Innym problemem są kombajny przeznaczone do omijania zabezpieczeń, m.in. przy wykorzystaniu mechanizmów tunelujących. Przykładem takiego rozwiązania jest Tor, będący najpopularniejszym przedstawicielem tzw. Onion Routerów. Charakterystyczne dla Tora, jak i innych rozwiązań z tej grupy, jest to, że sama aplikacja to tylko elementem całości sieci. Tor jest narzędziem, które pozwala na omijanie zabezpieczeń i systemów filtrowania treści. Realizuje funkcje lokalnego proxy aplikacyjnego opartego na protokole SOCKSv5. Umożliwia szyfrowanie SSL oraz udostępnia tzw. ukryte serwisy (np. bez podawania adresu IP można uruchomić serwer WWW czy terminal SSH zza zapory). W odróżnieniu do mechanizmów tunelowania, o których mowa wyżej, aby skorzystać z funkcjonalności Tora, nie potrzebny jest dostęp do żadnego serwera na zewnątrz. Co więcej, jeżeli jakaś posiadana przez nas aplikacja pozwala na skonfigurowanie połączenia z wykorzystaniem Socks Proxy, to hulaj dusza piekła nie ma. A jeżeli nie... cóż, jest np. Freecap (http://www.freecap.ru/eng/ ) i możemy śmiało grać w World of Warcraft.

Dzięki rozproszonej sieci setek tysięcy serwerów użytkownicy korzystający z Tora zachowują dość wysoki stopień anonimowości podczas transportu danych. W celu podniesienia komfortu pracy oraz zyskania kilku dodatkowych funkcji Tor jest dostarczany wraz z dwoma przystawkami - Vidalia (konsolką zarządzającą) oraz Privoxy (aplikacja typu Web Proxy). A jeżeli nie chcemy niczego instalować - nic prostszego - jest Torpark (http://www.torrify.com/ ) stanowiący hybrydę Tora i przeglądarki Firefox. Można go umieścić na pendrivie i hasać do woli.

Obecnie w zasadzie jedyną metodą obrony przed aplikacjami typu Tor jest stosowanie zabezpieczeń typu "end point compliance", gdzie ciężar kontroli przeniesiony zostaje na stację roboczą. No, oczywiście możliwe jest również bardzo żmudne i niezbyt skuteczne pisanie odpowiednich sygnatur dla systemów IPS.

Napisy końcowe

Istnieje jeszcze wiele innych technologii, sposobów tunelowania i omijania zabezpieczeń. Przedstawione w tym artykule to tylko przykłady, które powinny jedynie zaostrzyć apetyt.

Spróbujmy zatem usystematyzować wszystko to, o czym do tej pory powiedzieliśmy. Wszystkie metody tunelowania opierają się na trzech koncepcjach.

Pierwsza polega na dokonywaniu takich zmian w protokołach, które skutkują mniejszymi lub większymi odchyleniami od norm RFC. Mimo tych odchyleń transmisja w dalszym ciągu jest możliwa i nie wpływa w sposób znaczący na jakość komunikacji. Niesie to za sobą takie "zagrożenie" dla użytkownika tuneli, że jego działanie zostanie bardzo szybko zauważone. Nawet jeżeli umknęłoby ono czujnemu oku administratora bezpieczeństwa, to i tak obecne na rynku systemy zabezpieczeń pilnujące zgodności protokołów z normami RFC momentalnie zablokują łamiący je ruch.

Gorzej, jeżeli mechanizm budujący ukryty tunel również przestrzega norm RFC i wykorzystuje te miejsca protokołów, na które normy te zezwalają. Wówczas wykrycie takiego ruchu jest znacznie trudniejsze i wymaga odrobiny potu.

Wreszcie trzeci opiera się na wykorzystywaniu szyfrowanych kanałów komunikacyjnych, takich jak SSH czy HTTPS, którymi często bez żadnych ograniczeń możemy z sieci korporacyjnej wydostać się na zewnątrz. Ale nie ma aż takiej tragedii. Bacznie studiując normy i stale poszerzając wiedzę o krążących wokół bajtach i wyrastających jak grzyby po deszczu systemach bezpieczeństwa jako administratorzy wcale nie jesteśmy tacy bezbronni... jak mój bohater pięknie tunelowanego World of Warcraft, który właśnie poległ na placu boju.