Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc? | Kapitola 9
Seznam kapitol
V posledním článku věnovanému základům problematiky malých domácích sítí si probereme základní nástroje pro práci se sítí. Otestujeme naše připojení, podíváme se, jak prověřit, zda nemáte ve hrách zbytečně špatnou odezvu sítě a jestli ji nemůžete zrychlit, nakousneme i IPv6 a seznámíme se s řadou důležitých vychytávek.
Firewall
Řekli jsme si, že komunikace probíhá z portů, firewall ve vašem počítači sedí a omezuje přístup k těmto portům. Obvykle pouští ven všechna spojení a omezuje ty mířící dovnitř. V Microsoftím firewallu si může udělat díru každý program, který se při instalaci šikovně zeptá na administrátorské oprávnění.
Firewall by měl být filtr, který zatraceně dobře hlídá, jestli se do vašeho počítače nemůže něco dostat. Jak se věci mají? Výchozí firewall dělá, že něco dělá. Nežere moc systémových prostředků, způsobuje jen mírnější zpoždění odchozích dat, nevyžaduje žádnou znalost administrace a každý program si v něm může dělat paseku. Vy děláte, že tam je a jste rádi, že po vás nic nechce. On dělá, že něco dělá a nic po vás nechce. Oboustranná spokojenost.
Pokud nasadíte firewall třetí strany, rozhodně to bude znamenat daleko víc nastavování a hlavně - přemýšlení.
POZOR!
Lidé si zvykli na IPv4, kde útok zvenčí na domácí uživatele v podstatě nehrozil, byli jste schování za 356ti NATy a veřejnou adresu ...někteří poskytovatelé... nedávali nikomu. Mimo to, dokonce i velmi šmejdovitý firewall v nejlacinější krabičce poskytoval alespoň základní ochranu na IPv4.
Dnes je situace jiná, můžete mít IPv6 adresu a ani o tom nevíte. Váš modem/brána může IPv6 ignorovat a buď veškerý provoz na IPv6 zahazuje (lepší řešení) nebo ho prostě pouští dovnitř (horší řešení). Dost možná už dávno máte veřejnou IP adresu - byť IPv6 - a do Internetu vystrkujete nějaké porty.
Pište si o články, které vás zajímají!
Porty
Porty jsme probrali už v minulých článcích, a tak nebudu nosit dříví do lesa. Začneme pěkně zostra.
Nainstalujte si klienta služby telnet:
Telnet je nezajímavá a předpotopní služba, ale její klient umožňuje velmi zajímavé věci, jako třeba získat BANER služby, nebo alespoň získat představu o tom, co by to mohlo být za službu. Každá služba se obvykle nějak hlásí, já se přihlásím k WWW serveru právě pomocí klienta telnet.
Vybral jsem si nějaký www server, připojil se na jeho port 80 (řekli jsme si, že na portu 80 obvykle běží www server) a zkusím připojení. (Zmáčknu enter.)
Server spojení přijal, chviličku čekal a pak mě poslal do EU.
Jenže mi řekl docela dost věcí, jednak na daném portu běží nějaká služba, která přijímá připojení (někdo tam zvedá telefony a není to blokované FW) a jednak tady vidím, že se mnou mluví nginx. Kdybych se zkusil připojit na špatný port (kde nic neběží nebo je to blokované), telnet ohlásí chybu.
Dovolím si malou vsuvku, mezi objevením bezpečnostní díry a jejím ozáplatováním bývá nějaká obvyklá delta, tj. dejme tomu 1–3 měsíce mezi nalezením chyby a jejím ozáplatováním. Pokud se nějaký Hacker chce někam dostat, zajímají ho právě banery služeb. Musí se podívat, co tam běží za službu a pak už jen čeká, až se objeví nějaké šikovné CVE se scóre > 5.6 CVE pro nginx. Trpělivost růže přináší.
Dobrá, mám tedy nástroj na testování připojení k nějakému portu. Nástroj sice možná hloupý, ale funkční. Někdy chci zjistit, jestli je daná věc dostupná i zvenčí, na to se hodí telnet online, třeba telnet-online.net nebo adminkit.net/telnet.aspx. Bohužel jsem nenašel nástroj, který by podporoval i IPv6. Při používání takových nástrojů buďte sakra opatrní!
A co můj počítač? Jaké mám otevřené porty?
Ale! Jednak vidím docela hodně otevřených portů. V horní části pro IPv4 a v dolní části IPv6. Můj HW firewall IPv6 ignoruje a pouští všechno dovnitř, zařízení samo ale IPv6 podporuje do té míry, že dokáže doručit data na správnou MAC adresu.
Nějak se tu moc vystavuju, jako kejhající husa... A co je zač ta IP adresa 13.92.210.83?
Abych se dozvěděl o nějaké IP adrese víc, použiju online WhoIs.
Zdá se, že je to něco patřícího Microsoftu, mělo by mě to uklidnit? A co ty ostatní porty?
Namátkově se zkusím připojit na nějaký port:
No pěkně! Na mém počítači běží jakýsi WWW server! Já ho neinstaloval! Nějaký program si z mého počítače udělal WWW server. Co tam je? Zkusím se na to podívat v prohlížeči, ostatně je to WWW server!
To jsem se moc nedozvěděl. Dobrá, ke kterému exe souboru tento port patří?
Utilita NETSTAT obvykle ochotně prozradí, kdo na kterém portu sedí, tento proces to na sebe ovšem prásknout nechce. Systém naštěstí má přehled o tom, který proces port drží. Zkusím Netstat ještě jednou a lépe.
Aha, Windows si pouští WWW server. Hmmm, Windows jo? No a takhle si tu žijeme...
Vidím, že na mém počítači běží pochybný WWW server, to ještě nemusí nic znamenat. Třeba provoz na IPv4/IPv6 filtruje firewall mojí brány nebo Windows firewall. Mrkneme na to!