Блог компании DinoHost.ru

Могут ли облака повлиять на хостинг критически важных сервисов? Ответ на этот вопрос решили найти специалисты Neverfail, занимающиеся решением проблем устойчивости систем компьютеров к воздействию извне и дальнейшим восстановлением их полноценных функций.

А возник этот вопрос в связи с недавним сбоем всемирно известного сайта Amazon. Изначально отключение сервиса связывали с ударом молнии, пришедшимся на дата-центр. А после сказали, что причиной случившегося стал электротрансформатор.

В итоге выхода из строя Amazon, широко предлагающего облачные сервисы, многие сайты отправились в оффлайн. А этого случиться не должно было. По крайней мере, именно так считали пользователи. Ведь облако состоит из множества машин. Падение облака в который раз доказало, что хранить все яйца в одной корзине просто глупо. То есть компании не должны хранить все данные на машинах только одного провайдера. И только в этом случае они могут быть уверены в устойчивости своих систем.

Эксперты же видят решение данной проблемы в том, что в ближайшем будущем большинство фирм будет обязано запускать сервисы локально, а возможности облаков будут использовать лишь для аварийного восстановления системы.

Также специалисты Neverfail утверждают, что связь слаба сегодня не по причине несовершенства аппаратного обеспечения, а из-за ошибок конфигурации. Ошибки виртуальных машин в выборе правильной конфигурации оказывают на работу всех систем «эффект волны». Другими словами, Neverfail видит решение проблемы не в использовании более сложных инструментов, контролирующих работу аппаратной части, а всего лишь в текущем мониторинге приложений.

В будущем, предполагают эксперты, сисадминам придется автоматизировать львиную долю задач, чтобы успевать контролировать все увеличивающееся и увеличивающееся количество машин, и виртуальных, и физических. Только в этом случае будет возможно свести к минимуму все потенциальные ошибки конфигурации.

По предположению директора Neverfail г-на Фоллса, самовосстанавливающееся облако появится не ранее, чем через 5 лет. И это при условии, что из года в год будет улучшаться конфигурация, мониторинг приложений и общая завершенность развертывания облаков. Недавние события, произошедшие с Amazon, доказали, что компаниям не придется рассчитывать на безопасность, если они разместят свои приложения в облаке попросту наряду с массой других. И никакая реклама тут не поможет.

Другими словами, Фоллс призывает разумных руководителей, заинтересованных в развитии компаний, в срочном порядке заняться разработкой хорошо продуманного и реального программного обеспечения для предоставления облачного сервиса. А не возлагать пустые надежды на то, что рекламная шумиха, поднятая вокруг облаков, поможет компаниям и в дальнейшем продолжать работу.

Недавно в Facebook была снова обнаружена атака вредоносного ПО. Через чат этого социального ресурса многим его пользователям были отправлены сообщения следующей тематики: “Посмотри, это твой бывший /бывшая?”, “Господи, глянь какой милый”.

Те пользователи, кто перешел по предложенной ссылке, оказались на старой как мир «банановой кожуре» - на их машины началась загрузка вредоносного файла, замаскированного под .jpg. То есть пользователь не мог прочесть расширение файла, а лишь видел иконку с изображением в jpg-формате. Те, кто оказался более внимателен, обратили внимание на несоответствие иконки файла его расширению. Однако таких оказалось лишь единицы. Что же делали остальные?

Естественно, открывали файл после загрузки, тем самым давая зеленый свет заражению своего «железа». Но основная угроза приема такого «подарочка» состояла в том, что опасный файл распространялся по всем друзьям жертвы-пользователя Facebook.

Загруженный на пользовательский ПК файл с вредоносным ПО в дальнейшем хранится и исполняется в папке TEMP OC Windows. При этом пользователь во время действия вируса совершенно не замечает вреда, нанесенного его компьютеру. А при открытии картинки, под которую замаскирован вредоносный файл, пользователь видит сообщение, в котором указывается причина невозможности открыть картинку.

В это время пользователь решает, что файл поврежден, и отправляет его в корзину. Пока мы отправляем файл в корзину, на компьютере в фоновом режиме устанавливается вирус. Эксперты пока не смогли определить происхождение программы и хостинг. Хакеры уже замели следы. Но ясно одно: для своих злодеяний они использовали совершенно легальный хостинг для временного размещения файлов. На данный момент известно только имя загрузчика файла - Trojan.Generic.KD.315917.

Итак, как же защитить свой компьютер от подобных действий злоумышленников? Прежде всего, необходимо неуклонно следовать элементарным правилам информационной безопасности. То есть:

•    Не открывать ссылки, присланные вам неизвестными пользователями. И даже сообщение от друга но с сомнительным содержанием не гарантирует, что его прислал именно он.
•    Если уж очень хочется открыть присланную вам ссылку, то воспользуйтесь ее коротким вариантом, чтобы установить исходный ресурс. Укоротить ссылку можно с помощью добавления в конце конструкции “bit.ly+”. Причем ссылку нужно не открывать, а скопировать в строку браузера с уже добавленной конструкцией.
•    Обязательно включите на вашей ОС функцию, отображающую расширения файлов.
•    Своевременно обновляйте все системы и программы на вашем ПК, а также уделите большое внимание применению комплексного решения по обеспечению безопасности. Такой подход поможет вам защитить свою машину от вредоносного ПО, которое распространяется в виде спама и методом попутной загрузки - drive-by-downloads.

•    Крупнейшие BitTorrent-трекеры - tracker2.postman.i2p и exotrack.i2p;
•    Регулярно обновляемый индекс eepsite, отображающий информацию о доступности сервисов, - inproxy.tino.i2p/status.php;
•    redzara.i2p
•    Сервис для взлома хешей (MD5, LM, NTLM, MYSQLSHA1, SHA1 и так далее) - hashparty.i2p.

Как установить клиент? Клиент I2P написан на Java, поэтому будет работать практически на любой ОС с наличием в системе Java-машины. К дистрибутиву клиента добавлен удобный установочный файл, который установит клиент автоматически и практически без пользовательского участия.

После того как установка клиента окончена, необходимо перейти в каталог с приложением и открыть его демон. Управлять клиентом можно через веб-оболочку, доступную по адресу 127.0.0.1:7657/index.jsp. Небольшое уточнение: сразу в настройках HTTP-прокси браузера укажите 127.0.0.1:4444, чтобы в дальнейшем вы могли посещать ресурсы I2P и внешние ресурсы сети.

Хостинг веб-сайта на анонимной основе

Система I2P предназначена для создания условий для полностью анонимного хостинга. Поэтому мы и начнем с него. Размещенный внутри I2P сайт называется eepsite. Широкой общественности в сети этот сайт доступен не будет. Однако на него всегда смогут зайти пользователи I2P, а при необходимости они даже смогут сделать с него зеркало и разместить в сети. Но теоретически выявить IP-адрес сайта выявить будет крайне сложно.

Как разместить сайт в сети анонимно: пошаговая инструкция

Открывая адрес 127.0.0.1:7658, вы наткнетесь на сайт-заглушку. Именно эту заготовку для создания eepsite мы и будем использовать. Для этого нам потребуется заменить или отредактировать файлы в ~/.i2p/eepsite/docroot/ (Linux) и %APPDATA%\I2P\eepsite\docroot\ (Windows). Мы указали месторасположение обычной папки для веб-демона Jetty, который устанавливается вместе с I2P. После такой замены этот демон принимает подключения на 7658 порт. Однако сейчас мы создаем просто просто локальный сайт. Для открытия к нему доступа интернет-пользователем в сети I2P нужно еще создать отдельный туннель.

Для создания туннеля мы имеем заготовку, которой можем воспользоваться, зайдя по адресу 127.0.0.1:7657/i2ptunnel и открыв раздел “Серверные I2P-туннели”. Под надписью “I2P webserver” хранится как раз то, что нам нужно. Далее открываем настройки туннеля. Обратите внимание на параметр “Локальный адрес назначения” (local destination), значение которого “F94tTd-vSO7C0v~4wudVsaYV[.. вырезано…]AAAA”. Это и является ключом в Base64. Именно его и использует система для адресации внутри I2P-сети. Другими словами, эта длиннющая строка в данной системе заменяет IP-адрес. Чтобы запомнить этот ключ, так как он вам еще понадобится, скопируйте его куда-нибудь. Далее переведем ключ в читаемый формат Base32 посредством Python-скрипта. В качестве ключа указываем оригинальный идентификатор, а на выходе получаем ключ следующего содержания  “zeky7b4hp3hscdwovgb2vtdbvltsvpf24ushype5uoigu42p3v5q.b32.i2p”. Если бы во время всех описанных выше действий туннель был не отключен, а запущен, то к нему через этот адрес могли бы подключиться другие пользователи. Однако перед активацией туннеля нужно обеспечить возможность обращаться к сайту по домену.

В I2P нет системы DNS, но есть аналоги. Поэтому для нашего eepsite мы регистрируем следующее доменное имя - something.i2p. Но прежде нужно проверить, не используется ли этот домен кем-то еще. Делаем это через специальный сервис 127.0.0.1:7657/susidns/addressbook.jsp?book=router&filter=none. Мы убедились, что придуманный нами домен уникален. Теперь перейдем к настройкам туннеля и заменим в них значение “mysite.i2p” выбранным доменным именем. Не забудьте также здесь включить сервис «Автозапуск», чтобы сервис и I2P стартовали автоматически одновременно.

На этом этапе завершается минимальная настройка. Теперь можно включить туннель. Для чего заходим в админку и нажимаем кнопку «Старт» для нашего eepsite. Если все сделано правильно, то звездочка, отражающая текущий статус процесса, расположенная в строке «Состояние», сначала станет желтой, а потом зеленой. А при переходе на главную админпанели, в категории «Локальные туннели», расположенной слева, появится новая запись с именем нашего eepsite. Все, анонимный хостинг вы запустили. Для проверки его состояния поделитесь с кем-то ключом в формате Base 32, и у этого человека без проблем в браузере откроется ваш сайт.

Далее следует довести до совершенства доменное имя. Сам домен не забудьте добавить в собственную адресную книгу посредством веб-интерфейса 127.0.0.1:7657/susidns/addressbook.jsp?book=master. Далее обратитесь к сайту с локального компьютера через домен, чтобы убедиться в его работоспособности.

Затем информацию о созданном нами сайте заносим в распределенные адресные хранилища типа stats.i2p. Открыв этот ресурс, находите форму для добавления новой записи и указываете доменное имя и локальный арес назначения. Жмем на кнопку “Submit”. Таким образом мы позволим многим клиентам, периодически обновляющим свои адресные книги, получить данные о нашем сайте. Другими словами, перед вами аналог DNS-сервиса, пусть и тормозной. Юзеры могут обратиться к нему и через ключ в формате Base 32, и по ссылке  stats.i2p/cgi-bin/jump.cgi?a=xa31337xa.i2p. Если созданный вами сайт представляет интерес для общественности, то дополнительно о нем следует заявить на официальном форуме forum.i2p и добавить в wiki ugha.i2p/eepsiteIndex.

Вот и все, а мы с вами подняли сервер, транслирующий сайт, который крайне сложно отследить в сети, а доступ к нему ограничить практически невозможно. И последнее: для создания такого сайта вовсе не обязательно размещать сам ресурс на локальном компьютере. Он вполне будет функционировать, если расположится в локальной сети и даже в инете. Ведь вместо стандартного созданного нами туннеля к 127.0.0.1:80 мы можем прорубить его к любому IP-адресу.

Как разместить сайт в сети полностью анонимно? На сегодняшний момент самым технологичным решением в этом плане, обеспечивающим возможность анонимного хостинга, является технология I2P. Именно эта технология практически не позволяет определить, где на самом деле находится сервер с файлами.

Что собой представляет технология I2P? Эту технологию оптимальнее всего воспринимать как работающий сверх обычного протокола IP дополнительный сетевой уровень, предоставляющий возможности для анонимной передачи данных. Безопасная передача данных в I2P осуществляется посредством использования различных видов криптографии и многочисленных pear-to-pear туннелей. Последние, кстати, и обеспечивают отказоустойчивость и анонимность системы. Технологию I2P используют намного реже более известного аналога Tor, поэтому далее мы сравним два этих решения.

И система Tor, и система I2P для полной анонимности данных, передаваемых через них, используют многоуровневую криптографию. Однако у них есть некоторые различия. Например, во время работы Tor система больше сконцентрирована на сохранении клиента во время серфинга в сети инкогнито. А вот система I2P направлена на построение анонимной сети, которая объединит подключившихся к ней пользователей. Безусловно, в этой системе также есть возможность анонимного серфинга, однако главное предназначение данной системы – анонимный хостинг серверов.

Прежде всего, речь идет о размещении в сети веб-сайтов, на языке I2P называющихся eepsites. Однако система I2P работает намного надежнее, быстрее и устойчивее попыток, реализованных в Tor.

Технология I2P не подразумевает наличие привычных DNS или центральных серверов. Однако здесь применяется распределенная хеш-таблица DHT (Distributed Hash Table) на базе Kademlia. Это является гарантией устранения серьезной точки отказа системы. Кроме того, принцип I2P базируется на пиринговой технологии для обмена информацией в роутинге. Поэтому перекрыть доступ файерволом к главной директории сервисов I2P невозможно. В I2P пользователи получают информацию друг о друге с помощью системы NetDB. Другими словами, каждый участник такой анонимной сети – своеобразный роутер, через которого проходит транзитный трафик. Другими словами, в данной системе особой разницы между сервером и обычным клиентом нет.

Адресация в I2P

Адресация в I2P осуществляются следующим образом: вместо IP используются специальный криптографический идентификатор, обозначающий и роутеры, и конечные сервисы.

Понятно, что такой идентификатор не очень удобен, точнее, совсем не удобен. Мало того, он не поддерживает некоторые протоколы, в том числе и HTTP. Именно поэтому в I2P используется альтернативный путь “Base 32 Names”, который очень напоминает правила составления имен .onion в сети Tor. В исходный raw-вид с заменой некоторых символов декодируется изначальный 516-байтовый идентификатор. То значение, которое получается в результате такой декодировки, хешируется посредством SHA256, а затем кодируется в Base32. В конечном итоге к полученным данным прибавляется .b32.i2p. В конце концов, получается вполне пригодная к использованию последовательность символов.

С этой формой дальнейшая работа заметно упрощается. I2P не имеет какого-то официального аналога DNS-сервера, выполняющего резолвинг имен – установку соответствия между идентификатором и доменом <somename>.i2p. В противном случае именно это и была бы серьезная точка отказа всей системы. К каждой ноде в системе прикреплен свой набор текстовых файлов с выполненным маппингом для сервисов. Эти файлы сильно напоминают традиционный конфиг HOSTS. Однако пользователь имеет возможность синхронизировать собственную базу закладок посредством спецсервера подписки в саму систему. При этом он доверяет владельцу сервиса, надеясь, что последний предоставляет ему верные идентификаторы.

Механизмы защиты

Система I2P имеет несколько технологий для устранения возможности подмены и перехвата трафика. I2P для коммуникации использует концепцию входящих-исходящих (in-out) туннелей. Другими словами, в этой технологии ответы и запросы совсем не всегда идут по одному и тому же пути. При передаче сообщения оно многократно шифруется, а конечные узлы сообщения обозначаются криптованными идентификаторами. А сами туннели каждые 10 мин. перестраиваются.

Так называемая «чесночная маршрутизация» - это еще один защитный механизм, реализованный в I2P. Этот механизм, по своей сути, обозначает все то же многослойное шифрование, позволяющее единственному сообщению делиться на большое количество отрывков – полностью сформированных сообщений с инструкциями для их доставки. То есть в момент подготовки к передаче сообщения оно делится на много отрывков, к которым добавляются еще и транзитные отрывки сообщений. Определить, является ли определенный отрывок сообщения отрывком нашего, либо же он отрывок транзитного, может лишь тот, кто создал сообщение. Никому другому это не под силу.

Описанный выше сложнейший принцип обеспечивает надежную защиту данных. Однако он не налагает никаких ограничений на использование технологии I2P. В сети таким образом можно расположить всевозможные сервисы: IRC, eDonkey, BitTorrent, Email. Мало того, создатели I2P предоставляют API для создания новых приложений, работающих через защищенную сеть, но не требуют дополнительной установки и настройки I2P-клиента от пользователя.