利用 Apple iPhone 穿牆術

與其說是教大家 "穿牆", 不如說是提醒 "資訊安全維護人員", 在網路技術進步如此快速的時代裡, 應該隨時調整成新思維.

本方法我只有在 Windows PC 搭配 "中華電信 mPro " 用戶上測試過, 其他用戶應該可以運用相同的技巧!

步驟如下:

1. 手動設定內部網路主網段路由

假設, 公司內部所有內部伺服器的 IP 位址, 都落在主網段是 "172.16.0.0/16" 中. 同時假設 "預設閘道IP位址" 是 "172.16.1.254".

我們需要手動將這筆路由設定上去. Windows 命令模式(CMD) 當中的命令就是:

route add 172.16.0.0 mask 255.255.0.0 172.16.1.254

這是為了確保公司內部的服務都能正常使用.

*注意: "預設閘道IP位址" 的資訊, 請先另外記好, 還原連線時會需要用到!

2. 修改 "預設路由", 改成經由 iPhone

我觀察到 mPro 的 iPhone 閘道器端, 都是 "192.168.20.1" (PC 端都是 "192.168.20.2"). 所以對應到Windows 命令模式(CMD) 當中的命令就是:

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.20.1

從這時候開始, PC上的所有 Internet 連線, 就全部經由 iPhone 了!


DONE.


以上命令, 彙整成一個批次檔如下:

[IPHONE.BAT]

route add 172.16.0.0 mask 255.255.0.0 172.16.1.254
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.20.1

不用了要如何還原連線?

拔除 iPhone 後, 分兩種情境:

• 如果是動態 IP, 請直接 “修復” 網路卡刷新資訊即可.
• 如果是固定 IP, 請下以下命令回復原有的 "預設閘道器位址":

route add 0.0.0.0 mask 0.0.0.0 172.16.1.254

如果還是不能還原, 或者忘記下過那些命令, 請將 PC 關機重開, 這個命令再重複一次.

步驟二改良的方法

步驟二其實是可以改良的, 只是比較不容易理解. 簡單地說, 就是將 "預設路由", 拆解成兩筆 "/1" 路由指向 iPhone 閘道端 IP 位址. 我也把設定列出:

[simpler-IPHONE.bat]
route add 172.16.0.0 mask 255.255.0.0 172.16.1.254
route add 0.0.0.0 mask 128.0.0.0 192.168.20.1
route add 128.0.0.0 mask 128.0.0.0 192.168.20.1

因為 "/1" 路由資訊的優先權比 "0.0.0.0/0" 高 (longest match), 所以這個方法的好處是, 拔除 iPhone 時不需要另外下還原命令.

結論, 和給資訊安全人員的對策建議

有幾個方法可以防以上漏洞.

• 禁止 iPhone 的使用
• 禁止 PC 使用 USB/藍芽連接其他設備
• 禁止修改PC路由表

我還是認為, 最應該重新檢討的, 是 " Internet 的使用政策". 員工之所以需要想破頭來 "穿牆", 主要就是因為連接 Internet 的 "不必要的管制政策" 太多. "圍堵政策" 最大的問題, 就是今天也許這個洞補好了, 改天一定又有新技術來 "穿牆". 圍堵的工作永遠做不完!

事實上, iPhone 幾乎已經快要像 "傳統行動電話" 一樣, 變成人手一機的日常用品了! 即使 PC 上擋得住, 終究無法阻止員工 "利用上班時間使用 Internet".

 (雖然我也還沒有iPhone, 我是拿別人的測試, 呵呵!)

我建議 "Internet 的使用政策", 可以改成 "盡量開放, 完全記錄": 除了有病毒疑慮的網站禁止以外, 全都開放; 但是"每個使用者" "所有的Internet 活動", 都完全地記錄備查.

我相信, 如果公司的"福利夠水準", "願景夠光明", 根本不需要擔心員工濫用 Internet!

---
先這樣! 祝大家週末愉快!