Jak zabezpečit počítač proti přístupu z Internetu
Z technickýh důvodů měním poskytovatele Internetu - přecházím na bezdrát. Technické řešení bude takové, že z antény jde UTP kabel přímo do switche, který už slouží pro lokální síť.
Zajímalo by mě, jak mám zabezpečit počítače proti tomu, aby se mně v nich někdo mohl hrabat.
Prosím o osvědčené postupy - nebo snad stačí jen firewall z Windows?
Nemám zájem, aby mně někdo viděl do počítače. Díky za odpověďi.
Firewall stačí, ale raději jiný než ten z Windows. Ale pokud někdo bude odchytávat pakety v lokální síti, může zjistit např. hesla, což by bylo určitě nepříjemné. To bys musel komunikovat šifrovaně.
No a co proti tomu mám dělat? Nemůže se taky někdo hrabat ve sdílených adresářích?
Sdílené adresáře jsou určeny k hrabání. Pokud nechceš, aby se ti v nich někdo hrabal, tak je nesdílej.
Co je to za pitomost?
Sdílené adresáře jsou určené k hrabání v rámci lokální sítě!!!!
Z venku se snad nemá nikdo co hrabat, s výjimkou například FTP.
Aha, tak to se bavíme jeden o voze druhý o koze. Je to tak, jak říkáš.
pokud by tam byl switch, musel bys od wifi providera dostat přiděleno několik ip, a tvou lokální sítí by byla celá podsíť toho providera, při veřejné ip adrese celý internet.
čili ty vykřičníky by byly jen zbožným přáním :)
takže jak praví kolega, místo o koze jsi chtěl mluvit o routeru s natem (a integrovaným firewallem).
Jsem naneštěstí totální lama, takže to nějak nechápu. Poskytovatel tvrdil, že jako router s natem slouží ta bílá hranatá věc na střeše. Mně se to ale nějak nezdá, proto se raději ptám.
Ano, tyhle zařízení už bývají i integrované.
Zaprvé: místo switche tam dej router (s DHCP a NAT)
Máš strach z narušitele z wifi sítě nebo z lokálu?
.
Myslím že útoku z wifi se pak moc obávat nemusíš (pokud jseš rozumný a neklikáš na každou ptákovinu). Adresy v lokálu budou v jiném rozsahu než adresa wifi klienta. Na routeru bude docházet k překladu a nějací script kiddies se ti skrz neprotlačí.
Sám mám takto k plné spokojenosti vyřešeno 3 roky. Na lokálech mám firewall (Sygate Personal Firewall) a žádný pokus o průnik jsem za celou dobu nezaznamenal. Jestli chceš být ještě pojištěnější, vlož mezi klienta a router hardware firewall, ale to už je myslím paranoia
Jde mně o to, zamezit přístup z wifi do lokální sítě.
Dle sdělení poskytovatele připojení je NAT součástí "té věci na střeše" - je to taková bílá hranatá krabice, na štítku jsem si přečetl, že to je router + anténa.
Switch jsem původně chtěl vyměnit za router, avšak poskytovatel říkal, že je to údajně zbytečné, když předlad adres provádí již jejich zařízení. Zda má pravdu, nevím. Je-li tomu tak, tak největší riziko je asi průnik do lokální sítě od poskytovatele samotného.
Ten firewall co píšeš - to je placený produkt? Je lepší, než třeba Kerio?
Tak to bych se docela uklidnil.
Používám free verzi. Co se týče srovnání, kdesi jsem na něj čet' dobrou recenzi a po praktických zkušenostech se u mě už zabydlel. Nějaké srovnání je zde:
pokud má soused v krabici zabudovaný router, je ti schopen přiřadit více adres.
- normální je že ke každému tvému pc vede samostatný kabel do své zásuvky routeru.
- mohl by ti nastavit přidělování ip podle mac adres, pak by měl stačit jediný kabel k tobě, ale zřejmě místo svího rychlého switche bys musel mít pomalý hub, přes který jsou vidět mac adresy bez problémů, ale tato věc se už ani nedá koupit.
- pokud ti soused-provider nepošle více kabelů, musel bys použít svůj další router.
když se chceš zabezpečit proti přístupu ze strany providera a dalších lidí připojených na něj (kteří mohou mít zavirované/začervované pc), potřebuješ firewall. buď ten co je automaticky v krabičce (=domácím routeru), nebo až na koncových pc. na něco stačí i ten z xp sp2. ale pokud potřebuješ lepší přehled a sledovat odchozí traffic (kam se ti připojují úmyslně nainstalované programy či nežádoucí spyware:), pak to musí být pořádný aplikační firewall - jsou i free verze.
Pro zabezpečení sdílených adresářů použij guidelines od Microsoftu - to znamená bezpečnostní politiky na "secire workstation", NT účty se silnými hesly, NTFS a zabezpečení jen pro Authenticated Users na složkách a přirozeně aktuální verze služby Server.
Co se týče firewallu, každý kdo tvrdí že MS firewall "nestačí" očividně nechápe, co firewall vlastně je a k čemu slouží. U firewallu jsou důležíté nastavení, ne co za firewall to je. Firewall v tvém případě bude sloužit především jako ochrana před červy ze stejné sítě.
Připojím se s dotazem:
Wifi připojení (veřejná IP), pod střechou je bridge, od ní kábl do routeru v baráku (DHCP, NAT), na něj napojeno (Cat5) několik PC s adresama 192.168.xxx.xxx. Možnost správy routeru "z venku" (WAN), popř. měnit nastavení, je na routeru zakázána.
Jednotlivé PC (WP Home, SP2) mají pro svou potřebu sdílené adresáře. A Kerio fw.
Je to bezpečné z hlediska napadení/šmírování zvenku?
Mám to chápat jako klientský adaptér pro AP providera?
Pokud ano tak přesně takhle to mám nainstalované taky. Musíš mít ale docela silné heslo pro přístup do konfigurace wifi klienta. Pokud je vás na stejném AP víc a oskenuješ adresní prostor, ozývají se i další klienti. No a jejich konfigurace třeba přes web rozhraní je bez pořádného hesla snadná. Alespoň by ti moh' útočník rozhodit nastavení (i víc pokud by bylo zařízení integrované).
Počkáme si na názor IgorKa, on nám vyvrátí naši spokojenost s neprůstřelností...
Ano, klientský adaptér pro AP providera (terminologii moc neznám...)
Zapomněl jsem napsat, že tato bridge je na mém (rodinném) domě a nikdo jiný na ni není napojen. De facto z bridge bych mohl přímo připojit PC. Router mám "navíc", abych mohl zapojit více PC a IP telefon. Provider má od sebe na bridge přístup (jakési www rozhraní), já ne - musel bych PC připojit přímo do ní. Zkrze router se na ni nedostanu - a ani to vlastně nepotřebuju. Pokud potřebuju něco nakonfigurovat (např. fordwarnutí portů), činík tak v www rozhraní routeru.
Zaměstnanec providera oné bridgi říká pojítko.
Jo, to je ono, pojítko. Pod pojmem bridge si představuji dvě tyto pojítka v režimu bridge. Ty máš zřejmě pojítko /klienta/ zapojen v režimu Ad-hoc (asi, nejsem ve wifi oboru profík
). Provider poskytuje konektivitu jen pro tebe (pak bych chápal pojem bridge), nebo více uživatelům v rámci jakési komunitní sítě?
Jak jsi to popsal, je tohle pravděpodobně asi i můj případ. Provider má na svém domku všesměrovku a poskytuje svému okolí přístup k internetu.
Provider samozřejmě poskytuje konektivitu více lidem (kteří mají nasměrovány své antény na jeho AP). Na jednu anténu je připojen jeden uživatel; ten má možnost (ve smlouvě) svou šíři pásma dělit v rámci domácnosti na více PC (např. routerem). Každý klient providera má přidělenu jednu veřejnou IP.
Jedná se o vesnickou kumunitní síť, žádná společná anténa na paneláku.
myslím že k tomu není co dodat - ok.
o jednu ochranu se stará hw firewall/filtr v routeru, další ochranu mezi sebou nebo pro červy co by prošly přes router dělá kerio.