去年年底,日本不少IT媒体都报导了一个公开的免费软件 – SoftEther。这是由筑波大学一年级学生 – 登大游编写而成。此软件简言之,就是类似以太网卡的工作原理,甚至可以仿真HUB的功能。软件本身使用的是隧道(Tunnel)特性,而系统可将此软件完全无碍的识别成一块网卡,并实现VPN的功能。
SoftEther的概念与功能简介
SoftEther主要概念有两个,分别是:
- 1. 将在因特网最底层Data Link Control(DLC),或对应数据链路层(OSI Level 2)的通讯内容数据框(Data Frame)封装(Encapsulation)到传输层(TCP Session),再利用TCP双向传输特性,加上隧道(Tunnel)技术,来建构突破地域的超大型虚拟局域网。
- 2. 将通讯数据变成网络管理许可的形式,如SSL Connection、Proxy Connection、SOCKS Connection,及SSH Connection等,来穿越因特网,甚至混过防火墙,如128bit RC4,AES等。
SoftEther的特殊功能可以简单归纳如下:
- 1. 将散布各地的计算机纳入同一个局域网络中。
- 2. 让公司计算机和用户家里的计算机自由联机。
- 3. 在公司也能自由存取用户家里的局域网络。
- 4. 将不同的局域网络结合成一个局域网络。
- 5. 在任何地方都能自由存取公司内部网络。
- 6. 突破网管限制,自由连上被禁用的网站或网络服务,例如:MSN、ICQ、雅虎实时通等。
- 用一张简单的图标来做说明,如(图一)。看懂了吗?网管人员可以收拾包袱回家了。
《图一 SoftEther的VPN示意图》 | 资料来源:http://www.softether.com/jp/overview/onepage/08.jpg |
|
基本上,这是个Client/Server软件,而它的Client端是一个虚拟的网络卡;只要设好了Server(Virtual HUB)后,连上去的任何Client就成为局域网络了。所以,如果公司的区网被防火墙挡死,但用户却想从别处连到公司的计算机,那该怎么做呢?
简单来说,用户可先在家里设好Server让公司的计算机连上,然后同时连上的其他计算机就会像区网一样看到公司的计算机。只要利用Tunneling跟Bridging技巧,公司资源就可以掌握在用户的手中。
SoftEther在日本和中国大陆均引起相当大的回响和讨论,反观国内几乎无人闻问,且对于可能发生的网络革命后知而不觉;目前仅见极少数的网络工作者和学生在讨论群留言着:「太棒了!终于可以突破学校的VPN了!不然主机挂在学校的网络下,一些服务根本都无法对外提供。」
不过SoftEther真的只是一套可以穿墙而出的软件吗?或许再接下的文章和范例中可以嗅出一些端倪。
未来网络世界可能的影响
对未来网络世界的影响,笔者列出几点:
- 1. 提供VPN服务的公司几乎不再有业务可作。
- 2. 提供防火墙或网络干扰侦侧系统(NIDS)服务的公司将面临很大的挑战,目前大概只有第一层的线路防火墙(形同隔离网络)或应用层防火墙和可以挡得住,但结果是让网络变得十分难用;试想如果只能使用IE浏览器来透过代理(Prox y)服务器联机,那么生活会是多么艰苦。
- 3. 依病毒发展模式,第一代的病毒需用户来执行档案(被动);第二代则可透过电子邮件传递,但现在只要接上网络线,即可能中毒(主动)。而当网络独立分层原则被打破之后,也许就会有黑客扫瞄不同网络系统协议上管理的弱点,然后出现SoftATM或SoftSwitch等软件,所以用户可以好好观察SoftEther的未来发展会有那些变化。
- 4. 目前的因特网寻址,可想成是依IPv4或IPv6所建构的一维空间。不过在SoftEther发展后,因特网可想成是彼此独立的多维空间;这样一来,传统的因特网管理法则可不必理会,分众的速度会加速。所以一些类似CS需要局域网络的游戏,便可以利用SoftEther的虚拟局域网来突破地域的限制,且也可让P2P更加难以侦测防治。
- 5. 当分层的原则被打破后,局域网络可能需要重新定义,所以计算器网络的书籍可能会被迫改写,是否要发展IPv6因特网,则令人存疑。
或许有人会怀疑是否可利用SoftEther来窃取组织内的信息,假如读者有此疑问,那么读者还是不明了SoftEther的本质。想象一下,如果放一部计算机在读者公司的局域网络内会如何?基本上那是内部信息控管的问题,与SoftEther的本质无关,不过唯一要考虑的就是黑客已变成没有内外之分,使网管的挑战将会更为艰辛。
SoftEther的安装方式
目前SoftEther Ver 1.0支持Windows 2000/XP/Server 2003,而Linux只支持Virtual Hub,所以接下来将会以Windows为主来作说明;至于Linux/FreeBSD的问题,据登大游说法,目前由他一些筑波大学的朋友发展。
SoftEther的安装十分简单,一开始用户可以选择安装的语言,目前只支持日文和英文。接下来在SoftEther Install Option中,用户可以选择是否安装Virtual Hub,等到重新启动计算机会有Shortcut的图案在桌面上出现。
联机至Softether.com
启动SoftEther Connection Manager后,系统会默认一个SoftEther.com Sample HUB。在按下Connect后,会联机至SoftEther.com的超大型虚拟局域网中,然后利用ipconfig和route print(可使用route delete 0.0.0.0 mask 0.0.0.0 <Default Gateway>和route add 0.0.0.0 mask 0.0.0.0 <Default Gateway>来更改默认路由)来明了一下自己的网络环境。接下来联机到外部网络,如(图二),然后用Optview Protocol Expert来检视封包内容。如(图三);这时用户会发现所有的联机均变成Https,并使用SSL 443埠。
《图三 Optview Protocol Expert检示封包内容》 |
|
SoftEther设定
安装SoftEther后共有六个设定程序,如(图四)。以下将一一介绍这些设定程序的功用。
- 1. About SoftEther:关于。
- 2. SoftEther Connection Manger:当建立新的联机时,有四个协议Direct TCP/IP Connection、Proxy Connection、SOCKS Connection、SSH Connection可以设定;至于用户认证账号,必须要配合Virtual HUB管理使用。
- 2.1. Direct TCP/IP Connect:在此可设定Virtual Hub地址,设定Port : 7777则直接封包传送不加密;设定Port : 443则用128bits加密送出封包。
- 2.2. Proxy Connect:在此可设定代理服务器地址和埠号,目前只支持基本认证(BASIC Authentication)。
- 3. SoftEther Control:在此可以设定Start、Stop、Install、Uninstall,Virtual LAN Card Driver、Virtual LAN Card Service,以及Virtual HUB Service等项目。至于Virtual MAC Address则需在设备管理器中更改。换句话说,一些锁MAC Address的授权保护软件可能会失效。
- 4. SoftEther Language Setting:目前支持日文和英文。
- 5. SoftEther Virtual HUB Administration:管理联机和用户,也可用telnet联机8023埠远程登录。详细Windoiws的使用方法请参考<http://www.softether.com/jp/manual/softhub.aspx>。Linux系统的安装方法请参考<http://www.softether.com/jp/linux/>。
- 6. Windows Services:显示服务是否启动。
实际验证
在此有一部在NAT内的Windows XP机器IP为192.168.1.69,IP组态如(图五),IP静态路由如(图六)。当使用合法IP为192.192.73.46的机器执行(终端机服务客户端)链接时,如(图七),证实可以直接穿NAT而入。
Router/NAT/DHCP的架设
或许读者用SoftEthert尝试架设自己的虚拟网络后有个疑问:「为何我的机器无法取得IP,且无法联机出去呢?」其实如果读者有此疑问,代表读者还是搞不清楚SoftEther的意义。SoftEther是建构突破地域性的超大型虚拟局域网(如图一中的地球),而局域网络是DLC层。至于取得IP并联机出去,是网络层以上的事,所以是完全不相关的事。
如果读者真的要架设可取得IP并联机出去的服务,基本上还是需要架设Router、NAT、DHCP服务,底下的范例或者读者可以参考:
- 1. 首先选用Windows Server(Linux/FreeBSD尚未支持,否则效能更大)。
- 2. SoftEther Virtual LAN Card选用固定IP,如172.16.1.254。
- 3. 启动路由服务。
- 4. 启用联机共享。
- 5. 设定DHCP服务。
如此就大功告成了,接下来读者可以观察Virtual HUB的联机情况,如(图八)。
结语
写这篇文章的目的,除了想提醒一般大众在享受网络的便利外,也该明了它所带来的风险。另外也为自己之前发表一些关于防火墙管理的文章致歉,有时想想自己也蛮悲哀,在因特网尚未兴盛之前,为了搞懂ISO OSI网络协议七层架构大费苦心,结果在“不良时机、不良技术”下,OSI网络协议七层架构被淘汰出局,但至少还留下网络分层的指导原则。
攻读硕、博士期间研究异步传送模式(Asynchronize Transfer Mode,ATM),以为异步传送模式会一统江湖,结果是 “借问酒家何处有,牧童遥指...”,而今连做为网络基石的分层原则都可能动摇,实在是无语问苍天。现今在任何网络搜索引擎上搜寻“虚拟”(Virtual),保证比搜寻“真实”(Reality)所获得的结果要来得多,或许未来的人们再也分不清何者是真实,何者是虚拟了。
注:本文所引用之图片或文章均为该著作权利人所拥有,在此仅为辅助说明绝无侵犯之意,特此声明。
<作者为亚东技术学院电机工程系副教授,联络方式:shie@ee.oit.edu.tw>
|
|
这是一篇有关于SoftEther的问与答文章,里面有许多用户提出不同的问题。作者是一名
软件工程师,他将这些用户的问题汇集起来,并一一解答。假如读者有任何的疑问,可以到这里来找寻答案。相关介绍请见「Softether实战
?」一文。 |
|
SoftEther软件作者是日本筑波大学一年级新生登大游。该软件巧妙利用了“EtherNet
over TCP的隧道+HTTPS实现物理传输”技术,算是开创了VPN软件应用的先驱。这是由中国的一名
记者实地采访登大游后,所写成的一篇文章。你可在「功过难评
SoftEther」一文中得到进一步的介绍。 |
|
本篇文章是对SoftEther的来龙去脉做一个简介,并解释这个软件的对于防火墙安全问题
的威胁的严重性,甚至连日本信息处理事业协会也曾一度想要禁止这个软件的发表。在「SoftEther(虚拟网卡)Beta3」一文为你做了相关的评析。 |
|
|
|