Дискуссия Новая 158 Тред №172761 14 дек 2009 в 19:19 Midland
Ветка: А как же оно тикает? Цитата: Sewer Endemic Позвольте ехидный вопрос... А как быть, если оба компа за NAT-ом сидят и нет возможности хотя бы одному из них постоянный внешний айпи у провайдера получить? ;) Без сервера-посредника, мне кажется, тут обойтись не получится, что для такой ситуации не очень хорошо. Впрочем, МВД, наверное, сможет всё организовать, как надо. *Будет комп с внешним айпи для связи.* Именно так. Если хотя бы один из ендпоинтов имеет внешний IP адрес, то проблем с NATом нет. И внимания это не привлекает. Конечно, адреса такие надо прятать (дабы никто не знал что это за специальный такой адрес) - но это решаеться просто получением большого количества адресов от стандартных провайдеров и ротации таковых (т.е. отличить такие адреса от простых пользователей может только сам провайдер). Цитата: Sewer Endemic А как быть связнику? Он-то скорее всего изнутри какой-нибудь сети лезть будет. А сам шлюз/роутер, за которым та сетка, тоже может содержать в себе неприятные сюрпризы, в том числе он может осуществлять фильтрацию и регистрацию траффика, особенно если это корпоративная сеть и СБ там не забывает про такой какнал утечки информации. Так я же и говорю - зашифровать канал не проблема. Например - генерим свой сертификат от уникального своего CA и просто пользуем SSL с нормальным сайфером. И будет вам щастье. Заодно стандартный SSL внимания особо не привлекает. Проблема в том как сделать такую деятельность незаметной. Это очень непросто. И при серьезных усилиях по обнаружении такой деятельности - крайне затруднительно. Но - можно будет обнаружить факт защищенной связи а не прочитать текст. Цитата: Sewer Endemic Живой пример из собственного опыта - разоблачение злостных "социалистов" с примерами "неправильных" сообщений и последующей показательной поркой оных пред всем коллективом, дабы не повадно было. Правда, меня самого не "запалили", извернулся уж очень хитро. ;) Так что скайп - не всегда хороший способ связи. А вот запихнуть короткое текстовое сообщение в, например, фотографию какую-нибудь отпускную с довольной рожей Шарапова на ней и послать на абсолютно частный е-мыл Жеглова... Да пусть ген.дир. Горбатый хоть обсмотрится, как его подчинённый Володя хорошо в Сочах отдохнул!)))) Ладно, чтой-то я тут наоффтопил, АУ. Вы собственно подтвердили - проблема в том как спрятать сообщение (ваш пример со стеганографией). А если кого ловят на неправильных сообшениях - так SSL надо юзать. А если web сервер не поддерживает HTTPS - ну так поставьте простой VPN server дома или где еще и все дела. И чтобы проблем небыло с конфигурацией местной машины (а то умельцы могут и свой серт подставить для сканирования на gateway) - запускаем виртуальную машинку с флэшки. Заодно предотвращает нежелательные следы в кэше и т.п. +0.15 / 2
АУ

Дискуссия Новая 158

Тред №172761

14 дек 2009 в 19:19 Midland

Цитата: Sewer Endemic
Позвольте ехидный вопрос... А как быть, если оба компа за NAT-ом сидят и нет возможности хотя бы одному из них постоянный внешний айпи у провайдера получить? ;) Без сервера-посредника, мне кажется, тут обойтись не получится, что для такой ситуации не очень хорошо.
Впрочем, МВД, наверное, сможет всё организовать, как надо. Будет комп с внешним айпи для связи.

Именно так. Если хотя бы один из ендпоинтов имеет внешний IP адрес, то проблем с NATом нет. И внимания это не привлекает. Конечно, адреса такие надо прятать (дабы никто не знал что это за специальный такой адрес) - но это решаеться просто получением большого количества адресов от стандартных провайдеров и ротации таковых (т.е. отличить такие адреса от простых пользователей может только сам провайдер).

Цитата: Sewer Endemic
А как быть связнику? Он-то скорее всего изнутри какой-нибудь сети лезть будет. А сам шлюз/роутер, за которым та сетка, тоже может содержать в себе неприятные сюрпризы, в том числе он может осуществлять фильтрацию и регистрацию траффика, особенно если это корпоративная сеть и СБ там не забывает про такой какнал утечки информации.

Так я же и говорю - зашифровать канал не проблема. Например - генерим свой сертификат от уникального своего CA и просто пользуем SSL с нормальным сайфером. И будет вам щастье. Заодно стандартный SSL внимания особо не привлекает.

Проблема в том как сделать такую деятельность незаметной. Это очень непросто. И при серьезных усилиях по обнаружении такой деятельности - крайне затруднительно. Но - можно будет обнаружить факт защищенной связи а не прочитать текст.

Цитата: Sewer Endemic
Живой пример из собственного опыта - разоблачение злостных "социалистов" с примерами "неправильных" сообщений и последующей показательной поркой оных пред всем коллективом, дабы не повадно было. Правда, меня самого не "запалили", извернулся уж очень хитро. ;) Так что скайп - не всегда хороший способ связи. А вот запихнуть короткое текстовое сообщение в, например, фотографию какую-нибудь отпускную с довольной рожей Шарапова на ней и послать на абсолютно частный е-мыл Жеглова... Да пусть ген.дир. Горбатый хоть обсмотрится, как его подчинённый Володя хорошо в Сочах отдохнул!))))
Ладно, чтой-то я тут наоффтопил, АУ.

Вы собственно подтвердили - проблема в том как спрятать сообщение (ваш пример со стеганографией). А если кого ловят на неправильных сообшениях - так SSL надо юзать. А если web сервер не поддерживает HTTPS - ну так поставьте простой VPN server дома или где еще и все дела.

И чтобы проблем небыло с конфигурацией местной машины (а то умельцы могут и свой серт подставить для сканирования на gateway) - запускаем виртуальную машинку с флэшки. Заодно предотвращает нежелательные следы в кэше и т.п.

+0.15 / 2

АУ

Предыдущая дискуссия:

<< Тред №172760

Следующая дискуссия:

Тред №172762 >>

ОТВЕТЫ (1)

	Sewer Endemic ( Слушатель )
	15 дек 2009 в 12:15

Цитата: Midland от 14.12.2009 19:19:34
Именно так. Если хотя бы один из ендпоинтов имеет внешний IP адрес, то проблем с NATом нет. И внимания это не привлекает. Конечно, адреса такие надо прятать (дабы никто не знал что это за специальный такой адрес) - но это решаеться просто получением большого количества адресов от стандартных провайдеров и ротации таковых (т.е. отличить такие адреса от простых пользователей может только сам провайдер).

Так я же и говорю - зашифровать канал не проблема. Например - генерим свой сертификат от уникального своего CA и просто пользуем SSL с нормальным сайфером. И будет вам щастье. Заодно стандартный SSL внимания особо не привлекает.

Проблема в том как сделать такую деятельность незаметной. Это очень непросто. И при серьезных усилиях по обнаружении такой деятельности - крайне затруднительно. Но - можно будет обнаружить факт защищенной связи а не прочитать текст.

Вы собственно подтвердили - проблема в том как спрятать сообщение (ваш пример со стеганографией). А если кого ловят на неправильных сообшениях - так SSL надо юзать. А если web сервер не поддерживает HTTPS - ну так поставьте простой VPN server дома или где еще и все дела.

И чтобы проблем небыло с конфигурацией местной машины (а то умельцы могут и свой серт подставить для сканирования на gateway) - запускаем виртуальную машинку с флэшки. Заодно предотвращает нежелательные следы в кэше и т.п.

Цитата: Midland от 14.12.2009 19:19:34

Накололись у нас именно с сертификатами, весь траффик на гейте прекрасно дешифровался и регистрировался. Кто и как потом эти авгиевы конюшни разгребал - не знаю, но факт, что разгребали. Я всё-таки именно про "скрыть сам факт передачи". Опять-таки из своего упрямства и на спор с админаим отправлял некий условный _подписанный_ файл внутри как раз фотографий. Обычным е-мэйлом. "Судья" этого спора распаковал файлик и намылил его одному из админов, не раскрывая, как именно он его получил. Лица были изрядно растерянные. Подмигивающий

Другое дело, что jpeg изрядно осложняет задачу и большой объем таким способом передать затруднительно...

Кстати, на счёт аналоговой линии... Можно установить соединение модем-модем (или вообще воспользоваться dial-up доступом в и-нет), прокинуть через этот канал VPN и что-нибудь передать. Правда, опять есть препятствия - скорость передачи, как-никак некоторые навыки и знания у передающего должны присутствовать и не везде можно вот так просто взять и подключить модем к линии. В общем, с точки зрения "позвонил из случайно попавшегося на пути таксофона" эта идея с шумом весьма неплоха.

+0.00 / 0

АУ