Uz sve korisne i zabavne stvari, Internetom putuju i štetni sadržaji generisani od strane raznoraznih botova koji pokušavaju da se uloguju na vaš računar da bi tu napravili štetu. Svi znamo da je tako, ali mislim da ne razumemo razmere tog problema tj. količinu zloćudnih botova koji operišu po svetu. Uz tako česte napade, potrebno je preduzeti ozbiljne mere da bismo zaštitili svoju opremu – jedan kiks može da donese veliku nevolju.
U dokonim letnjim danima poželeh da malo unapredim bezbednost kućne mreže, naročito kada sam čuo kolege koje pričaju o crnim i belim listama koje su formirali na svojim ruterima. Počeo sam od nečeg jednostavnog: ako sa neke IP adrese stiže pokušaj prijavljivanja na SSH, telnet ili ftp port mog MikroTik-a, tu adresu stavim na crnu listu i više ne prihvatam nikakav saobraćaj sa nje. Kada sam sledećeg dana pogledao inventar, na crnoj listi je bilo neverovatnih 712 adresa. Uglavnom kineskih, mada ima i adresa iz Indije, Rusije, pa čak i iz opsega domaćih Internet provajdera. Kada sam nešto slično uradio na redakcijskom ruteru, lista je porasla na preko 3000 adresa, i to za samo nekoliko dana.
Potrošio sam dosta vremena na „fino podešavanje“ ovog sistema, uz niz veselih doživljaja. Recimo, prvog dana sam uspeo da zaključam samog sebe tako da nisam mogao da pristupam mreži iz grada, sa mobilnog. Trebalo je prvo propustiti saobraćaj za VPN (WireGuard) pa tek onda konsultovati crnu listu. Kakva šteta što mobilni operatori ne daju mogućnost da se doplati za fiksnu IP adresu koju bih onda mogao da stavim na belu listu. Vidim da neke kolege primenjuju još restriktivniju politiku da su svi portovi zatvoreni, a kada im treba da pristupe spolja, koriste tehniku zvanu port knocking, gde određenim redosledom pristupaju TCP portovima, pa kad ruter primeti pravu sekvencu, on privremeno stavlja adresu na belu listu. To mi ipak izgleda previše komplikovano.
Zašto jednostavno ne bih zatvorio sve portove (osim onih za WireGuard) i prestao da mislim? Za moju kućnu mrežu to verovatno i jeste najbolje rešenje, ali u nekim primenama portovi po prirodi stvari moraju da budu otvoreni, recimo za Web server. Tada crne liste imaju smisla, pošto će napadač verovatno početi od SSH i telnet porta i tu dospeti na crnu listu, pa će kasniji pokušaji biti onemogućeni čak i ako je ciljani port otvoren.
Tako sam naučio da napadači neće samo pokušavati razne lozinke (iole složenu lozinku neće pogoditi za 100 godina), nego će pre svega koristiti bagove rutera koje niste na vreme patch-ovali. Ukratko, opreznosti nikad nije previše!
