Rengetegszer találkozom olyan kérdésekkel, amelyek az otthoni routeren, otthoni tűzfalon a port nyitással kapcsolatosak, illetve a felvetéssel, hogy a port nyitása után rengeteg „próbálkozás” van az adott porton, miért akarnak meghekkelni? Érdemes tisztázni miről is van szó, s hogy lehet picit biztonságosabbá tenni!
Tartalomjegyzék
Mi az a port nyitás? Miért kell nekünk?
A válasz nagyon egyszerű Mert szeretnénk az otthoni erőforrásainkat távol otthonról (útközben, iskolában ,munkahelyen, nyaralás közben) is elérni. Ilyen lehet mondjuk a NAS-on lévő fényképek elérése, az otthoni IP kamera elérése, vagy még ezer más dolog is. Maga az igény sem különleges s maga a megoldás sem egy ördöngösség, viszont elég sok veszélyt rejt magában.
Miért is?
Ahhoz, hogy az otthoni például NAS-on tárolt képeinket távolról is elérhessük, nagyon leegyszerűsítve az otthoni routerünk amely legtöbb esetben az otthoni tűzfalunk is és az lenne a feladata, hogy az otthoni hálózatunkat védje, szóval ennek védelmén egy ajtót nyitunk. Azaz úgy képzeljük el, hogy az otthoni hálózatunkat védő nagy falon kialakítunk egy ajtót, hogy átjárhassunk rajta. Ami nem mindegy, hogy azt az ajtót tárva nyitva hagyjuk (bárki átsétálhat rajta), bezárjuk és a kulcsot s a lábtörlőre tesszük (például nem titkosított, közismert portokat nyitunk), vagy azért megpróbáljuk azt az ajtót és az azon történő átsétálást biztonságosabbá tenni…
Mire ügyeljünk port nyitáskor, hogy picit biztonságosabb legyen otthoni hálózatunk?
Ne nyissunk meg nem titkosított portokat
Ahogy fentebb is említettem már, ne nyissunk meg olyan portokat, ahol az adatok, jelszavak titkosítás nélkül utazhatnak. Például WEB portok esetében törekedjünk, hogy a 80-as port (http) helyett a 443-ast (https) használjuk, FTP esetében a 21-es port helyett használjuk a 22-es portot SFTP-vel, illetve egyéb szolgáltatások esetében is olvassunk utána, melyek a titkosított portok.
Változtassuk meg az alapértelmezett portszámokat
Ennél egy fokkal jobb még, ha a titkosított portok esetében sem a szolgáltatások alapértelmezett portjait használjuk. Itt a 22-es port egy jó példa, hisz bár titkosított SFTP kapcsolatot tudunk rajta felépíteni, az SSH miatt ez egy annyira elterjed port, amire biztosan érkezik támadási kísérlet. Itt egy jó megoldás, ha például a 22-es port helyett az otthoni tűzfalon mondjuk a 2222-es portot állítjuk be és a NAT-olás / port továbbítás során adjuk meg, hogy az internet felől a 2222-es portra érkező kérések továbbítva legyenek a belső hálózatunkban a megfelelő IP cím 22-es portjára (vagy alapból már a szolgáltatás esetén is beállíthatjuk, hogy a 2222-es porton „figyeljen”).
Használjunk mindig erős jelszavakat és ezeket változtassuk meg rendszeresen
Ha a két fenti lépésen túl vagyunk (ha nem, akkor is), akkor bizonyosodjunk meg róla, hogy minden esetben legyen kötelező a bejelentkezés felhasználónévvel és jelszóval! Szóval ne engedjünk senkit például az FTP tárhelyünkre anoniman csatlakozni. Az erős jelszó pedig tartalmazzon minimum 8 karaktert, kis- és nagybetűket, számokat és speciális karaktereket, no és rendszeresen (ne két évente) változtassuk is meg. Az már minimum elvárás, hogy nemhogy értelmes szó ne legyen feltétlenül, de semmiképp ne lehessen hozzánk kötni, mint például a kutyánk nevét (például Buksika helyett a 8uk$1k4 egy fokkal jobb, de nem tökéletes).
Korlátozzuk a sikertelen belépési kísérletek számát
Nyilván megfelelő algoritmussal felvértezve csak idő kérdése, hogy a Buksika-ból eljusson a 8uk$1k4 jelszóig a hekker, de ha maximalizáljuk, hogy az adott felhasználó névvel és / vagy IP címről 5 sikertelen belépési kísérlet után ne is tudjon újra megpróbálni belépni a próbálkozó, már egy nagy lépést tettünk a biztonság irányába (ha ez túl szigorú és támogatja az eszközünk, beállíthatjuk azt is, hogy ez a tiltás például 24 óra elteltével oldjon fel).
Használjunk két faktoros authentikációt
Nyilván ezt csak akkor tudjuk alkalmazni, ha az adott eszköz, szolgáltatás támogatja.
Zárjuk ki azokat a régiókat ahonnan nem várunk belépést
Bár az otthoni routerek esetében már kevésbé jellemző ez a funkció, ha valaki otthoni tűzfalat használ (pfSense, OpnSense például, vagy a NAS-ok beépített tűzfalát is bekapcsolod másodlagos védelmi vonalként) akkor könnyen kizárhatja például a nem Magyarország területéről érkező belépési kísérleteket. (Ezzel vigyázzunk, mert ha külföldön nyaralunk, s nem állítjuk be ennek megfelelően, mi sem érjük el erőforrásainkat!)
Mit használjunk port nyitás helyett, ha még nagyobb biztonságra vágyunk?
Bár rengeteg sebből vérezhet az otthoni routeren történő port nyitás, azért e fentieket betartva megnehezíthetjük annyira a behatolni vágyók dolgát, hogy pár próbálkozás után fel is adják és tovább állnak, könnyebb prédát keresve. Ha komolyan gondoljuk a biztonságunkat, akkor a szolgáltatói router helyett (mögött) saját, sokkal nagyobb tudású routert / tűzfalat helyezünk üzembe és a két faktoros authentikáció, illetve a geolokáció alapú engedélyezés sem marad már csak álom.
Viszont ha ennél biztonságosabbat akarunk, akkor
használjunk VPN-t!
A VPN esetében már nem nyitunk ki portokat az internet felé, amelyek közvetlenül az erőforrásunkat (szerverünk, NAS-unk, kameránk) érik el, hanem egy köztes VPN szerveren (ez jobb estben a routerünkön, tűzfalunkon fut) történik az azonosítás. Ebben az esetben ugyancsak fontos, hogy itt is erős jelszavakat használjunk, ezeket rendszeres időközönként cseréljük, ha lehet használjunk két faktoros authentikációt, és / vagy egészítsük ki még egy tanúsítvány alapú authentikációval is (ebben az esetben hiába tudjuk a felhasználónevet, jelszót, satöbbi, ha az eszközön, amivel be akarunk lépni, nincs telepítve a tanúsítványunk, nem enged be a VPN). Otthoni felhasználásra kicsit csillagrombolónak tűnhet, de annyival magasabb biztonsági szintet is jelent!
Ha csak állományokat akarunk elérni / megosztani, elgondolkozhatunk azon is, hogy ezeket ne saját eszközünkön tároljuk és azt nyissuk meg valamilyen szinten a nagyvilág felé, hanem ameddig ezek elérésére távolról szükség van, addig tároljuk valamelyik neves és megbízható felhőtárhelyen. Előnye, hogy a hálózatunk, adataink többi részét nem tettük ki veszélynek, hisz nem engedünk be senkit az internet felől saját, otthoni hálózatunkba.
Összegzés
Magáról a témáról még órákat, napokat lehetne értekezni, de alapértelmezetten, mivel otthon nem tárolunk olyan adatokat, amiét mindenképp fel akarnának minket törni, a fentiek betartása már elég nagy védelmet nyújthat a kíváncsi szemek elől és el is veheti a kedvüket a túl sok próbálkozástól, hisz vannak nálunk sokkal könnyebb prédák is.
Kisokos (fogalmak):
Mi az FTP protokoll?
Mi az SFTP protokoll?
Mi a http protokoll?
Mi a https protokoll?
Mi az a VPN?
Mi az a kétfaktoros authentikáció?