什麼是http暗藏通道?什麼是區域網路安全,系統管理員怎樣才能保障區域網路的安全?
這是一個不斷變化的安全概念,很長的一個時期以來,在區域網路與外界互聯處放置一個防火牆,嚴格控制開放的連接阜,就能在很大程度上掌握安全的主動權,方便的控制網內外用戶所能使用的服務。
比如,在防火牆上僅僅開放80,53兩個連接阜,那麼無論是內部還是外面的惡意人士都將無法使用一些已經證明比較危險的服務。
但要注意一點,防火牆在某種意義上是很愚蠢的,管理員對防火牆的過份依賴以及從而產生的懈怠情緒將不可避免的形成安全上的重大隱患,作為一個證明,"通道"技術就是一個很好的例子,這也是本文要討論的。
那麼什麼是通道呢?這裡所謂的通道,是指一種繞過防火牆連接阜遮閉的通訊方式。
防火牆兩端的資料包封裝在防火牆所允許通過的資料包檔案檔案類型或是連接阜上,然後穿過防火牆與對端通訊,當封裝的資料包到達目的地時,再將資料包還原,並將還原後的資料包交送到相應的服務上。舉例如下:
A 主機系統在防火牆之後,受防火牆保護,防火牆組態的訪問控制原則是只允許80連接阜的資料進出,B主機系統在防火牆之外,是開放的。
現在假設需要從A系統 Telnet到B系統上去,怎麼辦?使用正常的telnet肯定是不可能了,但我們知道可用的只有80連接阜,那麼這個時候使用Httptunnel通道,就是一個好的辦法,思法如下:
在A電腦上起一個tunnel的client端,讓它偵聽本機機的一個不被使用的任意指定連接阜,如 1234,同時將來自1234連接阜上的資料指引到遠端(B機)的80連接阜上(注意,是80連接阜,防火牆允許通過),然後在B機上起一個 server,同樣掛接在80連接阜上,同時指引80連接阜的來自client的轉發到本機機的telnet服務連接阜23,這樣就ok了。
現在在A機上 telnet本機機連接阜1234,根據剛才的設定資料包會被轉發到目標連接阜為80的B機,因為防火牆允許通過80連接阜的資料,因此資料包暢通的穿過防火牆,到達B機。
此時B機在80連接阜偵聽的工作收到來自A的資料包,會將資料包還原,再交還給telnet工作。當資料包需要由B到A返回時,將由80連接阜再回送,同樣可以順利的通過防火牆。
實際上tunnel概念已經產生很久了,而且很有可能讀者使用過類似的技術,比如下面的網址
http://www.http-tunnel.com。<br />
...在線tunnel server,區域網路內的用戶可以使用被防火牆所遮閉的ICQ,E-MAIL,pcanywhere, AIM,MSN, Yahoo,Morpheus,Napster等等諸多軟體。
我們看到,這裡有ICQ,Napster等軟體,相信我們的讀者很多都使用過走proxy的 ICQ,OICQ等等,其實他們的原理是差不多的。