Bezpieczeństwo LAN


(Pawel Pt) #1

Ostatnio przeprowadziłem się do mieszkania "nowego budownictwa". Do tego bloku doprowadzony jest internet. Na każdej klatce schodowej znajduje się switch, z którego kable poprowadzone są do wszystkich mieszkań danej klatki. Niepokoi mnie jednak fakt, że każdy z sieci widzi komputery innych lokatorów w Otoczeniu sieciowym. Z tego co mi wiadomo, sieci LAN są też podatne na różnorakie ataki (np snifing).


(bachus) #2

Witaj na forum. Rzeczywicie ciekawe rozwiązanie. Jasne, że możesz skonfigurować na poziomie firewalla komputera, ja bym jednak pokusił się o dokupienie własnego firewalla, przy okazji np. z wbudowanym AP (będziesz mieć wifi w mieszkaniu).  Urządzenie nie będzie Cie kosztowało bardzo dużo. Najprostsze urządzenie to pewnie ze 100zł, wypada jednak wydać chociaż te 150 (im droższe, tym więcej możliwości).

Co do “sniffowania” sieci (podsłuchiwania) - dość skomplikowane w sieci ze switchem, ale nie jest niemożliwe do zrealizowania.


(Pawel Pt) #3

Posiadam router TP-LINK, ale nie podłączałem go. Czy podłączenie routera uniemożliwi innym mieszkańcom dostęp do udostępnionych zasobów mojego komputera ? Czy wszystkie komputery podpięte pod router przestaną być widoczne w otoczeniu sieciowym?


(bachus) #4

1/ napisz jaki router (czy ma odpowiednie złącze WAN). Podaj model.


(Pawel Pt) #5

Router to  TP-LINK WR740N


(roobal) #6

 Z otoczenia sieciowego będziesz odseparowany, gdyż grupy robocze działają w obrębie tej samej podsieci. Dla innych Twój router będzie widoczny jako komputer, tj. IP routera. Ten router w zupełności Ci wystarczy. Zmień oczywiście hasło domyślne do panelu logowania i zmień port z 80 na jakiś inny (nie pamiętam czy w tym modelu jest taka opcja).


(GioWDS) #7

A nie prościej pchać ruch sieciowy przez VPN?


(roobal) #8

Trzeba jeszcze najpierw mieć serwer VPN. Według mnie, korzystanie z VPN w tym przypadku to wywarzanie otwartych drzwi.


(Pawel Pt) #9

Nie widzę opcji zmiany portu. Natomiast jest opcja włączająca dostęp do strony konfiguracyjnej routera dla dowolnego adresu MAC. Skorzystam z tej opcji.


(GioWDS) #10

OK. Dostawienie routera zabezpieczy go przed widocznością z zewnątrz komputera przynajmniej jeśli będzie w innej podsieci - jeden problem rozwiązany.

Pozostał jeszcze drugi i moim zdaniem bardziej poważny: zagrożenie dla bezpieczeństwa danych przesyłanych przez sieć LAN, czyt. podsłuchiwanie transmisji. Tutaj jak sam wiesz dołożenie routera nic nie pomoże o ile osoby postronne mają dostęp do medium.


(bachus) #11

Idąc tym tokiem rozumowania każdemu zalecasz VPN to przeglądania “Pudelka” i korzystania z GMAILA po htpps?


(roobal) #12

@GioWDS jak podłączasz się do LANu jakiegoś wielkiego ISP i masz publiczne IP, to router też Cię przed niczym nie chroni, a w sieci WAN jest więcej potencjalnych atakujących, niż w sieci LAN.

Wystawiłem swojego Mikrotika na świat i w ciągu godziny miałem 50 prób zalogowania się przez telnet z różnych adresów IP. Tak więc podsłuch w sieci LAN będzie mniej prawdopodobny, niż w sieci WAN.


(Pawel Pt) #13

 Wyjaśnijcie mi jeszcze proszę, czym jest lista ARP. W routerze ustawiłem filtrowanie MAC. A opis funkcji “Wiązanie ARP” brzmi

Czy twe 2 funkcje nie służą do tego samego celu ?


(Longhorn2009) #14

Filtrowanie Mac dopuszcza tylko określone urządzenia. Powiązanie dhcp-mac pozwala przydzielać zawsze ten sam adres dla danego sprzętu.


(Pawel Pt) #15

OK, rozumiem. Mam jeszcze wątpliwości odnośnie podobieństwa dwóch funkcji routera. A mianowicie każdemu z adresów IP puli przypisałem MAC-adres konkretnego komputera w panelu o nazwie “Rezerwacja adresów” (jest to podpanel panelu “DHCP”)


(Longhorn2009) #16

Docelowo efekt ten sam. Wykorzystanie tablicy arp pozwala przyspieszyć wykonanie powiązania dhcp-mac. Nie trzeba odczytywać ze sprzętu i wpisywać do routera adresu MAC ręcznie jak w przypadku Rezerwacja adresów, wystarczy kliknąć (zależnie od routera) przycisk  Load Add  oraz  Bind All  i   adresy   IP oraz MAC urządzeń zawarte w tablicy ARP zostaną na stałe powiązane.


(Pawel Pt) #17

OK, dzięki wszystkim za pomoc.


(GioWDS) #18

Nie, dla pasywnych użytkowników Internetu to strzelanie ale jakoś nie wyobrażam sobie wysyłania, któregoś z moich haseł plain-text’em.

“Jakiś wielki ISP” pozwalający na podsłuchiwanie transmisji innych użytkowników przez kogoś niebędącego pracownikiem ichniejszej firmy? Aż poproszę przykład. 50 prób logowania w ciągu godziny to źle skonfigurowany firewall i na boga co ma wspólnego próba logowania (rozumiem, że zakończona niepowodzeniem) z podsłuchaniem transmisji.

Z resztą kto przy zdrowych zmysłach wystawia w dzisiejszych czasach telnet na świat, zmień na SSHv2 z autoryzacją na kluczach i przy próbie logowania hasłem automatycznie blokuj hosta :wink:


(roobal) #19

Oj Dawidzie :slight_smile: Nie chodzi o podsłuchy, tylko o to, że w sieci WAN kryje się więcej zagrożeń. I nie wystawiłem telnet na Świat, tylko przeczytaj jeszcze raz - w logach było 50 prób logowania na telnet. Tak, logowanie było zakończone niepowodzeniem, bo uruchomiony jest SSHv2 na zmienionym porcie. Firewall skonfigurowany jest dobrze :slight_smile:

W każdej sieci LAN mogą być podsłuchy, ale nie przesadzajmy z VPNem. ISP lokalny zawsze może zrobić tak jak wielcy, separować hosty lub można go poprosić o logowanie przez PPPoE. W każdym razie router wystarczy, aby nikt niepowołanie nie przeglądał zasobów udostępnionych po protokole SMB. Jeśli ktoś będzie chciał się włamać do sieci, to i tak to zrobi. Jednak to już jest przestępstwo, za które można ścigać, a jeśli włamanie nastąpi z tej samej sieci, daleko szukać nie trzeba. Jednak chyba tylko idiota musiałby to robić, choć wszystko możliwe. W każdym razie, nie ma co siać paniki i wyciągać armaty na muchę :wink:


(Pawel Pt) #20

Podłączyłem mój router do sieci, o której wspominałem w pierwszym poście. Dowiedziałem się potem ciekawej rzeczy. Mianowicie Internet doprowadzony jest najpierw do Liveboxa (192.168.1.1). Do niego są podpięte switche na każdej klatce schodowej. Do switchów podpięci są mieszkańcy. Podłączyłem mój router (192.168.1.100) i wywaliło mi błąd, że adres routera należy do puli WAN. Dodam, że adres przydzielony mi przez Livebox-a to 192.168.1.15 (pod takim adresem mój router widzi sieć WAN)