Computerele conectate unele la celelalte se află în ceea ce se denumește drept rețea. O rețea poate fi enormă, ca internetul, însă și o rețea mică de locuință este tot o rețea.
O rețea utilizează un protocol pentru comunicațiile dintre computere sau dispozitive conectate, care sunt denumite noduri. Prin urmare, un nod este orice dispozitiv fizic conectat la o rețea care are capacitatea de a crea, primi sau transmite date pe rețea. Un nod își are propria adresă IP pentru a identifica sursa dispozitivului specific pentru transmiterea și primirea de date. De exemplu, într-o rețea de locuință, un computer personal, un telefon inteligent, o imprimantă și routerul de internet sunt toate exemple de noduri din aceeași rețea.
Internetul ca o rețea
Internetul este, esențialmente, o rețea de rețele. Acesta conectează rețelele individuale, precum rețelele din locuințe, guvern și întreprinderi, permițând ca datele să fie transmise prin intermediul diferitelor noduri conectate la rețeaua de internet. Acesta este modul în care datele se pot deplasa peste tot în lume într-un mod care pare să fie instantaneu.
Rețeaua de rețele a internetului permite conectarea nodurilor din rețea la alte noduri din rețea cu obiectivul de a direcționa traficul de date de la expeditor prin intermediul serverului său țintă vizat. Nicio entitate unică nu controlează toate nodurile din rețea, ceea ce face ca această rețea să fie o așa-numită rețea distribuită. Acesta este un element esențial în menținerea integrității internetului și a datelor pe care le transmite.
În exemplul de mai jos, fiecare punct reprezintă un nod, iar fiecare nod poate fi ori un serviciu de rutare, ori o rețea întreagă. Traficul de la nodul A la nodul Z va trece pe internet prin intermediul unor noduri multiple decise de informațiile de direcționare ale nodurilor. Ruta nu trebuie să fie aceeași pentru fiecare pachet de date. Fiecare nod nu trebuie să înțeleagă topologia rețelei, în schimb, nu trebuie să cunoască decât următorul salt din ruta către țintă.
Să analizăm mai îndeaproape o rețea și modul în care se conectează la internet și celelalte noduri. Consultați imaginea de mai jos pentru a vedea un exemplu.
Internetul este o rețea de rețele. Rețeaua dumneavoastră din locuință este doar o rețea din rețeaua distribuită care este internetul.
1. Rețele academice, 2. Rețele din locuință, 3. Rețele mobile, 4. Rețele de afaceri, 5. Furnizori de rețea
O rețea de locuință (sau locală)
Atunci când vă conectați la o rețea acasă, fie prin intermediul unui Wi-Fi, fie printr-o rețea cu fir, sunteți într-o rețea separată, conectată la internet, de obicei prin intermediul unui router din locuință. Routerul vă oferă acces la internet și știe ce dispozitive sunt localizate în cadrul rețelei din locuință și care sunt în afara acesteia. De asemenea, routerul știe în ce direcție trebuie dirijat traficul pentru țintele necunoscute. Unele routere oferă și un anumit tip de protecție față de traficul din exteriorul rețelei din locuință. Aceste protecții depind de marca și modelul routerului și de alte dispozitive potențiale care ar putea fi localizate între computerul dumneavoastră și rețeaua exterioară. Furnizorii de rețea ar putea să comercializeze servicii care protejează și rețeaua dumneavoastră.
Este important să înțelegeți că este posibil ca orice număr de noduri prin care trece traficul dumneavoastră după ce pleacă din rețeaua din locuință ar putea monitoriza sau intercepta comunicațiile dumneavoastră. În ultimul capitol am aflat care este importanța securizării comunicațiilor. În acest capitol, ne vom axa pe modalitățile prin care ne asigurăm că și rețeaua prin care se deplasează aceste comunicații este securizată.
Să cercetăm mai îndeaproape rețeaua din locuința dumneavoastră.
A.Furnizor de servicii de internet; B. Telefon mobil; C. Modem Wi-Fi ; D. Televizor inteligent; E. Laptop
Majoritatea rețelelor din locuințe constau din doar un modem/router, iar dispozitivele se conectează la router prin intermediul unei conexiuni fără fir. Modemul poate fi un dispozitiv separat de router sau amândouă pot fi integrate în același dispozitiv. În acest caz, toate dispozitivele se conectează la router. Mulți consideră că rețeaua din locuință (sau rețeaua locală, cum mai este denumită, totodată) este o rețea de încredere. Acest lucru înseamnă că majoritatea dispozitivelor nu încearcă să blocheze nicio conexiune în rețeaua respectivă, de exemplu pentru partajarea fișierelor. Routerul mai transmite datele între dispozitivele conectate direct fără a direcționa traficul prin internetul mai extins. Routerul poate vedea toate datele transmise prin intermediul său dacă datele nu sunt criptate. În plus, dacă nu vă conectați la router prin intermediul unei conexiuni securizate, este posibil ca traficul fără fir să nu fie criptat deloc, iar toate dispozitivele suficient de apropiate încât să capteze undele radio pot intercepta traficul necriptat.
Criptarea conexiunii prin rețeaua locală
Primul pas ar trebui să fie să vă asigurați că utilizați o conexiune securizată până la routerul Wi-Fi. De obicei, prin configurația implicită a majorității routerelor se utilizează o conexiune criptată, însă există câteva aspecte pe care trebuie să le conștientizați:
1) Parolele implicite ale unor dispozitive sunt informații publice. Dacă atacatorul identifică marca și modelul routerului, poate încerca și utiliza datele implicite de înregistrare și intra astfel în rețeaua dumneavoastră.
Întotdeauna ar trebui să schimbați parola implicită pentru a vă înregistra în rețea. Exact la fel ca atunci când creați parolele de înregistrare pentru conturile dumneavoastră online, parolele de accesare a rețelei dumneavoastră locale ar trebui să se bazeze pe cele mai bune practici (a se vedea capitolul 2.3) pentru a vă asigura că nu sunt mult prea ușor de ghicit sau de obținut printr-un atac prin forță brută.
2) În mod implicit, oricine din rețeaua dumneavoastră locală poate accesa interfața de administrare a routerului. De obicei, aceasta este protejată printr-un nume de utilizator și o parolă cunoscute care sunt ușor de găsit pe internet.
De asemenea, ar trebui să modificați parola utilizată pentru a accesa interfața de administrare a routerului.
3) Este posibil ca routerul să utilizeze o versiune mai veche de criptare care este ușor de decriptat. Ar trebui să evitați versiunile WEP și WPA ale protocolului, care sunt perimate.
Criptarea de tip WPA2 și noul WPA3 sunt mai sigure. Dacă routerul dumneavoastră Wi-Fi suportă WPA3, ar trebui să aveți în vedere trecerea la acesta. Mai jos găsiți instrucțiuni pentru a verifica acest fapt în funcție de tipul dumneavoastră de computer.
Verificarea securității dumneavoastră Wi-Fi pe un computer Mac
În timp ce țineți apăsată tasta Opțiune (alt), faceți clic pe pictograma Wi-Fi din bara de instrumente. Găsiți protocolul utilizat la antetul de Securitate.
Verificarea securității dumneavoastră Wi-Fi pe un computer cu Windows 10
În cazul Windows 10, faceți clic pe pictograma de conexiune Wi-Fi din bara de activități. Faceți clic pe Proprietăți sub conexiunea Wi-Fi. Căutați detaliile Wi-Fi și sub acest meniu, căutați Tipul de securitate.
Este important să observați că asigurarea rețelei dumneavoastră locale este doar primul pas către securitatea rețelei. Chiar dacă criptați conexiunea dumneavoastră Wi-Fi (cu ajutorul WPA2, de exemplu), traficul dumneavoastră nu este criptat decât de la computerul dumneavoastră la routerul Wi-Fi. Dacă aveți o conexiune securizată pentru rețeaua locală, conținutul traficului este criptat atunci când este trimis către router, însă routerul îl decriptează pentru a-l transmite mai departe. Dacă următorul nod de pe rută utilizează o conexiune securizată direct până la router, traficul este criptat cu ajutorul unei chei diferite și trimis către următorul nod. Cu toate acestea, dacă următorul nod se află pe internet, traficul nu se criptează în mod obligatoriu deloc decât dacă utilizați un protocol criptat, precum SSL sau TLS pentru trafic. Vom afla mai multe despre aceste protocoale în secțiunea următoare privind stiva de rețele.
Limitarea accesului din exterior la rețea
Dacă o rețea, precum rețeaua din locuință, este conectată la o altă rețea, precum internetul, conexiunea ar trebui limitată doar la ceea ce este necesar. Altfel, toate serviciile disponibile în rețeaua din locuință sunt disponibile oricui de pe internet. Într-o rețea dintr-o locuință, modemul funcționează de obicei ca un filtru. Funcționalitatea acestui proces de filtrare se numește un firewall, iar majoritatea sistemelor de operare (programul software de operare de pe dispozitivele dumneavoastră) au și un astfel de filtru integrat.
Un firewall limitează traficul care trece prin el în funcție de regulile sale. Cele mai simple reguli ale firewallului permit pur și simplu totalității traficului să treacă prin el sau blochează totul. În funcție de firewall, acesta poate avea o serie de elemente, totuși, și ar putea permite analizarea traficului pentru a stabili dacă ar trebui să-i permită acestuia să treacă prin el.
Există firewall fie din software, fie din hardware. În general aveți nevoie de amândouă tipurile. Un firewall din software-ul de pe computer protejează computerul de amenințările care provin din rețeaua în care vă aflați. Printre aceste amenințări se includ lucruri ca virusuri și erori de programare precum malware care ar putea să corupă sau să preia controlul asupra dispozitivului dumneavoastră. Un firewall din hardware este un instrument bun pentru a proteja rețeaua dumneavoastră locală de internet. Un exemplu în acest sens este modemul, adică un dispozitiv fizic care acționează ca o limită pentru rețea prin faptul că scanează tot traficul care vine sau iese de pe rețeaua dumneavoastră.
Majoritatea firewall sunt active la nivel de pachete (vom afla mai multe despre pachete în secțiunea următoare privind stiva de rețele). Acestea filtrează pachete în funcție de tipul acestora, adresa expeditorului și portul sau adresa și portul destinatarului. Firewallurile de generație următoare mai avansate oferă mai multe elemente, precum inspecția traficului criptat, scanere antivirus, depistarea intrușilor și inspecția pachetelor. Unele firewalluri permit inspectarea traficului potrivit protocoalelor.
Cel mai probabil routerul rețelei dumneavoastră din locuință include un firewall de bază care permite (majorității) traficului care merge pe internet, însă respinge traficul de pe internet care nu este inițiat de către dumneavoastră, cum ar fi un răspuns la o solicitare pentru o pagină web. În majoritatea celorlalte cazuri, în special dacă administrați o întreprindere, un firewall simplu, cel mai probabil, nu vă va oferi o protecție adecvată.
Să luăm exemplul utilizării unui hotspot Wi-Fi public pentru a verifica emailul dumneavoastră. Dacă nu descărcați emailul dumneavoastră în cadrul unei conexiuni criptate, rețeaua poate vedea conținutul emailurilor. Dacă nu utilizați o rețea Wi-Fi de încredere precum o rețea din locuință, cine controlează rețeaua? Puteți avea încredere că nimeni nu va citi toate comunicațiile necriptate în cadrul rețelei locale pe care o utilizați? Ați putea avea servicii de partajare de fișiere (AirDrop, de exemplu) activate în cadrul rețelei dumneavoastră imediate, care ar putea fi controlate acum de oricine are acces la rețea.
Un exemplu din lumea reală de atacuri prin Wi-Fi s-a identificat în 2015 când o echipă de experți hackeri a arătat cât de riscantă este utilizarea unei conexiuni fără fir nesecurizate. Echipa a demonstrat riscurile piratând informatic trei politicieni din Regatul Unit cu un cod dăunător, chiar dacă politicienii știau că iau parte la un experiment.
Strategia „încredere zero”
Strategia „încredere zero” este un termen a cărei menționare s-a dovedit a fi în creștere constantă în discursul despre arhitectura de securitate. Ce înseamnă termenul de fapt este că, în loc să se presupună că orice rețea internă și dispozitivele din cadrul acesteia sunt de încredere, trebuie să se pornească de la presupunerea că toate dispozitivele sunt ostile. Acest lucru înseamnă că toate dispozitivele trebuie să fie autentificate, iar securitatea acestora trebuie evaluată înainte de a permite dispozitivelor să intre pe rețea.
Segmentarea rețelei (separarea segmentelor de rețea cu limite care sunt controlate și care permit accesul unei rețele la cealaltă doar prin metode definite separat) este o metodă utilizată adesea pentru a spori controlul asupra unei rețele, cel puțin în rețelele întreprinderilor. Monitorizarea dispozitivelor și a conexiunilor este esențială, de asemenea, pentru a pune în practică strategia „încredere zero”.
Dacă în mod tradițional rețelele din locuință ar permite pur și simplu tuturor dispozitivelor să se conecteze și să comunice în cadrul rețelei, în cazul „încredere zero” ați permite doar dispozitivelor verificate să acceseze rețeaua și ați impune și ca toate comunicațiile interne să fie autentificate. În practică, este dificilă aplicarea strategiei „încredere zero” la rețeaua din locuința dumneavoastră deoarece majoritatea dispozitivelor fie nu suportă autentificarea, fie se bazează pe faptul că au capacitatea de a se conecta la și de a controla alte dispozitive direct.
De exemplu, unui TV inteligent obișnuit nu-i pasă de conexiunile pe care le permite, deoarece este menit să fie utilizat într-o rețea de încredere. Dacă faptul că partenerul dumneavoastră pune un film din greșeală pe pauză pe telefonul propriu într-o cameră alăturată poate constitui o iritare, ar trebui să se ia mai serios aceste preocupări de securitate dacă, de exemplu, vă partajați rețeaua din locuință cu un musafir pe care nu-l cunoașteți, prin intermediul găzduirii prin Airbnb, de exemplu.
