Komputery połączone ze sobą tworzą coś, co nazywa się siecią. Sieć może być ogromna, jak Internet, ale mała sieć domowa również stanowi sieć.
Sieć wykorzystuje protokół do komunikacji między komputerami lub podłączonymi urządzeniami, które są nazywane węzłami (nodes). Węzłem jest więc każde fizyczne urządzenie podłączone do sieci, które ma możliwość tworzenia, odbierania lub przesyłania danych za pośrednictwem sieci. Węzeł zazwyczaj posiada własny adres IP (IP address), który pozwala zidentyfikować konkretne źródło urządzenia do wysyłania i odbierania danych. Na przykład w sieci domowej komputer osobisty, smartfon, drukarka i router internetowy są przykładami węzłów w tej samej sieci.
Internet jako sieć
Internet jest w istocie siecią sieci. Łączy on poszczególne sieci, takie jak sieci domowe, rządowe i firmowe, umożliwiając przesyłanie danych przez różne węzły podłączone do sieci internetowej. Dzięki temu dane mogą podróżować po całym świecie w sposób, który może wydawać się błyskawiczny.
Sieć internetowa umożliwia połączenie węzłów sieciowych z innymi węzłami sieciowymi w celu skierowania ruchu danych od nadawcy do zamierzonego serwera docelowego. Żaden pojedynczy podmiot nie kontroluje wszystkich węzłów sieci, co sprawia, że jest to tzw. sieć rozproszona. Jest to kluczowy element w utrzymaniu integralności Internetu i wymienianych w nim danych.
W poniższym przykładzie każda kropka reprezentuje węzeł, a każdy węzeł może być albo usługą routingu (trasowania), albo całą siecią. Ruch z węzła A do węzła Z będzie przekazywany przez Internet za pośrednictwem wielu węzłów, o czym decydują informacje o trasie węzłów. Trasa nie musi być taka sama dla każdego pakietu danych. Poszczególne węzły nie muszą rozumieć topologii sieci, wystarczy, że znają tylko następny punkt na trasie do celu.
Przyjrzyjmy się bliżej sieci i temu, w jaki sposób łączy się ona z Internetem i innymi węzłami. Zobacz poniższy obrazek jako przykład.
Internet jest siecią sieci. Twoja sieć domowa jest tylko jedną z sieci w rozproszonej sieci, jaką jest Internet.
1. sieci akademickie, 2. Sieci domowe, 3. Sieci mobilne, 4. Sieci firmowe, 5. Dostawcy sieci
Domowa (lub lokalna) sieć
Kiedy łączysz się z siecią w domu, czy to przez Wi-Fi, czy przez sieć przewodową, znajdujesz się w oddzielnej sieci, która jest podłączona do Internetu, zwykle przez router domowy. Router zapewnia dostęp do Internetu i wie, które urządzenia znajdują się w sieci domowej, a które poza nią. Ponadto wie, dokąd powinien być przekierowany ruch dla nieznanych celów. Niektóre routery zapewniają również pewien rodzaj ochrony przed ruchem poza siecią domową. Zabezpieczenia te zależą od marki i modelu routera oraz innych potencjalnych urządzeń, które mogą znajdować się między komputerem a siecią zewnętrzną. Dostawcy sieci mogą też sprzedawać usługi chroniące Twoją sieć.
Ważne jest, aby zrozumieć, że każdy węzeł, przez który przechodzi ruch sieciowy po opuszczeniu sieci domowej, może potencjalnie monitorować lub przechwytywać komunikację. O tym, jak ważne jest zabezpieczenie komunikacji, dowiedzieliśmy się w poprzednim rozdziale. W tym rozdziale skupimy się na tym, jak upewnić się, że sieć, przez którą przechodzi komunikacja, jest również bezpieczna.
Przyjrzyjmy się bliżej sieci domowej.
A. Dostawca usług internetowych; B. Telefon komórkowy; C. Modem Wi-Fi; D. Inteligentny telewizor; E. Laptop
Większość sieci domowych składa się tylko z modemu/routera, a urządzenia są podłączone do routera za pomocą połączenia bezprzewodowego. Modem może być urządzeniem oddzielnym od routera lub mogą być one zintegrowane w tym samym urządzeniu. W takim przypadku wszystkie urządzenia łączą się z routerem. Wiele osób uważa sieć domową (lub sieć lokalną, jak się ją również nazywa) za sieć zaufaną. Oznacza to, że większość urządzeń nie próbuje blokować żadnych połączeń w tej sieci, na przykład w celu udostępniania plików. Router przekazuje również dane pomiędzy urządzeniami bezpośrednio do niego podłączonymi, nie kierując ruchu do szerszego Internetu. Router widzi wszystkie dane, które przez niego przechodzą, jeśli nie są one zaszyfrowane. Dodatkowo, jeśli nie łączysz się z routerem za pomocą zabezpieczonego połączenia, ruch bezprzewodowy może nie być w ogóle szyfrowany, a wszelkie urządzenia znajdujące się w pobliżu mogą podsłuchiwać niezaszyfrowany ruch.
Szyfrowanie połączenia z siecią lokalną
Pierwszym krokiem, o który warto zadbać, jest użycie bezpiecznego połączenia z routerem Wi-Fi. Zazwyczaj domyślną konfiguracją na większości routerów jest korzystanie z połączenia szyfrowanego, ale jest kilka rzeczy, o których należy pamiętać:
1) Domyślne hasła na niektórych urządzeniach są powszechnie znane. Jeśli atakujący zidentyfikuje markę i model routera, może spróbować użyć domyślnych danych uwierzytelniających i połączyć się z siecią.
Zawsze należy dokonać zmiany domyślnego hasła dołączenia do sieci. Podobnie jak w przypadku tworzenia haseł logowania do kont internetowych, hasła dostępu do sieci lokalnej powinny być zgodne z najlepszymi praktykami (patrz rozdział 2.3), aby nie były zbyt łatwe do odgadnięcia lub złamania.
2) Domyślnie każdy użytkownik sieci lokalnej może uzyskać dostęp do interfejsu administracyjnego routera. Zazwyczaj jest on chroniony znaną nazwą użytkownika i hasłem, które można łatwo znaleźć w Internecie.
Należy również zmienić hasło używane do dostępu do interfejsu administracyjnego routera.
3) Router może używać starszej wersji szyfrowania, która jest łatwa do złamania. Wersje protokołu, których należy unikać to WEP i WPA, które są przestarzałe.
Bezpieczniejsze jest szyfrowanie WPA2 i nowe WPA3. Jeśli Twój router Wi-Fi obsługuje protokół WPA3, warto rozważyć przejście na niego. Instrukcje dotyczące sprawdzania tego w zależności od typu komputera znajdują się poniżej.
Sprawdzanie zabezpieczeń sieci Wi-Fi na komputerze Mac
Trzymając wciśnięty klawisz Option (alt), kliknij ikonę Wi-Fi na pasku narzędzi. Używany protokół można znaleźć pod nagłówkiem Zabezpieczenia.
Sprawdzanie zabezpieczeń sieci Wi-Fi na komputerze z systemem Windows 10
W systemie Windows 10 kliknij ikonę Połączenie Wi-Fi na pasku zadań. Kliknij przycisk Właściwości pod połączeniem Wi-Fi. Odszukaj Szczegóły Wi-Fi, a pod nimi Typ zabezpieczeń.
Należy pamiętać, że zabezpieczenie sieci lokalnej to tylko pierwszy krok w kierunku bezpieczeństwa sieciowego. Nawet jeśli połączenie Wi-Fi jest szyfrowane (na przykład za pomocą protokołu WPA2), ruch sieciowy jest szyfrowany tylko na drodze od komputera do routera Wi-Fi. Jeśli posiadasz bezpieczne połączenie z siecią lokalną, zawartość ruchu jest szyfrowana podczas wysyłania do routera, ale router odszyfrowuje ją w celu przesłania dalej. Jeśli następny węzeł na trasie korzysta z bezpiecznego połączenia bezpośrednio z routerem, ruch jest szyfrowany przy użyciu innego klucza i wysyłany do następnego węzła. Ale jeśli następny węzeł znajduje się w Internecie, ruch niekoniecznie jest szyfrowany w ogóle, chyba że używasz szyfrowanego protokołu, takiego jak SSL lub TLS dla tego ruchu. Więcej o tych protokołach dowiemy się w następnej sekcji dotyczącej stosu sieciowego.
Ograniczanie dostępu do sieci z zewnątrz
Jeśli sieć, np. domowa, jest połączona z inną siecią, np. z Internetem, połączenie powinno być ograniczone tylko do tego, co niezbędne. W przeciwnym razie wszystkie usługi dostępne w sieci domowej są dostępne dla każdego w Internecie. W sieci domowej modem zazwyczaj pełni rolę takiego filtra. Funkcjonalność tego filtrowania nazywana jest zaporą sieciową (firewall) i większość systemów operacyjnych (oprogramowanie operacyjne na urządzeniach) również ją posiada.
Zapora sieciowa ogranicza ruch przechodzący przez nią w zależności od jej reguł. Najprostsze reguły zapory po prostu zezwalają na przejście całego ruchu lub po prostu odrzucają wszystko. W zależności od zapory sieciowej może ona mieć wiele funkcji i może umożliwiać analizę ruchu w celu określenia, czy powinien on zostać przepuszczony.
Zapory sieciowe mogą być zarówno oprogramowaniem, jak i sprzętem. Zazwyczaj potrzebne są oba rodzaje. Oprogramowanie na komputerze chroni go przed zagrożeniami pochodzącymi z sieci, w której się znajdujesz. Zagrożenia te obejmują takie rzeczy, jak wirusy i błędy, takie jak złośliwe oprogramowanie, które może uszkodzić sprzęt lub przejąć kontrolę nad komputerem. Firewall sprzętowy jest dobrym narzędziem do ochrony sieci lokalnej przed Internetem. Przykładem takiego urządzenia jest modem, fizyczne urządzenie, które działa jako granica sieci poprzez monitorowanie całego ruchu przychodzącego i wychodzącego.
Większość firewalli działa na poziomie pakietów (więcej na temat pakietów dowiemy się w następnej sekcji dotyczącej stosu sieciowego). Filtrują one pakiety w oparciu o ich typ, adres nadawcy i port lub adres odbiorcy i port. Bardziej zaawansowane firewalle nowej generacji oferują więcej funkcji, takich jak inspekcja ruchu szyfrowanego, skanery antywirusowe, wykrywanie włamań i inspekcja pakietów. Niektóre zapory pozwalają na stateczną inspekcję ruchu.
Router Twojej sieci domowej najprawdopodobniej zawiera podstawową zaporę sieciową, która pozwala na (większość) ruchu do Internetu, ale odrzuca ruch z Internetu, który nie jest inicjowany przez Ciebie, np. odpowiedź na żądanie strony internetowej. W większości innych przypadków, zwłaszcza jeśli prowadzisz firmę, prosty firewall najprawdopodobniej nie zapewni Ci odpowiedniej ochrony.
Pomyśl na przykład o korzystaniu z publicznego hotspotu Wi-Fi w celu sprawdzenia poczty elektronicznej. Jeśli nie pobierasz wiadomości e-mail za pomocą szyfrowanego połączenia, sieć może zobaczyć ich zawartość. Jeśli nie korzystasz z zaufanej sieci Wi-Fi, takiej jak sieć domowa, kto kontroluje tę sieć? Czy możesz mieć pewność, że nikt nie odczyta całej niezaszyfrowanej komunikacji w sieci lokalnej, z której korzystasz? Możesz mieć włączone usługi udostępniania plików (na przykład AirDrop) w swojej najbliższej sieci, która może być teraz kontrolowana przez każdego, kto ma dostęp do sieci.
Prawdziwy przykład ataków na sieć Wi-Fi można było obserwować w 2015 r., kiedy to zespół hakerów pokazał, jak ryzykowne może być korzystanie z niezabezpieczonego połączenia bezprzewodowego. Zespół zademonstrował ryzyko poprzez złośliwe zhakowanie trzech brytyjskich polityków,, mimo że politycy wiedzieli, że biorą udział w eksperymencie.
Zero trust - strategia zerowego zaufania
Strategia zerowego zaufania to termin, o którym coraz częściej wspomina się przy okazji omawiania architektury bezpieczeństwa. Termin ten w zasadzie oznacza, że zamiast zakładać, że każda sieć wewnętrzna i urządzenia w niej mogą być bezpieczne, należy założyć, że wszystkie urządzenia są niebezpieczne. Oznacza to, że wszystkie urządzenia muszą zostać zweryfikowane i ocenione pod względem bezpieczeństwa przed wpuszczeniem ich do sieci.
Segmentacja sieci (oddzielenie segmentów sieci granicami, które są kontrolowane i umożliwiają dostęp do siebie tylko za pomocą oddzielnie zdefiniowanych metod) jest jedną z często stosowanych metod zwiększania kontroli nad siecią, przynajmniej w sieciach firmowych. Monitorowanie urządzeń i połączeń jest również niezbędne do osiągnięcia modelu zerowego zaufania.
Podczas gdy tradycyjnie sieci domowe po prostu pozwalałyby wszystkim urządzeniom łączyć się i komunikować w obrębie sieci, w modelu zero zaufania zezwala się tylko zweryfikowanym urządzeniom na dostęp do sieci i wymaga się, aby cała komunikacja wewnętrzna została również uwierzytelniana. W praktyce osiągnięcie zerowego zaufania w sieci domowej jest trudne, ponieważ większość urządzeń albo nie obsługuje uwierzytelniania, albo polega na możliwości łączenia się z innymi urządzeniami i bezpośredniego sterowania nimi.
Na przykład zwykły inteligentny telewizor niestety nie dba o połączenia, na które pozwala, ponieważ został zaprojektowany do użytku w zaufanej sieci. Podczas gdy przypadkowe wstrzymanie filmu na telefonie przez Twojego partnera w sąsiednim pokoju może być irytujące, te obawy o bezpieczeństwo powinny być brane pod uwagę bardziej poważnie, jeśli dzielisz swoją sieć domową z nieznanym gościem - na przykład przez Airbnb.
