Главная » Статьи » Дыры и взлом

Маскируемся или как не платить деньги админу за лишний комп в локалке
Вступление
Что ж, дорогой друг, вот ты и дождался. Вопросы с локальными сетями, членством в них за определенную сумму зеленых становятся все актуальнее в нашей жизни. Лично мне давно надоело платить! И я решил спрятать все свои компы кроме одного. Пусть админ видит только его, а все остальное его не касается. Решив так, я сделал вот что: поставил свой домашний роутер. Испугался? Ничего страшного здесь нет. И денег тоже надо немного. Предположим, что ты не хочешь собирать отдельную машину под эти нужды, тогда (в 99% случаев) тебе нужно сбегать в магазин за еще 1 сетевой карточкой и парой пачкордов. Отличительная черта любого маршрутизатора – это наличие как минимум 2-х сетевых интерфейсов. Только одна проблема стает у нас на пути. Это dhcp-сервера наших провайдеров. В простейшем случае это, конечно же, не проблема, однако если… А об этом я расскажу далее. Поэтому усаживайся поудобнее, бери в руки отвертку и вставляй новую сетевуху в комп. Вставил? Отлично. Теперь у тебя их 2. Что дальше? А дальше настраиваем свою частную локалку. Сначала я опишу поэтапно шаги для любителей Win*, а потом и настоящие ценители *nix\Linux смогут тоже повеселиться!

Итак, Win*

Сначала сделаем вот что. Заходи в свойства Сетевого окружения (Win2k\XP) жми на свойства только что установленной сетевухи, и в свойствах протокола TCP\IP пропиши IP-адрес и маску ручками. Как много свойств придумали Мелкософтовцы! Ужас! Пусть для нашего случая они будут 11.1.1.1(IP) и 255.255.255.0(маска). Только помни одно! Важно чтобы IP-адрес не был схож с IP, выделяемым для твоей локалки админом. Просто может возникнуть много проблем с доступом к сетевым ресурсам. У меня, например, локальная сетка имеет айпишники 10.х.х.х\255.255.255.0. Поэтому, я и выбрал отличный от нашей сетки IP. Далее… Маршрутизатор по умолчанию менять устанавливать не надо, DNS тоже не трогай. А теперь спрячем твою локалку.
Для решения этой задачи под любой версией виндов (желательно, конечно, Win2k\WinXP) существуют 2 очень популярные софтины: WinRoute и WinGate. Не знаю почему, но мне удобнее использовать WinGate, т.к. мне не хочется возиться с настройками клиентов (прописывать прокси всегда было утомительно, тем более, если у тебя много друзей, желающих юзать твой анлим за лишнюю бутылочку пива для тебя ;) ) Так вот, устанавливаем WinGate. Кстати, забыл добавить, что найти его можно по адресу: www.wingate.com. К сожалению софтина платная, но это же не проблема, не так ли? :) Обязательно убедись, что твой вингейт установит NAT сервис. NAT – Network Address Translation или по-русски: Трансляция Сетевых Адресов. Нужна эта примочка для того, чтобы ни один из твоих компов, находящихся за маршрутизатором небыли видны. То есть все соединения с внешним миром из твоей сетки будут не видны админу твоей локалки. Ему будет казаться, что вся работа ведется только с твоего компа. Наивный ;) После установки перезагружайся, а потом запускай GateKeeper (утилита для настройки вингейта, устанавливаемая вместе с ним). Логин Administrator, пароль не вводи и жми ОК. Программка заставит тебя сменить пароль и позволит войти в панель управления твоим прокси. Прежде чем приступить к настройке, скажу, что NAT подключается автоматически и нигде ручками его включать не надо. А теперь поехали ;) Ничего сложного тут нет. Для начла посмотри, что сделал я: отключил свой dhcp-сервер (Правой кнопкой по нему и жми Stop). Также отключил я DNS. Если надо будет, настроишь. А сейчас займемся поддержкой твоих клиентов: Видишь 2-ю строчку сервисов? Winsock Redirector называешься… Она то и нужна для того, чтобы ты не настраивал каждого клиента в отдельности. Просто в свойствах ее жми на Bindings и выставь переключатель напротив: Allow connections coming in on any interface. Дословно: разрешить подключения с любой сетевухи. Все! Теперь твои друзья или твои компы из закрытой домашней сети смогут подключаться к твоему прокси. Далее… Теперь я расскажу немного о самом WinGate’е. Это очень мощная система по управлению доступом в интернет. У нее есть собственный фаервол, который ты сможешь настроить под свои нужды, свой биллинг (подсчет трафика каждого клиента), есть возможность выполнять какие-то задания по расписанию (Scheduler). В закладке Users можно добавлять\удалять пользователей. Там же есть: Assumed Users. Эта фишка поможет тебе не заморачиваться с логинами и паролями для твоих клиентов, просто пропиши там их IP, и пароль при подключении требоваться не будет. Удобно, не правда ли? ;) Где же указать, кому давать, а кому не давать интернет? Загляни на закладку Services. Видишь сколько сервисов? Жмакаешь на свойства каждого-каждого и на вкладке Polices устанавливаешь пользователя Everybody, но внизу переключатель устанавливаешь на: user may be assumed, что не разрешит кому попало бегать через твою прокси.

А теперь поговорим о фаерволе. Я лишь расскажу тебе, где он находится, а уж как его настроить решать только тебе. Находится он на закладке System->Extended Networking. Добавляй и удаляй правила на свой вкус и знания. Вроде бы с настройкой прокси сервера закончили. Жми Save. И перезапусти Сервис вингейта. (Панель управления -> Администрирование -> Службы) Если у тебя Win98\Me просто перезагрузись ;)

Настройка клиентов

Здесь вообще никаких подвохов. Просто установи на машине клиента WinGate Client. Перезагружаешься, запускаешь WinGate Internet Client Applet. Опций там не много. Сам разберешься, не маленький. Но одну важную штуку я тебе расскажу. Все клиенты твоей приватной домашней сети должны видеть твой сервер без напрягов и использовать его по умолчанию. Для клиентов вне роутера, если ты, конечно, хочешь дать им немного инета и подзаработать втайне от прова, придется прописать Wingate Server ручками. Вот собственно и все. Нет, вру, конечно, не все! Мы забыли с тобой подключить клиентов в твоей домашней локалке. Помнишь пачкорд, который ты купил вместе с сетевухой? Пришла пора его использовать. Вставляй один конец в сетевуху, а другой в свитч или хаб, к которому и подключай клиентов. Для автоматизации процесса, загляни в свойства dhcp-сервера. Да-да. Именно в Bindings. Там укажи только сетевуху, смотрящую в закрытую сеть. И настрой этот сервис. Хе-хе. Становишься админом потихонечку. ;) Без косяков, конечно, не обойдется. Даже у меня не все получилось с первого раза, но в конечном итоге ты должен прийти к поставленной цели. На клиентах MAC-адреса узнаются:
• для Win2k\XP: в консоли команда “ipconfig /all” (естественно без кавычек там вводить надо будет)
• для Win98\ME: в консоли введи winipcfg
Разговор по душам

А теперь я открою тебе пару секретов системного администратора. Ловить таких отличников как ты достаточно сложно, но нет ничего невозможного в этом мире! Хочешь знать как? Хорошо. Что такое HTTP знаешь? Так вот, твоему провайдеру достаточно просто проснифать твой трафик и посмотреть, кто к тебе подключается и какие данные передаются. Второй способ просто просканировать тебя на открытые порты. Они тебя с головой выдадут! Так что по возможности закрывай их для всех, кроме действительно нужных тебе клиентов. От второго способа защитились, но что делать с первым? А вот тут уже ничего не поделаешь. Одним из решений остается наш единственный и неповторимый SSL. Надо организовывать туннели и делать еще много всяких интересных и замечательных вещей, о которых я напишу в другой статье. Да… И еще один секретик. Если влом заморачиваться с фаерволом, то можешь просто, например, отправлять соединения к твоему компу на 80 порт куда-нибудь еще. Это если дядя админ подсоединится к тебе по телнету, то он увидит контент какой-нибудь странички.

Happy The End…

Я постарался рассказать тебе о некоторых интересных фишках системного администрирования. Но ужасно сложно что-либо делать, когда у тебя в руках неповоротливая Винда. В следующей статье я расскажу как сделать то же самое, но уже на OS Linux или FreeBSD. Посмотрим… А пока живи и не забывай про клавишу F1. Как очень в тему спросили меня представители Microsoft на одном из своих семинаров по windows2k3 SBS (Small Business Server) Edition: «Скажите, только честно, Вы, знаете о существовании справки в Windows?» Я задаю теперь этот вопрос вам, надеюсь вы ответите на него положительно.

порывшись в своих старых дисках я откопал эту статью может она уже и не актуально с развитием новых технологий

Категория: Дыры и взлом | Добавил: Kuzini (20.Март.2007)
Просмотров: 556 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]