الشبكة المنزلية: الأمن من جميع الجهات. مثال على إعداد شبكة محلية منزلية آمنة

اليوم ، تحتوي كل شقة تقريبًا على شبكة منزلية يمكن من خلالها استخدام أجهزة الكمبيوتر الثابتة ، وأجهزة الكمبيوتر المحمولة ، وتخزين البيانات (NAS) ، ومشغلات الوسائط ، تلفزيونات ذكيةبالإضافة إلى الهواتف الذكية والأجهزة اللوحية وغيرها من الأجهزة القابلة للارتداء. يتم استخدام اتصالات سلكية (Ethernet) أو لاسلكية (Wi-Fi) وبروتوكولات TCP / IP. مع تطور تقنيات إنترنت الأشياء ، دخلت الأجهزة المنزلية - الثلاجات وآلات صنع القهوة ومكيفات الهواء وحتى معدات التركيبات الكهربائية - الويب. بفضل حلول Smart Home ، يمكننا التحكم في سطوع الإضاءة ، وضبط المناخ المحلي عن بُعد في المبنى ، وتشغيل وإيقاف تشغيل الأجهزة المختلفة - وهذا يجعل الحياة أسهل كثيرًا ، ولكن يمكن أن يخلق مشاكل خطيرة لمالك الحلول المتقدمة.

للأسف المطورين أجهزة مماثلةبينما لا يهتمون بما يكفي بأمان منتجاتهم ، ويزداد عدد نقاط الضعف الموجودة فيها مثل عيش الغراب بعد المطر. ليس من غير المألوف أن يتوقف دعم الجهاز بعد دخول السوق - على سبيل المثال ، يحتوي تلفزيوننا على برنامج ثابت لعام 2016 يعتمد على Android 4 ، ولن تقوم الشركة المصنعة بتحديثه. يضيف الضيوف أيضًا مشاكل: من غير الملائم منعهم من الوصول إلى شبكة Wi-Fi ، لكنني أيضًا لا أرغب في السماح لأي شخص بالدخول إلى شبكتي المريحة. من يدري ما هي الفيروسات التي يمكن أن تستقر في الهواتف المحمولة للآخرين؟ كل هذا يقودنا إلى الحاجة إلى تقسيم الشبكة المنزلية إلى عدة أقسام منفصلة. دعونا نحاول معرفة كيفية القيام بذلك ، كما يقولون ، مع القليل من إراقة الدماء وبأقل التكاليف المالية.

عزل شبكات Wi-Fi
في شبكات الشركات ، يتم حل المشكلة ببساطة - هناك محولات مُدارة تدعم شبكات المنطقة المحلية الافتراضية (VLANs) ، وأجهزة توجيه مختلفة ، جدران الحمايةونقاط الوصول اللاسلكية - يمكنك بناء العدد المطلوب من الأجزاء المعزولة في غضون ساعتين. بمساعدة جهاز Traffic Inspector Next Generation (TING) ، على سبيل المثال ، يتم حل المهمة ببضع نقرات فقط. يكفي توصيل مفتاح قطاع شبكة الضيف بمنفذ Ethernet منفصل وإنشاءه قواعد جدار الحماية. بالنسبة للمنزل ، هذا الخيار غير مناسب بسبب التكلفة العالية للمعدات - غالبًا ما يتم التحكم في شبكتنا بواسطة جهاز واحد يجمع بين وظائف جهاز التوجيه ، والمحول ، ونقطة الوصول اللاسلكية ، والله أعلم ماذا أيضًا.

لحسن الحظ ، أصبحت أجهزة التوجيه المنزلية الحديثة (على الرغم من أنه من الأصح تسميتها بمراكز الإنترنت) ذكية جدًا أيضًا ، وجميعها تقريبًا ، باستثناء ربما منخفضة التكلفة للغاية ، لديها القدرة على إنشاء غرفة ضيوف منعزلة. شبكة wifi. إن موثوقية هذه العزلة بالذات هي سؤال لمقال منفصل ، اليوم لن نتحرى عن البرامج الثابتة للأجهزة المنزلية مختلف الشركات المصنعة. كمثال ، لنأخذ ZyXEL Keeneticإضافي II. الآن أصبح هذا الخط يسمى ببساطة Keenetic ، لكن الجهاز الذي تم إصداره تحت العلامة التجارية ZyXEL وقع في أيدينا.

لن يتسبب الإعداد عبر واجهة الويب في حدوث صعوبات حتى للمبتدئين - بضع نقرات ، ولدينا شبكة لاسلكية منفصلة بها SSID وحماية WPA2 وكلمة مرور وصول. يمكنك السماح للضيوف بالدخول إليها ، بالإضافة إلى تشغيل أجهزة التلفزيون والمشغلات ذات البرامج الثابتة التي لم يتم تحديثها لفترة طويلة أو العملاء الآخرين الذين لا تثق بهم بشكل خاص. في معظم الأجهزة من الشركات المصنعة الأخرى ، نكرر أن هذه الوظيفة موجودة أيضًا ويتم تمكينها بنفس الطريقة. هذه هي الطريقة ، على سبيل المثال ، يتم حل المشكلة في البرامج الثابتة أجهزة توجيه D-Linkباستخدام معالج الإعداد.


يمكنك إضافة شبكة ضيف عندما يكون الجهاز مهيأ بالفعل ويعمل.


لقطة من موقع الشركة المصنعة


لقطة من موقع الشركة المصنعة

عزل شبكات الإيثرنت
بالإضافة إلى العملاء المتصلين بالشبكة اللاسلكية ، قد نواجه أجهزة بها واجهة سلكية. سيقول الخبراء أن ما يسمى بشبكات VLAN تُستخدم لإنشاء مقاطع Ethernet معزولة - شبكات المنطقة المحلية الافتراضية. تدعم بعض أجهزة التوجيه المنزلية هذه الوظيفة ، ولكن هنا تصبح المهمة أكثر تعقيدًا. لا أرغب في إنشاء مقطع منفصل فحسب ، بل نحتاج إلى دمج المنافذ للاتصال السلكي بشبكة الضيف اللاسلكية على جهاز توجيه واحد. هذا أبعد ما يكون عن الصعوبة بالنسبة لأي جهاز منزلي: يوضح تحليل سطحي أنه بالإضافة إلى أجهزة التوجيه Keenetic ، يمكن لنماذج MikroTik أيضًا إضافة منافذ Ethernet إلى شريحة الضيف المتصل بشبكة Wi-Fi ، ولكن عملية إعدادها ليس واضحا جدا. إذا تحدثنا عن أجهزة التوجيه المنزلية ذات الأسعار المماثلة ، فلن يتمكن سوى Keenetic من حل المشكلة ببضع نقرات في واجهة الويب.

كما ترى ، تعامل موضوع الاختبار مع المشكلة بسهولة ، وهنا يجدر الانتباه إلى ميزة أخرى مثيرة للاهتمام - يمكنك أيضًا عزل العملاء اللاسلكيين لشبكة الضيف عن بعضهم البعض. هذا مفيد للغاية: الهاتف الذكي الخاص بصديقك المصاب ببرامج ضارة سوف يتصل بالإنترنت ، لكنه لن يتمكن من مهاجمة الأجهزة الأخرى حتى في شبكة الضيف. إذا كان جهاز التوجيه الخاص بك يحتوي على وظيفة مماثلة ، فيجب عليك بالتأكيد تمكينها ، على الرغم من أن هذا سيحد من إمكانية تفاعل العميل - على سبيل المثال ، لن يكون من الممكن تكوين صداقات مع جهاز تلفزيون مع مشغل وسائط عبر شبكة Wi-Fi ، يجب استخدام اتصال سلكي. في هذه المرحلة ، تبدو شبكتنا المنزلية أكثر أمانًا.

ما هي النتيجة؟
يتزايد عدد التهديدات الأمنية عامًا بعد عام ، ولا يولي مصنعو الأجهزة الذكية دائمًا اهتمامًا كافيًا لإصدار التحديثات في الوقت المناسب. في مثل هذه الحالة ، لدينا طريقة واحدة فقط للخروج - تمييز العملاء شبكة منزليةوإنشاء شرائح معزولة لهم. للقيام بذلك ، لا تحتاج إلى شراء معدات لعشرات الآلاف من الروبلات ، حيث يمكن لمركز الإنترنت المنزلي غير المكلف نسبيًا التعامل بسهولة مع هذه المهمة. أود هنا أن أحذر القراء من شراء أجهزة ذات علامات تجارية منخفضة التكلفة. تمتلك جميع الشركات المصنعة تقريبًا الآن نفس الأجهزة تقريبًا ، لكن جودة البرامج المضمنة مختلفة تمامًا. بالإضافة إلى مدة دورة الدعم للنماذج التي تم إصدارها. حتى مع وجود مهمة بسيطة إلى حد ما تتمثل في الجمع بين شبكة سلكية وشبكة لاسلكية في قطاع منعزل ، لا يمكن لكل جهاز توجيه منزلي التعامل معه ، وقد يكون لديك أجهزة أكثر تعقيدًا. تحتاج في بعض الأحيان إلى تكوين شرائح إضافية أو تصفية DNS للوصول إلى المضيفين الآمنين فقط ، وفي الغرف الكبيرة ، يتعين عليك توصيل عملاء Wi-Fi بشبكة الضيف من خلال نقاط الوصول الخارجية ، وما إلى ذلك. وما إلى ذلك وهلم جرا. بالإضافة إلى مشكلات الأمان ، هناك مشكلات أخرى: الشبكات العامةمن الضروري ضمان تسجيل العملاء وفقًا لمتطلبات القانون الاتحادي رقم 97 "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات". الأجهزة غير المكلفة قادرة على حل مثل هذه المشاكل ، ولكن ليس كلها - وظائفنكرر أن البرنامج المدمج لديهم مختلف تمامًا.

PNST301-2018 / ISO / IEC 24767-1: 2008

المعيار الوطني الأساسي للاتحاد الروسي

تكنولوجيا المعلومات

أمن الشبكة الرئيسية

متطلبات السلامة

تكنولوجيا المعلومات. أمن الشبكة المنزلية. متطلبات الأمان الجزء الأول

OKS 35.110 ، 35.200 ، 35.240.99

صالح من 2019-02-01

مقدمة

مقدمة

1 أعدته المؤسسة التعليمية الموازنة الحكومية الفيدرالية تعليم عالى"جامعة بليخانوف الروسية للاقتصاد" (جامعة بليخانوف الروسية للاقتصاد) بناءً على ترجمتها الخاصة إلى اللغة الروسية للنسخة الإنجليزية من المعيار الدولي المحدد في الفقرة 4

2 قدمتها اللجنة الفنية للتوحيد القياسي TC 22 "تكنولوجيا المعلومات"

تمت الموافقة عليها ووضعها حيز التنفيذ بأمر من الوكالة الفيدرالية للتنظيم الفني والمقاييس بتاريخ 4 سبتمبر 2018 N38-pnst

4 هذا المعيار مطابق للمواصفة ISO / IEC 24767-1: 2008 * المعيار الدولي "تقنية المعلومات - أمان الشبكة المنزلية - الجزء 1: متطلبات الأمان" (ISO / IEC 24767-1: 2008 ، "تقنية المعلومات - أمان الشبكة المنزلية - الجزء 1 : متطلبات الأمان "، IDT)
________________
* يمكن الوصول إلى الوثائق الدولية والأجنبية المذكورة أدناه في النص من خلال النقر على رابط الموقع. - ملاحظة الشركة المصنعة لقاعدة البيانات.

تم وضع قواعد تطبيق هذا المعيار ومراقبته في GOST R 1.16-2011 (الأقسام 5 و 6).

تقوم الوكالة الفيدرالية للتنظيم الفني والمقاييس بجمع معلومات حول التطبيق العملي لهذا المعيار. يمكن إرسال هذه المعلومات ، بالإضافة إلى التعليقات والاقتراحات حول محتوى المعيار ، في موعد لا يتجاوز 4 شهور قبل انتهاء صلاحيتها لمطور هذا المعيار على العنوان: 117997 Moscow، Stremyanny pereulok، 36، Federal State Budget Education Institute of Higher Education "REUسميت باسم جي في بليخانوف"والوكالة الاتحادية للتنظيم الفني والمقاييس على العنوان التالي: 109074 موسكو، Kitaygorodsky proezd، 7، building 1.

في حالة إلغاء هذا المعيار ، سيتم نشر المعلومات ذات الصلة في فهرس المعلومات الشهري "المعايير الوطنية" وسيتم نشرها أيضًا على الموقع الرسمي للوكالة الفيدرالية للتنظيم الفني والمقاييس على الإنترنت (www.gost.ru)

مقدمة

تشكل ISO (المنظمة الدولية للتوحيد القياسي) و IEC (اللجنة الكهروتقنية الدولية) نظامًا متخصصًا للتوحيد القياسي في جميع أنحاء العالم. تشارك الهيئات الوطنية الأعضاء في ISO أو IEC في تطوير المعايير الدولية من خلال اللجان الفنية. يمكن لأي هيئة مهتمة عضو في ISO أو IEC المشاركة في تطوير معيار في منطقة معينة. المنظمات الدولية الأخرى ، الحكومية وغير الحكومية ، التي لها اتصال مع ISO و IEC تشارك أيضًا في العمل.

في المنطقة تقنيات المعلوماتأنشأت ISO و IEC لجنة فنية مشتركة JTC / ISO / IEC 1. يتم توزيع مسودة المعايير الدولية التي أعدتها اللجنة الفنية المشتركة على اللجان الوطنية للتصويت عليها. يتطلب النشر كمعيار دولي موافقة 75٪ على الأقل من اللجان الوطنية التي تصوت.

قرارات أو اتفاقيات رسمية من IEC و ISO بشأن المسائل التقنيةالتعبير ، قدر الإمكان ، عن إجماع دولي حول المسائل ذات الصلة ، حيث أن لكل لجنة فنية ممثلين من جميع الهيئات الوطنية الأعضاء المعنية في IEC و ISO.

منشورات IEC و ISO و ISO / IEC هي في شكل توصيات للاستخدام الدولي ويتم قبولها من قبل اللجان الوطنية الأعضاء في IEC و ISO بهذا المعنى. بينما تم بذل كل جهد لضمان دقة المحتوى الفني لمنشورات IEC و ISO و ISO / IEC ، لا تتحمل IEC أو ISO أية مسؤولية عن الطريقة التي يتم استخدامها بها أو عن أي تفسير خاطئ من قبل المستخدم النهائي.

من أجل ضمان التنسيق الدولي (نظام واحد) ، تتعهد اللجان الوطنية IEC و ISO بضمان أقصى قدر من الشفافية في تطبيق معايير IEC و ISO و ISO / IEC الدولية ، بقدر ما تسمح به الظروف الوطنية والإقليمية لبلد معين. يجب الإشارة بوضوح إلى أي تباين بين منشورات ISO / IEC والمعايير الوطنية أو الإقليمية المقابلة في الأخير.

ليس لدى ISO و IEC إجراءات وضع العلامات وليسا مسئولين عن أي معدات يُدعى أنها تتوافق مع أحد معايير ISO / IEC.

يجب على جميع المستخدمين التأكد من أنهم يستخدمون أحدث إصدار من هذا المنشور.

IEC أو ISO ، إدارتهم ، موظفوهم ، موظفوهم أو ممثلوهم ، بما في ذلك الخبراء الأفراد وأعضاء لجانهم الفنية ، وأعضاء اللجان الوطنية IEC أو ISO ، لن يكونوا مسؤولين عن الحوادث أو أضرار الممتلكات أو الأضرار الأخرى ، سواء كانت مباشرة أو غير مباشرة ، أو مقابل التكاليف (بما في ذلك التكاليف القانونية) المتكبدة فيما يتعلق بنشر أو استخدام منشور ISO / IEC هذا أو منشور IEC أو ISO أو ISO / IEC آخر.

الوثائق المعيارية المذكورة في هذا المنشور تتطلب اهتماما خاصا ، واستخدام الوثائق المرجعية ضروري للتطبيق الصحيح لهذا المنشور.

يتم لفت الانتباه إلى حقيقة أن بعض عناصر هذه المواصفة القياسية الدولية قد تكون موضوع حقوق براءات الاختراع. لا تتحمل ISO و IEC مسؤولية تحديد أي من حقوق براءات الاختراع هذه أو جميعها.

تم تطوير المعيار الدولي ISO / IEC 24767-1 بواسطة اللجنة الفرعية 25 ، ربط معدات تكنولوجيا المعلومات ، التابعة للجنة الفنية المشتركة 1 ISO / IEC ، تكنولوجيا المعلومات.

تتوفر قائمة بجميع الأجزاء المتوفرة حاليًا من سلسلة ISO / IEC 24767 تحت العنوان العام "تقنية المعلومات - أمان الشبكة المنزلية" على موقع ويب IEC.

1 مجال الاستخدام

تحدد هذه المواصفة القياسية الدولية متطلبات حماية الشبكة المنزلية من التهديدات الداخلية أو الخارجية. يعمل المعيار كأساس لتطوير أنظمة الأمان التي تحمي البيئة الداخلية من التهديدات المختلفة.

يتم التعامل مع متطلبات الأمان في هذه المواصفة القياسية الدولية بطريقة غير رسمية نسبيًا ، وعلى الرغم من أن العديد من الموضوعات التي تمت مناقشتها في هذه المواصفة القياسية الدولية تعمل كدليل لتطوير أنظمة الأمان لكل من الإنترانت والإنترنت ، إلا أنها ذات طبيعة متطلبات غير رسمية.

يتم توصيل أجهزة مختلفة بالشبكة الداخلية (المنزلية) (انظر الشكل 1). تتمتع أجهزة "شبكة الأجهزة المنزلية" وأجهزة "الترفيه الصوتي / المرئي" وأجهزة "تطبيقات المعلومات" بوظائف وأداء مختلف. توفر هذه المواصفة القياسية الدولية وسيلة لتحليل مخاطر كل جهاز متصل بالشبكة وتحديد متطلبات الأمان لكل جهاز.

2 - المصطلحات والتعاريف والمختصرات

2.1 المصطلحات والتعريفات

تنطبق المصطلحات والتعريفات التالية في هذا المعيار:

2.1.1 مستهلكى الكترونيات(السلع البنية): أجهزة الصوت / الفيديو التي تُستخدم أساسًا لأغراض الترفيه ، مثل جهاز التلفزيون أو مسجل DVD.

2.1.2سرية(السرية): خاصية تضمن عدم الوصول إلى المعلومات أو الكشف عنها لأشخاص أو منظمات أو عمليات غير مصرح لها.

2.1.3 مصادقة البيانات(مصادقة البيانات): خدمة تُستخدم لضمان التحقق من مصدر البيانات المطالب به بشكل صحيح.

2.1.4 تكامل البيانات(تكامل البيانات): خاصية تؤكد أن البيانات لم يتم تعديلها أو إتلافها بطريقة غير مصرح بها.

2.1.5 مصادقة المستخدم(مصادقة المستخدم): خدمة لضمان التحقق بشكل صحيح من معلومات الهوية التي قدمها أحد المشاركين في الاتصال ، بينما تضمن خدمة التفويض أن المستخدم المحدد والمرخص له حق الوصول إلى جهاز محددأو تطبيق الشبكة المنزلية.

2.1.6 الأجهزة(السلع البيضاء): الأجهزة المستخدمة في الحياة اليومية ، مثل التكييف والثلاجة وما إلى ذلك.

2.2 الاختصارات

تستخدم الاختصارات التالية في هذه المواصفة القياسية:

الصوت والفيديو -

أجهزة سمعية / بصرية ؛

(قرص مضغوط) قرص مضغوط ؛

(رفض الموزع للخدمة) هجوم رفض الخدمة الموزع ؛

(الحرمان من الخدمة) الحرمان من الخدمة ؛

(إدارة الحقوق الرقمية) إدارة الحقوق الرقمية ؛

(Digital TeleVision) تلفزيون رقمي ؛

(قرص رقمي متعدد الاستخدامات) CD / DVD ؛

(المنازل المتعددة HES المدعومة من الخارج) النظام الإلكتروني المنزلي للمنازل المتعددة التي يديرها طرف ثالث ؛

(Singlehome HES المدعومة من الخارج) نظام إلكتروني منزلي لمنزل واحد يديره طرف ثالث ؛

(النظام الإلكتروني المنزلي) النظام الإلكتروني المنزلي ؛

(تكنولوجيا المعلومات والاتصالات) تكنولوجيا المعلومات والاتصالات (ICT) ؛

(بروتوكول الإنترنت) بروتوكول الإنترنت ؛

(بروتوكول أمان IP) بروتوكول أمان بروتوكول الإنترنت ؛

(بروتوكول الإنترنت الإصدار 4) بروتوكول الإنترنت الإصدار 4 ؛

(بروتوكول الإنترنت الإصدار 6) بروتوكول الإنترنت الإصدار 6 ؛

(تكنولوجيا المعلومات) تكنولوجيا المعلومات (IT) ؛

(Moving Picture Expert Group) طريقة قياسية لتعبئة مقاطع الفيديو ذات الطول المميز ؛

(المالك يدعم HES) نظام إلكتروني للمنزل لمنزل واحد ، يديره المالك ؛

(كمبيوتر الجيب الشخصي) كمبيوتر الجيب الشخصي (PDA) ؛

(كمبيوتر شخصي) كمبيوتر شخصي (كمبيوتر شخصي) ؛

(بروتوكول التحكم في الإرسال) بروتوكول التحكم في الإرسال ؛

(بروتوكول أمان طبقة النقل) بروتوكول أمان طبقة النقل ؛

(محدد موقع المعلومات) نظام عناوين الموارد الموحدة ؛

(مسجل كاسيت فيديو) VCR ؛

3 الامتثال

يحتوي هذا المعيار القواعد الارشاديةدون أي متطلبات الامتثال.

4 متطلبات الأمن للأنظمة والشبكات الإلكترونية المنزلية

4.1 أحكام عامة

مع التطور السريع للإنترنت وتقنيات الشبكات ذات الصلة ، أصبح من الممكن إنشاء اتصال بين أجهزة الكمبيوتر في المكاتب والمنازل مع العالم الخارجي ، مما يوفر الوصول إلى العديد من الموارد. اليوم ، وصلت التقنيات التي كانت أساس هذا النجاح إلى منازلنا وتوفر القدرة على توصيل الأجهزة بنفس الطريقة حواسيب شخصية. وبالتالي ، فهي لا تسمح فقط للمستخدمين بمراقبة أجهزتهم المنزلية والتحكم فيها من داخل المنزل وخارجه فحسب ، بل تتيح أيضًا إنشاء خدمات وإمكانيات جديدة ، مثل جهاز التحكم عن بُعد الأجهزة المنزليةوخدمتها. هذا يعني أن المعتاد بيئة الكمبيوترفي المنزل إلى شبكة منزلية داخلية ، تربط العديد من الأجهزة ، والتي يجب أيضًا ضمان أمانها.

يحتاج المقيمون والمستخدمون وأصحاب كل من المنزل والنظام إلى الوثوق بالنظام الإلكتروني للمنزل. الهدف من أمن الوطن النظام الإلكتروني- توفير الثقة في النظام. نظرًا لأن العديد من مكونات النظام الإلكتروني المنزلي تعمل بشكل مستمر ، على مدار 24 ساعة في اليوم ، وتتبادل المعلومات تلقائيًا مع العالم الخارجي ، فإن أمن المعلومات ضروري لضمان سرية وسلامة وتوافر البيانات والنظام. حل أمني مطبق بشكل صحيح يعني ، على سبيل المثال ، أن الوصول إلى النظام وتخزينه أن المستخدمين المعتمدين والعمليات فقط يتلقون البيانات الواردة والصادرة ، وأن المستخدمين المصرح لهم فقط يمكنهم استخدام النظام وإجراء تغييرات عليه.

يمكن وصف متطلبات الأمن لشبكة HES بعدة طرق. يقتصر هذا المعيار على أمن تكنولوجيا المعلومات لشبكة HES. ومع ذلك ، يجب أن يتجاوز أمن تكنولوجيا المعلومات النظام نفسه ، حيث يجب أن يعمل المنزل ، وإن كان بقدرات محدودة ، في حالة فشل نظام تكنولوجيا المعلومات. مكسورة. في مثل هذه الحالات ، يمكن فهم أن هناك متطلبات أمان لا يمكن أن تكون جزءًا من النظام نفسه ، ولكن يجب ألا يمنع النظام تنفيذ حلول النسخ الاحتياطي.

هناك عدد من الأشخاص المهتمين بقضايا الأمان. يجب الوثوق بالنظام الإلكتروني المنزلي ليس فقط من قبل المقيمين والمالكين ، ولكن أيضًا من قِبل مزودي الخدمة والمحتوى. يجب أن يضمن الأخير أن الخدمات والمحتوى الذي يقدمونه يتم استخدامها فقط بالطريقة المسموح بها. ومع ذلك ، فإن أحد أساسيات أمان النظام هو أن مسؤول خدمة أمان معين يجب أن يكون مسؤولاً عن ذلك. من الواضح أن هذه المسؤولية يجب أن تسند إلى السكان (أصحاب النظام). لا يهم ما إذا كان المسؤول يفعل ذلك شخصيًا أو يقوم بالاستعانة بمصادر خارجية. في أي حال ، مسؤول الأمن هو المسؤول. يتم تحديد مسألة ثقة مزودي الخدمة والمحتوى في النظام الإلكتروني المنزلي وثقتهم بأن المستخدمين يستخدمون خدماتهم ومحتوياتهم بشكل صحيح من خلال الالتزامات التعاقدية بين الأطراف. قد يسرد العقد ، على سبيل المثال ، الميزات أو المكونات أو العمليات التي يجب أن يدعمها النظام الإلكتروني المنزلي.

تختلف بنية النظام الإلكتروني المنزلي عن أنواع مختلفةمنازل. لأي نموذج ، قد تكون هناك مجموعة محددة من متطلبات الأمان. فيما يلي وصف لثلاثة نماذج مختلفة للأنظمة الإلكترونية المنزلية مع مجموعات مختلفة من متطلبات الأمان.

من الواضح أن بعض متطلبات الأمان أكثر أهمية من غيرها. وبالتالي ، من الواضح أن دعم بعض الإجراءات المضادة سيكون اختيارياً. بالإضافة إلى ذلك ، يمكن أن تختلف الإجراءات المضادة من حيث الجودة والتكلفة. أيضًا ، قد تكون هناك حاجة إلى مهارات مختلفة لإدارة هذه الإجراءات المضادة والحفاظ عليها. تحاول هذه المواصفة القياسية الدولية توضيح الأساس المنطقي وراء متطلبات الأمان المدرجة وبالتالي تمكين مصممي الأنظمة الإلكترونية المنزلية من تحديد ميزات الأمان التي يجب أن يدعمها نظام منزلي معين ، وبالنظر إلى متطلبات الجودة وجهود الإدارة والصيانة ، ما هي الآلية التي ينبغي اختيارها لتلك الميزات .

تعتمد متطلبات الأمان للشبكة الداخلية على تعريف الأمان و "المنزل" ، وكذلك المقصود بكلمة "الشبكة" في ذلك المنزل. إذا كانت الشبكة هي مجرد قناة تقوم بتوصيل جهاز كمبيوتر واحد بطابعة أو مودم كبل ، فعندئذٍ لتأمين شبكة منزلية ، يكفي تأمين هذه القناة والأجهزة التي تتصل بها.

ومع ذلك ، إذا كان هناك العشرات ، إن لم يكن المئات ، من الأجهزة المتصلة بالشبكة في مجال ، بعضها ينتمي إلى المنزل بأكمله والبعض الآخر ينتمي إلى أشخاص في المنزل ، فسيلزم وضع تدابير أمنية أكثر تعقيدًا.

4.2 أمن النظام الإلكتروني المنزلي

4.2.1 تحديد أمن النظام والنظام الإلكتروني المنزلي

يمكن تعريف النظام والشبكة الإلكترونية المنزلية على أنها مجموعة من العناصر التي تعالج المعلومات وتنقلها وتخزنها وتديرها ، مما يتيح الاتصال والتكامل بين العديد أجهزة الكمبيوتروكذلك أجهزة التحكم والمراقبة والاتصالات الموجودة في المنزل.

بالإضافة إلى ذلك ، توفر الأنظمة والشبكات الإلكترونية المنزلية ربطًا بين أجهزة الترفيه والمعلومات ، فضلاً عن أجهزة الاتصال والأمن ، والأجهزة المنزلية المتوفرة في المنزل. ستتبادل هذه الأجهزة والأجهزة المعلومات ، ويمكن التحكم فيها والتحكم فيها أثناء وجودها في المنزل أو عن بُعد. وفقًا لذلك ، ستحتاج جميع الشبكات المنزلية الداخلية إلى بعض آليات الأمان لحماية عملياتها اليومية.

يمكن فهم أمن الشبكات والمعلومات على أنه قدرة الشبكة أو نظام المعلومات على مقاومة الأحداث العشوائية أو الإجراءات الخبيثة على مستوى معين. قد تعرض مثل هذه الأحداث أو الأنشطة للخطر توافر البيانات المخزنة أو المرسلة ومصداقيتها ومصداقيتها وسريتها ، فضلاً عن الخدمات المرتبطة المقدمة من خلال هذه الشبكات والأنظمة.

يمكن تصنيف حوادث أمن المعلومات في المجموعات التالية:

يمكن اعتراض البريد الإلكتروني ، ويمكن نسخ البيانات أو تغييرها. يمكن أن يتسبب ذلك في ضرر ناتج عن انتهاك حق الفرد في الخصوصية وإساءة استخدام البيانات التي تم اعتراضها ؛

عادةً ما يتم الوصول غير المصرح به إلى الكمبيوتر وشبكات الكمبيوتر الداخلية بقصد ضار لنسخ البيانات أو تعديلها أو إتلافها وقد يمتد إلى المعدات والأنظمة الآلية الموجودة في المنزل ؛

أصبحت الهجمات الضارة على الإنترنت شائعة ، وقد تصبح شبكة الهاتف أيضًا أكثر عرضة للخطر في المستقبل ؛

ضار برمجة، مثل الفيروسات ، يمكنها تعطيل أجهزة الكمبيوتر أو حذف البيانات أو تعديلها أو إعادة البرمجة الأجهزة المنزلية. كانت بعض هجمات الفيروسات مدمرة ومكلفة للغاية ؛

تحريف المعلومات عن الأفراد أو الكيانات القانونيةقد يتسبب في ضرر كبير ، مثل قيام العملاء بتنزيل برامج ضارة من موقع ويب متنكرًا كمصدر موثوق به ، وقد يتم إنهاء العقود ، وقد يتم إرسال المعلومات السرية إلى المستلمين الخطأ ؛

العديد من الحوادث أمن المعلوماتالمرتبطة بأحداث غير متوقعة وغير مقصودة مثل الكوارث الطبيعية (الفيضانات والعواصف والزلازل) ، وتعطل الأجهزة أو البرامج ، والخطأ البشري.

مع انتشار الوصول إلى الإنترنت ذات النطاق العريض وأدوات الجيب ، أصبحت أجهزة التوجيه اللاسلكية (أجهزة التوجيه) شائعة للغاية. هذه الأجهزة قادرة على إرسال إشارة عبر بروتوكول Wi-Fi إلى كل من أجهزة الكمبيوتر الثابتة والأجهزة المحمولة - الهواتف الذكية والأجهزة اللوحية - أثناء عرض النطاقالقناة كافية تمامًا للاتصال المتزامن للعديد من المستهلكين.

يوجد اليوم موجه لاسلكي في أي منزل تقريبًا حيث يتم تثبيت الإنترنت واسع النطاق. ومع ذلك ، لا يفكر جميع مالكي هذه الأجهزة في حقيقة أنهم ، مع الإعدادات الافتراضية ، معرضون بشدة للمتطفلين. وإذا كنت تعتقد أنك لا تفعل أي شيء على الإنترنت يمكن أن يضر بك ، ففكر في حقيقة أنه من خلال اعتراض إشارة الشبكة اللاسلكية المحلية ، يمكن للمتسللين الوصول ليس فقط إلى مراسلاتك الشخصية ، ولكن أيضًا إلى حسابك المصرفي الرسمي. المستندات وأي ملفات أخرى.

قد لا يقتصر المتسللون على فحص ذاكرة أجهزتك الخاصة فقط - يمكن لمحتوياتهم أن تعطي أدلة لشبكات شركتك وأقاربك وأصدقائك ، إلى بيانات جميع أنواع الشركات التجارية والحكومية نظم المعلومات. علاوة على ذلك ، من خلال شبكتك وبالنيابة عنك ، يمكن للمهاجمين شن هجمات هائلة ، وعمليات اختراق ، وتوزيع ملفات الوسائط والبرامج بشكل غير قانوني ، والمشاركة في أنشطة إجرامية أخرى.

في غضون ذلك ، من أجل حماية نفسك من مثل هذه التهديدات ، يجب أن تتبع القليل منها فقط قواعد بسيطةمفهومة ويمكن الوصول إليها حتى لأولئك الذين ليس لديهم معرفة خاصة في هذا المجال شبكات الحاسب. ندعوك للتعرف على هذه القواعد.

1. قم بتغيير تفاصيل المسؤول الافتراضية

للوصول إلى إعدادات جهاز التوجيه الخاص بك ، تحتاج إلى الانتقال إلى واجهة الويب الخاصة به. للقيام بذلك ، تحتاج إلى معرفة عنوان IP الخاص به بتنسيق شبكه محليه(LAN) ، وكذلك تسجيل دخول المسؤول وكلمة المرور.

عنوان IP الداخلي الافتراضي لجهاز التوجيه ، كقاعدة عامة ، هو 192.168.0.1 أو 192.168.1.1 أو 192.168.100.1 أو ، على سبيل المثال ، 192.168.123.254 - يشار إليه دائمًا في وثائق الجهاز. عادةً ما يتم أيضًا الإبلاغ عن تسجيل الدخول وكلمة المرور الافتراضيين في الوثائق ، أو يمكن الحصول عليها من الشركة المصنعة لجهاز التوجيه أو مزود الخدمة الخاص بك.

أدخل عنوان IP الخاص بالموجه في شريط عنوان المتصفح ، وفي النافذة التي تظهر ، أدخل اسم المستخدم وكلمة المرور. سيتم فتح واجهة الويب الخاصة بالموجه أمامنا مع مجموعة متنوعة من الإعدادات.

العنصر الأساسي لأمان الشبكة المنزلية هو القدرة على تغيير الإعدادات ، لذا تأكد من تغيير جميع بيانات المسؤول الافتراضية ، لأنه يمكن استخدامها في عشرات الآلاف من مثيلات نفس أجهزة التوجيه مثلك. نجد العنصر المناسب وإدخال البيانات الجديدة.

في بعض الحالات ، يتم حظر القدرة على تغيير بيانات المسؤول بشكل تعسفي بواسطة مزود الخدمة ، وبعد ذلك سيتعين عليك الاتصال بهم للحصول على المساعدة.

2. تعيين أو تغيير كلمات المرور للوصول إلى الشبكة المحلية

سوف تضحك ، ولكن لا تزال هناك حالات يقوم فيها المالك السخي لجهاز التوجيه اللاسلكي بتنظيم نقطة وصول مفتوحة يمكن لأي شخص الاتصال بها. في كثير من الأحيان ، يتم اختيار كلمات المرور الزائفة مثل "1234" أو بعض الكلمات العادية المحددة أثناء تثبيت الشبكة للشبكة المنزلية. لتقليل فرصة وصول شخص ما بسهولة إلى شبكتك ، تحتاج إلى الخروج بكلمة مرور طويلة حقيقية من الأحرف والأرقام والرموز ، وتعيين مستوى تشفير الإشارة - ويفضل WPA2.

3. تعطيل WPS

تتيح لك تقنية WPS (إعداد Wi-Fi المحمي) إنشاء ملف آمن بسرعة اتصالات لاسلكيةبين الأجهزة المتوافقة بدون إعدادات مفصلة، ولكن فقط عن طريق الضغط على الأزرار المناسبة في جهاز التوجيه والأداة أو عن طريق إدخال رمز رقمي.

وفي الوقت نفسه ، فإن هذا النظام المريح ، الذي يتم تمكينه افتراضيًا ، يشتمل على نقطة ضعف واحدة: نظرًا لأن WPS لا يحسب عدد محاولات إدخال رمز خاطئ ، يمكن اختراقه "بالقوة الغاشمة" عن طريق التعداد البسيط باستخدام أبسط الأدوات المساعدة. سيستغرق الأمر من عدة دقائق إلى عدة ساعات لاختراق شبكتك من خلال رمز WPS ، وبعد ذلك لن يكون من الصعب حساب كلمة مرور الشبكة.

لذلك ، نجد العنصر المقابل في "لوحة الإدارة" ونقوم بتعطيل WPS. لسوء الحظ ، لن يؤدي إجراء تغييرات على الإعدادات دائمًا إلى تعطيل WPS ، ولا توفر بعض الشركات المصنعة مثل هذا الخيار على الإطلاق.

4. قم بتغيير اسم SSID

SSID (معرف مجموعة الخدمات) هو اسم شبكتك اللاسلكية. إنه "الذي تتذكره" الأجهزة المختلفة ، عند التعرف على الاسم وكلمات المرور اللازمة ، حاول الاتصال بالشبكة المحلية. لذلك ، إذا احتفظت بتعيين الاسم الافتراضي ، على سبيل المثال ، بواسطة مزود خدمة الإنترنت ، فهناك احتمال أن تحاول أجهزتك الاتصال بالعديد من الشبكات القريبة التي تحمل الاسم نفسه.

علاوة على ذلك ، فإن جهاز التوجيه الذي يبث SSID قياسيًا أكثر عرضة للقراصنة ، الذين سيعرفون طرازه وإعداداته العادية تقريبًا ، وسيكونون قادرين على توجيه ضربات محددة نقاط ضعفمثل هذا التكوين. لذلك ، اختر اسمًا فريدًا قدر الإمكان ، لا يذكر شيئًا عن مزود الخدمة أو الشركة المصنعة للجهاز.

في الوقت نفسه ، فإن النصيحة التي تتم مواجهتها غالبًا لإخفاء بث SSID ، وهذا الخيار قياسي للغالبية العظمى من أجهزة التوجيه ، لا يمكن الدفاع عنه في الواقع. الحقيقة هي أن جميع الأجهزة التي تحاول الاتصال بشبكتك ، على أي حال ، ستمر عبر أقرب نقاط الوصول ، ويمكنها الاتصال بشبكات "وضعها" المتسللون خصيصًا. بمعنى آخر ، بإخفاء SSID ، فإنك تجعل الحياة صعبة عليك فقط.

5. قم بتغيير IP الخاص بالموجه

لجعل الأمر أكثر صعوبة بالنسبة للوصول غير المصرح به إلى واجهة الويب الخاصة بالموجه وإعداداته ، قم بتغيير عنوان IP الداخلي الافتراضي (LAN) فيها.

6. تعطيل الإدارة عن بعد

للراحة دعم فني(في الغالب) العديد من أجهزة توجيه المستهلك لها وظيفة الإدارة عن بعد، والتي من خلالها تصبح إعدادات جهاز التوجيه متاحة عبر الإنترنت. لذلك ، إذا كنا لا نريد اختراقًا من الخارج ، فمن الأفضل تعطيل هذه الوظيفة.

ومع ذلك ، في الوقت نفسه ، يظل من الممكن الدخول إلى واجهة الويب عبر Wi-Fi إذا كان المهاجم في مجال شبكتك ويعرف تسجيل الدخول وكلمة المرور. تحتوي بعض أجهزة التوجيه على وظيفة لتقييد الوصول إلى اللوحة فقط عندما يكون هناك اتصال سلكي ، ومع ذلك ، لسوء الحظ ، هذا الخيار نادر جدًا.

7. تحديث البرامج الثابتة

تعمل كل شركة مصنعة لأجهزة التوجيه تحترم نفسها وعملائها باستمرار على تحسين برامج أجهزتها وتصدر بانتظام إصدارات محدثة من البرامج الثابتة ("البرامج الثابتة"). في الإصدارات الأخيرة ، أولاً وقبل كل شيء ، يتم إصلاح الثغرات الأمنية المكتشفة ، وكذلك الأخطاء التي تؤثر على استقرار العمل.

يرجى ملاحظة أنه بعد التحديث ، قد تتم إعادة تعيين جميع الإعدادات التي أجريتها على إعدادات المصنع ، لذلك من المنطقي جعلها دعمأيضًا من خلال واجهة الويب.

8. انتقل إلى النطاق 5 جيجاهرتز

النطاق الأساسي لشبكات Wi-Fi هو 2.4 جيجا هرتز. يوفر استقبالًا موثوقًا به من قبل معظم الأجهزة الموجودة على مسافة تصل إلى حوالي 60 مترًا في الداخل وما يصل إلى 400 متر في الهواء الطلق. سيؤدي التبديل إلى النطاق 5 جيجاهرتز إلى تقليل نطاق الاتصال بمقدار مرتين إلى ثلاث مرات ، مما يحد من قدرة الغرباء على اختراق شبكتك اللاسلكية. نظرًا لقلة إشغال النطاق ، قد تلاحظ أيضًا زيادة سرعة نقل البيانات واستقرار الاتصال.

يحتوي هذا الحل على ناقص واحد فقط - لا تعمل جميع الأجهزة مع شبكة Wi-Fi بمعيار IEEE 802.11ac في النطاق 5 جيجاهرتز.

9. قم بتعطيل وظائف PING و Telnet و SSH و UPnP و HNAP

إذا كنت لا تعرف ما وراء هذه الاختصارات ، ولست متأكدًا من أنك ستحتاج بالتأكيد إلى هذه الوظائف ، فابحث عنها في إعدادات جهاز التوجيه وقم بتعطيلها. إذا أمكن ، بدلاً من إغلاق المنافذ ، حدد وضع التخفي(التخفي) ، والتي ، عند محاولة الوصول إليها من الخارج ، ستجعل هذه المنافذ "غير مرئية" ، وتتجاهل الطلبات و "الأصوات".

10. قم بتشغيل جدار الحماية الخاص بالموجه

إذا كان جهاز التوجيه الخاص بك يحتوي على جدار حماية مدمج ، فننصحك بتمكينه. بالطبع ، هذا ليس حصنًا للحماية المطلقة ، ولكن بالاشتراك مع أدوات البرمجيات(حتى مع وجود ملفات مدمجة جدار حماية Windows) إنه قادر على مقاومة الهجمات بشكل مناسب.

11. قم بإيقاف تشغيل تصفية عنوان MAC

على الرغم من أنه يبدو للوهلة الأولى أن القدرة على توصيل الأجهزة فقط بعناوين MAC محددة بالشبكة تضمن الأمان تمامًا ، إلا أن هذا ليس هو الحال في الواقع. علاوة على ذلك ، فهو يجعل الشبكة مفتوحة حتى لغير المتسللين ذوي الحيلة الكبيرة. إذا تمكن المهاجم من تتبع الحزم الواردة ، فسيحصل بسرعة على قائمة بعناوين MAC النشطة ، حيث يتم إرسالها دون تشفير في دفق البيانات. وتغيير عنوان MAC ليس مشكلة حتى لغير المحترفين.

12. التغيير إلى خادم DNS مختلف

بدلاً من استخدام خادم DNS الخاص بمزود خدمة الإنترنت ، يمكنك التبديل إلى بدائل مثل Google Public DNS أو OpenDNS. من ناحية ، يمكن أن يؤدي ذلك إلى تسريع تسليم صفحات الإنترنت ، ومن ناحية أخرى ، زيادة الأمان. على سبيل المثال ، يحظر OpenDNS الفيروسات و botnets وطلبات التصيد على أي منفذ وبروتوكول وتطبيق ، وبفضل الخوارزميات الخاصة القائمة على البيانات الكبيرة ، فإنه قادر على التنبؤ بمجموعة متنوعة من التهديدات والهجمات ومنعها. في الوقت نفسه ، يعد Google Public DNS مجرد خادم DNS عالي السرعة بدون ميزات إضافية.

13. تثبيت "البرامج الثابتة" البديلة

وأخيرًا ، هناك خطوة جذرية بالنسبة لشخص يفهم ما يفعله وهي تثبيت البرامج الثابتة التي لم تكتبها الشركة المصنعة لجهاز التوجيه الخاص بك ، ولكن من قِبل المتحمسين. كقاعدة عامة ، لا تعمل هذه "البرامج الثابتة" على توسيع وظائف الجهاز فقط (عادةً ما يتم إضافة دعم الوظائف الاحترافية مثل جودة الخدمة ووضع الجسر و SNMP وما إلى ذلك) ، بل تجعله أيضًا أكثر مقاومة للثغرات الأمنية - بما في ذلك بسبب غير قياسي.

من بين "البرامج الثابتة" الشهيرة مفتوحة المصدر تلك التي تعتمد على Linux

قبل بضع سنوات ، كانت الشبكات اللاسلكية المنزلية بسيطة جدًا وتتألف عادةً من نقطة وصول واثنين من أجهزة الكمبيوتر المستخدمة للوصول إلى الإنترنت ، التسوق عبر الانترنتأو الألعاب. لكن في عصرنا ، أصبحت الشبكات المنزلية أكثر تعقيدًا. يوجد الآن عدد كبير من الأجهزة المتصلة بالشبكة المنزلية ، والتي لا تستخدم فقط للوصول إلى الإنترنت أو مشاهدة الوسائط. في هذا المقال سنتحدث عن كيفية جعل شبكتك المنزلية آمنة لجميع أفراد الأسرة.

الأمن اللاسلكي

يحتوي كل منزل تقريبًا على شبكة لاسلكية (أو ما يسمى بشبكة Wi-Fi). تتيح لك هذه الشبكة توصيل أي جهاز بالإنترنت ، مثل الكمبيوتر المحمول أو الجهاز اللوحي أو وحدة التحكم في الألعاب. يتم التحكم في معظم الشبكات اللاسلكية بواسطة جهاز توجيه ، وهو جهاز يتم تثبيته بواسطة موفر خدمة الإنترنت لتوفير الوصول إلى الإنترنت. ولكن في بعض الحالات ، قد يتم التحكم في شبكتك بواسطة أنظمة منفصلة ، تسمى نقاط الوصول ، المتصلة بالموجه. بغض النظر عن النظام الذي تستخدمه أجهزتك للاتصال بالإنترنت ، فإن مبدأ تشغيل هذه الأنظمة هو نفسه: إرسال إشارات الراديو. يمكن للأجهزة المختلفة الاتصال بالإنترنت والأجهزة الأخرى الموجودة على شبكتك. هذا يعني أن أمان شبكتك المنزلية هو أحد المكونات الرئيسية لحماية منزلك. ننصحك باتباع هذه القواعد للحفاظ على أمان شبكتك المنزلية:
  • قم بتغيير كلمة مرور المسؤول التي حددتها الشركة المصنعة لجهاز توجيه الإنترنت أو نقطة الوصول. يسمح لك حساب المسؤول بإجراء تغييرات على إعدادات الشبكة. تكمن المشكلة في أن العديد من أجهزة التوجيه تأتي بمعيار جيد كلمات المرور المعروفةومن السهل العثور عليها عبر الإنترنت. لذلك ، يجب عليك تغيير كلمة مرور المصنع إلى كلمة مرور فريدة وقوية لا يعرفها أحد غيرك.
  • قم بتغيير اسم الشبكة التي حددتها الشركة المصنعة (تسمى أيضًا SSID). هذا هو الاسم الذي تراه أجهزتك عند البحث عن شبكتك اللاسلكية المنزلية. امنح شبكتك المنزلية اسمًا فريدًا يسهل التعرف عليه ولكنه لا يحتوي على أي معلومات شخصية. يعد تكوين شبكة على أنها "غير مرئية" شكلاً غير فعال من أشكال الحماية. يمكن لمعظم برامج فحص الشبكات اللاسلكية وأي متسلل ماهر العثور بسهولة على الشبكات "غير المرئية".
  • تأكد من أن الأشخاص الذين تثق بهم فقط هم الذين يمكنهم الاتصال بشبكتك وأن الاتصال مشفر. هذا سوف يساعد في تحسين الأمن. حاليا أكثر اتصال آمنهو WPA2. عند استخدامه ، يتم طلب كلمة مرور عند الاتصال بشبكة ، ويتم استخدام التشفير عند الاتصال. تأكد من أنك لا تستخدم طريقة قديمة مثل WEP أو تستخدم شبكة مفتوحة (والتي لا توفر أي حماية على الإطلاق). شبكة مفتوحةيسمح للجميع بالاتصال بشبكتك اللاسلكية دون مصادقة.
  • تأكد من أن الأشخاص يستخدمون كلمة مرور قوية للاتصال بشبكتك تختلف عن كلمة مرور المسؤول. تذكر أنك تحتاج فقط إلى إدخال كلمة المرور لكل جهاز تستخدمه مرة واحدة ، ويمكن للأجهزة تذكر كلمة المرور هذه وتخزينها.
  • تدعم معظم الشبكات اللاسلكية ما يعرف بشبكة الضيف. يسمح هذا للضيوف بالوصول إلى الإنترنت ، ولكن الشبكة المنزلية محمية في هذه الحالة ، حيث لا يمكن للضيوف الاتصال بالأجهزة المنزلية على شبكتك. إذا كنت تضيف شبكة ضيف ، فتأكد من أنك تستخدم WPA2 وأنه مؤمن بكلمة مرور فريدة وقوية.
  • قم بتعطيل Wi-Fi Protected Setup أو أي إعداد آخر يسمح لك بتوصيل أجهزة جديدة دون إدخال كلمة مرور أو خيارات تكوين أخرى.
  • إذا وجدت صعوبة في تذكر جميع كلمات المرور الخاصة بك ، فنحن نوصي بشدة باستخدام مدير كلمات المرور لتخزينها.
إذا كان لديك أي أسئلة حول العناصر المدرجة؟ انتقل إلى مزودي خدمة الإنترنت ، أو انظر إلى الإرشادات الخاصة بالموجه ، أو نقطة الوصول ، أو انظر إلى مواقع الويب الخاصة بمصنعيهم.

أمن أجهزتك

الخطوة التالية هي تحسين قائمة جميع الأجهزة المتصلة بالشبكة والتأكد من أمانها. كان من السهل القيام بذلك في الماضي عندما كان عدد قليل من الأجهزة متصلاً بالشبكة. ولكن في عالم اليوم ، يمكن "توصيل جميع الأجهزة دائمًا" بالشبكة ، بما في ذلك أجهزة التلفزيون ، لعب لوحات المفاتيحوكاميرات الأطفال ومكبرات الصوت والسخانات أو حتى السيارات. واحد من طرق بسيطةالكشف عن الأجهزة المتصلة لاستخدامها الماسح الضوئي للشبكة، على سبيل المثال Fing. يتيح لك هذا التطبيق ، بمجرد تثبيته على جهاز الكمبيوتر ، اكتشاف جميع الأجهزة المتصلة بالشبكة تمامًا. بعد اكتشاف جميع الأجهزة ، يجب أن تهتم بأمنها. أفضل طريقةضمان الأمان - قم بتحديث أنظمة التشغيل / البرامج الثابتة الخاصة بهم بانتظام. إذا كان ذلك ممكنا ، اضبط تحديث أوتوماتيكيالأنظمة. إذا كان من الممكن استخدام كلمة مرور لكل جهاز ، فاستخدم فقط كلمة مرور قوية وقوية. أخيرًا ، قم بزيارة موقع مزود خدمة الإنترنت للحصول على معلومات حول طرق مجانيةحماية شبكتك.

عن المؤلف

شيريل كونلي هي رئيسة التدريب على أمن المعلومات في شركة لوكهيد مارتن. إنها تستخدم The I Compaign TM لتدريب 100000 موظف في الشركة. تستخدم المنهجية بنشاط مجموعات التركيز داخل الشركة وتنسق البرنامج العالمي

في السابق ، كان بإمكان الكثيرين التحكم بطريقة أو بأخرى في وجود جهاز أو جهازين على شبكتهم ، ولكن الآن أصبح لدى المستخدمين المزيد والمزيد من الأجهزة. هذا يجعل التحكم الموثوق به صعبًا.

يؤدي تطور التكنولوجيا والاتصالات السلكية واللاسلكية إلى زيادة سريعة في منازل مستخدمي جميع أنواع الأجهزة التي يمكنها العمل مع الإنترنت. يشتري المستخدمون عن طيب خاطر الأجهزة التي تتفاعل مع الإنترنت للاستماع إلى راديو الإنترنت وتنزيل الموسيقى والأفلام والبرامج ، الكتب الإلكترونيةولأنشطة أخرى. وإذا كان بإمكان الكثير في وقت سابق التحكم بطريقة أو بأخرى في وجود جهاز أو جهازين على شبكتهم ، أصبح لدى المستخدمين الآن المزيد والمزيد من الأجهزة. هذا يجعل التحكم الموثوق به صعبًا. خاصة عندما تتكون العائلة من عدة مستخدمين تمكنوا من توصيل الأجهزة بالشبكة دون الاتفاق مع بعضهم البعض. يؤدي نقص المعرفة في مجال إعداد الشبكة المنزلية المختصة إلى حقيقة أنه يمكن التجسس على المستخدمين من الإنترنت رغماً عنهم (http://habrahabr.ru/post/189674/). أو العكس: يفقد المستخدمون القدرة على المراقبة عن بُعد عبر الإنترنت لما يحدث في مجال رؤية كاميرات IP الخاصة بهم بسبب Robin Hoods.

مع هذا المقال ، من الناحية المثالية ، أود زيادة معرفة القراءة والكتابة بين السكان في المنطقة التي يتم التعبير عنها. على أقل تقدير ، آمل أن توفر تجربتي الوقت والجهد لأولئك الذين فكروا منذ فترة طويلة في التعامل مع الفوضى الرقمية في شبكتهم المنزلية. وربما يكون مفيدًا لأولئك الذين يفكرون في كيفية تنظيم مسرحهم المنزلي بشكل صحيح.

في البداية ، واجهت موقفًا وصلت إليه قائمة المعدات في منزلي التي تحتاج إلى الإنترنت:

  1. 2 جهاز كمبيوتر (لي والآباء)
  2. تليفون محمول
  3. معدات المسرح المنزلي (خادم NAS Synology ، Dune Media Player)
  4. لوح
في محاولة لمعرفة كيفية التحكم في هذه الفوضى ، توصلت إلى نتيجة منطقية: أنا بحاجة إلى موجه لاسلكي. لم أكن أنوي إنفاق الكثير. من ناحية أخرى ، أوصلني التعطش للمعرفة إلى استنتاج أنه سيكون من الجيد اعتراض حركة المرور أجهزة مختلفةالتي تمكنت من خلالها بالفعل من إثراء ممتلكاتي الرقمية. أتساءل كيف يتواصلون مع خادم تحديث البرنامج هناك. لا "تقل" أي شيء لا لزوم له. يبدو أنه من الصعب الجمع بين هذه المتطلبات: إما أن يقفز السعر ، أو ستقع قطعة الحديد في اليدين ، والتي لا يمكن إعدادها بدون الكثير من الكتيبات. ولكي أكون صادقًا ، لم يكن هناك متسع من الوقت لمعرفة ذلك.

لكن في النهاية تمكنت من قتل عصفورين بحجر واحد. توقفت عند جهاز التوجيه اللاتفي Mikrotik 751G-2HnD. لم يتسبب في ضرر كبير لمحفظتي (تمامًا مثل فرحتي من الجهاز الذي اشتريته). وتمكنت من تغطية جميع احتياجاتي. بالنظر إلى المستقبل ، سأقول إن تجربتي مع هذه القطعة من الأجهزة كانت جيدة جدًا لدرجة أنني اشتريت شقيقه الأكبر Mikrotik 951G-2HnD في المكتب

يوضح الشكل 1 مخطط التوصيل العام لجميع الأجهزة.

الشكل رقم 1 مخطط عام لتوصيل الأجهزة في شبكتي المنزلية

سأضيف بعض التفسيرات للصورة. التلفزيون نفسه لا يتصل بالإنترنت. ببساطة لأنه لا يحتوي على كابل Ethernet (تم شراؤه مرة أخرى عندما). يتصل بكابل HDMI بمشغل وسائط (Dune HD Smart D1). والآن يمكن لـ Dune بث الفيديو على التلفزيون. على الرغم من بعض تخزين البيانات الكثيب ودعمها الوسائط القابلة للإزالة(بالإضافة إلى وجود عميل تورنت مدمج). يتم استخدامه فقط كمشغل وسائط. وبالفعل يتم استخدام Synology DS212j كمخزن للموسيقى والأفلام. يحتوي أيضًا على مكون إضافي للعمل مع شبكات Torrent. تم تكوين مجلد مشترك على هذا الجهاز ، حيث يتلقى Dune ملفات الوسائط للعرض. الكثبان الرملية و Synology متصلان عن طريق الاتصال بمفتاح عادي (تم تمييزه على أنه تبديل في الصورة). لم أكن بحاجة إلى أي ميزات من المحول ، لذلك اشتريت أول محول بأربعة منافذ ظهر.

يتم توصيل المحول وكلا جهازي الكمبيوتر بمنافذ Mikrotik المختلفة. يجب أن أقول إن والديّ عملوا بجدية على مسألة الحصول على الإنترنت في أجزاء مختلفة من الشقة في مرحلة الإصلاح. لذلك ، يتم وضع كبلات Ethernet في كل غرفة تقريبًا في الجدران. لذا فإن المعدات مبعثرة فعليًا في غرف مختلفة. وكابل Ethernet غير مرئي على الأرض أو السقف أو الجدران (والذي يمكن العثور عليه غالبًا في الشقق الأخرى). على الرغم من أنه في بعض الزوايا ، لا يوجد ما يكفي من أسلاك الكابلات. لذلك ، أنصح العائلات الشابة في المستقبل بالتفكير في هذه المسألة بعناية خاصة. بعد كل شيء ، شبكة Wi-Fi ليست دائمًا قرار جيد. لكن بشكل عام ، كل شيء مرتبط بشكل جميل.

لذا ، هيكل الشبكة واضح ، فلنبدأ بإعداد Mikrotik

الخطوات الأولى - نحن أصدقاء مع الإنترنت Mikrotik.

إعداد Mikrotikمع RouterOS v6.x ليس لديه مشاكل. من خلال WebFig ، في علامة التبويب Quick Set (الشكل 2) ، قم بتعيين عنوان IP الصادر عن الموفر (حسب ظروفك ، قم بالتسجيل بشكل ثابت ، أو قم بتعيين DHCP للاستلام تلقائيًا). إذا لزم الأمر ، يمكنك تغيير عنوان MAC الخاص بمنفذ WAN (إذا كان الموفر يربط إصدار IP بعنوان MAC الخاص بأحد أجهزتك ، على سبيل المثال ، جهاز التوجيه السابق). حدد المربعات كما هو موضح في الشكل 2

الشكل رقم 2 خطوات الإعداد الأولى

للحالة مع إصدار RouterOS< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.

إعداد الشبكة - النظرية

الشكل 3 - الصورة النهائية التي أحضرت إليها الشبكة.

الشكل رقم 3 الإعداد النهائي للشبكة

أولاً ، سأخبرك بما قمت بإعداده ، ثم سننتقل مباشرةً إلى الإعداد. يتم تكوين منفذ النقر على Mikrotik ، مما يسمح لك بالفتح بأمان على وقت محددالوصول من الإنترنت لإدارة Synology NAS من خلال متصفح. فجأة ، تريد وضع شيء ما على القفزة ، بحيث يمكنك تنزيله بالفعل عند عودتك إلى المنزل.

المفتاح متصل بالمنفذ 3 من جهاز التوجيه. لذلك ، لتسهيل التذكر ، يتم إصدار عناوين من الشبكة الفرعية 192.168.3.x إلى الشبكة بالكامل على هذا المنفذ

عنوان IP الخاص بـ Mikrotik للإدارة عبر واجهة الويب هو 192.168.5.1.

PC # 1 (192.168.5.100) متصل بالمنفذ 5 لجهاز التوجيه. يُسمح له بالوصول إلى الإنترنت وجميع الأجهزة الموجودة على الشبكة و Mikrotik - لتكوينه.

PC # 2 (192.168.4.100) متصل بالمنفذ 4 لجهاز التوجيه. يُسمح له بالوصول إلى الإنترنت ، إلى جميع الأجهزة الموجودة على الشبكة ، باستثناء جهاز Mikrotik (يجب أن يكون الملك بمفرده).

NAS Synology ، Dune - مسموح لها بالوصول إلى شبكة 192.168.3.x والإنترنت. كل شيء آخر محظور.

تتلقى الأجهزة المحمولة عنوانًا من شبكة 192.168.88.x ويمكنها الاتصال بالإنترنت وغيرها أجهزة محمولة. يحظر الاتصال بالشبكات الفرعية الأخرى. شبكة لاسلكيةتشفير WPA2.

بشكل عام ، يدعم Mikrotik Radius لترخيص الأجهزة الموجودة على الشبكة. يمكن استخدام نفس Synology كخادم Radius. لكنني لم أقوم بإعداده على هذا النحو. لن تتمكن جميع الأجهزة غير المعروفة لجهاز التوجيه من الاتصال بالإنترنت. سيساعد هذا في تجنب مواقف مثل مشاهدة مستخدمي التلفزيون.

من المستحسن للغاية أن يتصل الكمبيوتر الذي يتحكم في Mikrotik (في حالتي هو الكمبيوتر الشخصي رقم 1) مباشرة بـ Mikrotik ، بدون مفاتيح. هذا مفيد لمنع اعتراض معلمات وصول المسؤول (باستخدام هجوم man-in-the-middle ، باستخدام ميزات بروتوكول ARP) عند العمل مع Mikrotik من خلال واجهة الويب. في الواقع ، بشكل افتراضي ، تمر واجهة الويب الخاصة بـ Mikrotik عبر HTTP ، وهو مفتوح للتحليل. لدى Mikrotik القدرة على التبديل إلى HTTPS. ومع ذلك ، هذا خارج نطاق هذه المقالة ، لأنها مهمة منفصلة غير تافهة (لمسؤولي Mikrotik المبتدئين).

الآن بعد أن اكتشفنا ما نريد تحقيقه ، حان الوقت للانتقال إلى الجزء العملي.

إعداد الشبكة - الممارسة

نتصل بـ Mikrotik عبر واجهة الويب. في الفصل IP-> تجمع اضبط نطاق إصدار عناوين IP للشبكة 192.168.3.x (الشكل 4)

في الفصل IP-> خادم DHCP فاتورة غير مدفوعة DHCP اضغط الزر اضف جديد والربط بالمنفذ الفعلي رقم 3 إيثرنت ( ether3- الرقيق المحلي ) مجمع إصدار العنوان الذي تم إنشاؤه مسبقًا ( تجمع 3 ) (الأرز رقم 5)

في الفصل IP-> المسارات كتابة طريق ل شبكة جديدة(شكل رقم 7):

في الفصل واجهات يختار ether3- الرقيق المحلي وتغيير قيمة المعلمة ميناء رئيسي على لا أحد (الصورة رقم 8)

في الفصل IP-> العناوين إنشاء بوابة 192.168.3.1 للشبكة 192.168.3.0/24 للميناء ether3- الرقيق المحلي (الأرز رقم 9)

يتم تكوين جميع الشبكات الفرعية الأخرى الموجودة على المنافذ الفعلية المتبقية في Mikrotik بنفس الطريقة.

تم إنشاء الشبكة الفرعية. يمكن الآن للأجهزة المتصلة بمنفذ Ethernet رقم 3 العمل مع الإنترنت والشبكات الفرعية الأخرى للشبكة المنزلية. حان الوقت للسماح بما نحتاجه وحظر كل ما هو غير مسموح به في القسم IP-> جدار الحماية فاتورة غير مدفوعة قواعد التصفية .

باستخدام الزر اضف جديد أنشئ القواعد التالية:

نقوم بإنشاء قواعد تسمح بالوصول إلى Mikrotik من جهاز الكمبيوتر رقم 1 ( 192.168.5.1 ) ، نحظر الباقي

Chain = إدخال Src.address = 192.168.5.100 Dst.address = 192.168.5.1 الإجراء = قبول

السلسلة = عمل الإدخال = إسقاط

نسمح لجهاز Synology NAS "بالاتصال" بالإنترنت فقط ، واستثني الشبكة المحلية (192.168.0.0/16):

سلسلة = عنوان Src للأمام = 192.168.3.201 Dst.address =! 192.168.0.0/16 الإجراء = قبول

إعدادات مشابهة لـ Dune media player:

سلسلة = عنوان Src للأمام = 192.168.3.200 Dst.address =! 192.168.0.0/16 الإجراء = قبول

نسمح لكلا جهازي الكمبيوتر "بالاتصال" بالإنترنت وجميع الشبكات الفرعية للشبكة المنزلية:

السلسلة = عنوان Src للأمام = 192.168.5.100 Dst.address = 0.0.0.0/0 الإجراء = إسقاط

السلسلة = عنوان Src للأمام = 192.168.4.100 Dst.address = 0.0.0.0/0 الإجراء = إسقاط

نسمح للأجهزة من شبكة 192.168.3.x (حيث NAS Synology و Dune) بإنشاء اتصالات بدأها الكمبيوتر الشخصي رقم 1

سلسلة = عنوان Src للأمام = 192.168.3.0 / 24 Dst.address = 192.168.5.100 حالة الاتصال = تم إنشاؤه ، الإجراء = قبول

بالنسبة لأي شخص آخر ، نحظر حركة المرور الصادرة إلى الإنترنت وفي الشبكة الفرعية لشبكتنا:

السلسلة = عنوان Src للأمام = 192.168.0.0 / 16 Dst.address = 0.0.0.0 / 0 الإجراء = قطرة

لتنفيذ طرق طرق المنفذ ، اتبع القواعد التالية:

chain = إجراء الإدخال = بروتوكول add-src-to-address-list = icmp src-address-list = ICMP_SSH_128_stage1 address-list = white_list_NAS address-list-timeout = 1h in-inter-packet-size = 128

Chain = إجراء الإدخال = بروتوكول add-src-to-address-list = icmp src-address-list = ICMP_SSH_98_stage2 address-list = ICMP_SSH_128_stage1 address-list-timeout = 1m in-inter-packet-size = 128

Chain = إجراء الإدخال = بروتوكول add-src-to-address-list = icmp src-address-list = ICMP_SSH_98_stage1 address-list = ICMP_SSH_98_stage2 address-list-timeout = 1m in-inter-packet-size = 98

Chain = إجراء الإدخال = بروتوكول add-src-to-address-list = icmp address-list = ICMP_SSH_98_stage1 address-list-timeout = 1m in-inter-packet-size = 98

من يهتم بسبب كتابتها بهذه الطريقة ، يمكنهم قراءة (http://habrahabr.ru/post/186488/)

الآن "طرق" لدينا حاسب يستخدم عن بعدستتم إضافته إلى قائمة المسموح بها لمدة ساعة واحدة ( white_list_NAS). ولكن هذا ليس كل شيء. لكي تتمكن من الوصول إلى واجهة الويب Synology ، تحتاج إلى تكوين إعادة توجيه المنفذ لهذه القائمة ( white_list_NAS)

يتم ذلك في القسم IP-> جدار الحماية فاتورة غير مدفوعة نات . لنقم بإنشاء قاعدة:

chain = dstnat protocol = tcp Dst.port = 5000 قائمة عناوين Src = white_list_NAS action = dst-nat to address = 192.168.3.201 إلى المنافذ = 5000

الآن ، من خلال اختبار الاتصال بطريقة معينة ، سنتمكن من الوصول إلى NAS (الشكل 10)

هذا يكمل الإعداد. إذا كان كل شيء صحيحًا ، في النهاية لدينا في القسمIP-> جدار الحماية فاتورة غير مدفوعة قواعد التصفية تحصل على صورة كما في الشكل 11

فحص التكوين

دعنا نتصل عبر SSH بخادم NAS (192.168.3.201) ونتتبع للكمبيوتر الشخصي رقم 1 (192.168.5.100) والكثبان الرملية (192.168.3.200) - الشكل رقم 12

الشكل رقم 12 نتائج NAS

نرى أنه عند التتبع إلى الكمبيوتر الشخصي رقم 1 ، تمر الحزم عبر 192.168.3.1 ولا تصل إلى الهدف. والحزم تذهب مباشرة إلى الكثبان الرملية. في نفس الوقت ، تنتقل الأصوات إلى الإنترنت بشكل طبيعي (في هذه الحالة ، إلى العنوان 8.8.8.8).

ومن الكمبيوتر الشخصي رقم 1 (192.168.5.100) إلى NAS (192.168.3.201) التتبع ناجح (الشكل رقم 13).

الشكل رقم 13 تتبع مع الكمبيوتر رقم 1

ويوضح الشكل 14 ما يحدث على جهاز كمبيوتر متصل بالشبكة وبعد ذلك لم يتم وضع قواعد بخصوصه في جدار الحماية Mikrotik. نتيجة لذلك ، لا يمكن لهذا الكمبيوتر الاتصال بالإنترنت أو مع الأجهزة الأخرى الموجودة على الشبكات الفرعية الأخرى للشبكة المحلية.

الشكل رقم 14 ناتج عن توصيل جهاز كمبيوتر شخصي جديد بالشبكة

الاستنتاجات

تمكنا من إنشاء شبكتنا المنزلية ، والجمع بين راحة العمل مع الأجهزة الموجودة على الشبكة دون التضحية بالأمان. تم حل المهام التالية:

  1. يمكن تكوين Mikrotik عبر واجهة الويب فقط مع الكمبيوتر الشخصي رقم 1
  2. يمكن لـ Synilogy NAS و Dune تلقي البيانات من الإنترنت ، ولكن لا يمكن الوصول إلى الأجهزة الموجودة على الشبكات الفرعية الأخرى. لذلك ، حتى إذا كانت البرامج الثابتة الخاصة بهم تحتوي على أبواب خلفية للمطورين أو وكالة الأمن القومي أو أي شخص آخر ، فكل ما يمكنهم معرفته هو فقط عن بعضهم البعض (حول NAS Synilogy أو Dune)
  3. نفذت آمنة الوصول عن بعدمن أي مكان على الإنترنت للتثبيت في المنزل للتنزيل لـ NAS Synilogy البرامج الضرورية
  4. الأجهزة غير المصرح بها المتصلة بالشبكة لها حق الوصول فقط داخل الشبكة الفرعية التي تتصل بها ولا يمكنها نقل البيانات إلى الإنترنت.

تحميل...
قمة