A hálózat - és itt most ne térjünk ki drága eszközökkel figyelt és kordában tartott céges hálózatra – amiben a gépünk van sajnos nem tekinthető megbízhatónak. Vegyünk alapul egy otthoni egyszerű, ISP (Internet Service Provider – Internet szolgáltató) által Internethez kötött hálózatot melynek egyetlen eszköze egy WiFi-s router (és a gépünk). Ez a tűzfal, a DHCP szerver, a vezeték nélkül kapcsolódni tudó eszközünk hálózati csomópontja és még egyéb más standardként beállított szolgáltatásért felelős eszköz is.
A gond azzal van, hogy a gyártó cég által feltöltött Firmware (amit tekintsünk az operációs rendszernek (OS)) marad fent az eszközön, akkor az a korábbiakban már megismert okokból, tehát pénzért vagy felelőtlen programozási eljárások miatt (esetleg elmaradt és hiányos készülékteszt miatt) könnyen támadhatóvá válik. Innentől kezdve nem tudjuk biztosítani a hálózatunk védelmét, bárki szabadon járkálhat ki-be.
Sokan nyitva hagyják, vagy direkt kinyitják a routerüket, belső gépüket, IoT eszközeiket, hogy bárhonnan elérhessék. Ez a kényelem az, ami miatt a biztonságot feláldozzák. Ha a routeren nincs megváltoztatva a jelszó, nem a legfrissebb Firmware van rajta (esetleg elavult már és a gyártó nem támogatja) akkor pl.: könnyen tönkretehető, DNS kérései kompromittált DNS szerverre átirányíthatóak, amivel könnyen kártékony kódot lehet a hálózati gépekre juttatni és még sorolhatnánk.
Ha belső gép meghatározott portját fordítjuk ki, pl. SSH, RDP – melyekkel a gépet távolról is elérjük – akkor a gép sikeres feltörése után veszíthetjük el a hálózatot és annak további tagjait.
IoT eszközökről már írtam, hogy eléggé gyér biztonsági megoldásokkal bírnak, nagyon könnyen egy botnet hálózat tagjaként viríthat IoT-s hűtőnk vagy a kenyérpirítónk és támadhatja Dél-Koreát.
A WiFi technológia rejti talán a legtöbb veszélyt a hálózatunkban azzal, hogy nem látjuk, hogy környezetünkben ki próbál éppen hozzáférni, feltörni, bejutni (az sem segít, hogy a szabványok melyekre épül hibásak és sok esetben soha nem kerülnek kijavításra). Ennél a kábeles hálózat mérföldkővel biztonságosabb, mert oda fizikailag kell hozzáférést biztosítani annak, aki hozzá akar férni a belső hálózathoz (amennyiben kívülről nem megy és a támadó belső gépet nem tud irányítás alá venni).
Megoldás itt többlépcsős lehet. Megőrizhetjük az eredeti Firmware-t de akkor célszerű kívülről bezárni az elérését mindennek. Célszerű DHCP, DNS kiszolgálást is kikapcsolni és a gépeknek saját IP-t adni (ezzel kiküszöbölhető, a DHCP szolgáltatásban levő nem frissített sérülékenységek kihasználása). Különvehetjük fizikailag elszeparálva a WiFi-s hálózatot egy másik routerrel és így a kábelen levő hálózat nagyobb védelemben tudhatjuk. Lecserélhetjük a Router Firmware-t alternatív változatokra mely nagyobb mozgásteret biztosítanak, ilyen pl.: a webes elérés kikapcsolása, SSH 22-es port megváltoztatása. Ezek jobban naplóznak, és elláthatóak extra dolgokkal, mint pl.: Proxy szerver. Cserébe nagyobb hozzáértést követelnek meg.
A hálózatban levő gépeinkre ildomos szoftveres tűzfalat feltenni és a hálózatunkat publikus hálózatnak beállítani majd magunk felkonfigurálni, hogy mit engedünk meg kinyitni (fájl / nyomtatómegosztás) és ha engedi, akkor, hogy kinek (IP vagy MAC cím alapján – na, nem mintha ez nem lenne megkerülhető, de kínlódjon meg az, aki akar valamit a gépünktől).
