ЛАН-ът – достъпен и бърз, но не и безопасен
Наскоро ми се случи да гостувам на свой приятел, живеещ на централно място в София. Той имаше проблем с компютъра и аз отидох при него с целта да се опитам да му помогна. След като свърших нужната работа, се опитах да настроя неговата интернет връзка, за да се връзва "към arena.bg, data.bg и другите сайтове". За целта ми даде едно листче, на което беше написан IP адреса, който трябва да използва, адреса на gateway сървър, мрежовата маска и два DNS сървъра. Потребителско име и парола имаше, но се оказа че те са само за достъп до e-mail акаунт.
Тези данни ми стигнаха за да настроя мрежата и интернетът потече. Влязох в локалната мрежа и видях множество работни групи, а Windows услужливо сам си разпозна няколко принтера споделени по мрежата и ги показа в Control Panel/Printers като готови за употреба.
Любопитството ми обаче бе насочено към множеството работни групи, които открих в локалната мрежа и започнах да влизам във всяка една. В някои не успях, но в други бях пуснат без проблеми. Имаше много работни групи, някои от които носеха името на известни български фирми, а други (доста пренаселени) бяха стандартните за Windows – MSHOME, WORKGROUP и тук-таме някоя самотна кръстена с екзотично име еднокомпютърна група създадена от потребителя незнайно защо.
Учудването ми бе, че в доста от работните мрежови групи имаше компютри, които напълно доверчиво допускаха влизането в тях, без дори да искат име и парола. Разбира се, не всички компютри допускаха влизане, така че откриването на гостоприемни системи бе продължителен процес на проба и грешка.
Търпението обаче бързо се увенчава с успех. Сред по-фрапиращите случаи, на които се натъкнах, бе компютър с изцяло споделени два дискови дяла с права за четене и писане. Явно не бях първият, на който това бе направило впечатление, тъй като на централно място в коренната директория на единият дял се мъдреше файл с име Pro4etiMe.txt, в който някой доброжелател бе написал съобщение към собственика на системата, в което му обяснява че трябва да си забрани споделянето на дисковете. Не знам дали собственика го бе прочел, но със сигурност бяха го видели и други като мен, и всеки се бе поддал на изкушението да добави по един ред от себе си в това съобщение. Бегъл оглед на компютъра показа файлове с имена “dogovor.doc”, “iskane za zaem.doc”, “ot4et.doc”, “zaplati.xls” и т.н. Дори без да се отворят файловете, може да се сети човек какво съдържание имат те – КОНФИДЕНЦИАЛНО. За средностатистическите любопитни очи тези файлове може да не значат нищо, но винаги съществува възможност да попаднат на човек, който може да се опита да извлече изгода или да навреди.
Моят приятел бе учуден, той не подозираше, че съществуват множество видими работни групи и бе възмутен, защото по същия начин досега бе споделял папки съдържащи конфиденциална информация с друг свой компютър – разбира се, без парола. Решихме въпроса, като забранихме споделянето и инсталирахме firewall. Оставихме една папка, достъпът до която ставаше вече само с парола и остана само да се надяваме, че злото не е било сторено.
Тази случка ме накара да се замисля за небрежността на потребителите по отношение на своята мрежова сигурност. Това, че много хора се намират в една и съща локална мрежа само по себе си носи опасност, но голяма част (да не кажем всички) от доставчиците не отделят и минута за да обяснят това на своите нови клиенти, пък били те и фирми.
По принцип Лан-а е създаден с идея за употреба сред затворени и доверени среди, като офиси, учреждения и др., а не за едновременно прокарване на интернет връзка към домашни потребители и дори офиси.
Тъй като Ethernet дава възможност за много по-евтин достъп до интернет и задоволява ефективно нашият пазар, характерен със скромните финансови възможности, то употребата му е оправдана, понеже позволява на много сънародници да имат бърз и нескъп достъп до Световната мрежа. Но си мисля, че доставчиците трябва да отделят време и да обучават потребителите за рисковете, които ги съпътстват и да се оттучат да изграждат мрежи, идентифициращи и защитаващи потребителите само чрез MAC адреса на Ethernet контролера, който е елементарно лесно да бъде сменен по софтуерен път заедно с използваният IP адрес, за да може някой да ползва нелегално по-бърза връзка към интернет от този, за който е платил – т.е. да ползва сметката на съседа си, вместо своята.
Съвети за по-добра защита
Ако само ползвате интернет и нямате нужда от връзка с другите компютри в локалната мрежа на доставчика ви (в която и без това има доста съмнителни ресурси, а и често някой изтеглен от там файл може да ви донесе зараза), тогава можете да забраните мрежовата свързаност и споделянето на файлове изцяло, като изключите поддръжката на “Client for Microsoft Networks”, “File and Printer Sharing” от настройките на “Local Area Connection”. За да се подсигурите допълнително, в случай че имате инсталирана защитна стена, което е повече от препоръчително, може да забраните използването на TCP и UDP портовете, необходими за работата на споделянето на файлове в LAN. Портовете за TCP са с номера 139 и 445, а UDP разчита на портове 137, 138 и 445.
Мрежовата технология на Microsoft е необходима само за споделяне на файлове и принтери с други базирани на Windows компютри и не е необходима за свързване към интернет или за използването на която и да е друга интернет услуга, които са базирани на TCP/IP. Използването и в огромните локални мрежи от български модел и в интернет, която е още по-огромна мрежа, драматично намалява сигурността на компютъра, а в комбинация със слабата система за защита с пароли на Microsoft, вашата система буквално е отворила вратите си към хакерите.
Ако все пак е необходимо да споделяте папки със съседи или други компютри от локалната мрежа, тогава винаги защитавайте достъпа до тях с пароли и забранете акаунта Guest от “User Accounts” в контролният панел, за да не позволявате никакви анонимни връзки към машината си.
Другото основно правило е в никакъв случай да не свързвате “Client for Microsoft Networks”, “File and Printer Sharing”, NetBEUI и NetBIOS с вашият рутиращ интернет протокол TCP/IP, с който излизате в интернет чрез PPPoE, Dial-Up и др.
Вероятно ще бъдете учудени да разберете, че NetBEUI и NetBIOS са протоколи, създадени много преди интернет да навлезе в ежедневието и са предназначени да работят в корпорации, малки работни групи и домове, в които всеки, който може да има достъп до LAN мрежата се намира в същата сграда или помещение. Тези протоколи никога не са проектирани да бъдат „глобални” и свързването им с TCP/IP протокола прави вашите файлове и принтери споделени с целия свят.
Затова, убедете се, че в секцията Networking на настройките на връзката не са отбелязани други мрежови протоколи, освен TCP/IP и QoS Packet Scheduler. В противен случай, всеки външен човек, който знае IP адреса ви, може да го въведе в Windows Explorer като \\\\xxx.xxx.xxx.xxx и да попадне на споделените ви в локалната мрежа папки.
Последният съвет към всички е задължително да инсталират защитна стена. Най-популярната и лесна за употреба се казва ZoneAlarm и може да се свали от адрес www.Zonelabs.com.
Тервел Няголов
Тези данни ми стигнаха за да настроя мрежата и интернетът потече. Влязох в локалната мрежа и видях множество работни групи, а Windows услужливо сам си разпозна няколко принтера споделени по мрежата и ги показа в Control Panel/Printers като готови за употреба.
Любопитството ми обаче бе насочено към множеството работни групи, които открих в локалната мрежа и започнах да влизам във всяка една. В някои не успях, но в други бях пуснат без проблеми. Имаше много работни групи, някои от които носеха името на известни български фирми, а други (доста пренаселени) бяха стандартните за Windows – MSHOME, WORKGROUP и тук-таме някоя самотна кръстена с екзотично име еднокомпютърна група създадена от потребителя незнайно защо.
Учудването ми бе, че в доста от работните мрежови групи имаше компютри, които напълно доверчиво допускаха влизането в тях, без дори да искат име и парола. Разбира се, не всички компютри допускаха влизане, така че откриването на гостоприемни системи бе продължителен процес на проба и грешка.
Търпението обаче бързо се увенчава с успех. Сред по-фрапиращите случаи, на които се натъкнах, бе компютър с изцяло споделени два дискови дяла с права за четене и писане. Явно не бях първият, на който това бе направило впечатление, тъй като на централно място в коренната директория на единият дял се мъдреше файл с име Pro4etiMe.txt, в който някой доброжелател бе написал съобщение към собственика на системата, в което му обяснява че трябва да си забрани споделянето на дисковете. Не знам дали собственика го бе прочел, но със сигурност бяха го видели и други като мен, и всеки се бе поддал на изкушението да добави по един ред от себе си в това съобщение. Бегъл оглед на компютъра показа файлове с имена “dogovor.doc”, “iskane za zaem.doc”, “ot4et.doc”, “zaplati.xls” и т.н. Дори без да се отворят файловете, може да се сети човек какво съдържание имат те – КОНФИДЕНЦИАЛНО. За средностатистическите любопитни очи тези файлове може да не значат нищо, но винаги съществува възможност да попаднат на човек, който може да се опита да извлече изгода или да навреди.
Моят приятел бе учуден, той не подозираше, че съществуват множество видими работни групи и бе възмутен, защото по същия начин досега бе споделял папки съдържащи конфиденциална информация с друг свой компютър – разбира се, без парола. Решихме въпроса, като забранихме споделянето и инсталирахме firewall. Оставихме една папка, достъпът до която ставаше вече само с парола и остана само да се надяваме, че злото не е било сторено.
Тази случка ме накара да се замисля за небрежността на потребителите по отношение на своята мрежова сигурност. Това, че много хора се намират в една и съща локална мрежа само по себе си носи опасност, но голяма част (да не кажем всички) от доставчиците не отделят и минута за да обяснят това на своите нови клиенти, пък били те и фирми.
По принцип Лан-а е създаден с идея за употреба сред затворени и доверени среди, като офиси, учреждения и др., а не за едновременно прокарване на интернет връзка към домашни потребители и дори офиси.
Тъй като Ethernet дава възможност за много по-евтин достъп до интернет и задоволява ефективно нашият пазар, характерен със скромните финансови възможности, то употребата му е оправдана, понеже позволява на много сънародници да имат бърз и нескъп достъп до Световната мрежа. Но си мисля, че доставчиците трябва да отделят време и да обучават потребителите за рисковете, които ги съпътстват и да се оттучат да изграждат мрежи, идентифициращи и защитаващи потребителите само чрез MAC адреса на Ethernet контролера, който е елементарно лесно да бъде сменен по софтуерен път заедно с използваният IP адрес, за да може някой да ползва нелегално по-бърза връзка към интернет от този, за който е платил – т.е. да ползва сметката на съседа си, вместо своята.
Съвети за по-добра защита
Ако само ползвате интернет и нямате нужда от връзка с другите компютри в локалната мрежа на доставчика ви (в която и без това има доста съмнителни ресурси, а и често някой изтеглен от там файл може да ви донесе зараза), тогава можете да забраните мрежовата свързаност и споделянето на файлове изцяло, като изключите поддръжката на “Client for Microsoft Networks”, “File and Printer Sharing” от настройките на “Local Area Connection”. За да се подсигурите допълнително, в случай че имате инсталирана защитна стена, което е повече от препоръчително, може да забраните използването на TCP и UDP портовете, необходими за работата на споделянето на файлове в LAN. Портовете за TCP са с номера 139 и 445, а UDP разчита на портове 137, 138 и 445.
Мрежовата технология на Microsoft е необходима само за споделяне на файлове и принтери с други базирани на Windows компютри и не е необходима за свързване към интернет или за използването на която и да е друга интернет услуга, които са базирани на TCP/IP. Използването и в огромните локални мрежи от български модел и в интернет, която е още по-огромна мрежа, драматично намалява сигурността на компютъра, а в комбинация със слабата система за защита с пароли на Microsoft, вашата система буквално е отворила вратите си към хакерите.
Още по темата
BgLOG.net
· 04.07.2005
· Stratovarius
BgLOG.net
· 06.07.2005
· assenoff
Другото основно правило е в никакъв случай да не свързвате “Client for Microsoft Networks”, “File and Printer Sharing”, NetBEUI и NetBIOS с вашият рутиращ интернет протокол TCP/IP, с който излизате в интернет чрез PPPoE, Dial-Up и др.
Вероятно ще бъдете учудени да разберете, че NetBEUI и NetBIOS са протоколи, създадени много преди интернет да навлезе в ежедневието и са предназначени да работят в корпорации, малки работни групи и домове, в които всеки, който може да има достъп до LAN мрежата се намира в същата сграда или помещение. Тези протоколи никога не са проектирани да бъдат „глобални” и свързването им с TCP/IP протокола прави вашите файлове и принтери споделени с целия свят.
Затова, убедете се, че в секцията Networking на настройките на връзката не са отбелязани други мрежови протоколи, освен TCP/IP и QoS Packet Scheduler. В противен случай, всеки външен човек, който знае IP адреса ви, може да го въведе в Windows Explorer като \\\\xxx.xxx.xxx.xxx и да попадне на споделените ви в локалната мрежа папки.
Последният съвет към всички е задължително да инсталират защитна стена. Най-популярната и лесна за употреба се казва ZoneAlarm и може да се свали от адрес www.Zonelabs.com.
Тервел Няголов
Коментари