Zabezpiecz domową sieć logiczną

Zazwyczaj nad problemem zaczynamy się zastanawiać wtedy, gdy z różnych mediów słyszymy o atakach na korporacyjne sieci logiczne, czy też wycieku informacji itp.

Uwzględniając dostępność urządzeń sieciowych (routerów) oraz ich cenę, coraz więcej użytkowników decyduje się na ich zakup, gdyż zdecydowanie bardziej narażone są komputery (szczególnie domowe), które do łączenia się z internetem wykorzystują np. modem ADSL podłączany przez port USB. Wtedy też wystawiamy je na bezpośrednie ataki internetowe!

W przypadku podłączenia komputera do urządzenia sieciowego (routera) i jego prawidłowej konfiguracji podwyższymy poziom bezpieczeństwa naszych cennych zasobów (danych użytkownika) w komunikacji ze światem.

Cena podstawowego urządzenia zaczyna się już od 100zł i wzwyż.
Między innymi (ceny z dnia powstania artykułu):
Z MODEMEM ADSL 2/2+ (Neostrada, Dialog, Net24)
– 180 zł D-Link Wireless G ADSL2 Router DSL-2640B
– 160 zł Pentagram Cerberus ADSL 2 Wi-Fi 802.11g Plus 6331-6
– 190 zł Netgear ADSL Wireless 54 Mbit Firewall Router 4xLAN (Annex A) – DG834GEE
– 200 zł Linksys Wireless-G Router ADSL WAG200G
Z PORTEM WAN (sieci osiedlowe, telewizje kablowe)
– 180 zł D-Link Wireless N Router DIR-615
– 200 zł Linksys Wireless-G Broadband Router – WRT54GL
– 215 zł Netgear Wireless Super G DSL/Cable Firewall Router 4xLAN, 1xWAN – WGT624EE
– 100 zł Pentagram Cerberus Wi-Fi P 6391

Kupując nowe urządzenie, bez większej znajomości tematu, możemy je skonfigurować za pomocą podstawowych kreatorów (dostarczonych np. na płytach CD) naszą sieć logiczną i połączenie internetowe. W instrukcjach możemy również wyczytać, jakie warunki powinien spełnić nasz sprzęt, który będziemy podłączać do sieci.

Jednakże, mimo kreatorów wielu użytkowników z braku świadomości pozostawia takie urządzenia niezabezpieczone!

Czym to grozi?
Przykładów jest wiele. Generalnie zaczyna się tak: użytkownik zakupił urządzenie sieciowe (router). Po różnych próbach, udało mu się połączyć w sieć swój sprzęt. Cieszy się funkcjonalnością i …

Przykład 1. … nie zmienił hasła administracyjnego do panelu zarządzającego.
To mniej więcej tak, jak pozostawienie otwartego extra auta z kluczykami na ruchliwej ulicy pełnej różnych ludzi.
Jest to najbardziej niebezpieczny błąd użytkownika. Wszyscy producenci stosują domyślne hasła do swoich produktów, które są ogólnodostępne. Nie zmieniając ich możemy narazić się na poważne kłopoty. Kontrolę nad naszym urządzeniem przejmuje atakujący! Skutki mogą być różne, począwszy od: zablokowania, czy też nawet uszkodzenia urządzenia, przekierowania adresów na niewłaściwe strony, zablokowanie stron internetowych, podsłuchiwanie pakietów, wyłudzanie informacji (np. haseł do kont), podszywanie się, włamanie na lokalne komputery, wykorzystanie jako serwer SPAMU itd.

Przykład 2. … udostępnił sieć bezprzewodową bez ograniczeń.
To mniej więcej tak, jak pożyczanie extra auta nieznajomym z ruchliwej ulicy pełnej różnych ludzi.
Kolejne poważne zagrożenie. Otóż, jeżeli udostępnimy wszystkim dostęp do naszych zasobów lokalnych i internetowych, atakujący może: próbować przejąć kontrolę, łamać prawo w internecie, a my za to będziemy odpowiadać, podsłuchiwać pakiety, wyłudzać informacje (np. hasła do kont), włamywać się na lokalne komputery itd.

Przykład 3. … nie zaszyfrował transmisji bezprzewodowej.
To mniej więcej tak, jak pozostawienie zamkniętego extra auta z kluczykami i otwartym oknem na ruchliwej ulicy pełnej różnych ludzi.
Następne poważne zagrożenie. Transmisje bezprzewodowe nie należą do najbezpieczniejszych, choć dzisiaj możemy stosować z powodzeniem zabezpieczenie typu WPA i WPA2, które pewnie też będzie miało swój koniec – jak każdy szyfr! W przypadku nie szyfrowania transmisji, atakujący w łatwy sposób może złamać podstawowe ograniczenia danej sieci i wykorzystywać ją w taki sam sposób jak w przykładzie 2.

Powyższe przykłady uświadamiają, że wraz z uzyskaną funkcjonalnością należy rozważyć wszystkie kwestie, również te związane z bezpieczeństwem. Należy bezwzględnie zabezpieczyć nasze urządzenie przed dostępem osób niepowołanych. Jeżeli nie mamy pewności, że nasze urządzenie zabezpieczyliśmy prawidłowo zawsze można poprosić kogoś, kto taką wiedzę posiada, a jednocześnie jest naszym zaufanym np. znajomym.

Jakie czynności należy wykonać, aby zabezpieczyć naszą sieć, a w szczególności router?
Sieci przewodowe są mniejszym zagrożeniem, gdyż atakujący musi mieć fizyczny do niej dostęp (pomijam specjalistyczne podsłuchiwanie sieci przewodowych na odległość), natomiast bezwzględnie musimy chronić naszą sieć bezprzewodową, gdyż właśnie ona może stać się kolejnym celem.

1. należy bezwzględnie zmienić domyślne hasło dostępowe do panelu administracyjnego,
2. wskazane jest zmienić domyślne porty do panelu administracyjnego np. 80-ty dla http,
3. należy ograniczyć dostęp do naszej sieci stosując uwierzytelnianie po adresach MAC kart sieciowych naszego sprzętu (choć jest to mało skuteczne ograniczenie, to blokuje dostęp mało doświadczonemu nieznajomemu np. sąsiadowi),
4. należy bezwzględnie stosować zabezpieczenie naszej sieci bezprzewodowej długim kluczem, co najmniej w WPA lub WPA2,
5. należy bezwzględnie zmienić domyślną nazwę identyfikator SSID naszej sieci bezprzewodowej,
6. wskazane jest ukryć nasz identyfikator SSID sieci bezprzewodowej (może wprawdzie zwolnić prędkość naszej sieci i jest to też mało skuteczne ograniczenie, to blokuje dostęp mało doświadczonemu nieznajomemu np. sąsiadowi),
7. jeżeli jest to możliwe, uruchom w urządzeniu Firewall z wysokimi restrykcjami,
8. jeżeli jest to możliwe, łącz się z urządzeniem za pomocą szyfrowanych transmisji np. po https,
9. jeżeli nie jest Ci potrzebny zdalny dostęp do urządzenia przez internet to go wyłącz,
10. staraj się uaktualniać oprogramowanie zarządzające swojego urządzenia.