[轉貼] SoftEther

阿輝

去年年底，日本不少IT媒體都報導了一個免費軟體的公開。
這是築波大學一年級學生登游大自編的軟體，名叫SoftEther。
此軟體簡而言之，就是模擬乙太網卡的工作順序，甚至可以模擬HUB功能
使用tunnel特性，實現VPN的功能。
使得系統把此軟體完全無礙的識別成一塊網路卡

有了這個東西，可以不再買VPN 路由器，而實現從Internet訪問自家LAN的目標

主要實現思路是：
1）在OSI Level2(資料鏈路層)上軟體模擬網路通訊，把物理層的通訊內容封包到TCP Package裡去(軟體模擬Ethernet)
2）把自己的通訊包變成SSL Session，用HTTPS傳輸協定穿越Internet，甚至混過Firewall（128bit RC4）

然而，此後沒兩天，日本信息處理事業協會（IPA，負責日本Internet運營管理/安全的機構）就要求這個築波大學學生停止公開此程序，理由自然也很簡單：有了這個東西，可以毫不誇張地說，所有的Firewall保護下的LAN都要面臨重大的安全性挑戰了，因為只要局內網中有一台機器通過此軟體虛擬成LAN網路卡，就可以通過Internet毫無障礙地訪問局內網........恐怖

上述實現思路中，第一條並不能成為合法的罪名
只有第二條，成為勉好的借口。

但禁令維持了僅有三四天，IPA就不得不同意此人再次公開下載的主頁。

經歷了這麼一場風波，SoftEther名氣更大。
有興趣的朋友不妨下載一個玩玩

安裝這個，需要你有LAN的管理權。
比如自己家的LAN，就可以安上一個，來實現從Internet訪問自家Server的功能；
而服務機構的LAN，就那個那個啥了.

下載位址：
http://www.softether.com/jp/download/
是不是還有人沒明白這東西的劃時代意義啊？呵呵

再來通俗的介紹一下吧！

這東西說白了，就是用來打破一般用的那些防火牆限制的東西。
使局內網和Internet可以相互自由訪問

直接舉幾個例子來說吧！

比如你的公司有防火牆，只能http/https出去，外面的人無論是FTP也好，TELNET也好，都別想進到你們公司的局內網裡面來，更別指望能找到你的機器接續了。
所以，回了家想要從家裡的寬帶上操作辦公室的電腦，就是不可能的，對吧？

但有了這個東西，我們來看看如何把這種「mission impossible」變為可能！

1）在自己的電腦上安裝這個軟體，然後再定義一個虛擬HUB，定義上用戶/密碼，並把家裡這台機器掛上Internet位址

2）在辦公室的電腦上安裝這個軟體，然後接續家裡的虛擬HUB，這個軟體就成了一枚動態的（Runtime）虛擬網路卡。

3）從自己家裡就可以訪問這台辦公室的機器拉（走的是HTTPS傳輸協定，看到的是LAN）

如果你還不甘心，還要貪婪地想要從家裡連接辦公室別的網路資源，也好說，在辦公室那台你自己的電腦上，把辦公室的物理LAN和step 3）接好的那個虛擬網路卡所在LAN之間架設網路橋接（bridge），就可以從家裡一直訪問到辦公室所有資源啦！

這bridge，在WinXP/Win2K3都是有內裝功能的。可惜Win2K稍微麻煩一些.....

補充一件重要的事情！

這個軟體裝好後，在HUB管理畫面裡，可以看到一個預設的「通用HUB」
這個虛擬HUB，就是設在築波大學的

有了這個，你就可以驗證自己的安裝是否成功；

但我奉勸大家試驗連接這個之前，千萬千萬要慎重：
因為世界所有人裝上這個軟體，都會有接續這個虛擬HUB的傾向；如果你也接上去，就已經和成百上千的人同在一個LAN下了！！（據我看，那個虛擬LAN裡，一直保持著至少有三五十台機器.....）
小心遭到黑客攻擊哦！

不過，有了這麼一台虛擬HUB，這個軟體的另一個功能也就發揮出來了：你所受限制的任何internet傳輸協定，經由這個虛擬HUB，都不再受限制......

1）比如你所在的公司，不許使用QQ，只要接上這個虛擬HUB，就立即能用了，呵呵呵

2）又比如你所在的國家地區，有啥不能訪問的網站，都不用擔心訪問不了了，呵呵呵

1）和2），都是通過HTTPS封包走出去/走進來的，所以你那裡的網路只要能通過HTTPS傳輸協定，就可以搞定！

我試過，用它，可以突破限制的IP位址。
我的qq的IP也成了日本的了。

建議各位在打號修正檔漏洞之後安裝使用此軟體。因為你已經把你的機器放到了一個網際網路範圍的區域網路內。
安全第一。
我裝上試了。預設連線到了日本的這個預設的虛擬hub。然後從網路芳鄰中發現自己處在了一個大區域網路內……

小酒蟲

另一種 VPN？等一下寄給我的 digital security 教授來玩看看。

[ Last edited by 小酒蟲 on 2004-2-1 at 13:18 ]

erictsai

感覺上好像很早就有類似的東西了？！
Tunnel之類的想法，很早之前我曾試過用兩台Appltalk gateway，把兩個大學的AppleTalk網路連接起來。透過這樣的連法，就可以直接透過廣域TCP/IP網路連接兩個非標準TCP/IP通訊協定區域網路了。
VPN之類的東西，不就是把被檔掉的區域網路連接起來嗎？

這個軟體，我想與tunneling不同點只是在「tunnel雙方並不是都在寬域網路上可見（有IP address）」，形式上有點像"reverse proxy"的作法。

在保全的觀念上，永遠都會有「被打洞」的顧慮存在，這個作法之所以為網管人員害怕，可能是因為反向通聯會造成頻寬的使用效率降低吧？

對不起表達不好，外行話太多還請指教。

jamesanna

剛把玩了一下，只有一個字可表示，就是＂強＂.......

決定要把它收納到我的隨身碟，隨身趴趴走了....

gasolin

事實上還是沒有從根本上解決事情,
用各種網路軟體時, 等於繞了一圈增加網路頻寬, 再加上模擬Hub的特性....

Katsuya

Originally posted by gasolin at 2004-2-2 07:12 AM:
事實上還是沒有從根本上解決事情,
用各種網路軟體時, 等於繞了一圈增加網路頻寬, 再加上模擬Hub的特性....

雖然慢了點，但他至少隱藏了你的IP、跳過公司的Firewall!
這樣就解決了一堆事啦! 或許這不是最根本的解決方法，但老闆不會答應你玩Game 或聊天吧?!

wind001

用了softether
好像adsldns的軟體，還是沒辦法使用
如果要同樣位於NAT後面的機器(沒安裝softether)或真實IP的電腦
連到另一NAT後的電腦(已安裝且連線)

也還是沒辦法連線

好像都需要 連到 softhub上面才有辦法行的通

Harvey

這個軟體的特性本來就是這個樣子啊。
利用一個virtual hub把不同網段下的機器集中起來，形成一個虛擬的區網。
這樣倒是蠻方便的，加上有128bit的加密，還算可以用。
不過網管人員真的要開始擔心了，因為這樣防不勝防的軟體，增加管理上的困擾啊。
不過有誰在linux上的virtaul hub可以用的，我這邊是有連上virtual hub可是沒辦法取回DHCP的ip，設定靜態ip也不行。

mfhsieh

我這邊是有連上virtual hub可是沒辦法取回DHCP的ip，設定靜態ip也不行。

我這可以使用 SoftEther ，可正常用 DHCP 及 Static IP。

nox

連上 Virtual HUB 的時候, 不可以從 Virtual HUB 端取得 DHCP 的資訊; 請參照 http://www.softether.com/jp/overview/onepage/ 下方關於 Layer-3 packet filter 的說明.

基本上這個程式有趣的是在於出現的起因, 可以參考看看 [開發日記]. 將這個服務加上固定IP, 其實應用方面真的是非常具有彈性:

ex. 規劃通過  Internet 使固定的兩端 gateway 使用 VPN 作固定服務, 但是各自開出 Virtual HUB 給所有的行動裝置使用 SoftEther 連線; 也就是不管使用者到那, 都可以有效的連繫區網.

對於行動裝置來說, 這可是非常大的突破... 雖然目前只有 WinNT 與 Linux 的環境可用.

[ Last edited by nox on 2004-3-31 at 17:32 ]

Lucian

感覺跟商業用的 SSL VPN 很像，
看起來有比 SSL VPN 強大不少；

這個月我們剛上了一台 F5 FirePass SSL VPN，
讓使用者能在公司外面的環境使用 https/443/SSL 輕而易舉的連回公司使用資源，
基本的是 SSL Tunnel連接，連上後跟公司的網路無異，
另買了一個模組 App Tunnel，直接透過 IE 使用公司的程式，
目前我仍在調整當中。

nox

修正一些剛提到 Layer-3 packet filter 的錯誤.

不是不能使用 DHCP, 而是因為在一個網段中, 不能有一台以上的 DHCP 伺服; 因為這樣的情況下無法指派 IP 給客戶端, 因此在安全設定上有個選項是 [過濾掉 DHCP 的封包].

但這個選項在 HUB 的設定中是可以設為不針對這個部分作過濾, 也就是如果使用者自己的 HUB 不啟用這個這定的情況下, 其實是可以正常在 SoftEther Virtual LAN Connection 設定 IP 為 DHCP 指派; 只不過可能要作一下 [修復] 這個動作, 才會得到由 DHCP 伺服所提供的 IP 而已.

小弟使用 NB 稍微測試了一下, 發現這個程式還蠻好用的, 只不過因為環境中沒有 WinXP 或 Win2003 的關係, 無法直接建立 Bridge 連結 SoftEther 與 區網 的關係, 只能直接連結建立 Virtual HUB 與 Virtual Card 的機器 ( 小弟可不想區網中每個機器都裝上這個程式, 而且除了 PDC, WorkStation 與 NB 外, 其他機器都不是 M$ 的環境說... ).

不過如果開啟 TSC 的情況下, 其實已經跟身處區網也沒多大差別了. 再加上小弟使用 HiNET ADSL 新啟用的固定 IP, 火牆開個 443 的 port, 再用 natd 把 443 轉向給 Virtual HUB 後... 實在是建議有 NB 的人都該裝這個程式.

HUANGLIFU

其實一個網段裡可以有兩個以上的DHCP伺服器啦，只是設定的部分要做一些調整就是了。

nox

一個網段裡可以有兩個以上的 DHCP 伺服器是可以實作, 但最好是不要... 真要這樣處理的情況下, 是否該考慮把網段切開? 而網段與網段間用 Bridge 連結.

當然, BDC 例外; 但這種情況下平時應該不會動作, 所以也不存在同一網段同時有一台以上的 DHCP.

當然, 這只是小弟個人的認知啦...

Lucian

身為 IT 人員，顧慮到資安方面的問題，
一方面覺得這個軟體實在棒，另一方面又怕公司內有人不當使用而IT部門又不知道，
與廠商討論的結果，目前的防火牆完全無法擋，唯有入侵偵測系統有可能可以防範。

nox

小弟的想法是 SQUID 之類的 proxy server 需使用者認證; 80 就強制走 proxy, 鎖 目的IP, 443 不開放, 除非申請有必要用到 https. 至於其他的 port 基本上就是不開放的.

其實目前的版本在 session start 時還會送出 SoftEther Protocol, 比較麻煩的還是在於往後版本會使用 https 的標準 get/post 作為起始, 就如同 http://www.softether.com/jp/news/040110.aspx 所說的: 改善現有偽裝成 https 走 443 port, 而以真實 https 的協定方式走 443 port.

不過小弟印象中一個 ip 只能提供一個 https 服務的樣子, 因此是否針對流量異常的 443 目標ip 作檢查? 至於偽裝成其他 port 的話, 基本上應該就比較好分析出來的.

此外, http://www.softether.com/jp/news/040401.aspx 也出現 SoftEther 公司化, 也推出商業版的 SoftEther CA, 而且該公司預計 3 年後年商一億... 看樣子得找其他解決方案了.

HUANGLIFU

Originally posted by nox at 2004-4-1 04:54:
一個網段裡可以有兩個以上的 DHCP 伺服器是可以實作, 但最好是不要... 真要這樣處理的情況下, 是否該考慮把網段切開? 而網段與網段間用 Bridge 連結.

當然, BDC 例外; 但這種情況下平時應該不會動作, 所以也不存在同一網段同時有一台以上的 DHCP.

當然, 這只是小弟個人的認知啦...

pool切開，基本上就不會有什麼問題，多DHCP還有很多好處，當然，要會用就是了。

star69

http://uniorg.net/viewthread.php?tid=11543#pid61994
這一篇有人提供 雜誌上掃描的 說明與使用教學 應該對你有幫助

mfhsieh

可以請您略為指點一下好嗎?
謝謝^^

細節其實記不是很清楚。

不過主要有幾個重點：

1. 善用 tracert 找出 packet 走的路徑，如果封包沒依預想的路徑走，就改 metric。
2. 如果有裝防火牆之類的軟體，請記得打個通道給 softether。
3. 若要從公司連回家裏再連接 internet，則家裏的機器要把真實網卡及虛擬網卡的兩個網段橋接 (bridge)。
4. 若要從家裏接回公司存取區域網路或網芳，那公司的機器也要把真實網卡及虛擬網卡橋接。
5. 若要把公司的機器開放 service，那家裏的橋接要開通 NAT 來轉接 port。
5. 改過 metric 後，封包都會繞一大圈，記得用 route 改特定 ip 位址的封包路徑，不然有些 ip 位址會到不了。
6. 若要用 DHCP，則在裝 hub 的機器上要啟動 DHCP 的服務。
7. 記得設密碼。.

大概是這樣吧！當初也是一邊試一邊觀察，再一邊改一邊修正，完整的步驟也記不得了。

xChou

公司的NIC2能連上家裡的那個虛擬 HUB
192.168.0.2 PING不到192.168.0.1
192.168.0.1 也PING不到192.168.0.2
二個都己經接上家裡的虛擬 HUB了
就是不能互PING >_<

記得上次同事也有遇到這樣的問題，後來好像是把IP設為
192.168.1.1 & 192.168.1.2就莫名其妙的好了....

taisani

唉~雜誌一出，
我公司某位仁兄就很得意的四處吹捧這套軟體，
姑且不論方不方便，只可以以確定的是~
如果使用者不當利用，遲早會出問題的~~~~

如果裝了對個人生產力沒加成~那就算公司的大傷害吧！！！

這軟體特性讓我聯想到 精X死命想突破保險X的防護往前衝~

erictsai

看來好像反應都是又愛又怕。

要怎麼防範？不要想得太複雜的話，用那種需要登入認證的Proxy server，尤其是M$的challenge and response，大概市面上的proxy tunnel軟體就都不支援了吧。

賤招，大概有點用？有軟體支援ISA的登入嗎？

Lucian

昨天下午一位久未聯絡的台灣製造 IDP的廠商打電話來，
跟他提到了這套軟體，他說前一陣子他也由客戶端知道這套軟體，
也通知他們的工程部馬上研究，據說在一個星期內，
他們這一套自行研發的 IDP 系統已經成功的攔阻 SoftEther，
當時，在我們公司內剛好有另一個網路 SI 系統商，
聽了之後也覺得實在不容易。

聽說(sales說的)，此 IDP 以SoftEther 的行為模式來阻擋，
並未因為 128 bits 的加密而看不到它的通訊模式，
有機會的話，在跟他們借測第二次看看。
（第一次在去年，當時還不知道有 SoftEther 這套軟體）

未公布該廠牌，據說這一陣子他們準備發新聞稿，到時候大家就知道了，
在這只透露，該公司由一位清大教授所主持。

alberthk

Originally posted by erictsai at 2004-4-16 07:50 AM:
看來好像反應都是又愛又怕。

要怎麼防範？不要想得太複雜的話，用那種需要登入認證的Proxy server，尤其是M$的challenge and response，大概市面上的proxy tunnel軟體就都不支援了吧。

賤招，大概有點用？有軟體支援ISA的登入嗎？

用 NTLM Proxy 吧，MS 的NTLM 認證在去年就被 NTLM Proxy 解決掉
目前我是用這個在穿過公司的 ISA Server

[ Last edited by alberthk on 2004-4-16 at 08:54 ]

alberthk

Originally posted by pigbaby at 2004-4-16 09:07 AM:

不過這個好像只要遇到是
SNAT+Firewall模式的
就沒有用了說

[ Last edited by pigbaby on 2004-4-16 at 09:20 ]

你是指 softether 還是 NTLM Proxy?

Kevin ^_^y

拿來用在無線網路上使用,剛好可以補強無線網路安全性不足的問題.
如果害怕連上SoftEther Virtual Hub而遭到入侵攻擊,記得將SoftEther虛擬網卡上的防火牆功能啟動.

[ Last edited by Kevin ^_^y on 2004-4-16 at 14:28 ]

taisani

~_~ 今天跟同事談到了反制的軟體可能要出來了，
他老兄倒是憤憤不平的說這是他的權利.......
直囔囔說著，反正是SSL如何又SSL如何~
我真想說：權你XX，萬一有心人從你家溜進公司，那大家的資料不......

Kevin ^_^y

幹IT的人真辛苦,每天都要想辦法堵東堵西的.......
不過其實老實說,內賊比外賊可怕!!

在一般公司的網路上,隨時可能都有人會在公司裡裝封包監聽程式,不管是Hub或是Switch,都可以監聽所有的封包.

[ Last edited by Kevin ^_^y on 2004-4-16 at 15:38 ]

alberthk

Originally posted by Kevin ^_^y at 2004-4-16 03:29 PM:
幹IT的人真辛苦,每天都要想辦法堵東堵西的.......
不過其實老實說,內賊比外賊可怕!!

在一般公司的網路上,隨時可能都有人會在公司裡裝封包監聽程式,不管是Hub或是Switch,都可以監聽所有的封包.

[ Last edited by Kevin ^_^y on 2004-4-16 at 15:38 ]

原則上SWITCH上應該無法監聽所有封包吧

Kevin ^_^y

Originally posted by alberthk at 2004-4-19 00:20:


原則上SWITCH上應該無法監聽所有封包吧

可以的,而且不需要設Mirror Port就可以......常見的方法是利用arp的弱點. (細節不在這多談)