Всегда в Сети Понедельник, 18.12.2017, 06:12
Приветствую Вас Гость | RSS
Меню сайта

Или…. Сколько названий приходило в голову пока обдумывалась эта статья … VPN в сетях спутниковой связи… Работа над ошибками по VPN в спутниковых сетях… Spoofing – что за зверь… Последнее название нравилось, но в какой-то момент я понял, что, ни один уважающий себя админ, не будет читать про спуфинг… Долго думал, стоит ли вообще писать, что это такое и решил НАДО… А тем кто Знает, просто, рекомендую пропустить пару абзацев… Итак… IP-спуфинг (от англ. spoof — мистификация) — Вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности. Метод, используемый в некоторых атаках. Состоит в проставлении в поле обратного (source) адреса IP-пакета неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями. Протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения спуфинга — так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга.

ARP-spoofing (ARP-poisoning) — техника сетевой атаки, применяемая преимущественно в Ethernet, но возможная и в других сетях, использующих протокол ARP, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. Относится к числу spoofing-атак.

Стоит дополнить, сетевых протоколов и технологий очень много, поэтому и спуфинг бывает разных видов. Кроме названных, еще можно назвать: - MAC спуфинг - подмена source MAC, позволяет устраивать MAC флуд в локалке и изменить маршрутизацию в сетке, а следовательно, и вывести на какое-то время сеть из работоспособного состояния; - DNS спуфинг - атака на DNS, позволяющая изменить резолвинг определенных адресов, тем самым заблокировав доступ к определенным хостам, или же выдать себя за другой хост.

Я хочу, чтобы Вы сразу поняли, что спуфинг не является чем-то обособленным. Непосредственно программ, направленных только на спуфинг, не так уж много - функция спуфинга является дополнением в системах тестирования безопасности, сканерах, снифферах и прочих сетевых утилитах. А в этой статье мы рассмотриваем применение спуфинга в «мирных целях» в частности для задач, космической связи, чтобы Вы могли иметь представление, какое положительное применение имеет спуфинг в спутниковых сетях доступа в Internet, чем это вызвано и что за собой влечет…
Ну, а заодно, «на какие грабли мы наступаем» пытаясь построить VPN по стандартной схеме в спутниковом канале.
Начнем, как всегда, из далека… Вспомним, что до геостационарной орбиты, а следовательно, и до спутника 36 000-42 000 км (в зависимости от места располоения наземной станции). Время прохождения сигнала в эфире от наземной станции до ЦУС оператора 360-400 мс. Не очень много, но вспомним TCP…

Transmission Control Protocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Интернет, предназначенный для управления передачей данных в сетях и подсетях TCP/IP.
Выполняет функции протокола транспортного уровня модели OSI.
TCP — это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета . В отличие от UDP, гарантирует, что приложение получит данные точно в такой же последовательности, в какой они были отправлены, и без потерь.

Из этого следует, что факт получения каждого отправленного пакета должен быть подтвержден.

Вернемся к нашим задержкам, для простоты 400*2=800 мс. А вот это уже «не хилая» задержка...

Поэтому, в спутниковом канале применяется спуфинг.
Да. Да. Да, тот самый спуфинг, о котором мы говорили как о «все сетевом Зле». В спутниковых сетях он играет весьма важную роль. Спутниковый модем локально отправляет себе квитанции о доставке пакетов, тем самым нивелируя влияние задержки в спутниковом канале.
 
А теперь, ради чего писалась эта статья… К вопросу о туннелировании спутникового тракта…
 
При инкапсуляции данных, проходящих через порт спутникового модема, отключается технология TCP спуффинга, что ощутимо снижает скорость передачи данных через спутниковый тракт, потому что модем ждет подтверждения доставки каждого пакета и только потом шлет следующий.
РЕШЕНИЕ Давайте опять к технологии… В спутниковом системах стандартные TCP/IP пакеты собираются в более крупный пакет. Затем, уплотняются, переводятся в помехозащищенные коды с повышенной избыточностью и только после этого «выплевываются» в небо. Да, надо заметить, что если у оператора функционирует DVB-S2, то только Система знает какой вид модуляции установлен, для этого терминала, в каждый конкретный момент времени (ну, простите, не буду здесь рассказывать, что такое Адаптивная Модуляция). Антенна направленная, всего 0,05 градуса, боковые лепестки «-30 dBi» считать вашу информацию непосредственно с терминала не возможно, в канале взять, то же не получится. Это я к тому, что спутниковый канал полностью ЗАКРЫТ. Шифровать есть смысл только от ЦУС оператора до Вас. ПОТОМУ Если Вам необходимо построить закрытую сеть без выхода в Интрернет, то согласуйте с Оператором «Схему Связи» …
 
Но иногда все же надо построить VPN канал. Причем, не всегда это возможно с помощью Оператора или нет желания оповещать об этом Опреатора по каким либо причинам.
Что делать в этом случае???
Осмелюсь предложить использовать более уязвимые технологии, а точнее UDP протокол.
Построение VPN\UDP весьма приемлемая вещь. Ведь подтверждения доставки пакета нет, как в прочем и алгоритмов защиты информации аналогичных ТСР, следовательно положительный спуфинг на модеме не выключается... А следовательно, скорость в канале не падает.
 
На чем можно построить VPN\UDP???
Ну как вариант, предлагаю Вам обратить свой взор на OpenVPN. Он поддерживает эту функцию.
Одним из недостатков ранней версии была реализация только на Linux.
Сейчас Продукт работает на ОС: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX и Microsoft Windows.
Первичную информацию о OpenVPN можно почитать вот тут >>>
Ну а конкретное решение, простите, сами :)
 
Форма входа

Поиск

Технологии

Copyright MyCorp © 2017Бесплатный хостинг uCoz