去年年底,日本不少IT媒體都報導了一個公開的免費軟體 – SoftEther。這是由筑波大學一年級學生 – 登大遊編寫而成。此軟體簡言之,就是類似乙太網卡的工作原理,甚至可以模擬HUB的功能。軟體本身使用的是隧道(Tunnel)特性,而系統可將此軟體完全無礙的識別成一塊網卡,並實現VPN的功能。
SoftEther的概念與功能簡介
SoftEther主要概念有兩個,分別是:
- 1. 將在網際網路最底層Data Link Control(DLC),或對應資料連結層(OSI Level 2)的通訊內容資料框(Data Frame)封裝(Encapsulation)到傳輸層(TCP Session),再利用TCP雙向傳輸特性,加上隧道(Tunnel)技術,來建構突破地域的超大型虛擬區域網路。
- 2. 將通訊資料變成網路管理許可的形式,如SSL Connection、Proxy Connection、SOCKS Connection,及SSH Connection等,來穿越網際網路,甚至混過防火牆,如128bit RC4,AES等。
SoftEther的特殊功能可以簡單歸納如下:
- 1. 將散布各地的電腦納入同一個區域網路中。
- 2. 讓公司電腦和使用者家裡的電腦自由連線。
- 3. 在公司也能自由存取使用者家裡的區域網路。
- 4. 將不同的區域網路結合成一個區域網路。
- 5. 在任何地方都能自由存取公司內部網路。
- 6. 突破網管限制,自由連上被禁用的網站或網路服務,例如:MSN、ICQ、雅虎即時通等。
- 用一張簡單的圖示來做說明,如(圖一)。看懂了嗎?網管人員可以收拾包袱回家了。
| 《圖一 SoftEther的VPN示意圖》 | 資料來源:http://www.softether.com/jp/overview/onepage/08.jpg |
|
基本上,這是個Client/Server軟體,而它的Client端是一個虛擬的網路卡;只要設好了Server(Virtual HUB)後,連上去的任何Client就成為區域網路了。所以,如果公司的區網被防火牆擋死,但使用者卻想從別處連到公司的電腦,那該怎麼做呢?
簡單來說,使用者可先在家裡設好Server讓公司的電腦連上,然後同時連上的其他電腦就會像區網一樣看到公司的電腦。只要利用Tunneling跟Bridging技巧,公司資源就可以掌握在使用者的手中。
SoftEther在日本和中國大陸均引起相當大的迴響和討論,反觀國內幾乎無人聞問,且對於可能發生的網路革命後知而不覺;目前僅見極少數的網路工作者和學生在討論群留言著:「太棒了!終於可以突破學校的VPN了!不然主機掛在學校的網路下,一些服務根本都無法對外提供。」
不過SoftEther真的只是一套可以穿牆而出的軟體嗎?或許再接下的文章和範例中可以嗅出一些端倪。
未來網路世界可能的影響
對未來網路世界的影響,筆者列出幾點:
- 1. 提供VPN服務的公司幾乎不再有業務可作。
- 2. 提供防火牆或網路干擾偵側系統(NIDS)服務的公司將面臨很大的挑戰,目前大概只有第一層的線路防火牆(形同隔離網路)或應用層防火牆和可以擋得住,但結果是讓網路變得十分難用;試想如果只能使用IE瀏覽器來透過代理(Prox y)伺服器連線,那麼生活會是多麼艱苦。
- 3. 依病毒發展模式,第一代的病毒需使用者來執行檔案(被動);第二代則可透過電子郵件傳遞,但現在只要接上網路線,即可能中毒(主動)。而當網路獨立分層原則被打破之後,也許就會有駭客掃瞄不同網路系統協定上管理的弱點,然後出現SoftATM或SoftSwitch等軟體,所以使用者可以好好觀察SoftEther的未來發展會有那些變化。
- 4. 目前的網際網路定址,可想成是依IPv4或IPv6所建構的一維空間。不過在SoftEther發展後,網際網路可想成是彼此獨立的多維空間;這樣一來,傳統的網際網路管理法則可不必理會,分眾的速度會加速。所以一些類似CS需要區域網路的遊戲,便可以利用SoftEther的虛擬區域網路來突破地域的限制,且也可讓P2P更加難以偵測防治。
- 5. 當分層的原則被打破後,區域網路可能需要重新定義,所以計算機網路的書籍可能會被迫改寫,是否要發展IPv6網際網路,則令人存疑。
或許有人會懷疑是否可利用SoftEther來竊取組織內的資訊,假如讀者有此疑問,那麼讀者還是不明瞭SoftEther的本質。想像一下,如果放一部電腦在讀者公司的區域網路內會如何?基本上那是內部資訊控管的問題,與SoftEther的本質無關,不過唯一要考慮的就是駭客已變成沒有內外之分,使網管的挑戰將會更為艱辛。
SoftEther的安裝方式
目前SoftEther Ver 1.0支援Windows 2000/XP/Server 2003,而Linux只支援Virtual Hub,所以接下來將會以Windows為主來作說明;至於Linux/FreeBSD的問題,據登大遊說法,目前由他一些筑波大學的朋友發展。
SoftEther的安裝十分簡單,一開始使用者可以選擇安裝的語言,目前只支援日文和英文。接下來在SoftEther Install Option中,使用者可以選擇是否安裝Virtual Hub,等到重新啟動電腦會有Shortcut的圖案在桌面上出現。
連線至Softether.com
啟動SoftEther Connection Manager後,系統會預設一個SoftEther.com Sample HUB。在按下Connect後,會連線至SoftEther.com的超大型虛擬區域網路中,然後利用ipconfig和route print(可使用route delete 0.0.0.0 mask 0.0.0.0 <Default Gateway>和route add 0.0.0.0 mask 0.0.0.0 <Default Gateway>來更改預設路由)來明瞭一下自己的網路環境。接下來連線到外部網路,如(圖二),然後用Optview Protocol Expert來檢視封包內容。如(圖三);這時使用者會發現所有的連線均變成Https,並使用SSL 443埠。
| 《圖三 Optview Protocol Expert檢示封包內容》 |
|
SoftEther設定
安裝SoftEther後共有六個設定程式,如(圖四)。以下將一一介紹這些設定程式的功用。
- 1. About SoftEther:關於。
- 2. SoftEther Connection Manger:當建立新的連線時,有四個協定Direct TCP/IP Connection、Proxy Connection、SOCKS Connection、SSH Connection可以設定;至於使用者認證帳號,必須要配合Virtual HUB管理使用。
- 2.1. Direct TCP/IP Connect:在此可設定Virtual Hub位址,設定Port : 7777則直接封包傳送不加密;設定Port : 443則用128bits加密送出封包。
- 2.2. Proxy Connect:在此可設定代理伺服器位址和埠號,目前只支援基本認證(BASIC Authentication)。
- 3. SoftEther Control:在此可以設定Start、Stop、Install、Uninstall,Virtual LAN Card Driver、Virtual LAN Card Service,以及Virtual HUB Service等項目。至於Virtual MAC Address則需在裝置管理員中更改。換句話說,一些鎖MAC Address的授權保護軟體可能會失效。
- 4. SoftEther Language Setting:目前支援日文和英文。
- 5. SoftEther Virtual HUB Administration:管理連線和使用者,也可用telnet連線8023埠遠端登入。詳細Windoiws的使用方法請參考<http://www.softether.com/jp/manual/softhub.aspx>。Linux系統的安裝方法請參考<http://www.softether.com/jp/linux/>。
- 6. Windows Services:顯示服務是否啟動。
實際驗證
在此有一部在NAT內的Windows XP機器IP為192.168.1.69,IP組態如(圖五),IP靜態路由如(圖六)。當使用合法IP為192.192.73.46的機器執行(終端機服務用戶端)連結時,如(圖七),證實可以直接穿NAT而入。
Router/NAT/DHCP的架設
或許讀者用SoftEthert嚐試架設自己的虛擬網路後有個疑問:「為何我的機器無法取得IP,且無法連線出去呢?」其實如果讀者有此疑問,代表讀者還是搞不清楚SoftEther的意義。SoftEther是建構突破地域性的超大型虛擬區域網路(如圖一中的地球),而區域網路是DLC層。至於取得IP並連線出去,是網路層以上的事,所以是完全不相關的事。
如果讀者真的要架設可取得IP並連線出去的服務,基本上還是需要架設Router、NAT、DHCP服務,底下的範例或者讀者可以參考:
- 1. 首先選用Windows Server(Linux/FreeBSD尚未支援,否則效能更大)。
- 2. SoftEther Virtual LAN Card選用固定IP,如172.16.1.254。
- 3. 啟動路由服務。
- 4. 啟用連線共用。
- 5. 設定DHCP服務。
如此就大功告成了,接下來讀者可以觀察Virtual HUB的連線情況,如(圖八)。
結語
寫這篇文章的目的,除了想提醒一般大眾在享受網路的便利外,也該明瞭它所帶來的風險。另外也為自己之前發表一些關於防火牆管理的文章致歉,有時想想自己也蠻悲哀,在網際網路尚未興盛之前,為了搞懂ISO OSI網路協定七層架構大費苦心,結果在“不良時機、不良技術”下,OSI網路協定七層架構被淘汰出局,但至少還留下網路分層的指導原則。
攻讀碩、博士期間研究非同步傳送模式(Asynchronize Transfer Mode,ATM),以為非同步傳送模式會一統江湖,結果是 “借問酒家何處有,牧童遙指…”,而今連做為網路基石的分層原則都可能動搖,實在是無語問蒼天。現今在任何網路搜尋引擎上搜尋“虛擬”(Virtual),保證比搜尋“真實”(Reality)所獲得的結果要來得多,或許未來的人們再也分不清何者是真實,何者是虛擬了。
註:本文所引用之圖片或文章均為該著作權利人所擁有,在此僅為輔助說明絕無侵犯之意,特此聲明。
<作者為亞東技術學院電機工程系副教授,聯絡方式:shie@ee.oit.edu.tw>
|
|
 |
這是一篇有關於SoftEther的問與答文章,裡面有許多用戶提出不同的問題。作者是一名
軟體工程師,他將這些用戶的問題匯集起來,並一一解答。假如讀者有任何的疑問,可以到這裡來找尋答案。相關介紹請見「Softether實戰
?」一文。 |
|
SoftEther軟體作者是日本築波大學一年級新生登大遊。該軟體巧妙利用了“EtherNet
over TCP的隧道+HTTPS實現物理傳輸”技術,算是開創了VPN軟體應用的先驅。這是由中國的一名
記者實地採訪登大遊後,所寫成的一篇文章。你可在「功過難評
SoftEther」一文中得到進一步的介紹。 |
|
本篇文章是對SoftEther的來龍去脈做一個簡介,並解釋這個軟體的對於防火牆安全問題
的威脅的嚴重性,甚至連日本資訊處理事業協會也曾一度想要禁止這個軟體的發表。在「SoftEther(虛擬網卡)Beta3」一文為你做了相關的評析。 |
|
|
 |
相關作者
相關产业类别
相關关键字
相關网站单元