Безопасная домашняя сеть: создаём изолированный сегмент для гостей. Как настроить домашний роутер, чтобы сделать сеть безопасной

ПНСТ301-2018/ИСО/МЭК 24767-1:2008

ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙФЕДЕРАЦИИ

Информационные технологии

БЕЗОПАСНОСТЬ ДОМАШНЕЙ СЕТИ

Требования безопасности

Information technology. Home network security. Part 1.Security requirements

ОКС 35.110, 35.200,35.240.99

Срокдействия с 2019-02-01

Предисловие

Предисловие

1ПОДГОТОВЛЕН Федеральным государственным бюджетным образовательнымучреждением высшего образования "Российский экономическийуниверситет им.Г.В.Плеханова" (ФГБОУ ВО "РЭУ им.Г.В.Плеханова") наоснове собственного перевода на русский язык англоязычной версиимеждународного стандарта, указанного в пункте 4

2ВНЕСЕН Техническим комитетом по стандартизации ТК 22"Информационные технологии"

3УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства потехническому регулированию и метрологии от 4 сентября 2018 г. N38-пнст

4Настоящий стандарт идентичен международному стандарту ИСО/МЭК24767-1:2008* "Информационные технологии. Безопасность домашнейсети. Часть 1. Требования безопасности" (ISO/IEC 24767-1:2008,"Information technology - Home network security - Part 1: Securityrequirements", IDT)
________________
*Доступ к международным и зарубежным документам, упомянутым здесь идалее по тексту, можно получить, перейдя по ссылке на сайт. - Примечаниеизготовителя базы данных.

Правила применениянастоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и6).

Федеральное агентствопо техническому регулированию и метрологии собирает сведения опрактическом применении настоящего стандарта. Данные сведения, атакже замечания и предложения по содержанию стандарта можнонаправить не позднее чем за 4 мес до истечения срокаего действия разработчику настоящего стандарта по адресу: 117997Москва, Стремянный переулок, д.36, ФГБОУ ВО "РЭУ им.Г.В.Плеханова " и в Федеральное агентство потехническому регулированию и метрологии по адресу: 109074Москва, Китайгородский проезд, д.7, стр.1.

В случае отменынастоящего стандарта соответствующая информация будет опубликованав ежемесячном информационном указателе "Национальные стандарты" итакже будет размещена на официальном сайте Федерального агентствапо техническому регулированию и метрологии в сети Интернет(www.gost.ru )

Введение

ИСО (Международнаяорганизация по стандартизации) и МЭК (Международнаяэлектротехническая комиссия) образуют специализированную системувсемирной стандартизации. Государственные органы, являющиесячленами ИСО или МЭК, участвуют в разработке международныхстандартов посредством технических комитетов. Участие в разработкестандарта в конкретной области может принять любой заинтересованныйорган, являющийся членом ИСО или МЭК. Другие международныеорганизации, правительственные и неправительственные,контактирующие с ИСО и МЭК, также принимают участие в работе.

Вобласти информационных технологий ИСО и МЭК учредили Объединенныйтехнический комитет ИСО/МЭК СТК 1. Проекты международныхстандартов, подготовленные Объединенным техническим комитетом,рассылаются национальным комитетам на голосование. Публикация вкачестве международного стандарта требует утверждения не менее чем75% национальных комитетов, участвующих в голосовании.

Официальные решения илисоглашения МЭК и ИСО по техническим вопросам выражают, насколькоэто возможно, международное согласованное мнение по относящимся кделу вопросам, так как каждый технический комитет имеетпредставителей от всех заинтересованных национальных комитетов -членов МЭК и ИСО.

Публикации МЭК, ИСО иИСО/МЭК имеют форму рекомендаций для международного использования ипринимаются национальными комитетами - членами МЭК и ИСО именно втаком понимании. Несмотря на все приложенные усилия для обеспеченияточности технического содержания публикаций МЭК, ИСО и ИСО/МЭК, МЭКили ИСО не несут ответственности за то, каким образом онииспользуются или за их неправильную трактовку конечнымпользователем.

Вцелях обеспечения международной унификации (единой системы)национальные комитеты МЭК и ИСО обязуются обеспечить максимальнуюпрозрачность применения международных стандартов МЭК, ИСО иИСО/МЭК, насколько это позволяют государственные и региональныеусловия данной страны. Любое расхождение между публикациями ИСО/МЭКи соответствующими национальными или региональными стандартамидолжно быть четко обозначено в последних.

ИСО и МЭК непредусматривают процедуры маркировки и не несут ответственности залюбое оборудование, заявленное на соответствие одному из стандартовИСО/МЭК.

Все пользователи должныудостовериться в использовании последнего издания настоящейпубликации.

МЭК или ИСО, ихруководство, сотрудники, служащие или представители, включаяотдельных экспертов и членов их технических комитетов, а такжечлены национальных комитетов МЭК или ИСО не несут ответственностиза несчастные случаи, материальный ущерб или иной нанесенный ущерб,прямой или косвенный, или за затраты (включая судебные издержки),понесенные в связи с публикацией или вследствие использованиянастоящей публикации ИСО/МЭК или другой публикации МЭК, ИСО илиИСО/МЭК.

Особого внимания требуетнормативная документация, цитируемая в настоящей публикации.Использование ссылочных документов необходимо для правильногоприменения настоящей публикации.

Обращается внимание нато, что некоторые элементы настоящего международного стандартамогут быть объектом патентных прав. ИСО и МЭК не несутответственности за определение какого-либо или всех таких патентныхправ.

Международный стандартИСО/МЭК 24767-1 был разработан Подкомитетом 25 "Взаимосвязьоборудования информационных технологий" Объединенного техническогокомитета ИСО/МЭК 1 "Информационные технологии".

Перечень всех имеющихся внастоящее время частей серии ISO/МЭК 24767 под общим названием"Информационные технологии. Безопасность домашней сети" представленна сайте МЭК.

1Область применения

Настоящий стандартопределяет требования к защите домашней сети от внутренних иливнешних угроз. Стандарт служит основанием для разработки систембезопасности, защищающих внутреннюю среду от различных угроз.

Требования безопасностирассматриваются в настоящем стандарте относительно неформально.Несмотря на то, что многие вопросы, рассмотренные в настоящемстандарте, служат руководством по разработке систем безопасностикак внутренней сети, так и сети Интернет, они носят характернеофициальных требований.

Квнутренней (домашней) сети подключены различные устройства (см.рисунок 1). Устройства "сети бытовых приборов", "развлекательныеаудио-/видео-" устройства и устройства для работы с"информационными приложениями" имеют различные функции и рабочиехарактеристики. Настоящий стандарт содержит средства для анализарисков по каждому подключенному к сети устройству и определениятребований безопасности для каждого устройства.

2Термины, определения и сокращения

2.1Термины и определения

Внастоящем стандарте применены следующие термины и определения:

2.1.1 бытоваяэлектроника (brown goods): Аудио-/видеоустройства, которые восновном используются в развлекательных целях, например телевизорили DVD-рекордер.

2.1.2конфиденциальность (confidentiality): Свойство,обеспечивающее недоступность и неразглашение информациинеуполномоченным лицам, организациям или процессам.

2.1.3 аутентификацияданных (data authentication): Служба, используемая дляобеспечения корректной верификации заявленного источникаданных.

2.1.4 целостностьданных (data integrity): Свойство, подтверждающее, что данныене были изменены или уничтожены неразрешенным образом.

2.1.5 аутентификацияпользователя (user authentication): Сервис для обеспечениякорректной проверки идентификационной информации, представленнойучастником коммуникации, при том что служба авторизацииобеспечивает доступ идентифицированного и авторизованногопользователя к конкретному устройству или приложению домашнейсети.

2.1.6 бытоваятехника (white goods): Устройства, применяемые в повседневномобиходе, например кондиционер, холодильник и т.д.

2.2Сокращения

Внастоящем стандарте использованы следующие сокращения:

Аудио/видео -

аудиоустройства/визуальныеустройства;

(Compact Disc)компакт-диск;

(Distributed Denial ofService) распределенная атака типа "отказ в обслуживании";

(Denial of Service) отказ вобслуживании;

(Digital Rights Management)управление цифровыми правами;

(Digital TeleVision) цифровоетелевидение;

(Digital Versatile Disc)компакт-диск / формата DVD;

(Externally Supported Multiplehomes HES) домашняя электронная система на несколько домов,управляемая третьей стороной;

(Externally Supported Singlehome HES) домашняя электронная система на один дом, управляемаятретьей стороной;

(Home Electronic System)домашняя электронная система;

(Information and CommunicationTechnology) информационно-коммуникационные технологии (ИКТ);

(Internet Protocol)интернет-протокол;

(IP Security protocol)протокол безопасности интернет-протокола;

(Internet Protocol version 4)интернет-протокол, версия 4;

(Internet Protocol version 6)интернет-протокол, версия 6;

(Information Technology)информационные технологии (ИТ);

(Moving Picture Expert Group)стандартный способ упаковки полнометражных видеозаписей;

(Owner supported single homeHES) домашняя электронная система на один дом, управляемаявладельцем;

(Pocket Personal Computer)карманный персональный компьютер (КПК);

(Personal Computer)персональный компьютер (ПК);

(Transmission ControlProtocol) протокол управления передачей;

(Transport Layer Security)протокол безопасности транспортного уровня;

(Uniform Resource Locator)система унифицированных адресов ресурсов;

(Video Cassette Recorder)кассетный видеомагнитофон;

3Соответствие

Внастоящем стандарте содержатся методические указания без каких-либотребований соответствия.

4Требования безопасности внутренних домашних электронных систем исетей

4.1Общие положения

Сбыстрым развитием Интернета и связанных с ним сетевых технологийпоявилась возможность установки связи между компьютерами в офисах идомах с внешним миром, что обеспечивает доступ ко множествуресурсов. Сегодня технологии, которые стали основой этого успеха,достигли наших домов и обеспечивают возможность подключенияприборов так же, как и персональных компьютеров. Таким образом, онине только позволяют пользователям отслеживать и контролировать своибытовые приборы, находясь как внутри, так и вне дома, но исоздавать новые сервисы и возможности, например удаленноеуправление бытовой техникой и ее обслуживание. Это означает, чтообычная компьютерная среда дома преобразуется во внутреннююдомашнюю сеть, объединяющую множество устройств, безопасностькоторых также будет необходимо обеспечить.

Необходимо, чтобы жильцы,пользователи и владельцы как дома, так и системы, доверяли домашнейэлектронной системе. Цель безопасности домашней электронной системы- обеспечение доверия к системе. Поскольку многие компонентыдомашней электронной системы находятся в работе непрерывно, 24 часав день, и автоматически обмениваются информацией с внешним миром,информационная безопасность необходима для обеспеченияконфиденциальности, целостности и доступности данных и системы.Надлежащим образом реализованное решение по безопасностиподразумевает, например, что доступ к системе и сохраненным,поступающим и исходящим данным получают только авторизованныепользователи и процессы, и что пользоваться системой и вносить внее изменения могут только авторизованные пользователи.

Требования безопасностидля сети HES могут быть описаны несколькими способами. Этотстандарт ограничен ИТ-безопасностью сети HES. Тем не менее,безопасность информационных технологий должна выходить за рамкисамой системы, поскольку дом должен функционировать, хотя и сограниченными возможностями, в случае отказа ИТ-системы.Интеллектуальные функции, которые обычно поддерживаются сетью HES,могут выполняться также при разрыве связей системы. В таких случаяхможно понять, что существуют требования безопасности, которые немогут быть частью самой системы, но при этом система не должназапрещать реализацию резервных решений.

Существует ряд лиц,заинтересованных в вопросах безопасности. Домашней электроннойсистеме должны доверять не только жители и владельцы, но ипровайдеры услуг и контента. Последние должны быть уверены, чтопредлагаемые ими услуги и контент используются только разрешеннымспособом. Однако одной из основ безопасности системы является то,что отвечать за нее должен конкретный администратор службыбезопасности. Очевидно, что такая ответственность должна бытьвозложена на жителей (владельцев системы). Не имеет значения,занимается ли этим администратор лично или отдает на аутсорсинг. Влюбом случае ответственность несет администратор системыбезопасности. Вопрос доверия провайдеров услуг и контента кдомашней электронной системе и их уверенности в том, чтопользователи применяют их услуги и контент надлежащим образом,определяется договорными обязательствами между сторонами. Вдоговоре, например, могут быть перечислены функции, компоненты илипроцессы, которые должна поддерживать домашняя электроннаясистема.

Архитектура домашнейэлектронной системы различна для разных видов домов. Для любоймодели может существовать свой определенный набор требованийбезопасности. Ниже приведено описание трех различных моделейдомашних электронных систем с различными наборами требованийбезопасности.

Очевидно, что некоторыетребования безопасности более важны, чем остальные. Таким образом,понятно, что поддержка некоторых мер противодействия будетопциональной. Кроме того, меры противодействия могут различаться покачеству и стоимости. Также для управления и поддержания таких мерпротиводействия могут потребоваться различные навыки. В данномстандарте сделана попытка разъяснить мотивы перечисленныхтребований безопасности и тем самым позволить разработчикамдомашней электронной системы определить, какие функции безопасностидолжна поддерживать конкретная домашняя система, а также, с учетомтребований по качеству и усилий по обеспечению управления иобслуживания, какой механизм следует выбрать для таких функций.

Требования безопасностивнутренней сети зависят от определения безопасности и "дома", атакже от того, что понимается под "сетью" в этом доме. Если сеть -это просто канал, соединяющий отдельный ПК с принтером иликабельным модемом, то для обеспечения безопасности домашней сетидостаточно обеспечить безопасность этого канала и оборудования,которое он соединяет.

Однако если в доменаходятся десятки, если не сотни, объединенных в сеть устройств,при этом некоторые из них относятся к домохозяйству в целом, анекоторые принадлежат находящимся в доме людям, понадобитсяпредусмотреть более сложные меры безопасности.

4.2Безопасность домашней электронной системы

4.2.1 Определениедомашней электронной системы и безопасности системы

Домашнюю электроннуюсистему и сеть можно определить как набор элементов, которыеобрабатывают, передают и хранят информацию, а также управляют ею,обеспечивая связь и интеграцию множества компьютерных устройств, атакже устройств управления, контроля и связи, находящихся вдоме.

Кроме того, домашниеэлектронные системы и сети обеспечивают взаимосвязь развлекательныхи информационных устройств, а также приборов связи и безопасности,и имеющейся в доме бытовой техники. Такие устройства и приборыбудут обмениваться информацией, ими можно управлять иконтролировать их, находясь в доме, либо удаленно. Соответственно,для всех внутренних домашних сетей потребуются определенныемеханизмы безопасности, защищающие их повседневную работу.

Безопасность сети иинформации можно понимать как способность сети или информационнойсистемы на определенном уровне противостоять случайным событиям илизлонамеренным действиям. Такие события или действия могут поставитьпод угрозу доступность, аутентичность, подлинность иконфиденциальность сохраненных или переданных данных, а такжесвязанных с ними сервисов, предлагаемых через такие сети исистемы.

Инциденты информационнойбезопасности можно объединить в следующие группы:

Электронное сообщение может быть перехвачено, данные могут бытьскопированы или изменены. Это может стать причиной ущерба,причиненного как путем нарушения права личности наконфиденциальность, так и путем злоупотребления перехваченнымиданными;

Несанкционированный доступ к компьютеру и внутренним компьютернымсетям обычно выполняется со злым умыслом на копирование, изменениеили уничтожение данных и может распространяться на автоматическоеоборудование и системы, находящиеся в доме;

Вредоносные атаки в сети Интернет стали вполне обычным явлением, ав будущем более уязвимой может также стать телефонная сеть;

Вредоносное программное обеспечение, такое как вирусы, можетвыводить из строя компьютеры, удалять или изменять данные, либоперепрограммировать бытовую технику. Некоторые атаки вирусов быливесьма разрушительными и дорогостоящими;

Искажение информации о физических или юридических лицах может статьпричиной значительного ущерба, например клиенты могут скачатьвредоносное программное обеспечение с веб-сайта, маскирующегося поддоверенный источник, могут быть расторгнуты контракты, аконфиденциальная информация может быть направлена ненадлежащимполучателям;

Многие инциденты информационной безопасности связаны снепредусмотренными и непреднамеренными событиями, напримерстихийными бедствиями (наводнениями, штормами и землетрясениями),отказами аппаратного или программного обеспечения, а также счеловеческим фактором.

Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника - холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы - это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться - в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто - там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа - соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования - чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.

К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции - вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.

Настройка через веб-интерфейс не вызовет затруднений даже у начинающих - несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.

Добавить гостевую сеть можно, когда устройство уже настроено и работает.

Скриншот с сайта производителя

Скриншот с сайта производителя

Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN - виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.

Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию - вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов - скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.

Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход - дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все - функциональные возможности встроенного софта у них, повторимся, очень разные.

Введение

Актуальность этой темы заключается в том, что изменения, происходящие в экономической жизни России - создание финансово-кредитной системы, предприятий различных форм собственности и т.п. - оказывают существенное влияние на вопросы защиты информации. Долгое время в нашей стране существовала только одна собственность - государственная, поэтому информация и секреты были тоже толькогосударственные, которые охранялись мощными спецслужбами. Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программноеобеспечение и базы данных, для которых технические средства являются окружением. Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит кощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать: - целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных. - конфиденциальностьинформации и, одновременно, ее доступность для всех авторизованных пользователей. Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, всоответствии с характером и важностью решаемых ими задач.

Если компьютер подключен к локальной сети, то, потенциально, к этому компьютеру и информации в нем можно получить несанкционированный доступ из локальной сети.

Если локальную сеть соединили с другими локальными сетями, то к возможным несанкционированным пользователям добавляются и пользователи из этих удаленных сетей. Мы не будемговорить о доступности такого компьютера из сети или каналов, через которые соединили локальные сети, потому что наверняка на выходах из локальных сетей стоят устройства, осуществляющие шифрование и контроль трафика, и необходимые меры приняты.

Если компьютер подключили напрямую через провайдера к внешней сети, например через модем к Интернет, для удаленного взаимодействия со своей локальной сетью, токомпьютер и информация в нем потенциально доступны взломщикам из Интернет. А самое неприятное, что через этот компьютер возможен доступ взломщиков и к ресурсам локальной сети.

Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от НСД, либо криптографические системы на уровне конкретныхприложений, либо и то и другое вместе.

Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:

Операционные системы (ОС), особенно WINDOWS относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провестичрезвычайно трудно. В связи с чем, достоверно обосновать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, случайно или умышленно оставленных в ОС, и которыми можно было бы воспользоваться через сетевые атаки, не представляется возможным.

В многозадачной ОС, в частности WINDOWS, одновременно может работать много разных приложений,...

C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства – смартфоны и планшеты, – при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.

Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.

Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств – их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.

Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.

1. Измените данные администратора по умолчанию

Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.

Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 – он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.

Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.

Ключевой элемент безопасности домашней сети – возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.

В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.

2. Установите или измените пароли для доступа к локальной сети

Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала – желательно, WPA2.

3. Отключите WPS

Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.

Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.

Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.

4. Измените наименование SSID

Идентификатор SSID (Service Set Identifier) – это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.

Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.

При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.

5. Измените IP роутера

Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.

6. Отключите удалённое администрирование

Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.

При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.

7. Обновите микропрограмму

Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.

Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию – также через веб-интерфейс.

8. Перейдите в диапазон 5 ГГц

Базовый диапазон работы сетей Wi-Fi – это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.

Минус у этого решения только один – далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.

9. Отключите функции PING, Telnet, SSH, UPnP и HNAP

Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».

10. Включите брандмауэр роутера

Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.

11. Отключите фильтрацию по MAC-адресам

Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.

12. Перейдите на другой DNS-сервер

Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS . С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS – это просто скоростной DNS-сервер без дополнительных функций.

13. Установите альтернативную «прошивку»

И, наконец, радикальный шаг для того, кто понимает, что делает, – это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям – в том числе и за счёт нестандартности.

Среди популярных open-source «прошивок» можно назвать основанные на Linux

Несколько лет назад домашние беспроводные сети были довольно просты и состояли, как правило, из точки доступа и пары компьютеров, которыми пользовались для доступа в Интернет, онлайн покупок или игр. Но в наше время домашние сети стали значительно сложнее. Сейчас к домашней сети подключено большое количество устройств, которые используются не только для доступа в Интернет или просмотра средств массовой информации. В этой статье мы поговорим о том, как сделать домашнюю сеть безопасной для всех членов семьи.

Безопасность беспроводной сети

Практически в каждом доме есть беспроводная сеть (или, так называемая сеть Wi-Fi). Эта сеть позволяет подключить любое устройство к Интернету, например, ноутбук, планшет или игровую приставку. Большинство беспроводных сетей управляются роутером – устройством, установленным вашим интернет-провайдером для обеспечения доступа к Интернету. Но в некоторых случаях ваша сеть может контролироваться отдельными системами, так называемыми точками доступа, которые соединены с роутером. Не зависимо от того, с помощью какой системы ваши устройства соединяются с Интернетом, принцип работы этих систем одинаков: передача радиосигналов. Различные устройства могут подключаться к Интернету и к другим устройствам вашей сети. Это означает, что безопасность вашей домашней сети является одним из основных компонентов защиты вашего дома. Мы советуем выполнять следующие правила для обеспечения безопасности вашей домашней сети:

• Измените пароль администратора, установленный производителем Интернет роутера или точки доступа. Аккаунт администратора позволяет вносить изменения к настройкам сети. Проблема в том, что многие роутеры поставляются со стандартными, хорошо известными паролями и их легко найти в Интернете. Поэтому следует изменить заводской пароль на уникальный и сильный пароль, который будете знать только вы.
• Измените название сети, установленное производителем (его еще называют SSID). Это имя ваши устройства видят при поиске домашней беспроводной сети. Дайте своей домашней сети уникальное имя, которое легко узнать, но оно не должно содержать личной информации. Конфигурация сети как «невидимой» - малоэффективная форма защиты. Большинство программ сканирования беспроводных сетей и любой опытный хакер может легко обнаружить «невидимые» сети.
• Убедитесь, что к вашей сети могут подключаться только люди, которым вы доверяете, и что это соединение является зашифрованным. Это поможет повысить уровень безопасности. В настоящее время самым безопасным соединением является WPA2. При его использовании пароль запрашивается при подключении к сети, и при этом подключении используется шифрование. Убедитесь, что вы не используете устаревший метод, например, WEP, или не пользуетесь открытой сетью (которая вообще не предоставляет защиты). Открытая сеть позволяет абсолютно все подключаться к вашей беспроводной сети без аутентификации.
• Убедитесь, что для подключения к вашей сети люди используют сильный пароль, который не совпадает с паролем администратора. Помните, что вам нужно ввести пароль для каждого используемого устройства только однажды, этот пароль устройства могут запоминать и хранить.
• Большинство беспроводных сетей поддерживают, так называемую Гостевую Сеть (Guest Network). Это позволяет гостям выходить в Интернет, но домашняя сеть в этом случае защищена, так как гости не могут соединиться с домашними устройствами вашей сети. Если вы добавляете гостевую сеть, убедитесь, что используете WPA2, и она защищена с помощью уникального и сильного пароля.
• Отключите Wi-Fi Protected Setup или другую настройку, позволяющую подключать новые устройства без ввода пароля и других опций конфигурации.
• Если вам сложно запомнить все пароли, настоятельно рекомендуем использовать менеджер паролей для их хранения.

Если вопросы по перечисленным пунктам? Зайдите к провайдерам Интернета, посмотрите инструкцию к роутеру, точке доступа, или посмотрите веб сайты их производителей.

Безопасность ваших устройств

Следующим шагом является уточнение списка всех подключенных к сети устройств и обеспечение их безопасности. Это было легко сделать раньше, когда к сети было подключено небольшое количество устройств. Но в современном мире практически все устройства могут быть «постоянно подключены» к сети, включая телевизоры, игровые приставки, детские камеры, колонки, обогреватели или даже автомобили. Одним из простых способов обнаружить подключенные устройства является использование сетевого сканера, например, Fing. Это приложение, однажды установленное на компьютер, позволяет обнаружить абсолютно все устройства, подключенные к сети. После того, как вы обнаружите все устройства, следует позаботиться об их безопасности. Лучший способ обеспечить безопасность – регулярно обновлять их операционные системы/прошивки. Если возможно, настройте автоматическое обновление систем. Если есть возможность использовать пароль к каждому устройству, используйте только сильный и надежный пароль. И, наконец, посетите веб сайт Интернет провайдера для получения информации о бесплатных способах защиты вашей сети.

Об авторе

Черил Конли возглавляет отдел тренинга по информационной безопасности в компании Lockheed Martin. Она использует фирменную методику The I Compaign TM для тренинга 100 000 сотрудников компании. Методика активно использует фокус-группы внутри компании и координирует глобальную программу