Οι υπολογιστές που είναι συνδεδεμένοι μεταξύ τους βρίσκονται σε ένα δίκτυο, όπως το αποκαλούμε. Ένα δίκτυο μπορεί να είναι τεράστιο όπως είναι το διαδίκτυο, αλλά και ένα μικρό οικιακό δίκτυο είναι επίσης ένα δίκτυο.
Ένα δίκτυο χρησιμοποιεί ένα πρωτόκολλο για την επικοινωνία μεταξύ των υπολογιστών ή των συνδεδεμένων συσκευών, οι οποίες ονομάζονται nodes (κόμβοι). Συνεπώς, ένας κόμβος είναι οποιαδήποτε φυσική συσκευή είναι συνδεδεμένη σε ένα δίκτυο και έχει τη δυνατότητα να δημιουργήσει, να λάβει ή να μεταδώσει δεδομένα μέσω του δικτύου. Ένας κόμβος συνήθως διαθέτει τη δική του IP address (διεύθυνση IP) για τον προσδιορισμό της συγκεκριμένης συσκευής-πηγής για την αποστολή και λήψη δεδομένων. Για παράδειγμα, σε ένα οικιακό δίκτυο, ένας προσωπικός υπολογιστής, ένα smartphone, ένας εκτυπωτής και ένας δρομολογητής διαδικτύου είναι όλα παραδείγματα κόμβων του ίδιου δικτύου.
Το διαδίκτυο ως δίκτυο
Το διαδίκτυο είναι, στην ουσία, ένα δίκτυο που αποτελείται από δίκτυα. Συνδέει μεμονωμένα δίκτυα όπως οικιακά, κυβερνητικά και εταιρικά δίκτυα επιτρέποντας την αποστολή δεδομένων μέσω διάφορων κόμβων που είναι συνδεδεμένοι στο δίκτυο του διαδικτύου. Με αυτό τον τρόπο τα δεδομένα ταξιδεύουν σε ολόκληρο τον κόσμο, φαινομενικά, στιγμιαία.
Το δίκτυο δικτύων του διαδικτύου δίνει τη δυνατότητα σύνδεσης κόμβων δικτύων με άλλους κόμβους δικτύων με σκοπό τη δρομολόγηση της κυκλοφορίας δεδομένων από τον αποστολέα προς τον επιθυμητό διακομιστή-στόχο. Καμία μεμονωμένη οντότητα δεν ελέγχει όλους τους κόμβους στο δίκτυο, πράγμα που το καθιστά ένα κατανεμημένο δίκτυο, όπως λέγεται. Αυτό είναι ένα βασικό στοιχείο στη διατήρηση της ακεραιότητας του διαδικτύου και των δεδομένων που ανταλλάσσει.
Στο παρακάτω παράδειγμα, η κάθε κουκκίδα αντιπροσωπεύει έναν κόμβο και κάθε κόμβος μπορεί να είναι μια υπηρεσία δρομολόγησης ή ένα ολόκληρο δίκτυο. Η κυκλοφορία από τον κόμβο Α στον κόμβο Ζ διέρχεται του διαδικτύου μέσω πολλαπλών κόμβων που αποφασίζονται από τις πληροφορίες δρομολόγησης των κόμβων. Η δρομολόγηση δεν χρειάζεται να είναι η ίδια για κάθε πακέτο δεδομένων. Ο κάθε κόμβος δεν χρειάζεται να κατανοήσει την τοπολογία του δικτύου, αντιθέτως χρειάζεται μόνο να γνωρίζει την επόμενη μεταπήδηση καθ΄ οδόν για τον στόχο.
Ας δούμε λίγο πιο προσεκτικά ένα δίκτυο και πώς αυτό συνδέεται στο διαδίκτυο και σε άλλους κόμβους. Δείτε την παρακάτω εικόνα για ένα παράδειγμα.
Το διαδίκτυο είναι ένα δίκτυο που αποτελείται από δίκτυα. Το οικιακό σας δίκτυο είναι απλώς ένα δίκτυο στο κατανεμημένο δίκτυο που είναι το διαδίκτυο.
1. Ακαδημαϊκά δίκτυα, 2. Οικιακά δίκτυα, 3. Δίκτυα κινητής τηλεφωνίας, 4. Επιχειρηματικά δίκτυα, 5. Πάροχοι δικτύου
Το οικιακό (ή τοπικό) δίκτυο
Όταν συνδέεστε σε ένα δίκτυο στο σπίτι, είτε μέσω Wi-Fi είτε μέσω ενσύρματου δικτύου, βρίσκεστε σε ένα διαφορετικό δίκτυο το οποίο είναι συνδεδεμένο στο διαδίκτυο, συνήθως μέσω ενός οικιακού δρομολογητή. Ο δρομολογητής σάς παρέχει πρόσβαση στο διαδίκτυο και γνωρίζει ποιες συσκευές βρίσκονται εντός του οικιακού δικτύου και ποιες βρίσκονται εκτός αυτού. Γνωρίζει επίσης προς τα που θα πρέπει να προωθηθεί η κυκλοφορία για τους άγνωστους στόχους. Μερικοί δρομολογητές προσφέρουν επίσης κάποιου είδους προστασία από την κυκλοφορία εκτός του οικιακού δικτύου. Αυτές οι προστασίες εξαρτώνται από τη μάρκα και το μοντέλο του δρομολογητή και από άλλες πιθανές συσκευές που έχετε μεταξύ του υπολογιστή σας και του εξωτερικού δικτύου. Επίσης, οι πάροχοι δικτύου μπορεί να παρέχουν υπηρεσίες που προστατεύουν το δίκτυό σας.
Είναι σημαντικό να κατανοήσετε ότι οποιοσδήποτε κόμβος από τον οποίο περνάει η κυκλοφορία σας αφού φύγει από το οικιακό σας δίκτυο, μπορεί να παρακολουθεί ή να «κρυφακούει» τις επικοινωνίες σας. Μάθαμε για τη σημασία της ασφάλειας των επικοινωνιών στο προηγούμενο κεφάλαιο. Σε αυτό το κεφάλαιο θα εστιάσουμε στο πώς θα διασφαλίσουμε ότι το δίκτυο μέσα από το οποίο περνάνε είναι επίσης ασφαλές.
Ας εστιάσουμε πιο πολύ στο οικιακό σας δίκτυο.
Α. Πάροχος υπηρεσιών διαδικτύου Β. Κινητό τηλέφωνο Γ. Μόντεμ Wi-Fi Δ. Smart TV Ε. Φορητός υπολογιστής
Τα περισσότερα οικιακά δίκτυα αποτελούνται από ένα μόντεμ/δρομολογητή και συσκευές που είναι συνδεδεμένες στον δρομολογητή μέσω μιας ασύρματης σύνδεσης. Αυτό το μόντεμ μπορεί να είναι μια ξεχωριστή συσκευή από τον δρομολογητή ή μπορεί να είναι ενσωματωμένο στην ίδια συσκευή. Σε αυτή την περίπτωση, όλες οι συσκευές συνδέονται στον δρομολογητή. Πολλοί θεωρούν το οικιακό δίκτυο (ονομάζεται επίσης τοπικό δίκτυο) ως ένα έμπιστο δίκτυο. Αυτό σημαίνει ότι οι περισσότερες συσκευές δεν προσπαθούν να αποκλείσουν τυχόν συνδέσεις εντός αυτού του δικτύου, για παράδειγμα για την κοινή χρήση αρχείων. Ο δρομολογητής διαβιβάζει επίσης τα δεδομένα μεταξύ των συσκευών που είναι απευθείας συνδεδεμένες σε αυτόν, χωρίς να δρομολογεί την κυκλοφορία μέσω του ευρύτερου διαδικτύου. Ο δρομολογητής μπορεί να δει όλα τα δεδομένα που διέρχονται μέσα από αυτόν, αν δεν είναι κρυπτογραφημένα. Επιπλέον, αν δεν συνδέεστε στον δρομολογητή σας μέσω μιας ασφαλούς σύνδεσης, η ασύρματη κυκλοφορία μπορεί να μην είναι καθόλου κρυπτογραφημένη και όποιες συσκευές είναι αρκετά κοντά ώστε να λαμβάνουν τα ραδιοκύματα μπορούν να «κρυφακούν» τη μη κρυπτογραφημένη κυκλοφορία.
Κρυπτογράφηση της σύνδεσης τοπικού δικτύου
Το πρώτο βήμα που πρέπει να κάνετε είναι να χρησιμοποιείτε μια ασφαλή σύνδεση στον δρομολογητή Wi-Fi. Συνήθως, η προεπιλεγμένη διαμόρφωση στους περισσότερους δρομολογητές είναι η χρήση μιας κρυπτογραφημένης σύνδεσης, όμως υπάρχουν μερικά πράγματα που θα πρέπει να γνωρίζετε:
1) Οι προεπιλεγμένοι κωδικοί πρόσβασης σε μερικές συσκευές είναι ευρέως γνωστοί. Αν ο επιτιθέμενος αναγνωρίσει τη μάρκα και το μοντέλο του δρομολογητή σας, μπορεί να προσπαθήσει να χρησιμοποιήσει τα προεπιλεγμένα διαπιστευτήρια και να συνδεθεί στο δίκτυό σας.
Πρέπει πάντα να αλλάζετε τον προεπιλεγμένο κωδικό πρόσβασης για τη σύνδεση στο δίκτυο. Ακριβώς όπως όταν χρησιμοποιείτε κωδικούς πρόσβασης εισόδου για τους διαδικτυακούς σας λογαριασμούς, οι κωδικοί πρόσβασης για την πρόσβαση στο τοπικό σας δίκτυο θα πρέπει να χρησιμοποιούν την βέλτιστη πρακτική (δείτε το κεφάλαιο 2.3), ώστε να διασφαλίσετε ότι δεν είναι πολύ εύκολοι να τους μαντέψει κάποιος ή να κάνει επίθεση brute force.
2) Από προεπιλογή, οποιοσδήποτε βρίσκεται στο τοπικό σας δίκτυο μπορεί να έχει πρόσβαση στη διασύνδεση διαχείρισης του δρομολογητή. Συνήθως προστατεύεται από ένα γνωστό όνομα χρήστη και κωδικό πρόσβασης που είναι εύκολο να βρεθούν στο διαδίκτυο.
Θα πρέπει να αλλάξετε επίσης τον κωδικό πρόσβασης που χρησιμοποιείται για την πρόσβαση στη διασύνδεση διαχείρισης του δρομολογητή.
3) Ο δρομολογητής μπορεί να χρησιμοποιεί μια παλιότερη έκδοση κρυπτογράφησης η οποία να είναι εύκολη να παραβιαστεί. Οι εκδόσεις πρωτοκόλλων που πρέπει να αποφύγετε είναι οι WEP και WPA οι οποίες είναι ξεπερασμένες.
Η WPA2 και η καινούρια κρυπτογράφηση WPA3 είναι πιο ασφαλείς. Αν ο δρομολογητής σας Wi-Fi υποστηρίζει WPA3, θα πρέπει να σκεφτείτε να μεταβείτε σε αυτή. Μπορείτε να βρείτε παρακάτω οδηγίες για να το ελέγξετε αυτό με βάση τον τύπο του υπολογιστή σας.
Έλεγχος της ασφάλειας του Wi-Fi σας σε έναν υπολογιστή Mac
Ενώ πατάτε το πλήκτρο Option (alt), κάντε κλικ στο εικονίδιο Wi-Fi στη γραμμή εργαλείων σας. Το πρωτόκολλο που χρησιμοποιείται βρίσκεται στην κεφαλίδα Security (Ασφάλεια).
Έλεγχος της ασφάλειας του Wi-Fi σας σε έναν υπολογιστή Windows 10
Στα Windows 10, κάντε κλικ στο εικονίδιο σύνδεσης Wi-Fi στη γραμμή εργασιών. Κάντε κλικ στην επιλογή Properties (Ιδιότητες) κάτω από τη σύνδεση Wi-Fi. Αναζητήστε τις λεπτομέρειες Wi-Fi και κάτω από αυτές, αναζητήστε τον Τύπο ασφάλειας.
Είναι σημαντικό να γνωρίζετε ότι η ασφάλεια του τοπικού σας δικτύου είναι μόνο το πρώτο βήμα για την ασφάλεια του δικτύου. Ακόμα και όταν κρυπτογραφείτε τη σύνδεση Wi-Fi σας (χρησιμοποιώντας για παράδειγμα WPA2), η κυκλοφορία σας είναι κρυπτογραφημένη μόνο από τον υπολογιστή σας μέχρι τον δρομολογητή Wi-Fi. Αν έχετε μια ασφαλή σύνδεση τοπικού δικτύου, το περιεχόμενο της κυκλοφορίας είναι κρυπτογραφημένο όταν αποστέλλεται στον δρομολογητή, όμως ο δρομολογητής θα το αποκρυπτογραφήσει για να το προωθήσει. Αν ο επόμενος κόμβος στη δρομολόγηση χρησιμοποιεί μια ασφαλή σύνδεση απευθείας προς τον δρομολογητή, η κυκλοφορία κρυπτογραφείται με τη χρήση διαφορετικού κλειδιού και αποστέλλεται στον επόμενο κόμβο. Όμως, αν ο επόμενος κόμβος είναι στο διαδίκτυο, η κυκλοφορία δεν κρυπτογραφείται απαραίτητα, εκτός αν χρησιμοποιείτε ένα κρυπτογραφημένο πρωτόκολλο όπως το SSL ή το TLS για την κυκλοφορία. Θα μάθουμε περισσότερα για αυτά τα πρωτόκολλα στην επόμενη ενότητα για τη στοίβα δικτύου.
Περιορισμός της εξωτερικής πρόσβασης σε ένα δίκτυο
Αν ένα δίκτυο, όπως ένα οικιακό δίκτυο, είναι συνδεδεμένο σε ένα άλλο δίκτυο, όπως το διαδίκτυο, η σύνδεση θα πρέπει να περιορίζεται μόνο σε ό,τι είναι απαραίτητο. Σε αντίθετη περίπτωση, όλες οι διαθέσιμες υπηρεσίες στο οικιακό δίκτυο είναι διαθέσιμες σε οποιονδήποτε στο διαδίκτυο. Σε ένα οικιακό δίκτυο, το μόντεμ συνήθως λειτουργεί ως αυτό το φίλτρο. Η λειτουργικότητα αυτού του φιλτραρίσματος ονομάζεται firewall (τείχος προστασίας) και τα περισσότερα λειτουργικά συστήματα (το λογισμικό λειτουργίας στις συσκευές σας) διαθέτουν επίσης ένα ενσωματωμένο τείχος προστασίας.
Ένα τείχος προστασίας περιορίζει την κυκλοφορία που διέρχεται από αυτό ανάλογα με τους κανόνες του. Οι απλούστεροι κανόνες τείχους προστασίας απλώς επιτρέπουν σε όλη την κυκλοφορία να διέρχεται ή δεν αφήνουν να διέρχεται τίποτα. Ανάλογα με το τείχος προστασίας, μπορεί να έχει πολλά χαρακτηριστικά και μπορεί να προσφέρει ανάλυση της κυκλοφορίας για να προσδιορίσει αν πρέπει να επιτραπεί η διέλευση.
Τα τείχη προστασίας μπορούν να είναι λογισμικό ή υλικό. Γενικότερα, θέλετε και τα δύο είδη. Το τείχος προστασίας λογισμικού στον υπολογιστή σας τον προστατεύει από απειλές που προέρχονται από το δίκτυο στο οποίο είστε συνδεδεμένοι. Αυτές οι απειλές περιλαμβάνουν μεταξύ άλλων τους ιούς και τα bugs, όπως είναι τα malware, που μπορεί να καταστρέψουν ή να πάρουν τον έλεγχο της συσκευής σας. Το τείχος προστασίας υλικού είναι ένας καλός τρόπος για να προστατέψετε το τοπικό σας δίκτυο από το διαδίκτυο. Ένα παράδειγμα αυτού είναι το μόντεμ, μια φυσική συσκευή που ενεργεί ως όριο του δικτύου, σαρώνοντας όλη την εισερχόμενη και εξερχόμενη κυκλοφορία.
Τα περισσότερα τείχη προστασίας λειτουργούν σε επίπεδο πακέτου (θα μάθουμε περισσότερα για τα πακέτα στην επόμενη ενότητα για τη στοίβα δικτύου). Φιλτράρουν τα πακέτα βάσει του τύπου τους, της διεύθυνσης αποστολέα και της θύρας ή βάσει της διεύθυνσης παραλήπτη και της θύρας. Τα πιο προηγμένα τείχη προστασίας επόμενης γενιάς παρέχουν περισσότερες λειτουργίες όπως επιθεώρηση κρυπτογραφημένης κυκλοφορίας, σαρωτές προστασίας από ιούς, ανίχνευση εισβολής και επιθεώρηση πακέτου. Μερικά τείχη προστασίας προσφέρουν επιθεώρηση επίβλεψης κατάστασης της κυκλοφορίας.
Ο δρομολογητής του οικιακού σας δικτύου πιθανότατα περιλαμβάνει ένα στοιχειώδες τείχος προστασίας που επιτρέπει την (περισσότερη) κυκλοφορία προς το διαδίκτυο αλλά απορρίπτει την κυκλοφορία που δεν προκλήθηκε από εσάς από το διαδίκτυο, όπως είναι η απάντηση σε αίτημα για μια ιστοσελίδα. Στην πλειοψηφία των άλλων περιπτώσεων, ειδικά αν διαχειρίζεστε μια εταιρεία, ένα απλό τείχος προστασίας πιθανόν να μην σας προσφέρει επαρκή προστασία.
Για παράδειγμα, υποθέστε ότι χρησιμοποιείτε ένα δημόσιο σημείο πρόσβασης Wi-Fi για να ελέγξετε το e-mail σας. Αν δεν κάνετε λήψη του e-mail σας μέσω μιας κρυπτογραφημένης σύνδεσης, το δίκτυο μπορεί να δει το περιεχόμενο των e-mail. Αν δεν χρησιμοποιείτε ένα έμπιστο δίκτυο Wi-Fi όπως ένα οικιακό δίκτυο, ποιος ελέγχει το δίκτυο; Μπορείτε να είστε σίγουροι ότι δεν θα διαβάσει κανείς όλη τη μη κρυπτογραφημένη επικοινωνία εντός του τοπικού δικτύου που χρησιμοποιείτε; Μπορεί να έχετε ενεργοποιημένες υπηρεσίες κοινής χρήσης αρχείων (για παράδειγμα το AirDrop) εντός του άμεσου δικτύου σας, που μπορεί τώρα να ελέγχεται από οποιονδήποτε με πρόσβαση στο δίκτυο.
Ένα πραγματικό παράδειγμα επιθέσεων Wi-Fi παρατηρήθηκε το 2015, όταν μια ομάδα κορυφαίων hacker έδειξε πόσο επικίνδυνη είναι η χρήση μιας μη ασφαλούς ασύρματης σύνδεσης. Η ομάδα έδειξε τους κινδύνους κάνοντας hacking σε τρεις πολιτικούς του Η.Β. αν και οι πολιτικοί γνώριζαν ότι συμμετείχαν στο πείραμα.
Zero trust (Μηδενική εμπιστοσύνη)
Η στρατηγική μηδενικής εμπιστοσύνης είναι ένας όρος που αναφέρεται όλο και πιο συχνά όταν αναφερόμαστε στην αρχιτεκτονική ασφάλειας. Ο όρος σημαίνει απλώς ότι αντί να υποθέτουμε ότι μπορούμε να εμπιστευτούμε οποιοδήποτε εσωτερικό δίκτυο και τις συσκευές εντός αυτού, πρέπει να υποθέτουμε ότι όλες οι συσκευές είναι εχθρικές. Αυτό σημαίνει ότι πρέπει να γίνει έλεγχος ταυτότητας όλων των συσκευών και να αξιολογηθεί η ασφάλειά τους προτού τους επιτραπεί η είσοδος στο δίκτυο.
Η κατάτμηση δικτύου (ο διαχωρισμός του δικτύου σε τμήματα με όρια που ελέγχονται και στα οποία επιτρέπεται η μεταξύ τους πρόσβαση μόνο με ξεχωριστά προσδιορισμένες μεθόδους) είναι μια μέθοδος που χρησιμοποιείται συχνά για την προσθήκη ελέγχου σε ένα δίκτυο, τουλάχιστον στα εταιρικά δίκτυα. Η παρακολούθηση των συσκευών και των συνδέσεων είναι επίσης σημαντική για την επίτευξη του μοντέλου μηδενικής εμπιστοσύνης.
Εκεί όπου, παραδοσιακά, τα οικιακά δίκτυα απλώς θα επέτρεπαν σε όλες τις συσκευές να συνδεθούν και να επικοινωνούν εντός του δικτύου, με τη μηδενική εμπιστοσύνη θα επιτρέπατε μόνο σε επαληθευμένες συσκευές να έχουν πρόσβαση στο δίκτυο και θα έπρεπε να γίνεται επίσης έλεγχος ταυτότητας ολόκληρης της εσωτερικής επικοινωνίας. Στην πράξη, η επίτευξη της μηδενικής εμπιστοσύνης στο οικιακό σας δίκτυο είναι δύσκολη καθώς οι περισσότερες συσκευές είτε δεν υποστηρίζουν τον έλεγχο ταυτότητας ή βασίζονται στη δυνατότητα της απευθείας σύνδεσης με άλλες συσκευές και του ελέγχου τους.
Για παράδειγμα, μια συνηθισμένη smart TV δεν ενδιαφέρεται για τις συνδέσεις που επιτρέπει, καθώς είναι σχεδιασμένη για να χρησιμοποιείται σε ένα έμπιστο δίκτυο. Ενώ η ακούσια παύση μιας ταινίας από τον σύντροφό σας από το διπλανό δωμάτιο μέσω του τηλεφώνου είναι ενοχλητική, αυτοί οι προβληματισμοί ασφαλείας θα πρέπει να σας απασχολήσουν πιο σοβαρά αν κάνετε κοινή χρήση του οικιακού σας δικτύου με έναν άγνωστο επισκέπτη, για παράδειγμα μέσω της φιλοξενίας Airbnb.
