גישה לרשתות מוגבלות באמצעות SSH

אחד הדברים הנחמדים ב־openssh הוא שאפשר לעשות עם התוכנה הרבה יותר מאשר להתחבר למסופים מרוחקים. באמצעות SSH באפשרותנו לתעל תעבורה מרשת האינטרנט לתוך רשת מוגבלת ולהיפך, ולעקוף כל הגנה שאנשים שמים לנו בדרך.

בעבר כתבתי פוסט ארוך על פעולות שאפשר לעשות באמצעות SSH, ולא הזכרתי שהמערכת מאפשרת גם להיכנס לתוך רשתות מוגבלות מבחוץ באמצעות הפעלה של המערכת בכיוון ההפוך. ולמה אני כותב את כל זה? מהסיבה שמ' (השם המלא שמור במערכת. הקישור לא) הכריחה אותי לכתוב על זה.

נניח שברשותנו מכונה אחת שנמצאת ברשת מוגנת, ומכונה נוספת שנמצאת מחוץ לאותה הרשת. במרבית המקרים נוכל להיכנס להגדרות ציוד התקשורת ולאפשר גישה כלשהי לתוך אותה הרשת, אך במידה ואין באפשרותנו לעשות זאת אנו נקלע לקשיים. פה נכנס לעזרתנו SSH.

ל־OpenSSH ישנם שני מצבי פעולה עיקריים בכל הקשור לשימוש במשאבי רשתות מוגבלות גישה – גישה לרשת המוגבלת מבחוץ, כאשר השרת שמריץ את sshd נמצא בתוך הרשת המוגבלת אך ניתן להתחבר אליו מבחוץ (אזור מפורז), ופעולה הפוכה של נתינת הרשאות גישה לרשת באמצעות מכונה מבפנים שמתחברת למכונה שנמצאת מחוץ לרשת.

כאשר מדובר על שימוש בסיסי אנחנו עושים זאת באמצעות ניתוב פורטים מסויימים בין המחשבים השונים ברשת. האפשרויות המתקדמות יותר עוסקות בניתוב שתי רשתות LAN דרך קישור מאובטח של OpenSSH, ויוצרות קשיי אבטחה ממשיים מהסיבה שמנהל הרשת שחסומה באמצעות חומת האש יתקשה לשלוט בתעבורה שמגיעה מכיוון הרשת האחרת, אם בכלל תהיה לו אפשרות לעשות זאת.

הדבר הפשוט ביותר שאנו נרצה לעשות הוא גישה לרשת הפנימית מבחוץ. אנחנו מעוניינים להתחבר לשרת שנמצא ברשת המוגנת (שרותי דוא"ל לצורך העניין), אך לא יכולים להתחבר אליו ישירות. לצורך העניין נדאג מראש לשרת SSH שנמצא בתוך הרשת המוגנת בשילוב של Firewall שיאפשר תקשורת נכנסת לשרת. לאחר הזדהות מול ה־SSH נוכל להגדיר פורט שינתב תקשורת מהמחשב שלנו לשרת המרוחק.

נריץ על המחשב שלנו את הפקודה הבאה:

$ ssh tomer@shell.example.net -L 1100:mail.example.net:110

בצורה כזו נוכל להתחבר לשרת הדואר המרוחק (במקרה הזה POP3) באמצעות גישה לפורט 1100 על המחשב שלנו.

מה שעושה הפקודה הזו היא לפתוח פורט על המחשב שלנו (מעל 1024 בהנחה והתוכנה לא הופעלה תחת root), שנוכל להתחבר דרכו לשירות הדואר שלנו עם שכבת האבטחה של SSH. במידה ונרצה לאפשר גם למחשבים אחרים להתחבר לשירות הזה דרכנו, נציין את הממשק המקומי של כרטיס הרשת הנבחר –

$ ssh tomer@shell.example.net -L 10.0.0.1:1100:mail.example.net:110

זהירות! ברגע שאנחנו מאפשרים גישה לאחרים לשירות שנמצא על רשת סגורה, אנחנו למעשה חושפים את השירות לעולם החיצון. לא בטוח שמנהל הרשת שלכם ישמח אם תעשו את זה. כמו כן, אסור לשכוח כי כל התעבורה לשרת המאובטח עוברת למעשה דרכנו, ומזוהה עם הפרטים שלנו; כשירצו לבוא למישהו בטענות – אנחנו נהיה הראשונים.

במקרים מסויימים אין לנו הרשאות להגדיר שירותים בתוך הרשת הממוגנת, ואנחנו צריכים להיכנס אליה מבחוץ. גם זה אפשרי עם SSH בהנחה ונוכל להפעיל את התוכנה ממחשב שנמצא בתוך אותה רשת. בתוך הרשת נריץ את הפקודה הבאה –

$ ssh tomer@home.example.com -R 2202:127.0.0.1:5900

כאשר מופעלת הפקודה הזו על עמדה כלשהי ברשת המוגנת היא תתקשר למחשב שנמצא מחוץ לרשת שלנו, ותגדיר עליו מיפוי בין פורט 2202 במחשב המרוחק לפורט 5900 (vnc-server) במחשב שלנו (127.0.0.1) שנמצא בתוך הרשת המוגנת. בצורה כזו נוכל לאפשר לאדם שיושב במחשב המרוחק להתחבר לשירותים שמותקנים על העמדה שלנו ואינם נגישים מבחוץ. מאחר ויוזם התקשורת הוא מחשב שנמצא בתוך הרשת המאובטחת התקשורת לא נחסמת על־ידי חומת האש.

בדרך דומה ניתן להרים עורקי תקשורת מאובטחים גם לשירותים אחרים בתוך הרשת הפנימית. למשל, ניתן לקשר את שירות הדואר הפנימי שלנו למחשב שנגיש מבחוץ, מבלי שיש לנו שום פתח כניסה לרשת הפנימית מבחוץ או שרת SSH שרץ על מחשב כלשהו ברשת המאובטחת.

שימושים להקמת ערוצי תקשורת מאובטחים: גישה לשירותים שאינם נגישים למשתמשים ברשת הארגונית, מתן גישה לשירותים מקומיים למשתמשים מרוחקים, עקיפה של חסימות תכנים ואתרים, מתן שכבת אבטחה לשירותים שאינם כוללים אמצעי הצפנה מובנים.

ניתוב פורטים באמצעות SSH איננו נחוץ כאשר אין צורך בהצפנת נתונים, אימות המשתמש שמתחבר לפורט המנותב ובמקרים בהם קיים פתרון פשוט יותר למשימה (למשל שימוש בשרת FTP מקומי במקום ביכולות העברת הקבצים המובנות של SSH).

החברים של הארץ

בזמן שמרבית האתרים שוקדים על תאימות לתקנים, האנשים בהארץ רוצים להדגים לנו מאיפה גולש הדג, ודואגים שהאתר שלהם יהיה כתוב ‭הפוך‬. אבל מתברר שהם לא לבד; אתרים נוספים נכנסים לתחרות של "אנחנו לא תומכים בכם ואנחנו מודים בזה" מטעם קרן רשת שוקן לאינטרנט לא נגיש בישראל.

וואלה! העלו היום כתבה תחת הכותרת "וואלה! פיירפוקס" שמסבירה בעברית פשוטה איך אפשר לעקוף את הבעיתיות של האתר שלהם בגלישה עם פיירפוקס.

ואז מגיעות התגובות: איך אתם כותבים על פיירפוקס כשהאתר שלכם לא תומך בו כמו שצריך? איך? ובכן, זה די פשוט: וואלה!, כמו כל אתר תוכן באינטרנט, היא לא גוף מונוליתי. היא מורכבת מאנשים שונים במחלקות שונות. אנחנו כותבים. אנשים אחרים מתכנתים.

אוי, כמה ישראלי מצידכם. לצעוק "זה לא אנחנו" תוך כדי הצבעה על האנשים שיושבים בחדר הסמוך. לדעתי זה זילזול באינטיליגנציה שלנו. וואלה הוא אתר תוכן, ותוכן נכתב על־ידי כותבים. בלי הכותבים לא תהיה שום הצדקה לאתר וואלה. במקום לתת מעקפים (ואולי גם לשים קישור בולט בכל הדפים) אולי פשוט תדברו עם האנשים בחדר הסמוך שפשוט יכניסו את הקוד הדרוש למערכת? זה יקח את אותו הזמן שלקח לכם לכתוב את המאמר הזה.

אנשי וואלה! היקרים, אתם יכולים לפתור את הבעיות שלכם בקלות אם רק תנסו. הקוד שאתם צריכים להוסיף לאתר איננו מסובך ולמעשה גם לא דורש ידע תכנותי רב. פשוט תוסיפו את הקוד הבא ל־CSS והעמודים יוצגו כראוי.
.wp-0-b {width: auto !important;}
.wp-1-b {width: auto !important;}

גולשים יקרים, אתם יכולים לעזור לאנשי וואלה לעשות את ההחלטה הנכונה. ספרו להם על הבעיות (אפשר גם בדוא"ל support@walla.co.il) שיש באתר שלהם ובקשו מהם לפתור אותן. במקרה של "הארץ" זה עדיין לא נפתר, אבל וואלה! עלולים להתגלות כעירניים יותר. את התשובות שלהם ניתן לשלוח אלי או לפרסם במוזילה ישראל למעקב והתייחסות.

סליחה, מה השעה?

פעולת הזזת השעון היא פעולה קלה ופשוטה, אלא שבהרבה מקרים אנשים לא מבינים את חשיבות העניין ופועלים בצורות מוזרות. במקום העבודה הקודם שלי בכל הזזת שעון היו מצמידים לכל שרת ומערכת אדם שיזיז את השעה ידנית, במקום להגדיר את המערכות לפעול כשורה.

קודם כל, תיקון קטן – אף־אחד לא צריך להזיז את השעון. ישראל לא עברה למיקום אחר על הגלובוס, כך שכל השינוי הדרוש הוא לכבות את סיבית ה־DST מהגדרת אזור הזמן או להעביר מ־GMT+3 ל־GMT+2 במערכות שלא כוללות סיבית Daylight Saving Time.

למה חשוב להזיז את השעה בצורה מסויימת ולא בצורה חופשית בידי המשתמשים? פשוט. ישנן מערכות מסויימות שבמידה ולא הוגדרו כראוי יציגו שעות שגויות. הדוגמה הקלאסית ביותר היא שימוש בדוא"ל – כאשר אנחנו נמצאים עם הגדרת זמן שונה מאשר של אדם אחר, אנחנו נקבל הודעות כאשר לכאורה הן נשלחו מהעתיד, שכן בשני המחשבים אזור הזמן הוא GMT+2, אלא שבאחד מהם השעון נמצא על DST והשעה עצמה שונתה כדי להתאים לסטנדרט.

GMT? DST? מה הולך פה?

  • כדור הארץ מחולק לפלחים שמהווים אזורי זמן. פלחים אלו אינם  סימטריים לחלוטין בעקבות מדינות שקבעו לעצמן אזור זמן אחד לכל המדינה.
  • אזור זמן נקבע בשעה מסויימת כדי שהשמש תמיד תזרח "בבוקר", וקיים סינכרון מול שאר העולם כדי שאחרים יוכלו לדעת מה השעה אצלנו.
  • "זמן אפס", הוא הזמן שלפיו נקבעת השעה, ונמצא במצפה הכוכבים של גריניץ', לונדון, בריטניה. במידה והיית בנקודה הזו בעבר, קיים שם פארק שעובר בו קו, שמרכזו בתוך מבנה המצפה.
  • שעון גריניץ' נקרא Greenwich Mean Time, או GMT בקיצור. לאחרונה התחילו לקרוא לו UTC, במקום GMT, ר"ת של Universal Time Coordination, אבל המשמעות זהה.
  • שעון גריניץ' לא נקבע לפי לונדון, וייתכן מצב בו השעה בלונדון שונה מאשר זו של גריניץ' בהתחשב בשינויי העונות.
  • אנחנו בישראל נמצאים במרחק של שעתיים מגריניץ', או בשפה המקצועית במיקום GMT+2.
  • בקיץ אנחנו מוסיפים שעה, ונמצאים במרחק של שלוש שעות מגריניץ'. מאחר ואנו לא באמת זזים, אז אזור הזמן שלנו נשאר במרחק של שעתיים מגריניץ', ואנחנו מוסיפים שעה בתירוץ של שעון קיץ. השעה הזו נקראת Daylight Saving Time, או DST בקיצור.
  • ישראל היא אחת המדינות היצירתיות ביותר בקביעת מועדי המעבר. בעוד שברוב העולם מדובר בתאריכים קבועים וידועים, בארץ זה נקבע על פי חוק, על־ידי המפלגה השולטת ובני בריתה ש"ס.  (ש"ס תמיד בצד המנצח)
  • בעקבות הבעיתיות של ישראל, במחשבים תמיד הייתה בעיה על נושא השעון. בעוד שברוב העולם מדובר בתהליך שמתבצע בצורה אוטומטית ללא התערבות המשתמש, אצלנו זה קצת יותר מסובך.
  • בווינדוס 95 המחשב היה עובר אוטומטית לשעון קיץ. הבעיה הייתה שזה היה קורה לפי התאריכים הלועזים, והיה עושה הרבה צרות למשתמשים. בווינדוס 98 מייקרוסופט הבינו שאין בריירה וביטלו את האפשרות. מאז האפשרות קיימת וניתנת לביצוע בצורה ידנית, או בצורה אוטומטית בגירסאות האחרונות של ווינדוס.
  • בשנים האחרונות מייקרוסופט התחילו להכניס את העדכונים הרצויים לתוך מנגנון העדכונים של מערכת ההפעלה. בהנחה ולא יקרה שום דבר, המחשב שלך יעבור לבד כמו שצריך. 

כיצד מתבצע העדכון בווינדוס? 

בווינדוס XP/2003/Vista, צריך שיהיה עידכון KB931836  על המחשב. ניתן לבדוק אם הוא קיים במסך ההוספה/הסרה. במידה והוא חסר, ניתן להתקין אותו מכאן.

כאשר העדכון הזה פעיל הוא למעשה יגדיר שאזור הזמן של ישראל (IST) תוקפו יפוג בשעת היעד, ויגרום לקפיצה של השעון לשעה הרצוייה. עבודה בצורה כזו היא הדרך היחידה שתאפשר להמשיך ולהסתנכרן מול שרתי זמן ברשת.

במידה ורוצים להשתמש בפתרונות המיושנים יותר, יש צורך לערוך את הגדרות אזור הזמן ידנית. שחר שמש עשה את זה בשבילכם.

בעבר מייקרוסופט היו מעלים לאתר הישראלי שלהם דפים שמסבירים את הנושא, אבל נראה שלא מעניינים אותם כיום מקרים של אנשים שלא עובדים עם העדכונים האוטומטיים מופעלים. בכל מקרה התיעוד של הנושא נמצא כאן.

בלינוקס? 

התשובה הקצרה – כנראה וזה כבר יעבוד כמו שצריך. בלינוקס יש קהילה גדולה וחמה, ומישהו כבר דאג לפנינו לקבצים המתאימים.

התשובה הארוכה – אילן שביט כתב את זה לפני.

שתהיה לכולכם שינה טובה. הרווחתם שעה. 🙂

שיווק פיירפוקס למשתמשים בארץ

Firefox הורד עד כה מעל 400 מליון פעמים מהאינטרנט. לפחות רבע מהמורידים ממשיכים להשתמש בדפדפן באופן קבוע. באירופה מדברים על מעל ל־25% מכלל הגולשים, כאשר סלובניה ופינלנד מובילות בראש עם מעל ל־45% לטובת Firefox. בארץ המספרים קצת יותר נמוכים, אבל בידנו הכוח לשנות זאת.

בימים האחרונים הפעלנו במוזילה ישראל אתר חדש שמטרתו להגביר את הפרסום של פיירפוקס כדפדפן מתקדם, מעבר לאוכלוסיית המשתמשים שכבר מכירים והתנסו בדפדפן. נכון לרגע זה האתר מכיל מספר מצומצם של דפי מידע שיווקי שניתן לקשר ולהפנות אליהם משתמשים וחברים, ואנחנו מחפשים דרכים נוספות להגדלת היקף הפעילות של האתר.

אתם מוזמנים להצטרף: www.firefox.co.il

גוגל משיקה

לועסי הטכנולוגיה אומרים ששבוע הבא גוגל תשיק משהו חדש. האמת שזה מעניין אותנו רק בגלל שזה גוגל, וגם אם מדובר בהקשה של מוצר שולי ומיותר, עצם העובדה שמדובר בגוגל כבר מעוררת עניין וסקרנות.

מה אתם אומרים? מה המוצר החיוני שגוגל ישיקו שבוע הבא בכנס של TechCrunch?

ההשתתפות אסורה על שושנה פורבס וחתוליה שיחיו.