Сьогодні практично у кожній квартирі є домашня мережа, до якої підключаються стаціонарні комп'ютери, ноутбуки, сховища даних (NAS), медіаплеєри, розумні телевізори, а також смартфони, планшети та інші пристрої, що носяться. Використовуються або дротові (Ethernet), або бездротові (Wi-Fi) з'єднання та протоколи TCP/IP. З розвитком технологій Інтернету речей у Мережу вийшла побутова техніка – холодильники, кавоварки, кондиціонери та навіть електроустановче обладнання. Завдяки рішенням «Розумний дім» ми можемо керувати яскравістю освітлення, дистанційно налаштовувати мікроклімат у приміщеннях, включати та вимикати різні прилади – це здорово полегшує життя, але може створити власнику розвинених рішень неабиякі проблеми.
На жаль, розробники подібних пристроївпоки що недостатньо дбають про безпеку своїх продуктів, і кількість знайдених у них вразливостей зростає як гриби після дощу. Непоодинокі випадки, коли після виходу на ринок пристрій перестає підтримуватися - у нашому телевізорі, наприклад, встановлена прошивка 2016 року, заснована на Android 4, і виробник не збирається її оновлювати. Додають проблем і гості: відмовляти їм у доступі до Wi-Fi незручно, але і пускати в свою затишну мережу будь-кого теж не хотілося б. Хто знає, які віруси можуть оселитися у чужих мобільних телефонах? Все це призводить до необхідності розділити домашню мережу на кілька ізольованих сегментів. Спробуємо розібратися, як це зробити, як то кажуть, малою кров'ю і з найменшими фінансовими витратами.
Ізолюємо мережі Wi-Fi
У корпоративних мережах проблема вирішується просто - там є керовані комутатори з підтримкою віртуальних локальних мереж (VLAN), різноманітні маршрутизатори, міжмережеві екраниі точки бездротового доступу - спорудити необхідну кількість ізольованих сегментів можна за кілька годин. За допомогою пристрою Traffic Inspector Next Generation (TING), наприклад, завдання вирішується буквально кілька кліків. Достатньо підключити комутатор гостьового сегмента мережі до окремого порту Ethernet і створити правила firewall. Для будинку такий варіант не годиться через високу вартість обладнання - найчастіше мережею у нас керує один пристрій, що поєднує функції маршрутизатора, комутатора, бездротової точки доступу і бозна чого ще.
На щастя, сучасні побутові роутери (хоча їх правильніше називати інтернет-центрами) теж стали дуже розумними і майже у всіх з них, крім хіба що зовсім вже бюджетних, є можливість створити ізольовану гостьову мережа Wi-Fi. Надійність цієї самої ізоляції - питання для окремої статті, сьогодні ми не досліджуватимемо прошивки побутових пристроїв. різних виробників. Як приклад візьмемо ZyXEL Keenetic Extra II. Зараз ця лінійка стала називатися просто Keenetic, але до наших рук потрапив апарат, випущений ще під маркою ZyXEL.
Налаштування через веб-інтерфейс не викликає труднощів навіть у початківців - кілька кліків, і у нас з'явилася окрема бездротова мережа зі своїм SSID, захистом WPA2 та паролем для доступу. До неї можна пускати гостей, а також включати телевізори і плеєри з прошивкою, що давно не оновлюється, або інших клієнтів, яким ви не особливо довіряєте. У більшості пристроїв інших виробників ця функція, повторимося, також є і включається аналогічно. Ось так, наприклад, завдання вирішується у прошивках роутерів D-Linkза допомогою майстра налаштування.
Додати гостьову мережу можна, коли пристрій вже налаштовано та працює.
Скріншот із сайту виробника
Скріншот із сайту виробника
Ізолюємо мережі Ethernet
Крім клієнтів, що підключаються до бездротової мережі, нам можуть потрапити пристрої з дротовим інтерфейсом. Знавці скажуть, що для створення ізольованих сегментів Ethernet використовуються так звані VLAN – віртуальні локальні мережі. Деякі побутові роутери підтримують цю функціональність, але завдання ускладнюється. Хотілося б не просто зробити окремий сегмент, нам потрібно об'єднати порти для проводового підключення з бездротовою гостьовою мережею на одному роутері. Це по зубах далеко не всякому побутовому пристрою: поверхневий аналіз показує, що крім інтернет-центрів Keenetic додавати порти Ethernet в єдиний з мережею Wi-Fi гостьовий сегмент вміють ще моделі лінійки MikroTik, але процес їх налаштування вже не настільки очевидний. Якщо говорити про порівняні за ціною побутові роутери, вирішити завдання за пару кліків у веб-інтерфейсі може тільки Keenetic.
Як бачите, піддослідний легко впорався із проблемою, і тут варто звернути увагу на ще одну цікаву функцію – ви також можете ізолювати бездротових клієнтів гостьової мережі один від одного. Це дуже корисно: заражений зловредом смартфон вашого приятеля вийде в Інтернет, але атакувати інші пристрої навіть у гостьовій мережі він не зможе. Якщо у вашому роутері є подібна функція, варто обов'язково включити її, хоча це обмежить можливості взаємодії клієнтів - скажімо, подружити телевізор з медіаплеєром через Wi-Fi вже не вийде, доведеться використовувати дротове з'єднання. На цьому етапі наша домашня мережа виглядає більш захищеною.
Що зрештою?
Кількість загроз безпеки рік у рік зростає, а виробники розумних пристроїв далеко не завжди приділяють достатньо уваги своєчасному випуску оновлень. У такій ситуації у нас є лише один вихід – диференціація клієнтів домашньої мережіта створення для них ізольованих сегментів. Для цього не потрібно купувати обладнання за десятки тисяч рублів, із завданням цілком може впоратися щодо недорогого побутового інтернет-центру. Тут хотілося б застерегти читачів від придбання пристроїв бюджетних брендів. Залізо зараз майже у всіх виробників більш менш однакове, а ось якість вбудованого софту дуже різна. Як і тривалість циклу підтримки випущених моделей. Навіть із досить простим завданням об'єднання в ізольованому сегменті провідної та бездротової мережі впорається далеко не кожен побутовий роутер, а у вас можуть виникнути і складніші. Іноді потрібно налаштувати додаткові сегменти або DNS-фільтрацію для доступу тільки до безпечних хостів, у великих приміщеннях доводиться підключати клієнтів Wi-Fi до гостьової мережі через зовнішні точки доступу і т.д. і т.п. Крім питань безпеки є й інші проблеми: публічних мережахНеобхідно забезпечити реєстрацію клієнтів відповідно до вимог Федерального закону № 97 «Про інформацію, інформаційні технології та захист інформації». Недорогі пристрої здатні вирішувати такі завдання, але далеко не всі. функціональні можливостівбудованого софту у них, повторимося, дуже різні.
ПНСТ301-2018/ІСО/МЕК 24767-1:2008
ПОПЕРЕДНІЙ НАЦІОНАЛЬНИЙ СТАНДАРТ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ
Інформаційні технології
БЕЗПЕКА ДОМАШНІЙ МЕРЕЖІ
Вимоги безпеки
Information technology. Home network security. Part 1.Security requirements
ГКС 35.110, 35.200,35.240.99
Термін дії з 2019-02-01
Передмова
Передмова
1ПІДГОТОВЛЕНО Федеральною державною бюджетною освітньою установою вищої освіти«Російський економічний університет ім.
2ВНЕСЕН Технічним комітетом зі стандартизації ТК 22 "Інформаційні технології"
3ЗАТВЕРДЖЕНИЙ І ВВЕДЕНИЙ У ДІЮ Наказом Федерального агентства з технічного регулювання та метрології від 4 вересня 2018 р. N38-пнст
4Цей стандарт ідентичний міжнародному стандарту ІСО/МЕК24767-1:2008* "Інформаційні технології. Безпека домашньої мережі. Частина 1. Вимоги безпеки" (ISO/IEC 24767-1:2008,"Information technology - Home network secur IDT)
________________
*Доступ до міжнародних та зарубіжних документів, згаданих тут і далі за текстом, можна отримати, перейшовши за посиланням на сайт. - Примітка виробника бази даних.
Правила застосування цього стандарту та проведення його моніторингу встановлені вГОСТ Р 1.16-2011 (Розділи 5 і 6).
Федеральне агентство з технічного регулювання та метрології збирає відомості про практичне застосування цього стандарту. Дані відомості, а також зауваження та пропозиції щодо змісту стандарту можна надіслати не пізніше ніж за 4 міс до закінчення терміну його дії розробнику цього стандарту за адресою: 117997Москва, Стрем'яний провулок, д.36, ФДБОУ ВО "РЕУім.Г.В.Плехановаі у Федеральне агентство з технічного регулювання та метрології за адресою: 109074Москва, Китайгородський проїзд, буд.7, стор.1.
У разі скасування цього стандарту відповідна інформація буде опублікована в щомісячному інформаційному покажчику "Національні стандарти" і також буде розміщена на офіційному сайті Федерального агентства з технічного регулювання та метрології в мережі Інтернет (www.gost.ru)
Вступ
ІСО (Міжнародна організація зі стандартизації) та МЕК (Міжнародна електротехнічна комісія) утворюють спеціалізовану систему всесвітньої стандартизації. Державні органи, що є членами ІСО або МЕК, беруть участь у розробці міжнародних стандартів за допомогою технічних комітетів. Участь у розробці стандарту в конкретній галузі може взяти будь-який зацікавлений орган, який є членом ІСО або МЕК. Інші міжнародні організації, урядові та неурядові, що контактують з ІСО та МЕК, також беруть участь у роботі.
В області інформаційних технологійІСО та МЕК заснували Об'єднаний технічний комітет ІСО/МЕК СТК 1. Проекти міжнародних стандартів, підготовлені Об'єднаним технічним комітетом, розсилаються національним комітетам на голосування. Публікація як міжнародний стандарт вимагає затвердження не менше ніж 75% національних комітетів, які беруть участь у голосуванні.
Офіційні рішення або угоди МЕК та ІСО щодо технічним питаннямвисловлюють, наскільки це можливо, міжнародне узгоджена думка з питань, що стосуються справи, оскільки кожен технічний комітет має представників від усіх зацікавлених національних комітетів - членів МЕК та ІСО.
Публікації МЕК, ІСО та ІСО/МЕК мають форму рекомендацій для міжнародного використання і приймаються національними комітетами - членами МЕК та ІСО саме в такому розумінні. Незважаючи на всі прикладені зусилля для забезпечення точності технічного змісту публікацій МЕК, ІСО та ІСО/МЕК, МЕК або ІСО не несуть відповідальності за те, яким чином вони використовуються або за їх неправильне трактування кінцевим користувачем.
З метою забезпечення міжнародної уніфікації (єдиної системи) національні комітети МЕК та ІСО зобов'язуються забезпечити максимальну прозорість застосування міжнародних стандартів МЕК, ІСО та ІСО/МЕК, наскільки це дозволяють державні та регіональні умови цієї країни. Будь-яка розбіжність між публікаціями ІСО/МЕКи відповідними національними або регіональними стандартами повинна бути чітко позначена в останніх.
ІСО та МЕК не передбачають процедури маркування та не несуть відповідальності будь-яке обладнання, заявлене на відповідність одному із стандартів ІСО/МЕК.
Усі користувачі повинні переконатися у використанні останнього видання цієї публікації.
МЕК або ІСО, їх керівництво, співробітники, службовці або представники, включаючи окремих експертів і членів їх технічних комітетів, а також члени національних комітетів МЕК або ІСО не несуть відповідальності за нещасні випадки, матеріальні збитки або інші завдані збитки, прямі або непрямі, або витрати), понесені у зв'язку з публікацією або внаслідок використання цієї публікації ІСО/МЕК або іншої публікації МЕК, ІСО або ІСО/МЕК.
Особливої уваги вимагає нормативна документація, що цитується в цій публікації. Використання посилальних документів необхідне для правильного застосування цієї публікації.
Звертається увага на те, що деякі елементи цього міжнародного стандарту можуть бути об'єктом патентних прав. ІСО та МЕК не несуть відповідальності за визначення будь-якого або всіх таких патентних прав.
Міжнародний стандарт ІСО/МЕК 24767-1 був розроблений Підкомітетом 25 "Взаємозв'язокобладнання інформаційних технологій" Об'єднаного технічного комітету ІСО/МЕК 1 "Інформаційні технології".
Перелік всіх частин серії ISO/МЕК 24767, що є в даний час, під загальною назвою "Інформаційні технології. Безпека домашньої мережі" представлений на сайті МЕК.
1Область застосування
Цей стандарт визначає вимоги до захисту домашньої мережі від внутрішніх чи зовнішніх загроз. Стандарт є підставою для розробки систем безпеки, що захищають внутрішнє середовище від різних загроз.
Вимоги безпеки розглядаються в цьому стандарті щодо неформально. Незважаючи на те, що багато питань, розглянуті в цьому стандарті, служать керівництвом з розробки систем безпеки як внутрішньої мережі, так і мережі Інтернет, вони мають характерні офіційні вимоги.
До внутрішньої (домашньої) мережі підключено різні пристрої (див. рис. 1). Пристрої "мережі побутових приладів", "розважальні аудіо-/відео-" пристрої та пристрої для роботи з "інформаційними програмами" мають різні функції та робочі характеристики. Цей стандарт містить засоби для аналізу даних по кожному підключеному до мережі пристрою та визначення вимог безпеки для кожного пристрою.
2Терміни, визначення та скорочення
2.1 Терміни та визначення
У цьому стандарті застосовані такі терміни та визначення:
2.1.1 побутова електроніка(brown goods): Аудіо/відеопристрої, які в основному використовуються в розважальних цілях, наприклад телевізори DVD-рекордер.
2.1.2конфіденційність(confidentiality): Властивість, що забезпечує недоступність та нерозголошення інформації неуповноваженим особам, організаціям чи процесам.
2.1.3 автентифікація даних(data authentication): Служба, що використовується для забезпечення коректної верифікації заявленого джерела даних.
2.1.4 цілісність даних(data integrity): Властивість, що підтверджує, що дані не були змінені або знищені не дозволеним чином.
2.1.5 автентифікація користувача(user authentication): Сервіс для забезпечення коректної перевірки ідентифікаційної інформації, представленої учасником комунікації, при тому, що служба авторизації забезпечує доступ ідентифікованого та авторизованого користувача до конкретного пристроюабо додатку домашньої мережі.
2.1.6 побутова техніка(white goods): Пристрої, що застосовуються у повсякденному побуті, наприклад кондиціонер, холодильник і т.д.
2.2Скорочення
У цьому стандарті використані такі скорочення:
3Відповідність
У цьому стандарті містяться методичні вказівкибез будь-яких вимог відповідності.
4Вимоги безпеки внутрішніх домашніх електронних систем мереж
4.1 Загальні положення
Швидким розвитком Інтернету та пов'язаних з ним мережевих технологій з'явилася можливість встановлення зв'язку між комп'ютерами в офісах і будинках із зовнішнім світом, що забезпечує доступ до безлічі ресурсів. Сьогодні технології, які стали основою цього успіху, досягли наших будинків та забезпечують можливість підключення приладів так само, як і персональних комп'ютерів. Таким чином, вони не тільки дозволяють користувачам відстежувати та контролювати свої побутові прилади, перебуваючи як усередині, так і поза домом, але й створювати нові сервіси та можливості, наприклад віддалене управління побутовою технікоюта її обслуговування. Це означає, що звичайна комп'ютерне середовищевдома перетворюється на внутрішню домашню мережу, що об'єднує безліч пристроїв, безпеку яких також буде необхідно забезпечити.
Необхідно, щоб мешканці, користувачі та власники як вдома, так і системи, довіряли домашній електронній системі. Мета безпеки домашньої електронної системи- Забезпечення довіри до системи. Оскільки багато компонентів домашньої електронної системи знаходяться в роботі безперервно, 24 години на день, і автоматично обмінюються інформацією із зовнішнім світом, інформаційна безпека необхідна для забезпечення конфіденційності, цілісності та доступності даних і системи. , що надходять і вихідним даним отримують лише авторизовані користувачі та процеси, і що користуватися системою і вносити зміни можуть лише авторизовані користувачі.
Вимоги безпеки для мережі HES можуть бути описані кількома способами. Цей стандарт обмежений ІТ-безпекою мережі HES. Тим не менш, безпека інформаційних технологій повинна виходити за рамки самої системи, оскільки будинок повинен функціонувати, хоч і обмеженими можливостями, у разі відмови ІТ-системи. Інтелектуальні функції, які зазвичай підтримуються мережею HES, можуть виконуватися також при розриві зв'язків системи. У таких випадках можна зрозуміти, що існують вимоги безпеки, які не можуть бути частиною самої системи, але при цьому система не повинна забороняти реалізацію резервних рішень.
Існує ряд осіб, зацікавлених у питаннях безпеки. Домашній електронній системі повинні довіряти не тільки жителі та власники, але і провайдери послуг та контенту. Останні повинні бути впевнені, що послуги та контент, що пропонуються ними, використовуються тільки дозволеним способом. Однак однією з основ безпеки системи є те, що відповідати за неї має конкретний адміністратор служби безпеки. Очевидно, що така відповідальність має бути покладена на жителів (власників системи). Не має значення, чи займається цим адміністратор особисто, чи віддає на аутсорсинг. У будь-якому разі відповідальність несе адміністратор системи безпеки. Питання довіри провайдерів послуг та контенту до домашньої електронної системи та їх впевненості в тому, що користувачі застосовують їх послуги та контент належним чином, визначається договірними зобов'язаннями між сторонами. У договорі, наприклад, можуть бути перераховані функції, компоненти або процеси, які повинна підтримувати домашня електронна система.
Архітектура домашньої електронної системи різна для різних видівбудинків. Для будь-якої моделі може існувати свій певний набір вимог безпеки. Нижче наведено опис трьох різних моделей домашніх електронних систем з різними наборами вимог безпеки.
Очевидно, деякі вимоги безпеки важливіші, ніж інші. Таким чином, зрозуміло, що підтримка деяких заходів протидії буде опціональною. Крім того, заходи протидії можуть відрізнятися якістю та вартістю. Також для управління та підтримки таких заходів протидії можуть знадобитися різні навички. У даному стандарті зроблена спроба роз'яснити мотиви перелічених вимог безпеки і цим дозволити розробникам домашньої електронної системи визначити, які функції безпеки повинна підтримувати конкретна домашня система, і навіть, з урахуванням вимог щодо якості та зусиль щодо забезпечення управління та обслуговування, який механізм слід вибрати для таких функцій.
Вимоги безпеки внутрішньої мережі залежать від визначення безпеки та "будинку", а також від того, що розуміється під "мережею" в цьому будинку. Якщо мережа це просто канал, що з'єднує окремий ПК з принтером або кабельним модемом, то для забезпечення безпеки домашньої мережі достатньо забезпечити безпеку цього каналу і обладнання, яке він з'єднує.
Однак якщо в домен знаходяться десятки, якщо не сотні, об'єднаних в мережу пристроїв, при цьому деякі з них відносяться до домогосподарства в цілому, а деякі належать людям, що знаходяться в будинку, знадобиться передбачити більш складні заходи безпеки.
4.2Безпека домашньої електронної системи
4.2.1 Визначення домашньої електронної системи та безпеки системи
Домашню електронну систему і мережу можна визначити як набір елементів, які обробляють, передають і зберігають інформацію, а також керують нею, забезпечуючи зв'язок та інтеграцію безлічі комп'ютерних пристроїв, А також пристроїв управління, контролю та зв'язку, що знаходяться вдома.
Крім того, домашні електронні системи та мережі забезпечують взаємозв'язок розважальних та інформаційних пристроїв, а також приладів зв'язку та безпеки та наявної в будинку побутової техніки. Такі пристрої та прилади обмінюватимуться інформацією, ними можна керувати і контролювати їх, перебуваючи в будинку, або віддалено. Відповідно, всім внутрішніх домашніх мереж знадобляться певні механізми безпеки, що захищають їх повсякденну роботу.
Безпека мережі та інформації можна розуміти як здатність мережі чи інформаційної системи на певному рівні протистояти випадковим подіям або зловмисним діям. Такі події або дії можуть поставити під загрозу доступність, автентичність, справжність і конфіденційність збережених або переданих даних, а також пов'язаних з ними сервісів, що пропонуються через такі мережі та системи.
Інциденти інформаційної безпеки можна об'єднати у такі групи:
Електронне повідомлення може бути перехоплене, дані можуть бути скопійовані або змінені. Це може стати причиною шкоди, заподіяної як шляхом порушення права особистості на конфіденційність, так і шляхом зловживання перехопленими даними;
Несанкціонований доступ до комп'ютера та внутрішніх комп'ютерних мереж зазвичай виконується зі злим наміром на копіювання, зміна або знищення даних і може поширюватися на автоматичне обладнання та системи, що знаходяться в будинку;
Шкідливі атаки в мережі Інтернет стали цілком звичайним явищем, а в майбутньому більш вразливою може стати телефонна мережа;
Шкідливе програмне забезпечення, Таке як віруси, може виводити з ладу комп'ютери, видаляти або змінювати дані, або перепрограмувати побутову техніку. Деякі атаки вірусів були дуже руйнівними і дорогими;
Спотворення інформації про фізичні або юридичних осібможе стати причиною значної шкоди, наприклад клієнти можуть завантажити шкідливе програмне забезпечення з веб-сайту, що маскується піддовірене джерело, можуть бути розірвані контракти, а конфіденційна інформація може бути направлена неналежним одержувачам;
Багато інцидентів інформаційної безпекипов'язані з непередбаченими та ненавмисними подіями, наприклад стихійними лихами (повеніями, штормами та землетрусами), відмовами апаратного або програмного забезпечення, а також з людським фактором.
З поширенням широкосмугового доступу в інтернет та кишенькових гаджетів стали надзвичайно популярні бездротові роутери (маршрутизатори). Такі пристрої здатні роздавати сигнал по протоколу Wi-Fi як на стаціонарні комп'ютери, так і на мобільні пристрої – смартфони та планшети – при цьому пропускну здатністьканалу цілком достатньо для одночасного підключення кількох споживачів.
Сьогодні бездротовий роутер є практично в будь-якому будинку, куди проведено широкосмуговий інтернет. Однак далеко не всі власники таких пристроїв замислюються над тим, що за замовчуванням вони надзвичайно вразливі для зловмисників. І якщо ви вважаєте, що не робите в інтернеті нічого такого, що могло б вам пошкодити, подумайте над тим, що перехопивши сигнал локальної бездротової мережі, зломщики можуть отримати доступ не тільки до вашого особистого листування, а й до банківського рахунку, службових документів і будь-яким іншим файлам.
Хакери можуть не обмежитися дослідженням пам'яті виключно ваших власних пристроїв – їх вміст може підказати ключі до мереж вашої компанії, ваших близьких та знайомих, даних різноманітних комерційних і державних. інформаційних систем. Більше того, через вашу мережу та від вашого імені зловмисники можуть проводити масові атаки, зломи, незаконно поширювати медіафайли та програмне забезпечення та займатися іншою кримінальною діяльністю.
Тим часом, щоб убезпечити себе від подібних загроз, варто слідувати лише декільком простим правилам, які зрозумілі та доступні навіть тим, хто не має спеціальних знань у галузі комп'ютерних мереж. Пропонуємо вам ознайомитись із цими правилами.
1. Змініть дані адміністратора за промовчанням
Щоб отримати доступ до налаштувань вашого роутера, необхідно зайти до його веб-інтерфейсу. Для цього вам потрібно знати його IP-адресу в локальної мережі(LAN), а також логін та пароль адміністратора.
Внутрішня IP-адреса роутера за замовчуванням, як правило, має вигляд 192.168.0.1, 192.168.1.1, 192.168.100.1 або, наприклад, 192.168.123.254 – вона завжди вказана в документації до апаратури. Дефолтні логін та пароль зазвичай також повідомляються в документації, або їх можна дізнатися у виробника роутера чи вашого провайдера послуг.
Вводимо IP-адресу роутера в адресний рядок браузера, а в вікні вводимо логін і пароль. Перед нами відкриється веб-інтерфейс маршрутизатора з найрізноманітнішими налаштуваннями.
Ключовий елемент безпеки домашньої мережі – можливість зміни налаштувань, тому потрібно обов'язково змінити всі дані адміністратора за умовчанням, адже вони можуть використовуватись у десятках тисяч екземплярів таких самих роутерів, як і у вас. Знаходимо відповідний пункт та вводимо нові дані.
У деяких випадках можливість довільної зміни даних адміністратора заблокована провайдером послуг, і тоді вам доведеться звертатися за допомогою до нього.
2. Встановіть або змініть паролі для доступу до локальної мережі
Ви сміятиметеся, але все ще трапляються випадки, коли щедрий власник бездротового роутера організує відкриту точку доступу, до якої може підключитися кожен. Набагато частіше для домашньої мережі вибираються псевдопаролі типу «1234» або якісь банальні слова, задані під час встановлення мережі. Щоб мінімізувати ймовірність того, що хтось зможе з легкістю забратися у вашу мережу, потрібно вигадати справжній довгий пароль з літер, цифр та символів, і встановити рівень шифрування сигналу – бажано WPA2.
3. Вимкніть WPS
Технологія WPS (Wi-Fi Protected Setup) дозволяє швидко налагодити захищену бездротовий зв'язокміж сумісними пристроями без докладних налаштувань, а лише натисканням відповідних кнопок на роутері та гаджеті або шляхом введення цифрового коду.
Тим часом, ця зручна система, зазвичай включена за умовчанням, має одне слабке місце: оскільки WPS не враховує кількість спроб введення неправильного коду, вона може бути зламана «грубою силою» шляхом простого перебору за допомогою найпростіших утиліт. Потрібно від декількох хвилин до декількох годин, щоб проникнути у вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль.
Тому знаходимо в адмінці відповідний пункт і відключаємо WPS. На жаль, внесення змін до налаштувань далеко не завжди дійсно відключить WPS, а деякі виробники взагалі не передбачають такої можливості.
4. Змініть назву SSID
Ідентифікатор SSID (Service Set Identifier) – це назва бездротової мережі. Саме його «згадують» різні пристрої, які при розпізнаванні назви та наявності необхідних паролів намагаються підключитися до локальної мережі. Тому якщо ви збережете стандартну назву, встановлену, наприклад, вашим провайдером, тобто ймовірність того, що ваші пристрої намагатимуться підключитися до безлічі найближчих мереж з тією ж назвою.
Більше того, роутер, що транслює стандартний SSID, більш вразливий для хакерів, які знатимуть його модель і звичайні налаштування, і зможуть завдати удару в конкретні слабкі місцятакої конфігурації. Тому виберіть якомога унікальнішу назву, що нічого не говорить ні про провайдера послуг, ні про виробника обладнання.
При цьому рада, що часто зустрічається, приховувати трансляцію SSID, а така опція стандартна для переважної більшості роутерів, насправді неспроможний. Справа в тому, що всі пристрої, які намагаються підключитися до вашої мережі, у будь-якому випадку будуть перебирати найближчі точки доступу, і можуть підключитися до мереж, спеціально розставлених зловмисниками. Іншими словами, приховуючи SSID, ви ускладнюєте життя лише самим собі.
5. Змініть IP-роутер.
Щоб ускладнити несанкціонований доступ до веб-інтерфейсу роутера та його налаштувань, змініть в них внутрішню IP-адресу (LAN) за промовчанням.
6. Вимкніть віддалене адміністрування
Для зручності технічної підтримки(в основному) у багатьох побутових роутерах реалізовано функцію дистанційного адміністрування, за допомогою якої налаштування роутера стають доступними через інтернет. Тому якщо ми не хочемо проникнення ззовні, цю функцію краще відключити.
При цьому, однак, залишається можливість зайти до веб-інтерфейсу через Wi-Fi, якщо зловмисник знаходиться в полі дії вашої мережі і знає логін і пароль. У деяких роутерах є функція обмежити доступ до панелі лише за наявності дротового підключення, проте, на жаль, ця опція трапляється досить рідко.
7. Оновіть мікропрограму
Кожен виробник роутерів, що поважає себе і клієнтів, постійно вдосконалює програмне забезпечення свого обладнання і регулярно випускає оновлені версії мікропрограм («прошивок»). У нових версіях перш за все виправляються виявлені вразливості, а також помилки, що впливають на стабільність роботи.
Зверніть увагу на те, що після оновлення всі зроблені вами налаштування можуть скинутися до заводських, тому є сенс зробити їх резервну копіютакож через веб-інтерфейс.
8. Перейдіть до діапазону 5 ГГц
Базовий діапазон роботи мереж Wi-Fi – це 2,4 ГГц. Він забезпечує впевнений прийом більшістю існуючих пристроїв на відстані приблизно до 60 м у приміщенні та до 400 м поза приміщенням. Перехід у діапазон 5 ГГц знизить дальність зв'язку в два-три рази, обмеживши для сторонніх можливість проникнути у вашу бездротову мережу. За рахунок меншої зайнятості діапазону, ви зможете також помітити швидкість передачі, що підвищилася, і стабільність з'єднання.
Мінус у цього рішення лише один – далеко не всі пристрої працюють з Wi-Fi стандарту IEEE 802.11ac у діапазоні 5 ГГц.
9. Вимкніть функції PING, Telnet, SSH, UPnP та HNAP
Якщо ви не знаєте, що ховається за цими абревіатурами, і не впевнені, що ці функції вам обов'язково знадобляться, знайдіть їх у налаштуваннях роутера і вимкніть. Якщо є така можливість замість закриття портів, виберіть прихований режим(stealth), який при спробах зайти на них ззовні зробить ці порти "невидимими", ігноруючи запити та "пінги".
10. Увімкніть брандмауер роутера
Якщо у вашому роутері є вбудований брандмауер, рекомендуємо його включити. Звичайно, це не бастіон абсолютного захисту, але в комплексі з програмними засобами(навіть із вбудованим у Windows брандмауером) він здатний цілком гідно чинити опір атакам.
11. Вимкніть фільтрацію за MAC-адресами
Хоча на перший погляд здається, що можливість підключення до мережі лише пристроїв із конкретними MAC-адресами повністю гарантує безпеку, насправді це не так. Більше того, воно робить мережу відкритою навіть для не дуже винахідливих хакерів. Якщо зловмисник зможе відстежити вхідні пакети, він швидко отримає список активних MAC-адрес, оскільки у потоці даних вони передаються в незашифрованому вигляді. А підмінити MAC-адресу не проблема навіть для непрофесіонала.
12. Перейдіть на інший DNS-сервер
Замість використання DNS-сервера вашого провайдера можна перейти на альтернативні, наприклад, Google Public DNS або OpenDNS . З одного боку, це може прискорити видачу інтернет-сторінок, а з іншого – підвищити безпеку. Наприклад, OpenDNS блокує віруси, ботнети та фішингові запити по будь-якому порту, протоколу та додатку, і завдяки спеціальним алгоритмам на базі Великих Даних здатний передбачати та запобігати різноманітним загрозам та атакам. При цьому Google Public DNS – це швидкісний DNS-сервер без додаткових функцій.
13. Встановіть альтернативну «прошивку»
І, нарешті, радикальний крок для того, хто розуміє, що робить – це встановлення мікропрограми, написаної не виробником вашого роутера, а ентузіастами. Як правило, такі «прошивки» не тільки розширюють функціональність пристрою (зазвичай додаються підтримка професійних функцій на кшталт QoS, режиму мосту, SNMP і т.д), але й роблять його більш стійким до вразливостей – у тому числі за рахунок нестандартності.
Серед популярних open-source "прошивок" можна назвати засновані на Linux
Кілька років тому домашні бездротові мережі були досить прості і складалися, як правило, з точки доступу та пари комп'ютерів, якими користувалися для доступу до Інтернету. онлайн покупокчи ігор. Але в наш час домашні мережі стали значно складнішими. Зараз до домашньої мережі підключено велику кількість пристроїв, які використовуються не тільки для доступу до Інтернету або для перегляду засобів масової інформації. У цій статті ми поговоримо про те, як зробити домашню мережу безпечною для всіх членів сім'ї.Безпека бездротової мережі
Практично у кожному будинку є бездротова мережа (або так звана мережа Wi-Fi). Ця мережа дозволяє підключити будь-який пристрій до Інтернету, наприклад ноутбук, планшет або ігрову приставку. Більшість бездротових мереж управляються роутером – пристроєм, встановленим вашим інтернет-провайдером для забезпечення доступу до Інтернету. Але в деяких випадках ваша мережа може контролюватись окремими системами, так званими точками доступу, які з'єднані з роутером. Незалежно від того, за допомогою якої системи пристрої з'єднуються з Інтернетом, принцип роботи цих систем однаковий: передача радіосигналів. Різні пристрої можуть підключатися до Інтернету та інших пристроїв мережі. Це означає, що безпека вашої домашньої мережі є одним із основних компонентів захисту вашого будинку. Ми радимо виконувати такі правила для забезпечення безпеки вашої домашньої мережі:- Змініть пароль адміністратора, встановлений виробником Інтернет-роутера або точки доступу. Обліковий запис адміністратора дозволяє вносити зміни до налаштувань мережі. Проблема в тому, що багато роутерів поставляються зі стандартними, добре відомими паролямита їх легко знайти в Інтернеті. Тому слід змінити заводський пароль на унікальний і сильний пароль, який знатимете тільки ви.
- Змініть назву мережі, встановлену виробником (його ще називають SSID). Це ім'я вашого пристрою бачать під час пошуку домашньої бездротової мережі. Дайте своїй домашній мережі унікальне ім'я, яке легко дізнатися, але воно не повинно містити особисту інформацію. Конфігурація мережі як «невидима» - малоефективна форма захисту. Більшість програм сканування бездротових мереж та будь-який досвідчений хакер може легко виявити «невидимі» мережі.
- Переконайтеся, що до вашої мережі можуть підключатися лише люди, яким ви довіряєте, і що це з'єднання є зашифрованим. Це допоможе підвищити рівень безпеки. Нині самим безпечним з'єднаннямє WPA2. При використанні пароля запитується при підключенні до мережі, і при цьому підключенні використовується шифрування. Переконайтеся, що ви не використовуєте застарілий метод, наприклад, WEP, або не використовуєте відкриту мережу (яка взагалі не надає захисту). Відкрита мережадозволяє абсолютно все підключатися до бездротової мережі без аутентифікації.
- Переконайтеся, що для підключення до мережі люди використовують сильний пароль, який не збігається з паролем адміністратора. Пам'ятайте, що вам потрібно ввести пароль для кожного пристрою, який використовується лише один раз, цей пароль можуть запам'ятовувати та зберігати.
- Більшість бездротових мереж підтримують так звану Гостьову Мережу (Guest Network). Це дозволяє відвідувачам виходити в Інтернет, але домашня мережа в цьому випадку захищена, оскільки гості не можуть з'єднатися з домашніми пристроями вашої мережі. Якщо ви додаєте гостьову мережу, переконайтеся, що використовуєте WPA2, і вона захищена за допомогою унікального та сильного пароля.
- Вимкніть Wi-Fi Protected Setup або інше налаштування, яке дозволяє підключати нові пристрої без введення пароля та інших опцій конфігурації.
- Якщо вам складно запам'ятати всі паролі, рекомендуємо використовувати менеджер паролів для їх зберігання.
Безпека ваших пристроїв
Наступним кроком є уточнення списку всіх підключених до мережі пристроїв та забезпечення їхньої безпеки. Це було легко зробити раніше, коли до мережі було підключено невелику кількість пристроїв. Але в сучасному світі практично всі пристрої можуть бути постійно підключені до мережі, включаючи телевізори, ігрові приставки, дитячі камери, стовпчики, обігрівачі або навіть автомобілі. Одним з простих способіввиявити підключені пристрої є використання мережевого сканераНаприклад, Fing. Ця програма, одного разу встановлена на комп'ютер, дозволяє виявити абсолютно всі пристрої, підключені до мережі. Після того, як ви виявите всі пристрої, слід подбати про їхню безпеку. Кращий спосібзабезпечити безпеку – регулярно оновлювати їх операційні системи/прошивки. Якщо можливо, настройте автоматичне оновленнясистем. Якщо є можливість використовувати пароль для кожного пристрою, використовуйте лише сильний та надійний пароль. І, нарешті, відвідайте веб-сайт Інтернет провайдера для отримання інформації про безкоштовних способахзахисту вашої мережі.про автора
Черіл Конлі очолює відділ тренінгу з інформаційної безпеки у компанії Lockheed Martin. Вона використовує фірмову методику The I Compaign для тренінгу 100 000 співробітників компанії. Методика активно використовує фокус-групи всередині компанії та координує глобальну програмуРаніше багато хто міг якось контролювати наявність у себе в мережі одного-двох пристроїв, то зараз пристроїв у користувачів стає все більше. Це ускладнює здійснення надійного контролю.
Розвиток техніки та телекомунікацій призводить до швидкого зростання в будинках користувачів різних пристроїв, які вміють працювати з Інтернетом. Користувачі охоче купують пристрої, які взаємодіють з Інтернетом для прослуховування Інтернет-радіо, завантаження музики, фільмів, програм, електронних книгта для інших дій. І якщо раніше багато хто міг якось контролювати наявність у себе в мережі одного-двох пристроїв, то зараз пристроїв у користувачів стає все більше. Це ускладнює здійснення надійного контролю. Особливо коли сім'я складається з декількох користувачів, які примудряються підключати девайси до мережі, не узгоджуючи один з одним. Відсутність знань у галузі грамотного налаштування домашньої мережі призводить до того, що за користувачами можуть підглядати з інтернету без їхньої волі (http://habrahabr.ru/post/189674/). Або, навпаки: користувачі втрачають можливість віддалено стежити через інтернет те, що відбувається в полі зору їх IP-камер через Робін Гудов.
Цією статтею, в ідеалі, хотілося б підвищити письменність населення в озвученій сфері. Принаймні сподіваюся, що мій досвід заощадить час і сили тим, хто давно думав розібратися з цифровою анархією у своїй домашній мережі. А, можливо, буде корисним тим, хто задумався про те, як грамотно організувати свій домашній кінотеатр.
Спочатку я зіткнувся з ситуацією, що список техніки у мене вдома, яка потребує Інтернету, досяг:
- 2 ПЕОМ (моя та батьків)
- мобільний телефон
- начиння для домашнього кінотеатру (NAS-сервер Synology, медіа-програвач Dune)
- планшет
Але, зрештою, я зміг убити двох зайців. Зупинився я на латвійському роутері Mikrotik 751G-2HnD. Він не завдав моєму гаманцю сильної шкоди (як і моєї радості від придбаного девайса). І зміг покрити усі мої потреби. Забігаючи вперед, скажу, що досвід спілкування з цією залізкою у мене був настільки добрим, що я і в офіс прикупив його старшого брата Mikrotik 951G-2HnD
Загальна схема підключення всіх пристроїв показано на рис №1.
Рис №1 Загальна схема підключення пристроїв у моїй домашній мережі
Забезпечу картинку деякими поясненнями. TV сама по собі з інтернетом не спілкується. Просто тому, що він не має Ethernet-кабелю (був куплений біса коли). Він з'єднується HDMI-кабелем із медіа-програвачем (Dune HD Smart D1). А вже Dune може транслювати відео на TV. Незважаючи на деякі можливості Dune зі зберігання даних та підтримки знімних носіїв(А також наявність вбудованого торрент-клієнта). Він використовується лише як медіа-програвач. А вже Synology DS212j використовується як сховище музики, фільмів. Також має плагін для роботи з Torrent-мережами. На цьому пристрої налаштована розшарована папка, звідки Dune отримує медіа-файли для показу. Dune і Synology об'єднуються за допомогою підключення до звичайного комутатора (на зображенні позначений як Switch). Мені не вимагалося якихось особливостей від комутатора, так що купив перший 4-х портовий комутатор, що попався.
Комутатор та обидві ПЕОМ підключені до різних портів Mikrotik. Слід сказати, що мої батьки серйозно попрацювали свого часу питання наявності Інтернету в різних частинах квартири ще на етапі ремонту. Тому кабелі Ethernet прокладені практично в кожну кімнату в стінах. Тож фізично обладнання розосереджено по різних кімнатах. А Ethernet-кабель не видніється на підлозі, стелі або стінах (що часто можна зустріти в інших квартирах). Хоча, в деяких куточках все-таки не вистачає проводки кабелю. Тому раджу майбутнім молодим сім'ям із особливою ретельністю продумувати це питання. Адже Wi-Fi не завжди є гарним рішенням. Але загалом все красиво підключено.
Отже, структура мережі ясна, почнемо з налаштування Mikrotik
Перші кроки – дружимо Mikrotik з інтернетом.
Налаштування Mikrotikз RouterOS v6.x не має жодних проблем. Через WebFig у вкладці Quick Set (рис №2) виставляєте IP-адресу, видану провайдером (залежно від Ваших умов прописуєте статично, або ставите DHCP для автоматичного отримання). При необхідності - можна змінювати MAC-адресу WAN-порту (якщо провайдер прив'язує видачу IP до MAC-адреси одного з Ваших пристроїв, наприклад попереднього роутера). Ставите галочки, як на рис №2
Рис №2 перші кроки налаштування
Для випадку з RouterOS версії< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Налаштування мережі - теорія
На рис №3 - підсумкова картинка, до якої привів мережу.
Рис №3 Загальне налаштування мережі
Спочатку розповім, що ж я налаштував, а потім перейдемо безпосередньо до налаштування. На Mikrotik налаштований port knocking, що дозволяє безпечно відкривати на визначений часдоступ з Інтернету до управління NAS Synology через браузер. Раптом чогось захочеться на стрибку поставити, щоб уже встигло скачатися до повернення додому.
Комутатор підключено до порту 3 роутера. Тому для зручності запам'ятовування всієї мережі на цьому порту видаються адреси з підсітки 192.168.3.х
IP-адреса Mikrotik для керування через веб-інтерфейс 192.168.5.1.
ПЕОМ №1 (192.168.5.100) підключено до порту 5 роутера. Йому дозволено звертатися до Інтернету, всіх пристроїв в мережі і до Mikrotik - для його налаштування.
ПЕОМ №2 (192.168.4.100) підключений до порту 4 роутера. Йому дозволено звертатися до Інтернету, до всіх пристроїв у мережі, крім Mikrotik (цар має бути один).
NAS Synology, Dune - дозволено звертатися до мережі 192.168.3.х та Інтернету. Решта заборонена.
Мобільні пристрої отримують адресу з мережі 192.168.88.х та можуть спілкуватися з інтернетом та іншими мобільними пристроями. Спілкування з іншими підмережами заборонено. Бездротова мережашифрується WPA2.
Взагалі, Mikrotik підтримує Radius для авторизації пристроїв у мережі. Як сервер Radius може бути той же Synology. Але я так уже не став налаштовувати. Всі невідомі роутеру не зможуть спілкуватися з Інтернетом. Це допоможе уникати ситуацій подібної до телевізорів , що стежать за користувачами .
Дуже бажано, щоб ПЕОМ, який управляє Mikrotik (у моєму випадку це ПЕОМ №1), підключався до Mikrotik безпосередньо, без комутаторів. Це корисно для запобігання перехопленню параметрів доступу адміністратора (використовуючи атаку типу "людина посередині", користуючись особливостями протоколу ARP) при роботі з Mikrotik через web-інтерфейс. Адже за умовчанням web-інтерфейс у Mikrotik йде через відкритий для аналізу HTTP. Можливість перевести на HTTPS у Mikrotik є. Однак, це виходить за рамки цієї статті, тому що є окремим нетривіальним завданням (для початківців адміністраторів Mikrotik).
Тепер, коли ми розібралися з тим, чого хочемо досягти, саме час переходити до практичної частини.
Налаштування мережі – практика
Підключаємось до Mikrotik через web-інтерфейс. В розділі IP->Pool задаємо діапазон видачі IP-адрес для мережі 192.168.3.x (рис №4)
В розділі IP->DHCP Server у вкладці DHCP натиснемо кнопку Add New та прив'яжемо до фізичного порту №3 Ethernet ( ether3-slave-local ) створений раніше пул видачі адрес ( pool3 ) (рис №5)
В розділі IP->Routes пропишемо маршрут для нової мережі(рис №7):
В розділі Interfaces оберемо ether3-slave-local та змінимо значення параметра Master Port на none (Рис №8)
В розділі IP->Addresses створимо шлюз 192.168.3.1 для мережі 192.168.3.0/24 для порту ether3-slave-local (рис №9)
Так само налаштовуються всі інші підмережі на інших фізичних портах Mikrotik.
Підмережа створена. Тепер пристрої, підключені до порту №3 Ethernet, можуть працювати з Інтернетом та іншими підмережами домашньої мережі. Саме час дозволити, що нам потрібно і заборонити все, що не дозволено в розділі IP->Firewall на вкладці Filter Rules .
Використовуючи кнопку Add New створюємо такі правила:
Створюємо правила, що дозволяють звертатися до Mikrotik з ПЕОМ №1 ( 192.168.5.1 ), іншим забороняємо
Chain= input Src.address =192.168.5.100 Dst.address = 192.168.5.1 Action= accept
Chain = input Action = drop
Пристрої NAS Synology дозволяємо «спілкуватися» лише з Інтернетом, локальну мережу (192.168.0.0/16) виключаємо:
Chain= forward Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= accept
Аналогічні налаштування для медіа-плеєра Dune:
Chain= forward Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Action= accept
Обом ПЕОМ дозволяємо «спілкуватися» з Інтернетом та всіма підмережами домашньої мережі:
Chain= forward Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Action= drop
Chain= forward Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Action= drop
Пристрої з мережі 192.168.3.х (де NAS Synology та Dune) дозволяємо встановлювати з'єднання, ініціаторами яких є ПЕОМ №1
Chain= forward Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Connection State = established, Action= accept
Всім іншим забороняємо вихідний трафік в Інтернет та підмережі нашої мережі:
Chain= forward Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Action= drop
Для реалізації port knocking виконаємо такі правила:
chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98
Кому цікаво, чому саме так прописується можуть прочитати.
Тепер «по стуку» у нас віддалений комп'ютервнесеться на 1 годину до списку дозволених ( white_list_NAS). Але це ще не все. Щоб він зміг отримати доступ до web-інтерфейсу Synology, потрібно налаштувати port forwarding для цього списку ( white_list_NAS)
Це робиться у розділі IP->Firewall у вкладці NAT . Створимо правило:
chain=dstnat protocol=tcp Dst.port=5000 Src address list=white_list_NAS action=dst-nat to addresses=192.168.3.201 to ports=5000
Тепер зробивши ping певним чином ми матимемо доступ до нашого NAS (рис №10)
На цьому налаштування закінчено. Якщо все правильно, то в результаті у нас у розділіIP->Firewall на вкладці Filter Rules вийде картинка як на рис №11
Перевірка конфігурації
Підключимося по SSH до NAS-серверу (192.168.3.201) та виконаємо трасування до ПЕОМ №1 (192.168.5.100) та Dune (192.168.3.200) - рис №12
Рис №12 результати з NAS
Бачимо, що з трасуванні до ПЕОМ №1 пакети йдуть через 192.168.3.1 і досягають мети. А до Dune пакети ідуть прямо. При цьому пінги до інтернету йдуть нормально (в даному випадку, на адресу 8.8.8.8).
А з ПЕОМ №1 (192.168.5.100) до NAS (192.168.3.201) трасування відбувається успішно (рис №13).
Рис №13 трасування з ПЕОМ №1
А на рис №14 показано, що відбувається на ПЕОМ, який підключили до мережі і не внесли після цього щодо нього жодних правил у firewall Mikrotik. У результаті ця ПЕОМ неспроможна взаємодіяти ні з Інтернетом, ні з іншими пристроями в інших підмережах локальної мережі.
Рис №14 результати нового ПЕОМ, підключеного до мережі
Висновки
Нам вдалося налаштувати нашу домашню мережу, поєднуючи зручність роботи з пристроями у мережі та не жертвуючи при цьому безпекою. Вирішено такі завдання:
- Налаштування Mikrotik можливе за веб-інтерфейсом тільки з ПЕОМ №1
- NAS Synilogy та Dune можуть отримувати дані з Інтернету, але не можуть отримати доступ до пристроїв в інших підмережах. Тому навіть якщо в їх прошивках є бекдори для розробників, АНБ або когось ще, все що вони зможуть дізнатися - тільки один про одного (про NAS Synilogy або Dune)
- Реалізовано безпечний віддалений доступз будь-якої точки інтернету для встановлення будинку на завантаження для NAS Synilogy необхідного софту
- Несанкціоновано підключені до мережі пристрої мають доступ лише в межах підмережі, куди вони підключені, і не можуть надсилати дані в Інтернет.
Завантаження...