Могу ли я получить доступ к заблокированному веб-сайту через виртуальную машину, если в хост-операционной системе заблокирован веб-адрес в файле hosts?

16

Я просматривал эту статью о Net Nanny, в которой упоминалось о том, как дети могут обойти его веб-фильтр.

Среди других методов я видел это:

Один из способов, которым подростки могут полностью обойти фильтр, - это установить на компьютер программу, которая запускает виртуальную машину, по сути, компьютер внутри компьютера. Так, например, если операционная система вашего компьютера - Windows, хитрый подросток может загрузить программу с виртуальной операционной системой Windows, на которой не установлена ​​Net Nanny, и затем просматривать веб-страницы без фильтра.

Теперь мне стало интересно, возможно ли, что это все еще возможно, если файл hosts в операционной системе хоста заблокировал доступ ко всем нежелательным веб-сайтам (предположим на данный момент, что такой огромный, регулярно обновляемый файл hosts существует), включая сайты с контентом для взрослых, веб-прокси, P2P-файлообменники и т. д.

Теперь можно было бы посетить эти заблокированные сайты из веб-браузера, работающего на виртуальной машине? Давайте также предположим, что VPN не используется, и ни Tor, ни Google не «кэшируют» представление веб-страницы .

Винаяк
источник
Я попытался запустить Ubuntu на своей установке Windows 7 с установленным K9, но хак не прошел защиту K9 :(
shortstheory
1
Вы, должно быть, делаете что-то не так, потому что я могу легко обойти это.
Винаяк
ОБНОВЛЕНИЕ: Вы, вероятно, устанавливаете режим сетевого подключения виртуальной машины как NAT. Измените это на "Bridged", и K9 больше не поможет.
Винаяк

Ответы:

26

Да. hostsФайл ничего не блокирует, он просто сообщает компьютер , где он может найти названные сайты. Когда вы попытаетесь перейти google.com, система проверит свой hostsфайл на это имя и, если он существует, будет использовать IP-адрес вместо поиска IP-адреса с DNS-сервера.

Виртуальная машина имеет свой собственный файл хоста и выполняет свое собственное разрешение имен (т. Е. Проверяет свой собственный файл хостов и связывается с собственным DNS-сервером), независимо от главного компьютера.

Даже если вы перенаправлены google.comна 127.0.0.1(распространенный способ «блокировки» веб-сайта), вы все равно можете попасть в Google, просто набрав 173.227.93.99вместо этого свой веб-браузер.

Кроме того, IP-фильтры в хост-ОС могут быть бесполезны в зависимости от конфигурации сети виртуальных машин. Обычно виртуальная машина «соединена» с сетью хоста, что означает, что весь входящий трафик дублируется и отправляется на виртуальную машину, чтобы он мог видеть весь сетевой трафик, который выполняет хост. Даже если хост настроен на блокировку или фильтрацию определенных IP-адресов (например, с помощью брандмауэра), виртуальная машина все равно увидит свою «копию» данных, что позволит виртуальной машине просматривать Интернет и игнорировать фильтр, установленный на хост-компьютер.


Помните основное правило компьютеров и безопасности: если я могу физически касаться компьютерной системы, то со временем у меня будет полный контроль над ней; У детей много свободного времени, и они ни в коем случае не являются исключением из этого правила. Это тривиальная перезагрузка системы в безопасном режиме и удаление NetNanny или любого другого программного обеспечения, установленного на нем.

Если вы хотите фильтровать / ограничивать / контролировать то, что ваши дети делают в Интернете, вам нужно делать это на уровне сети, а не на уровне системы. Посмотрите, какие функции поддерживает ваш маршрутизатор (например, NetNanny Integration, как предлагает @Keltari), и будет ли он поддерживать альтернативные прошивки маршрутизатора, такие как DD-WRT, которые могут выполнять запланированное отключение компьютера ребенка (например, с 22:00 до 6:00 каждый день). ).

Даже в этом случае сетевая фильтрация часто является игрой Whack-A-Mole, и ее часто легко предотвратить такими прокси, как Tor; Почти невозможно запретить кому-либо доступ в Интернет, который действительно хочет (просто спросите Китай или другие страны, у которых есть массивные межсетевые экраны, которые в конечном итоге не работают идеально).

С детьми вы либо должны поговорить с ними и объяснить им опасности в Интернете, но и достаточно доверять, что они не будут преднамеренно искать плохие сайты (а затем использовать NetNanny просто в качестве резервной копии, чтобы остановить случайные переходы), или Вы не должны позволять им использовать подключенный компьютер без присмотра.

Дарт Андроид
источник
2
+1. Проверьте, поддерживает ли ваш маршрутизатор нетнанную интеграцию, некоторые делают. Если нет, вы всегда можете купить тот, который делает.
Келтари
Благодарность! Мне просто было интересно узнать то же самое (то есть, сработало ли это, если бы сетевой адаптер виртуальной машины был «соединен» с хостом или был настроен как NAT)
Vinayak,
1
@Vinayak Посмотрите мои изменения в моем сообщении; «Черный список» прокси (где вы добавляете сайты, которые нужно заблокировать) может помочь, если вы хотите остановить случайную навигацию по плохим сайтам, но в конечном итоге кто-то может обойти это, если захочет. Прокси-сервер «белого списка» (где вы добавляете сайты, которые должны быть разрешены, а все остальное заблокировано) может помешать людям переходить на нежелательные сайты, но требует много, гораздо больше работы для обслуживания, поскольку вам необходимо добавить каждый домен или IP-адрес в белый список , Такой сайт, как SuperUser, вероятно, имеет 5-10 различных доменов, которые должны быть в белом списке, если не больше.
Дарт Андроид
1
@DarthAndroid Если вопрос «Могу ли я получить доступ к заблокированному веб-сайту через виртуальную машину ...», не должно ли первое слово вашего ответа быть «да», а не «нет»?
Digital Chris
13
+1 за «поговорить со своими детьми» ... часто лучший ответ.
Брэд
0

Файл hosts ДЕЛАЕТ блокировать изображения, рекламу и веб-сайты, если перед URL-адресом указан адрес 0.0.0.0 или 127.0.0.1. Система проверяет файл hosts на наличие адресов, и если вы указываете «домашний» или «нулевой» адрес в качестве места для поиска ресурса, то этот элемент эффективно блокируется.

Люди все время используют его для блокировки вредоносных сайтов, рекламных URL-адресов и многих других вещей. OpenDNS делает то же самое для вас, блокируя доступ к категориям веб-сайтов и т. Д., Которые вы не хотите видеть.

Правильный ответ: ДА, вы МОЖЕТЕ обойти блокировку содержимого файла hosts с помощью виртуальной машины, поскольку виртуальная машина использует собственный файл hosts.

Но сказать, что файл hosts ничего не блокирует, - это просто навоз.

босс
источник