Pages

Sunday, 1 September 2013

说说本地安全问题


首先定义一下什么是本地安全,所谓的本地安全,在笔者看来是针对互联网安全而言的,互联网也 就是所谓的万维网,internet,最直接的叫法是叫做公网,公网的界限从电信服务商分配给你的公网IP地址开始,如果你没有使用任何代理裸奔上草榴的 话,那么当你进入社区主页登陆的时候,你就会看到屏幕上方有一行“您的IP:xx.xx.xx.xx”的字样,这里显示的就是你的公网IP地址。

从你的公网IP地址往下,一直到你电脑主机和电脑屏幕前或在裸聊,或在撸管,或在看小本本的你,这一部分的安全问题,全部属于本地安全的范畴。

在这里我做一个简单的上网拓扑说明,以校园网为例,其寝室上网的典型拓扑如下图所示:


这 是锐捷校园网系统的接入拓扑图,我们可以很清楚地看到,任意一台宿舍里的电脑,都是通过各种方式(主要是网线)接入到接入层交换机(这种交换机通常是2层 的低档设备,但是可以在数据链路层进行端口管理,管理员要做的第一件事情,就是对一个宿舍楼层的一个24口或者48口的接入交换机做端口管理,连到每个宿 舍的网线都会被编号,几号网线在哪台交换机的第几号口,都会被做成一个对应的Excel表格或者拓扑图,有了这份对应关系,网管就可以在发现哪个端口有问 题的时候哦第一时间找到那根网线,对乃们这些干坏事的淫进行拔猫——

接入层以上,一般就是路由层了,不管路由是在哪个设备上做,你们的电 脑都要分配一个本地IP给你们,锐捷是通过上网客户端来做的,这个本地IP可能是192开头或者172开头的,和你显示在草榴上的公网IP不同,是配置在 你电脑上的,你可以通过在DOS窗口里打ip config的命令看到,具体的IP地址分配规则我就不多说了,因为在这里不起作用,乃们所要知道的,就是有这么一个本地IP地址,然后一个寝室楼的N多 狼们或者浪货们就会有N个本地IP地址,然后网管会在某一个交换机或者路由器里对这么多本地地址做NAT,让乃们这些地址可以通过一个或几个固定的电信分 配的IP上公网;

对在办公室上网的淫棍们其实也是一样的,乃们的电脑同样会有一个本地IP地址,乃们电脑上的网线同样会被编号,同样会被 对应到交换机的物理端口——那个那个谁谁谁,看什么看,就是你,4号交换机的38号口的S13号线,别人都是下载了AV看,只有你是在线看...还东张西 望地,就是你!

网线插入物理端口的示意图:


好 吧,我们继续说下去,上面那个在线看AV的被抓到鸟,肿么会被抓的涅?原因就是这个倒霉蛋的MAC地址在网管的系统里有备份,校园网的网管通过上网客户端 自动采集所有上网电脑的MAC地址(也就是你电脑的硬件地址,那个基本不会有人花功夫去改,非常非常麻烦),办公室的网管一般是直接到你桌面电脑上用小本 本记下来,就像这样:

姓名:操志强 
IP地址:192.168.1.11   
MAC地址:xxxxxxxxxxx 
主机位置:综合部靠墙第三排倒数第二台电脑,左边是垃圾筒,后边是女厕所那个
......以下省略若干字



拿到这些以后呢,网管一般会做一件事情,就是把你的MAC地址和你的IP地址绑定起来,然后在路由器上做一个策略,只让绑定好的MAC和IP上网,这样就算你自己带了笔记本来也上不去,因为MAC不在信任列表里。


做完了这些,网管员只要在网管服务器上或者入侵检测系统上开一个嗅探器——


这些呢,是最最原始的监控手段,其他的比如神马桌面控制系统之类的,说白了就是在你电脑上再装一个木马或者管理客户端,这样就可以更加直接地监控你的电脑桌面活动了,人家甚至可以在服务器上开一个小窗口看着你在那里偷看曹查理的三级片......


说到这里呢,我想已经很清楚了,就是在这种定位到硬件地址和端口级的管控面前,本地网络流量是没有任何秘密可言的,如果你们办公室或者寝室是这么管理上网设备的,那么建议乃们最好是什么坏事都不要干鸟,乃现在没事只能说是伦家没有上安全策略来管乃,不是说伦家管不了乃。

结构说完了,我再说一下常见的管理策略和方法,一般来说,网管采用的安全管理措施有两种:

第 一种是预防式的,比如在交换机里使用Access-list,只让符合要求的流量上网,或者让满足某些条件的流量上不了网,这种措施很常见的就是让你的 QQ能上网,或者让你的QVOD程序完全上不了网(把对应端口干掉就是,这个端口说的是操作系统里针对各种应用的虚拟端口,不是交换机上的物理端口。

第 二种是相对智能一点的,对网络流量进行分析、记录(方便秋后算帐),或者直接进行触发式的切断。在校园网和公司网里,都会有一台或者几台IDS或者IDP 设备,我们也管它们叫做入侵检测设备,这些设备的基本原理,是在主干交换机的某一个端口接入一台入侵检测设备,将所有要监控的流量都镜像到这个端口来,交 给入侵检测设备去分析,比如网管接到上级指示,要在所有流量中查找涉及胡XX的言论,网管可能就会在IDS里设置这样一种策略——只要检测到“胡XX”的 明码,就记录下该IP的地址和通讯时间,这样的话,办公室里那个说胡XX的倒霉蛋就被记录在了系统日志里;


针对一些更高优先级的事件,比如谁的电脑中了病毒神马的,IDP还可以和交换机联动,逻辑关闭掉中毒电脑的那个端口来控制病毒的范围。

我 想说到这里,基本上大家都应该清楚自己面对的是什么样的一个本地网络环境了,如果和笔者之前写的互联网安全的文字比较一下就可以看出来了,本地网络管理的 严密性远远超过互联网管控的严密性,原因就是本地的主机数量始终是有限的,接了多少机器进来就是多少机器,每台机器进来都有记录,你跑都没地方跑去,而且 一般的办公室和校园网都不支持无线接入,就算有个别大型外企支持无线接入,也是让你接入他们内网,用他们给你的帐号登录,所以不用想干神马坏事。


是 不是有点郁闷鸟?是不是有点绝望鸟?其实涅,笔者也说句实话,对上班族来说,公司电脑是让乃们上班做事用的,属于公司资产,乃们上班的时间也是公司资产, 所以公司对此进行严密监控也是合情合理的,平时休息时候吃饭时候看看网页上上Q也就算鸟,别的太出格的事情呢,在公司最好还是别做,拿人钱财替人消灾,遵 守公司规章制度也是自己职业程度的一种表现吧。

对学生狼友们来说,校园网的确是个很蛋疼的东西,但笔者刚才说了质的问题,现在再说说量 ——乃们觉得一个校区会有多少个网管?会有多少台IDP/IDS在运作?说实话,一个大学校区能有一个注册的网络的工程师(就是有证书,可以自己写策略, 自己管理日志记录的那种真正合格的工程师)就不错了,撑死在计算机中心再有几个懂一点皮毛,知道怎么看日志怎么封IP的,但这些人平时也有自己的日常工作 的,不会整天盯着乃们,他们主要也是上面让做什么就做什么,所以涅,乃们只要表太过分,表在校园网论坛里高喊打倒XXX或者童鞋们明天去散步之类的口号, 管理方使劲来抓乃们的可能性还是比较低的,放轻松,适当放松下心情偶尔下个片神马的也就那么回事,关键是保持低调,低调——俺们都是低调俱乐部的成员......



好 吧,那我用最简单的语言把整件事情说一遍——实际情况就是,校园网的所有通过网线上网的主机,还有公司网络里所有的通过网线上网的固定主机,其主机IP地 址均可以与主机MAC地址绑定,而MAC地址是主机无法更改的(是的,我在这里说无法,因为更改的方法过于复杂而在这个环境下不可行),因此找到IP就找 到了MAC地址,找到了MAC就找到了你的主机,也就找到了使用主机的你。

整个本地网络管理和追踪的链条是:

引子:某Cler在办公室或者校园网内做甚“不公不法”之事,然后——

一、IDS/IDP(入侵检测系统)、或者嗅探器发现可疑的关键字、网络行为等,被记入日志,或者被在线发现;
二、网管调出镜像过来的流量记录,找到源IP地址;
三、网管根据IP地址和MAC地址对应表找到发出该包的MAC地址;
四、网管找到MAC地址所属的主机;
五、网管找到主机的主人;
六、主人暴露,被主管叫去喝茶、训斥、要求交出A片、要求潜规则、要求......
七、主人仆街
八、黑暗,以下省略若干字.


关 于MAC地址,这东西之所以危险,是建立在通过它可以找到你主机的基础上的,只有在公司里,或者校园网里,MAC地址才会成为问题,因为只有那种环境下电 脑数量、类型和位置才是固定的,你在家上ADSL的话,你的MAC即便出去了也没关系,因为没人知道那个MAC是你的,你只要换一块网卡,就再也没人可以通过它找到你了。
首 先要说明的是――你”浏览”敏感网页是不会让人追查你的,因为你什么都没说,尤其是如果只是浏览网页连注册用户都不是的话,那除非网警镜像了所有访问该网 页的流量,否则抓不到你,抓到你又如何?你只是因为好奇点进来看看而已,that's it. 但是在这个问题上你需要注意的是,清除你在本地的cookie,只要本地抓不到你的证据,你可以否认一切,更别提你还使用了代理。
关 于你说的VPN逆向追踪,其实是IP逆向追踪的一种,但IP逆向追踪(分主动追踪和反应追踪两种)本身,就是一种效费比很低的行动,主要用在网站类主机对 抗DDOS类攻击上,是不会因为你看了某个网页而用到你身上的,而且这种技术需要很多条件来配合,比如反应追踪必须在攻击还在进行的时候就完成,而主动追 踪需要在受控网络经过的关键路由器上记录数据包,这样才能在反向追踪的时候通过这些数据包反向找到源地址,但这样就要付出存储和CPU的代价(ISP做数 据包记录是法律敏感性很高的事情,同时对ISP的数据处理能力和存储能力也有很高的要求),如果不是价值和敏感性极高的目标周围,没有人会采用这样的措施 来做逆向追踪,更不要提仅仅是追踪你这样一个仅仅浏览,却什么都没说,什么都没干的人了。
IP 逆向追踪还有一个重要弱点就是,它需要太多的合作方,如果你用了一个超出行政管理权范围的代理或者VPN服务器,那么只要追踪方无法拿到服务商保留的数据 包信息,IP逆向追踪就将在这个超出行政管理权的地点中断――所以你的代理哪怕加密弱一点都没关系,但你一定要找个国外的!
如果你要隐藏你的MAC地址,最直接的办法就是在每次开机以后运行超级兔子之类的软件更改你的MAC地址(关机后失效),但在ADSL环境中,这是没有意义的,因为在追踪者的记录里没有你的MAC地址和你自然人的相关信息,只有公司环境才有这种对应关系。
最后我说一下因为敏感信息被追踪的实际可能流程――
前提环境:监控者以一个网站的注册用户身份或者游客身份观察网页上的发言信息,择重要的发起追踪,而且监控者有追踪手段,比如他可以通过网站拿到发言者的IP地址――
一、注册用户A在被监控论坛比如TX上发言,引起了监控者注意,监控者决定找到源地址;
二、监控者以官方身份向ICP索取IP地址,ICP如TX或者XL将发言者的IP提供给了官方监控者;
三、官方监控者通过IP地址区分是哪个电信服务商在提供的服务,然后发现是电信、铁通等中的一个;
四、官方监控者要求服务商也就是ISP查询这个IP地址的一切信息,并且提供物理地址和用户姓名;
五、官方找到了这个人,本地GA破门而入,收缴了电脑,带走了电脑前的使用者;
六、官方在电脑里找到了cookie等证据,使用者暴露;
七、使用者被喝茶,被潜规则,被爆菊花,被劳教,被收缴AV,被要求供出同谋……以下省略若干字
八、我们再也没有看到那个人――
你使用代理和VPN的作用是,在步骤二和三之间制造一个断点,比如:
一、监控者在步骤二里得到的IP地址经查询在国外,比如德国,是某个VPN提供商的地址,监控者要求VPN供应商机房提供帮助,遭到拒绝,追踪至此断掉――
二、 监控者得到的IP地址不在国外,但是是国内某夜总会上网用的路由器的外层出口地址,GA破门而入的时候发现路由器在一个狭窄的机房里,机房左边是个炮房, 机房右边是个女厕所,主机机架边上的柜子里是大量廉价的卫生巾和避孕套――经检查该路由器被人开了后门,有一个端口被用来远程登录,然后用脚本伪装成夜总 会炮房的某台电脑的地址上了公网,然后这个后门被人发布在了CL上,发布的这个用户名已经不可考或者不存在,追踪至此中断――
让你管好自己的Cookie是因为,这样你可以在步骤五和六之间制造一个断点,但问题是你如果到了哪一步,这就是你唯一能做的了,而且证据是可以伪造的――拷贝到你电脑里去就行。
这么说你是不是能够明白?我的意见是你关于MAC和IP逆向追踪的担心在你仅仅是浏览某些公开的”敏感”网页的时候是不需要存在的,you are fine.
修 改MAC地址的方法可以用谷歌查到,很多教程;至于IP逆向追踪――Trust me, there're nothing you can do if they do this to you. And, that's too costly that people like you don't need to worry about it.
负责任地说,你用过3个以上国外代理的话,很难再追查到你了,除非伟大的网警通过技术手段突破了你使用的所有代理,而且所有这些代理还都保持了为你转发的IP包记录并且交给了网警――你才可能因此暴露,但这种概率就太低了。
但是有一点我需要指出的是,如果你是付费的VPN用户,那么你用来付费的信用卡信息会被用来找到你,这个不可不防,因为银行对GA是透明的,而什么海外账户是VPN服务商的,在日积月累下并不难查,那么两边一对,就能定位到相当准确的一批人群头上。
你说的那些被跨省的管理员,可能有几个问题:
第 一、国外H站一般都是盈利性的,那么管理员也是圈内人士,他们在这一行里混的时间长了,肯定会有QQ群之类的东西,CL也有,那东西对网监是绝对透明的, 相当一部分人都是这样暴露的,甚至可以说网警不是不知道他们存在,只是看了很久才去抓他们而已――只要有一个专项行动,网监就可以整合资源,很容易把原先 零散的信息汇集然后建立起逻辑联系,这样就会被抓到;
第 二、H站只要有盈利行为,就会有资金流动,会有广告,这些线下或者准线下的活动很多都是在国内发生的,比如某个用户因为某件事情被抓到然后把网站信息供了 出来,你要知道国内网警不会看到一个国外的H站就去抓――他们怎么知道H站的管理员在哪里?归不归他们管?他们必然是接到了线下的线索立案了才会启动侦 察,如果你是说H站的话,就是这样,线下的leads才是罪魁祸首。
第 三、国外H站有固定的服务器地址,这样就意味着这个地址可以被追踪,用简单的Trace Route命令就可以找到访问这个地址的最后几跳地址,如果网警使用一定的技术手段侵入比如倒数第一跳的服务器,通过嗅探器在管理员活动的时间段里复制一 批数据包,就很容易找到这个管理员的信息(如果他足够大意的话),技术上这是可能的,但我不认为这回事很常见的形态。
单 纯网络上能找到的最多最多就是一个IP地址,也许还有信用卡信息,这是互联网技术的极限了,要找到个体人,必然是依赖线下资源,就我个人的意见来说,我不 认为这些倒霉的管理员是通过纯技术手段追踪到的,要想找到服务器里隐藏的任何文字或者明码信息,如果不是从国内下手的话,都必须依赖攻破本地服务器或者在 物理路径上截包,但前者需要技术手段,后者需要行政管辖权或者更高层的技术手段,为了H站那点破事儿这么干? I don't think so.