Zabezpieczenie jednego komputera podłączonego do Internetu w sposób wykluczający możliwość ataku hakera, crackera, programów sniffujących, trojanów itp. jest skomplikowanym zadaniem. Problem staje się jeszcze większy, gdy trzeba zabezpieczyć całą sieć. Jak znaleźć równowagę pomiędzy maksymalnym bezpieczeństwem a łatwym dostępem użytkowników do wspólnych zasobów i usług?
Bezpieczeństwo na etapie budowy
Trzeba zadbać o niemożność fizycznego podpięcia się do sieci kablowej przez niepowołane osoby. Ten etap możemy zaniedbać w małych sieciach domowych, gdzie całe okablowanie znajduje się zazwyczaj w obrębie prywatnego lokalu, ale w sieciach firmowych jest istotny. Gniazdka sieciowe powinny być zainstalowane tylko tam, gdzie są niezbędne, kable nie mogą być dostępne z zewnątrz. Sieci WiFi nigdy nie powinny pozostać niezabezpieczone. Należy chronić je przynajmniej 128-bitowym kluczem WEP, a najlepiej wykorzystać w tym celu szyfr WPA, co wymaga jednak postawienia serwera zdalnego uwierzytelniania RADIUS. Dostęp do współużytkowanych zasobów takich jak pliki, foldery, drukarki musi być ograniczony tylko do uprawnionych użytkowników sieci. W tym celu na każdym komputerze, na którym znajdują się udostępnione dane tworzy się konta o określonych prawach dostępu, przy czym nie powinno się przyznawać kont o uprawnieniach administratora zwykłym użytkownikom.Konfigurowanie sprzętu sieciowego
Routery i firewalle chronią sieć przez niepowołanym dostępem, ale tylko wtedy, gdy są prawidłowo zainstalowane i skonfigurowane.. Jeśli nie poświęcisz odpowiedniej ilości czasu na konfigurację, to oprogramowanie kontrolujące zdalny dostęp stanie się otwartą bramą dla intruzów, zamiast chronić twoje dane. Aby połączyć komputery w sieć, każdy z nich należy wyposażyć w kartę sieciową. Zazwyczaj jest to wewnętrzna karta podłączana do gniazda PCI, w komputerach przenośnych montowana w porcie PCMCIA, czasem stosuje się zewnętrzne adaptery sieciowe podłączane zazwyczaj do portu USB. Do połączenia kilku komputerów w sieć potrzebny jest również koncentrator (hub) lub przełącznik (switch). Jeden z parametrów każdej karty sieciowej może stanowić potencjalne zagrożenie dla bezpieczeństwa sieci. Jest to MAC, inaczej nazywany adresem fizycznym. Adres ten jednoznacznie definiuje każdą kartę sieciową. Składa się z 12 szesnastkowo zapisanych cyfr podzielonych na 6 grup po dwie cyfry. Aby wyświetlić adres fizyczny urządzenia sieciowego (i kilka innych informacji), wystarczy wpisać w wierszu polecenia ipconfig /all.W Windows XP można również uzyskać tę informację otwierając okno stanu połączenia, aby to zrobić otwieramy Panel sterowania z menu Start a następnie wybieramy Połączenia sieciowe. Następnie klikamy prawym klawiszem na ikonę odpowiedniego połączenia i z menu wybieramy polecenie Stan. Kolejnym krokiem jest wybranie zakładki Obsługa oraz kliknięcie na przycisk Szczegóły. W oknie adres MAC będzie widoczny w pierwszym wierszu (Adres fizyczny).
Adres MAC jest (teoretycznie) unikatowy dla każdego urządzenia i jest
przesyłany razem z każdym pakietem TCP/IP. Właściwość tą można wykorzystać:
Mianowicie przy pomocy odpowiedniego oprogramowania lub sprzętu można tak
skonfigurować sieć, aby blokowała dostęp dla konkretnych adresów
MAC lub umożliwiała dostęp tylko konkretnym adresom MAC. Wydaje się
ciekawą opcją, niestety nie jest zbyt użyteczne ze względu na łatwość
zmiany adresu MAC. Większość routerów pozwala na zmianę swojego MAC'a w menu. Poniżej przykład dla routera Linksys.
Protokoły sieciowe
W Windows 98, 2000 i XP standardowym protokołem internetowym jest TCP/IP. Ten protokół można wszechstronnie konfigurować, ale większość użytkowników ogranicza się do domyślnych ustawień, nie dokonując w nich żadnych zmian.Dla większości użytkowników TCP/IP jest zarazem jedynym protokołem, jakiego się używa. Jest szybki, łatwy w zabezpieczaniu i dobrze się sprawdza zarówno w małych, średnich i dużych sieciach. Mimo wielu sprzecznych opinii, sieć zbudowana w oparciu o ten protokół, zawierająca prawidłowo skonfigurowaną zaporę ogniową i router sprzętowy jest dostatecznie bezpieczna i odporna na ataki z zewnątrz.
Jeżeli jednak nie posiadasz dedykowanego routera, a twoja sieć używa koncentratora/przełącznika zarówno do łączenia komputerów ze sobą, jak i z Internetem, to twoja sieć jest siecią publiczną i każdy ma do niej dostęp z zewnątrz. W takim wypadku powinieneś rozważyć zainstalowanie routera z firewallem. Jeżeli z jakichś względów jest to niemożliwe, zabezpiecz sieć w jeden z dwóch sposobów:
- Na każdym komputerze sieci zainstaluj programowy firewall, zdefiniuj dostęp do współdzielonych zasobów sieci tak, aby mogły z nich korzystać wyłącznie komputery z twojej sieci. Nie da się tego wykonać przy użyciu zapory systemu Windows, ponieważ nie pozwala ona na filtrowanie ruchu na podstawie adresów IP.
- Wyłącz udostępnianie plików i drukarek przez protokół TCP/IP w każdym komputerze sieciowym i zamiast tego włącz udostępnianie
przez protokół IPX/SPX na każdym z komputerów sieci.
Zainstaluj programową zaporę sieciową, aby całkowicie wykluczyć
zewnętrzny ruch TCP/IP. To rozwiązanie jest bardziej skomplikowane, ale
bezpieczniejsze. Protokół IPX/SPX nie jest domyślnie
zainstalowany w systemie Windows XP, dlatego należy to zrobić ręcznie.
Następnie należy wyłączyć udostępnianie plików i drukarek dla protokoły TCP/IP. Tym dwóm czynnościom przyjrzymy się teraz bliżej
Instalowanie IPX/SPX w Windows XP
Otwórzmy Połączenia sieciowew Panelu Sterowania (jeśli korzystasz z widoku kategorii wybierz najpierw Połączenia sieciowe i internetowe).Prawym klawiszem myszy kliknijmy na połączenie komputera z siecią lokalną i wybierzmy pozycję Właściwości. Wybierzmy przycisk Zainstaluj...W oknie Wybieranie typu składnika sieci wybierzmy Protokół i kliknijmy przycisk Dodaj.
Wybierzmy Protokół transportowy zgodny z NWLink IPX/SPX.
Kiedy nowy protokół zostanie dodany zamknijmy okno nie będzie ono już nam potrzebne. W ten sposób szybko zainstalowaliśmy dodatkowy protokół.
Wyłączanie udostępniania plików i drukarek przez TCP/IP
Naszym kolejnym krokiem będzie wyłączenie udostępniania plików i drukarek przez TCP/IP. Na początku w Panelu sterowania otwórzmy folder Połączenia sieciowe.Z menu Zaawansowane wybierzmy Ustawienia zaawansowane.W oknie Ustawienia zaawansowane zaznaczmy połączenie z siecią lokalną (zwykle jest to Połączenie lokalne) i odznaczmy pole Protokół internetowy TCP/IPKliknijmy OK, okno zostanie zamknięte a ustawienia zapisane.
Po tych zabiegach cały ruch między komputerami twojej sieci lokalnej
będzie się odbywał w oparciu o protokół IPX/SPX, a połączenia z
Internetem będą realizowane przez protokół TCP/IP i będą
nadzorowane przez firewall.
Uwaga! Używanie protokołu IPX/SPX zamiast TCP/IP utrudnia włamanie do
twojej sieci, ale nie sprawia, że jest to całkowicie niemożliwe. Nie
istnieje żadna metoda gwarantująca absolutne bezpieczeństwo sieci.
Ograniczanie dostępu do plików i folderów
Standardowe udostępnianie plików w sieci lokalnej to proces banalnie prosty. Wystarczy kliknąć prawym klawiszem wybrany folder, z menu wybrać Udostępnianie i zabezpieczenia i zaznaczyć jedno pole - Udostępnij ten folder w sieci.Natomiast bezpieczne udostępnianie plików to całkowicie inna "bajka".
Jak są udostępniane pliki w Windows XP?
- Proste udostępnianie plików.
Ten typ udostępniania jest standardowo używany przez wszystkie edycje Windows XP poza XP Professional należących do domeny. W tym modelu udostępniania użytkownik ogranicza się do czynności opisanej wyżej. Windows automatycznie określa prawa dostępu do folderu (i plików jeżeli używamy partycji NTFS), a wszystkie połączenia z sieci uwierzytelnia przy użyciu konta gościa. Wszystkie zasoby są w równym stopniu udostępnione dla każdego użytkownika sieci, nie można zdefiniować, którym użytkownikom zezwalamy na dostęp do zasobu, a którym go odmawiamy. - Klasyczne udostępnianie.
W Windows XP Professional przy wyłączonym prostym udostępnianiu używane jest udostępnianie klasyczne. Przy ustawianiu udostępniania folderu możesz określić, którym użytkownikom przyznajesz do niego dostęp pełny, którym zezwalasz jedynie na odczyt, a którym odmawiasz dostępu w ogóle. Można również ograniczyć ilość jednoczesnych połączeń do danego zasobu.