Il leur a dit: les rois dominent les nations, et les bienfaiteurs qui les possèdent sont appelés, et vous ne l'êtes pas; mais lequel de vous est le plus grand, soyez comme le moindre, et le souverain comme le serviteur. Lx 22: 25.26
L'histoire
J'ai commencé à pécher sur Internet en 2004, et le réseau local a d'abord été la tentation. Plus précisément, un programme appelé DC ++ 0.401, qui donnait comme par magie l'accès à des fichiers partagés par d'autres abonnés du même LAN. Pour ce faire, vous deviez vous connecter à un ou plusieurs nœuds du réseau de partage de fichiers, appelés hubs. Les hubs eux-mêmes étaient conservés sur leurs ordinateurs par des passionnés locaux.
" DC ++ " est le nom du client. Le protocole est appelé " D irect Direct Connect". Concentrateurs DC . Clients DC .
C'était son propre charme. Ici, vous êtes hors ligne, et maintenant à l'intérieur, parmi les personnes qui ont effectué environ les mêmes actions que vous précédemment. Incroyable non?
Il est vite devenu clair que la même chose pouvait, en principe, se faire non seulement au sein du réseau local, mais aussi via Internet ... Communiquer, se faire des amis, jurer, négocier, créer vos propres ressources, les promouvoir, s'améliorer, essayer d'autres clients, rechercher des trous et des vulnérabilités , s'engager dans l'espionnage industriel, contacter les développeurs, etc. etc.
Tube chaud DC ++ v. 0,401En général, DC avec ses fonctions simples de communication et de partage de fichiers a servi avec succès de réseau social à cette époque. Et le visage humain de l'autre côté de l'écran semblait aussi loin que vous vouliez le voir.
Des années ont passé. Les centres locaux ont été emportés et morts. Sous l'assaut de Facebook, VKontakte et le torrent DC, jusqu'à moins de cinq cents concentrateurs publics sur l'ancien protocole NMDC et
dix (sic!) Sur le protocole
A Advanced Advanced Direct Connect ont rampé.
Commencer
Comme nos chers lecteurs le savent déjà, tout le trafic des Russes est conservé pour le moment. Le donner en clair n'est pas hygiénique, mais c'est ce que font les utilisateurs de Direct Connect.
Alors qu'est-ce qui est requis? Tout d'abord, cryptez la communication du client DC avec le concentrateur. Deuxièmement, pour crypter la communication entre les clients.
Et ici, les problèmes commencent à tous les niveaux de cette hiérarchie numérique simple et donc hiérarchique.
Hubs
Soudain, aucun hub approprié n'est détecté. Sur l'ancien protocole NMDC, ils ne sont pas physiquement présents. Cependant, les ADC existent depuis 2008, mais ils ne font pas le temps, car ils sont restés petits. Par conséquent, une telle ressource devra être déployée indépendamment d'un
concentrateur ADC existant.
Les clients
Il existe
un support logiciel pour TLS dans les clients DC depuis longtemps, mais comme il n'y a eu aucun cas d'application, personne n'a vraiment examiné cette section des paramètres. Mais en vain!
La conversion d'un concentrateur ADC existant en cryptage est facile. Générez un certificat auto-signé, alimentez-le dans le moteur, sélectionnez la «politique» TLS.
Mais le fait est qu'une connexion sécurisée au hub est établie lors de l'utilisation d'un lien de la forme adc
s : //hub.address.com: port
La configuration de la «politique» TLS consiste à approuver les connexions normales (c'est-à-dire à suivre un lien du formulaire adc: //hub.address.com: port) ou à rediriger un tel utilisateur quelque part (par exemple, vers l'adresse «correcte» )
tls_private_key="/etc/uhub/babylon.aab21pro.org.key" tls_certificate="/etc/uhub/babylon.aab21pro.org.crt" tls_enable=yes tls_require=yes tls_require_redirect_addr=adcs://babylon.aab21pro.org:412
Exemple de configuration TLS pour uHubLa première option laisse la possibilité de connecter des utilisateurs avec des clients au hub qui ne connaissent pas la version TLS supérieure à 1.0 (ou ne savent pas comment), ce qui créera des
problèmes ; et le second promet une forte baisse de fréquentation.
*** Connexion aux adcs: //babylon.aab21pro.org: 412 ...
*** Erreur SSL 1: version du protocole d'alerte tlsv1
Un tel message lorsque vous essayez de vous connecter au concentrateur ADC affiche un client qui ne peut que TLS v.1.0Oui, il s'avère que le concentrateur agit dans ce cas comme une sorte de censure et garant de la possibilité nominale de connexions sûres.
Administrateurs
L'ancien protocole a un défaut global: l'incapacité du réseau à fonctionner comme une unité avec le nombre de concentrateurs plus d'un. Oui, pour les réseaux locaux, un grand concentrateur est la norme, mais de facto un utilisateur sur deux concentrateurs différents est deux utilisateurs complètement différents de tous les points de vue possibles (à l'exception de l'utilisateur lui-même, mais ce n'est pas exact).
Et si vous parvenez à vous connecter au concentrateur plus d'une fois, le remplissage complet commence.Pour le moment, les administrateurs et les propriétaires de grands concentrateurs DC ne sont intéressés que par le nombre d'utilisateurs en ligne et ce qui peut être fait à ce sujet. Les utilisateurs sont achetés et vendus; il n'y a pas de culture d'interaction entre administrateurs et utilisateurs, il n'y a pas de communauté. Si vous voulez, il n'y a pas de morale, avec elle l'éthique et le concept de norme, et les problèmes qui se posent sont résolus selon les concepts. Vous souvenez-vous de la traduction littérale du mot serveur? ..
On obtient ainsi une fragmentation féodale. Il est plus rentable (pour qui?) De tout permettre à tout le monde (par exemple, d'utiliser des clients avec des
vulnérabilités connues qui étaient obsolètes il y a 10 ans ou plus) que d'agir en tant que garant de quoi que ce soit.
Les utilisateurs
Ce que les propriétaires des hubs ont fait avec certitude, c'est qu'ils ont torturé les utilisateurs avec du spam exigeant d'aller quelque part ou de s'enregistrer pour une raison quelconque au lieu de distribuer des instructions claires en cas de situations typiques.
À l'époque, DC n'a pas ajouté de popularité non plus à la nécessité de rediriger les ports sur un routeur et de connaître la «qualité» de son adresse IP. La procédure n'est pas difficile, mais à ce jour pose des problèmes.
Par conséquent, il est problématique de transmettre des informations utiles à l'utilisateur du concentrateur dans le concentrateur lui-même. Ne lisez pas!
Résumé
Nous avons examiné la théorie et les problèmes de la traduction d'un partage de fichiers confortable dans Direct Connect à l'utilisation d'un cryptage moderne, qui est nécessaire aujourd'hui. Comme vous pouvez le voir, pour cela, j'ai dû souligner les failles dans l'interaction entre l'administrateur <=> du programme client <=> concentrateur <=> utilisateur
et le refaire .
Dans la
deuxième partie de l' article, il est prévu de considérer la pratique de sélection et de configuration d'un client DC pour travailler sur un concentrateur ADC.