Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Dodatkowy sposób ograniczenia dostępu do sieci LAN

Maksymalne ograniczenie dostępu do sieci dla osób nieupoważnionych jest ważnym tematem dla większości użytkowników, a przynajmniej powinien być ważnym dla wszystkich osób korzystających z sieci. Oprócz podstawowych i dobrze znanych sposóbów zabezpieczeń, można wykorzystać różne dodatkowe techniki, pozwalające jeszcze bardziej ograniczyć ten dostęp, każdy nierutynowy sposób może zwiększyć szansę, że osoba nieupoważniona będzie miała większe trudności podczas próby uzyskania dostępu do sieci.

Rozwiązanie to szczególnie przyda się w przypadku sieci bezprzewodowej, gdyż to medium jest łatwiej dostępne dla osób spoza sieci, niż połączenie przewodowe, osoba niepowołana po prostu nie ma możliwości podłączenia kabla do przełącznika, czy innego urządzenia łączącego z siecią, które znajduje się w domu, czy innym zamknietym pomieszczeniu, ale sprawdzi się również, jeśli taka osoba uzyska fizyczny dostęp do urządzenia pośredniczącego (routera bądź przełącznika, czy koncentratora) i będzie próbowała podłączyć się kablem do sieci. Sposoby te niestety nie będą również możliwe do wykorzystania w każdej sytuacji i zależą od routera jaki się posiada. Wszystkie zamieszczone poniżej porady będę opisywał z wykorzystaniem routera TP-Link WR543G.

Ustalenie adresacji w sieci LAN

Wypadałoby zacząć od przypisania adresu IP w sieci LAN zarówno routerowi, jak i urządzeniom końcowym w sieci. Ustawienia fabryczne posiadają domyślnie ustaloną adresację sieci LAN i domyślnie skonfigurowany serwer DHCP, większość tych opcji można zmienić. Oprócz zmiany samego adresu IP, niektóre routery umożliwiają również ręczne ustalenie maski podsieci co daje dodatkowe możliwości konfiguracji routera, w tym podział sieci na podsieć. Podzielenie sieci na podsieci pozwala ustalić liczbę adresów. Można ustalić taką liczbę adresów, które zostaną zajęte przez urządzenia końcowe użytkownika, osoba nieupoważniona takiego adresu nie uzyska, gdyż będzie on przypisany do innego komputera i w ten sposób blokujemy takiej osobie uzyskanie adresu IP. Nie będę tutaj szczegółowo opisywał jak podzielić sieć na podsieć, gdyż nie jest to specjalnie wymagane, użytkownicy nie muszą posiadać takiej wiedzy, gdyż można tutaj skorzystać z dostępnych w internecie różnego rodzaju kalkulatorów IP i/lub kalkulatorów podsieci. Opiszę tylko w skrócie jak ustalić adresację wedle potrzeb sieci.

Domowe sieci składają się przeważnie z kilku do kilkudziesięciu urządzeń końcowych i prawdopodobnie nie przekraczają 10 takich urządzeń. Urządzeniem końcowym są komputery, serwery, telefony IP, drukarki sieciowe, czy kamery IP (możliwe, że mogłem jeszcze coś pominąć). W zależności od tego ile posiada się urządzeń końcowych, tyle potrzebnych jest adresów IP, należy również brać pod uwagę urządzenie pośredniczące, jakim jest w tym przypadku router, który również potrzebuje adresu IP. Gdy zna się już liczbę urządzeń, które wymagają adresu IP, można przystąpić do ustalenia adresacji. Ja w swoim domu posiadam 2 komputery oraz urządzenia bezprzewodowe takie, jak telefon, które mogę podłączyć do sieci, podłączam również przynajmniej jedną maszynę wirtualną, łącznie potrzebuję 4 adresy. Użytkownicy, którzy nie posiadają wiedzy na temat obliczania adresacji IP, mogą wykorzystać przygotowany do tego celu kalkurator VSLM/CIDR, na przykład dostępny pod tym adresem http://www.vlsm-calc.net/

Obliczanie adresacji sieci

W celu podzielenia sieci na podsieć, potrzebny jest adres sieci, w sieci LAN wykorzystywane są przeważnie adresy prywatne, które można dowolnie przypisywać urządzeniom. Ustawienia fabryczne często ustalają adres 192.168.0.1 (z domyślną maską podsieci 255.255.255.0) lub podobny, do tej sieci można podłączyć 254 urządzenia końcowe, można wykorzystać ten adres lub pójść o krok dalej i przypisać inny, niż standardowy adres sieci, bo przecież o niestandardowość tutaj właśnie chodzi i proponuję podzielić sieć o adresie 192.168.240.0. Znając podstawowe informacje,

  • Adres sieci: 192.168.240.0;
  • Maska podsieci: 255.255.255.0 (maska podsieci 24-bitowa);
  • Liczba potrzebnych adresów IP: 4.

można użyć kalkulatora do obliczeń.

W rezultacie, powinno się uzyskać takie informacje,

czyli adres naszej podsieci, to 192.168.240.0, maska podsieci 255.255.255.248 (maska 29-bitowa), adresy które można przypisać komputerom 192.168.240.1 - 192.168.240.6 i adres rozgłoszeniowy 192.168.240.7, razem 8 adresów, z czego 6 do wykorzystania, a nie 254, jak wcześniej. Routerowi przypisuje się najczęściej najniższy, bądż najwyższy adres w sieci, w tym przypadku jest to albo 192.168.240.1, albo 192.168.240.6, oczywiście nic nie stoi na przeszkodzie przypisać, inny z tej puli.

Konfiguracja routera

Po zalogowaniu się do panelu administracyjnego routera, należy znaleźć ustawienia, dotyczące sieci LAN. Ja przyjąłem opcję najwyższy adres w sieci dla routera.

Prawdopodobnie zostanie utracone połącznie z routerem, w tym celu wystarczy odnowić dzierżawę adresu IP. W systemie Windows można to zrobić szybko i łatwo w wierszu poleceń, wpisując poniższe polecenia.

ipconfig /release ipconfig /renew

W systemach Linux/Unix, przy użyciu polecenia.

dhclient wlan0

lub

dhcpd wlan0

Rezerwacja adresów IP

Powyższy sposób umożliwia w pewnym sensie blokowanie uzyskania adresu IP, w powyższym przykładzie widać jednak, że zostały do wykorzystania 2 wolne adresy, które nieupoważniona osoba mogłaby uzyskać, drugą sprawą jest to, że serwer DHCP dzierżawi adres na określony czas, a później go zwalnia, gdy komputer jest wyłączony, adres również jest wolny. Niektóre routery posiadają możliwość przypisywania adresów IP do adresów MAC, w ten sposób adres jest dzierżawiony na stałe, co oznacza, że tylko urządzenie z określonym adresem MAC może uzyskać dany adres IP i nawet jeśli urządzenie jest wyłączone, inne nie uzyska tego adresu. Można tę opcję wykorzystać jako uzupełnienie ograniczenia uzyskania adresu IP przez niepowołaną osobę, przypisując wszystkie adresy IP do adresów MAC, jeśli w sieci są wykorzystane tylko 4 adresy, a dwa są wolne, można zarezerwować adres IP do dowolnego adresu MAC, nawet urządzenia, które nigdy nie zostanie podłączone do sieci, np. adres MAC karty sieciowej wirtualnej maszyny.

Konfiguracja serwera DHCP

W celu konfiguracji serwera DHCP, należy odnaleźć w panelu routera sekcję, dotyczącą ustawień routera i powinna wyglądać jak poniżej,

opcja rezerwacji adresów IP, prawdopodobnie będzie w osobnej podsekcji.

Nie należy oczywiście traktować tego sposobu jako jedyne zabezpieczenie sieci bezprzewodowej, dobrze zabezpieczona sieć, tj. ustawione odpowiednie szyfrowanie transmisji oraz skomplikowane hasło nie wymaga specjalnie wykorzystania tego typu działań, dlatego należy je traktować jako dodatkowe, jeśli ktoś chce ograniczyć lub utrudnić dostęp do sieci w przypadku, gdyby osoba nieupowżniona poznała hasło, np. od innego użytkownika, lub w jakiś sposób je podejrzała. Nie należy również traktować tego sposobu jako zabezpieczenie, ale jako sposób na ograniczenie dostępu do sieci zarówno przewodowej, jak i bezprzewodowej. 

internet bezpieczeństwo porady

Komentarze

meron11  25.12.2011 17:16 #1

Nie we wszystkich systemach z rodziny linux jest dhclient, np w gentoo jest dhcpcd i wtedy należy użyć jego:)Warto było by zaznaczyć to w tekście.

roobal  25.12.2011 21:36 #2

@meron

Co prawda w większości dystrybucji, przynajmniej tych, których używałem był właśnie dhclient, z dhcpd spotkałem się dopiero właśnie w Gentoo, ale masz rację, zaraz to uwzględnię :)

Pozdrawiam!

SalcefiX  26.12.2011 12:00 #3

Nie wiem czy chodzi o to samo ale u mnie można w bardzo łatwy sposób ograniczyć dostęp do sieci przy pomocy mojego routera - http://ubuntuone.com/2EMmJVwO4JfuTbG0fXBQCF. Co najważniejsze działa niezależnie od systemu operacyjnego.

tomson66  26.12.2011 12:00 #4

Bardzo przydatny wpis. Dodam jeszcze jedną uwagę o konieczności zmiany standardowego hasła w routerze.

Snot (niezalogowany) 26.12.2011 13:45 #5

ograniczanie puli adresów i bindowanie z mackami na nic się zda jeśli ktoś chce się dostać do sieci, powszechnie znane i praktykowane jest podszycie się pod adres IP i mac osoby korzystającej z sieci, w żaden sposób nie jest to zabezpieczenie a wyłącznie lekkie utrudnienie

Pigmej  26.12.2011 13:53 #6

@SalcefiX

Filtrowanie adresu MAC to zadne zabezpieczenie.

Druedain  26.12.2011 14:00 #7

@Pigmej Czemu? Wiem, że można się podszywać, ale skąd wiadomo pod co się podszywać?

tomson66  26.12.2011 14:16 #8

Przyszedł mi do głowy szatański pomysł. Zdjąć w komputerze i routerze wszystkie zabezpieczenia sieci i samemu wymierzyć sprawiedliwość nieproszonym gościom, oczywiście tylko tym, którym przychodzą do głowy głupie pomysły.

Pigmej  26.12.2011 15:57 #9

@Druedain

Mowisz o sieci "wired" czy "wireless" ?

Druedain  26.12.2011 16:05 #10

WiFi

roobal  26.12.2011 17:06 #11

@SalcefiX

W moim wpisie chodziło bardziej o to, żeby pokazać, jak można wykorzystać podział sieci na podsieci oraz rezerwację adresów IP jako dodatkowe ograniczenie dostępu do sieci. Chodzi też o to, że każde niestandardowe ograniczenie dostępu, daje większą szansę, że włamanie będzie bardziej utrudnione.

Moje rozwiązanie działa również niezależnie od systemu.

Pozdrawiam!

Druedain  26.12.2011 17:58 #12

Stawiam dobre piwo, że nawet w Niemczech wielu ludzi nadal nie zabezpiecza swoich sieci po aferze z Googlem.

drobok  26.12.2011 19:14 #13

Nie lepiej wychodzi w ogóle wyłączyć dhcp ? Ustawienie mac po nasłuchiwaniu sieci to chwila, wtedy twój dhcp pomija twoje zabezpieczenie :)

KONTO USUNIĘTE (niezalogowany) 26.12.2011 19:34 #14

@Druedain | 26.12.2011 17:58
O co chodziło z tą aferą?

SalcefiX  26.12.2011 20:28 #15

@roobal - wpisu nie neguję. Bardzo przydatne informacje w nim zawarłeś.

xomo_pl  26.12.2011 21:09 #16

ciekawy wpis tyle tylko, że duża część użytkowników nie zabezpiecza sieci w ogóle, u mnie na osiedlu średnio co 3 sieć jest nie zabezpieczona w żaden sposób.
Ja korzystam do ochrony sieci domowej WIFI z WPA2-PSK i IMO to starczy.
Hasło do sieci nie musi być mega długie, ważne by było skomplikowane a nie abc czy 123.
Do panelu ustawień też zmieniłem hasło i tyle, jeśli chodzi o bezpieczeństwo.
Nie chciałoby mi się za każdym razem, gdy zechcę podpiąć się innym urządzeniem grzebać w panelu routera, dodawać ip etc.

KONTO USUNIĘTE (niezalogowany) 26.12.2011 22:37 #17

To sobie zomo jeszcze wyłącz rozgłaszanie SSID tak przy okazji ;)

KONTO USUNIĘTE (niezalogowany) 26.12.2011 22:43 #18

@PavloAkaLogan
Skanowali sieci Wi-Fi i przy okazji przechwytywali dane które w nich krażyły.

Ogólnie sieci Wi-Fi mają sporo dziur i wiele jest niezależnych od szyfrowania, można np. za pośrednictwem deautoryzacji odciąć wszystkich użytkowników podpiętych do danej sieci WiFi..

xomo_pl  27.12.2011 00:56 #19

@bartek46op

SSID mam jawny, bo po co ukrywać?
nie popadajmy w paranoję: WPA2-PSK i dobre hasło zwykle starcza.

Shaki81 MODERATOR BLOGA 27.12.2011 07:56 #20

A mnie się tekst podobał. Prosto, zwięźle i na temat. Przecież to nie miała być encyklopedia bezpieczeństwa sieci, tylko jeden z wielu sposobów zabezpieczenia swojej sieci komputerowej i tyle.

command-dos  27.12.2011 12:46 #21

Ciekawe macie te osiedla ;) w Chrzanowie na os. południe każda sieć wireless jest jakośtam zabezpieczona. Była u mnie jedna (jak mieszkałem w chrzanowie), ale sąsiad wiedział, że tak jest i to olewał - myśmy korzystali ;) U znajomej (też w chrzanowie) w mieszkaniu widać z 11 sieci wifi - każda zabezpieczona.
Sieć wifi, jest jak samochód - jak się chce, to się włamie do każdej - liczy się wiedza. O wiele łatwiej wsiąść do otwartego ;) Kiedyś pisałem coś, żeby podnieść poziom wiedzy użytkowników, na temat zabezpieczeń wifi - niektórym podniosło też ciśnienie ;) http://www.dobreprogramy.pl/command-dos/Czego-nie-wiecie-o-wifi,19776.html

KONTO USUNIĘTE (niezalogowany) 27.12.2011 15:25 #22

Chociaż dobrze, że teraz np. UPC zabezpiecza routery WPA2 bo patrząc na nazwy sieci te stare routery UPC to mają WEP.

tomson66  27.12.2011 18:47 #23

@bartek przed wojną UPC stosowało enigmę.

Mark_Spence (niezalogowany) 31.12.2011 11:07 #24

Zupelnie nie rozumiem dlaczego autor wpisu ustala tak wysoki numer podsieci [192.168.240.1 dla routera np, ...3-250 np dla klientow].
Zwykle pozostawienie ustawien domyslnych - czyli sieci 192.168.0.1/192.168.1.1/192.168.2.1 dla routera jest dobrym pomyslem i nie powoduje pozniej problemow z "obliczaniem" co dla czego i czemu nie dziala ...
Generalnie zmiana tego przedostatniego numerka na duzo wyzszy niczego nie zmienia poza komplikacja i "nietypowoscia" takiej konfiguracji [bo "wiekszosc" ma wymienione pozniej przeze mnie typy konfiguracji].
Bardziej istotne jest wlasciwe pozamykanie portow na wy/we, wlaczenie logowania polaczen, wlasciwe zabezpieczenia WLAN, wiazanie MAC z IP, itd.
Warto tez skorzystac ze skanera online ShieldsUp Steve'a Gibsona z GRC. Bardzo skuteczny skaner otwartych portow, jesli laczymy sie z routera, to pokaze porty w routerze, jesli jestesmy w strefie DMZ, lub bez routera, to pokaze porty naszego systemu, analogicznie sprawa wyglada z modemami ...
Warto to sprawdzic tym bardziej, ze wiekszosc - niestety wciaz powszechnie - uzywanych modemow ADSL/DSL ma wiele powaznych luk, jak dostep administracyjny via TELNET, otwarte TFTP, etc.

Sijam (niezalogowany) 02.01.2012 04:10 #25

Ciekawy Wpis. Proszę pisać więcej na temat bezpieczeństwa, ograniczania dostępu itp...

Wi-Fi_Kazek (niezalogowany) 12.07.2012 17:10 #26

"Domowe sieci składają się przeważnie z kilku do kilkudziesięciu urządzeń końcowych i prawdopodobnie nie przekraczają 10 takich urządzeń."

Może autor miał na myśli "kilku do kilkunastu" urządzań, skoro podobno mają nie przekroczyć 10 sztuk...
Tak czy inaczej powstrzymam się od dalszego komentarza i oceniania wiedzy autora... :)