Cifrado de tráfico en Direct Connect, Parte 1

Él les dijo: los reyes dominan las naciones, y los benefactores que los poseen son llamados, y tú no eres así: pero cuál de ustedes es mayor, sea el menor y el gobernante como el sirviente. Lx 22: 25,26

La historia

Comencé a pecar en Internet desde 2004, y al principio la LAN local fue una tentación. Más precisamente, un programa llamado DC ++ 0.401, que mágicamente dio acceso a archivos compartidos por otros suscriptores de la misma LAN. Para hacer esto, tenía que conectarse a uno o más nodos de la red de intercambio de archivos, llamados concentradores. Los propios centros fueron mantenidos en sus computadoras por entusiastas locales.

" DC ++ " es el nombre del cliente. El protocolo se llama "Direct Direct Connect". DC hubs. Clientes de DC .

Este era su propio encanto. Aquí está fuera de línea, y ahora dentro, entre personas que han realizado aproximadamente las mismas acciones que usted anteriormente. Increíble verdad?

Pronto quedó claro que, en principio, lo mismo podría hacerse no solo dentro de la red local, sino también a través de Internet ... Comuníquese, haga amigos, jure, negocie, cree sus propios recursos, promueva, mejore, pruebe otros clientes, busque agujeros y vulnerabilidades , participar en espionaje industrial, contactar desarrolladores, etc. etc.


Tubo caliente DC ++ v. 0,401

En general, DC con sus funciones simples de comunicación y uso compartido de archivos ha servido con éxito como la red social de aquellos tiempos. Y el rostro humano al otro lado de la pantalla se veía tan lejos como tú mismo querías verlo.

Pasaron los años. Los centros locales quedaron impresionados y muertos. Bajo la avalancha de Facebook, VKontakte y el torrente DC, se rastrearon hasta menos de quinientos centros públicos en el antiguo protocolo NMDC y diez (¡sic!) En el protocolo A Advanced Advanced Direct Connect.

Inicio

Como los queridos lectores ya saben, todo el tráfico de rusos se conserva por el momento. Darlo en claro no es higiénico, pero eso es lo que hacen los usuarios de Direct Connect.

Entonces, ¿qué se requiere? En primer lugar, cifre la comunicación del cliente DC con el concentrador. En segundo lugar, cifrar la comunicación entre clientes.

Y aquí los problemas comienzan en todos los niveles de esta jerarquía digital simple y tan jerárquica.

Hubs

De repente, no se detectan centros adecuados. En el antiguo protocolo NMDC, no están físicamente presentes. Los ADC, sin embargo, existen desde 2008, pero no cumplen con el clima, porque se han mantenido pequeños. Por lo tanto, dicho recurso tendrá que implementarse independientemente de un centro ADC existente.

Los clientes

Ha habido soporte de software para TLS en clientes DC durante mucho tiempo, pero como no hubo casos de su aplicación, nadie realmente examinó esta sección de configuración tampoco. Pero en vano!

Convertir un centro ADC existente a cifrado es fácil. Genere un certificado autofirmado, aliméntelo al motor, seleccione la "política" TLS.

Pero el hecho es que se establece una conexión segura al concentrador cuando se usa un enlace del formulario adc s : //hub.address.com: port

La configuración de la "política" de TLS consiste en aprobar conexiones normales (es decir, seguir un enlace del formulario adc: //hub.address.com: port) o redirigir a dicho usuario a algún lugar (por ejemplo, a la dirección "correcta" )

tls_private_key="/etc/uhub/babylon.aab21pro.org.key" tls_certificate="/etc/uhub/babylon.aab21pro.org.crt" tls_enable=yes tls_require=yes tls_require_redirect_addr=adcs://babylon.aab21pro.org:412 

Ejemplo de configuración de TLS para uHub

La primera opción deja la posibilidad de conectar a los usuarios con clientes al concentrador que no conocen la versión TLS superior a 1.0 (o no saben cómo), lo que creará problemas ; y el segundo promete una fuerte caída en la asistencia.

*** Conexión a adcs: //babylon.aab21pro.org: 412 ...
*** Error SSL 1: versión del protocolo de alerta tlsv1

Un mensaje de este tipo al intentar conectarse al concentrador ADC muestra un cliente que solo puede TLS v.1.0

Sí, resulta que el hub en este caso actúa como una especie de censor y garante de la posibilidad nominal de conexiones seguras.

Administradores

El antiguo protocolo tiene una falla global: la incapacidad de la red para funcionar como una unidad con el número de concentradores más de uno. Sí, para las redes locales, un gran hub es la norma, pero de hecho un usuario en dos hubs diferentes es dos usuarios completamente diferentes desde todos los puntos de vista posibles (excepto el propio usuario, pero esto no es exacto). Y si logra conectarse al hub más de una vez, entonces comienza el relleno completo.

Por el momento, los administradores y propietarios de grandes centros DC solo están interesados ​​en la cantidad de usuarios en línea y qué se puede hacer al respecto. Los usuarios son comprados y vendidos; no hay cultura de interacción entre administradores y usuarios, no hay comunidad. Si lo desea, no hay moral, junto con la ética y el concepto de la norma, y ​​los problemas que surgen se resuelven de acuerdo con los conceptos. ¿Recuerdas la traducción literal del servidor de palabras? ..

Entonces se obtiene la fragmentación feudal. Es más rentable (¿para quién?) Permitir todo para todos (por ejemplo, usar clientes con vulnerabilidades conocidas que estaban desactualizadas hace 10 años o más) que actuar como garante de algo.

Los usuarios

Lo que los propietarios de los centros han hecho con certeza es que torturaron a los usuarios con spam exigiendo ir a algún lugar o registrarse por algún motivo en lugar de distribuir instrucciones claras en caso de situaciones típicas.

En ese momento, DC tampoco agregó popularidad a la necesidad de reenviar puertos en un enrutador y conocer la "calidad" de su dirección IP. El procedimiento no es difícil, pero hasta el día de hoy causa problemas.

Como resultado, es problemático transmitir información útil al usuario del concentrador dentro del mismo concentrador. ¡No lo leas!

Resumen

Examinamos la teoría y los problemas de traducir un acogedor intercambio de archivos dentro de Direct Connect al uso del cifrado moderno, que es necesario hoy en día. Como puede ver, para esto tuve que señalar las fallas en la interacción entre el administrador del usuario <=> programa del cliente <=> hub <=> y presentarlo nuevamente .

En la segunda parte del artículo, se planea considerar la práctica de seleccionar y configurar un cliente DC para trabajar en un centro ADC.