W wypadku nawet najmniejszej sieci komputerowej niebezpieczeństwo infekcji systemu znacznie wzrasta: na atak narażone są już nie tylko stacje robocze, ale również routery i serwery – każda z tych maszyn może stać się np. nosicielem wirusów.
Problemem stają się także użytkownicy LAN-u, którzy – często nieświadomie – aktywują groźne robaki i wirusy. Sieć lokalna może zatem zostać zaatakowana już nie tylko z Internetu, ale także z komputera współpracownika czy sąsiada. Nasz pecet również staje się słabym ogniwem w zabezpieczeniu struktury. Dlatego podobnie jak administrator dbający o bezpieczeństwo wszystkich podległych mu urządzeń, tak i my powinniśmy odpowiednio chronić swój komputer.
Eter dla każdego
O bezpieczeństwie LAN-u powinniśmy myśleć już na etapie jego tworzenia. Od wyboru metody transmisji i topologii sieci zależą bowiem podatność naszej struktury na niektóre ataki oraz możliwe metody ochrony.
Najbardziej podatne na włamania są sieci bezprzewodowe. Wystarczy bowiem, że intruz znajdzie się w zasięgu fal radiowych punktu dostępowego, by mógł rozpocząć podsłuch przesyłanych we WLAN-ie informacji. Jeśli dodatkowo access point jest źle skonfigurowany, bez przeszkód skorzysta on z naszych zasobów (np. łącza internetowego) lub przejmie hasła użytkowników (np. do kont pocztowych, forów internetowych).
O tym, jak prawidłowo ustawić sieć bezprzewodową, pisaliśmy w CHIP 5/2006, s126 (patrz: “$(LC170690:Wi-Fi nie dla hakera)$”). Przypomnijmy jednak pięć najważniejszych zasad bezpiecznego WLAN-u:
Twardy jak drut
Fizyczne włamanie do sieci kablowej jest o wiele trudniejsze niż do WLAN-u. Intruz musiałby podpiąć się do jednego z naszych przełączników – bezpośrednio do wolnego portu lub pośrednio np. poprzez “krokodylki” i okablowanie poprowadzone do mieszkania któregoś z użytkowników.
Gdy LAN nie wykracza poza jeden lokal, problem praktycznie nie istnieje. Do nadużyć może jednak dochodzić np. w sieciach osiedlowych, których urządzenia aktywne i przewody nie zostały należycie zabezpieczone przed dostępem osób niepowołanych. Ale i tu nie jesteśmy do końca bezradni. Dysponując zaawansowanymi przełącznikami (patrz: “$(LC171393:Dziel i rządź)$”), możemy utrudnić lub wręcz udaremnić włamywaczom atak, uruchamiając na urządzeniach odpowiednie opcje zabezpieczające (np. wyłączyć nieaktywne gniazda lub uaktywnić filtrowanie adresów MAC na poszczególnych portach switcha).
Do budowy sieci przewodowej należy też używać przełączników (switchy), a nie koncentratorów (hubów), ponieważ te pierwsze utrudniają podsłuch i zmuszają intruzów do stosowania zaawansowanych technik hakerskich (np. arp-poisoningu).
Nie tylko koń trojański
Komputery wewnątrz sieci LAN są zwykle gorzej zabezpieczone niż te mające internetowy adres IP i dlatego dużo łatwiej je zaatakować “od środka”. Jeśli włamywaczowi uda się podłączyć do naszej sieci, to jego komputer będzie w niej funkcjonował jak każda inna stacja robocza. Wroga maszyna ze sfałszowanym adresem MAC i odpowiednio dobranym IP dostanie się do wszystkich źle chronionych zasobów: dysków sieciowych, drukarek itd. Intruz ma też szansę przechwycić poufne dane (loginy i hasła do serwerów) i wykorzystać je w przyszłości. Najważniejsze zasady obrony stacji roboczych można ująć w następujących punktach:
Oprócz tego każdy komputer w sieci lokalnej powinien mieć zainstalowany i uruchomiony firewall, który będzie go chronił przed ewentualnymi atakami pochodzącymi z LAN-u. Zaporę należy skonfigurować bardzo uważnie, tak by jednocześnie nie zablokować sobie dostępu np. do dysków lokalnego serwera. Warto skorzystać z oprogramowania (np. Sygate Personal Firewall, Look’n’Stop), które pozwala na filtrowanie pakietów (ramek) na podstawie adresów MAC. Odpowiednie reguły takiej zapory zwiększą odporność chronionego komputera na atak spoofingu, polegającego na podszywaniu się przez atakującego np. pod bramę internetową czy serwer.