Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?
i Zdroj: PCTuning.cz
Internet Článek Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc? | Kapitola 10

Petr Šaroun

Petr Šaroun

19. 3. 2018 03:00 43

Seznam kapitol

1. Malé domácí síťování 2. Ovladače nepodceňujte 3. Komu patří MAC Adresa 4. MAC Adresy a tabulka ARP: s kým komunikujeme 5. Základní diagnostika, ping, tracert 6. Ladíme ping pro hry
7. Směrování 8. DNS 9. Firewall, porty 10. IPv6: jak neukazovat, co nemá být vidět 11. Závěr

V posledním článku věnovanému základům problematiky malých domácích sítí si probereme základní nástroje pro práci se sítí. Otestujeme naše připojení, podíváme se, jak prověřit, zda nemáte ve hrách zbytečně špatnou odezvu sítě a jestli ji nemůžete zrychlit, nakousneme i IPv6 a seznámíme se s řadou důležitých vychytávek.

Reklama

IPv6

Okolo IPv6 se nabalila zvláštní sorta lidí, od úplně normálních, přes nadšence, až po fanatiky, kteří na sebemenší kritiku reagují přehnaně až komicky.

Idea IPv6 byla taková, že paní Blažková si na svém počítači spustí WWW server a všichni se k ní budou moci připojit. Veřejná IP adresa úplně pro každého, to byla romantická představa roku ~1996. Naivní a z dnešního pohledu hrozně hloupoučká. Dnešní internet je daleko agresivnější místo. Počet útoků a automatizovaných nástrojů dramaticky vzrostl.

Dá se souhlasit s tvrzením, že bez veřejné adresy NEMÁTE PŘIPOJENÍ K INTERNETU. Stále opakuji, že vícenásobný NAT je zlo, že máte být schováni za jedním NATem a ten má být pod vaší plnou kontrolou. Pravda je, že veřejnou adresu využije jen naprosté minimum lidí. Běžná rodina chce koukat na Internet, NETFLIX a veřejnou adresu nepotřebuje. I kdyby veřejnou adresu měli, nic by se nezměnilo, protože NAT není firewall. Většina domácích krabiček má firewall bez konfigurace, který defaultně blokuje připojení dovnitř a nedá se na něm nic nastavit, takže i kdyby veřejnou adresu měli, stejně by všechna spojení zvenčí byla blokována. Prašť jako uhoď.

To je moment, kdy se IPv6 Evangelisté zarazí. Dojde jim, že BFU nikdy nebude schopný firewall nastavit. Ti chytřejší vytáhnou jednu z méně známých funkcí, kdy program může říct firewallu „Sezame otevři se“ a on se otevře.

Tato mysteriózní volba bývá v routrech skrytá na prapodivných místech a s vtipným pojmenováním. Pokud jí najdete a zapnete, program na vašem počítači bude schopný počítač vystrčit do internetu. Že to není úplně dobrý nápad, pochopili i soudruzi v Číně. Část zařízení proto tuto volbu má defaultně vypnutou nebo se na podporu této vychytávky vykašlali úplně. Její hlavní problém byl v tom, že se jí hlavní podpory dostalo ze strany výrobců malware.

Situace může vypadat takto:
  • Váš modem IPv6 ignoruje a všechen provoz na IPv6 zahazuje, pak jste vystaveni jen nebezpečí skrz tunelování IPv6.
  • Váš modem IPv6 podporuje, ale firewall ne. Všechen provoz na IPv6 se pouští dovnitř. Všechno zůstane na Windows firewallu a na tom, kolik programů v něm udělalo díry.
  • Váš modem IPv6 podporuje a příchozí provoz na IPv6 může ven, ale dovnitř ne. Máte možnost firewall brány vypnout, jinak bez možností širší konfigurace.
  • Váš modem IPv6 podporuje a pravidla firewallu můžete konfigurovat, ALE váš poskytovatel neumožňuje připojení zvenčí do vnitřní sítě, protože to je v rozporu s jeho podmínkami použití domácího připojení.
  • Váš modem IPv6 podporuje a pravidla firewallu můžete konfigurovat, ale neumíte to.

To pro paní Blažkovou není příznivá situace, asi bude mít smůlu chuděra stará a svůj WWW server si naštěstí nepustí. Tvrdím naštěstí, protože webový server vyžaduje pravidelnou údržbu, jinak se v něm zahnízdí umpalumpové. Když budete chvilku hledat, najdete nějaký ten e-shop na napadeném hostingu, který má někde v podadresářích falešnou stránku PayPalu. To je zároveň i vzkaz pro vás, abyste ze samého nadšení nezačali hromadně instalovat Joomla na svůj počítač. Ano, rozběhnout IPv6 dnes není větší problém, spíš vám to půjde, ale také se budete daleko víc vystavovat nebezpečí z internetu.

Pro BFU je veřejná adresa především komplikace, protože může vystavovat jeho počítač do internetu mnohem víc než zahnilé vody přenatovaného rybníku našich poskytovatelů.

Znovu se podívejme na výpis z NETSTAT:

netstat ipv6
i Zdroj: PCTuning.cz
netstat ipv6

Jistě jste hned pochopili, že adresy označené jako [::] patří IPv6. Jinými slovy, na mojí veřejné IPv6 adrese mám do internetu vystrčené tyto porty a může se na ně, alespoň teoreticky, kdokoliv připojit.

Dobrá! Ale jako první ověříme, že IPv6 je funkční!

Použijeme klasický ping, tentokrát na IPv6 adresu DNS serveru GOOGLE:2001:4860:4860::8888

ping na IPv6
i Zdroj: PCTuning.cz
ping na IPv6

Všimněte si parametru -6, který říká, že mám použít IPv6. Teď byl nadbytečný. Když chci, aby před samotným pingem proběhl DNS překlad, už je přepínač -6 nezbytný, podobně se používá přepínač -4.

Správné použití parametru -6
i Zdroj: PCTuning.cz
Správné použití parametru -6

Pokročím k dalšímu testu IPv6 ZDE

Kontrola stavu IPv6
i Zdroj: PCTuning.cz
Kontrola stavu IPv6

Někdo zase preferuje tento test IPv6

Kontrola stavu IPv6
i Zdroj: PCTuning.cz
Kontrola stavu IPv6

Jak se zdá, mám na svém počítači funkční a veřejnou IPv6 adresu, otázka je, jestli se na mě může někdo dobouchat. Data může zahodit poskytovatel, moje brána nebo firewall ve Windows. Těžko říct, jestli si v něm program při instalaci udělal díry, řada programů to dělá. Nezbývá než to ověřit.

Ideální je, když máte k dispozici nějaký svůj server, protože veřejné služby jsou více či méně pochybné. Můžete narazit i na takovou, která vás obratem předhodí vlkům. Tyto služby si vygooglujete jako IPv6 port scanner.

Já použiji tuto službu, protože umožňuje skenovat rozsah portů.

Online port scanner
i Zdroj: PCTuning.cz
Online port scanner

Nechal jsem ověřit porty 1234,2179,3389,5357,7680,62427. Port 1234 jsem tam dal jako referenční, abych si byl jistý, že je zavřený. Všechny porty jsou samozřejmě opsané z NETSTATU (část [::] IPv6).

SAFRA! No, zeleně se smějící fajfky znamenají, že tyto porty prostě jen tak koukají do internetu! Výsledek si můžu ověřit třeba přes klasický nmap.

Ověření výsledku přes nmap
i Zdroj: PCTuning.cz
Ověření výsledku přes nmap

Člověk si říká, že možná přehání. Nic se nejí tak horké, ráno moudřejší a tak dále... Snad abych ten Windows firewall zase zapnul!

Online port scanner
i Zdroj: PCTuning.cz
Online port scanner

Ověření výsledku přes nmap
i Zdroj: PCTuning.cz
Ověření výsledku přes nmap

Pravda, skutečně se to trochu zlepšilo no, ale řekněme, že dobré to není.

Redakce mi bohužel nedovolí předvést techniky lovu Jožinů z bažin. Abych vám ukázal, jak hromadně sbírat IPv6 adresy, na které se dá střílet. Skenovat ten obrovský rozsah IPv6 je samozřejmě neefektivní. Nicméně takové techniky jsou, proto vám vřele doporučuji, abyste používali ochranu!

Já na svém modemu IPv6 zase zakázal, pro mě je jednoduší firewallu říct, že IPv4 adresa .8 je NAS, na který se nikdo nesmí připojit a ani on nemůže na internet. Taxativně definovat, které zařízení na internet může a které ne. Některé firewally umožňují svázat pravidla s MAC adresou, pak definujete pravidla pro jedno určité zařízení bez ohledu na jeho IP adresu, můj modem to neumí. Postarší modem Comtrend je v tomto ohledu lepší, na něm firewall pro IPv6 funguje plus mínus korektně. Dokonce zprovoznění IPv6 je otázkou jednoho kliknutí na položku „Enable IPv6“.

Aby to byla ještě větší sranda, do hry vstupují různá tunelovací zařízení jako Teredo resp. různé tunelovací mechanismy. Některé tunelovací mechanismy obchází firewall a mohou váš počítač vystrčit do sítě "jen tak".

Nepanikařte! Vezměte si následující poučení, IPv6 postupně přichází a vy se musíte postarat, abyste byli chráněni firewallem tak, aby se k vám nikdo nemohl připojit, pokud o to sami nebudete stát.

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama