Zvědavec - politicky nekorektní webzine

Router s NAT vam rozhodne usetri penize za dalsi IP adresy, ktere byste si museli poridit, pokud byste chteli pristup z vice pocitacu pres jednu linku.Fyzicke zapojeni routeru byva zalezitosti par minut (obvykle jenom par kabelu a je to), slozitejsi byva ovsem nastaveni. Pokud nevite nic o protokolu TCP/IP, najdete si radeji nekoho, kdo tomu rozumi a router vam nastavi (urcite si taky neopravujete doma na koleni sve auto ani neladite vykon motoru, pokud nejste automechanik). Nenechte se zmast tim, ze si sami ve windows dokazete nainstalovat office.Autor clanku zminuje, jak jsou routery bezpecne, ale pokud ho spatne nastavite (slabe heslo nebo dira v konfiguraci firewallu), muze router slouzit jako vstupni brana do vsech pocitacu, ktere k nemu mate pripojeny. Router vam take nepomuze proti zavirovani pocitace, navic mate-li spusten program typu "trojsky kun", hacker se vam do pocitace muze dostat i pres router/firewall.Pred porizenim routeru doporucuji procist si nazory ostatnich na dany model na adrese uvedene v clanku (nektere modely u nekterych provideru nemusi spravne fungovat).

100

Toto doplnění vítám. Vše, co pisatel příspěvku napsal, je pravda. Ještě bych měl připsat, že router někdy neumožňuje hrát některé hry přes Internet. Záleží na typu hry a typu routeru - nutno vyzkoušet. V krajním případě routery většinou umožňují zasadit jeden nebo více počítačů na vnitřní síti do tzv. de-militarizované zóny, tedy mimo firewall. V každém případě, budete-li si hrát s nastavením bezpečnosti, je žádoucí, abyste si nechali nastavení ověřit odborníkem. Platí to zejména tehdy, je-li váš počítač připojen k Internetu 24 hodin denně.

101

pokud bych dumal nad připojením např. rodinné vily do Internetu (v Kanadě) nebo půlky činžáku (v Čechách), rozhodně by mi dosti zajímavého přinesl.Ale stejně jako Vašek bych měl spoustu doplněníředně - modem pro pevnou linku (vynechávám asynchronní, které jdou obvykle na klasický COM, samozřejmě se všemi nevýhodami, kde dominuje rychlost) má specielní rozhraní, které tak jako tak připojíme pouze do routeru či do specielní karty pro PC, dosti drahé. Adaptéry pro kabelovku či pro 220V síť mají obvykle (soudě podle Dattel) klasické Ethernet rozhraní, ale zde se jedná o řešení výrazně minoritní. Tím chci říci, že routeru se většinou nevyhneme, někdy se kupuje, někdy pronajímá od poskytovatele (alespoň v Čechách), ale většinou tam je...K bezpečnosti - Připojit nechráněné Windows9x či WindowsME na pevnou linku si opravdu říká o brzkou návštěvu kohosi nevítaného. A pokud se tvrdí, že KOHO by v mých Windows něco zajímalo, nezbývá než odpovědět, že např. pro DoS útoky na nějakou nesympatickou firmu lze takovýto počítač zneužít velmi dobře a ještě pak budeme vypadat jako by to bylo na nás. Resumé: napevno připojenou síť nutno chránit všemi dostupnými prostředky.De facto, všem "dostupným prostředkům" se říka firewall, mají za úkol dvě funkce: (pro zjednodušení uvádím pouze využití pro připojení menší sítě s tím, že žádné služby ve vnitřní síti nebudou dostupné zvenčí)1) překlad adres, jak naznačeno v článku, to jest možnost připojit přes jednu internetovou adresu více (teoreticky 2^24) počítačů.2) ochrana před útoky zvenčí, což zjednodušeně spočívá v tom, že NIC zvenčí, co nebylo vyžádáno nějakou mašinou uvnitř, se nedostane do sítě vnitřní.A jak se taková firewall realizuje? Dvěma způsoby (opět zjednodušuji, existují i různá hybridní řešení), první z nich je o tom, že co není povoleno, je zakázáno, druhý je přesně naopak, takže:1) PROXY server - tento se k nám chová, jako by internetové služby poskytoval sám, to, co je za ním, do toho nám nic není, takže pokud si prohlížíme například www.zvedavec.org, on sám naváže spojení s příslušným serverem a předává nám vyčtená data - k nám se chová, jako by to byl on. Je výrazně bezpečnější a na to, co člověk potřebuje na Internetu většinou postačí. Každopádně bezpečnost nejlepší.2) NAT (Network Address Translation) - pouze takový chytrý pošťák, který vpouští do vnitřní sítě pouze dopisy od někoho, s kým byla navázána konverzace, na dopisech (tedy paketech, pro odborníky) pouze přepisuje adresy na novou, jemu poslanou adresu, a pamatuje si, od koho lze očekávat odpověď. Jiné dopisy dává do stoupy. Možnosti zneužití vyšší, niceméně ochrana většinou dostačující a tento způsob je i výrazně rychlejší, většinou realizován hardwarovými firewally v routerech, jak řečeno v článku.(pokračování v dalším článku - 3000 znaků)

107

Takže tudíž, jak si nejlépe zabezpečit nějakou tu menší privátní síť?1) nejideálnější - kombinace routeru, který nevykonává funkce firewallu, pouze filtruje a zahazuje vše, co nemohlo přijít coby odpověď na nějaký požadavek uživatele (týká se to portů, tj. vlastně čísel služeb, které na Internetu existují, pokud např. zvenčí přijde požadavek na port 21 - tj. FTP služba, kterou jsme ve firmě či doma nikdy neměli a mít nebudeme, nejlepší je tento požadavek ihned zahodit a dále se s ním nepárat) pospolu s za ním stojícím PROXY serverem, který dále jak do vnitřní sítě, tak z vnitřní sítě nepustí nic, pro co by nebyl nastaven. Nevýhody: nefungují a fungovat nemohou služby typu peer2peer, např ICQ, Gnutella a podobně. Navíc PROXY mohou být ještě restriktivnější na "klasických službách" typu WWW, třeba odfiltrovávat Cookies, provádět restrikci obsahu (třeba na klíčová slova typu "sex", "warez", "xxx", "filez" a podobně), to už se ale týká spíše větších zaměstnavatelů.2) PROXY server přímo - pokud připojíme (tedy pokud se nám to podaří) PROXY server coby mašinu přímo k modemu, je situace de facto stejná jako v bodě 1), pouze bude pakety zahazovat sama proxina, což pro menší síť není vůbec na závadu.3) Využijeme NAT ne hardwarové, ale softwarové, tyto jsou výrazně inteligentnější a dokáží si poradit i se situacemi, kdy hardwarové, otrocky se chovající, udělají nějakou blbinu. A vše se vyvíjí, doporučuji např. http://underground.cz/572, kde je hezky popsána implementace stavového firewallu, kromě jiného, Linux se vejde i na disketu a coby firewall na ni i úspěšně působí, pak stačí sehnat mašinu typu 386/486 - ty už jsou i v Čechách viceméně za odvoz, pokud je disketa chráněna proti zápisu, je efekt zhruba stejný jako na HW routerech s EPROM, seznam zajímavých distribucí se povaluje třeba tady: http://www.ll.cz/distribuce_os/disketove_distribuce/.3) Využití NAT na firewallu - rovněž jakžtakž ochrana, měla by proti většině typů útoku stačit - každopádně HW firewally umějí jen opravdu to nejnutnější, proti 99 procent útoků to zachrání, pokud to nebude, jak psal Vašek, zjištění hesla roota - ale to platí všude.4) Chránit jednotlivé stanice - to již opravdu nejde, opakuji, že Win9x jsou hackerům (i těm špatným) otevřené zcela, WinNT/2000 pokud nejsou řádně nastaveny rovněž a některé distribuce Linuxu rovněž (např.RH7.0). Lze zkusit nějaký program pro místní bezpečnost (Norton či kdo něco podobného zplodil), ale moc jim nevěřím, tyto jsou známé i hackerům a už může být pozdě.S pozdravem, Jan BrejchaP.S.:Jinak bych Vám doporučil, jste-li zastánci Windows, např. http://www.winproxy.cz/ (PROXYna), či http://www.tinysoftware.cz/ (oba dva czech made, ale nikoli czech šmejd, ba naopak)A nejste-li zastánci Windows, doporučuji sehnat nějakého Linuxáka v okolí, nejlépe s finským přízvukem, pak to budete mít ještě lepší a zadara.

108

O ruznych moznostech by se dalo napsat spousta materialu, ale toto neni pocitacovy e-zine, ale jakysi spolecensky magazin z jineho uhlu pohledu (presto si cenim vysoke urovne). Pan Stwora, jak jsem si stacil vsimnout, pouze jemnymi metodami ukazuje pocitacove neodbornemu obecenstvu "zazraky" ktere lze udelat. My geekove si na kazdem clanku najdeme spoustu "musek" a doplneni, ze kterych je "normalni" clovek na vetvi Kabelove modemy a DSL v Canade az zase takovou vyjimkou nebo minoritnim resenim nejsou. Telefonni linky a kabelova televize jsou zavedeny snad do kazde domacnosti. Pokud si poridite toto pripojeni a casem se rozhodnete, ze prikoupite dalsi pocitac (pro deti) a chcete usetrit na IP adresach, koupe routeru se z dlouhodobeho hlediska rozhodne vyplati jako RELATIVNE jednoduche, levne a bezpecne reseni.Clanek splnil svuj ucel tim, ze ukazal ze neco takoveho vubec existuje (coz provideri neradi rikaji).

110

pana Brejchy.Částečně pan Stwora a teď zcela Vy jste mne ubezpečil, že in Canada je hafo volnych IP adres, v Čechách jsou výrazně (i v přepočtu) dražší a ponejvíce přes kabelovku či DSL jde člověk ještě přes jiný, další firewall s adresací na intranety (10.xx.xx.xx či 172.16.xx.xx či 192.168.xx.xx), ABC síť mluví za vše.Dávám Vám zcela za pravdu, že tento e-zin byl málokdy o informatice a pokud o ni Stwora mluvil, bylo to vždy o poznaných a zažitých tématech (v tom by se mohly Lidové noviny učit, tam vychází TOLIK hovadin o compjůtrech, až to není hezké).Prostě jsem se to snažil doplnit. (tečka) Každopádně máte pravdu, pokud si myslíte, že můj komentář sem nepatří. Článek byl o tom, jak se ptát poskytovatelů služeb, a ne o tom, co by Vám v Čechách udělal každý (desátý, ale furt pokrok) student. (a čím více odborných termínů, tím lépe, z hlediska ptaní se, samozřejmě)Jinak buďte zdráv a vesel, Honza.

114

jen dotaz - "jak daleko" to lze propojit ? tzn. kolik metrů může být mezi hubem a jednotlivými počítači ? je to u vsech hubu stejne, nebo ruzne ?

946

Pletete si panove ryze zakladni sitarske pojmy Router/hub/firewall/gateway

2670

Potřeboval bych poradit kde zístit všechny potřebné informace ohledně konfigurace a nastavení routeru a všchny začátky a základy ohledně ip adres TCP/IP.Chtěl bych se do toho dostat ale nevík kde začít.Rád bych se naučil základy sítí nastavení hlavně sdílení internetu atd.Předem díky za každou radu.

30111

pavus - spravne zapojeny kabel (CAT5E) ma max delku 100m Spatne prekrizene kabely uz po 5m ztraci 1000Bit rychlost

Milda - google

30239

Poraďte, jak se připojit přes mobilní telefon na Internet přes Router ? Telefon je přes datový kabel USB.

30255

Dobré.

Obr.1: použít hub zde není vhodné, ten by směrem k Internetu posílal i veškerou komunikaci lokálních počítačů navzájem, což by zbylečně zahlcovalo linku. Autor zde patrně myslel použití switche, který posílá data jen k adresátovi, nikoliv do všech směrů.

Řešení na Obr. 3 má také své výhody - počítač sice musí být zapnutý pořád, ale lze na něm spustit třeba proxy cache (šetří linku), web server, mail server, nebo nějakou p2p síť.

30388