Security Tipy & Triky 20: Ako na domácu sieť

V prvej časti našich Security Tipy & Triky 01 sme popisovali ako predísť problémom s domácou WiFi. Dnes si popíšeme aké existujú možnosti na zvýšenie bezpečnosti domácej siete s použitím bežných domácich-kancelárskych (SoHo = small office home office) smerovačov (routerov). Ukážeme si ako je možné rozdeliť doma používanú sieť tak, aby sme zvýšili jej bezpečnosť bez toho, aby nás to zruinovalo.

Väčšina domácností používa jednoduchú sieť umiestnenú za bežným smerovačom (routerom), ktorý dostali od svojho poskytovateľa internetového pripojenia ako súčasť inštalačného balíčka. Tí odvážnejší ho pravdepodobne vymenili za výkonnejšie, ale v princípe stále rovnaké zariadenie. Ide vlastne o kombináciu viacerých funkcií, na ktoré sa vo firemnej sieťovej architektúre používajú osobitné zariadenia, napr. router, switch, firewall, DHCP server, bezdrôtový prístupový bod (WAP), atď. S veľkou pravdepodobnosťou obsahuje domáca sieť za takýmto zariadením niekoľko systémov pripojených káblom, ale väčšina domácich zariadení a systémov je pripojená bezdrôtovo cez WiFi, či už z dôvodu vyššieho komfortu alebo nedostatočnej dátovej kabeláže v domácnosti.

Obrázok nižšie znázorňuje zapojenie popísané v predchádzajúcej časti. Ignorovali sme modem a iné zariadenia na strane poskytovateľa a nazvali sme toto pripojenie jednoducho Internet. Zariadenie, cez ktoré sa z našej domácej siete pripájame do internetu má s najväčšou pravdepodobnosťou dynamickú verejnú IP adresu a tvorí pre našu domácu sieť bránu (gateway).

Prvý krok, ktorý nám umožní začať zvyšovať bezpečnosť našej domácej siete je vytvorenie hosťovskej bezdrôtovej siete. Hlavným účelom hosťovskej WiFi siete je poskytnúť našim hosťom prístup na internet bez toho, aby sme ich púšťali do našej domácej siete. Takto vieme oddeliť naše interné systémy, zariadenia v sieti a dáta od zariadení našich hostí. Taktiež vieme veľmi rýchlo reagovať na prípadnú kompromitáciu zariadenia našich hostí jednoduchou zmenou hesla hosťovskej WiFi siete. (Je potrebné pripomenúť, že heslo by malo mať minimálne 14 znakov a malo by byť komplexné, čo sťaží prípadným útočníkom neoprávnené preniknutie do takejto WiFi siete). Tu máme niekoľko možností ako takúto hosťovskú sieť vytvoriť.

• Použite to, čo už máte – niektoré zariadenia majú zabudovanú možnosť vytvoriť hosťovskú WiFi sieť. Takto v priebehu niekoľkých minút nakonfigurujete novú hosťovskú sieť a vaše zariadenie sa pravdepodobne postará o všetky potrebné nastavenia za účelom oddelenia hosťovskej siete od vašej domácej internej siete. Na niektorých zariadeniach je možné taktiež aktivovať tzv. „Wireless isolation mode“ čo zabezpečí, že zariadenia pripojené do hosťovskej siete nebudú schopné komunikovať medzi sebou ale iba smerom do internetu.

• Ďalšou možnosťou sú dva paralelne zapojené bezdrôtové smerovače (routre) – pri tomto zapojení sa nám to už trochu komplikuje, ale v podstate ide o dve kópie predchádzajúceho modelu. Pozostáva z oddelených routerov pre každú časť – domácu internú sieť aj pre hosťovskú sieť. Každý router umožňuje NAT, DHCP a firewall nastavenia ako pri akomkoľvek inom domácom bezdrôtovom routeri. Tieto dve oddelené siete komunikujú s internetom prostredníctvom tretieho routera. Tento router, v našom prípade, neposkytuje bezdrôtové pripojenie. Obe siete sú oddelené nakoľko z pohľadu každého bezdrôtového routera (pre domácu internú a hosťovskú sieť) je všetko na vonkajšej strane (v našom prípade tretí router) považované za internetovú komunikáciu. Existuje niekoľko spôsobov ako toto riešenie ďalej upravovať, ale to so sebou prináša aj ďalšie zvyšovanie zložitosti. Do takýchto detailov nebudeme zachádzať, nakoľko našim cieľom je ukázať ako s použitím niekoľkých základných a nie veľmi drahých zariadení vieme vytvoriť základnú segmentáciu siete, ktorá fungujú bez potreby ďalšieho zásahu.

• A nakoniec, dva sériovo zapojené bezdrôtové smerovače (routre) – ako to riešiť v prípade, že máte k dispozícií iba dva bezdrôtové routre? V takomto prípade môžeme použiť zapojenie na obrázku nižšie, avšak musíme rozumieť nasledovným obmedzeniam:

1. 1. Siete nebudú riadne segmentované
   2. Brána (Gateway) pre domácu internú sieť je súčasťou hosťovskej siete

Podľa návrhu sériového zapojenia, budú zariadenia pripojené do domácej internej siete schopné začať komunikáciu so zariadeniami v hosťovskej sieti. Toto však neplatí o komunikácii zariadení z hosťovskej siete smerom do domácej internej siete. To je možné zmeniť ak váš router podporuje statické smerovanie. S týmto je spojené aj riziko, že prípadné škodlivé zariadenie pripojené do hosťovskej siete bude mať možnosť vykonať Man-in-the-Middle útok  na bránu (gateway) domácej internej siete cez „ARP spoofing“ útok a tak možnosť sledovať nešifrovanú komunikáciu medzi domácou internou sieťou a internetom.

Z tohto dôvodu by sme mali uprednostniť riešenie s paralelným zapojením routerov.

Vyššie popísané riešenia vychádzajú z použitia tzv. All-in-one zariadení, ktoré sú jednoduchšie na obsluhu a nastavenia, ale ponúkajú taktiež slabší výkon ako pri použití jednoúčelových zariadení.  Na druhej strane, použitie jednoúčelových zariadení (napr. firewall, router, switch, WAP atď.) zvyšuje celkové náklady a samozrejme aj zložitosť celej infraštruktúry. Preto je veľmi dôležité plánovanie a rovnováha medzi nákladmi a poskytovanými úžitkovými vlastnosťami nami implementovaného riešenia.

Ako zaujímavá alternatíva sa ukazuje možnosť inštalácie alternatívneho open-source firmware na vašom all-in-one zariadení. Takéto alternatívy ponúkajú exponenciálne viac možností nastavení. Tu však je potrebné pripomenúť, že takýto firmware používa každý používateľ na svoje vlastné riziko. Preto, ak už sa rozhodnete vyskúšať takúto alternatívu, urobte tak na staršom zariadení, ktoré už nie je v záručnej dobe. Najčastejšie ide o alternatívy DD-WRT (https://dd-wrt.com ) alebo OpenWRT (https://openwrt.org ). Ďalšou možnosťou je nákup použitých a repasovaných zariadení, ktoré sa štandardne používajú vo firemnej infraštruktúre (napr. Cisco).

V budúcej časti Security Tipov a Trikov si zjednodušene ukážeme ako pristupovať k segmentácii domácej internej siete.

ARP spoofing (tiež ARP cache poisoning alebo ARP poison routing) je technika, pri ktorej útočník pošle falošnú Address Resolution Protocol (ARP) komunikáciu do lokálnej siete. Cieľom tohto útoku je spojiť útočníkovu MAC adresu s IP adresou iného zariadenia v sieti, ako napríklad v našom príklade komunikačnú bránu (default gateway) čo spôsobí, že všetka komunikácia pre túto IP adresu bude presmerovaná na útočníkove zariadenie. ARP spoofing umožňuje útočníkovi zachytiť dáta posielané v sieti, modifikovať ich alebo dokonca zastaviť všetku komunikáciu. Veľmi často je tento útok použitý ako vstup pre ďalšie spôsoby útokov, ako napríklad man-in-the-middle. Pri Man-in-the-middle (MiTM) útoku sa útočník snaží dostať medzi dve alebo viac zariadení v sieti za účelom zachytenia alebo modifikovania komunikácie medzi týmito zariadeniami.

Zaujali vás Security Tipy & Triky? Prečítajte si predchádzajúci diel: Security Tipy & Triky 19: Tiež si (ne) zálohujete svoje dáta? 5 dôvodov prečo zálohovať