Računala se međusobno povezuju u ono što se naziva mreža. Mreža može biti velika poput interneta, ali i mala kućna mreža ubraja se u mreže.
Mreža koristi protokol za komunikaciju između računala i povezanih uređaja, koji se nazivaju čvorovi (engl. nodes). Dakle, čvor je bilo koji fizički uređaj povezan s mrežom koji može stvarati, primati ili prenositi podatke putem mreže. Čvor obično ima vlastitu IP adresu (engl. IP address) kako bi identificirao specifičan izvor uređaja za slanje i primanje podataka. Na primjer, u kućnoj mreži, osobno računalo, pametni telefon, pisač i usmjerivač za internet primjeri su čvorova u istoj mreži.
Internet kao mreža
Internet je, u suštini, mreža svih mreža. On povezuje pojedinačne mreže poput kućnih, državnih i poslovnih mreža omogućujući slanje podataka kroz različite čvorove povezane s internetskom mrežom. Podaci tako mogu u tren oka putovati po cijelom svijetu.
Internetska mreža svih mreža omogućuje povezivanje mrežnih čvorova s drugim mrežnim čvorovima u cilju usmjeravanja podatkovnog prometa od pošiljatelja do namijenjenog ciljanog poslužitelja. Nijedan pojedinačan entitet ne upravlja svim čvorovima u mreži, što znači da je ona tzv. razdjelna mreža (engl. distributed network). To je ključan element u održavanju integriteta interneta i podataka koje razmjenjuje.
U primjeru prikazanom u nastavku svaka točka predstavlja čvor, a svaki čvor može biti ili servis za usmjeravanje ili čitava mreža. Promet od čvora A do čvora Z proći će internetom putem nekoliko čvorova, o čemu odlučuju informacije o usmjeravanju čvorova. Smjer ne mora biti isti za svaki paket podataka. Svaki čvor ne mora razumjeti mrežnu topologiju, već samo mora znati sljedeći preskok u tom smjeru prema cilju.
Pogledajmo pobliže što je to mreža i koja je veza između mreže, interneta i drugih čvorova. Pogledajte sliku u nastavku za primjer.
Internet je mreža svih mreža. Vaša kućna mreža samo je jedna mreža u razdjelnoj mreži koja se zove internet.
1. Akademske mreže, 2. Kućne mreže, 3. Mobilne mreže, 4. Poslovne mreže, 5. Pružatelji mrežnih usluga
Kućna (ili lokalna) mreža
Kada se povežete s mrežom kod kuće, bilo putem Wi-Fija ili žičane mreže, povezani ste sa zasebnom mrežom koja je povezana s internetom, obično putem kućnog usmjerivača. Usmjerivač vam pruža pristup internetu i zna koji su uređaji smješteni unutar kućne mreže a koji se nalaze izvan nje. Zna i kamo treba proslijediti promet koji se šalje nepoznatim odredištima. Neki usmjerivači također pružaju neku vrstu zaštite od prometa izvan kućne mreže. Te zaštite ovise o marki i modelu usmjerivača i drugim mogućim uređajima koje možda imate između računala i vanjske mreže. Pružatelji mrežnih usluga mogu prodavati usluge za zaštitu vaše mreže.
Važno je da znate da neovisno o broju čvorova kroz koje prolazi vaš promet nakon što napusti kućnu mrežu, svi oni mogu nadzirati ili prisluškivati vašu komunikaciju. U prethodnom smo poglavlju naučili o važnosti zaštite komunikacija. U ovom poglavlju govorit ćemo o tome kako se možete pobrinuti i za sigurnost mreže kojom ta komunikacija putuje.
Pogledajmo pobliže vašu kućnu mrežu.
A. Davatelj internetskih usluga; B. Mobilni telefon; C. Wi-Fi modem; D. Pametni televizor; E. Prijenosno računalo
Većina kućnih mreža sastoji se samo od modema/usmjerivača, a uređaji su povezani s usmjerivačem putem bežične veze. Modem može biti uređaj koji je odvojen od usmjerivača ili mogu biti spojeni u isti uređaj. U tom slučaju, svi uređaji povezuju se s usmjerivačem. Mnogi smatraju da je kućna mreža (koja se naziva još i lokalna mreža) pouzdana mreža. To znači da većina uređaja ne pokušava blokirati bilo kakva povezivanja u toj mreži, recimo, za dijeljenje datoteka. Usmjerivač također prenosi podatke između uređaja koji su izravno povezani s njime, bez usmjeravanja prometa kroz širi internet. Usmjerivač može vidjeti sve podatke koji prolaze kroz njega ako podaci nisu šifrirani. Osim toga, ako niste povezani sa svojim usmjerivačem putem sigurne veze, moguće je da bežični promet uopće nije šifriran, a bilo koji uređaj koji se nalazi dovoljno blizu da uhvati radiovalove može prisluškivati nešifrirani promet.
Šifriranje lokalne mrežne veze
Prvi korak koji morate osigurati je sigurno povezivanje s Wi-Fi usmjerivačem. Obično je zadana konfiguracija na većini usmjerivača korištenje šifrirane veze, ali ipak morate paziti na neke stvari:
1) Zadane lozinke na nekim uređajima su opće poznate. Ako napadač utvrdi marku i model vašeg usmjerivača, može pokušati upotrijebiti zadane vjerodajnice i pridružiti se vašoj mreži.
Uvijek morate promijeniti zadanu lozinku za povezivanje s mrežom. Kao što stvarate lozinke za prijavu na mrežne račune, trebali biste stvoriti lozinke za pristup svojoj lokalnoj mreži prema najboljoj praksi (vidi poglavlje 2.3) kako biste bili sigurni da se ne mogu lako pogoditi ili napasti grubom silom.
2) Bilo tko u vašoj lokalnoj mreži može automatski pristupiti administratorskom sučelju usmjerivača. Obično je zaštićen poznatim korisničkim imenom i lozinkom koji se lako mogu pronaći na internetu.
Također biste trebali promijeniti lozinku koja se koristi za pristup administratorskom sučelju usmjerivača.
3) Usmjerivač može koristiti stariju verziju šifriranja koja se lako može slomiti. Verzije protokola koje biste trebali izbjegavati su WEP i WPA, koje su zastarjele.
WPA2 i novo WPA3 šifriranje su sigurniji. Ako vaš Wi-Fi usmjerivač podržava WPA3, razmislite o tome da prijeđete na taj oblik. U nastavku možete pronaći upute za provjeru šifriranja ovisno o vašoj vrsti računala.
Provjera sigurnosti Wi-Fi mreže na Mac računalu
Istovremeno pritisnite tipku Option (alt) i kliknite na ikonu za Wi-Fi na alatnoj traci. Protokol koji je u uporabi može se pronaći u zaglavlju Sigurnost.
Provjera sigurnosti Wi-Fi mreže na Windows 10 računalu
Na Windows 10 računalu kliknite ikonu za Wi-Fi vezu u programskoj traci. Kliknite Svojstva u dijelu s Wi-Fi vezom. Potražite pojedinosti o Wi-Fiju a zatim Vrstu zaštite.
Važno je napomenuti da je osiguravanje lokalne mreže samo prvi korak prema uspostavljanju mrežne sigurnosti. Čak i kada šifrirate Wi-Fi vezu (npr. s pomoću WPA2), promet se šifrira samo od vašeg računala do Wi-Fi usmjerivača. Ako imate sigurnu lokalnu mrežnu vezu, sadržaj prometa šifriran je kada se pošalje usmjerivaču, ali usmjerivač će ga dešifrirati da bi ga mogao proslijediti. Ako je sljedeći čvor na smjeru sigurno i izravno povezan s usmjerivačem, promet se šifrira s pomoću drukčijeg ključa i šalje se sljedećem čvoru. Međutim, ako se sljedeći čvor nalazi na internetu, promet ne mora nužno biti šifriran, osim ako koristite šifrirani protokol kao što je SSL ili TLS za promet. Više o tim protokolima učit ćemo u sljedećem dijelu o mrežnom stogu.
Ograničavajući vanjski pristup mreži
Ako je mreža, npr. kućna mreža, povezana s drugom mrežom, npr. internetom, veza treba biti ograničena samo na ono što je potrebno. U suprotnom, sve usluge koje su dostupne u kućnoj mreži dostupne su svima na internetu. U kućnoj mreži modem obično djeluje kao taj filtar. Funkcija tog filtriranja naziva se vatrozid (engl. firewall). Većina operativnih sustava (operativni softver na vašim uređajima) ima ugrađeni vatrozid.
Vatrozid ograničava promet koji njime prolazi ovisno o pravilima. Najjednostavnija pravila vatrozida ili omogućuju prolazak čitavog prometa ili odbacuju sve. Ovisno o vatrozidu, on može imati mnogo značajki, a može omogućavati i analizu prometa kako bi se utvrdilo treba li se omogućiti prolazak.
Vatrozidi mogu biti softveri ili hardveri. Uglavnom je dobro imati oba. Softverski vatrozid štiti računalo od prijetnji s mreže s kojom ste povezani. Te prijetnje uključuju stvari poput virusa i pogrešaka poput zlonamjernog softvera koji može oštetiti ili preuzeti kontrolu nad vašim uređajem. Hardverski vatrozid dobar je alat za zaštitu vaše lokalne mreže od interneta. Primjer toga je modem, fizički uređaj koji djeluje kao mrežna granica i pregledava sav ulazni i izlazni promet.
Većina vatrozida djeluje na razini paketa (više o paketima učit ćemo u sljedećem dijelu o mrežnom stogu). Oni filtriraju pakete ovisno o njihovoj vrsti, adresi pošiljatelja i priključku ili adresi primatelja i priključku. Napredniji vatrozidi nove generacije pružaju više značajki kao što su pregled šifriranog prometa, pretražnici virusa, otkrivanje neovlaštenog pristupa i pregled paketa. Neki vatrozidi omogućuju pregled prometa s praćenjem stanja.
Vaš usmjerivač kućne mreže najvjerojatnije uključuje osnovni vatrozid koji omogućuje slanje (većine) prometa na internet, ali odbacuje promet s interneta koji vi niste pokrenuli, npr. odgovor na zahtjev za web-stranicu. U većini drugih slučajeva, osobito ako imate vlastitu tvrtku, jednostavan vatrozid vam najvjerojatnije neće pružati dovoljnu zaštitu.
Zamislite da koristite javnu Wi-Fi pristupnu točku za provjeravanje e-pošte, na primjer. Ako ne preuzimate e-poštu putem šifrirane veze, mreža može vidjeti sadržaj e-poruka. Ako ne koristite pouzdanu Wi-Fi mrežu kao što je kućna mreža, tko upravlja mrežom? Jeste li sigurni da nitko neće čitati svu nešifriranu komunikaciju unutar lokalne mreže koju koristite? Možda imate omogućene usluge za dijeljenje datoteka (npr. AirDrop) unutar neposredne mreže, kojom sada može upravljati bilo tko s pristupom mreži.
Stvarni primjer Wi-Fi napada dogodio se 2015., kada je stručni tim hakera pokazao koliko može biti rizično korištenje nezaštićene bežične mreže. Tim je ukazao na rizike tako što je zlonamjerno hakirao tri britanska političara, premda su političari znali da sudjeluju u eksperimentu.
Model „svi su nepouzdani“ (engl. zero trust)
Strategija „svi su nepouzdani“ je pojam koji se sve više spominje kada se govori o sigurnosnoj arhitekturi. Načelno, taj pojam znači da treba pretpostaviti da su svi uređaji neprijateljski, umjesto da pretpostavimo da su bilo koja interna mreža i uređaji unutar nje pouzdani. To znači da se mora provjeriti autentičnost svih uređaja i procijeniti njihova sigurnost prije nego što im se omogući ulazak na mrežu.
Segmentacija mreže (razdvajanje mrežnih segmenata s kontroliranim granicama i dopuštanje pristupa samo jedno drugome prema zasebno definiranim metodama) je metoda koja se često koristi za dodatnu kontrolu mreže, barem kada je riječ o korporativnim mrežama. Nadzor nad uređajima i vezama također je ključan za ostvarivanje modela „svi su nepouzdani“.
S obzirom na to da su tradicionalno kućne mreže samo omogućavale svim uređajima da se povezuju i komuniciraju unutar mreže, prema modelu „svi su nepouzdani“ omogućili biste samo provjerenim uređajima pristup mreži te biste zahtijevali provjeru autentičnosti čitave interne komunikacije. U praksi, ostvarivanje modela „svi su nepouzdani“ na vašoj kućnoj mreži je teško jer većina uređaja ili ne podržava provjeru autentičnosti ili se oslanja na mogućnost izravnog povezivanja i upravljanja drugim uređajima.
Običan pametni televizor, recimo, nažalost ne vodi brigu o vezama koje omogućuje jer je osmišljen za to da se koristi u pouzdanoj mreži. Ako vaš partner slučajno zaustavi film na svojem telefonu u susjednoj sobi vjerojatno ćete se samo naživcirati. Međutim, ako dijelite kućnu mrežu s nepoznatim gostom, primjerice, putem Airbnb smještaja, trebali biste ozbiljnije pristupiti tim sigurnosnim pitanjima.
