Uvodnik: Muke po kućnoj mreži
Uz sve korisne i zabavne stvari, Internetom putuju i štetni sadržaji generisani od strane raznoraznih botova koji pokušavaju da se uloguju na vaš računar da bi tu napravili štetu. Svi znamo da je tako, ali mislim da ne razumemo razmere tog problema tj. količinu zloćudnih botova koji operišu po svetu. Uz tako česte napade, potrebno je preduzeti ozbiljne mere da bismo zaštitili svoju opremu – jedan kiks može da donese veliku nevolju.
U dokonim letnjim danima poželeh da malo unapredim bezbednost kućne mreže, naročito kada sam čuo kolege koje pričaju o crnim i belim listama koje su formirali na svojim ruterima. Počeo sam od nečeg jednostavnog: ako sa neke IP adrese stiže pokušaj prijavljivanja na SSH, telnet ili ftp port mog MikroTik-a, tu adresu stavim na crnu listu i više ne prihvatam nikakav saobraćaj sa nje. Kada sam sledećeg dana pogledao inventar, na crnoj listi je bilo neverovatnih 712 adresa. Uglavnom kineskih, mada ima i adresa iz Indije, Rusije, pa čak i iz opsega domaćih Internet provajdera. Kada sam nešto slično uradio na redakcijskom ruteru, lista je porasla na preko 3000 adresa, i to za samo nekoliko dana.
Potrošio sam dosta vremena na „fino podešavanje“ ovog sistema, uz niz veselih doživljaja. Recimo, prvog dana sam uspeo da zaključam samog sebe tako da nisam mogao da pristupam mreži iz grada, sa mobilnog. Trebalo je prvo propustiti saobraćaj za VPN (WireGuard) pa tek onda konsultovati crnu listu. Kakva šteta što mobilni operatori ne daju mogućnost da se doplati za fiksnu IP adresu koju bih onda mogao da stavim na belu listu. Vidim da neke kolege primenjuju još restriktivniju politiku da su svi portovi zatvoreni, a kada im treba da pristupe spolja, koriste tehniku zvanu port knocking, gde određenim redosledom pristupaju TCP portovima, pa kad ruter primeti pravu sekvencu, on privremeno stavlja adresu na belu listu. To mi ipak izgleda previše komplikovano.
Zašto jednostavno ne bih zatvorio sve portove (osim onih za WireGuard) i prestao da mislim? Za moju kućnu mrežu to verovatno i jeste najbolje rešenje, ali u nekim primenama portovi po prirodi stvari moraju da budu otvoreni, recimo za Web server. Tada crne liste imaju smisla, pošto će napadač verovatno početi od SSH i telnet porta i tu dospeti na crnu listu, pa će kasniji pokušaji biti onemogućeni čak i ako je ciljani port otvoren.
Koje username-ove i password-e napadači probaju? Što se korisničkih imena tiče, tu su uglavnom admin, root, ubnt, user, supervisor, service… sa domaćih adresa često pokušavaju i ime mother (!?). Za lozinke ne znam, ne upisuju se u log. Palo mi je na pamet da napravim dummy ftp server koji će beležiti sve pokušaje pristupa i pisati lozinke u neki tekst fajl, ali kada sam tražio od ChatGPT-a da napiše tako nešto, odbio me je jer „nije etički skupljati lozinke“. A etički je što oni mene napadaju… Probaću sam da nešto sklepam na Python-u ili da „nadmudrim“ veštačku inteligenciju, pa da napišem tekst za neki od sledećih brojeva PC-ja.
Drugo zanimljivo pitanje je šta botovi rade kada jednom upadnu u sistem. I tu imam neprijatnih iskustava – kada sam prešao na 1000/100 optiku, dakle po prvi put imao ozbiljan uplink, koristio sam neki ne baš sjajno konfigurisani MikroTik i ubrzo sam zvao provajdera da se žalim što mi je upload svega 80 umesto 100 Mbps. Dijagnostika je pokazala da sa moje adrese stiže konstantni upload od oko 20 Mbps koji ide na razne adrese. Napadač je osvojio moj ruter, napravio sebi korisnika user koji ima sva prava, a meni ostavio korisnika root koji nema nikakva prava. Onda je koristio link za DoS napade na sisteme širom sveta. Nije bilo načina da se ponovo ulogujem sa administratorskim pravima, pa sam morao da resetujem ruter na fabrička podešavanja. Tako sam naučio da napadači neće samo pokušavati razne lozinke (iole složenu lozinku neće pogoditi za 100 godina), nego će pre svega koristiti bagove rutera koje niste na vreme patch-ovali. Ukratko, opreznosti nikad nije previše!
Pokusajte sa upotrebom sertifikat bazirane autentifikacije. Takodje, dobar pristup je i upotreba nestandardnih portova sto zbunjuje napadace (recimo zamenite RDP i ssh, pa ssh slusate na 3389).
Nije komplikovano, a ustvari je najbezbednije, upotreba vpn klijenta za pristup kucnoj mrezi. Postoje i prenosni routeri koji omogucavaju VPN konekcije tako da kada ste na godisnjem, imate pun pristup kucnoj mrezi.
Interesantna je i tema ustede energije u kucnom okruzenju – tj. kako minimizovati potrosnju energije uredjaja koji su stalno ukljuceni.