Приклад безпечної установки домашньої локальної мережі. Як налаштувати домашній роутер, щоб зробити мережу безпечною

Avast завжди намагається бути попереду, коли справа стосується захисту користувачів від нових загроз. Все більше і більше людей дивляться фільми, спортивні трансляції і телешоу на смарт ТВ. Вони контролюють температуру в своїх будинках за допомогою цифрових термостатів. Вони носять смарт-годинник і фітнес-браслети. В результаті потреби в безпеці розширюються за межі персонального комп'ютера, Щоб охопити всі пристрої в домашній мережі.

Проте, домашні роутери, які є ключовими пристроями інфраструктури домашньої мережі, часто мають проблеми безпеки і забезпечують простий доступ хакерам. Недавнє дослідження компанії Tripwire показало, що 80 відсотків найбільш продаваних роутерів мають уразливості. Більш того, найпоширеніші комбінації для доступу до адміністративного інтерфейсу, зокрема admin / admin або admin / без пароля використовується в 50 відсотках роутерів по всьому світу. Ще 25 відсотків користувачів використовують адресу, дату народження, ім'я або прізвище як паролі до роутера. В результаті понад 75 відсотків роутерів по всьому світу є уразливими для простих пральних атак, що відкриває можливості розгортання загроз в домашній мережі. Ситуація з безпекою маршрутизаторів сьогодні нагадує 1990-ті, коли нові уразливості виявлялися кожен день.

Функція "Безпека домашньої мережі"

Функція "Безпека домашньої мережі" в Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security і Avast Premier Antivirus дозволяє вирішувати перераховані проблеми за допомогою сканування налаштувань роутера і домашньої мережі на предмет потенційних проблем. У Avast Nitro Update движок виявлень інструменту "Безпека домашньої мережі" був повністю перероблений - була додана підтримка многопоточного сканування і був реалізований поліпшений детектор злому DNS. Движок тепер підтримує сканування протоколу ARP і сканування портів, виконуваних на рівні драйвера ядра, що дозволяє в кілька разів прискорити перевірку в порівнянні з попередньою версією.

"Безпека домашньої мережі" може автоматично блокувати атаки на роутер з крос-сайтовий фальшивими запитами (CSRF). CSRF-експлойти експлуатують уразливості сайтів і дозволяють кіберперступнікам передавати несанкціоновані команди на веб-сайт. Команда імітує інструкцію від користувача, який відомий сайту. Таким чином, кіберзлочинці можуть видавати себе за користувача, наприклад, переводити гроші жертви без її відома. Завдяки CSRF-запитам, злочинці можуть віддалено вносити зміни в налаштування роутера для того, щоб перезаписати параметри DNS і перенаправити трафік на шахрайські сайти

Компонент "Безпека домашньої мережі" дозволяє сканувати налаштування домашньої мережі та роутера на предмет потенційних проблем безпеки. Інструмент виявляє слабкі або стандартні паролі Wi-Fi, Вразливі роутери, скомпрометовані підключення до Інтернету і включений, але не захищений протокол IPv6. Avast виводить список всіх пристроїв в домашній мережі, щоб користувачі могли перевірити, що тільки відомі пристрої підключені. компонент надає прості рекомендації щодо усунення виявлених вразливостей.

Інструмент також повідомляє користувача про підключення нових пристроїв до мережі, підключеним до мережі телевізорів і інших пристроїв. Тепер користувач може відразу виявити невідомий пристрій.

Новий проактивний підхід підкреслює загальну концепцію забезпечення максимальної всебічної захисту користувачів.

C розповсюдженням широкосмугового доступу в інтернет і кишенькових гаджетів стали надзвичайно популярні бездротові роутери (маршрутизатори). Такі пристрої здатні роздавати сигнал по протоколу Wi-Fi як на стаціонарні комп'ютери, так і на мобільні пристрої - смартфони та планшети, - при цьому пропускної здатності каналу цілком достатньо для одночасного підключення декількох споживачів.

Сьогодні бездротової роутер є практично в будь-якому будинку, куди проведений широкосмуговий інтернет. Однак далеко не всі власники таких пристроїв замислюються над тим, що при настройках за умовчанням вони надзвичайно уразливі для зловмисників. І якщо ви вважаєте, що не робите в інтернеті нічого такого, що могло б вам пошкодити, задумайтеся над тим, що перехопивши сигнал локальної бездротової мережі, Зломщики можуть отримати доступ не тільки до вашої особистої листуванні, але і до банківського рахунку, Службових документів і будь-яким іншим файлам.

Хакери можуть не обмежитися дослідженням пам'яті виключно ваших власних пристроїв - їх вміст може підказати ключі до мереж вашої компанії, ваших близьких і знайомих, до даних всіляких комерційних і державних інформаційних систем. Більш того, через вашу мережу і від вашого імені зловмисники можуть проводити масові атаки, зломи, незаконно поширювати мультимедійні дані і програмне забезпечення і займатися іншою кримінально караною діяльністю.

Тим часом, щоб убезпечити себе від подібних загроз, варто слідувати лише декільком простим правилам, Які зрозумілі і доступні навіть тим, хто не має спеціальних знань в області комп'ютерних мереж. Пропонуємо вам ознайомитися з цими правилами.

1. Змініть дані адміністратора за замовчуванням

Щоб отримати доступ до налаштувань вашого роутера, необхідно зайти в його веб-інтерфейс. Для цього вам потрібно знати його IP-адресу в локальної мережі (LAN), а також логін і пароль адміністратора.

Внутрішній IP-адреса роутера за замовчуванням, як правило, має вигляд 192.168.0.1, 192.168.1.1, 192.168.100.1 або, наприклад, 192.168.123.254 - він завжди вказано в документації до апаратури. Дефолтні логін і пароль зазвичай також повідомляються в документації, або їх можна дізнатися у виробника роутера або вашого провайдера послуг.

Вводимо IP-адреса роутера в адресний рядок браузера, а в вікні, що з'явилося вводимо логін і пароль. Перед нами відкриється веб-інтерфейс маршрутизатора з найрізноманітнішими настройками.

Ключовий елемент безпеки домашньої мережі - можливість зміни налаштувань, тому потрібно обов'язково змінити всі дані адміністратора за замовчуванням, адже вони можуть використовуватися в десятках тисяч примірників таких же роутерів, як і у вас. Знаходимо відповідний пункт і вводимо нові дані.

У деяких випадках можливість довільного зміни даних адміністратора заблокована провайдером послуг, і тоді вам доведеться звертатися за допомогою до нього.

2. Встановіть або змініть паролі для доступу до локальної мережі

Ви будете сміятися, але все ще трапляються випадки, коли щедрий володар бездротового роутера організовує відкриту точку доступу, до якої може підключитися кожен. Набагато частіше для домашньої мережі вибираються псевдопаролі типу «1234» або якісь банальні слова, задані при установці мережі. Щоб мінімізувати ймовірність того, що хтось зможе з легкістю забратися в вашу мережу, потрібно придумати справжній довгий пароль з букв, цифр і символів, і встановити рівень шифрування сигналу - бажано, WPA2.

3. Вимкніть WPS

Технологія WPS (Wi-Fi Protected Setup) дозволяє швидко налагодити захищену бездротовий зв'язок між сумісними пристроями без докладних налаштувань, А лише натисненням відповідних кнопок на роутері і гаджет або шляхом введення цифрового коду.

Тим часом, у цій зручної системи, зазвичай включеної за замовчуванням, є одне слабке місце: оскільки WPS не враховує число спроб введення неправильного коду, вона може бути зламана «грубою силою» шляхом простого перебору за допомогою найпростіших утиліт. Буде потрібно від декількох хвилин до декількох годин, щоб проникнути в вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль.

Тому знаходимо в «адмінки» відповідний пункт і відключаємо WPS. На жаль, внесення змін в налаштування далеко не завжди дійсно відключить WPS, а деякі виробники взагалі не передбачають такої можливості.

4. Змініть найменування SSID

Ідентифікатор SSID (Service Set Identifier) \u200b\u200b- це назва вашої бездротової мережі. Саме його «згадують» різні пристрої, які при розпізнаванні назви і наявності необхідних паролів намагаються підключитися до локальної мережі. Тому якщо ви збережете стандартну назву, встановлене, наприклад, вашим провайдером, то є ймовірність того, що ваші пристрої будуть намагатися підключитися до безлічі найближчих мереж з тією ж самою назвою.

Більш того, роутер, який транслює стандартний SSID, більш вразливий для хакерів, які будуть приблизно знати його модель і звичайні налаштування, і зможуть нанести удар в конкретні слабкі місця такій конфігурації. Тому виберіть якомога більше унікальну назву, нічого не говорить ні про провайдера послуг, ні про виробника обладнання.

При цьому часто зустрічається рада приховувати трансляцію SSID, а така опція стандартна для переважної більшості роутерів, насправді неспроможний. Справа в тому, що всі пристрої, які намагаються підключитися до вашої мережі, в будь-якому випадку будуть перебирати найближчі точки доступу, і можуть підключитися до мереж, спеціально «розставлених» зловмисниками. Іншими словами, приховуючи SSID, ви ускладнюєте життя тільки самим собі.

5. Змініть IP роутера

Щоб ще більше ускладнити несанкціонований доступ до веб-інтерфейсу роутера і його налаштувань, змініть в них внутрішній IP-адреса (LAN) за замовчуванням.

6. Вимкніть віддалене адміністрування

Для зручності технічної підтримки (В основному) у багатьох побутових роутерах реалізована функція віддаленого адміністрування, За допомогою якої настройки роутера стають доступні через інтернет. Тому, якщо ми не хочемо проникнення ззовні, цю функцію краще відключити.

При цьому, однак, залишається можливість зайти в веб-інтерфейс через Wi-Fi, якщо зловмисник знаходиться в полі дії вашої мережі і знає логін і пароль. У деяких роутерах є функція обмежити доступ до панелі тільки при наявності проводового підключення, Однак, на жаль, ця опція зустрічається досить рідко.

7. Оновлення прошивки

Кожен поважаючий себе і клієнтів виробник роутерів постійно вдосконалює програмне забезпечення свого обладнання і регулярно випускає оновлені версії мікропрограм ( «прошивок»). В свіжих версіях перш за все виправляються виявлені вразливості, а також помилки, що впливають на стабільність роботи.

Зверніть увагу на те, що після поновлення всі зроблені вами настройки можуть скинутися до заводських, тому є сенс зробити їх резервну копію - також через веб-інтерфейс.

8. Перейдіть в діапазон 5 ГГц

Базовий діапазон роботи мереж Wi-Fi - це 2,4 ГГц. він забезпечує впевнений прийом більшістю існуючих пристроїв на відстані приблизно до 60 м в приміщенні і до 400 м поза приміщенням. Перехід в діапазон 5 ГГц знизить дальність зв'язку в два-три рази, обмеживши для сторонніх можливість проникнути в вашу бездротову мережу. За рахунок меншої зайнятості діапазону, ви зможете також зауважити підвищити швидкість передачі даних і стабільність з'єднання.

Мінус у цього рішення тільки один - далеко не всі пристрої працюють c Wi-Fi стандарту IEEE 802.11ac в діапазоні 5 ГГц.

9. Вимкніть функції PING, Telnet, SSH, UPnP і HNAP

Якщо ви не знаєте, що ховається за цими абревіатурами, і не впевнені, що ці функції вам обов'язково будуть потрібні, знайдіть їх в настройках роутера і відключіть. Якщо є така можливість, замість закриття портів, виберіть прихований режим (Stealth), який при спробах зайти на них ззовні зробить ці порти «невидимими», ігноруючи запити і «пінг».

10. Увімкніть брандмауер роутера

Якщо у вашому роутере є вбудований брандмауер, то рекомендуємо його включити. Звичайно, це не бастіон абсолютного захисту, але в комплексі з програмними засобами (Навіть з вбудованим в Windows брандмауер) він здатний цілком гідно чинити опір атакам.

11. Вимкніть фільтрацію по MAC-адресами

Хоча на перший погляд здається, що можливість підключення до мережі тільки пристроїв з конкретними MAC-адресами повністю гарантує безпеку, в дійсності це не так. Більш того, воно робить мережу відкритою навіть для не дуже винахідливих хакерів. Якщо зловмисник зможе відстежити вхідні пакети, то він швидко отримає список активних MAC-адрес, оскільки в потоці даних вони передаються в незашифрованому вигляді. А підмінити MAC-адресу не проблема навіть для непрофесіонала.

12. Перейдіть на інший DNS-сервер

Замість використання DNS-сервера вашого провайдера, можна перейти на альтернативні, наприклад, Google Public DNS або OpenDNS. З одного боку, це може прискорити видачу інтернет-сторінок, а з іншого, підвищити безпеку. Наприклад, OpenDNS блокує віруси, ботнети і фішингові запити з будь-якого порту, протоколу і з додатком, і завдяки спеціальним алгоритмам на базі Великих Даних здатний передбачати і запобігати різноманітні загрози і атаки. При цьому Google Public DNS - це просто швидкісний DNS-сервер без додаткових функцій.

13. Встановіть альтернативну «прошивку»

І, нарешті, радикальний крок для того, хто розуміє, що робить, - це установка прошивки, написані не виробником вашого роутера, а ентузіастами. Як правило, такі «прошивки» не тільки розширюють функціональність пристрою (зазвичай додаються підтримка професійних функцій на зразок QoS, режиму моста, SNMP і т.д), але і роблять його більш стійким до уязвимостям - в тому числі і за рахунок нестандартності.

Серед популярних open-source «прошивок» можна назвати засновані на Linux

введення

Актуальність цієї теми полягає в тому, що зміни, що відбуваються в економічному житті Росії - створення фінансово-кредитної системи, підприємств різних форм власності і т.п. - істотно впливають на питання захисту інформації. Довгий час в нашій країні існувала тільки одна власність - державна, тому інформація і секрети були теж толькогосударственние, які охоронялися могутніми спецслужбами. проблеми інформаційної безпеки постійно поглиблюються процесами проникнення практично у всі сфери діяльності суспільства технічних засобів обробки і передачі даних і, перш за все обчислювальних систем. Об'єктами посягань можуть бути самі технічні засоби (Комп'ютери і периферія) як матеріальні об'єкти, программноеобеспеченіе і бази даних, для яких технічні засоби є оточенням. Кожен збій роботи комп'ютерної мережі це не тільки "моральний" збиток для працівників підприємства і мережевих адміністраторів. У міру розвитку технологій платежів електронних, "безпаперового" документообігу та інших, серйозний збій локальних мереж може просто паралізувати роботу цілих корпорацій і банків, що призводить кощутімим матеріальних втрат. Не випадково, що захист даних в комп'ютерних мережах стає однією з найгостріших проблем в сучасній інформатиці. На сьогоднішній день сформульовано два базових принципи інформаційної безпеки, яка повинна забезпечувати: - цілісність даних - захист від збоїв, що ведуть до втрати інформації, а також неавторизованого створення або знищення даних. - конфіденціальностьінформаціі і, одночасно, її доступність для всіх авторизованих користувачів. Слід також зазначити, що окремі сфери діяльності (банківські і фінансові інститути, інформаційні мережі, Системи державного управління, оборонні та спеціальні структури) вимагають спеціальних заходів безпеки даних і пред'являють підвищені вимоги до надійності функціонування інформаційних систем, в відповідність до характером і важливістю вирішуваних ними завдань.

Якщо комп'ютер підключений до локальної мережі, то, потенційно, до цього комп'ютера та інформації в ньому можна отримати несанкціонований доступ з локальної мережі.

Якщо локальну мережу з'єднали з іншими локальними мережами, то до можливих несанкціонованим користувачам додаються і користувачі з цих віддалених мереж. Ми не будемговоріть про доступність такого комп'ютера з мережі або каналів, через які з'єднали локальні мережі, тому що напевно на виходах з локальних мереж стоять пристрої, які здійснюють шифрування і контроль трафіку, і необхідні заходи прийняті.

Якщо комп'ютер підключили безпосередньо через провайдера до зовнішньої мережі, наприклад через модем до Інтернет, для віддаленого взаємодії зі своєю локальною мережею, токомпьютер і інформація в ньому потенційно доступні хакерам з Інтернет. А найнеприємніше, що через цей комп'ютер можливий доступ зломщиків і до ресурсів локальної мережі.

Природно при всіх таких підключених застосовуються або штатні засоби розмежування доступу операційної системи, Або спеціалізовані засоби захисту від несанкціонованого доступу, або криптографічні системи на рівні конкретнихпріложеній, або і те й інше разом.

Однак всі ці заходи, на жаль, не можуть гарантувати бажаної безпеки при проведенні мережевих атак, і пояснюється це наступними основними причинами:

Операційні системи (ОС), особливо WINDOWS відносяться до програмним продуктам високої складності, створенням яких займається великі колективи розробників. Детальний аналіз цих систем провестічрезвичайно важко. У зв'язку з чим, достовірно обґрунтувати для них відсутність штатних можливостей, помилок або недокументованих можливостей, випадково або навмисно залишених в ОС, і якими можна було б скористатися через мережеві атаки, не представляється можливим.

У багатозадачною ОС, зокрема WINDOWS, одночасно може працювати багато різних додатків, ...

Кілька років тому домашні бездротові мережі були досить прості і складалися, як правило, з точки доступу і двох комп'ютерів, якими користувалися для доступу в Інтернет, онлайн покупок або ігор. Але в наш час домашні мережі стали значно складніше. Зараз до домашньої мережі підключено велика кількість пристроїв, які використовуються не тільки для доступу в Інтернет або перегляду коштів масової інформації. У цій статті ми поговоримо про те, як зробити домашню мережу безпечної для всіх членів сім'ї.

Безпека бездротової мережі

Практично в кожному будинку є бездротова мережа (або, так звана мережа Wi-Fi). Ця мережа дозволяє підключити будь-який пристрій до Інтернету, наприклад, ноутбук, планшет або ігрову приставку. Більшість бездротових мереж управляються роутером - пристроєм, встановленим вашим інтернет-провайдером для забезпечення доступу до Інтернету. Але в деяких випадках ваша мережа може контролюватися окремими системами, так званими точками доступу, які з'єднані з роутером. Не залежно від того, за допомогою якої системи ваші пристрої з'єднуються з Інтернетом, принцип роботи цих систем однаковий: передача радіосигналів. різні пристрої можуть підключатися до Інтернету і до інших пристроїв вашої мережі. Це означає, що безпека вашої домашньої мережі є одним з основних компонентів захисту вашого будинку. Ми радимо виконувати наступні правила для забезпечення безпеки вашої домашньої мережі:

• Змініть пароль адміністратора, встановлений виробником Інтернет роутера або точки доступу. Аккаунт адміністратора дозволяє вносити зміни до налаштувань мережі. Проблема в тому, що багато роутери поставляються зі стандартними, добре відомими паролями і їх легко знайти в Інтернеті. Тому слід змінити заводський пароль на унікальний і сильний пароль, який будете знати тільки ви.
• Змініть назву мережі, встановлене виробником (його ще називають SSID). Це ім'я ваші пристрої бачать при пошуку домашньої бездротової мережі. Дайте своїй домашній мережі унікальне ім'я, яке легко дізнатися, але воно не повинно містити особистої інформації. Конфігурація мережі як «невидимої» - малоефективна форма захисту. Більшість програм сканування бездротових мереж і будь-який досвідчений хакер може легко виявити «невидимі» мережі.
• Переконайтеся, що до вашої мережі можуть підключатися тільки люди, яким ви довіряєте, і що ця сполука є зашифрованим. Це допоможе підвищити рівень безпеки. В даний час самим безпечним з'єднанням є WPA2. При його використанні необхідно ввести пароль при підключенні до мережі, і при цьому підключенні використовується шифрування. Переконайтеся, що ви не використовуєте застарілий метод, наприклад, WEP, або не користуєтеся відкритою мережею (яка взагалі не надає захисту). Відкрита мережа дозволяє абсолютно все підключатися до вашої бездротової мережі без аутентифікації.
• Переконайтеся, що для підключення до вашої мережі люди використовують сильний пароль, який не збігається з паролем адміністратора. Пам'ятайте, що вам потрібно ввести пароль для кожного використовуваного пристрою тільки один раз, цей пароль пристрою можуть запам'ятовувати і зберігати.
• Більшість бездротових мереж підтримують, так звану Гостьову Мережа (Guest Network). Це дозволяє гостям виходити в Інтернет, але домашня мережа в цьому випадку захищена, так як гості не можуть з'єднатися з домашніми пристроями вашої мережі. Якщо ви додаєте гостьову мережу, переконайтеся, що використовуєте WPA2, і вона захищена за допомогою унікального і сильного пароля.
• Вимкніть Wi-Fi Protected Setup або іншу настройку, що дозволяє підключати нові пристрої без введення пароля і інших опцій конфігурації.
• Якщо вам складно запам'ятати всі паролі, настійно рекомендуємо використовувати менеджер паролів для їх зберігання.

Якщо питання по перерахованих пунктів? Зайдіть до провайдерів Інтернету, подивіться інструкцію до роутера, точки доступу, або подивіться веб сайти їх виробників.

Безпека ваших пристроїв

наступним кроком є уточнення списку всіх підключених до мережі пристроїв і забезпечення їх безпеки. Це було легко зробити раніше, коли до мережі було підключено невелика кількість пристроїв. Але в сучасному світі практично всі пристрої можуть бути «постійно підключені» до мережі, включаючи телевізори, ігрові приставки, Дитячі камери, колонки, обігрівачі або навіть автомобілі. Одним з простих способів виявити підключення пристрою є використання мережевого сканера, наприклад, Fing. Ця програма, одного разу встановлений на комп'ютер, дозволяє виявити абсолютно всі пристрої, підключені до мережі. Після того, як ви виявите всі пристрої, слід подбати про їхню безпеку. Кращий спосіб забезпечити безпеку - регулярно оновлювати їх операційні системи / прошивки. Якщо можливо, налаштуйте автоматичне оновлення систем. Якщо є можливість використовувати пароль до кожного пристрою, використовуйте тільки сильний і надійний пароль. І, нарешті, відвідайте веб сайт Інтернет провайдера для отримання інформації про безкоштовних способах захисту вашої мережі.

про автора

Черіл Конлі очолює відділ тренінгу з інформаційної безпеки в компанії Lockheed Martin. Вона використовує фірмову методику The I Compaign TM для тренінгу 100 000 співробітників компанії. Методика активно використовує фокус-групи всередині компанії і координує глобальну програму

Сьогодні практично в кожній квартирі є домашня мережа, до якої підключаються стаціонарні комп'ютери, ноутбуки, сховища даних (NAS), медіаплеєри, розумні телевізори, а також смартфони, планшети та інші носяться пристрої. Використовуються або провідні (Ethernet), або бездротові (Wi-Fi) з'єднання і протоколи TCP / IP. З розвитком технологій Інтернету речей в Мережу вийшла побутова техніка - холодильники, кавоварки, кондиціонери і навіть електровстановлювальне обладнання. Завдяки рішенням « Розумний будинок»Ми можемо управляти яскравістю освітлення, дистанційно налаштовувати мікроклімат в приміщеннях, вмикати і вимикати різні прилади - це здорово полегшує життя, але може створити власнику просунутих рішень неабиякі проблеми.

На жаль, розробники подібних пристроїв поки недостатньо дбають про безпеку своїх продуктів, і кількість знайдених в них вразливостей зростає як гриби після дощу. Нерідкі випадки, коли після виходу на ринок пристрій перестає підтримуватися - в нашому телевізорі, наприклад, встановлена \u200b\u200bпрошивка 2016 року, заснована на Android 4, і виробник не збирається її оновлювати. Додають проблем і гості: відмовляти їм у доступі до Wi-Fi незручно, але і пускати в свою затишну мережу кого попало теж не хотілося б. Хто знає, які віруси можуть оселитися в чужих мобільних телефонах? Все це приводить нас до необхідності розділити домашню мережу на кілька ізольованих сегментів. Спробуємо розібратися, як це зробити, як то кажуть, малою кров'ю і з найменшими фінансовими витратами.

Ізолюємо мережі Wi-Fi
В корпоративних мережах проблема вирішується просто - там є керовані комутатори з підтримкою віртуальних локальних мереж (VLAN), різноманітні маршрутизатори, міжмережеві екрани і точки бездротового доступу - спорудити потрібну кількість ізольованих сегментів можна за пару годин. За допомогою пристрою Traffic Inspector Next Generation (TING), наприклад, завдання вирішується буквально в кілька кліків. Досить підключити комутатор гостьового сегмента мережі в окремий порт Ethernet і створити правила firewall. Для будинку такий варіант не годиться через високу вартість обладнання - найчастіше мережею у нас керує один пристрій, що об'єднує функції маршрутизатора, комутатора, бездротової точки доступу і бог знає чого ще.

На щастя, сучасні побутові роутери (хоча їх правильніше називати інтернет-центрами) теж стали дуже розумними і майже у всіх з них, крім хіба що зовсім вже бюджетних, присутня можливість створити ізольовану гостьову мережу Wi-Fi. Надійність цієї самоізоляції - питання для окремої статті, сьогодні ми не будемо досліджувати прошивки побутових пристроїв різних виробників. Як приклад візьмемо ZyXEL Keenetic Extra II. Зараз ця лінійка стала називатися просто Keenetic, але в наші руки потрапив апарат, випущений ще під маркою ZyXEL.

Налаштування через веб-інтерфейс не викличе труднощів навіть у початківців - кілька кліків, і у нас з'явилася окрема бездротова мережа зі своїм SSID, захистом WPA2 і паролем для доступу. У неї можна пускати гостей, а також включати телевізори і програвачі з давно не оновлювалася прошивкою або інших клієнтів, яким ви не особливо довіряєте. У більшості пристроїв інших виробників ця функція, повторимося, теж присутній і включається аналогічно. Ось так, наприклад, завдання вирішується в прошивках роутерів D-Link за допомогою майстра настройки.

Додати гостьову мережу можна, коли пристрій вже налаштовано і працює.

Скріншот з сайту виробника

Скріншот з сайту виробника

Ізолюємо мережі Ethernet
Крім підключаються до бездротової мережі клієнтів нам можуть попастися пристрої з проводовим інтерфейсом. Знавці скажуть, що для створення ізольованих сегментів Ethernet використовуються так звані VLAN - віртуальні локальні мережі. Деякі побутові роутери підтримують цю функціональність, але тут завдання ускладнюється. Хотілося б не просто зробити окремий сегмент, нам потрібно об'єднати порти для проводового підключення з бездротовою гостьовий мережею на одному роутере. Це по зубах далеко не кожному побутовому влаштуванню: поверхневий аналіз показує, що крім інтернет-центрів Keenetic додавати порти Ethernet в єдиний з мережею Wi-Fi гостьовий сегмент вміють ще моделі лінійки MikroTik, але процес їх налаштування вже не була такою очевидною. Якщо говорити про порівнянних за ціною побутових роутерах, вирішити задачу за пару кліків в веб-інтерфейсі може тільки Keenetic.

Як бачите, піддослідний легко впорався з проблемою, і тут варто звернути увагу на ще одну цікаву функцію - Ви можете ізолювати бездротових клієнтів гостьовій мережі один від одного. Це дуже корисно: заражений зловредів смартфон вашого приятеля вийде в Інтернет, але атакувати інші пристрої навіть в гостьовій мережі він не зможе. Якщо у вашому роутере є подібна функція, варто обов'язково включити її, хоча це обмежить можливості взаємодії клієнтів - скажімо, подружити телевізор з медіаплеєром через Wi-Fi вже не вийде, доведеться використовувати дротове з'єднання. На цьому етапі наша домашня мережа виглядає більш захищеною.

Що в підсумку?
Кількість загроз безпеки рік від року зростає, а виробники розумних пристроїв далеко не завжди приділяють достатньо уваги своєчасному випуску оновлень. У такій ситуації у нас є тільки один вихід - диференціація клієнтів домашньої мережі і створення для них ізольованих сегментів. Для цього не потрібно купувати обладнання за десятки тисяч рублів, з завданням цілком може впоратися відносно недорогий побутовий інтернет-центр. Тут хотілося б застерегти читачів від покупки пристроїв бюджетних брендів. Залізо зараз майже у всіх виробників більш-менш однакове, а от якість вбудованого софта дуже різний. Як і тривалість циклу підтримки випущених моделей. Навіть з досить простим завданням об'єднання в ізольованому сегменті дротової і бездротової мережі впорається далеко не кожен побутової роутер, а у вас можуть виникнути і більш складні. Іноді потрібно налаштування додаткових сегментів або DNS-фільтрація для доступу тільки до безпечних хостам, у великих приміщеннях доводиться підключати клієнтів Wi-Fi до гостьової мережі через зовнішні точки доступу і т.д. і т.п. Крім питань безпеки є й інші проблеми: в публічних мережах потрібно забезпечити реєстрацію клієнтів відповідно до вимог федерального закону № 97 «Про інформацію, інформаційних технологіях і про захист інформації ». Недорогі пристрої здатні вирішувати такі завдання, але далеко не все - функціональні можливості вбудованого софта у них, повторимося, дуже різні.