Bezpečná domáca sieť: Vytvorte izolovaný segment pre hostí. Ako nastaviť domáce smerovač na zabezpečenie bezpečnej siete

PNST301-2018 / ISO / IEC 24767-1: 2008

Predbežná národná norma Ruskej federácie

Informačné technológie

Bezpečnosť domácej siete

Bezpečnostné požiadavky

Informačné technológie. Bezpečnosť domácej siete. ČASŤ 1. Požiadavky na účasť

OX 35.110, 35.200,35,240,99

Spolu s 2019-02-01

Predslov

Predslov

1inmed federálnym štátnym rozpočtovým vzdelávacím inštitúciám vyššieho vzdelávania "Ruský ekonomický podnik I.G.V.PLEKHANOV" (FGBOU VEU NAMI I.G.V. PLAKHANOVA) Equanka vlastného prekladu do ruštiny, anglickej verzie medzinárodnej normy uvedenej v odseku 4

2. Technický výbor pre normalizáciu TC 22 "Informačné technológie"

3Added a uzákonený príkazom federálnej agentúry vtipné reguláciu a metrológiu zo 4. septembra 2018 N38-PNST

4-súčasný štandard je identický s International ISO / IEC24767-1: 2008 * "Informačné technológie. Informačné technológie. Bezpečnosť domácej správy. Časť 1. Bezpečnostné požiadavky" (ISO / IEC 24767-1: 2008, "Informačné technológie - Home Security Network - Časť 1: Zaregistrovanie "IDT)
________________
* Prístup k medzinárodným a zahraničným dokumentom uvedeným tu uvedeným IDALEE v texte, môžete sa dostať kliknutím na odkaz na stránku. - Upozornenie na výrobu databázy.

Pravidlá uplatňovania štandardu a monitorovania je stanovené vGOST R 1.16-2011 (Oddiely 5 a 6).

Technická regulácia federálnej agentúry a metrológia zhromažďuje informácie o optickej aplikácii tohto štandardu. Tieto informácie, oznámenie o útoku a návrhy na obsah normy môžu byť možné najneskôr 4 móda pred uplynutím lehoty pre vývojára tejto normy na adrese: 117997mosk, silný Pereulok, D.36, FGBOU VEUi.g.v. Plakhanova"A Federálnej agentúre pre sladenú reguláciu a metrológiu na: \\ t 109074moskva, ku kuchynskému priechodu, D.7, str.1.

V prípade zrušenia štandardu budú relevantné informácie zverejnené mesačným indikátorom informácií "Národné normy", pretože bude odoslaná na oficiálnej internetovej stránke Federálnej agentúry Riaditeľstvo a metrológia na internete (www.gost.ru.)

Úvod

ISO (Medzinárodná organizácia pre normalizáciu) a IEC (Medzinárodná elektrotechnická komisia) tvoria špecializovanú štandardizáciu založenú na systéme. Štátne orgány, ktoré sú ISO alebo IEC, sa zúčastňujú na rozvoji medzinárodných reportérov prostredníctvom technických výborov. Účasť na vývoji štandardu v určitej oblasti môže prijať akýkoľvek záujemca, ktorý je členom ISO alebo IEC. Ostatné medzinárodné kampane, vládne a mimovládne, kontaktovanie ISO a IEC, sa tiež zúčastňujú aj na práci.

Vplyv informačných technológií ISO a IEC založil spoločný ISO / IEC STAX Výbor 1. Projekty medzinárodných noriem vypracovaných Spoločným technickým výborom sa zasielajú národným výborom na hlasovanie. Uverejnenie účtu medzinárodnej normy si vyžaduje schválenie najmenej 55% národných výborov zúčastňujúcich sa na hlasovaní.

Oficiálne rozhodnutia alebo formulácia IEC a ISO o technických otázkach sú však vyjadrené medzinárodne dohodnutým názorom na pripisovanie otázok, keďže každý technický výbor vedie zástupcovia všetkých zainteresovaných národných výborov -chelms IEC a ISO.

Publikácie IEC, ISO IISO / IEC, majú formu odporúčaní pre medzinárodné použitie, organizuje národné výbory - členovia IEC a ISO, je to vnútorné porozumenie. Napriek všetkému úsiliu o zabezpečenie technického obsahu publikácií IEC, ISO a ISO / IEC nenesie NEKILI ISO nezodpovedá za to, ako sa používajú alebo pre ich nesprávny výklad koncovým používateľom.

Zaujímavé medzinárodné zjednotenie (jednotné systémy) Národné výbory IEC a ISO sa zaväzujú zabezpečiť maximálne skúmanie uplatňovania medzinárodných noriem IEC, IISO / IEC, pokiaľ ide o štátne a regionálne podmienky tejto krajiny. Akýkoľvek rozdiel medzi publikáciami ISO / MAKI relevantných národných alebo regionálnych noriem môže byť jasne určený v druhej.

ISO a IEC sú nekonzistentné na postupy označovania a nie sú zodpovední za lásku, ktoré sú uvedené v súlade s jedným z noriem / IEC.

Všetci užívatelia musia použiť posledné vydanie súčasnosti.

IEC alebo ISO, Iroudement, zamestnanci, zamestnanci alebo zástupcovia, vrátane odborníkov a členov svojich technických výborov, ako aj národné výbory IEC alebo ISO, nie sú zodpovední za nehody, materiálne škody alebo iné škody, priame alebo nepriame, alebo pre Náklady (vrátane súdnych nákladov), ktoré vznikli v súvislosti s publikáciou alebo v dôsledku používania ISO / IEC / IEC alebo inej zverejnenia IEC, ICIO ILISO / IEC.

Osobitná pozornosť sa venuje požadovanej dokumentácii uvedenej v tejto publikácii. Pomocou referenčných dokumentov je potrebné správne zadať túto publikáciu.

Pozornosť NATO je čerpaná, že niektoré prvky tejto medzinárodnej generácie štandardov podliehajú patentovým právam. ISO a IEC nie je irelevantné na určenie akéhokoľvek takéhoto patentového hospodárenia.

Medzinárodná norma / IEC 24767-1 bola vyvinutá podvýboru z 25 "Informačné technológie prepojovacích zariadení" spoločného technického kódexu ISO / IEC 1 "Informačné technológie".

Zoznam všetkých dostupných časových častí ISO / IEC 24767 v rámci všeobecného názvu "Informačné technológie. Bezpečnosť domácej siete" je prezentovaná webová stránka IEC.

1 oblasť použitia

Táto štandardná požiadavka na identifikáciu na ochranu domácej siete pred vnútornými alebo dokonca hrozbami. Štandard slúži ako základ pre rozvoj zabezpečenia systému, ktorý chráni vnútorné prostredie od rôznych hrozieb.

Požiadavky sú chránené v tomto štandarde relatívne neformálne. Napriek tomu, že mnohé otázky diskutované v súčasnom obchode sa riadia vývojom bezpečnostných systémov vo vnútornej sieti a internetu, nosia typické požiadavky.

KNUTRENNANAYA (HOME) Sieť pripojená rôzne zariadenia (pozri Syno 1). Zariadenia "Domáce spotrebiče siete", "zábavné / video" zariadenia a zariadenia na prácu s "informačnými aplikáciami" majú rôzne funkcie a pracovné subjekty. Tento štandard obsahuje prostriedky na analyzátory pre každé zariadenie pripojené k sieti a definícii pre každé zariadenie.

2Termines, definície a redukcie

2.1Termines a definície

Nasledujúce podmienky a definície sa uplatňujú podľa normy:

2.1.1 spotrebná elektronika (Brown Tovar): Audio / video zariadenia, ktoré sa používajú v zábavných účely, ako je napríklad DVD rekordér TV.

2.1.2dôvernosť (Dôvernosť): majetok, ktorý poskytuje neprístupnosť a nezverejnenie informácií o cenovo dostupných osobách, organizáciách alebo procesoch.

2.1.3 overenie (Autentifikácia údajov): Služba použitá na zabezpečenie správneho overenia reklamovaných zdrojov.

2.1.4 integrita (Integrita údajov): majetok potvrdzujúci, že tieto údaje boli zmenené alebo zničené nevyriešeným spôsobom.

2.1.5 autentifikačný používateľ (User Authentication): Služba ušetriť identifikačné informácie poskytnuté partnerským komunikáciou napriek tomu, že autorizačná služba je podporovaná prístupom identifikovaných a autorizovaných hlavičiek Špecifické zariadenie Alebo aplikácie domácich prác.

2.1.6 spotrebiče (Biely tovar): Zariadenia používané v trávivom, napríklad klimatizácii, chladničke atď.

2.2Security

Nasledujúce skratky sa používajú štandardom:

Audio Video -

audio zariadenia / Vizuálne zariadenia;

(Compact Disc) CD;

(Distribuované odmietnutie služby) Distributed Typ Distribučný útok;

(Odmietnutie služby) Nedodržanie;

(Riadenie digitálnych práv) Riadenie digitálnych práv;

(Digitálna televízia) Digitálny predajca;

(Digitálny univerzálny disk) DVD CD / formát;

(Externe podporované hromadného hovädzieho hesla) domáce elektronický systém pre niekoľko domov, spravovaných treťou stranou;

(Externe podporované singleHome hes) domáce elektronický systém pre jeden dom, riadenie mierovej strany;

(Domov Elektronický systém) Home Elektronický systém;

(Informačné a komunikačné technológie) informačné a komunikačné technológie (IKT);

(Internet Protocol) Internet Protocol;

(IP Security Protocol) Protokol bezpečnostného protokolu Internet Protocol;

(Internet Protocol version 4) Internet Protocol, verzia 4;

(Internet Protocol verzia 6) Internet Protocol, verzia 6;

(Informačné technológie) informačné technológie (IT);

(Sťahovacia skupina expertov) Štandardné balenie plnohodnotného videa;

(Majiteľ podporil jednotný dom) Home Elektronický systém pre jedného domu, vyrábaný debel;

(Pocket Personal Computer) Pocket Personal Computer (PDA);

(Osobný počítač) Osobný počítač (PC);

(Prenosový kontrolaProtocol) Protokol o riadení prenosu;

(Bezpečnosť dopravnej vrstvy) Protokol o bezpečnosti dopravy;

(Uniform Resource Locator) Systém jednotných adries zdrojov;

(Video Cassette Recorder) Cassette Video Recorder;

3 o

Štandard je obsiahnutý metodické pokyny bez akéhokoľvek zhody.

4 Požiadavky Zabezpečenie vnútorných domácich elektronických systémov

4.1 Všeobecné ustanovenia

Osobitný pre rozvoj internetu a súvisiacich sieťových technológií sa objavili možnosť inštalácie komunikácie medzi počítačmi v kanceláriách myšlienok s vonkajším svetom, ktorý zabezpečuje prístup k viacerým kurzom. Dnes, technológie, ktoré sa stali základom tohto úspechu, dosiahli naše domovy a poskytli možnosť pripojenia použitia rovnakého ako aj osobných počítačov. Onin teda umožňuje používateľom sledovať a monitorovať svoje predchádzajúce zariadenia, ktoré sú vo vnútri aj mimo domu, ale na uvedenie nových služieb a schopností, ako je diaľkové ovládanie domáce prístroje a jej služby. To znamená, že domáce počítačové prostredie domu je prevedené na internú životnú sieť, ktorá kombinuje mnoho zariadení, bude zabezpečená aj bezpečnosť.

Je potrebné, aby nájomníci, užívatelia a majitelia domov a systémov dôverovali domácim elektronickým systémom. Účelom bezpečnosti domáceho elektrónového systému je zabezpečiť dôveru v systém. Keďže mnohé zložky elektronického systému sú v práci nepretržite, 24 hodín denne, a automaticky komunikovať s informáciami s vonkajším svetom, bezpečnosť informácií je potrebná na zabezpečenie dôvernosti, integrity a dostupnosti údajov a systému. Prístavným spôsobom Vyriešiť bezpečnostné reflubes, napríklad aký prístup k systému a uložených podnikavých a odchádzajúcich dát dostávajú len autorizovaným užívateľom a procesom, a že systém môžu používať iba oprávnení používatelia a umožniť.

Požiadavky na ochranu bezpečnosti hesiel môžu byť opísané niekoľkými spôsobmi. Tento obchod je obmedzený na IT bezpečnosť siete HES. Avšak, bezpečnosť informačných technológií by však mala prekročiť rámec Ramcisama systému, pretože dom musí fungovať, aj keď s hanebnými schopnosťami, v prípade, že systém IT odráža. Inteligentné funkcie, ktoré sú zvyčajne podporované sieťou HES keď sú systémové väzby rozbité. V takýchto prípadoch je možné zrejmé, že existujú bezpečnostné požiadavky, ktoré nebudú súčasťou samotného systému, ale systém by nemal zaregistrovať implementáciu rezervných riešení.

Existuje niekoľko bezpečnostných strán. Nielen obyvatelia a majitelia by sa mali dôverovať systému domácej kancelárie, ale identity a obsah služby. Ten musí byť presvedčený, že služby a služby a obsah používajú len povolenie. Jednou z základov zabezpečenia systému je však, že za to musí byť zodpovedný špecifický správca bezpečnosti služieb. Je zrejmé, že táto zodpovednosť by sa mala nájsť na obyvateľov (vlastníci systému). Nezáleží na tom, či administrátor sa s týmto osobne zaoberá alebo ide do outsourcingu. V láske je zodpovednosťou správcom zabezpečenia systému. Otázka dôvery poskytovateľov služieb a obsah materského elektronického systému a ich dôveru, ktorú používatelia uplatňujú svoje služby a obsah je riadne určený zmluvnými povinnosťami medzi stranami. Napríklad silné, môžu byť uvedené funkcie, komponenty orproží, ktoré by mali podporovať domácu elektroniku.

Architektúra domáceho elektronického systému je odlišná rôzne druhy domy. Pre všetky modely môže existovať špecifický súbor požiadaviek. Nižšie je popis troch rôznych modulačných elektronických systémov s rôznymi množinami požiadaviek.

Je zrejmé, že nezmysel bezpečnosti je dôležitejší ako zvyšok. Je teda jasné, že podpora niektorých protiopatrených opatrení bude. Okrem toho sa protiopatrenia môžu líšiť na dne a náklady. Tiež pre riadenie a udržiavanie takýchto meraní môže vyžadovať rôzne zručnosti. V tomto štandarde sa uskutočnil pokus o objasnenie motívov uvedených bezpečnostných požiadaviek, a tým umožniť vývoj e-systému určiť, ktoré funkcie bezpečnostnej propriety domáci systémS prihliadnutím na kvalitu a úsilie o zabezpečenie riadenia služieb, ktorý mechanizmus by mal byť vybraný pre takéto funkcie.

Požiadavky bezpečnosti siete závisia od definície bezpečnosti a "domu", útoku z toho, čo je chápané "sieť" v tomto Parlamente. Ak je sieť jednoducho kanál, ktorý spája samostatný počítač s tlačiarňou s horolezeckým modemom, potom zabezpečiť bezpečnosť domácich sietí na zabezpečenie bezpečnosti tohto kanála a vybavenia, ktoré sa pripája.

Avšak, ak existujú desiatky v doméne, ak nie stovky zariadení zjednotených v sieti, zatiaľ čo niektoré z nich patria do domácnosti ako celku, anectors patria ľuďom, ktorí sú v dome potrebujú byť potrební zložitejšie bezpečnostné opatrenia .

4.2 Bezpečnostný domáci elektronický systém

4.2.1 Definícia elektronického systému a bezpečnostného systému

Domovská elektronika a sieť možno definovať ako súbor prvkov, ktoré proces, prenášať a ukladať informácie, ako aj kontrolu, poskytovanie komunikácie a integrácie sady počítačové zariadenia, útočiace zariadenia kontroly, kontroly a pripojení, ktoré sú v poprednom mieste.

Okrem toho domáce elektronické systémy a siete zabezpečujú vzťah zábavných informačných zariadení, ako aj komunikačných a bezpečnostných zariadení a dostupných domácich spotrebičov. Takéto zariadenia a nástroj si vymieňajú informácie, môžu byť kontrolované a kontrolované, zatiaľ čo v dome, alebo na diaľku. Určité vnútorné domáce siete preto budú vyžadovať určitú bezpečnosť, ktorá chráni svoju každodennú prácu.

Bezpečnosť siete Panny Márie možno chápať ako schopnosť siete alebo informačného systému na určitej úrovni, aby vydržali náhodné udalosti alebo lezecké akcie. Takéto udalosti alebo akcie môžu ohroziť prístupnosť, pravosť, autenticitu ikonfIdentialitu zachovaných alebo prenášaných údajov a služby, na ktoré sa vzťahuje ich prostredníctvom týchto sietí.

Incidenty bezpečnosti informácií možno kombinovať do nasledujúcich skupín:

E-mail môže byť zachytený, údaje sa môžu vyriešiť alebo zmeniť. To môže spôsobiť škody spôsobené porušením práv osobnosti, pokuty a zneužitia zadržaných;

Neoprávnený prístup k počítačovým a interným počítačovým sieťam sa zvyčajne vykonáva s škodlivým úmyslom na kopírovaní, zmenu deštrukcie údajov a môže byť distribuovaný do automatizačných zariadení a systémov umiestnených v dome;

Škodlivé útoky na internete sa v budúcnosti stali celkom bežnými, môže existovať aj telefónna sieť zraniteľnejšia voči budúcnosti;

Škodlivý tovar softvérAko napríklad vírusy môžu byť mimo prevádzkových počítačov, odstrániť alebo zmeniť dáta, liberárske zariadenia na domácnosť. Niektoré útoky sú zničujúce a drahé vírusy;

Narušenie informácií o fyzickej alebo právne subjekty Môže to byť významné poškodenie, aby sa stali významným poškodením, napríklad zákazníci si môžu stiahnuť bezplatný softvér z webovej stránky, pričom z webovej stránky sa môžu zastaviť, zmluvy môžu byť ukončené, alarmfidentimentálne informácie môžu byť nasmerované nesprávnymi proliferáciami;

Mnoho incidentov informačná bezpečnosť Sú spojené so snowcred a neúmyselnými udalosťami, pre napríklad katastrofy (povodne, búrky a zemetrasenia), odmieta hardvér alebo softvér, ako aj replikačný faktor.

Dnes, takmer každý apartmán má domácu sieť, ku ktorej sú pripojené stacionárne počítače, notebooky, dátové sklady (NAS), prehrávače médií, Smart TVS, ako aj smartfóny, tablety a iné nositeľné zariadenia. Používajú sa buď káblové (Ethernet) alebo bezdrôtové (Wi-Fi) pripojenia a protokoly TCP / IP. S rozvojom internetových technológií v sieti vyšlo spotrebiče - chladničky, kávovary, klimatizácia a dokonca aj elektrické zariadenia. Vďaka riešeniam " Inteligentný dom»Môžeme ovládať jas osvetlenia, diaľkovo konfigurovať mikroklímu v miestnostiach, zapnúť a vypnúť rôzne zariadenia - to robí to veľmi jednoduchšie pre život, ale môže vytvoriť vlastníka pokročilých riešení. Sulturické problémy.

Vývojári takýchto zariadení sa bohužiaľ nebudú starať o bezpečnosť svojich výrobkov, a počet zraniteľností zistených v nich rastie ako huby po daždi. Často existujú prípady, keď po vstupe na trh, zariadenie prestane byť podporované - v našom televízore je napríklad inštalovaný firmvér 2016, založený na Android 4 a výrobca ho nebudú aktualizovať. Pridať problémy a hostia: Odmietnuť ich v prístupe k Wi-Fi pripojenie je nepohodlné, ale aj do ich útulnej siete, ktorá nechcela ísť do svojej útulnej siete. Kto vie, aké vírusy sa môžu usadiť u cudzincov mobilné telefóny? To všetko vedie k potrebe rozdeliť domácu sieť do niekoľkých izolovaných segmentov. Pokúsme sa zistiť, ako to urobiť, ako sa to nazýva, s nízkou krvou as najmenším finančným nákladom.

Izolácia Wi-Fi siete
V firemné siete Problém je vyriešený jednoducho - existujú kontrolované spínače s podporou pre virtuálne miestne siete (VLAN), rôzne smerovače, firewall a body bezdrôtový prístup - Je možné vybudovať požadované množstvo izolovaných segmentov za pár hodín. Pomocou zariadenia pre dopravu inšpektoru Next Generation (Ting), napríklad úloha je vyriešená doslova v niekoľkých kliknutiach. Stačí pripojiť segment segmentu hostí siete na samostatný ethernetový port a vytvoriť pravidlá firewallu. Pre dom, táto možnosť nie je vhodný vďaka vysokým nákladom na vybavenie - najčastejšie je sieť kontrolovaná jedným zariadením, ktoré kombinuje funkcie smerovača, prepínača, bezdrôtového prístupového bodu a Boh vie, čo ešte.

Našťastie, moderné domáce smerovače (hoci sú viac správne nazývané online centrá), sa tiež stali veľmi šikovným a takmer vo všetkých z nich, okrem toho, či existujú absolútne rozpočet, existuje možnosť vytvoriť izolovanú sieť Wi-Fi. Spoľahlivosť tejto izolácie je otázkou pre samostatný článok, dnes nebudeme preskúmať firmvér domácich zariadení rôznych výrobcov. Ako príklad Zyxel Keenetic Extra II. Teraz sa tento riadok stal známym ako keenetický, ale naše ruky dostali zariadenie, vydané stále pod značkou Zyxel.

Nastavenie cez webové rozhranie nebude spôsobovať ťažkosti aj na začiatočníkov - niekoľko kliknutí, a máme samostatnú bezdrôtovú sieť s vašou SSID, WPA2 ochrany a heslom pre prístup. Môže sa použiť v ňom, rovnako ako aj televízory a hráčov z dlhodobého neaktualizovaného firmvéru alebo iných zákazníkov, ktoré nie sú obzvlášť dôverovať. Vo väčšine zariadení iných výrobcov, táto funkcia, opakovanie, je tiež prítomná a je zahrnutý rovnakým spôsobom. Napríklad, úloha je riešená v firmvéri d-Link Routers Používanie sprievodcu nastavením.

Ak je zariadenie už konfigurované a spustené, môžete pridať sieťovú sieť.

Screenshot z lokality výrobcu

Screenshot z lokality výrobcu

Izolačná siete Ethernet
Okrem pripájania k sieti bezdrôtovej klientskej siete môžeme zraziť s káblovým rozhraním. Znalci povedia, že takzvaný VLAN sa používajú na vytvorenie izolovaných segmentov Ethernet - virtuálne miestne siete. Niektoré smerovače domácností podporujú túto funkciu, ale tu je úloha komplikovaná. Nechcel by som urobiť samostatný segment, musíme spojiť prístavy káblové pripojenie S bezdrôtovou hosťovou sieťou na jednom routeri. Toto nie je všetko druhy zubov: Povrchová analýza ukazuje, že okrem sitetických internetových centier pridajte ethernetové porty na jednu sieť Wi-Fi, hosťujúci segment je schopný stále modelovať Line Mikrotik, ale proces ich nastavení už nie je tak zrejmé. Ak hovoríme o porovnateľnom routeri pre domácnosť, vyriešiť úlohu pre pár kliknutí v webovom rozhraní môže len keenetický.

Ako vidíte, experimentálne ľahko vyrovnané s problémom, a tu stojí za to zaplatiť pozornosť na inú zaujímavú funkciu - môžete tiež izolovať zákazníkov bezdrôtového hosťa od seba. Je to veľmi užitočné: smartphone infikovaný poruchou vášho priateľa bude prepustený na internete, ale nebude môcť zaútočiť na iné zariadenia aj v hosťovacej sieti. Ak existuje podobná funkcia vo vašom smerovači, je potrebné ho zapnúť, hoci to bude obmedziť schopnosť komunikovať zákazníkov - povedzme, spriateliť sa s televízorom s mediálnym prehrávačom cez Wi-Fi už nefunguje, budete mať používať káblové pripojenie. V tomto štádiu, naša domáca sieť vyzerá viac chránených.

Aký je výsledok?
Výška bezpečnostných hrozieb z roka do roku rastie a výrobcovia sMART Nie vždy venovať dostatočnú pozornosť včasnému vydaniu aktualizácií. V takejto situácii máme len jednu cestu von - diferenciáciu zákazníkov zákazníkov a vytváranie izolovaných segmentov pre nich. Aby ste to urobili, nemusíte si kúpiť vybavenie pre desiatky tisíc rubľov, s úlohou sa môže dobre vyrovnať s relatívne lacným internetovým centrom domácností. Tu by som chcel varovať čitateľov od nákupných zariadení rozpočtových značiek. Žerono teraz takmer všetci výrobcovia sú viac-menej identické, ale kvalita vstavaného softvéru je veľmi odlišná. Ako aj trvanie podporného cyklu prepustených modelov. Dokonca aj s pomerne jednoduchou úlohou kombinácie v izolovanom káblovom a bezdrôtovom sieťovom segmente, nie každý router pre domácnosť sa môže vyrovnať a môžete mať zložitejšie. Niekedy potrebujete nakonfigurovať ďalšie segmenty alebo filtrovanie DNS na prístup len na bezpečných hostiteľov, vo veľkých priestoroch, musíte pripojiť Wi-Fi klientov do hosťujúcej siete prostredníctvom externých prístupových bodov atď. atď. Okrem bezpečnostných problémov existujú aj iné problémy: vo verejných sieťach je potrebné zabezpečiť registráciu klientov v súlade s požiadavkami spolkového zákona č. 97 " informačné technológie A o ochrane informácií. " Lacné zariadenia sú schopné vyriešiť takéto úlohy, ale nie všetky - funkčnosť vstavaného softvéru, ktoré budú opakovať, veľmi odlišné.

Úvod

Relevantnosť tejto témy je, že zmeny vyskytujúce sa v ekonomickej živote Ruska je vytvorením finančného a úverového systému, podnikov rôznych foriem vlastníctva atď. - mať významný vplyv na otázky bezpečnosti informácií. Dlhý čas V našej krajine bola len jedna nehnuteľnosť - stav, preto boli informácie a tajomstvá aj tolly-cenovo dostupné, ktoré boli strážené mocnými špeciálnymi službami. Problémy informačnej bezpečnosti neustále zhoršujú procesmi prieniku v takmer všetkých oblastiach činnosti spoločnosti technických prostriedkov spracovania a prenosu údajov a predovšetkým výpočtové systémy. Objekty zasahovania môžu byť technické prostriedky (Počítače a periférne zariadenia) ako materiály objekty, softvér a databázy, pre ktoré sú technické prostriedky prostredie. Každé dávkovanie počítačovej siete nie je len "morálne" škody pre zamestnancov podnikových a sieťových administrátorov. Ako technológia platieb za elektronické, bezpapierové dokumenty a iné, vážne zlyhanie miestnych sietí môže jednoducho paralyzovať prácu celých spoločností a bánk, čo vedie k rúhaniu materiálových strát. Nie je náhodou, že ochrana údajov v počítačových sieťach sa stáva jedným z najviac akútnych problémov v modernej informatike. Doteraz boli formulované dva základné zásady bezpečnosti informácií, ktoré by mali poskytnúť: - integrity údajov - ochrana pred zlyhaniami, ktoré vedú k strate informácií, ako aj neoprávnené vytváranie alebo zničenie údajov. - informácie o ochrane osobných údajov a zároveň dostupnosť pre všetkých oprávnených používateľov. Treba tiež poznamenať, že niektoré oblasti činnosti (bankovníctvo a finančné inštitúcie, \\ t informačné siete, systémy verejnej správy, obranných a špeciálnych štruktúr) vyžadujú osobitné opatrenia na bezpečnosť údajov a majú zvýšené požiadavky na spoľahlivosť prevádzky informačné systémy, Konverzácia s povahou a dôležitosťou úlohy riešených.

Ak je počítač pripojený lokálna sieť, potenciálne, k tomuto počítaču a informáciám v nej môžete neoprávnený prístup z miestnej siete.

Ak bola lokálna sieť pripojená k iným miestnym sieťam, používatelia z týchto vzdialených sietí sa pridávajú k možným neoprávneným používateľom. Nenechávame dostupnosť takéhoto počítača zo siete alebo kanálov, prostredníctvom ktorých miestne siete pripojené, pretože je to určite na výstupoch z miestnych sietí, existujú zariadenia, ktoré šifrovať a kontrolujú prevádzku a prijaté potrebné opatrenia.

Ak bol počítač pripojený priamo cez poskytovateľa do externej siete, napríklad prostredníctvom modem na internet, pre vzdialenú interakciu s miestnou sieťou, aktuálne zlodeji a informácie v nej sú potenciálne dostupné na sušienky z internetu. A najviac nepríjemná vec je, že je možné pristupovať k hackerom prostredníctvom tohto počítača a na zdroje miestnej siete.

Prirodzene, so všetkými takými takými pripojeniami sa aplikujú buď pravidelné prostriedky vymedzenia prístupu. operačný systémalebo špecializované prostriedky na ochranu pred NSD alebo kryptografickými systémami na úrovni konkrétnych platí, alebo oboje spolu.

Všetky tieto opatrenia však, bohužiaľ, však nemôžu zaručiť požadovanú bezpečnosť pri vykonávaní sieťových útokov a vysvetľuje to nasledujúcimi hlavnými dôvodmi:

Operačné systémy (OS), najmä Windows sa týkajú softvérové \u200b\u200bprodukty Vysoká ťažkosť vytvárajú tímy veľkých vývojárov. Podrobná analýza týchto systémov je drasticky zložitá. V tejto súvislosti je náhodne spoľahlivo zdôvodniť, chyby alebo nerušené schopnosti, náhodne alebo úmyselne odišiel v OS, a ktoré by mohli byť použité prostredníctvom sieťových útokov, nie je možné.

V Multitasking OS, najmä Windows, mnoho rôznych aplikácií môže pracovať v rovnakom čase, ...

S distribúciou širokopásmového prístupu k internetu a prístrojom vreckových gadgets boli bezplatné bezplatné bezdrôtové smerovače (smerovače). Takéto zariadenia sú schopné distribuovať signál Wi-Fi ako stacionárne počítače a zapnuté mobilné zariadenia - smartfóny a tablety, - zatiaľ čo šírka pásma kanála je dosť na simultánne pripojenie Viac spotrebiteľov.

Bezdrôtový smerovač je dnes takmer v každom dome, kde sa uskutočnil širokopásmový internet. Avšak, nie všetci majitelia takýchto zariadení premýšľajú o skutočnosti, že keď sú predvolené nastavenia, sú mimoriadne zraniteľné voči votrelcom. A ak si myslíte, že nerobíte nič o ničom, čo by mohlo poškodiť, premýšľajte o tom, že zachytenie signálu miestnej bezdrôtovej siete, sušienky môžu pristupovať nielen na vašu osobnú korešpondenciu, ale aj bankový účet, servisné dokumenty a akékoľvek iné súbory.

Hackeri nesmú obmedziť štúdiu pamäti výlučne vašich vlastných zariadení - ich obsah môže povedať kľúčom k sieťam vašej spoločnosti, vašich blízkych a známych, na údaje všetkých druhov obchodných a štátnych informačných systémov. Navyše, prostredníctvom vašej siete a vo vašom mene, útočníci môžu vykonávať hromadné útoky, hacking, nelegálne distribuovať mediálne súbory a softvér a zapojiť sa do iných trestných činností.

Medzitým, aby sa chrániť pred takýmito hrozbami, stojí za to sledovať niekoľko jednoduchých pravidiel, ktoré sú zrozumiteľné a prístupné aj tí, ktorí nemajú špeciálne znalosti v oblasti počítačových sietí. Pozývame vás, aby ste sa zoznámili s týmito pravidlami.

1. Zmeňte predvolené údaje správcu

Ak chcete získať prístup k nastaveniam routera, musíte ísť na svoje webové rozhranie. Ak to chcete urobiť, musíte poznať svoju IP adresu na LAN (LAN), ako aj užívateľské meno a heslo administrátora.

Vnútorná adresa IP smerovača V predvolenom nastavení spravidla má formulár 192.168.0.1, 192.168.1.1, 192.168.100.1 alebo napríklad 192.168.123.254 - je vždy špecifikovaná v dokumentácii pre zariadenie. Predvolené prihlasovacie meno a heslo sú zvyčajne tiež komunikované v dokumentácii, alebo sa môžete naučiť od výrobcu smerovača alebo poskytovateľa služieb.

Zadajte IP adresu smerovača do panela s adresou prehliadača av okne, ktoré sa zobrazí, zadajte prihlasovacie meno a heslo. Otvoríme webové rozhranie smerovača s najrôznejšími nastaveniami.

Kľúčovým bezpečnostným prvkom domácej siete je možnosť zmeniť nastavenia, takže je potrebné zmeniť všetky predvolené údaje správcu, pretože môžu byť použité v desiatok tisíc prípadov tých istých smerovačov ako vaše. Nájdeme príslušnú položku a zadajte nové údaje.

V niektorých prípadoch je možnosti ľubovoľných zmien v údajoch správcu uzamknutý poskytovateľom služieb, a potom budete musieť hľadať pomoc.

2. Nainštalujte alebo zmeňte heslá na prístup k lokálnej sieti.

Budete sa smiať, ale stále existujú prípady, keď veľkorysý majiteľ bezdrôtový router Organizuje otvorený prístupový bod, ku ktorému sa každý môže pripojiť. Oveľa častejšie pre domácu sieť je vybraný pseudoparol typu "1234" alebo niektoré banálne slová uvedené pri inštalácii siete. Ak chcete minimalizovať pravdepodobnosť, že sa niekto môže dostať do vašej siete s ľahkosťou, musíte prísť s reálnym dlhým heslom od písmen, číslic a znakov a nastaviť úroveň šifrovania signálu - výhodne WPA2.

3. Odpojte WPS.

WPS Technológia (Nastavenie chráneného Wi-FI) vám umožňuje rýchlo nastaviť chránené bezdrôtové pripojenie medzi kompatibilnými zariadeniami bez podrobných nastavení, ale stlačením príslušných tlačidiel na smerovači a gadget alebo zadajte digitálny kód.

Medzitým, tento pohodlný systém, zvyčajne zahrnutý štandardne, má jeden slabý bod: pretože WPS neberie do úvahy počet pokusov o zadanie nesprávneho kódu, môže to hackovať "hrubá sila" jednoduchou bustou pomocou najjednoduchších nástrojov . Bude to trvať niekoľko minút na niekoľko hodín, aby ste prenikli do siete prostredníctvom kódu WPS, po ktorom nebude veľmi ťažké vypočítať a sieťové heslo.

Preto nájdeme v príslušnej príslušnej položke "admin" a vypnite WPS. Bohužiaľ, vykonanie zmien nastavení nebude vždy naozaj vypnúť WPS a niektorí výrobcovia neposkytujú pre takúto príležitosť.

4. Zmeňte názov SSID

Identifikátor SSID (Identifikátor Service Set) je názov vašej bezdrôtovej siete. Je to jeho "vyvolať" rôzne zariadenia, ktoré pri rozpoznávaní názvu a dostupnosti potrebných hesiel sa pokúste pripojiť k lokálnej sieti. Preto, ak uložíte štandardný názov nainštalovaný, napríklad, podľa vášho poskytovateľa, to znamená, že pravdepodobnosť, že vaše zariadenia sa pokúšajú pripojiť k rôznym najbližším sieťam s rovnakým názvom.

Okrem toho, smerovač prekladu štandardného SSID je zraniteľnejší pre hackerov, ktorí budú približne poznať jeho model a bežné nastavenia, a budú môcť udrieť do špecifických slabých miest takejto konfigurácie. Preto si vyberte ako jedinečný názov, nič nehovorí o poskytovateľovi služieb, ani o výrobcovi zariadení.

Zároveň sa často vyskytovaný tip skrýva vysielanie SSID a takáto možnosť je štandardná pre ohromujúcu väčšinu smerovačov je vlastne neudržateľná. Faktom je, že všetky zariadenia, ktoré sa pokúšajú pripojiť k vašej sieti v každom prípade, budú triedenie najbližších prístupových bodov a môžu sa pripojiť k sieťam špecificky "umiestnené" votrelcami. Inými slovami, skrývajú SSID, komplikujete život len \u200b\u200bsami.

5. Zmeňte smerovač IP

Ak chcete ďalej ovplyvniť neoprávnený prístup k webovému rozhraniu routeru a jeho nastavenia, zmeňte v nich predvolenú internú IP adresu (LAN).

6. Zakázať diaľkové podávanie

Pre pohodlie technická podpora (V podstate) v mnohých riedidlám pre domácnosť implementovala funkciu vzdialenej správy, s ktorou nastavenia smerovača sú k dispozícii prostredníctvom internetu. Preto, ak nechceme preniknúť von, je lepšie vypnúť túto funkciu.

Zároveň je však možné ísť na webové rozhranie cez Wi-Fi, ak je útočník v oblasti akcie vašej siete a pozná používateľské meno a heslo. Niektoré smerovače majú funkciu na obmedzenie prístupu k panelu len vtedy, ak existuje káblové pripojenie, však, bohužiaľ, táto možnosť je dosť zriedkavá.

7. Aktualizujte firmvér

Každý samoobsluha a klienti výrobca smerovačov neustále zlepšuje softvér jeho vybavenia a pravidelne vydáva aktualizované verzie firmvéru ("firmvér"). V Čerstvé verzie Po prvé, zistené zistené zraniteľné miesta sú opravené, ako aj chyby, ktoré majú vplyv na stabilitu práce.

Upozorňujeme, že po aktualizácii, všetky nastavenia, ktoré urobíte, môžete obnoviť na továreň, takže je zmysel urobiť ich zálohovanie - Tiež cez webové rozhranie.

8. Choďte na 5 GHz

Základným rozsahom sietí Wi-Fi je 2,4 GHz. To poskytuje dôverný príjem Väčšina existujúcich zariadení vo vzdialenosti asi 60 m v miestnosti a až 400 metrov vonku. Prechod na rozsah 5 GHz zníži rozsah dvoch alebo trojnásobných, obmedzujúcich preniknutú schopnosť preniknúť do bezdrôtovej siete. Vzhľadom na menšie zamestnávanie rozsahu si môžete všimnúť aj zvýšenú rýchlosť prenosu dát a stabilitu pripojenia.

Mínus tohto riešenia je len jeden - nie všetky zariadenia pracujú C Wi-Fištandard IEEE 802.11AC v pásme 5 GHz.

9. Odpojte funkcie ping, Telnet, SSH, UPNP a HNAP

Ak neviete, že je skryté za týmito skratkami, a nie sme si istí, že tieto funkcie budú musieť byť potrebné, nájsť ich v nastaveniach smerovača a odpojte. Ak existuje takáto príležitosť, namiesto zatvárania portov, vyberte položku skrytý režim (Stealth), ktorý, keď sa ich snaží vstúpiť zvonku, urobí tieto prístavy "neviditeľné", ignorovanie požiadaviek a pings.

10. Zapnite bránu routeru

Ak má váš smerovač zabudovaný brány firewall, odporúčame, aby bolo zahrnuté. Samozrejme, že to nie je absolútna ochranná bašta, ale v komplexe so softvérom (aj s bránou firewall vložená v systéme Windows) je schopná odolávať útokom celkom primerane.

11. Odpojte filtrovanie pomocou adresy MAC

Aj keď sa na prvý pohľad zdá, že schopnosť pripojiť sa k sieti iba zariadenia so špecifickými adresami MAC plne zaručuje bezpečnosť, v skutočnosti to nie je tak. Okrem toho robí sieť otvorenú aj pre príliš dômyselní hackeri. Ak útočník môže sledovať prichádzajúce balíky, rýchlo sa dostane zoznam aktívnych adries MAC, pretože v dátovom toku sa prenášajú v nešifrovanej forme. A nahradiť adresu MAC nie je problém ani pre neprofesionálne.

12. Prejdite na iný server DNS

Namiesto používania servera DNS vášho poskytovateľa môžete prejsť na alternatívu, napríklad verejné DNS služby Google alebo OpenDNS. Na jednej strane môže urýchliť vydávanie internetových stránok a na druhej strane, zlepšiť bezpečnosť. Napríklad, opendns blokuje vírusy, botoky a požiadavky na phishing pre akýkoľvek prístav, protokol a prílohu, a vďaka špeciálnym algoritmom na báze údajov sú schopné predvídať a prevenciu rôznych hrozieb a útokov. Zároveň je verejná DNS služba Google len vysokorýchlostný DNS server bez ďalších funkcií.

13. Nainštalujte alternatívny "firmvér"

A nakoniec, radikálny krok pre jedného, \u200b\u200bktorý chápe, čo robí inštalácia firmvéru, ktorý nie je výrobcom vášho smerovača, ale nadšencov. Spravidla taký "firmvér" nielen rozširuje funkčnosť zariadenia (podpora profesionálnych funkcií, ako je QoS, režim mosta, SNMP atď. Sa zvyčajne pridáva, ale tiež je odolnejší voči zraniteľnostiam - vrátane náklady neštandardnosti.

Medzi populárnym open-source "firmware" môže byť nazývaný Linux

Pred niekoľkými rokmi boli domáce bezdrôtové siete pomerne jednoduché a spočívali spravidla z prístupového bodu a pár počítačov, ktoré boli použité na prístup k internetu, online nakupovanie alebo hry. Ale v našom čase sa domáce siete stali oveľa zložitejšie. Teraz je sieť domácej siete pripojená veľký počet Zariadenia, ktoré sa používajú nielen na prístup k internetu alebo zobraziť finančné prostriedky masové médiá. V tomto článku sa budeme hovoriť o tom, ako urobiť domácnosti bezpečný pre všetkých členov rodiny.

Bezdrôtová bezpečnosť

V takmer každom dome je bezdrôtová sieť (alebo tzv. Wi-Fi sieť). Táto sieť umožňuje pripojenie akéhokoľvek zariadenia na internet, ako je prenosný počítač, tablet alebo herná konzola. Najviac bezdrôtové siete Spravuje smerovač - zariadenie nainštalované vaším poskytovateľom internetu na poskytovanie prístupu na internet. V niektorých prípadoch je však vaša sieť monitorovaná jednotlivými systémami, tzv. Prístupové body, ktoré sú pripojené k routeru. Bez ohľadu na to, ktorý systém sú vaše zariadenia pripojené k internetu, princíp fungovania týchto systémov je rovnaký: prenos rádiových signálov. Rôzne zariadenia môžu byť pripojené k internetu a na iné zariadenia vašej siete. To znamená, že bezpečnosť vašej domácej siete je jednou z hlavných zložiek ochrany vášho domova. Odporúčame vám splniť nasledujúce pravidlá na zabezpečenie bezpečnosti vašej domácej siete:

• Zmeňte heslo správcu nainštalovaného výrobcom internetového smerovača alebo prístupového bodu. Účet administrátora umožňuje vykonať zmeny v nastaveniach siete. Problém je, že mnohé smerovače sú dodávané so štandardnými, známymi heslami a ľahko ich nájsť na internete. Preto by ste mali zmeniť továrenské heslo na jedinečné a silné heslo, ktoré budete vedieť len vy.
• Zmeňte názov siete nainštalovanej výrobcom (sa nazýva aj SSID). Toto meno vaše zariadenia nájdete pri hľadaní domácej bezdrôtovej siete. Dajte svojej domácej sieti jedinečný názov, ktorý sa dá ľahko zistiť, ale nemalo by to obsahovať osobné údaje. Konfigurácia siete ako "neviditeľná" - nízka efektívna forma ochrany. Väčšina programov skenovania siete a akýkoľvek skúsený hacker môže ľahko zistiť "neviditeľné" siete.
• Uistite sa, že iba ľudia, ktoré dôverujú, sú pripojené k vašej sieti a že toto spojenie je šifrované. To pomôže zvýšiť bezpečnosť. V súčasnosti najviac bezpečné pripojenie je wpa2. Pri použití ho heslo požaduje pri pripojení k sieti a používa sa šifrovanie. Uistite sa, že nepoužívate zastaranú metódu, napríklad WEP, alebo nepoužívajte otvorenú sieť (ktorá neposkytuje ochranu). Otvorená sieť vám umožňuje absolútne pripojiť k bezdrôtovej sieti bez autentifikácie.
• Uistite sa, že používate silné heslo na pripojenie k sieti, ktorá nezodpovedá heslom administrátora. Nezabudnite, že musíte zadať heslo pre každé zariadenie používané len raz, toto heslo zariadenia môže byť nezabudnuteľné a uložené.
• Väčšina bezdrôtových sietí podporuje takzvanú hostiacu sieť (hostová sieť). To umožňuje hosťom vstúpiť do internetu, ale domáca sieť v tomto prípade je chránená, pretože hostia sa nemôžu pripojiť k domácim zariadeniam vašej siete. Ak pridáte sieťovú sieť, uistite sa, že používate WPA2 a je chránený jedinečným a silným heslom.
• Odpojte Wi-Fi chránené nastavenie alebo inú konfiguráciu, ktorá vám umožňuje pripojiť nové zariadenia bez zadania hesla a iných možností konfigurácie.
• Ak zistíte, že je ťažké zapamätať si všetky heslá, dôrazne odporúčame používať Správcu hesiel pre skladovanie.

Ak otázky o uvedených položkách? Prejdite na poskytovateľov internetu, pozrite si pokyny pre smerovač, prístupový bod, alebo vidieť webové stránky svojich výrobcov.

Bezpečnosť vašich zariadení

Ďalším krokom je objasnenie zoznamu všetkých zariadení pripojených k sieti a zabezpečiť ich bezpečnosť. Bolo ľahké urobiť predtým, ako bolo pripojené k sieti malé množstvo zariadenia. Ale v modernom svete môžu byť takmer všetky zariadenia "neustále spojené" do siete, vrátane televízorov, herné konzoly, detské kamery, stĺpy, ohrievače alebo dokonca autá. Jeden z jednoduché spôsoby Zistite pripojené zariadenia, napríklad na používanie sieťového skenera, napríklad fling. Táto aplikácia po namontovaní na počítači vám umožňuje detekovať absolútne všetky zariadenia pripojené k sieti. Po nájdení všetkých zariadení by ste sa mali starať o ich bezpečnosť. Najlepším spôsobom, ako zabezpečiť, je pravidelne aktualizovať svoje operačné systémy / firmvér. Ak je to možné, nakonfigurujte automatické aktualizácie systémov. Ak môžete použiť heslo na každé zariadenie, používajte iba silné a spoľahlivé heslo. A nakoniec navštívte webovú stránku webovej stránky poskytovateľa, aby ste získali informácie o voľný spôsob Ochrana vašej siete.

O Autorovi

Cheryl Konley vedie oddelenie informačnej bezpečnosti školení v spoločnosti Lockheed Martin. Používa IM Compaign TM značkovanú techniku \u200b\u200bpre výcvik 100 000 zamestnancov spoločnosti. Technika aktívne využíva zamerané skupiny v rámci spoločnosti a koordinuje globálny program.