Vaše domácí síť – a vše, co je k ní připojeno – je jako trezor. Za vaším přihlášením se skrývají tuny cenných informací, od nezašifrovaných souborů s osobními údaji až po zařízení, která mohou být zneužita a použita k jakémukoli účelu. V tomto příspěvku vám ukážeme, jak zmapovat svou síť, nahlédnout pod pokličku a zjistit, kdo s čím komunikuje, a jak odhalit zařízení nebo procesy, které mohou vysávat šířku pásma (nebo jsou nečekanými hosty ve vaší síti).

Zkrátka: Budete umět rozpoznat příznaky toho, že je něco ve vaší síti ohroženo. Budeme předpokládat, že znáte některé základy síťování, například jak najít seznam zařízení ve směrovači a co je to adresa MAC. Pokud ne, zamiřte do naší večerní školy Poznejte svou síť a nejprve se oprašte.

Než však budeme pokračovat, měli bychom vás varovat: Použijete-li tyto schopnosti k dobrému účelu, spouštějte tyto nástroje a příkazy pouze na hardwaru nebo sítích, které vlastníte nebo spravujete. Vašemu přátelskému IT oddělení v sousedství by se nelíbilo, kdybyste skenovali porty nebo odposlouchávali pakety ve firemní síti, a nelíbilo by se to ani všem lidem v místní kavárně.

Krok první: Vytvořte si mapu sítě

Předtím, než se vůbec přihlásíte k počítači, napište si, co si myslíte, že o své síti víte. Začněte s listem papíru a zapište si všechna připojená zařízení. To zahrnuje věci, jako jsou chytré televizory, chytré reproduktory, notebooky a počítače, tablety a telefony nebo jakákoli jiná zařízení, která mohou být připojena k vaší síti. Pokud vám to pomůže, nakreslete si mapu domácnosti po jednotlivých místnostech. Pak si zapište každé zařízení a místo, kde se nachází. Možná budete překvapeni, kolik přesně zařízení máte současně připojených k internetu.

Síťoví administrátoři a inženýři tento krok poznají – je to první krok při zkoumání každé sítě, kterou neznáte. Proveďte inventuru zařízení v ní, identifikujte je a pak zjistěte, zda skutečnost odpovídá tomu, co očekáváte. Pokud (nebo když) tomu tak není, budete moci rychle oddělit to, co znáte, od toho, co neznáte.

Možná budete v pokušení se prostě přihlásit ke směrovači a podívat se na jeho stavovou stránku, abyste zjistili, co je připojeno, ale zatím to nedělejte. Pokud nedokážete identifikovat vše v síti podle IP a MAC adresy, získáte jen velký seznam věcí – jeden, který bude obsahovat všechny vetřelce nebo příživníky. Nejprve proveďte fyzickou inventuru, pak přejděte k té digitální.

Krok druhý: Prozkoumejte svou síť a zjistěte, kdo je v ní

Jakmile máte fyzickou mapu sítě a seznam všech důvěryhodných zařízení, je čas začít pátrat. Přihlaste se do směrovače a zkontrolujte jeho seznam připojených zařízení. Získáte tak základní seznam názvů, IP adres a MAC adres. Nezapomeňte, že seznam zařízení ve směrovači může, ale nemusí zobrazovat vše. Měl by, ale některé směrovače zobrazují pouze zařízení, která používají směrovač pro svou IP adresu. Každopádně si tento seznam nechte stranou – je dobrý, ale my chceme více informací.

Stáhněte si a nainstalujte Nmap

Dále se obrátíme na našeho starého známého Nmap. Pro neznalé: Nmap je multiplatformní síťový skenovací nástroj s otevřeným zdrojovým kódem, který dokáže najít zařízení, která jsou ve vaší síti, spolu s množstvím podrobností o těchto zařízeních. Můžete zobrazit operační systém, který používají, adresy IP a MAC, a dokonce i otevřené porty a služby. Nmap si stáhněte zde, podívejte se na tyto návody k instalaci, abyste jej mohli nastavit, a podle těchto pokynů zjistěte hostitele ve své domácí síti.

Jednou z možností je nainstalovat a spustit Nmap z příkazového řádku (pokud chcete grafické rozhraní, Zenmap se obvykle dodává s instalačním programem). Proskenujte rozsah IP adres, který používáte pro svou domácí síť. Tím jsem odhalil většinu aktivních zařízení v domácí síti, kromě několika, na kterých mám zvýšené zabezpečení (i když i ty bylo možné odhalit pomocí některých příkazů Nmapu, které najdete na výše uvedeném odkazu).

Porovnejte seznam Nmapu se seznamem vašeho routeru

V obou seznamech byste měli vidět stejné věci, pokud něco, co jste si zapsali dříve, není nyní vypnuté. Pokud na směrovači vidíte něco, co Nmap neobjevil, zkuste použít Nmap přímo proti dané IP adrese.

Poté se podívejte na informace, které Nmap o zařízení zjistil. Pokud se prohlašuje za Apple TV, pravděpodobně by na něm neměly být spuštěny například služby jako http. Pokud vypadá podivně, prozkoumejte ho speciálně pro získání dalších informací.

Nmap je mimořádně mocný nástroj, ale jeho použití není nejjednodušší. Pokud se trochu bojíte, máte několik dalších možností. Angry IP Scanner je další multiplatformní nástroj s dobře vypadajícím a snadno použitelným rozhraním, který vám poskytne mnoho stejných informací. Wireless Network Watcher je nástroj pro Windows, který skenuje bezdrátové sítě, ke kterým jste připojeni. Glasswire je další skvělou možností, která vás upozorní na připojení nebo odpojení zařízení od sítě.

Krok třetí: Vyčmuchejte okolí a zjistěte, s kým vším komunikují

Teď už byste měli mít seznam zařízení, která znáte a kterým důvěřujete, a seznam zařízení, která jste našli připojená k vaší síti. S trochou štěstí jste zde skončili a vše buď odpovídá, nebo se vysvětluje samo (například televizor, který je momentálně vypnutý).

Pokud však vidíte nějaké aktéry, které nepoznáváte, spuštěné služby, které neodpovídají zařízení (Proč na mém Roku běží postgresql?), nebo se vám zdá, že něco jiného není v pořádku, je čas na menší slídění. Tedy slídění po paketech.

Když spolu komunikují dva počítače, ať už v síti, nebo na internetu, posílají si navzájem kousky informací nazývané „pakety“. Tyto pakety dohromady vytvářejí složité datové toky, z nichž se skládají videa, která sledujeme, nebo dokumenty, které stahujeme. Sniffing paketů je proces zachycování a zkoumání těchto bitů informací, abychom zjistili, kam směřují a co obsahují.

Nainstalujte Wireshark

K tomu budeme potřebovat Wireshark. Jedná se o multiplatformní nástroj pro monitorování sítě, který jsme použili k malému sniffingu paketů v našem průvodci sniffingem hesel a cookies. V tomto případě jej budeme používat podobným způsobem, ale naším cílem není zachytit nic konkrétního, pouze sledovat, jaké typy provozu probíhají v síti.

Pro tento účel budete muset spustit Wireshark přes wifi v „promiskuitním režimu“. To znamená, že nebude hledat pouze pakety směřující do vašeho počítače nebo z něj – bude shromažďovat všechny pakety, které v síti uvidí.

Při nastavení postupujte podle následujících kroků:

• Stáhněte a nainstalujte Wireshark
• Vyberte svůj wifi adaptér.
• Klikněte na Capture > Options-a jak můžete vidět na videu výše (s laskavým svolením lidí z Hak5), můžete pro daný adaptér vybrat „Capture all in promiscuous mode“.

Nyní můžete začít zachytávat pakety. Po spuštění zachytávání získáte spoustu informací. Naštěstí s tím Wireshark počítá a umožňuje snadné filtrování.

Protože se právě snažíme zjistit, co dělají podezřelí aktéři v síti, ujistěte se, že je dotyčný systém online. Pokračujte a zachyťte několikaminutový provoz. Poté můžete tento provoz filtrovat na základě IP adresy daného zařízení pomocí vestavěných filtrů aplikace Wireshark.

Tímto postupem získáte rychlý přehled o tom, s kým daná IP adresa komunikuje a jaké informace posílá tam a zpět. Klepnutím pravým tlačítkem myši na kterýkoli z těchto paketů jej můžete zkontrolovat, sledovat konverzaci mezi oběma konci a filtrovat celé zachycení podle IP nebo konverzace. Další informace naleznete v podrobných pokynech k filtrování v aplikaci Wireshark.

Možná nevíte, na co se (zatím) díváte – ale k tomu se hodí trocha pátrání.

Analýza podezřelé aktivity

Pokud vidíte, že podezřelý počítač komunikuje s podivnou IP adresou, použijte příkaz nslookup (v příkazovém řádku v systému Windows nebo v terminálu v OS X nebo Linuxu) a zjistěte jeho název hostitele. To vám může hodně napovědět o umístění nebo typu sítě, ke které se počítač připojuje. Nástroj Wireshark vám také prozradí používané porty, takže si vygooglujte číslo portu a podívejte se, jaké aplikace ho používají.

Pokud se například počítač připojuje k podivnému názvu hostitele přes porty často používané pro IRC nebo přenos souborů, může jít o narušitele. Samozřejmě pokud zjistíte, že se zařízení připojuje k renomovaným službám přes běžně používané porty pro věci jako e-mail nebo HTTP/HTTPS, možná jste právě narazili na tablet, o kterém vám váš spolubydlící nikdy neřekl, že ho vlastní, nebo na někoho, kdo vám vedle krade wifi. V každém případě budete mít k dispozici údaje potřebné k tomu, abyste na to přišli sami.

Čtvrtý krok: Hrajte dlouhou hru a zaznamenávejte své úlovky

Jistě, ne každý špatný aktér ve vaší síti bude online a odčerpávat, zatímco vy ho budete hledat. Až do této chvíle jsme vás učili, jak kontrolovat připojená zařízení, skenovat je, abyste zjistili, o koho se ve skutečnosti jedná, a pak trochu sniffovat jejich provoz, abyste se ujistili, že je vše v pořádku. Co však dělat, když podezřelý počítač dělá svou špinavou práci v noci, když spíte, nebo když vám někdo vypouští wifi, když jste celý den v práci a nemáte možnost to zkontrolovat?

Použijte software pro monitorování sítě

Existuje několik způsobů, jak to řešit. Jednou z možností je použít program, jako je Glasswire, o kterém jsme se zmínili dříve. Tento software vás upozorní, když se někdo připojí k vaší síti. Když se ráno probudíte nebo přijdete domů z práce, můžete se podívat, co se stalo, zatímco jste se nedívali.

Zkontrolujte protokol vašeho směrovače

Další možností je využít funkce protokolování vašeho směrovače. Hluboko v možnostech řešení potíží nebo zabezpečení vašeho směrovače se obvykle nachází karta věnovaná protokolování. Množství a druh informací, které můžete zaznamenávat, se liší podle směrovače, ale možnosti mohou zahrnovat příchozí IP, číslo cílového portu, odchozí IP nebo URL filtrované zařízením v síti, interní IP adresu a jejich MAC adresu a která zařízení v síti se přihlásila ke směrovači prostřednictvím DHCP pro svou IP adresu (a zprostředkovaně která nikoli.) Je to docela robustní a čím déle necháte protokoly běžet, tím více informací můžete zachytit.

Vlastní firmware jako DD-WRT a Tomato (oba jsme vám ukázali, jak je nainstalovat) umožňuje sledovat a protokolovat šířku pásma a připojená zařízení tak dlouho, jak chcete, a dokonce může tyto informace vypisovat do textového souboru, který můžete později procházet. V závislosti na tom, jak máte router nastavený, vám dokonce může tento soubor pravidelně posílat e-mailem nebo jej naházet na externí pevný disk nebo NAS.

Tak či onak, použití často opomíjené funkce protokolování vašeho routeru je skvělý způsob, jak zjistit, zda například po půlnoci, kdy už všichni šli spát, váš herní počítač najednou nezačne chroupat a přenášet spoustu odchozích dat nebo zda nemáte pravidelnou pijavici, která ráda naskočí na vaši wifi a začne v podivných hodinách stahovat torrenty.

Nechte Wireshark běžet

Vaší poslední možností, a to tak trochu jadernou, je nechat Wireshark zachytávat celé hodiny – nebo dny. Není to nic neslýchaného a mnoho správců sítí to dělá, když opravdu analyzují podivné chování sítě. Je to skvělý způsob, jak odhalit špatné hráče nebo chatující zařízení. Vyžaduje to však nechat počítač zapnutý celou věčnost, neustále slídit po paketech v síti, zachycovat vše, co přes ni projde, a tyto protokoly mohou zabrat pěkný kus místa. Situaci můžete zkrátit filtrováním zachycených dat podle IP nebo typu provozu, ale pokud si nejste jisti, co hledáte, budete muset procházet spoustu dat, když si budete prohlížet zachycení i za několik hodin. Přesto vám to rozhodně řekne vše, co potřebujete vědět.

Ve všech těchto případech, jakmile budete mít dostatek zaznamenaných dat, budete moci zjistit, kdo a kdy používá vaši síť a zda jeho zařízení odpovídá mapě sítě, kterou jste vytvořili dříve.

Pátý krok: Uzamkněte síť

Pokud jste postupovali až sem, určili jste zařízení, která by se měla být schopna připojit k vaší domácí síti, ta, která se skutečně připojují, identifikovali jste rozdíly a snad jste zjistili, zda se kolem vás nepoflakují nějací zlí hráči, neočekávaná zařízení nebo pijavice. Nyní se s nimi musíte pouze vypořádat, a to je překvapivě ta snadnější část.

Wifi pijavice dostanou zabrat, jakmile uzamknete svůj směrovač. Než uděláte cokoli dalšího, změňte heslo routeru a vypněte WPS, pokud je zapnuté. Pokud se někomu podařilo přihlásit přímo do vašeho routeru, nechcete přece měnit další věci jen proto, aby se přihlásil a znovu získal přístup. Ujistěte se, že používáte dobré a silné heslo, které je obtížné překonat hrubou silou.

Dále zkontrolujte, zda nejsou k dispozici aktualizace firmwaru. Pokud pijavice využila exploit nebo zranitelnost ve firmwaru vašeho routeru, zabráníte jim v přístupu – samozřejmě za předpokladu, že tento exploit byl opraven. Nakonec se ujistěte, že je režim zabezpečení bezdrátové sítě nastaven na WPA2 (protože WPA a WEP jsou velmi snadno prolomitelné), a změňte heslo k wifi na jiné dobré, dlouhé heslo, které nelze vylomit. Pak by se měla být schopna znovu připojit pouze zařízení, kterým dáte nové heslo.

To by se mělo postarat o to, aby někdo vylákal vaši wifi a stahoval vše ve vaší síti místo ve své. Pomůže to i se zabezpečením kabelové sítě. Pokud můžete, měli byste také podniknout několik dalších kroků k zabezpečení bezdrátové sítě, například vypnout vzdálenou správu nebo zakázat UPnP.

Pro špatné hráče na vašich drátových počítačích máte trochu lovu. Pokud se skutečně jedná o fyzické zařízení, mělo by mít přímé připojení k vašemu směrovači. Začněte sledovat kabely a promluvte si se spolubydlícími nebo rodinou, abyste zjistili, o co jde. V nejhorším případě se můžete vždy znovu přihlásit ke směrovači a podezřelou IP adresu zcela zablokovat. Majitel onoho set-top boxu nebo nenápadně připojeného počítače přiběhne docela rychle, až přestane fungovat.

Větší starosti zde však dělají kompromitované počítače. Špatný může být například stolní počítač, který byl unesen a připojen k botnetu pro noční těžbu bitcoinů, nebo počítač infikovaný malwarem, který volá domů a odesílá vaše osobní údaje kdoví kam.

Jakmile zúžíte hledání na konkrétní počítače, je čas zjistit, kde je problém na jednotlivých počítačích. Pokud se opravdu obáváte, přistupte k problému jako bezpečnostní inženýr: Jakmile vaše počítače někdo vlastní, přestávají být důvěryhodné. Odstraňte je, přeinstalujte a obnovte ze záloh. (Máte přece zálohy svých dat, ne?) Jen se ujistěte, že si počítač hlídáte – nechcete přece obnovit z infikované zálohy a začít celý proces znovu.

Jste-li ochotni vyhrnout si rukávy, můžete si pořídit solidní antivirový nástroj a antimalwarový skener na vyžádání (ano, budete potřebovat obojí) a pokusit se dotyčný počítač vyčistit. Pokud jste zaznamenali provoz určitého typu aplikace, podívejte se, zda se nejedná o malware, nebo jen o něco, co někdo nainstaloval a co se chová špatně. Pokračujte v prověřování, dokud se vše neobjeví čisté, a průběžně kontrolujte provoz z daného počítače, abyste se ujistili, že je vše v pořádku.

Ještě jsme se tu jen poškrábali na povrch, pokud jde o monitorování a zabezpečení sítě. Existuje spousta specifických nástrojů a metod, které odborníci používají k zabezpečení svých sítí, ale tyto kroky budou fungovat i pro vás, pokud jste správcem sítě u vás doma a ve vaší rodině.

Vyloučení podezřelých zařízení nebo pijavic v síti může být dlouhý proces, který vyžaduje slídění a ostražitost. Přesto se nesnažíme vyvolávat paranoiu. Je pravděpodobné, že nenajdete nic neobvyklého, a ty pomalé stahování nebo mizerná rychlost wifi jsou něco úplně jiného. Přesto je dobré vědět, jak síť prozkoumat a co dělat, když najdete něco neznámého. Jen nezapomeňte používat své schopnosti pro dobro věci.