Myslíme aj za zákazníka.

Myslíme aj za zákazníka.

Ako zabezpečiť domácu sieť ? časť 1.

Dátum: 16.10.2017

V poslednej dobe ste mali možnosť zachytiť množstvo informácií o útokoch na počítače, ktoré môžeme sledovať po celom svete. Na Slovensku sme mohli byť svedkami útoku takzvaného vydieračského softvéru (ransomware), ktorý po nainfikovaní počítača vyhľadal a zašifroval všetky dokumenty, poznámky, rodinne fotografie, videá, prípadne celý obsah disku. Následne za dešifrovanie dát požadoval výkupne (až do výšky stoviek eur).

 


Pri súčasných hrozbách nám vyvstáva otázka:

„Máte Vašu domácu sieť dostatočne zabezpečenú?“


 

Ransomware a iný škodlivý kód využíva hlavne zlé návyky používateľov, ich nevedomosť alebo dôverčivosť. Bežne sa stáva, že pri surfovaní na internete sa objaví „správa“ o infikovaní počítača a po kliknutí na daný odkaz sa všetko (vo väčšine prípadov zdarma) vylieči. Alebo ste ako miliónty návštevník stránky práve vyhrali. Žiaľ veľa ľudí sa nechá nachytať. Následne si používateľ sám spustí škodlivý softvér, ktorý často nedeteguje žiadny antivírus.

Niekedy však stačí aj navštívenie stránky obsahujúcej malware, ktorý zneužije zraniteľnosti na Vašich zariadeniach. Máte doma do Vašej wifi siete pripojené smart TV či iné „smart home“ zariadenie, starší mobil s Androidom alebo počítač s Windows XP? Pokiaľ áno, všetky tieto zariadenia môžu obsahovať zraniteľnosti, chyby v kóde, ktoré sú buď verejne známe alebo aj také, ktoré ešte neboli zverejnené. Takúto chybu môže využiť útočník na ovládnutie tohto zariadenia a následne cez toto zariadenie ďalej šíriť škodlivý kód priamo vo Vašej sieti. Stačí skompromitovať jedno zariadenie a šíreniu tak už nič nebráni.

V nasledujúcich riadkoch sa Vám pokúsime poradiť ako zabezpečiť Vašu sieť tak, aby ste minimalizovali riziko infikovania zariadení škodlivým softvérom.

 

Základné nastavenia domáceho smerovača

Určite ste sa už stretli so základnými typmi na zabezpečenie bezdrôtovej siete, ale pre istotu si ich zopakujeme:

  • zapnite šifrovanie WPA2 / WPA / TKIP, nepoužívajte WEP
  • použite silné heslo (nič čo dá nájsť v slovníku, použite číslice a aspoň jeden špeciálny znak)
  • podľa možností heslo v pravidelných intervaloch zmeňte, ideálne je použitie programov na generovanie a správu hesiel
  • pokiaľ nepoužívate funkcie ako WPS, uPNP alebo Guest sieť vypnite ich
  • zakážte prístup na smerovač z Internetu (zmeňte prednastavené administrátorské heslo)
  • aktualizujte si Váš wifi smerovač

Možno ste niekde čítali aj ďalšie rady. Schovávanie názvu siete, filtrovanie na základe MAC adresy alebo staticky prideľované IP adresy však nemajú z pohľadu bezpečnosti veľký význam. Aj pre málo skúseného útočníka to nepredstavuje problém. 

 

Nastavenie DNS

To či Váš počítač bol nakazený sa dá odhaliť pomocou DNS. Zároveň sa s jeho pomocou dá predísť ďalším škodám. Škodlivý softvér sa bude pokúšať kontaktovať svoje riadiace centrum cez dynamicky generované domény. Ak by ste vedeli, ktoré domény sú tie zlé, potom stačí už len zablokovať každú požiadavku na takúto doménu. S týmto Vám pomôže napríklad služba OpenDNS. Nemajte obavy, táto služba je poskytovaná zadarmo. 

Ako na to?

  • je potrebné si zaregistrovať bezplatný účet na OpenDNS 
  • zvyčajne sú na Vašom domácom smerovači nastavené DNS servery Vášho poskytovateľa internetu. DNS servery zmeňte na OpenDNS servery (208.67.222.222, 208.67.220.220)
  • Váš smerovač pravdepodobne prideľuje Vašim zariadeniam aj IP adresy aj DNS, 
  • niektoré odkazujú na IP adresy DNS serverov svojho poskytovateľa – v takomto prípade to treba zmeniť na OpenDNS servery, 
  • smerovač môže odkazovať aj sám na seba – v takomto prípade preposiela všetky žiadosti na DNS servery, ktoré sme nastavili v prvom kroku – nie je teda potrebné nič meniť.
  • ak nemáte možnosť vykonať predchádzajúce zmeny, ostáva iba manuálne nastaviť DNS na každom pripojenom zariadení vo Vašej sieti

V rámci nastavení služby OpenDNS si môžete nastaviť dve hlavné funkcie:

  • filtrovanie podľa kategórií webového obsahu
  • filtrovanie podľa reputácie webových stránok

Prečítajte si tiež:

Office 2016 vs. Office 365


 

Kategorizácia webového obsahu

Táto funkcia nie je priamo bezpečnostná. Je určená na obmedzenie prístupu iba k vybraným kategóriám webového obsahu. Kategorizáciu zabezpečuje cloudová služba (v našom prípade OpenDNS). Vy si môžete zvoliť, ktoré kategórie webového obsahu budú dostupné u Vás doma (napríklad zakážete gambling alebo stránky šíriace nenávisť).

 

Reputácia webových stránok

Ďalší veľmi účinný spôsob ako sa brániť voči škodlivému softvéru je nasadiť filtrovanie na základe reputácie. Na to je potrebná externá cloudová služba, ktorá umožní filtrovať webové lokality na Internete na základe bezpečnostnej reputácie. Pri každom prístupe na webovú lokalitu sa zistí jej bezpečnostná reputácia v cloudovej službe a v prípade nebezpečnej lokality sa používateľovi zobrazí o tom výstraha.

Zakážte komunikáciu na stránky so zlou reputáciou. Medzi takéto stránky sa radia napríklad rôzne phishigové weby, ktoré sa tvária ako známa služba na Internete (Facebook, Gmail, banka), ale v skutočnosti ide o len dobre spravený podvrh. Bežný domáci používateľ si to nemusí všimnúť a dobromyseľne zadá na takého stránky svoje prihlasovacie údaje. Reputačná služba ale bežne zdarma poskytovaná nie je a aj zariadenie, ktoré bude schopné využiť takúto službu, bude patriť medzi tie drahšie. Pri výbere domáceho smerovača si skúste všimnúť či podporuje webovú reputáciu.  

 


Prečítajte si tiež:

Ako zabezpečiť domácu sieť ? časť 2.