Saat ini, hampir setiap apartemen memiliki jaringan rumah tempat komputer stasioner, laptop, penyimpanan data (NAS), pemutar media, TV pintar serta ponsel cerdas, tablet, dan perangkat yang dapat dikenakan lainnya. Koneksi kabel (Ethernet) atau nirkabel (Wi-Fi) dan protokol TCP/IP digunakan. Dengan perkembangan teknologi Internet of Things, peralatan rumah tangga - lemari es, pembuat kopi, AC, dan bahkan peralatan instalasi listrik - telah memasuki Web. Berkat solusi Smart Home, kami dapat mengontrol kecerahan pencahayaan, menyesuaikan iklim mikro di tempat dari jarak jauh, menghidupkan dan mematikan berbagai peralatan - ini membuat hidup jauh lebih mudah, tetapi dapat menimbulkan masalah serius bagi pemilik solusi canggih.
Sayangnya para pengembang perangkat serupa sementara mereka tidak cukup peduli dengan keamanan produk mereka, dan jumlah kerentanan yang ditemukan di dalamnya terus bertambah seperti jamur setelah hujan. Tidak jarang perangkat berhenti didukung setelah memasuki pasar - misalnya, TV kami memiliki firmware 2016 berbasis Android 4, dan pabrikan tidak akan memperbaruinya. Para tamu juga menambahkan masalah: tidak nyaman menolak akses Wi-Fi mereka, tetapi saya juga tidak ingin membiarkan siapa pun masuk ke jaringan saya yang nyaman. Siapa yang tahu virus apa yang bisa mengendap di ponsel orang lain? Semua ini mengarahkan kita pada kebutuhan untuk membagi jaringan rumah menjadi beberapa segmen yang terisolasi. Mari kita coba mencari cara melakukannya, seperti yang mereka katakan, dengan sedikit pertumpahan darah dan dengan biaya finansial paling sedikit.
Isolasi jaringan Wi-Fi
Di jaringan perusahaan, masalahnya diselesaikan dengan sederhana - ada sakelar terkelola dengan dukungan untuk jaringan area lokal virtual (VLAN), berbagai router, firewall dan titik akses nirkabel - Anda dapat membuat jumlah segmen terisolasi yang diperlukan dalam beberapa jam. Dengan bantuan perangkat Traffic Inspector Next Generation (TING), misalnya, tugas tersebut diselesaikan hanya dengan beberapa klik. Cukup menghubungkan sakelar segmen jaringan tamu ke port Ethernet terpisah dan membuatnya aturan firewall. Untuk rumah, opsi ini tidak cocok karena mahalnya peralatan - paling sering jaringan kami dikendalikan oleh satu perangkat yang menggabungkan fungsi router, sakelar, titik akses nirkabel, dan entah apa lagi.
Untungnya, router rumah tangga modern (walaupun lebih tepat disebut pusat Internet) juga menjadi sangat pintar, dan hampir semuanya, kecuali mungkin yang berbiaya sangat rendah, memiliki kemampuan untuk membuat ruang tamu yang terisolasi. jaringan wifi. Keandalan isolasi ini adalah pertanyaan untuk artikel terpisah, hari ini kami tidak akan menyelidiki firmware perangkat rumah tangga produsen yang berbeda. Sebagai contoh, mari kita ambil ZyXEL Keenetic Ekstra II. Sekarang baris ini hanya disebut Keenetic, tetapi perangkat yang dirilis dengan merek ZyXEL jatuh ke tangan kami.
Menyiapkan melalui antarmuka web tidak akan menimbulkan kesulitan bahkan untuk pemula - beberapa klik, dan kami memiliki jaringan nirkabel terpisah dengan SSID sendiri, perlindungan WPA2, dan kata sandi akses. Anda dapat membiarkan tamu masuk, serta menyalakan TV dan pemutar dengan firmware yang sudah lama tidak diperbarui atau klien lain yang tidak terlalu Anda percayai. Di sebagian besar perangkat dari pabrikan lain, fungsi ini, kami ulangi, juga hadir dan diaktifkan dengan cara yang sama. Beginilah, misalnya, masalah diselesaikan di firmware router D-Link menggunakan wizard pengaturan.
Anda dapat menambahkan jaringan tamu saat perangkat sudah dikonfigurasi dan berfungsi.
Tangkapan layar dari situs web pabrikan
Tangkapan layar dari situs web pabrikan
Isolasi jaringan Ethernet
Selain klien yang terhubung ke jaringan nirkabel, kami mungkin menemukan perangkat dengan antarmuka kabel. Para ahli akan mengatakan bahwa yang disebut VLAN digunakan untuk membuat segmen Ethernet yang terisolasi - jaringan area lokal virtual. Beberapa router rumah mendukung fungsi ini, tetapi di sini tugasnya menjadi lebih rumit. Saya ingin tidak hanya membuat segmen terpisah, kita perlu menggabungkan port untuk koneksi kabel dengan jaringan tamu nirkabel di satu router. Ini jauh dari sulit untuk perangkat rumah tangga mana pun: analisis dangkal menunjukkan bahwa, selain router Keenetic, model MikroTik juga dapat menambahkan port Ethernet ke segmen tamu yang terhubung ke jaringan Wi-Fi, tetapi proses penyiapannya tidak begitu jelas. Jika kita berbicara tentang router rumah tangga dengan harga yang sebanding, hanya Keenetic yang dapat menyelesaikan masalah dengan beberapa klik di antarmuka web.
Seperti yang Anda lihat, subjek tes dengan mudah mengatasi masalah tersebut, dan di sini perlu diperhatikan fitur menarik lainnya - Anda juga dapat mengisolasi klien nirkabel dari jaringan tamu satu sama lain. Ini sangat berguna: ponsel cerdas teman Anda yang terinfeksi malware akan online, tetapi dia tidak akan dapat menyerang perangkat lain bahkan di jaringan tamu. Jika router Anda memiliki fungsi serupa, Anda pasti harus mengaktifkannya, meskipun ini akan membatasi kemungkinan interaksi klien - misalnya, tidak mungkin lagi berteman dengan TV dengan pemutar media melalui Wi-Fi, Anda akan melakukannya harus menggunakan koneksi kabel. Pada tahap ini, jaringan rumah kami terlihat lebih aman.
Apa hasilnya?
Jumlah ancaman keamanan meningkat dari tahun ke tahun, dan produsen perangkat pintar tidak selalu memberikan perhatian yang cukup pada rilis pembaruan yang tepat waktu. Dalam situasi seperti itu, kami hanya memiliki satu jalan keluar - diferensiasi pelanggan jaringan rumah dan membuat segmen terisolasi untuk mereka. Untuk melakukan ini, Anda tidak perlu membeli peralatan seharga puluhan ribu rubel, pusat Internet rumah tangga yang relatif murah dapat dengan mudah mengatasi tugas tersebut. Di sini saya ingin memperingatkan pembaca agar tidak membeli perangkat merek anggaran. Hampir semua pabrikan sekarang memiliki perangkat keras yang kurang lebih sama, tetapi kualitas perangkat lunak bawaannya sangat berbeda. Serta durasi siklus dukungan untuk model yang dirilis. Bahkan dengan tugas yang cukup sederhana untuk menggabungkan jaringan kabel dan nirkabel dalam segmen yang terisolasi, tidak semua router rumah tangga dapat mengatasinya, dan Anda mungkin memiliki yang lebih kompleks. Terkadang Anda perlu mengonfigurasi segmen tambahan atau pemfilteran DNS untuk hanya mengakses host aman, di ruangan besar Anda harus menghubungkan klien Wi-Fi ke jaringan tamu melalui titik akses eksternal, dll. dan seterusnya. Selain masalah keamanan, ada masalah lain: jaringan publik perlu untuk memastikan pendaftaran klien sesuai dengan persyaratan Undang-Undang Federal No. 97 "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi". Perangkat murah dapat mengatasi masalah seperti itu, tetapi tidak semua - Kegunaan Perangkat lunak bawaan yang mereka miliki, kami ulangi, sangat berbeda.
PNST301-2018/ISO/IEC 24767-1:2008
STANDAR NASIONAL PENDAHULUAN FEDERASI RUSIA
Teknologi Informasi
KEAMANAN JARINGAN RUMAH
Persyaratan keamanan
teknologi Informasi. keamanan jaringan rumah. Bagian 1 Persyaratan keamanan
OKS 35.110, 35.200,35.240.99
Berlaku mulai 01-02-2019
Kata pengantar
Kata pengantar
1 DIPERSIAPKAN OLEH Lembaga Pendidikan Anggaran Negara Federal pendidikan yang lebih tinggi"Universitas Ekonomi Rusia Plekhanov" (Universitas Ekonomi Rusia Plekhanov) berdasarkan terjemahannya sendiri ke dalam bahasa Rusia versi bahasa Inggris dari standar internasional yang ditentukan dalam paragraf 4
2DIPERKENALKAN oleh Komite Teknis Standardisasi TC 22 "Teknologi Informasi"
3DISETUJUI DAN DIBERLAKUKAN berdasarkan Perintah Badan Federal untuk Regulasi Teknis dan Metrologi tertanggal 4 September 2018 N38-pnst
4Standar ini identik dengan ISO/IEC 24767-1:2008* Standar Internasional "Teknologi informasi - Keamanan jaringan rumah - Bagian 1: Persyaratan keamanan" (ISO/IEC 24767-1:2008, "Teknologi informasi - Keamanan jaringan rumah - Bagian 1 : Persyaratan keamanan", IDT)
________________
* Akses ke dokumen internasional dan asing yang disebutkan selanjutnya dalam teks dapat diperoleh dengan mengklik tautan ke situs. - Catatan produsen database.
Aturan untuk penerapan standar ini dan pemantauannya ditetapkan dalam GOST R 1.16-2011 (bagian 5 dan 6).
Badan Federal untuk Regulasi Teknis dan Metrologi mengumpulkan informasi tentang penerapan praktis dari standar ini. Informasi ini, serta komentar dan saran tentang isi standar, dapat dikirim selambat-lambatnya 4 bulan sebelum berakhirnya masa berlakunya kepada pengembang standar ini di alamat: 117997 Moscow, Stremyanny pereulok, 36, Lembaga Pendidikan Anggaran Negara Federal Pendidikan Tinggi "REUdinamai menurut G.V. Plekhanov"dan kepada Badan Federal untuk Regulasi Teknis dan Metrologi di: 109074 Moskow, Kitaygorodsky proezd, 7, gedung 1.
Dalam kasus pembatalan standar ini, informasi yang relevan akan dipublikasikan dalam indeks informasi bulanan "Standar Nasional" dan juga akan diposting di situs resmi Badan Federal untuk Regulasi Teknis dan Metrologi di Internet (www.gost.ru)
Perkenalan
ISO (Organisasi Internasional untuk Standardisasi) dan IEC (Komisi Elektroteknik Internasional) membentuk sistem khusus standardisasi dunia. Badan nasional yang menjadi anggota ISO atau IEC berpartisipasi dalam pengembangan Standar Internasional melalui komite teknis. Setiap badan yang berkepentingan yang merupakan anggota ISO atau IEC dapat mengambil bagian dalam pengembangan standar di area tertentu. Organisasi internasional lainnya, pemerintah dan non-pemerintah, yang berhubungan dengan ISO dan IEC juga ikut serta dalam pekerjaan ini.
Di daerah teknologi Informasi ISO dan IEC telah membentuk Komite Teknis Bersama ISO/IEC JTC 1. Rancangan Standar Internasional yang disiapkan oleh Komite Teknis Bersama diedarkan ke Komite Nasional untuk pemungutan suara. Publikasi sebagai Standar Internasional memerlukan persetujuan oleh sekurang-kurangnya 75% dari Komite Nasional yang memberikan suara.
Keputusan atau kesepakatan resmi IEC dan ISO tentang hal teknis mengungkapkan, sejauh mungkin, suatu konsensus internasional mengenai hal-hal yang relevan, karena setiap komite teknis memiliki perwakilan dari semua badan anggota nasional IEC dan ISO yang berkepentingan.
Publikasi IEC, ISO dan ISO/IEC adalah dalam bentuk rekomendasi untuk penggunaan internasional dan diterima oleh komite nasional anggota IEC dan ISO dalam pengertian tersebut. Meskipun segala upaya telah dilakukan untuk memastikan keakuratan konten teknis dari publikasi IEC, ISO dan ISO/IEC, IEC atau ISO tidak bertanggung jawab atas cara penggunaannya atau atas kesalahan interpretasi oleh pengguna akhir.
Untuk memastikan harmonisasi internasional (satu sistem), Komite Nasional IEC dan ISO berjanji untuk memastikan transparansi maksimum dalam penerapan Standar Internasional IEC, ISO dan ISO / IEC, sejauh kondisi nasional dan regional suatu negara memungkinkan. Perbedaan apa pun antara publikasi ISO/IEC dan standar nasional atau regional yang sesuai harus ditunjukkan dengan jelas di bagian terakhir.
ISO dan IEC tidak memiliki prosedur penandaan dan tidak bertanggung jawab atas peralatan yang diklaim sesuai dengan salah satu standar ISO/IEC.
Semua pengguna harus memastikan bahwa mereka menggunakan edisi terbaru dari publikasi ini.
IEC atau ISO, manajemen, karyawan, karyawan atau perwakilannya, termasuk pakar individu dan anggota komite teknisnya, dan anggota Komite Nasional IEC atau ISO, tidak bertanggung jawab atas kecelakaan, kerusakan properti, atau kerusakan lainnya, baik langsung maupun tidak langsung, atau untuk biaya (termasuk biaya legal) yang dikeluarkan sehubungan dengan publikasi atau penggunaan publikasi ISO/IEC ini atau publikasi IEC, ISO atau ISO/IEC lainnya.
Dokumentasi normatif yang dikutip dalam publikasi ini memerlukan perhatian khusus Penggunaan dokumen referensi diperlukan untuk aplikasi yang benar dari publikasi ini.
Perhatian tertuju pada fakta bahwa beberapa elemen dari Standar Internasional ini dapat menjadi subjek dari hak paten. ISO dan IEC tidak bertanggung jawab untuk menentukan salah satu atau semua hak paten tersebut.
Standar Internasional ISO/IEC 24767-1 dikembangkan oleh Subkomite 25, Interkoneksi peralatan teknologi informasi, Komite Teknis Gabungan ISO/IEC 1, Teknologi informasi.
Daftar semua bagian seri ISO/IEC 24767 yang saat ini tersedia dengan judul umum "Teknologi informasi - Keamanan jaringan rumah" tersedia di situs web IEC.
1 area penggunaan
Standar Internasional ini menetapkan persyaratan untuk melindungi jaringan rumah dari ancaman internal atau eksternal. Standar tersebut menjadi dasar pengembangan sistem keamanan yang melindungi lingkungan internal dari berbagai ancaman.
Persyaratan keamanan ditangani dalam Standar Internasional ini dengan cara yang relatif informal Meskipun banyak topik yang dibahas dalam Standar Internasional ini berfungsi sebagai panduan untuk mengembangkan sistem keamanan untuk intranet dan Internet, mereka bersifat persyaratan informal.
Berbagai perangkat terhubung ke jaringan internal (rumah) (lihat Gambar 1). Perangkat "jaringan alat rumah tangga", perangkat "hiburan audio/video", dan perangkat "aplikasi informasi" memiliki fungsi dan kinerja yang berbeda. Standar Internasional ini menyediakan sarana untuk menganalisis risiko setiap perangkat yang terhubung ke jaringan dan menentukan persyaratan keamanan untuk setiap perangkat.
2Istilah, definisi dan singkatan
2.1 Istilah dan definisi
Istilah dan definisi berikut berlaku dalam standar ini:
2.1.1 elektronik konsumen(barang coklat): Perangkat audio/video yang terutama digunakan untuk tujuan hiburan, seperti perekam TV atau DVD.
2.1.2kerahasiaan(kerahasiaan): Properti yang memastikan bahwa informasi tidak dapat diakses atau diungkapkan kepada orang, organisasi, atau proses yang tidak berwenang.
2.1.3 otentikasi data(autentikasi data): Layanan yang digunakan untuk memastikan bahwa sumber data yang diklaim diverifikasi dengan benar.
2.1.4 integritas data(integritas data): Properti yang mengonfirmasi bahwa data tidak diubah atau dihancurkan dengan cara yang tidak sah.
2.1.5 otentikasi pengguna(otentikasi pengguna): Layanan untuk memastikan bahwa informasi identitas yang disajikan oleh peserta komunikasi diverifikasi dengan benar, sedangkan layanan otorisasi memastikan bahwa pengguna yang diidentifikasi dan diberi otorisasi memiliki akses ke perangkat tertentu atau aplikasi jaringan rumah.
2.1.6 Peralatan(barang putih): Perangkat yang digunakan dalam kehidupan sehari-hari, seperti AC, kulkas, dll.
2.2 Singkatan
Singkatan berikut digunakan dalam standar ini:
3 Kepatuhan
Standar ini berisi pedoman tanpa persyaratan kepatuhan.
4Persyaratan keamanan untuk sistem dan jaringan elektronik rumah internal
4.1 Ketentuan Umum
Dengan pesatnya perkembangan Internet dan teknologi jaringan terkait, komunikasi antara komputer di kantor dan rumah dengan dunia luar menjadi mungkin, yang menyediakan akses ke banyak sumber daya. Saat ini, teknologi yang menjadi dasar kesuksesan ini telah sampai ke rumah kita dan memberikan kemampuan untuk menyambungkan peralatan dengan cara yang sama komputer pribadi. Dengan demikian, mereka tidak hanya memungkinkan pengguna untuk memantau dan mengontrol peralatan rumah tangga mereka baik dari dalam maupun luar rumah, tetapi juga menciptakan layanan dan kemampuan baru, seperti remote control. peralatan Rumah Tangga dan layanannya. Ini berarti bahwa biasa lingkungan komputer di rumah diubah menjadi jaringan rumah internal, menghubungkan banyak perangkat, yang keamanannya juga perlu dipastikan.
Penghuni, pengguna, dan pemilik rumah dan sistem perlu mempercayai sistem elektronik rumah. Tujuan keamanan rumah sistem elektronik- memberikan kepercayaan pada sistem. Karena banyak komponen sistem elektronik rumah beroperasi terus menerus, 24 jam sehari, dan secara otomatis bertukar informasi dengan dunia luar, keamanan informasi diperlukan untuk memastikan kerahasiaan, integritas, dan ketersediaan data dan sistem. menyiratkan, misalnya, bahwa akses ke sistem dan penyimpanan hanya pengguna dan proses yang berwenang yang menerima data masuk dan keluar, dan hanya pengguna yang berwenang yang dapat menggunakan dan membuat perubahan pada sistem.
Persyaratan keamanan untuk jaringan HES dapat dijelaskan dalam beberapa cara. Standar ini terbatas pada keamanan TI jaringan HES. Namun, keamanan teknologi informasi harus melampaui sistem itu sendiri, karena rumah harus berfungsi, meskipun dengan kemampuan terbatas, jika terjadi kegagalan sistem TI. Kecerdasan yang biasanya didukung oleh jaringan HES juga dapat dilakukan saat sistem terhubung rusak. Dalam kasus seperti itu, dapat dipahami bahwa ada persyaratan keamanan yang tidak dapat menjadi bagian dari sistem itu sendiri, tetapi sistem tidak boleh melarang penerapan solusi pencadangan.
Ada sejumlah orang yang tertarik dengan masalah keamanan. Sistem elektronik rumah harus dipercaya tidak hanya oleh penghuni dan pemilik, tetapi juga oleh penyedia layanan dan konten. Yang terakhir harus memastikan bahwa layanan dan konten yang mereka tawarkan hanya digunakan dengan cara yang diizinkan. Namun, salah satu dasar keamanan sistem adalah bahwa administrator layanan keamanan tertentu harus bertanggung jawab untuk itu. Jelas bahwa tanggung jawab tersebut harus diberikan kepada penduduk (pemilik sistem). Tidak masalah jika administrator melakukannya secara pribadi atau melakukan outsourcing. Bagaimanapun, administrator keamanan bertanggung jawab. Masalah kepercayaan penyedia layanan dan konten pada sistem elektronik rumah dan keyakinan mereka bahwa pengguna menggunakan layanan dan konten mereka dengan benar ditentukan oleh kewajiban kontraktual antara para pihak. Kontrak, misalnya, dapat mencantumkan fitur, komponen, atau proses yang harus didukung oleh sistem elektronik rumah.
Arsitektur sistem elektronik rumah berbeda untuk jenis yang berbeda rumah. Untuk model apa pun, mungkin ada serangkaian persyaratan keamanan khusus. Di bawah ini adalah deskripsi dari tiga model sistem elektronik rumah yang berbeda dengan persyaratan keamanan yang berbeda.
Jelas, beberapa persyaratan keamanan lebih penting daripada yang lain. Dengan demikian, jelas bahwa dukungan untuk beberapa penanggulangan akan bersifat opsional. Selain itu, penanggulangan dapat bervariasi dalam kualitas dan biaya. Juga, keterampilan yang berbeda mungkin diperlukan untuk mengelola dan mempertahankan penanggulangan tersebut. Standar Internasional ini mencoba untuk mengklarifikasi alasan di balik persyaratan keamanan yang terdaftar dan dengan demikian memungkinkan perancang sistem elektronik rumah untuk menentukan fitur keamanan mana yang harus didukung oleh sistem rumah tertentu dan, mengingat persyaratan kualitas dan upaya manajemen dan pemeliharaan, mekanisme mana yang harus dipilih untuk fitur tersebut .
Persyaratan keamanan jaringan internal bergantung pada definisi keamanan dan "rumah", serta apa yang dimaksud dengan "jaringan" di rumah tersebut. Jika jaringan hanyalah saluran yang menghubungkan satu PC ke printer atau modem kabel, maka untuk mengamankan jaringan rumah, cukup mengamankan saluran ini dan peralatan yang dihubungkannya.
Namun, jika ada lusinan, jika bukan ratusan, perangkat jaringan dalam domain, dengan beberapa milik seluruh rumah tangga dan beberapa milik orang di rumah, langkah-langkah keamanan yang lebih canggih perlu dilakukan.
4.2Keamanan sistem elektronik rumah
4.2.1 Menentukan sistem elektronik rumah dan keamanan sistem
Sistem dan jaringan elektronik rumah dapat didefinisikan sebagai seperangkat elemen yang memproses, mengirim, menyimpan, dan mengelola informasi, memungkinkan komunikasi dan integrasi banyak perangkat komputer, serta perangkat kontrol, pemantauan dan komunikasi yang terletak di rumah.
Selain itu, sistem dan jaringan elektronik rumah menyediakan interkoneksi antara perangkat hiburan dan informasi, serta perangkat komunikasi dan keamanan, serta peralatan rumah tangga yang tersedia di rumah. Perangkat dan perangkat semacam itu akan bertukar informasi, mereka dapat dikendalikan dan dikendalikan saat berada di dalam rumah atau dari jarak jauh. Oleh karena itu, semua jaringan rumah dalam ruangan memerlukan beberapa mekanisme keamanan untuk melindungi operasi sehari-hari mereka.
Keamanan jaringan dan informasi dapat dipahami sebagai kemampuan jaringan atau sistem informasi untuk menahan peristiwa acak atau tindakan jahat pada tingkat tertentu. Peristiwa atau aktivitas tersebut dapat membahayakan ketersediaan, keaslian, keaslian, dan kerahasiaan data yang disimpan atau dikirimkan, serta layanan terkait yang ditawarkan melalui jaringan dan sistem tersebut.
Insiden keamanan informasi dapat dikelompokkan ke dalam kelompok berikut:
Email dapat disadap, data dapat disalin atau diubah. Hal ini dapat menyebabkan kerugian yang disebabkan oleh pelanggaran hak privasi individu dan penyalahgunaan data yang dicegat;
Akses tidak sah ke komputer dan jaringan komputer internal biasanya dilakukan dengan niat jahat untuk menyalin, mengubah, atau menghancurkan data dan dapat meluas ke peralatan dan sistem otomatis yang terletak di rumah;
Serangan jahat di Internet telah menjadi hal biasa, dan jaringan telepon juga dapat menjadi lebih rentan di masa mendatang;
Jahat perangkat lunak, seperti virus, dapat menonaktifkan komputer, menghapus atau mengubah data, atau memprogram ulang peralatan Rumah Tangga. Beberapa serangan virus cukup merusak dan merugikan;
Penyalahgunaan informasi tentang individu atau badan hukum dapat menyebabkan bahaya yang signifikan, seperti pelanggan mengunduh malware dari situs web yang menyamar sebagai sumber tepercaya, kontrak dapat dihentikan, dan informasi rahasia dapat dikirim ke penerima yang salah;
banyak kejadian informasi keamanan terkait dengan peristiwa yang tidak terduga dan tidak diinginkan seperti bencana alam (banjir, badai, dan gempa bumi), kegagalan perangkat keras atau perangkat lunak, dan kesalahan manusia.
Dengan penyebaran akses Internet broadband dan gadget saku, router nirkabel (router) menjadi sangat populer. Perangkat semacam itu mampu mentransmisikan sinyal melalui protokol Wi-Fi ke komputer stasioner dan perangkat seluler - smartphone dan tablet - sambil bandwidth saluran cukup untuk koneksi simultan dari beberapa konsumen.
Saat ini, ada router nirkabel di hampir semua rumah tempat Internet broadband dipasang. Namun, tidak semua pemilik perangkat semacam itu memikirkan fakta bahwa, dengan pengaturan default, mereka sangat rentan terhadap penyusup. Dan jika Anda berpikir bahwa Anda tidak melakukan apa pun di Internet yang dapat membahayakan Anda, pikirkan fakta bahwa dengan mencegat sinyal jaringan nirkabel lokal, peretas dapat memperoleh akses tidak hanya ke korespondensi pribadi Anda, tetapi juga ke rekening bank resmi Anda. dokumen dan file lainnya.
Peretas mungkin tidak terbatas hanya memeriksa memori perangkat Anda sendiri - isinya dapat memberikan petunjuk ke jaringan perusahaan Anda, kerabat dan teman Anda, ke data semua jenis komersial dan pemerintah sistem Informasi. Selain itu, melalui jaringan Anda dan atas nama Anda, penyerang dapat melakukan serangan besar-besaran, meretas, mendistribusikan file media dan perangkat lunak secara ilegal, dan terlibat dalam aktivitas kriminal lainnya.
Sedangkan untuk melindungi diri dari ancaman tersebut, sebaiknya ikuti beberapa saja aturan sederhana yang dapat dimengerti dan diakses bahkan oleh mereka yang tidak memiliki pengetahuan khusus di lapangan jaringan komputer. Kami mengundang Anda untuk membiasakan diri dengan aturan ini.
1. Ubah detail admin default
Untuk mengakses pengaturan router Anda, Anda harus pergi ke antarmuka webnya. Untuk melakukan ini, Anda perlu mengetahui alamat IP-nya di jaringan lokal(LAN), serta login dan kata sandi administrator.
Alamat IP internal default router, sebagai aturan, adalah 192.168.0.1, 192.168.1.1, 192.168.100.1 atau, misalnya, 192.168.123.254 - selalu ditunjukkan dalam dokumentasi perangkat keras. Login dan kata sandi default biasanya juga dilaporkan dalam dokumentasi, atau dapat diperoleh dari produsen router atau penyedia layanan Anda.
Masukkan alamat IP router di bilah alamat browser, dan di jendela yang muncul, masukkan nama pengguna dan kata sandi. Antarmuka web router akan terbuka di depan kita dengan berbagai macam pengaturan.
Elemen kunci keamanan jaringan rumah adalah kemampuan untuk mengubah pengaturan, jadi pastikan untuk mengubah semua data administrator default, karena data tersebut dapat digunakan di puluhan ribu contoh router yang sama dengan Anda. Kami menemukan item yang sesuai dan memasukkan data baru.
Dalam beberapa kasus, kemampuan untuk mengubah data administrator secara sewenang-wenang diblokir oleh penyedia layanan, dan kemudian Anda harus menghubungi mereka untuk mendapatkan bantuan.
2. Tetapkan atau ubah kata sandi untuk akses LAN
Anda akan tertawa, tetapi masih ada kasus ketika pemilik router nirkabel yang murah hati mengatur titik akses terbuka yang dapat disambungkan oleh siapa saja. Jauh lebih sering, kata sandi semu seperti "1234" atau beberapa kata dangkal yang ditentukan selama instalasi jaringan dipilih untuk jaringan rumah. Untuk meminimalkan kemungkinan seseorang dapat dengan mudah masuk ke jaringan Anda, Anda perlu membuat kata sandi huruf, angka, dan simbol yang sangat panjang, dan mengatur tingkat enkripsi sinyal - sebaiknya WPA2.
3. Nonaktifkan WPS
Teknologi WPS (Wi-Fi Protected Setup) memungkinkan Anda membangun keamanan dengan cepat komunikasi nirkabel antara perangkat yang kompatibel tanpa pengaturan rinci, tetapi hanya dengan menekan tombol yang sesuai di router dan gadget atau dengan memasukkan kode digital.
Sementara itu, sistem yang nyaman ini, biasanya diaktifkan secara default, memiliki satu kelemahan: karena WPS tidak menghitung jumlah upaya untuk memasukkan kode yang salah, WPS dapat diretas dengan "kekerasan" dengan pencacahan sederhana menggunakan utilitas paling sederhana. Diperlukan beberapa menit hingga beberapa jam untuk menembus jaringan Anda melalui kode WPS, setelah itu tidak akan sulit untuk menghitung kata sandi jaringan.
Oleh karena itu, kami menemukan item yang sesuai di "panel admin" dan menonaktifkan WPS. Sayangnya, membuat perubahan pada pengaturan tidak selalu benar-benar menonaktifkan WPS, dan beberapa produsen sama sekali tidak menyediakan opsi seperti itu.
4. Ubah nama SSID
SSID (Pengidentifikasi Set Layanan) adalah nama jaringan nirkabel Anda. Dialah yang "diingat" oleh berbagai perangkat yang, mengenali nama dan memiliki kata sandi yang diperlukan, mencoba menyambung ke jaringan lokal. Jadi jika Anda tetap menggunakan nama default yang ditetapkan oleh, misalnya, ISP Anda, maka ada kemungkinan perangkat Anda akan mencoba menyambung ke banyak jaringan terdekat dengan nama yang sama.
Selain itu, router yang menyiarkan SSID standar lebih rentan terhadap peretas, yang secara kasar akan mengetahui model dan pengaturan normalnya, dan akan dapat menyerang pada titik tertentu. titik lemah konfigurasi seperti itu. Oleh karena itu, pilihlah nama yang seunik mungkin, yang tidak menyebutkan apa pun tentang penyedia layanan atau produsen peralatan.
Pada saat yang sama, saran yang sering dijumpai untuk menyembunyikan siaran SSID, dan opsi ini merupakan standar untuk sebagian besar router, sebenarnya tidak dapat dipertahankan. Faktanya adalah bahwa semua perangkat yang mencoba terhubung ke jaringan Anda, bagaimanapun juga, akan melewati titik akses terdekat, dan dapat terhubung ke jaringan yang secara khusus "ditempatkan" oleh penyusup. Dengan kata lain, dengan menyembunyikan SSID, Anda hanya mempersulit hidup Anda sendiri.
5. Ubah IP router
Untuk mempersulit akses tidak sah ke antarmuka web router dan pengaturannya, ubah alamat IP internal (LAN) default di dalamnya.
6. Nonaktifkan administrasi jarak jauh
Untuk kenyamanan dukungan teknis(kebanyakan) banyak router konsumen memiliki fungsi administrasi jarak jauh, yang dengannya pengaturan router tersedia melalui Internet. Oleh karena itu, jika kita tidak ingin penetrasi dari luar, sebaiknya fungsi ini dinonaktifkan.
Namun, pada saat yang sama, Anda tetap dapat memasuki antarmuka web melalui Wi-Fi jika penyerang berada di bidang jaringan Anda dan mengetahui login dan kata sandinya. Beberapa router memiliki fungsi untuk membatasi akses ke panel hanya ketika ada koneksi kabel, namun sayangnya opsi ini cukup jarang.
7. Perbarui firmware
Setiap produsen router yang menghargai dirinya sendiri dan pelanggannya terus meningkatkan perangkat lunak peralatannya dan secara teratur merilis versi firmware ("firmware") yang diperbarui. Dalam versi terbaru, pertama-tama, kerentanan yang ditemukan diperbaiki, serta kesalahan yang memengaruhi stabilitas pekerjaan.
Harap dicatat bahwa setelah pembaruan, semua pengaturan yang telah Anda buat dapat diatur ulang ke pengaturan pabrik, jadi masuk akal untuk membuatnya cadangan juga melalui antarmuka web.
8. Pindah ke pita 5 GHz
Rentang dasar jaringan Wi-Fi adalah 2,4 GHz. Ini memberikan penerimaan yang andal oleh sebagian besar perangkat yang ada pada jarak hingga sekitar 60 m di dalam ruangan dan hingga 400 m di luar ruangan. Beralih ke pita 5 GHz akan mengurangi jangkauan komunikasi dua hingga tiga kali lipat, membatasi kemampuan pihak luar untuk menembus jaringan nirkabel Anda. Karena hunian band yang lebih sedikit, Anda mungkin juga melihat peningkatan kecepatan transfer data dan stabilitas koneksi.
Solusi ini hanya memiliki satu kekurangan - tidak semua perangkat bekerja dengan Wi-Fi standar IEEE 802.11ac di pita 5 GHz.
9. Nonaktifkan fungsi PING, Telnet, SSH, UPnP dan HNAP
Jika Anda tidak tahu apa yang ada di balik singkatan ini, dan tidak yakin bahwa Anda pasti membutuhkan fungsi ini, temukan di pengaturan router dan nonaktifkan. Jika memungkinkan, alih-alih menutup port, pilih modus siluman(stealth), yang, ketika mencoba mengaksesnya dari luar, akan membuat port ini "tidak terlihat", mengabaikan permintaan dan "ping".
10. Nyalakan firewall router
Jika router Anda memiliki firewall bawaan, kami sarankan Anda mengaktifkannya. Tentu saja, ini bukan benteng pertahanan mutlak, melainkan kombinasi dengan alat perangkat lunak(bahkan dengan built-in firewall jendela) dia mampu menahan serangan dengan cukup baik.
11. Matikan pemfilteran alamat MAC
Meskipun pada pandangan pertama tampaknya kemampuan untuk menghubungkan hanya perangkat dengan alamat MAC tertentu ke jaringan sepenuhnya menjamin keamanan, pada kenyataannya tidak demikian. Terlebih lagi, itu membuat jaringan terbuka bahkan untuk peretas yang tidak terlalu pandai. Jika penyerang dapat melacak paket yang masuk, dia akan segera mendapatkan daftar alamat MAC aktif, karena dikirim tanpa enkripsi dalam aliran data. Dan mengubah alamat MAC bukanlah masalah bahkan untuk non-profesional.
12. Ubah ke server DNS yang berbeda
Alih-alih menggunakan server DNS ISP Anda, Anda dapat beralih ke alternatif seperti Google Public DNS atau OpenDNS. Di satu sisi, hal ini dapat mempercepat pengiriman halaman Internet, dan di sisi lain meningkatkan keamanan. Misalnya, OpenDNS memblokir virus, botnet, dan permintaan phishing pada port, protokol, dan aplikasi apa pun, dan berkat algoritme khusus berdasarkan Big Data, OpenDNS dapat memprediksi dan mencegah berbagai ancaman dan serangan. Pada saat yang sama, Google Public DNS hanyalah server DNS berkecepatan tinggi tanpa fitur tambahan.
13. Pasang "firmware" alternatif
Dan terakhir, langkah radikal bagi seseorang yang memahami apa yang mereka lakukan adalah menginstal firmware yang ditulis bukan oleh pabrikan router Anda, tetapi oleh para peminat. Biasanya, "firmware" semacam itu tidak hanya memperluas fungsionalitas perangkat (biasanya, dukungan untuk fungsi profesional seperti QoS, mode jembatan, SNMP, dll.) ditambahkan, tetapi juga membuatnya lebih tahan terhadap kerentanan - termasuk karena tidak standar.
Di antara "firmware" sumber terbuka yang populer adalah yang berbasis Linux
Beberapa tahun yang lalu, jaringan nirkabel rumah cukup sederhana dan biasanya terdiri dari titik akses dan beberapa komputer yang digunakan untuk mengakses Internet, belanja online atau game. Namun di zaman kita, jaringan rumah menjadi jauh lebih kompleks. Sejumlah besar perangkat kini terhubung ke jaringan rumah, yang digunakan tidak hanya untuk mengakses Internet atau menonton media. Pada artikel ini, kita akan berbicara tentang cara membuat jaringan rumah Anda aman untuk semua anggota keluarga.Keamanan Nirkabel
Hampir setiap rumah memiliki jaringan nirkabel (atau biasa disebut jaringan Wi-Fi). Jaringan ini memungkinkan Anda menghubungkan perangkat apa pun ke Internet, seperti laptop, tablet, atau konsol game. Sebagian besar jaringan nirkabel dikendalikan oleh router, perangkat yang dipasang oleh ISP Anda untuk menyediakan akses ke Internet. Namun dalam beberapa kasus, jaringan Anda mungkin dikendalikan oleh sistem terpisah, yang disebut titik akses, yang terhubung ke router. Apa pun sistem yang digunakan perangkat Anda untuk terhubung ke Internet, prinsip pengoperasian sistem ini sama: transmisi sinyal radio. Berbagai perangkat dapat terhubung ke Internet dan ke perangkat lain di jaringan Anda. Artinya, keamanan jaringan rumah Anda adalah salah satu komponen utama untuk melindungi rumah Anda. Kami menyarankan Anda untuk mengikuti aturan ini untuk menjaga keamanan jaringan rumah Anda:- Ubah kata sandi administrator yang ditetapkan oleh pabrikan perute Internet atau titik akses. Akun administrator memungkinkan Anda membuat perubahan pada pengaturan jaringan. Masalahnya adalah banyak router datang dengan standar, yah kata sandi yang diketahui dan mereka mudah ditemukan secara online. Oleh karena itu, Anda harus mengubah kata sandi pabrik menjadi kata sandi yang unik dan kuat yang hanya Anda yang akan mengetahuinya.
- Ubah nama jaringan yang ditetapkan oleh pabrikan (disebut juga SSID). Ini adalah nama yang dilihat perangkat Anda saat mencari jaringan nirkabel rumah Anda. Berikan jaringan rumah Anda nama unik yang mudah dikenali tetapi tidak berisi informasi pribadi apa pun. Mengkonfigurasi jaringan sebagai "tidak terlihat" adalah bentuk perlindungan yang tidak efektif. Sebagian besar program pemindaian jaringan nirkabel dan peretas yang terampil dapat dengan mudah menemukan jaringan yang "tidak terlihat".
- Pastikan hanya orang yang Anda percayai yang dapat terhubung ke jaringan Anda dan koneksi tersebut dienkripsi. Ini akan membantu meningkatkan keamanan. Saat ini paling banyak koneksi aman adalah WPA2. Saat menggunakannya, kata sandi diminta saat menghubungkan ke jaringan, dan enkripsi digunakan saat menghubungkan. Pastikan Anda tidak menggunakan metode usang seperti WEP atau menggunakan jaringan terbuka (yang tidak menawarkan keamanan sama sekali). jaringan terbuka memungkinkan semua orang untuk terhubung ke jaringan nirkabel Anda tanpa otentikasi.
- Pastikan orang menggunakan kata sandi yang kuat untuk terhubung ke jaringan Anda yang tidak sama dengan kata sandi administrator. Ingatlah bahwa Anda hanya perlu memasukkan kata sandi untuk setiap perangkat yang Anda gunakan satu kali, dan perangkat dapat mengingat dan menyimpan kata sandi ini.
- Sebagian besar jaringan nirkabel mendukung apa yang dikenal sebagai Jaringan Tamu. Ini memungkinkan tamu untuk mengakses Internet, tetapi dalam kasus ini jaringan rumah dilindungi, karena tamu tidak dapat terhubung ke perangkat rumah di jaringan Anda. Jika Anda menambahkan jaringan tamu, pastikan Anda menggunakan WPA2 dan diamankan dengan kata sandi yang unik dan kuat.
- Nonaktifkan Wi-Fi Protected Setup atau pengaturan lain yang memungkinkan Anda menyambungkan perangkat baru tanpa memasukkan kata sandi atau opsi konfigurasi lainnya.
- Jika Anda merasa sulit untuk mengingat semua kata sandi Anda, kami sangat menyarankan untuk menggunakan pengelola kata sandi untuk menyimpannya.
Keamanan perangkat Anda
Langkah selanjutnya adalah menyempurnakan daftar semua perangkat yang terhubung ke jaringan dan memastikan keamanannya. Ini mudah dilakukan di masa lalu ketika sejumlah kecil perangkat terhubung ke jaringan. Namun di dunia sekarang ini, hampir semua perangkat dapat "selalu terhubung" ke jaringan, termasuk TV, konsol game, kamera bayi, speaker, pemanas atau bahkan mobil. Satu dari cara sederhana mendeteksi perangkat yang terhubung akan digunakan pemindai jaringan, misalnya Fing. Aplikasi ini, setelah dipasang di komputer, memungkinkan Anda menemukan semua perangkat yang terhubung ke jaringan. Setelah Anda menemukan semua perangkat, Anda harus menjaga keamanannya. Jalan terbaik memastikan keamanan - memperbarui sistem operasi / firmware mereka secara teratur. Jika memungkinkan, atur pembaruan otomatis sistem. Jika memungkinkan untuk menggunakan kata sandi untuk setiap perangkat, gunakan hanya kata sandi yang kuat dan kuat. Terakhir, kunjungi situs web Penyedia Layanan Internet untuk informasi tentang cara bebas melindungi jaringan Anda.tentang Penulis
Cheryl Conley adalah Kepala Pelatihan Keamanan Informasi di Lockheed Martin. Dia menggunakan The I Compaign TM untuk melatih 100.000 karyawan perusahaan. Metodologi secara aktif menggunakan kelompok fokus dalam perusahaan dan mengoordinasikan program globalSebelumnya, banyak yang entah bagaimana dapat mengontrol keberadaan satu atau dua perangkat di jaringan mereka, tetapi sekarang pengguna memiliki lebih banyak perangkat. Ini membuat kontrol yang andal menjadi sulit.
Perkembangan teknologi dan telekomunikasi menyebabkan peningkatan pesat di rumah pengguna semua jenis perangkat yang dapat bekerja dengan Internet. Pengguna bersedia membeli perangkat yang berinteraksi dengan Internet untuk mendengarkan radio Internet, mengunduh musik, film, program, e-book dan untuk kegiatan lainnya. Dan jika sebelumnya banyak yang bisa mengontrol keberadaan satu atau dua perangkat di jaringan mereka, sekarang pengguna memiliki lebih banyak perangkat. Ini membuat kontrol yang andal menjadi sulit. Apalagi ketika keluarga terdiri dari beberapa pengguna yang berhasil menghubungkan perangkat ke jaringan tanpa persetujuan satu sama lain. Kurangnya pengetahuan di bidang pengaturan jaringan rumah yang kompeten mengarah pada fakta bahwa pengguna dapat dimata-matai dari Internet di luar keinginan mereka (http://habrahabr.ru/post/189674/). Atau sebaliknya: pengguna kehilangan kemampuan untuk memantau dari jarak jauh melalui Internet apa yang terjadi di bidang pandang kamera IP mereka karena Robin Hoods.
Dengan artikel ini, idealnya saya ingin meningkatkan literasi penduduk di daerah bersuara. Paling tidak, saya berharap pengalaman saya akan menghemat waktu dan tenaga bagi mereka yang telah lama berpikir untuk menangani anarki digital di jaringan rumah mereka. Dan, mungkin, ini akan berguna bagi mereka yang sedang memikirkan cara mengatur home theater dengan benar.
Awalnya, saya dihadapkan pada situasi dimana daftar peralatan di rumah saya yang membutuhkan Internet mencapai:
- 2 PC (milik saya dan orang tua)
- telepon genggam
- Perlengkapan Teater Rumah (Synology NAS Server, Dune Media Player)
- tablet
Tapi pada akhirnya, saya bisa membunuh dua burung dengan satu batu. Saya berhenti di router Latvia Mikrotik 751G-2HnD. Dia tidak menyebabkan banyak kerusakan pada dompet saya (seperti kegembiraan saya dari perangkat yang diperoleh). Dan mampu memenuhi semua kebutuhan saya. Ke depan, saya akan mengatakan bahwa pengalaman saya dengan perangkat keras ini sangat bagus sehingga saya membeli kakaknya Mikrotik 951G-2HnD ke kantor
Diagram koneksi umum untuk semua perangkat ditunjukkan pada Gambar. 1.
Gambar No. 1 Skema umum untuk menghubungkan perangkat di jaringan rumah saya
Saya akan menambahkan beberapa penjelasan pada gambar. TV itu sendiri tidak berkomunikasi dengan Internet. Hanya karena tidak memiliki kabel Ethernet (dibeli saat itu). Terhubung dengan kabel HDMI ke pemutar media (Dune HD Smart D1). Dan sekarang Dune dapat menyiarkan video di TV. Terlepas dari beberapa penyimpanan dan dukungan data Dune media yang dapat dilepas(serta keberadaan klien torrent bawaan). Ini hanya digunakan sebagai pemutar media. Dan Synology DS212j sudah digunakan sebagai tempat penyimpanan musik, film. Ini juga memiliki plugin untuk bekerja dengan jaringan Torrent. Folder bersama dikonfigurasi pada perangkat ini, dari mana Dune menerima file media untuk ditampilkan. Dune dan Synology terhubung dengan menghubungkan ke sakelar biasa (ditandai sebagai Sakelar pada gambar). Saya tidak memerlukan fitur apa pun dari sakelar, jadi saya membeli sakelar 4 port pertama yang muncul.
Switch dan kedua PC terhubung ke port Mikrotik yang berbeda. Saya harus mengatakan bahwa orang tua saya serius menangani masalah memiliki Internet di berbagai bagian apartemen pada tahap perbaikan. Oleh karena itu, kabel Ethernet diletakkan di hampir setiap ruangan di dinding. Jadi secara fisik peralatan tersebut tersebar di ruangan yang berbeda. Dan kabel Ethernet tidak terlihat di lantai, langit-langit atau dinding (yang sering ditemukan di apartemen lain). Meski di beberapa sudut, kabel kabel masih kurang. Oleh karena itu, saya menyarankan keluarga muda masa depan untuk memikirkan masalah ini dengan sangat hati-hati. Lagi pula, Wi-Fi tidak selalu keputusan yang baik. Tapi secara umum, semuanya terhubung dengan indah.
Agar struktur jaringannya jelas, mari kita mulai dengan menyiapkan Mikrotik
Langkah pertama - kita berteman dengan Internet Mikrotik.
Pengaturan mikrotik dengan RouterOS v6.x tidak ada masalah. Melalui WebFig, di tab Set Cepat (Gbr. 2), setel alamat IP yang dikeluarkan oleh penyedia (tergantung kondisi Anda, daftarkan secara statis, atau setel DHCP untuk menerima secara otomatis). Jika perlu, Anda dapat mengubah alamat MAC port WAN (jika penyedia mengikat penerbitan IP ke alamat MAC salah satu perangkat Anda, misalnya, router sebelumnya). Centang kotak seperti yang ditunjukkan pada Gambar 2
Gambar No. 2 langkah setup pertama
Untuk kasus dengan versi RouterOS< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Pengaturan jaringan - teori
Gambar 3 - gambar terakhir, yang saya bawa jaringan.
Gambar No. 3 Final setup jaringan
Pertama, saya akan memberi tahu Anda apa yang saya siapkan, lalu kita akan langsung ke penyiapan. Port knocking dikonfigurasi pada Mikrotik, memungkinkan Anda untuk membuka dengan aman waktu tertentu akses dari Internet untuk mengelola Synology NAS Anda melalui browser. Tiba-tiba, Anda ingin meletakkan sesuatu di lompatan, sehingga Anda sudah dapat mengunduhnya saat Anda kembali ke rumah.
Sakelar terhubung ke port 3 router. Oleh karena itu, untuk memudahkan mengingat, alamat dari subnet 192.168.3.x diberikan ke seluruh jaringan pada port ini
Alamat IP Mikrotik untuk manajemen melalui antarmuka web adalah 192.168.5.1.
PC #1 (192.168.5.100) terhubung ke port 5 router. Dia diizinkan untuk mengakses Internet, ke semua perangkat di jaringan dan ke Mikrotik - untuk mengkonfigurasinya.
PC #2 (192.168.4.100) terhubung ke port 4 router. Dia diizinkan mengakses Internet, ke semua perangkat di jaringan, kecuali Mikrotik (raja harus sendirian).
NAS Synology, Dune - diizinkan untuk mengakses jaringan 192.168.3.x dan Internet. Segala sesuatu yang lain dilarang.
Perangkat seluler menerima alamat dari jaringan 192.168.88.x dan dapat berkomunikasi dengan Internet dan lainnya perangkat seluler. Komunikasi dengan subnet lain dilarang. Jaringan nirkabel WPA2 dienkripsi.
Secara umum, Mikrotik mendukung Radius untuk otorisasi perangkat di jaringan. Synology yang sama dapat digunakan sebagai server Radius. Tapi saya tidak mengaturnya seperti itu. Semua perangkat yang tidak diketahui router tidak akan dapat berkomunikasi dengan Internet. Ini akan membantu menghindari situasi seperti menonton pengguna TV.
Sangat diinginkan bahwa PC yang mengontrol Mikrotik (dalam kasus saya ini adalah PC No. 1) terhubung langsung ke Mikrotik, tanpa sakelar. Ini berguna untuk mencegah intersepsi parameter akses administrator (menggunakan serangan man-in-the-middle, menggunakan fitur protokol ARP) saat bekerja dengan Mikrotik melalui antarmuka web. Memang, secara default, antarmuka web Mikrotik melewati HTTP, yang terbuka untuk analisis. Mikrotik memiliki kemampuan untuk beralih ke HTTPS. Namun, ini di luar cakupan artikel ini, karena ini adalah tugas non-sepele yang terpisah (untuk administrator Mikrotik pemula).
Sekarang setelah kita mengetahui apa yang ingin kita capai, saatnya beralih ke bagian praktis.
Pengaturan jaringan - latihan
Kami terhubung ke Mikrotik melalui antarmuka web. Dalam bab IP->Pool atur rentang alamat IP yang dikeluarkan untuk jaringan 192.168.3.x (Gbr. 4)
Dalam bab IP->Server DHCP tab DHCP tekan tombolnya Tambah baru dan ikat ke port fisik nomor 3 Ethernet ( ether3-budak-lokal ) kumpulan penerbitan alamat yang dibuat sebelumnya ( kolam3 ) (beras No.5)
Dalam bab IP->Rute menulis rute untuk jaringan baru(Gambar No.7):
Dalam bab Antarmuka memilih ether3-budak-lokal dan ubah nilai parameternya Pelabuhan Induk pada tidak ada (gambar No. 8)
Dalam bab IP->Alamat membuat gerbang 192.168.3.1 untuk jaringan 192.168.3.0/24 untuk pelabuhan ether3-budak-lokal (beras No. 9)
Semua subnet lain di port fisik Mikrotik lainnya dikonfigurasi dengan cara yang sama.
Subnet telah dibuat. Sekarang perangkat yang terhubung ke port Ethernet #3 dapat bekerja dengan Internet dan subnet lain dari jaringan rumah. Saatnya untuk mengizinkan apa yang kita butuhkan dan melarang semua yang tidak diperbolehkan di bagian tersebut IP->Firewall tab Aturan Filter .
Menggunakan tombol Tambah baru buat aturan berikut:
Kami membuat aturan yang memungkinkan mengakses Mikrotik dari PC No.1 ( 192.168.5.1 ), kami melarang sisanya
Chain= masukan Src.address =192.168.5.100 Dst.address = 192.168.5.1 Action= terima
Rantai = input Aksi = jatuhkan
Kami mengizinkan perangkat Synology NAS untuk "berkomunikasi" hanya dengan Internet, kami mengecualikan jaringan lokal (192.168.0.0/16):
Chain= maju Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= terima
Pengaturan serupa untuk pemutar media Dune:
Chain= maju Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Action= terima
Kami mengizinkan kedua PC untuk "berkomunikasi" dengan Internet dan semua subnet jaringan rumah:
Chain= maju Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Action= drop
Chain= maju Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Action= drop
Kami mengizinkan perangkat dari jaringan 192.168.3.x (di mana NAS Synology dan Dune) untuk membuat koneksi yang dimulai oleh PC No.1
Chain= maju Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Connection State = didirikan, Action= menerima
Untuk orang lain, kami melarang lalu lintas keluar ke Internet dan di subnet jaringan kami:
Chain= maju Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Action= drop
Untuk menerapkan port knocking, ikuti aturan berikut:
chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98
Siapa yang peduli mengapa ditulis seperti ini, mereka dapat membaca (http://habrahabr.ru/post/186488/)
Sekarang "dengan ketukan" yang kita miliki komputer remot akan ditambahkan ke daftar yang diizinkan selama 1 jam ( daftar_putih_NAS). Tapi itu belum semuanya. Agar dapat mengakses antarmuka web Synology, Anda perlu mengonfigurasi port forwarding untuk daftar ini ( daftar_putih_NAS)
Ini dilakukan di bagian IP->Firewall tab NAT . Mari buat aturan:
chain=dstnat protocol=tcp Dst.port=5000 Daftar alamat Src=white_list_NAS action=dst-nat ke alamat=192.168.3.201 ke port=5000
Sekarang, dengan melakukan ping dengan cara tertentu, kita akan mendapatkan akses ke NAS kita (Gbr. 10)
Ini menyelesaikan penyiapan. Jika semuanya benar, maka pada akhirnya kita ada di bagian tersebutIP->Firewall tab Aturan Filter Anda mendapatkan gambar seperti pada Gambar 11
Pemeriksaan konfigurasi
Mari terhubung melalui SSH ke server NAS (192.168.3.201) dan lacak ke PC No. 1 (192.168.5.100) dan Dune (192.168.3.200) - Gbr. No. 12
Gambar #12 hasil dari NAS
Kami melihat bahwa saat menelusuri ke PC No. 1, paket melewati 192.168.3.1 dan tidak mencapai target. Dan paket langsung menuju ke Dune. Pada saat yang sama, ping ke Internet berjalan normal (dalam hal ini, ke alamat 8.8.8.8).
Dan dari PC #1 (192.168.5.100) ke NAS (192.168.3.201) pelacakan berhasil (Gambar #13).
Gambar No.13 tracing dengan PC No.1
Dan Gambar 14 menunjukkan apa yang terjadi pada PC yang terhubung ke jaringan dan setelah itu tidak ada aturan yang dibuat mengenai hal itu di firewall Mikrotik. Akibatnya, PC ini tidak dapat berkomunikasi dengan Internet atau dengan perangkat lain di subnet lain di jaringan lokal.
Gambar No 14 hasil dari PC baru yang terhubung ke jaringan
kesimpulan
Kami dapat mengatur jaringan rumah kami, menggabungkan kenyamanan bekerja dengan perangkat di jaringan tanpa mengorbankan keamanan. Tugas-tugas berikut telah diselesaikan:
- Konfigurasi mikrotik dimungkinkan melalui antarmuka web hanya dengan PC No.1
- Synilogy NAS dan Dune dapat menerima data dari Internet, tetapi tidak dapat mengakses perangkat di subnet lain. Oleh karena itu, meskipun firmware mereka memiliki pintu belakang untuk pengembang, NSA, atau orang lain, yang dapat mereka pelajari hanyalah tentang satu sama lain (tentang NAS Synilogy atau Dune)
- Diimplementasikan aman akses jarak jauh dari mana saja di Internet untuk menginstal di rumah untuk mengunduh untuk NAS Synilogy perangkat lunak yang diperlukan
- Perangkat tidak sah yang terhubung ke jaringan hanya memiliki akses di dalam subnet tempat mereka terhubung dan tidak dapat mengirimkan data ke Internet.
Memuat...