Хакер №024. Спецвыпуск
БИТЫ: схема Инета
demiurg (arkhangel@mail.ru)
Спецвыпуск Xakep, номер #024, стр. 024-004-2
Постепенно ваша сеть разрастается, подключаются новые подъезды, и вы задумываетесь - неплохо бы подключиться к Интернету. Не вопрос! Находите ближайшего провайдера, он кидает до вашего свитча шнур и выделяет вам один IP адрес. Что? Да. Вы не ослышались - именно один, на самом деле больше и не надо... Мы просто подходим к самому интересному.
НЕ ПЛАЧЬ, АЛИСА, ТЫ СТАЛА ВЗРОСЛОЙ
Возникает масса вопросов... Что за IP выделил провайдер, зачем он нужен, почему только один? Вернемся к началу - вспомни, что у каждого компа вашей сети есть IP адреса (у тебя 192.168.0.1 и т.д.), но эти IP существуют только в локальной сети и для Интернета открыты не будут. Провайдер выделяет тебе IP адрес из своей подсети, но что с ними делать?
Как им пользоваться? Проведу небольшую аналогию - допустим, Гоша обиделся на тебя (т.к. тебе Алиса дала, а ему нет). Он показывает пальцем на дверь и отлучает тебя от сети. Думает, что ты пропадешь... Фигушки :). У тебя еще сохранился модем на 14400 + аккаунт в Интернет. Ты звонишь провайдеру - выходишь в Интернет. Получаешь IP, только автоматически, т.к. у провайдера уже стоит специальный сервер (DHCP), который отвечает за раскидон IP адресов юзерам и выполняет всякую черную работу (чтобы двум юзерам один и тот же адрес не кинуть). Та же самая ситуация и с локалкой, только разница в том, что на дайлапе IP у тебя меняется от подключения к подключению, а в локалке провайдер выделил тебе статический IP, который уже никуда не денется.
ОСТАВЬ ОДЕЖДУ ВСЯК СЮДА ВХОДЯЩИЙ
Ну ладно, допустим - разобрались с IP. А что же делать со шнуром, который кинул провайдер? Совать в свитч! Давай решимся на такой эксперимент... (хотя на самом деле это ошибка). Естественно, чтобы защититься от вторжений извне - надо ставить файрволл, причем на каждую локальную машину. Это хорошо, если у тебя в сети 2-3 компа, а если 50? Причем поставить - это слабо сказано, надо создать правила: блокировка одних подсетей, допуск других. Банальный пример: допустим, в соседнем городе Мухосранске живет (эээ... существует) хакер Жора, который очень хочет сломать твою сеть и изнасиловать Гошу. Естественно, вы все (ну, кроме Гоши) хотите блокировать этого варвара. Ты знаешь его IP и просто на роутере прописываешь, что с такого IP пакеты не принимать, а посылать сообщение "Network is Unreachable" или что-то типа этого. Но заваривается интрига: Алиса хочет контактировать с Жориком и специально для него расшаривает папку "C:\My Documents\Alice\бурундуки" - естественно, тебе надо бежать к ней и разрешать подключения с Жоркиного IP адреса, открывать необходимые порты и т.д. А если он у него частенько меняется или Алиса просто не дала Жоржу и они разбежались? Опять бежать к ней? Нет, фигушки! Нам нужна система защиты, которая централизованно будет администрироваться (желательно удаленно) и позволит задавать правила (рулесы) для всех пользователей. Для этого вполне подойдет роутер - компьютер, через который идет трафик из Интернета в локальную сеть и наоборот. На нем уже стоят разные файрволлы, анализаторы трафика и т.д., что позволяет админить сеть легко и непринужденно.
Назад на стр. 024-004-1 Содержание Вперед на стр. 024-004-3
