Днес почти всеки апартамент има домашна мрежа, към която се свързват стационарни компютри, лаптопи, хранилища за данни (NAS), медийни плейъри, смарт телевизорикакто и смартфони, таблети и други носими устройства. Използват се или кабелни (Ethernet), или безжични (Wi-Fi) връзки и TCP/IP протоколи. С развитието на технологиите Internet of Things в Мрежата навлязоха и домакински уреди – хладилници, кафемашини, климатици, дори електроинсталационно оборудване. Благодарение на решенията Smart Home можем да контролираме яркостта на осветлението, да регулираме дистанционно микроклимата в помещенията, да включваме и изключваме различни уреди - това значително улеснява живота, но може да създаде сериозни проблеми на собственика на съвременни решения.
За съжаление разработчиците подобни устройствадокато не се грижат достатъчно за сигурността на продуктите си, а броят на откритите в тях уязвимости расте като гъби след дъжд. Не е необичайно устройството да спре да се поддържа след навлизане на пазара - например нашият телевизор има фърмуер от 2016 г., базиран на Android 4, и производителят няма да го актуализира. Гостите също добавят проблеми: неудобно е да им се откаже достъп до Wi-Fi, но също така не бих искал да пусна никого в моята уютна мрежа. Кой знае какви вируси могат да се заселят в мобилните телефони на други хора? Всичко това ни води до необходимостта от разделяне на домашната мрежа на няколко изолирани сегмента. Нека се опитаме да разберем как да го направим, както се казва, с малко кръвопролитие и с най-малко финансови разходи.
Изолиране на Wi-Fi мрежи
В корпоративните мрежи проблемът се решава просто - има управлявани комутатори с поддръжка на виртуални локални мрежи (VLAN), различни рутери, защитни стении безжични точки за достъп - можете да изградите необходимия брой изолирани сегменти за няколко часа. С помощта на устройството Traffic Inspector Next Generation (TING) например задачата се решава само с няколко клика. Достатъчно е да свържете комутатора на мрежовия сегмент за гости към отделен Ethernet порт и да създадете правила на защитната стена. За дома тази опция не е подходяща поради високата цена на оборудването - най-често нашата мрежа се управлява от едно устройство, което комбинира функциите на рутер, комутатор, безжична точка за достъп и Бог знае какво още.
За щастие съвременните домакински рутери (въпреки че би било по-правилно да ги наричаме интернет центрове) също станаха много умни и почти всички от тях, с изключение може би на много евтини, имат способността да създават изолирана стая за гости. wifi мрежа. Надеждността на тази изолация е въпрос за отделна статия, днес няма да изследваме фърмуера на домакинските устройства различни производители. Като пример, нека вземем ZyXEL KeeneticЕкстра II. Сега тази линия се нарича просто Keenetic, но в ръцете ни попадна устройство, пуснато под марката ZyXEL.
Настройката чрез уеб интерфейса няма да създаде трудности дори за начинаещи - няколко кликвания и имаме отделна безжична мрежа със собствен SSID, WPA2 защита и парола за достъп. Можете да пуснете гости в него, както и да включите телевизори и плейъри с фърмуер, който не е актуализиран от дълго време или други клиенти, на които нямате особено доверие. В повечето устройства от други производители тази функция, повтаряме, също присъства и се активира по същия начин. Ето как например се решава проблемът във фърмуера D-Link рутерис помощта на съветника за настройка.
Можете да добавите мрежа за гости, когато устройството вече е конфигурирано и работи.
Екранна снимка от сайта на производителя
Екранна снимка от сайта на производителя
Изолиране на Ethernet мрежи
В допълнение към клиентите, свързващи се с безжичната мрежа, може да срещнем устройства с кабелен интерфейс. Експертите ще кажат, че така наречените VLAN се използват за създаване на изолирани Ethernet сегменти - виртуални локални мрежи. Някои домашни рутери поддържат тази функционалност, но тук задачата става по-сложна. Бих искал не просто да направя отделен сегмент, трябва да комбинираме портове за кабелна връзка с безжична мрежа за гости на един рутер. Това далеч не е трудно за всяко домакинско устройство: повърхностен анализ показва, че в допълнение към рутерите на Keenetic, моделите на MikroTik могат също да добавят Ethernet портове към сегмент за гости, който е свързан към Wi-Fi мрежа, но процесът на настройката им не е толкова очевидно. Ако говорим за домашни рутери със сравнима цена, само Keenetic може да реши проблема с няколко кликвания в уеб интерфейса.
Както можете да видите, тестваният лесно се справи с проблема и тук си струва да обърнете внимание на друга интересна функция - можете също да изолирате безжичните клиенти на мрежата за гости един от друг. Това е много полезно: смартфонът на вашия приятел, заразен със зловреден софтуер, ще бъде онлайн, но той няма да може да атакува други устройства дори в мрежата за гости. Ако вашият рутер има подобна функция, определено трябва да го активирате, въпреки че това ще ограничи възможността за взаимодействие с клиента - например вече няма да е възможно да се сприятелявате с телевизор с медиен плейър чрез Wi-Fi, ще трябва да използвате кабелна връзка. На този етап нашата домашна мрежа изглежда по-сигурна.
Какъв е резултатът?
Броят на заплахите за сигурността нараства от година на година и производителите на смарт устройства не винаги обръщат достатъчно внимание на навременното пускане на актуализации. В такава ситуация имаме само един изход - диференциране на клиентите домашна мрежаи създаване на изолирани сегменти за тях. За да направите това, не е нужно да купувате оборудване за десетки хиляди рубли, сравнително евтин домакински интернет център може лесно да се справи със задачата. Тук бих искал да предупредя читателите да не купуват бюджетни устройства. Вече почти всички производители имат горе-долу еднакъв хардуер, но качеството на вградения софтуер е много различно. Както и продължителността на цикъла на поддръжка за пуснатите модели. Дори и с доста проста задача за комбиниране на кабелна и безжична мрежа в изолиран сегмент, не всеки домашен рутер може да се справи с нея и може да имате по-сложни. Понякога трябва да конфигурирате допълнителни сегменти или DNS филтриране за достъп само до защитени хостове, в големи стаи трябва да свържете Wi-Fi клиенти към мрежата за гости чрез външни точки за достъп и т.н. и така нататък. В допълнение към проблемите със сигурността има и други проблеми: обществени мрежие необходимо да се осигури регистрация на клиенти в съответствие с изискванията на Федерален закон № 97 „За информацията, информационните технологии и защитата на информацията“. Евтините устройства са в състояние да решат такива проблеми, но не всички - функционалностВграденият софтуер, който имат, повтаряме, е много различен.
PNST301-2018/ISO/IEC 24767-1:2008
ПРЕДВАРИТЕЛЕН НАЦИОНАЛЕН СТАНДАРТ НА РУСКАТА ФЕДЕРАЦИЯ
Информационни технологии
СИГУРНОСТ НА ДОМАШНАТА МРЕЖА
Изисквания за безопасност
информационни технологии. сигурност на домашната мрежа. Част 1 Изисквания за сигурност
OKS 35.110, 35.200,35.240.99
Валидна от 2019-02-01
Предговор
Предговор
1 ИЗГОТВЕНО ОТ Федералната държавна бюджетна образователна институция висше образование"Руски икономически университет "Плеханов" (Руски икономически университет "Плеханов") въз основа на собствен превод на руски език на английската версия на международния стандарт, посочен в параграф 4
2 ВЪВЕДЕНО от Техническия комитет по стандартизация TC 22 "Информационни технологии"
3 ОДОБРЕНО И ВЪВЕДЕНО В ДЕЙСТВИЕ със заповед на Федералната агенция за техническо регулиране и метрология от 4 септември 2018 г. N38-pnst
4Този стандарт е идентичен на ISO/IEC 24767-1:2008* Международен стандарт „Информационни технологии – Сигурност на домашна мрежа – Част 1: Изисквания за сигурност“ (ISO/IEC 24767-1:2008, „Информационни технологии – Сигурност на домашна мрежа – Част 1“ : Изисквания за сигурност", IDT)
________________
* Достъп до посочените по-долу в текста международни и чуждестранни документи можете да получите, като кликнете върху връзката към сайта. - Бележка на производителя на базата данни.
Правилата за прилагане на този стандарт и неговото наблюдение са установени вГОСТ Р 1.16-2011 (раздели 5 и 6).
Федералната агенция за техническо регулиране и метрология събира информация за практическото приложение на този стандарт. Тази информация, както и коментари и предложения по съдържанието на стандарта, могат да се изпращат не по-късно от 4 месеца преди изтичането на срока на валидност до разработчика на този стандарт на адрес: 117997 Москва, Stremyanny pereulok, 36, Федерална държавна бюджетна образователна институция за висше образование "REUкръстен на Г. В. Плеханов„и до Федералната агенция за техническо регулиране и метрология на адрес: 109074 Москва, Китайгородски проезд, 7, сграда 1.
В случай на отмяна на този стандарт, съответната информация ще бъде публикувана в месечния информационен индекс „Национални стандарти“ и също ще бъде публикувана на официалния уебсайт на Федералната агенция за техническо регулиране и метрология в Интернет (www.gost.ru)
Въведение
ISO (Международна организация по стандартизация) и IEC (Международна електротехническа комисия) образуват специализирана система за световна стандартизация. Националните органи, които са членове на ISO или IEC, участват в разработването на международни стандарти чрез технически комитети. Всеки заинтересован орган, който е член на ISO или IEC, може да участва в разработването на стандарт в определена област. В работата участват и други международни организации, правителствени и неправителствени, които имат контакт с ISO и IEC.
В района информационни технологии ISO и IEC създадоха Съвместен технически комитет на ISO/IEC JTC 1. Проектите на международни стандарти, изготвени от Съвместния технически комитет, се разпространяват до националните комитети за гласуване. Публикуването като международен стандарт изисква одобрение от най-малко 75 % от националните комитети, участващи в гласуването.
Официални решения или споразумения на IEC и ISO относно технически въпросиизразяват, доколкото е възможно, международен консенсус по съответните въпроси, тъй като всеки технически комитет има представители от всички заинтересовани национални органи-членки на IEC и ISO.
Публикациите на IEC, ISO и ISO/IEC са под формата на препоръки за международна употреба и се приемат от националните комитети-членки на IEC и ISO в този смисъл. Въпреки че са положени всички усилия, за да се гарантира точността на техническото съдържание на публикациите на IEC, ISO и ISO/IEC, IEC или ISO не поемат никаква отговорност за начина, по който се използват, или за каквото и да е погрешно тълкуване от крайния потребител.
За да осигурят международна хармонизация (единна система), националните комитети на IEC и ISO се ангажират да осигурят максимална прозрачност при прилагането на международните стандарти IEC, ISO и ISO/IEC, доколкото националните и регионалните условия на дадена страна позволяват. Всяко несъответствие между публикациите на ISO/IEC и съответните национални или регионални стандарти трябва да бъде ясно посочено в последните.
ISO и IEC нямат процедури за маркиране и не носят отговорност за оборудване, за което се твърди, че съответства на един от стандартите на ISO/IEC.
Всички потребители трябва да се уверят, че използват най-новото издание на тази публикация.
IEC или ISO, тяхното ръководство, служители, служители или представители, включително отделни експерти и членове на техните технически комитети и членове на националните комитети на IEC или ISO, не носят отговорност за злополуки, щети на имущество или други щети, преки или косвени, или за разходи (включително правни разходи), възникнали във връзка с публикуването или използването на тази публикация на ISO/IEC или на друга публикация на IEC, ISO или ISO/IEC.
Нормативната документация, цитирана в тази публикация, изисква специално внимание.Използването на референтни документи е необходимо за правилното прилагане на тази публикация.
Обръща се внимание на факта, че някои елементи от този международен стандарт могат да бъдат обект на патентни права. ISO и IEC не носят отговорност за определяне на някои или всички такива патентни права.
Международният стандарт ISO/IEC 24767-1 е разработен от Подкомитет 25, Взаимна връзка на оборудването за информационни технологии, на Съвместния технически комитет 1 на ISO/IEC, Информационни технологии.
Списък на всички налични в момента части от серията ISO/IEC 24767 под общото заглавие „Информационни технологии – Сигурност на домашната мрежа“ е достъпен на уебсайта на IEC.
1 област на използване
Този международен стандарт определя изискванията за защита на домашна мрежа от вътрешни или външни заплахи. Стандартът служи като основа за разработването на системи за сигурност, които защитават вътрешната среда от различни заплахи.
Изискванията за сигурност се разглеждат в този международен стандарт по сравнително неформален начин.Въпреки че много от темите, обсъждани в този международен стандарт, служат като насоки за разработване на системи за сигурност както за интранет, така и за интернет, те са по естеството на неофициални изисквания.
Различни устройства са свързани към вътрешната (домашна) мрежа (вижте Фигура 1). Устройствата за „мрежа на домакински уреди“, устройствата за „аудио/видео развлечение“ и устройствата за „информационно приложение“ имат различни функции и производителност. Този международен стандарт предоставя средства за анализиране на рисковете на всяко устройство, свързано към мрежата, и определяне на изискванията за сигурност за всяко устройство.
2 Термини, определения и съкращения
2.1 Термини и определения
В този стандарт се прилагат следните термини и определения:
2.1.1 потребителска електроника(кафяви стоки): Аудио/видео устройства, които се използват предимно за развлекателни цели, като телевизор или DVD рекордер.
2.1.2конфиденциалност(конфиденциалност): Свойство, което гарантира, че информацията не е достъпна или разкрита на неоторизирани лица, организации или процеси.
2.1.3 удостоверяване на данните(удостоверяване на данни): Услуга, използвана за гарантиране, че заявеният източник на данни е правилно проверен.
2.1.4 целостта на данните(цялост на данните): Свойство, което потвърждава, че данните не са били модифицирани или унищожени по неоторизиран начин.
2.1.5 удостоверяване на потребителя(удостоверяване на потребител): Услуга за гарантиране, че информацията за самоличност, представена от участник в комуникацията, е правилно потвърдена, докато услугата за оторизация гарантира, че идентифицираният и оторизиран потребител има достъп до конкретно устройствоили приложение за домашна мрежа.
2.1.6 уреди(бяла техника): Уреди, използвани в бита, като климатик, хладилник и др.
2.2 Съкращения
В този стандарт се използват следните съкращения:
3 Съответствие
Този стандарт съдържа насокибез никакви изисквания за съответствие.
4 Изисквания за сигурност за вътрешни домашни електронни системи и мрежи
4.1 Общи положения
С бързото развитие на Интернет и свързаните с него мрежови технологии стана възможно да се установи комуникация между компютри в офиси и домове с външния свят, което осигурява достъп до много ресурси. Днес технологиите, които бяха в основата на този успех, са достигнали домовете ни и предоставят възможност за свързване на уреди по същия начин, както персонални компютри. По този начин те не само позволяват на потребителите да наблюдават и контролират своите домакински уреди от дома и извън дома, но също така създават нови услуги и възможности, като дистанционно управление домакински уредии нейното обслужване. Това означава, че обичайното компютърна средау дома се трансформира във вътрешна домашна мрежа, свързваща много устройства, чиято сигурност също трябва да бъде гарантирана.
Жителите, потребителите и собствениците както на дома, така и на системата трябва да се доверят на домашната електронна система. Целта на сигурността на дома електронна система- осигуряване на доверие в системата. Тъй като много компоненти на домашната електронна система работят непрекъснато, 24 часа в денонощието и автоматично обменят информация с външния свят, информационната сигурност е необходима, за да се гарантира поверителността, целостта и наличността на данните и системата.Правилно внедрено решение за сигурност предполага, например, че достъпът до системата и съхраненото, че само оторизирани потребители и процеси получават данни на вход и изход, и че само оторизирани потребители могат да използват и правят промени в системата.
Изискванията за сигурност за HES мрежа могат да бъдат описани по няколко начина. Този стандарт е ограничен до ИТ сигурността на HES мрежата. Сигурността на информационните технологии обаче трябва да надхвърли самата система, тъй като домът трябва да функционира, макар и с ограничени възможности, в случай на повреда на ИТ системата.Разузнаването, което обикновено се поддържа от HES мрежата, може също да се извършва, когато системата се свързва са счупени. В такива случаи може да се разбере, че има изисквания за сигурност, които не могат да бъдат част от самата система, но системата не трябва да забранява прилагането на решения за архивиране.
Има редица хора, които се интересуват от проблемите на сигурността. Една домашна електронна система трябва да се ползва с доверие не само от жителите и собствениците, но и от доставчиците на услуги и съдържание. Последните трябва да гарантират, че предлаганите от тях услуги и съдържание се използват само по разрешения начин. Въпреки това, една от основите на сигурността на системата е, че определен администратор на услуга за сигурност трябва да отговаря за нея. Очевидно е, че такава отговорност трябва да бъде възложена на обитателите (собствениците на системата). Няма значение дали администраторът го прави лично или го възлага на външни изпълнители. Във всеки случай отговорен е администраторът по сигурността. Въпросът за доверието на доставчиците на услуги и съдържание в домашната електронна система и тяхната увереност, че потребителите използват правилно техните услуги и съдържание, се определя от договорните задължения между страните. Договорът, например, може да изброява характеристиките, компонентите или процесите, които домашната електронна система трябва да поддържа.
Архитектурата на домашната електронна система е различна за различни видовекъщи. За всеки модел може да има специфичен набор от изисквания за сигурност. По-долу е дадено описание на три различни модела домашни електронни системи с различни набори от изисквания за сигурност.
Очевидно някои изисквания за сигурност са по-важни от други. По този начин е ясно, че подкрепата за някои контрамерки ще бъде незадължителна. Освен това контрамерките могат да варират по качество и цена. Освен това може да са необходими различни умения за управление и поддържане на такива противодействия. Този международен стандарт се опитва да изясни обосновката зад изброените изисквания за сигурност и по този начин да позволи на проектантите на домашни електронни системи да определят кои функции за сигурност трябва да поддържа дадена домашна система и, предвид изискванията за качество и усилията за управление и поддръжка, кой механизъм трябва да бъде избран за тези характеристики .
Изискванията за сигурност на вътрешна мрежа зависят от дефиницията за сигурност и „дом“, както и от това какво се разбира под „мрежа“ в този дом. Ако мрежата е просто канал, който свързва единичен компютър с принтер или кабелен модем, тогава за да защитите домашна мрежа, е достатъчно да защитите този канал и оборудването, което свързва.
Въпреки това, ако има десетки, ако не и стотици мрежови устройства в домейн, като някои принадлежат на цялото домакинство, а други принадлежат на хора в дома, ще трябва да се въведат по-сложни мерки за сигурност.
4.2 Сигурност на домашната електронна система
4.2.1 Определяне на домашната електронна система и сигурността на системата
Домашната електронна система и мрежа може да се определи като набор от елементи, които обработват, предават, съхраняват и управляват информация, позволявайки комуникация и интеграция на много компютърни устройства, както и устройства за контрол, наблюдение и комуникация, разположени в къщата.
В допълнение, домашните електронни системи и мрежи осигуряват взаимовръзка между развлекателни и информационни устройства, както и устройства за комуникация и сигурност и домакински уреди, налични в дома. Такива устройства и устройства ще обменят информация, те могат да бъдат контролирани и управлявани, докато сте в къщата или дистанционно. Съответно, всички вътрешни домашни мрежи ще се нуждаят от някои механизми за сигурност, за да защитят ежедневните си операции.
Мрежовата и информационната сигурност може да се разбира като способността на мрежа или информационна система да устои на случайни събития или злонамерени действия на определено ниво. Такива събития или дейности могат да застрашат наличността, автентичността, автентичността и поверителността на съхранените или предадени данни, както и свързаните с тях услуги, предлагани чрез такива мрежи и системи.
Инцидентите на информационната сигурност могат да бъдат групирани в следните групи:
Имейлът може да бъде прихванат, данните могат да бъдат копирани или променени. Това може да причини щети, причинени както от нарушаване на правото на личен живот, така и от злоупотреба с прихванати данни;
Неоторизиран достъп до компютър и вътрешни компютърни мрежи обикновено се извършва със злонамерено намерение за копиране, модифициране или унищожаване на данни и може да обхване автоматично оборудване и системи, разположени в дома;
Злонамерените атаки в интернет са станали нещо обичайно и телефонната мрежа също може да стане по-уязвима в бъдеще;
Злонамерен софтуер, като вируси, могат да деактивират компютри, да изтрият или модифицират данни или да препрограмират домакински уреди. Някои вирусни атаки са били доста разрушителни и скъпи;
Невярно представяне на информация за лица или юридически лицаможе да причини значителна вреда, като например клиенти да изтеглят злонамерен софтуер от уебсайт, маскиран като доверен източник, договори могат да бъдат прекратени и поверителна информация може да бъде изпратена до грешни получатели;
много инциденти информационна сигурностсвързани с непредвидени и непредвидени събития като природни бедствия (наводнения, бури и земетресения), хардуерни или софтуерни повреди и човешка грешка.
С разпространението на широколентовия достъп до интернет и джобните джаджи безжичните рутери (рутери) станаха изключително популярни. Такива устройства могат да предават сигнал чрез Wi-Fi протокола както на стационарни компютри, така и на мобилни устройства - смартфони и таблети - докато честотна лентаканалът е напълно достатъчен за едновременното свързване на няколко потребителя.
Днес има безжичен рутер в почти всеки дом, където има инсталиран широколентов интернет. Въпреки това, не всички собственици на такива устройства мислят за факта, че с настройките по подразбиране те са изключително уязвими за нарушители. И ако смятате, че не правите нищо в интернет, което може да ви навреди, помислете за факта, че прихващайки сигнала на локалната безжична мрежа, хакерите могат да получат достъп не само до личната ви кореспонденция, но и до банковата ви сметка, официален документи и всякакви други файлове.
Хакерите може да не се ограничават само до проверката на паметта на вашите собствени устройства - съдържанието им може да даде указания за мрежите на вашата компания, вашите роднини и приятели, за данни на всички видове търговски и държавни информационни системи. Освен това, чрез вашата мрежа и от ваше име, нападателите могат да извършват масивни атаки, хакове, незаконно да разпространяват медийни файлове и софтуер и да участват в други престъпни дейности.
Междувременно, за да се предпазите от подобни заплахи, трябва да следвате само няколко прости правилакоито са разбираеми и достъпни дори за тези, които нямат специални познания в областта компютърни мрежи. Каним ви да се запознаете с тези правила.
1. Променете данните за администратора по подразбиране
За да получите достъп до настройките на вашия рутер, трябва да отидете в неговия уеб интерфейс. За да направите това, трябва да знаете неговия IP адрес в локална мрежа(LAN), както и администраторското име и парола.
Вътрешният IP адрес на рутера по подразбиране по правило е 192.168.0.1, 192.168.1.1, 192.168.100.1 или например 192.168.123.254 - винаги е посочен в хардуерната документация. Входът и паролата по подразбиране обикновено също се съобщават в документацията или могат да бъдат получени от производителя на рутера или вашия доставчик на услуги.
Въведете IP адреса на рутера в адресната лента на браузъра и в прозореца, който се показва, въведете потребителското име и паролата. Уеб интерфейсът на рутера ще се отвори пред нас с голямо разнообразие от настройки.
Ключов елемент от сигурността на домашната мрежа е възможността за промяна на настройките, така че не забравяйте да промените всички администраторски данни по подразбиране, защото те могат да се използват в десетки хиляди копия на същите рутери като вас. Намираме подходящия елемент и въвеждаме нови данни.
В някои случаи възможността за произволна промяна на администраторските данни е блокирана от доставчика на услугата и тогава ще трябва да се свържете с тях за помощ.
2. Задайте или променете пароли за LAN достъп
Ще се смеете, но все още има случаи, когато щедър собственик на безжичен рутер организира отворена точка за достъп, към която всеки може да се свърже. Много по-често за домашната мрежа се избират псевдо-пароли като „1234“ или някои банални думи, посочени по време на мрежовата инсталация. За да сведете до минимум шанса някой лесно да влезе във вашата мрежа, трябва да измислите истинска дълга парола от букви, цифри и символи и да зададете нивото на криптиране на сигнала - за предпочитане WPA2.
3. Деактивирайте WPS
Технологията WPS (Wi-Fi Protected Setup) ви позволява бързо да установите защитена безжична комуникациямежду съвместими устройства без подробни настройки, но само чрез натискане на съответните бутони на рутера и притурката или чрез въвеждане на цифров код.
Междувременно тази удобна система, обикновено активирана по подразбиране, има една слаба точка: тъй като WPS не отчита броя на опитите за въвеждане на грешен код, тя може да бъде хакната чрез "груба сила" чрез просто изброяване с помощта на най-простите помощни програми. Ще отнеме от няколко минути до няколко часа, за да проникнете във вашата мрежа чрез WPS кода, след което няма да е трудно да изчислите паролата за мрежата.
Следователно намираме съответния елемент в "административния панел" и деактивираме WPS. За съжаление извършването на промени в настройките не винаги наистина ще деактивира WPS, а някои производители изобщо не предоставят такава опция.
4. Променете името на SSID
SSID (Service Set Identifier) е името на вашата безжична мрежа. Именно той се „запомня“ от различни устройства, които, когато разпознаят името и имат необходимите пароли, се опитват да се свържат с локалната мрежа. Така че, ако запазите името по подразбиране, зададено например от вашия интернет доставчик, тогава има шанс вашите устройства да се опитат да се свържат с много близки мрежи със същото име.
Освен това рутер, излъчващ стандартен SSID, е по-уязвим за хакери, които ще знаят приблизително неговия модел и нормални настройки и ще могат да атакуват конкретни слаби местатакава конфигурация. Затова изберете възможно най-уникално име, което не казва нищо за доставчика на услуги или производителя на оборудването.
В същото време често срещаният съвет за скриване на излъчването на SSID, а тази опция е стандартна за по-голямата част от рутерите, всъщност е несъстоятелен. Факт е, че всички устройства, които се опитват да се свържат с вашата мрежа, във всеки случай ще преминат през най-близките точки за достъп и могат да се свържат към мрежи, специално „поставени“ от нарушители. С други думи, като скриете SSID, само затруднявате живота си.
5. Променете IP на рутера
За да затрудните още повече неоторизиран достъп до уеб интерфейса на рутера и неговите настройки, променете вътрешния IP адрес (LAN) по подразбиране в тях.
6. Деактивирайте дистанционното администриране
За удобство техническа поддръжка(предимно) много потребителски рутери имат функция отдалечено администриране, с което настройките на рутера стават достъпни през интернет. Ето защо, ако не искаме проникване отвън, по-добре е да деактивираме тази функция.
В същото време обаче остава възможно да влезете в уеб интерфейса чрез Wi-Fi, ако нападателят е в полето на вашата мрежа и знае данните за вход и парола. Някои рутери имат функция за ограничаване на достъпа до панела само когато има кабелна връзка, но за съжаление тази опция е доста рядка.
7. Актуализирайте фърмуера
Всеки производител на рутери, който уважава себе си и своите клиенти, непрекъснато подобрява софтуера на своето оборудване и редовно пуска актуализирани версии на фърмуера („фърмуер“). В най-новите версии, на първо място, се коригират откритите уязвимости, както и грешки, които засягат стабилността на работата.
Моля, обърнете внимание, че след актуализацията всички направени от вас настройки може да бъдат нулирани до фабричните настройки, така че има смисъл да ги направите архивиранесъщо и през уеб интерфейса.
8. Преминете към честотната лента от 5 GHz
Основният обхват на Wi-Fi мрежите е 2,4 GHz. Осигурява надеждно приемане от повечето съществуващи устройства на разстояние до около 60 m на закрито и до 400 m на открито. Преминаването към обхват от 5 GHz ще намали обхвата на комуникация два до три пъти, ограничавайки способността на външни лица да проникнат във вашата безжична мрежа. Поради по-малката заетост на честотната лента може също да забележите повишена скорост на пренос на данни и стабилност на връзката.
Това решение има само един минус - не всички устройства работят с Wi-Fi на стандарта IEEE 802.11ac в честотната лента от 5 GHz.
9. Деактивирайте функциите PING, Telnet, SSH, UPnP и HNAP
Ако не знаете какво се крие зад тези съкращения и не сте сигурни, че определено ще имате нужда от тези функции, намерете ги в настройките на рутера и ги деактивирайте. Ако е възможно, вместо да затваряте портове, изберете стелт режим(stealth), които при опит за достъп до тях отвън ще направят тези портове "невидими", игнорирайки заявки и "ping".
10. Включете защитната стена на рутера
Ако вашият рутер има вградена защитна стена, препоръчваме ви да я активирате. Разбира се, това не е бастион на абсолютна защита, но в комбинация с софтуерни инструменти(дори и с вграден Защитна стена на Windows) той е в състояние доста адекватно да устои на атаки.
11. Изключете филтрирането на MAC адреси
Въпреки че на пръв поглед изглежда, че възможността за свързване към мрежата само на устройства с конкретни MAC адреси гарантира напълно сигурност, в действителност това не е така. Нещо повече, прави мрежата отворена дори за не особено находчиви хакери. Ако нападателят може да проследи входящите пакети, той бързо ще получи списък с активни MAC адреси, тъй като те се предават некриптирани в потока от данни. А смяната на MAC адреса не е проблем дори за непрофесионалист.
12. Променете към друг DNS сървър
Вместо да използвате DNS сървъра на вашия интернет доставчик, можете да превключите към алтернативи като Google Public DNS или OpenDNS. От една страна, това може да ускори доставката на интернет страници, а от друга страна, да увеличи сигурността. Например OpenDNS блокира вируси, ботнет мрежи и фишинг заявки на всеки порт, протокол и приложение и благодарение на специални алгоритми, базирани на Big Data, той е в състояние да предвиди и предотврати различни заплахи и атаки. В същото време Google Public DNS е просто високоскоростен DNS сървър без допълнителни функции.
13. Инсталирайте алтернативен "фърмуер"
И накрая, радикална стъпка за някой, който разбира какво прави, е инсталирането на фърмуер, написан не от производителя на вашия рутер, а от ентусиасти. По правило такъв "фърмуер" не само разширява функционалността на устройството (обикновено се добавя поддръжка за професионални функции като QoS, мостов режим, SNMP и т.н.), но и го прави по-устойчив на уязвимости - включително поради нестандартни.
Сред популярните "фърмуери" с отворен код са тези, базирани на Linux
Преди няколко години домашните безжични мрежи бяха доста прости и обикновено се състояха от точка за достъп и няколко компютъра, използвани за достъп до интернет, онлайн пазаруванеили игри. Но в наше време домашните мрежи са станали много по-сложни. Към домашната мрежа вече са свързани голям брой устройства, които се използват не само за достъп до интернет или гледане на медии. В тази статия ще говорим за това как да направите вашата домашна мрежа защитена за всички членове на семейството.Безжична сигурност
Почти всеки дом има безжична мрежа (или така наречената Wi-Fi мрежа). Тази мрежа ви позволява да свържете всяко устройство към интернет, като лаптоп, таблет или игрова конзола. Повечето безжични мрежи се управляват от рутер, устройство, инсталирано от вашия интернет доставчик, за да осигури достъп до интернет. Но в някои случаи вашата мрежа може да се контролира от отделни системи, така наречените точки за достъп, които са свързани към рутера. Независимо коя система използват вашите устройства за връзка с интернет, принципът на работа на тези системи е един и същ: предаване на радиосигнали. Различни устройства могат да се свързват към интернет и към други устройства във вашата мрежа. Това означава, че сигурността на вашата домашна мрежа е един от основните компоненти на защитата на вашия дом. Съветваме ви да следвате тези правила, за да защитите домашната си мрежа:- Променете администраторската парола, зададена от производителя на интернет рутера или точката за достъп. Администраторският акаунт ви позволява да правите промени в мрежовите настройки. Проблемът е, че много рутери идват със стандартни, добре известни паролии те са лесни за намиране онлайн. Следователно трябва да промените фабричната парола на уникална и силна парола, която само вие ще знаете.
- Променете името на мрежата, зададено от производителя (нарича се още SSID). Това е името, което вашите устройства виждат, когато търсят вашата домашна безжична мрежа. Дайте на вашата домашна мрежа уникално име, което е лесно за разпознаване, но не съдържа лична информация. Конфигурирането на мрежа като "невидима" е неефективна форма на защита. Повечето програми за сканиране на безжични мрежи и всеки опитен хакер могат лесно да намерят "невидими" мрежи.
- Уверете се, че само хора, на които имате доверие, могат да се свързват с вашата мрежа и че връзката е криптирана. Това ще помогне за подобряване на сигурността. В момента най сигурна връзкае WPA2. Когато го използвате, се изисква парола при свързване към мрежа и се използва криптиране при свързване. Уверете се, че не използвате остарял метод като WEP или използвате отворена мрежа (която не предлага никаква сигурност). отворена мрежапозволява на абсолютно всеки да се свърже към вашата безжична мрежа без удостоверяване.
- Уверете се, че хората използват силна парола за свързване към вашата мрежа, която не е същата като администраторската парола. Не забравяйте, че трябва да въведете паролата за всяко устройство, което използвате само веднъж и устройствата могат да запомнят и съхраняват тази парола.
- Повечето безжични мрежи поддържат това, което е известно като мрежа за гости. Това позволява на гостите да имат достъп до интернет, но в този случай домашната мрежа е защитена, тъй като гостите не могат да се свързват с домашни устройства във вашата мрежа. Ако добавяте мрежа за гости, уверете се, че използвате WPA2 и е защитена с уникална и силна парола.
- Деактивирайте Wi-Fi Protected Setup или друга настройка, която ви позволява да свързвате нови устройства, без да въвеждате парола или други опции за конфигурация.
- Ако ви е трудно да запомните всичките си пароли, силно препоръчваме да използвате мениджър на пароли, за да ги съхранявате.
Сигурност на вашите устройства
Следващата стъпка е да прецизирате списъка на всички устройства, свързани към мрежата, и да гарантирате тяхната сигурност. Това беше лесно да се направи в миналото, когато малък брой устройства бяха свързани към мрежата. Но в днешния свят почти всички устройства могат да бъдат „винаги свързани“ към мрежата, включително телевизори, игрови конзоли, бебешки камери, високоговорители, нагреватели или дори коли. Един от прости начиниоткриване на свързани устройства е да се използва мрежов скенер, например Fing. Това приложение, веднъж инсталирано на компютър, ви позволява да откриете абсолютно всички устройства, свързани към мрежата. След като откриете всички устройства, трябва да се погрижите за тяхната сигурност. По най-добрия начингарантират сигурност - редовно актуализират своите операционни системи / фърмуер. Ако е възможно, задайте автоматична актуализациясистеми. Ако е възможно да използвате парола за всяко устройство, използвайте само силна и силна парола. И накрая, посетете уебсайта на доставчика на интернет услуги за информация относно безплатни начинизащита на вашата мрежа.за автора
Черил Конли е ръководител на обучението по информационна сигурност в Lockheed Martin. Тя използва The I Compaign TM за обучение на 100 000 служители на компанията. Методологията активно използва фокус групи в компанията и координира глобалната програмаПреди много можеха по някакъв начин да контролират присъствието на едно или две устройства в тяхната мрежа, но сега потребителите имат все повече и повече устройства. Това затруднява надеждния контрол.
Развитието на технологиите и телекомуникациите води до бързо увеличаване на домовете на потребителите на всякакви устройства, които могат да работят с интернет. Потребителите охотно купуват устройства, които взаимодействат с интернет, за да слушат интернет радио, да изтеглят музика, филми, програми, електронни книгии за други дейности. И ако по-рано мнозина можеха по някакъв начин да контролират присъствието на едно или две устройства в мрежата си, сега потребителите имат все повече устройства. Това затруднява надеждния контрол. Особено когато семейството се състои от няколко потребители, които успяват да свържат устройства към мрежата, без да се съгласяват помежду си. Липсата на знания в областта на компетентната настройка на домашната мрежа води до факта, че потребителите могат да бъдат шпионирани от Интернет против тяхната воля (http://habrahabr.ru/post/189674/). Или обратното: потребителите губят възможността да наблюдават дистанционно през интернет какво се случва в зрителното поле на техните IP камери поради Робин Худ.
С тази статия в идеалния случай бих искал да повиша грамотността на населението в озвучената област. Най-малкото се надявам, че опитът ми ще спести време и усилия на онези, които отдавна са мислили да се справят с цифровата анархия в домашната си мрежа. И може би ще бъде полезно за тези, които мислят как правилно да организират домашното си кино.
Първоначално се сблъсках със ситуацията, че списъкът с оборудване в къщата ми, което се нуждае от интернет, достигна:
- 2 компютъра (моя и на родителите)
- мобилен телефон
- Оборудване за домашно кино (Synology NAS сървър, Dune Media Player)
- таблет
Но в крайна сметка успях да убия два заека с един камък. Спрях се на латвийския рутер Mikrotik 751G-2HnD. Той не причини много щети на портфейла ми (точно както радостта ми от придобитото устройство). И успя да покрие всичките ми нужди. Гледайки напред, ще кажа, че опитът ми с този хардуер беше толкова добър, че купих по-големия му брат Mikrotik 951G-2HnD в офиса
Общата схема на свързване на всички устройства е показана на фиг. 1.
Фигура № 1 Обща схема за свързване на устройства в моята домашна мрежа
Ще добавя малко пояснения към снимката. Самата телевизия не комуникира с интернет. Просто защото няма Ethernet кабел (купуван е по дяволите тогава). Свързва се с HDMI кабел към медиен плейър (Dune HD Smart D1). И сега Dune може да излъчва видео по телевизията. Въпреки част от съхранението на данни и поддръжката на Dune сменяеми носители(както и наличието на вграден торент клиент). Използва се само като медиен плеър. И вече Synology DS212j се използва като хранилище за музика, филми. Има и плъгин за работа с Torrent мрежи. На това устройство е конфигурирана споделена папка, откъдето Dune получава медийни файлове за показване. Dune и Synology са свързани чрез свързване към обикновен превключвател (маркиран като Switch на снимката). Нямах нужда от никакви функции от комутатора, така че купих първия 4-портов комутатор, който ми попадна.
Суичът и двата компютъра са свързани към различни портове на Mikrotik. Трябва да кажа, че родителите ми сериозно работиха по въпроса за наличието на интернет в различни части на апартамента на етапа на ремонт. Поради това Ethernet кабелите са положени в почти всяка стая в стените. Така че физически оборудването е разпръснато в различни стаи. И Ethernet кабелът не се вижда на пода, тавана или стените (което често може да се намери в други апартаменти). Въпреки че в някои ъгли все още няма достатъчно кабелно окабеляване. Затова съветвам бъдещите млади семейства да обмислят този въпрос с особено внимание. В крайна сметка Wi-Fi не винаги е добро решение. Но като цяло всичко е красиво свързано.
И така, мрежовата структура е ясна, нека започнем с настройката на Mikrotik
Първите стъпки - приятели сме с интернет Mikrotik.
Настройка на Mikrotikс RouterOS v6.x няма проблеми. Чрез WebFig, в раздела Quick Set (фиг. 2), задайте IP адреса, издаден от доставчика (в зависимост от вашите условия, регистрирайте се статично или настройте DHCP да получава автоматично). Ако е необходимо, можете да промените MAC адреса на WAN порта (ако доставчикът обвърже издаването на IP с MAC адреса на едно от вашите устройства, например предишния рутер). Поставете отметки в квадратчетата, както е показано на фигура 2
Фигура № 2 първи стъпки за настройка
За случая с версия на RouterOS< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Настройка на мрежата - теория
Фигура 3 - крайната снимка, до която донесох мрежата.
Фигура № 3 Окончателна настройка на мрежата
Първо ще ви кажа какво съм настроил и след това ще преминем директно към настройката. Чукането на портове е конфигурирано на Mikrotik, което ви позволява безопасно да отворите определено времедостъп от интернет за управление на вашия Synology NAS чрез браузър. Изведнъж искате да поставите нещо на скока, така че вече да можете да го изтеглите, докато се върнете у дома.
Суичът е свързан към порт 3 на рутера. Следователно, за по-лесно запомняне, адресите от подмрежата 192.168.3.x се издават към цялата мрежа на този порт
IP адресът на Mikrotik за управление през уеб интерфейса е 192.168.5.1.
PC #1 (192.168.5.100) е свързан към порт 5 на рутера. Има достъп до интернет, до всички устройства в мрежата и до Mikrotik - да го конфигурира.
PC #2 (192.168.4.100) е свързан към порт 4 на рутера. Той има достъп до интернет до всички устройства в мрежата, с изключение на Mikrotik (кралят трябва да е сам).
NAS Synology, Dune - разрешен достъп до мрежата 192.168.3.x и интернет. Всичко останало е забранено.
Мобилните устройства получават адрес от мрежата 192.168.88.x и могат да комуникират с интернет и други мобилни устройства. Комуникацията с други подмрежи е забранена. Безжична мрежа WPA2 криптиран.
Като цяло Mikrotik поддържа Radius за авторизация на устройства в мрежата. Същата Synology може да се използва като Radius сървър. Но не съм го настроил така. Всички устройства, неизвестни на рутера, няма да могат да комуникират с интернет. Това ще помогне да се избегнат ситуации като гледане на телевизия потребители.
Много е желателно PC-то, което управлява Mikrotik (в моя случай това е PC No1) да се свързва директно към Mikrotik, без ключове. Това е полезно за предотвратяване на прихващане на параметри за администраторски достъп (чрез атака man-in-the-middle, използвайки функциите на ARP протокола) при работа с Mikrotik през уеб интерфейса. Наистина, по подразбиране уеб интерфейсът на Mikrotik минава през HTTP, който е отворен за анализ. Mikrotik има възможност за преминаване към HTTPS. Това обаче е извън обхвата на тази статия, тъй като е отделна нетривиална задача (за начинаещи администратори на Mikrotik).
Сега, след като разбрахме какво искаме да постигнем, време е да преминем към практическата част.
Настройка на мрежата - практика
Свързваме се с Mikrotik чрез уеб интерфейса. В глава IP->Бусейн задайте обхвата на издаване на IP адреси за мрежата 192.168.3.x (фиг. 4)
В глава IP->DHCP сървър раздел DHCP Натисни бутона Добави нов и се свържете с физически порт номер 3 Ethernet ( ether3-роб-местен ) предварително създадения пул за издаване на адреси ( басейн3 ) (ориз № 5)
В глава IP->Маршрути напишете маршрут за нова мрежа(Фигура № 7):
В глава Интерфейси избирам ether3-роб-местен и променете стойността на параметъра Главен порт На нито един (снимка № 8)
В глава IP->Адреси създайте шлюз 192.168.3.1 за мрежата 192.168.3.0/24 за пристанището ether3-роб-местен (ориз № 9)
Всички останали подмрежи на останалите физически портове на Mikrotik са конфигурирани по същия начин.
Подмрежата е създадена. Сега устройствата, свързани към Ethernet порт №3, могат да работят с интернет и други подмрежи на домашната мрежа. Време е да разрешим каквото ни трябва и да забраним всичко непозволено в раздела IP->Защитна стена раздел Правила за филтриране .
Използване на бутон Добави нов създайте следните правила:
Ние създаваме правила, които позволяват достъп до Mikrotik от компютър № 1 ( 192.168.5.1 ), забраняваме останалото
Chain= input Src.address =192.168.5.100 Dst.address = 192.168.5.1 Action= accept
Верига= въвеждане Действие= падане
Ние позволяваме на устройството Synology NAS да „комуникира“ само с интернет, изключваме локалната мрежа (192.168.0.0/16):
Верига= напред Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Действие= приемам
Подобни настройки за Dune media player:
Верига= напред Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Действие= приемам
Ние позволяваме на двата компютъра да „комуникират“ с интернет и всички подмрежи на домашната мрежа:
Верига= напред Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Действие= drop
Верига= напред Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Действие= drop
Разрешаваме на устройства от мрежата 192.168.3.x (където NAS Synology и Dune) да установяват връзки, инициирани от компютър № 1
Верига= напред Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Състояние на връзката = установена, Действие= приемане
За всички останали забраняваме изходящия трафик към интернет и в подмрежата на нашата мрежа:
Верига= напред Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Действие= drop
За да приложите чукване на порт, следвайте следните правила:
верига=въвеждане действие=добавяне на src-to-address-list протокол=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS адрес-списък-timeout=1h in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98
На кого му пука защо е написано така, може да прочете (http://habrahabr.ru/post/186488/)
Сега "с почукване" имаме отдалечен компютърще бъде добавен към списъка с разрешени за 1 час ( бял_списък_NAS). Но това не е всичко. За да може да има достъп до уеб интерфейса на Synology, трябва да конфигурирате пренасочване на портове за този списък ( бял_списък_NAS)
Това се прави в секцията IP->Защитна стена раздел NAT . Нека създадем правило:
верига=dstnat протокол=tcp Dst.port=5000 Src адрес списък=white_list_NAS действие=dst-nat към адреси=192.168.3.201 към портове=5000
Сега, като пингваме по определен начин, ще получим достъп до нашия NAS (фиг. 10)
Това завършва настройката. Ако всичко е правилно, тогава в крайна сметка имаме в секциятаIP->Защитна стена раздел Правила за филтриране получавате картина като на фиг. 11
Проверка на конфигурацията
Нека се свържем чрез SSH към NAS сървъра (192.168.3.201) и проследим до компютър № 1 (192.168.5.100) и Dune (192.168.3.200) - Фиг. № 12
Фигура #12 е резултат от NAS
Виждаме, че при проследяване до компютър № 1, пакетите преминават през 192.168.3.1 и не достигат целта. И пакетите отиват директно към Dune. В същото време пинговете към интернет вървят нормално (в този случай на адрес 8.8.8.8).
И от PC #1 (192.168.5.100) до NAS (192.168.3.201) проследяването е успешно (Фигура #13).
Фигура № 13 проследяване с компютър № 1
А фиг. 14 показва какво се случва на компютър, който е бил свързан към мрежата и след това не са направени правила относно него в защитната стена на Mikrotik. В резултат на това този компютър не може да комуникира с интернет или с други устройства в други подмрежи на локалната мрежа.
Фигура № 14 е резултат от нов компютър, свързан към мрежата
заключения
Успяхме да настроим нашата домашна мрежа, съчетавайки удобството на работа с устройства в мрежата, без да жертваме сигурността. Решени са следните задачи:
- Конфигурирането на Mikrotik е възможно през уеб интерфейса само с компютър №1
- Synilogy NAS и Dune могат да получават данни от интернет, но нямат достъп до устройства в други подмрежи. Следователно, дори ако техният фърмуер има задни врати за разработчици, NSA или някой друг, всичко, което могат да научат е само един за друг (за NAS Synilogy или Dune)
- Внедрено безопасно отдалечен достъпот всяко място в интернет, за да инсталирате у дома за изтегляне за NAS Synilogy необходимия софтуер
- Неоторизираните устройства, свързани към мрежата, имат достъп само в рамките на подмрежата, към която са свързани, и не могат да предават данни към интернет.
Зареждане...