公司挡了MSN、BBS,就真的不能连吗?
目前有非常多公司,尤其到一定规模,都会利用防火墙把MSN、BBS等网络软件、功能挡掉。一方面为了信息安全考量,另一方面应该也是为了“员工工作效率”着想。但是,用防火墙挡掉了,就真的不能连了吗?
先解释一下防火墙原理给网络比较不熟的朋友,网络程序在沟通的时候,除了透过IP来 认得我要连到哪一台计算机以外,还必须透过Port (连接阜)来认得说,我连到这台计算机,是要连到哪一个应用程序:是看网页呢,还是要来抓Mail等等。而为了方便起见,针对各种常见的网络应用程序,都会有公定的惯用Port,例如FTP Port 21、Telnet (BBS联机方式) Port 23、网页(HTTP) Port 80。
防火墙是作什么的呢?就是让公司内部所有的网络联机,要连公司外面的网络时,都必须经过他的检查。检查什么呢?最基本的就是检查他是连外面的什么IP、什么 Port。而大部分公司的政策,都是认为除了看网页查数据以外,连到公司外面的网络都应该跟工作无关,而且有可能影响网络安全。因此就会把所有的对外连 线,只要不是连外面网络的Port 80 (HTTP)或是Port 443 (HTTPS),也就是网页的话,就通通封锁让你连不到。
这样就真的一定连不到吗?其实也未必。因为Port的定义只是一种约定俗成,并没有任何人规定连Port 21就真的联机内容就是FTP传文件,连Port 80就真的一定是HTTP传送网页。一般的防火墙设置很难真的去侦测你的传输内容是不是真的是符合Port的一般使用。这时候漏洞就来了,既然你管不了我 传什么,那我连BBS也用Port 80连你就不知道了对吧!
的确,如果透过Port 80连BBS,防火墙就没办法挡,可是外面一般BBS像是PTT,你连他的Port 80当然连不到他的BBS系统啊!所以我们必须在外面网络要有人接应,虽然我用Port 80连他,但是他再来在外面接力帮我用Port 21连BBS。而在外面的计算机要连哪一个Port,公司的防火墙当然管不到。这样就突破了公司的防火墙封锁了!
那这样的一个方式,要怎么 实际做到呢?这种技巧叫做“Tunneling”,也就是隧道的意思,因为我们只有某个特殊Port可以通,所以我们所有各式各样的Port的联机都使用 唯一可以通的Port。目前市面上的软件包括Http-Tunnel (http://www.http-tunnel.com/),或是作者以前年轻顽劣时爱用的Httport,都是有写好的程序来帮你完成这点。
Tunnel的机制有两个主要的元件,也就是这个隧道的起点跟终点。隧道的起点就是我们安装的 Tunnel Client,只要安装好以后,就可以设置这个隧道的终点是哪一台服务器,也就是我们外面帮我们接应的那台计算机是谁。这些软件多半会提供一些免费的公用服务器,但是通常会相当慢,自己架一个会比较快一些些。
设置好以后,你联机的时候当然再也不是直接联机到你想连的站点或是BBS,而是联机到你的Tunnel,实际联机到你想连的站点的工作会由你的Tunnel运行。因此像是Httport上面,你就必须设置说你用什么Port连到这个 Tunnel软件的时候,他会告诉外面接应的计算机其实你是要连到哪。例如你用Port 12345连Tunnel的时候,他帮你用Port 23连ptt.cc。这样的设置设置完成后,你的BBS设置连到localhost(自己计算机)的Port 12345的时候,就神不知鬼不觉的连上PTT啦!
最后附带说明一下,这样的机制虽然大部分情况可以突破防火墙的限制,来连上你想连的服务。对于网管而言的确不太好完全挡掉这种行为。但是如果要侦测到有人在这样搞,花点心思其实是作得到的,所以使用Tunnel的时候还是节制点,不要太嚣张啦!