Jak u Pana Boga za piecem

Nawet najmniejsza sieć komputerowa jest narażona na ataki z zewnątrz i niebezpieczne działania własnych użytkowników. Jednak dobrze skonfigurowana struktura będzie odporna na większość zagrożeń

Ochrona tylko jednej, podłączonej do Internetu maszyny wymaga zainstalowania dużej liczby programów: antywirusowego, antyspyware’owego, antyspamowego i najważniejsze – skutecznej zapory ogniowej. Dodatkowo wszystkie aplikacje trzeba jeszcze prawidłowo skonfigurować i reagować, np. gdy komputer poinformuje nas, że wykrył niebezpieczne połączenie.

W wypadku nawet najmniejszej sieci komputerowej niebezpieczeństwo infekcji systemu znacznie wzrasta: na atak narażone są już nie tylko stacje robocze, ale również routery i serwery – każda z tych maszyn może stać się np. nosicielem wirusów.

Problemem stają się także użytkownicy LAN-u, którzy – często nieświadomie – aktywują groźne robaki i wirusy. Sieć lokalna może zatem zostać zaatakowana już nie tylko z Internetu, ale także z komputera współpracownika czy sąsiada. Nasz pecet również staje się słabym ogniwem w zabezpieczeniu struktury. Dlatego podobnie jak administrator dbający o bezpieczeństwo wszystkich podległych mu urządzeń, tak i my powinniśmy odpowiednio chronić swój komputer.

Eter dla każdego

O bezpieczeństwie LAN-u powinniśmy myśleć już na etapie jego tworzenia. Od wyboru metody transmisji i topologii sieci zależą bowiem podatność naszej struktury na niektóre ataki oraz możliwe metody ochrony.

Najbardziej podatne na włamania są sieci bezprzewodowe. Wystarczy bowiem, że intruz znajdzie się w zasięgu fal radiowych punktu dostępowego, by mógł rozpocząć podsłuch przesyłanych we WLAN-ie informacji. Jeśli dodatkowo access point jest źle skonfigurowany, bez przeszkód skorzysta on z naszych zasobów (np. łącza internetowego) lub przejmie hasła użytkowników (np. do kont pocztowych, forów internetowych).

O tym, jak prawidłowo ustawić sieć bezprzewodową, pisaliśmy w CHIP 5/2006, s126 (patrz: „$(LC170690:Wi-Fi nie dla hakera)$”). Przypomnijmy jednak pięć najważniejszych zasad bezpiecznego WLAN-u:

  • nie używaj domyślnej konfiguracji punktu dostępowego,
  • ukryj istnienie sieci przed niepowołanymi osobami; jako SSID użyj skomplikowanej nazwy (np. B1s4uPiN) i wyłącz jego rozgłaszanie,
  • korzystaj z najmocniejszego szyfrowania transmisji, jakie oferuje twój access point; naj­lepiej, aby był to jeden ze standardów WPA z algorytmem AES; standard WEP nie gwarantuje pełnego bezpieczeństwa (wprawiony haker złamie klucz sieciowy w kilkanaście minut),
  • pozwalaj na komunikowanie się z access pointem tylko znanym kartom sieciowym; włącz filtrowanie MAC,
  • ustaw mocne hasło zabezpieczające sieć, czyli tzw. klucz sieciowy; niech będzie on frazą składającą się z kilkunastu małych i wielkich liter, cyfr oraz znaków specjalnych.
  • Twardy jak drut

    Fizyczne włamanie do sieci kablowej jest o wiele trudniejsze niż do WLAN-u. Intruz musiałby podpiąć się do jednego z naszych przełączników – bezpośrednio do wolnego portu lub pośrednio np. poprzez „krokodylki” i okablowanie poprowadzone do mieszkania któregoś z użytkowników.

    Gdy LAN nie wykracza poza jeden lokal, problem praktycznie nie istnieje. Do nadużyć może jednak dochodzić np. w sieciach osiedlowych, których urządzenia aktywne i przewody nie zostały należycie zabezpieczone przed dostępem osób niepowołanych. Ale i tu nie jesteśmy do końca bezradni. Dysponując zaawansowanymi przełącznikami (patrz: „$(LC171393:Dziel i rządź)$”), możemy utrudnić lub wręcz udaremnić włamywaczom atak, uruchamiając na urządzeniach odpowiednie opcje zabezpieczające (np. wyłączyć nieaktywne gniazda lub uaktywnić filtrowanie adresów MAC na poszczególnych portach switcha).

    Do budowy sieci przewodowej należy też używać przełączników (switchy), a nie koncentratorów (hubów), ponieważ te pierwsze utrudniają podsłuch i zmuszają intruzów do stosowania zaawansowanych technik hakerskich (np. arp-poisoningu).

    Nie tylko koń trojański

    Komputery wewnątrz sieci LAN są zwykle gorzej zabezpieczone niż te mające internetowy adres IP i dlatego dużo łatwiej je zaatakować „od środka”. Jeśli włamywaczowi uda się podłączyć do naszej sieci, to jego komputer będzie w niej funkcjonował jak każda inna stacja robocza. Wroga maszyna ze sfałszowanym adresem MAC i odpowiednio dobranym IP dostanie się do wszystkich źle chronionych zasobów: dysków sieciowych, drukarek itd. Intruz ma też szansę przechwycić poufne dane (loginy i hasła do serwerów) i wykorzystać je w przyszłości. Najważniejsze zasady obrony stacji roboczych można ująć w następujących punktach:

  • aktualizuj regularnie system oraz oprogramowanie, z którego korzystasz,
  • wyłącz anonimowy dostęp do zasobów komputera (wyłącz konto Gość),
  • pliki i drukarki udostępniaj tylko autoryzowanym przez siebie użytkownikom (np. po podaniu identyfikatora i hasła),
  • nigdy nie udostępniaj więcej, niż musisz (np. nie współdziel całych partycji), i nie pozwalaj innym osobom na zapisywanie i kasowanie plików na twoich dyskach (chyba że jest to konieczne),
  • na komunikację z serwerami usług (np. FTP, poczta, WWW) pozwalaj tylko znanym adresom IP i autoryzowanym użytkownikom,
  • stosuj szyfrowanie SSL do przesyłania haseł, szczególnie chroń w ten sposób konta pocztowe oraz w serwisach WWW.
  • Oprócz tego każdy komputer w sieci lokalnej powinien mieć zainstalowany i uruchomiony firewall, który będzie go chronił przed ewentualnymi atakami pochodzącymi z LAN-u. Zaporę należy skonfigurować bardzo uważnie, tak by jednocześnie nie zablokować sobie dostępu np. do dysków lokalnego serwera. Warto skorzystać z oprogramowania (np. Sygate Personal Firewall, Look’n’Stop), które pozwala na filtrowanie pakietów (ramek) na podstawie adresów MAC. Odpowiednie reguły takiej zapory zwiększą odporność chronionego komputera na atak spoofingu, polegającego na podszywaniu się przez atakującego np. pod bramę internetową czy serwer.

    Close

    Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.