Vi beskytter ruteren og hjemmenettverket. Vel, hvordan beskytte smarttelefoner og nettbrett? Leverandørens perspektiv
Den største trusselen mot sikkerheten til dataene dine er World Wide Web. Hvordan gi pålitelig beskyttelse hjemmenettverk?
Brukere tror ofte feilaktig at et vanlig antivirus er tilstrekkelig for å beskytte en hjemme-PC koblet til Internett. Inskripsjonene på ruternes bokser er også misvisende, og sier at disse enhetene implementerer en kraftig brannmur på maskinvarenivå som kan beskytte mot hackerangrep. Disse utsagnene er bare delvis sanne. Først av alt krever begge verktøyene riktig konfigurasjon. Imidlertid har mange antiviruspakker rett og slett ikke en funksjon som en brannmur.
I mellomtiden begynner kompetent konstruksjon av beskyttelse fra selve tilkoblingen til Internett. Moderne hjemmenettverk bruker vanligvis Wi-Fi-rutere som bruker en Ethernet-kabeltilkobling. De har tilgang til Internett via et lokalt nettverk stasjonære datamaskiner og bærbare datamaskiner, smarttelefoner og nettbrett. Dessuten, i en enkelt pakke er det både selve PC-ene og periferiutstyr, for eksempel skrivere og skannere, hvorav mange er koblet til via et nettverk.
Ved å hacke tilgangspunktet ditt kan en angriper ikke bare bruke Internett-tilkoblingen din og kontrollere hjemmedatamaskiner, men også plassere Verdensveven ulovlig innhold som bruker din IP-adresse, samt stjele informasjon som er lagret på utstyr koblet til nettverket. I dag skal vi snakke om de grunnleggende reglene for å beskytte nettverk, opprettholde funksjonaliteten og forhindre hacking.
Maskinvare
Det meste av moderne nettverksutstyr krever konfigurering av sikkerhetsfunksjoner. Først av alt vi snakker om om ulike filtre, brannmurer og planlagte tilgangslister. En utrent bruker kan stille inn beskyttelsesparametrene, men du bør kjenne til noen nyanser.
VI BRUKER TRAFIKKKRYPTERING Når du setter opp et tilgangspunkt, må du sørge for å aktivere de mest robuste trafikksikkerhetsmekanismene, lage et komplekst, meningsløst passord og bruke WPA2-protokollen med AES-krypteringsalgoritme. WEP er utdatert og kan hackes på få minutter.
VI ENDRER REGNSKAPSDATANE DINE Angi sterke tilgangspassord og endre dem regelmessig (for eksempel en gang hver sjette måned). Den enkleste måten å hacke en enhet der brukeren har forlatt standard påloggingsinformasjon og passord "admin"/"admin".
SKJULLER SSID SSID-parameteren (Service Set Identifier) er det offentlige navnet trådløst nettverk, som sendes over luften slik at brukerenheter kan se den. Å bruke alternativet for å skjule SSID-en vil beskytte deg mot nybegynnere, men for å koble til nye enheter må du manuelt angi tilgangspunktparametrene.
RÅD Når du setter opp tilgangspunktet for første gang, endre SSID, da dette navnet gjenspeiler modellen til ruteren, som kan tjene som et hint til en angriper når han søker etter sårbarheter.
KONFIGURERING AV DEN INNBYGDE BRANNMURGEN Rutere er i de fleste tilfeller utstyrt med enkle versjoner av brannmurer. Med deres hjelp vil det ikke være mulig å grundig konfigurere mange regler for sikkert arbeid på nettverket, men du kan dekke de viktigste sårbarhetene, eller for eksempel forby driften av e-postklienter.
TILGANGSBEGRENSNING VED MAC-ADRESSE Ved å bruke MAC-adresselister (Media Access Control), kan du nekte tilgang til det lokale nettverket til de enhetene hvis fysiske adresser ikke er inkludert i en slik liste. For å gjøre dette, må du manuelt lage lister over utstyr som er tillatt på nettverket. Hver enhet utstyrt med nettverksgrensesnitt, er det en unik MAC-adresse tildelt den på fabrikken. Den kan gjenkjennes ved å se på etiketten eller merkingene på utstyret, eller ved å bruke spesielle kommandoer og nettverksskannere. Hvis det er et nettgrensesnitt eller skjerm (for eksempel rutere og nettverksskrivere) Du finner MAC-adressen i innstillingsmenyen.
MAC-adressen til datamaskinens nettverkskort finner du i egenskapene. For å gjøre dette, gå til menyen "Kontrollpanel | Nettverk og Internett | Nettverkskontrollsenter og delt tilgang", deretter i venstre del av vinduet, klikk på lenken "Endre adapterinnstillinger", høyreklikk på nettverkskortet som brukes og velg "Status". I vinduet som åpnes, må du klikke på "Detaljer" -knappen og se på linjen "Fysisk adresse", der seks par tall vil bli vist som indikerer MAC-adressen til nettverkskortet ditt.
Det er mer rask måte. For å bruke den, trykk på tastekombinasjonen "Win+R", skriv inn CMD i linjen som vises og klikk "OK". Skriv inn kommandoen i vinduet som åpnes:
Trykk enter". Finn linjene "Fysisk adresse" i de viste dataene - denne verdien er MAC-adressen.
Etter å ha beskyttet nettverket fysisk, er det nødvendig å ta vare på programvaredelen av "forsvaret". Omfattende antiviruspakker vil hjelpe deg med dette, brannmurer og sårbarhetsskannere.
KONFIGURERE TILGANG TIL MAPPER Ikke plasser mapper med system eller bare viktige data i kataloger som er tilgjengelige for interne nettverksbrukere. I tillegg, prøv å ikke opprette mapper som kan nås fra nettverket på systemstasjonen. Hvis det ikke er noe spesielt behov, er det bedre å begrense alle slike kataloger med attributtet "Read Only". Ellers kan et virus forkledd som dokumenter legge seg i den delte mappen.
INSTALLERE EN BRANNMUR Programvarebrannmurer er vanligvis enkle å konfigurere og har en selvlærende modus. Ved bruk spør programmet brukeren hvilke tilkoblinger han godkjenner og som han anser som nødvendig å forby.
Vi anbefaler å bruke personlige brannmurer innebygd i slike populære kommersielle produkter som Kaspersky Internet Security, Norton internet Security, NOD Internett sikkerhet, samt gratisløsninger - for eksempel Comodo Firewall. Standard Windows-brannmuren kan dessverre ikke skryte av pålitelig sikkerhet, og gir bare grunnleggende portinnstillinger.
Sårbarhetstest
Den største faren for ytelsen til en datamaskin og nettverk er programmer som inneholder "hull" og feilkonfigurerte sikkerhetstiltak.
XSpider Et brukervennlig program for å skanne nettverket ditt for sårbarheter. Det vil tillate deg å raskt identifisere de fleste aktuelle problemene, og også gi deres beskrivelse og, i noen tilfeller, løsninger. Dessverre for en tid siden ble verktøyet betalt, og dette er kanskje den eneste ulempen.
Nmap Non-profit nettverksskanner med åpen kildekode. Programmet ble opprinnelig utviklet for UNIX-brukere, men senere, på grunn av dets økte popularitet, ble det portert til Windows. Verktøyet er designet for erfarne brukere. Nmap har et enkelt og brukervennlig grensesnitt, men å forstå dataene den produserer uten grunnleggende kunnskap vil ikke være lett.
KIS 2013 Denne pakken gir ikke bare omfattende beskyttelse, men også diagnostiske verktøy. Du kan bruke den til å skanne installerte programmer for tilstedeværelsen av kritiske sårbarheter. Som et resultat av denne prosedyren vil programmet presentere en liste over verktøy der hull må lukkes, og du kan finne ut detaljert informasjon om hver av sårbarhetene og hvordan du kan fikse det.
Tips for å installere et nettverk
Du kan gjøre nettverket ditt sikrere, ikke bare på tidspunktet for distribusjon og konfigurasjon, men også når det allerede eksisterer. Når du sikrer sikkerhet, må du vurdere antall tilkoblede enheter, plasseringen av nettverkskabelen, distribusjonen av Wi-Fi-signalet og typene av hindringer for det.
PLASSERING AV TILGANGSPUNKTET Vurder hvor mye område du trenger å ha innenfor Wi-Fi-rekkevidden. Hvis du bare trenger å dekke et område av leiligheten din, bør du ikke plassere det trådløse tilgangspunktet i nærheten av vinduene. Dette vil redusere risikoen for avlytting og hacking av en svakt beskyttet kanal av krigsførere - folk som jakter på gratis trådløse Internett-tilgangspunkter og også bruker ulovlige metoder. Det bør tas i betraktning at hver betongvegg reduserer signaleffekten med det halve. Husk også at speilet til en garderobe er en nesten ugjennomtrengelig skjerm for Wi-Fi-signalet, som i noen tilfeller kan brukes til å forhindre forplantning av radiobølger i visse retninger i leiligheten. I tillegg lar noen Wi-Fi-rutere deg konfigurere signalstyrken i maskinvaren. Med dette alternativet kan du kunstig sikre tilgang kun til brukere som befinner seg i rommet med tilgangspunktet. Ulempen med denne metoden er den mulige mangelen på signal i avsidesliggende områder av leiligheten din.
LEGGING AV KABLER Et nettverk organisert hovedsakelig ved hjelp av kabel gir høyest hastighet og pålitelighet for kommunikasjon, samtidig som det eliminerer muligheten for at noen forstyrrer det, slik det kan skje med en Wi-Fi-tilkobling. muligheten for å kile seg inn i den fra utsiden, som kan skje med en Wi-Fi-tilkobling.
For å unngå uautoriserte tilkoblinger, når du legger et kabelnettverk, må du passe på å beskytte ledningene mot mekanisk skade, bruke spesielle kabelkanaler og unngå områder hvor ledningen vil synke for mye eller omvendt være for spent. Ikke legg kabelen i nærheten av kilder til sterke forstyrrelser eller i et område med dårlige miljøforhold (kritiske temperaturer og fuktighet). Du kan også bruke en skjermet kabel for ekstra beskyttelse.
BESKYTTELSE FRA ELEMENTENE Kablede og trådløse nettverk er utsatt for effekten av tordenvær, og i noen tilfeller kan et lynnedslag skade mer enn bare nettverksutstyr eller nettverkskort, men også mange PC-komponenter. For å redusere risikoen, husk først å jorde stikkontakter og PC-komponenter. Bruk enheter av pilottypen som bruker beskyttelseskretser fra forstyrrelser og strømstøt.
I tillegg, den beste løsningen kan bli en kilde avbruddsfri strømforsyning(UPS). Moderne versjoner inkluderer både spenningsstabilisatorer og autonom strømforsyning, samt spesielle kontakter for å koble en nettverkskabel gjennom dem. Hvis lynet plutselig slår ned i Internett-leverandørens utstyr, vil ikke en slik UPS tillate en skadelig strømstøt å komme inn i nettverkskortet til PC-en din. Det er verdt å huske at i alle fall er jordingsuttak eller selve utstyret ekstremt viktig.
Bruke VPN-tunnelbyggingsverktøy
En ganske pålitelig måte å beskytte informasjon som overføres over et nettverk, er VPN-tunneler (Virtual Private Network). Tunnelteknologi lar deg lage en kryptert kanal der data overføres mellom flere enheter. Å organisere en VPN for å forbedre informasjonssikkerheten er mulig innenfor et hjemmenettverk, men det er svært arbeidskrevende og krever spesiell kunnskap. Den vanligste metoden for å bruke en VPN er å koble til hjemme-PCen utenfra, for eksempel fra en arbeidsdatamaskin. Dermed vil data som overføres mellom maskinene dine være godt beskyttet av trafikkkryptering. For disse formålene er det bedre å bruke en veldig pålitelig gratis Hamachi-programmet. I dette tilfellet vil bare grunnleggende kunnskap om å organisere en VPN være nødvendig, som er innenfor mulighetene til en utrent bruker.
Introduksjon
Relevansen til dette emnet ligger i det faktum at endringene som skjer i det økonomiske livet i Russland - opprettelsen av et finans- og kredittsystem, foretak med ulike former for eierskap, etc. - ha en betydelig innvirkning på informasjonssikkerhetsspørsmål. I lang tid var det i vårt land bare en eiendom - statseiendom, så informasjon og hemmeligheter var også bare statlig eiendom, som ble beskyttet av kraftige spesialtjenester. Problemer informasjonssikkerhet blir stadig forverret av inntrengningen av tekniske midler for databehandling og overføring, og fremfor alt, datasystemer, i nesten alle områder av sosial aktivitet. Målene for angrep kan i seg selv være tekniske midler(datamaskiner og periferiutstyr) som materielle objekter, programvare og databaser der tekniske midler er miljøet. Hver feil i et datanettverk er ikke bare "moralsk" skade for bedriftsansatte og nettverksadministratorer. Etter hvert som elektroniske betalingsteknologier, "papirløs" dokumentflyt og andre utvikles, kan en alvorlig svikt i lokale nettverk ganske enkelt lamme arbeidet til hele selskaper og banker, noe som fører til betydelige materielle tap. Det er ingen tilfeldighet at databeskyttelse i datanettverk er i ferd med å bli et av de mest presserende problemene i moderne informatikk. Til dags dato er det formulert to grunnleggende prinsipper for informasjonssikkerhet, som skal sikre: - dataintegritet - beskyttelse mot feil som fører til tap av informasjon, samt uautorisert opprettelse eller ødeleggelse av data. - konfidensialitet av informasjon og samtidig tilgjengeligheten for alle autoriserte brukere. Det bør også bemerkes at visse aktivitetsområder (bank- og finansinstitusjoner, informasjonsnettverk, systemer regjeringskontrollert, forsvar og spesielle strukturer) krever spesielle datasikkerhetstiltak og stiller økte krav til driftssikkerhet informasjonssystemer, i samsvar med arten og betydningen av oppgavene de løser.
Hvis en datamaskin er koblet til et lokalt nettverk, kan denne datamaskinen og informasjonen på den potensielt få tilgang til uautoriserte personer fra det lokale nettverket.
Hvis det lokale nettverket er koblet til andre lokale nettverk, blir brukere fra disse lagt til listen over mulige uautoriserte brukere. eksterne nettverk. Vi vil ikke snakke om tilgjengeligheten til en slik datamaskin fra nettverket eller kanaler som lokale nettverk er koblet til, fordi det sannsynligvis er enheter ved utgangene fra lokale nettverk som krypterer og kontrollerer trafikken, og de nødvendige tiltakene er iverksatt.
Hvis en datamaskin er koblet direkte gjennom en leverandør til et eksternt nettverk, for eksempel via et modem til Internett, for ekstern interaksjon med dets lokale nettverk, så er datamaskinen og informasjonen på den potensielt tilgjengelig for hackere fra Internett. Og det mest ubehagelige er at gjennom denne datamaskinen kan hackere også få tilgang til lokale nettverksressurser.
Naturligvis for alle slike forbindelser, heller vanlige midler operativsystemtilgangskontroll, eller spesialiserte midler for beskyttelse mot uautorisert tilgang, eller kryptografiske systemer på nivå med spesifikke applikasjoner, eller begge deler.
Imidlertid kan alle disse tiltakene dessverre ikke garantere ønsket sikkerhet under nettverksangrep, og dette forklares av følgende hovedårsaker:
Operativsystemer (OS), spesielt WINDOWS, er programvareprodukter av høy kompleksitet, opprettelsen av disse utføres av store team av utviklere. En detaljert analyse av disse systemene er ekstremt vanskelig. I denne forbindelse er det ikke mulig å pålitelig underbygge fraværet av standardfunksjoner, feil eller udokumenterte funksjoner som ved et uhell eller med vilje er igjen i operativsystemet og som kan brukes gjennom nettverksangrep.
I et multitasking-OS, spesielt WINDOWS, kan mange forskjellige applikasjoner kjøres samtidig...
I dette tilfellet må både leverandøren og dens klient forholde seg til informasjonssikkerhetsregler. Det er med andre ord to sårbarhetspunkter (på klientsiden og på leverandørsiden), og hver av deltakerne i dette systemet er tvunget til å forsvare sine interesser.
Utsikt fra kundens side
Å gjøre forretninger i et elektronisk miljø krever høyhastighets dataoverføringskanaler, og hvis tidligere hovedpengene til leverandørene ble tjent på å koble til Internett, har kundene nå ganske strenge krav til sikkerheten til tjenestene som tilbys.
En rekke maskinvareenheter har dukket opp i Vesten som gir sikre tilkoblinger til hjemmenettverk. Som regel kalles de «SOHO-løsninger» og kombinerer en maskinvarebrannmur, en hub med flere porter, en DHCP-server og funksjonene til en VPN-ruter. Dette er for eksempel veien tatt av utviklerne av Cisco PIX Firewall og WatchGuard FireBox. Programvarebrannmurer forblir bare på det personlige nivået, og de brukes som et ekstra beskyttelsesmiddel.
Utviklerne av maskinvarebrannmurer i SOHO-klassen mener at disse enhetene skal være enkle å administrere, "gjennomsiktige" (det vil si usynlige) for brukeren av hjemmenettverket og tilsvare kostnadene til mengden direkte skade fra mulige handlinger inntrengere. Gjennomsnittlig skade for et vellykket angrep på hjemmenettverk anslått til rundt 500 dollar.
For å beskytte hjemmenettverket ditt kan du bruke en programvarebrannmur eller ganske enkelt fjerne unødvendige protokoller og tjenester fra konfigurasjonsinnstillingene. Det beste alternativet er at leverandøren tester flere personlige brannmurer, konfigurerer sitt eget sikkerhetssystem på dem og gir teknisk støtte for dem. Spesielt er dette akkurat det 2COM-leverandøren gjør, som tilbyr sine kunder et sett med testede skjermer og tips om hvordan de konfigureres. I det enkleste tilfellet anbefales det å erklære nesten alle nettverksadresser som farlige, bortsett fra adressene lokal datamaskin og gatewayen som tilkoblingen til Internett opprettes gjennom. Dersom en programvare- eller maskinvareskjerm på klientsiden oppdager tegn på inntrenging, skal dette meldes til tjenesten umiddelbart teknisk støtte forsørger.
Det skal bemerkes at en brannmur beskytter mot eksterne trusler, men beskytter ikke mot brukerfeil. Derfor, selv om leverandøren eller klienten har installert et slags sikkerhetssystem, må begge parter fortsatt følge en rekke ganske enkle regler for å minimere sannsynligheten for angrep. Først bør du legge igjen så lite personlig informasjon som mulig på Internett, prøve å unngå å betale med kredittkort, eller i det minste sjekke at serveren har et digitalt sertifikat. For det andre bør du ikke laste ned fra Internett og kjøre noen programmer på datamaskinen din, spesielt gratis. Det anbefales heller ikke å gjøre lokale ressurser tilgjengelige eksternt, installere støtte for unødvendige protokoller (som IPX eller SMB), eller bruke standardinnstillinger (for eksempel skjule filutvidelser).
Det er spesielt farlig å utføre skript knyttet til bokstaver E-post, men det er bedre å ikke bruke Outlook i det hele tatt, siden de fleste virus er skrevet spesielt for denne e-postklienten. I noen tilfeller er det tryggere å bruke web-posttjenester for å jobbe med e-post, siden virus som regel ikke spres gjennom dem. For eksempel tilbyr 2COM-leverandøren en gratis webtjeneste som lar deg lese informasjon fra eksternt postkasser og last opp til lokal maskin bare meldingene du trenger.
Tilbydere tilbyr vanligvis ikke sikre tilgangstjenester. Faktum er at klientens sårbarhet ofte avhenger av hans egne handlinger, så i tilfelle et vellykket angrep er det ganske vanskelig å bevise hvem som gjorde feilen - klienten eller leverandøren. I tillegg må faktumet om angrepet fortsatt registreres, og dette kan bare gjøres med påviste og sertifiserte midler. Å vurdere skaden forårsaket av et hack er heller ikke lett. Som regel bestemmes bare minimumsverdien, preget av tiden for å gjenopprette normal drift av systemet.
Leverandører kan sikre sikkerheten til posttjenester ved å sjekke all innkommende post ved å bruke antivirusprogrammer, samt blokkering av alle protokoller unntatt de viktigste (nett, e-post, nyheter, ICQ, IRC og noen andre). Operatører kan ikke alltid spore hva som skjer på de interne segmentene av hjemmenettverket, men siden de er tvunget til å forsvare seg mot eksterne angrep (noe som er i samsvar med retningslinjer for brukerbeskyttelse), må kundene samhandle med sikkerhetsteamene sine. Det bør huskes at leverandøren ikke garanterer absolutt sikkerhet for brukere - den forfølger kun sin egen kommersielle gevinst. Ofte er angrep på abonnenter forbundet med en kraftig økning i mengden informasjon som overføres til dem, som faktisk er hvordan operatøren tjener penger. Dette betyr at leverandørens interesser noen ganger kan komme i konflikt med forbrukerens interesser.
Leverandørens perspektiv
For leverandører av hjemmenettverk er hovedproblemene uautoriserte tilkoblinger og høy intern trafikk. Hjemmenettverk brukes ofte til å være vert for spill som ikke strekker seg utover det lokale nettverket til en boligbygning, men som kan føre til blokkering av hele segmenter av den. I dette tilfellet blir det vanskelig å jobbe på Internett, noe som forårsaker rimelig misnøye blant kommersielle kunder.
Fra et kostnadsperspektiv er leverandørene interessert i å minimere kostnadene ved å sikre og overvåke hjemmenettverket. Samtidig kan de ikke alltid organisere riktig beskyttelse for klienten, siden dette krever visse kostnader og begrensninger fra brukerens side. Dessverre er ikke alle abonnenter enige i dette.
Vanligvis er hjemmenettverk strukturert som følger: det er en sentral ruter som har en Internett-tilgangskanal, og et omfattende nettverk av blokken, huset og inngangen er koblet til den. Naturligvis fungerer ruteren som en brannmur som skiller hjemmenettverket fra resten av Internett. Den implementerer flere sikkerhetsmekanismer, men den mest brukte er adresseoversettelse, som lar deg samtidig skjule den interne nettverksinfrastrukturen og lagre leverandørens ekte IP-adresser.
Noen leverandører gir imidlertid kundene sine ekte IP-adresser (for eksempel skjer dette i nettverket til Mitino-mikrodistriktet, som er koblet til Moskva-leverandøren MTU-Intel). I dette tilfellet blir brukerens datamaskin direkte tilgjengelig fra Internett, noe som gjør den vanskeligere å beskytte. Det er ikke overraskende at tilbudsbyrden informasjonssikkerhet faller helt på abonnentene, mens operatøren sitter igjen med den eneste måten kontroll over handlingene deres - ved hjelp av IP- og MAC-adresser. Imidlertid lar moderne Ethernet-adaptere deg programmere endre begge parameterne på operativsystemnivå, og leverandøren er forsvarsløs mot en skruppelløs klient.
Selvfølgelig krever noen applikasjoner tildeling av ekte IP-adresser. Å gi en ekte statisk IP-adresse til en klient er ganske farlig, fordi hvis serveren med denne adressen blir angrepet, vil resten av det interne nettverket bli tilgjengelig gjennom den.
En av kompromissløsningene på problemet sikker bruk IP-adresser i hjemmenettverket er introduksjonen av VPN-teknologi kombinert med en mekanisme for dynamisk adressedistribusjon. Kort fortalt er opplegget som følger. En kryptert tunnel etableres fra klientmaskinen til ruteren ved hjelp av PPTP-protokollen. Siden denne protokollen har blitt støttet av Windows OS siden versjon 95, og er nå implementert for andre operativsystemer, er ikke klienten pålagt å installere tilleggsprogramvare - de trenger bare å konfigurere de allerede installerte komponentene. Når en bruker kobler seg til Internett, oppretter han først en forbindelse med ruteren, logger seg deretter på, mottar en IP-adresse, og først da kan han begynne å jobbe på Internett.
Denne typen tilkobling tilsvarer en vanlig oppringt tilkobling med den forskjellen at når du installerer den, kan du stille inn nesten hvilken som helst hastighet. Selv nestede VPN-undernett vil fungere i henhold til denne ordningen, som kan brukes til å eksternt koble klienter til bedriftsnettverket. Under hver brukerøkt tildeler leverandøren dynamisk enten en ekte eller virtuell IP-adresse. Forresten, 2COMs ekte IP-adresse koster $1 per måned mer enn en virtuell.
For å implementere VPN-tilkoblinger har 2COM utviklet sin egen spesialiserte ruter som utfører alle funksjonene oppført ovenfor pluss tjenestepriser. Det skal bemerkes at pakkekryptering ikke er ansvaret for prosessor, men på en spesialisert koprosessor, som lar deg samtidig støtte opptil 500 virtuelle VPN-kanaler. En slik kryptoruter på 2COM-nettverket brukes til å koble sammen flere hus samtidig.
Som regel på best mulig måte hjemmenettverksbeskyttelse er et nært samspill mellom leverandøren og klienten, der alle har mulighet til å forsvare sine interesser. Ved første øyekast virker sikkerhetsmetoder for hjemmenettverk lik de som brukes til å sikre bedriftens sikkerhet, Men det er det faktisk ikke. Det er vanlig at bedrifter etablerer ganske strenge atferdsregler for ansatte, og følger en gitt informasjonssikkerhetspolicy. Dette alternativet fungerer ikke i et hjemmenettverk: hver klient krever sine egne tjenester og må opprette generelle regler atferd er ikke alltid vellykket. Derfor er det mye vanskeligere å bygge et pålitelig sikkerhetssystem for hjemmenettverk enn å sikre sikkerheten til et bedriftsnettverk.
PNST301-2018/ISO/IEC 24767-1:2008
FORELØPIG NASJONAL STANDARD FOR DEN RUSSISKE FØDERASJON
Informasjonsteknologi
SIKKERHET I HJEMMENETT
Sikkerhetskrav
Informasjonsteknologi. Hjemmenettverkssikkerhet. Del 1.Sikkerhetskrav
OKS 35.110, 35.200,35.240.99
Gyldig fra 2019-02-01
Forord
Forord
1 UTARBEIDT av Federal State Budgetary Educational Institution of Higher Education "Russian Economic University oppkalt etter G.V. Plekhanov" (FSBEI HE "REU oppkalt etter G.V. Plekhanov") basert på sin egen oversettelse til russisk av den engelske versjonen av den internasjonale standarden spesifisert i avsnitt 4
2INTRODUSERT av Technical Committee for Standardization TC 22 "Information Technologies"
3GODKJENT OG TRÅTT I IKRAFT etter ordre fra Federal Agency for Technical Regulation and Metrology datert 4. september 2018 N38-pnst
4Denne standarden er identisk med den internasjonale standarden ISO/IEC 24767-1:2008* "Informasjonsteknologi - Hjemmenettverkssikkerhet - Del 1: Sikkerhetskrav", IDT)
________________
*Tilgang til internasjonale og utenlandske dokumenter nevnt her og lenger i teksten kan fås ved å følge lenken til nettstedet. - Merknad fra databaseprodusenten.
Reglene for å anvende denne standarden og utføre dens overvåking er fastsatt i GOST R 1.16-2011 (avsnitt 5 og 6).
Federal Agency for Technical Regulation and Metrology samler inn informasjon om den praktiske anvendelsen av denne standarden. Denne informasjonen, samt kommentarer og forslag til innholdet i standarden, kan sendes senest 4 dager i forveien. måneder før utløpet av gyldighetsperioden til utvikleren av denne standarden på adressen: 117997 Moscow, Stremyanny Lane, 36, Federal State Budgetary Educational Institution of Higher Education "REU"oppkalt etter G.V. Plekhanov" og til Federal Agency for Technical Regulation and Metrology på: 109074 Moskva, Kitaygorodsky proezd, 7, bygning 1.
I tilfelle kansellering av denne standarden, vil relevant informasjon bli publisert i den månedlige informasjonsindeksen "National Standards" og vil også bli lagt ut på den offisielle nettsiden til Federal Agency for Technical Regulation and Metrology på Internett (www.gost.ru)
Introduksjon
ISO (International Organization for Standardization) og IEC (International Electrotechnical Commission) danner et spesialisert system for verdensomspennende standardisering. Statlige organer som er medlemmer av ISO eller IEC deltar i utviklingen av internasjonale standarder gjennom tekniske komiteer. Ethvert interessert organ som er medlem av ISO eller IEC kan delta i utviklingen av en standard på et spesifikt område. Andre internasjonale organisasjoner, statlige og ikke-statlige, i kontakt med ISO og IEC er også involvert i arbeidet.
På området informasjonsteknologi har ISO og IEC etablert Joint Technical Committee ISO/IEC JTC 1. Utkast til internasjonale standarder utarbeidet av Joint Technical Committee sendes til nasjonale komiteer for avstemning. Publisering som en internasjonal standard krever godkjenning av minst 75 % av de stemmeberettigede nasjonale komiteene.
Formelle vedtak eller avtaler fra IEC og ISO om tekniske spørsmål uttrykker, så langt det er mulig, internasjonal konsensus om de involverte spørsmålene, siden hver teknisk komité har representanter fra alle de berørte nasjonale IEC- og ISO-medlemskomiteene.
Publikasjoner av IEC, ISO og ISO/IEC er i form av anbefalinger for internasjonal bruk og vedtas av de nasjonale komiteene - medlemmer av IEC og ISO nettopp i denne forståelsen. Selv om det er gjort alt for å sikre nøyaktighet teknisk innhold IEC, ISO og ISO/IEC publikasjoner, IEC eller ISO påtar seg intet ansvar for måten de brukes på eller for feiltolkning av sluttbrukeren.
For å sikre internasjonal enhet (et enkelt system), forplikter de nasjonale komiteene til IEC og ISO å sikre maksimal åpenhet i anvendelsen av internasjonale standarder for IEC, ISO og ISO/IEC, så langt som nasjonale og regionale forhold i et gitt land tillate. Eventuelle avvik mellom ISO/IEC-publikasjoner og relevante nasjonale eller regionale standarder skal være tydelig indikert i sistnevnte.
ISO og IEC gir ikke merkingsprosedyrer og er ikke ansvarlige for utstyr som hevder samsvar med en av ISO/IEC-standardene.
Alle brukere bør sørge for at de bruker den siste utgaven av denne publikasjonen.
IEC eller ISO, deres ledelse, ansatte, tjenere eller representanter, inkludert individuelle eksperter og medlemmer av deres tekniske komiteer, og medlemmer av IEC eller ISOs nasjonale komiteer skal ikke være ansvarlige for ulykker, skade på eiendom eller annen skade, direkte eller indirekte, eller for kostnader (inkludert advokatkostnader) som påløper i forbindelse med publisering av eller fra bruk av denne ISO/IEC-publikasjonen eller en annen IEC-, ISO- eller ISO/IEC-publikasjon.
Det kreves spesiell oppmerksomhet til den forskriftsmessige dokumentasjonen som er sitert i denne publikasjonen. Bruk av refererte dokumenter er nødvendig for riktig anvendelse av denne publikasjonen.
Det gjøres oppmerksom på at enkelte elementer i denne internasjonale standarden kan være gjenstand for patentrettigheter. ISO og IEC er ikke ansvarlige for å bestemme noen eller alle slike patentrettigheter.
Internasjonal standard ISO/IEC 24767-1 ble utviklet av Joint Technical Committee ISO/IEC 1, Information technology, Subcommittee 25, Information technology equipment interconnections.
En liste over alle tilgjengelige deler av ISO/IEC 24767-serien under den generelle tittelen "Informasjonsteknologi - Hjemmenettverkssikkerhet" er presentert på IEC-nettstedet.
1 bruksområde
Denne standarden definerer kravene for å beskytte et hjemmenettverk mot interne eller eksterne trusler. Standarden fungerer som grunnlag for utvikling av sikkerhetssystemer som beskytter det indre miljøet mot ulike trusler.
Sikkerhetskrav behandles på en relativt uformell måte i denne standarden Selv om mange av problemstillingene som er omtalt i denne standarden gir veiledning for utforming av sikkerhetssystemer for både intranett og internett, er de av uformelle krav.
Koblet til det interne (hjemme) nettverket ulike enheter(se figur 1). «Appliance-nettverk»-enheter, «AV-underholdning»-enheter og «informasjonsapplikasjoner»-enheter har forskjellige funksjoner og ytelsesegenskaper. Denne standarden gir verktøy for å analysere risikoen for hver enhet koblet til et nettverk og bestemme sikkerhetskravene for hver enhet.
2 Termer, definisjoner og forkortelser
2.1Vilkår og definisjoner
Følgende termer og definisjoner brukes i denne standarden:
2.1.1 forbrukerelektronikk(brunvarer): Lyd-/videoenheter som primært brukes til underholdningsformål, for eksempel TV- eller DVD-opptaker.
2.1.2konfidensialitet(konfidensialitet): En egenskap som sikrer utilgjengelighet og ikke-utlevering av informasjon til uautoriserte personer, organisasjoner eller prosesser.
2.1.3 dataautentisering(dataautentisering): En tjeneste som brukes for å sikre korrekt verifisering av en påstått datakilde.
2.1.4 dataintegritet(dataintegritet): En egenskap som bekrefter at data ikke har blitt endret eller ødelagt på en uautorisert måte.
2.1.5 bruker autentisering(brukerautentisering): En tjeneste for å sikre at autentiseringsinformasjonen gitt av en kommunikasjonsdeltaker er korrekt verifisert, mens autorisasjonstjenesten sikrer at den identifiserte og autoriserte brukeren har tilgang til bestemt enhet eller hjemmenettverksapplikasjon.
2.1.6 Hvitevarer(hvitevarer): Enheter som brukes i daglig bruk, som klimaanlegg, kjøleskap, etc.
2.2 Forkortelser
Følgende forkortelser brukes i denne standarden:
3 Samsvar
Denne standarden gir veiledning uten krav til samsvar.
4Sikkerhetskrav for interne hjemmeelektronikksystemer og nettverk
4.1 Generelle bestemmelser
Med den raske utviklingen av Internett og relaterte nettverksteknologier har det blitt mulig å etablere forbindelser mellom datamaskiner på kontorer og i hjemmet med omverdenen, noe som gir tilgang til en rekke ressurser. I dag har teknologiene som underbygget denne suksessen nådd våre hjem og gjør det mulig å koble til apparater akkurat som personlige datamaskiner. Dermed lar de ikke bare brukere overvåke og kontrollere sine husholdningsapparater, både i og utenfor hjemmet, men skaper også nye tjenester og muligheter, som fjernkontroll og vedlikehold av husholdningsapparater. Dette betyr at det vanlige datamaskinmiljøet hjemme blir forvandlet til et internt hjemmenettverk, som kobler til mange enheter, hvis sikkerhet også må sikres.
Det er nødvendig at beboere, brukere og eiere av både bolig og anlegg har tillit til hjemmeelektronikken. Hjem elektronisk sikkerhetsmål støttesystemer tillit til systemet. Siden mange hjemmelagde komponenter elektronisk system er i drift kontinuerlig, 24 timer i døgnet, og automatisk utveksler informasjon med omverdenen, er informasjonssikkerhet nødvendig for å sikre konfidensialitet, integritet og tilgjengelighet av data og systemet En riktig implementert sikkerhetsløsning innebærer for eksempel at tilgang til systemet og lagrede, innkommende og utgående data kun autoriserte brukere og prosesser mottar, og at kun autoriserte brukere kan bruke systemet og gjøre endringer i det.
Sikkerhetskrav til et HMS-nettverk kan beskrives på flere måter. Denne standarden er begrenset til IT-sikkerheten til HES-nettverket. IT-sikkerheten må imidlertid strekke seg utover selve systemet, siden boligen skal fungere, om enn i begrenset kapasitet, ved IT-systemsvikt.De intelligente funksjonene som typisk støttes av et HMS-nettverk kan også utføres ved systemtilkoblinger er tapt. I slike tilfeller kan det forstås at det er sikkerhetskrav som ikke kan være en del av selve systemet, men systemet skal ikke forby implementering av reserveløsninger.
Det er en rekke personer som er interessert i sikkerhetsspørsmål. Det elektroniske hjemmesystemet skal ha tillit ikke bare av beboere og eiere, men også av tjeneste- og innholdsleverandører. Sistnevnte må sørge for at tjenestene og innholdet de tilbyr kun brukes på en autorisert måte. En av grunnprinsippene for systemsikkerhet er imidlertid at en spesifikk sikkerhetsadministrator skal være ansvarlig for det. Et slikt ansvar bør selvsagt legges til beboerne (systemeiere). Det spiller ingen rolle om administratoren gjør dette personlig eller outsourcer det. Ansvaret ligger uansett hos administratoren av sikkerhetssystemet. Tjeneste- og innholdsleverandørenes tillit til det elektroniske hjemmesystemet og deres tillit til at brukerne bruker tjenestene og innholdet på riktig måte, bestemmes av kontraktsforpliktelsene mellom partene. Kontrakten kan for eksempel liste opp funksjonene, komponentene eller prosessene som et hjemmeelektronikksystem må støtte.
Arkitekturen til hjemmeelektronikken er forskjellig for ulike typer hus. Enhver modell kan ha sitt eget spesifikke sett med sikkerhetskrav. Nedenfor er beskrivelser av tre ulike modeller av elektroniske hjemmesystemer med ulike sett med sikkerhetskrav.
Det er klart at noen sikkerhetskrav er viktigere enn andre. Dermed er det klart at støtte til enkelte mottiltak vil være valgfritt. I tillegg kan mottiltak variere i kvalitet og pris. Det kan også kreves ulike ferdigheter for å håndtere og vedlikeholde slike mottiltak. Denne standarden forsøker å klargjøre begrunnelsen for sikkerhetskravene som er oppført og dermed gjøre det mulig for å bestemme hvilke sikkerhetsfunksjoner et bestemt produkt skal støtte. hjemmesystem og, under hensyntagen til kvalitetskrav og styrings- og vedlikeholdsinnsats, hvilken mekanisme som bør velges for slike funksjoner.
Sikkerhetskravene til et internt nettverk avhenger av definisjonen av sikkerhet og "hjem" og hva som menes med "nettverk" i det hjemmet. Hvis et nettverk bare er en kobling som kobler en enkelt PC til en skriver eller kabelmodem, er det like enkelt å sikre hjemmenettverket som å sikre den koblingen og utstyret den kobler til.
Men hvis det er dusinvis, om ikke hundrevis, av nettverksenheter i et domene, hvorav noen tilhører husholdningen som helhet, og noen tilhører folk i hjemmet, vil mer sofistikerte sikkerhetstiltak måtte implementeres.
4.2 Sikkerhet for hjemmeelektronikk
4.2.1 Definisjon av hjemmeelektronikksystem og systemsikkerhet
Et hjemmeelektronikksystem og nettverk kan defineres som samlingen av elementer som behandler, overfører, lagrer og administrerer informasjon, og gir tilkobling og integrasjon til de mange databehandlings-, kontroll-, overvåkings- og kommunikasjonsenhetene som finnes i hjemmet.
I tillegg gir elektroniske hjemmesystemer og nettverk sammenkobling mellom underholdnings- og informasjonsenheter, samt kommunikasjons- og sikkerhetsenheter, og husholdningsapparater i hjemmet. Slike enheter og enheter vil utveksle informasjon, de kan kontrolleres og overvåkes mens de er i huset eller eksternt. Følgelig vil alle interne hjemmenettverk kreve visse sikkerhetsmekanismer for å beskytte deres daglige drift.
Nettverks- og informasjonssikkerhet kan forstås som et nettverks eller informasjonssystems evne til å motstå tilfeldige hendelser eller ondsinnede handlinger på et visst nivå. Slike hendelser eller handlinger kan kompromittere tilgjengeligheten, autentisiteten, autentisiteten og konfidensialiteten til lagrede eller overførte data, samt relaterte tjenester som tilbys gjennom slike nettverk og systemer.
Informasjonssikkerhetshendelser kan grupperes i følgende grupper:
Elektronisk kommunikasjon kan bli fanget opp og data kan kopieres eller endres. Dette kan resultere i skade forårsaket både av brudd på individets rett til konfidensialitet og ved misbruk av avlyttede data;
Uautorisert tilgang til en datamaskin og interne datanettverk utføres vanligvis med ondsinnet hensikt for å kopiere, modifisere eller ødelegge data og kan utvides til automatisk utstyr og systemer i hjemmet;
Ondsinnede angrep på Internett har blitt ganske vanlig, og telefonnettet kan også bli mer sårbart i fremtiden;
Skadelig programvare, som virus, kan deaktivere datamaskiner, slette eller endre data eller omprogrammere husholdningsapparater. Noen virusangrep har vært ganske ødeleggende og kostbare;
Feilaktig fremstilling av opplysninger om enkeltpersoner eller juridiske enheter kan forårsake betydelig skade, for eksempel kan kunder laste ned ondsinnet programvare fra et nettsted som utgir seg for å være en pålitelig kilde, kontrakter kan bli avsluttet, eller konfidensiell informasjon kan sendes til upassende mottakere;
Mange informasjonssikkerhetshendelser involverer uventede og utilsiktede hendelser, som naturkatastrofer (flom, stormer og jordskjelv), maskinvare eller programvare, så vel som den menneskelige faktoren.
I dag har nesten hver leilighet et hjemmenettverk som stasjonære datamaskiner, bærbare datamaskiner, datalagringsenheter (NAS), mediespillere, smart-TVer, samt smarttelefoner, nettbrett og andre bærbare enheter er koblet til. Enten kablede (Ethernet) eller trådløse (Wi-Fi) tilkoblinger og TCP/IP-protokoller brukes. Med utviklingen av Internet of Things-teknologier, har husholdningsapparater – kjøleskap, kaffetraktere, klimaanlegg og til og med elektrisk installasjonsutstyr – kommet på nett. Takket være løsningene" Smart hus"Vi kan kontrollere lysstyrken på belysningen, fjernjustere innendørs mikroklima, slå på og av forskjellige enheter - dette gjør livet mye enklere, men kan skape alvorlige problemer for eieren av avanserte løsninger.
Dessverre bryr utviklerne av slike enheter ennå ikke nok om sikkerheten til produktene deres, og antallet sårbarheter som finnes i dem vokser som sopp etter regn. Det er ofte tilfeller når en enhet ikke lenger støttes etter å ha kommet inn på markedet - TV-en vår, for eksempel, har 2016-fastvare installert, basert på Android 4, og produsenten kommer ikke til å oppdatere den. Gjester legger også til problemer: det er upraktisk å nekte dem tilgang til Wi-Fi, men du vil heller ikke slippe hvem som helst inn i det koselige nettverket ditt. Hvem vet hvilke virus som kan sette seg i fremmede? mobiltelefoner? Alt dette fører oss til behovet for å dele opp hjemmenettverket i flere isolerte segmenter. La oss prøve å finne ut hvordan du gjør dette, som de sier, med lite blod og med minst mulig økonomiske kostnader.
Isolering av Wi-Fi-nettverk
I bedriftsnettverk løses problemet enkelt - det er administrerte brytere med støtte for virtuelle lokale nettverk (VLAN), ulike rutere, brannmurer og trådløse tilgangspunkter - du kan bygge det nødvendige antallet isolerte segmenter på et par timer. Ved å bruke Traffic Inspector Next Generation (TING)-enheten, for eksempel, løses problemet med bare noen få klikk. Det er nok å koble bryteren til gjestenettverkssegmentet til en separat Ethernet-port og lage brannmurregler. Dette alternativet er ikke egnet for hjemmet på grunn av de høye kostnadene for utstyret - oftest administreres nettverket vårt av en enhet som kombinerer funksjonene til en ruter, bryter, trådløst tilgangspunkt og Gud vet hva annet.
Heldigvis har moderne husholdningsrutere (selv om det ville være mer riktig å kalle dem internettsentre) også blitt veldig smarte, og nesten alle, bortsett fra de svært budsjettmessige, har muligheten til å lage et isolert gjeste-Wi-Fi-nettverk. Påliteligheten til denne isolasjonen er et spørsmål for en egen artikkel; i dag vil vi ikke undersøke fastvaren til husholdningsenheter fra forskjellige produsenter. La oss ta ZyXEL Keenetic Extra II som et eksempel. Nå har denne linjen bare blitt kalt Keenetic, men vi har fått tak i en enhet utgitt under ZyXEL-merket.
Oppsett via nettgrensesnittet vil ikke forårsake noen vanskeligheter selv for nybegynnere - noen få klikk, og vi har et eget trådløst nettverk med egen SSID, WPA2-beskyttelse og passord for tilgang. Du kan la gjester få tilgang til det, samt slå på TV-er og spillere med fastvare som ikke har blitt oppdatert på lenge, eller andre klienter du ikke stoler spesielt på. I de fleste enheter fra andre produsenter er denne funksjonen, gjentar vi, også til stede og aktiveres på samme måte. Slik løses for eksempel problemet i fastvare D-Link rutere ved hjelp av oppsettsveiviseren.
Du kan legge til et gjestenettverk når enheten allerede er konfigurert og fungerer.
Skjermbilde fra produsentens hjemmeside
Skjermbilde fra produsentens hjemmeside
Vi isolerer Ethernet-nettverk
I tillegg til at klienter kobler seg til det trådløse nettverket, kan vi komme over enheter med kablet grensesnitt. Eksperter vil si at for å lage isolerte Ethernet-segmenter, brukes såkalte VLAN - virtuelle lokale nettverk. Noen hjemmerutere støtter denne funksjonaliteten, men det er her oppgaven blir mer komplisert. Jeg vil ikke bare lage et eget segment, vi må kombinere porter for en kablet tilkobling med et trådløst gjestenettverk på én ruter. Ikke alle husholdningsenheter kan håndtere dette: en overfladisk analyse viser at i tillegg til Keenetic Internett-sentre, legger Ethernet-porter til en enkelt Wi-Fi-nettverk Modeller fra MikroTik-linjen er også i stand til gjestesegmentet, men prosessen med å sette dem opp er ikke lenger så åpenbar. Hvis vi snakker om husholdningsrutere til sammenlignbare priser, er det kun Keenetic som kan løse problemet med et par klikk i nettgrensesnittet.
Som du kan se, taklet testpersonen enkelt problemet, og her er det verdt å ta hensyn til en annen interessant funksjon - du kan også isolere de trådløse klientene til gjestenettverket fra hverandre. Dette er veldig nyttig: din venns smarttelefon infisert med skadelig programvare vil få tilgang til Internett, men den vil ikke kunne angripe andre enheter, selv på et gjestenettverk. Hvis ruteren din har en lignende funksjon, bør du definitivt aktivere den, selv om dette vil begrense mulighetene for klientinteraksjon - for eksempel vil det ikke lenger være mulig å pare en TV med en mediespiller via Wi-Fi, du må bruke en kablet tilkobling. På dette stadiet ser hjemmenettverket vårt sikrere ut.
Hva er resultatet?
Antall sikkerhetstrusler vokser år for år, og produsenter smarte enheter de tar ikke alltid nok hensyn til rettidig utgivelse av oppdateringer. I en slik situasjon har vi bare én vei ut – å differensiere hjemmenettverksklienter og lage isolerte segmenter for dem. For å gjøre dette trenger du ikke kjøpe utstyr for titusenvis av rubler; et relativt billig internettsenter for husholdninger kan håndtere oppgaven. Her vil jeg advare leserne mot å kjøpe enheter fra budsjettmerker. Nesten alle produsenter har nå mer eller mindre samme maskinvare, men kvaliteten på den innebygde programvaren er svært forskjellig. Samt varigheten av støttesyklusen for utgitte modeller. Ikke alle husholdningsrutere kan takle selv den ganske enkle oppgaven med å kombinere et kablet og trådløst nettverk i et isolert segment, og du kan ha mer komplekse. Noen ganger må du konfigurere flere segmenter eller DNS-filtrering for å få tilgang til bare sikre verter, i store rom må du koble Wi-Fi-klienter til gjestenettverket gjennom eksterne tilgangspunkter, etc. og så videre. I tillegg til sikkerhetsproblemer er det andre problemer: i offentlige nettverk er det nødvendig å sikre registrering av klienter i samsvar med kravene i føderal lov nr. 97 "On Information, informasjonsteknologi og om beskyttelse av informasjon." Rimelige enheter er i stand til å løse slike problemer, men ikke alle - funksjonalitet Den innebygde programvaren de har, gjentar vi, er veldig annerledes.
