id: Гость   вход   регистрация
текущее время 18:59 20/04/2024
Автор темы: Гость, тема открыта 05/06/2011 12:45 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/WippienVPN
создать
просмотр
ссылки

Wippien VPN


WIPPIEN – это удобный клиент для обмена файлами и мгновенными сообщениями, с поддержкой прямой P2P (peer-to-peer) VPN связи между каждым контактом. Wippien поддерживает работу с самыми популярными протоколами, такими как ICQ, MSN, AIM, Yahoo и Google Talk.
Wippien использует протокол XMPP для соединения с Jabber-сервером, а после соединения загружается список контактов, хранящийся на сервере (в Wippien он кешируется в файл), а также текущий статус всех контактов. Если вы кого-нибудь добавите в ваш список контактов (и авторизуете), то с этим пользователем будет возможно прямое p2p соединение. Используя технологию NAT, программа позволяет объединить несколько удаленных компьютеров в защищенную сеть и осуществляет прямое соединение между ними.


Wippien создает прямое соединение с пользователями из вашего контакт-листа, и каждому пользователю выдается уникальный локальный IP-адрес. В дальнейшем вы можете подключаться к вашим контактам, используя их виртуальный IP-адрес. Только авторизованные вами контакты смогут подключаться к вам. У остальных же не будет технической возможности сделать это, так как ваш компьютер отвергнет запрос на подключение без правильного секретного ключа (ключ генерируется отдельно для каждого соединения). Не имеет значения где вы находитесь и какое подключение используете – dial-up или выделенную линию – у вас всегда будет прямое соединение с компьютерами ваших друзей!


Возможности программы:
– Обмен файлами
– Голосовое общение
– Поддержка скинов
– Безопасное p2p соединение
– Обмен мгновенными сообщениями
– Поддержка протоколов ICQ, MSN, AIM, Yahoo, Google Talk
– Поддержка аудио-визуальных уведомлений о новых событиях
– Возможность создания VPN


 
Комментарии
— Гость (05/06/2011 12:51)   <#>
Wippien отличается от других утилит в первую очередь тем, что ее можно применять и в коммерческих целях, поскольку проект развивается как open source и любой желающий может при необходимости скачать не только саму программу, но и ее исходные коды. Wippien базируется на Jabber, поэтому в качестве учетной записи можно как воспользоваться уже существующим JID, так и зарегистрировать новый аккаунт вида user_name@wippien.com.
Тем, кому не нужны дополнительные возможности, предлагается урезанная версия Wippien – утилита MiniVPN. Этот дистрибутив программы распространяется без поддержки функции обмена сообщениями. Впрочем, для его использования все равно необходимо иметь установленную полную версию Wippien, которую следует хотя бы раз запустить для того, чтобы настройки сохранились в системе. Кроме MiniVPN, доступно еще одно отдельное приложение – WippienService, позволяющее запускать Wippien в системе как сервис и работать таким образом с компьютером, даже если пользователь вышел из своей учетной записи Windows. Wippien умеет функционировать и в 64-битовых версиях Windows, для этого необходимо отдельно скачать и установить 64-битовый драйвер. Также существует бета консольного клиента Wippien для Linux.
— Гость (05/06/2011 16:53)   <#>
Используя технологию NAT, программа позволяет объединить несколько удаленных компьютеров в защищенную сеть и осуществляет прямое соединение между ними.
Прямое соединение между двумя машинами за NAT'ом (самый распространённый случай) невозможно. К.О.
— Гость (05/06/2011 17:36)   <#>
Очевидно что К.О. не капитан в этом деле, и всё не так очевидно. Есть много разных способов сделать такой финт без супернод и прочего, бывает что для _согласований_ в таком соединении не требуется даже третий лишний.
— Гость (05/06/2011 20:48, исправлен 05/06/2011 21:09)   <#>
Есть много разных способов сделать такой финт без супернод и прочего, бывает что для _согласований_ в таком соединении не требуется даже третий лишний.

Всё бы ничего в предложенном методе, да вот

i

1. ICMP может вообще резаться.

  1. 3.3.3.3 кто-то умный может на себя зарегать (историю с реганием DNS для 127.0.0.1 помните?) — и что тогда? Обновлять все сервера и клиенты, чтобы указать иной IP? Особенно в контексте рекламируемого Wippien VPN.
  2. Клиентский gw с NAT'ом может сразу убить поддельный ICMP-ответ клиента, потому что это ответ без запроса — на этом хвалёный "IP discovery" и закончится.
  3. В организациях UDP — вообще не комильфо, так что офисные клиенты массово идут лесом.


По вашей же ссылке ещё и линк на статью есть, а там... в конце секции IV:


Finally, NATs virtually always prevent their clients from transmitting the fake ICMP messages used by our clients (Echo-Client, ICMP-UDP-Client). Based on what we have seen from inspecting NAT configurations directly, the reason seems to be that NAT rules typically only allow ICMP packets for the states "NEW" and "ESTABLISHED" in the state machine [14] — and the fake response falls into neither category.

Fake replies can enable autonomous NAT traversal in a number of cases. As with most NAT traversal techniques, this approach does not work for all installations. What is unusual about the presented method is that it works extremely well if only one peer is behind NAT and virtually never if both peers are behind NAT. Systems that require high NAT traversal success rates typically implement a number of traversal techniques and the presented approach extends the set of available methods by one that, if applicable, is cheaper and simpler than most of the existing techniques.

Так что по поводу пункта 3 уже всё сказано. Этот "IP discovery" работать будет чуть чаще, чем никогда, если

Прямое соединение между двумя машинами за NAT'ом (самый распространённый случай)

Даже если и сервер и клиент знают IP друг друга, работоспособность будет зависеть от свойств NAT'а. Кстати, у того же аффтара есть аналогичный тул и без "IP discovery", где говорится


Are there any NATs or firewalls that this won't work with?
This will not work yet with OpenBSD+pf. There is no theoretical reason that I can see that would stop a version getting through just fine, so I am working on a version that will work with OpenBSD+pf.

И действительно, во FreeBSD'шной рассылке:

>> (Haven't tried it myself, but came across it on Freshmeat a while ago. I
>> imagine it must rely on the NAT firewalls not changing the source UDP port
>> unless they have to)
...
> yes, which means it might unexpectedly fail.

Вот и разгадка, почему с PF может не работать. В общем, подведём жирную черту:

Очередная панацея оказалась мифом.
— Гость (05/06/2011 20:52)   <#>
по поводу пункта 3
Имеется в виду порядковый 3, а не обозначенный как 3. Форматирование глюкануло.
— Гость (05/06/2011 21:08)   <#>
Никто не предлагал панацей, но и К.О. в данном случае не уместны. Аффтор совсем даже автор, его хакер вэй имеет право на существование. Можно использовать классический сервер посредник для согласований портов и адресов, и для большей части типов нат всё будет академично как рфц прописал.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3