Czy mogę uzyskać dostęp do zablokowanej witryny za pośrednictwem maszyny wirtualnej, jeśli w systemie hosta adres internetowy jest zablokowany?

16

Przeglądałem artykuł o Net Nanny, który wspominał o różnych sposobach omijania filtrów sieciowych przez dzieci.

Między innymi widziałem to:

Jednym ze sposobów, w jaki nastolatki mogą całkowicie ominąć filtr, jest zainstalowanie programu, który uruchamia maszynę wirtualną na komputerze, w zasadzie komputer w komputerze. Na przykład, jeśli system operacyjny komputera to Windows, przebiegły nastolatek może pobrać program, który działa na wirtualnym systemie operacyjnym Windows, w którym nie ma zainstalowanej Net Nanny, a następnie surfować po Internecie bez filtra.

Teraz zastanawiałem się, czy może to być nadal możliwe, jeśli plik hosts w systemie hosta zablokuje dostęp do wszystkich niechcianych stron internetowych (załóżmy na chwilę, że istnieje taki ogromny, regularnie aktualizowany plik hostów), w tym witryn z treściami dla dorosłych, serwery proxy, witryny do udostępniania plików P2P itp.

Czy można teraz odwiedzić te zablokowane witryny z poziomu przeglądarki internetowej uruchomionej na maszynie wirtualnej? Załóżmy również, że nie jest używana żadna sieć VPN, ani Tor ani widok „buforowanej” strony internetowej Google .

Vinayak
źródło
Próbowałem uruchomić Ubuntu na mojej instalacji Windows 7 z zainstalowanym K9, ale hack nie ominął obrony K9 :(
shortstheory
1
Musisz robić coś złego, bo mógłbym to łatwo ominąć.
Vinayak
AKTUALIZACJA: Prawdopodobnie ustawiłeś tryb połączenia sieciowego maszyny wirtualnej jako NAT. Zmień to na „Bridged”, a K9 nie pomoże.
Vinayak,

Odpowiedzi:

26

Tak. hostsPlik nie blokuje niczego, po prostu wskazuje, gdzie komputer może znaleźć nazwach stron internetowych. Gdy spróbujesz przejść do google.com, system sprawdzi, czy hostsplik ma taką nazwę, a jeśli istnieje, użyje tam adresu IP zamiast szukać adresu IP z serwera DNS.

Maszyna wirtualna ma swój własny plik hosta i wykonuje własne rozpoznawanie nazw (tj. Sprawdzanie własnego pliku hostów i kontakt z własnym serwerem DNS), niezależnie od komputera hosta.

Nawet jeśli przekierowałeś google.comna 127.0.0.1(Popularny sposób „blokowania” witryny), nadal możesz przejść do Google, wpisując w 173.227.93.99przeglądarce.

Ponadto filtry oparte na IP w systemie operacyjnym hosta mogą być bezużyteczne w zależności od konfiguracji sieci VM. Zwykle maszyna wirtualna jest „zmostkowana” z siecią hosta, co oznacza, że ​​cały ruch przychodzący jest duplikowany i wysyłany do maszyny wirtualnej, aby mógł zobaczyć cały ruch sieciowy wykonywany przez hosta. Nawet jeśli host jest skonfigurowany do blokowania lub filtrowania niektórych adresów IP (takich jak zapora ogniowa), maszyna wirtualna nadal będzie widzieć swoją „kopię” danych, co pozwoli maszynie wirtualnej na przeglądanie Internetu i zignorowanie filtra zainstalowanego na komputer hosta.


Pamiętaj o głównej zasadzie komputerów i bezpieczeństwa: jeśli mogę fizycznie dotknąć systemu komputerowego, to mając określony czas, mogę mieć nad nim pełną kontrolę; Dzieci mają dużo wolnego czasu i w żadnym wypadku nie są wyjątkiem od tej zasady. Ponowne uruchomienie systemu w trybie awaryjnym i usunięcie NetNanny lub innego zainstalowanego na nim oprogramowania jest banalne.

Jeśli chcesz filtrować / ograniczać / monitorować to, co robią twoje dzieci w Internecie, musisz to zrobić na poziomie sieci, a nie systemu. Sprawdź, jakie funkcje obsługuje Twój router (takie jak NetNanny Integration, jak sugeruje @Keltari) i czy będzie obsługiwał alternatywne oprogramowanie wewnętrzne routera, takie jak DD-WRT, które może zaplanować odłączenie komputera dziecka (powiedzmy, że od 22:00 do 6:00 każdego dnia ).

Nawet wtedy filtrowanie sieci jest często grą Whack-A-Mole i często łatwo udaremniane przez proxy takie jak Tor; Niemożliwe jest powstrzymanie kogoś przed dostępem do Internetu, który naprawdę tego chce (po prostu zapytaj Chiny lub inne kraje, które mają ogromne zapory ogniowe, które ostatecznie nie działają idealnie).

W przypadku dzieci musisz albo z nimi porozmawiać i wyjaśnić im niebezpieczeństwa Internetu i mieć wystarczające zaufanie, że nie zamierzają celowo szukać złych stron (a następnie używać NetNanny jedynie jako kopii zapasowej, aby zatrzymać przypadkowe nawigacje), lub nie możesz pozwolić im korzystać z podłączonego komputera bez nadzoru.

Darth Android
źródło
2
+1. Sprawdź, czy twój router obsługuje integrację z Netnanny, niektóre tak. Jeśli nie, zawsze możesz kupić taki, który to robi.
Keltari
Dzięki! Zastanawiałem się tylko nad tym samym (tzn. Czy zadziałałoby to, że karta sieciowa maszyny wirtualnej została „zmostkowana” z hostem lub czy została skonfigurowana jako NAT)
Vinayak
1
@ Vinayak Zobacz moje zmiany w moim poście; Serwer proxy „czarnej listy” (gdzie dodajesz witryny, które mają być blokowane) może pomóc, jeśli chcesz zatrzymać przypadkową nawigację do złych stron, ale ostatecznie ktoś może obejść to, jeśli chce. Serwer proxy „białej listy” (gdzie dodajesz witryny, które mają być dozwolone, a wszystko inne jest blokowane) może powstrzymać ludzi przed przechodzeniem do niepożądanych witryn, ale wymaga dużo, dużo więcej pracy, ponieważ musisz dodać każdą domenę lub adres IP do białej listy . Witryna taka jak SuperUser prawdopodobnie ma 5-10 różnych domen, które należy dodać do białej listy, jeśli nie więcej.
Darth Android
1
@DarthAndroid Jeśli pytanie brzmi „Czy mogę uzyskać dostęp do zablokowanej witryny za pośrednictwem maszyny wirtualnej ...”, czy pierwsze słowo Twojej odpowiedzi nie powinno brzmieć „tak”, a nie „nie”?
Cyfrowy Chris
13
+1 za „rozmawiaj ze swoimi dziećmi” ... często najlepsza odpowiedź.
Brad
0

Plik hosts blokuje obrazy, reklamy i strony internetowe, jeśli adres URL jest poprzedzony adresem 0.0.0.0 lub 127.0.0.1. System sprawdza plik hosts pod kątem adresów, a jeśli podasz mu adres „domowy” lub „zerowy” jako miejsce do poszukiwania zasobu, ten element zostanie skutecznie zablokowany.

Ludzie używają go przez cały czas, aby blokować złośliwe strony, reklamowe adresy URL i wiele innych rzeczy. OpenDNS robi to samo dla Ciebie, blokując dostęp do kategorii stron internetowych itp., Których nie chcesz widzieć.

Prawidłowa odpowiedź brzmi TAK. Możesz ominąć blokowanie zawartości pliku hosts za pomocą maszyny wirtualnej, ponieważ maszyna wirtualna używa własnego pliku hosts.

Ale stwierdzenie, że plik hosts nie blokuje niczego, to tylko obornik.

Szef
źródło