Го заштитуваме рутерот и домашната мрежа. Но, како да ги заштитите паметните телефони и таблетите? Перспектива на провајдер
Главната закана за безбедноста на вашите податоци е World Wide Web. Како да се обезбеди сигурна заштитадомашна мрежа?
Често, корисниците погрешно веруваат дека обичен антивирус е доволен за да го заштити домашниот компјутер поврзан на Интернет. Натписите на кутиите на рутерите се исто така погрешни, наведувајќи дека овие уреди имаат моќен заштитен ѕид имплементиран на хардверско ниво што може да заштити од хакерски напади. Овие изјави се само делумно вистинити. Пред сè, и двете алатки бараат соодветно подесување. Во исто време, многу антивирусни пакети едноставно немаат таква функција како заштитен ѕид.
Во меѓувреме, компетентната изградба на заштита започнува со самото поврзување на Интернет. Во современите домашни мрежи, по правило, рутерите за Wi-Fi се користат со помош на кабелска етернет конекција. Пристап до Интернет преку локална мрежа десктоп компјутерии лаптопи, паметни телефони и таблети. Покрај тоа, во еден пакет се и самите компјутери и периферни уреди, како што се печатачи и скенери, од кои многу се поврзани преку мрежата.
Со хакирање во вашето жариште, напаѓачот не само што може да ја користи вашата интернет конекција и да ги контролира вашите домашни компјутерски уреди, туку и да постави светска мрежанелегална содржина користејќи ја вашата IP адреса, како и кражба на информации зачувани на опрема поврзана на мрежата. Денес ќе зборуваме за основните правила за заштита на мрежите, одржување на нивните перформанси и спречување на хакирање.
Хардвер
Современата мрежна опрема во најголем дел бара конфигурација на безбедносни алатки. Најпрво ние зборувамеза различни филтри, заштитни ѕидови и списоци со закажани пристапи. Неподготвен корисник исто така може да постави безбедносни параметри, но треба да бидете свесни за некои нијанси.
КОРИСТИМЕ ШИФРАЊЕ НА СООБРАЌАЈКога поставувате пристапна точка, внимавајте да ги овозможите најсигурните механизми за заштита на сообраќајот, да креирате сложена, бесмислена лозинка и да го користите протоколот WPA2 со алгоритам за шифрирање AES. Протоколот WEP е застарен и може да се пробие за неколку минути.
РЕДОВНО ПРОМЕНЕТЕ ГИ СМЕТКОВОДСТВЕНИ ПОДАТОЦИПоставете силни лозинки за пристап и менувајте ги редовно (на пример, на секои шест месеци). Најлесен начин да се пробие уред на кој корисникот ги остави стандардните најава и лозинка „admin“ / „admin“.
СКРИЕНИ SSIDПараметарот SSID (Идентификатор на сет на услуги) е јавното име Безжична мрежа, кој се емитува во етерот за да може да го видат корисничките уреди. Користењето на опцијата скриј SSID ќе ве заштити од почетниците хакери, но потоа ќе треба рачно да ги внесете поставките за пристапната точка за да поврзете нови уреди.
СОВЕТКога ја поставувате пристапната точка за прв пат, сменете ја SSID, бидејќи ова име го прикажува моделот на рутерот, што може да послужи како навестување за напаѓачот кога бара пропусти.
КОНФИГУРИРАЊЕ НА Вградениот заштитен ѕид Рутерите во повеќето случаи се опремени со едноставни верзии на заштитни ѕидови. Со нивна помош, нема да биде можно темелно да се конфигурираат многу правила за безбедно вмрежување, но можете да ги блокирате главните пропусти или, на пример, да ги оневозможите клиентите за пошта.
ОГРАНИЧУВАЊЕ НА ПРИСТАПОТ СО MAC АДРЕСАКористејќи списоци со MAC адреси (Контрола за пристап до медиумите), можете да го одбиете пристапот до локалната мрежа на оние уреди чии физички адреси не се вклучени во таков список. За да го направите ова, ќе треба рачно да креирате списоци со опрема дозволена на мрежата. Секој уред опремен со мрежен интерфејс, има уникатна MAC адреса која му е доделена во фабриката. Може да се препознае со гледање на етикетата или ознаките што се применуваат на опремата или со помош на специјални команди и мрежни скенери. Ако има веб-интерфејс или дисплеј (на пример, рутери и мрежни печатачи) Можете да ја најдете MAC адресата во менито за поставки.
MAC адресата на мрежната картичка на компјутерот може да се најде во нејзините својства. За да го направите ова, одете во менито „Контролен панел | Мрежи и Интернет | Мрежа и контролен центар јавен пристап”, потоа во левиот дел од прозорецот, кликнете на врската „Промени ги поставките на адаптерот“, кликнете со десното копче на користената мрежна картичка и изберете „Статус“. Во прозорецот што се отвора, треба да кликнете на копчето „Детали“ и да ја погледнете линијата „Физичка адреса“, каде што ќе се прикажат шест пара броеви што ја означуваат MAC адресата на вашата мрежна картичка.
Има повеќе брз начин. За да го користите, притиснете ја комбинацијата на копчиња "Win + R", во линијата што се појавува, внесете CMD и кликнете на "OK". Во прозорецот што се отвора, внесете ја командата:
Притиснете "Enter". Најдете ги линиите во прикажаните податоци "Физичка адреса" - оваа вредност е MAC адресата.
Откако физички ја заштитивте мрежата, треба да се грижите за софтверскиот дел од „одбраната“. Сеопфатните антивирусни пакети ќе ви помогнат во ова, заштитни ѕидовии скенери за ранливост.
КОНФИГУРИРАЊЕ ПРИСТАП ДО ПАПКИНе ставајте папки со системски или само важни податоци во директориуми кои се достапни за корисниците на внатрешната мрежа. Исто така, обидете се да не креирате папки што се достапни од мрежата на системскиот диск. Сите такви директориуми, ако нема посебна потреба, подобро е да се ограничи атрибутот „Само за читање“. Во спротивно, вирусот преправен како документи може да се смести во споделената папка.
ИНСТАЛИРАЊЕ НА Огнениот ѕидЗаштитните ѕидови на софтверот обично се лесни за поставување и имаат режим за самостојно учење. Кога ја користи, програмата го прашува корисникот кои врски ги одобрува и кои смета дека се неопходни да ги забрани.
Препорачуваме користење на лични заштитни ѕидови вградени во популарни комерцијални производи како што се Kaspersky Internet Security, Norton internet Security, NOD Internet Security, како и бесплатни решенија како што е Comodo Firewall. Стандардниот заштитен ѕид на Windows, за жал, не може да се пофали со сигурна безбедност, обезбедувајќи само основни поставки на портата.
Тест за ранливост
Програмите што содржат „дупки“ и неправилно конфигурирани алатки за заштита претставуваат најголема опасност за здравјето на компјутерот и мрежата.
XSpiderЛесна за употреба програма за скенирање на мрежата за пропусти. Тоа ќе ви овозможи брзо да ги идентификувате повеќето од тековните проблеми, како и да дадете опис на нив и, во некои случаи, решенија. За жал, пред некое време комуналната услуга стана платена, и ова, можеби, е нејзиниот единствен недостаток.
nmapнекомерцијални мрежен скенеротворени изворен код. Програмата првично беше развиена за корисници на UNIX, но подоцна, поради зголемената популарност, беше пренесена на Windows. Алатката е дизајнирана за напредни корисници. Nmap има едноставен и лесен интерфејс, но нема да биде лесно да се разберат податоците што ги произведува без основно знаење.
КИС 2013 годинаОвој пакет обезбедува не само сеопфатна заштита, туку и дијагностички алатки. Може да се користи за скенирање инсталирани програмиза критичните ранливости. Како резултат на оваа постапка, програмата ќе претстави список на комунални услуги во кои треба да се затворат празнините, додека можете да дознаете детални информации за секоја од пропустите и како да ја поправите.
Совети за инсталација на мрежа
Можно е да се направи мрежата побезбедна не само во фазата на нејзино распоредување и конфигурација, туку и кога веќе постои. Безбедноста мора да го земе предвид бројот на поврзани уреди, локацијата на мрежниот кабел, ширењето на сигналот Wi-Fi и видовите на пречки за него.
ПРИСТАПНА ТОЧКА ЗА ПОЗИЦИОНИРАЊЕПроценете која територија треба да ја внесете во областа за покривање Wi-Fi. Ако треба да ја покриете само површината на вашиот стан, тогаш не треба да поставувате безжична пристапна точка во близина на прозорците. Ова ќе го намали ризикот од пресретнување и хакирање на слабо заштитен канал од страна на чуварите - луѓе кои бараат бесплатни точки за безжичен пристап на Интернет и користат нелегални методи. Треба да се има на ум дека секој бетонски ѕид ја намалува јачината на сигналот за половина. Исто така запомнете дека огледалото на гардеробата е речиси непробоен екран за Wi-Fi сигналот, кој во некои случаи може да се користи за да се спречи ширењето на радио брановите во одредени насоки во станот. Покрај тоа, некои рутери за Wi-Fi ви овозможуваат хардверско прилагодување на јачината на сигналот. Со оваа опција, можете вештачки да го ограничите пристапот само на корисниците во просторијата со жариштето. Недостаток на овој метод е можниот недостаток на сигнал во оддалечените области на вашиот стан.
ПОСТАВУВАЊЕ КАБЛИМрежа организирана првенствено со употреба на кабел обезбедува најголема брзина и доверливост на комуникацијата, притоа елиминирајќи ја можноста да се впие во неа од страна, како што може да се случи со Wi-Fi конекција. можноста да се впие во него од страна, како што може да се случи со Wi-Fi конекција.
За да избегнете неовластено поврзување, при поставување на кабелската мрежа, внимавајте да ги заштитите жиците од механички оштетувања, користете специјални кабелски канали и избегнувајте области каде што кабелот ќе попушта премногу или, обратно, ќе биде премногу затегнат. Не поставувајте го кабелот во близина на извори на силни пречки или во област со лоша средина (критични температури и влажност). Може да користите и заштитен кабел за дополнителна заштита.
СЕ ЗАШТИТИМЕ ОД ЕЛЕМЕНТИЖичните и безжичните мрежи се погодени од гром, а во некои случаи ударот на гром може да оштети повеќе од само мрежна опрема или мрежна картичка, но и многу компјутерски компоненти. За да го намалите ризикот, пред сè, не заборавајте за заземјувањето на електричните приклучоци и компонентите на компјутерот. Користете Pilot уреди што користат заштитни колаод пречки и пренапони на струја.
Исто така, изворот може да биде подобро решение. непрекинато напојување(UPS). Модерните верзии вклучуваат и стабилизатори на напон и автономно напојување, како и специјални конектори за поврзување на мрежен кабел преку нив. Ако ненадејно гром удри во опремата на интернет-провајдерот, таков UPS нема да дозволи злонамерен наплив на струја во мрежната картичка на вашиот компјутер. Вреди да се запамети дека во секој случај, приклучоците за заземјување или самата опрема се исклучително важни.
Користење на алатки за изградба на VPN тунели
Прилично сигурен начин за заштита на информациите пренесени преку мрежа се VPN тунелите (Виртуелна приватна мрежа). Технологијата за тунелирање ви овозможува да креирате шифриран канал преку кој податоците се пренесуваат помеѓу повеќе уреди. Можно е да се организира VPN за да се зголеми безбедноста на информациите во домашната мрежа, но ова е многу макотрпно и бара посебно знаење. Најчестиот начин за користење VPN е да се поврзете со вашиот домашен компјутер однадвор, како што е вашиот работен компјутер. Така, податоците што се пренесуваат помеѓу вашите машини ќе бидат добро заштитени со шифрирање на сообраќајот. За овие цели, подобро е да користите многу сигурен бесплатен Хамачи програма. Во овој случај, потребно е само основно познавање на VPN организација, што е во моќ на неподготвен корисник.
Вовед
Релевантноста на оваа тема лежи во фактот дека промените што се случуваат во економскиот живот на Русија - создавање на финансиски и кредитен систем, претпријатија од различни форми на сопственост итн. - имаат значително влијание врз прашањата за безбедноста на информациите. Долго време кај нас постоеше само еден имот - државна сопственост, па информациите и тајните исто така беа само државна сопственост, кои ги чуваа моќни специјални служби. Проблеми безбедност на информациипостојано се влошуваат со навлегувањето на технички средства за обработка и пренос на податоци во речиси сите области на општеството, а пред сè, компјутерските системи. Предметите на посегнување можат да бидат самите тие технички средства(компјутери и периферни уреди) како материјални објекти, софтвер и бази на податоци, за кои технички средства се околината. Секој неуспех на компјутерска мрежа не е само „морална“ штета за вработените во претпријатието и мрежните администратори. Со развојот на технологиите за електронско плаќање, „без хартија“ работниот тек и други, сериозен неуспех на локалните мрежи може едноставно да ја парализира работата на цели корпорации и банки, што доведува до осакатени материјални загуби. Не е случајно што заштитата на податоците во компјутерски мрежистанува еден од најакутните проблеми во современата компјутерска наука. Досега се формулирани два основни принципи за безбедност на информациите кои треба да обезбедат: - интегритет на податоците - заштита од неуспеси што доведуваат до губење на информации, како и неовластено креирање или уништување на податоци. - доверливост на информациите и, во исто време, нивна достапност за сите овластени корисници. Исто така, треба да се забележи дека одредени области на активност (банкарски и финансиски институции, информациски мрежи, системи контролирани од владата, одбрана и специјални структури) бараат посебни мерки за безбедност на податоците и наметнуваат зголемени барања за доверливост на работењето информациски системи, во согласност со природата и важноста на задачите што ги решаваат.
Ако компјутерот е поврзан на локална мрежа, тогаш, потенцијално, може да се добие неовластен пристап до овој компјутер и информации во него од локалната мрежа.
Ако локалната мрежа е поврзана со други локални мрежи, тогаш корисниците од нив се додаваат на можните неовластени корисници. далечински мрежи. Нема да зборуваме за достапноста на таков компјутер од мрежата или каналите преку кои се поврзуваа локалните мрежи, бидејќи веројатно на излезите од локалните мрежи има уреди кои го шифрираат и контролираат сообраќајот и се преземени потребните мерки.
Ако компјутерот е поврзан директно преку провајдер со надворешна мрежа, на пример, преку модем на Интернет, за далечинска интеракција со неговата локална мрежа, тогаш компјутерот и информациите во него се потенцијално достапни за хакерите од Интернет. И најнепријатното е што хакерите можат да пристапат и до локалните мрежни ресурси преку овој компјутер.
Нормално, и за сите такви врски редовни средстваоперативен систем за контрола на пристап, или специјализирани средства за заштита од неовластен пристап, или криптографски системи на ниво на специфични апликации, или и двете.
Сепак, сите овие мерки, за жал, не можат да ја гарантираат посакуваната безбедност при напади на мрежата, а тоа се должи на следните главни причини:
Оперативните системи (ОС), особено WINDOWS, се софтверски производивисока сложеност, кои се создадени од големи тимови на програмери. Исклучително е тешко да се спроведе детална анализа на овие системи. Во врска со ова, не е можно со сигурност да се оправда за нив отсуството на стандардни функции, грешки или недокументирани карактеристики кои биле случајно или намерно оставени во ОС, а кои би можеле да се користат преку мрежни напади, тоа не е можно.
Во оперативниот систем со повеќе задачи, особено WINDOWS, многу различни апликации можат да работат истовремено, ...
Правилата за безбедност на информациите во овој случај мора да ги почитуваат и давателот и неговиот клиент. Со други зборови, постојат две точки на ранливост (на страната на клиентот и на страната на давателот), и секој од учесниците во овој систем е принуден да ги брани своите интереси.
Перспектива на клиентот
Водење бизнис во електронско опкружување бара канали за пренос на податоци со голема брзина, а ако во минатото главните пари на провајдерите се правеа за поврзување на Интернет, сега клиентите имаат прилично строги барања за безбедноста на понудените услуги.
На Запад се појавија голем број хардверски уреди кои обезбедуваат сигурна врска со домашните мрежи. Тие обично се нарекуваат „SOHO решенија“ и комбинираат хардверски заштитен ѕид, центар со повеќе порти, DHCP сервер и функционалност на рутер VPN. На пример, развивачите на Cisco PIX Firewall и WatchGuard FireBox тргнаа по овој пат. Софтверските огнени ѕидови останаа само на лично ниво и се користат како дополнително средство за заштита.
Програмерите на хардверските заштитни ѕидови од класата SOHO веруваат дека овие уреди треба да бидат лесни за управување, „транспарентни“ (т.е. невидливи) за корисникот на домашната мрежа и да одговараат по цена на висината на директната штета од можни дејстванапаѓачите. Просечниот износ на штета при успешен напад на домашна мрежаво вредност од околу 500 долари.
За да ја заштитите вашата домашна мрежа, можете да користите и софтверски заштитен ѕид или едноставно да ги отстраните непотребните протоколи и услуги од поставките за конфигурација. Најдобрата опција е давателот да тестира неколку лични заштитни ѕидови, да конфигурира сопствен безбедносен систем на нив и да обезбеди техничка поддршка за нив. Конкретно, тоа е токму она што го прави провајдерот 2COM, кој на своите клиенти им нуди комплет тестирани екрани и совети за нивно поставување. Во наједноставен случај, се препорачува речиси сите мрежни адреси да се прогласат за опасни, освен адресите локален компјутери портата преку која се воспоставува врската со Интернет. Ако софтверски или хардверски екран на страната на клиентот открил знаци на упад, тоа треба веднаш да се пријави до службата за техничка поддршка на давателот.
Треба да се напомене дека заштитниот ѕид штити од надворешни закани, но не штити од грешки на корисниците. Затоа, дури и ако давателот или клиентот имаат инсталирано некој вид на систем за заштита, двете страни сепак мора да следат голем број прилично едноставни правила за да се минимизира веројатноста за напади. Прво, треба да оставите што е можно помалку лични информации на Интернет, да се обидете да избегнете плаќање со кредитни картички или барем да проверите дали серверот има дигитален сертификат. Второ, не треба да преземате од Интернет и да стартувате какви било програми на вашиот компјутер, особено бесплатни. Исто така, не се препорачува да се прават достапни локални ресурси однадвор, да се поддржуваат непотребни протоколи (како што се IPX или SMB) или да се користат стандардните поставки (како криење на екстензии на датотеки).
Особено е опасно да се извршуваат скрипти прикачени на е-пошта. Е-пошта, и подобро е воопшто да не се користи Outlook, бидејќи повеќето вируси се напишани специјално за овој клиент за е-пошта. Во некои случаи, побезбедно е да се користат веб-пошта услуги за е-пошта, бидејќи вирусите обично не се шират преку нив. На пример, провајдерот 2COM нуди бесплатна веб-услуга која ви овозможува да читате информации од надворешно поштенски сандачињаи прикачи на локална машинасамо релевантни пораки.
Давателите обично не обезбедуваат услуги за безбеден пристап. Факт е дека ранливоста на клиентот често зависи од неговите сопствени постапки, па во случај на успешен напад е доста тешко да се докаже кој точно ја направил грешката - клиентот или давателот. Дополнително, допрва треба да се евидентира фактот за нападот, а тоа може да се направи само со помош на докажани и сертифицирани средства. Не е лесно да се процени штетата предизвикана од кражба. Како по правило, се одредува само неговата минимална вредност, која се карактеризира со времето за враќање на нормалното функционирање на системот.
Давателите може да ја осигураат безбедноста на услугите за е-пошта со проверка на целата дојдовна пошта со антивирусни програми, како и блокирање на сите протоколи освен главните (Веб, е-пошта, новости, ICQ, IRC и некои други). Операторите не секогаш можат да следат што се случува во внатрешните сегменти на домашната мрежа, но бидејќи се принудени да се бранат од надворешни напади (што е исто така во согласност со политиката за заштита на корисниците), клиентите треба да комуницираат со нивните безбедносни служби. Треба да се запомни дека давателот не ја гарантира апсолутната безбедност на корисниците - тој само ја следи својата комерцијална корист. Честопати нападите врз претплатниците се поврзани со нагло зголемување на количината на информации што им се пренесуваат, на кои, всушност, операторот заработува пари. Ова значи дека интересите на давателот понекогаш може да се судрат со интересите на потрошувачот.
Перспектива на провајдер
За давателите на услуги за домашна мрежа, главните проблеми се неовластени врски и високиот внатрешен сообраќај. Домашните мрежи често се користат за игри кои не ја надминуваат локалната мрежа на една станбена зграда, но можат да доведат до блокирање на цели сегменти од неа. Во овој случај, станува тешко да се работи на Интернет, што предизвикува фер незадоволство на комерцијалните клиенти.
Во однос на финансиските трошоци, провајдерите се заинтересирани да ги минимизираат средствата што се користат за да се обезбеди заштита и контрола на домашната мрежа. Во исто време, тие не можат секогаш да организираат соодветна заштита на клиентот, бидејќи тоа бара одредени трошоци и ограничувања од страна на корисникот. За жал, не сите претплатници се согласуваат со ова.
Вообичаено, домашните мрежи се наредени на следниов начин: има централен рутер кој има канал за пристап до Интернет, а на него е поврзана широка мрежа од четвртина, куќа и влез. Секако, рутерот делува како заштитен ѕид кој ја одвојува домашната мрежа од останатиот интернет. Имплементира неколку заштитни механизми, но најчесто користен е преводот на адреси, кој ви овозможува истовремено да ја скриете внатрешната инфраструктура на мрежата и да ги зачувате вистинските IP адреси на давателот.
Сепак, некои провајдери издаваат вистински IP адреси на своите клиенти (на пример, ова се случува во мрежата на микродистриктот Митино, кој е поврзан со московскиот провајдер MTU-Intel). Во овој случај, компјутерот на корисникот станува директно достапен од Интернет, па затоа е потешко да се заштити. Не е изненадувачки, товарот на обезбедувањето заштита на информациипаѓа целосно на претплатниците, додека операторот останува единствениот начинконтрола врз нивните дејства - по IP и MAC адреси. Сепак, современите етернет адаптери ви дозволуваат програмски да ги промените двата параметри на ниво на оперативен систем, а давателот е беспомошен против бескрупулозниот клиент.
Се разбира, за некои апликации потребно е да се распределат вистински IP адреси. Давањето вистинска статичка IP адреса на клиентот е доста опасно, бидејќи ако серверот со оваа адреса е успешно нападнат, остатокот од внатрешната мрежа ќе стане достапен преку него.
Едно од компромисните решенија за проблемот безбедна употреба IP адресите во домашната мрежа е имплементација на VPN технологија во комбинација со механизам за динамична распределба на адреси. Накратко, шемата е следна. Се воспоставува шифриран тунел од клиентската машина до рутерот со помош на протоколот PPTP. Бидејќи овој протокол е поддржан од Windows од верзијата 95, а сега е имплементиран за други оперативни системи, од клиентот не се бара да инсталира дополнителен софтвер - потребна е само конфигурација на веќе инсталираните компоненти. Кога корисникот ќе се поврзе на интернет, тој прво воспоставува врска со рутерот, потоа се најавува, добива IP адреса и дури потоа може да почне да работи на Интернет.
Наведениот тип на поврзување е еквивалентен на обична dial-up конекција, со таа разлика што кога е инсталирана, можете да поставите речиси секоја брзина. Дури и вгнездените VPN подмрежи ќе работат според оваа шема, која може да се користи за далечинско поврзување на клиентите со корпоративната мрежа. За време на секоја корисничка сесија, провајдерот динамички доделува или реална или виртуелна IP адреса. Патем, вистинската IP адреса на 2COM чини 1 долар повеќе месечно од виртуелната.
За имплементација на VPN конекции, 2COM разви свој специјализиран рутер кој ги извршува сите функции наведени погоре, плус услугите за наплата. Треба да се напомене дека шифрирањето на пакетите не е одговорност на Процесорот, но на специјализиран копроцесор, кој ви овозможува истовремено да поддржувате до 500 виртуелни VPN канали. Еден таков крипторутер во мрежата 2COM се користи за поврзување на неколку куќи одеднаш.
Општо земено на најдобар можен начинзаштитата на домашната мрежа е блиска интеракција помеѓу давателот и клиентот, во рамките на која секој има можност да ги брани своите интереси. На прв поглед, методите за безбедност на домашната мрежа изгледаат слични на оние што се користат за обезбедување корпоративна безбедност, Но всушност не е. Во компаниите, вообичаено е да се воспостават прилично строги правила за однесувањето на вработените, придржувајќи се до дадена политика за безбедност на информациите. Во домашна мрежа, оваа опција не работи: на секој клиент му требаат свои услуги и компонирање општи правилаоднесувањето не е секогаш успешно. Затоа, изградбата на сигурен систем за безбедност на домашната мрежа е многу потешко од обезбедувањето на корпоративна мрежа.
PNST301-2018/ISO/IEC 24767-1:2008
ПРЕЛИМИНАРЕН НАЦИОНАЛЕН СТАНДАРД НА РУСКАТА ФЕДЕРАЦИЈА
Информациска технологија
БЕЗБЕДНОСТ НА ДОМАШНА МРЕЖА
Барања за безбедност
информациска технологија. безбедност на домашната мрежа. Дел 1 Барања за безбедност
ОКС 35.110, 35.200,35.240.99
Важи од 2019-02-01
Предговор
Предговор
1 ПОДГОТВЕНО од Федералната државна буџетска образовна институција за високо образование „Руски економски универзитет именуван по Г.В. Плеханов“ (FGBOU VO „ПРЕУ именуван по Г.В. Плеханов“) врз основа на сопствен превод на руски јазик на англиската верзија на меѓународниот стандард наведен во став 4
2 ВОВЕДЕНО од Техничкиот комитет за стандардизација ТЦ 22 „Информациска технологија“
3ОДОБРЕНО И СТАВЕНО ВО сила со наредба на Федералната агенција за техничка регулатива и метрологија од 4 септември 2018 година N38-pnst
4Овој стандард е идентичен со ISO/IEC 24767-1:2008* Меѓународен стандард „Информациска технологија - Безбедност на домашна мрежа - Дел 1: Барања за безбедност“ (ISO/IEC 24767-1:2008, „Информациска технологија - Безбедност на домашната мрежа - Дел 1 : Барања за безбедност“, IDT)
________________
* Пристап до меѓународни и странски документи споменати подолу во текстот може да се добие со кликнување на врската до страницата. - Забелешка на производителот на базата на податоци.
Правилата за примена на овој стандард и неговото следење се воспоставени воГОСТ Р 1.16-2011 (делови 5 и 6).
Федералната агенција за техничка регулатива и метрологија собира информации за практичната примена на овој стандард. Овие информации, како и коментари и предлози за содржината на стандардот, може да се испратат најдоцна до 4 месеци пред истекот на неговата важност за развивачот на овој стандард на адреса: 117997 Москва, Stremyanny pereulok, 36, Федерална државна буџетска образовна институција за високо образование „РЕУименуван по Г.В.Плеханов„и до Федералната агенција за техничка регулатива и метрологија на: 109074 Москва, Китајгородски проезд, 7, зграда 1.
Во случај на откажување на овој стандард, релевантните информации ќе бидат објавени во месечниот индекс на информации „Национални стандарди“ и исто така ќе бидат објавени на официјалната веб-страница на Федералната агенција за техничка регулатива и метрологија на Интернет (www.gost.ru)
Вовед
ISO (Меѓународна организација за стандардизација) и IEC (Меѓународна електротехничка комисија) формираат специјализиран систем на светска стандардизација. Националните тела кои се членки на ISO или IEC учествуваат во развојот на меѓународните стандарди преку технички комитети. Секое заинтересирано тело што е членка на ISO или IEC може да учествува во развојот на стандард во одредена област. Во работата учествуваат и други меѓународни организации, владини и невладини, кои имаат контакт со ISO и IEC.
Во областа на информатичката технологија, ISO и IEC формираа Заеднички технички комитет ISO/IEC JTC 1. Нацрт-меѓународните стандарди подготвени од Заедничкиот технички комитет се доставуваат до Националните комитети за гласање. Објавувањето како меѓународен стандард бара одобрение од најмалку 75 % од Националните комитети кои даваат глас.
Формалните одлуки или договори на IEC и ISO за технички прашања изразуваат, колку што е можно, меѓународен консензус за релевантни прашања, бидејќи секој технички комитет има претставници од сите заинтересирани национални тела членки на IEC и ISO.
Публикациите на IEC, ISO и ISO/IEC се во форма на препораки за меѓународна употреба и се прифатени од националните комитети на IEC и ISO во таа смисла. И покрај сите напори направени за да се обезбеди точноста техничка содржинаПубликациите на IEC, ISO и ISO/IEC, IEC или ISO не прифаќаат одговорност за тоа како се користат или за какво било погрешно толкување од страна на крајниот корисник.
Со цел да се обезбеди меѓународна хармонизација (единствен систем), националните комитети на IEC и ISO се обврзуваат да обезбедат максимална транспарентност во примената на меѓународните стандарди IEC, ISO и ISO/IEC, колку што дозволуваат националните и регионалните услови на дадена земја. Секое несовпаѓање помеѓу публикациите на ISO/IEC и соодветните национални или регионални стандарди треба јасно да биде наведено во второто.
ISO и IEC немаат процедури за обележување и не се одговорни за која било опрема за која се тврди дека одговара на еден од ISO/IEC стандардите.
Сите корисници треба да се погрижат да го користат најновото издание на оваа публикација.
IEC или ISO, нивното раководство, вработени, вработени или претставници, вклучително и поединечни експерти и членови на нивните технички комитети, и членови на IEC или ISO национални комитети, нема да бидат одговорни за несреќи, материјални штети или други штети, без разлика дали се директни или индиректни, или за трошоци (вклучувајќи правни трошоци) направени во врска со објавувањето или користењето на оваа публикација ISO/IEC или друга публикација на IEC, ISO или ISO/IEC.
Нормативната документација цитирана во оваа публикација бара посебно внимание.Користењето на референцирани документи е неопходно за правилна примена на оваа публикација.
Се обрнува внимание на фактот дека некои елементи од овој Меѓународен стандард може да бидат предмет на права на патент. ISO и IEC нема да бидат одговорни за утврдување на кое било или сите такви права на патент.
Меѓународниот стандард ISO/IEC 24767-1 беше развиен од Поткомитетот 25, Интерконекција на опрема за информатичка технологија, на Заедничкиот технички комитет ISO/IEC 1, Информатичка технологија.
Списокот на сите моментално достапни делови од серијата ISO/IEC 24767 под општиот наслов „Информациска технологија - безбедност на домашната мрежа“ е достапен на веб-локацијата на IEC.
1 област на употреба
Овој меѓународен стандард ги дефинира барањата за заштита на домашна мрежа од внатрешни или надворешни закани. Стандардот служи како основа за развој на безбедносни системи кои ја штитат внатрешната средина од различни закани.
Безбедносните барања се разгледуваат во овој Меѓународен стандард на релативно неформален начин.Иако многу од темите дискутирани во овој Меѓународен стандард служат како насоки за развој на безбедносни системи и за интранет и за Интернет, тие се во природата на неформални барања.
Поврзан на внатрешна (домашна) мрежа разни уреди(види слика 1). Уредите за „мрежа за домашни апарати“, уредите за „аудио/видео забава“ и уредите за „информативна апликација“ имаат различни функции и перформанси. Овој меѓународен стандард обезбедува средство за анализа на ризиците на секој уред поврзан на мрежата и одредување на безбедносните барања за секој уред.
2Термини, дефиниции и кратенки
2.1 Поими и дефиниции
Следниве термини и дефиниции се применуваат во овој стандард:
2.1.1 потрошувачка електроника(кафеава стока): Аудио/видео уреди кои првенствено се користат за забавни цели, како ТВ или ДВД рекордер.
2.1.2доверливост(доверливост): Сопственост што гарантира дека информациите не се достапни или откриени на неовластени лица, организации или процеси.
2.1.3 автентикација на податоци(автентикација на податоци): Услуга што се користи за да се осигури дека изворот на податоци за кој се тврди е правилно потврден.
2.1.4 интегритетот на податоците(интегритет на податоците): Својство што потврдува дека податоците не се изменети или уништени на неовластен начин.
2.1.5 автентикација на корисникот(автентикација на корисникот): Услуга за обезбедување дека информациите за идентитетот презентирани од учесник во комуникацијата се правилно потврдени, додека услугата за овластување осигурува дека идентификуваниот и овластен корисник има пристап до специфичен уредили апликација за домашна мрежа.
2.1.6 Апарати(бели производи): Уреди што се користат во секојдневниот живот, како што се клима уред, фрижидер итн.
2.2 Кратенки
Во овој стандард се користат следните кратенки:
3 Усогласеност
Овој меѓународен стандард содржи насоки без никакви барања за усогласеност.
4Безбедносни барања за внатрешни домашни електронски системи и мрежи
4.1 Општи одредби
Со брзиот развој на Интернетот и поврзаните мрежни технологии, стана возможно да се воспостави комуникација помеѓу компјутерите во канцелариите и домовите со надворешниот свет, што овозможува пристап до многу ресурси. Денес, технологиите кои беа основата на овој успех стигнаа до нашите домови и обезбедуваат можност за поврзување на апаратите на ист начин како персонални компјутери. Така, тие не само што им овозможуваат на корисниците да ги следат и контролираат своите домашни апарати и од внатре и надвор од домот, туку и создаваат нови услуги и можности, како што се далечински управувач и одржување на домашните апарати. Ова значи дека нормалната компјутерска средина дома ќе се трансформира во внатрешна домашна мрежа, поврзувајќи многу уреди кои исто така ќе треба да се обезбедат.
Жителите, корисниците и сопствениците и на домот и на системот треба да му веруваат на домашниот електронски систем. Целта на домашната електронска безбедност системи-обезбедувањедоверба во системот. Бидејќи многу компоненти на домот електронски системработат континуирано, 24 часа на ден и автоматски разменуваат информации со надворешниот свет, безбедноста на информациите е неопходна за да се обезбеди доверливост, интегритет и достапност на податоците и системот.Правилно имплементираното безбедносно решение подразбира, на пример, дека пристапот до системот и складираните, дојдовните и излезните податоци ги добиваат само овластени корисници и процеси, а тоа само овластени корисници можат да го користат системот и да прават промени во него.
Безбедносните барања за HES мрежа може да се опишат на неколку начини. Овој стандард е ограничен на ИТ безбедноста на HES мрежата. Меѓутоа, безбедноста на информатичката технологија мора да оди подалеку од самиот систем, бидејќи домот мора да функционира, иако со ограничени можности, во случај на дефект на ИТ системот. се скршени. Во такви случаи, може да се разбере дека постојат безбедносни барања кои не можат да бидат дел од самиот систем, но системот не треба да забранува имплементација на резервни решенија.
Има голем број луѓе заинтересирани за безбедносни прашања. На домашниот електронски систем мора да му веруваат не само жителите и сопствениците, туку и давателите на услуги и содржини. Последните мора да се погрижат услугите и содржината што ги нудат да се користат само на дозволениот начин. Сепак, една од основите на безбедноста на системот е дека специфичен администратор на безбедносна служба треба да биде одговорен за тоа. Очигледно е дека таквата одговорност треба да им се додели на жителите (сопствениците на системот). Не е важно дали администраторот го прави тоа лично или ќе го аутсорсинг. Во секој случај, одговорен е администраторот за безбедност. Прашањето за довербата на давателите на услуги и содржини во домашниот електронски систем и нивната доверба дека корисниците правилно ги користат нивните услуги и содржина е определено со договорните обврски меѓу страните. Договорот, на пример, може да ги наведе карактеристиките, компонентите или процесите што домашниот електронски систем мора да ги поддржува.
Архитектурата на домашниот електронски систем е различна за различни типови на домови. За секој модел, може да има одреден сет на безбедносни барања. Подолу е опис на три различни модели на домашни електронски системи со различни групи на безбедносни барања.
Очигледно, некои безбедносни барања се поважни од другите. Така, јасно е дека поддршката за некои контрамерки ќе биде опционална. Покрај тоа, контрамерките може да се разликуваат по квалитет и цена. Исто така, може да бидат потребни различни вештини за управување и одржување на таквите контрамерки. Овој меѓународен стандард се обидува да го разјасни образложението зад наведените безбедносни барања и со тоа да им овозможи на дизајнерите на домашниот електронски систем да одредат кои безбедносни карактеристики треба да ги поддржува одреден систем. домашен системи, со оглед на барањата за квалитет и напорите за управување и одржување, кој механизам треба да се избере за таквите функции.
Барањата за безбедност на внатрешната мрежа зависат од дефиницијата за безбедност и „дом“, како и од тоа што се подразбира под „мрежа“ во тој дом. Ако мрежата е едноставно канал што поврзува еден компјутер со печатач или кабелски модем, тогаш за да се обезбеди домашна мрежа, доволно е да се обезбеди овој канал и опремата што ја поврзува.
Меѓутоа, ако има десетици, ако не и стотици, мрежни уреди во доменот, од кои некои припаѓаат на целото домаќинство, а некои им припаѓаат на луѓето во домот, ќе треба да се применат пософистицирани безбедносни мерки.
4.2 Безбедност на домашниот електронски систем
4.2.1 Одредување на домашниот електронски систем и безбедноста на системот
Домашен електронски систем и мрежа може да се дефинираат како збир на елементи кои обработуваат, пренесуваат, складираат и управуваат со информации за да овозможат комуникација и интеграција на многуте компјутерски, контролни и комуникациски уреди кои се наоѓаат во домот.
Дополнително, домашните електронски системи и мрежи обезбедуваат интерконекција помеѓу уредите за забава и информации, како и уредите за комуникација и безбедност и апаратите за домаќинство достапни во домот. Таквите уреди и уреди ќе разменуваат информации, тие можат да се контролираат и контролираат додека се во куќата или од далечина. Соодветно на тоа, на сите внатрешни домашни мрежи ќе им требаат одредени безбедносни механизми за заштита на нивните секојдневни операции.
Безбедноста на мрежата и информациите може да се разбере како способност на мрежата или информацискиот систем да се спротивстави на случајни настани или злонамерни дејства на одредено ниво. Таквите настани или активности може да ја загрозат достапноста, автентичноста, автентичноста и доверливоста на складираните или пренесените податоци, како и придружните услуги понудени преку таквите мрежи и системи.
Инцидентите за безбедност на информациите може да се групираат во следниве групи:
Е-поштата може да се пресретне, податоците да се копираат или менуваат. Ова може да предизвика штета предизвикана и со кршење на правото на приватност на поединецот и со злоупотреба на прислушуваните податоци;
Неовластен пристап до компјутер и внатрешни компјутерски мрежи обично се врши со злонамерна намера за копирање, менување или уништување на податоците и може да се прошири на автоматска опрема и системи лоцирани во домот;
Злонамерните напади на Интернет станаа вообичаени, а телефонската мрежа исто така може да стане поранлива во иднина;
Злонамерниот софтвер, како што се вирусите, може да ги оневозможи компјутерите, да брише или менува податоци или да репрограмира апарати за домаќинство. Некои вирусни напади беа прилично деструктивни и скапи;
Погрешно претставување на информации за поединци или правни лицаможе да предизвика значителна штета, како што се клиентите да преземаат малициозен софтвер од веб-локација која се маскира како доверлив извор, договорите може да бидат раскинати и доверливите информации може да се испратат до погрешни примачи;
Многу инциденти за безбедноста на информациите вклучуваат непредвидени и ненамерни настани, како што се природни катастрофи (поплави, бури и земјотреси), хардвер или софтверкако и човечкиот фактор.
Денес, речиси секој стан има домашна мрежа која поврзува десктоп компјутери, лаптопи, складирање податоци (NAS), медиа плеери, паметни телевизори, како и паметни телефони, таблети и други уреди што се носат. Се користат или жичени (Ethernet) или безжични (Wi-Fi) врски и TCP/IP протоколи. Со развојот на технологиите на Интернет на нештата, апаратите за домаќинство - фрижидери, апарати за кафе, климатизери, па дури и опрема за електрична инсталација - влегоа на Интернет. Благодарение на решенијата Паметна куќа» можеме да ја контролираме осветленоста на осветлувањето, далечински да ја прилагодиме микроклимата во просториите, да вклучуваме и исклучуваме разни уреди - ова многу го олеснува животот, но може да создаде сериозни проблеми за сопственикот на напредни решенија.
За жал, развивачите на вакви уреди сè уште не се грижат доволно за безбедноста на нивните производи, а бројот на пропусти пронајдени кај нив расте како печурки после дожд. Не е невообичаено уредот да престане да се поддржува по влегувањето на пазарот - на пример, нашиот телевизор има фирмвер од 2016 година базиран на Android 4, а производителот нема да го ажурира. Гостите исто така додаваат проблеми: незгодно е да им се оневозможи пристап до Wi-Fi, но исто така не би сакал никого да пуштам во мојата пријатна мрежа. Кој знае какви вируси можат да се населат кај странци мобилни телефони? Сето ова нè води до потребата да се подели домашната мрежа на неколку изолирани сегменти. Ајде да се обидеме да откриеме како да го направиме тоа, како што велат, со малку крвопролевање и со најмали финансиски трошоци.
Изолирајте Wi-Fi мрежи
ВО корпоративни мрежипроблемот е решен едноставно - има управувани прекинувачи со поддршка за виртуелни локални мрежи (VLAN), разновидни рутери, огнени ѕидови и точки за безжичен пристап - можете да го изградите потребниот број на изолирани сегменти за неколку часа. Со помош на уредот Traffic Inspector Next Generation (TING), на пример, задачата се решава со само неколку кликања. Доволно е да го поврзете прекинувачот на сегментот на гостинската мрежа со посебна етернет порта и да креирате правила за заштитен ѕид. За дом, оваа опција не е погодна поради високата цена на опремата - најчесто нашата мрежа е контролирана од еден уред кој ги комбинира функциите на рутер, прекинувач, безжична пристапна точка и Бог знае што друго.
За среќа, модерните рутери за домаќинство (иако би било поправилно да ги наречеме рутери) исто така станаа многу паметни и речиси сите, освен можеби многу евтините, имаат можност да создадат изолирана гостинска Wi-Fi мрежа. Веродостојноста на оваа изолација е прашање за посебна статија, денес нема да го истражуваме фирмверот на уредите за домаќинство од различни производители. Како пример, да земеме ZyXEL KeeneticЕкстра II. Сега оваа линија стана едноставно наречена Keenetic, но во наши раце падна уред објавен под брендот ZyXEL.
Поставувањето преку веб-интерфејсот нема да предизвика потешкотии дури и за почетници - неколку кликања, а имаме посебна безжична мрежа со сопствена SSID, WPA2 заштита и лозинка за пристап. Можете да ги пуштите гостите да влезат во него, како и да вклучите телевизори и плеери со фирмвер што не е ажуриран долго време или други клиенти на кои не им верувате особено. Во повеќето уреди од други производители, оваа функција, повторуваме, е исто така присутна и е овозможена на ист начин. Така, на пример, се решава проблемот во фирмверот D-Link рутерикористејќи го волшебникот за поставување.
Можете да додадете гостинска мрежа кога уредот е веќе конфигуриран и работи.
Слика од екранот од веб-страницата на производителот
Слика од екранот од веб-страницата на производителот
Изолирајте ги етернет мрежите
Покрај клиентите кои се поврзуваат на безжичната мрежа, може да наидеме на уреди со жичен интерфејс. Експертите ќе кажат дека таканаречените VLAN се користат за создавање на изолирани етернет сегменти - виртуелни локални мрежи. Некои домашни рутери ја поддржуваат оваа функционалност, но тука задачата станува посложена. Не би сакал само да направиме посебен сегмент, туку треба да комбинираме порти за жична врска со безжична гостинска мрежа на еден рутер. Ова е далеку од тешко за секој уред за домаќинство: површна анализа покажува дека, покрај интернет центрите Keenetic, додадете Етернет портиво едно со Wi-Fi мрежасегментот за гости е способен и за модели од линијата MikroTik, но процесот на нивно поставување веќе не е толку очигледен. Ако зборуваме за рутери за домаќинство со споредлива цена, само Keenetic може да го реши проблемот со неколку кликања во веб-интерфејсот.
Како што можете да видите, испитаникот лесно се справи со проблемот, и тука вреди да се обрне внимание на уште една интересна карактеристика - исто така можете да ги изолирате безжичните клиенти на гостинската мрежа едни од други. Ова е многу корисно: паметниот телефон на вашиот пријател заразен со малициозен софтвер ќе оди на интернет, но тој нема да може да нападне други уреди дури и во гостинската мрежа. Ако вашиот рутер има слична функција, дефинитивно треба да ја овозможите, иако тоа ќе ја ограничи можноста за интеракција со клиентот - на пример, повеќе нема да може да се дружите со телевизор со медиа плеер преку Wi-Fi, ќе мора да користите жична врска. Во оваа фаза, нашата домашна мрежа изгледа посигурна.
Каков е резултатот?
Бројот на безбедносни закани расте од година во година, а производителите паметни уредидалеку од секогаш да обрнувате доволно внимание на навременото објавување на ажурирањата. Во таква ситуација, имаме само еден излез - да ги разликуваме клиентите на домашната мрежа и да креираме изолирани сегменти за нив. За да го направите ова, не треба да купувате опрема за десетици илјади рубли, релативно евтин интернет центар за домаќинство лесно може да се справи со задачата. Овде би сакал да ги предупредам читателите да не купуваат уреди со буџетски брендови. Речиси сите производители сега имаат повеќе или помалку ист хардвер, но квалитетот на вградениот софтвер е многу различен. Како и времетраењето на циклусот на поддршка за објавените модели. Дури и со прилично едноставна задача за комбинирање на жична и безжична мрежа во изолиран сегмент, не секој рутер за домаќинство може да се справи со тоа, а можеби имате и посложени. Понекогаш треба да конфигурирате дополнителни сегменти или филтрирање DNS за да пристапите само до безбедни хостови, во големи простории треба да ги поврзете клиентите на Wi-Fi на гостинската мрежа преку надворешни точки за пристап, итн. и така натаму. Покрај безбедносните прашања, постојат и други проблеми: во јавните мрежи, неопходно е да се обезбеди регистрација на клиенти во согласност со барањата на Федералниот закон бр. информациска технологијаи за заштита на информациите. Евтините уреди можат да ги решат ваквите проблеми, но не сите - функционалностВградениот софтвер што го имаат, повторуваме, е многу различен.
