[Morgul]

Αρχική Δημοσίευση από mystakid ερώτηση δημοτικού . Το router (σαν hub) μπορεί να στηρίξει τοπικό (οικιακό) δίκτυο;(επικοινωνία μεταξύ τους) ή είναι μόνο για πρόσβαση όλων των υπολογιστών του σπιτιού στο νετ; (ανεξάρτητα... χωρίς να βλέπονται μεταξύ τους). Πόση ασφάλεια μπορεί να έχει (μη εμφάνισης στο ίντερνετ) αν οριστούν κοινόχρηστα στοιχεία; ...για περισσότερη ασφάλεια απαιτείται κι ο δεύτερος υπολογιστής νάχει κάρτα δικτύου κι ό,τι γίνεται να γίνεται όταν δεν είναι συνδεδεμένοι στο νετ;

Το router (εξ'ορισμού, και σύμφωνα με το γενικότερο ορισμό του) συνδέει δύο ή περισσότερα δίκτυα μεταξύ τους και δρομολογεί πακέτα από το ένα δίκτυο στο άλλο σύμφωνα με κανόνες που καθορίζει ο διαχειριστής του. Οπότε στη βασική του μορφή, ένα router δίνει πρόσβαση από όλους σε όλους.

Ένα ενσύρματο router συνδέει δύο δίκτυα (το WAN [Wide Area Network, ισοδύναμο με το Internet εδώ] μέσω ADSL, και το LAN [Local Area Network, το τοπικό σου δίκτυο). Τα ασύρματα router έχουν ένα επιπλέον δίκτυο, το ασύρματο τοπικό σου δίκτυο.

Κάποια router έχουν μία θύρα LAN, άλλα έχουν τέσσερεις. Εκείνα που έχουν τέσσερεις έχουν ένα ενσωματωμένο switch, όχι hub. Αυτό είναι σημαντικό για την ασφάλειά σου:

Το hub, όταν δεχτεί ένα πακέτο προς οποιοδήποτε Η/Υ, το προωθεί προς όλες τις άλλες εξόδους, και αφήνει τον παραλήπτη Η/Υ να το δεχτεί, ελπίζοντας ότι όλοι οι άλλοι θα το αγνοήσουν. Αυτό ισχύει στο 99% των περιπτώσεων, αλλά με κατάλληλα προγράμματα ένας Η/Υ στο τοπικό σου δίκτυο μπορεί να παρακολουθήσει τι κάνουν οι υπόλοιποι.

Το switch, αντίθετα, είναι πιο έξυπνο. Θυμάται ποιος/ποιοι Η/Υ συνδέονται σε κάθε port (πρίζα) και προωθεί τα πακέτα μόνο στην αντίστοιχη πόρτα. Αν στην πόρτα συνδέεται άλλο switch, αυτή η διαδικασία συνεχίζεται μέχρι το πακέτο να φτάσει στον παραλήπτη Η/Υ και μόνο. Αυτό εμποδίζει την παρακολούθηση στο LAN, και κάνει το τοπικό δίκτυο πιο γρήγορο για όλους.

Αυτό σημαίνει ότι όλοι οι Η/Υ που βρίσκονται στις θύρες LAN του router σου μπορούν (δυνητικά) να συνδεθούν μεταξύ τους και να ανταλλάξουν δεδομένα, οπότε δεν έχεις προστασία.

Αυτό συμβαίνει και στο ασύρματο δίκτυο, αν έχεις. Μερικοί καλοί routers (πχ της Vigor) μπορούν να απομονώσουν τα μηχανήματα που συνδέονται ασύρματα, αλλά μόνο πολύ ακριβά router μπορούν να απομονώσουν αυτά που συνδέονται ενσύρματα.

Αυτό όμως είναι το καθεστώς στο router, που συνδέει υλικά τα μηχανήματα (ακόμα και στις ασύρματες συνδέσεις που δεν έχουμε καλώδια, μιλάμε για «υλική» σύνδεση για να την διαχωρίσουμε από τα άλλα είδη). Για να ανταλλάξεις δεδομένα απαιτούνται αρκετές ακόμα συνδέσεις, όπου κάθε σύνδεση εξαρτάται από την κατώτερου επιπέδου σύνδεση. Κάθε τέτοια σύνδεση έχει δικούς της κανόνες ασφαλείας και προστασία, και εκεί είναι που (συνήθως) υλοποιούμε τακτικές ασφαλείας.

Έχοντας ADSL router (και όχι ADSL modem που συνδέεται σε έναν μόνο Η/Υ μέσω, πχ, USB), έχεις μία απλή μορφή ασφαλείας, έμμεσο αποτέλεσμα της λειτουργίας NAT (ή masquerading, ή internet sharing) του router. Για λόγους που είναι κάπως περίπλοκοι γι'αυτή τη συζήτηση, επιθέσεις που ξεκινούν από άλλους Η/Υ θα τερματίσουν στο router, και όχι στους επιμέρους Η/Υ του εσωτερικού σου δικτύου (εξαίρεση: αν χρησιμοποιείς τις επιλογές port forwarding, virtual server, ή DMZ του router σου). Αυτό σημαίνει ότι, εκτός κι αν χρησιμοποιείς υπηρεσία static IP, αν ένας τοπικός Η/Υ δεν επικοινωνεί με το Internet, είναι αδύνατο να επικοινωνήσει κάποιος άλλος μαζί του από το Internet.

Επιπλέον, αν το router έχει ενσωματωμένο firewall, μπορεί να σταματήσει πιο αποτελεσματικά επιθέσεις, και με περισσότερη εποπτεία και λεπτότερο έλεγχο.

Αυτό εμποδίζει τις επιθέσεις εκ των έξω, αλλά επιτρέπει τους εσωτερικούς Η/Υ να βγουν προς τα έξω, κι αυτό ανοίγει μια πιθανή δίοδο επιθέσεων: επί παραδείγματι, εσύ λαμβάνεις το email σου καθημερινά, κι αν κάποιος σου στείλει ένα πρόγραμμα και σε πείσει να το τρέξεις, μπορεί να σου παραβιάσει την ασφάλεια εκ των έσω και να μεταφέρει δεδομένα, ή να τα καταστρέψει, ή ό,τι άλλο θέλει.

Ο καλύτερος τρόπος προστασίας, λοιπόν, ειδικά για μηχανήματα Windows, είναι τα εξής: τακτικές αυτόματες ενημερώσεις των Windows, χρήση προσωπικού firewall, χρήση καλού φίλτρου spam/spyware στον web browser, mail reader κλπ, και χρήση καλού antivirus (πολλά σχετικά προγράμματα συνδυάζουν όλες αυτές τις μορφές προστασίας).