Защищаем роутер и домашнюю сеть. Ну а как защитить смартфоны и планшеты? Взгляд со стороны провайдера
Главную угрозу безопасности ваших данных несет Всемирная паутина. Как обеспечить надежную защиту домашней сети?
Зачастую пользователи ошибочно полагают, что для защиты подсоединенного к Интернету домашнего ПК вполне достаточно обычного антивируса. В заблуждение вводят и надписи на коробках роутеров, гласящие, что в этих устройствах на аппаратном уровне реализован мощный брандмауэр, способный защитить от хакерских атак. Эти утверждения верны лишь отчасти. Прежде всего, оба инструмента требуют грамотной настройки. При этом многие антивирусные пакеты просто не снабжены такой функцией, как брандмауэр.
Между тем грамотное построение защиты начинается уже с самого соединения с Интернетом. В современных домашних сетях, как правило, применяют Wi-Fi-роутеры с использованием кабельного Ethetnet-соединения. Через локальную сеть выход в Интернет имеют настольные компьютеры и ноутбуки, смартфоны и планшеты. Причем в единой связке находятся как сами ПК, так и периферийные устройства, такие как принтеры и сканеры, многие из которых подключаются именно через сеть.
Взломав вашу точку доступа, злоумышленник может не только пользоваться вашим подключением к Интернету и управлять домашними компьютерными устройствами, но и размещать во Всемирной паутине незаконный контент, используя ваш IP-адрес, а также похитить информацию, хранящуюся на оборудовании, подключенном к сети. Сегодня поговорим об основных правилах защиты сетей, поддержания их работоспособности и профилактики от взлома.
Аппаратные средства
Современное сетевое оборудование в большинстве своем требует настройки средств безопасности. Прежде всего речь идет о различных фильтрах, сетевых экранах и списках доступа по расписанию. Параметры защиты может задать и неподготовленный пользователь, однако следует знать некоторые нюансы.
ИСПОЛЬЗУЕМ ШИФРОВАНИЕ ТРАФИКА Настраивая точку доступа, позаботьтесь о включении наиболее надежных механизмов защиты трафика, создайте сложный, бессмысленный пароль и используйте протокол WPA2 с алгоритмом шифрования AES. Протокол WEP устарел и может быть взломан за считаные минуты.
РЕГУЛЯРНО МЕНЯЕМ УЧЕТНЫЕ ДАННЫЕ Устанавливайте надежные пароли доступа и регулярно (например, раз в полгода) меняйте их. Проще всего взломать устройство, на котором пользователь оставил стандартные логин и пароль «admin»/«admin».
СКРЫВАЕМ SSID
Параметр SSID (Service Set Identifier) - это публичное имя беспроводной сети, которое транслируется в эфир, чтобы его могли видеть пользовательские устройства. Использование опции скрытия SSID позволит защититься от начинающих взломщиков, но тогда для подключения новых устройств необходимо будет вручную вводить параметры точки доступа.
СОВЕТ
При первичной настройке точки доступа поменяйте SSID, так как это имя отображает модель роутера, что может послужить подсказкой взломщику при поиске уязвимостей.
НАСТРАИВАЕМ ВСТРОЕННЫЙ БРАНДМАУЭР Маршрутизаторы в большинстве случаев оснащаются простыми версиями сетевых экранов. С их помощью не удастся досконально настроить множество правил для безопасной работы в сети, но можно перекрыть основные уязвимости, или, например, запретить работу почтовых клиентов.
ОГРАНИЧЕНИЕ ДОСТУПА ПО MAC-АДРЕСАМ
Используя списки MAC-адресов (Media Access Control), можно запретить доступ к локальной сети тем устройствам, физические адреса которых не внесены в такой перечень. Для этого вам потребуется вручную создать списки допущенного к сети оборудования. У каждого устройства, снабженного сетевым интерфейсом, есть уникальный, присваиваемый ему на заводе MAC-адрес. Его можно узнать, посмотрев на этикетку или маркировку, нанесенную на оборудование, либо с помощью специальных команд и сетевых сканеров. При наличии веб-интерфейса или дисплея (например, у роутеров и сетевых принтеров) MAC-адрес вы найдете в меню настроек.
MAC-адрес сетевой карты компьютера можно узнать в ее свойствах. Для этого нужно зайти в меню «Панель управления | Сети и Интернет | Центр управления сетями и общим доступом», затем в левой части окна перейти по ссылке «Изменение параметров адаптера», кликнуть правой клавишей мыши по используемой сетевой карте и выбрать пункт «Состояние». В открывшемся окне нужно нажать на кнопку «Сведения» и посмотреть строку «Физический адрес», где будут отображены шесть пар цифр, обозначающие MAC-адрес вашей сетевой карты.
Есть и более быстрый способ. Чтобы воспользоваться им, нажмите сочетание клавиш «Win+R», в появившейся строке введите CMD и кликните по «ОК». В открывшемся окне введите команду:
Нажмите «Enter». Найдите в отображенных данных строчки «Физический адрес» - это значение и является MAC-адресом.
Защитив сеть физически, необходимо позаботиться и о программной части «обороны». В этом вам помогут комплексные антивирусные пакеты, сетевые экраны и сканеры уязвимостей.
НАСТРАИВАЕМ ДОСТУП К ПАПКАМ Не располагайте папки с системными или просто важными данными в директориях, доступ к которым открыт пользователям внутренней сети. Кроме того, старайтесь не создавать папки, открытые для доступа из сети, на системном диске. Все подобные директории, если нет особой необходимости, лучше ограничить атрибутом «Только чтение». В противном случае в общей папке может поселиться замаскированный под документы вирус.
УСТАНАВЛИВАЕМ СЕТЕВОЙ ЭКРАН
Программные сетевые экраны, как правило, просты в настройке и имеют режим самообучения. При его использовании программа спрашивает у пользователя, какие соединения он одобряет, а какие считает нужным запретить.
Рекомендуем использовать персональные брандмауэры, встроенные в такие популярные коммерческие продукты, как Kaspersky Iinternet Security, Norton internet Security, NOD Internet Security, а также бесплатные решения - например, Comodo Firewall. Штатный брандмауэр Windows, к сожалению, не может похвастаться надежным обеспечением безопасности, предоставляя лишь базовые настройки портов.
Тест на уязвимости
Наибольшую опасность для работоспособности компьютера и сети представляют программы, содержащие «дыры», и неправильно настроенные средства защиты.
XSpider Легкая в использовании программа для сканированиясети на наличие уязвимостей. Она позволит быстро выявить большинство актуальных проблем, а также предоставит их описание и, в некоторых случаях, способы устранения. К сожалению, некоторое время назад утилита стала платной, и в этом, пожалуй, ее единственный минус.
Nmap Некоммерческий сетевой сканер с открытым исходным кодом. Программа изначально разрабатывалась для пользователей UNIX, но впоследствии, благодаря возросшей популярности, была портирована на Windows. Утилита рассчитана на опытных пользователей. Nmap имеет простой и удобный интерфейс, однако разобраться в выдаваемых ею данных без базовых знаний будет непросто.
KIS 2013 Этот пакет предоставляет не только комплексную защиту, но и средства диагностики. С его помощью можно просканировать установленные программы на наличие критических уязвимостей. По итогам данной процедуры программа представит список утилит, бреши в которых нужно закрыть, при этом можно узнать подробные сведения о каждой из уязвимостей и способах ее устранения.
Советы по монтажу сети
Сделать сеть более защищенной можно не только на этапе ее разворачивания и настройки, но и когда она уже имеется. При обеспечении безопасности необходимо учитывать количество подключаемых устройств, расположение сетевого кабеля, распространение сигнала Wi-Fi и типы препятствий для него.
РАСПОЛАГАЕМ ТОЧКУ ДОСТУПА Оцените, какую территорию вам нужно ввести в зону действия Wi-Fi. Если необходимо охватить только область вашей квартиры, то не стоит размещать беспроводную точку доступа рядом с окнами. Это снизит риск перехвата и взлома слабозащищенного канала вардрайверами - людьми, охотящимися за бесплатными беспроводными точками доступа в Интернет и использующими в том числе и незаконные методы. При этом следует учитывать, что каждая бетонная стена снижает мощность сигнала вдвое. Также помните, что зеркало платяного шкафа является практически непроницаемым экраном для Wi-Fi-сигнала, что в отдельных случаях можно использовать для предотвращения распространения радиоволн в определенных направлениях в квартире. Кроме того, некоторые Wi-Fi-роутеры позволяют аппаратно настроить мощность сигнала. Благодаря этой опции вы можете искусственно обеспечить доступ только для пользователей, находящихся в помещении с точкой доступа. Недостатком такого метода является возможное отсутствие сигнала в удаленных местах вашей квартиры.
ПРОКЛАДЫВАЕМ КАБЕЛИ
Сеть, организованная преимущественно с использованием кабеля, обеспечивает наивысшие скорость и надежность связи, и при этом исключается возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi. возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi.
Чтобы избежать несанкционированного подключения, при прокладке кабельной сети позаботьтесь о защите проводов от механических повреждений, используйте специальные кабель-каналы и не допускайте участков, на которых шнур будет слишком сильно провисать или, наоборот, чрезмерно натянут. Не прокладывайте кабель рядом с источниками сильных помех или в зоне с плохой средой (критические температуры и влажность). Также вы можете использовать экранированный кабель, обладающий дополнительной защитой.
ЗАЩИЩАЕМСЯ ОТ СТИХИИ
Проводные и беспроводные сети подвержены влиянию грозы, причем в некоторых случаях удар молнии может вывести из строя не только сетевое оборудование или сетевую карту, но и множество компонентов ПК. Для уменьшения риска прежде всего не забывайте о заземлении электрических розеток и компонентов ПК. Используйте устройства типа Pilot, в которых применяются защитные схемы от помех и скачков напряжения.
Кроме того, лучшим решением может стать источник бесперебойного питания (ИБП). Современные версии включают в себя как стабилизаторы напряжения и автономное питание, так и специальные разъемы для подключения через них сетевого кабеля. Если вдруг в оборудование интернет-провайдера ударит молния, такой ИБП не пропустит вредоносный скачок напряжения в сетевую карту вашего ПК. Стоит помнить, что в любом случае заземление розеток или самого оборудования чрезвычайно важно.
Использование средств построения VPN-туннелей
Довольно надежным способом защиты передаваемой по сети информации являются VPN-туннели (Virtual Private Network). Технология туннелирования позволяет создать зашифрованный канал, по которому передаются данные между несколькими устройствами. Организация VPN с целью повышения защиты информации возможна внутри домашней сети, однако это весьма трудоемко и требует специальных знаний. Наиболее распространенный метод использования VPN - подключение к домашнему ПК извне, например с рабочего компьютера. Таким образом передаваемые между вашими машинами данные будут хорошо защищены шифрованием трафика. Для этих целей лучше использовать весьма надежную бесплатную программу Hamachi. В данном случае потребуются лишь базовые знания по организации VPN, что по силам и неподготовленному пользователю.
Введение
Актуальность этой темы заключается в том, что изменения, происходящие в экономической жизни России - создание финансово-кредитной системы, предприятий различных форм собственности и т.п. - оказывают существенное влияние на вопросы защиты информации. Долгое время в нашей стране существовала только одна собственность - государственная, поэтому информация и секреты были тоже толькогосударственные, которые охранялись мощными спецслужбами. Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программноеобеспечение и базы данных, для которых технические средства являются окружением. Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит кощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать: - целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных. - конфиденциальностьинформации и, одновременно, ее доступность для всех авторизованных пользователей. Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, всоответствии с характером и важностью решаемых ими задач.
Если компьютер подключен к локальной сети, то, потенциально, к этому компьютеру и информации в нем можно получить несанкционированный доступ из локальной сети.
Если локальную сеть соединили с другими локальными сетями, то к возможным несанкционированным пользователям добавляются и пользователи из этих удаленных сетей. Мы не будемговорить о доступности такого компьютера из сети или каналов, через которые соединили локальные сети, потому что наверняка на выходах из локальных сетей стоят устройства, осуществляющие шифрование и контроль трафика, и необходимые меры приняты.
Если компьютер подключили напрямую через провайдера к внешней сети, например через модем к Интернет, для удаленного взаимодействия со своей локальной сетью, токомпьютер и информация в нем потенциально доступны взломщикам из Интернет. А самое неприятное, что через этот компьютер возможен доступ взломщиков и к ресурсам локальной сети.
Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от НСД, либо криптографические системы на уровне конкретныхприложений, либо и то и другое вместе.
Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:
Операционные системы (ОС), особенно WINDOWS относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провестичрезвычайно трудно. В связи с чем, достоверно обосновать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, случайно или умышленно оставленных в ОС, и которыми можно было бы воспользоваться через сетевые атаки, не представляется возможным.
В многозадачной ОС, в частности WINDOWS, одновременно может работать много разных приложений,...
Правила информационной безопасности в данном случае должен соблюдать как провайдер, так и его клиент. Иными словами, существуют две точки уязвимости (на стороне клиента и на стороне провайдера), причем каждый из участников этой системы вынужден отстаивать свои интересы.
Взгляд со стороны клиента
Для ведения бизнеса в электронной среде требуются высокоскоростные каналы передачи данных, и если раньше основные деньги провайдеров делались на подключении к Internet, то сейчас клиенты предъявляют довольно жесткие требования к защищенности предлагаемых услуг.
На Западе появился целый ряд аппаратных устройств, обеспечивающих защищенное подключение к домашним сетям. Как правило, они так и называются «решениями SOHO» и совмещают в себе аппаратный межсетевой экран, концентратор с несколькими портами, DHCP-сервер и функции VPN-маршрутизатора. Например, именно по такому пути пошли разработчики Cisco PIX Firewall и WatchGuard FireBox. Программные межсетевые экраны остались только на персональном уровне, причем используются они как дополнительное средство защиты.
Разработчики аппаратных межсетевых экранов класса SOHO считают, что эти устройства должны быть простыми в управлении, «прозрачными» (то есть невидимыми) для пользователя домашней сети и соответствовать по стоимости размеру прямого ущерба от возможных действий злоумышленников. Средняя величина ущерба при успешной атаке на домашнюю сеть оценивается примерно в 500 долл.
Для защиты домашней сети можно использовать и программный межсетевой экран или попросту удалить лишние протоколы и сервисы из конфигурационных настроек. Лучший из вариантов - если провайдер протестирует несколько персональных межсетевых экранов, настроит на них свою собственную систему безопасности и обеспечит их техническое сопровождение. В частности, именно так поступает провайдер 2COM, который предлагает своим клиентам набор протестированных экранов и советы по их настройке. В простейшем случае рекомендуется объявить опасными почти все сетевые адреса, кроме адресов локального компьютера и шлюза, через который устанавливается соединение с Internet. Если программный или аппаратный экран на стороне клиента обнаружил признаки вторжения, об этом требуется незамедлительно сообщить в службу технической поддержки провайдера.
Следует отметить, что межсетевой экран защищает от внешних угроз, но не спасает от ошибок самого пользователя. Поэтому, даже если провайдер или клиент установил некую систему защиты, обе стороны все равно должны соблюдать ряд достаточно простых правил, позволяющих минимизировать вероятность нападений. Во-первых, следует оставлять как можно меньше личной информации в Internet, стараться избегать оплаты кредитными карточками или по крайней мере проверять наличие цифрового сертификата у сервера. Во-вторых, не стоит загружать из Сети и запускать на своем компьютере любые программы, особенно бесплатные. Не рекомендуется также делать локальные ресурсы доступными извне, устанавливать поддержку ненужных протоколов (таких, как IPX или SMB) или использовать настройки по умолчанию (например, скрытие расширений файлов).
Особенно опасно исполнять сценарии, прикрепленные к письмам электронной почты, а лучше вообще не пользоваться Outlook, поскольку большинство вирусов написано именно для этого почтового клиента. В некоторых случаях для работы с электронной почтой безопаснее применять службы Web-mail, поскольку вирусы, как правило, через них не распространяются. Например, провайдер 2COM предлагает бесплатный Web-сервис, позволяющий считывать информацию из внешних почтовых ящиков и загружать на локальную машину только нужные сообщения.
Провайдеры обычно не предоставляют услуги защищенного доступа. Дело в том, что уязвимость клиента зачастую зависит и от его собственных действий, поэтому в случае успешной атаки достаточно сложно доказать, кто именно допустил ошибку - клиент или провайдер. Кроме того, факт нападения еще нужно зафиксировать, а сделать это можно только с помощью проверенных и сертифицированных средств. Оценить ущерб, нанесенный взломом, тоже непросто. Как правило, определяется только его минимальное значение, характеризуемое временем на восстановление штатной работы системы.
Провайдеры могут обеспечить безопасность почтовых служб, проверяя всю входящую корреспонденцию с помощью антивирусных программ, а также блокировав все протоколы, кроме основных (Web, электронной почты, новостей, ICQ, IRC и некоторых других). Операторам не всегда удается проследить, какие события происходят во внутренних сегментах домашней сети, но, поскольку они вынуждены защищаться от внешних нападений (что согласуется и с политикой защиты пользователей), клиентам нужно взаимодействовать с их службами безопасности. Следует помнить, что провайдер не гарантирует абсолютной безопасности пользователей - он лишь преследует собственную коммерческую выгоду. Часто атаки на абонентов связаны с резким всплеском объема передаваемой им информации, на чем, собственно говоря, и зарабатывает деньги оператор. Это значит, что интересы провайдера иногда могут противоречить интересам потребителя.
Взгляд со стороны провайдера
Для провайдеров услуг домашних сетей основными проблемами являются несанкционированное подключение и большой внутренний трафик. Домашние сети часто служат для проведения игр, которые не выходят за пределы локальной сети одного жилого дома, но могут привести к блокировке целых ее сегментов. В этом случае работать в Internet становится сложно, что вызывает справедливое недовольство коммерческих клиентов.
С точки зрения финансовых затрат провайдеры заинтересованы в минимизации средств, используемых для обеспечения защиты и контроля домашней сети. Вместе с тем они не всегда могут организовать должную защиту клиента, поскольку для этого требуются определенные затраты и ограничения и со стороны пользователя. К сожалению, с этим согласны далеко не все абоненты.
Обычно домашние сети устроены следующим образом: есть центральный маршрутизатор, имеющий канал доступа в Internet, а к нему подключается разветвленная сеть квартала, дома и подъезда. Естественно, маршрутизатор выполняет функции межсетевого экрана, отделяющего домашнюю сеть от остального Internet. Он реализует несколько механизмов защиты, но наиболее часто используется трансляция адресов, которая позволяет одновременно скрыть внутреннюю инфраструктуру сети и сэкономить реальные IP-адреса провайдера.
Впрочем, некоторые провайдеры выдают своим клиентам именно реальные IP-адреса (например, так происходит в сети микрорайона «Митино», которая подключена к московскому провайдеру «МТУ-Интел»). В этом случае пользовательский компьютер становится доступным из Internet напрямую, поэтому его сложнее защитить. Неудивительно, что бремя обеспечения информационной защиты полностью ложится на абонентов, а у оператора остается единственный способ контроля за их действиями - по IP- и MAC-адресам. Однако современные Ethernet-адаптеры позволяют программно изменить оба параметра на уровне операционной системы, и провайдер оказывается беззащитным перед недобросовестным клиентом.
Конечно для некоторых приложений необходимо выделение реальных IP-адресов. Выдавать же реальный статический IP-адрес клиенту достаточно опасно, поскольку, если сервер с этим адресом будет успешно атакован, через него станет доступной и остальная часть внутренней сети.
Одним из компромиссных решений проблемы безопасного использования IP-адресов в домашней сети является внедрение технологии VPN, объединенной с механизмом динамического распределения адресов. Вкратце схема такова. От клиентской машины до маршрутизатора устанавливается кодированный туннель, задействующий по протоколу PPTP. Поскольку этот протокол поддерживается ОС Windows начиная с 95-й версии, а сейчас реализован и для других операционных систем, от клиента не требуется инсталляции дополнительного ПО - нужна лишь настройка уже инсталлированных компонентов. Когда пользователь подключается к Internet, он вначале устанавливает соединение с маршрутизатором, затем авторизуется, получает IP-адрес и только после этого может приступать к работе в Internet.
Указанный тип подключения эквивалентен обычному коммутируемому соединению с той разницей, что при его инсталлировании можно установить практически любую скорость. Работать по этой схеме будут даже вложенные подсети VPN, которые могут задействоваться для удаленного подключения клиентов к корпоративной сети. Во время каждого пользовательского сеанса провайдер динамически выделяет либо реальный, либо виртуальный IP-адрес. К слову, у 2COM реальный IP-адрес стоит на 1 долл. в месяц дороже, чем виртуальный.
Для реализации VPN-соединений 2COM разработал собственный специализированный маршрутизатор, который выполняет все перечисленные выше функции плюс тарификацию услуг. Следует отметить, что шифрование пакетов возложено не на центральный процессор, а на специализированный сопроцессор, что позволяет одновременно поддерживать до 500 виртуальных каналов VPN. Один такой криптомаршрутизатор в сети 2COM служит для подключения сразу нескольких домов.
В целом наилучшим способом защиты домашней сети является тесное взаимодействие провайдера и клиента, в рамках которого каждый имеет возможность отстаивать свои интересы. На первый взгляд методы защиты домашней сети кажутся аналогичными тем, которые используются для обеспечения корпоративной безопасности, но на самом деле это не так. В компаниях принято устанавливать достаточно жесткие правила поведения сотрудников, придерживаясь заданной политики информационной безопасности. В домашней сети такой вариант не проходит: каждому клиенту требуются свои сервисы и составить общие правила поведения удается далеко не всегда. Следовательно, построить надежную систему защиты домашней сети гораздо сложнее, чем обеспечить безопасность корпоративной сети.
ПНСТ301-2018/ИСО/МЭК 24767-1:2008
ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙФЕДЕРАЦИИ
Информационные технологии
БЕЗОПАСНОСТЬ ДОМАШНЕЙ СЕТИ
Требования безопасности
Information technology. Home network security. Part 1.Security requirements
ОКС 35.110, 35.200,35.240.99
Срокдействия с 2019-02-01
Предисловие
Предисловие
1ПОДГОТОВЛЕН Федеральным государственным бюджетным образовательнымучреждением высшего образования "Российский экономическийуниверситет им.Г.В.Плеханова" (ФГБОУ ВО "РЭУ им.Г.В.Плеханова") наоснове собственного перевода на русский язык англоязычной версиимеждународного стандарта, указанного в пункте 4
2ВНЕСЕН Техническим комитетом по стандартизации ТК 22"Информационные технологии"
3УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства потехническому регулированию и метрологии от 4 сентября 2018 г. N38-пнст
4Настоящий стандарт идентичен международному стандарту ИСО/МЭК24767-1:2008* "Информационные технологии. Безопасность домашнейсети. Часть 1. Требования безопасности" (ISO/IEC 24767-1:2008,"Information technology - Home network security - Part 1: Securityrequirements", IDT)
________________
*Доступ к международным и зарубежным документам, упомянутым здесь идалее по тексту, можно получить, перейдя по ссылке на сайт. - Примечаниеизготовителя базы данных.
Правила применениянастоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и6).
Федеральное агентствопо техническому регулированию и метрологии собирает сведения опрактическом применении настоящего стандарта. Данные сведения, атакже замечания и предложения по содержанию стандарта можнонаправить не позднее чем за 4 мес до истечения срокаего действия разработчику настоящего стандарта по адресу: 117997Москва, Стремянный переулок, д.36, ФГБОУ ВО "РЭУ им.Г.В.Плеханова " и в Федеральное агентство потехническому регулированию и метрологии по адресу: 109074Москва, Китайгородский проезд, д.7, стр.1.
В случае отменынастоящего стандарта соответствующая информация будет опубликованав ежемесячном информационном указателе "Национальные стандарты" итакже будет размещена на официальном сайте Федерального агентствапо техническому регулированию и метрологии в сети Интернет(www.gost.ru )
Введение
ИСО (Международнаяорганизация по стандартизации) и МЭК (Международнаяэлектротехническая комиссия) образуют специализированную системувсемирной стандартизации. Государственные органы, являющиесячленами ИСО или МЭК, участвуют в разработке международныхстандартов посредством технических комитетов. Участие в разработкестандарта в конкретной области может принять любой заинтересованныйорган, являющийся членом ИСО или МЭК. Другие международныеорганизации, правительственные и неправительственные,контактирующие с ИСО и МЭК, также принимают участие в работе.
Вобласти информационных технологий ИСО и МЭК учредили Объединенныйтехнический комитет ИСО/МЭК СТК 1. Проекты международныхстандартов, подготовленные Объединенным техническим комитетом,рассылаются национальным комитетам на голосование. Публикация вкачестве международного стандарта требует утверждения не менее чем75% национальных комитетов, участвующих в голосовании.
Официальные решения илисоглашения МЭК и ИСО по техническим вопросам выражают, насколькоэто возможно, международное согласованное мнение по относящимся кделу вопросам, так как каждый технический комитет имеетпредставителей от всех заинтересованных национальных комитетов -членов МЭК и ИСО.
Публикации МЭК, ИСО иИСО/МЭК имеют форму рекомендаций для международного использования ипринимаются национальными комитетами - членами МЭК и ИСО именно втаком понимании. Несмотря на все приложенные усилия для обеспеченияточности технического содержания публикаций МЭК, ИСО и ИСО/МЭК, МЭКили ИСО не несут ответственности за то, каким образом онииспользуются или за их неправильную трактовку конечнымпользователем.
Вцелях обеспечения международной унификации (единой системы)национальные комитеты МЭК и ИСО обязуются обеспечить максимальнуюпрозрачность применения международных стандартов МЭК, ИСО иИСО/МЭК, насколько это позволяют государственные и региональныеусловия данной страны. Любое расхождение между публикациями ИСО/МЭКи соответствующими национальными или региональными стандартамидолжно быть четко обозначено в последних.
ИСО и МЭК непредусматривают процедуры маркировки и не несут ответственности залюбое оборудование, заявленное на соответствие одному из стандартовИСО/МЭК.
Все пользователи должныудостовериться в использовании последнего издания настоящейпубликации.
МЭК или ИСО, ихруководство, сотрудники, служащие или представители, включаяотдельных экспертов и членов их технических комитетов, а такжечлены национальных комитетов МЭК или ИСО не несут ответственностиза несчастные случаи, материальный ущерб или иной нанесенный ущерб,прямой или косвенный, или за затраты (включая судебные издержки),понесенные в связи с публикацией или вследствие использованиянастоящей публикации ИСО/МЭК или другой публикации МЭК, ИСО илиИСО/МЭК.
Особого внимания требуетнормативная документация, цитируемая в настоящей публикации.Использование ссылочных документов необходимо для правильногоприменения настоящей публикации.
Обращается внимание нато, что некоторые элементы настоящего международного стандартамогут быть объектом патентных прав. ИСО и МЭК не несутответственности за определение какого-либо или всех таких патентныхправ.
Международный стандартИСО/МЭК 24767-1 был разработан Подкомитетом 25 "Взаимосвязьоборудования информационных технологий" Объединенного техническогокомитета ИСО/МЭК 1 "Информационные технологии".
Перечень всех имеющихся внастоящее время частей серии ISO/МЭК 24767 под общим названием"Информационные технологии. Безопасность домашней сети" представленна сайте МЭК.
1Область применения
Настоящий стандартопределяет требования к защите домашней сети от внутренних иливнешних угроз. Стандарт служит основанием для разработки систембезопасности, защищающих внутреннюю среду от различных угроз.
Требования безопасностирассматриваются в настоящем стандарте относительно неформально.Несмотря на то, что многие вопросы, рассмотренные в настоящемстандарте, служат руководством по разработке систем безопасностикак внутренней сети, так и сети Интернет, они носят характернеофициальных требований.
Квнутренней (домашней) сети подключены различные устройства (см.рисунок 1). Устройства "сети бытовых приборов", "развлекательныеаудио-/видео-" устройства и устройства для работы с"информационными приложениями" имеют различные функции и рабочиехарактеристики. Настоящий стандарт содержит средства для анализарисков по каждому подключенному к сети устройству и определениятребований безопасности для каждого устройства.
2Термины, определения и сокращения
2.1Термины и определения
Внастоящем стандарте применены следующие термины и определения:
2.1.1 бытоваяэлектроника (brown goods): Аудио-/видеоустройства, которые восновном используются в развлекательных целях, например телевизорили DVD-рекордер.
2.1.2конфиденциальность (confidentiality): Свойство,обеспечивающее недоступность и неразглашение информациинеуполномоченным лицам, организациям или процессам.
2.1.3 аутентификацияданных (data authentication): Служба, используемая дляобеспечения корректной верификации заявленного источникаданных.
2.1.4 целостностьданных (data integrity): Свойство, подтверждающее, что данныене были изменены или уничтожены неразрешенным образом.
2.1.5 аутентификацияпользователя (user authentication): Сервис для обеспечениякорректной проверки идентификационной информации, представленнойучастником коммуникации, при том что служба авторизацииобеспечивает доступ идентифицированного и авторизованногопользователя к конкретному устройству или приложению домашнейсети.
2.1.6 бытоваятехника (white goods): Устройства, применяемые в повседневномобиходе, например кондиционер, холодильник и т.д.
2.2Сокращения
Внастоящем стандарте использованы следующие сокращения:
3Соответствие
Внастоящем стандарте содержатся методические указания без каких-либотребований соответствия.
4Требования безопасности внутренних домашних электронных систем исетей
4.1Общие положения
Сбыстрым развитием Интернета и связанных с ним сетевых технологийпоявилась возможность установки связи между компьютерами в офисах идомах с внешним миром, что обеспечивает доступ ко множествуресурсов. Сегодня технологии, которые стали основой этого успеха,достигли наших домов и обеспечивают возможность подключенияприборов так же, как и персональных компьютеров. Таким образом, онине только позволяют пользователям отслеживать и контролировать своибытовые приборы, находясь как внутри, так и вне дома, но исоздавать новые сервисы и возможности, например удаленноеуправление бытовой техникой и ее обслуживание. Это означает, чтообычная компьютерная среда дома преобразуется во внутреннююдомашнюю сеть, объединяющую множество устройств, безопасностькоторых также будет необходимо обеспечить.
Необходимо, чтобы жильцы,пользователи и владельцы как дома, так и системы, доверяли домашнейэлектронной системе. Цель безопасности домашней электронной системы- обеспечение доверия к системе. Поскольку многие компонентыдомашней электронной системы находятся в работе непрерывно, 24 часав день, и автоматически обмениваются информацией с внешним миром,информационная безопасность необходима для обеспеченияконфиденциальности, целостности и доступности данных и системы.Надлежащим образом реализованное решение по безопасностиподразумевает, например, что доступ к системе и сохраненным,поступающим и исходящим данным получают только авторизованныепользователи и процессы, и что пользоваться системой и вносить внее изменения могут только авторизованные пользователи.
Требования безопасностидля сети HES могут быть описаны несколькими способами. Этотстандарт ограничен ИТ-безопасностью сети HES. Тем не менее,безопасность информационных технологий должна выходить за рамкисамой системы, поскольку дом должен функционировать, хотя и сограниченными возможностями, в случае отказа ИТ-системы.Интеллектуальные функции, которые обычно поддерживаются сетью HES,могут выполняться также при разрыве связей системы. В таких случаяхможно понять, что существуют требования безопасности, которые немогут быть частью самой системы, но при этом система не должназапрещать реализацию резервных решений.
Существует ряд лиц,заинтересованных в вопросах безопасности. Домашней электроннойсистеме должны доверять не только жители и владельцы, но ипровайдеры услуг и контента. Последние должны быть уверены, чтопредлагаемые ими услуги и контент используются только разрешеннымспособом. Однако одной из основ безопасности системы является то,что отвечать за нее должен конкретный администратор службыбезопасности. Очевидно, что такая ответственность должна бытьвозложена на жителей (владельцев системы). Не имеет значения,занимается ли этим администратор лично или отдает на аутсорсинг. Влюбом случае ответственность несет администратор системыбезопасности. Вопрос доверия провайдеров услуг и контента кдомашней электронной системе и их уверенности в том, чтопользователи применяют их услуги и контент надлежащим образом,определяется договорными обязательствами между сторонами. Вдоговоре, например, могут быть перечислены функции, компоненты илипроцессы, которые должна поддерживать домашняя электроннаясистема.
Архитектура домашнейэлектронной системы различна для разных видов домов. Для любоймодели может существовать свой определенный набор требованийбезопасности. Ниже приведено описание трех различных моделейдомашних электронных систем с различными наборами требованийбезопасности.
Очевидно, что некоторыетребования безопасности более важны, чем остальные. Таким образом,понятно, что поддержка некоторых мер противодействия будетопциональной. Кроме того, меры противодействия могут различаться покачеству и стоимости. Также для управления и поддержания таких мерпротиводействия могут потребоваться различные навыки. В данномстандарте сделана попытка разъяснить мотивы перечисленныхтребований безопасности и тем самым позволить разработчикамдомашней электронной системы определить, какие функции безопасностидолжна поддерживать конкретная домашняя система, а также, с учетомтребований по качеству и усилий по обеспечению управления иобслуживания, какой механизм следует выбрать для таких функций.
Требования безопасностивнутренней сети зависят от определения безопасности и "дома", атакже от того, что понимается под "сетью" в этом доме. Если сеть -это просто канал, соединяющий отдельный ПК с принтером иликабельным модемом, то для обеспечения безопасности домашней сетидостаточно обеспечить безопасность этого канала и оборудования,которое он соединяет.
Однако если в доменаходятся десятки, если не сотни, объединенных в сеть устройств,при этом некоторые из них относятся к домохозяйству в целом, анекоторые принадлежат находящимся в доме людям, понадобитсяпредусмотреть более сложные меры безопасности.
4.2Безопасность домашней электронной системы
4.2.1 Определениедомашней электронной системы и безопасности системы
Домашнюю электроннуюсистему и сеть можно определить как набор элементов, которыеобрабатывают, передают и хранят информацию, а также управляют ею,обеспечивая связь и интеграцию множества компьютерных устройств, атакже устройств управления, контроля и связи, находящихся вдоме.
Кроме того, домашниеэлектронные системы и сети обеспечивают взаимосвязь развлекательныхи информационных устройств, а также приборов связи и безопасности,и имеющейся в доме бытовой техники. Такие устройства и приборыбудут обмениваться информацией, ими можно управлять иконтролировать их, находясь в доме, либо удаленно. Соответственно,для всех внутренних домашних сетей потребуются определенныемеханизмы безопасности, защищающие их повседневную работу.
Безопасность сети иинформации можно понимать как способность сети или информационнойсистемы на определенном уровне противостоять случайным событиям илизлонамеренным действиям. Такие события или действия могут поставитьпод угрозу доступность, аутентичность, подлинность иконфиденциальность сохраненных или переданных данных, а такжесвязанных с ними сервисов, предлагаемых через такие сети исистемы.
Инциденты информационнойбезопасности можно объединить в следующие группы:
Электронное сообщение может быть перехвачено, данные могут бытьскопированы или изменены. Это может стать причиной ущерба,причиненного как путем нарушения права личности наконфиденциальность, так и путем злоупотребления перехваченнымиданными;
Несанкционированный доступ к компьютеру и внутренним компьютернымсетям обычно выполняется со злым умыслом на копирование, изменениеили уничтожение данных и может распространяться на автоматическоеоборудование и системы, находящиеся в доме;
Вредоносные атаки в сети Интернет стали вполне обычным явлением, ав будущем более уязвимой может также стать телефонная сеть;
Вредоносное программное обеспечение, такое как вирусы, можетвыводить из строя компьютеры, удалять или изменять данные, либоперепрограммировать бытовую технику. Некоторые атаки вирусов быливесьма разрушительными и дорогостоящими;
Искажение информации о физических или юридических лицах может статьпричиной значительного ущерба, например клиенты могут скачатьвредоносное программное обеспечение с веб-сайта, маскирующегося поддоверенный источник, могут быть расторгнуты контракты, аконфиденциальная информация может быть направлена ненадлежащимполучателям;
Многие инциденты информационной безопасности связаны снепредусмотренными и непреднамеренными событиями, напримерстихийными бедствиями (наводнениями, штормами и землетрясениями),отказами аппаратного или программного обеспечения, а также счеловеческим фактором.
Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника - холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы - это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.
К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться - в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто - там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа - соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования - чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции - вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих - несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN - виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию - вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов - скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход - дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все - функциональные возможности встроенного софта у них, повторимся, очень разные.
