שתף קטע נבחר
 

הגנה על המחשב: חשיבות הנתב

חלק מהותי במערך האבטחת המידע (גם במחשב ביתי) הוא הנתב. מכיוון שחיבור לאינטרנט חושף אתכם בפני העולם, חשוב לקבוע את תצורת הנתב כהלכה, ולזכות בקצת שקט נפשי. כתבה שנייה

קרייג אליסון, PC Magazine פורסם: 29.09.04, 14:40

בכתבה הקודמת: המדריך להגנה אזרחית.

 

פיירוול חומרה

 

לוקח שניות ספורות להתמכר למהירות ולזמינות של חיבור פס רחב. לוקח בערך אותו זמן להיות מותקפים. כשאתם באינטרנט אתם חשופים למגוון התקפות וככל הנראה, המרכיב המבלבל ביותר של מערך ההגנה - הנתב, הוא זה שאסור לזלזל בו. קבעו את תצורת הנתב כמו שצריך, ותוכלו להיות שקטים, בידיעה שהמחשב אינו פרוץ לכל האקר מזדמן.

 

לכל מחשב יש כתובת IP, שנקבעת אקראית על ידי ספק האינטרנט (אלא אם כן רכשתם כתובת קבועה). הבעיה נוצרת כשהמחשב מחובר למודם פס רחב עם כתובת IP ציבורית שנגישה לכולם. כשמחברים את המחשב ישירות למודם ללא תיווך של אמצעי הגנה כלשהו, הוא חשוף, לכן תמיד כדאי להתקין נתב.

 

חומרה פשוטה, משימה קריטית

 

נתב הוא מתקן חומרה פשוט יחסית, המנתב חבילות מידע בין רשתות. בימים אלה אפשר למצוא נתב פשוט אך מספק תמורת 20 דולר בלבד, והשימוש הנפוץ ביותר בו הוא לשיתוף חיבור אינטרנט בין מספר מחשבים. המנגנון בו משתמשים לשיתוף כתובת IP ציבורית אחת בין מספר מחשבים מכונה NAT (מתרגם כתובות רשת - Network Address Translation).

 

בהתקנות טיפוסיות, שער היציאה של הנתב לאינטרנט מחובר למודם רחב הפס, והמחשבים מחוברים לשערי הרשת המקומית של הנתב עצמו או של מתג או Hub המחובר אליו. במקום שהמחשב יקבל כתובת IP ציבורית מספק אינטרנט, הנתב מקבל אותה, ומקצה כתובות IP פרטיות למחשבים ברשת המקומית.

 

כך נעשה הנתב "חשוף בצריח", שעה שהמחשבים ברשת המקומית מתחבאים מאחוריו בביטחון יחסי. לשיטה זו קוראים לעתים קרובות ”NAT firewall", אבל אסור לחשוב שהיא מספקת הגנה דומה לפיירוול מסוג SPI.

 

רוב הנתבים המיועדים לשימוש ביתי מבצעים כמה תפקידים, ביניהם הוספת פיירוול להגנת הרשת. נתבים אלחוטיים כוללים גם נקודת גישה לשיתוף החיבור עם מחשבים בעלי כרטיס רשת אלחוטי. כל מאפיין דורש כיוונונים והגדרות, כדי להבטיח שהרשת מוגנת.

 

קו ההגנה הראשון

 

רכיב הפיירוול בנתב הוא קו ההגנה הראשון של הרשת, מחסום חכם בין הרשת המקומית ובין אינטרנט. כברירת מחדל, רוב הפיירוולים מאשרים את כל התעבורה היוצאת מהרשת לאינטרנט, וחוסמים את כל מה שנכנס - אלא אם כן, החבילה הנכנסת היא תגובה לחבילה שנשלחה קודם לכן מהרשת.

 

אפשרות נוספת בה תותר כניסת מידע היא אם פתחתם את אחת היציאות (Port) באופן פרטני, למשל, אם יציאה מסוימת הוגדרה כשער הכניסה/יציאה של חיבור VPN. אבל, הנתב אינו חכם מכם. כדי לבצע את תפקידו עליו להיות מכוון כהלכה וכל אמצעי ההגנה שלו מופעלים. ברשתות אלחוטיות בייחוד, יש צורך בהקפדה על הצפנה חזקה, אימות של המתחברים, בדיקת הרשאות מול בסיס נתונים וכדומה.

 

הגדירו את הנתב ואת הפיירוול

 

ראשית, נתקו את המודם מהחשמל ומכבל הרשת המחובר למחשב וחברו את הכבל לשקע LAN של הנתב. חברו כבל נוסף בין המודם לבין שער היציאה של הנתב לרשת התקשורת הרחבה (שער ה-LAN. יש נתבים בעלי שתי יציאות WAN, אותן מחברים לשני מודמים שונים, למשל ADSL וכבלים, כדי לקבל גיבוי לשירות). הפעילו את המודם, חכו כ-30 שניות, והפעילו את הנתב. עכשיו הפעילו את המחשב.

 

אם הנתב מגיע עם דיסק התקנה (לא כולם מגיעים עם דיסק), השתמשו בו. אם לא, פתחו את הדפדפן והקלידו את כתובת ה-IP שבמדריך. במסך הראשון של קביעת התצורה, הקלידו את שם המשתמש ואת הסיסמה של ברירת המחדל (גם אותם תמצאו במדריך ההתקנה). כעת, עקבו אחרי אשף ההתקנה. שימו לב לפרטים הבאים:

 

  • שינוי סיסמת מנהל הרשת - שנו את סיסמת ברירת המחדל של היצרן לסיסמה מורכבת, שתכיל לפחות שבעה תווים, בהם אותיות, מספרים וסימני פיסוק.

  • קביעת תצורה - בררו אצל הספק את כתובת IP, כתובת שער היציאה (gateway), מסכת תת הרשת (subnet mask), ושתי כתובות DNS.

  • קביעת תצורה לביטחון מירבי - וודאו שתצורת ברירת המחדל מספקת את ההגנה המרבית (יש יצרנים שמספקים את החומרה במצב לא בטוח בעליל כדי להקטין את מספר בעיות ההתקנה "ישר מהקופסה").

  • נטרלו את הפינג - פורצי מחשבים מפגיזים בפינג קשת רחבה של כתובות IP, ואם הם מקבלים החזר, הם עלולים לבצע בדיקה יותר עמוקה של המחשב או הרשת, בחיפוש אחר נקודות תורפה.

  • חסמו את UPnP- Universal Plug and Play - אף על פי שזו משמשת להתקנת רכיבי מערכת שונים בקלות. וירוסים עלולים לנצלה לשינוי הגדרות הנתב ללא ידיעתכם.

  • כבו את הניהול מרחוק - מאפיין זה מיועד לאפשר למנהל הרשת לנהל את הנתב מרחוק. רובנו לא זקוקים לה, ואלו שכן, יעדיפו להשתמש בכלי ניהול מרחוק מאובטחים.

  • נהלו יומן אירועים - אם אפשרות זו קיימת, הורו לנתב לשלוח בדואר אלקטרוני את יומן האירועים. נתבים מסוימים מייצרים דוחות אירועים מפורטים מאוד, המציגים את ההתקפות שנהדפו. קבצי היומן של רוב הנתבים פשוטים למדי להבנה, ולפעמים תוכלו למצוא בהם קו מנחה להבנת תופעות חשודות.

 

פתיחת יציאות מאובטחת

 

אכסון אתר במחשב שנמצא מאחורי פיירוול ושימוש בתוכנות שיתוף קבצים, הם יישומים הדורשים שיציאות מסוימות יהיו פתוחות, כדי שבקשות המגיעות מאינטרנט לא ייחסמו. יישומים אלה משתמשים בדרך כלל ביציאה 80 כברירת מחדל. הנה הסבר כיצד לעשותם נגישים:

 

הקצו כתובת IP קבועה (סטטית) למחשב המארח את היישום, באותה תת רשת (של הרשת המקומית) שהנתב מנהל. כתובת קבועה אינה מסופקת על ידי הנתב, שמשתמש במנגנון הקצאה דינמי כדי לספק כתובות זמניות למחשבים פעילים בלבד. אם הנתב מקבל כתובת IP שמספרה 192.168.1.1, המחשבים הפעילים ברשת המקומית יקבלו כתובות דוגמת 192.168.1.2, 192.168.1.3, וכו - אך רק באופן זמני, עד שהם יתנתקו.

 

שרת אינטרנט זקוק לכתובת קבועה, שתהיה ידועה לשרתי הכתובות האחרים, אחרת הוא לא יהיה נגיש לאף אחד. תוכלו לקבוע את תצורת המחשב עם כתובת קבועה ייחודית, למשל 192.168.1.10, הנמצאת באותו טווח IP עם שאר המחשבים ברשת.

 

ב-Windows XP ניתן לעשות זאת באמצעות קליק על חיבורי הרשת (Network Connections) בלוח הבקרה. קליק ימני על חיבור הרשת המקומית ובחירה במאפיינים (Properties). כעת בחרו ב-TCP/IP, ושוב במאפיינים, והקצו את הכתובת הקבועה. אם אינכם יודע מה ה-Subnet Mask (לרוב 255.255.255.0), ומה שער היציאה, הקלידו ipconfig בשורת הפקודה של מחשב אחר ברשת.

 

כעת, פתחו את יציאה 80 בנתב, והפנו את התעבורה לכתובת שהקצתם. כדי לעשות זאת חפשו בתפריטי התצורה של השרת סעיף המכונה port forwarding או virtual server. הקלידו את כתובת ה-IP במקום המתאים, כך שהתעבורה ביציאה 80 תנותב אליה.

 

אלחוטי או לא?

 

אם יש לכם נתב אלחוטי, תצטרכו לאבטח את תכונותיו האלחוטיות, אפילו אם אינכם משתמשים בהן. רוב יצרני הנתבים האלחוטיים מספקים מוצרים בהם מאפייני האבטחה אינם פעילים בברירת המחדל. עובדה זו הופכת את הנתבים לקלים מאוד להפעלה ושימוש, אבל גם לפרוצים כמעט לגמרי. הנה הצעדים שיש לנקוט בהם:

 

אם אינכם מתכוונים להשתמש ביכולותיו האלחוטיות של הנתב, כבו אותן. אם הנתב תומך באפשרות זו, תמצאו שדה הגדרות אלחוט במסך קביעת התצורה שלו. אם אתם מתכוונים להשתמש בהן, שנו את שם הרשת, הפעילו מנגנון הצפנה ואימות משתמשים והפעילו סינון כתובות חומרה. 

 

לרשתות אלחוטיות יש שמות זיהוי, כדי שהמחשב "ידע" עם אילו רשתות יש לו קליטה ולקבוע לאיזו מהן הוא רוצה להתחבר. נקודות הגישה האלחוטיות משדרות את השמות, שנקראים SSID, ברציפות, וכל מחשב בטווח קליטה יכול להתביית על הרשת. עדיף לבטל את שידור SSID בכלל, אם הנתב מאפשר זאת. פעולה זו תקשה על האקרים עוברי אורח להבחין ברשת.

 

הפעילו את האבטחה הכבדה ביותר שבה תומכים המחשבים ברשת. עבור מיכשור חדש ניתן להשתמש בפרוטוקול WPA. עבור ציוד ישן, תצטרכו להסתפק בפרוטוקול הפחות אמין WEP. כמו כן, הפעילו סינון MAC, והגבילו גישה אלחוטית לכרטיסי רשת מוכרים בלבד. כל מתאם רשת מתאפיין בכתובת ייחודית קבועה (צרובה ב-BIOS שלו) הניתנת לחומרה במפעל.

 

זו הכתובת באמצעותה המתג יודע איזה אביזר קצה מחובר לכל יציאה, ומנתב אליו את ההודעות המיועדות לו. אפשר למצוא את כתובת MAC משורת הפקודה בכל מחשב. הקלידו ipconfig/all, ורשמו את הכתובת הפיזית.

 

בכתבה הבאה: אנטי: נלחמים בווירוסים ובמרגלים.

 

תרגום: נדבי נוקד

 

  תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
ביטול אישור
רשת אלחוטית עלולה להיות מסוכנת במיוחד
רשת אלחוטית עלולה להיות מסוכנת במיוחד
צילום: פי סי מגזין
מומלצים

אודות ועזרה

כלים ושירותים

ערוצי תוכן