер из-за аппаратного сбоя начинает слать мусор по сети. Это явно не проблема, устранимая на стороне хоста). Тут любые меры применяются не на стороне пользовательских устройств, а на стороне сетевого оборудования (а у приличных современных коммутаторов арсенал очень богат, например, в правильных руках такая сеть не боится компрометации физических адресов).

[nouyana]

Хочется просто поболтать ни о чем или узнать что-то конкретное?
Если последнее, то это конкретное нужно конкретизировать.

Если предположить, что в ядро MS Windows (и/или в какие-то сетевые чипы) зашиты алгоритмы получения доступа к данным на компьютере, то возможно ли, чтобы передачу этих данных не заметил ни один роутер? Другие низкоуровневые протоколы или ещё что-то? На первый взгляд тема похожа на болтовню, но я помню, как первые лица государства высказывали обеспокоенность такой информационной безопасностью.

MAC-адреса и IP-адреса указываются прямо в полях кадра, их можно сформировать любыми.

А как это реализовать на VBA? Какой-нибудь пример можешь дать?

[nouyana]

2. Товарищ из ФСБ упрощал или шутил. Тема информационной безопасности достаточно обширная, сама по себе изоляция сетевых интерфейсов безопасности не обеспечивает.

Упрощал. Разумеется, вопрос безопасности - это комплексный вопрос. Но шуток здесь никаких нет.

В этой статье forbes рассказывается о о возможности отследить любой звонок или SMS за 20 млн. долларов. Я же знаю одного очень обеспеченного человека (у него дорогие увлечения), которому предлагали в Израиле телефон всего за 10 000 долларов, при помощи которого он мог совершить звонок с другого телефона на третий телефон. Кроме того, этому телефону совершенно не требовалась сим-карта - для совершения звонка ему необходима любая сотовая сеть или сеть Wi-Fi! Знаете, почему он не стал его покупать? Потому что в Москве ему предложили нечто похожее всего за $2000.

Не будем также забывать про Эдварда Сноудена и раскрываемую им информацию. Или это тоже, по вашему, шутка?

[alibek]

Ну для начала следует почитать про модель OSI.
Хотя бы для того, чтобы понять принцип абстрагирования уровней друг от друга: оборудованию на втором уровне (коммутаторы) совершенно безразлично, что коммутировать — трафик с порносайтов, банковские транзакции или команду на запуск баллистических ракет. Каждый уровень или протокол занимается только своими задачами и не лезет к соседям, а если все же такая необходимость есть, то для этого используются специальные протоколы (типа ARP).
Вот эта фраза:

Если предположить, что в ядро MS Windows (и/или в какие-то сетевые чипы) зашиты алгоритмы получения доступа к данным на компьютере, то возможно ли, чтобы передачу этих данных не заметил ни один роутер?

показывает что такого понимания совершенно нет.
Роутеру вообще должно быть безразлично, что там передается по сети, его задача — маршрутизировать трафик, а не проверять или контролировать его. Контроль это совершенно другая задача, которая организуется совершенно другими методами — как организационными (регламенты, политики), так и техническими (802.1X, системы анализа, видеонаблюдение).

Я же знаю одного очень обеспеченного человека (у него дорогие увлечения), которому предлагали в Израиле телефон всего за 10 000 долларов, при помощи которого он мог совершить звонок с другого телефона на третий телефон.

Человек мается бездельем.
Безопасность обеспечивается комплексом различных мер, причем (как ни странно) многие из них очень простые и недорогие.

А как это реализовать на VBA? Какой-нибудь пример можешь дать?

А зачем? Почитай примеры использования библиотеки libpcap.
Не уверен, что она позволяет формировать пакеты, но понимание что с ними можно делать она определенно даст.

Вообще у многих людей вообще нет понимания, что такое информация и информационная безопасность.
Они, с одной стороны, искренне верят в некие сверхъестественные способности "хакеров" (например что с помощью хаотичного стука по клавиатуре можно в стандартном диалоге авторизации «взломать» пароль, или с кадра аналоговой камеры SD-разрешения можно с помощью цифрового увеличения и улучшения изображения прочитать мелкий текст на отражении в солнцезащитных очках).
С другой стороны они не понимают, что очень многое из того, что выглядит сверхъестественным, складывается из очень простых вещей.
Поэтому нужны конкретные вопросы.

[nouyana]

Вот эта фраза:

Если предположить, что в ядро MS Windows (и/или в какие-то сетевые чипы) зашиты алгоритмы получения доступа к данным на компьютере, то возможно ли, чтобы передачу этих данных не заметил ни один роутер?

показывает что такого понимания совершенно нет.
Роутеру вообще должно быть безразлично, что там передается по сети, его задача — маршрутизировать трафик, а не проверять или контролировать его.

Понимание наверняка не такое полное, как у вас, я сразу оговорился об этом в первом посте. Итак, в моём понимании:
1. Физический уровень модели OSI описывает:

• тип передающей среды (медный кабель, оптоволокно, радиоэфир и др.),
• тип модуляции сигнала,
• сигнальные уровни логических дискретных состояний (нуля и единицы).

2. По одному и тому же кабелю могут передаваться сигналы разной частоты и модуляции, не мешая друг другу и оставаясь незамеченными
3. ОС Windows, а также чипы для сетевых карт и маршрутизаторов производятся, в основном, в двух государствах:

• США
• Тайвань (непризнанное государство, находящееся под военным протекторатом США)

Вопрос: Возможно ли чтобы ОС Windows по специальной секретной команде передавала сетевой карте пользовательские данные, а сетевая карта по каким-то секретным протоколам физического уровня (и, естественно, надстроенными над ними протоколам более высокого уровня) передаёт данные маршрутизатору, который тоже понимает этот секретный протокол и передаёт всё дальше в сеть?

Человек мается бездельем.

Так и есть. Суть поста была не в этом, а в том, что с вашего телефона могут завтра позвонить в америку, а вы даже не поймёте, как это произошло. Тот телефон мог выходить в интернет или совершать обычные телефонные звонки, используя любую Wi-Fi или GSM сеть. Как это, по вашему, возможно? Где же тот контроль с его организационными и техническими методами, о котором вы говорили и которым, безусловно, занимается любой провайдер?

А как это реализовать на VBA? Какой-нибудь пример можешь дать?

А зачем?

Затем, что VBA доступен в любом офисе, где закрыт доступ в интернет и отрублены USB-порты. А если, например, написать VBA-модуль FTP-клиента, который бы подменял MAC-адрес, это была бы неплохая хакерская штучка на предприятиях, где доступ закрыт по MAC-адресу . А если на предприятие можно протащить сторонние DLL-ки (типа libpcap) - туда можно протащить и вытащить всё что угодно - это уже не интересно.

[alibek]

Возможно ли чтобы ОС Windows по специальной секретной команде передавала сетевой карте пользовательские данные, а сетевая карта по каким-то секретным протоколам физического уровня (и, естественно, надстроенными над ними протоколам более высокого уровня) передаёт данные маршрутизатору, который тоже понимает этот секретный протокол и передаёт всё дальше в сеть?

Слишком ненадежно и утопично.
Да и не нужно никаких секретных команд и секретных протоколов — Windows (и другие ОС) и так передает пользовательские данные наружу.

Тот телефон мог выходить в интернет или совершать обычные телефонные звонки, используя любую Wi-Fi или GSM сеть. Как это, по вашему, возможно?

Это называется SIP и VoIP, если говорить о стандартизованных способах.
Или бесконечное множество самодельных альтернатив.
То есть человек не доверяет операторам «большой тройки», но доверяет неизвестным израильским или китайским умельцам?

Где же тот контроль с его организационными и техническими методами, о котором вы говорили и которым, безусловно, занимается любой провайдер?

Провайдер этим не занимается, ему вообще безразлично, чем занимаются его пользователи, пока они платят деньги и не мешают работе его сети.
Этим занимаются на предприятиях, особенно режимных. И на таких предприятиях все бы закончилось еще на проходной, на которой ему бы сказали при входе положить телефоны в сейф и забрать их при выходе.

Затем, что VBA доступен в любом офисе, где закрыт доступ в интернет и отрублены USB-порты.

VBA это среда прикладного уровня. Она не работает с драйверами устройств, она работает с высокоуровневыми интерфейсами, в лучшем случае на уровне L4 (если использовать WinAPI).
Но в любом офисе можно найти утилиту debug, или создать бинарный файл, который будет делать все нужное.

на предприятиях, где доступ закрыт по MAC-адресу

Если на предприятиях закрывают доступ по MAC-адресу и считают это мерами информационной безопасности, то они ошибаются.
Что-либо ограничивать или разрешать по MAC-адресу вообще глупо, уж лучше использовать IP-адрес.
А использовать следует 801.1X.

[nouyana]

Слишком ненадежно и утопично.

Никто не говорит о надёжности. Данные либо утекли, либо не утекли. Если чип сетевой карты был произведён в России, а не на Тайване - значит не утекли.

Windows (и другие ОС) и так передает пользовательские данные наружу.

Речь идёт не только о "пользовательских данных" в терминологии Microsoft. Речь идёт о гипотетически возможном бесконтрольном трафике на современных скоростях. То есть, в том числе, о возможности удалённо получить доступ к любой файловой системе любого Windows/Apple-компьютера, в который воткнут шнур Ethernet.

Это называется SIP и VoIP

Нет. Я, видимо, неточно объяснил. Он находился в Израиле держал в руках устройство за $10000 (не буду даже называть его телефоном) и протестировал его следующим образом:

• Тест первый. Указал в его настройках: позвнонить с телефона +7-911-555-55-55 (физически находящегося в Санкт-Петербурге) на телефон +35-72-222-22-22 (телефон дочери, которая находилась на Кипре) и поговорил с ней. Вернувшись в Питер он удостоверился, что с его питерского номера сняли деньги за междугородний разговор.
• Тест второй. Здесь, вероятно, действительно какой-то самодельный SIP-протокол. Указал в настройках: звонить анонимно. И безо всяких сим-карт позвонил рядом стоящему продавцу на точно такой же телефон, используя находящиеся рядом зашифрованные Wi-Fi и GSM сети.
• Тест третий. Вышел в интернет используя эти сети.

Провайдер этим не занимается, ему вообще безразлично, чем занимаются его пользователи, пока они платят деньги и не мешают работе его сети.

С учётом вышесказанного, думаю понятно, что провайдерам не безразлично такое использование сетей.

VBA это среда прикладного уровня.

Microsoft Virtual PC, о котором я писал в первом посте - это тоже прикладной уровень (никаких виртуальных минипортов не создаётся). Речь идёт лишь о том, чтобы реализовать это на VBA.

Если на предприятиях закрывают доступ по MAC-адресу и считают это мерами информационной безопасности, то они ошибаются.

Возможно это случается довольно часто.

Что-либо ограничивать или разрешать по MAC-адресу вообще глупо, уж лучше использовать IP-адрес.

Новому MAC-адресу будет выдан новый IP, как это и происходит с моим Microsoft Virtual PC. Если в компании доступ в интернет открыт по белым спискам, то это не поможет. А если доступ закрыт по чёрным спискам (не важно IP или MAC) - то программка на VBA сделает своё дело. Есть идеи, как это реализовать?

[alibek]

Речь идёт о гипотетически возможном бесконтрольном трафике на современных скоростях.

Это сказки.
Теоретически скрытый слой в передаче данных возможен, но он не может обладать высокой пропускной способностью, она будет микроскопической (в лучшем случае килобиты в секунду). Этого может быть достаточно для управления, но никак не для слежения или похищения информации.

То есть, в том числе, о возможности удалённо получить доступ к любой файловой системе любого Windows/Apple-компьютера, в который воткнут шнур Ethernet.

А для этого никакие секретные протоколы вообще не нужны.

протестировал его следующим образом

Описанное не выходит за рамки того, что используется в IP-телефонии.

С учётом вышесказанного, думаю понятно, что провайдерам не безразлично такое использование сетей.

Поверь мне как провайдеру — если абонент оплачивает услуги и не нарушает работу сетей, провайдеру совершенно безразлично, что будет делать абонент.

Microsoft Virtual PC, о котором я писал в первом посте - это тоже прикладной уровень (никаких виртуальных минипортов не создаётся).

VPC не делает никакой магии. Он просто переводит сетевой интерфейс в promiscuous-режим, в исходящих кадрах подставляет MAC-адрес виртуальной машины, а входящие кадры на этот MAC-адрес перенаправляет в виртуальную машину. С точки зрения вышестоящего оборудования (коммутатора) за данным клиентским портом находится двухпортовый хаб, в который включено два хоста (физический ПК и виртуальный ПК). Если возникнет задача как-то ограничить или авторизовать хосты за этим портом, то она может решаться несколькими способами и черные/белые списки MAC-адресов один из самых глупых способов.
Если говорить о нормальном энтерпрайзе, то в первую очередь там применяется управляемое оборудование, поддерживающие ряд функций и возможностей. Например привязку IP-MAC-PORT или поддержку 802.1X. С помощью первого можно минимизировать количество пионеров, которые попытаются подключить в служебную сеть постороннее оборудование. С помощью второго можно организовать полноценную аутентификацию и авторизацию устройства, сведя до минимума несанкционированный доступ.

Новому MAC-адресу будет выдан новый IP, как это и происходит с моим Microsoft Virtual PC

Сетевой администратор определяет как будет работать сеть.
И одинаковое поведение может быть достигнуто большим количеством совершенно разных способов.
Поэтому не стоит приводить в качестве иллюстрации какой-то частный случай, описанный со стороны клиента — он не показателен и по нему нельзя сказать ничего конкретного.
Например новый IP-адрес может и не выдаваться — он выдается только для устройство определенного типа и только в определенном месте.

[nouyana]

Теоретически скрытый слой в передаче данных возможен, но он не может обладать высокой пропускной способностью, она будет микроскопической (в лучшем случае килобиты в секунду).

Откуда такая уверенность? История развития стандарта IEEE 802.3 показывает нам, что за период с 1987 года (802.3e) по 1999 год (802.3y) скорость передачи данных по двум витым парам выросла с 1 до 100 мегабит. История развития протоколов модемной связи аналогична: за период с 1962 года (стандарт Bell 103, позже в 80-ых повторённый в ITU-T v.21) по 1996 год (стандарт ITU-T v.34) скорость передачи данных по одному и тому же телефонному кабелю выросла с 300 бит/сек до 33600 бит/сек. Всё это - результат работы с различными параметрами сигнала при модуляции и демодуляции. Сегодня ты уже не найдёшь роутера, работающего на скорости меньше 100 мегабит - тысячи их . Для доступа к файловой системе и копирования полезной информации достаточно, ИМХО, одного мегабита.
Сейчас ещё вспомнил о статьях, периодически появляющихся в интернете по поводу шпионского ПО, зашитого в жесткие диски. Но, это так, к слову.

Описанное не выходит за рамки того, что используется в IP-телефонии.

Может, я чего-то не понимаю, но если ты при помощи, скажем, Asterisk, зная только мой телефонный номер, можешь позвонить с него и повесить на меня счёт - то, вероятно, мне пора менять телефон на пейджер. Хотя, я уже ничему не удивлюсь. Погуглил немного и нашёл несколько таких постов от людей, с чьих телефонов удалённо звонили: раз, два, три.

черные/белые списки MAC-адресов один из самых глупых способов

Вероятно, так и есть. Но не суди всех по себе. Я одно время работал в очень крупной строительной компании в Питере. Получали госзаказы, зарплаты были выше головы. Компания построила себе четырёхэтажное офисное здание почти в центре города и дала задание своему единственному сисадмину организовать там серверную, включая IP-телефонию и аналоговую АТС. То есть, он должен был выбрать оборудование, всё закупить, проследить, чтобы всё установили правильно, проложили пассивку и т.д. И он, в принципе, при помощи своих друзей из Motorola с этой задачей справился.
К чему я это всё... По-моему, единственная книжка, которую он прочитал по системному администрированию - это "Администрирование Windows-сервер 2003". Он не знал ни Linux, ни Cisco (которое купил в серверную), ни Avaya, ни одного языка программирования (за программированием он ко мне обращался в планово-экономический отдел). Короче, хороших специалистов на все компании не хватит.
Я ещё в налоговой инспекции работал. О безопасности баз данных там - вообще анекдоты писать можно.

VPC не делает никакой магии. Он просто переводит сетевой интерфейс в promiscuous-режим, в исходящих кадрах подставляет MAC-адрес виртуальной машины, а входящие кадры на этот MAC-адрес перенаправляет в виртуальную машину.

Ты знаешь, как реализовать это на VBA?

[alibek]

Откуда такая уверенность?

Потому что у этого "секретного протокола" есть очень существенные ограничения.
Он должен быть скрытым, незаметным.
Он не может использовать неиспользуемые/свободные частоты или какие-то хитрые модуляции, т.к. это сразу же выявится в виде конфликтов/наводок при увеличении скорости передачи.
Он не может использовать для payload неиспользуемое пространство в кадрах, т.к. это легко увидеть на сниффере.
Он не может использовать, например, промежуточные уровни физических сигналов для кодирования, т.к. в этом случае он будет очень сильно зависеть от вендора и качества СКС, а современные сети и оборудование имеют очень большие разбросы параметров.
Он не может использовать что-то нестандартное, т.к. это сразу же вылезет на огромном количестве китайского оборудования, в котором не всегда точно следуют стандарту.
Остается стеганография, какие-нибудь малозначащие биты в кадрах и тому подобное, что оставляет мало места для пропускной способности.