Безпечна домашня мережа: створюємо ізольований сегмент для гостей. Як налаштувати домашній роутер, щоб зробити мережу безпечною

ПНСТ301-2018 / ISO / IEC 24767-1: 2008

ПОПЕРЕДНІЙ НАЦІОНАЛЬНИЙ СТАНДАРТ Російської Федерації

Інформаційні технології

БЕЗПЕКА СВІЙСЬКОЇ МЕРЕЖІ

Вимоги безпеки

Information technology. Home network security. Part 1.Security requirements

ОКС 35.110, 35.200,35.240.99

Срокдействія з 2019-02-01

Передмова

Передмова

1ПОДГОТОВЛЕН Федеральним державним бюджетним образовательнимучрежденіем вищої освіти "Російський економіческійуніверсітет им.Г.В.Плеханова" (ФГБОУ ВО "РЕУ им.Г.В.Плеханова") наоснове власного перекладу на російську мову англомовної версіімеждународного стандарту, зазначеного в пункті 4

2ВНЕСЕН Технічним комітетом зі стандартизації ТК 22 "Інформаційні технології"

3УТВЕРЖДЕН І ВВЕДЕНО В ДІЮ Наказом Федерального агентства потехніческому регулювання і метрології від 4 вересня 2018 р N38-пнст

4Настоящій стандарт ідентичний міжнародному стандарту ISO / МЕК24767-1: 2008 * "Інформаційні технології. Безпека домашнейсеті. Частина 1. Вимоги безпеки" (ISO / IEC 24767-1: 2008, "Information technology - Home network security - Part 1: Securityrequirements", IDT)
________________
* Доступ до міжнародних і зарубіжних документів, згаданим тут І далі по тексту, можна отримати, перейшовши за посиланням на сайт. - Прімечаніеізготовітеля бази даних.

Правила прімененіянастоящего стандарту і проведення його моніторингу встановлено вГОСТ Р 1.16-2011 (Розділи 5 і 6).

Федеральне агентствопо технічного регулювання і метрології збирає відомості опрактіческом застосуванні цього стандарту. Дані відомості, атакож зауваження і пропозиції щодо змісту стандарту можнонаправіть не пізніше ніж за 4 міс до закінчення срокаего дії розробнику даного стандарту за адресою: 117997Москва, Стременний провулок, д.36, ФГБОУ ВО "РЕУим.Г.В.Плеханова"І в Федеральне агентство потехніческому регулювання і метрології за адресою: 109074Москва, Китайгородский проїзд, б.7, стр.1.

У разі отменинастоящего стандарту відповідна інформація буде опублікованав щомісячному інформаційному покажчику "Національні стандарти" ітакже буде розміщена на офіційному сайті Федерального агентствапо технічного регулювання і метрології в мережі Інтернет (www.gost.ru)

Вступ

ІСО (Международнаяорганізація по стандартизації) і МЕК (Международнаяелектротехніческая комісія) утворюють спеціалізовану сістемувсемірной стандартизації. Державні органи, являющіесячленамі ІСО або МЕК, беруть участь в розробці международнихстандартов за допомогою технічних комітетів. Участь в разработкестандарта в конкретній галузі може прийняти будь-який заінтересованнийорган, що є членом ІСО або МЕК. Інші международниеорганізаціі, урядові та неурядові, що контактують з ISO та ІЕС, також беруть участь в роботі.

Вобласті інформаційних технологій ISO та ІЕС заснували Об'едіненнийтехніческій комітет ISO / IEC СТК 1. Проекти международнихстандартов, підготовлені Об'єднаним технічним комітетом, розсилаються національним комітетам на голосування. Публікація в як міжнародного стандарту вимагає твердження не менш чем75% національних комітетів, які беруть участь в голосуванні.

Офіційні рішення ілісоглашенія МЕК та ISO з технічних питань висловлюють, насколькоето можливо, міжнародне узгоджена думка по належать кделу питань, так як кожен технічний комітет імеетпредставітелей від всіх зацікавлених національних комітетів-членів МЕК та ISO.

Публікації МЕК, ISO іІСО / IEC мають форму рекомендацій для міжнародного використання іпрінімаются національними комітетами - членами МЕК та ISO саме втакому розумінні. Незважаючи на всі докладені зусилля для обеспеченіяточності технічного змісту публікацій МЕК, ISO та ISO / IEC, МЕКілі ISO не несуть відповідальності за те, яким чином онііспользуются або за їх неправильне трактування конечнимпользователем.

Уметою забезпечення міжнародної уніфікації (єдиної системи) національні комітети МЕК та ISO зобов'язуються забезпечити максімальнуюпрозрачность застосування міжнародних стандартів МЕК, ISO іІСО / IEC, наскільки це дозволяють державні і регіональниеусловія даної країни. Будь-яке розбіжність між публікаціями ІСО / Мекі відповідними національними або регіональними стандартамідолжно бути чітко позначено в останніх.

ISO та ІЕС непредусматрівают процедури маркування і не несуть відповідальності залюбила обладнання, заявлене на відповідність одному з стандартовІСО / IEC.

Всі користувачі должниудостоверіться у використанні останнього видання настоящейпублікаціі.

МЕК або ІСО, іхруководство, співробітники, службовці або представники, включаяотдельних експертів і членів їх технічних комітетів, а такжечлени національних комітетів МЕК або ІСО не несуть ответственностіза нещасні випадки, матеріальні збитки або інший завдані збитки, прямі або непрямі, або за витрати (включаючи судові витрати), понесені у зв'язку з публікацією або внаслідок іспользованіянастоящей публікації ISO / IEC або іншій публікації МЕК, ISO іліІСО / IEC.

На особливу увагу требуетнорматівная документація, цитована в цій публікаціі.Іспользованіе довідкових документів необхідно для правільногопрімененія цієї публікації.

Звертається увага нато, що деякі елементи цього міжнародного стандартамогут бути об'єктом патентних прав. ISO та ІЕС НЕ несутответственность за визначення будь-якого чи всіх цих патентнихправ.

Міжнародний стандартІСО / IEC 24767-1 був розроблений Підкомітетом 25 "Взаімосвязьоборудованія інформаційних технологій" Об'єднаного техніческогокомітета ISO / IEC 1 "Інформаційні технології".

Перелік всіх наявних вНині частин серії ISO / IEC 24767 під загальною назвою "Інформаційні технології. Безпека домашньої мережі" представлена \u200b\u200bсайті МЕК.

1Область застосування

Справжній стандартопределяет вимоги до захисту домашньої мережі від внутрішніх ілівнешніх загроз. Стандарт служить підставою для розробки сістембезопасності, що захищають внутрішнє середовище від різних загроз.

Вимоги безопасностірассматріваются в цьому стандарті щодо неформально.Несмотря на те, що багато питань, розглянуті в настоящемстандарте, служать керівництвом по розробці систем безопасностікак внутрішньої мережі, так і мережі Інтернет, вони носять характернеофіціальних вимог.

Квнутренней (домашньої) мережі підключені різні пристрої (см.рисунок 1). Пристрої "мережі побутових приладів", "развлекательниеаудіо- / відео-" пристрою і пристрою для роботи з "інформаційними додатками" мають різні функції і рабочіехарактерістікі. Цей стандарт містить засоби для аналізарісков по кожному підключеному до мережі пристрою і определеніятребованій безпеки для кожного пристрою.

2Терміни, визначення та скорочення

2.1Терміни і визначення

Внастоящее документі використано такі терміни та визначення:

2.1.1 побутова електроніка (Brown goods): Аудіо- / відео, які передусім використовуються в розважальних цілях, наприклад телевізора DVD-рекордер.

2.1.2конфіденційність (Confidentiality): Властивість, що забезпечує недоступність і нерозголошення інформаціінеуполномоченним особам, організаціям або процесам.

2.1.3 аутентіфікаціяданних (Data authentication): Служба, яка використовується длязабезпечення коректної верифікації заявленого істочнікаданних.

2.1.4 цілісність даних (Data integrity): Властивість, що підтверджує, що данниене були змінені або знищені недозволеним чином.

2.1.5 аутентіфікаціяпользователя (User authentication): Сервіс для обеспеченіякорректной перевірки ідентифікаційної інформації, представленнойучастніком комунікації, при тому що служба авторізацііобеспечівает доступ ідентифікованого та авторізованногопользователя до конкретного пристрою або додатком домашнейсеті.

2.1.6 побутова техніка (White goods): Пристрої, що застосовуються в повседневномобіходе, наприклад кондиціонер, холодильник і т.д.

2.2Сокращенія

Внастоящее стандарті використані такі скорочення:

Аудіо / відео -

аудіо / візуальниеустройства;

(Compact Disc) компакт-диск;

(Distributed Denial ofService) розподілена атака типу «відмова в обслуговуванні";

(Denial of Service) відмова вобслужіваніі;

(Digital Rights Management) управління цифровими правами;

(Digital TeleVision) ціфровоетелевіденіе;

(Digital Versatile Disc) компакт-диск / формату DVD;

(Externally Supported Multiplehomes HES) домашня електронна система на кілька будинків, керована третьою стороною;

(Externally Supported Singlehome HES) домашня електронна система на один будинок, управляемаятретьей стороною;

(Home Electronic System) домашня електронна система;

(Information and CommunicationTechnology) інформаційно-комунікаційні технології (ІКТ);

(Internet Protocol) інтернет-протокол;

(IP Security protocol) протокол безпеки інтернет-протоколу;

(Internet Protocol version 4) інтернет-протокол, версія 4;

(Internet Protocol version 6) інтернет-протокол, версія 6;

(Information Technology) інформаційні технології (ІТ);

(Moving Picture Expert Group) стандартний спосіб упаковки повнометражних відеозаписів;

(Owner supported single homeHES) домашня електронна система на один будинок, управляемаявладельцем;

(Pocket Personal Computer) кишеньковий персональний комп'ютер (КПК);

(Personal Computer) персональний комп'ютер (ПК);

(Transmission ControlProtocol) протокол управління передачею;

(Transport Layer Security) протокол безпеки транспортного рівня;

(Uniform Resource Locator) система уніфікованих адрес ресурсів;

(Video Cassette Recorder) касетний відеомагнітофон;

3Соответствіе

Внастоящее стандарті містяться методичні вказівки без будь-ліботребованій відповідності.

4Требованія безпеки внутрішніх домашніх електронних систем Ісет

4.1Общіе положення

Сбистрим розвитком Інтернету і пов'язаних з ним мережевих технологійпоявілась можливість установки зв'язку між комп'ютерами в офісах ідомах із зовнішнім світом, що забезпечує доступ до множествуресурсов. Сьогодні технології, які стали основою цього успіху, досягли наших будинків і забезпечують можливість подключеніяпріборов так само, як і персональних комп'ютерів. Таким чином, онине тільки дозволяють користувачам відстежувати і контролювати своібитовие прилади, перебуваючи як всередині, так і поза домом, але ісоздавать нові сервіси та можливості, наприклад удаленноеуправленіе побутовою технікою і її обслуговування. Це означає, чтообичная комп'ютерне середовище будинку перетворюється на внутреннююдомашнюю мережу, що об'єднує безліч пристроїв, безопасностькоторих також буде необхідно забезпечити.

Необхідно, щоб мешканці, користувачі і власники як вдома, так і системи, довіряли домашнейелектронной системі. Мета безпеки домашньої електронної системи-забезпечення довіри до системи. Оскільки багато компонентидомашней електронної системи знаходяться в роботі безперервно, 24 часав день, і автоматично обмінюються інформацією з зовнішнім світом, інформаційна безпека необхідна для обеспеченіяконфіденціальності, цілісності і доступності даних і сістеми.Надлежащім чином реалізоване рішення по безопасностіподразумевает, наприклад, що доступ до системи і збереженим , що надходять і виходить даними отримують тільки авторізованниепользователі і процеси, і що користуватися системою і вносити внее зміни можуть тільки авторизовані користувачі.

Вимоги безопасностідля мережі HES можуть бути описані кількома способами. Етотстандарт обмежений ІТ-безпекою мережі HES. Проте, безпеку інформаційних технологій повинна виходити за рамкісамой системи, оскільки будинок повинен функціонувати, хоча і з обмеженим можливостями, в разі відмови ІТ-сістеми.Інтеллектуальние функції, які зазвичай підтримуються мережею HES, можуть виконуватися також при розриві зв'язків системи. У таких случаяхможно зрозуміти, що існують вимоги безпеки, які неможуть бути частиною самої системи, але при цьому система не должназапрещать реалізацію резервних рішень.

Існує ряд осіб, зацікавлених в питаннях безпеки. Домашньої електроннойсістеме повинні довіряти не тільки жителі і власники, але іпровайдери послуг і контенту. Останні повинні бути впевнені, чтопредлагаемие ними послуги і контент використовуються тільки разрешеннимспособом. Однак однією з основ безпеки системи є те, що відповідати за неї повинен конкретний адміністратор службибезопасності. Очевидно, що така відповідальність повинна битьвозложена на жителів (власників системи). Не має значення, чи займається цим адміністратор особисто або віддає на аутсорсинг. -Якому випадку відповідальність несе адміністратор сістемибезопасності. Питання довіри провайдерів послуг і контенту кдомашней електронній системі і їх впевненості в тому, чтопользователі застосовують їх послуги і контент належним чином, визначається договірними зобов'язаннями між сторонами. Вдоговоре, наприклад, можуть бути перераховані функції, компоненти іліпроцесси, які повинна підтримувати домашня електроннаясістема.

Архітектура домашнейелектронной системи різна для різних видів будинків. Для любоймоделі може існувати свій певний набір требованійбезопасності. Нижче наведено опис трьох різних моделейдомашніх електронних систем з різними наборами требованійбезопасності.

Очевидно, що некоториетребованія безпеки важливіші, ніж інші. Таким чином, зрозуміло, що підтримка деяких заходів протидії будетопціональной. Крім того, заходи протидії можуть відрізнятися покачеству і вартості. Також для управління і підтримки таких мерпротіводействія можуть знадобитися різні навички. У данномстандарте зроблена спроба пояснити мотиви перечісленнихтребованій безпеки і тим самим дозволити разработчікамдомашней електронної системи визначити, які функції безопасностідолжна підтримувати конкретна домашня система, А також, з учетомтребованій за якістю і зусиль по забезпеченню управління іобслужіванія, який механізм слід вибрати для таких функцій.

Вимоги безопасностівнутренней мережі залежать від визначення безпеки і "вдома", атакож від того, що розуміється під "мережею" в цьому будинку. Якщо мережа це просто канал, що з'єднує окремий ПК з принтером ілікабельним модемом, то для забезпечення безпеки домашньої сетідостаточно забезпечити безпеку цього каналу і обладнання, яке він з'єднує.

Однак якщо в доменаходятся десятки, якщо не сотні, об'єднаних в мережу пристроїв, при цьому деякі з них відносяться до домогосподарству в цілому, анекоторие належать знаходяться в будинку людям, понадобітсяпредусмотреть більш складні заходи безпеки.

4.2Безопасность домашньої електронної системи

4.2.1 Определеніедомашней електронної системи і безпеки системи

Домашню електроннуюсістему і мережу можна визначити як набір елементів, коториеобрабативают, передають і зберігають інформацію, а також керують нею, забезпечуючи зв'язок і інтеграцію безлічі комп'ютерних пристроїв, Атакож пристроїв управління, контролю та зв'язку, що знаходяться у тім домі.

Крім того, домашніеелектронние системи і мережі забезпечують взаємозв'язок развлекательнихі інформаційних пристроїв, а також приладів зв'язку та безпеки, і наявної в будинку побутової техніки. Такі пристрої і пріборибудут обмінюватися інформацією, ними можна управляти іконтроліровать їх, перебуваючи в будинку, або віддалено. Відповідно, для всіх внутрішніх домашніх мереж будуть потрібні определенниемеханізми безпеки, що захищають їх повсякденну роботу.

Безпека мережі іінформаціі можна розуміти як здатність мережі або інформаціоннойсістеми на певному рівні протистояти випадковим подіям ілізлонамеренним дій. Такі події або дії можуть поставітьпод загрозу доступність, автентичність, справжність іконфіденціальность збережених або переданих даних, а такжесвязанних з ними сервісів, пропонованих через такі мережі і системи.

Інциденти інформаціоннойбезопасності можна об'єднати в такі групи:

Електронне повідомлення може бути перехоплено, дані можуть битьскопіровани або змінені. Це може стати причиною збитку, заподіяного як шляхом порушення права особистості наконфіденціальность, так і шляхом зловживання перехваченниміданнимі;

Несанкціонований доступ до комп'ютера і внутрішнім компьютернимсетям зазвичай виконується зі злим умислом на копіювання, ізмененіеілі знищення даних і може поширюватися на автоматіческоеоборудованіе і системи, що знаходяться в будинку;

Шкідливі атаки в мережі Інтернет стали цілком звичайним явищем, ав майбутньому більш вразливою може також стати телефонна мережа;

шкідливе програмне забезпечення, Таке як віруси, можетвиводіть з ладу комп'ютери, видаляти або змінювати дані, лібоперепрограмміровать побутову техніку. Деякі атаки вірусів билівесьма руйнівними і дорогими;

Спотворення інформації про фізичних або юридичних осіб може статьпрічіной значної шкоди, наприклад клієнти можуть скачатьвредоносное програмне забезпечення з веб-сайту, який маскується поддоверенний джерело, можуть бути розірвані контракти, аконфіденціальная інформація може бути направлена \u200b\u200bненадлежащімполучателям;

багато інциденти інформаційної безпеки пов'язані снепредусмотреннимі і ненавмисними подіями, напрімерстіхійнимі лихами (повенями, штормами і землетрусами), відмовами апаратного або програмного забезпечення, а також счеловеческім фактором.

Сьогодні практично в кожній квартирі є домашня мережа, до якої підключаються стаціонарні комп'ютери, ноутбуки, сховища даних (NAS), медіаплеєри, розумні телевізори, а також смартфони, планшети та інші носяться пристрої. Використовуються або провідні (Ethernet), або бездротові (Wi-Fi) з'єднання і протоколи TCP / IP. З розвитком технологій Інтернету речей в Мережу вийшла побутова техніка - холодильники, кавоварки, кондиціонери і навіть електровстановлювальне обладнання. Завдяки рішенням « Розумний будинок»Ми можемо управляти яскравістю освітлення, дистанційно налаштовувати мікроклімат в приміщеннях, вмикати і вимикати різні прилади - це здорово полегшує життя, але може створити власнику просунутих рішень неабиякі проблеми.

На жаль, розробники подібних пристроїв поки недостатньо дбають про безпеку своїх продуктів, і кількість знайдених в них вразливостей зростає як гриби після дощу. Нерідкі випадки, коли після виходу на ринок пристрій перестає підтримуватися - в нашому телевізорі, наприклад, встановлена \u200b\u200bпрошивка 2016 року, заснована на Android 4, і виробник не збирається її оновлювати. Додають проблем і гості: відмовляти їм у доступі до Wi-Fi незручно, але і пускати в свою затишну мережу кого попало теж не хотілося б. Хто знає, які віруси можуть оселитися в чужих мобільних телефонах? Все це приводить нас до необхідності розділити домашню мережу на кілька ізольованих сегментів. Спробуємо розібратися, як це зробити, як то кажуть, малою кров'ю і з найменшими фінансовими витратами.

Ізолюємо мережі Wi-Fi
В корпоративних мережах проблема вирішується просто - там є керовані комутатори з підтримкою віртуальних локальних мереж (VLAN), різноманітні маршрутизатори, міжмережеві екрани і точки бездротового доступу - спорудити потрібну кількість ізольованих сегментів можна за пару годин. За допомогою пристрою Traffic Inspector Next Generation (TING), наприклад, завдання вирішується буквально в кілька кліків. Досить підключити комутатор гостьового сегмента мережі в окремий порт Ethernet і створити правила firewall. Для будинку такий варіант не годиться через високу вартість обладнання - найчастіше мережею у нас керує один пристрій, що об'єднує функції маршрутизатора, комутатора, бездротової точки доступу і бог знає чого ще.

На щастя, сучасні побутові роутери (хоча їх правильніше називати інтернет-центрами) теж стали дуже розумними і майже у всіх з них, крім хіба що зовсім вже бюджетних, присутня можливість створити ізольовану гостьову мережу Wi-Fi. Надійність цієї самоізоляції - питання для окремої статті, сьогодні ми не будемо досліджувати прошивки побутових пристроїв різних виробників. Як приклад візьмемо ZyXEL Keenetic Extra II. Зараз ця лінійка стала називатися просто Keenetic, але в наші руки потрапив апарат, випущений ще під маркою ZyXEL.

Налаштування через веб-інтерфейс не викличе труднощів навіть у початківців - кілька кліків, і у нас з'явилася окрема бездротова мережа зі своїм SSID, захистом WPA2 і паролем для доступу. У неї можна пускати гостей, а також включати телевізори і програвачі з давно не оновлювалася прошивкою або інших клієнтів, яким ви не особливо довіряєте. У більшості пристроїв інших виробників ця функція, повторимося, теж присутній і включається аналогічно. Ось так, наприклад, завдання вирішується в прошивках роутерів D-Link за допомогою майстра настройки.

Додати гостьову мережу можна, коли пристрій вже налаштовано і працює.

Скріншот з сайту виробника

Скріншот з сайту виробника

Ізолюємо мережі Ethernet
Крім підключаються до бездротової мережі клієнтів нам можуть попастися пристрої з проводовим інтерфейсом. Знавці скажуть, що для створення ізольованих сегментів Ethernet використовуються так звані VLAN - віртуальні локальні мережі. Деякі побутові роутери підтримують цю функціональність, але тут завдання ускладнюється. Хотілося б не просто зробити окремий сегмент, нам потрібно об'єднати порти для проводового підключення з бездротовою гостьовий мережею на одному роутере. Це по зубах далеко не кожному побутовому влаштуванню: поверхневий аналіз показує, що крім інтернет-центрів Keenetic додавати порти Ethernet в єдиний з мережею Wi-Fi гостьовий сегмент вміють ще моделі лінійки MikroTik, але процес їх налаштування вже не була такою очевидною. Якщо говорити про порівнянних за ціною побутових роутерах, вирішити задачу за пару кліків в веб-інтерфейсі може тільки Keenetic.

Як бачите, піддослідний легко впорався з проблемою, і тут варто звернути увагу на ще одну цікаву функцію - ви також можете ізолювати бездротових клієнтів гостьовій мережі один від одного. Це дуже корисно: заражений зловредів смартфон вашого приятеля вийде в Інтернет, але атакувати інші пристрої навіть в гостьовій мережі він не зможе. Якщо у вашому роутере є подібна функція, варто обов'язково включити її, хоча це обмежить можливості взаємодії клієнтів - скажімо, подружити телевізор з медіаплеєром через Wi-Fi вже не вийде, доведеться використовувати дротове з'єднання. На цьому етапі наша домашня мережа виглядає більш захищеною.

Що в підсумку?
Кількість загроз безпеки рік від року зростає, а виробники розумних пристроїв далеко не завжди приділяють достатньо уваги своєчасному випуску оновлень. У такій ситуації у нас є тільки один вихід - диференціація клієнтів домашньої мережі і створення для них ізольованих сегментів. Для цього не потрібно купувати обладнання за десятки тисяч рублів, з завданням цілком може впоратися відносно недорогий побутовий інтернет-центр. Тут хотілося б застерегти читачів від покупки пристроїв бюджетних брендів. Залізо зараз майже у всіх виробників більш-менш однакове, а от якість вбудованого софта дуже різний. Як і тривалість циклу підтримки випущених моделей. Навіть з досить простим завданням об'єднання в ізольованому сегменті дротової і бездротової мережі впорається далеко не кожен побутової роутер, а у вас можуть виникнути і більш складні. Іноді потрібно налаштування додаткових сегментів або DNS-фільтрація для доступу тільки до безпечних хостам, у великих приміщеннях доводиться підключати клієнтів Wi-Fi до гостьової мережі через зовнішні точки доступу і т.д. і т.п. Крім питань безпеки є й інші проблеми: в публічних мережах потрібно забезпечити реєстрацію клієнтів відповідно до вимог Федерального закону № 97 «Про інформацію, інформаційних технологіях і про захист інформації ». Недорогі пристрої здатні вирішувати такі завдання, але далеко не всі - функціональні можливості вбудованого софта у них, повторимося, дуже різні.

введення

Актуальність цієї теми полягає в тому, що зміни, що відбуваються в економічному житті Росії - створення фінансово-кредитної системи, підприємств різних форм власності і т.п. - істотно впливають на питання захисту інформації. Довгий час в нашій країні існувала тільки одна власність - державна, тому інформація і секрети були теж толькогосударственние, які охоронялися могутніми спецслужбами. Проблеми інформаційної безпеки постійно поглиблюються процесами проникнення практично у всі сфери діяльності суспільства технічних засобів обробки і передачі даних і, перш за все обчислювальних систем. Об'єктами посягань можуть бути самі технічні засоби (Комп'ютери і периферія) як матеріальні об'єкти, программноеобеспеченіе і бази даних, для яких технічні засоби є оточенням. Кожен збій роботи комп'ютерної мережі це не тільки "моральний" збиток для працівників підприємства і мережевих адміністраторів. У міру розвитку технологій платежів електронних, "безпаперового" документообігу та інших, серйозний збій локальних мереж може просто паралізувати роботу цілих корпорацій і банків, що призводить кощутімим матеріальних втрат. Не випадково, що захист даних в комп'ютерних мережах стає однією з найгостріших проблем в сучасній інформатиці. На сьогоднішній день сформульовано два базових принципи інформаційної безпеки, яка повинна забезпечувати: - цілісність даних - захист від збоїв, що ведуть до втрати інформації, а також неавторизованого створення або знищення даних. - конфіденціальностьінформаціі і, одночасно, її доступність для всіх авторизованих користувачів. Слід також зазначити, що окремі сфери діяльності (банківські і фінансові інститути, інформаційні мережі, Системи державного управління, оборонні та спеціальні структури) вимагають спеціальних заходів безпеки даних і пред'являють підвищені вимоги до надійності функціонування інформаційних систем, В відповідність до характером і важливістю вирішуваних ними завдань.

Якщо комп'ютер підключений до локальної мережі, То, потенційно, до цього комп'ютера та інформації в ньому можна отримати несанкціонований доступ з локальної мережі.

Якщо локальну мережу з'єднали з іншими локальними мережами, то до можливих несанкціонованим користувачам додаються і користувачі з цих віддалених мереж. Ми не будемговоріть про доступність такого комп'ютера з мережі або каналів, через які з'єднали локальні мережі, тому що напевно на виходах з локальних мереж стоять пристрої, які здійснюють шифрування і контроль трафіку, і необхідні заходи прийняті.

Якщо комп'ютер підключили безпосередньо через провайдера до зовнішньої мережі, наприклад через модем до Інтернет, для віддаленого взаємодії зі своєю локальною мережею, токомпьютер і інформація в ньому потенційно доступні хакерам з Інтернет. А найнеприємніше, що через цей комп'ютер можливий доступ зломщиків і до ресурсів локальної мережі.

Природно при всіх таких підключених застосовуються або штатні засоби розмежування доступу операційної системи, Або спеціалізовані засоби захисту від несанкціонованого доступу, або криптографічні системи на рівні конкретнихпріложеній, або і те й інше разом.

Однак всі ці заходи, на жаль, не можуть гарантувати бажаної безпеки при проведенні мережевих атак, і пояснюється це наступними основними причинами:

Операційні системи (ОС), особливо WINDOWS відносяться до програмним продуктам високої складності, створенням яких займається великі колективи розробників. Детальний аналіз цих систем провестічрезвичайно важко. У зв'язку з чим, достовірно обґрунтувати для них відсутність штатних можливостей, помилок або недокументованих можливостей, випадково або навмисно залишених в ОС, і якими можна було б скористатися через мережеві атаки, не представляється можливим.

У багатозадачною ОС, зокрема WINDOWS, одночасно може працювати багато різних додатків, ...

C розповсюдженням широкосмугового доступу в інтернет і кишенькових гаджетів стали надзвичайно популярні бездротові роутери (маршрутизатори). Такі пристрої здатні роздавати сигнал по протоколу Wi-Fi як на стаціонарні комп'ютери, так і на мобільні пристрої - смартфони та планшети, - при цьому пропускної здатності каналу цілком достатньо для одночасного підключення декількох споживачів.

Сьогодні бездротової роутер є практично в будь-якому будинку, куди проведений широкосмуговий інтернет. Однак далеко не всі власники таких пристроїв замислюються над тим, що при настройках за умовчанням вони надзвичайно уразливі для зловмисників. І якщо ви вважаєте, що не робите в інтернеті нічого такого, що могло б вам пошкодити, задумайтеся над тим, що перехопивши сигнал локальної бездротової мережі, зломщики можуть отримати доступ не тільки до вашої особистої листуванні, але і до банківського рахунку, Службових документів і будь-яким іншим файлам.

Хакери можуть не обмежитися дослідженням пам'яті виключно ваших власних пристроїв - їх вміст може підказати ключі до мереж вашої компанії, ваших близьких і знайомих, до даних всіляких комерційних і державних інформаційних систем. Більш того, через вашу мережу і від вашого імені зловмисники можуть проводити масові атаки, зломи, незаконно поширювати мультимедійні дані і програмне забезпечення і займатися іншою кримінально караною діяльністю.

Тим часом, щоб убезпечити себе від подібних загроз, варто слідувати лише декільком простим правилам, які зрозумілі і доступні навіть тим, хто не має спеціальних знань в області комп'ютерних мереж. Пропонуємо вам ознайомитися з цими правилами.

1. Змініть дані адміністратора за замовчуванням

Щоб отримати доступ до налаштувань вашого роутера, необхідно зайти в його веб-інтерфейс. Для цього вам потрібно знати його IP-адресу в локальній мережі (LAN), а також логін і пароль адміністратора.

Внутрішній IP-адреса роутера за замовчуванням, як правило, має вигляд 192.168.0.1, 192.168.1.1, 192.168.100.1 або, наприклад, 192.168.123.254 - він завжди вказано в документації до апаратури. Дефолтні логін і пароль зазвичай також повідомляються в документації, або їх можна дізнатися у виробника роутера або вашого провайдера послуг.

Вводимо IP-адреса роутера в адресний рядок браузера, а в вікні, що з'явилося вводимо логін і пароль. Перед нами відкриється веб-інтерфейс маршрутизатора з найрізноманітнішими настройками.

Ключовий елемент безпеки домашньої мережі - можливість зміни налаштувань, тому потрібно обов'язково змінити всі дані адміністратора за замовчуванням, адже вони можуть використовуватися в десятках тисяч примірників таких же роутерів, як і у вас. Знаходимо відповідний пункт і вводимо нові дані.

У деяких випадках можливість довільного зміни даних адміністратора заблокована провайдером послуг, і тоді вам доведеться звертатися за допомогою до нього.

2. Встановіть або змініть паролі для доступу до локальної мережі

Ви будете сміятися, але все ще трапляються випадки, коли щедрий володар бездротового роутера організовує відкриту точку доступу, до якої може підключитися кожен. Набагато частіше для домашньої мережі вибираються псевдопаролі типу «1234» або якісь банальні слова, задані при установці мережі. Щоб мінімізувати ймовірність того, що хтось зможе з легкістю забратися в вашу мережу, потрібно придумати справжній довгий пароль з букв, цифр і символів, і встановити рівень шифрування сигналу - бажано, WPA2.

3. Вимкніть WPS

Технологія WPS (Wi-Fi Protected Setup) дозволяє швидко налагодити захищену бездротову зв'язок між сумісними пристроями без докладних налаштувань, а лише натисненням відповідних кнопок на роутері і гаджет або шляхом введення цифрового коду.

Тим часом, у цій зручної системи, зазвичай включеної за замовчуванням, є одне слабке місце: оскільки WPS не враховує число спроб введення неправильного коду, вона може бути зламана «грубою силою» шляхом простого перебору за допомогою найпростіших утиліт. Буде потрібно від декількох хвилин до декількох годин, щоб проникнути в вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль.

Тому знаходимо в «адмінки» відповідний пункт і відключаємо WPS. На жаль, внесення змін в налаштування далеко не завжди дійсно відключить WPS, а деякі виробники взагалі не передбачають такої можливості.

4. Змініть найменування SSID

Ідентифікатор SSID (Service Set Identifier) \u200b\u200b- це назва вашої бездротової мережі. Саме його «згадують» різні пристрої, які при розпізнаванні назви і наявності необхідних паролів намагаються підключитися до локальної мережі. Тому якщо ви збережете стандартну назву, встановлене, наприклад, вашим провайдером, то є ймовірність того, що ваші пристрої будуть намагатися підключитися до безлічі найближчих мереж з тією ж самою назвою.

Більш того, роутер, який транслює стандартний SSID, більш вразливий для хакерів, які будуть приблизно знати його модель і звичайні налаштування, і зможуть нанести удар в конкретні слабкі місця такій конфігурації. Тому виберіть якомога більше унікальну назву, нічого не говорить ні про провайдера послуг, ні про виробника обладнання.

При цьому часто зустрічається рада приховувати трансляцію SSID, а така опція стандартна для переважної більшості роутерів, насправді неспроможний. Справа в тому, що всі пристрої, які намагаються підключитися до вашої мережі, в будь-якому випадку будуть перебирати найближчі точки доступу, і можуть підключитися до мереж, спеціально «розставлених» зловмисниками. Іншими словами, приховуючи SSID, ви ускладнюєте життя тільки самим собі.

5. Змініть IP роутера

Щоб ще більше ускладнити несанкціонований доступ до веб-інтерфейсу роутера і його налаштувань, змініть в них внутрішній IP-адреса (LAN) за замовчуванням.

6. Вимкніть віддалене адміністрування

Для зручності технічної підтримки (В основному) у багатьох побутових роутерах реалізована функція віддаленого адміністрування, за допомогою якої настройки роутера стають доступні через інтернет. Тому, якщо ми не хочемо проникнення ззовні, цю функцію краще відключити.

При цьому, однак, залишається можливість зайти в веб-інтерфейс через Wi-Fi, якщо зловмисник знаходиться в полі дії вашої мережі і знає логін і пароль. У деяких роутерах є функція обмежити доступ до панелі тільки при наявності проводового підключення, проте, на жаль, ця опція зустрічається досить рідко.

7. Оновлення прошивки

Кожен поважаючий себе і клієнтів виробник роутерів постійно вдосконалює програмне забезпечення свого обладнання і регулярно випускає оновлені версії мікропрограм ( «прошивок»). В свіжих версіях перш за все виправляються виявлені вразливості, а також помилки, що впливають на стабільність роботи.

Зверніть увагу на те, що після поновлення всі зроблені вами настройки можуть скинутися до заводських, тому є сенс зробити їх резервну копію - також через веб-інтерфейс.

8. Перейдіть в діапазон 5 ГГц

Базовий діапазон роботи мереж Wi-Fi - це 2,4 ГГц. він забезпечує впевнений прийом більшістю існуючих пристроїв на відстані приблизно до 60 м в приміщенні і до 400 м поза приміщенням. Перехід в діапазон 5 ГГц знизить дальність зв'язку в два-три рази, обмеживши для сторонніх можливість проникнути в вашу бездротову мережу. За рахунок меншої зайнятості діапазону, ви зможете також зауважити підвищити швидкість передачі даних і стабільність з'єднання.

Мінус у цього рішення тільки один - далеко не всі пристрої працюють c Wi-Fi стандарту IEEE 802.11ac в діапазоні 5 ГГц.

9. Вимкніть функції PING, Telnet, SSH, UPnP і HNAP

Якщо ви не знаєте, що ховається за цими абревіатурами, і не впевнені, що ці функції вам обов'язково будуть потрібні, знайдіть їх в настройках роутера і відключіть. Якщо є така можливість, замість закриття портів, виберіть прихований режим (Stealth), який при спробах зайти на них ззовні зробить ці порти «невидимими», ігноруючи запити і «пінг».

10. Увімкніть брандмауер роутера

Якщо у вашому роутере є вбудований брандмауер, то рекомендуємо його включити. Звичайно, це не бастіон абсолютного захисту, але в комплексі з програмними засобами (навіть з вбудованим в Windows брандмауер) він здатний цілком гідно чинити опір атакам.

11. Вимкніть фільтрацію по MAC-адресами

Хоча на перший погляд здається, що можливість підключення до мережі тільки пристроїв з конкретними MAC-адресами повністю гарантує безпеку, в дійсності це не так. Більш того, воно робить мережу відкритою навіть для не дуже винахідливих хакерів. Якщо зловмисник зможе відстежити вхідні пакети, то він швидко отримає список активних MAC-адрес, оскільки в потоці даних вони передаються в незашифрованому вигляді. А підмінити MAC-адресу не проблема навіть для непрофесіонала.

12. Перейдіть на інший DNS-сервер

Замість використання DNS-сервера вашого провайдера, можна перейти на альтернативні, наприклад, Google Public DNS або OpenDNS. З одного боку, це може прискорити видачу інтернет-сторінок, а з іншого, підвищити безпеку. Наприклад, OpenDNS блокує віруси, ботнети і фішингові запити з будь-якого порту, протоколу і з додатком, і завдяки спеціальним алгоритмам на базі Великих Даних здатний передбачати і запобігати різноманітні загрози і атаки. При цьому Google Public DNS - це просто швидкісний DNS-сервер без додаткових функцій.

13. Встановіть альтернативну «прошивку»

І, нарешті, радикальний крок для того, хто розуміє, що робить, - це установка прошивки, написані не виробником вашого роутера, а ентузіастами. Як правило, такі «прошивки» не тільки розширюють функціональність пристрою (зазвичай додаються підтримка професійних функцій на зразок QoS, режиму моста, SNMP і т.д), але і роблять його більш стійким до уязвимостям - в тому числі і за рахунок нестандартності.

Серед популярних open-source «прошивок» можна назвати засновані на Linux

Кілька років тому домашні бездротові мережі були досить прості і складалися, як правило, з точки доступу і двох комп'ютерів, якими користувалися для доступу в Інтернет, онлайн покупок або ігор. Але в наш час домашні мережі стали значно складніше. Зараз до домашньої мережі підключено велика кількість пристроїв, які використовуються не тільки для доступу в Інтернет або перегляду коштів масової інформації. У цій статті ми поговоримо про те, як зробити домашню мережу безпечною для всіх членів сім'ї.

Безпека бездротової мережі

Практично в кожному будинку є бездротова мережа (або, так звана мережа Wi-Fi). Ця мережа дозволяє підключити будь-який пристрій до Інтернету, наприклад, ноутбук, планшет або ігрову приставку. більшість бездротових мереж управляються роутером - пристроєм, встановленим вашим інтернет-провайдером для забезпечення доступу до Інтернету. Але в деяких випадках ваша мережа може контролюватися окремими системами, так званими точками доступу, які з'єднані з роутером. Не залежно від того, за допомогою якої системи ваші пристрої з'єднуються з Інтернетом, принцип роботи цих систем однаковий: передача радіосигналів. Різні пристрої можуть підключатися до Інтернету і до інших пристроїв вашої мережі. Це означає, що безпека вашої домашньої мережі є одним з основних компонентів захисту вашого будинку. Ми радимо виконувати наступні правила для забезпечення безпеки вашої домашньої мережі:

• Змініть пароль адміністратора, встановлений виробником Інтернет роутера або точки доступу. Аккаунт адміністратора дозволяє вносити зміни до налаштувань мережі. Проблема в тому, що багато роутери поставляються зі стандартними, добре відомими паролями і їх легко знайти в Інтернеті. Тому слід змінити заводський пароль на унікальний і сильний пароль, який будете знати тільки ви.
• Змініть назву мережі, встановлене виробником (його ще називають SSID). Це ім'я ваші пристрої бачать при пошуку домашньої бездротової мережі. Дайте своїй домашній мережі унікальне ім'я, яке легко дізнатися, але воно не повинно містити особистої інформації. Конфігурація мережі як «невидимої» - малоефективна форма захисту. Більшість програм сканування бездротових мереж і будь-який досвідчений хакер може легко виявити «невидимі» мережі.
• Переконайтеся, що до вашої мережі можуть підключатися тільки люди, яким ви довіряєте, і що ця сполука є зашифрованим. Це допоможе підвищити рівень безпеки. В даний час самим безпечним з'єднанням є WPA2. При його використанні необхідно ввести пароль при підключенні до мережі, і при цьому підключенні використовується шифрування. Переконайтеся, що ви не використовуєте застарілий метод, наприклад, WEP, або не користуєтеся відкритою мережею (яка взагалі не надає захисту). Відкрита мережа дозволяє абсолютно все підключатися до вашої бездротової мережі без аутентифікації.
• Переконайтеся, що для підключення до вашої мережі люди використовують сильний пароль, який не збігається з паролем адміністратора. Пам'ятайте, що вам потрібно ввести пароль для кожного використовуваного пристрою тільки один раз, цей пароль пристрою можуть запам'ятовувати і зберігати.
• Більшість бездротових мереж підтримують, так звану Гостьову Мережа (Guest Network). Це дозволяє гостям виходити в Інтернет, але домашня мережа в цьому випадку захищена, так як гості не можуть з'єднатися з домашніми пристроями вашої мережі. Якщо ви додаєте гостьову мережу, переконайтеся, що використовуєте WPA2, і вона захищена за допомогою унікального і сильного пароля.
• Вимкніть Wi-Fi Protected Setup або іншу настройку, що дозволяє підключати нові пристрої без введення пароля і інших опцій конфігурації.
• Якщо вам складно запам'ятати всі паролі, настійно рекомендуємо використовувати менеджер паролів для їх зберігання.

Якщо питання по перерахованих пунктів? Зайдіть до провайдерів Інтернету, подивіться інструкцію до роутера, точки доступу, або подивіться веб сайти їх виробників.

Безпека ваших пристроїв

Наступним кроком є \u200b\u200bуточнення списку всіх підключених до мережі пристроїв і забезпечення їх безпеки. Це було легко зробити раніше, коли до мережі було підключено невелика кількість пристроїв. Але в сучасному світі практично всі пристрої можуть бути «постійно підключені» до мережі, включаючи телевізори, ігрові приставки, Дитячі камери, колонки, обігрівачі або навіть автомобілі. Одним з простих способів виявити підключення пристрою є використання мережевого сканера, наприклад, Fing. Ця програма, одного разу встановлений на комп'ютер, дозволяє виявити абсолютно всі пристрої, підключені до мережі. Після того, як ви виявите всі пристрої, слід подбати про їхню безпеку. Кращий спосіб забезпечити безпеку - регулярно оновлювати їх операційні системи / прошивки. Якщо можливо, налаштуйте автоматичне оновлення систем. Якщо є можливість використовувати пароль до кожного пристрою, використовуйте тільки сильний і надійний пароль. І, нарешті, відвідайте веб сайт Інтернет провайдера для отримання інформації про безкоштовних способах захисту вашої мережі.

про автора

Черіл Конлі очолює відділ тренінгу з інформаційної безпеки в компанії Lockheed Martin. Вона використовує фірмову методику The I Compaign TM для тренінгу 100 000 співробітників компанії. Методика активно використовує фокус-групи всередині компанії і координує глобальну програму