Adicionar à colecção (s) Adicionar a salvo
  1. Engenharia
  2. Ciência da computação
  3. Redes de computadores

Túneis secretos - Linux Magazine

Propaganda 
Coluna do Kurt
COLUNA
Túneis secretos
Como transferir dados de e para sistemas
Linux sem aparecer no radar.
T
odos nós já estivemos lá: você liga seu computador à rede (com ou sem fio) e ele não funciona.
Depois, você tenta entrar no servidor por SSH
e recebe a mensagem “falha de conexão”. Ao tentar
conectar-se ao seu servidor de email na porta 25 usando
TLS (ou seja, criptografia), você vê apenas o banner do
proxy de email do provedor local, ou recebe outra falha
de conexão. Mas nem tudo está perdido – pelo menos
você consegue navegar na Web. Infelizmente, toda vez
que você digita alguma URL errada, acaba na página
de busca do provedor, e qualquer coisa com conteúdo
questionável, como hacking, é bloqueada.
Neste ponto, você tem duas escolhas: encontrar um
bom livro para ler ou usar um software de VPN para
se conectar a uma máquina remota sem sofrer com os
filtros ou problemas de conexão. Entretanto, alguns
provedores realmente cruéis – ou simplesmente incompetentes – também bloqueiam softwares comuns para
VPN e SSH na tentativa de evitar acesso sem filtros à
Internet por meio de suas redes.
Assim como tentar impedir um gato de entrar na caixa,
quando você tenta evitar que geeks façam algo, provavelmente eles simplesmente vão tentar com mais afinco.
Se você conseguir passar alguma forma de dado para
um sistema remoto (IPSec, SSH, http, mensagens instantâneas, sinais de fumaça), é possível usar esse canal
para transportar qualquer dado. Um provador só consegue bloquear ou filtrar certa quantidade de tráfego
antes de se tornar completamente inutilizável. O truque
é encontrar um protocolo de rede que seja permitido e
não sofra modificações, e que consiga isso com softwares
já existentes que permitam enviar os dados por túnel.
Felizmente, três protocolos de rede básicos – ICMP,
DNS e http – quase sempre são permitidos, assim como
uma grande variedade de outros protocolos, como SSH
e mensagens instantâneas. Com sorte, você conseguirá
usar softwares como SSH com encaminhamento de por16
tas ou capacidades de VPN sobre uma porta permitida,
como 80. E se você tiver azar, o provedor vai forçá-lo a
atravessar seus próprios proxies web e servidores DNS
para acessar a Internet.
Túnel via ICMP
O ICMP é um ótimo protocolo para enviar dados por
túneis, pois quase sempre é permitido (bloqueá-lo causa
problemas em muitos níveis) e consegue transportar um
monte de dados [1]. Um pacote ICMP possui 20 bytes
de dados no cabeçalho (origem, destino etc.) e 8 bytes
de dados do conteúdo (tipo de mensagem, código etc.),
além de uma quantidade variável de outros dados. A quantidade desses outros dados enviados pelo pacote ICMP
geralmente é limitada apenas pelo tamanho máximo
do pacote na rede (em Ethernet e Wi-fi, geralmente são
1.500 bytes). Isso significa que é possível enviar montes
de dados por pacotes ICMP com pouco overhead.
Há algumas opções de softwares para túneis sobre
ICMP, mas a melhor opção é o Ping Tunnel (Ptunel),
pois é o mais atualizado [2]. Instalar o Ptunnel é relativamente simples; há RPMs para a segunda versão mais
recente no repositório Dag.
Para instalar e compilar os fontes, digite:
rpm -Uvm http://dag.wieers.com/rpm/packages/ptunnel/
ptunnel-0.61-1.rf.src.rpm
cd /usr/src/redhat/
rpmbuild -ba ptunnel.spec
Se você desejar a versão mais recente do Ptunnel,
será preciso atualizar o source RPM ou compilá-lo diretamente. Para obter e compilar os fontes:
wget http://www.cs.uit.no/~daniels/PingTunnel/
PingTunnel-0.70.tar.gz
tar -xf PingTunel-0.70.tar.gz
http://www.linuxmagazine.com.br
Insegurança | COLUNA
cd PingTunnel
make
make install
Usar o Ptunnel não é muito mais difícil do que compilálo. No lado servidor (o proxy), basta executar o Ptunnel
com um dispositivo de rede opcional (-c) e uma senha
(-x). No lado cliente, é preciso especificar o endereço do
servidor proxy, a porta local onde escutar e o endereço
e porta remotos onde se deseja conectar. O exemplo a
seguir supõe que um servidor proxy em ptunnel.exemplo.org esteja conectado à Internet pela eth0, com um
proxy Squid no servidor squid.exemplo.org na porta 3128
com senha blabla para manter a segurança da conexão:
Servidor:
./ptunnel -c eth0 -x blabla
Cliente:
./ptunnel -p ptunnel.exemplo.org \
-lp 3128 -da squid.exemplo.org \
-dp 3128 -x blabla
Agora simplesmente configure seu navegador web
para usar como proxy a máquina local na porta 3128,
então o tráfego http será convertido para ICMP e depois
enviado para ptunnel.exemplo.org. Nesse local, ele será
desempacotado e enviado para o servidor proxy squid.
exemplo.org, e então enviado para a Internet. O servidor Squid pode ser executado localmente no mesmo
servidor com o Ptunnel, que permite que se atravesse
qualquer filtragem ou problema da rede do provedor.
Túnel via DNS
Embora não seja tão confiável quanto o ICMP, o DNS
é outro protocolo que pode ser usado para criar túneis
de dados. Alguns provedores redirecionam sistemas não
registrados ou desconhecidos para um gateway de pagamento. Para isso, eles respondem requisições DNS com o
endereço IP do gateway de pagamento. Outros provedores
simplesmente usam um proxy web transparente para interceptar todas as requisições WWW e redirecioná-las para
seu gateway de pagamento (nesse caso, provavelmente é
possível enviar seu tráfego pelo túnel sobre DNS).
O DNS tem várias vantagens sobre o ICMP. Apesar de
bloqueios ao ICMP causarem problemas, eles são possíveis. Entretanto, bloquear o DNS quebra tudo. Apesar de
o Ping Tunnel 0.70 agora suportar a transmissão de dados
pela porta UDP 53, ele não envia realmente pacotes DNS
válidos, então não é possível passar esse tráfego por servidores DNS. Para isso, é preciso ter uma conexão direta com
o servidor proxy. Nesse caso, é possível simplesmente usar
o OpenVPN ou OpenSSH sobre a porta 53.
Linux Magazine #56 | Julho de 2009
Listagem 1: Proxytunnel
01 Host proxytunnel.exemplo.org
02 ProtocolKeepAlives 30
03 ProxyCommand /caminho/do/proxytunnel -p proxy.
cliente.com:8080 -u user -s password -d
proxytunnel.exemplo.org:443
Para um proxy de verdade que encapsule os dados em
pacotes DNS válidos, há o OzymanDNS [3]. Porém,
sem atualização desde a versão inicial, o OzymanDNS
está um tanto desatualizado.
Túnel via http
A última opção é enviar o tráfego por meio de um túnel
http ou https [4]. É bem provável que a rede suporte
conexões https para fora. O https é melhor que o http
porque criptografa o tráfego, então reduz a probabilidade
de modificação dos dados pelo provedor. Assim como
o software de tunelamento ICMP, é possível compilar
o Proxytunnel [5] dos fontes ou baixar um pacote RPM
(fonte ou binário).
Para usar o Proxytunnel, simplesmente execute-o
no servidor como um daemon independente ou por
meio do inetd. No lado cliente, adicione-o como um
ProxyCommand ao cliente OpenSSH (listagem 1).
Como se pode ver, há uma variedade de opções para
enviar dados por túneis, dependendo dos protocolos
disponíveis. Algumas configurações antes do problema
podem economizar bastante trabalho quando você se
vir enjaulado em uma rede problemática, filtrada ou
simplesmente defeituosa. n
Mais informações
[1]Túnel por ICMP: http://www.phrack.org/
issues.html?issue=49&id=6#article
[2]Ping Tunnel:
http://www.cs.uit.no/~daniels/PingTunnel/
[3]Howto OzymanDNS: http://www.dnstunnel.de/
[4]Túnel SSH sobre http(s):
http://dag.wieers.com/howto/ssh-http-tunneling/
[5]Proxytunnel:
http://proxytunnel.sourceforge.net/
Kurt Seifried é consultor de segurança da informação especializado
em redes e Linux desde 1996. Ele frequentemente se pergunta como
a tecnologia funciona em grande escala mas costuma falhar em
pequena escala.
17
Documentos relacionados
Tipos de Servidores
Tipos de Servidores
29 de Junho 2006 - Departamento de Ciência de Computadores
29 de Junho 2006 - Departamento de Ciência de Computadores
Servidor, Proxy e Firewall
Servidor, Proxy e Firewall
Configuração de Proxy
Configuração de Proxy
R= O servidor DNS serve para converter o nome de um hos
R= O servidor DNS serve para converter o nome de um hos
Curso: Bacharelado em Sistemas de Informação Professor(a
Curso: Bacharelado em Sistemas de Informação Professor(a
1 – Quais as duas formas de identificar um hospedeiro
1 – Quais as duas formas de identificar um hospedeiro
rel
rel
CAMADA DE INTERNET Nome e Email
CAMADA DE INTERNET Nome e Email
Wireshark
Wireshark
Protocolo ICMP
Protocolo ICMP
icmp
icmp
ASA/PIX : Gerenciando Pings ICMP e Traceroute
ASA/PIX : Gerenciando Pings ICMP e Traceroute
Índice Introdução Pré-requisitos O que é uma interface sem
Índice Introdução Pré-requisitos O que é uma interface sem
Download
Propaganda