Mēs aizsargājam maršrutētāju un mājas tīklu. Nu, kā aizsargāt viedtālruņus un planšetdatorus? Pakalpojumu sniedzēja perspektīva
Galvenais drauds jūsu datu drošībai ir globālais tīmeklis. Kā nodrošināt uzticama aizsardzība mājas tīkls?
Lietotāji bieži kļūdaini uzskata, ka ar parastu antivīrusu pietiek, lai aizsargātu mājas datoru, kas ir savienots ar internetu. Maldinoši ir arī uzraksti uz maršrutētāju kastēm, norādot, ka šīs ierīces aparatūras līmenī īsteno jaudīgu ugunsmūri, kas spēj aizsargāt pret hakeru uzbrukumi. Šie apgalvojumi ir tikai daļēji patiesi. Pirmkārt, abiem rīkiem ir nepieciešama pareiza konfigurācija. Tomēr daudzām pretvīrusu pakotnēm vienkārši nav tādas funkcijas kā ugunsmūris.
Tikmēr kompetenta aizsardzības konstrukcija sākas no paša savienojuma ar internetu. Mūsdienu mājas tīkli parasti izmanto Wi-Fi maršrutētājus, izmantojot Ethernet kabeļa savienojumu. Viņiem ir piekļuve internetam, izmantojot vietējo tīklu galddatori un klēpjdatoriem, viedtālruņiem un planšetdatoriem. Turklāt vienā komplektā ir gan paši datori, gan perifērijas ierīces, piemēram, printeri un skeneri, no kuriem daudzi ir savienoti, izmantojot tīklu.
Uzlaužot jūsu piekļuves punktu, uzbrucējs var ne tikai izmantot jūsu interneta savienojumu un kontrolēt mājas datora ierīces, bet arī izvietot Globālais tīmeklis nelegālu saturu, izmantojot jūsu IP adresi, kā arī nozagt informāciju, kas glabājas tīklam pievienotajās iekārtās. Šodien mēs runāsim par pamatnoteikumiem tīklu aizsardzībai, to funkcionalitātes uzturēšanai un uzlaušanas novēršanai.
Aparatūra
Lielākajai daļai mūsdienu tīkla iekārtu ir jākonfigurē drošības līdzekļi. Pirmkārt mēs runājam par par dažādiem filtriem, ugunsmūriem un ieplānotās piekļuves sarakstiem. Neapmācīts lietotājs var iestatīt aizsardzības parametrus, taču jums jāzina dažas nianses.
MĒS IZMANTOJAM SATIKSMES Šifrēšanu Iestatot piekļuves punktu, noteikti iespējojiet izturīgākos satiksmes drošības mehānismus, izveidojiet sarežģītu, bezjēdzīgu paroli un izmantojiet WPA2 protokolu ar AES šifrēšanas algoritmu. WEP ir novecojis, un to var uzlauzt dažu minūšu laikā.
MĒS REGULĀRI MAINĪJAM JŪSU GRĀMATVEDĪBAS DATI Iestatiet spēcīgas piekļuves paroles un regulāri mainiet tās (piemēram, reizi sešos mēnešos). Vienkāršākais veids, kā uzlauzt ierīci, kurā lietotājs ir atstājis standarta pieteikumvārdu un paroli “admin”/”admin”.
Slēpts SSID SSID (Service Set Identifier) parametrs ir publiskais nosaukums bezvadu tīkls, kas tiek pārraidīta ēterā, lai lietotāju ierīces to varētu redzēt. Izmantojot iespēju slēpt SSID, jūs pasargāsit no iesācējiem hakeriem, bet pēc tam, lai pievienotu jaunas ierīces, jums būs manuāli jāievada piekļuves punkta parametri.
PADOMS Pirmoreiz uzstādot piekļuves punktu, nomainiet SSID, jo šis nosaukums atspoguļo maršrutētāja modeli, kas var kalpot kā mājiens uzbrucējam, meklējot ievainojamības.
IEBŪVĒTA UGUNMŪRA KONFIGURĒŠANA Maršrutētāji vairumā gadījumu ir aprīkoti ar vienkāršām ugunsmūru versijām. Ar viņu palīdzību nebūs iespējams rūpīgi konfigurēt daudzus noteikumus drošam darbam tīklā, taču jūs varat segt galvenās ievainojamības vai, piemēram, aizliegt e-pasta klientu darbību.
PIEKĻUVES IEROBEŽOJUMI AR MAC ADRESI Izmantojot MAC adrešu sarakstus (Media Access Control), varat liegt piekļuvi lokālajam tīklam tām ierīcēm, kuru fiziskās adreses nav iekļautas šādā sarakstā. Lai to izdarītu, jums būs manuāli jāizveido tīklā atļauto iekārtu saraksti. Katra ierīce, kas aprīkota ar tīkla interfeiss, tai rūpnīcā ir piešķirta unikāla MAC adrese. To var atpazīt, apskatot etiķeti vai marķējumus uz iekārtas, vai izmantojot īpašas komandas un tīkla skenerus. Ja ir tīmekļa saskarne vai displejs (piemēram, maršrutētāji un tīkla printeri) MAC adresi atradīsit iestatījumu izvēlnē.
Datora tīkla kartes MAC adresi var atrast tās rekvizītos. Lai to izdarītu, dodieties uz izvēlni “Vadības panelis | Tīkli un internets | Tīkla vadības centrs un dalīta piekļuve", pēc tam loga kreisajā daļā noklikšķiniet uz saites "Mainīt adaptera iestatījumus", ar peles labo pogu noklikšķiniet uz izmantotās tīkla kartes un atlasiet "Statuss". Atvērtajā logā jānoklikšķina uz pogas “Detaļas” un jāaplūko rindiņa “Fiziskā adrese”, kurā tiks parādīti seši skaitļu pāri, kas norāda tīkla kartes MAC adresi.
Ir vairāk ātrs veids. Lai to izmantotu, nospiediet taustiņu kombināciju “Win+R”, parādītajā rindā ievadiet CMD un noklikšķiniet uz “OK”. Atvērtajā logā ievadiet komandu:
Nospiediet "Enter". Parādītajos datos atrodiet rindas “Fiziskā adrese” - šī vērtība ir MAC adrese.
Fiziski aizsargājot tīklu, ir jārūpējas par “aizsardzības” programmatūras daļu. Visaptverošas pretvīrusu pakotnes jums to palīdzēs, ugunsmūri un ievainojamības skeneri.
PIEKĻUVES KONFIGURĒŠANA MAPĒM Nenovietojiet mapes ar sistēmas vai vienkārši svarīgiem datiem direktorijos, kas ir pieejami iekšējā tīkla lietotājiem. Turklāt mēģiniet sistēmas diskā neveidot mapes, kurām var piekļūt no tīkla. Ja nav īpašas vajadzības, labāk ir ierobežot visus šādus direktorijus ar atribūtu “Tikai lasāms”. Pretējā gadījumā koplietotajā mapē var apmesties vīruss, kas slēpts kā dokumenti.
UGUNSMŪRA UZSTĀDĪŠANA Programmatūras ugunsmūrus parasti ir viegli konfigurēt, un tiem ir pašmācības režīms. Lietojot to, programma jautā lietotājam, kurus savienojumus viņš apstiprina un kurus viņš uzskata par nepieciešamu aizliegt.
Mēs iesakām izmantot personiskos ugunsmūrus, kas iebūvēti tādos populāros komerciālos produktos kā Kaspersky Internet Security, Norton internet Security, NOD Interneta drošība, kā arī bezmaksas risinājumi - piemēram, Comodo Firewall. Standarta Windows ugunsmūris diemžēl nevar lepoties ar uzticamu drošību, nodrošinot tikai pamata porta iestatījumus.
Neaizsargātības pārbaude
Vislielāko apdraudējumu datora un tīkla veiktspējai rada programmas, kurās ir “caurumi” un nepareizi konfigurēti drošības pasākumi.
XSpider Viegli lietojama programma tīkla ievainojamību skenēšanai. Tas ļaus ātri identificēt aktuālākās problēmas, kā arī sniegt to aprakstu un dažos gadījumos arī risinājumus. Diemžēl pirms kāda laika lietderība kļuva par apmaksātu, un tas, iespējams, ir tās vienīgais trūkums.
Nmap Bezpeļņas organizācija tīkla skeneris ar atvērtu avota kods. Programma sākotnēji tika izstrādāta UNIX lietotājiem, taču vēlāk tās pieaugošās popularitātes dēļ tā tika pārnesta uz Windows. Lietderība ir paredzēta pieredzējušiem lietotājiem. Nmap ir vienkāršs un lietotājam draudzīgs interfeiss, taču izprast tā radītos datus bez pamatzināšanām nebūs viegli.
KIS 2013Šī pakete nodrošina ne tikai visaptverošu aizsardzību, bet arī diagnostikas rīkus. Varat to izmantot skenēšanai instalētās programmas par kritisku ievainojamību klātbūtni. Šīs procedūras rezultātā programma parādīs to utilītu sarakstu, kurās ir jānovērš nepilnības, un jūs varat uzzināt detalizētu informāciju par katru ievainojamību un to, kā to novērst.
Padomi tīkla instalēšanai
Jūs varat padarīt savu tīklu drošāku ne tikai tā izvietošanas un konfigurācijas stadijā, bet arī tad, kad tas jau pastāv. Nodrošinot drošību, jāņem vērā pievienoto ierīču skaits, tīkla kabeļa atrašanās vieta, Wi-Fi signāla izplatība un šķēršļu veidi tam.
PIEKĻUVES PUNKTA POZICIONĒŠANA Novērtējiet, cik daudz apgabala jums jāiekļauj Wi-Fi pārklājuma zonā. Ja jums ir jāpārklāj tikai kāda dzīvokļa platība, bezvadu piekļuves punktu nevajadzētu novietot pie logiem. Tas samazinās risku pārtvert un uzlauzt vāji aizsargātu kanālu, ko veiks uzraugi - cilvēki, kuri medī bezmaksas bezvadu interneta piekļuves punktus un arī izmanto nelegālas metodes. Jāņem vērā, ka katra betona siena samazina signāla jaudu uz pusi. Tāpat atcerieties, ka skapja spogulis ir gandrīz necaurlaidīgs ekrāns Wi-Fi signālam, ko atsevišķos gadījumos var izmantot, lai novērstu radioviļņu izplatīšanos noteiktos virzienos dzīvoklī. Turklāt daži Wi-Fi maršrutētāji ļauj konfigurēt signāla stiprumu aparatūrā. Izmantojot šo opciju, jūs varat mākslīgi nodrošināt piekļuvi tikai tiem lietotājiem, kas atrodas telpā ar piekļuves punktu. Šīs metodes trūkums ir iespējamais signāla trūkums jūsu dzīvokļa attālos rajonos.
KABEĻU LIEŠANA Tīkls, kas galvenokārt organizēts, izmantojot kabeli, nodrošina vislielāko saziņas ātrumu un uzticamību, vienlaikus novēršot iespēju, ka kāds to var traucēt, kā tas var notikt ar Wi-Fi savienojumu. iespēja tajā iespraukties no ārpuses, kā tas var notikt ar Wi-Fi savienojumu.
Lai izvairītos no nesankcionētiem pieslēgumiem, ieguldot kabeļu tīklu, rūpējieties par to, lai vadi tiktu pasargāti no mehāniskiem bojājumiem, izmantojiet īpašus kabeļu kanālus un izvairieties no vietām, kur vads pārlieku noslīdēs vai, gluži otrādi, būs pārmērīgi nospriegots. Nenovietojiet kabeli spēcīgu traucējumu avotu tuvumā vai vietā, kur ir slikti vides apstākļi (kritiskā temperatūra un mitrums). Papildu aizsardzībai varat izmantot arī ekranētu kabeli.
AIZSARDZĪBA NO ELEMENTIEM Vadu un bezvadu tīkli ir jutīgi pret pērkona negaisa ietekmi, un dažos gadījumos zibens spēriens var sabojāt ne tikai tīkla aprīkojumu vai tīkla karte, bet arī daudzi datora komponenti. Lai samazinātu risku, vispirms atcerieties iezemēt elektrības kontaktligzdas un datora komponentus. Izmantojiet Pilot tipa ierīces, kas izmanto aizsardzības ķēdes no traucējumiem un jaudas pārspriegumiem.
Turklāt, labākais risinājums var kļūt par avotu nepārtrauktās barošanas avots(UPS). Mūsdienu versijas ietver gan sprieguma stabilizatorus, gan autonomo barošanas avotu, kā arī īpašus savienotājus tīkla kabeļa savienošanai caur tiem. Ja zibens pēkšņi iesper interneta pakalpojumu sniedzēja iekārtā, šāds UPS neļaus kaitīgam strāvas pārspriegumam iekļūt jūsu datora tīkla kartē. Ir vērts atcerēties, ka jebkurā gadījumā zemējuma kontaktligzdas vai pati iekārta ir ārkārtīgi svarīga.
Izmantojot VPN tuneļa veidošanas rīkus
Diezgan uzticams veids, kā aizsargāt tīklā pārsūtīto informāciju, ir VPN tuneļi (virtuālais privātais tīkls). Tunelēšanas tehnoloģija ļauj izveidot šifrētu kanālu, caur kuru dati tiek pārsūtīti starp vairākām ierīcēm. VPN organizēšana informācijas drošības uzlabošanai ir iespējama mājas tīklā, taču tā ir ļoti darbietilpīga un prasa īpašas zināšanas. Visizplatītākā VPN izmantošanas metode ir savienojuma izveide ar mājas datoru no ārpuses, piemēram, no darba datora. Tādējādi dati, kas tiek pārsūtīti starp jūsu iekārtām, tiks labi aizsargāti ar trafika šifrēšanu. Šiem nolūkiem labāk ir izmantot ļoti uzticamu bezmaksas Hamachi programma. Šajā gadījumā būs nepieciešamas tikai pamatzināšanas par VPN organizēšanu, kas ir neapmācīta lietotāja iespēju robežās.
Ievads
Šīs tēmas aktualitāte slēpjas apstāklī, ka Krievijas ekonomiskajā dzīvē notiek izmaiņas - finanšu un kredītu sistēmas izveide, dažādu īpašuma formu uzņēmumi utt. - būtiski ietekmēt informācijas drošības jautājumus. Ilgu laiku mūsu valstī bija tikai viens īpašums - valsts īpašums, tāpēc arī informācija un noslēpumi bija tikai valsts īpašums, ko sargāja spēcīgi specdienesti. Problēmas informācijas drošība Pastāvīgi saasina datu apstrādes un pārsūtīšanas tehnisko līdzekļu un, galvenokārt, datorsistēmu, iekļūšana gandrīz visās sociālās darbības jomās. Uzbrukumu mērķi var būt paši tehniskajiem līdzekļiem(datori un perifērijas ierīces) kā materiāli objekti, programmatūra un datu bāzes, kuru tehniskie līdzekļi ir vide. Katra datortīkla kļūme ir ne tikai “morāls” kaitējums uzņēmuma darbiniekiem un tīkla administratoriem. Attīstoties elektronisko maksājumu tehnoloģijām, “bezpapīra” dokumentu apritei un citām, nopietna vietējo tīklu atteice var vienkārši paralizēt veselu korporāciju un banku darbu, kas rada ievērojamus materiālus zaudējumus. Tā nav nejaušība, ka datu aizsardzība ir spēkā datortīkli kļūst par vienu no aktuālākajām mūsdienu datorzinātņu problēmām. Līdz šim ir formulēti divi informācijas drošības pamatprincipi, kuriem jānodrošina: - datu integritāte - aizsardzība pret kļūmēm, kas izraisa informācijas zudumu, kā arī nesankcionētu datu radīšanu vai iznīcināšanu. - informācijas konfidencialitāte un tajā pašā laikā tās pieejamība visiem pilnvarotajiem lietotājiem. Jāņem vērā arī tas, ka noteiktas darbības jomas (bankas un finanšu iestādes, informācijas tīkli, sistēmas valdības kontrolēts, aizsardzības un īpašās struktūras) prasa īpašus datu drošības pasākumus un izvirza paaugstinātas prasības darbības uzticamībai Informācijas sistēmas, atbilstoši to risināmo uzdevumu būtībai un svarīgumam.
Ja dators ir pievienots lokālajam tīklam, iespējams, šim datoram un tajā esošajai informācijai no lokālā tīkla var piekļūt nepilnvarotas personas.
Ja vietējais tīkls ir savienots ar citiem lokālajiem tīkliem, lietotāji no tiem tiek pievienoti iespējamo neautorizēto lietotāju sarakstam. attālie tīkli. Mēs nerunāsim par šāda datora pieejamību no tīkla vai kanāliem, caur kuriem tiek pieslēgti lokālie tīkli, jo, iespējams, pie izejām no vietējiem tīkliem ir ierīces, kas šifrē un kontrolē trafiku, un ir veikti nepieciešamie pasākumi.
Ja dators ir tieši savienots ar pakalpojumu sniedzēja starpniecību ar ārēju tīklu, piemēram, izmantojot modemu ar internetu, lai attālināti mijiedarbotos ar vietējo tīklu, dators un tajā esošā informācija ir potenciāli pieejama hakeriem no interneta. Un visnepatīkamākais ir tas, ka caur šo datoru hakeri var piekļūt arī vietējā tīkla resursiem.
Protams, arī visiem šādiem savienojumiem regulāri līdzekļi operētājsistēmas piekļuves kontrole vai specializēti aizsardzības līdzekļi pret nesankcionētu piekļuvi, vai kriptogrāfijas sistēmas konkrētu lietojumprogrammu līmenī, vai abi.
Tomēr visi šie pasākumi diemžēl nevar garantēt vēlamo drošību tīkla uzbrukumu laikā, un tas izskaidrojams ar šādiem galvenajiem iemesliem:
Operētājsistēmas (OS), īpaši WINDOWS, ir programmatūras produkti augstas sarežģītības, kuras izveidi veic lielas izstrādātāju komandas. Šo sistēmu detalizēta analīze ir ārkārtīgi sarežģīta. Šajā sakarā nav iespējams ticami pamatot, ka OS nav nejauši vai tīši atstātas standarta funkcijas, kļūdas vai nedokumentētas funkcijas, kuras varētu izmantot tīkla uzbrukumos.
Daudzuzdevumu operētājsistēmā, jo īpaši WINDOWS, vienlaikus var darboties daudzas dažādas lietojumprogrammas...
Šajā gadījumā gan pakalpojumu sniedzējam, gan tā klientam ir jāievēro informācijas drošības noteikumi. Citiem vārdiem sakot, ir divi ievainojamības punkti (klienta pusē un pakalpojumu sniedzēja pusē), un katrs no šīs sistēmas dalībniekiem ir spiests aizstāvēt savas intereses.
Skats no klienta puses
Lai veiktu uzņēmējdarbību elektroniskā vidē, ir nepieciešami ātrdarbīgi datu pārraides kanāli, un, ja iepriekš pakalpojumu sniedzēju galvenā nauda tika gūta par pieslēgšanos internetam, tad tagad klientiem tiek izvirzītas diezgan stingras prasības piedāvāto pakalpojumu drošībai.
Rietumos ir parādījušās vairākas aparatūras ierīces, kas nodrošina drošus savienojumus ar mājas tīkliem. Parasti tos sauc par “SOHO risinājumiem” un apvieno aparatūras ugunsmūri, centrmezglu ar vairākiem portiem, DHCP serveri un VPN maršrutētāja funkcijas. Piemēram, šo ceļu ir izvēlējušies Cisco PIX Firewall un WatchGuard FireBox izstrādātāji. Programmatūras ugunsmūri paliek tikai personīgā līmenī, un tie tiek izmantoti kā papildu aizsardzības līdzeklis.
SOHO klases aparatūras ugunsmūru izstrādātāji uzskata, ka šīm ierīcēm jābūt viegli pārvaldāmām, mājas tīkla lietotājam “caurspīdīgām” (tas ir, neredzamām) un izmaksu ziņā jāatbilst tiešo bojājumu apjomam no iespējamās darbības iebrucējiem. Vidējais kaitējums veiksmīgam uzbrukumam mājas tīkls tiek lēsts aptuveni 500 USD apmērā.
Lai aizsargātu mājas tīklu, varat izmantot programmatūras ugunsmūri vai vienkārši noņemt no konfigurācijas iestatījumiem nevajadzīgos protokolus un pakalpojumus. Labākais risinājums ir pakalpojumu sniedzējam pārbaudīt vairākus personiskos ugunsmūrus, konfigurēt tajos savu drošības sistēmu un nodrošināt tiem tehnisko atbalstu. Tas ir tieši tas, ko dara 2COM pakalpojumu sniedzējs, kas saviem klientiem piedāvā pārbaudītu ekrānu komplektu un padomus par to iestatīšanu. Vienkāršākajā gadījumā ieteicams gandrīz visas tīkla adreses pasludināt par bīstamām, izņemot adreses lokālais dators un vārteja, caur kuru tiek izveidots savienojums ar internetu. Ja programmatūras vai aparatūras ekrāns klienta pusē konstatē ielaušanās pazīmes, par to nekavējoties jāziņo dienestam tehniskā palīdzība pakalpojumu sniedzējs.
Jāņem vērā, ka ugunsmūris aizsargā pret ārējiem draudiem, bet nepasargā no lietotāja kļūdām. Tāpēc, pat ja pakalpojumu sniedzējs vai klients ir uzstādījis kādu drošības sistēmu, abām pusēm joprojām ir jāievēro vairāki diezgan vienkārši noteikumi, lai samazinātu uzbrukumu iespējamību. Pirmkārt, internetā jāatstāj pēc iespējas mazāk personiskās informācijas, jācenšas izvairīties no norēķināšanās ar kredītkartēm vai vismaz jāpārbauda, vai serverim ir ciparsertifikāts. Otrkārt, nevajadzētu lejupielādēt no interneta un datorā palaist nekādas programmas, īpaši bezmaksas. Tāpat nav ieteicams ārēji padarīt pieejamus lokālos resursus, instalēt atbalstu nevajadzīgiem protokoliem (piemēram, IPX vai SMB) vai izmantot noklusējuma iestatījumus (piemēram, slēpt failu paplašinājumus).
Īpaši bīstami ir izpildīt burtiem pievienotos skriptus E-pasts, taču labāk nelietot programmu Outlook vispār, jo lielākā daļa vīrusu ir rakstīti tieši šim e-pasta klientam. Dažos gadījumos darbam ar e-pastu ir drošāk izmantot tīmekļa pasta pakalpojumus, jo vīrusi, kā likums, caur tiem neizplatās. Piemēram, 2COM pakalpojumu sniedzējs piedāvā bezmaksas tīmekļa pakalpojumu, kas ļauj nolasīt informāciju no ārējiem pastkastītes un augšupielādēt uz vietējā mašīna tikai jums nepieciešamās ziņas.
Pakalpojumu sniedzēji parasti nesniedz drošas piekļuves pakalpojumus. Fakts ir tāds, ka klienta ievainojamība bieži ir atkarīga no viņa paša darbībām, tāpēc veiksmīga uzbrukuma gadījumā ir diezgan grūti pierādīt, kurš tieši ir pieļāvis kļūdu - klients vai pakalpojumu sniedzējs. Turklāt uzbrukuma fakts joprojām ir jāfiksē, un to var izdarīt tikai ar pārbaudītiem un sertificētiem līdzekļiem. Novērtēt uzlaušanas radītos zaudējumus arī nav viegli. Parasti tiek noteikta tikai tā minimālā vērtība, ko raksturo laiks, lai atjaunotu normālu sistēmas darbību.
Pakalpojumu sniedzēji var nodrošināt pasta pakalpojumu drošību, pārbaudot visu ienākošo pastu, izmantojot pretvīrusu programmas, kā arī bloķējot visus protokolus, izņemot galvenos (tīmeklis, e-pasts, ziņas, ICQ, IRC un daži citi). Operatori ne vienmēr var izsekot, kas notiek mājas tīkla iekšējos segmentos, taču, tā kā viņi ir spiesti aizsargāties pret ārējiem uzbrukumiem (kas atbilst lietotāju aizsardzības politikām), klientiem ir jāsadarbojas ar savām drošības komandām. Jāatceras, ka pakalpojumu sniedzējs negarantē absolūtu lietotāju drošību - tas tikai tiecas pēc sava komerciālā labuma. Bieži uzbrukumi abonentiem ir saistīti ar strauju viņiem nosūtītās informācijas apjoma pieaugumu, kas faktiski ir veids, kā operators pelna naudu. Tas nozīmē, ka pakalpojumu sniedzēja intereses dažkārt var būt pretrunā ar patērētāja interesēm.
Pakalpojumu sniedzēja perspektīva
Mājas tīkla pakalpojumu sniedzējiem galvenās problēmas ir nesankcionēti savienojumi un liela iekšējā trafika. Mājas tīklus bieži izmanto, lai mitinātu spēles, kas nepārsniedz vienas dzīvojamās ēkas lokālo tīklu, bet var novest pie veselu tā segmentu bloķēšanas. Šajā gadījumā darbs internetā kļūst sarežģīts, kas izraisa godīgu neapmierinātību komercklientos.
No izmaksu viedokļa pakalpojumu sniedzēji ir ieinteresēti samazināt mājas tīkla nodrošināšanas un uzraudzības izmaksas. Tajā pašā laikā viņi ne vienmēr var organizēt pienācīgu klienta aizsardzību, jo tas prasa noteiktas izmaksas un ierobežojumus no lietotāja puses. Diemžēl ne visi abonenti tam piekrīt.
Parasti mājas tīkli tiek strukturēti šādi: ir centrālais maršrutētājs, kuram ir interneta piekļuves kanāls, un tam ir pieslēgts plašs kvartāla, mājas un ieejas tīkls. Protams, maršrutētājs darbojas kā ugunsmūris, kas atdala mājas tīklu no pārējā interneta. Tajā tiek realizēti vairāki drošības mehānismi, bet visbiežāk tiek izmantota adrešu tulkošana, kas ļauj vienlaikus slēpt iekšējā tīkla infrastruktūru un saglabāt reālās nodrošinātāja IP adreses.
Tomēr daži pakalpojumu sniedzēji saviem klientiem piešķir reālas IP adreses (piemēram, tas notiek Mitino mikrorajona tīklā, kas ir savienots ar Maskavas pakalpojumu sniedzēju MTU-Intel). Šādā gadījumā lietotāja dators kļūst tieši pieejams no interneta, tādējādi apgrūtinot tā aizsardzību. Tas nav pārsteidzoši, ka nodrošinājuma slogs informācijas drošība pilnībā attiecas uz abonentiem, savukārt operators paliek ar vienīgais ceļš kontrolēt savas darbības - pēc IP un MAC adresēm. Tomēr mūsdienu Ethernet adapteri ļauj programmatiski mainīt abus parametrus operētājsistēmas līmenī, un pakalpojumu sniedzējs ir neaizsargāts pret negodīgu klientu.
Protams, dažām lietojumprogrammām ir jāpiešķir reālas IP adreses. Reālas statiskas IP adreses piešķiršana klientam ir diezgan bīstama, jo, veiksmīgi uzbrukot serverim ar šo adresi, caur to kļūs pieejams pārējais iekšējais tīkls.
Viens no problēmas kompromisa risinājumiem droša lietošana IP adreses mājas tīklā ir VPN tehnoloģijas ieviešana apvienojumā ar dinamiskas adrešu izplatīšanas mehānismu. Īsumā shēma ir šāda. No klienta mašīnas līdz maršrutētājam tiek izveidots šifrēts tunelis, izmantojot PPTP protokolu. Tā kā šis protokols ir atbalstīts operētājsistēmā Windows OS kopš 95. versijas, un tagad tas ir ieviests citiem operētājsistēmas, klientam nav jāinstalē papildu programmatūra - tikai jākonfigurē jau instalētie komponenti. Kad lietotājs pieslēdzas internetam, viņš vispirms izveido savienojumu ar maršrutētāju, pēc tam pieslēdzas, saņem IP adresi un tikai pēc tam var sākt strādāt internetā.
Šis savienojuma veids ir līdzvērtīgs parastam iezvanes savienojumam ar atšķirību, ka, to uzstādot, var iestatīt gandrīz jebkuru ātrumu. Pat ligzdotie VPN apakštīkli darbosies saskaņā ar šo shēmu, ko var izmantot, lai attālināti savienotu klientus ar korporatīvo tīklu. Katras lietotāja sesijas laikā pakalpojumu sniedzējs dinamiski piešķir reālu vai virtuālu IP adresi. Starp citu, 2COM reālā IP adrese maksā par USD 1 mēnesī vairāk nekā virtuālā.
Lai ieviestu VPN savienojumus, 2COM ir izstrādājis savu specializēto maršrutētāju, kas veic visas iepriekš uzskaitītās funkcijas, kā arī pakalpojumu cenas. Jāatzīmē, ka pakešu šifrēšana nav atbildīga Procesors, bet uz specializēta kopprocesora, kas ļauj vienlaikus atbalstīt līdz 500 VPN virtuālajiem kanāliem. Viens šāds kriptogrāfijas maršrutētājs 2COM tīklā tiek izmantots, lai vienlaikus savienotu vairākas mājas.
Vispārīgi vislabākajā iespējamajā veidā mājas tīkla aizsardzība ir cieša mijiedarbība starp pakalpojumu sniedzēju un klientu, kuras ietvaros ikvienam ir iespēja aizstāvēt savas intereses. No pirmā acu uzmetiena mājas tīkla drošības metodes šķiet līdzīgas tām, ko izmanto, lai nodrošinātu drošību korporatīvā drošība, Bet patiesībā tā nav. Uzņēmumos ir pieņemts noteikt diezgan stingrus darbinieku uzvedības noteikumus, ievērojot doto informācijas drošības politiku. Šī opcija nedarbojas mājas tīklā: katram klientam ir nepieciešami savi pakalpojumi un jāizveido vispārīgie noteikumi uzvedība ne vienmēr ir veiksmīga. Līdz ar to izveidot uzticamu mājas tīkla drošības sistēmu ir daudz grūtāk nekā nodrošināt korporatīvā tīkla drošību.
PNST301-2018/ISO/IEC 24767-1:2008
KRIEVIJAS FEDERĀCIJAS PROJEKTA NACIONĀLAIS STANDARTS
Informāciju tehnoloģijas
MĀJAS TĪKLA DROŠĪBA
Drošības prasības
Informāciju tehnoloģijas. Mājas tīkla drošība. 1.daļa.Drošības prasības
OKS 35.110, 35.200, 35.240.99
Spēkā no 2019-02-01
Priekšvārds
Priekšvārds
1 SAGATAVOJA Federālā valsts budžeta augstākās izglītības iestāde "G.V.Plehanova vārdā nosauktā Krievijas ekonomikas universitāte" (FSBEI HE "REU nosaukta Ģ.V.Plehanova vārdā"), pamatojoties uz pašu veikto punktā norādītā starptautiskā standarta angļu valodas versijas tulkojumu krievu valodā. 4
2 IEVADS Standartizācijas tehniskā komiteja TC 22 "Informācijas tehnoloģijas"
3 APSTIPRINĀTS UN STĀŠĀS SPĒKĀ ar Federālās Tehnisko noteikumu un metroloģijas aģentūras rīkojumu, kas datēts ar 2018. gada 4. septembri N38-pnst
4Šis standarts ir identisks starptautiskajam standartam ISO/IEC 24767-1:2008* "Informācijas tehnoloģija — Mājas tīkla drošība — 1. daļa: Drošības prasības", IDT)
________________
*Piekļuvi starptautiskajiem un ārvalstu dokumentiem, kas minēti šeit un turpmāk tekstā, var iegūt, sekojot saitei uz vietni. - Piezīme no datu bāzes ražotāja.
Noteikumi šī standarta piemērošanai un tā uzraudzības veikšanai ir noteikti GOST R 1.16-2011 (5. un 6. sadaļa).
Federālā tehnisko noteikumu un metroloģijas aģentūra apkopo informāciju par šī standarta praktisko piemērošanu. Šo informāciju, kā arī komentārus un ieteikumus par standarta saturu var nosūtīt ne vēlāk kā 4 dienas iepriekš. mēnešus pirms tā derīguma termiņa beigām šī standarta izstrādātājam pēc adreses: 117997 Maskava, Stremyanny Lane, 36, Federālā valsts budžeta augstākās izglītības iestāde "REU"nosaukts Ģ.V.Plehanova vārdā" un Federālajai tehnisko noteikumu un metroloģijas aģentūrai: 109074 Maskava, Kitaygorodsky proezd, 7, 1. ēka.
Šī standarta atcelšanas gadījumā attiecīgā informācija tiks publicēta ikmēneša informācijas rādītājā "Nacionālie standarti" un tiks ievietota arī Federālās tehnisko noteikumu un metroloģijas aģentūras oficiālajā tīmekļa vietnē internetā (www.gost.ru)
Ievads
ISO (Starptautiskā standartizācijas organizācija) un IEC (Starptautiskā elektrotehniskā komisija) veido specializētu sistēmu pasaules standartizācijai. Valdības iestādes, kas ir ISO vai IEC dalībnieces, piedalās starptautisko standartu izstrādē, izmantojot tehniskās komitejas. Jebkura ieinteresētā iestāde, kas ir ISO vai IEC dalībniece, var piedalīties standarta izstrādē noteiktā jomā. Darbā ir iesaistītas arī citas starptautiskas organizācijas, valstiskas un nevalstiskas, kas saskaras ar ISO un IEC.
Informācijas tehnoloģiju jomā ISO un IEC ir izveidojuši Apvienoto tehnisko komiteju ISO/IEC JTC 1. Apvienotās tehniskās komitejas sagatavotie starptautisko standartu projekti tiek izplatīti nacionālajām komitejām balsošanai. Lai to publicētu kā starptautisku standartu, ir jāapstiprina vismaz 75% balsstiesīgo nacionālo komiteju.
IEC un ISO formālie lēmumi vai vienošanās par tehniskajiem jautājumiem, cik vien iespējams, pauž starptautisku vienprātību par iesaistītajiem jautājumiem, jo katrā tehniskajā komitejā ir pārstāvji no visām attiecīgajām nacionālajām IEC un ISO komitejām.
IEC, ISO un ISO/IEC publikācijas ir rekomendāciju veidā starptautiskai lietošanai, un tās ir pieņēmušas nacionālās komitejas - IEC un ISO locekļi tieši šajā izpratnē. Lai gan ir darīts viss, lai nodrošinātu precizitāti tehniskais saturs IEC, ISO un ISO/IEC publikācijas, IEC vai ISO neuzņemas atbildību par veidu, kādā tās tiek izmantotas, vai par to, ka galalietotājs tos nepareizi interpretē.
Lai nodrošinātu starptautisku unifikāciju (vienotu sistēmu), IEC un ISO nacionālās komitejas apņemas nodrošināt maksimālu caurskatāmību IEC, ISO un ISO/IEC starptautisko standartu piemērošanā, ciktāl tas attiecas uz konkrētās valsts nacionālajiem un reģionālajiem apstākļiem. Atļaut. Jebkādas neatbilstības starp ISO/IEC publikācijām un attiecīgajiem valsts vai reģionālajiem standartiem ir skaidri jānorāda pēdējā.
ISO un IEC nenodrošina marķēšanas procedūras un nav atbildīgi par aprīkojumu, kas apgalvo, ka tas atbilst kādam no ISO/IEC standartiem.
Visiem lietotājiem ir jāpārliecinās, ka viņi izmanto šīs publikācijas jaunāko izdevumu.
IEC vai ISO, to vadība, darbinieki, darbinieki vai pārstāvji, tostarp atsevišķi eksperti un to tehnisko komiteju locekļi, kā arī IEC vai ISO nacionālo komiteju locekļi nav atbildīgi par nelaimes gadījumiem, īpašuma bojājumiem vai citiem zaudējumiem, tiešiem vai netiešiem, vai par izmaksām (ieskaitot juridiskās izmaksas), kas radušās saistībā ar šīs ISO/IEC publikācijas vai citas IEC, ISO vai ISO/IEC publikācijas publicēšanu vai izmantošanu.
Īpaša uzmanība jāpievērš šajā publikācijā minētajai normatīvajai dokumentācijai. Lai pareizi piemērotu šo publikāciju, ir jāizmanto atsauces dokumenti.
Uzmanība tiek vērsta uz to, ka daži šī starptautiskā standarta elementi var būt patentu tiesību priekšmets. ISO un IEC nav atbildīgi par jebkādu vai visu šādu patenta tiesību noteikšanu.
Starptautisko standartu ISO/IEC 24767-1 izstrādāja Apvienotā tehniskā komiteja ISO/IEC 1, Informācijas tehnoloģija, 25. apakškomiteja, Informācijas tehnoloģiju iekārtu starpsavienojumi.
IEC tīmekļa vietnē ir parādīts visu pašlaik pieejamo ISO/IEC 24767 sērijas daļu saraksts ar vispārīgo nosaukumu "Informācijas tehnoloģija — mājas tīkla drošība".
1 izmantošanas joma
Šis standarts nosaka prasības mājas tīkla aizsardzībai no iekšējiem vai ārējiem draudiem. Standarts kalpo par pamatu drošības sistēmu izstrādei, kas aizsargā iekšējo vidi no dažādiem apdraudējumiem.
Drošības prasības šajā standartā ir aplūkotas samērā neformālā veidā.Lai gan daudzi no šajā standartā apskatītajiem jautājumiem sniedz norādījumus drošības sistēmu izstrādē gan iekštīklam, gan internetam, tās pēc būtības ir neformālas prasības.
Savienots ar iekšējo (mājas) tīklu dažādas ierīces(skat. 1. attēlu). "Ierīču tīkla" ierīcēm, "AV izklaides" ierīcēm un "informācijas lietojumprogrammu" ierīcēm ir dažādas funkcijas un veiktspējas raksturlielumi. Šis standarts nodrošina rīkus, lai analizētu katras tīklam pievienotās ierīces riskus un noteiktu drošības prasības katrai ierīcei.
2Termini, definīcijas un saīsinājumi
2.1. Termini un definīcijas
Šajā standartā tiek izmantoti šādi termini un definīcijas:
2.1.1 Elektronika(brūnās preces): audio/video ierīces, ko galvenokārt izmanto izklaidei, piemēram, televizors vai DVD rakstītājs.
2.1.2konfidencialitāte(konfidencialitāte): Īpašums, kas nodrošina informācijas nepieejamību un neizpaušanu nepilnvarotām personām, organizācijām vai procesiem.
2.1.3 datu autentifikācija(datu autentifikācija): pakalpojums, ko izmanto, lai nodrošinātu pareizu pieprasītā datu avota verifikāciju.
2.1.4 datu ticamība(datu integritāte): rekvizīts, kas pārbauda, vai dati nav neatļauti modificēti vai iznīcināti.
2.1.5 lietotāja autentifikācija(lietotāja autentifikācija): pakalpojums, kas nodrošina sakaru dalībnieka sniegtās autentifikācijas informācijas pareizu pārbaudi, savukārt autorizācijas pakalpojums nodrošina, ka identificētajam un autorizētajam lietotājam ir piekļuve konkrēta ierīce vai mājas tīkla lietojumprogramma.
2.1.6 Ierīces(baltās preces): Ikdienā lietojamās ierīces, piemēram, gaisa kondicionieris, ledusskapji utt.
2.2. Saīsinājumi
Šajā standartā tiek izmantoti šādi saīsinājumi:
3 Atbilstība
Šis standarts sniedz norādījumus bez atbilstības prasībām.
4Drošības prasības iekšējām mājas elektroniskajām sistēmām un tīkliem
4.1. Vispārīgie noteikumi
Strauji attīstoties internetam un ar to saistītām tīkla tehnoloģijām, ir kļuvis iespējams izveidot savienojumus starp datoriem birojos un mājās ar ārpasauli, kas nodrošina piekļuvi dažādiem resursiem. Mūsdienās tehnoloģijas, kas ir šo panākumu pamatā, ir sasniegušas mūsu mājas un ļauj savienot ierīces tāpat kā personālajiem datoriem. Tādējādi tie ļauj lietotājiem ne tikai uzraudzīt un vadīt savu sadzīves tehniku gan mājās, gan ārpus tās, bet arī rada jaunus pakalpojumus un iespējas, piemēram, sadzīves tehnikas tālvadību un apkopi. Tas nozīmē, ka mājās ierastā datorvide tiek pārveidota par iekšējo mājas tīklu, savienojot daudzas ierīces, kuru drošība būs arī jānodrošina.
Nepieciešams, lai gan mājas, gan sistēmas iedzīvotāji, lietotāji un īpašnieki uzticētos mājas elektroniskajai sistēmai. Mājas elektroniskās drošības mērķis atbalsta sistēmas uzticēšanās sistēmai. Tā kā daudzi mājās gatavoti komponenti elektroniskā sistēma darbojas nepārtraukti, 24 stundas diennaktī un automātiski apmainās ar informāciju ar ārpasauli, informācijas drošība ir nepieciešama, lai nodrošinātu datu un sistēmas konfidencialitāti, integritāti un pieejamību.Pareizi ieviests drošības risinājums nozīmē, ka, piemēram, piekļuve sistēmu un glabātos, ienākošos un izejošos datus saņem tikai autorizēti lietotāji un procesi, un tikai pilnvaroti lietotāji var izmantot sistēmu un veikt tajā izmaiņas.
Drošības prasības HES tīklam var aprakstīt vairākos veidos. Šis standarts attiecas tikai uz HES tīkla IT drošību. Tomēr IT drošībai ir jāsniedzas tālāk par pašu sistēmu, jo IT sistēmas kļūmes gadījumā mājoklim ir jāfunkcionē, kaut arī ierobežotā ietilpībā. Inteliģentās funkcijas, kuras parasti atbalsta HES tīkls, var veikt arī sistēmas pieslēgumu gadījumā. ir zaudēti. Šādos gadījumos var saprast, ka pastāv drošības prasības, kas nevar būt daļa no pašas sistēmas, taču sistēmai nevajadzētu aizliegt ieviest rezerves risinājumus.
Ir vairāki cilvēki, kurus interesē drošības jautājumi. Mājas elektroniskajai sistēmai jāuzticas ne tikai iedzīvotājiem un īpašniekiem, bet arī pakalpojumu un satura nodrošinātājiem. Pēdējiem ir jānodrošina, ka to piedāvātie pakalpojumi un saturs tiek izmantoti tikai atļautā veidā. Tomēr viens no sistēmas drošības pamatprincipiem ir tas, ka par to ir jāatbild konkrētam drošības administratoram. Acīmredzot šāda atbildība būtu jāuzliek iedzīvotājiem (sistēmu īpašniekiem). Nav nozīmes tam, vai administrators to dara personīgi vai izmanto ārpakalpojumus. Jebkurā gadījumā atbildība gulstas uz drošības sistēmas administratoru. Pakalpojumu un satura nodrošinātāju uzticību mājas elektroniskajai sistēmai un pārliecību, ka lietotāji izmanto viņu pakalpojumus un saturu atbilstoši, nosaka pušu līgumsaistības. Piemēram, līgumā var norādīt funkcijas, komponentus vai procesus, kas jāatbalsta mājas elektronikas sistēmai.
Mājas elektroniskās sistēmas arhitektūra dažādiem māju tipiem ir atšķirīga. Jebkuram modelim var būt savs īpašs drošības prasību kopums. Tālāk ir sniegti trīs dažādu mājas elektronisko sistēmu modeļu apraksti ar dažādām drošības prasībām.
Acīmredzot dažas drošības prasības ir svarīgākas par citām. Tādējādi ir skaidrs, ka atbalsts dažiem pretpasākumiem nebūs obligāts. Turklāt pretpasākumu kvalitāte un izmaksas var atšķirties. Arī šādu pretpasākumu vadīšanai un uzturēšanai var būt nepieciešamas dažādas prasmes. Šis standarts mēģina precizēt uzskaitīto drošības prasību pamatojumu un tādējādi ļauj mājas elektronikas sistēmu dizaineriem noteikt, kuri drošības līdzekļi ir jāatbalsta konkrētajam produktam. mājas sistēma un, ņemot vērā kvalitātes prasības un vadības un uzturēšanas centienus, kāds mehānisms būtu jāizvēlas šādām funkcijām.
Iekšējā tīkla drošības prasības ir atkarīgas no drošības un "mājas" definīcijas un no tā, ko šajā mājā nozīmē "tīkls". Ja tīkls ir tikai saite, kas savieno vienu datoru ar printeri vai kabeļa modemu, mājas tīkla nodrošināšana ir tikpat vienkārša kā šīs saites un tā savienotā aprīkojuma nodrošināšana.
Tomēr, ja domēnā ir desmitiem, ja ne simtiem tīklā savienotu ierīču, no kurām dažas pieder mājsaimniecībai kopumā, bet dažas pieder cilvēkiem mājās, būs jāievieš sarežģītāki drošības pasākumi.
4.2 Mājas elektroniskās sistēmas drošība
4.2.1. Mājas elektroniskās sistēmas un sistēmas drošības definīcija
Mājas elektronikas sistēmu un tīklu var definēt kā elementu kopumu, kas apstrādā, pārraida, uzglabā un pārvalda informāciju, nodrošinot savienojamību un integrāciju ar daudzajām skaitļošanas, vadības, uzraudzības un sakaru ierīcēm, kas atrodamas mājās.
Turklāt mājas elektroniskās sistēmas un tīkli nodrošina starpsavienojumu starp izklaides un informācijas ierīcēm, kā arī sakaru un drošības ierīcēm un sadzīves tehniku mājās. Šādas ierīces un ierīces apmainīsies ar informāciju, tās var vadīt un uzraudzīt, atrodoties mājā vai attālināti. Attiecīgi visiem iekšējiem mājas tīkliem būs nepieciešami noteikti drošības mehānismi, lai aizsargātu to ikdienas darbības.
Tīkla un informācijas drošību var saprast kā tīkla vai informācijas sistēmas spēju noteiktā līmenī izturēt nejaušus notikumus vai ļaunprātīgas darbības. Šādi notikumi vai darbības var apdraudēt uzglabāto vai pārsūtīto datu pieejamību, autentiskumu, autentiskumu un konfidencialitāti, kā arī saistītos pakalpojumus, kas tiek piedāvāti, izmantojot šādus tīklus un sistēmas.
Informācijas drošības incidentus var grupēt šādās grupās:
Elektroniskos sakarus var pārtvert un datus var kopēt vai mainīt. Tas var radīt kaitējumu gan personas tiesību uz konfidencialitāti pārkāpuma dēļ, gan pārtverto datu ļaunprātīgas izmantošanas dēļ;
Neatļauta piekļuve datoram un iekšējiem datortīkliem parasti tiek veikta ar ļaunprātīgu nolūku kopēt, modificēt vai iznīcināt datus, un tā var attiekties uz automātiskajām iekārtām un sistēmām, kas atrodas mājās;
Ļaunprātīgi uzbrukumi internetam ir kļuvuši diezgan izplatīti, un arī telefonu tīkls nākotnē var kļūt neaizsargātāks;
Ļaunprātīga programmatūra, piemēram, vīrusi, var atspējot datorus, dzēst vai mainīt datus vai pārprogrammēt sadzīves tehniku. Daži vīrusu uzbrukumi ir bijuši diezgan postoši un dārgi;
Maldinoša informācija par personām vai juridiskām personām var nodarīt būtisku kaitējumu, piemēram, klienti var lejupielādēt ļaunprātīgu programmatūru no vietnes, kas tiek maskēta kā uzticams avots, līgumi var tikt lauzti vai konfidenciāla informācija var tikt nosūtīta nepiemērotiem adresātiem;
Daudzi informācijas drošības incidenti ir saistīti ar negaidītiem un neparedzētiem notikumiem, piemēram, dabas katastrofām (plūdiem, vētrām un zemestrīcēm), aparatūras vai programmatūra, kā arī cilvēciskais faktors.
Mūsdienās gandrīz katrā dzīvoklī ir mājas tīkls, kuram pieslēgti stacionārie datori, portatīvie datori, datu glabāšanas ierīces (NAS), multivides atskaņotāji, viedie televizori, kā arī viedtālruņi, planšetdatori un citas valkājamas ierīces. Tiek izmantoti vadu (Ethernet) vai bezvadu (Wi-Fi) savienojumi un TCP/IP protokoli. Attīstoties lietiskā interneta tehnoloģijām, tiešsaistē nonākusi sadzīves tehnika – ledusskapji, kafijas automāti, gaisa kondicionieri un pat elektroinstalācijas iekārtas. Pateicoties risinājumiem" Gudra māja“Varam kontrolēt apgaismojuma spilgtumu, attālināti regulēt iekštelpu mikroklimatu, ieslēgt un izslēgt dažādas ierīces – tas ievērojami atvieglo dzīvi, bet progresīvu risinājumu īpašniekam var radīt nopietnas problēmas.
Diemžēl šādu ierīču izstrādātāji vēl pietiekami nerūpējas par savu produktu drošību, un tajās atrasto ievainojamību skaits pieaug kā sēnes pēc lietus. Bieži vien ir gadījumi, kad pēc ienākšanas tirgū kāda ierīce vairs netiek atbalstīta - piemēram, mūsu televizorā ir instalēta 2016. gada programmaparatūra, kuras pamatā ir Android 4, un ražotājs to negatavojas atjaunināt. Viesi arī rada problēmas: ir neērti liegt viņiem piekļuvi Wi-Fi, taču jūs arī nevēlaties ielaist savā mājīgajā tīklā nevienu. Kas zina, kādi vīrusi var apmesties svešiniekiem? Mobilie tālruņi? Tas viss noved pie nepieciešamības sadalīt mājas tīklu vairākos izolētos segmentos. Mēģināsim izdomāt, kā to izdarīt, kā saka, ar maz asiņu un ar vismazākajām finansiālajām izmaksām.
Wi-Fi tīklu izolācija
Korporatīvajos tīklos problēma ir viegli atrisināma - ir pārvaldīti slēdži ar virtuālo lokālo tīklu (VLAN) atbalstu, dažādi maršrutētāji, ugunsmūri un bezvadu piekļuves punkti - pāris stundu laikā var uzbūvēt nepieciešamo izolēto segmentu skaitu. Izmantojot, piemēram, Traffic Inspector Next Generation (TING) ierīci, problēma tiek atrisināta tikai ar dažiem klikšķiem. Pietiek savienot viesu tīkla segmenta slēdzi atsevišķā Ethernet ports un izveidot ugunsmūra noteikumus. Mājām šī iespēja nav piemērota aprīkojuma augsto izmaksu dēļ – visbiežāk mūsu tīklu pārvalda viena ierīce, kas apvieno maršrutētāja, slēdža, bezvadu piekļuves punkta un Dievs zina, ko vēl funkcijas.
Par laimi, arī mūsdienu mājsaimniecības maršrutētāji (lai gan pareizāk būtu saukt tos par interneta centriem) ir kļuvuši ļoti gudri un gandrīz visi, izņemot ļoti budžeta, ir iespēja izveidot izolētu viesu Wi-Fi tīklu. Šīs izolācijas uzticamība ir atsevišķa raksta jautājums; šodien mēs nepārbaudīsim dažādu ražotāju sadzīves ierīču programmaparatūru. Kā piemēru ņemsim ZyXEL Keenetic Extra II. Tagad šī līnija ir kļuvusi vienkārši par Keenetic, bet mēs esam ieguvuši ierīci, kas izlaista ar ZyXEL zīmolu.
Iestatīšana, izmantojot tīmekļa saskarni, nesagādās nekādas grūtības pat iesācējiem - daži klikšķi, un mums ir atsevišķs bezvadu tīkls ar savu SSID, WPA2 aizsardzību un piekļuves paroli. Varat tajā ielaist viesus, kā arī ieslēgt televizorus un atskaņotājus ar programmaparatūru, kas ilgu laiku nav atjaunināta, vai citus klientus, kuriem īpaši neuzticaties. Vairumā citu ražotāju ierīču šī funkcija, mēs atkārtojam, ir arī pieejama un tiek aktivizēta tādā pašā veidā. Šādi, piemēram, problēma tiek atrisināta programmaparatūrā D-Link maršrutētāji izmantojot iestatīšanas vedni.
Viesu tīklu var pievienot, kad ierīce jau ir konfigurēta un darbojas.
Ekrānuzņēmums no ražotāja vietnes
Ekrānuzņēmums no ražotāja vietnes
Mēs izolējam Ethernet tīklus
Papildus klientiem, kas savienojas ar bezvadu tīklu, mēs varam saskarties ar ierīcēm ar vadu interfeiss. Speciālisti teiks, ka izolētu Ethernet segmentu izveidošanai tiek izmantoti tā sauktie VLAN – virtuālie lokālie tīkli. Daži mājas maršrutētāji atbalsta šo funkcionalitāti, taču šeit uzdevums kļūst sarežģītāks. Es vēlētos ne tikai izveidot atsevišķu segmentu, bet arī vienā maršrutētājā ir jāapvieno porti vadu savienojumam ar bezvadu viesu tīklu. Ne katra mājsaimniecības ierīce var ar to tikt galā: virspusēja analīze liecina, ka papildus Keenetic interneta centriem Ethernet portu pievienošana vienam Wi-Fi tīkls MikroTik līnijas modeļi ir spējīgi arī viesu segmentā, taču to iestatīšanas process vairs nav tik acīmredzams. Ja mēs runājam par salīdzināmu cenu mājsaimniecības maršrutētājiem, tikai Keenetic var atrisināt problēmu ar pāris klikšķiem tīmekļa saskarnē.
Kā redzat, testa subjekts viegli tika galā ar problēmu, un šeit ir vērts pievērst uzmanību vēl vienai interesantai funkcijai - jūs varat arī izolēt viesu tīkla bezvadu klientus vienu no otra. Tas ir ļoti noderīgi: jūsu drauga viedtālrunis, kas ir inficēts ar ļaunprātīgu programmatūru, piekļūs internetam, taču tas nevarēs uzbrukt citām ierīcēm, pat viesu tīklā. Ja jūsu maršrutētājam ir līdzīga funkcija, jums tas noteikti jāiespējo, lai gan tas ierobežos klienta mijiedarbības iespējas - piemēram, vairs nebūs iespējams savienot pārī televizoru ar multivides atskaņotāju, izmantojot Wi-Fi, jums būs izmantojiet vadu savienojumu. Šajā posmā mūsu mājas tīkls izskatās drošāks.
Kāds ir rezultāts?
Ar katru gadu pieaug drošības apdraudējumu skaits un ražotāji viedierīces viņi ne vienmēr pievērš pietiekamu uzmanību savlaicīgai atjauninājumu izlaišanai. Šādā situācijā mums ir tikai viena izeja - atšķirt mājas tīkla klientus un veidot tiem izolētus segmentus. Lai to izdarītu, jums nav jāpērk aprīkojums par desmitiem tūkstošu rubļu, salīdzinoši lēts mājsaimniecības interneta centrs var tikt galā ar uzdevumu. Šeit es vēlos brīdināt lasītājus no budžeta zīmolu ierīču iegādes. Gandrīz visiem ražotājiem tagad ir vairāk vai mazāk vienāda aparatūra, taču iebūvētās programmatūras kvalitāte ir ļoti atšķirīga. Kā arī izlaisto modeļu atbalsta cikla ilgums. Ne katrs mājsaimniecības maršrutētājs var tikt galā ar pat diezgan vienkāršu uzdevumu apvienot vadu un bezvadu tīklu izolētā segmentā, un jums var būt sarežģītāki. Dažreiz ir jākonfigurē papildu segmenti vai DNS filtrēšana, lai piekļūtu tikai drošiem saimniekiem, lielās telpās Wi-Fi klienti ir jāpievieno viesu tīklam, izmantojot ārējos piekļuves punktus utt. un tā tālāk. Papildus drošības jautājumiem pastāv arī citas problēmas: publiskajos tīklos ir jānodrošina klientu reģistrācija atbilstoši federālā likuma Nr.97 “Par informāciju, informāciju tehnoloģijas un par informācijas aizsardzību." Lētas ierīces spēj atrisināt šādas problēmas, bet ne visas - funkcionalitāte Mēs atkārtojam, ka iebūvētā programmatūra viņiem ir ļoti atšķirīga.
