Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?
i Zdroj: PCTuning.cz
Internet Článek Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc? | Kapitola 9

Petr Šaroun

Petr Šaroun

19. 3. 2018 03:00 43

Seznam kapitol

1. Malé domácí síťování 2. Ovladače nepodceňujte 3. Komu patří MAC Adresa 4. MAC Adresy a tabulka ARP: s kým komunikujeme 5. Základní diagnostika, ping, tracert 6. Ladíme ping pro hry
7. Směrování 8. DNS 9. Firewall, porty 10. IPv6: jak neukazovat, co nemá být vidět 11. Závěr

V posledním článku věnovanému základům problematiky malých domácích sítí si probereme základní nástroje pro práci se sítí. Otestujeme naše připojení, podíváme se, jak prověřit, zda nemáte ve hrách zbytečně špatnou odezvu sítě a jestli ji nemůžete zrychlit, nakousneme i IPv6 a seznámíme se s řadou důležitých vychytávek.

Reklama

Firewall

Řekli jsme si, že komunikace probíhá z portů, firewall ve vašem počítači sedí a omezuje přístup k těmto portům. Obvykle pouští ven všechna spojení a omezuje ty mířící dovnitř. V Microsoftím firewallu si může udělat díru každý program, který se při instalaci šikovně zeptá na administrátorské oprávnění.

Firewall by měl být filtr, který zatraceně dobře hlídá, jestli se do vašeho počítače nemůže něco dostat. Jak se věci mají? Výchozí firewall dělá, že něco dělá. Nežere moc systémových prostředků, způsobuje jen mírnější zpoždění odchozích dat, nevyžaduje žádnou znalost administrace a každý program si v něm může dělat paseku. Vy děláte, že tam je a jste rádi, že po vás nic nechce. On dělá, že něco dělá a nic po vás nechce. Oboustranná spokojenost.

Pokud nasadíte firewall třetí strany, rozhodně to bude znamenat daleko víc nastavování a hlavně - přemýšlení.

POZOR!

Lidé si zvykli na IPv4, kde útok zvenčí na domácí uživatele v podstatě nehrozil, byli jste schování za 356ti NATy a veřejnou adresu ...někteří poskytovatelé... nedávali nikomu. Mimo to, dokonce i velmi šmejdovitý firewall v nejlacinější krabičce poskytoval alespoň základní ochranu na IPv4.

Dnes je situace jiná, můžete mít IPv6 adresu a ani o tom nevíte. Váš modem/brána může IPv6 ignorovat a buď veškerý provoz na IPv6 zahazuje (lepší řešení) nebo ho prostě pouští dovnitř (horší řešení). Dost možná už dávno máte veřejnou IP adresu - byť IPv6 - a do Internetu vystrkujete nějaké porty.

Pište si o články, které vás zajímají!

Porty

Porty jsme probrali už v minulých článcích, a tak nebudu nosit dříví do lesa. Začneme pěkně zostra.

Nainstalujte si klienta služby telnet:

Instalace klienta služby Telnet
i Zdroj: PCTuning.cz
Instalace klienta služby Telnet

Telnet je nezajímavá a předpotopní služba, ale její klient umožňuje velmi zajímavé věci, jako třeba získat BANER služby, nebo alespoň získat představu o tom, co by to mohlo být za službu. Každá služba se obvykle nějak hlásí, já se přihlásím k WWW serveru právě pomocí klienta telnet.

Telnet - připojení k IP na port 80
i Zdroj: PCTuning.cz
Telnet - připojení k IP na port 80

Vybral jsem si nějaký www server, připojil se na jeho port 80 (řekli jsme si, že na portu 80 obvykle běží www server) a zkusím připojení. (Zmáčknu enter.)

Výsledek spojení
i Zdroj: PCTuning.cz
Výsledek spojení

Server spojení přijal, chviličku čekal a pak mě poslal do EU.

Jenže mi řekl docela dost věcí, jednak na daném portu běží nějaká služba, která přijímá připojení (někdo tam zvedá telefony a není to blokované FW) a jednak tady vidím, že se mnou mluví nginx. Kdybych se zkusil připojit na špatný port (kde nic neběží nebo je to blokované), telnet ohlásí chybu.

Dovolím si malou vsuvku, mezi objevením bezpečnostní díry a jejím ozáplatováním bývá nějaká obvyklá delta, tj. dejme tomu 1–3 měsíce mezi nalezením chyby a jejím ozáplatováním. Pokud se nějaký Hacker chce někam dostat, zajímají ho právě banery služeb. Musí se podívat, co tam běží za službu a pak už jen čeká, až se objeví nějaké šikovné CVE se scóre > 5.6 CVE pro nginx. Trpělivost růže přináší.

Dobrá, mám tedy nástroj na testování připojení k nějakému portu. Nástroj sice možná hloupý, ale funkční. Někdy chci zjistit, jestli je daná věc dostupná i zvenčí, na to se hodí telnet online, třeba telnet-online.net nebo adminkit.net/telnet.aspx. Bohužel jsem nenašel nástroj, který by podporoval i IPv6. Při používání takových nástrojů buďte sakra opatrní!

A co můj počítač? Jaké mám otevřené porty?

netstat
i Zdroj: PCTuning.cz
netstat

Ale! Jednak vidím docela hodně otevřených portů. V horní části pro IPv4 a v dolní části IPv6. Můj HW firewall IPv6 ignoruje a pouští všechno dovnitř, zařízení samo ale IPv6 podporuje do té míry, že dokáže doručit data na správnou MAC adresu.

Nějak se tu moc vystavuju, jako kejhající husa... A co je zač ta IP adresa 13.92.210.83?

Abych se dozvěděl o nějaké IP adrese víc, použiju online WhoIs.

netstat
i Zdroj: PCTuning.cz
netstat

Zdá se, že je to něco patřícího Microsoftu, mělo by mě to uklidnit? A co ty ostatní porty?

Namátkově se zkusím připojit na nějaký port:

Telnet na 127.0.0.1 port 5357
i Zdroj: PCTuning.cz
Telnet na 127.0.0.1 port 5357

No pěkně! Na mém počítači běží jakýsi WWW server! Já ho neinstaloval! Nějaký program si z mého počítače udělal WWW server. Co tam je? Zkusím se na to podívat v prohlížeči, ostatně je to WWW server!

netstat
i Zdroj: PCTuning.cz
netstat

To jsem se moc nedozvěděl. Dobrá, ke kterému exe souboru tento port patří?

netstat
i Zdroj: PCTuning.cz
netstat

Utilita NETSTAT obvykle ochotně prozradí, kdo na kterém portu sedí, tento proces to na sebe ovšem prásknout nechce. Systém naštěstí má přehled o tom, který proces port drží. Zkusím Netstat ještě jednou a lépe.

netstat -a -b -n -o
i Zdroj: PCTuning.cz
netstat -a -b -n -o

Aha, Windows si pouští WWW server. Hmmm, Windows jo? No a takhle si tu žijeme...

Vidím, že na mém počítači běží pochybný WWW server, to ještě nemusí nic znamenat. Třeba provoz na IPv4/IPv6 filtruje firewall mojí brány nebo Windows firewall. Mrkneme na to!

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama