Го заштитуваме рутерот и домашната мрежа. Па, како да ги заштитите паметните телефони и таблетите? Перспектива на провајдерот
Главната закана за безбедноста на вашите податоци е World Wide Web. Како да се обезбеди сигурна заштитадомашна мрежа?
Корисниците често погрешно веруваат дека обичен антивирус е доволен за да го заштити домашниот компјутер поврзан на Интернет. Заблуда се и натписите на кутиите на рутерите, кои наведуваат дека овие уреди имплементираат моќен заштитен ѕид на хардверско ниво што може да заштити од хакерски напади. Овие изјави се само делумно вистинити. Пред сè, и двете алатки бараат соодветна конфигурација. Сепак, многу антивирусни пакети едноставно немаат таква функција како заштитен ѕид.
Во меѓувреме, компетентна изградба на заштита започнува од самото поврзување со Интернет. Современите домашни мрежи вообичаено користат рутери за Wi-Fi користејќи поврзување со етернет кабел. Тие имаат пристап до Интернет преку локална мрежа десктоп компјутерии лаптопи, паметни телефони и таблети. Покрај тоа, во еден пакет има и самите компјутери и периферни уреди, како што се печатачи и скенери, од кои многу се поврзани преку мрежа.
Со хакирање на вашата пристапна точка, напаѓачот не само што може да ја користи вашата интернет-врска и да ги контролира домашните компјутерски уреди, туку и да поставува World Wide Webнелегална содржина користејќи ја вашата IP адреса, како и кражба на информации зачувани на опрема поврзана на мрежата. Денес ќе зборуваме за основните правила за заштита на мрежите, одржување на нивната функционалност и спречување на хакирање.
Хардвер
Повеќето модерна мрежна опрема бара конфигурирање на безбедносни карактеристики. Најпрво ние зборуваме заза различни филтри, заштитни ѕидови и списоци со закажани пристапи. Необучен корисник може да ги постави параметрите за заштита, но треба да знаете некои нијанси.
КОРИСТИМЕ ШИФРАЊЕ НА СООБРАЌАЈКога поставувате пристапна точка, погрижете се да ги овозможите најробусните механизми за безбедност на сообраќајот, да креирате сложена, бесмислена лозинка и да го користите протоколот WPA2 со алгоритам за шифрирање AES. WEP е застарен и може да биде хакиран за неколку минути.
РЕДОВНО ГИ МЕНУВАМЕ ВАШИТЕ СМЕТКОВОДСТВЕНИ ПОДАТОЦИПоставете силни лозинки за пристап и менувајте ги редовно (на пример, еднаш на секои шест месеци). Најлесен начин да се пробие уред на кој корисникот ги оставил стандардните најава и лозинка „admin“/„admin“.
КРИЕЊЕ SSIDПараметарот SSID (Идентификатор на сет на услуги) е јавното име Безжична мрежа, кој се емитува преку воздух за да можат корисничките уреди да го видат. Користењето на опцијата за криење на SSID ќе ве заштити од почетниците хакери, но потоа за да поврзете нови уреди ќе треба рачно да ги внесете параметрите на пристапната точка.
СОВЕТКога ја поставувате пристапната точка за прв пат, сменете ја SSID, бидејќи ова име го одразува моделот на рутерот, што може да послужи како навестување за напаѓачот кога бара пропусти.
КОНФИГУРИРАЊЕ НА Вградениот заштитен ѕид Рутерите во повеќето случаи се опремени со едноставни верзии на заштитни ѕидови. Со нивна помош, нема да биде можно темелно да се конфигурираат многу правила за безбедна работа на мрежата, но можете да ги покриете главните пропусти или, на пример, да ја забраните работата на клиентите за е-пошта.
ОГРАНИЧУВАЊЕ НА ПРИСТАП ПО МАК АДРЕСАКористејќи ги списоците со MAC адреси (Контрола за пристап до медиумите), можете да го одбиете пристапот до локалната мрежа на оние уреди чии физички адреси не се вклучени во таков список. За да го направите ова, ќе треба рачно да креирате списоци со опрема дозволена на мрежата. Секој уред опремен со мрежен интерфејс, во фабриката му е доделена единствена MAC адреса. Може да се препознае со гледање на етикетата или ознаките на опремата или со користење на специјални команди и мрежни скенери. Ако има веб-интерфејс или дисплеј (на пример, рутери и мрежни печатачи) Ќе ја најдете MAC адресата во менито за поставки.
MAC адресата на мрежната картичка на вашиот компјутер може да се најде во нејзините својства. За да го направите ова, одете во менито „Контролен панел | Мрежи и Интернет | Центар за контрола на мрежата и заеднички пристап", потоа во левиот дел од прозорецот, кликнете на врската "Промени ги поставките на адаптерот", кликнете со десното копче на мрежната картичка што се користи и изберете "Статус". Во прозорецот што се отвора, треба да кликнете на копчето „Детали“ и да ја погледнете линијата „Физичка адреса“, каде што ќе се прикажат шест пара броеви што ја означуваат MAC адресата на вашата мрежна картичка.
Има повеќе брз начин. За да го користите, притиснете ја комбинацијата на копчиња „Win + R“, внесете CMD во линијата што се појавува и кликнете „OK“. Во прозорецот што се отвора, внесете ја командата:
Притиснете "Enter". Најдете ги линиите „Физичка адреса“ во прикажаните податоци - оваа вредност е MAC адресата.
Откако физички ја заштитивте мрежата, неопходно е да се грижите за софтверскиот дел од „одбраната“. Сеопфатните антивирусни пакети ќе ви помогнат во ова, заштитни ѕидовии скенери за ранливост.
КОНФИГУРИРАЊЕ ПРИСТАП ДО ПАПКИНе ставајте папки со системски или едноставно важни податоци во директориуми кои се достапни за внатрешните корисници на мрежата. Покрај тоа, обидете се да не креирате папки до кои може да се пристапи од мрежата на системскиот диск. Ако нема посебна потреба, подобро е да ги ограничите сите такви директориуми со атрибутот „Само за читање“. Во спротивно, вирусот преправен како документи може да се смести во споделената папка.
ИНСТАЛИРАЊЕ на заштитен ѕидЗаштитните ѕидови на софтверот обично се лесни за конфигурирање и имаат режим за самостојно учење. Кога ја користи, програмата го прашува корисникот кои врски ги одобрува и кои смета дека се неопходни да ги забрани.
Препорачуваме користење на лични заштитни ѕидови вградени во такви популарни комерцијални производи како Kaspersky Internet Security, Norton internet Security, NOD Интернет безбедност, како и бесплатни решенија - на пример, Comodo Firewall. Стандардниот заштитен ѕид на Windows, за жал, не може да се пофали со сигурна безбедност, обезбедувајќи само основни поставки на портата.
Тест за ранливост
Најголема опасност за работата на компјутерот и мрежата се програмите што содржат „дупки“ и неправилно конфигурирани безбедносни мерки.
XSpiderЛесна за употреба програма за скенирање на вашата мрежа за пропусти. Тоа ќе ви овозможи брзо да ги идентификувате повеќето актуелни проблеми, а исто така да го дадете нивниот опис и, во некои случаи, решенија. За жал, пред некое време комуналната услуга стана платена, и ова е можеби нејзиниот единствен недостаток.
NmapНепрофитна мрежен скенерсо отворени изворен код. Програмата првично беше развиена за корисници на UNIX, но подоцна, поради зголемената популарност, беше пренесена на Windows. Алатката е наменета за искусни корисници. Nmap има едноставен и лесен интерфејс, но разбирањето на податоците што ги произведува без основно знаење нема да биде лесно.
КИС 2013 годинаОвој пакет обезбедува не само сеопфатна заштита, туку и дијагностички алатки. Можете да го користите за скенирање инсталирани програмиза присуство на критични ранливости. Како резултат на оваа постапка, програмата ќе претстави список на комунални услуги во кои треба да се затворат празнините и можете да дознаете детални информации за секоја од пропустите и како да ја поправите.
Совети за инсталирање мрежа
Можете да ја направите вашата мрежа побезбедна не само во фазата на нејзино распоредување и конфигурација, туку и кога веќе постои. Кога обезбедувате безбедност, треба да го земете предвид бројот на поврзани уреди, локацијата на мрежниот кабел, дистрибуцијата на сигналот за Wi-Fi и видовите на пречки за него.
ПОЗИЦИОНИРАЊЕ НА ПРИСТАПНАТА ТОЧКАПроценете колкава површина треба да внесете во опсегот на Wi-Fi. Ако треба само да покриете површина од вашиот стан, тогаш не треба да ја ставате безжичната пристапна точка во близина на прозорците. Ова ќе го намали ризикот од пресретнување и хакирање на слабо заштитен канал од страна на возачите - луѓе кои бараат бесплатни точки за безжичен пристап на Интернет и исто така користат нелегални методи. Треба да се земе предвид дека секој бетонски ѕид ја намалува моќноста на сигналот за половина. Исто така запомнете дека огледалото на гардеробата е речиси непробоен екран за Wi-Fi сигналот, кој во некои случаи може да се користи за да се спречи ширењето на радио брановите во одредени насоки во станот. Покрај тоа, некои рутери за Wi-Fi ви дозволуваат да ја конфигурирате јачината на сигналот во хардверот. Со оваа опција, можете вештачки да обезбедите пристап само до корисниците лоцирани во просторијата со пристапната точка. Недостаток на овој метод е можниот недостаток на сигнал во оддалечените области на вашиот стан.
ПОСТАВУВАЊЕ КАБЛИМрежа организирана првенствено со помош на кабел обезбедува најголема брзина и доверливост на комуникацијата, истовремено елиминирајќи ја можноста некој да се меша во неа, како што може да се случи со Wi-Fi конекција. можноста да се впие во него однадвор, како што може да се случи со Wi-Fi конекција.
За да избегнете неовластени приклучоци, при поставување на кабелска мрежа, внимавајте да ги заштитите жиците од механички оштетувања, користете специјални кабелски канали и избегнувајте области каде кабелот ќе попушта премногу или, обратно, ќе биде претерано напнат. Не поставувајте го кабелот во близина на извори на силни пречки или во област со лоши еколошки услови (критични температури и влажност). Може да користите и заштитен кабел за дополнителна заштита.
ЗАШТИТА ОД ЕЛЕМЕНТИЖичните и безжичните мрежи се подложни на ефектите од грмотевици, а во некои случаи ударот на гром може да оштети повеќе од само мрежната опрема или мрежна картичка, но и многу компјутерски компоненти. За да го намалите ризикот, прво не заборавајте да ги заземете електричните приклучоци и компонентите на компјутерот. Користете уреди од типот Пилот што користат заштитни колаод пречки и пренапони на струја.
Освен тоа, најдоброто решениеможе да стане извор непрекинато напојување(UPS). Модерните верзии вклучуваат и стабилизатори на напон и автономно напојување, како и специјални конектори за поврзување на мрежен кабел преку нив. Ако гром ненадејно удри во опремата на интернет-провајдерот, таков UPS нема да дозволи штетен наплив на струја да влезе во мрежната картичка на вашиот компјутер. Вреди да се запамети дека во секој случај, приклучоците за заземјување или самата опрема се исклучително важни.
Користење на алатки за градење на VPN тунели
Прилично сигурен начин за заштита на информациите пренесени преку мрежа се VPN тунелите (Виртуелна приватна мрежа). Технологијата за тунелирање ви овозможува да креирате шифриран канал преку кој податоците се пренесуваат помеѓу неколку уреди. Организирањето на VPN за подобрување на безбедноста на информациите е можно во рамките на домашната мрежа, но тоа е многу трудоинтензивно и бара посебно знаење. Најчестиот метод за користење VPN е да се поврзете со вашиот домашен компјутер однадвор, на пример од работен компјутер. Така, податоците пренесени помеѓу вашите машини ќе бидат добро заштитени со шифрирање на сообраќајот. За овие цели, подобро е да користите многу сигурен бесплатен Хамачи програма. Во овој случај, ќе бидат потребни само основни познавања за организирање VPN, што е во рамките на можностите на необучен корисник.
Вовед
Релевантноста на оваа тема лежи во фактот дека промените што се случуваат во економскиот живот на Русија - создавање на финансиски и кредитен систем, претпријатија од различни форми на сопственост итн. - имаат значително влијание врз прашањата за безбедноста на информациите. Долго време кај нас имаше само еден имот - државна сопственост, па информациите и тајните исто така беа само државна сопственост, кои беа заштитени од моќни специјални служби. Проблеми безбедност на информациипостојано се влошуваат со навлегувањето на техничките средства за обработка и пренос на податоци, а пред сè, компјутерските системи, во речиси сите сфери на општественото делување. Цели на напади може да бидат самите технички средства(компјутери и периферни уреди) како материјални објекти, софтвер и бази на податоци за кои техничките средства се околината. Секој дефект на компјутерската мрежа не е само „морална“ штета за вработените во претпријатието и мрежните администратори. Како што се развиваат технологиите за електронско плаќање, протокот на документи „без хартија“ и други, сериозниот неуспех на локалните мрежи може едноставно да ја парализира работата на цели корпорации и банки, што доведува до значителни материјални загуби. Не е случајно што заштитата на податоците во компјутерски мрежистанува еден од најитните проблеми во модерната компјутерска наука. До денес се формулирани два основни принципи за безбедност на информациите кои треба да обезбедат: - интегритет на податоците - заштита од неуспеси што доведуваат до губење на информации, како и неовластено создавање или уништување на податоци. - доверливост на информациите и, во исто време, достапност до сите овластени корисници. Исто така, треба да се забележи дека одредени области на активност (банкарски и финансиски институции, информативни мрежи, системи контролирани од владата, одбраната и специјалните структури) бараат посебни мерки за безбедност на податоците и поставуваат зголемени барања за оперативна сигурност информациски системи, во согласност со природата и важноста на задачите што ги решаваат.
Ако компјутерот е поврзан на локална мрежа, тогаш, потенцијално, до овој компјутер и до информациите на него може да пристапат неовластени лица од локалната мрежа.
Ако локалната мрежа е поврзана со други локални мрежи, тогаш корисниците од нив се додаваат на листата на можни неовластени корисници. далечински мрежи. Нема да зборуваме за достапноста на таков компјутер од мрежата или каналите преку кои се поврзани локални мрежи, бидејќи веројатно на излезите од локалните мрежи има уреди кои го шифрираат и контролираат сообраќајот и се преземени потребните мерки.
Ако компјутерот е поврзан директно преку провајдер на надворешна мрежа, на пример преку модем на Интернет, за далечинска интеракција со неговата локална мрежа, тогаш компјутерот и информациите на него се потенцијално достапни за хакерите од Интернет. И најнепријатното е што преку овој компјутер хакерите можат да пристапат и до локалните мрежни ресурси.
Нормално, и за сите такви врски редовни средстваоперативен систем за контрола на пристап, или специјализирани средства за заштита од неовластен пристап, или криптографски системи на ниво на специфични апликации, или и двете.
Сепак, сите овие мерки, за жал, не можат да ја гарантираат посакуваната безбедност при напади на мрежата, а тоа се објаснува со следните главни причини:
Оперативните системи (ОС), особено WINDOWS, се софтверски производисо висока сложеност, чие создавање го вршат големи тимови на програмери. Деталната анализа на овие системи е исклучително тешка. Во врска со ова, не е можно со сигурност да се потврди за нив отсуството на стандардни карактеристики, грешки или недокументирани карактеристики случајно или намерно оставени во ОС и кои би можеле да се користат преку мрежни напади.
Во оперативниот систем со повеќе задачи, особено WINDOWS, многу различни апликации можат да работат истовремено...
Во овој случај, и давателот и неговиот клиент мора да ги почитуваат правилата за безбедност на информациите. Со други зборови, постојат две точки на ранливост (на страната на клиентот и на страната на давателот), и секој од учесниците во овој систем е принуден да ги брани своите интереси.
Поглед од страната на клиентот
Водење бизнис во електронско опкружување бара канали за пренос на податоци со голема брзина, а ако претходно главните пари на провајдерите се правеа за поврзување на Интернет, сега клиентите имаат прилично строги барања за безбедноста на понудените услуги.
На Запад се појавија голем број хардверски уреди кои обезбедуваат безбедни врски со домашните мрежи. Како по правило, тие се нарекуваат „SOHO решенија“ и комбинираат хардверски заштитен ѕид, центар со неколку порти, DHCP сервер и функции на VPN рутер. На пример, ова е патеката што ја следат развивачите на Cisco PIX Firewall и WatchGuard FireBox. Заштитните ѕидови на софтверот остануваат само на лично ниво и се користат како дополнително средство за заштита.
Програмерите на хардверските заштитни ѕидови од класата SOHO веруваат дека овие уреди треба да бидат лесни за управување, „транспарентни“ (т.е. невидливи) за корисникот на домашната мрежа и да одговараат по цена на висината на директната штета од можни дејстванатрапниците. Просечна штета за успешен напад на домашна мрежасе проценува на околу 500 долари.
За да ја заштитите домашната мрежа, можете да користите софтверски заштитен ѕид или едноставно да ги отстраните непотребните протоколи и услуги од поставките за конфигурација. Најдобрата опција е давателот да тестира неколку лични заштитни ѕидови, да конфигурира сопствен безбедносен систем на нив и да обезбеди техничка поддршка за нив. Конкретно, тоа е токму она што го прави провајдерот 2COM, кој на своите клиенти им нуди комплет тестирани екрани и совети за нивно поставување. Во наједноставен случај, се препорачува да се прогласат за опасни скоро сите мрежни адреси, освен адресите локален компјутери портата преку која се воспоставува врската со Интернет. Ако софтверски или хардверски екран на клиентската страна детектира знаци на упад, тоа мора веднаш да се пријави во сервисот техничка поддршкапровајдер.
Треба да се напомене дека заштитниот ѕид штити од надворешни закани, но не штити од грешки на корисниците. Затоа, дури и ако давателот или клиентот има инсталирано некој вид безбедносен систем, двете страни сепак мора да следат голем број прилично едноставни правила за да се минимизира веројатноста за напади. Прво, треба да оставите што е можно помалку лични информации на Интернет, да се обидете да избегнете плаќање со кредитни картички или барем да проверите дали серверот има дигитален сертификат. Второ, не треба да преземате од Интернет и да стартувате какви било програми на вашиот компјутер, особено бесплатни. Исто така, не се препорачува да се направат локални ресурси достапни надворешно, да се инсталира поддршка за непотребни протоколи (како што се IPX или SMB) или да се користат стандардните поставки (на пример, криење на екстензии на датотеки).
Особено е опасно да се извршуваат скрипти прикачени на букви Е-пошта, но подобро е воопшто да не се користи Outlook, бидејќи повеќето вируси се напишани специјално за овој клиент за е-пошта. Во некои случаи, побезбедно е да се користат услуги за веб-пошта за работа со е-пошта, бидејќи вирусите, како по правило, не се шират преку нив. На пример, провајдерот 2COM нуди бесплатна веб-услуга која ви овозможува да читате информации од надворешно поштенски сандачињаи прикачи на локална машинасамо пораките што ви се потребни.
Давателите обично не обезбедуваат услуги за безбеден пристап. Факт е дека ранливоста на клиентот често зависи од неговите сопствени постапки, така што во случај на успешен напад е доста тешко да се докаже кој точно ја направил грешката - клиентот или давателот. Покрај тоа, фактот за нападот сè уште треба да се евидентира, а тоа може да се направи само со докажани и сертифицирани средства. Проценката на штетата предизвикана од хакирање исто така не е лесно. Како по правило, се одредува само неговата минимална вредност, која се карактеризира со времето за враќање на нормалното функционирање на системот.
Давателите може да ја осигураат безбедноста на поштенските услуги со проверка на целата дојдовна пошта што ја користат антивирусни програми, како и блокирање на сите протоколи освен главните (Веб, е-пошта, вести, ICQ, IRC и некои други). Операторите не можат секогаш да следат што се случува на внатрешните сегменти на домашната мрежа, но бидејќи се принудени да се бранат од надворешни напади (што е во согласност со политиките за заштита на корисниците), клиентите треба да комуницираат со нивните безбедносни тимови. Треба да се запомни дека давателот не гарантира апсолутна безбедност на корисниците - тој само ја следи својата комерцијална добивка. Честопати нападите врз претплатниците се поврзани со нагло зголемување на обемот на информации што им се пренесуваат, што, всушност, е начинот на кој операторот заработува пари. Ова значи дека интересите на давателот понекогаш може да се судрат со интересите на потрошувачот.
Перспектива на провајдерот
За давателите на услуги за домашна мрежа, главните проблеми се неовластени врски и високиот внатрешен сообраќај. Домашните мрежи често се користат за хостирање на игри кои не се протегаат надвор од локалната мрежа на една станбена зграда, но може да доведат до блокирање на цели сегменти од неа. Во овој случај, работата на Интернет станува тешко, што предизвикува фер незадоволство кај комерцијалните клиенти.
Од гледна точка на трошоците, провајдерите се заинтересирани да ги минимизираат трошоците за обезбедување и следење на нивната домашна мрежа. Во исто време, тие не можат секогаш да организираат соодветна заштита за клиентот, бидејќи тоа бара одредени трошоци и ограничувања од страна на корисникот. За жал, не сите претплатници се согласуваат со ова.
Вообичаено, домашните мрежи се структурирани на следниов начин: има централен рутер кој има канал за пристап до Интернет, а на него е поврзана широка мрежа од блок, куќа и влез. Секако, рутерот функционира како заштитен ѕид, одвојувајќи ја домашната мрежа од остатокот на Интернет. Имплементира неколку безбедносни механизми, но најчесто користен е преводот на адреси, кој ви овозможува истовремено да ја скриете внатрешната мрежна инфраструктура и да ги зачувате вистинските IP адреси на провајдерот.
Сепак, некои провајдери им даваат на своите клиенти вистински IP адреси (на пример, ова се случува во мрежата на микродистриктот Митино, кој е поврзан со московскиот провајдер MTU-Intel). Во овој случај, компјутерот на корисникот станува директно достапен од Интернет, што ја отежнува заштитата. Не е изненадувачки што товарот на обезбедување безбедност на информациицелосно паѓа на претплатниците, додека операторот останува со единствениот начинконтрола врз нивните дејства - по IP и MAC адреси. Сепак, современите етернет адаптери ви дозволуваат програмски да ги промените двата параметри на ниво на оперативен систем, а давателот е беспомошен против бескрупулозниот клиент.
Се разбира, некои апликации бараат распределба на вистински IP адреси. Давањето вистинска статичка IP адреса на клиентот е доста опасно, бидејќи ако серверот со оваа адреса е успешно нападнат, остатокот од внатрешната мрежа ќе стане достапен преку него.
Едно од компромисните решенија за проблемот безбедна употреба IP адресите во домашна мрежа е воведување на VPN технологија во комбинација со механизам за динамична дистрибуција на адреси. Накратко, шемата е следна. Се воспоставува шифриран тунел од клиентската машина до рутерот со помош на протоколот PPTP. Бидејќи овој протокол е поддржан од Windows OS уште од верзијата 95, а сега е имплементиран за други оперативни системи, од клиентот не се бара да инсталира дополнителен софтвер - треба само да ги конфигурира веќе инсталираните компоненти. Кога корисникот ќе се поврзе на интернет, тој прво воспоставува врска со рутерот, потоа се најавува, добива IP адреса и дури потоа може да почне да работи на Интернет.
Овој тип на поврзување е еквивалентен на обична dial-up конекција со таа разлика што при неговото инсталирање, можете да поставите речиси секоја брзина. Дури и вгнездените VPN подмрежи ќе работат според оваа шема, која може да се користи за далечинско поврзување на клиентите со корпоративната мрежа. За време на секоја корисничка сесија, провајдерот динамички доделува или реална или виртуелна IP адреса. Патем, вистинската IP адреса на 2COM чини 1 долар месечно повеќе од виртуелната.
За имплементација на VPN конекции, 2COM разви свој специјализиран рутер кој ги извршува сите функции наведени погоре, плус цените на услугите. Треба да се напомене дека шифрирањето на пакетите не е одговорност на Процесорот, но на специјализиран копроцесор, кој ви овозможува истовремено да поддржувате до 500 виртуелни VPN канали. Еден таков крипто-рутер на мрежата 2COM се користи за поврзување на неколку куќи одеднаш.
Општо земено на најдобар можен начинЗаштитата на домашната мрежа е блиска интеракција помеѓу давателот и клиентот, во рамките на која секој има можност да ги брани своите интереси. На прв поглед, методите за безбедност на домашната мрежа изгледаат слични на оние што се користат за обезбедување корпоративна безбедност, Но всушност не е. Вообичаено е компаниите да воспостават прилично строги правила на однесување за вработените, придржувајќи се до дадена политика за безбедност на информациите. Оваа опција не работи во домашна мрежа: секој клиент бара свои услуги и треба да креира општи правилаоднесувањето не е секогаш успешно. Следствено, изградбата на сигурен систем за безбедност на домашната мрежа е многу потешко отколку да се обезбеди безбедност на корпоративна мрежа.
PNST301-2018/ISO/IEC 24767-1:2008
ПРЕЛИМИНАРЕН НАЦИОНАЛЕН СТАНДАРД НА РУСКАТА ФЕДЕРАЦИЈА
Информациска технологија
БЕЗБЕДНОСТ НА ДОМАШНА МРЕЖА
Барања за безбедност
Информациска технологија. Безбедност на домашната мрежа. Дел 1.Безбедносни барања
ОКС 35.110, 35.200,35.240.99
Важи од 2019-02-01
Предговор
Предговор
1 ПОДГОТВЕНО од Федералната државна буџетска образовна институција за високо образование „Руски економски универзитет именуван по Г.В. Плеханов“ (FSBEI HE „REU именуван по Г.В. Плеханов“) врз основа на сопствен превод на руски на англиската верзија на меѓународниот стандард наведен во ставот 4
2 ВОВЕДЕНО од Техничкиот комитет за стандардизација ТЦ 22 „Информатички технологии“
3ОДОБРЕНО И ВЛЕЖЕНО ВО ДЕЈСТВО по налог на Федералната агенција за техничка регулатива и метрологија од 4 септември 2018 година N38-pnst
4Овој стандард е идентичен со меѓународниот стандард ISO/IEC 24767-1:2008* „Информациска технологија - Безбедност на домашна мрежа - Дел 1: Барања за безбедност“, IDT)
________________
*Пристап до меѓународни и странски документи споменати овде и понатаму во текстот може да се добие со следење на врската до страницата. - Белешка од производителот на базата на податоци.
Правилата за примена на овој стандард и спроведување на неговиот мониторинг се воспоставени воГОСТ Р 1.16-2011 (делови 5 и 6).
Федералната агенција за техничка регулатива и метрологија собира информации за практичната примена на овој стандард. Овие информации, како и коментари и предлози за содржината на стандардот, може да се испратат најдоцна 4 дена однапред. месеци пред истекот на периодот на важност до развивачот на овој стандард на адреса: 117997 Москва, Стремјани Лејн, 36, Федерална државна буџетска образовна институција за високо образование „РЕУ“именуван по Г.В.Плеханов“ и до Федералната агенција за техничка регулатива и метрологија на: 109074 Москва, Китајгородски проезд, 7, зграда 1.
Во случај на откажување на овој стандард, релевантните информации ќе бидат објавени во месечниот индекс на информации „Национални стандарди“ и исто така ќе бидат објавени на официјалната веб-страница на Федералната агенција за техничка регулатива и метрологија на Интернет (www.gost.ru)
Вовед
ISO (Меѓународна организација за стандардизација) и IEC (Меѓународна електротехничка комисија) формираат специјализиран систем за стандардизација низ целиот свет. Владините тела кои се членки на ISO или IEC учествуваат во развојот на меѓународните стандарди преку технички комитети. Секое заинтересирано тело кое е членка на ISO или IEC може да учествува во развојот на стандард во одредена област. Во работата се вклучени и други меѓународни организации, владини и невладини, во контакт со ISO и IEC.
Во областа на информатичката технологија, ISO и IEC формираа Заеднички технички комитет ISO/IEC JTC 1. Нацрт-меѓународните стандарди подготвени од Заедничкиот технички комитет се доставуваат до националните комитети за гласање. Објавувањето како меѓународен стандард бара одобрение од најмалку 75% од Националните комитети со право на глас.
Формалните одлуки или договори на IEC и ISO за технички прашања изразуваат, колку што е можно, меѓународен консензус за вклучените прашања, бидејќи секој технички комитет има претставници од сите засегнати национални комитети членки на IEC и ISO.
Публикациите на IEC, ISO и ISO/IEC се во форма на препораки за меѓународна употреба и се усвоени од националните комитети - членки на IEC и ISO токму во ова разбирање. Иако се направени сите напори за да се обезбеди точност техничка содржинаПубликациите на IEC, ISO и ISO/IEC, IEC или ISO не прифаќаат никаква одговорност за начинот на кој се користат или за нивното погрешно толкување од страна на крајниот корисник.
Со цел да се обезбеди меѓународно обединување (единствен систем), националните комитети на IEC и ISO се обврзуваат да обезбедат максимална транспарентност во примената на меѓународните стандарди на IEC, ISO и ISO/IEC, што се однесува до националните и регионалните услови на дадена земја дозволи. Секое несовпаѓање помеѓу публикациите на ISO/IEC и релевантните национални или регионални стандарди ќе биде јасно наведено во второто.
ISO и IEC не обезбедуваат процедури за етикетирање и не се одговорни за која било опрема која тврди дека е усогласена со еден од ISO/IEC стандардите.
Сите корисници треба да се погрижат да го користат најновото издание на оваа публикација.
IEC или ISO, нивното раководство, вработени, службеници или претставници, вклучително и поединечни експерти и членови на нивните технички комитети, и членовите на националните комитети на IEC или ISO нема да бидат одговорни за несреќи, материјална штета или друга штета, директна или индиректна, или за трошоци (вклучувајќи правни трошоци) настанати во врска со објавувањето или од користењето на оваа публикација ISO/IEC или друга публикација на IEC, ISO или ISO/IEC.
Посебно внимание е потребно на регулаторната документација цитирана во оваа публикација Употребата на референтни документи е неопходна за правилна примена на оваа публикација.
Се обрнува внимание на фактот дека некои елементи од овој Меѓународен стандард може да бидат предмет на права на патент. ISO и IEC не се одговорни за утврдување на кое било или сите такви права на патент.
Меѓународниот стандард ISO/IEC 24767-1 беше развиен од Заедничкиот технички комитет ISO/IEC 1, Информатичка технологија, Поткомитетот 25, Интерконекции со опрема за информатичка технологија.
На веб-локацијата на IEC е претставен список на сите моментално достапни делови од серијата ISO/IEC 24767 под општиот наслов „Информациска технологија - безбедност на домашната мрежа“.
1 област на употреба
Овој стандард ги дефинира барањата за заштита на домашна мрежа од внатрешни или надворешни закани. Стандардот служи како основа за развој на безбедносни системи кои ја штитат внатрешната средина од различни закани.
Безбедносните барања се адресирани на релативно неформален начин во овој стандард.Иако многу од прашањата дискутирани во овој стандард обезбедуваат насоки за дизајнирање на безбедносни системи и за интранет и за Интернет, тие се неформални барања по природа.
Поврзан на внатрешна (домашна) мрежа разни уреди(види слика 1). Уредите за „мрежно поврзување со апарати“, уредите за „AV entertainment“ и уредите за „информативна апликација“ имаат различни функции и карактеристики на изведба. Овој стандард обезбедува алатки за анализа на ризиците на секој уред поврзан на мрежа и одредување на безбедносните барања за секој уред.
2Термини, дефиниции и кратенки
2.1 Поими и дефиниции
Следниве термини и дефиниции се користат во овој стандард:
2.1.1 потрошувачка електроника(кафеави производи): Аудио/видео уреди кои првенствено се користат за забавни цели, како што се телевизор или DVD рекордер.
2.1.2доверливост(доверливост): Сопственост што обезбедува недостапност и неоткривање информации на неовластени лица, организации или процеси.
2.1.3 автентикација на податоци(автентикација на податоци): Услуга што се користи за да се обезбеди правилна проверка на приговорениот извор на податоци.
2.1.4 интегритетот на податоците(интегритет на податоците): Својство кое потврдува дека податоците не се изменети или уништени на неовластен начин.
2.1.5 автентикација на корисникот(автентикација на корисник): Услуга за да се осигура дека информациите за автентикација обезбедени од учесник во комуникацијата се правилно потврдени, додека услугата за овластување осигурува дека идентификуваниот и овластен корисник има пристап до специфичен уредили апликација за домашна мрежа.
2.1.6 Апарати(бели производи): Уреди што се користат во секојдневна употреба, како што се клима уред, фрижидери итн.
2.2 Кратенки
Во овој стандард се користат следните кратенки:
3 Усогласеност
Овој стандард обезбедува насоки без никакви барања за усогласеност.
4Безбедносни барања за внатрешни домашни електронски системи и мрежи
4.1 Општи одредби
Со брзиот развој на интернетот и поврзаните мрежни технологии, стана возможно да се воспостават врски помеѓу компјутерите во канцелариите и домовите со надворешниот свет, што овозможува пристап до различни ресурси. Денес, технологиите што го поткрепуваа тој успех стигнаа до нашите домови и овозможуваат поврзување на уреди исто како персонални компјутери. Така, тие не само што им овозможуваат на корисниците да ги следат и контролираат своите апарати за домаќинство, и внатре и надвор од домот, туку создаваат и нови услуги и можности, како што се далечински управувач и одржување на апаратите за домаќинство. Ова значи дека вообичаеното компјутерско опкружување дома се трансформира во внатрешна домашна мрежа, поврзувајќи многу уреди, чија безбедност исто така ќе треба да се обезбеди.
Неопходно е жителите, корисниците и сопствениците и на домот и на системот да му веруваат на домашниот електронски систем. Целта за домашна електронска безбедност системи за поддршкадоверба во системот. Бидејќи многу домашни компоненти електронски системработат континуирано, 24 часа на ден и автоматски разменуваат информации со надворешниот свет, безбедноста на информациите е неопходна за да се обезбеди доверливост, интегритет и достапност на податоците и системот.Правилно имплементираното безбедносно решение подразбира, на пример, дека пристапот до системот и складираните, дојдовните и излезните податоци ги добиваат само овластени корисници и процеси, а тоа само овластени корисници можат да го користат системот и да прават промени во него.
Барањата за безбедност за HES мрежа може да се опишат на неколку начини. Овој стандард е ограничен на ИТ безбедноста на HES мрежата. Меѓутоа, ИТ безбедноста мора да се прошири надвор од самиот систем, бидејќи домот мора да функционира, иако со ограничен капацитет, во случај на дефект на ИТ системот. се изгубени. Во такви случаи, може да се разбере дека постојат безбедносни барања кои не можат да бидат дел од самиот систем, но системот не треба да забранува имплементација на резервни решенија.
Има голем број луѓе заинтересирани за безбедносни прашања. На домашниот електронски систем мора да му веруваат не само жителите и сопствениците, туку и давателите на услуги и содржини. Последните мора да се погрижат услугите и содржината што ги нудат да се користат само на овластен начин. Сепак, една од основите на безбедноста на системот е дека специфичен безбедносен администратор треба да биде одговорен за тоа. Очигледно, таквата одговорност треба да им се додели на жителите (сопствениците на системот). Не е важно дали администраторот го прави тоа лично или ќе го нарача. Во секој случај, одговорноста е на администраторот на безбедносниот систем. Довербата на давателите на услуги и содржини во домашниот електронски систем и нивната доверба дека корисниците соодветно ги користат нивните услуги и содржини се определуваат со договорните обврски меѓу страните. Договорот, на пример, може да ги наведе функциите, компонентите или процесите што системот за домашна електроника мора да ги поддржува.
Архитектурата на домашниот електронски систем е различна за различни типови на куќи. Секој модел може да има свој специфичен сет на безбедносни барања. Подолу се дадени описи на три различни модели на домашни електронски системи со различни групи на безбедносни барања.
Очигледно, некои безбедносни барања се поважни од другите. Така, јасно е дека поддршката за некои контрамерки ќе биде опционална. Покрај тоа, контрамерките може да се разликуваат по квалитет и цена. Исто така, може да бидат потребни различни вештини за управување и одржување на таквите контрамерки. Овој стандард се обидува да го разјасни образложението за наведените безбедносни барања и со тоа да им овозможи на дизајнерите на системи за домашна електроника да одредат кои безбедносни карактеристики треба да ги поддржува одреден производ. домашен системи, земајќи ги предвид барањата за квалитет и напорите за управување и одржување, кој механизам треба да се избере за таквите функции.
Безбедносните барања на внатрешната мрежа зависат од дефиницијата за безбедност и „дом“ и што се подразбира под „мрежа“ во тој дом. Ако мрежата е само врска што поврзува еден компјутер со печатач или кабелски модем, тогаш обезбедувањето на вашата домашна мрежа е исто толку едноставно како и обезбедувањето на врската и опремата што ја поврзува.
Меѓутоа, ако има десетици, ако не и стотици, мрежни уреди во домен, од кои некои припаѓаат на домаќинството како целина, а некои им припаѓаат на луѓето во домот, ќе треба да се спроведат пософистицирани безбедносни мерки.
4.2 Домашна безбедност на електронскиот систем
4.2.1 Дефиниција за домашен електронски систем и безбедност на системот
Системот и мрежата за домашна електроника може да се дефинираат како збирка на елементи кои обработуваат, пренесуваат, складираат и управуваат со информации, обезбедувајќи поврзување и интеграција на многуте компјутерски, контролни, мониторинг и комуникациски уреди кои се наоѓаат во домот.
Дополнително, домашните електронски системи и мрежи обезбедуваат интерконекција помеѓу уредите за забава и информации, како и уредите за комуникација и безбедност и апаратите за домаќинство во домот. Таквите уреди и уреди ќе разменуваат информации, тие можат да се контролираат и надгледуваат додека се во куќата или од далечина. Според тоа, сите внатрешни домашни мрежи ќе бараат одредени безбедносни механизми за заштита на нивните секојдневни операции.
Безбедноста на мрежата и информациите може да се разбере како способност на мрежата или информацискиот систем да издржи случајни настани или злонамерни дејства на одредено ниво. Таквите настани или дејства може да ја загрозат достапноста, автентичноста, автентичноста и доверливоста на складираните или пренесените податоци, како и поврзаните услуги понудени преку таквите мрежи и системи.
Инцидентите за безбедност на информациите може да се групираат во следниве групи:
Електронските комуникации може да бидат пресретнати и податоците може да се копираат или менуваат. Ова може да резултира со штета предизвикана и со повреда на правото на поединецот на доверливост и со злоупотреба на прислушуваните податоци;
Неовластен пристап до компјутер и внатрешни компјутерски мрежи обично се врши со злонамерна намера за копирање, менување или уништување на податоците и може да се прошири на автоматска опрема и системи лоцирани во домот;
Злонамерните напади на Интернет станаа доста вообичаени, а телефонската мрежа исто така може да стане поранлива во иднина;
Злонамерниот софтвер, како што се вирусите, може да ги оневозможи компјутерите, да брише или менува податоци или да репрограмира апарати за домаќинство. Некои вирусни напади беа прилично деструктивни и скапи;
Погрешно претставување на информации за поединци или правни лицаможе да предизвика значителна штета, на пример, клиентите може да преземаат злонамерен софтвер од веб-локација што се маскира како доверлив извор, договорите може да бидат раскинати или доверливи информации може да се испратат до несоодветни примачи;
Многу инциденти за безбедноста на информациите вклучуваат неочекувани и ненамерни настани, како што се природни катастрофи (поплави, бури и земјотреси), хардвер или софтвер, како и човечкиот фактор.
Денес, речиси секој стан има домашна мрежа на која се поврзани десктоп компјутери, лаптопи, уреди за складирање податоци (NAS), медиа плеери, паметни телевизори, како и паметни телефони, таблети и други уреди за носење. Се користат или жичени (Ethernet) или безжични (Wi-Fi) врски и TCP/IP протоколи. Со развојот на технологиите на Интернет на нештата, апаратите за домаќинство - фрижидери, апарати за кафе, клима уреди, па дури и опрема за електрична инсталација - се појавија на интернет. Благодарение на решенијата“ Паметна куќа„Можеме да ја контролираме осветленоста на осветлувањето, далечински да ја прилагодиме внатрешната микроклима, да вклучуваме и исклучуваме разни уреди - ова го олеснува животот многу, но може да создаде сериозни проблеми за сопственикот на напредни решенија.
За жал, развивачите на вакви уреди сè уште не се грижат доволно за безбедноста на нивните производи, а бројот на пропусти пронајдени кај нив расте како печурки после дожд. Често има случаи кога, по влегувањето на пазарот, уредот веќе не е поддржан - нашиот телевизор, на пример, има инсталиран фирмвер од 2016 година, базиран на Android 4, а производителот нема да го ажурира. Гостите исто така додаваат проблеми: незгодно е да им се оневозможи пристап до Wi-Fi, но исто така не би сакале никого да дозволите да влезе во вашата пријатна мрежа. Кој знае кои вируси можат да се населат кај странци? мобилни телефони? Сето ова нè води до потребата да се подели домашната мрежа на неколку изолирани сегменти. Ајде да се обидеме да откриеме како да го направиме ова, како што велат, со малку крв и со најмали финансиски трошоци.
Изолирање на Wi-Fi мрежи
Во корпоративните мрежи, проблемот лесно се решава - има управувани прекинувачи со поддршка за виртуелни локални мрежи (VLAN), разни рутери, заштитни ѕидови и точки за безжичен пристап - можете да го изградите потребниот број изолирани сегменти за неколку часа. Користејќи го уредот со сообраќајниот инспектор од следната генерација (TING), на пример, проблемот се решава со само неколку кликања. Доволно е да го поврзете прекинувачот на сегментот на гостинската мрежа во посебен Етернет портаи креирајте правила за заштитен ѕид. Оваа опција не е погодна за дома поради високата цена на опремата - најчесто со нашата мрежа управува еден уред кој ги комбинира функциите на рутер, прекинувач, безжична пристапна точка и Бог знае што друго.
За среќа, модерните рутери за домаќинство (иако би било поправилно да ги наречеме Интернет центри) исто така станаа многу паметни и речиси сите, освен оние многу буџетските, имаат можност да создадат изолирана гостинска Wi-Fi мрежа. Веродостојноста на оваа изолација е прашање за посебна статија; денес нема да го испитаме фирмверот на уредите за домаќинство од различни производители. Да го земеме како пример ZyXEL Keenetic Extra II. Сега оваа линија стана едноставно наречена Keenetic, но добивме наши раце на уред објавен под брендот ZyXEL.
Поставувањето преку веб-интерфејсот нема да предизвика никакви тешкотии дури и за почетници - неколку кликања, а имаме посебна безжична мрежа со сопствена SSID, WPA2 заштита и лозинка за пристап. Можете да дозволите гости да влезат во него, како и да вклучите телевизори и плеери со фирмвер што не е ажуриран долго време или други клиенти на кои не им верувате особено. Во повеќето уреди од други производители, оваа функција, повторуваме, е исто така присутна и се активира на ист начин. Така, на пример, се решава проблемот во фирмверот D-Link рутерикористејќи го волшебникот за поставување.
Можете да додадете гостинска мрежа кога уредот е веќе конфигуриран и работи.
Слика од екранот од веб-страницата на производителот
Слика од екранот од веб-страницата на производителот
Ние изолираме етернет мрежи
Покрај клиентите кои се поврзуваат на безжичната мрежа, може да наидеме на уреди со жичен интерфејс. Експертите ќе кажат дека за создавање на изолирани етернет сегменти се користат таканаречените VLAN-виртуелни локални мрежи. Некои домашни рутери ја поддржуваат оваа функционалност, но тука задачата станува посложена. Не би сакал само да направиме посебен сегмент, туку треба да комбинираме порти за жична врска со безжична гостинска мрежа на еден рутер. Не секој уред за домаќинство може да се справи со ова: површна анализа покажува дека покрај интернет центрите Keenetic, додавањето на етернет порти на еден Wi-Fi мрежаМоделите од линијата MikroTik се способни и за гостин сегментот, но процесот на нивно поставување веќе не е толку очигледен. Ако зборуваме за рутери за домаќинство со споредливи цени, само Keenetic може да го реши проблемот со неколку кликања на веб-интерфејсот.
Како што можете да видите, испитаникот лесно се справи со проблемот, и тука вреди да се обрне внимание на уште една интересна карактеристика - исто така можете да ги изолирате безжичните клиенти на гостинската мрежа едни од други. Ова е многу корисно: паметниот телефон на вашиот пријател заразен со малициозен софтвер ќе пристапи на Интернет, но нема да може да нападне други уреди, дури и на гостинска мрежа. Ако вашиот рутер има слична функција, дефинитивно треба да ја овозможите, иако тоа ќе ги ограничи можностите за интеракција со клиентот - на пример, повеќе нема да може да се спарува телевизор со медиа плеер преку Wi-Fi, ќе мора да користете жична врска. Во оваа фаза, нашата домашна мрежа изгледа посигурна.
Каков е резултатот?
Бројот на безбедносни закани расте од година во година, а производителите паметни уредитие не секогаш посветуваат доволно внимание на навременото објавување на ажурирањата. Во таква ситуација, имаме само еден излез - да ги разликуваме клиентите на домашната мрежа и да креираме изолирани сегменти за нив. За да го направите ова, не треба да купувате опрема за десетици илјади рубли; релативно евтин интернет центар за домаќинство може да се справи со задачата. Овде би сакал да ги предупредам читателите да не купуваат уреди од буџетски брендови. Речиси сите производители сега имаат повеќе или помалку ист хардвер, но квалитетот на вградениот софтвер е многу различен. Како и времетраењето на циклусот на поддршка за објавените модели. Не секој рутер за домаќинство може да се справи дури и со прилично едноставната задача да комбинира жична и безжична мрежа во изолиран сегмент, а можеби ќе имате посложени. Понекогаш треба да конфигурирате дополнителни сегменти или филтрирање DNS за да пристапите само до безбедни хостови, во големи простории треба да ги поврзете клиентите на Wi-Fi на гостинската мрежа преку надворешни точки за пристап, итн. и така натаму. Покрај безбедносните прашања, постојат и други проблеми: во јавните мрежи неопходно е да се обезбеди регистрација на клиенти во согласност со барањата на Федералниот закон бр. 97 „За информации, информациска технологијаи за заштита на информациите“. Евтините уреди се способни да решат вакви проблеми, но не сите - функционалностВградениот софтвер што го имаат, повторуваме, е многу различен.
