تشفير حركة المرور في الاتصال المباشر ، الجزء 1

قال لهم: الملوك يسيطرون على الأمم ، ويُدعى المستفيدون منهم ، وأنت لا تحب ذلك: لكن أيًا منكما أكبر ، يكون الأقل ، والحاكم كخادم. Lx 22: 25.26

القصة

بدأت الخطيئة على الإنترنت في عام 2004 ، وكانت الشبكة المحلية هي الإغراء في البداية. بتعبير أدق ، برنامج يسمى DC ++ 0.401 ، والذي أعطى بطريقة سحرية الوصول إلى الملفات المشتركة من قبل المشتركين الآخرين في نفس الشبكة المحلية. للقيام بذلك ، كان عليك الاتصال بعقد واحدة أو أكثر من شبكة مشاركة الملفات ، تسمى لوحات الوصل. تم الاحتفاظ بالمراكز نفسها على أجهزة الكمبيوتر الخاصة بهم من قبل المتحمسين المحليين.

" DC ++ " هو اسم العميل. يسمى البروتوكول " D irect Direct Connect". محاور العاصمة . عملاء العاصمة .

كان هذا سحره الخاص. أنت هنا غير متصل بالإنترنت ، والآن في الداخل ، بين الأشخاص الذين قاموا بنفس الإجراءات التي قمت بها سابقًا تقريبًا. حق مدهش؟

سرعان ما أصبح من الواضح أن نفس الشيء يمكن ، من حيث المبدأ ، أن يتم ذلك ليس فقط داخل الشبكة المحلية ، ولكن أيضًا من خلال الإنترنت ... التواصل ، وتكوين صداقات ، وأقسم ، والتفاوض ، وخلق مواردك الخاصة ، والترويج لها ، وتحسينها ، ومحاولة العملاء الآخرين ، والبحث عن الثقوب ونقاط الضعف ، والمشاركة في التجسس الصناعي ، الاتصال المطورين ، الخ الخ


Warm Tube DC ++ v. 0.401

بشكل عام ، عملت العاصمة ، مع وظائف الاتصال وتبادل الملفات البسيطة ، بنجاح كشبكة اجتماعية في تلك الأوقات. وبدا الوجه الإنساني على الجانب الآخر من الشاشة بقدر ما تريد أن تراها بنفسك.

مرت السنوات. تم تفجير مراكز محلية وموت. تحت هجمة Facebook ، فكونتاكتي وسيل دي سي ، ما يصل إلى أقل من خمسمائة محور عام على بروتوكول NMDC القديم وعشرة (كذا!) على بروتوكول A Advanced Advanced Connect Connect تم الزحف إليه.

ابدأ

كما يعلم القراء الأعزاء بالفعل ، فإن كل حركة مرور الروس يتم الحفاظ عليها في الوقت الحالي. جعله واضحًا غير صحي ، لكن هذا ما يفعله مستخدمو Direct Connect.

إذن ما هو المطلوب؟ أولاً ، تشفير اتصال عميل DC مع لوحة الوصل. ثانيا ، لتشفير الاتصالات بين العملاء.

وهنا تبدأ المشاكل على جميع مستويات هذا التسلسل الهرمي الرقمي البسيط والتسلسل الهرمي.

محاور

فجأة ، لم يتم الكشف عن محاور مناسبة. على بروتوكول NMDC القديم ، فهي ليست موجودة فعليًا. ومع ذلك ، فقد كانت ADC موجودة منذ عام 2008 ، ولكنها لا تفعل الطقس ، لأنها ظلت صغيرة. لذلك ، يجب نشر مثل هذا المورد بشكل مستقل عن لوحة وصل ADC موجودة.

الزبائن

كان هناك دعم برمجي لعملاء TLS في DC لفترة طويلة ، ولكن نظرًا لعدم وجود حالات لتطبيقه ، لم يطلع أحد على قسم الإعدادات هذا أيضًا. لكن دون جدوى!

من السهل تحويل لوحة وصل ADC موجودة إلى تشفير. قم بإنشاء شهادة موقعة ذاتيًا ، وقم بتزويدها بالمحرك ، وحدد "سياسة" TLS.

ولكن الحقيقة هي أنه يتم إنشاء اتصال آمن بلوحة الوصل عند استخدام رابط للنموذج adc s : //hub.address.com: port

إعداد "سياسة" TLS هو إما الموافقة على الاتصالات العادية (أي ، اتبع رابط النموذج adc: //hub.address.com: port) ، أو إعادة توجيه مثل هذا المستخدم في مكان ما (على سبيل المثال ، إلى العنوان "الصحيح") )

tls_private_key="/etc/uhub/babylon.aab21pro.org.key" tls_certificate="/etc/uhub/babylon.aab21pro.org.crt" tls_enable=yes tls_require=yes tls_require_redirect_addr=adcs://babylon.aab21pro.org:412 

مثال تكوين TLS لـ uHub

الخيار الأول يترك إمكانية توصيل المستخدمين مع العملاء بلوحة الوصل الذين لا يعرفون إصدار TLS أعلى من 1.0 (أو لا يعرفون كيف) ، مما سيخلق مشاكل ؛ والثاني يعد بانخفاض حاد في الحضور.

*** الاتصال بـ adcs: //babylon.aab21pro.org: 412 ...
*** خطأ SSL 1: إصدار بروتوكول التنبيه tlsv1

تعرض مثل هذه الرسالة عند محاولة الاتصال بلوحة وصل ADC للعميل الذي يمكنه فقط TLS v.1.0

نعم ، اتضح أن المحور في هذه الحالة بمثابة نوع من الرقابة والضامن للاحتمالية الاسمية للاتصالات الآمنة.

المسؤولين

يحتوي البروتوكول القديم على عيب واحد عالمي: عدم قدرة الشبكة على العمل كوحدة مع عدد من لوحات الوصل أكثر من واحدة. نعم ، بالنسبة إلى الشبكات المحلية ، فإن محورًا كبيرًا واحدًا هو المعيار ، لكن في الواقع ، يوجد مستخدم واحد على محورين مختلفين مختلفين تمامًا من جميع وجهات النظر الممكنة (باستثناء المستخدم نفسه ، لكن هذا غير دقيق). وإذا تمكنت من الاتصال بلوحة الوصل أكثر من مرة ، فستبدأ عملية الحشو الكاملة.

في الوقت الحالي ، يهتم المسؤولون ومالكو مراكز DC الكبيرة فقط بعدد المستخدمين عبر الإنترنت وما الذي يمكن فعله حيال ذلك. يتم شراء المستخدمين وبيعهم ؛ لا توجد ثقافة للتفاعل بين المسؤولين والمستخدمين ، لا يوجد مجتمع. إذا كنت ترغب في ذلك ، فليس هناك أخلاق ، إلى جانب الأخلاق ومفهوم القاعدة ، ويتم حل المشكلات الناشئة وفقًا للمفاهيم. هل تتذكر الترجمة الحرفية لخادم الكلمة؟ ..

حتى يتم الحصول على تجزئة الاقطاعية. اتضح أنه أكثر ربحية (لمن؟) للسماح لكل شيء للجميع (على سبيل المثال ، لاستخدام العملاء مع نقاط الضعف المعروفة التي عفا عليها الزمن منذ 10 سنوات أو أكثر) من ضمان أي شيء.

المستخدمين

ما فعله أصحاب المحاور بالتأكيد هو أنهم قاموا بتعذيب المستخدمين بمحتوى غير مرغوب فيه للمطالبة بالذهاب إلى مكان ما أو التسجيل لسبب ما بدلاً من توزيع تعليمات واضحة في حالات المواقف المعتادة.

في ذلك الوقت ، لم تضيف العاصمة شعبية إلى الحاجة إلى إعادة توجيه المنافذ على جهاز التوجيه ومعرفة "جودة" عنوان IP الخاص بها. الإجراء ليس صعبًا ، لكن حتى يومنا هذا يسبب مشاكل.

نتيجة لذلك ، من الصعب نقل معلومات مفيدة إلى مستخدم لوحة الوصل داخل لوحة الوصل نفسها. لا تقرأ!

ملخص

درسنا نظرية ومشاكل ترجمة مشاركة الملفات المريحة داخل Direct Connect لاستخدام التشفير الحديث ، وهو أمر ضروري اليوم. كما ترون ، لهذا اضطررت إلى الإشارة إلى العيوب في التفاعل بين المستخدم <=> برنامج العميل <=> لوحة الوصل <=> المستخدم والتوصل إليه مرة أخرى .

في الجزء الثاني من المقالة ، من المخطط مراعاة الممارسة المتمثلة في اختيار وتكوين عميل DC للعمل على محور ADCs.