Proteggiamo il router e la rete domestica. Ebbene, come proteggere smartphone e tablet? Il punto di vista del fornitore
La principale minaccia alla sicurezza dei tuoi dati è il World Wide Web. Come fornire protezione affidabile rete di casa?
Gli utenti spesso credono erroneamente che un normale antivirus sia sufficiente per proteggere un PC di casa connesso a Internet. Fuorvianti sono anche le scritte sulle scatole dei router, che affermano che questi dispositivi implementano un potente firewall a livello hardware in grado di proteggere da attacchi degli hacker. Queste affermazioni sono vere solo in parte. Prima di tutto, entrambi gli strumenti richiedono una corretta configurazione. Tuttavia, molti pacchetti antivirus semplicemente non dispongono di una funzionalità come un firewall.
Nel frattempo, la costruzione competente della protezione inizia proprio dalla connessione a Internet. Le moderne reti domestiche utilizzano in genere router Wi-Fi tramite una connessione via cavo Ethernet. Hanno accesso a Internet tramite una rete locale computer desktop e laptop, smartphone e tablet. Inoltre, in un unico bundle sono presenti sia i PC stessi che periferiche, come stampanti e scanner, molti dei quali sono collegati tramite una rete.
Attaccando il tuo punto di accesso, un utente malintenzionato non solo può utilizzare la tua connessione Internet e controllare i dispositivi del computer di casa, ma anche posizionare World Wide Web contenuti illegali utilizzando il tuo indirizzo IP, nonché rubare informazioni archiviate su apparecchiature connesse alla rete. Oggi parleremo delle regole di base per proteggere le reti, preservarne la funzionalità e prevenire gli attacchi hacker.
Hardware
La maggior parte delle apparecchiature di rete moderne richiedono la configurazione di funzionalità di sicurezza. Prima di tutto stiamo parlando sui vari filtri, firewall ed elenchi di accesso pianificati. Un utente inesperto può impostare i parametri di protezione, ma dovresti conoscere alcune sfumature.
USIAMO LA CRIPTAZIONE DEL TRAFFICO Quando imposti un punto di accesso, assicurati di abilitare i meccanismi di sicurezza del traffico più robusti, crea una password complessa e priva di significato e utilizza il protocollo WPA2 con algoritmo di crittografia AES. Il WEP è obsoleto e può essere violato in pochi minuti.
CAMBIIAMO REGOLARMENTE I VOSTRI DATI CONTABILI Imposta password di accesso complesse e modificale regolarmente (ad esempio, una volta ogni sei mesi). Il modo più semplice per hackerare un dispositivo su cui l'utente ha lasciato login e password standard “admin”/“admin”.
NASCONDERE L'SSID Il parametro SSID (Service Set Identifier) è il nome pubblico rete senza fili, che viene trasmesso via etere in modo che i dispositivi dell'utente possano vederlo. Utilizzare l'opzione per nascondere l'SSID ti proteggerà dagli hacker inesperti, ma per connettere nuovi dispositivi dovrai inserire manualmente i parametri del punto di accesso.
CONSIGLIO Quando si configura il punto di accesso per la prima volta, modificare l'SSID, poiché questo nome riflette il modello del router e può servire da suggerimento a un utente malintenzionato durante la ricerca di vulnerabilità.
CONFIGURAZIONE DEL FIREWALL INTEGRATO Nella maggior parte dei casi i router sono dotati di versioni semplici di firewall. Con il loro aiuto, non sarà possibile configurare a fondo molte regole per lavorare in sicurezza sulla rete, ma sarà possibile coprire le principali vulnerabilità o, ad esempio, vietare il funzionamento dei client di posta elettronica.
RESTRIZIONE DELL'ACCESSO PER INDIRIZZO MAC Utilizzando gli elenchi di indirizzi MAC (Media Access Control), è possibile negare l'accesso alla rete locale a quei dispositivi i cui indirizzi fisici non sono inclusi in tale elenco. Per fare ciò, dovrai creare manualmente elenchi di apparecchiature consentite sulla rete. Ogni dispositivo dotato di interfaccia di rete, in fabbrica gli viene assegnato un indirizzo MAC univoco. Può essere riconosciuto osservando l'etichetta o i contrassegni sull'apparecchiatura oppure utilizzando comandi speciali e scanner di rete. Se è presente un'interfaccia web o un display (ad esempio, router e stampanti di rete) Troverai l'indirizzo MAC nel menu delle impostazioni.
Puoi trovare l'indirizzo MAC della scheda di rete del tuo computer nelle sue proprietà. Per fare ciò, vai al menu “Pannello di controllo | Reti e Internet | Centro di controllo della rete e accesso condiviso", quindi nella parte sinistra della finestra fare clic sul collegamento "Modifica impostazioni adattatore", fare clic con il tasto destro del mouse sulla scheda di rete utilizzata e selezionare "Stato". Nella finestra che si apre, è necessario cliccare sul pulsante “Dettagli” e guardare la riga “Indirizzo fisico”, dove verranno visualizzate sei coppie di numeri che indicano l'indirizzo MAC della propria scheda di rete.
Ci sono più modo rapido. Per usarlo, premi la combinazione di tasti “Win + R”, inserisci CMD nella riga che appare e fai clic su “OK”. Nella finestra che si apre inserisci il comando:
Premere Invio". Trova le righe "Indirizzo fisico" nei dati visualizzati: questo valore è l'indirizzo MAC.
Avendo protetto fisicamente la rete, è necessario curare la parte software della “difesa”. Pacchetti antivirus completi ti aiuteranno in questo, firewall e scanner di vulnerabilità.
CONFIGURAZIONE DELL'ACCESSO ALLE CARTELLE Non posizionare cartelle con dati di sistema o semplicemente importanti in directory accessibili agli utenti della rete interna. Inoltre, provare a non creare cartelle a cui è possibile accedere dalla rete sull'unità di sistema. Se non vi è alcuna necessità particolare, è meglio limitare tutte queste directory con l'attributo "Sola lettura". In caso contrario, nella cartella condivisa potrebbe insediarsi un virus mascherato da documenti.
INSTALLAZIONE DI UN FIREWALL I firewall software sono generalmente facili da configurare e dispongono di una modalità di autoapprendimento. Durante l'utilizzo, il programma chiede all'utente quali connessioni approva e quali ritiene necessario vietare.
Ti consigliamo di utilizzare firewall personali integrati in prodotti commerciali popolari come Kaspersky Internet Security, Norton Internet Security, NOD Sicurezza su Internet, così come soluzioni gratuite, ad esempio Comodo Firewall. Il firewall standard di Windows, sfortunatamente, non può vantare una sicurezza affidabile, fornendo solo le impostazioni di base della porta.
Prova di vulnerabilità
Il pericolo maggiore per le prestazioni di un computer e di una rete sono i programmi che contengono "buchi" e misure di sicurezza configurate in modo errato.
XSpider Un programma facile da usare per scansionare la tua rete alla ricerca di vulnerabilità. Ti consentirà di identificare rapidamente la maggior parte dei problemi attuali e anche di fornirne la descrizione e, in alcuni casi, le soluzioni. Purtroppo qualche tempo fa l'utenza è stata pagata, e questo è forse l'unico inconveniente.
Nmap Senza scopo di lucro scanner di rete con aperto codice sorgente. Il programma è stato originariamente sviluppato per gli utenti UNIX, ma in seguito, a causa della sua crescente popolarità, è stato portato su Windows. L'utilità è progettata per utenti esperti. Nmap ha un'interfaccia semplice e intuitiva, ma comprendere i dati che produce senza una conoscenza di base non sarà facile.
KIS 2013 Questo pacchetto fornisce non solo una protezione completa, ma anche strumenti diagnostici. Puoi usarlo per eseguire la scansione programmi installati per la presenza di vulnerabilità critiche. Come risultato di questa procedura, il programma presenterà un elenco di utilità in cui è necessario colmare le lacune e potrai trovare informazioni dettagliate su ciascuna vulnerabilità e su come risolverla.
Suggerimenti per l'installazione di una rete
Puoi rendere la tua rete più sicura non solo nella fase di implementazione e configurazione, ma anche quando esiste già. Quando si garantisce la sicurezza, è necessario considerare il numero di dispositivi collegati, la posizione del cavo di rete, la distribuzione del segnale Wi-Fi e il tipo di ostacoli ad esso.
POSIZIONAMENTO DEL PUNTO DI ACCESSO Valuta quanta area devi portare nel raggio d'azione del Wi-Fi. Se devi coprire solo un'area del tuo appartamento, non dovresti posizionare il punto di accesso wireless vicino alle finestre. Ciò ridurrà il rischio di intercettazione e pirateria informatica di un canale scarsamente protetto da parte di wardriver, persone che cercano punti di accesso Internet wireless gratuiti e utilizzano anche metodi illegali. Va tenuto presente che ogni muro di cemento riduce della metà la potenza del segnale. Ricordiamo inoltre che lo specchio di un armadio è uno schermo quasi impenetrabile per il segnale Wi-Fi, che in alcuni casi può essere utilizzato per impedire la propagazione delle onde radio in determinate direzioni nell'appartamento. Inoltre, alcuni router Wi-Fi consentono di configurare la potenza del segnale nell'hardware. Con questa opzione è possibile garantire artificialmente l'accesso solo agli utenti che si trovano nella stanza con il punto di accesso. Lo svantaggio di questo metodo è la possibile mancanza di segnale nelle aree remote del tuo appartamento.
POSA CAVI Una rete organizzata prevalentemente via cavo garantisce la massima velocità e affidabilità di comunicazione, eliminando al contempo la possibilità che qualcuno interferisca con essa, come può accadere con una connessione Wi-Fi. la possibilità di incastrarvi dall'esterno, come può accadere con una connessione Wi-Fi.
Per evitare collegamenti non autorizzati, durante la posa di una rete via cavo, fare attenzione a proteggere i fili da danni meccanici, utilizzare apposite canaline per cavi ed evitare zone in cui il cavo si affloscia troppo o, al contrario, risulta eccessivamente teso. Non posare il cavo vicino a fonti di forti interferenze o in una zona con condizioni ambientali sfavorevoli (temperature e umidità critiche). È inoltre possibile utilizzare un cavo schermato per una protezione aggiuntiva.
PROTEGGERE DAGLI ELEMENTI Le reti cablate e wireless sono sensibili agli effetti dei temporali e, in alcuni casi, un fulmine può danneggiare più che semplici apparecchiature di rete o scheda di rete, ma anche molti componenti del PC. Per ridurre il rischio, ricordarsi innanzitutto di collegare a terra le prese elettriche e i componenti del PC. Utilizzare dispositivi di tipo pilota che utilizzano circuiti di protezione da interferenze e sbalzi di tensione.
Oltretutto, la migliore soluzione potrebbe diventare una fonte gruppo di continuità(UPS). Le versioni moderne includono sia stabilizzatori di tensione che alimentatori autonomi, nonché connettori speciali per il collegamento di un cavo di rete attraverso di essi. Se un fulmine colpisce improvvisamente l'apparecchiatura del provider Internet, un tale UPS non consentirà a una sovratensione dannosa di entrare nella scheda di rete del PC. Vale la pena ricordare che in ogni caso la messa a terra delle prese o dell'apparecchiatura stessa è estremamente importante.
Utilizzo degli strumenti per la creazione di tunnel VPN
Un modo abbastanza affidabile per proteggere le informazioni trasmesse su una rete sono i tunnel VPN (Virtual Private Network). La tecnologia di tunneling consente di creare un canale crittografato attraverso il quale i dati vengono trasferiti tra più dispositivi. Organizzare una VPN per migliorare la sicurezza delle informazioni è possibile all'interno di una rete domestica, ma richiede molto lavoro e conoscenze specifiche. Il metodo più comune per utilizzare una VPN è connettersi al PC di casa dall'esterno, ad esempio da un computer di lavoro. Pertanto, i dati trasferiti tra le tue macchine saranno ben protetti dalla crittografia del traffico. Per questi scopi, è meglio utilizzare un servizio gratuito molto affidabile Programma Hamachi. In questo caso, sarà richiesta solo la conoscenza di base dell'organizzazione di una VPN, che rientra nelle capacità di un utente inesperto.
Introduzione
La rilevanza di questo argomento sta nel fatto che i cambiamenti in atto nella vita economica della Russia - la creazione di un sistema finanziario e creditizio, imprese di varie forme di proprietà, ecc. - avere un impatto significativo sulle questioni relative alla sicurezza delle informazioni. Per molto tempo nel nostro paese esisteva una sola proprietà: quella statale, quindi anche le informazioni e i segreti erano solo proprietà statale, che erano protetti da potenti servizi speciali. I problemi informazioni di sicurezza sono costantemente aggravati dalla penetrazione dei mezzi tecnici di elaborazione e trasmissione dei dati e, soprattutto, dei sistemi informatici, in quasi tutte le sfere dell'attività sociale. Gli obiettivi degli attacchi potrebbero essere essi stessi mezzi tecnici(computer e periferiche) come oggetti materiali, software e banche dati per i quali i mezzi tecnici costituiscono l'ambiente. Ogni guasto di una rete informatica non rappresenta solo un danno “morale” per i dipendenti aziendali e gli amministratori di rete. Con lo sviluppo delle tecnologie di pagamento elettronico, del flusso di documenti “senza carta” e altri, un grave fallimento delle reti locali può semplicemente paralizzare il lavoro di intere aziende e banche, il che porta a significative perdite materiali. Non è un caso che la protezione dei dati in reti di computer sta diventando uno dei problemi più urgenti dell’informatica moderna. Finora sono stati formulati due principi fondamentali della sicurezza delle informazioni, che dovrebbero garantire: - l'integrità dei dati - la protezione contro i guasti che portano alla perdita di informazioni, nonché alla creazione o distruzione non autorizzata dei dati. - riservatezza delle informazioni e, allo stesso tempo, la loro disponibilità a tutti gli utenti autorizzati. Si segnala inoltre che alcuni settori di attività (istituti bancari e finanziari, reti di informazione, sistemi controllata dal governo, difesa e strutture speciali) richiedono misure speciali di sicurezza dei dati e impongono maggiori esigenze in termini di affidabilità operativa sistemi di informazione, in base alla natura e all'importanza dei compiti che risolvono.
Se un computer è connesso a una rete locale, persone non autorizzate possono accedere potenzialmente a questo computer e alle informazioni in esso contenute dalla rete locale.
Se la rete locale è collegata ad altre reti locali, gli utenti di queste vengono aggiunti all'elenco dei possibili utenti non autorizzati. reti remote. Non parleremo dell'accessibilità di un computer del genere dalla rete o dai canali attraverso i quali sono collegate le reti locali, perché probabilmente ci sono dispositivi alle uscite delle reti locali che crittografano e controllano il traffico e sono state prese le misure necessarie.
Se un computer è collegato direttamente tramite un provider a una rete esterna, ad esempio tramite un modem a Internet, per l'interazione remota con la sua rete locale, il computer e le informazioni in esso contenute sono potenzialmente accessibili agli hacker da Internet. E la cosa più spiacevole è che attraverso questo computer gli hacker possono accedere anche alle risorse della rete locale.
Naturalmente, anche per tutte queste connessioni mezzi regolari controllo dell'accesso al sistema operativo, o mezzi specializzati di protezione contro l'accesso non autorizzato, o sistemi crittografici a livello di applicazioni specifiche, o entrambi.
Tuttavia, tutte queste misure, purtroppo, non possono garantire la sicurezza desiderata durante gli attacchi alla rete, e ciò si spiega con i seguenti motivi principali:
I sistemi operativi (OS), in particolare WINDOWS, lo sono prodotti software di elevata complessità, la cui creazione viene effettuata da grandi team di sviluppatori. Un’analisi dettagliata di questi sistemi è estremamente difficile. In questo contesto non è possibile dimostrare in modo affidabile l'assenza di funzionalità standard, errori o funzionalità non documentate lasciate accidentalmente o intenzionalmente nel sistema operativo e che potrebbero essere utilizzate tramite attacchi di rete.
In un sistema operativo multitasking, in particolare WINDOWS, possono essere eseguite contemporaneamente molte applicazioni diverse...
In questo caso, sia il fornitore che il suo cliente devono rispettare le norme sulla sicurezza delle informazioni. In altre parole, ci sono due punti di vulnerabilità (lato cliente e lato fornitore) e ciascuno dei partecipanti a questo sistema è costretto a difendere i propri interessi.
Vista dal lato del cliente
Fare affari in un ambiente elettronico richiede canali di trasmissione dati ad alta velocità e, se in precedenza il denaro principale dei fornitori veniva guadagnato dalla connessione a Internet, ora i clienti hanno requisiti piuttosto severi per la sicurezza dei servizi offerti.
In Occidente sono apparsi numerosi dispositivi hardware che forniscono connessioni sicure alle reti domestiche. Di norma si chiamano “soluzioni SOHO” e combinano un firewall hardware, un hub con più porte, un server DHCP e le funzioni di un router VPN. Questa è, ad esempio, la strada intrapresa dagli sviluppatori di Cisco PIX Firewall e WatchGuard FireBox. I firewall software rimangono solo a livello personale e vengono utilizzati come ulteriore mezzo di protezione.
Gli sviluppatori di firewall hardware di classe SOHO ritengono che questi dispositivi dovrebbero essere facili da gestire, "trasparenti" (cioè invisibili) per l'utente della rete domestica e corrispondere in termini di costi all'entità del danno diretto derivante da azioni possibili intrusi. Danno medio per un attacco riuscito rete di casa stimato a circa $ 500.
Per proteggere la tua rete domestica, puoi utilizzare un firewall software o semplicemente rimuovere protocolli e servizi non necessari dalle impostazioni di configurazione. L'opzione migliore è che il fornitore testi diversi firewall personali, configuri su di essi il proprio sistema di sicurezza e fornisca loro supporto tecnico. In particolare, questo è esattamente ciò che fa il provider 2COM, che offre ai suoi clienti una serie di schermate testate e suggerimenti per la loro configurazione. Nel caso più semplice si consiglia di dichiarare pericolosi quasi tutti gli indirizzi di rete, esclusi gli indirizzi computer locale e il gateway attraverso il quale viene stabilita la connessione a Internet. Se uno schermo software o hardware sul lato client rileva segni di intrusione, ciò deve essere immediatamente segnalato al servizio supporto tecnico fornitore.
Va notato che un firewall protegge dalle minacce esterne, ma non protegge dagli errori dell'utente. Pertanto, anche se il fornitore o il cliente hanno installato un qualche tipo di sistema di sicurezza, entrambe le parti devono comunque seguire una serie di regole abbastanza semplici per ridurre al minimo la probabilità di attacchi. Per prima cosa dovresti lasciare meno informazioni personali possibili su Internet, cercare di evitare di pagare con carte di credito o almeno controllare che il server disponga di un certificato digitale. In secondo luogo, non dovresti scaricare da Internet ed eseguire programmi sul tuo computer, soprattutto quelli gratuiti. Inoltre, non è consigliabile rendere le risorse locali disponibili esternamente, installare il supporto per protocolli non necessari (come IPX o SMB) o utilizzare le impostazioni predefinite (ad esempio, nascondere le estensioni dei file).
È particolarmente pericoloso eseguire script allegati alle lettere E-mail, ma è meglio non utilizzare affatto Outlook, poiché la maggior parte dei virus sono scritti appositamente per questo client di posta. In alcuni casi, è più sicuro utilizzare i servizi di posta Web per lavorare con la posta elettronica, poiché i virus, di regola, non si diffondono attraverso di essi. Ad esempio, il provider 2COM offre un servizio Web gratuito che consente di leggere informazioni dall'esterno cassette postali e caricare su macchina locale solo i messaggi che ti servono.
I fornitori di solito non forniscono servizi di accesso sicuro. Il fatto è che la vulnerabilità del cliente dipende spesso dalle sue stesse azioni, quindi in caso di un attacco riuscito è abbastanza difficile dimostrare chi ha commesso esattamente l'errore: il cliente o il fornitore. Inoltre, il fatto dell'attacco deve ancora essere registrato e questo può essere fatto solo con mezzi comprovati e certificati. Anche valutare i danni causati da un hack non è facile. Di norma, viene determinato solo il suo valore minimo, caratterizzato dal tempo necessario per ripristinare il normale funzionamento del sistema.
I fornitori possono garantire la sicurezza dei servizi di posta controllando tutta la posta in arrivo utilizzando programmi antivirus, oltre a bloccare tutti i protocolli tranne quelli principali (Web, email, notizie, ICQ, IRC e alcuni altri). Gli operatori non possono sempre tenere traccia di ciò che accade sui segmenti interni della rete domestica, ma poiché sono costretti a difendersi dagli attacchi esterni (il che è coerente con le politiche di protezione degli utenti), i clienti devono interagire con i propri team di sicurezza. Va ricordato che il fornitore non garantisce la sicurezza assoluta degli utenti, ma persegue solo il proprio profitto commerciale. Spesso gli attacchi agli abbonati sono associati a un forte aumento del volume di informazioni loro trasmesse, che, di fatto, è il modo in cui l'operatore guadagna. Ciò significa che gli interessi del fornitore possono talvolta entrare in conflitto con gli interessi del consumatore.
Il punto di vista del fornitore
Per i fornitori di servizi di rete domestica, i problemi principali sono le connessioni non autorizzate e l’elevato traffico interno. Le reti domestiche vengono spesso utilizzate per ospitare giochi che non si estendono oltre la rete locale di un edificio residenziale, ma possono portare al blocco di interi segmenti di esso. In questo caso, lavorare su Internet diventa difficile, il che provoca una discreta insoddisfazione tra i clienti commerciali.
Dal punto di vista dei costi, i fornitori sono interessati a ridurre al minimo i costi di protezione e monitoraggio della propria rete domestica. Allo stesso tempo, non possono sempre organizzare una protezione adeguata per il cliente, poiché ciò richiede determinati costi e restrizioni da parte dell'utente. Sfortunatamente, non tutti gli abbonati sono d'accordo con questo.
Tipicamente, le reti domestiche sono strutturate come segue: c'è un router centrale che ha un canale di accesso a Internet e ad esso è collegata un'ampia rete di blocco, casa e ingresso. Naturalmente il router funziona come un firewall, separando la rete domestica dal resto di Internet. Implementa diversi meccanismi di sicurezza, ma quello più comunemente utilizzato è la traduzione degli indirizzi, che consente di nascondere contemporaneamente l'infrastruttura di rete interna e salvare i reali indirizzi IP del provider.
Tuttavia, alcuni provider forniscono ai propri clienti indirizzi IP reali (ad esempio, ciò accade nella rete del microdistretto di Mitino, che è collegato al provider di Mosca MTU-Intel). In questo caso, il computer dell'utente diventa direttamente accessibile da Internet, rendendone più difficile la protezione. Non sorprende che l'onere della fornitura informazioni di sicurezza ricade interamente sugli abbonati, mentre resta l'operatore l'unico modo controllo sulle loro azioni - tramite indirizzi IP e MAC. Tuttavia, i moderni adattatori Ethernet consentono di modificare programmaticamente entrambi i parametri a livello del sistema operativo e il provider è indifeso contro un client senza scrupoli.
Naturalmente alcune applicazioni richiedono l'assegnazione di indirizzi IP reali. Fornire un vero indirizzo IP statico a un client è piuttosto pericoloso, perché se il server con questo indirizzo viene attaccato con successo, il resto della rete interna diventerà accessibile tramite esso.
Una delle soluzioni di compromesso al problema uso sicuro Gli indirizzi IP in una rete domestica rappresentano l'introduzione della tecnologia VPN combinata con un meccanismo per la distribuzione dinamica degli indirizzi. In breve lo schema è il seguente. Viene stabilito un tunnel crittografato dalla macchina client al router utilizzando il protocollo PPTP. Poiché questo protocollo è supportato dal sistema operativo Windows a partire dalla versione 95 ed è ora implementato per altri sistemi operativi, al client non è richiesto di installare software aggiuntivo: deve solo configurare i componenti già installati. Quando un utente si connette a Internet, stabilisce prima una connessione con il router, quindi accede, riceve un indirizzo IP e solo allora può iniziare a lavorare su Internet.
Questo tipo di connessione equivale a una normale connessione remota con la differenza che durante l'installazione è possibile impostare quasi qualsiasi velocità. Anche le sottoreti VPN nidificate funzioneranno secondo questo schema, che può essere utilizzato per connettere in remoto i client alla rete aziendale. Durante ogni sessione utente, il provider assegna dinamicamente un indirizzo IP reale o virtuale. A proposito, l’indirizzo IP reale di 2COM costa $ 1 al mese in più rispetto a quello virtuale.
Per implementare le connessioni VPN, 2COM ha sviluppato un proprio router specializzato che esegue tutte le funzioni sopra elencate oltre ai prezzi del servizio. Va notato che la crittografia dei pacchetti non è responsabilità di processore, ma su un coprocessore specializzato, che consente di supportare contemporaneamente fino a 500 canali virtuali VPN. Uno di questi router crittografici sulla rete 2COM viene utilizzato per connettere più case contemporaneamente.
Generalmente nel miglior modo possibile la protezione della rete domestica è una stretta interazione tra fornitore e cliente, all'interno della quale ognuno ha l'opportunità di difendere i propri interessi. A prima vista, i metodi di sicurezza della rete domestica sembrano simili a quelli utilizzati per proteggere sicurezza aziendale, Ma in realtà non lo è. È consuetudine che le aziende stabiliscano regole di comportamento abbastanza rigide per i dipendenti, aderendo a una determinata politica di sicurezza delle informazioni. Questa opzione non funziona in una rete domestica: ogni cliente richiede i propri servizi e deve creare regole generali il comportamento non sempre ha successo. Di conseguenza, costruire un sistema di sicurezza affidabile per la rete domestica è molto più difficile che garantire la sicurezza di una rete aziendale.
PNST301-2018/ISO/IEC 24767-1:2008
NORMA NAZIONALE PRELIMINARE DELLA FEDERAZIONE RUSSA
Tecnologie dell'informazione
SICUREZZA DELLA RETE DOMESTICA
Requisiti di sicurezza
Tecnologie dell'informazione. Sicurezza della rete domestica. Parte 1.Requisiti di sicurezza
OK 35.110, 35.200,35.240.99
Valido dal 01-02-2019
Prefazione
Prefazione
1 PREPARATO dall'Istituto di istruzione superiore di bilancio dello Stato federale "Università economica russa intitolata a G.V. Plekhanov" (FSBEI HE "REU intitolato a G.V. Plekhanov") sulla base della propria traduzione in russo della versione inglese dello standard internazionale specificato nel paragrafo 4
2INTRODOTTO dal Comitato Tecnico per la Standardizzazione TC 22 "Tecnologie dell'informazione"
3APPROVATO ED ENTRATO IN EFFETTO con ordinanza dell'Agenzia federale per la regolamentazione tecnica e la metrologia del 4 settembre 2018 N38-pnst
4Questa norma è identica alla norma internazionale ISO/IEC 24767-1:2008* "Tecnologia dell'informazione - Sicurezza della rete domestica - Parte 1: Requisiti di sicurezza", IDT)
________________
*L'accesso ai documenti internazionali e stranieri menzionati qui e più avanti nel testo può essere ottenuto seguendo il collegamento al sito. - Nota del produttore del database.
Le regole per l'applicazione di questo standard e la conduzione del suo monitoraggio sono stabilite in GOST R 1.16-2011 (sezioni 5 e 6).
L'Agenzia federale per la regolamentazione tecnica e la metrologia raccoglie informazioni sull'applicazione pratica di questo standard. Tali informazioni, nonché commenti e suggerimenti sul contenuto della norma, potranno essere inviate entro e non oltre 4 giorni prima. mesi prima della scadenza del suo periodo di validità allo sviluppatore di questo standard all'indirizzo: 117997 Mosca, Stremyanny Lane, 36, Istituto di istruzione superiore di bilancio statale federale "REU"prende il nome da G.V. Plekhanov" e all'Agenzia federale per la regolamentazione tecnica e la metrologia presso: 109074 Mosca, Kitaygorodsky proezd, 7, edificio 1.
In caso di cancellazione di questa norma, le informazioni pertinenti saranno pubblicate nell'indice informativo mensile "Norme nazionali" e saranno anche pubblicate sul sito ufficiale dell'Agenzia federale per la regolamentazione tecnica e la metrologia su Internet (www.gost.ru)
introduzione
L'ISO (Organizzazione internazionale per la standardizzazione) e l'IEC (Commissione elettrotecnica internazionale) formano un sistema specializzato per la standardizzazione mondiale. Gli enti governativi membri dell'ISO o dell'IEC partecipano allo sviluppo di standard internazionali attraverso comitati tecnici. Qualsiasi organismo interessato che sia membro dell'ISO o dell'IEC può partecipare allo sviluppo di una norma in un'area specifica. Nei lavori sono coinvolte anche altre organizzazioni internazionali, governative e non governative, in contatto con ISO e IEC.
Nel settore della tecnologia dell'informazione, ISO e IEC hanno istituito il Comitato tecnico congiunto ISO/IEC JTC 1. I progetti di standard internazionali preparati dal Comitato tecnico congiunto vengono distribuiti ai comitati nazionali per la votazione. La pubblicazione come standard internazionale richiede l'approvazione di almeno il 75% dei comitati nazionali votanti.
Le decisioni formali o gli accordi di IEC e ISO su questioni tecniche esprimono, per quanto possibile, il consenso internazionale sulle questioni coinvolte, poiché ogni comitato tecnico ha rappresentanti di tutti i comitati nazionali membri IEC e ISO interessati.
Le pubblicazioni di IEC, ISO e ISO/IEC sono sotto forma di raccomandazioni per uso internazionale e vengono adottate dai comitati nazionali membri di IEC e ISO proprio in questo senso. Sebbene sia stato fatto ogni sforzo per garantire la precisione contenuto tecnico Pubblicazioni IEC, ISO e ISO/IEC, IEC o ISO non si assumono alcuna responsabilità per il modo in cui vengono utilizzate o per la loro errata interpretazione da parte dell'utente finale.
Al fine di garantire l'unificazione internazionale (un unico sistema), i comitati nazionali di IEC e ISO si impegnano a garantire la massima trasparenza nell'applicazione delle norme internazionali di IEC, ISO e ISO/IEC, per quanto riguarda le condizioni nazionali e regionali di un dato paese permettere. Qualsiasi discrepanza tra le pubblicazioni ISO/IEC e le pertinenti norme nazionali o regionali deve essere chiaramente indicata in queste ultime.
ISO e IEC non forniscono procedure di etichettatura e non sono responsabili per eventuali apparecchiature che dichiarano la conformità a uno degli standard ISO/IEC.
Tutti gli utenti devono assicurarsi di utilizzare l'ultima edizione di questa pubblicazione.
L'IEC o l'ISO, i loro dirigenti, dipendenti, dipendenti o rappresentanti, compresi i singoli esperti e i membri dei loro comitati tecnici, e i membri dei comitati nazionali IEC o ISO non saranno responsabili per incidenti, danni alla proprietà o altri danni, diretti o indiretti, o per i costi (incluse le spese legali) sostenuti in relazione alla pubblicazione o dall'uso di questa pubblicazione ISO/IEC o di un'altra pubblicazione IEC, ISO o ISO/IEC.
Particolare attenzione è richiesta alla documentazione normativa citata nella presente pubblicazione, l'utilizzo dei documenti richiamati è necessario per la corretta applicazione della presente pubblicazione.
Si richiama l'attenzione sul fatto che alcuni elementi della presente norma internazionale possono essere oggetto di diritti di brevetto. ISO e IEC non sono responsabili della determinazione di alcuni o tutti questi diritti di brevetto.
La norma internazionale ISO/IEC 24767-1 è stata sviluppata dal Comitato tecnico congiunto ISO/IEC 1, Tecnologia dell'informazione, Sottocomitato 25, Interconnessioni delle apparecchiature informatiche.
Sul sito web dell'IEC è presentato un elenco di tutte le parti attualmente disponibili della serie ISO/IEC 24767 sotto il titolo generale "Tecnologia dell'informazione - Sicurezza della rete domestica".
1 zona di utilizzo
Questo standard definisce i requisiti per proteggere una rete domestica da minacce interne o esterne. Lo standard funge da base per lo sviluppo di sistemi di sicurezza che proteggono l'ambiente interno da varie minacce.
I requisiti di sicurezza sono affrontati in modo relativamente informale in questo standard. Sebbene molte delle questioni discusse in questo standard forniscano indicazioni per la progettazione di sistemi di sicurezza sia per Intranet che per Internet, si tratta di requisiti informali per natura.
Connesso alla rete interna (domestica). vari dispositivi(vedi Figura 1). I dispositivi di "rete degli elettrodomestici", i dispositivi di "intrattenimento AV" e i dispositivi di "applicazione di informazioni" hanno funzioni e caratteristiche prestazionali diverse. Questo standard fornisce strumenti per analizzare i rischi di ciascun dispositivo connesso a una rete e determinare i requisiti di sicurezza per ciascun dispositivo.
2Termini, definizioni e abbreviazioni
2.1Termini e definizioni
Nel presente standard vengono utilizzati i seguenti termini e definizioni:
2.1.1 elettronica di consumo(articoli marroni): dispositivi audio/video utilizzati principalmente per scopi di intrattenimento, come un televisore o un registratore DVD.
2.1.2riservatezza(riservatezza): una proprietà che garantisce l'inaccessibilità e la non divulgazione delle informazioni a persone, organizzazioni o processi non autorizzati.
2.1.3 autenticazione dei dati(autenticazione dei dati): un servizio utilizzato per garantire la corretta verifica di una fonte di dati dichiarata.
2.1.4 integrità dei dati(integrità dei dati): una proprietà che verifica che i dati non siano stati modificati o distrutti in modo non autorizzato.
2.1.5 autenticazione utente(autenticazione utente): un servizio per garantire che le informazioni di autenticazione fornite da un partecipante alla comunicazione siano correttamente verificate, mentre il servizio di autorizzazione garantisce che l'utente identificato e autorizzato abbia accesso a dispositivo specifico o un'applicazione di rete domestica.
2.1.6 Elettrodomestici(elettrodomestici bianchi): dispositivi utilizzati nell'uso quotidiano, come aria condizionata, frigoriferi, ecc.
2.2Abbreviazioni
Nella presente norma vengono utilizzate le seguenti abbreviazioni:
3Conformità
Questo standard fornisce una guida senza alcun requisito di conformità.
4Requisiti di sicurezza per i sistemi e le reti elettroniche domestiche interne
4.1 Disposizioni generali
Con il rapido sviluppo di Internet e delle relative tecnologie di rete, è diventato possibile stabilire connessioni tra i computer negli uffici e nelle case con il mondo esterno, che fornisce l'accesso a una varietà di risorse. Oggi, le tecnologie alla base di questo successo hanno raggiunto le nostre case e rendono possibile connettere gli elettrodomestici proprio come prima computer personale. Pertanto, non solo consentono agli utenti di monitorare e controllare i propri elettrodomestici, sia all'interno che all'esterno della casa, ma creano anche nuovi servizi e funzionalità, come il controllo remoto e la manutenzione degli elettrodomestici. Ciò significa che il consueto ambiente informatico domestico si trasforma in una rete domestica interna, che collega numerosi dispositivi, la cui sicurezza dovrà essere garantita.
È necessario che i residenti, gli utenti e i proprietari sia della casa che del sistema abbiano fiducia nel sistema elettronico domestico. Obiettivo della sicurezza elettronica domestica sistemi di supporto fiducia nel sistema. Poiché molti componenti fatti in casa sistema elettronico sono in funzione ininterrottamente, 24 ore su 24, e scambiano automaticamente informazioni con il mondo esterno, la sicurezza delle informazioni è necessaria per garantire la riservatezza, l'integrità e la disponibilità dei dati e del sistema. Una soluzione di sicurezza correttamente implementata implica, ad esempio, che l'accesso ai il sistema e i dati memorizzati, in entrata e in uscita, che solo gli utenti e i processi autorizzati ricevono e che solo gli utenti autorizzati possono utilizzare il sistema e apportarvi modifiche.
I requisiti di sicurezza per una rete HES possono essere descritti in diversi modi. Questo standard è limitato alla sicurezza informatica della rete HES. Tuttavia, la sicurezza informatica deve estendersi oltre il sistema stesso, poiché in caso di guasto del sistema informatico la casa deve funzionare, seppure in modo limitato. Le funzioni intelligenti tipicamente supportate da una rete HES possono essere eseguite anche quando le connessioni del sistema sono persi. In questi casi, è comprensibile che esistano requisiti di sicurezza che non possono far parte del sistema stesso, ma il sistema non dovrebbe impedire l’implementazione di soluzioni di fallback.
Ci sono molte persone interessate alle questioni di sicurezza. Il sistema elettronico domestico deve godere della fiducia non solo dei residenti e dei proprietari, ma anche dei fornitori di servizi e contenuti. Questi ultimi devono garantire che i servizi e i contenuti da loro offerti vengano utilizzati solo in modo autorizzato. Tuttavia, uno dei fondamenti della sicurezza del sistema è che uno specifico amministratore della sicurezza ne sia responsabile. Ovviamente tale responsabilità dovrebbe essere assegnata ai residenti (proprietari dell'impianto). Non importa se l’amministratore lo fa personalmente o lo esternalizza. In ogni caso la responsabilità è dell'amministratore del sistema di sicurezza. La fiducia dei fornitori di servizi e contenuti nel sistema elettronico domestico e la loro fiducia che gli utenti utilizzino i loro servizi e contenuti in modo appropriato è determinata dagli obblighi contrattuali tra le parti. Il contratto, ad esempio, può elencare le funzioni, i componenti o i processi che un sistema elettronico domestico deve supportare.
L'architettura del sistema elettronico domestico è diversa per i diversi tipi di case. Qualsiasi modello può avere una serie specifica di requisiti di sicurezza. Di seguito sono riportate le descrizioni di tre diversi modelli di sistemi elettronici domestici con diversi set di requisiti di sicurezza.
Ovviamente, alcuni requisiti di sicurezza sono più importanti di altri. Pertanto, è chiaro che il sostegno ad alcune contromisure sarà facoltativo. Inoltre, le contromisure possono variare in termini di qualità e costo. Inoltre, potrebbero essere necessarie competenze diverse per gestire e mantenere tali contromisure. Questo standard tenta di chiarire la logica alla base dei requisiti di sicurezza elencati e quindi di consentire ai progettisti di sistemi elettronici domestici di determinare quali caratteristiche di sicurezza dovrebbe supportare un particolare prodotto. sistema domestico e, tenendo conto dei requisiti di qualità e degli sforzi di gestione e manutenzione, quale meccanismo dovrebbe essere selezionato per tali funzioni.
I requisiti di sicurezza di una rete interna dipendono dalla definizione di sicurezza e di "casa" e da cosa si intende per "rete" in quella casa. Se una rete è semplicemente un collegamento che collega un singolo PC a una stampante o un modem via cavo, proteggere la rete domestica è semplice come proteggere quel collegamento e le apparecchiature a esso collegate.
Tuttavia, se in un dominio sono presenti dozzine, se non centinaia, di dispositivi collegati in rete, alcuni dei quali appartengono all'intera famiglia e altri a persone che vivono in casa, sarà necessario implementare misure di sicurezza più sofisticate.
4.2 Sicurezza del sistema elettronico domestico
4.2.1 Definizione di sistema elettronico domestico e sicurezza del sistema
Un sistema e una rete elettronica domestica possono essere definiti come l'insieme di elementi che elaborano, trasmettono, archiviano e gestiscono informazioni, fornendo connettività e integrazione ai numerosi dispositivi di elaborazione, controllo, monitoraggio e comunicazione presenti in casa.
Inoltre, i sistemi e le reti elettroniche domestiche forniscono l'interconnessione tra dispositivi di intrattenimento e informazione, nonché dispositivi di comunicazione e sicurezza ed elettrodomestici domestici. Tali dispositivi e dispositivi si scambieranno informazioni, potranno essere controllati e monitorati in casa o da remoto. Di conseguenza, tutte le reti domestiche interne richiederanno determinati meccanismi di sicurezza per proteggere le loro operazioni quotidiane.
La sicurezza della rete e dell'informazione può essere intesa come la capacità di una rete o di un sistema informativo di resistere a eventi casuali o azioni dannose a un certo livello. Tali eventi o azioni potrebbero compromettere la disponibilità, l'autenticità, l'autenticità e la riservatezza dei dati memorizzati o trasmessi, nonché dei relativi servizi offerti attraverso tali reti e sistemi.
Gli incidenti relativi alla sicurezza delle informazioni possono essere raggruppati nei seguenti gruppi:
Le comunicazioni elettroniche potrebbero essere intercettate e i dati potrebbero essere copiati o alterati. Ciò può comportare danni causati sia dalla violazione del diritto alla riservatezza dell'individuo, sia dall'uso improprio dei dati intercettati;
L'accesso non autorizzato ad un computer e alle reti informatiche interne viene solitamente effettuato con l'intento doloso di copiare, modificare o distruggere dati e può estendersi ad apparecchiature e sistemi automatici situati nell'abitazione;
Gli attacchi dannosi su Internet sono diventati abbastanza comuni e anche la rete telefonica potrebbe diventare in futuro più vulnerabile;
Il software dannoso, come i virus, può disabilitare i computer, eliminare o modificare dati o riprogrammare gli elettrodomestici. Alcuni attacchi virali sono stati piuttosto distruttivi e costosi;
Rappresentazione ingannevole di informazioni su individui o persone giuridiche potrebbe causare danni significativi, ad esempio, i clienti potrebbero scaricare software dannoso da un sito Web mascherato da fonte attendibile, i contratti potrebbero essere risolti o le informazioni riservate potrebbero essere inviate a destinatari inappropriati;
Molti incidenti relativi alla sicurezza delle informazioni coinvolgono eventi imprevisti e non voluti, come disastri naturali (inondazioni, tempeste e terremoti), danni hardware o Software così come il fattore umano.
Oggi quasi ogni appartamento dispone di una rete domestica alla quale sono collegati computer desktop, laptop, dispositivi di archiviazione dati (NAS), lettori multimediali, smart TV, nonché smartphone, tablet e altri dispositivi indossabili. Vengono utilizzate connessioni cablate (Ethernet) o wireless (Wi-Fi) e protocolli TCP/IP. Con lo sviluppo delle tecnologie dell'Internet delle cose, gli elettrodomestici - frigoriferi, macchine per il caffè, condizionatori d'aria e persino apparecchiature per l'installazione elettrica - sono diventati online. Grazie alle soluzioni" Casa intelligente"Possiamo controllare la luminosità dell'illuminazione, regolare a distanza il microclima interno, accendere e spegnere vari dispositivi: questo rende la vita molto più semplice, ma può creare seri problemi al proprietario di soluzioni avanzate.
Sfortunatamente, gli sviluppatori di tali dispositivi non si preoccupano ancora abbastanza della sicurezza dei loro prodotti e il numero di vulnerabilità riscontrate in essi cresce come funghi dopo la pioggia. Ci sono spesso casi in cui, dopo essere entrato nel mercato, un dispositivo non è più supportato: sulla nostra TV, ad esempio, è installato il firmware 2016, basato su Android 4, e il produttore non lo aggiornerà. Anche gli ospiti aggiungono problemi: è scomodo negare loro l’accesso al Wi-Fi, ma non vorrai nemmeno far entrare chiunque nella tua accogliente rete. Chissà quali virus possono insediarsi negli estranei? cellulari? Tutto ciò ci porta alla necessità di dividere la rete domestica in più segmenti isolati. Proviamo a capire come farlo, come si suol dire, con poco sangue e con il minor costo finanziario.
Isolamento delle reti Wi-Fi
Nelle reti aziendali, il problema è facilmente risolvibile: esistono switch gestiti con supporto per reti locali virtuali (VLAN), vari router, firewall e punti di accesso wireless: è possibile creare il numero richiesto di segmenti isolati in un paio d'ore. Utilizzando ad esempio il dispositivo Traffic Inspector Next Generation (TING), il problema viene risolto in pochi clic. È sufficiente collegare lo switch del segmento di rete ospite in un separato porta Ethernet e creare regole firewall. Questa opzione non è adatta per la casa a causa dell'elevato costo dell'attrezzatura: molto spesso la nostra rete è gestita da un dispositivo che combina le funzioni di router, switch, punto di accesso wireless e Dio sa cos'altro.
Fortunatamente, anche i moderni router domestici (anche se sarebbe più corretto chiamarli centri Internet) sono diventati molto intelligenti e quasi tutti, tranne quelli più economici, hanno la capacità di creare una rete Wi-Fi ospite isolata. L'affidabilità di questo stesso isolamento è una questione per un articolo a parte, oggi non esamineremo il firmware degli elettrodomestici di diversi produttori. Prendiamo come esempio ZyXEL Keenetic Extra II. Ora questa linea si chiama semplicemente Keenetic, ma abbiamo messo le mani su un dispositivo rilasciato con il marchio ZyXEL.
La configurazione tramite l'interfaccia web non causerà alcuna difficoltà nemmeno ai principianti: pochi clic e disponiamo di una rete wireless separata con il proprio SSID, protezione WPA2 e password per l'accesso. Puoi consentire l'accesso agli ospiti, nonché accendere televisori e lettori con firmware non aggiornato da molto tempo o altri client di cui non ti fidi particolarmente. Nella maggior parte dei dispositivi di altri produttori anche questa funzione, lo ripetiamo, è presente e si attiva allo stesso modo. Ecco come, ad esempio, il problema viene risolto nel firmware Router D-Link utilizzando la procedura guidata di configurazione.
Puoi aggiungere una rete ospite quando il dispositivo è già configurato e funzionante.
Screenshot dal sito web del produttore
Screenshot dal sito web del produttore
Isoliamo le reti Ethernet
Oltre ai client che si connettono alla rete wireless, potremmo imbatterci in dispositivi con interfaccia cablata. Gli esperti diranno che per creare segmenti Ethernet isolati vengono utilizzate le cosiddette VLAN: reti locali virtuali. Alcuni router domestici supportano questa funzionalità, ma è qui che l'attività diventa più complicata. Vorrei non solo creare un segmento separato, dobbiamo combinare le porte per una connessione cablata con una rete ospite wireless su un router. Non tutti i dispositivi domestici sono in grado di gestirlo: un'analisi superficiale mostra che oltre ai centri Internet Keenetic, l'aggiunta di porte Ethernet a un singolo Rete Wi-Fi I modelli della linea MikroTik sono adatti anche al segmento ospiti, ma il processo di configurazione non è più così ovvio. Se parliamo di router domestici a prezzi comparabili, solo Keenetic può risolvere il problema in un paio di clic nell'interfaccia web.
Come puoi vedere, il soggetto del test ha affrontato facilmente il problema e qui vale la pena prestare attenzione a un'altra caratteristica interessante: puoi anche isolare i client wireless della rete ospite l'uno dall'altro. Questo è molto utile: lo smartphone del tuo amico infetto da malware accederà a Internet, ma non sarà in grado di attaccare altri dispositivi, nemmeno su una rete ospite. Se il tuo router ha una funzione simile, dovresti assolutamente abilitarla, anche se ciò limiterà le possibilità di interazione del client - ad esempio, non sarà più possibile accoppiare una TV con un lettore multimediale tramite Wi-Fi, dovrai utilizzare una connessione cablata. In questa fase, la nostra rete domestica sembra più sicura.
Qual è il risultato?
Il numero di minacce alla sicurezza cresce di anno in anno e i produttori dispositivi intelligenti non sempre prestano sufficiente attenzione al rilascio tempestivo degli aggiornamenti. In una situazione del genere, abbiamo solo una via d'uscita: differenziare i client della rete domestica e creare per loro segmenti isolati. Per fare ciò, non è necessario acquistare attrezzature per decine di migliaia di rubli; un centro Internet domestico relativamente economico può gestire il compito. Qui vorrei mettere in guardia i lettori dall'acquisto di dispositivi di marchi economici. Quasi tutti i produttori ora hanno più o meno lo stesso hardware, ma la qualità del software integrato è molto diversa. Così come la durata del ciclo di supporto per i modelli rilasciati. Non tutti i router domestici possono far fronte anche al compito abbastanza semplice di combinare una rete cablata e wireless in un segmento isolato, e potresti averne di più complessi. A volte è necessario configurare segmenti aggiuntivi o filtri DNS per accedere solo a host sicuri, in stanze di grandi dimensioni è necessario connettere i client Wi-Fi alla rete ospite tramite punti di accesso esterni, ecc. e così via. Oltre alle questioni di sicurezza, ci sono altri problemi: nelle reti pubbliche è necessario garantire la registrazione dei clienti in conformità con i requisiti della legge federale n. 97 “Sulle informazioni, tecnologie dell'informazione e sulla protezione delle informazioni." I dispositivi economici sono in grado di risolvere tali problemi, ma non tutti: funzionalità Il software integrato che hanno, lo ripetiamo, è molto diverso.
