Suojaamme reitittimen ja kotiverkon. Mutta kuinka suojata älypuhelimet ja tabletit? Palveluntarjoajan näkökulma
Suurin uhka tietojesi turvallisuudelle on World Wide Web. Kuinka varmistaa luotettava suoja kotiverkko?
Usein käyttäjät uskovat virheellisesti, että tavallinen virustorjunta riittää suojaamaan Internetiin kytkettyä kotitietokonetta. Myös reitittimien laatikoissa olevat merkinnät ovat harhaanjohtavia, sillä näissä laitteissa on tehokas laitteistotasolla toteutettu palomuuri, joka voi suojata hakkerihyökkäykset. Nämä väitteet ovat vain osittain totta. Ensinnäkin molemmat työkalut vaativat oikean virityksen. Samaan aikaan monilla virustentorjuntapaketteilla ei yksinkertaisesti ole sellaista toimintoa kuin palomuuri.
Samaan aikaan suojan asiantunteva rakentaminen alkaa jo Internet-yhteydestä. Nykyaikaisissa kotiverkoissa Wi-Fi-reitittimiä käytetään yleensä Ethernet-kaapelilla. Internet-yhteys paikallisverkon kautta pöytätietokoneet sekä kannettavat tietokoneet, älypuhelimet ja tabletit. Lisäksi yhdessä paketissa ovat sekä tietokoneet itse että oheislaitteet, kuten tulostimet ja skannerit, joista monet on kytketty verkon kautta.
Hakkeroimalla hotspottiisi, hyökkääjä ei voi vain käyttää Internet-yhteyttäsi ja ohjata kodin tietokonelaitteitasi, vaan myös sijoittaa maailman laajuinen verkko laitonta sisältöä käyttämällä IP-osoitettasi sekä varastaa verkkoon kytkettyihin laitteisiin tallennettuja tietoja. Tänään puhumme perussäännöistä verkkojen suojaamiseksi, niiden suorituskyvyn ylläpitämiseksi ja hakkeroinnin estämiseksi.
Laitteisto
Nykyaikaiset verkkolaitteet vaativat suurimmaksi osaksi tietoturvatyökalujen konfiguroinnin. Ensinnäkin me puhumme erilaisista suodattimista, palomuurista ja ajoitetuista käyttöoikeusluetteloista. Valmistamaton käyttäjä voi myös asettaa suojausparametreja, mutta sinun tulee olla tietoinen joistakin vivahteista.
KÄYTÄMME LIIKENNESALAUSTA Kun määrität tukiasemaa, varmista, että otat käyttöön luotettavimmat liikenteen suojausmekanismit, luo monimutkainen, merkityksetön salasana ja käytä WPA2-protokollaa AES-salausalgoritmin kanssa. WEP-protokolla on vanhentunut ja se voidaan murtaa muutamassa minuutissa.
MUUTA TILINPÄÄTÖSTIEDOT SÄÄNNÖLLISESTI Aseta vahvat pääsysalasanat ja vaihda ne säännöllisesti (esimerkiksi kuuden kuukauden välein). Helpoin tapa hakkeroida laite, johon käyttäjä jätti tavallisen kirjautumistunnuksen ja salasanan "admin" / "admin".
PILOTETTU SSID SSID (Service Set Identifier) -parametri on julkinen nimi langaton verkko, joka lähetetään televisiossa niin, että käyttäjälaitteet voivat nähdä sen. Piilota SSID -vaihtoehdon käyttäminen suojaa sinua aloittelevilta hakkereilta, mutta sitten sinun on syötettävä tukiaseman asetukset manuaalisesti uusien laitteiden yhdistämiseksi.
NEUVOT Kun määrität tukiasemaa ensimmäistä kertaa, vaihda SSID, koska tämä nimi näyttää reitittimen mallin, joka voi toimia vihjeenä hyökkääjälle haavoittuvuuksia etsiessään.
SISÄLLÄN PALOMUURIN MÄÄRITTÄMINEN Reitittimet on useimmissa tapauksissa varustettu yksinkertaisilla palomuuriversioilla. Heidän avullaan ei ole mahdollista määrittää perusteellisesti monia turvallisen verkottumisen sääntöjä, mutta voit estää tärkeimmät haavoittuvuudet tai esimerkiksi poistaa sähköpostiohjelmat käytöstä.
PÄÄSYRAJOITUS MAC-OSOITELLA Käyttämällä MAC-osoiteluetteloita (Media Access Control) voit estää pääsyn paikallisverkkoon laitteilta, joiden fyysiset osoitteet eivät sisälly luetteloon. Tätä varten sinun on luotava manuaalisesti luettelot verkossa sallituista laitteista. Jokainen laite on varustettu verkkoliitäntä, sille on tehtaalla määritetty yksilöllinen MAC-osoite. Se voidaan tunnistaa katsomalla laitteeseen kiinnitettyä tarraa tai merkintöjä tai käyttämällä erityisiä komentoja ja verkkoskannereita. Jos käytössä on verkkokäyttöliittymä tai näyttö (esimerkiksi reitittimet ja verkkotulostimet) Löydät MAC-osoitteen asetusvalikosta.
Tietokoneen verkkokortin MAC-osoite löytyy sen ominaisuuksista. Voit tehdä tämän siirtymällä valikkoon "Ohjauspaneeli | Verkot ja Internet | Verkko- ja ohjauskeskus julkinen pääsy”, napsauta sitten ikkunan vasemmassa osassa linkkiä "Muuta sovittimen asetuksia", napsauta hiiren kakkospainikkeella käytettyä verkkokorttia ja valitse "Tila". Avautuvassa ikkunassa sinun on napsautettava "Tiedot" -painiketta ja katsottava "Physical Address" -riviä, jossa näkyy kuusi paria numeroita, jotka osoittavat verkkokorttisi MAC-osoitteen.
Siellä on lisää nopea tapa. Käytä sitä painamalla näppäinyhdistelmää "Win + R", kirjoita näkyviin tulevalle riville CMD ja napsauta "OK". Kirjoita avautuvaan ikkunaan komento:
Paina Enter". Etsi näytetyistä tiedoista rivit "Physical address" - tämä arvo on MAC-osoite.
Kun olet suojannut verkon fyysisesti, sinun on huolehdittava "puolustuksen" ohjelmistoosasta. Kattavat virustorjuntapaketit auttavat sinua tässä, palomuurit ja haavoittuvuusskannerit.
KANSIJOIHIN KÄYTÖN MÄÄRITTÄMINENÄlä sijoita kansioita, joissa on järjestelmätietoja tai vain tärkeitä tietoja, hakemistoihin, jotka ovat sisäisen verkon käyttäjien käytettävissä. Älä myöskään luo järjestelmäasemaan kansioita, jotka ovat käytettävissä verkosta. Kaikki tällaiset hakemistot, jos erityistä tarvetta ei ole, on parempi rajoittaa määrite "Vain luku". Muuten jaettuun kansioon voi asettua asiakirjoiksi naamioitu virus.
Palomuurin ASENNUS Ohjelmistopalomuurit on yleensä helppo asentaa ja niissä on itseoppiva tila. Sitä käytettäessä ohjelma kysyy käyttäjältä, mitkä yhteydet hän hyväksyy ja mitkä hän pitää tarpeellisena kieltää.
Suosittelemme käyttämään henkilökohtaisia palomuureja, jotka on rakennettu suosittuihin kaupallisiin tuotteisiin, kuten Kaspersky Internet Security, Norton internet Security, NOD Internet Security, sekä ilmaisia ratkaisuja, kuten Comodo Firewall. Tavallinen Windowsin palomuuri ei valitettavasti voi ylpeillä luotettavalla suojauksella, sillä se tarjoaa vain perusporttiasetukset.
Haavoittuvuustesti
Ohjelmat, jotka sisältävät "reikiä" ja väärin konfiguroituja suojaustyökaluja, muodostavat suurimman vaaran tietokoneen ja verkon terveydelle.
XSpider Helppokäyttöinen ohjelma verkon haavoittuvuuksien etsimiseen. Sen avulla voit nopeasti tunnistaa useimmat ajankohtaiset ongelmat sekä tarjota kuvauksen niistä ja joissakin tapauksissa ratkaisuja. Valitettavasti jokin aika sitten apuohjelmasta tuli maksettu, ja tämä on ehkä sen ainoa haittapuoli.
nmap ei-kaupallinen verkkoskanneri avata lähdekoodi. Ohjelma kehitettiin alun perin UNIX-käyttäjille, mutta myöhemmin suosion kasvun vuoksi se siirrettiin Windowsiin. Apuohjelma on suunniteltu edistyneille käyttäjille. Nmapilla on yksinkertainen ja käyttäjäystävällinen käyttöliittymä, mutta sen tuottamaa dataa ei ole helppo ymmärtää ilman perustietoja.
KIS 2013 Tämä paketti tarjoaa kattavan suojan lisäksi myös diagnostiikkatyökaluja. Sitä voidaan käyttää skannaamiseen asennetut ohjelmat kriittisten haavoittuvuuksien varalta. Tämän toimenpiteen seurauksena ohjelma näyttää luettelon apuohjelmista, joissa aukot on suljettava, ja voit saada yksityiskohtaisia tietoja kustakin haavoittuvuudesta ja sen korjaamisesta.
Verkkoasennusvinkkejä
Verkosta on mahdollista tehdä turvallisemmaksi ei vain sen käyttöönotto- ja konfigurointivaiheessa, vaan myös silloin, kun se on jo olemassa. Suojauksessa on otettava huomioon liitettyjen laitteiden määrä, verkkokaapelin sijainti, Wi-Fi-signaalin eteneminen ja sen esteiden tyypit.
SIJOITTAMISPÄÄSTÖ Arvioi, mikä alue sinun on tuotava Wi-Fi-peittoalueelle. Jos sinun on katettava vain asuntosi alue, älä aseta langatonta tukiasemaa ikkunoiden lähelle. Tämä vähentää heikosti suojatun kanavan sieppaamisen ja hakkeroinnin riskiä vartijat – ihmiset, jotka etsivät ilmaisia langattomia Internet-yhteyspisteitä ja käyttävät myös laittomia menetelmiä. On pidettävä mielessä, että jokainen betoniseinä vähentää signaalin voimakkuutta puoleen. Muista myös, että vaatekaapin peili on lähes läpäisemätön näyttö Wi-Fi-signaalille, jota voidaan joissain tapauksissa käyttää estämään radioaaltojen eteneminen tiettyihin suuntiin asunnossa. Lisäksi joidenkin Wi-Fi-reitittimien avulla voit säätää signaalin voimakkuutta laitteistolla. Tällä vaihtoehdolla voit rajoittaa pääsyn keinotekoisesti vain käyttäjille, jotka ovat huoneessa, jossa on hotspot. Tämän menetelmän haittana on signaalin mahdollinen puute asuntosi syrjäisillä alueilla.
KAAPELIEN ASENNUS Pääasiassa kaapelilla järjestetty verkko tarjoaa nopeimman ja luotettavimman tiedonsiirron, samalla kun se eliminoi mahdollisuuden kiilautua siihen sivulta, kuten Wi-Fi-yhteydellä voi tapahtua. mahdollisuus kiilautua siihen sivulta, kuten voi tapahtua Wi-Fi-yhteydellä.
Luvattomien kytkentöjen välttämiseksi kaapeliverkkoa asetettaessa on huolehdittava siitä, että johdot suojataan mekaanisilta vaurioilta, käytä erityisiä kaapelikanavia ja vältä paikkoja, joissa johto painuu liikaa tai päinvastoin kiristyy liikaa. Älä aseta kaapelia voimakkaiden häiriölähteiden lähelle tai alueelle, jossa on huono ympäristö (kriittiset lämpötilat ja kosteus). Voit myös käyttää suojattua kaapelia lisäsuojaksi.
SUOJAMME ELEMENTEILTÄ Salama vaikuttaa langallisiin ja langattomiin verkkoihin, ja joissain tapauksissa salamanisku voi vahingoittaa muutakin kuin vain verkkolaitteita tai verkkokortti, mutta myös monet PC-komponentit. Riskin vähentämiseksi älä unohda ensinnäkin pistorasioiden ja PC-komponenttien maadoitusta. Käytä pilottilaitteita, jotka käyttävät suojapiirit häiriöistä ja virtapiikkeistä.
Myös lähde voi olla parempi ratkaisu. katkeamaton virtalähde(UPS). Nykyaikaiset versiot sisältävät sekä jännitteen stabiloijat että autonomisen virtalähteen sekä erityiset liittimet verkkokaapelin kytkemiseksi niiden läpi. Jos salama iskee yllättäen Internet-palveluntarjoajan laitteisiin, tällainen UPS ei päästä haitallista virtalähdettä tietokoneesi verkkokorttiin. On syytä muistaa, että joka tapauksessa maadoitus pistorasiat tai itse laitteet ovat erittäin tärkeitä.
VPN-tunnelien rakentamiseen tarkoitettujen työkalujen käyttäminen
Melko luotettava tapa suojata verkon kautta siirrettyä tietoa ovat VPN-tunnelit (Virtual Private Network). Tunnelointitekniikan avulla voit luoda salatun kanavan, jonka kautta tietoja siirretään useiden laitteiden välillä. Kotiverkon tietoturvan lisäämiseksi on mahdollista järjestää VPN, mutta tämä on erittäin työlästä ja vaatii erityisosaamista. Yleisin tapa käyttää VPN:ää on muodostaa yhteys kotitietokoneeseesi ulkopuolelta, kuten työtietokoneeltasi. Siten koneesi välillä siirrettävät tiedot ovat hyvin suojattuja liikenteen salauksella. Näihin tarkoituksiin on parempi käyttää erittäin luotettavaa ilmaista Hamachi ohjelma. Tässä tapauksessa vaaditaan vain perustiedot VPN-organisaatiosta, mikä on valmistautumattoman käyttäjän vallassa.
Johdanto
Tämän aiheen merkitys piilee siinä, että Venäjän talouselämässä tapahtuvat muutokset - rahoitus- ja luottojärjestelmän luominen, erilaisten omistusmuotojen yritykset jne. - vaikuttaa merkittävästi tietoturvakysymyksiin. Pitkään maassamme oli vain yksi omaisuus - valtion omaisuus, joten tiedot ja salaisuudet olivat myös vain valtion omaisuutta, jota vartioivat voimakkaat erikoispalvelut. Ongelmia tietoturva Tietojen käsittelyn ja siirron teknisten keinojen tunkeutuminen lähes kaikille yhteiskunnan alueille ja ennen kaikkea tietokonejärjestelmiin pahentaa jatkuvasti. Hyökkäämisen kohteet voivat olla he itse teknisiä keinoja(tietokoneet ja oheislaitteet) aineellisina esineinä, ohjelmistoina ja tietokantoina, joiden teknisenä keinona on ympäristö. Jokainen tietokoneverkon vika ei ole vain "moraalinen" vahinko yrityksen työntekijöille ja verkonvalvojille. Sähköisten maksutekniikoiden, "paperittoman" työnkulun ja muiden kehittyessä paikallisten verkkojen vakava vika voi yksinkertaisesti halvaannuttaa kokonaisten yritysten ja pankkien työn, mikä johtaa lamauttaviin aineellisiin tappioihin. Ei ole sattumaa, että tietosuoja on otettu käyttöön Tietokoneverkot tulee yhdeksi nykyajan tietojenkäsittelytieteen akuuteimmista ongelmista. Tähän mennessä on muotoiltu kaksi tietoturvan perusperiaatetta, joiden tulee varmistaa: - tietojen eheys - suojaus tiedon katoamiseen johtavilta vikoja sekä tietojen luvattomalta luomiselta tai tuhoamiselta. - tietojen luottamuksellisuus ja samalla niiden saatavuus kaikkien valtuutettujen käyttäjien ulottuville. On myös huomattava, että tietyt toiminta-alueet (pankki- ja rahoituslaitokset, tietoverkot, järjestelmät hallituksen hallinnassa, puolustus- ja erikoisrakenteet) edellyttävät erityisiä tietoturvatoimenpiteitä ja asettavat lisääntyneitä vaatimuksia toiminnan luotettavuudelle tietojärjestelmä tehtävien luonteen ja tärkeyden mukaisesti.
Jos tietokone on kytketty paikalliseen verkkoon, tähän tietokoneeseen ja siinä oleviin tietoihin voidaan mahdollisesti saada luvaton pääsy paikallisverkosta.
Jos paikallinen verkko on yhdistetty muihin paikallisiin verkkoihin, näiden käyttäjät lisätään mahdollisiin luvattomiin käyttäjiin. etäverkot. Emme puhu tällaisen tietokoneen saavutettavuudesta verkosta tai kanavista, joiden kautta paikalliset verkot yhdistettiin, koska paikallisten verkkojen ulostuloissa on todennäköisesti laitteita, jotka salaavat ja ohjaavat liikennettä, ja tarvittavat toimenpiteet on tehty.
Jos tietokone on kytketty suoraan palveluntarjoajan kautta ulkoiseen verkkoon, esimerkiksi modeemin kautta Internetiin, etävuorovaikutusta varten paikallisen verkkonsa kanssa, tietokone ja siinä olevat tiedot ovat mahdollisesti Internetin hakkereiden käytettävissä. Ja epämiellyttävin asia on, että hakkerit voivat myös käyttää paikallisia verkkoresursseja tämän tietokoneen kautta.
Luonnollisesti myös kaikille sellaisille yhteyksille säännölliset varat käyttöjärjestelmän kulunvalvonta tai erityiset suojakeinot luvatonta pääsyä vastaan tai salausjärjestelmät tiettyjen sovellusten tasolla tai molemmat.
Kaikki nämä toimenpiteet eivät kuitenkaan valitettavasti voi taata haluttua turvallisuutta verkkohyökkäysten aikana, ja tämä johtuu seuraavista tärkeimmistä syistä:
Käyttöjärjestelmät (OS), erityisesti WINDOWS, ovat ohjelmistotuotteita erittäin monimutkaisia, jotka ovat luoneet suuret kehittäjäryhmät. Näiden järjestelmien yksityiskohtainen analyysi on erittäin vaikeaa. Tässä yhteydessä ei ole mahdollista luotettavasti perustella niille vahingossa tai tarkoituksella käyttöjärjestelmään jätettyjen vakioominaisuuksien, virheiden tai dokumentoimattomien ominaisuuksien puuttumista, joita voitaisiin käyttää verkkohyökkäyksillä, se ei ole mahdollista.
Moniajokäyttöjärjestelmässä, erityisesti WINDOWSissa, useita eri sovelluksia voi toimia samanaikaisesti, ...
Tietoturvasääntöjä on tässä tapauksessa noudatettava sekä palveluntarjoajan että sen asiakkaan toimesta. Toisin sanoen haavoittuvuuskohtaa on kaksi (asiakkaan ja palveluntarjoajan puolella), ja jokainen tämän järjestelmän osallistuja on pakotettu puolustamaan etujaan.
Asiakkaan näkökulma
Sähköisessä ympäristössä asioiminen vaatii nopeita tiedonsiirtokanavia, ja jos ennen palveluntarjoajien pääraha tehtiin Internetiin liittymisestä, niin nyt asiakkaille asetetaan melko tiukat vaatimukset tarjottavien palveluiden turvallisuudelle.
Lännessä on ilmestynyt useita laitteistoja, jotka tarjoavat suojatun yhteyden kotiverkkoihin. Niitä kutsutaan yleisesti "SOHO-ratkaisuiksi", ja ne yhdistävät laitteiston palomuurin, moniporttisen keskittimen, DHCP-palvelimen ja VPN-reitittimen toiminnot. Esimerkiksi Cisco PIX Firewallin ja WatchGuard FireBoxin kehittäjät valitsivat tämän polun. Ohjelmistopalomuurit ovat säilyneet vain henkilökohtaisella tasolla, ja niitä käytetään lisäsuojana.
SOHO-luokan laitteistopalomuurien kehittäjät uskovat, että näiden laitteiden tulee olla helposti hallittavia, "läpinäkyviä" (eli näkymättömiä) kotiverkon käyttäjälle ja vastattava kustannuksiltaan suorien vahinkojen määrää. mahdollisia toimia hyökkääjät. Keskimääräinen vahingon määrä onnistuneessa hyökkäyksessä kotiverkko arvoltaan noin 500 dollaria.
Kotiverkkosi suojaamiseksi voit myös käyttää ohjelmistopalomuuria tai yksinkertaisesti poistaa tarpeettomat protokollat ja palvelut asetusasetuksista. Paras vaihtoehto on, että palveluntarjoaja testaa useita henkilökohtaisia palomuureja, määrittää niille oman suojausjärjestelmän ja tarjoaa niille teknistä tukea. Erityisesti näin tekee 2COM-palveluntarjoaja, joka tarjoaa asiakkailleen joukon testattuja näyttöjä ja vinkkejä niiden asettamiseen. Yksinkertaisimmassa tapauksessa suositellaan, että melkein kaikki verkko-osoitteet julistetaan vaarallisiksi osoitteita lukuun ottamatta paikallinen tietokone ja yhdyskäytävä, jonka kautta Internet-yhteys muodostetaan. Jos asiakaspuolen ohjelmisto- tai laitteistonäyttö on havainnut tunkeutumisen merkkejä, siitä tulee välittömästi ilmoittaa palveluntarjoajan tekniselle tukipalvelulle.
On huomattava, että palomuuri suojaa ulkoisilta uhilta, mutta ei suojaa käyttäjän virheiltä. Siksi, vaikka palveluntarjoaja tai asiakas olisi asentanut jonkinlaisen suojausjärjestelmän, molempien osapuolten on silti noudatettava useita melko yksinkertaisia sääntöjä hyökkäysten todennäköisyyden minimoimiseksi. Ensin kannattaa jättää mahdollisimman vähän henkilökohtaisia tietoja Internetiin, yrittää välttää luottokortilla maksamista tai ainakin tarkistaa, että palvelimella on digitaalinen varmenne. Toiseksi, sinun ei pitäisi ladata verkosta ja suorittaa tietokoneellasi ohjelmia, etenkään ilmaisia. Ei myöskään ole suositeltavaa asettaa paikallisia resursseja saataville ulkopuolelta, tukea tarpeettomia protokollia (kuten IPX tai SMB) tai käyttää oletusasetuksia (kuten piilottaa tiedostotunnisteet).
Erityisen vaarallista on suorittaa sähköpostiin liitettyjä komentosarjoja. Sähköposti, ja on parempi olla käyttämättä Outlookia ollenkaan, koska useimmat virukset on kirjoitettu erityisesti tätä sähköpostiohjelmaa varten. Joissain tapauksissa on turvallisempaa käyttää web-postipalveluita sähköpostiin, koska virukset eivät yleensä leviä niiden kautta. Esimerkiksi 2COM-palveluntarjoaja tarjoaa ilmaisen verkkopalvelun, jonka avulla voit lukea tietoja ulkopuolelta postilaatikoita ja lataa osoitteeseen paikallinen kone vain asiaankuuluvat viestit.
Palveluntarjoajat eivät yleensä tarjoa turvallisia pääsypalveluita. Tosiasia on, että asiakkaan haavoittuvuus riippuu usein hänen omista toimistaan, joten onnistuneen hyökkäyksen tapauksessa on melko vaikea todistaa, kuka tarkalleen teki virheen - asiakas vai palveluntarjoaja. Lisäksi hyökkäyksen tosiasia on vielä tallennettava, ja tämä voidaan tehdä vain todistettujen ja varmennettujen keinojen avulla. Myöskään murron aiheuttamien vahinkojen arvioiminen ei ole helppoa. Pääsääntöisesti määritetään vain sen vähimmäisarvo, jolle on ominaista aika palauttaa järjestelmän normaali toiminta.
Palveluntarjoajat voivat varmistaa sähköpostipalveluiden turvallisuuden tarkistamalla kaikki saapuvat sähköpostit virustorjuntaohjelmat, sekä estää kaikki protokollat paitsi tärkeimmät protokollat (Web, sähköposti, uutiset, ICQ, IRC ja jotkut muut). Operaattorit eivät aina pysty seuraamaan, mitä kotiverkon sisäisissä osissa tapahtuu, mutta koska he joutuvat puolustautumaan ulkoisilta hyökkäyksiltä (mikä on myös käyttäjän suojauspolitiikan mukaista), asiakkaiden on oltava vuorovaikutuksessa tietoturvapalveluidensa kanssa. On muistettava, että palveluntarjoaja ei takaa käyttäjien ehdotonta turvallisuutta - se tavoittelee vain omaa kaupallista etuaan. Usein tilaajiin kohdistuvat hyökkäykset liittyvät heille lähetetyn tiedon määrän voimakkaaseen nousuun, josta operaattori itse asiassa ansaitsee rahaa. Tämä tarkoittaa, että palveluntarjoajan edut voivat joskus olla ristiriidassa kuluttajan etujen kanssa.
Palveluntarjoajan näkökulma
Kotiverkkopalveluntarjoajille suurimmat ongelmat ovat luvattomat yhteydet ja suuri sisäinen liikenne. Kotiverkkoja käytetään usein peleissä, jotka eivät ylitä yhden asuinrakennuksen paikallisverkkoa, mutta voivat johtaa sen kokonaisten osien tukkimiseen. Tässä tapauksessa Internetissä työskentely on vaikeaa, mikä aiheuttaa kaupallisten asiakkaiden reilua tyytymättömyyttä.
Taloudellisten kustannusten kannalta palveluntarjoajat ovat kiinnostuneita kotiverkon suojauksen ja hallinnan varmistamiseen käytettävien varojen minimoimisesta. Samalla he eivät aina pysty järjestämään asiakkaan asianmukaista suojaa, koska se vaatii käyttäjältä tiettyjä kustannuksia ja rajoituksia. Valitettavasti kaikki tilaajat eivät ole tästä samaa mieltä.
Tyypillisesti kotiverkot on järjestetty seuraavasti: on keskusreititin, jossa on Internet-yhteys, ja siihen on liitetty laaja korttelin, talon ja sisäänkäynnin verkko. Luonnollisesti reititin toimii palomuurina, joka erottaa kotiverkon muusta Internetistä. Se toteuttaa useita suojamekanismeja, mutta yleisimmin käytetty on osoitekäännös, jonka avulla voit samanaikaisesti piilottaa verkon sisäisen infrastruktuurin ja tallentaa palveluntarjoajan todelliset IP-osoitteet.
Jotkut palveluntarjoajat kuitenkin myöntävät asiakkailleen oikeita IP-osoitteita (esimerkiksi tämä tapahtuu Mitinon mikropiirin verkossa, joka on yhdistetty Moskovan palveluntarjoajaan MTU-Intel). Tällöin käyttäjän tietokoneeseen pääsee suoraan Internetistä, joten sen suojaaminen on vaikeampaa. Ei ole yllättävää, tarjonnan taakka tietojen suojaaminen jää kokonaan tilaajille, kun taas operaattori jää ainoa tapa hallita toimintaansa - IP- ja MAC-osoitteiden avulla. Nykyaikaiset Ethernet-sovittimet mahdollistavat kuitenkin molempien parametrien ohjelmoinnin muuttamisen käyttöjärjestelmätasolla, ja toimittaja on puolustuskyvytön häikäilemätöntä asiakasta vastaan.
Tietysti joillekin sovelluksille on varattava todellisia IP-osoitteita. Todellisen staattisen IP-osoitteen antaminen asiakkaalle on varsin vaarallista, koska jos tällä osoitteella varustettua palvelinta vastaan hyökätään onnistuneesti, muu sisäinen verkko pääsee käsiksi sen kautta.
Yksi kompromissiratkaisuista ongelmaan turvallinen käyttö IP-osoitteet kotiverkossa on VPN-tekniikan toteutus yhdistettynä dynaamiseen osoitteenvarausmekanismiin. Lyhyesti kaava on seuraava. Salattu tunneli muodostetaan asiakaskoneesta reitittimeen PPTP-protokollan avulla. Koska Windows on tukenut tätä protokollaa versiosta 95 lähtien, ja se on nyt toteutettu muille käyttöjärjestelmät, asiakkaan ei tarvitse asentaa lisäohjelmistoja - tarvitaan vain jo asennettujen komponenttien konfigurointi. Kun käyttäjä muodostaa yhteyden Internetiin, hän muodostaa ensin yhteyden reitittimeen, kirjautuu sitten sisään, vastaanottaa IP-osoitteen ja vasta sen jälkeen voi aloittaa Internet-työskentelyn.
Määritetty yhteystyyppi vastaa tavallista puhelinverkkoyhteyttä sillä erolla, että kun se on asennettu, voit asettaa melkein minkä tahansa nopeuden. Jopa sisäkkäiset VPN-aliverkot toimivat tämän järjestelmän mukaisesti, jota voidaan käyttää asiakkaiden etäyhteyden muodostamiseen yritysverkkoon. Jokaisen käyttäjäistunnon aikana palveluntarjoaja varaa dynaamisesti joko todellisen tai virtuaalisen IP-osoitteen. Muuten, 2COM:n todellinen IP-osoite maksaa yhden dollarin enemmän kuukaudessa kuin virtuaalinen.
VPN-yhteyksien toteuttamiseksi 2COM on kehittänyt oman erikoisreitittimen, joka suorittaa kaikki yllä luetellut toiminnot sekä laskutuspalvelut. On huomattava, että pakettien salaus ei ole vastuussa prosessori, mutta erikoistuneella apuprosessorilla, jonka avulla voit tukea samanaikaisesti jopa 500 virtuaalista VPN-kanavaa. Yhtä tällaista kryptorouteria 2COM-verkossa käytetään useiden talojen yhdistämiseen kerralla.
Yleisesti parhaalla mahdollisella tavalla kotiverkon suojaaminen on läheistä vuorovaikutusta palveluntarjoajan ja asiakkaan välillä, jossa jokaisella on mahdollisuus puolustaa etujaan. Ensi silmäyksellä kotiverkon suojausmenetelmät näyttävät samanlaisilta kuin varmistamiseen käytetyt menetelmät yrityksen turvallisuus, Mutta itse asiassa se ei ole. Yrityksissä on tapana asettaa melko tiukat säännöt työntekijöiden käyttäytymiselle tiettyä tietoturvapolitiikkaa noudattaen. Kotiverkossa tämä vaihtoehto ei toimi: jokainen asiakas tarvitsee omat palvelunsa ja kirjoittaa yleiset säännöt käyttäytyminen ei aina onnistu. Siksi luotettavan kotiverkon turvajärjestelmän rakentaminen on paljon vaikeampaa kuin yritysverkon turvaaminen.
PNST301-2018/ISO/IEC 24767-1:2008
VENÄJÄN FEDERAATIOIN ALUSTAVA KANSALLINEN STANDARDI
Tietotekniikka
KOTIVERKKO TURVALLISUUS
Turvallisuusvaatimukset
tietotekniikka. kotiverkon turvallisuus. Osa 1 Turvavaatimukset
OKS 35.110, 35.200, 35.240.99
Voimassa 2019-02-01
Esipuhe
Esipuhe
1 VALMISTAJA liittovaltion valtion budjettikorkeakoulu "G.V. Plekhanovin mukaan nimetty Venäjän kauppakorkeakoulu" (FGBOU VO "PREU G.V. Plekhanovin mukaan") perustuen sen omaan venäjäksi käännökseen kansainvälisen standardin englanninkielisestä versiosta, joka on määritelty kohta 4
2 TEKNIISTÄ standardointikomitea TC 22 "Information Technology"
3 HYVÄKSYTTY JA SAATTU voimaan liittovaltion teknisten määräysten ja metrologian viraston määräyksellä, joka on päivätty 4. syyskuuta 2018 N38-pnst
4Tämä standardi on identtinen ISO/IEC 24767-1:2008* kansainvälisen standardin "Tietotekniikka - Kotiverkon suojaus - Osa 1: Suojausvaatimukset" kanssa (ISO/IEC 24767-1:2008, "Tietotekniikka - Kotiverkon suojaus - Osa 1 : Turvavaatimukset", IDT)
________________
* Pääsy jäljempänä tekstissä mainittuihin kansainvälisiin ja ulkomaisiin asiakirjoihin pääsee klikkaamalla linkkiä sivustolle. - Tietokannan valmistajan huomautus.
Säännöt tämän standardin soveltamisesta ja sen valvonnasta on vahvistettu vuonna GOST R 1.16-2011 (kohdat 5 ja 6).
Liittovaltion teknisten määräysten ja metrologian virasto kerää tietoja tämän standardin käytännön soveltamisesta. Nämä tiedot sekä kommentit ja ehdotukset standardin sisällöstä voidaan lähettää viimeistään 4 kuukaudet ennen sen voimassaolon päättymistä tämän standardin kehittäjälle osoitteeseen: 117997 Moskova, Stremyanny pereulok, 36, liittovaltion talousarvion mukainen korkea-asteen oppilaitos "REUnimetty G.V. Plekhanovin mukaan"ja liittovaltion teknisten määräysten ja metrologian virastolle osoitteessa: 109074 Moskova, Kitaygorodsky proezd, 7, rakennus 1.
Jos tämä standardi peruutetaan, asiaankuuluvat tiedot julkaistaan kuukausittaisessa tietohakemistossa "Kansalliset standardit" ja ne julkaistaan myös liittovaltion teknisen määräyksen ja metrologian viraston virallisella verkkosivustolla Internetissä (www.gost.ru)
Johdanto
ISO (International Organisation for Standardization) ja IEC (International Electrotechnical Commission) muodostavat erikoistuneen maailmanlaajuisen standardointijärjestelmän. Kansalliset elimet, jotka ovat ISO:n tai IEC:n jäseniä, osallistuvat kansainvälisten standardien kehittämiseen teknisten komiteoiden kautta. Kaikki ISO:n tai IEC:n jäsenet kiinnostuneet tahot voivat osallistua standardin kehittämiseen tietyllä alueella. Työhön osallistuvat myös muut kansainväliset organisaatiot, valtiolliset ja kansalaisjärjestöt, jotka ovat yhteydessä ISO:han ja IEC:hen.
Tietotekniikan alalla ISO ja IEC ovat perustaneet ISO/IEC:n yhteisen teknisen komitean JTC 1:n. Teknisen sekakomitean laatimat kansainväliset standardiluonnokset toimitetaan kansallisille komiteoille äänestämistä varten. Kansainvälisenä standardina julkaiseminen edellyttää vähintään 75 %:n äänestävistä kansallisista komiteoista hyväksynnän.
IEC:n ja ISO:n muodolliset päätökset tai sopimukset teknisistä asioista ilmaisevat mahdollisuuksien mukaan kansainvälisen yksimielisyyden asiaan liittyvissä asioissa, koska jokaisessa teknisessä komiteassa on edustajia kaikista kiinnostuneista IEC:n ja ISO:n kansallisista jäsenelimistä.
IEC-, ISO- ja ISO/IEC-julkaisut ovat suositusten muodossa kansainväliseen käyttöön, ja IEC:n ja ISO:n jäsenmaiden kansalliset komiteat hyväksyvät ne tässä mielessä. Kaikista tarkkuuden varmistamiseksi tehdyistä ponnisteluista huolimatta tekninen sisältö IEC, ISO ja ISO/IEC-julkaisut, IEC tai ISO eivät ota vastuuta siitä, miten niitä käytetään, tai loppukäyttäjän virheellisistä tulkinnoista.
Kansainvälisen harmonisoinnin (yksi järjestelmä) varmistamiseksi IEC:n ja ISO:n kansalliset komiteat sitoutuvat varmistamaan IEC:n, ISO:n ja ISO/IEC:n kansainvälisten standardien soveltamisen mahdollisimman suuren läpinäkyvyyden, mikäli tietyn maan kansalliset ja alueelliset olosuhteet sen sallivat. Kaikki ISO/IEC-julkaisujen ja vastaavien kansallisten tai alueellisten standardien väliset erot on ilmoitettava selvästi viimeksi mainitussa.
ISO:lla ja IEC:llä ei ole merkintämenettelyjä, eivätkä ne ole vastuussa mistään laitteesta, jonka väitetään olevan jonkin ISO/IEC-standardin mukainen.
Kaikkien käyttäjien tulee varmistaa, että he käyttävät tämän julkaisun viimeisintä painosta.
IEC tai ISO, niiden johto, työntekijät, työntekijät tai edustajat, mukaan lukien yksittäiset asiantuntijat ja niiden teknisten komiteoiden jäsenet sekä IEC:n tai ISO:n kansallisten komiteoiden jäsenet, eivät ole vastuussa onnettomuuksista, omaisuusvahingoista tai muista vahingoista, olivatpa ne suoria tai välillisiä, tai tämän ISO/IEC-julkaisun tai muun IEC-, ISO- tai ISO/IEC-julkaisun julkaisemisesta tai käytöstä aiheutuneista kuluista (mukaan lukien oikeudenkäyntikulut).
Tässä julkaisussa viitattu normidokumentaatio vaatii erityistä huomiota.Viiteasiakirjojen käyttö on välttämätöntä tämän julkaisun oikean soveltamisen kannalta.
Huomiota kiinnitetään siihen tosiasiaan, että jotkut tämän kansainvälisen standardin elementit voivat olla patenttioikeuksien kohteena. ISO ja IEC eivät ole vastuussa minkään tai kaikkien tällaisten patenttioikeuksien määrittämisestä.
Kansainvälisen standardin ISO/IEC 24767-1 on kehittänyt ISO/IEC:n yhteisen teknisen komitean 1, Tietotekniikka, alakomitea 25, Tietotekniikkalaitteiden yhteenliittäminen.
Luettelo kaikista tällä hetkellä saatavilla olevista ISO/IEC 24767 -sarjan osista yleisotsikon "Information technology - Home network security" alla on saatavilla IEC:n verkkosivuilla.
1 käyttöalue
Tämä kansainvälinen standardi määrittelee vaatimukset kotiverkon suojaamiseksi sisäisiltä tai ulkoisilta uhilta. Standardi toimii perustana sisäistä ympäristöä erilaisilta uhilta suojaavien turvajärjestelmien kehittämiselle.
Turvallisuusvaatimuksia käsitellään tässä kansainvälisessä standardissa suhteellisen epävirallisesti.Vaikka monet tässä kansainvälisessä standardissa käsitellyistä aiheista ovat ohjenuorana sekä intranetin että Internetin turvajärjestelmien kehittämisessä, ne ovat luonteeltaan epävirallisia vaatimuksia.
Yhdistetty sisäiseen (koti) verkkoon erilaisia laitteita(katso kuva 1). "Kodinkoneverkko"-, "audio/video-viihde"- ja "tietosovellus"-laitteet ovat eri toiminnot ja suorituskyky. Tämä kansainvälinen standardi tarjoaa keinot analysoida jokaisen verkkoon kytketyn laitteen riskit ja määrittää kunkin laitteen turvallisuusvaatimukset.
2Termit, määritelmät ja lyhenteet
2.1 Termit ja määritelmät
Tässä standardissa sovelletaan seuraavia termejä ja määritelmiä:
2.1.1 viihde-elektroniikka(ruskeat tavarat): Ääni-/videolaitteet, joita käytetään ensisijaisesti viihdetarkoituksiin, kuten televisio tai DVD-tallennin.
2.1.2luottamuksellisuus(luottamuksellisuus): Ominaisuus, joka varmistaa, että tiedot eivät ole luvattomien henkilöiden, organisaatioiden tai prosessien saatavilla tai paljastamatta niitä.
2.1.3 tietojen todennus(datan todennus): Palvelu, jolla varmistetaan, että väitetty tietolähde on vahvistettu oikein.
2.1.4 tietojen eheys(tietojen eheys): Ominaisuus, joka vahvistaa, että tietoja ei ole muokattu tai tuhottu luvatta.
2.1.5 käyttäjän todennus(käyttäjätunnistus): Palvelu, jolla varmistetaan, että viestinnän osallistujan esittämät henkilötiedot tarkistetaan oikein, kun taas valtuutuspalvelu varmistaa, että tunnistetulla ja valtuutetulla käyttäjällä on pääsy tietty laite tai kotiverkkosovellus.
2.1.6 Kodinkoneet(kotitavarat): Jokapäiväisessä elämässä käytettävät laitteet, kuten ilmastointi, jääkaappi jne.
2.2 Lyhenteet
Tässä standardissa käytetään seuraavia lyhenteitä:
3 Yhteensopivuus
Tämä kansainvälinen standardi sisältää ohjeita ilman vaatimustenmukaisuusvaatimuksia.
4Sisäisten kodin elektronisten järjestelmien ja verkkojen turvallisuusvaatimukset
4.1 Yleiset määräykset
Internetin ja siihen liittyvien verkkotekniikoiden nopean kehityksen myötä on tullut mahdolliseksi muodostaa kommunikointi toimistojen ja kotien tietokoneiden välillä ulkomaailman kanssa, mikä mahdollistaa pääsyn moniin resursseihin. Nykyään tämän menestyksen perustana olleet tekniikat ovat saavuttaneet koteihinsa ja tarjoavat mahdollisuuden liittää laitteita samalla tavalla kuin henkilökohtaiset tietokoneet. Siten niiden avulla käyttäjät voivat valvoa ja ohjata kodinkoneitaan sekä kodin sisältä että ulkopuolelta, vaan myös luoda uusia palveluita ja ominaisuuksia, kuten kodinkoneiden kauko-ohjauksen ja huollon. Tämä tarkoittaa, että kodin normaali tietokoneympäristö muuttuu sisäiseksi kotiverkoksi, joka yhdistää monia laitteita, jotka on myös turvattava.
Sekä kodin että järjestelmän asukkaiden, käyttäjien ja omistajien tulee luottaa kodin sähköjärjestelmään. Kodin sähköisen turvallisuuden tavoite järjestelmiä tarjoava luottamusta järjestelmään. Koska monet kodin komponentit elektroninen järjestelmä ovat toiminnassa jatkuvasti, 24 tuntia vuorokaudessa ja vaihtavat automaattisesti tietoja ulkomaailman kanssa, tietoturva on tarpeen tietojen ja järjestelmän luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi.Oikein toteutettu tietoturvaratkaisu edellyttää mm. järjestelmää ja tallennetut, saapuvat ja lähtevät tiedot saavat vain valtuutetut käyttäjät ja prosessit ja että vain valtuutetut käyttäjät voivat käyttää järjestelmää ja tehdä siihen muutoksia.
HES-verkon turvallisuusvaatimukset voidaan kuvata monella tapaa. Tämä standardi rajoittuu HES-verkon tietoturvaan. Tietoteknisen turvallisuuden on kuitenkin mentävä itse järjestelmää pidemmälle, sillä kodin on toimittava, vaikkakin rajoitetuilla ominaisuuksilla, IT-järjestelmän vian sattuessa.HES-verkon normaalisti tukema älykkyys voidaan suorittaa myös järjestelmän linkityksessä ovat rikki. Tällaisissa tapauksissa voidaan ymmärtää, että on olemassa turvallisuusvaatimuksia, jotka eivät voi olla osa järjestelmää itseään, mutta järjestelmän ei pitäisi kieltää vararatkaisujen toteuttamista.
Turvallisuusasioista kiinnostuneita on useita. Kodin sähköiseen järjestelmään tulee luottaa paitsi asukkaiden ja omistajien, myös palvelun- ja sisällöntuottajien. Jälkimmäisten tulee varmistaa, että heidän tarjoamiaan palveluita ja sisältöä käytetään vain sallitulla tavalla. Yksi järjestelmän turvallisuuden perusperiaatteista on kuitenkin se, että tietyn tietoturvapalvelun ylläpitäjän tulee olla vastuussa siitä. On selvää, että tällainen vastuu tulee antaa asukkaille (järjestelmän omistajille). Sillä ei ole väliä, tekeekö järjestelmänvalvoja sen henkilökohtaisesti vai ulkoistaako sen. Joka tapauksessa tietoturvan ylläpitäjä on vastuussa. Kysymys palvelun- ja sisällöntuottajien luottamuksesta kodin sähköiseen järjestelmään ja heidän luottamukseensa siihen, että käyttäjät käyttävät palveluitaan ja sisältöään asianmukaisesti, määräytyvät osapuolten välisillä sopimusvelvoitteilla. Sopimuksessa voi esimerkiksi luetella ne ominaisuudet, komponentit tai prosessit, joita kodin elektroniikkajärjestelmän tulee tukea.
Kodin elektroniikkajärjestelmän arkkitehtuuri on erilainen erityyppisissä kodeissa. Jokaiselle mallille voi olla tietty joukko turvallisuusvaatimuksia. Alla on kuvaus kolmesta erilaisesta kodin elektroniikkajärjestelmämallista, joilla on erilaiset turvallisuusvaatimukset.
Tietenkin jotkut turvallisuusvaatimukset ovat tärkeämpiä kuin toiset. Näin ollen on selvää, että joidenkin vastatoimien tukeminen on valinnaista. Lisäksi vastatoimet voivat vaihdella laadultaan ja kustannuksiltaan. Myös erilaisia taitoja voidaan tarvita tällaisten vastatoimien hallitsemiseksi ja ylläpitämiseksi. Tämä kansainvälinen standardi yrittää selventää lueteltujen turvavaatimusten taustalla olevia syitä ja antaa siten kodin elektroniikkajärjestelmän suunnittelijoille mahdollisuuden määrittää, mitä turvaominaisuuksia tietyn järjestelmän tulisi tukea. kotijärjestelmä ja mikä mekanismi olisi valittava tällaisia toimintoja varten, kun otetaan huomioon laatuvaatimukset sekä hallinta- ja ylläpitotoimet.
Sisäisen verkon turvallisuusvaatimukset riippuvat turvallisuuden ja "kodin" määritelmästä sekä siitä, mitä "verkolla" kyseisessä kodissa tarkoitetaan. Jos verkko on yksinkertaisesti kanava, joka yhdistää yhden tietokoneen tulostimeen tai kaapelimodeemiin, kotiverkon turvaamiseksi riittää, että suojataan tämä kanava ja siihen liitetyt laitteet.
Jos verkkotunnuksessa on kuitenkin kymmeniä, ellei satoja, verkkolaitteita, joista osa kuuluu koko taloudelle ja osa kodin ihmisille, on otettava käyttöön kehittyneempiä turvatoimia.
4.2Kodin elektroniikkajärjestelmän turvallisuus
4.2.1 Kodin elektroniikkajärjestelmän ja järjestelmän turvallisuuden määrittäminen
Kodin elektroninen järjestelmä ja verkko voidaan määritellä joukoksi elementtejä, jotka prosessoivat, lähettävät, tallentavat ja hallitsevat tietoa mahdollistaakseen kodissa olevien lukuisten laskenta-, ohjaus- ja viestintälaitteiden viestinnän ja integroinnin.
Lisäksi kodin elektroniset järjestelmät ja verkot tarjoavat yhteenliittämisen viihde- ja tietolaitteiden sekä viestintä- ja turvalaitteiden sekä kodin kodinkoneiden välillä. Tällaiset laitteet ja laitteet vaihtavat tietoja, niitä voidaan ohjata ja ohjata kotona tai etänä. Näin ollen kaikki sisäverkot tarvitsevat joitain suojamekanismeja päivittäisen toimintansa suojaamiseksi.
Verkko- ja tietoturvallisuus voidaan ymmärtää verkon tai tietojärjestelmän kykynä vastustaa satunnaisia tapahtumia tai haitallisia toimia tietyllä tasolla. Tällaiset tapahtumat tai toiminnot voivat vaarantaa tallennettujen tai siirrettävien tietojen sekä niihin liittyvien palvelujen saatavuuden, aitouden, aitouden ja luottamuksellisuuden tällaisten verkkojen ja järjestelmien kautta.
Tietoturvaloukkaukset voidaan ryhmitellä seuraaviin ryhmiin:
Sähköposti voidaan siepata, tietoja voidaan kopioida tai muuttaa. Tämä voi aiheuttaa vahinkoa, joka aiheutuu sekä henkilön yksityisyyden suojan loukkaamisesta että siepattujen tietojen väärinkäytöstä;
Luvaton pääsy tietokoneeseen ja sisäisiin tietokoneverkkoihin tapahtuu yleensä haitallisella tarkoituksella kopioida, muokata tai tuhota tietoja, ja se voi ulottua kodin automaattisiin laitteisiin ja järjestelmiin;
Haitalliset hyökkäykset Internetiin ovat yleistyneet, ja puhelinverkko voi myös tulla haavoittuvammaksi tulevaisuudessa;
Haittaohjelmat, kuten virukset, voivat poistaa tietokoneen käytöstä, poistaa tai muokata tietoja tai ohjelmoida uudelleen kodinkoneita. Jotkut virushyökkäykset ovat olleet melko tuhoisia ja kalliita;
Yksityishenkilöitä koskevien tietojen vääristäminen tai oikeushenkilöitä voi aiheuttaa merkittävää haittaa, kuten asiakkaat lataavat haittaohjelmia luotetuksi lähteeksi naamioituneelta verkkosivustolta, sopimuksia voidaan irtisanoa ja luottamuksellisia tietoja voidaan lähettää väärille vastaanottajille;
Monet tietoturvaloukkaukset liittyvät odottamattomiin ja tahattomiin tapahtumiin, kuten luonnonkatastrofeihin (tulvat, myrskyt ja maanjäristykset), laitteistoihin tai ohjelmisto sekä inhimillinen tekijä.
Nykyään lähes jokaisessa asunnossa on kotiverkko, joka yhdistää pöytätietokoneet, kannettavat tietokoneet, datamuistit (NAS), mediasoittimet, älytelevisiot sekä älypuhelimet, tabletit ja muut puettavat laitteet. Käytetään joko langallisia (Ethernet) tai langattomia (Wi-Fi) yhteyksiä ja TCP/IP-protokollia. Internet of Things -teknologioiden kehittymisen myötä kodinkoneet - jääkaapit, kahvinkeittimet, ilmastointilaitteet ja jopa sähköasennuslaitteet - ovat tulleet verkkoon. Kiitos ratkaisuista Älykäs talo» voimme ohjata valaistuksen kirkkautta, etäsäätää tilojen mikroilmastoa, käynnistää ja sammuttaa erilaisia laitteita - tämä helpottaa elämää paljon, mutta voi aiheuttaa vakavia ongelmia edistyneiden ratkaisujen omistajalle.
Valitettavasti tällaisten laitteiden kehittäjät eivät vielä välitä tarpeeksi tuotteidensa turvallisuudesta, ja niistä löydettyjen haavoittuvuuksien määrä kasvaa kuin sieniä sateen jälkeen. Ei ole harvinaista, että laite lakkaa olemasta tuettu markkinoille tulon jälkeen - esimerkiksi televisiossamme on vuoden 2016 laiteohjelmisto, joka perustuu Android 4:ään, eikä valmistaja aio päivittää sitä. Vieraat lisäävät myös ongelmia: on hankalaa kieltää heiltä pääsy Wi-Fi-verkkoon, mutta en myöskään haluaisi päästää ketään viihtyisään verkkooni. Kuka tietää, mitkä virukset voivat asettua vieraisiin ihmisiin matkapuhelimet? Kaikki tämä johtaa tarpeeseen jakaa kotiverkko useisiin erillisiin segmentteihin. Yritetään selvittää, miten se tehdään, kuten sanotaan, pienellä verenvuodatuksella ja pienin taloudellisin kustannuksin.
Eristä Wi-Fi-verkot
SISÄÄN yritysten verkot ongelma ratkeaa yksinkertaisesti - siellä on hallittuja kytkimiä, jotka tukevat virtuaalisia lähiverkkoja (VLAN), erilaisia reitittimiä, palomuureja ja langattomia tukiasemia - voit rakentaa tarvittavan määrän eristettyjä segmenttejä muutamassa tunnissa. Esimerkiksi Traffic Inspector Next Generation (TING) -laitteen avulla tehtävä ratkeaa muutamalla napsautuksella. Riittää, kun kytketään vierasverkkosegmentin kytkin erilliseen Ethernet-porttiin ja luodaan palomuurisäännöt. Kotiin tämä vaihtoehto ei sovellu kalliiden laitekustannusten vuoksi - useimmiten verkkoamme ohjaa yksi laite, joka yhdistää reitittimen, kytkimen, langattoman tukiaseman ja jumala tietää mitä muuta toiminnot.
Onneksi myös nykyaikaisista kotitalouksien reitittimistä (vaikka olisi oikeampaa kutsua niitä reitittimiksi) on tullut erittäin älykkäitä, ja melkein kaikilla, paitsi ehkä erittäin edullisilla, on kyky luoda eristetty vieras Wi-Fi-verkko. Tämän eristyksen luotettavuus on erillisen artikkelin kysymys, tänään emme tutki eri valmistajien kotitalouslaitteiden laiteohjelmistoja. Esimerkkinä otetaan ZyXEL Keenetic Ylimääräinen II. Nyt tästä linjasta on tullut yksinkertaisesti Keenetic, mutta ZyXEL-brändillä julkaistu laite putosi käsiimme.
Verkkokäyttöliittymän kautta asettaminen ei aiheuta vaikeuksia edes aloittelijoille - muutama napsautus, ja meillä on erillinen langaton verkko, jossa on oma SSID, WPA2-suojaus ja pääsysalasana. Voit päästää vieraita siihen sekä käynnistää televisiot ja soittimet, joiden laiteohjelmistoa ei ole päivitetty pitkään aikaan, tai muita asiakkaita, joihin et erityisen luota. Useimmissa muiden valmistajien laitteissa tämä toiminto, toistamme, on myös läsnä ja käytössä samalla tavalla. Näin ongelma ratkaistaan esimerkiksi laiteohjelmistossa D-Link reitittimet käyttämällä ohjattua asennustoimintoa.
Voit lisätä vierasverkon, kun laite on jo määritetty ja toimii.
Kuvakaappaus valmistajan sivuilta
Kuvakaappaus valmistajan sivuilta
Eristä Ethernet-verkot
Langattomaan verkkoon kytkeytyvien asiakkaiden lisäksi saatamme kohdata laitteita, joissa on langallinen käyttöliittymä. Asiantuntijat sanovat, että niin kutsuttuja VLAN-verkkoja käytetään eristettyjen Ethernet-segmenttien - virtuaalisten lähiverkkojen - luomiseen. Jotkut kotireitittimet tukevat tätä toimintoa, mutta tässä tehtävästä tulee monimutkaisempi. En halua tehdä vain erillistä segmenttiä, vaan meidän on yhdistettävä portit langallista yhteyttä varten langattomaan vierasverkkoon yhdellä reitittimellä. Tämä ei ole vaikeaa millekään kodin laitteelle: pinnallinen analyysi osoittaa, että Keenetic Internet-keskusten lisäksi Ethernet-portit yhdessä kanssa Wi-Fi-verkko Vierassegmentti pystyy myös MikroTik-sarjan malleihin, mutta niiden asennusprosessi ei ole enää niin ilmeinen. Jos puhumme vertailukelpoisista kotitalousreitittimistä, vain Keenetic voi ratkaista ongelman muutamalla napsautuksella verkkokäyttöliittymässä.
Kuten näette, koehenkilö selviytyi ongelmasta helposti, ja tässä kannattaa kiinnittää huomiota toiseen mielenkiintoiseen ominaisuuteen - voit myös eristää vierasverkon langattomat asiakkaat toisistaan. Tämä on erittäin hyödyllistä: ystäväsi haittaohjelmien saastuttama älypuhelin siirtyy verkkoon, mutta hän ei voi hyökätä muihin laitteisiin edes vierasverkossa. Jos reitittimessäsi on samanlainen toiminto, sinun tulee ehdottomasti ottaa se käyttöön, vaikka tämä rajoittaa asiakkaan vuorovaikutuksen mahdollisuutta - esimerkiksi television kanssa ei ole enää mahdollista ystävystyä mediasoittimella Wi-Fi-yhteyden kautta, täytyy käyttää langallista yhteyttä. Tässä vaiheessa kotiverkkomme näyttää turvallisemmalta.
Mikä on lopputulos?
Turvallisuusuhkien määrä kasvaa vuosi vuodelta ja valmistajat älylaitteet suinkaan aina kiinnitä tarpeeksi huomiota päivitysten oikea-aikaiseen julkaisemiseen. Tällaisessa tilanteessa meillä on vain yksi ulospääsy - kotiverkon asiakkaiden erottaminen ja erillisten segmenttien luominen niille. Tätä varten sinun ei tarvitse ostaa laitteita kymmenillä tuhansilla ruplilla, suhteellisen edullinen kotitalouksien Internet-keskus selviytyy helposti tehtävästä. Tässä haluan varoittaa lukijoita ostamasta budjettimerkkilaitteita. Lähes kaikilla valmistajilla on nyt enemmän tai vähemmän samat laitteistot, mutta sisäänrakennettujen ohjelmistojen laatu on hyvin erilainen. Sekä julkaistujen mallien tukijakson kesto. Jopa melko yksinkertaisella tehtävällä yhdistää langallinen ja langaton verkko eristettyyn segmenttiin, kaikki kotitalouden reitittimet eivät pysty käsittelemään sitä, ja sinulla voi olla monimutkaisempia. Joskus sinun on määritettävä lisäsegmenttejä tai DNS-suodatus päästäksesi vain suojattuihin isänteihin, suurissa huoneissa sinun on yhdistettävä Wi-Fi-asiakkaat vierasverkkoon ulkoisten tukiasemien kautta jne. ja niin edelleen. Turvallisuusongelmien lisäksi on muitakin ongelmia: julkisissa verkoissa on varmistettava asiakkaiden rekisteröinti liittovaltion lain nro. tietotekniikka ja tietojen suojaamisesta. Halvat laitteet pystyvät ratkaisemaan tällaiset ongelmat, mutta eivät kaikki - toiminnallisuutta Toistamme, että heidän sisäänrakennetut ohjelmistot ovat hyvin erilaisia.
