Na pohybel hakerom - bezpieczne Wi-Fi

Po trzecie: uruchom firewalle w klientach

To, że od Internetu chroni Cię wbudowany w ruter firewall nic nie znaczy. Przeprowadzane aktualnie ataki bardzo rzadko naruszają integralność zewnętrznego firewalla, dużo częściej uderzają bezpośrednio w stację robocze (patrz też artykuł "Masz firewalla i myślisz, że jesteś kozakiem?"). Jak to możliwe? To proste: wystarczy, by podczas surfowania na niepewnych stronach na naszym komputerze zainstalował się koń trojański lub wirus. Gdy czujemy się bezpieczni i nie korzystamy z zabezpieczeń (firewall, program antywirusowy itd.), uczynienie z naszej maszyny zombie będzie kwestią kilkunastu sekund. Zewnętrzny firewall przepuści cały ruch od nas jako zaufany, a my nawet nie zauważymy, że dzieje się coś złego.

Dlatego zamiast jednego dużego muru otaczającego olbrzymie miasto (tj. naszą sieć) zbudujmy sieć połączonych grodów warownych, czyli chroniących się na własną rękę komputerów.

Porady drobniejsze, które jednak warto zastosować

Filtrowanie adresu MAC

Na pohybel hakerom - bezpieczne Wi-Fi

Każde urządzenie sieciowe ma unikalny adres MAC

Większość urządzeń ma możliwość zdefiniowania klientów, którzy mogą się do niego podłączać. Włączając ją i wpisując na listę adresy MAC kart sieciowych w naszej sieci, zabezpieczymy się przed podłączeniem się do niej innych urządzeń, których na tej liście nie będzie. Teoretycznie dzięki takiej procedurze zamykamy dostęp do sieci urządzeniom spoza kręgu naszych maszyn. Niestety, intruz może dość szybko i łatwo zmienić adres MAC (patrz też porada: "Hakerska sztuczka: zmiana adresu MAC")

Sieć przewodowa i Wi-Fi w różnych klasach adresowych

Na pohybel hakerom - bezpieczne Wi-Fi

Wiele urządzeń umożliwia ustawienie czasu działania, zakresów obsługiwanych adresów IP itd.

Rutery są zwykle skonfigurowane w ten sposób, że zarówno sieć przewodowa, jak i Wi-Fi działają w tej samej klasie adresowej. Na przykład komputery dostają kolejne adresy z przedziału 192.168.0.2-254, czyli 192.168.0.2, 192.168.0.3 itd. - niezależnie od tego, czy są podpięte przez Wi-Fi, czy przez kabel. Stanowi to pewne zagrożenie, gdyż potencjalny włamywacz stojący z laptopem pod oknem jest w stanie skorzystać z zasobów (filmów, plików MP3, dokumentów) udostępnionych na wszystkich komputerach w sieci. Dużo rozsądniej jest w taki sposób skonfigurować ruter, by każdy fragment sieci działał w innym przedziale adresów. Możemy to zrobić przypisując dla kabla przedział 192.168.0.2-10, a dla Wi-Fi - 10.10.10.2-10. W połączeniu z filtrowaniem adresów MAC, sensownymi maskami sieciowymi i dobrze skonfigurowanymi listami dostępu (ACL) jest to niezłe zabezpieczenie oddzielnych fragmentów LAN-u np. przed ARP spoofingiem...

Zarządzanie ruterem - tylko po kablu

Na pohybel hakerom - bezpieczne Wi-Fi

Pamiętajmy, żeby ZAMKNĄĆ dostęp do panelu konfiguracyjnego od strony Internetu

Urządzenia wielofunkcyjne (rutero-modemo-switcho-punkty dostępowe) umożliwiają zdalną administrację z poziomu przeglądarki WWW. Wystarczy wpisanie na pasku adresu punktu dostępowego i już uzyskujemy dostęp do panelu sterującego naszym urządzeniem. Niestety, jest to bardzo ryzykowna zabawa. Dlatego ustawienia urządzeń wielofunkcyjnych należy zmieniać tylko i wyłącznie po podłączeniu ich kablem do wybranej maszyny. Zakłóci to na chwilę działanie sieci, ale nie jest to zbyt wysoka cena za zachowanie bezpieczeństwa.

Uwaga, wiele urządzeń umożliwia wykorzystanie protokołu HTTPS zamiast HTTP (ten drugi przesyła dane czystym tekstem). Możemy skorzystać z tej opcji, jeśli podejrzewamy, że nawet nasz specjalny kabel znajduje się na podsłuchu.

Pamiętajmy również o wyłączeniu wszelkich dodatkowych (i zbędnych!) usług domyślnie uruchomionych w ruterze. Jedną z nich może być dostęp do powłoki i programu zarządzającego z poziomu linii poleceń (połączenie telnetem z portem 23 lub 254).