Védjük a routert és az otthoni hálózatot. Nos, hogyan lehet megvédeni az okostelefonokat és a táblagépeket? A szolgáltató nézőpontja
Az adatok biztonságát fenyegető fő veszélyt a világháló jelenti. Hogyan kell biztosítani megbízható védelem otthoni hálózat?
A felhasználók gyakran tévesen azt hiszik, hogy egy hagyományos vírusirtó elegendő az internethez csatlakoztatott otthoni számítógép védelméhez. A routerek dobozán található feliratok is megtévesztőek, miszerint ezek az eszközök hardver szinten olyan erős tűzfalat valósítanak meg, amely képes megvédeni hacker támadások. Ezek az állítások csak részben igazak. Először is mindkét eszköz megfelelő konfigurációt igényel. Azonban sok víruskereső csomag egyszerűen nem rendelkezik olyan funkcióval, mint a tűzfal.
Eközben a védelem hozzáértő felépítése az internethez való csatlakozástól kezdődik. A modern otthoni hálózatok általában Ethernet-kábellel használnak Wi-Fi útválasztókat. Helyi hálózaton keresztül férnek hozzá az internethez asztali számítógépekés laptopok, okostelefonok és táblagépek. Sőt, egyetlen csomagban maguk a PC-k és perifériák, például nyomtatók és szkennerek, amelyek közül sok hálózaton keresztül csatlakozik.
A hozzáférési pont feltörésével a támadó nem csak az Ön internetkapcsolatát használhatja és otthoni számítógépes eszközeit vezérelheti, hanem elhelyezheti is Világháló illegális tartalom az Ön IP-címe használatával, valamint a hálózathoz csatlakoztatott berendezéseken tárolt információk ellopása. Ma a hálózatok védelmének, funkcionalitásuk fenntartásának és a feltörések megelőzésének alapvető szabályairól fogunk beszélni.
Hardver
A legtöbb modern hálózati berendezéshez biztonsági funkciók konfigurálása szükséges. Először is arról beszélünk különféle szűrőkről, tűzfalakról és ütemezett hozzáférési listákról. A védelmi paramétereket egy képzetlen felhasználó is beállíthatja, de ismernie kell néhány árnyalatot.
FORGALMI TITKOSÍTÁST HASZNÁLUNK Hozzáférési pont beállításakor ügyeljen arra, hogy engedélyezze a legrobusztusabb forgalombiztonsági mechanizmusokat, hozzon létre egy összetett, értelmetlen jelszót, és használja a WPA2 protokollt AES titkosítási algoritmussal. A WEP elavult, és percek alatt feltörhető.
RENDSZERESEN VÁLTOZTATJUK SZÁMVITELI ADATAITÁllítson be erős hozzáférési jelszavakat, és rendszeresen változtassa meg őket (például félévente egyszer). A legegyszerűbb módja annak, hogy feltörjön egy olyan eszközt, amelyen a felhasználó elhagyta az „admin”/„admin” szabványos bejelentkezési nevet és jelszót.
SSID ELREJTÉSE Az SSID (Service Set Identifier) paraméter a nyilvános név vezetéknélküli hálózat, amelyet az éteren keresztül sugároznak, hogy a felhasználói eszközök láthassák. Az SSID elrejtésének lehetőségével megvédheti Önt a kezdő hackerektől, de új eszközök csatlakoztatásához manuálisan kell megadnia a hozzáférési pont paramétereit.
TANÁCS A hozzáférési pont első beállításakor változtassa meg az SSID-t, mivel ez a név az útválasztó modelljét tükrözi, amely utalásként szolgálhat a támadó számára a biztonsági rések keresése során.
A BEÉPÍTETT TŰZFAL KONFIGURÁLÁSA Az útválasztók a legtöbb esetben a tűzfalak egyszerű változataival vannak felszerelve. Segítségükkel nem lehet majd alaposan konfigurálni a hálózaton végzett biztonságos munkavégzés számos szabályát, de elfedik a főbb sebezhetőségeket, vagy például megtilthatják az e-mail kliensek működését.
HOZZÁFÉRÉS KORLÁTOZÁSA MAC CÍM ALAPJÁN A MAC-címlisták (Media Access Control) használatával megtagadhatja a helyi hálózathoz való hozzáférést azon eszközök számára, amelyek fizikai címei nem szerepelnek ebben a listában. Ehhez manuálisan kell létrehoznia a hálózaton engedélyezett berendezések listáját. Minden készülék fel van szerelve hálózati felület, gyárilag egyedi MAC-cím van hozzárendelve. Felismerhető, ha megnézi a címkét vagy a berendezésen lévő jelöléseket, vagy speciális parancsokat és hálózati szkennereket használ. Ha van webes felület vagy kijelző (például útválasztók és hálózati nyomtatók) A MAC-címet a beállítások menüben találja.
A számítógép hálózati kártyájának MAC-címe a tulajdonságai között található. Ehhez lépjen a „Vezérlőpult | Hálózatok és internet | Hálózati és megosztási központ megosztott hozzáférés", majd az ablak bal oldalán kattintson az "Adapter beállításainak módosítása" hivatkozásra, kattintson jobb gombbal a használt hálózati kártyára, és válassza az "Állapot" lehetőséget. A megnyíló ablakban kattintson a „Részletek” gombra, és nézze meg a „Physical Address” sort, ahol hat számpár jelenik meg, amelyek jelzik a hálózati kártya MAC-címét.
Több is van gyors út. Használatához nyomja meg a „Win+R” billentyűkombinációt, írja be a CMD szót a megjelenő sorba, és kattintson az „OK” gombra. A megnyíló ablakban írja be a parancsot:
Nyomd meg az Entert". Keresse meg a „Physical Address” sorokat a megjelenített adatokban - ez az érték a MAC-cím.
A hálózat fizikai védelme után gondoskodni kell a „védelem” szoftveres részéről. Átfogó víruskereső csomagok segítenek ebben, tűzfalakés sebezhetőségi szkennerek.
MAPPÁKHOZ HOZZÁFÉRÉS KONFIGURÁLÁSA Ne helyezzen el rendszer- vagy egyszerűen fontos adatokat tartalmazó mappákat olyan könyvtárakba, amelyek elérhetők a belső hálózati felhasználók számára. Ezenkívül ne hozzon létre hálózatról elérhető mappákat a rendszermeghajtón. Ha nincs különösebb igény, jobb, ha az összes ilyen könyvtárat a „Csak olvasható” attribútummal korlátozza. Ellenkező esetben egy dokumentumnak álcázott vírus megtelepedhet a megosztott mappában.
TŰZFAL TELEPÍTÉSE A szoftveres tűzfalak általában könnyen konfigurálhatók, és rendelkeznek öntanuló móddal. Használata során a program megkérdezi a felhasználót, hogy mely kapcsolatokat hagyja jóvá és melyeket tartja szükségesnek tiltani.
Javasoljuk az olyan népszerű kereskedelmi termékekbe beépített személyes tűzfalak használatát, mint a Kaspersky Internet Security, Norton internet Security, NOD internet biztonság, valamint ingyenes megoldások – például Comodo Firewall. A szabványos Windows tűzfal sajnos nem büszkélkedhet megbízható biztonsággal, csak alapvető portbeállításokat biztosít.
Sebezhetőségi teszt
A számítógép és a hálózat teljesítményére a legnagyobb veszélyt a „lyukakat” tartalmazó programok és a helytelenül konfigurált biztonsági intézkedések jelentik.
XSpider Könnyen használható program a hálózat biztonsági rések keresésére. Lehetővé teszi a legtöbb aktuális probléma gyors azonosítását, valamint azok leírását és bizonyos esetekben megoldásait is. Sajnos egy ideje a segédprogram fizetőssé vált, és talán ez az egyetlen hátránya.
Nmap Nonprofit hálózati szkenner nyitott forráskód. A programot eredetileg UNIX-felhasználók számára fejlesztették ki, de később a megnövekedett népszerűség miatt Windows-ra is portolták. A segédprogramot tapasztalt felhasználók számára tervezték. Az Nmap egyszerű és felhasználóbarát felülettel rendelkezik, de az általa előállított adatok megértése alapvető ismeretek nélkül nem lesz könnyű.
KIS 2013 Ez a csomag nemcsak átfogó védelmet, hanem diagnosztikai eszközöket is biztosít. Használhatja szkenneléshez telepített programokat kritikus sérülékenységek jelenlétére. Ennek az eljárásnak az eredményeként a program bemutatja azon segédprogramok listáját, amelyekben a hiányosságokat be kell zárni, és részletes információkat találhat az egyes sérülékenységekről és azok kijavításáról.
Tippek a hálózat telepítéséhez
A hálózatot nemcsak a telepítés és a konfiguráció szakaszában teheti biztonságosabbá, hanem akkor is, ha már létezik. A biztonság garantálásakor figyelembe kell venni a csatlakoztatott eszközök számát, a hálózati kábel helyét, a Wi-Fi jel eloszlását és az azt akadályozó tényezők típusát.
A HOZZÁFÉRÉSI PONT ELHELYEZÉSE Mérje fel, mekkora területet kell bevinnie a Wi-Fi hatótávolságába. Ha csak a lakás egy részét kell lefednie, akkor ne helyezze a vezeték nélküli hozzáférési pontot az ablakok közelébe. Ez csökkenti annak a kockázatát, hogy egy gyengén védett csatornát elkapjanak és feltörjenek az őrvezetők – ingyenes vezeték nélküli internet-hozzáférési pontokra vadászó és illegális módszereket is használó emberek. Figyelembe kell venni, hogy minden betonfal a felére csökkenti a jelteljesítményt. Ne feledje azt is, hogy a szekrény tükre egy szinte áthatolhatatlan képernyő a Wi-Fi jel számára, amellyel bizonyos esetekben megakadályozható a rádióhullámok bizonyos irányú terjedése a lakásban. Ezenkívül néhány Wi-Fi útválasztó lehetővé teszi a jelerősség hardveren történő konfigurálását. Ezzel az opcióval mesterségesen csak a hozzáférési ponttal rendelkező helyiségben tartózkodó felhasználók számára biztosíthatja a hozzáférést. Ennek a módszernek a hátránya a jel lehetséges hiánya a lakás távoli részein.
KÁBEL FÉKEZÉS Az elsősorban kábellel megszervezett hálózat biztosítja a legnagyobb sebességet és megbízhatóságot a kommunikációban, miközben kiküszöböli annak lehetőségét, hogy valaki megzavarja azt, ahogy az Wi-Fi kapcsolat esetén megtörténhet. kívülről beleékelődhet, ahogy Wi-Fi kapcsolatnál is megtörténhet.
Az illetéktelen csatlakozások elkerülése érdekében a kábelhálózat fektetésekor ügyeljen a vezetékek mechanikai sérülések elleni védelmére, használjon speciális kábelcsatornákat, és kerülje azokat a helyeket, ahol a vezeték túlságosan megereszkedik, vagy éppen ellenkezőleg, túlzottan megfeszül. Ne fektesse a kábelt erős interferencia források közelében, vagy olyan helyen, ahol rossz a környezeti feltételek (kritikus hőmérséklet és páratartalom). További védelemként árnyékolt kábelt is használhat.
VÉDELEM AZ ELEMEKTŐL A vezetékes és vezeték nélküli hálózatok érzékenyek a zivatarok hatásaira, és bizonyos esetekben a villámcsapás nemcsak a hálózati berendezéseket, ill. hálózati kártya, hanem számos PC-komponens is. A kockázat csökkentése érdekében először ne felejtse el földelni az elektromos aljzatokat és a számítógép-alkatrészeket. Használjon Pilot típusú eszközöket, amelyek használnak védő áramkörök interferencia és áramingadozás miatt.
Kívül, a legjobb megoldás forrássá válhat szünetmentes tápegység(UPS). A modern változatok feszültségstabilizátorokat és autonóm tápegységet, valamint speciális csatlakozókat tartalmaznak a hálózati kábel rajtuk keresztül történő csatlakoztatásához. Ha hirtelen villám csap az internetszolgáltató berendezésébe, az ilyen UPS nem engedi, hogy káros áramlökés jusson be a számítógép hálózati kártyájába. Nem szabad megfeledkezni arról, hogy a konnektorok földelése vagy maga a berendezés rendkívül fontos.
VPN alagútépítő eszközök használata
A hálózaton keresztül továbbított információk védelmének meglehetősen megbízható módja a VPN alagutak (virtuális magánhálózat). Az alagút technológia lehetővé teszi egy titkosított csatorna létrehozását, amelyen keresztül több eszköz között adatátvitel történik. Az információbiztonság javítása érdekében VPN megszervezése lehetséges otthoni hálózaton belül, de ez nagyon munkaigényes és speciális ismereteket igényel. A VPN használatának legáltalánosabb módja az, ha kívülről csatlakozik otthoni számítógépéhez, például egy munkahelyi számítógépről. Így a gépei között továbbított adatok jól védettek lesznek a forgalom titkosításával. Ezekre a célokra jobb, ha nagyon megbízható ingyenest használunk Hamachi program. Ebben az esetben csak alapszintű VPN-szervezési ismeretekre lesz szükség, ami a képzetlen felhasználó lehetőségei közé tartozik.
Bevezetés
A téma relevanciája abban rejlik, hogy az oroszországi gazdasági életben végbemenő változások - pénzügyi és hitelrendszer létrehozása, különféle tulajdoni formák stb. - jelentős hatással vannak az információbiztonsági kérdésekre. Hazánkban sokáig csak egy vagyon volt - az állami tulajdon, így az információk és a titkok is csak állami tulajdont jelentettek, amelyeket erőteljes speciális szolgálatok védtek. Problémák információ biztonság Folyamatosan súlyosbítja az adatfeldolgozás és -továbbítás technikai eszközeinek, és mindenekelőtt a számítógépes rendszereknek a társadalmi tevékenység szinte minden területére való behatolása. A támadások célpontjai maguk is lehetnek technikai eszközökkel(számítógépek és perifériák), mint olyan anyagi objektumok, szoftverek és adatbázisok, amelyek számára technikai eszközök a környezet. A számítógépes hálózat minden meghibásodása nemcsak „erkölcsi” kárt jelent a vállalati alkalmazottaknak és a hálózati rendszergazdáknak. Az elektronikus fizetési technológiák, a „papírmentes” dokumentumáramlás és egyebek fejlődésével a helyi hálózatok súlyos meghibásodása egész vállalatok és bankok munkáját egyszerűen megbéníthatja, ami jelentős anyagi veszteségekhez vezet. Nem véletlen, hogy az adatvédelem be van kapcsolva számítógépes hálózatok a modern számítástechnika egyik legégetőbb problémája. A mai napig az információbiztonság két alapelve fogalmazódott meg, amelyeknek biztosítaniuk kell: - az adatok integritását - védelmet az információvesztéshez vezető hibákkal, valamint az adatok jogosulatlan létrehozásával vagy megsemmisítésével szemben. - az információk bizalmas kezelése, és ezzel egyidejűleg elérhetősége minden jogosult felhasználó számára. Azt is meg kell jegyezni, hogy bizonyos tevékenységi területek (bank- és pénzintézetek, információs hálózatok, rendszerek a kormány irányítja, védelmi és speciális struktúrák) speciális adatbiztonsági intézkedéseket igényelnek, és fokozott követelményeket támasztanak a működési megbízhatósággal szemben információs rendszerek, az általuk megoldott feladatok jellegének és fontosságának megfelelően.
Ha egy számítógép csatlakozik egy helyi hálózathoz, akkor a számítógéphez és a rajta lévő információkhoz illetéktelen személyek hozzáférhetnek a helyi hálózatról.
Ha a helyi hálózat más helyi hálózatokhoz csatlakozik, akkor az ezekből származó felhasználók felkerülnek a lehetséges jogosulatlan felhasználók listájára. távoli hálózatok. Nem fogunk beszélni egy ilyen számítógép elérhetőségéről a hálózatról vagy azokról a csatornákról, amelyeken keresztül a helyi hálózatok csatlakoznak, mert valószínűleg a helyi hálózatok kijáratainál vannak olyan eszközök, amelyek titkosítják és szabályozzák a forgalmat, és megtették a szükséges intézkedéseket.
Ha egy számítógép közvetlenül egy szolgáltatón keresztül csatlakozik egy külső hálózathoz, például modemen keresztül az internethez a helyi hálózattal való távoli interakció céljából, akkor a számítógép és a rajta lévő információk potenciálisan elérhetőek a hackerek számára az internetről. A legkellemetlenebb pedig az, hogy ezen a számítógépen keresztül a hackerek a helyi hálózati erőforrásokhoz is hozzáférhetnek.
Természetesen minden ilyen kapcsolat esetén sem rendszeres eszközökkel operációs rendszer hozzáférés-szabályozása, vagy az illetéktelen hozzáférés elleni védelem speciális eszközei, vagy kriptográfiai rendszerek meghatározott alkalmazások szintjén, vagy mindkettő.
Mindezek az intézkedések azonban sajnos nem tudják garantálni a kívánt biztonságot a hálózati támadások során, és ez a következő fő okokkal magyarázható:
Az operációs rendszerek (OS), különösen a WINDOWS szoftver termékek nagy bonyolultságú, amelynek létrehozását nagy fejlesztői csapatok végzik. Ezeknek a rendszereknek a részletes elemzése rendkívül nehéz. Ezzel összefüggésben nem lehet megbízhatóan alátámasztani számukra az operációs rendszerben véletlenül vagy szándékosan hagyott szabványos funkciók hiányát, hibákat vagy dokumentálatlan funkciókat, amelyek hálózati támadásokkal felhasználhatók.
Egy többfeladatos operációs rendszerben, különösen a WINDOWS-ban, sok különböző alkalmazás futhat egyszerre...
Ebben az esetben a szolgáltatónak és ügyfelének is be kell tartania az információbiztonsági szabályokat. Vagyis két sebezhetőségi pont van (kliens és szolgáltatói oldalon), és ebben a rendszerben mindegyik résztvevő kénytelen megvédeni érdekeit.
Kilátás az ügyfél oldaláról
Az elektronikus környezetben való üzletmenethez nagysebességű adatátviteli csatornák szükségesek, és ha korábban a szolgáltatók fő pénze az internethez való csatlakozásból származott, ma már meglehetősen szigorú követelményeket támasztanak az ügyfelekkel a kínált szolgáltatások biztonságával szemben.
Nyugaton számos hardvereszköz jelent meg, amelyek biztonságos kapcsolatot biztosítanak az otthoni hálózatokkal. Általában „SOHO-megoldásoknak” nevezik őket, és egy hardveres tűzfalat, egy több portos hubot, egy DHCP-kiszolgálót és egy VPN-útválasztó funkcióit kombinálják. Például ezt az utat járták be a Cisco PIX Firewall és a WatchGuard FireBox fejlesztői. A szoftveres tűzfalak csak személyes szinten maradnak meg, és kiegészítő védelmi eszközként szolgálnak.
A SOHO-osztályú hardveres tűzfalak fejlesztői úgy vélik, hogy ezeknek az eszközöknek könnyen kezelhetőnek, „átláthatónak” (vagyis láthatatlannak) kell lenniük az otthoni hálózat használója számára, és költségükben meg kell felelniük az általuk okozott közvetlen kár mértékének. lehetséges cselekvések behatolók. Átlagos sebzés egy sikeres támadáshoz otthoni hálózat körülbelül 500 dollárra becsülik.
Otthoni hálózatának védelme érdekében használhat szoftveres tűzfalat, vagy egyszerűen eltávolíthatja a szükségtelen protokollokat és szolgáltatásokat a konfigurációs beállításokból. A legjobb megoldás az, ha a szolgáltató több személyes tűzfalat tesztel, saját biztonsági rendszert állít be rajtuk, és technikai támogatást nyújt számukra. Pontosabban ezt teszi a 2COM szolgáltató, amely tesztelt képernyőket és tippeket kínál ügyfeleinek a beállításukhoz. A legegyszerűbb esetben ajánlott szinte minden hálózati címet veszélyesnek nyilvánítani, kivéve a címeket helyi számítógépés az átjáró, amelyen keresztül az internethez való kapcsolat létrejön. Ha a kliens oldalon egy szoftver vagy hardver képernyő behatolás jeleit észleli, azt azonnal jelenteni kell a szerviznek technikai támogatás szolgáltató.
Meg kell jegyezni, hogy a tűzfal véd a külső fenyegetésekkel szemben, de nem véd a felhasználói hibák ellen. Ezért, még ha a szolgáltató vagy az ügyfél telepített is valamilyen biztonsági rendszert, mindkét félnek be kell tartania néhány meglehetősen egyszerű szabályt, hogy minimalizálja a támadások valószínűségét. Először is hagyjon a lehető legkevesebb személyes adatot az interneten, kerülje a bankkártyás fizetést, vagy legalább ellenőrizze, hogy a szerver rendelkezik-e digitális tanúsítvánnyal. Másodszor, ne töltsön le az internetről, és ne futtasson semmilyen programot a számítógépén, különösen az ingyeneseket. Nem javasolt a helyi erőforrások külső elérhetővé tétele, a szükségtelen protokollok (például IPX vagy SMB) támogatásának telepítése, illetve az alapértelmezett beállítások használata (például a fájlkiterjesztések elrejtése).
Különösen veszélyes a levelekhez csatolt szkriptek végrehajtása Email, de jobb, ha egyáltalán nem használja az Outlookot, mivel a legtöbb vírus kifejezetten ehhez az e-mail klienshez készült. Bizonyos esetekben biztonságosabb a webes levelezési szolgáltatások használata az e-mailekkel való munkavégzéshez, mivel a vírusok általában nem terjednek át rajtuk. Például a 2COM szolgáltató ingyenes webszolgáltatást kínál, amely lehetővé teszi, hogy információkat olvasson külső forrásból postafiókokés feltölteni ide helyi gép csak a szükséges üzeneteket.
A szolgáltatók általában nem nyújtanak biztonságos hozzáférési szolgáltatásokat. Az a tény, hogy az ügyfél sebezhetősége gyakran a saját cselekedeteitől függ, így sikeres támadás esetén meglehetősen nehéz bizonyítani, hogy pontosan ki követte el a hibát - az ügyfél vagy a szolgáltató. Ráadásul a támadás tényét továbbra is rögzíteni kell, és ezt csak bizonyított és hitelesített eszközökkel lehet megtenni. A feltörés által okozott kár felmérése sem egyszerű. Általában csak a minimális értékét határozzák meg, amelyet a rendszer normál működésének helyreállításához szükséges idő jellemez.
A szolgáltatók az összes bejövő levél ellenőrzésével biztosíthatják a levelezési szolgáltatások biztonságát víruskereső programok, valamint blokkolja az összes protokollt, kivéve a fő protokollokat (web, e-mail, hírek, ICQ, IRC és néhány más). Az üzemeltetők nem mindig tudják nyomon követni, hogy mi történik az otthoni hálózat belső szegmenseiben, de mivel kénytelenek védekezni a külső támadások ellen (ami összhangban van a felhasználóvédelmi szabályzatokkal), az ügyfeleknek kapcsolatba kell lépniük biztonsági csapataikkal. Nem szabad megfeledkezni arról, hogy a szolgáltató nem garantálja a felhasználók abszolút biztonságát - csak saját kereskedelmi haszonra törekszik. Az előfizetők elleni támadások gyakran a számukra továbbított információ mennyiségének éles megugrásával járnak, ami valójában az üzemeltető pénzt keres. Ez azt jelenti, hogy a szolgáltató érdekei esetenként ütközhetnek a fogyasztó érdekeivel.
A szolgáltató nézőpontja
Az otthoni hálózati szolgáltatók számára a fő problémát a jogosulatlan csatlakozások és a nagy belső forgalom jelentik. Az otthoni hálózatokat gyakran olyan játékok fogadására használják, amelyek nem nyúlnak túl egy lakóépület helyi hálózatán, de annak teljes szegmenseinek blokkolásához vezethetnek. Ebben az esetben az interneten végzett munka nehézzé válik, ami méltányos elégedetlenséget okoz a kereskedelmi ügyfelek körében.
A költségek szempontjából a szolgáltatók az otthoni hálózatuk biztosításának és felügyeletének költségeinek minimalizálásában érdekeltek. Ugyanakkor nem mindig tudnak megfelelő védelmet megszervezni a kliens számára, mivel ez bizonyos költségeket és korlátokat igényel a felhasználó részéről. Sajnos ezzel nem minden előfizető ért egyet.
Az otthoni hálózatok jellemzően a következőképpen épülnek fel: van egy központi router, amely rendelkezik internet-elérési csatornával, és ehhez csatlakozik a háztömb, a ház és a bejárat kiterjedt hálózata. Az útválasztó természetesen tűzfalként működik, elválasztva az otthoni hálózatot az internet többi részétől. Számos biztonsági mechanizmust valósít meg, de a leggyakrabban használt a címfordítás, amely lehetővé teszi a belső hálózati infrastruktúra elrejtését és a szolgáltató valós IP-címeinek egyidejű mentését.
Egyes szolgáltatók azonban valódi IP-címeket adnak ügyfeleiknek (például ez a Mitino mikrokörzet hálózatában történik, amely kapcsolódik a moszkvai MTU-Intel szolgáltatóhoz). Ebben az esetben a felhasználó számítógépe közvetlenül elérhetővé válik az internetről, ami megnehezíti a védelmet. Nem meglepő, hogy az ellátás terhe információ biztonság teljes egészében az előfizetőkre esik, míg az üzemeltető marad az egyetlen módja cselekvéseik felett – IP- és MAC-címek alapján. A modern Ethernet adapterek azonban lehetővé teszik mindkét paraméter programozott megváltoztatását az operációs rendszer szintjén, és a szolgáltató védtelen a gátlástalan kliensekkel szemben.
Természetesen egyes alkalmazások valódi IP-címek kiosztását igénylik. Valódi statikus IP-címet adni egy kliensnek elég veszélyes, mert ha az ezzel a címmel rendelkező szervert sikeresen megtámadják, a belső hálózat többi része is elérhetővé válik rajta keresztül.
A probléma egyik kompromisszumos megoldása biztonságos használat Az otthoni hálózatban az IP-címek a VPN technológia bevezetése a dinamikus címelosztás mechanizmusával kombinálva. Röviden a séma a következő. A PPTP protokoll használatával titkosított alagút jön létre az ügyfélgép és az útválasztó között. Mivel ezt a protokollt a Windows operációs rendszer a 95-ös verzió óta támogatja, és most már mások számára is megvalósítják operációs rendszer, a kliensnek nem kell további szoftvereket telepítenie - csak a már telepített összetevőket kell konfigurálnia. Amikor a felhasználó csatlakozik az internethez, először kapcsolatot létesít a routerrel, majd bejelentkezik, kap egy IP-címet, és csak ezután kezdhet el dolgozni az interneten.
Ez a fajta kapcsolat egyenértékű a hagyományos telefonos kapcsolattal, azzal a különbséggel, hogy telepítéskor szinte bármilyen sebességet beállíthat. Még a beágyazott VPN-alhálózatok is működni fognak ennek a sémának megfelelően, amellyel távolról is csatlakoztathatók az ügyfelek a vállalati hálózathoz. A szolgáltató minden felhasználói munkamenet során dinamikusan kioszt egy valós vagy virtuális IP-címet. Egyébként a 2COM valós IP-címe havonta 1 dollárral többe kerül, mint egy virtuálisé.
A VPN-kapcsolatok megvalósításához a 2COM saját speciális útválasztót fejlesztett ki, amely a fent felsorolt összes funkciót, valamint a szolgáltatási díjakat is ellátja. Meg kell jegyezni, hogy a csomagtitkosítás nem a felelőssége CPU, hanem egy speciális társprocesszoron, amely lehetővé teszi akár 500 virtuális VPN-csatorna egyidejű támogatását. A 2COM hálózat egyik ilyen kriptoútválasztója több ház egyidejű összekapcsolására szolgál.
Általában a lehető legjobb módon Az otthoni hálózat védelme a szolgáltató és az ügyfél közötti szoros interakció, amelyen belül mindenkinek lehetősége van érdekeinek védelmére. Első pillantásra az otthoni hálózat biztonsági módszerei hasonlónak tűnnek a biztonsághoz használt módszerekhez vállalati biztonság, De valójában nem az. Szokás, hogy a vállalatok meglehetősen szigorú magatartási szabályokat állapítanak meg a munkavállalók számára, betartva az adott információbiztonsági politikát. Ez a lehetőség nem működik otthoni hálózaton: minden ügyfélnek saját szolgáltatásra van szüksége, és létre kell hoznia Általános szabályok viselkedése nem mindig sikeres. Következésképpen egy megbízható otthoni hálózati biztonsági rendszer kiépítése sokkal nehezebb, mint egy vállalati hálózat biztonságának biztosítása.
PNST301-2018/ISO/IEC 24767-1:2008
AZ OROSZ FÖDERÁCIÓ ELŐZETES NEMZETI SZABVÁNYA
Információs technológia
OTTHONI HÁLÓZAT BIZTONSÁGA
Biztonsági követelmények
Információs technológia. Otthoni hálózat biztonsága. 1. rész Biztonsági követelmények
OKS 35.110, 35.200, 35.240.99
Érvényes: 2019-02-01
Előszó
Előszó
1 KÉSZÜLT a Szövetségi Állami Költségvetési Felsőoktatási Intézmény "G.V. Plekhanovról elnevezett Orosz Gazdasági Egyetem" (FSBEI HE "REU G.V. Plekhanov néven") a bekezdésben meghatározott nemzetközi szabvány angol nyelvű fordítása alapján. 4
2 A TC 22 "Információs Technológiák" Szabványügyi Műszaki Bizottság BEVEZETE
3 JÓVÁHAGYVA ÉS HATÁLYBA LÉPTETT a Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség 2018. szeptember 4-i rendelete, N38-pnst
4Ez a szabvány megegyezik az ISO/IEC 24767-1:2008* „Információtechnológia – Otthoni hálózat biztonsága – 1. rész: Biztonsági követelmények”, IDT) nemzetközi szabvánnyal.
________________
*Az itt és a szövegben említett nemzetközi és külföldi dokumentumokhoz az oldalra mutató hivatkozás segítségével lehet hozzáférni. - Adatbázis gyártói megjegyzés.
A szabvány alkalmazására és ellenőrzésére vonatkozó szabályokat a GOST R 1.16-2011 (5. és 6. szakasz).
A Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség információkat gyűjt a szabvány gyakorlati alkalmazásáról. Ezt a tájékoztatást, valamint a szabvány tartalmára vonatkozó észrevételeket, javaslatokat legkésőbb 4 nappal korábban lehet megküldeni. hónapok érvényességi idejének lejárta előtt a szabvány kidolgozójának a következő címen: 117997 Moszkva, Stremyanny Lane, 36, Szövetségi Állami Költségvetési Felsőoktatási Intézmény "REU"G. V. Plekhanov" és a Szövetségi Műszaki Szabályozási és Metrológiai Ügynökséghez a következő címen: 109074 Moszkva, Kitaigorodsky proezd, 7, 1. épület.
E szabvány törlése esetén a vonatkozó információkat közzéteszik a "Nemzeti Szabványok" havi információs indexében, és közzéteszik a Szövetségi Műszaki Szabályozási és Metrológiai Ügynökség hivatalos honlapján is az interneten (www.gost.ru)
Bevezetés
Az ISO (Nemzetközi Szabványügyi Szervezet) és az IEC (International Electrotechnical Commission) egy speciális rendszert alkot a világméretű szabványosításra. Az ISO vagy az IEC tagjaként működő kormányzati szervek műszaki bizottságokon keresztül vesznek részt a nemzetközi szabványok kidolgozásában. Bármely érdekelt szervezet, amely tagja az ISO-nak vagy az IEC-nek, részt vehet egy adott terület szabványának kidolgozásában. Más, az ISO-val és az IEC-vel kapcsolatban álló kormányzati és nem kormányzati szervezetek is részt vesznek a munkában.
Az információtechnológia területén az ISO és az IEC létrehozta az ISO/IEC JTC 1 Vegyes Műszaki Bizottságot. A Közös Műszaki Bizottság által készített nemzetközi szabványtervezeteket szavazásra megküldik a nemzeti bizottságoknak. A nemzetközi szabványként való közzétételhez a szavazó nemzeti bizottságok legalább 75%-ának jóváhagyása szükséges.
Az IEC és az ISO hivatalos döntései vagy megállapodásai műszaki kérdésekben, amennyire csak lehetséges, nemzetközi konszenzust fejeznek ki az érintett kérdésekben, mivel minden műszaki bizottságnak képviselői vannak az összes érintett nemzeti IEC és ISO tagbizottságból.
Az IEC, ISO és ISO/IEC kiadványai nemzetközi használatra készült ajánlások formájában készültek, és a nemzeti bizottságok – az IEC és az ISO tagjai pontosan ebben a felfogásban – fogadják el azokat. Bár minden erőfeszítést megtettek a pontosság érdekében műszaki tartalom Az IEC, az ISO és az ISO/IEC kiadványok, az IEC vagy az ISO nem vállal felelősséget a felhasználási módokért vagy a végfelhasználó általi félreértelmezésekért.
Az IEC és az ISO nemzeti bizottságai a nemzetközi egységesítés (egy rendszer) biztosítása érdekében vállalják, hogy az IEC, ISO és ISO/IEC nemzetközi szabványok alkalmazásában maximális átláthatóságot biztosítanak, az adott ország nemzeti és regionális feltételeihez mérten. lehetővé teszi. Az ISO/IEC kiadványok és a vonatkozó nemzeti vagy regionális szabványok közötti bármilyen eltérést egyértelműen jelezni kell az utóbbiban.
Az ISO és az IEC nem biztosít címkézési eljárásokat, és nem vállal felelősséget olyan berendezésekért, amelyek azt állítják, hogy megfelelnek valamelyik ISO/IEC szabványnak.
Minden felhasználónak meg kell győződnie arról, hogy a kiadvány legújabb kiadását használja.
Az IEC vagy ISO, azok vezetése, alkalmazottai, alkalmazottai vagy képviselői, beleértve az egyes szakértőket és műszaki bizottságaik tagjait, valamint az IEC vagy ISO nemzeti bizottságok tagjai nem felelősek a balesetekért, anyagi károkért vagy egyéb, közvetlen vagy közvetett károkért, vagy a jelen ISO/IEC kiadvány vagy más IEC, ISO vagy ISO/IEC kiadvány közzétételével vagy használatából eredő költségekre (beleértve a jogi költségeket is).
Különös figyelmet kell fordítani a jelen kiadványban hivatkozott szabályozási dokumentációra. A hivatkozott dokumentumok használata a kiadvány helyes alkalmazásához szükséges.
Felhívjuk a figyelmet arra a tényre, hogy e nemzetközi szabvány egyes elemei szabadalmi jogok tárgyát képezhetik. Az ISO és az IEC nem felelős egyetlen vagy az összes ilyen szabadalmi jog meghatározásáért.
Az ISO/IEC 24767-1 nemzetközi szabványt az ISO/IEC 1 Vegyes Műszaki Bizottság, Információtechnológia, 25. albizottság, Információtechnológiai berendezések összekapcsolása dolgozta ki.
Az ISO/IEC 24767 sorozat összes jelenleg elérhető alkatrészének listája az "Információtechnológia – Otthoni hálózat biztonsága" általános cím alatt megtalálható az IEC honlapján.
1 felhasználási terület
Ez a szabvány meghatározza az otthoni hálózat belső vagy külső fenyegetésekkel szembeni védelmére vonatkozó követelményeket. A szabvány alapjául szolgál a belső környezetet különféle fenyegetésekkel szemben védő biztonsági rendszerek fejlesztéséhez.
A biztonsági követelményeket ez a szabvány viszonylag informális módon tárgyalja. Bár a szabványban tárgyalt kérdések közül sok útmutatást ad az intranet és az internet biztonsági rendszereinek kialakításához, ezek informális követelmények.
Csatlakozva a belső (otthoni) hálózathoz különféle eszközök(lásd 1. ábra). A "készülékhálózati" eszközök, az "AV szórakoztató" eszközök és az "információs alkalmazások" eszközök különböző funkciókkal és teljesítményjellemzőkkel rendelkeznek. Ez a szabvány eszközöket biztosít a hálózathoz csatlakoztatott eszközök kockázatainak elemzéséhez és az egyes eszközök biztonsági követelményeinek meghatározásához.
2Kifejezések, meghatározások és rövidítések
2.1 Kifejezések és meghatározások
Ez a szabvány a következő kifejezéseket és meghatározásokat használja:
2.1.1 a fogyasztói elektronika(barna áruk): audio/video eszközök, amelyeket elsősorban szórakoztatási célokra használnak, például televízió vagy DVD-felvevő.
2.1.2titoktartás(titkosság): Olyan tulajdonság, amely biztosítja az információk illetéktelen személyek, szervezetek vagy folyamatok számára való hozzáférhetetlenségét és ki nem tárását.
2.1.3 adathitelesítés(adathitelesítés): Az igényelt adatforrás helyes ellenőrzését biztosító szolgáltatás.
2.1.4 adatintegritás(adatintegritás): Olyan tulajdonság, amely ellenőrzi, hogy az adatokat nem módosították vagy semmisítették meg jogosulatlan módon.
2.1.5 felhasználói hitelesítés(felhasználói hitelesítés): Olyan szolgáltatás, amely biztosítja a kommunikációs résztvevő által megadott hitelesítési információk helyes ellenőrzését, míg az engedélyezési szolgáltatás biztosítja, hogy az azonosított és jogosult felhasználó hozzáférjen a konkrét eszköz vagy otthoni hálózati alkalmazás.
2.1.6 Készülékek(fehéráru): A mindennapi használatban használt eszközök, pl. klíma, hűtőszekrény stb.
2.2 Rövidítések
Ebben a szabványban a következő rövidítéseket használják:
3 Megfelelés
Ez a szabvány útmutatást ad a megfelelőségi követelmények nélkül.
4 A belső otthoni elektronikus rendszerek és hálózatok biztonsági követelményei
4.1 Általános rendelkezések
Az internet és a kapcsolódó hálózati technológiák rohamos fejlődésével lehetővé vált az irodákban és otthonokban lévő számítógépek közötti kapcsolatok kialakítása a külvilággal, amely sokféle erőforráshoz való hozzáférést biztosít. Mára a sikert megalapozó technológiák elérték otthonainkat, és lehetővé teszik a készülékek csatlakoztatását személyi számítógépek. Így nemcsak otthonon belül és kívül is felügyelhetik és vezérelhetik háztartási gépeiket a felhasználók, hanem új szolgáltatásokat és lehetőségeket is létrehozhatnak, mint például a háztartási gépek távvezérlése és karbantartása. Ez azt jelenti, hogy az otthon megszokott számítógépes környezet belső otthoni hálózattá alakul, számos eszközt összekötve, amelyek biztonságáról is gondoskodni kell majd.
Szükséges, hogy mind az otthon, mind a rendszer lakói, használói és tulajdonosai megbízzanak az otthoni elektronikus rendszerben. Otthoni elektronikus biztonsági cél támogató rendszerek bízni a rendszerben. Mivel sok házi alkatrész elektronikus rendszer folyamatosan, a nap 24 órájában üzemelnek, és automatikusan információt cserélnek a külvilággal, az információbiztonság az adatok és a rendszer titkosságának, integritásának és elérhetőségének biztosításához szükséges a rendszert és a tárolt, bejövő és kimenő adatokat csak arra jogosult felhasználók és folyamatok kapják meg, és csak arra jogosult felhasználók használhatják a rendszert és módosíthatják azt.
A HES hálózat biztonsági követelményei többféleképpen is leírhatók. Ez a szabvány a HES hálózat informatikai biztonságára korlátozódik. Az informatikai biztonságnak azonban túl kell terjednie magán a rendszeren, hiszen az otthonnak – bár korlátozott kapacitással – működnie kell informatikai rendszer meghibásodása esetén is elveszett. Ilyen esetekben érthető, hogy vannak olyan biztonsági követelmények, amelyek nem lehetnek részei a rendszernek, de a rendszer nem tilthatja meg a tartalék megoldások megvalósítását.
Sokan érdeklődnek a biztonsági kérdések iránt. Az otthoni elektronikus rendszerben nemcsak a lakosoknak és a tulajdonosoknak, hanem a szolgáltatóknak és a tartalomszolgáltatóknak is bízniuk kell. Ez utóbbiaknak gondoskodniuk kell arról, hogy az általuk kínált szolgáltatásokat és tartalmakat csak engedélyezett módon használják fel. A rendszerbiztonság egyik alapelve azonban, hogy egy adott biztonsági rendszergazdának kell ezért felelnie. Nyilvánvaló, hogy ezt a felelősséget a lakókra (rendszertulajdonosokra) kell ruházni. Nem mindegy, hogy az adminisztrátor ezt személyesen végzi-e, vagy kiszervezi. A felelősség minden esetben a biztonsági rendszer adminisztrátorát terheli. A szolgáltatók és a tartalomszolgáltatók otthoni elektronikus rendszerbe vetett bizalmát, valamint azt, hogy a felhasználók szolgáltatásaikat és tartalmaikat megfelelően használják, a felek közötti szerződéses kötelezettségek határozzák meg. A szerződés például felsorolhatja azokat a funkciókat, alkatrészeket vagy folyamatokat, amelyeket egy otthoni elektronikai rendszernek támogatnia kell.
Az otthoni elektronikus rendszer architektúrája a különböző típusú házaknál eltérő. Bármely modellnek megvannak a maga sajátos biztonsági követelményei. Az alábbiakban az otthoni elektronikai rendszerek három különböző modelljének leírása található, amelyek különböző biztonsági követelményekkel rendelkeznek.
Nyilvánvaló, hogy egyes biztonsági követelmények fontosabbak, mint mások. Így egyértelmű, hogy egyes ellenintézkedések támogatása opcionális lesz. Ezenkívül az ellenintézkedések minősége és költsége eltérő lehet. Ezenkívül különböző készségekre lehet szükség az ilyen ellenintézkedések kezelésére és fenntartására. Ez a szabvány megkísérli tisztázni a felsorolt biztonsági követelmények okát, és ezáltal lehetővé teszi az otthoni elektronikai rendszerek tervezői számára, hogy meghatározzák, mely biztonsági funkciókat kell támogatnia egy adott terméknek. otthoni rendszer valamint a minőségi követelmények, valamint az irányítási és karbantartási erőfeszítések figyelembevételével melyik mechanizmust kell kiválasztani az ilyen funkciókhoz.
A belső hálózat biztonsági követelményei a biztonság és az „otthon” definíciójától függenek, valamint attól, hogy mit jelent a „hálózat” az adott otthonban. Ha a hálózat egyszerűen egy kapcsolat, amely egy egyedi számítógépet nyomtatóhoz vagy kábelmodemhez köt, akkor az otthoni hálózat biztonságossá tétele olyan egyszerű, mint a kapcsolat és az általa csatlakoztatott berendezések védelme.
Ha azonban egy tartományban több tucat, ha nem több száz hálózati eszköz található, amelyek egy része a háztartás egészéhez tartozik, és van, amelyik az otthoni embereké, akkor kifinomultabb biztonsági intézkedéseket kell bevezetni.
4.2 Otthoni elektronikus rendszer biztonsága
4.2.1 Az otthoni elektronikus rendszer és a rendszerbiztonság meghatározása
Az otthoni elektronikai rendszer és hálózat olyan elemek gyűjteménye, amelyek információkat dolgoznak fel, továbbítanak, tárolnak és kezelnek, összeköttetést és integrációt biztosítva az otthonban található számos számítástechnikai, vezérlő-, felügyeleti és kommunikációs eszközhöz.
Emellett az otthoni elektronikus rendszerek és hálózatok biztosítják az összekapcsolást a szórakoztató és információs eszközök, valamint a kommunikációs és biztonsági eszközök, valamint a háztartási gépek között. Az ilyen eszközök és eszközök információt cserélnek, vezérelhetők és felügyelhetők a házban vagy távolról. Ennek megfelelően minden belső otthoni hálózatnak szüksége lesz bizonyos biztonsági mechanizmusokra a mindennapi működésének védelme érdekében.
A hálózat- és információbiztonság egy hálózat vagy információs rendszer azon képességeként értelmezhető, hogy egy bizonyos szinten ellenáll a véletlenszerű eseményeknek vagy rosszindulatú tevékenységeknek. Az ilyen események vagy tevékenységek veszélyeztethetik a tárolt vagy továbbított adatok, valamint az ilyen hálózatokon és rendszereken keresztül kínált kapcsolódó szolgáltatások elérhetőségét, hitelességét, hitelességét és bizalmasságát.
Az információbiztonsági események a következő csoportokba sorolhatók:
Az elektronikus kommunikáció lehallgatható, az adatok másolhatók vagy módosíthatók. Ez kárt okozhat mind az egyén titoktartási jogának megsértéséből, mind az elfogott adatokkal való visszaélésből;
A számítógéphez és a belső számítógépes hálózatokhoz való jogosulatlan hozzáférés általában rosszindulatú adatok másolására, módosítására vagy megsemmisítésére irányul, és kiterjedhet az otthoni automata berendezésekre és rendszerekre is;
Eléggé elterjedtek az internetet ért rosszindulatú támadások, és a telefonhálózat is sebezhetőbbé válhat a jövőben;
A rosszindulatú szoftverek, például a vírusok letilthatják a számítógépeket, törölhetik vagy módosíthatják az adatokat, illetve átprogramozhatják a háztartási készülékeket. Néhány vírustámadás meglehetősen pusztító és költséges volt;
Az egyénekre vonatkozó információk félrevezetése ill jogalanyok jelentős károkat okozhat, például az ügyfelek rosszindulatú szoftvereket tölthetnek le egy megbízható forrásnak álcázott webhelyről, szerződéseket bonthatnak fel, vagy bizalmas információkat küldhetnek ki nem megfelelő címzetteknek;
Sok információbiztonsági incidens váratlan és nem szándékos eseményekkel jár, mint például természeti katasztrófák (árvizek, viharok és földrengések), hardver- vagy hardverhibák. szoftver, valamint az emberi tényező.
Ma már szinte minden lakásnak van otthoni hálózata, amelyre csatlakozik asztali számítógépek, laptopok, adattárolók (NAS), médialejátszók, okostévék, valamint okostelefonok, táblagépek és egyéb hordható eszközök. Vezetékes (Ethernet) vagy vezeték nélküli (Wi-Fi) kapcsolatok és TCP/IP protokollok használatosak. A tárgyak internete technológiáinak fejlődésével a háztartási gépek – hűtőszekrények, kávéfőzők, klímaberendezések, sőt villanyszerelési berendezések is – kerültek az internetre. A megoldásoknak köszönhetően" Okos Ház„Szabályozhatjuk a világítás fényerejét, távolról állíthatjuk be a beltéri mikroklímát, be- és kikapcsolhatjuk a különféle eszközöket – ez nagyban megkönnyíti az életet, de komoly problémákat okozhat a fejlett megoldások tulajdonosának.
Sajnos az ilyen eszközök fejlesztői még nem törődnek kellőképpen termékeik biztonságával, a bennük talált sebezhetőségek száma pedig úgy nő, mint a gomba az eső után. Gyakran előfordulnak olyan esetek, amikor a piacra lépést követően egy eszköz már nem támogatott - a tévénkre például 2016-os, Android 4-re épülő firmware van telepítve, és a gyártó nem fogja frissíteni. A vendégek további problémákat is okoznak: kényelmetlen megtagadni tőlük a Wi-Fi-hozzáférést, de nem szeretne bárkit beengedni a hangulatos hálózatába. Ki tudja, milyen vírusok telepedhetnek meg idegenekben? mobiltelefonok? Mindez oda vezet, hogy az otthoni hálózatot több elszigetelt szegmensre kell felosztani. Próbáljuk meg kitalálni, hogyan lehet ezt megtenni, ahogy mondják, kevés vérrel és a legkevesebb anyagi költséggel.
Wi-Fi hálózatok elkülönítése
A vállalati hálózatokban a probléma könnyen megoldható - vannak virtuális helyi hálózatokat (VLAN) támogató menedzselt kapcsolók, különféle útválasztók, tűzfalak és vezeték nélküli hozzáférési pontok - pár óra alatt fel lehet építeni a szükséges számú elszigetelt szegmenst. A Traffic Inspector Next Generation (TING) eszköz használatával például néhány kattintással megoldódik a probléma. Elegendő a vendég hálózati szegmens kapcsolóját külön Ethernet portra csatlakoztatni és tűzfalszabályokat létrehozni. Ez az opció a berendezés magas költsége miatt nem alkalmas otthonra - hálózatunkat leggyakrabban egyetlen eszköz kezeli, amely egyesíti a router, a switch, a vezeték nélküli hozzáférési pont és az isten tudja, mi más funkcióit.
Szerencsére a modern háztartási útválasztók (bár helyesebb lenne internetközpontoknak nevezni) is nagyon intelligensek lettek, és szinte mindegyikük, kivéve a pénztárcabarátokat, képes izolált vendég Wi-Fi hálózat létrehozására. Ennek a szigetelésnek a megbízhatósága egy külön cikk kérdése, ma nem vizsgáljuk meg a különböző gyártók háztartási készülékeinek firmware-ét. Vegyük például a ZyXEL Keenetic Extra II-t. Most ezt a vonalat egyszerűen Keeneticnek hívták, de a kezünkbe került egy ZyXEL márkanév alatt kiadott készülék.
A webes felületen keresztül történő beállítás még a kezdőknek sem okoz nehézséget - néhány kattintás, és külön vezeték nélküli hálózatunk van, saját SSID-vel, WPA2 védelemmel és jelszóval a hozzáféréshez. Beengedheti a vendégeket, valamint bekapcsolhatja a régóta nem frissített firmware-rel rendelkező tévéket és lejátszókat, vagy olyan ügyfeleket, amelyekben nem bízik különösebben. A legtöbb más gyártó készülékében ez a funkció, ismételjük, szintén jelen van, és ugyanúgy aktiválódik. Így oldódik meg például a firmware-ben a probléma D-Link routerek a telepítővarázsló segítségével.
Hozzáadhat vendéghálózatot, ha az eszköz már konfigurálva van és működik.
Képernyőkép a gyártó webhelyéről
Képernyőkép a gyártó webhelyéről
Elszigeteljük az Ethernet hálózatokat
A vezeték nélküli hálózathoz csatlakozó klienseken kívül olyan eszközökkel is találkozhatunk, amelyek vezetékes interfész. A szakértők azt mondják, hogy elszigetelt Ethernet-szegmensek létrehozásához úgynevezett VLAN-okat használnak - virtuális helyi hálózatokat. Néhány otthoni útválasztó támogatja ezt a funkciót, de itt a feladat bonyolultabbá válik. Nem csak egy külön szegmenst szeretnék létrehozni, hanem a vezetékes kapcsolathoz szükséges portokat kell kombinálnunk egy vezeték nélküli vendéghálózattal egy routeren. Ezt nem minden háztartási eszköz tudja kezelni: egy felületes elemzés azt mutatja, hogy a Keenetic internetes központok mellett hozzá Ethernet portok egyben Wi-Fi hálózat A MikroTik termékcsalád modelljei a vendégszegmensre is képesek, de a beállításuk folyamata már nem ilyen egyértelmű. Ha összehasonlítható árú háztartási routerekről beszélünk, a webes felületen csak a Keenetic tudja pár kattintással megoldani a problémát.
Mint látható, a tesztalany könnyen megbirkózott a problémával, és itt érdemes még egy érdekességre figyelni - a vendéghálózat vezeték nélküli klienseit is el lehet különíteni egymástól. Ez nagyon hasznos: barátja rosszindulatú szoftverrel fertőzött okostelefonja eléri az internetet, de nem tud más eszközöket támadni, még vendéghálózaton sem. Ha a routered is rendelkezik hasonló funkcióval, mindenképpen engedélyezni kell, bár ez korlátozza a kliens interakció lehetőségeit – például Wi-Fi-n keresztül már nem lehet tévét párosítani médialejátszóval, használjon vezetékes kapcsolatot. Ebben a szakaszban az otthoni hálózatunk biztonságosabbnak tűnik.
mi az eredmény?
A biztonsági fenyegetések száma évről évre nő, és a gyártók okos eszközök nem mindig fordítanak kellő figyelmet a frissítések időben történő kiadására. Ilyen helyzetben csak egy kiút van - az otthoni hálózati ügyfelek megkülönböztetése és elkülönített szegmensek létrehozása számukra. Ehhez nem kell több tízezer rubelért felszerelést vásárolnia, egy viszonylag olcsó háztartási internetközpont meg tudja oldani a feladatot. Itt szeretném figyelmeztetni az olvasókat, hogy ne vásároljanak olcsó márkák készülékeit. Ma már szinte minden gyártónak nagyjából ugyanaz a hardvere, de a beépített szoftver minősége nagyon eltérő. Valamint a kiadott modellek támogatási ciklusának időtartama. Nem minden háztartási útválasztó képes megbirkózni még azzal a meglehetősen egyszerű feladattal is, hogy a vezetékes és a vezeték nélküli hálózatot egy elszigetelt szegmensben kombinálja, és előfordulhat, hogy bonyolultabbak is lehetnek. Néha további szegmenseket vagy DNS-szűrést kell konfigurálnia, hogy csak biztonságos gazdagépeket tudjon elérni, nagy helyiségekben a Wi-Fi klienseket külső hozzáférési pontokon keresztül kell csatlakoztatnia a vendéghálózathoz stb. stb. A biztonsági kérdéseken kívül más problémák is felmerülnek: a nyilvános hálózatokban biztosítani kell az ügyfelek regisztrációját a 97. számú szövetségi törvény „Az információkról, információs technológiaés az információ védelméről." Az olcsó eszközök képesek megoldani az ilyen problémákat, de nem minden - funkcionalitás Megismételjük, hogy a beépített szoftverük nagyon eltérő.
