Obrona przed podmianą adresów DNS w routerach

Niestety wiele routerów ADSL padło ofiarą podmiany adresów serwerów DNS. Jeżeli już się o tym dowiedzieliśmy i zmieniliśmy adresy DNS na poprawne to pytanie jest następujące:
Co zrobić aby ta sytuacja się nie powtórzyła?

Otóż atak nastąpił od strony internetu, więc należałoby zablokować dostęp administracyjny do routera od strony internetu czyli WAN-u.
Niektóre routery mają od razu w swej konfiguracji opcję pozwalająca na blokadę administracyjnego dostępu od strony WAN.
Niestety większość routerów nie posiada takiego ustawienia, a na producentów sprzętu i aktualizację do niego oprogramowania nie można zbyt szybko liczyć (jeśli w ogóle można :/ ). Musimy sobie zatem poradzić sami.

Na szczęście routery mają wbudowany firewall z jego gałęzią ACL (Access Control List - lista kontroli dostępu do administracji). Dzięki niej potrafimy powiedzieć routerowi jakie pakiety (jakich usług, z których adresów i jakiego interfejsu) ma przepuszczać a jakie odrzucać. W listach ACL trzeba uważać, żeby przez przypadek nie odmówić sobie samemu dostępu do routera ;) . Wtedy przychodzą z pomocą ustawienia fabryczne i cała konfiguracja na nowo :/
Przykładowa konfiguracja takiej listy na routerze Edimax,  która pozwala na dostęp do routera dla wszystkich adresów IP tylko z interfejsu LAN jest przedstawiona na obrazku poniżej.

Blokada dostępu administracyjnego od strony WAN.

Dla interfejsu WAN domyślnie jest blokada całego ruchu administracyjnego do zarządzania routerem (to działa wtedy jeśli jest tam jakaś reguła i jest ona włączona i jest załączony ACL). Za przekazywanie pakietów, dla jasności, jest odpowiedzialny moduł Filter i w nim ograniczamy dostęp do usług lub stron dla konkretnych komputerów w naszej sieci.

Bezpiecznego surfowania po Internecie!

Podmienione DNS-y

Od pewnego czasu wiadomo o dziurach w kilkunastu routerach typu klasy domowej i przeznaczonych dla małych firm, które pozwalają na dostanie się do ich konfiguracji i jej zmianę. Niestety nie zauważyłem żeby producenci tych modeli routerów się tym przejęli i poprawili oprogramowanie tych urządzeń.

Największym zagrożeniem jak do tej pory wydają się podmiany adresów IP serwerów DNS.

Pisał o tym także serwis niebezpiecznik.

Otóż co tak naprawdę to powoduje.
Wszystkie zapytania, które wpisujemy do przeglądarki internetowej są zamienianie na adresy IP poprzez serwery DNS. Teraz wyobraźmy sobie sytuację, że ktoś podmienił nam te adresy serwerów DNS, które zawsze odpytujemy. Tzn. hacker może skierować te nasze zapytania o adresy na swój serwer DNS, który będzie zawierał fałszywe adresy IP danych serwisów, których poszukujemy. I kierował nas np. na fałszywe strony banków (phising), których używamy czy poczty i jeszcze inne strony związane np. z wykradaniem haseł.



Zauważyłem także, że w takiej sieci z podmienionymi adresami DNS próbują się zainstalować programy podające się za dodatki aktualizujące np. Adobe Flash Player a tak naprawdę instalujące złośliwe oprogramowanie.
Przed takimi zagrożeniami chronią niektóre bardziej zaawansowane programy antywirusowe, które potrafią zablokować ruch z serwerów o adresach IP, które znajdują się na ich czarnej liście. Np. dobrze tutaj zachowuje się Eset Antivirus.

Rozpoznanie takiego typu zagrożenia jest bardzo trudne najlepszym sposobem jest używanie dobrego antywirusa połączonego najlepiej jeszcze z modułem firewalla (zapory sieciowej).
Sami możemy też sprawdzić z jakich serwerów DNS korzystamy wprowadzając w linii poleceń (Start -> Uruchom -> cmd) nslookup (np. nslookup onet.pl). Powinien wyświetlić się nam adres IP serwera DNS, którego używamy jeśli tak nie jest mogliśmy paść ofiarą podmiany DNS-ów. Podmiana jest wykonywana przez automatyczne roboty przeszukujące sieć na podatne routery i zmieniające adresy.
Możemy się przed tym zabezpieczyć wyłączając dostęp do konfiguracji routera (od strony zewnętrznej - WAN-u) z całego internetu na firewallu tego routera.

Uważajmy bo oszuści internetowi są coraz sprytniejsi. Znajmy metody jakimi się posługują a będziemy sprytniejsi od nich :)

Śmieci w przeglądarkach internetowych

Ostatnio zauważyłem dodawanie do różnych instalatorów programów innych dodatków programowych najczęściej nieużywanych, a zajmujący dodatkowe zasoby systemu. Niestety domyślnie zaznaczone przy instalacji często są domyślnie instalowane. Wtedy system zaczyna nam zwalniać i okazywać się coraz słabszy wydajnościowo.
Programy te dodają się do systemu wyświetlając reklamy lub inne treści, bardzo często są także formą dodatków do przeglądarek. Niestety także niektóre z nich są formą zagrożeń dla naszych systemów.



Na szczęście programy antywirusowe potrafią zidentyfikować niektóre takie programy i je usunąć. Np. Avast ma sprytne narzędzie do czyszczenia przeglądarki. Ja bardzo często skanuje systemy antywirusem online wystarczy wpisać eset online w Google i pobrać plik i uruchomić go następnie przechodzimy przez prosty kreator i już system jest skanowany na obecność różnych zagrożeń. Niektóre też możemy usunąć przez Odinstaluj program w Panelu sterowania, oczywiście musimy znać jego nazwę albo szukać po dacie instalacji. Innym sposobem jest też wejście w ustawienia dodatków danej przeglądarki i ich usunięcie.Jeszcze inne trudne do usunięcia programy tego typu możemy zlikwidować za pomocą narzędzia ComboFix ale uważajmy bo jest to program, który wprowadza wiele modyfikacji w systemie jednak ja zawsze byłem z niego zadowolony po jego użyciu.

Myślmy także i czytajmy więc co instalujemy i zgadzajmy się tylko na ten nasz główny program, który tak naprawdę instalujemy.

Przydatne programy po instalacji systemu Windows.

Lista niezbędnych aplikacji i dodatków po nowej instalacji systemu Windows:

1. Antywirus: Avast Free
2. Poprawki systemowe - Windows Update
3. Adobe Reader
4. Adobe Flash Player
5. Silverlight
6. OpenOffice
7. Kodeki ffdshow
8. VLC Player
9. Java
10. Google Chrome, Mozilla Firefox
11. 7-zip

Trochę tego jest ale najdłuższy czas pobierania i instalacji zajmują poprawki systemowe.