Ako zabezpečiť domácu sieť ? časť 2.
Dátum: 22.10.2017
Prečítajte si druhé pokračovanie nášho článku na tému zabezpečenia domácej siete z nášho cyklu článkov o zvyšovaní povedomia o oblastiach kybernetickej bezpečnosti.
Filtrovanie tokov
Škodlivý softvér však môže používať akékoľvek iné verejné DNS servery. Tým by úplne obišiel akúkoľvek ochranu, ktorú Vám poskytuje OpenDNS. Práve preto ďalším krokom by malo byť nastavenie filtrovania dátových tokov, ktoré odchádzajú z Vašej siete smerom do Internetu. Tu treba podotknúť, že je to funkcia pre pokročilých, a že väčšina smerovačov, ktoré Vám poskytnú ISP toto neumožňuje. Na filtrovanie tokov Vám pritom postačí akékoľvek zariadenie, ktoré má v sebe jednoduchý firewall. Na niektoré domáce smerovače je možné nainštalovať operačný systém, ktorý poskytuje obrovské množstvo funkcionalít, vrátane paketového filtra.
Ak Vás táto téma zaujíma, pozrite sa na zoznam podporovaných zariadení napríklad pre operačný systém DD-WRT alebo OpenWRT, možno tam nájdete aj Váš smerovač. Ak už máte možnosť nastaviť paketový filter na smerovači, nastavte minimálne tieto pravidlá. Dôležité je tiež poradie v akom ich nastavíte:
- povoľte komunikáciu z Vašej domácej siete na IP adresy OpenDNS serverov na portoch TCP/UDP 53
- zakážte komunikáciu z Vašej domácej siete smerom na Internet (všetky IP adresy) na porte TCP/UDP 53
- ostatnú komunikáciu smerom do Internetu filtrujte podľa ďalších požiadaviek, prípadne ju povoľte
Týmito pravidlami dosiahnete to, že všetky zariadenia vo Vašej sieti sa budú môcť prekladať do DNS domény iba cez OpenDNS servery. Nasledujúce kroky sú pre odvážnejších, ktorí sú ochotní venovať viac času zabezpečeniu svojej domácej siete. Vopred upozorňujeme, že týmito krokmi si ľahko znefunkčníte služby, ktoré doma používate.
Prečítajte si tiež:
5 postrehov k Apple Special Eventu 2017 časť 1.
Vytvorenie spojenia a komunikácia medzi dvoma počítačmi v sieti prebieha cez protokoly TCP a UDP na rôznych portoch. Čísla portov určujú o akú službu ide. Existuje zoznam takzvaných známych portov (0 - 1023), registrovaných portov (1024 - 49151) a dynamických portov (49152–65535). Filtrovaním týchto portov si na Vašom smerovači viete obmedziť dostupné služby.
Zoznam známych portov je dobre spísaný napríklad na Wikipédii. Pri pokročilejšom filtrovaní by sme postupovali nasledovne: na smerovači by sme sa pokúsili odsledovať, aké toky (porty) sa zvyčajne používajú v našej sieti. Na základe dlhodobého pozorovania by sme povolili len tie, ktoré sa používajú a o ktorých vieme, že sú legálne. Všetky ostatné je potrebné zakázať.
Medzi tie najbežnejšie využívané porty patria napríklad:
- surfovanie po webe – HTTP/S – TCP/80, 443
- mailová komunikácia – SMTP - TCP/25, TCP/465
- IMAP - TCP/143, TCP/993
- POP - TCP/110, TCP/995
- sťahovanie súborov cez S/FTP – TCP/20, 21, 22
- streamovanie médií – RTPS, RTP – TCP/554
Nastavenia funkcií novej generácie
NGFW – Next Generation Firewall, čiže firewall novej generácie. Tieto zariadenia už nepatria (aspoň zatiaľ) do segmentu Domácich (HOME) zariadení. Ide o zariadenia určené minimálne pre segment SMB (malé a stredné podniky) až po riešenia v segmente Enterprise (veľké spoločnosti). Ale trendom je, že aj pokročilé funkcie sa postupne dostávajú do domáceho prostredia. Preto ešte spomenieme niektoré ďalšie funkcionality na ochranu Vašej siete, ako sú:
- ochrana proti škodlivému kódu
- sandbox v cloude
- lepšia a presnejšia reputácia webových sídiel aj IP adries
- lepšia a presnejšia kategorizácia webových sídiel
- filtrovanie aplikácií
- ochrana šifrovaných spojení (SSL)
Ochrana proti škodlivému kódu (AV/AM ochrana)
Firewally novej generácie umožňujú zapnúť AV/AM ochranu na sieťovej úrovni. To znamená, že vybrané toky, ktoré prechádzajú cez firewall, sú kontrolované AV/AM ochranou. Čiže v praxi, ak kliknete na linku, ktorá odkazuje na známy malware / vírus, firewall to automaticky zablokuje (zabráni stiahnutiu) a zobrazí varovné hlásenie. Tu je veľmi dôležité, aby Firewall mal aktívnu licenciu pre aktualizáciu antivírusovej databázy podobne, ako to je pri AV/AM riešeniach na PC.
Sandbox v cloude
Čo to vlastne je sandbox? Ide o viacvrstvovú proaktívnu ochranu pred hrozbami. Podozrivý kód je podrobený viacnásobnému filtrovaniu v nasledovných krokoch:
- sandbox vykoná najprv kontrolu vlastnou AV/AM ochranou (prípadne viacerými)
- následne vykoná kontrolu reputácie v cloudových databázach hrozieb výrobcu
- potom vykoná rýchlu, na OS nezávislú emuláciu kódu
- nakoniec vykoná simuláciu v plnom virtuálnom prostredí, kde získa kompletný kontext (vrátane aktivít systému, pokusov o exploit, webovej prevádzky, následných stiahnutí kódu, pokusov o komunikáciu a pod.)
- sandbox má zároveň možnosť skenovať URL v rámci kontrolovaných dokumentov
Na základe získaných informácií z predchádzajúcich krokov vyhodnotí, či ide o škodlivý softvér a informuje o výsledku. V prípade sofistikovanejšieho malvéru, ktorý nie je detegovaný AV/AM ochranou, je možné nastaviť firewall tak, aby automaticky odoslal podozrivý súbor na hlbšiu kontrolu do Sandboxu. Keďže samotná kontrola v sandboxe je výkonovo aj časovo náročná služba, je táto funkcionalita oddelená od samotného firewallu, a je vykonávaná buď na dedikovanom zariadení alebo v cloude. Je vhodná napríklad na kontrolu mailových príloh a podobne.
Presnejšia Kategorizácia a Reputácia webových sídiel a IP adries
Kategorizácia aj reputácia, ktorú sme už spomínali, bola vykonávaná na úrovni DNS. Pre bežné použitie v domácnosti je viac ako dostatočná. Aj pri tejto funkcii novej generácie princíp zostáva naďalej rovnaký. No ak by ste chceli presnejšie filtrovanie na základe celej URL, nie len doménového mena (ako to je v prípade DNS), bude potrebné použiť presnejšiu kategorizáciu a reputáciu na základe HTTP protokolu. Zapnutím webového filtrovania, je možné zakázať iba konkrétnu URL, nie celú doménu. Podobne ako pri OpenDNS, aj táto služba vyžaduje komunikáciu s cloudom. Takáto služba bude vyžadovať aktívnu licenciu od výrobcu daného firewallu.
Prečítajte si tiež:
Office 2016 vs. Office 365
Filtrovanie Aplikácií
Aplikačná kontrola deteguje aplikácie – často tie, ktoré najviac vyťažujú pripojenie na Internet, a dovoľuje vykonať rôzne akcie ako monitorovanie, blokovanie prípadne aplikovanie traffic shapingu.
Aplikácie ako je napríklad Google Hangouts sú identifikované na základe známych vzoriek (patterns). Aplikácia môže byť presne identifikovaná iba ak sú vzorky jedinečné. Avšak nie všetky aplikácie sa správajú jedinečne. Veľa aplikácií používa štandardné protokoly a komunikačné metódy, napríklad hra World Of Warcraft používa BitTorrent protokol na distribúciu záplat.
Aplikačná kontrola používa na detekciu signatúry takže podobne ako iné služby tiež potrebuje aktívnu licenciu kvôli aktualizácií signatúr.
Filtrovaním aplikácií viete lepšie a presnejšie kontrolovať toky vo Vašej sieti. Ak už máte nastavené filtrovanie tokov na základe portov, na firewalle novej generácie viete zároveň overiť, či daný port je používaný pre typ aplikácie, na ktorý bol určený.
Ochrana šifrovaných spojení (SSL)
Všetky vyššie spomínané bezpečnostné opatrenia je možné obísť, ak webová komunikácia bude zašifrovaná. Jednou z možností, ktoré ponúkajú firewally novej generácie je SSL Offload – rozšifrovanie SSL komunikácie, čo následne umožní vykonanie kontroly nad touto komunikáciou. Firewall v tomto prípade funguje ako takzvaný „muž uprostred“ Man-in-the-Middle. Firewall prechádzajúcu webovú komunikáciu rozšifruje, skontroluje a následne znova zašifruje. Pri správnej implementácií, je celá operácia pre koncového používateľa úplne transparentná. Zapnutím SSL Offloadu radikálne zvýšite presnosť/viditeľnosť všetkých bezpečnostných kontrol, od antivírusovej ochrany cez filtrovanie na základe reputácie, až po filtrovanie aplikácií.
V nasledujúcich článkoch sa viac pozrieme na ochranu samotných počítačov, naše odporúčania pre nastavenie a zabezpečenie domácich PC pre všetkých rodinných príslušníkov. Sledujte nás ďalej.
Prečítajte si tiež:
Ako zabezpečiť domácu sieť ? časť 1.