Hlavní stránka Hardware Sítě a Internet Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?
Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?
autor: Petr Šaroun , publikováno 19.3.2018
Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

V posledním článku věnovanému základům problematiky malých domácích sítí si probereme základní nástroje pro práci se sítí. Otestujeme naše připojení, podíváme se, jak prověřit, zda nemáte ve hrách zbytečně špatnou odezvu sítě a jestli ji nemůžete zrychlit, nakousneme i IPv6 a seznámíme se s řadou důležitých vychytávek.


Firewall

Řekli jsme si, že komunikace probíhá z portů, firewall ve vašem počítači sedí a omezuje přístup k těmto portům. Obvykle pouští ven všechna spojení a omezuje ty mířící dovnitř. V Microsoftím firewallu si může udělat díru každý program, který se při instalaci šikovně zeptá na administrátorské oprávnění.

Firewall by měl být filtr, který zatraceně dobře hlídá, jestli se do vašeho počítače nemůže něco dostat. Jak se věci mají? Výchozí firewall dělá, že něco dělá. Nežere moc systémových prostředků, způsobuje jen mírnější zpoždění odchozích dat, nevyžaduje žádnou znalost administrace a každý program si v něm může dělat paseku. Vy děláte, že tam je a jste rádi, že po vás nic nechce. On dělá, že něco dělá a nic po vás nechce. Oboustranná spokojenost.

Pokud nasadíte firewall třetí strany, rozhodně to bude znamenat daleko víc nastavování a hlavně - přemýšlení.

POZOR!

Lidé si zvykli na IPv4, kde útok zvenčí na domácí uživatele v podstatě nehrozil, byli jste schování za 356ti NATy a veřejnou adresu ...někteří poskytovatelé... nedávali nikomu. Mimo to, dokonce i velmi šmejdovitý firewall v nejlacinější krabičce poskytoval alespoň základní ochranu na IPv4.

Dnes je situace jiná, můžete mít IPv6 adresu a ani o tom nevíte. Váš modem/brána může IPv6 ignorovat a buď veškerý provoz na IPv6 zahazuje (lepší řešení) nebo ho prostě pouští dovnitř (horší řešení). Dost možná už dávno máte veřejnou IP adresu - byť IPv6 - a do Internetu vystrkujete nějaké porty.

Pište si o články, které vás zajímají!

Porty

Porty jsme probrali už v minulých článcích, a tak nebudu nosit dříví do lesa. Začneme pěkně zostra.

Nainstalujte si klienta služby telnet:

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Instalace klienta služby Telnet

Telnet je nezajímavá a předpotopní služba, ale její klient umožňuje velmi zajímavé věci, jako třeba získat BANER služby, nebo alespoň získat představu o tom, co by to mohlo být za službu. Každá služba se obvykle nějak hlásí, já se přihlásím k WWW serveru právě pomocí klienta telnet.

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Telnet - připojení k IP na port 80

Vybral jsem si nějaký www server, připojil se na jeho port 80 (řekli jsme si, že na portu 80 obvykle běží www server) a zkusím připojení. (Zmáčknu enter.)

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Výsledek spojení

Server spojení přijal, chviličku čekal a pak mě poslal do EU.

Jenže mi řekl docela dost věcí, jednak na daném portu běží nějaká služba, která přijímá připojení (někdo tam zvedá telefony a není to blokované FW) a jednak tady vidím, že se mnou mluví nginx. Kdybych se zkusil připojit na špatný port (kde nic neběží nebo je to blokované), telnet ohlásí chybu.

Dovolím si malou vsuvku, mezi objevením bezpečnostní díry a jejím ozáplatováním bývá nějaká obvyklá delta, tj. dejme tomu 1–3 měsíce mezi nalezením chyby a jejím ozáplatováním. Pokud se nějaký Hacker chce někam dostat, zajímají ho právě banery služeb. Musí se podívat, co tam běží za službu a pak už jen čeká, až se objeví nějaké šikovné CVE se scóre > 5.6 CVE pro nginx. Trpělivost růže přináší.

Dobrá, mám tedy nástroj na testování připojení k nějakému portu. Nástroj sice možná hloupý, ale funkční. Někdy chci zjistit, jestli je daná věc dostupná i zvenčí, na to se hodí telnet online, třeba telnet-online.net nebo adminkit.net/telnet.aspx. Bohužel jsem nenašel nástroj, který by podporoval i IPv6. Při používání takových nástrojů buďte sakra opatrní!

A co můj počítač? Jaké mám otevřené porty?

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

netstat

Ale! Jednak vidím docela hodně otevřených portů. V horní části pro IPv4 a v dolní části IPv6. Můj HW firewall IPv6 ignoruje a pouští všechno dovnitř, zařízení samo ale IPv6 podporuje do té míry, že dokáže doručit data na správnou MAC adresu.

Nějak se tu moc vystavuju, jako kejhající husa... A co je zač ta IP adresa 13.92.210.83?

Abych se dozvěděl o nějaké IP adrese víc, použiju online WhoIs.

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

netstat

Zdá se, že je to něco patřícího Microsoftu, mělo by mě to uklidnit? A co ty ostatní porty?

Namátkově se zkusím připojit na nějaký port:

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Telnet na 127.0.0.1 port 5357

No pěkně! Na mém počítači běží jakýsi WWW server! Já ho neinstaloval! Nějaký program si z mého počítače udělal WWW server. Co tam je? Zkusím se na to podívat v prohlížeči, ostatně je to WWW server!

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

netstat

To jsem se moc nedozvěděl. Dobrá, ke kterému exe souboru tento port patří?

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

netstat

Utilita NETSTAT obvykle ochotně prozradí, kdo na kterém portu sedí, tento proces to na sebe ovšem prásknout nechce. Systém naštěstí má přehled o tom, který proces port drží. Zkusím Netstat ještě jednou a lépe.

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

netstat -a -b -n -o

Aha, Windows si pouští WWW server. Hmmm, Windows jo? No a takhle si tu žijeme...

Vidím, že na mém počítači běží pochybný WWW server, to ještě nemusí nic znamenat. Třeba provoz na IPv4/IPv6 filtruje firewall mojí brány nebo Windows firewall. Mrkneme na to!



 
Komentáře naleznete na konci poslední kapitoly.
70 čtenářů navrhlo autorovi prémii: 34.2Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.