Ma már szinte minden lakásban van otthoni hálózat, amelyhez helyhez kötött számítógépek, laptopok, adattárolók (NAS), médialejátszók, okostévék valamint okostelefonok, táblagépek és egyéb hordható eszközök. Vezetékes (Ethernet) vagy vezeték nélküli (Wi-Fi) kapcsolatok és TCP/IP protokollok használatosak. A tárgyak internete technológiáinak fejlődésével a háztartási gépek – hűtőszekrények, kávéfőzők, klímaberendezések, de még az elektromos szerelvények is – bekerültek a világhálóra. A Smart Home megoldásoknak köszönhetően szabályozhatjuk a világítás fényerejét, távolról szabályozhatjuk a helyiségek mikroklímáját, be- és kikapcsolhatjuk a különféle készülékeket – ez nagyban megkönnyíti az életet, de komoly problémákat okozhat a fejlett megoldások tulajdonosának.
Sajnos a fejlesztők hasonló eszközök miközben nem törődnek eleget termékeik biztonságával, és a bennük talált sebezhetőségek száma egyre nő, mint a gomba az eső után. Nem ritka, hogy a piacra lépést követően megszűnik egy készülék támogatása – tévénk például egy 2016-os, Android 4-re épülő firmware-t tartalmaz, és a gyártó nem fogja frissíteni. A vendégek is gondot okoznak: kényelmetlen megtagadni tőlük a Wi-Fi-hozzáférést, de senkit sem szeretnék beengedni a hangulatos hálózatomba. Ki tudja, milyen vírusok telepedhetnek meg mások mobiltelefonjaiban? Mindez oda vezet, hogy az otthoni hálózatot több elszigetelt szegmensre kell felosztani. Próbáljuk meg kitalálni, hogyan kell csinálni, ahogy mondani szokás, kevés vérontással és a legkevesebb anyagi ráfordítással.
A Wi-Fi hálózatok elkülönítése
A vállalati hálózatokban a probléma egyszerűen megoldódik - vannak virtuális helyi hálózatokat (VLAN) támogató menedzselt kapcsolók, különféle útválasztók, tűzfalakés vezeték nélküli hozzáférési pontok - néhány óra alatt megépítheti a szükséges számú elszigetelt szegmenst. A Traffic Inspector Next Generation (TING) készülék segítségével például néhány kattintással megoldódik a feladat. Elegendő a vendéghálózati szegmens kapcsolóját külön Ethernet portra csatlakoztatni és létrehozni tűzfalszabályok. Otthon számára ez a lehetőség nem megfelelő a berendezések magas költsége miatt - hálózatunkat leggyakrabban egyetlen eszköz vezérli, amely egyesíti a router, a kapcsoló, a vezeték nélküli hozzáférési pont és az Isten tudja, mi más funkcióit.
Szerencsére a modern háztartási routerek (bár helyesebb lenne internetközpontoknak nevezni) is nagyon intelligensek lettek, és szinte mindegyik, kivéve talán a nagyon olcsókat, képes elkülönített vendégszobát kialakítani. wifi hálózat. Ennek az elkülönítésnek a megbízhatósága egy külön cikk kérdése, ma nem fogjuk megvizsgálni a háztartási eszközök firmware-jét különböző gyártók. Példaként vegyük ZyXEL Keenetic Extra II. Most ezt a vonalat egyszerűen Keeneticnek hívták, de a kezünkbe került egy ZyXEL márkanév alatt kiadott készülék.
A webes felületen keresztül történő beállítás még a kezdőknek sem okoz nehézséget - néhány kattintás, és külön vezeték nélküli hálózatunk van saját SSID-vel, WPA2 védelemmel és hozzáférési jelszóval. Beengedheti a vendégeket, valamint bekapcsolhatja a hosszú ideje nem frissített firmware-rel rendelkező tévéket és lejátszókat, illetve olyan ügyfeleket, amelyekben nem bízik különösebben. A legtöbb más gyártó készülékében ez a funkció, ismételjük, szintén jelen van, és ugyanúgy engedélyezve van. Így oldódik meg például a probléma a firmware-ben D-Link routerek a telepítővarázsló segítségével.
Hozzáadhat vendéghálózatot, ha az eszköz már konfigurálva van és működik.
Képernyőkép a gyártó webhelyéről
Képernyőkép a gyártó webhelyéről
Az Ethernet hálózatok elkülönítése
A vezeték nélküli hálózathoz csatlakozó klienseken kívül olyan eszközökkel is találkozhatunk, amelyek vezetékes interfész. A szakértők azt mondják, hogy az úgynevezett VLAN-okat elszigetelt Ethernet-szegmensek - virtuális helyi hálózatok - létrehozására használják. Néhány otthoni útválasztó támogatja ezt a funkciót, de itt a feladat bonyolultabbá válik. Nem csak egy külön szegmenst szeretnék létrehozni, hanem a vezetékes kapcsolathoz szükséges portokat kell kombinálnunk egy vezeték nélküli vendéghálózattal egy routeren. Ez korántsem nehéz egyetlen háztartási eszköz esetében sem: egy felületes elemzés azt mutatja, hogy a Keenetic routerek mellett a MikroTik modellek Ethernet-portokat is képesek hozzáadni a Wi-Fi hálózathoz csatlakozó vendégszegmenshez, de ezek beállításának folyamata. nem annyira nyilvánvaló. Ha összehasonlítható árú háztartási routerekről beszélünk, a webes felületen csak a Keenetic tudja pár kattintással megoldani a problémát.
Mint látható, a tesztalany könnyen megbirkózott a problémával, és itt érdemes még egy érdekességre figyelni - a vendéghálózat vezeték nélküli klienseit is el lehet különíteni egymástól. Ez nagyon hasznos: barátja rosszindulatú szoftverrel fertőzött okostelefonja felmegy az internetre, de még a vendéghálózaton belül sem tud más eszközöket megtámadni. Ha a routered rendelkezik hasonló funkcióval, mindenképpen engedélyeznie kell, bár ez korlátozza a kliens interakció lehetőségét - például Wi-Fi-n keresztül már nem lehet megbarátkozni egy TV-vel médialejátszóval, akkor vezetékes kapcsolatot kell használnia. Ebben a szakaszban az otthoni hálózatunk biztonságosabbnak tűnik.
Mi az eredmény?
A biztonsági fenyegetések száma évről évre nő, és az okoseszköz-gyártók nem mindig fordítanak kellő figyelmet a frissítések időben történő megjelenésére. Ilyen helyzetben csak egy kiút van: az ügyfelek megkülönböztetése otthoni hálózatés elkülönített szegmenseket hoz létre számukra. Ehhez nem kell több tízezer rubelért felszerelést vásárolnia, egy viszonylag olcsó háztartási internetközpont könnyen megbirkózik a feladattal. Itt szeretném figyelmeztetni az olvasókat, hogy ne vásároljanak olcsó márkás készülékeket. Ma már szinte minden gyártónak nagyjából ugyanaz a hardvere, de a beépített szoftver minősége nagyon eltérő. Valamint a kiadott modellek támogatási ciklusának időtartama. Még a vezetékes és vezeték nélküli hálózat izolált szegmensben történő kombinálásának meglehetősen egyszerű feladatával sem minden háztartási útválasztó képes kezelni, és előfordulhat, hogy bonyolultabbak is vannak. Néha további szegmenseket vagy DNS-szűrést kell konfigurálnia, hogy csak biztonságos gazdagépeket érhessen el, nagy helyiségekben a Wi-Fi klienseket külső hozzáférési pontokon keresztül kell csatlakoztatnia a vendéghálózathoz stb. stb. A biztonsági problémákon kívül más problémák is vannak: nyilvános hálózatok biztosítani kell az ügyfelek regisztrációját az „Információról, információs technológiákról és információvédelemről” szóló 97. számú szövetségi törvény követelményeivel összhangban. Az olcsó eszközök képesek megoldani az ilyen problémákat, de nem minden - funkcionalitás Megismételjük, hogy a beépített szoftverük nagyon eltérő.
PNST301-2018/ISO/IEC 24767-1:2008
AZ OROSZ FÖDERÁCIÓ ELŐZETES NEMZETI SZABVÁNYA
Információs technológia
OTTHONI HÁLÓZAT BIZTONSÁGA
Biztonsági követelmények
információs technológia. otthoni hálózat biztonsága. 1. rész Biztonsági követelmények
OKS 35.110, 35.200, 35.240.99
Érvényes: 2019-02-01
Előszó
Előszó
1 KÉSZÍTETT: Szövetségi Állami Költségvetési Oktatási Intézmény felsőoktatás"Plekhanov Orosz Közgazdasági Egyetem" (Plekhanov Orosz Közgazdasági Egyetem) a 4. bekezdésben meghatározott nemzetközi szabvány angol változatának saját orosz nyelvű fordítása alapján.
2 A TC 22 "Információs technológia" Szabványügyi Műszaki Bizottság BEVEZETE
3 A Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség 2018. szeptember 4-i, N38-pnst rendelete által jóváhagyva és hatályba lépve
4Ez a szabvány megegyezik az ISO/IEC 24767-1:2008* „Információs technológia – Otthoni hálózat biztonsága – 1. rész: Biztonsági követelmények” nemzetközi szabvánnyal (ISO/IEC 24767-1:2008, „Információs technológia – Otthoni hálózat biztonsága – 1. rész” : Biztonsági követelmények", IDT)
________________
* Az alábbiakban a szövegben említett nemzetközi és külföldi dokumentumokhoz való hozzáférés az oldalra mutató hivatkozásra kattintva érhető el. - Adatbázis gyártói megjegyzés.
A jelen szabvány alkalmazására és ellenőrzésére vonatkozó szabályokat a GOST R 1.16-2011 (5. és 6. szakasz).
A Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség információkat gyűjt a szabvány gyakorlati alkalmazásáról. Ezt a tájékoztatást, valamint a szabvány tartalmára vonatkozó észrevételeket, javaslatokat legkésőbb 4 hónapok érvényességének lejárta előtt a szabvány kidolgozójának a következő címen: 117997 Moszkva, Stremyanny pereulok, 36, Szövetségi Állami Költségvetési Felsőoktatási Intézmény "REUG. V. Plekhanovról nevezték el"és a Szövetségi Műszaki Szabályozási és Metrológiai Ügynökséghez a következő címen: 109074 Moszkva, Kitajgorodszkij proezd, 7, 1. épület.
E szabvány törlése esetén a vonatkozó információkat közzéteszik a "Nemzeti Szabványok" havi információs indexében, és közzéteszik a Szövetségi Műszaki Szabályozási és Metrológiai Ügynökség hivatalos honlapján is az interneten (www.gost.ru)
Bevezetés
Az ISO (Nemzetközi Szabványügyi Szervezet) és az IEC (International Electrotechnical Commission) a világméretű szabványosítás speciális rendszerét alkotják. Az ISO vagy IEC tagjai nemzeti testületek műszaki bizottságokon keresztül vesznek részt a nemzetközi szabványok kidolgozásában. Bármely érdekelt szervezet, amely tagja az ISO-nak vagy az IEC-nek, részt vehet egy adott terület szabványának kidolgozásában. A munkában más, az ISO-val és az IEC-vel kapcsolatban álló kormányzati és nem kormányzati szervezetek is részt vesznek.
A területen információs technológiák Az ISO és az IEC létrehozta az ISO/IEC Joint Technical Committee JTC 1-et. A Közös Műszaki Bizottság által készített nemzetközi szabványtervezeteket szavazásra megküldik a nemzeti bizottságoknak. A nemzetközi szabványként való közzétételhez a szavazó nemzeti bizottságok legalább 75%-ának jóváhagyása szükséges.
Az IEC és az ISO hivatalos határozatai vagy megállapodásai a technikai kérdésekben amennyire lehetséges, nemzetközi konszenzust fejezzenek ki a vonatkozó kérdésekben, mivel minden műszaki bizottságban az IEC és az ISO valamennyi érintett nemzeti tagszervezetének képviselői vannak.
Az IEC, ISO és ISO/IEC kiadványok nemzetközi használatra készült ajánlások formájában készültek, és ebben az értelemben elfogadják az IEC és az ISO tag nemzeti bizottságok. Bár minden erőfeszítést megtettünk az IEC, ISO és ISO/IEC kiadványok műszaki tartalmának pontosságának biztosítása érdekében, az IEC vagy az ISO nem vállal felelősséget azok felhasználási módjáért vagy a végfelhasználó általi félreértelmezésekért.
A nemzetközi harmonizáció (egy rendszer) biztosítása érdekében az IEC és ISO Nemzeti Bizottságok vállalják, hogy az IEC, ISO és ISO / IEC Nemzetközi Szabványok alkalmazása során maximális átláthatóságot biztosítanak, amennyiben az adott ország nemzeti és regionális feltételei ezt lehetővé teszik. Az ISO/IEC kiadványok és a megfelelő nemzeti vagy regionális szabványok közötti bármilyen eltérést egyértelműen jelezni kell az utóbbiban.
Az ISO-nak és az IEC-nek nincs jelölési eljárása, és nem felelősek semmilyen berendezésért, amelyről azt állítják, hogy megfelel valamelyik ISO/IEC szabványnak.
Minden felhasználónak meg kell győződnie arról, hogy a kiadvány legújabb kiadását használja.
Az IEC vagy az ISO, azok vezetése, alkalmazottai, alkalmazottai vagy képviselői, beleértve az egyes szakértőket és műszaki bizottságaik tagjait, valamint az IEC vagy ISO nemzeti bizottságok tagjait, nem vállalnak felelősséget a balesetekért, anyagi károkért vagy egyéb károkért, akár közvetlen, akár közvetett módon, vagy a jelen ISO/IEC kiadvány vagy más IEC, ISO vagy ISO/IEC kiadvány közzétételével vagy használatával kapcsolatban felmerült költségekre (beleértve a jogi költségeket is).
A jelen kiadványban idézett normatív dokumentáció különös figyelmet igényel, a hivatkozott dokumentumok használata a kiadvány helyes alkalmazásához szükséges.
Felhívjuk a figyelmet arra a tényre, hogy e nemzetközi szabvány egyes elemei szabadalmi jogok tárgyát képezhetik. Az ISO és az IEC nem tehető felelőssé egyetlen vagy az összes ilyen szabadalmi jog meghatározásáért.
Az ISO/IEC 24767-1 nemzetközi szabványt az 1. ISO/IEC Joint Technical Committee (Információtechnológia) 25. albizottsága (Informatikai berendezések összekapcsolása) dolgozta ki.
Az ISO/IEC 24767 sorozat összes jelenleg elérhető alkatrészének listája az „Információtechnológia – Otthoni hálózat biztonsága” általános cím alatt elérhető az IEC honlapján.
1 felhasználási terület
Ez a nemzetközi szabvány meghatározza az otthoni hálózat belső vagy külső fenyegetésekkel szembeni védelmére vonatkozó követelményeket. A szabvány alapjául szolgál a belső környezetet különféle fenyegetésekkel szemben védő biztonsági rendszerek fejlesztéséhez.
A biztonsági követelményeket ez a nemzetközi szabvány viszonylag informális módon tárgyalja, bár a nemzetközi szabványban tárgyalt témák közül sok iránymutatásul szolgál mind az intranet, mind az Internet biztonsági rendszereinek fejlesztéséhez, ezek informális követelmények.
A belső (otthoni) hálózatra különféle eszközök csatlakoznak (lásd 1. ábra). A "háztartási készülék hálózati" eszközei, az "audio/videó szórakoztató" eszközök és az "információs alkalmazások" eszközök eltérő funkcióval és teljesítménnyel rendelkeznek. Ez a nemzetközi szabvány lehetőséget biztosít a hálózathoz csatlakoztatott egyes eszközök kockázatainak elemzésére és az egyes eszközök biztonsági követelményeinek meghatározására.
2Kifejezések, meghatározások és rövidítések
2.1 Kifejezések és meghatározások
A következő kifejezések és meghatározások érvényesek ebben a szabványban:
2.1.1 a fogyasztói elektronika(barna áruk): audio/video eszközök, amelyeket elsősorban szórakoztatási célokra használnak, például TV vagy DVD-felvevő.
2.1.2titoktartás(titkosság): Olyan tulajdonság, amely biztosítja, hogy az információkhoz illetéktelen személyek, szervezetek vagy folyamatok ne férhessenek hozzá, illetve ne kerülhessenek nyilvánosságra.
2.1.3 adathitelesítés(adathitelesítés): Az igényelt adatforrás megfelelő ellenőrzését biztosító szolgáltatás.
2.1.4 adatintegritás(adatintegritás): Olyan tulajdonság, amely megerősíti, hogy az adatokat nem módosították vagy semmisítették meg jogosulatlan módon.
2.1.5 felhasználói hitelesítés(felhasználói hitelesítés): Olyan szolgáltatás, amely biztosítja, hogy a kommunikációs résztvevő által bemutatott személyazonossági információk helyesen ellenőrizve legyenek, míg az engedélyezési szolgáltatás biztosítja, hogy az azonosított és jogosult felhasználó hozzáférjen konkrét eszköz vagy otthoni hálózati alkalmazás.
2.1.6 Készülékek(fehéráru): A mindennapi életben használt eszközök, mint pl. klíma, hűtőszekrény stb.
2.2 Rövidítések
Ebben a szabványban a következő rövidítéseket használják:
3 Megfelelés
Ez a szabvány tartalmazza iránymutatásokat megfelelőségi követelmény nélkül.
4 A belső otthoni elektronikus rendszerek és hálózatok biztonsági követelményei
4.1 Általános rendelkezések
Az Internet és a kapcsolódó hálózati technológiák rohamos fejlődésével lehetővé vált az irodákban és otthonokban lévő számítógépek közötti kommunikáció kialakítása a külvilággal, amely számos erőforráshoz biztosít hozzáférést. Mára a siker alapját képező technológiák eljutottak otthonunkba, és lehetővé teszik a készülékek csatlakoztatását ugyanúgy, mint személyi számítógépek. Így nemcsak otthonról és kívülről is felügyelhetik és vezérelhetik háztartási készülékeiket, hanem új szolgáltatásokat és képességeket is létrehozhatnak, például távirányítót. Háztartási gépekés a szolgálatát. Ez azt jelenti, hogy a szokásos számítógépes környezet otthon belső otthoni hálózattá alakul, sok eszközt összekötve, amelyek biztonságáról is gondoskodni kell majd.
Mind az otthon, mind a rendszer lakóinak, használóinak és tulajdonosainak bízniuk kell az otthoni elektronikus rendszerben. Az otthon biztonságának célja elektronikus rendszer- bizalom biztosítása a rendszerben. Mivel az otthoni elektronikai rendszer számos eleme folyamatosan, a nap 24 órájában üzemel, és automatikusan információt cserél a külvilággal, az adatok és a rendszer titkosságának, integritásának és elérhetőségének biztosításához az információbiztonság szükséges Megfelelően megvalósított biztonsági megoldás magában foglalja például azt, hogy a rendszerhez és a tárolt adatokhoz való hozzáférés csak a jogosult felhasználók és folyamatok fogadja be és ki az adatokat, és csak arra jogosult felhasználók használhatják és módosíthatják a rendszert.
A HES hálózat biztonsági követelményei többféleképpen is leírhatók. Ez a szabvány a HES hálózat informatikai biztonságára korlátozódik. Az informatikai biztonságnak azonban túl kell lépnie magán a rendszeren, hiszen az otthonnak – bár korlátozott lehetőségekkel – működnie kell informatikai rendszer meghibásodása esetén A HES hálózat által általában támogatott intelligencia a rendszer összekapcsolásakor is végrehajtható. eltörtek. Ilyen esetekben érthető, hogy vannak olyan biztonsági követelmények, amelyek nem lehetnek részei a rendszernek, de a rendszer nem tilthatja meg a tartalék megoldások megvalósítását.
Sokan érdeklődnek a biztonsági kérdések iránt. Az otthoni elektronikus rendszerben nemcsak a lakosoknak és a tulajdonosoknak kell megbízniuk, hanem a szolgáltatóknak és a tartalomszolgáltatóknak is. Ez utóbbiaknak biztosítaniuk kell, hogy az általuk kínált szolgáltatásokat és tartalmakat csak az engedélyezett módon használják fel. A rendszerbiztonság egyik alapelve azonban, hogy egy adott biztonsági szolgálat adminisztrátora legyen felelős érte. Nyilvánvaló, hogy ezt a felelősséget a lakókra (a rendszer tulajdonosaira) kell ruházni. Nem mindegy, hogy az adminisztrátor személyesen csinálja, vagy kiszervezi. Mindenesetre a biztonsági rendszergazda a felelős. A szolgáltatók és a tartalomszolgáltatók otthoni elektronikus rendszerbe vetett bizalmának kérdéskörét, valamint a szolgáltatásaikat és tartalmaikat a felhasználók megfelelő használatába vetett bizalmukat a felek közötti szerződéses kötelezettségek határozzák meg. A szerződés például felsorolhatja azokat a funkciókat, alkatrészeket vagy folyamatokat, amelyeket az otthoni elektronikai rendszernek támogatnia kell.
Az otthoni elektronikus rendszer architektúrája eltérő különböző típusok házak. Bármely modellre vonatkozhatnak bizonyos biztonsági követelmények. Az alábbiakban az otthoni elektronikai rendszerek három különböző modelljének leírása található, amelyek különböző biztonsági követelményekkel rendelkeznek.
Nyilvánvaló, hogy egyes biztonsági követelmények fontosabbak, mint mások. Így egyértelmű, hogy egyes ellenintézkedések támogatása opcionális lesz. Ezenkívül az ellenintézkedések minősége és költsége eltérő lehet. Ezenkívül különböző készségekre lehet szükség az ilyen ellenintézkedések kezelésére és fenntartására. Ez a nemzetközi szabvány megkísérli tisztázni a felsorolt biztonsági követelmények mögött meghúzódó indokokat, és ezáltal lehetővé teszi az otthoni elektronikai rendszerek tervezői számára annak meghatározását, hogy egy adott otthoni rendszernek mely biztonsági jellemzőket kell támogatnia, és – tekintettel a minőségi követelményekre, valamint a kezelési és karbantartási erőfeszítésekre – melyik mechanizmust kell kiválasztani ezekhez a funkciókhoz. .
A belső hálózat biztonsági követelményei a biztonság és az „otthon” definíciójától függenek, valamint attól, hogy mit jelent a „hálózat” az adott otthonban. Ha a hálózat egyszerűen egy csatorna, amely egyetlen számítógépet köt össze egy nyomtatóval vagy kábelmodemtel, akkor az otthoni hálózat biztosításához elegendő ezt a vezetéket és az általa csatlakoztatott berendezéseket biztonságossá tenni.
Ha azonban egy tartományban több tucat, ha nem több száz hálózati eszköz található, amelyek egy része az egész háztartáshoz, néhány pedig az otthoni embereké, akkor kifinomultabb biztonsági intézkedéseket kell bevezetni.
4.2 Az otthoni elektronikus rendszer biztonsága
4.2.1 Az otthoni elektronikai rendszer és a rendszerbiztonság meghatározása
Az otthoni elektronikus rendszer és hálózat olyan elemek összességeként definiálható, amelyek feldolgozzák, továbbítják, tárolják és kezelik az információkat, lehetővé téve sokféle kommunikációt és integrációt. számítógépes eszközök, valamint a házban elhelyezett vezérlő, felügyeleti és kommunikációs eszközök.
Emellett az otthoni elektronikai rendszerek és hálózatok összeköttetést biztosítanak a szórakoztató és információs eszközök, valamint a kommunikációs és biztonsági eszközök, valamint az otthonban elérhető háztartási gépek között. Az ilyen eszközök és eszközök információt cserélnek, vezérelhetők és vezérelhetők a házban vagy távolról. Ennek megfelelően minden beltéri otthoni hálózatnak szüksége lesz bizonyos biztonsági mechanizmusokra a mindennapi működésének védelme érdekében.
A hálózat- és információbiztonság egy hálózat vagy információs rendszer azon képességeként értelmezhető, hogy egy bizonyos szinten ellenáll a véletlenszerű eseményeknek vagy rosszindulatú tevékenységeknek. Az ilyen események vagy tevékenységek veszélyeztethetik a tárolt vagy továbbított adatok, valamint az ilyen hálózatokon és rendszereken keresztül kínált kapcsolódó szolgáltatások elérhetőségét, hitelességét, hitelességét és titkosságát.
Az információbiztonsági események a következő csoportokba sorolhatók:
Az e-mail lehallgatható, az adatok másolhatók, módosíthatók. Ez kárt okozhat mind az egyén magánélethez való jogának megsértése, mind az elfogott adatokkal való visszaélés miatt;
A számítógéphez és a belső számítógépes hálózatokhoz való jogosulatlan hozzáférés általában rosszindulatú adatok másolására, módosítására vagy megsemmisítésére irányul, és kiterjedhet az otthoni automata berendezésekre és rendszerekre is;
Az internetet ért rosszindulatú támadások mindennapossá váltak, és a telefonhálózat is sebezhetőbbé válhat a jövőben;
Rosszindulatú szoftver, például a vírusok, letilthatják a számítógépeket, törölhetik vagy módosíthatják az adatokat, illetve újraprogramozhatják Háztartási gépek. Néhány vírustámadás meglehetősen pusztító és költséges volt;
Az egyénekre vonatkozó információk félrevezetése ill jogalanyok jelentős károkat okozhat, például az ügyfelek rosszindulatú programokat töltenek le egy megbízható forrásnak álcázott webhelyről, a szerződések felmondhatók, és bizalmas információkat küldhetnek rossz címzetteknek;
sok incidens információ biztonság előre nem látható és nem szándékos eseményekkel, például természeti katasztrófákkal (árvizek, viharok és földrengések), hardver- vagy szoftverhibákkal és emberi mulasztásokkal kapcsolatosak.
A szélessávú internetelérés és a zsebkütyük elterjedésével rendkívül népszerűvé váltak a vezeték nélküli routerek (routerek). Az ilyen eszközök a Wi-Fi protokollon keresztül képesek jelet továbbítani mind álló számítógépekre, mind mobil eszközökre - okostelefonokra és táblagépekre -, miközben sávszélesség a csatorna elég sok fogyasztó egyidejű csatlakoztatására.
Ma szinte minden olyan otthonban van vezeték nélküli útválasztó, ahol szélessávú internet van telepítve. Azonban nem minden ilyen készülék tulajdonosa gondol arra, hogy az alapértelmezett beállításokkal rendkívül kiszolgáltatottak a behatolókkal szemben. Ha pedig úgy gondolja, hogy nem csinál semmit az interneten, ami kárt okozhatna, gondoljon arra, hogy a helyi vezeték nélküli hálózat jelének lehallgatásával a hackerek nem csak személyes levelezéséhez, hanem bankszámlájához is hozzáférhetnek, dokumentumokat és egyéb fájlokat.
A hackerek nem korlátozódhatnak csak a saját eszközeid memóriájának vizsgálatára – tartalmuk támpontokat adhat cége hálózataihoz, rokonaihoz és barátaihoz, mindenféle kereskedelmi és kormányzati adathoz. információs rendszerek. Ezen túlmenően az Ön hálózatán keresztül és az Ön nevében a támadók hatalmas támadásokat hajthatnak végre, feltörhetnek, illegálisan terjeszthetnek médiafájlokat és szoftvereket, és egyéb bűncselekményeket folytathatnak.
Eközben, hogy megvédje magát az ilyen fenyegetésektől, csak néhányat kell követnie egyszerű szabályok amelyek érthetőek és elérhetőek azok számára is, akik nem rendelkeznek speciális ismeretekkel a területen számítógépes hálózatok. Meghívjuk Önt, hogy ismerkedjen meg ezekkel a szabályokkal.
1. Módosítsa az alapértelmezett rendszergazdai adatokat
Az útválasztó beállításainak eléréséhez lépjen a webes felületére. Ehhez ismernie kell az IP-címét helyi hálózat(LAN), valamint az adminisztrátori felhasználónév és jelszó.
Az útválasztó alapértelmezett belső IP-címe általában 192.168.0.1, 192.168.1.1, 192.168.100.1 vagy például 192.168.123.254 - ez mindig fel van tüntetve a hardver dokumentációjában. Az alapértelmezett bejelentkezési név és jelszó általában szintén szerepel a dokumentációban, vagy beszerezhető a router gyártójától vagy a szolgáltatójától.
Írja be a router IP-címét a böngésző címsorába, majd a megjelenő ablakban adja meg a felhasználónevet és a jelszót. Megnyílik előttünk a router webes felülete a legkülönfélébb beállításokkal.
Az otthoni hálózat biztonságának kulcsfontosságú eleme a beállítások megváltoztatásának lehetősége, ezért mindenképpen módosítsa az összes alapértelmezett rendszergazdai adatot, mert ezek több tízezer példányban használhatók ugyanazon útválasztókon, mint Ön. Megtaláljuk a megfelelő tételt és új adatokat adunk meg.
Egyes esetekben a rendszergazdai adatok tetszőleges megváltoztatásának lehetőségét a szolgáltató letiltja, és akkor hozzá kell fordulnia segítségért.
2. Állítsa be vagy módosítsa a LAN-hozzáférés jelszavait
Nevetni fog, de még mindig vannak olyan esetek, amikor egy vezeték nélküli útválasztó nagylelkű tulajdonosa nyílt hozzáférési pontot szervez, amelyhez bárki csatlakozhat. Sokkal gyakrabban áljelszavakat, például „1234”-et vagy néhány, a hálózati telepítés során megadott banális szót választanak az otthoni hálózathoz. Annak érdekében, hogy minimálisra csökkentse annak esélyét, hogy valaki könnyen bekerüljön a hálózatába, egy igazi hosszú, betűkből, számokból és szimbólumokból álló jelszót kell kitalálnia, és be kell állítania a jel titkosítási szintjét - lehetőleg WPA2-t.
3. Tiltsa le a WPS-t
A WPS (Wi-Fi Protected Setup) technológia lehetővé teszi a biztonságos biztonságos létrehozását vezeték nélküli kommunikáció kompatibilis eszközök között anélkül részletes beállításokat, de csak az útválasztó és a kütyü megfelelő gombjainak megnyomásával vagy digitális kód megadásával.
Eközben ennek a kényelmes, általában alapértelmezés szerint engedélyezett rendszernek van egy gyenge pontja: mivel a WPS nem számolja a rossz kód megadására tett kísérletek számát, a legegyszerűbb segédprogramok segítségével egyszerű felsorolással "durva erővel" feltörhető. Néhány perctől több óráig tart, amíg a WPS-kódon keresztül behatol a hálózatba, ami után nem lesz nehéz kiszámítani a hálózati jelszót.
Ezért megtaláljuk a megfelelő elemet az "admin panelen", és letiltjuk a WPS-t. Sajnos a beállítások módosítása nem mindig igazán tiltja le a WPS-t, és egyes gyártók egyáltalán nem biztosítanak ilyen lehetőséget.
4. Módosítsa az SSID nevét
Az SSID (Service Set Identifier) a vezeték nélküli hálózat neve. Ő az, akire „emlékeznek” különféle eszközök, amelyek a név felismerésekor és a szükséges jelszavak birtokában megpróbálnak csatlakozni a helyi hálózathoz. Ha tehát megtartja például az internetszolgáltatója által beállított alapértelmezett nevet, akkor fennáll annak a lehetősége, hogy eszközei sok közeli, azonos nevű hálózathoz próbálnak csatlakozni.
Ezenkívül a szabványos SSID-t sugárzó router sebezhetőbb a hackerekkel szemben, akik nagyjából ismerik a modelljét és a normál beállításait, és képesek lesznek bizonyos gyenge pontok egy ilyen konfiguráció. Ezért válasszon olyan nevet, amely a lehető legegyedibb, nem mond semmit a szolgáltatóról vagy a berendezés gyártójáról.
Ugyanakkor az SSID-sugárzás elrejtésére vonatkozó, gyakran előforduló tanács, amely az útválasztók túlnyomó többségénél alapfelszereltség, valójában tarthatatlan. A helyzet az, hogy minden eszköz, amely megpróbál csatlakozni a hálózathoz, minden esetben átmegy a legközelebbi hozzáférési pontokon, és csatlakozhat a behatolók által speciálisan „elhelyezett” hálózatokhoz. Más szóval, az SSID elrejtésével csak saját maga nehezíti meg az életét.
5. Módosítsa az útválasztó IP-címét
A router webes felületéhez és beállításaihoz való jogosulatlan hozzáférés még nehezebbé tétele érdekében módosítsa bennük az alapértelmezett belső IP-címet (LAN).
6. Tiltsa le a távoli adminisztrációt
A kényelem kedvéért technikai támogatás(többnyire) sok fogyasztói útválasztónak van funkciója távoli ügyintézés, amellyel az útválasztó beállításai elérhetővé válnak az interneten keresztül. Ezért ha nem akarunk kívülről behatolni, akkor jobb, ha letiltjuk ezt a funkciót.
Ugyanakkor továbbra is lehetséges Wi-Fi-n keresztül belépni a webes felületre, ha a támadó az Ön hálózatának területén tartózkodik, és ismeri a bejelentkezési nevet és a jelszót. Egyes útválasztóknak van olyan funkciója, hogy csak vezetékes kapcsolat esetén korlátozzák a panelhez való hozzáférést, de sajnos ez a lehetőség meglehetősen ritka.
7. Frissítse a firmware-t
Minden router gyártó, aki tiszteli magát és ügyfeleit, folyamatosan fejleszti berendezéseinek szoftverét, és rendszeresen kiadja a firmware frissített verzióit („firmware”). A legújabb verziókban mindenekelőtt a felfedezett sebezhetőségeket, valamint a munka stabilitását befolyásoló hibákat javítják ki.
Kérjük, vegye figyelembe, hogy a frissítés után előfordulhat, hogy az összes Ön által végzett beállítás visszaáll a gyári beállításokra, ezért érdemes ezeket elvégezni. biztonsági mentés webes felületen keresztül is.
8. Lépjen az 5 GHz-es sávra
A Wi-Fi hálózatok alaptartománya 2,4 GHz. Megbízható vételt biztosít a legtöbb létező készülékkel belül akár kb. 60 m-es, kültéren pedig 400 m-es távolságban. Az 5 GHz-es sávra való váltás két-háromszorosára csökkenti a kommunikációs tartományt, ami korlátozza a kívülállók behatolását a vezeték nélküli hálózatba. A kisebb sávfoglaltság miatt az adatátviteli sebesség és a kapcsolat stabilitása is megnövekedett.
Ennek a megoldásnak egyetlen hátránya van - nem minden eszköz működik az IEEE 802.11ac szabványú Wi-Fi-vel az 5 GHz-es sávban.
9. Tiltsa le a PING, Telnet, SSH, UPnP és HNAP funkciókat
Ha nem tudja, mi van ezeknek a rövidítéseknek a hátterében, és nem biztos abban, hogy feltétlenül szüksége lesz ezekre a funkciókra, keresse meg őket az útválasztó beállításai között, és tiltsa le őket. Ha lehetséges, a portok bezárása helyett válassza a lehetőséget lopakodó mód(stealth), amely amikor kívülről próbálja elérni őket, "láthatatlanná" teszi ezeket a portokat, figyelmen kívül hagyva a kéréseket és a "pingeket".
10. Kapcsolja be az útválasztó tűzfalát
Ha az útválasztó beépített tűzfallal rendelkezik, javasoljuk, hogy engedélyezze azt. Természetesen ez nem az abszolút védelem bástyája, hanem azzal kombinálva szoftver eszközök(akár beépített állapotban is Windows tűzfal) elég megfelelően képes ellenállni a támadásoknak.
11. Kapcsolja ki a MAC-cím szűrését
Bár első pillantásra úgy tűnik, hogy az, hogy csak meghatározott MAC-címmel rendelkező eszközöket csatlakoztathatunk a hálózathoz, teljes mértékben garantálja a biztonságot, a valóságban ez nem így van. Sőt, még a nem túl találékony hackerek számára is nyitottá teszi a hálózatot. Ha a támadó nyomon tudja követni a bejövő csomagokat, gyorsan megkapja az aktív MAC-címek listáját, mivel azokat titkosítatlanul továbbítják az adatfolyamban. A MAC cím megváltoztatása pedig még egy nem profinak sem jelent problémát.
12. Váltson másik DNS-kiszolgálóra
Az internetszolgáltató DNS-kiszolgálójának használata helyett válthat olyan alternatívákra, mint a Google Public DNS vagy az OpenDNS. Ez egyrészt felgyorsíthatja az internetes oldalak kézbesítését, másrészt növelheti a biztonságot. Az OpenDNS például blokkolja a vírusokat, botneteket és az adathalász kéréseket bármely porton, protokollon és alkalmazáson, és a Big Data alapú speciális algoritmusoknak köszönhetően képes előre jelezni és megelőzni a különféle fenyegetéseket és támadásokat. Ugyanakkor a Google nyilvános DNS csak egy nagy sebességű DNS-kiszolgáló, további szolgáltatások nélkül.
13. Telepítsen alternatív "firmware"-t
És végül egy radikális lépés annak, aki érti, amit csinál, az, hogy olyan firmware-t telepít, amelyet nem az útválasztó gyártója, hanem a rajongók írnak. Általános szabály, hogy az ilyen "firmware" nem csak az eszköz funkcionalitását bővíti (általában professzionális funkciók, például QoS, bridge mód, SNMP stb. támogatása), hanem a sebezhetőségekkel szemben is ellenállóbbá teszi - többek között a nem szabványos.
A népszerű nyílt forráskódú „firmware” közé tartoznak azok, amelyek Linuxon alapulnak
Néhány évvel ezelőtt az otthoni vezeték nélküli hálózatok meglehetősen egyszerűek voltak, és általában egy hozzáférési pontból és néhány számítógépből álltak, amelyeket az internet elérésére használtak, online vásárlás vagy játékok. De korunkban az otthoni hálózatok sokkal összetettebbek lettek. Az otthoni hálózathoz ma már számos eszköz csatlakozik, amelyeket nem csak internetezésre vagy médianézésre használnak. Ebben a cikkben arról fogunk beszélni, hogyan teheti biztonságossá otthoni hálózatát minden családtag számára.Vezetéknélküli Biztonság
Szinte minden otthonban van vezeték nélküli hálózat (vagy úgynevezett Wi-Fi hálózat). Ez a hálózat lehetővé teszi, hogy bármilyen eszközt csatlakoztasson az internethez, például laptopot, táblagépet vagy játékkonzolt. A legtöbb vezeték nélküli hálózatot útválasztó vezérli, az internetszolgáltató által telepített eszköz, amely hozzáférést biztosít az internethez. Bizonyos esetekben azonban a hálózatot különálló rendszerek, úgynevezett hozzáférési pontok vezérlik, amelyek az útválasztóhoz csatlakoznak. Függetlenül attól, hogy eszközei melyik rendszert használják az internethez való csatlakozáshoz, ezeknek a rendszereknek a működési elve ugyanaz: rádiójelek továbbítása. Különféle eszközök csatlakozhatnak az internethez és a hálózat más eszközeihez. Ez azt jelenti, hogy az otthoni hálózat biztonsága az otthona védelmének egyik fő összetevője. Javasoljuk, hogy kövesse az alábbi szabályokat az otthoni hálózat biztonságának megőrzése érdekében:- Módosítsa az internetes útválasztó vagy hozzáférési pont gyártója által beállított rendszergazdai jelszót. A rendszergazdai fiók lehetővé teszi a hálózati beállítások módosítását. A probléma az, hogy sok router szabványos, nos ismert jelszavakés könnyen megtalálhatók az interneten. Ezért módosítsa a gyári jelszót egy egyedi és erős jelszóra, amelyet csak Ön fog tudni.
- Módosítsa a hálózat gyártó által beállított nevét (ezt SSID-nek is nevezik). Ezt a nevet látják eszközei, amikor otthoni vezeték nélküli hálózatot keresnek. Adjon otthoni hálózatának egyedi nevet, amely könnyen felismerhető, de nem tartalmaz semmilyen személyes információt. A hálózat „láthatatlan”-ként való konfigurálása a védelem nem hatékony módja. A legtöbb vezeték nélküli hálózati szkennelő program és minden szakképzett hacker könnyen megtalálja a "láthatatlan" hálózatokat.
- Győződjön meg arról, hogy csak olyan személyek csatlakozhatnak a hálózathoz, akikben megbízik, és hogy a kapcsolat titkosított. Ez segít a biztonság javításában. Jelenleg a legtöbb biztonságos kapcsolat a WPA2. Használatakor a hálózathoz való csatlakozáskor jelszót kérnek, csatlakozáskor pedig titkosítást alkalmaznak. Győződjön meg arról, hogy nem használ elavult módszert, például WEP-et, vagy nyílt hálózatot (amely egyáltalán nem nyújt biztonságot). nyílt hálózat lehetővé teszi, hogy mindenki hitelesítés nélkül csatlakozzon vezeték nélküli hálózatához.
- Győződjön meg arról, hogy az emberek olyan erős jelszót használnak a hálózathoz való csatlakozáskor, amely nem egyezik meg a rendszergazdai jelszóval. Ne feledje, hogy csak egyszer kell megadnia a jelszót minden egyes használt eszközhöz, és az eszközök megjegyzik és tárolhatják ezt a jelszót.
- A legtöbb vezeték nélküli hálózat támogatja az úgynevezett vendéghálózatot. Ez lehetővé teszi, hogy a vendégek hozzáférjenek az internethez, de az otthoni hálózat ebben az esetben védett, mivel a vendégek nem tudnak csatlakozni a hálózaton lévő otthoni eszközökhöz. Ha vendéghálózatot ad hozzá, győződjön meg arról, hogy WPA2-t használ, és azt egyedi és erős jelszóval védi.
- Tiltsa le a Wi-Fi Protected Setup vagy más olyan beállítást, amely lehetővé teszi új eszközök csatlakoztatását jelszó vagy egyéb konfigurációs beállítások megadása nélkül.
- Ha nehéznek találja megjegyezni az összes jelszavát, erősen javasoljuk, hogy jelszókezelőt használjon azok tárolására.
Eszközeinek biztonsága
A következő lépés a hálózathoz csatlakoztatott összes eszköz listájának finomítása és biztonságuk biztosítása. Ezt korábban könnyű volt megtenni, amikor kevés eszköz csatlakozott a hálózathoz. De a mai világban szinte minden eszköz "mindig csatlakoztatható" a hálózathoz, beleértve a tévéket is, játékkonzolok, babakamerák, hangszórók, fűtőtestek vagy akár autók. Az egyik egyszerű módokon csatlakoztatott eszközök észlelése hálózati szkenner, például Fing. Ez az alkalmazás, miután telepítette a számítógépre, lehetővé teszi, hogy felfedezze a hálózathoz csatlakoztatott összes eszközt. Miután felfedezte az összes eszközt, gondoskodnia kell a biztonságukról. A legjobb mód biztosítsa a biztonságot - rendszeresen frissítse operációs rendszerét / firmware-jét. Ha lehetséges, állítsa be automatikus frissítés rendszerek. Ha lehetséges minden eszközhöz jelszót használni, csak erős és erős jelszót használjon. Végül látogasson el az internetszolgáltató webhelyére, ahol további információkra van szüksége ingyenes utakat hálózatának védelme.A szerzőről
Cheryl Conley a Lockheed Martin információbiztonsági képzésért felelős vezetője. A The I Compaign TM segítségével 100 000 vállalati alkalmazottat képez ki. A módszertan aktívan használja a vállalaton belüli fókuszcsoportokat és koordinálja a globális programotKorábban sokan tudták valahogyan szabályozni egy-két eszköz jelenlétét a hálózatukon, de mostanra egyre több eszközük van a felhasználóknak. Ez megnehezíti a megbízható vezérlést.
A technológia és a távközlés fejlődése az internettel együttműködni képes mindenféle eszköz felhasználóinak otthonában gyors növekedéshez vezet. A felhasználók szívesen vásárolnak olyan eszközöket, amelyek interakcióba lépnek az internettel, hogy internetes rádiót hallgathassanak, zenét, filmeket, programokat töltsenek le, e-könyvekés egyéb tevékenységekhez. És ha korábban sokan tudták valahogy szabályozni egy-két eszköz jelenlétét a hálózatukon, akkor mostanra egyre több eszközük van a felhasználóknak. Ez megnehezíti a megbízható vezérlést. Különösen akkor, ha a család több felhasználóból áll, akiknek sikerül a hálózatra csatlakoztatni az eszközöket anélkül, hogy megegyeznének egymással. A hozzáértő otthoni hálózat beállításával kapcsolatos ismeretek hiánya ahhoz vezet, hogy a felhasználók akaratuk ellenére is kémkedhetnek az internetről (http://habrahabr.ru/post/189674/). Vagy fordítva: Robin Hoods miatt a felhasználók elveszítik azt a lehetőséget, hogy az interneten keresztül távolról figyeljék, mi történik IP-kameráik látóterében.
Ezzel a cikkel ideális esetben a lakosság írástudását szeretném növelni a megszólalt területen. Legalábbis remélem, hogy tapasztalataim időt és fáradságot takarítanak meg azok számára, akik régóta gondolkodnak azon, hogy otthoni hálózatukban kezeljék a digitális anarchiát. És talán hasznos lesz azok számára, akik azon gondolkodnak, hogyan kell megfelelően megszervezni házimozijukat.
Kezdetben azzal a helyzettel szembesültem, hogy a házamban lévő internetre szoruló berendezések listája elérte:
- 2 PC (enyém és szüleim)
- mobiltelefon
- Házimozi berendezések (Synology NAS szerver, Dune Media Player)
- tabletta
De végül két legyet tudtam megölni egy csapásra. Megálltam a Mikrotik 751G-2HnD lett routernél. Nem okozott nagy kárt a pénztárcámban (akárcsak az örömöm a megszerzett készülék miatt). És képes volt minden igényemet kielégíteni. A jövőre nézve azt mondom, hogy a tapasztalataim annyira jók voltak ezzel a hardverrel, hogy megvettem az idősebb testvérét, a Mikrotik 951G-2HnD-t az irodába.
Az összes készülék általános bekötési rajza az 1. ábrán látható.
1. ábra Általános séma az otthoni hálózatomban lévő eszközök csatlakoztatásához
Néhány magyarázatot adok a képhez. A TV maga nem kommunikál az internettel. Egyszerűen azért, mert nincs benne Ethernet kábel (amikor a pokolban vették). HDMI-kábellel csatlakozik egy médialejátszóhoz (Dune HD Smart D1). És most a Dune videót sugározhat a tévében. A Dune néhány adattárolása és támogatása ellenére cserélhető adathordozó(valamint a beépített torrent kliens megléte). Csak médialejátszóként használható. A Synology DS212j-t pedig már zenék és filmek tárolására használják. Van egy plugin is a Torrent hálózatokkal való együttműködéshez. Ezen az eszközön egy megosztott mappa van konfigurálva, ahonnan a Dune médiafájlokat kap megjelenítésre. A Dune és a Synology egy normál kapcsolóhoz (a képen Switch-ként jelölve) csatlakozik. A kapcsolóból nem volt szükségem semmilyen funkcióra, ezért megvettem az első 4 portos kapcsolót, amivel találkoztam.
A switch és mindkét PC különböző Mikrotik portokhoz csatlakozik. Azt kell mondanom, hogy a szüleim komolyan dolgoztak azon a kérdésen, hogy a javítás szakaszában az internet a lakás különböző részein legyen. Ezért az Ethernet kábelek szinte minden helyiségben a falakban vannak elhelyezve. Tehát fizikailag a berendezés különböző helyiségekben van szétszórva. Az Ethernet-kábel pedig nem látszik a padlón, a mennyezeten vagy a falakon (ami gyakran megtalálható más lakásokban). Bár egyes sarkokban még mindig nincs elegendő kábelezés. Ezért azt tanácsolom a leendő fiatal családoknak, hogy különös gonddal gondolják át ezt a kérdést. Végül is a Wi-Fi nem mindig jó döntés. De általában minden gyönyörűen összefügg.
Tehát a hálózati struktúra világos, kezdjük a Mikrotik beállításával
Az első lépések - barátok vagyunk az Internet Mikrotik-kal.
Mikrotik beállítás RouterOS v6.x-el nincs probléma. A WebFig segítségével a Gyorsbeállítás lapon (2. ábra) állítsa be a szolgáltató által kiadott IP-címet (a feltételektől függően regisztráljon statikusan, vagy állítsa be a DHCP-t automatikus fogadásra). Ha szükséges, módosíthatja a WAN-port MAC-címét (ha a szolgáltató az IP-cím kiadását az Ön egyik eszközének, például az előző útválasztónak MAC-címéhez köti). Jelölje be a négyzeteket a 2. ábrán látható módon
2. ábra az első beállítási lépések
RouterOS verzió esetén< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Hálózat beállítása - elmélet
3. ábra - a végső kép, amelyhez a hálózatot hoztam.
3. ábra Végső hálózati beállítás
Először elmondom, hogy mit állítottam be, majd közvetlenül a beállításhoz megyünk. A Mikrotik portkopogtatása be van állítva, lehetővé téve a biztonságos nyitást pontos idő hozzáférést az internetről, hogy böngészőn keresztül kezelje Synology NAS-ját. Hirtelen fel akarsz tenni valamit az ugrásra, hogy hazaérve már letölthesd.
A kapcsoló a router 3-as portjához csatlakozik. Ezért az emlékezés megkönnyítése érdekében a 192.168.3.x alhálózat címei ezen a porton a teljes hálózathoz kerülnek kiadásra.
A Mikrotik IP-címe a webes felületen keresztül történő kezeléshez 192.168.5.1.
PC #1 (192.168.5.100) az útválasztó 5-ös portjához csatlakozik. Hozzáférhet az internethez, a hálózat összes eszközéhez és a Mikrotikhoz - konfigurálhatja azt.
A 2. számú PC (192.168.4.100) az útválasztó 4-es portjához csatlakozik. Hozzáférhet az internethez, a hálózat összes eszközéhez, kivéve a Mikrotikt (a királynak egyedül kell lennie).
NAS Synology, Dune – hozzáférés a 192.168.3.x hálózathoz és az internethez. Minden más tilos.
A mobileszközök címet kapnak a 192.168.88.x hálózatról, és képesek kommunikálni az internettel és más eszközökkel mobil eszközök. Tilos a kommunikáció más alhálózatokkal. Vezetéknélküli hálózat WPA2 titkosítva.
Általában a Mikrotik támogatja a Radius-t a hálózaton lévő eszközök engedélyezésére. Ugyanez a Synology használható Radius szerverként. De nem így állítottam be. Az útválasztó számára ismeretlen összes eszköz nem tud kommunikálni az internettel. Ez segít elkerülni az olyan helyzeteket, mint a tévénézés.
Nagyon kívánatos, hogy a Mikrotik-ot vezérlő PC (esetemben az 1-es PC) közvetlenül csatlakozzon a Mikrotikhoz, kapcsolók nélkül. Ez hasznos az adminisztrátori hozzáférési paraméterek elfogásának megakadályozására (man-in-the-middle támadás, az ARP protokoll szolgáltatásainak használata), amikor a Mikrotikkal dolgozik a webes felületen keresztül. Valójában alapértelmezés szerint a Mikrotik webes felülete átmegy a HTTP-n, amely nyitva áll az elemzésre. A Mikrotik képes HTTPS-re váltani. Ez azonban túlmutat e cikk keretein, mivel ez egy különálló, nem triviális feladat (kezdő Mikrotik rendszergazdák számára).
Most, hogy rájöttünk, mit szeretnénk elérni, ideje továbblépni a gyakorlati részre.
Hálózat beállítása - gyakorlat
A Mikrotikhoz webes felületen keresztül csatlakozunk. fejezetben IP->Pool állítsa be a 192.168.3.x hálózathoz tartozó IP-címek tartományát (4. ábra)
fejezetben IP->DHCP szerver lapon DHCP nyomja meg a gombot Új hozzáadása és csatlakozzon a 3-as fizikai porthoz Ethernet ( éter3-szolga-helyi ) a korábban létrehozott címkiadási készlet ( medence3 ) (5. rizs)
fejezetben IP->Útvonalak írj egy útvonalat új hálózat(7. ábra):
fejezetben Interfészek választ éter3-szolga-helyi és módosítsa a paraméter értékét Mester Port tovább egyik sem (8. kép)
fejezetben IP->Címek hozzon létre egy átjárót 192.168.3.1 a hálózat számára 192.168.3.0/24 a kikötő számára éter3-szolga-helyi (9-es rizs)
A Mikrotik fennmaradó fizikai portjain lévő összes többi alhálózat ugyanígy van konfigurálva.
Az alhálózat létrejött. Mostantól a 3-as Ethernet-porthoz csatlakoztatott eszközök együttműködhetnek az internettel és az otthoni hálózat egyéb alhálózataival. Itt az ideje, hogy megengedjük, amire szükségünk van, és betiltani mindent, ami nem megengedett a szakaszban IP->Tűzfal lapon Szűrési szabályok .
A gomb használatával Új hozzáadása hozza létre a következő szabályokat:
Olyan szabályokat hozunk létre, amelyek lehetővé teszik a Mikrotik elérését az 1. számú PC-ről ( 192.168.5.1 ), a többit megtiltjuk
Lánc = input Src.address = 192.168.5.100 Dst.address = 192.168.5.1 Action = elfogad
Lánc= bemenet Action= drop
A Synology NAS eszköz számára csak az internettel való „kommunikációt” engedélyezzük, a helyi hálózatot kizárjuk (192.168.0.0/16):
Chain= forward Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= elfogadja
Hasonló beállítások a Dune médialejátszóhoz:
Lánc= előre Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Action= elfogadja
Mindkét számítógép számára lehetővé tesszük, hogy „kommunikáljon” az internettel és az otthoni hálózat összes alhálózatával:
Lánc = előre Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Művelet = drop
Lánc = előre Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Művelet = drop
Lehetővé tesszük a 192.168.3.x hálózatról (ahol a NAS Synology és a Dune) származó eszközök számára az 1. PC által kezdeményezett kapcsolatok létrehozását
Lánc = forward Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Kapcsolat állapota = létrejött, Művelet = elfogadás
Mindenki más számára megtiltjuk a kimenő forgalmat az internetre és hálózatunk alhálózatára:
Lánc= előre Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Action= drop
A port kopogtatás megvalósításához kövesse a következő szabályokat:
chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98
Akit érdekel, hogy miért van így megírva, az elolvashatja (http://habrahabr.ru/post/186488/)
Most "kopogtatással" megvan távoli számítógép felkerül az engedélyezettek listájára 1 órára ( white_list_NAS). De ez még nem minden. Ahhoz, hogy hozzáférjen a Synology webes felületéhez, be kell állítania a porttovábbítást ehhez a listához ( white_list_NAS)
Ez a szakaszban történik IP->Tűzfal lapon NAT . Hozzunk létre egy szabályt:
chain=dstnat protokoll=tcp Dst.port=5000 Src address list=white_list_NAS action=dst-nat to addresses=192.168.3.201 to ports=5000
Most egy bizonyos módon pingelve hozzáférünk a NAS-hoz (10. ábra)
Ezzel a beállítás befejeződik. Ha minden helyes, akkor a végén a szakaszban vanIP->Tűzfal lapon Szűrési szabályok olyan képet kap, mint a 11. ábrán
Konfiguráció ellenőrzése
Csatlakozzunk SSH-n keresztül a NAS szerverhez (192.168.3.201) és nyomon követjük az 1. számú PC-t (192.168.5.100) és a Dune-t (192.168.3.200) – 12. ábra
A 12. ábra a NAS eredményei
Azt látjuk, hogy az 1. PC-re történő nyomkövetéskor a csomagok átmennek a 192.168.3.1-en, és nem érik el a célt. A csomagok pedig közvetlenül a Dune-ba mennek. Ugyanakkor az internetre irányuló pingek normálisan mennek (ebben az esetben a 8.8.8.8 címre).
És az 1-es PC-ről (192.168.5.100) a NAS-ra (192.168.3.201) a nyomkövetés sikeres (13. ábra).
13. számú ábra nyomkövetés 1. számú PC-vel
A 14. ábra pedig azt mutatja, hogy mi történik egy PC-n, amely a hálózatra csatlakozott, és ezt követően a Mikrotik tűzfalban nem hoztak rá szabályokat. Ennek eredményeként ez a számítógép nem tud kommunikálni az Internettel vagy a helyi hálózat más alhálózatain lévő egyéb eszközökkel.
A 14. ábra egy hálózathoz csatlakoztatott új számítógép eredménye
következtetéseket
Sikerült beállítani az otthoni hálózatunkat, és a biztonság feláldozása nélkül egyesítettük a hálózaton lévő eszközökkel való munkavégzés kényelmét. A következő feladatokat sikerült megoldani:
- A Mikrotik konfigurálása webes felületen keresztül csak az 1-es számú PC-vel lehetséges
- A Synilogy NAS és a Dune képes adatokat fogadni az internetről, de nem férhetnek hozzá más alhálózatokon lévő eszközökhöz. Ezért még akkor is, ha a firmware-jük hátsó ajtókkal rendelkezik a fejlesztők, az NSA vagy valaki más számára, csak egymásról tanulhatnak (a NAS Synilogyról vagy a Dune-ról).
- Megvalósított széf távoli hozzáférés bárhonnan az interneten, hogy otthon telepítse a letöltéshez a NAS Synilogy számára szükséges szoftver
- A hálózathoz csatlakoztatott jogosulatlan eszközök csak azon az alhálózaton belül férhetnek hozzá, amelyhez csatlakoznak, és nem továbbíthatnak adatokat az internetre.
Betöltés...