V prvej časti našich Security Tipy & Triky 01 sme popisovali ako predísť problémom s domácou WiFi. Dnes si popíšeme aké existujú možnosti na zvýšenie bezpečnosti domácej siete s použitím bežných domácich-kancelárskych (SoHo = small office home office) smerovačov (routerov). Ukážeme si ako je možné rozdeliť doma používanú sieť tak, aby sme zvýšili jej bezpečnosť bez toho, aby nás to zruinovalo.
Väčšina domácností používa jednoduchú sieť umiestnenú za bežným smerovačom (routerom), ktorý dostali od svojho poskytovateľa internetového pripojenia ako súčasť inštalačného balíčka. Tí odvážnejší ho pravdepodobne vymenili za výkonnejšie, ale v princípe stále rovnaké zariadenie. Ide vlastne o kombináciu viacerých funkcií, na ktoré sa vo firemnej sieťovej architektúre používajú osobitné zariadenia, napr. router, switch, firewall, DHCP server, bezdrôtový prístupový bod (WAP), atď. S veľkou pravdepodobnosťou obsahuje domáca sieť za takýmto zariadením niekoľko systémov pripojených káblom, ale väčšina domácich zariadení a systémov je pripojená bezdrôtovo cez WiFi, či už z dôvodu vyššieho komfortu alebo nedostatočnej dátovej kabeláže v domácnosti.
Obrázok nižšie znázorňuje zapojenie popísané v predchádzajúcej časti. Ignorovali sme modem a iné zariadenia na strane poskytovateľa a nazvali sme toto pripojenie jednoducho Internet. Zariadenie, cez ktoré sa z našej domácej siete pripájame do internetu má s najväčšou pravdepodobnosťou dynamickú verejnú IP adresu a tvorí pre našu domácu sieť bránu (gateway).
Prvý krok, ktorý nám umožní začať zvyšovať bezpečnosť našej domácej siete je vytvorenie hosťovskej bezdrôtovej siete. Hlavným účelom hosťovskej WiFi siete je poskytnúť našim hosťom prístup na internet bez toho, aby sme ich púšťali do našej domácej siete. Takto vieme oddeliť naše interné systémy, zariadenia v sieti a dáta od zariadení našich hostí. Taktiež vieme veľmi rýchlo reagovať na prípadnú kompromitáciu zariadenia našich hostí jednoduchou zmenou hesla hosťovskej WiFi siete. (Je potrebné pripomenúť, že heslo by malo mať minimálne 14 znakov a malo by byť komplexné, čo sťaží prípadným útočníkom neoprávnené preniknutie do takejto WiFi siete). Tu máme niekoľko možností ako takúto hosťovskú sieť vytvoriť.
Podľa návrhu sériového zapojenia, budú zariadenia pripojené do domácej internej siete schopné začať komunikáciu so zariadeniami v hosťovskej sieti. Toto však neplatí o komunikácii zariadení z hosťovskej siete smerom do domácej internej siete. To je možné zmeniť ak váš router podporuje statické smerovanie. S týmto je spojené aj riziko, že prípadné škodlivé zariadenie pripojené do hosťovskej siete bude mať možnosť vykonať Man-in-the-Middle útok na bránu (gateway) domácej internej siete cez „ARP spoofing“ útok a tak možnosť sledovať nešifrovanú komunikáciu medzi domácou internou sieťou a internetom.
Z tohto dôvodu by sme mali uprednostniť riešenie s paralelným zapojením routerov.
Vyššie popísané riešenia vychádzajú z použitia tzv. All-in-one zariadení, ktoré sú jednoduchšie na obsluhu a nastavenia, ale ponúkajú taktiež slabší výkon ako pri použití jednoúčelových zariadení. Na druhej strane, použitie jednoúčelových zariadení (napr. firewall, router, switch, WAP atď.) zvyšuje celkové náklady a samozrejme aj zložitosť celej infraštruktúry. Preto je veľmi dôležité plánovanie a rovnováha medzi nákladmi a poskytovanými úžitkovými vlastnosťami nami implementovaného riešenia.
Ako zaujímavá alternatíva sa ukazuje možnosť inštalácie alternatívneho open-source firmware na vašom all-in-one zariadení. Takéto alternatívy ponúkajú exponenciálne viac možností nastavení. Tu však je potrebné pripomenúť, že takýto firmware používa každý používateľ na svoje vlastné riziko. Preto, ak už sa rozhodnete vyskúšať takúto alternatívu, urobte tak na staršom zariadení, ktoré už nie je v záručnej dobe. Najčastejšie ide o alternatívy DD-WRT (https://dd-wrt.com ) alebo OpenWRT (https://openwrt.org ). Ďalšou možnosťou je nákup použitých a repasovaných zariadení, ktoré sa štandardne používajú vo firemnej infraštruktúre (napr. Cisco).
V budúcej časti Security Tipov a Trikov si zjednodušene ukážeme ako pristupovať k segmentácii domácej internej siete.
ARP spoofing (tiež ARP cache poisoning alebo ARP poison routing) je technika, pri ktorej útočník pošle falošnú Address Resolution Protocol (ARP) komunikáciu do lokálnej siete. Cieľom tohto útoku je spojiť útočníkovu MAC adresu s IP adresou iného zariadenia v sieti, ako napríklad v našom príklade komunikačnú bránu (default gateway) čo spôsobí, že všetka komunikácia pre túto IP adresu bude presmerovaná na útočníkove zariadenie. ARP spoofing umožňuje útočníkovi zachytiť dáta posielané v sieti, modifikovať ich alebo dokonca zastaviť všetku komunikáciu. Veľmi často je tento útok použitý ako vstup pre ďalšie spôsoby útokov, ako napríklad man-in-the-middle. Pri Man-in-the-middle (MiTM) útoku sa útočník snaží dostať medzi dve alebo viac zariadení v sieti za účelom zachytenia alebo modifikovania komunikácie medzi týmito zariadeniami.
Zaujali vás Security Tipy & Triky? Prečítajte si predchádzajúci diel: Security Tipy & Triky 19: Tiež si (ne) zálohujete svoje dáta? 5 dôvodov prečo zálohovať
Každý e-mail, príspevok, fotografia a kliknutie, ktoré urobíte online, zanecháva stopu.
Internetové platby a kartové operácie v sebe zahŕňajú dávku jednoduchosti a okamžitej platby, no zároveň aj zvýšené riziko.
Nainštalovali ste si aplikáciu do telefónu, či tabletu, no nefunguje vám? Čo robiť a čo nie?
Nebezpečenstvo na vás nečíha len na verejných Wi-Fi sieťach, problémy, či únik dát môžu nastať aj na sieti, ktorú používate doma. Čo robiť, aby ste...