Router Asus RT-AX86U prakticky: Porty a bezpečnost | Kapitola 4
Seznam kapitol
Dnes se opět podíváme na ASUS RT-AX86U. Budeme hovořit o potížích spojených s nastavením připojení pro těžbu Chia, ale klidně si za to můžete dosadit některé herní servery nebo obdobné serverové programy. Řada problémů je společných.
Jak zajistit přístup do (nejen) klienta Chia z internetu
Znovu opakuji, že v článku hovořím hodně o problémech spojených s Chia, ale klidně si za to můžete dosadit některé herní servery a podobné programy. Řada problémů je společných.
Abyste mohli vystrčit jakoukoliv aplikaci do internetu, musíte mít veřejnou IP adresu.
Jak to funguje: Náš router je vrátnice. My určujeme, kdo smí projet. Pokud je naše vrátnice přístupná z ulice (máme veřejnou IP), tak náš vrátný skutečně kontroluje provoz. Naše pravidla platí.
Jenže, co když bude naše vrátnice uvnitř areálu cizí firmy (poskytovatele připojení) a vozidla jako první kontroluje jejich vrátný? My našemu vrátnému sice řekneme, aby vpustil všechny kamiony, které nám vezou grafické karty ASUS GeForce RTX 3070 za 12 000 korun! Ale prd! Cizí vrátný naše zásilky (s)prostě otáčí pryč.
Veřejná IPv4 adresa
Veřejné IPv4 adresy nejsou zadarmo, vykutálení poskytovatelé do své sítě umístí NAT a za jednu IPv4 adresu skryjí i stovky svých klientů. Veřejná IPv4 se platí, poplatek okolo 50 Kč a bývá skrytý v ceně připojení. Čím vykutálenější poskytovatel, tím vyšší příplatek za veřejnou IPv4 adresu.
Zkrátka je možné, že veřejnou IPv4 adresu nemáte.
Všechno jsem to popsal v článku Než zřídíte DSL; jak zvenčí na PC, disk a kameru. Pokud veřejnou IPv4 adresu nemáte, buď si připlatíte u operátora nebo se podíváte na neobvyklé možnosti získání adresy IPv4, které jsem popsal ZDE a ZDE.
Dále budu přepokládat, že máte solidní připojení od solidního poskytovatele a veřejnou IPv4 adresu máte.
Vytvoření rezervace vnitřní (privátní) IP adresy pro počítač
Každý počítač má svojí IP adresu. Veřejné adresy jsou ty vystrčené do internetu a ty vnitřní bývají neveřejné. Hlavní Router má například vnitřní adresu 192.168.0.1 a počítače získávají adresy 192.168.0.10 až 100.
Nejprve nastavíme, aby počítač s Chia klientem, na kterém jsou Chia ploty měl stále stejnou adresu:
Přihlásíme se do administrace modemu, kliknem na seznam klientů a vybereme správný počítač.
A přiřadíme mu fixní (stále stejnou) IP adresu:
Počítač restartujeme a ověříme, že má skutečně tu IP adresu, kterou jsme si přáli.
Teď zpřístupníme port z internetu do vnitřní sítě
Vysvětlení s vrátným: Vrátný netuší, která bije, musíte mu to říct srozumitelně. Pokud přijede dodávka se základními deskami ASUS, pošli jí ke (k počítači) skladu 3 za panem Mácou.
Chia klient běží na počítači .3 resp. (192.168.0.3) a používá port 8444.
Proto chceme veřejný port 8444 přesměrovat na počítač .3 a jeho port 8444.
Zní to jednoduše, ale výsledek si musíme ověřit! Na základní otestování použijeme třeba službu you get signal.
Testuji port 8444, který má poslouchat a má být otevřený. Výsledek je "open", tedy naslouchající port.
...a právě jsme si vytvořili slušný bezpečnostní problém... jak to vyřešit, se dozvíte v příští kapitole.
Zapnutí protokolu UPnP
Protokol UPnP je soubor standardů, některé jsou dobré a jiné ne. Pokud na routeru UPnP zapnete, nemusíte rozumět přesměrování portů, ale jakákoliv aplikace může váš počítač svévolně vystrčit do internetu.
Tohle bych nezapínal...
Firewall, Chia a bezpečnost
Tím, že váš port 8444 kouká do internetu, se na tento port může připojit kdokoliv z celého internetu. Mysleli jste si, že jen jiní klienti Chia? Hahááá! Každý den to budou zkoušet desítky robotů! U vaší adresy si udělají puntík, že u vás taková služba běží a BUDOU ČEKAT.
Navštíví vás tito lidé:
- Naprosto profesionální kyberzločinecké organizace se stovkami řádných zaměstnanců.
- Lidé jaderného tlouštíka, který si přesně na TOHLE pořídil vlastní armádu.
- Syn krále Utamtu Tamtutu, který od vás potřebuje 1000 dolarů na uvolnění stamiliardového dědictví.
Z těch méně nebezpečných pak:
- Agenti Miškin a Čepiga, kteří jsou specialisté na všechno. Podle pověstí jezdí po světě a škodí. Tu rozkradou dotace v ČR, tu něco vyhodí do vzduchu, rozbijí dálnici D1 a jindy někoho otráví.
- Možná se k vám pokusí dostat i Hacker Ramzi, kterého podle tajných dopisů z Tatarstánu najala naše BIS, aby sehnal peníze na výstavbu vysokorychlostního internetu v ČR.
- Každý zvědavý kluk, který se naučí pracovat s portscannerem a začne okopávat porty 8444 různými DOS útoky a skripty.
- Naštvaný taky-těžař, který spustí DDOS útok na farmu, která získává nejvíc odměn a tím jí dočasně odstaví.
Dříve nebo později se objeví bezpečnostní problém, na který útočníci lačně čekají. Proč by měli těžit Chia, když ho stačí sklidit?
Tříbodový plán zbohatnutí:
- Prohledat internet a zjistit, na kterých IP adresách je otevřený port 8444, vytvořit si seznam.
- Čekat, až se objeví zranitelnost, trpělivě čekat a průběžně aktualizovat seznam, kdo si počká...
- Zneužít chybu a pěkně obejít všechny dojnice, které spokojeně vystrkují svá vemínka do internetu.
A na památku přidají pěkný kryptovir. Jednak tím zahladí stopy a jednak vydělají pár Chia navíc. Velmi rádi jim zaplatíte za odšifrování, protože se budete chtít dostat k obsahu vaší (už prázdné) Chia peněženky.
Jak s tím bojovat
Tak předně to není snadné. Tento program byl navržen tvůrci Bittorentu, kteří preferují volnost.
Seznam opatření a proč jsou k ničemu:
- Sledovat fórum, jestli se neobjevil bezpečnostní problém. Ale co když chybu objeví zádumčivý lumpík?
- Aktualizovat počítač! To je výborné, ale tady nejde o zneužití chyby Windows, ale chyby Chia serveru.
- Používat antivirus. Útočník nemusí na disk počítače nic ukládat, klíč vyšťourá přímo z Chia serveru.
- Peníze hned po vytěžení převést do bezpečné peněženky. Ano, ale co když PC bude napadené už dřív?
- Nastavit na modemu silné heslo. To je dobrá rada a zabrání dalším škodám, jen Chia už budou fuč.
- Na firewallu povolit komunikaci jen s ověřenými Chia nody. Ale neovlivní to šanci na výhru?
- Stát se bezpečnostním expertem, prohledávat kód Chia a hledat chyby sám. Držím palce!
Jak vidíte, není to jednoduché. K počítači s Chia klientem, který je vystrčený do internetu, byste se měli chovat tak, jako by byl zavirovaný.
Teď jsem možná vystrašil všech pět posledních těžitelů Chia, kteří zuřivě vypínají svoje počítače. Ale to jsem nechtěl. Na druhou stranu je dobré znát rizika spojená s provozováním veřejného serveru na internetu.