Suojaamme reitittimen ja kotiverkon. No, kuinka suojata älypuhelimet ja tabletit? Palveluntarjoajan näkökulma
Suurin uhka tietojesi turvallisuudelle on World Wide Web. Kuinka tarjota luotettava suoja kotiverkko?
Käyttäjät uskovat usein virheellisesti, että tavallinen virustorjunta riittää suojaamaan Internetiin kytketyn kotitietokoneen. Myös reitittimien laatikoissa olevat merkinnät ovat harhaanjohtavia, sillä nämä laitteet toteuttavat laitteistotasolla tehokkaan palomuurin, joka voi suojata hakkerihyökkäykset. Nämä väitteet ovat vain osittain totta. Ensinnäkin molemmat työkalut vaativat oikean konfiguroinnin. Monissa virustentorjuntapaketeissa ei kuitenkaan yksinkertaisesti ole sellaista ominaisuutta kuin palomuuri.
Samaan aikaan pätevä suojan rakentaminen alkaa jo Internet-yhteydestä. Nykyaikaiset kotiverkot käyttävät tyypillisesti Wi-Fi-reitittimiä Ethernet-kaapeliyhteydellä. Heillä on pääsy Internetiin paikallisen verkon kautta pöytätietokoneet sekä kannettavat tietokoneet, älypuhelimet ja tabletit. Lisäksi yhdessä paketissa on sekä itse tietokoneet että oheislaitteet, kuten tulostimet ja skannerit, joista monet on kytketty verkon kautta.
Hakkeroimalla tukiasemaasi, hyökkääjä ei voi vain käyttää Internet-yhteyttäsi ja hallita kodin tietokoneen laitteita, vaan myös sijoittaa Maailman laajuinen verkko laitonta sisältöä käyttämällä IP-osoitettasi sekä varastaa verkkoon kytkettyihin laitteisiin tallennettuja tietoja. Tänään puhumme perussäännöistä verkkojen suojaamiseksi, niiden toimivuuden ylläpitämiseksi ja hakkeroinnin estämiseksi.
Laitteisto
Useimmat nykyaikaiset verkkolaitteet vaativat suojausominaisuuksien määrittämistä. Ensinnäkin me puhumme erilaisista suodattimista, palomuurista ja ajoitetuista käyttöoikeusluetteloista. Kouluttamaton käyttäjä voi asettaa suojausparametrit, mutta sinun tulee tietää joitakin vivahteita.
KÄYTÄMME LIIKENNESALAUSTA Kun määrität tukiasemaa, varmista, että otat käyttöön tehokkaimmat liikenteen suojausmekanismit, luo monimutkainen, merkityksetön salasana ja käytä WPA2-protokollaa AES-salausalgoritmilla. WEP on vanhentunut ja se voidaan murtaa muutamassa minuutissa.
MUUTTAMME TILINPÄÄTÖSTIEDOTESI Säännöllisesti Aseta vahvat pääsysalasanat ja vaihda ne säännöllisesti (esimerkiksi kuuden kuukauden välein). Helpoin tapa hakkeroida laite, johon käyttäjä on jättänyt tavallisen kirjautumistunnuksen ja salasanan “admin”/”admin”.
PIILOTTAVA SSID SSID (Service Set Identifier) -parametri on julkinen nimi langaton verkko, joka lähetetään langattomasti, jotta käyttäjälaitteet voivat nähdä sen. SSID:n piilottaminen suojaa sinua aloittelevilta hakkereilta, mutta uusien laitteiden yhdistämiseksi sinun on syötettävä tukiaseman parametrit manuaalisesti.
NEUVOT Kun määrität tukiaseman ensimmäistä kertaa, vaihda SSID, koska tämä nimi kuvastaa reitittimen mallia, mikä voi toimia vihjeenä hyökkääjälle haavoittuvuuksia etsiessään.
SISÄLLÄN PALOMUURIN MÄÄRITTÄMINEN Reitittimet on useimmissa tapauksissa varustettu yksinkertaisilla palomuuriversioilla. Niiden avulla ei ole mahdollista määrittää perusteellisesti monia suojatun työn sääntöjä verkossa, mutta voit peittää tärkeimmät haavoittuvuudet tai esimerkiksi kieltää sähköpostiohjelmien toiminnan.
PÄÄSYRAJOITUS MAC-OSOITELLA Käyttämällä MAC-osoiteluetteloita (Media Access Control) voit estää pääsyn paikallisverkkoon niiltä laitteilta, joiden fyysiset osoitteet eivät sisälly luetteloon. Tätä varten sinun on luotava manuaalisesti luettelot verkossa sallituista laitteista. Jokainen laite on varustettu verkkoliitäntä, sille on tehtaalla määritetty yksilöllinen MAC-osoite. Se voidaan tunnistaa katsomalla tarraa tai merkintöjä laitteessa tai käyttämällä erityisiä komentoja ja verkkoskannereita. Jos käytössä on verkkokäyttöliittymä tai näyttö (esimerkiksi reitittimet ja verkkotulostimet) Löydät MAC-osoitteen asetusvalikosta.
Tietokoneesi verkkokortin MAC-osoite löytyy sen ominaisuuksista. Voit tehdä tämän siirtymällä valikkoon "Ohjauspaneeli | Verkot ja Internet | Verkon ohjauskeskus ja jaettu pääsy", napsauta sitten ikkunan vasemmassa osassa linkkiä "Muuta sovittimen asetuksia", napsauta hiiren kakkospainikkeella käytettävää verkkokorttia ja valitse "Tila". Avautuvassa ikkunassa sinun on napsautettava "Tiedot" -painiketta ja katsottava "Physical Address" -riviä, jossa näkyy kuusi numeroparia, jotka osoittavat verkkokorttisi MAC-osoitteen.
Siellä on lisää nopea tapa. Käyttääksesi sitä, paina näppäinyhdistelmää "Win + R", kirjoita CMD näkyviin tulevalle riville ja napsauta "OK". Kirjoita avautuvaan ikkunaan komento:
Paina Enter". Etsi näytetyistä tiedoista rivit "Physical Address" - tämä arvo on MAC-osoite.
Kun verkko on suojattu fyysisesti, on tarpeen huolehtia "puolustuksen" ohjelmistoosasta. Kattavat virustorjuntapaketit auttavat sinua tässä, palomuurit ja haavoittuvuusskannerit.
KANSIJOIHIN KÄYTÖN MÄÄRITTÄMINENÄlä sijoita kansioita, joissa on järjestelmätietoja tai vain tärkeitä tietoja, hakemistoihin, jotka ovat sisäisen verkon käyttäjien käytettävissä. Älä myöskään luo järjestelmäasemaan kansioita, joihin pääsee verkosta. Jos erityistä tarvetta ei ole, on parempi rajoittaa kaikki tällaiset hakemistot "Vain luku" -attribuutilla. Muuten jaettuun kansioon voi asettua asiakirjoiksi naamioitu virus.
Palomuurin ASENNUS Ohjelmistopalomuurit on yleensä helppo määrittää, ja niissä on itseoppiva tila. Sitä käytettäessä ohjelma kysyy käyttäjältä, mitkä yhteydet hän hyväksyy ja mitkä hän pitää tarpeellisena kieltää.
Suosittelemme käyttämään henkilökohtaisia palomuureja, jotka on rakennettu suosittuihin kaupallisiin tuotteisiin, kuten Kaspersky Internet Security, Norton internet Security, NOD Internet Turvallisuus, sekä ilmaisia ratkaisuja - esimerkiksi Comodo Firewall. Tavallinen Windowsin palomuuri ei valitettavasti voi ylpeillä luotettavalla suojauksella, sillä se tarjoaa vain perusporttiasetukset.
Haavoittuvuustesti
Suurin vaara tietokoneen ja verkon toimivuudelle ovat "aukkoja" sisältävät ohjelmat ja väärin konfiguroidut turvatoimenpiteet.
XSpider Helppokäyttöinen ohjelma verkon haavoittuvuuksien tarkistamiseen. Sen avulla voit nopeasti tunnistaa useimmat ajankohtaiset ongelmat ja antaa myös niiden kuvauksen ja joissakin tapauksissa ratkaisut. Valitettavasti apuohjelma tuli maksulliseksi jokin aika sitten, ja tämä on ehkä sen ainoa haittapuoli.
Nmap Voittoa tavoittelematon verkkoskanneri avoimella lähdekoodi. Ohjelma kehitettiin alun perin UNIX-käyttäjille, mutta myöhemmin sen lisääntyneen suosion vuoksi se siirrettiin Windowsiin. Apuohjelma on suunniteltu kokeneille käyttäjille. Nmapilla on yksinkertainen ja käyttäjäystävällinen käyttöliittymä, mutta sen tuottaman tiedon ymmärtäminen ilman perustietoa ei ole helppoa.
KIS 2013 Tämä paketti tarjoaa kattavan suojan lisäksi myös diagnostiikkatyökaluja. Voit käyttää sitä skannaamiseen asennetut ohjelmat kriittisten haavoittuvuuksien vuoksi. Tämän toimenpiteen seurauksena ohjelma näyttää luettelon apuohjelmista, joissa aukot on suljettava, ja voit saada yksityiskohtaista tietoa kustakin haavoittuvuudesta ja sen korjaamisesta.
Vinkkejä verkon asentamiseen
Voit tehdä verkkostasi turvallisemman paitsi sen käyttöönotto- ja konfigurointivaiheessa, myös silloin, kun se on jo olemassa. Turvallisuutta varmistaessasi sinun on otettava huomioon liitettyjen laitteiden määrä, verkkokaapelin sijainti, Wi-Fi-signaalin jakautuminen ja sen esteiden tyypit.
TUKISPISTEEN SIJOITTAMINEN Arvioi, kuinka paljon aluetta sinun on tuotava Wi-Fi-alueen sisälle. Jos sinun on katettava vain alue asunnostasi, sinun ei pitäisi sijoittaa langatonta tukiasemaa ikkunoiden lähelle. Tämä vähentää heikosti suojatun kanavan sieppaamisen ja hakkeroinnin riskiä vartijat – ihmiset, jotka etsivät ilmaisia langattomia Internet-yhteyspisteitä ja käyttävät myös laittomia menetelmiä. On otettava huomioon, että jokainen betoniseinä vähentää signaalin tehoa puoleen. Muista myös, että vaatekaapin peili on lähes läpäisemätön näyttö Wi-Fi-signaalille, jota joissain tapauksissa voidaan käyttää estämään radioaaltojen eteneminen tiettyihin suuntiin asunnossa. Lisäksi joidenkin Wi-Fi-reitittimien avulla voit määrittää signaalin voimakkuuden laitteistossa. Tällä vaihtoehdolla voit keinotekoisesti varmistaa pääsyn vain käyttäjille, jotka sijaitsevat huoneessa, jossa on tukiasema. Tämän menetelmän haittana on signaalin mahdollinen puute asuntosi syrjäisillä alueilla.
KAAPELIEN ASENNUS Pääasiassa kaapelilla järjestetty verkko tarjoaa nopeimman ja luotettavimman tiedonsiirron samalla, kun se eliminoi mahdollisuuden, että joku häiritsee sitä, kuten voi tapahtua Wi-Fi-yhteydellä. mahdollisuus kiilautua siihen ulkopuolelta, kuten voi tapahtua Wi-Fi-yhteydellä.
Luvattomien kytkentöjen välttämiseksi kaapeliverkkoa asetettaessa tulee suojata johdot mekaanisilta vaurioilta, käyttää erityisiä kaapelikanavia ja välttää alueita, joissa johto roikkuu liikaa tai päinvastoin on liian jännittynyt. Älä aseta kaapelia voimakkaiden häiriölähteiden lähelle tai alueelle, jossa on huonot ympäristöolosuhteet (kriittiset lämpötilat ja kosteus). Voit myös käyttää suojattua kaapelia lisäsuojaksi.
SUOJAA ELEMENTEILTÄ Langalliset ja langattomat verkot ovat herkkiä ukkosmyrskyjen vaikutuksille, ja joissain tapauksissa salamanisku voi vahingoittaa muutakin kuin vain verkkolaitteita tai verkkokortti, mutta myös monet PC-komponentit. Riskin vähentämiseksi muista ensin maadoittaa pistorasiat ja PC-komponentit. Käytä pilottityyppisiä laitteita, jotka käyttävät suojapiirit häiriöistä ja virtapiikkeistä.
Sitä paitsi, paras ratkaisu voi tulla lähde katkeamaton virtalähde(UPS). Nykyaikaiset versiot sisältävät sekä jännitteen stabiloijat että autonomisen virtalähteen sekä erityiset liittimet verkkokaapelin kytkemiseksi niiden läpi. Jos salama iskee yllättäen Internet-palveluntarjoajan laitteisiin, tällainen UPS ei päästä haitallista virtapiikkiä tietokoneesi verkkokorttiin. On syytä muistaa, että joka tapauksessa maadoitus pistorasiat tai itse laitteet ovat erittäin tärkeitä.
VPN-tunnelin rakennustyökalujen käyttäminen
Melko luotettava tapa suojata verkon kautta siirrettyä tietoa ovat VPN-tunnelit (Virtual Private Network). Tunnelointitekniikan avulla voit luoda salatun kanavan, jonka kautta tietoja siirretään useiden laitteiden välillä. VPN:n järjestäminen tietoturvan parantamiseksi on mahdollista kotiverkossa, mutta se on erittäin työvoimavaltaista ja vaatii erityisosaamista. Yleisin tapa käyttää VPN:ää on muodostaa yhteys kotitietokoneeseen ulkopuolelta, esimerkiksi työtietokoneelta. Siten koneiden välillä siirrettävät tiedot ovat hyvin suojattuja liikenteen salauksella. Näihin tarkoituksiin on parempi käyttää erittäin luotettavaa ilmaista Hamachi ohjelma. Tässä tapauksessa vaaditaan vain perustiedot VPN:n järjestämisestä, mikä on kouluttamattoman käyttäjän kykyjä.
Johdanto
Tämän aiheen merkitys piilee siinä, että Venäjän talouselämässä tapahtuvat muutokset - rahoitus- ja luottojärjestelmän luominen, erilaisten omistusmuotojen yritykset jne. - vaikuttaa merkittävästi tietoturvakysymyksiin. Pitkään maassamme oli vain yksi omaisuus - valtion omaisuus, joten tiedot ja salaisuudet olivat myös vain valtion omaisuutta, jota suojelivat voimakkaat erikoispalvelut. Ongelmia tietoturva Tietojenkäsittelyn ja tiedonsiirron teknisten keinojen ja ennen kaikkea tietokonejärjestelmien tunkeutuminen lähes kaikille yhteiskunnallisen toiminnan aloille pahentaa jatkuvasti. Hyökkäysten kohteet voivat olla itsekin teknisiä keinoja(tietokoneet ja oheislaitteet) aineellisina esineinä, ohjelmistoina ja tietokantoina, joiden tekniset välineet ovat ympäristö. Jokainen tietokoneverkon vika ei ole vain "moraalinen" vahinko yrityksen työntekijöille ja verkonvalvojille. Sähköisten maksutekniikoiden, "paperittoman" asiakirjavirran ja muiden kehittyessä paikallisten verkkojen vakava vika voi yksinkertaisesti halvaannuttaa kokonaisten yritysten ja pankkien työn, mikä johtaa merkittäviin aineellisiin menetyksiin. Ei ole sattumaa, että tietosuoja on otettu käyttöön Tietokoneverkot on tulossa yhdeksi nykyajan tietojenkäsittelytieteen kiireellisimmistä ongelmista. Tähän mennessä on muotoiltu kaksi tietoturvan perusperiaatetta, joiden tulee varmistaa: - tietojen eheys - suojaus tiedon menettämiseen johtavilta epäonnistumisilta sekä tietojen luvattomalta luomiselta tai tuhoamiselta. - tietojen luottamuksellisuus ja samalla niiden saatavuus kaikille valtuutetuille käyttäjille. On myös huomattava, että tietyt toiminta-alat (pankki- ja rahoituslaitokset, tietoverkot, järjestelmät hallituksen hallinnassa, puolustus- ja erikoisrakenteet) edellyttävät erityisiä tietoturvatoimenpiteitä ja asettavat lisääntyviä vaatimuksia toimintavarmuudelle tietojärjestelmä tehtävien luonteen ja tärkeyden mukaisesti.
Jos tietokone on kytketty paikalliseen verkkoon, luvattomat henkilöt voivat päästä käsiksi tähän tietokoneeseen ja sen tietoihin lähiverkosta.
Jos paikallinen verkko on yhdistetty muihin paikallisiin verkkoihin, näiden käyttäjät lisätään mahdollisten luvattomien käyttäjien luetteloon. etäverkot. Emme puhu tällaisen tietokoneen saavutettavuudesta verkosta tai kanavista, joiden kautta paikalliset verkot on kytketty, koska paikallisten verkkojen ulostuloissa on todennäköisesti laitteita, jotka salaavat ja ohjaavat liikennettä, ja tarvittavat toimenpiteet on tehty.
Jos tietokone on kytketty suoraan palveluntarjoajan kautta ulkoiseen verkkoon, esimerkiksi modeemin kautta Internetiin, etävuorovaikutusta varten paikallisen verkkonsa kanssa, tietokone ja siinä olevat tiedot ovat mahdollisesti Internetin hakkereiden käytettävissä. Ja epämiellyttävin asia on, että tämän tietokoneen kautta hakkerit voivat käyttää myös paikallisia verkkoresursseja.
Luonnollisesti myös kaikille sellaisille yhteyksille säännöllisin keinoin käyttöjärjestelmän kulunvalvonta tai erityiset suojakeinot luvatonta pääsyä vastaan tai salausjärjestelmät tiettyjen sovellusten tasolla tai molemmat.
Kaikki nämä toimenpiteet eivät kuitenkaan valitettavasti voi taata haluttua turvallisuutta verkkohyökkäysten aikana, ja tämä selittyy seuraavista tärkeimmistä syistä:
Käyttöjärjestelmät (OS), erityisesti WINDOWS, ovat ohjelmistotuotteet erittäin monimutkainen, jonka luomisesta vastaavat suuret kehittäjätiimit. Näiden järjestelmien yksityiskohtainen analyysi on erittäin vaikeaa. Tässä yhteydessä ei ole mahdollista luotettavasti perustella niille vakioominaisuuksien, virheiden tai dokumentoimattomien ominaisuuksien puuttumista, jotka on vahingossa tai tarkoituksella jätetty käyttöjärjestelmään ja joita voitaisiin käyttää verkkohyökkäyksillä.
Moniajokäyttöjärjestelmässä, erityisesti WINDOWSissa, useita eri sovelluksia voi toimia samanaikaisesti...
Tällöin sekä palveluntarjoajan että sen asiakkaan tulee noudattaa tietoturvasääntöjä. Toisin sanoen haavoittuvuuskohtaa on kaksi (asiakkaan ja palveluntarjoajan puolella), ja jokainen tämän järjestelmän osallistuja on pakotettu puolustamaan etujaan.
Näkymä asiakkaan puolelta
Sähköisessä ympäristössä asioiminen vaatii nopeita tiedonsiirtokanavia, ja jos aiemmin palveluntarjoajien pääraha tehtiin Internetiin liittymisestä, niin nyt asiakkaille asetetaan melko tiukat vaatimukset tarjottavien palveluiden turvallisuudelle.
Lännessä on ilmestynyt useita laitteita, jotka tarjoavat turvalliset yhteydet kotiverkkoihin. Pääsääntöisesti niitä kutsutaan "SOHO-ratkaisuiksi" ja ne yhdistävät laitteiston palomuurin, usean portin keskittimen, DHCP-palvelimen ja VPN-reitittimen toiminnot. Tämä on esimerkiksi Cisco PIX Firewallin ja WatchGuard FireBoxin kehittäjien polku. Ohjelmistopalomuurit säilyvät vain henkilökohtaisella tasolla, ja niitä käytetään lisäsuojana.
SOHO-luokan laitteistopalomuurien kehittäjät uskovat, että näiden laitteiden tulee olla helposti hallittavia, "läpinäkyviä" (eli näkymättömiä) kotiverkon käyttäjälle ja vastattava kustannuksiltaan suorien vahinkojen määrää. mahdollisia toimia tunkeilijat. Keskimääräinen vahinko onnistuneelle hyökkäykselle kotiverkko arviolta noin 500 dollaria.
Kotiverkkosi suojaamiseksi voit käyttää ohjelmistopalomuuria tai yksinkertaisesti poistaa tarpeettomat protokollat ja palvelut kokoonpanoasetuksista. Paras vaihtoehto on, että palveluntarjoaja testaa useita henkilökohtaisia palomuureja, määrittää niille oman suojausjärjestelmän ja tarjoaa niille teknistä tukea. Erityisesti näin tekee 2COM-palveluntarjoaja, joka tarjoaa asiakkailleen joukon testattuja näyttöjä ja vinkkejä niiden määrittämiseen. Yksinkertaisimmassa tapauksessa on suositeltavaa julistaa vaarallisiksi melkein kaikki verkko-osoitteet paitsi osoitteet paikallinen tietokone ja yhdyskäytävä, jonka kautta Internet-yhteys muodostetaan. Jos asiakaspuolen ohjelmisto- tai laitteistonäyttö havaitsee tunkeutumisen merkkejä, siitä on ilmoitettava välittömästi palveluun tekninen tuki tarjoaja.
On huomattava, että palomuuri suojaa ulkoisilta uhilta, mutta ei suojaa käyttäjän virheiltä. Siksi, vaikka palveluntarjoaja tai asiakas olisi asentanut jonkinlaisen turvajärjestelmän, molempien osapuolten on silti noudatettava useita melko yksinkertaisia sääntöjä hyökkäysten todennäköisyyden minimoimiseksi. Ensin kannattaa jättää mahdollisimman vähän henkilökohtaisia tietoja Internetiin, yrittää välttää luottokortilla maksamista tai ainakin tarkistaa, että palvelimella on digitaalinen varmenne. Toiseksi, sinun ei pitäisi ladata Internetistä ja suorittaa tietokoneellasi ohjelmia, etenkään ilmaisia. Ei myöskään ole suositeltavaa asettaa paikallisia resursseja saataville ulkoisesti, asentaa tukea tarpeettomille protokollille (kuten IPX tai SMB) tai käyttää oletusasetuksia (esimerkiksi piilottaa tiedostotunnisteet).
Erityisen vaarallista on suorittaa kirjaimiin liitettyjä skriptejä Sähköposti, mutta on parempi olla käyttämättä Outlookia ollenkaan, koska useimmat virukset on kirjoitettu erityisesti tätä sähköpostiohjelmaa varten. Joissain tapauksissa sähköpostin kanssa työskentelyyn on turvallisempaa käyttää Web-sähköpostipalveluita, koska virukset eivät pääsääntöisesti leviä niiden kautta. Esimerkiksi 2COM-palveluntarjoaja tarjoaa ilmaisen verkkopalvelun, jonka avulla voit lukea tietoja ulkopuolelta postilaatikoita ja lataa osoitteeseen paikallinen kone vain tarvitsemasi viestit.
Palveluntarjoajat eivät yleensä tarjoa turvallisia pääsypalveluita. Tosiasia on, että asiakkaan haavoittuvuus riippuu usein hänen omista toimistaan, joten onnistuneen hyökkäyksen tapauksessa on melko vaikea todistaa, kuka tarkalleen teki virheen - asiakas vai palveluntarjoaja. Lisäksi hyökkäyksen tosiasia on vielä kirjattava, ja tämä voidaan tehdä vain todistetuin ja varmennettuin keinoin. Myöskään hakkeroinnin aiheuttamien vahinkojen arvioiminen ei ole helppoa. Yleensä määritetään vain sen vähimmäisarvo, jolle on tunnusomaista aika palauttaa järjestelmän normaali toiminta.
Palveluntarjoajat voivat varmistaa postipalvelujen turvallisuuden tarkistamalla kaikki saapuvat postit käyttämällä virustorjuntaohjelmat, sekä estää kaikki protokollat paitsi tärkeimmät protokollat (Web, sähköposti, uutiset, ICQ, IRC ja jotkut muut). Operaattorit eivät aina pysty seuraamaan, mitä kotiverkon sisäisissä osissa tapahtuu, mutta koska heidän on suojauduttava ulkoisilta hyökkäyksiltä (mikä on käyttäjien suojauskäytäntöjen mukaista), asiakkaiden on oltava vuorovaikutuksessa tietoturvatiimiensä kanssa. On muistettava, että palveluntarjoaja ei takaa käyttäjien ehdotonta turvallisuutta - se tavoittelee vain omaa kaupallista hyötyä. Usein tilaajiin kohdistuvat hyökkäykset liittyvät heille välitetyn tiedon määrän voimakkaaseen nousuun, mikä itse asiassa on tapa, jolla operaattori ansaitsee rahaa. Tämä tarkoittaa, että palveluntarjoajan edut voivat joskus olla ristiriidassa kuluttajan etujen kanssa.
Palveluntarjoajan näkökulma
Kotiverkkopalveluntarjoajille suurimmat ongelmat ovat luvattomat yhteydet ja suuri sisäinen liikenne. Kotiverkkoja käytetään usein isännöimään pelejä, jotka eivät ulotu yhden asuinrakennuksen paikallisverkon ulkopuolelle, mutta voivat johtaa sen kokonaisten osien tukkimiseen. Tässä tapauksessa Internetissä työskentely vaikeutuu, mikä aiheuttaa reilua tyytymättömyyttä kaupallisten asiakkaiden keskuudessa.
Kustannusnäkökulmasta katsottuna palveluntarjoajat ovat kiinnostuneita kotiverkkonsa turvaamisesta ja valvonnasta aiheutuvien kustannusten minimoimisesta. Samalla he eivät aina pysty järjestämään asiakkaalle asianmukaista suojaa, koska tämä vaatii käyttäjältä tiettyjä kustannuksia ja rajoituksia. Valitettavasti kaikki tilaajat eivät ole tästä samaa mieltä.
Tyypillisesti kotiverkot rakentuvat seuraavasti: siellä on keskusreititin, jossa on Internet-yhteys, johon on liitetty laaja korttelin, talon ja sisäänkäynnin verkko. Luonnollisesti reititin toimii palomuurina, joka erottaa kotiverkon muusta Internetistä. Se toteuttaa useita suojausmekanismeja, mutta yleisimmin käytetty on osoitteenmuunnos, jonka avulla voit samanaikaisesti piilottaa sisäisen verkkoinfrastruktuurin ja tallentaa palveluntarjoajan todelliset IP-osoitteet.
Jotkut palveluntarjoajat kuitenkin antavat asiakkailleen todelliset IP-osoitteet (esimerkiksi tämä tapahtuu Mitinon mikropiirin verkossa, joka on yhdistetty Moskovan palveluntarjoajaan MTU-Intel). Tässä tapauksessa käyttäjän tietokoneeseen pääsee suoraan Internetistä, mikä vaikeuttaa sen suojaamista. Ei ole yllättävää, että tarjonnan taakka tietoturva kuuluu kokonaan tilaajille, kun taas operaattori jää ainoa tapa hallita toimintaansa - IP- ja MAC-osoitteiden avulla. Nykyaikaiset Ethernet-sovittimet mahdollistavat kuitenkin molempien parametrien ohjelmoinnin muuttamisen käyttöjärjestelmätasolla, ja toimittaja on puolustuskyvytön häikäilemätöntä asiakasta vastaan.
Tietysti jotkut sovellukset vaativat todellisten IP-osoitteiden allokoinnin. Todellisen staattisen IP-osoitteen antaminen asiakkaalle on varsin vaarallista, koska jos tällä osoitteella varustettua palvelinta vastaan hyökätään onnistuneesti, muu sisäinen verkko pääsee käsiksi sen kautta.
Yksi kompromissiratkaisuista ongelmaan turvallinen käyttö IP-osoitteet kotiverkossa on VPN-tekniikan käyttöönotto yhdistettynä dynaamisen osoitteenjaon mekanismiin. Lyhyesti kaava on seuraava. Salattu tunneli muodostetaan asiakaskoneesta reitittimeen PPTP-protokollan avulla. Koska Windows-käyttöjärjestelmä on tukenut tätä protokollaa versiosta 95 lähtien, ja se on nyt toteutettu muille käyttöjärjestelmät, asiakkaan ei tarvitse asentaa lisäohjelmistoja - heidän tarvitsee vain määrittää jo asennetut komponentit. Kun käyttäjä muodostaa yhteyden Internetiin, hän muodostaa ensin yhteyden reitittimeen, kirjautuu sitten sisään, vastaanottaa IP-osoitteen ja vasta sitten hän voi aloittaa Internetin käytön.
Tämäntyyppinen yhteys vastaa tavallista puhelinverkkoyhteyttä sillä erolla, että sitä asennettaessa voit asettaa melkein minkä tahansa nopeuden. Jopa sisäkkäiset VPN-aliverkot toimivat tämän järjestelmän mukaisesti, jota voidaan käyttää asiakkaiden etäyhteyden muodostamiseen yritysverkkoon. Jokaisen käyttäjäistunnon aikana palveluntarjoaja varaa dynaamisesti joko todellisen tai virtuaalisen IP-osoitteen. Muuten, 2COM:n todellinen IP-osoite maksaa yhden dollarin kuukaudessa enemmän kuin virtuaalinen.
VPN-yhteyksien toteuttamiseksi 2COM on kehittänyt oman erikoisreitittimen, joka suorittaa kaikki yllä luetellut toiminnot sekä palveluhinnoittelun. On huomattava, että pakettien salaus ei ole vastuussa prosessori, mutta erikoistuneella apuprosessorilla, jonka avulla voit tukea samanaikaisesti jopa 500 VPN-virtuaalikanavaa. Yhtä tällaista kryptoreititintä 2COM-verkossa käytetään useiden talojen yhdistämiseen kerralla.
Yleisesti parhaalla mahdollisella tavalla kotiverkon suojaus on läheistä vuorovaikutusta palveluntarjoajan ja asiakkaan välillä, jossa jokaisella on mahdollisuus puolustaa etujaan. Ensi silmäyksellä kotiverkon suojausmenetelmät näyttävät samanlaisilta kuin suojaukseen käytetyt menetelmät yrityksen turvallisuus, Mutta itse asiassa se ei ole. Yrityksillä on tapana asettaa työntekijöilleen melko tiukat käyttäytymissäännöt tiettyä tietoturvapolitiikkaa noudattaen. Tämä vaihtoehto ei toimi kotiverkossa: jokainen asiakas tarvitsee omat palvelunsa ja on luotava yleiset säännöt käyttäytyminen ei aina onnistu. Näin ollen luotettavan kotiverkon turvajärjestelmän rakentaminen on paljon vaikeampaa kuin yritysverkon turvallisuuden varmistaminen.
PNST301-2018/ISO/IEC 24767-1:2008
VENÄJÄN FEDERAATIOIN ALUSTAVA KANSALLINEN STANDARDI
Tietotekniikka
KOTIVERKKO TURVALLISUUS
Turvallisuusvaatimukset
Tietotekniikka. Kotiverkon suojaus. Osa 1. Turvallisuusvaatimukset
OKS 35.110, 35.200, 35.240.99
Voimassa 2019-02-01
Esipuhe
Esipuhe
1 VALMISTAJA liittovaltion valtion budjettikorkeakoulu "G.V. Plekhanovin mukaan nimetty Venäjän talousyliopisto" (FSBEI HE "REU G.V. Plekhanovin mukaan") perustuen sen omaan venäjäksi käännökseen kohdassa määritellyn kansainvälisen standardin englanninkielisestä versiosta 4
2 ESITTELYT: tekninen standardointikomitea TC 22 "Information Technologies"
3 HYVÄKSYTTY JA VOIMASSA TUNNUT liittovaltion teknisten määräysten ja metrologian viraston määräyksellä, joka on päivätty 4. syyskuuta 2018 N38-pnst
4Tämä standardi on identtinen kansainvälisen standardin ISO/IEC 24767-1:2008* "Tietotekniikka - Kotiverkon suojaus - Osa 1: Suojausvaatimukset", IDT) kanssa.
________________
*Pääsy kansainvälisiin ja ulkomaisiin asiakirjoihin, jotka on mainittu tässä ja myöhemmin tekstissä, on saatavilla seuraamalla linkkiä sivustolle. - Huomautus tietokannan valmistajalta.
Säännöt tämän standardin soveltamisesta ja sen seurannan suorittamisesta on vahvistettu GOST R 1.16-2011 (kohdat 5 ja 6).
Liittovaltion teknisten määräysten ja metrologian virasto kerää tietoja tämän standardin käytännön soveltamisesta. Nämä tiedot sekä kommentit ja ehdotukset standardin sisällöstä voidaan lähettää viimeistään 4 päivää etukäteen. kuukaudet ennen sen voimassaoloajan päättymistä tämän standardin kehittäjälle osoitteeseen: 117997 Moskova, Stremyanny Lane, 36, liittovaltion talousarvion mukainen korkeakoulukorkeakoulu "REU"nimetty G.V. Plekhanovin mukaan" ja liittovaltion teknisten määräysten ja metrologian virastolle osoitteessa: 109074 Moskova, Kitaygorodsky proezd, 7, rakennus 1.
Jos tämä standardi peruutetaan, asiaankuuluvat tiedot julkaistaan kuukausittaisessa tietohakemistossa "Kansalliset standardit" ja ne julkaistaan myös liittovaltion teknisen määräyksen ja metrologian viraston virallisella verkkosivustolla Internetissä (www.gost.ru)
Johdanto
ISO (International Organisation for Standardization) ja IEC (International Electrotechnical Commission) muodostavat maailmanlaajuisen standardoinnin erikoisjärjestelmän. Valtion elimet, jotka ovat ISO:n tai IEC:n jäseniä, osallistuvat kansainvälisten standardien kehittämiseen teknisten komiteoiden kautta. Kaikki ISO:n tai IEC:n jäsenet kiinnostuneet tahot voivat osallistua tietyn alueen standardin kehittämiseen. Mukana on myös muita kansainvälisiä organisaatioita, valtiollisia ja kansalaisjärjestöjä, jotka ovat yhteydessä ISO:han ja IEC:hen.
Tietotekniikan alalla ISO ja IEC ovat perustaneet Joint Technical Committee ISO/IEC JTC 1:n. Teknisen sekakomitean laatimat kansainväliset standardiluonnokset jaetaan kansallisille komiteoille äänestettäväksi. Kansainvälisenä standardina julkaiseminen edellyttää vähintään 75 %:n hyväksyntää äänestävistä kansallisista komiteoista.
IEC:n ja ISO:n viralliset päätökset tai sopimukset teknisistä asioista ilmaisevat mahdollisuuksien mukaan kansainvälisen yksimielisyyden asiaan liittyvissä kysymyksissä, koska jokaisessa teknisessä komiteassa on edustajia kaikista asianomaisista kansallisista IEC:n ja ISO:n jäsenkomiteoista.
IEC:n, ISO:n ja ISO/IEC:n julkaisut ovat suositusten muodossa kansainväliseen käyttöön, ja kansalliset komiteat - IEC:n ja ISO:n jäsenet - hyväksyvät ne juuri tässä käsityksessä. Vaikka tarkkuus on pyritty varmistamaan tekninen sisältö IEC, ISO ja ISO/IEC-julkaisut, IEC tai ISO eivät ota vastuuta tavasta, jolla niitä käytetään, tai siitä, että loppukäyttäjä tulkitsee niitä väärin.
Kansainvälisen yhdentymisen (yhden järjestelmän) varmistamiseksi IEC:n ja ISO:n kansalliset komiteat sitoutuvat varmistamaan mahdollisimman suuren avoimuuden kansainvälisten IEC-, ISO- ja ISO/IEC-standardien soveltamisessa tietyn maan kansallisten ja alueellisten olosuhteiden osalta. sallia. Kaikki ISO/IEC-julkaisujen ja asiaankuuluvien kansallisten tai alueellisten standardien väliset erot on ilmoitettava selvästi viimeksi mainitussa.
ISO ja IEC eivät tarjoa merkintämenettelyjä eivätkä ole vastuussa mistään laitteesta, joka väittää olevan jonkin ISO/IEC-standardin mukainen.
Kaikkien käyttäjien tulee varmistaa, että he käyttävät tämän julkaisun viimeisintä painosta.
IEC tai ISO, niiden johto, työntekijät, työntekijät tai edustajat, mukaan lukien yksittäiset asiantuntijat ja heidän teknisten komiteoidensa jäsenet, sekä IEC:n tai ISO:n kansallisten komiteoiden jäsenet eivät ole vastuussa onnettomuuksista, omaisuusvahingoista tai muista suorista tai välillisistä vahingoista, tai tämän ISO/IEC-julkaisun tai muun IEC-, ISO- tai ISO/IEC-julkaisun julkaisemisesta tai käytöstä aiheutuneista kuluista (mukaan lukien oikeudenkäyntikulut).
Erityistä huomiota on kiinnitettävä tässä julkaisussa mainittuun säädösdokumentaatioon.Viiteasiakirjojen käyttö on välttämätöntä tämän julkaisun oikean soveltamisen kannalta.
Huomiota kiinnitetään siihen tosiasiaan, että jotkut tämän kansainvälisen standardin elementit voivat olla patenttioikeuksien kohteena. ISO ja IEC eivät ole vastuussa minkään tai kaikkien tällaisten patenttioikeuksien määrittämisestä.
Kansainvälisen standardin ISO/IEC 24767-1 on kehittänyt Joint Technical Committee ISO/IEC 1, Tietotekniikka, alakomitea 25, Tietotekniikan laitteiden yhteenliitännät.
Luettelo kaikista tällä hetkellä saatavilla olevista ISO/IEC 24767 -sarjan osista yleisotsikon "Information technology - Home network security" alla on esitetty IEC:n verkkosivuilla.
1 käyttöalue
Tämä standardi määrittelee vaatimukset kotiverkon suojaamiseksi sisäisiltä tai ulkoisilta uhilta. Standardi toimii perustana sisäistä ympäristöä erilaisilta uhilta suojaavien turvajärjestelmien kehittämiselle.
Suojausvaatimuksia käsitellään tässä standardissa suhteellisen epävirallisesti.Vaikka monet tässä standardissa käsitellyistä kysymyksistä antavat ohjeita turvajärjestelmien suunnitteluun sekä intranetiin että Internetiin, ne ovat luonteeltaan epävirallisia vaatimuksia.
Yhdistetty sisäiseen (koti) verkkoon erilaisia laitteita(katso kuva 1). "Laiteverkko-"-, "AV-viihde"- ja "tietosovellus"-laitteet sisältävät erilaisia toimintoja ja suorituskykyominaisuuksia. Tämä standardi tarjoaa työkalut jokaisen verkkoon kytketyn laitteen riskien analysoimiseen ja kunkin laitteen tietoturvavaatimusten määrittämiseen.
2Termit, määritelmät ja lyhenteet
2.1Termit ja määritelmät
Tässä standardissa käytetään seuraavia termejä ja määritelmiä:
2.1.1 viihde-elektroniikka(ruskeat tavarat): Ääni-/videolaitteet, joita käytetään ensisijaisesti viihdetarkoituksiin, kuten televisio tai DVD-tallennin.
2.1.2luottamuksellisuus(luottamuksellisuus): Kiinteistö, joka varmistaa, että tiedot eivät ole saatavilla luvattomille henkilöille, organisaatioille tai prosesseille.
2.1.3 tietojen todennus(tietojen todennus): Palvelu, jolla varmistetaan vaaditun tietolähteen oikea varmennus.
2.1.4 tietojen eheys(tietojen eheys): Ominaisuus, joka varmistaa, ettei tietoja ole muokattu tai tuhottu luvatta.
2.1.5 käyttäjän todennus(käyttäjän todennus): Palvelu, jolla varmistetaan, että viestinnän osallistujan antamat todennustiedot tarkistetaan oikein, kun taas valtuutuspalvelu varmistaa, että tunnistetulla ja valtuutetulla käyttäjällä on pääsy tietty laite tai kotiverkkosovellus.
2.1.6 Kodinkoneet(kotitavarat): Jokapäiväisessä käytössä käytettävät laitteet, kuten ilmastointi, jääkaapit jne.
2.2 Lyhenteet
Tässä standardissa käytetään seuraavia lyhenteitä:
3 Yhteensopivuus
Tämä standardi antaa ohjeita ilman vaatimustenmukaisuusvaatimuksia.
4Sisäisten kodin elektronisten järjestelmien ja verkkojen turvallisuusvaatimukset
4.1 Yleiset määräykset
Internetin ja siihen liittyvien verkkotekniikoiden nopean kehityksen myötä on tullut mahdolliseksi muodostaa yhteyksiä toimistojen ja kotien tietokoneiden välille ulkomaailmaan, mikä mahdollistaa pääsyn erilaisiin resursseihin. Nykyään menestyksen taustalla olleet tekniikat ovat saavuttaneet kotimme ja mahdollistavat kodinkoneiden yhdistämisen aivan kuten henkilökohtaiset tietokoneet. Siten niiden avulla käyttäjät voivat valvoa ja ohjata kodinkoneitaan sekä kotona että sen ulkopuolella, vaan myös luoda uusia palveluita ja ominaisuuksia, kuten kodinkoneiden kauko-ohjauksen ja huollon. Tämä tarkoittaa, että kodin tavallinen tietokoneympäristö muuttuu sisäiseksi kotiverkoksi, joka yhdistää monia laitteita, joiden turvallisuudesta on myös huolehdittava.
On välttämätöntä, että sekä kodin että järjestelmän asukkaat, käyttäjät ja omistajat luottavat kodin sähköiseen järjestelmään. Kodin sähköisen turvallisuuden tavoite tukijärjestelmät luottaa järjestelmään. Koska monet kotitekoiset komponentit elektroninen järjestelmä ovat toiminnassa jatkuvasti, 24 tuntia vuorokaudessa ja vaihtavat automaattisesti tietoja ulkomaailman kanssa, tietoturva on tarpeen tietojen ja järjestelmän luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi.Oikein toteutettu tietoturvaratkaisu edellyttää mm. järjestelmää ja tallennetut, saapuvat ja lähtevät tiedot saavat vain valtuutetut käyttäjät ja prosessit ja että vain valtuutetut käyttäjät voivat käyttää järjestelmää ja tehdä siihen muutoksia.
HES-verkon turvallisuusvaatimukset voidaan kuvata monella tapaa. Tämä standardi rajoittuu HES-verkon tietoturvaan. Tietoturvan on kuitenkin ulotuttava itse järjestelmän ulkopuolelle, sillä kodin on toimittava, vaikkakin rajoitetulla kapasiteetilla, IT-järjestelmävian sattuessa.HES-verkon tyypillisesti tukemat älykkäät toiminnot voidaan suorittaa myös järjestelmäyhteyksissä ovat hukassa. Tällaisissa tapauksissa voidaan ymmärtää, että on olemassa turvallisuusvaatimuksia, jotka eivät voi olla osa järjestelmää itseään, mutta järjestelmän ei pitäisi kieltää vararatkaisujen käyttöönottoa.
Turvallisuusasioista kiinnostuneita on useita. Kodin sähköiseen järjestelmään tulee luottaa paitsi asukkaiden ja omistajien, myös palvelun- ja sisällöntuottajien. Jälkimmäisten on varmistettava, että heidän tarjoamiaan palveluita ja sisältöä käytetään vain luvallisesti. Yksi järjestelmän turvallisuuden perusperiaatteista on kuitenkin se, että tietyn tietoturvan ylläpitäjän tulee olla vastuussa siitä. Sellainen vastuu pitäisi luonnollisesti antaa asukkaille (järjestelmän omistajille). Ei ole väliä, tekeekö järjestelmänvalvoja tämän henkilökohtaisesti vai ulkoistaako sen. Vastuu on joka tapauksessa turvajärjestelmän ylläpitäjällä. Palvelu- ja sisällöntuottajien luottamus kodin sähköiseen järjestelmään ja luottamus siihen, että käyttäjät käyttävät palvelujaan ja sisältöään asianmukaisesti, määräytyy osapuolten välisten sopimusvelvoitteiden perusteella. Sopimuksessa voi esimerkiksi luetella toimintoja, komponentteja tai prosesseja, joita kodin elektroniikkajärjestelmän tulee tukea.
Kodin elektroniikkajärjestelmän arkkitehtuuri on erilainen erityyppisissä taloissa. Jokaisella mallilla voi olla omat erityiset turvallisuusvaatimukset. Alla on kuvaukset kolmesta erilaisesta kodin elektroniikkajärjestelmämallista, joilla on erilaiset turvallisuusvaatimukset.
Tietenkin jotkut turvallisuusvaatimukset ovat tärkeämpiä kuin toiset. Näin ollen on selvää, että joidenkin vastatoimien tukeminen on valinnaista. Lisäksi vastatoimien laatu ja hinta voivat vaihdella. Myös erilaisia taitoja voidaan tarvita tällaisten vastatoimien hallitsemiseksi ja ylläpitämiseksi. Tämä standardi yrittää selventää lueteltujen turvallisuusvaatimusten perusteita ja antaa siten kodin elektroniikkajärjestelmien suunnittelijoille mahdollisuuden määrittää, mitä turvaominaisuuksia tietyn tuotteen tulee tukea. kotijärjestelmä ja ottaen huomioon laatuvaatimukset sekä hallinta- ja ylläpitotoimet, mikä mekanismi olisi valittava tällaisia toimintoja varten.
Sisäisen verkon turvallisuusvaatimukset riippuvat turvallisuuden ja "kodin" määritelmästä ja siitä, mitä "verkolla" kyseisessä kodissa tarkoitetaan. Jos verkko on vain linkki, joka yhdistää yhden tietokoneen tulostimeen tai kaapelimodeemiin, kotiverkon suojaaminen on yhtä helppoa kuin linkin ja siihen liitettävien laitteiden suojaaminen.
Jos verkkotunnuksessa on kuitenkin kymmeniä, ellei satoja, verkkolaitteita, joista osa kuuluu koko kotitaloudelle ja osa kodin ihmisille, tarvitaan kehittyneempiä turvatoimia.
4.2 Kodin elektroniikkajärjestelmän turvallisuus
4.2.1 Kodin elektroniikkajärjestelmän ja järjestelmäturvallisuuden määritelmä
Kodin elektroniikkajärjestelmä ja verkko voidaan määritellä kokoelmaksi elementtejä, jotka prosessoivat, lähettävät, tallentavat ja hallitsevat tietoa tarjoamalla liitettävyyden ja integroinnin kodissa oleviin lukuisiin laskenta-, ohjaus-, valvonta- ja viestintälaitteisiin.
Lisäksi kodin elektroniset järjestelmät ja verkot mahdollistavat kodin viihde- ja tietolaitteiden sekä viestintä- ja turvalaitteiden sekä kodinkoneiden yhteenliittämisen. Tällaiset laitteet ja laitteet vaihtavat tietoja, niitä voidaan ohjata ja valvoa kotona tai etänä. Vastaavasti kaikki sisäiset kotiverkot vaativat tiettyjä suojamekanismeja päivittäisen toimintonsa suojaamiseksi.
Verkko- ja tietoturvallisuus voidaan ymmärtää verkon tai tietojärjestelmän kykynä kestää satunnaisia tapahtumia tai haitallisia toimia tietyllä tasolla. Tällaiset tapahtumat tai toimet voivat vaarantaa tallennettujen tai siirrettävien tietojen sekä niihin liittyvien palveluiden saatavuuden, aitouden, aitouden ja luottamuksellisuuden tällaisten verkkojen ja järjestelmien kautta.
Tietoturvaloukkaukset voidaan ryhmitellä seuraaviin ryhmiin:
Sähköistä viestintää voidaan siepata ja tietoja voidaan kopioida tai muuttaa. Tämä voi johtaa vahinkoon, joka aiheutuu sekä henkilön luottamuksellisuusoikeuden loukkaamisesta että siepattujen tietojen väärinkäytöstä;
Tietokoneen ja sisäisten tietokoneverkkojen luvaton käyttö tapahtuu yleensä haitallisella tarkoituksella tietojen kopioimiseksi, muokkaamiseksi tai tuhoamiseksi, ja se voi ulottua kodin automaattisiin laitteisiin ja järjestelmiin.
Haitalliset hyökkäykset Internetiin ovat yleistyneet, ja puhelinverkko voi myös tulla haavoittuvammaksi tulevaisuudessa;
Haittaohjelmat, kuten virukset, voivat poistaa tietokoneen käytöstä, poistaa tai muuttaa tietoja tai ohjelmoida uudelleen kodinkoneita. Jotkut virushyökkäykset ovat olleet melko tuhoisia ja kalliita;
Yksityishenkilöitä koskevien tietojen vääristäminen tai oikeushenkilöitä voi aiheuttaa merkittävää haittaa, esimerkiksi asiakkaat voivat ladata haittaohjelmia luotettavaksi lähteeksi naamioituneelta verkkosivustolta, sopimuksia voidaan irtisanoa tai luottamuksellisia tietoja voidaan lähettää sopimattomille vastaanottajille;
Monet tietoturvaloukkaukset liittyvät odottamattomiin ja tahattomiin tapahtumiin, kuten luonnonkatastrofeihin (tulvat, myrskyt ja maanjäristykset), laitteistoihin tai ohjelmisto sekä inhimillinen tekijä.
Nykyään lähes jokaisessa asunnossa on kotiverkko, johon on kytketty pöytätietokoneet, kannettavat tietokoneet, tiedontallennuslaitteet (NAS), mediasoittimet, älytelevisiot sekä älypuhelimet, tabletit ja muut puettavat laitteet. Käytetään joko langallisia (Ethernet) tai langattomia (Wi-Fi) yhteyksiä ja TCP/IP-protokollia. Internet of Things -teknologioiden kehittymisen myötä kodinkoneet - jääkaapit, kahvinkeittimet, ilmastointilaitteet ja jopa sähköasennuslaitteet - ovat tulleet verkkoon. Kiitos ratkaisuista" Älykäs talo”Voimme ohjata valaistuksen kirkkautta, etäsäätää sisätilojen mikroilmastoa, käynnistää ja sammuttaa erilaisia laitteita – tämä helpottaa elämää paljon, mutta voi aiheuttaa vakavia ongelmia edistyneiden ratkaisujen omistajalle.
Valitettavasti tällaisten laitteiden kehittäjät eivät vielä välitä tarpeeksi tuotteidensa turvallisuudesta, ja niistä löydettyjen haavoittuvuuksien määrä kasvaa kuin sieniä sateen jälkeen. Usein on tapauksia, joissa markkinoille tulon jälkeen laitetta ei enää tueta - esimerkiksi televisiossamme on asennettu Android 4:ään perustuva vuoden 2016 laiteohjelmisto, eikä valmistaja aio päivittää sitä. Vieraat lisäävät myös ongelmia: on hankalaa kieltää heiltä pääsy Wi-Fi-verkkoon, mutta et myöskään halua päästää ketään mukavaan verkkoosi. Kuka tietää, mitkä virukset voivat asettua vieraisiin ihmisiin? matkapuhelimet? Kaikki tämä johtaa tarpeeseen jakaa kotiverkko useisiin erillisiin segmentteihin. Yritetään selvittää, kuinka tämä tehdään, kuten sanotaan, pienellä verellä ja pienimmällä taloudellisella kustannuksella.
Wi-Fi-verkkojen eristäminen
Yritysverkoissa ongelma ratkeaa helposti - siellä on virtuaalisia paikallisverkkoja (VLAN) tukevat hallitut kytkimet, erilaisia reitittimiä, palomuureja ja langattomia tukiasemia - parissa tunnissa voidaan rakentaa tarvittava määrä eristettyjä segmenttejä. Esimerkiksi Traffic Inspector Next Generation (TING) -laitteella ongelma ratkeaa muutamalla napsautuksella. Riittää, kun kytket vierasverkkosegmentin kytkimen erilliseksi Ethernet-portti ja luoda palomuurisääntöjä. Tämä vaihtoehto ei sovellu kotikäyttöön laitteiden korkeiden kustannusten vuoksi - useimmiten verkkoamme hallitsee yksi laite, joka yhdistää reitittimen, kytkimen, langattoman tukiaseman ja jumala tietää mitä muuta toiminnot.
Onneksi nykyaikaisista kotitalouksien reitittimistä (vaikka olisi oikeampaa kutsua niitä Internet-keskuksiksi) on myös tullut erittäin älykkäitä ja melkein kaikilla, paitsi erittäin edullisilla, on kyky luoda eristetty vieras Wi-Fi-verkko. Tämän eristyksen luotettavuus on erillisen artikkelin kysymys; tänään emme tutki eri valmistajien kotitalouslaitteiden laiteohjelmistoja. Otetaan esimerkkinä ZyXEL Keenetic Extra II. Nyt tästä linjasta on tullut yksinkertaisesti Keenetic, mutta saimme käsiimme ZyXEL-brändillä julkaistun laitteen.
Asennus web-rajapinnan kautta ei aiheuta vaikeuksia edes aloittelijoille - muutama napsautus, ja meillä on erillinen langaton verkko, jossa on oma SSID, WPA2-suojaus ja salasana. Voit päästää vieraita siihen sekä käynnistää televisiot ja soittimet, joiden laiteohjelmistoa ei ole päivitetty pitkään aikaan, tai muita asiakkaita, joihin et erityisen luota. Useimmissa muiden valmistajien laitteissa tämä toiminto, toistamme, on myös läsnä ja aktivoituu samalla tavalla. Näin ongelma ratkaistaan esimerkiksi laiteohjelmistossa D-Link reitittimet käyttämällä ohjattua asennustoimintoa.
Voit lisätä vierasverkon, kun laite on jo määritetty ja toimii.
Kuvakaappaus valmistajan sivuilta
Kuvakaappaus valmistajan sivuilta
Eristämme Ethernet-verkot
Langattomaan verkkoon kytkeytyvien asiakkaiden lisäksi saatamme kohdata laitteita, joissa on langallinen käyttöliittymä. Asiantuntijat sanovat, että eristettyjen Ethernet-segmenttien luomiseen käytetään niin kutsuttuja VLAN-verkkoja - virtuaalisia paikallisverkkoja. Jotkut kotireitittimet tukevat tätä toimintoa, mutta tässä tehtävästä tulee monimutkaisempi. En halua tehdä vain erillistä segmenttiä, vaan meidän on yhdistettävä portit langallista yhteyttä varten langattomaan vierasverkkoon yhdellä reitittimellä. Kaikki kodin laitteet eivät kestä tätä: pinnallinen analyysi osoittaa, että Keenetic Internet-keskusten lisäksi Ethernet-porttien lisääminen yhteen Wi-Fi-verkko MikroTik-sarjan mallit pystyvät myös vierassegmenttiin, mutta niiden asennusprosessi ei ole enää niin ilmeinen. Jos puhumme vertailukelpoisista kotitalousreitittimistä, vain Keenetic voi ratkaista ongelman muutamalla napsautuksella verkkokäyttöliittymässä.
Kuten näette, koehenkilö selviytyi ongelmasta helposti, ja tässä kannattaa kiinnittää huomiota toiseen mielenkiintoiseen ominaisuuteen - voit myös eristää vierasverkon langattomat asiakkaat toisistaan. Tämä on erittäin hyödyllistä: ystäväsi haittaohjelmien saastuttama älypuhelin pääsee Internetiin, mutta se ei pysty hyökkäämään muihin laitteisiin edes vierasverkossa. Jos reitittimessäsi on vastaava toiminto, sinun tulee ehdottomasti ottaa se käyttöön, vaikka se rajoittaa asiakkaan vuorovaikutuksen mahdollisuuksia - esimerkiksi television ja mediasoittimen yhdistäminen Wi-Fi-yhteyden kautta ei ole enää mahdollista, sinun on käytä langallista yhteyttä. Tässä vaiheessa kotiverkkomme näyttää turvallisemmalta.
Mikä on tulos?
Turvallisuusuhkien määrä kasvaa vuosi vuodelta ja valmistajat älylaitteet he eivät aina kiinnitä tarpeeksi huomiota päivitysten oikea-aikaiseen julkaisemiseen. Tällaisessa tilanteessa meillä on vain yksi ulospääsy - kotiverkon asiakkaiden erottaminen ja erillisten segmenttien luominen niille. Tätä varten sinun ei tarvitse ostaa laitteita kymmenillä tuhansilla ruplilla, suhteellisen edullinen kotitalouksien Internet-keskus hoitaa tehtävän. Tässä haluan varoittaa lukijoita ostamasta laitteita budjettimerkeiltä. Lähes kaikilla valmistajilla on nyt enemmän tai vähemmän samat laitteistot, mutta sisäänrakennettujen ohjelmistojen laatu on hyvin erilainen. Sekä julkaistujen mallien tukijakson kesto. Kaikki kotitalouksien reitittimet eivät selviä edes melko yksinkertaisesta tehtävästä yhdistää langallinen ja langaton verkko eristettyyn segmenttiin, ja sinulla voi olla monimutkaisempia. Joskus sinun on määritettävä lisäsegmenttejä tai DNS-suodatus päästäksesi vain suojattuihin isänteihin, suurissa huoneissa sinun on yhdistettävä Wi-Fi-asiakkaat vierasverkkoon ulkoisten tukiasemien kautta jne. ja niin edelleen. Turvallisuusongelmien lisäksi on muitakin ongelmia: julkisissa verkoissa on varmistettava asiakkaiden rekisteröinti liittovaltion lain nro 97 "Tiedoista, tietotekniikka ja tietojen suojaamisesta." Halvat laitteet pystyvät ratkaisemaan tällaiset ongelmat, mutta eivät kaikki - toiminnallisuutta Toistamme, että heidän sisäänrakennetut ohjelmistot ovat hyvin erilaisia.
